# МАС 17-20
## МАС.17 (Н-Т-Т)
> Обеспечение возможности выполнения операции нормализации (приведения к единому формату), фильтрации, агрегации и классификации данных регистрации о событиях защиты информации.
>
> Уровень защиты информации 3-Н, 2-Т, 1-Т.
Пояснение
#### Реализация - Т
Реализация операций нормализации, фильтрации, агрегации и классификации логов возможна, например, при помощи Logstash, Rsyslog и т.д.
Итоговый вид логов должен быть понятен для выявления инцидентов информационной безопасности. Дополнительно в этом поможет правильная настройка классификации логов по критичности.
#### Проверочные процедуры (свидетельства)
1\. Проверка вида логов в централизованной системе сбора событий.
2\. Проверка конфигурации ПО, обеспечивающего обработку логов, например, Logstash, Rsyslog и т.д.
#### Типичные недостатки
Не выявлено.
#### Компенсационные меры
Не выявлено.
#### Выявленные коллизии
Не выявлено.
## МАС.18 (Т-Т-Т)
> Обеспечение возможности выявления и анализа событий защиты информации, потенциально связанных с инцидентами защиты информации, в том числе НСД\*.
>
> Уровень защиты информации 3-Т, 2-Т, 1-Т.
Пояснение
#### Реализация - Т
Данная мера подразумевает выявление, регистрацию и анализ событий защиты информации, потенциально связанных с НСД.
Перечень таких событий указан в приложении В ГОСТ Р 575780.1-2017 Приложение В.
#### Проверочные процедуры (свидетельства)
Проверка наличия сбора данных регистрации о событиях защиты информации, которые потенциально связаны с инцидентами защиты информации, в том числе НСД, согласно перечню, установленному Приложением В ГОСТ Р 57580.1-2017.
#### Типичные недостатки
Не выявлено.
#### Компенсационные меры
Не выявлено.
#### Выявленные коллизии
Не выявлено.
## МАС.19 (Т-Т-Т)
> Обеспечение возможности определения состава действий и (или) операций конкретного субъекта доступа.
>
> Уровень защиты информации 3-Т, 2-Т, 1-Т.
Пояснение
#### Реализация - Т
Для реализации данной меры необходимо использовать простой поиск по идентификатору субъекта доступа/фильтр по идентификатору субъекта доступа в журналах регистрации событий. Среда просмотра регистрации событий должна поддерживать осуществление поиска/фильтрации по идентификатору субъекта доступа.
Журналы можно собирать с помощью решений типа SIEM, с помощью политик аудита MS Windows, с помощью syslog.
#### Проверочные процедуры (свидетельства)
Скриншоты настроек журналирования, скриншоты поиска/фильтрации журналов по конкретному субъекту доступа, которые отражают возможность поиска/фильтрации по конкретному субъекту доступа.
#### Типичные недостатки
Не выявлено.
#### Компенсационные меры
Не выявлено.
#### Выявленные коллизии
Не выявлено.
## МАС.20 (Т-Т-Т)
> Обеспечение возможности определения состава действий и (или) операций субъектов доступа при осуществлении логического доступа к конкретному ресурсу доступа.
>
> Уровень защиты информации 3-Т, 2-Т, 1-Т.
Пояснение
#### Реализация - Т
Для реализации данной меры необходимо использовать простой поиск по идентификатору субъекта доступа/фильтр по идентификатору субъекта доступа в журналах регистрации событий. Среда просмотра регистрации событий должна поддерживать осуществление поиска/фильтрации по идентификатору субъекта доступа.
Журналы можно собирать (с помощью решений типа SIEM, с помощью политик аудита MS Windows, с помощью syslog).
#### Проверочные процедуры (свидетельства)
Скриншоты настроек журналирования, скриншоты поиска/фильтрации журналов по конкретному субъекту доступа, которые отражают возможность поиска/фильтрации по конкретному субъекту доступа.
#### Типичные недостатки
Не выявлено.
#### Компенсационные меры
Не выявлено.
#### Выявленные коллизии
Не выявлено.