РСБ.1: различия между версиями

РСБ.1 - Определение событий безопасности, подлежащих регистрации, и сроков их хранения

Описание

Оператором персональных данных должны быть определены события безопасности в информационной системе персональных данных (ИСПДн), подлежащие регистрации, и сроки их хранения. События безопасности, подлежащие регистрации в ИСПДн, должны определяться с учетом способов реализации угроз безопасности для ИСПДн. К событиям безопасности, подлежащим регистрации в ИСПДн, должны быть отнесены любые проявления состояния ИСПДн и ее системы защиты персональных данных, указывающие на возможность нарушения конфиденциальности, целостности или доступности персональных данных, доступности компонентов ИСПДн, нарушения процедур, установленных организационно-распорядительными документами по защите персональных данных оператора персональных данных, а также на нарушение штатного функционирования средств защиты информации.

События безопасности, подлежащие регистрации в ИСПДн, и сроки их хранения соответствующих записей регистрационных журналов должны обеспечивать возможность обнаружения, идентификации и анализа инцидентов, возникших в ИСПДн. Подлежат регистрации события безопасности, связанные с применением выбранных мер по защите персональных данных в ИСПДн. Перечень событий безопасности, регистрация которых осуществляется в текущий момент времени, определяется оператором персональных данных исходя из возможностей реализации угроз безопасности персональных данных и фиксируется в организационно-распорядительных документах по защите персональных данных (документируется).

В ИСПДн как минимум подлежат регистрации следующие события:

• вход (выход), а также попытки входа субъектов доступа в ИСПДн и загрузки (останова) операционной системы;
• подключение машинных носителей информации и вывод персональных данных на носители информации;
• запуск (завершение) программ и процессов (заданий, задач), связанных с обработкой персональных данных;
• попытки доступа программных средств к определяемым оператором персональных данных защищаемым объектам доступа (техническим средствам, узлам сети, линиям (каналам) связи, внешним устройствам, программам, томам, каталогам, файлам, записям, полям записей) и иным объектам доступа;
• попытки удаленного доступа.

Состав и содержание информации о событиях безопасности, подлежащих регистрации, определяются в соответствии с РСБ.2.

Требования к усилению РСБ.1:

1. оператором персональных данных должен обеспечиваться пересмотр перечня событий безопасности, подлежащих регистрации, не менее чем один раз в год, а также по результатам контроля (мониторинга) за обеспечением уровня защищенности персональных данных, содержащейся в ИСПДн;
2. оператором персональных данных в перечень событий безопасности, подлежащих регистрации, должны быть включены события, связанные с действиями от имени привилегированных учетных записей (администраторов);
3. оператором персональных данных в перечень событий безопасности, подлежащих регистрации, должны быть включены события, связанные с изменением привилегий учетных записей;
4. оператором должен быть обеспечен срок хранения информации о зарегистрированных событиях безопасности не менее трех месяцев, если иное не установлено требованиями законодательства Российской Федерации, при этом:

   а) осуществляется хранение только записей о выявленных событиях безопасности;

   б) осуществляется хранение записей о выявленных событиях безопасности и записей системных журналов, которые послужили основанием для регистрации события безопасности;

   в) осуществляется хранение журналов приложений, которые послужили основанием для регистрации события безопасности;

   г) осуществляется хранение всех записей системных журналов и событий безопасности;

   д) осуществляется хранение всех записей журналов приложений.