Требования к усилению РСБ.3
•в информационной системе должно быть обеспечено централизованное автоматизированное управление сбором, записью и хранением информации о событиях безопасности;
•в информационной системе обеспечивается объединение информации из записей регистрации событий безопасности, полученной от разных технических средств, программного обеспечения информационной системы, в единый логический или физический журнал аудита с корреляцией информации по времени для своевременного выявления инцидентов и реагирования на них;
•обеспечивается объединение информации из записей регистрации событий безопасности, полученной от разных технических средств, программного обеспечения, в единый логический или физический журнал аудита с корреляцией информации по событиям безопасности для своевременного выявления инцидентов и реагирования на них в масштабах оператора;
•в информационной системе обеспечивается хранение записей системных журналов и записей о событиях безопасности в обособленном хранилище, физически отделенном от технических средств, входящих в состав информационной системы.
Содержание базовой меры РСБ.3
Мера защиты |
Класс защищенности информационной системы |
|||
информации |
4 |
3 |
2 |
1 |
РСБ.3 |
+ |
+ |
+ |
+ |
Усиление РСБ.3 |
|
|
1 |
1 |
РЕАГИРОВАНИЕ НА СБОИ ПРИ РЕГИСТРАЦИИ СОБЫТИЙ БЕЗОПАСНОСТИ, В ТОМ ЧИСЛЕ АППАРАТНЫЕ И ПРОГРАММНЫЕ ОШИБКИ, СБОИ В МЕХАНИЗМАХ СБОРА ИНФОРМАЦИИ И ДОСТИЖЕНИЕ ПРЕДЕЛА ИЛИ ПЕРЕПОЛНЕНИЯ ОБЪЕМА (ЕМКОСТИ) ПАМЯТИ
РСБ.4
Требования к реализации РСБ.4
В информационной системе должно осуществляться реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти.
Реагирование на сбои при регистрации событий безопасности должно предусматривать:
•предупреждение администраторов о сбоях при регистрации событий безопасности;
•реагирование на сбои при регистрации событий безопасности путем изменения администраторами параметров сбора, записи и хранения информации о событиях безопасности, в том числе отключение записи информации о событиях безопасности от части компонентов информационной системы, запись поверх устаревших хранимых записей событий безопасности.
Правила и процедуры реагирования на сбои при регистрации событий безопасности регламентируются в организационно- распорядительных документах оператора по защите информации.
Требования к усилению РСБ.4
•в информационной системе обеспечивается выдача предупреждения администратору при заполнении установленной оператором части (процент или фактическое значение) объема памяти для хранения информации о событиях безопасности.
•в информационной системе обеспечивается выдача предупреждения администратору в масштабе времени, близком к реальному, при наступлении критичных сбоев в механизмах сбора информации, определенных оператором;
•в информационной системе обеспечивается запрет обработки информации в случае аппаратных или программных ошибок, сбоев в механизмах сбора информации или достижения предела или переполнения объема (емкости) памяти.
Содержание базовой меры РСБ.4
Мера защиты |
Класс защищенности информационной системы |
|||
информации |
|
|
|
|
4 |
3 |
2 |
1 |
|
РСБ.4 |
+ |
+ |
+ |
+ |
|
|
|
|
|
Усиление РСБ.4 |
|
|
|
1а, 2 |
|
|
|
|
|
МОНИТОРИНГ (ПРОСМОТР, АНАЛИЗ) РЕЗУЛЬТАТОВ РЕГИСТРАЦИИ СОБЫТИЙ БЕЗОПАСНОСТИ И РЕАГИРОВАНИЕ НА НИХ
РСБ.5
Требования к реализации РСБ.5
Оператором должен осуществляться мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них.
Мониторинг (просмотр и анализ) записей регистрации (аудита) должен проводиться для всех событий, подлежащих регистрации в соответствии с РСБ.1, и с периодичностью, установленной оператором, и обеспечивающей своевременное выявление признаков инцидентов безопасности в информационной системе.
В случае выявление признаков инцидентов безопасности в информационной системе осуществляется планирование и проведение мероприятий по реагированию на выявленные инциденты безопасности.
Правила и процедуры мониторинга результатов регистрации событий безопасности и реагирования на них регламентируются в организационно-распорядительных документах оператора по защите информации.
Требования к усилению РСБ.5
•в информационной системе должны обеспечиваться интеграция результатов мониторинга (просмотра и анализа) записей регистрации (аудита) из разных источников (журналов, хранилищ информации о событиях безопасности) и их корреляция с целью выявления инцидентов безопасности и реагирования на них;
•в информационной системе обеспечивается интеграция процессов мониторинга (просмотра, анализа) результатов регистрации событий безопасности с результатами анализа уязвимостей, проводимого в соответствии
•с АНЗ.1, и результатами обнаружения вторжений, проводимого в соответствии с СОВ.1 с целью усиления возможностей по выявлению признаков инцидентов безопасности;
•в информационной системе обеспечивается полнотекстовый анализ привилегированных команд;
•оператором обеспечивается анализ записанных сетевых потоков (дампов).
Содержание базовой меры РСБ.5
Мера защиты |
Класс защищенности информационной системы |
|||
информации |
4 |
3 |
2 |
1 |
РСБ.5 |
+ |
+ |
+ |
+ |
Усиление РСБ.5 |
|
|
|
1 |