Энциклопедия информационной безопасности. По всем вопросам обращайтесь по адресу swan@wikisec.ru
РСБ.1: различия между версиями
Перейти к навигации
Перейти к поиску
Wikiadmin (обсуждение | вклад) м (Замена текста — «Меры по обеспечению безопасности ПДн]» на «Меры защиты информации в государственных информационных системах]») |
Wikiadmin (обсуждение | вклад) |
||
| Строка 2: | Строка 2: | ||
== Описание == | == Описание == | ||
| − | Оператором | + | Оператором должны быть определены события безопасности в информационной системе, подлежащие регистрации, и сроки их хранения. |
| − | |||
| − | События безопасности, подлежащие регистрации в | + | События безопасности, подлежащие регистрации в информационной системе, должны определяться с учетом способов реализации угроз безопасности для информационной системы. К событиям безопасности, подлежащим регистрации в информационной системе, должны быть отнесены любые проявления состояния информационной системы и ее системы защиты информации, указывающие на возможность нарушения конфиденциальности, целостности или доступности информации, доступности компонентов информационной системы, нарушения процедур, установленных организационно-распорядительными документами по защите информации оператора, а также на нарушение штатного функционирования средств защиты информации. |
| − | |||
| − | В | + | События безопасности, подлежащие регистрации в информационной системе, и сроки их хранения соответствующих записей регистрационных журналов должны обеспечивать возможность обнаружения, идентификации и анализа инцидентов, возникших в информационной системе. Подлежат регистрации события безопасности, связанные с применением выбранных мер по защите информации в информационной системе. |
| − | *вход (выход), а также попытки входа субъектов доступа в | + | |
| − | *подключение машинных носителей информации и вывод | + | Перечень событий безопасности, регистрация которых осуществляется в текущий момент времени, определяется оператором исходя из возможностей реализации угроз безопасности информации и фиксируется в организационно распорядительных документах по защите информации (документируется). |
| − | *запуск (завершение) программ и процессов (заданий, задач), связанных с обработкой | + | |
| − | *попытки доступа программных средств к определяемым оператором | + | В информационной системе как минимум подлежат регистрации следующие события: |
| − | *попытки удаленного доступа. | + | *вход (выход), а также попытки входа субъектов доступа в информационную систему и загрузки (останова) операционной системы; |
| − | Состав и содержание информации о событиях безопасности, подлежащих регистрации, определяются в соответствии с [[РСБ.2]]. | + | *подключение машинных носителей информации и вывод информации на носители информации; |
| + | *запуск (завершение) программ и процессов (заданий, задач), связанных с обработкой защищаемой информации; | ||
| + | *попытки доступа программных средств к определяемым оператором защищаемым объектам доступа (техническим средствам, узлам сети, линиям (каналам) связи, внешним устройствам, программам, томам, каталогам, файлам, записям, полям записей) и иным объектам доступа; | ||
| + | *попытки удаленного доступа. | ||
| + | |||
| + | Состав и содержание информации о событиях безопасности, подлежащих регистрации, определяются в соответствии с [[РСБ.2]]. | ||
| + | |||
==Требования к усилению РСБ.1: == | ==Требования к усилению РСБ.1: == | ||
| − | #оператором | + | #оператором должен обеспечиваться пересмотр перечня событий безопасности, подлежащих регистрации, не менее чем один раз в год, а также по результатам контроля (мониторинга) за обеспечением уровня защищенности информации, содержащейся в информационной системе; |
| − | #оператором | + | #оператором в перечень событий безопасности, подлежащих регистрации, должны быть включены события, связанные с действиями от имени привилегированных учетных записей (администраторов); |
| − | #оператором | + | #оператором в перечень событий безопасности, подлежащих регистрации, должны быть включены события, связанные с изменением привилегий учетных записей; |
| − | #оператором должен быть обеспечен срок хранения информации о зарегистрированных событиях безопасности не менее трех месяцев, если иное не установлено требованиями законодательства Российской Федерации, при этом: | + | #оператором должен быть обеспечен срок хранения информации о зарегистрированных событиях безопасности не менее трех месяцев, если иное не установлено требованиями законодательства Российской Федерации, при этом: |
| − | #:а) осуществляется хранение только записей о выявленных событиях безопасности; | + | #:а) осуществляется хранение только записей о выявленных событиях безопасности; |
| − | #:б) осуществляется хранение записей о выявленных событиях безопасности и записей системных журналов, которые послужили основанием для регистрации события безопасности; | + | #:б) осуществляется хранение записей о выявленных событиях безопасности и записей системных журналов, которые послужили основанием для регистрации события безопасности; |
| − | #:в) осуществляется хранение журналов приложений, которые послужили основанием для регистрации события безопасности; | + | #:в) осуществляется хранение журналов приложений, которые послужили основанием для регистрации события безопасности; |
| − | #:г) осуществляется хранение всех записей системных журналов и событий безопасности; | + | #:г) осуществляется хранение всех записей системных журналов и событий безопасности; |
| − | #:д) осуществляется хранение всех записей журналов приложений. | + | #:д) осуществляется хранение всех записей журналов приложений. |
| + | |||
{| class="wikitable" style="text-align:center;" | {| class="wikitable" style="text-align:center;" | ||
| Строка 47: | Строка 52: | ||
| | | | ||
| | | | ||
| − | | 1,3,4а | + | | 1, 3, 4а |
| − | | 1,2,3,4б | + | | 1, 2, 3, 4б |
|} | |} | ||
[[Категория: Меры защиты информации в государственных информационных системах]] | [[Категория: Меры защиты информации в государственных информационных системах]] | ||
Текущая версия на 11:07, 22 октября 2021
РСБ.1 - Определение событий безопасности, подлежащих регистрации, и сроков их хранения
Описание
Оператором должны быть определены события безопасности в информационной системе, подлежащие регистрации, и сроки их хранения.
