6-П. Управление инцидентами защиты информации

МАС. 1-7

Базовый состав мер по организации мониторинга данных регистрации о событиях защиты информации, формируемых объектами информатизации

МАС. 8-16

Базовый состав мер по сбору, защите и хранению данных регистрации о событиях защиты информации

МАС.10 (О-Т-Т)

Контроль формирования данных регистрации о событиях защиты информации объектов информатизации, определенных мерами МАС.1- МAC.7 таблицы 33

Пояснение

Требование необходимо для исключения случаев невозможности обеспечения контроля за регистрацией событий ЗИ, поступающих в SIEM-систему. Например, отсутствие регистрации событий ЗИ (логов) от определенных объектов информатизации (перечень объектов информатизации, события ЗИ которых необходимо регистрировать, зафиксированы в требованиях МАС.1-МАС.7) и невозможности их пересылки в SIEM-систему (нехватка места, системные ошибки и т.д.).

В рамках реализации требования для 1 и 2 УЗ финансовой организации необходимо использовать техническую меру защиты. Сложность требования заключается в обеспечении технического контроля за формированием (по сути - созданием) событий ЗИ, что говорит о необходимости инструмента контроля (оповещения) за событиями, когда формирование (создание) событий ЗИ невозможно.

Реализация - Т

В SIEM-системе должно быть создано специальное правило, которое при возникновении событий ЗИ, связанных с невозможностью формирования новых событий ЗИ (например, нехватка места или возникновение некой системной ошибки) обеспечивает автоматическое оповещение работника, администрирующего SIEM-систему.

Проверочные процедуры

Скриншот или пример созданного правила в SIEM-системе, которое обеспечивает оповещение администратора SIEM-системы о невозможности формирования новый событий ЗИ.

Типичные недостатки

Требование очень легко спутать с мерой МАС.21 и использовать единое свидетельство для реализации обоих мер.

Компенсационные меры

Выявленные коллизии

МАС. 17-20

Базовый состав мер по анализу данных регистрации о событиях защиты информации

МАС. 21-23

Базовый состав мер по регистрации событий защиты информации, связанных с операциями по обработке данных регистрации о событиях защиты информации

МАС.21 (Н-Т-Т)

Регистрация нарушений и сбоев в формировании и сборе данных о событиях защиты информации

Пояснение

Требование обязует вести журнал событий, связанных с формированием и сбором данных о событиях ЗИ.

Реализация - Т

SIEM-система должна обеспечивать контроль создания событий ЗИ и вести собственный журнал (лог) причин невозможности формирования новых событий ЗИ.

Проверочные процедуры

Свидетельствами реализации требований могут быть скриншоты, на которых представлен журнал событий SIEM-системы, где отражены случаи невозможности нарушений и сбоев в формировании и сборе событий ЗИ (например, нехватка места или возникновение некой системной ошибки).

Типичные недостатки

Требование очень легко спутать с мерой МАС.21, что в последствии может привести к использованию одних и тех же свидетельств для реализации обоих мер.

Компенсационные меры

Выявленные коллизии

PreviousПУИ 28-33NextМАС - Мониторинг и анализ событий защиты информации

Last updated