МАС 17-20
Базовый состав мер по анализу данных регистрации о событиях защиты информации применительно к уровням защиты информации
МАС.17 (Н-Т-Т)
Обеспечение возможности выполнения операции нормализации (приведения к единому формату), фильтрации, агрегации и классификации данных регистрации о событиях защиты информации.
Уровень защиты информации 3-Н, 2-Т, 1-Т.
Реализация - Т
Реализация операций нормализации, фильтрации, агрегации и классификации логов возможна, например, при помощи Logstash, Rsyslog и т.д.
Итоговый вид логов должен быть понятен для выявления инцидентов информационной безопасности. Дополнительно в этом поможет правильная настройка классификации логов по критичности.
Проверочные процедуры (свидетельства)
1. Проверка вида логов в централизованной системе сбора событий.
2. Проверка конфигурации ПО, обеспечивающего обработку логов, например, Logstash, Rsyslog и т.д.
Типичные недостатки
Не выявлено.
Компенсационные меры
Не выявлено.
Выявленные коллизии
Не выявлено.
МАС.18 (Т-Т-Т)
Обеспечение возможности выявления и анализа событий защиты информации, потенциально связанных с инцидентами защиты информации, в том числе НСД*.
Уровень защиты информации 3-Т, 2-Т, 1-Т.
Реализация - Т
Данная мера подразумевает выявление, регистрацию и анализ событий защиты информации, потенциально связанных с НСД.
Перечень таких событий указан в приложении В ГОСТ Р 575780.1-2017 Приложение В.
Проверочные процедуры (свидетельства)
Проверка наличия сбора данных регистрации о событиях защиты информации, которые потенциально связаны с инцидентами защиты информации, в том числе НСД, согласно перечню, установленному Приложением В ГОСТ Р 57580.1-2017.
Типичные недостатки
Не выявлено.
Компенсационные меры
Не выявлено.
Выявленные коллизии
Не выявлено.
МАС.19 (Т-Т-Т)
Обеспечение возможности определения состава действий и (или) операций конкретного субъекта доступа.
Уровень защиты информации 3-Т, 2-Т, 1-Т.
Реализация - Т
Для реализации данной меры необходимо использовать простой поиск по идентификатору субъекта доступа/фильтр по идентификатору субъекта доступа в журналах регистрации событий. Среда просмотра регистрации событий должна поддерживать осуществление поиска/фильтрации по идентификатору субъекта доступа.
Журналы можно собирать с помощью решений типа SIEM, с помощью политик аудита MS Windows, с помощью syslog.
Проверочные процедуры (свидетельства)
Скриншоты настроек журналирования, скриншоты поиска/фильтрации журналов по конкретному субъекту доступа, которые отражают возможность поиска/фильтрации по конкретному субъекту доступа.
Типичные недостатки
Не выявлено.
Компенсационные меры
Не выявлено.
Выявленные коллизии
Не выявлено.
МАС.20 (Т-Т-Т)
Обеспечение возможности определения состава действий и (или) операций субъектов доступа при осуществлении логического доступа к конкретному ресурсу доступа.
Уровень защиты информации 3-Т, 2-Т, 1-Т.
Реализация - Т
Для реализации данной меры необходимо использовать простой поиск по идентификатору субъекта доступа/фильтр по идентификатору субъекта доступа в журналах регистрации событий. Среда просмотра регистрации событий должна поддерживать осуществление поиска/фильтрации по идентификатору субъекта доступа.
Журналы можно собирать (с помощью решений типа SIEM, с помощью политик аудита MS Windows, с помощью syslog).
Проверочные процедуры (свидетельства)
Скриншоты настроек журналирования, скриншоты поиска/фильтрации журналов по конкретному субъекту доступа, которые отражают возможность поиска/фильтрации по конкретному субъекту доступа.
Типичные недостатки
Не выявлено.
Компенсационные меры
Не выявлено.
Выявленные коллизии
Не выявлено.
Last updated