# 6-П. Управление инцидентами защиты информации ## МАС. 1-7 Базовый состав мер по организации мониторинга данных регистрации о событиях защиты информации, формируемых объектами информатизации ## МАС. 8-16 Базовый состав мер по сбору, защите и хранению данных регистрации о событиях защиты информации ### МАС.10 (О-Т-Т) Контроль формирования данных регистрации о событиях защиты информации объектов информатизации, определенных мерами МАС.1- МAC.7 таблицы 33 ### Пояснение Требование необходимо для исключения случаев невозможности обеспечения контроля за регистрацией событий ЗИ, поступающих в SIEM-систему. Например, отсутствие регистрации событий ЗИ (логов) от определенных объектов информатизации (перечень объектов информатизации, события ЗИ которых необходимо регистрировать, зафиксированы в требованиях МАС.1-МАС.7) и невозможности их пересылки в SIEM-систему (нехватка места, системные ошибки и т.д.). В рамках реализации требования для 1 и 2 УЗ финансовой организации необходимо использовать техническую меру защиты. Сложность требования заключается в обеспечении технического контроля за формированием (по сути - созданием) событий ЗИ, что говорит о необходимости инструмента контроля (оповещения) за событиями, когда формирование (создание) событий ЗИ невозможно. ### Реализация - Т В SIEM-системе должно быть создано специальное правило, которое при возникновении событий ЗИ, связанных с невозможностью формирования новых событий ЗИ (например, нехватка места или возникновение некой системной ошибки) обеспечивает автоматическое оповещение работника, администрирующего SIEM-систему. ### Проверочные процедуры Скриншот или пример созданного правила в SIEM-системе, которое обеспечивает оповещение администратора SIEM-системы о невозможности формирования новый событий ЗИ. ### Типичные недостатки Требование очень легко спутать с мерой МАС.21 и использовать единое свидетельство для реализации обоих мер. ### Компенсационные меры ### Выявленные коллизии ## МАС. 17-20 Базовый состав мер по анализу данных регистрации о событиях защиты информации ## МАС. 21-23 Базовый состав мер по регистрации событий защиты информации, связанных с операциями по обработке данных регистрации о событиях защиты информации ### МАС.21 (Н-Т-Т) Регистрация нарушений и сбоев в формировании и сборе данных о событиях защиты информации ### Пояснение Требование обязует вести журнал событий, связанных с формированием и сбором данных о событиях ЗИ. ### Реализация - Т SIEM-система должна обеспечивать контроль создания событий ЗИ и вести собственный журнал (лог) причин невозможности формирования новых событий ЗИ. ### Проверочные процедуры Свидетельствами реализации требований могут быть скриншоты, на которых представлен журнал событий SIEM-системы, где отражены случаи невозможности нарушений и сбоев в формировании и сборе событий ЗИ (например, нехватка места или возникновение некой системной ошибки). ### Типичные недостатки Требование очень легко спутать с мерой МАС.21, что в последствии может привести к использованию одних и тех же свидетельств для реализации обоих мер. ### Компенсационные меры ### Выявленные коллизии --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://57580.radcop.online/processy/6-p.-upravlenie-incidentami-zashity-informacii.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.