События безопасности, подлежащие регистрации в информационной системе, должны определяться с учетом способов реализации угроз безопасности для информационной системы. К событиям безопасности, подлежащим регистрации в информационной системе, должны быть отнесены любые проявления состояния информационной системы и ее системы защиты информации, указывающие на возможность нарушения конфиденциальности, целостности или доступности информации, доступности компонентов информационной системы, нарушения процедур, установленных организационно-распорядительными документами по защите информации оператора, а также на нарушение штатного функционирования средств защиты информации.
События безопасности, подлежащие регистрации в информационной системе, и сроки их хранения соответствующих записей регистрационных журналов должны обеспечивать возможность обнаружения, идентификации и анализа инцидентов, возникших в информационной системе. Подлежат регистрации события безопасности, связанные с применением выбранных мер по защите информации в информационной системе.
Перечень событий безопасности, регистрация которых осуществляется в текущий момент времени, определяется оператором исходя из возможностей реализации угроз безопасности информации и фиксируется в организационно распорядительных документах по защите информации (документируется).
В информационной системе как минимум подлежат регистрации следующие события:
- вход (выход), а также попытки входа субъектов доступа в информационную систему и загрузки (останова) операционной системы;
- подключение машинных носителей информации и вывод информации на носители информации;
- запуск (завершение) программ и процессов (заданий, задач), связанных с обработкой защищаемой информации;
- попытки доступа программных средств к определяемым оператором защищаемым объектам доступа (техническим средствам, узлам сети, линиям (каналам) связи, внешним устройствам, программам, томам, каталогам, файлам, записям, полям записей) и иным объектам доступа;
- попытки удаленного доступа.
Состав и содержание информации о событиях безопасности, подлежащих регистрации, определяются в соответствии с РСБ.2.
Требования к усилению РСБ.1:
- оператором должен обеспечиваться пересмотр перечня событий безопасности, подлежащих регистрации, не менее чем один раз в год, а также по результатам контроля (мониторинга) за обеспечением уровня защищенности информации, содержащейся в информационной системе;
- оператором в перечень событий безопасности, подлежащих регистрации, должны быть включены события, связанные с действиями от имени привилегированных учетных записей (администраторов);
- оператором в перечень событий безопасности, подлежащих регистрации, должны быть включены события, связанные с изменением привилегий учетных записей;
- оператором должен быть обеспечен срок хранения информации о зарегистрированных событиях безопасности не менее трех месяцев, если иное не установлено требованиями законодательства Российской Федерации, при этом:
- а) осуществляется хранение только записей о выявленных событиях безопасности;
- б) осуществляется хранение записей о выявленных событиях безопасности и записей системных журналов, которые послужили основанием для регистрации события безопасности;
- в) осуществляется хранение журналов приложений, которые послужили основанием для регистрации события безопасности;
- г) осуществляется хранение всех записей системных журналов и событий безопасности;
- д) осуществляется хранение всех записей журналов приложений.
| Мера защиты персональных данных | Уровень защищенности персональных данных | |||
|---|---|---|---|---|
| 4 | 3 | 2 | 1 | |
| РСБ.1 | + | + | + | + |
| Усиление РСБ.1 | 1, 3, 4а | 1, 2, 3, 4б | ||
