МАС 21-23
Базовый состав мер по регистрации событий защиты информации, связанных с операциями по обработке данных регистрации о событиях защиты информации применительно к уровням защиты информации
МАС.21 (Н-Т-Т)
Регистрация нарушений и сбоев в формировании и сборе данных о событиях защиты информации.
Уровень защиты информации 3-Н, 2-Т, 1-Т.
Реализация - Т
Для реализации данной меры необходимо настраивать оповещение администратора о недоступности объекта для сбора логов, невозможности сбора логов с технического средства, переполнении хранилища для сбора логов, ошибок при формировании хранилищ данных о событиях защиты информации.
Оповещение можно настроить с помощью встроенных функций решений типа SIEM, средств защиты информации, средств мониторинга доступности технических средств.
Проверочные процедуры (свидетельства)
Скриншоты настроек средств сбора логов и средств защиты информации, предусматривающие оповещение администратора при:
1. Недоступности объекта для сбора логов.
2. Невозможности сбора логов с технического средства.
Переполнении хранилища для сбора логов.
Ошибок при формировании хранилищ данных о событиях защиты информации.
Скриншоты e-mail оповещений администратора от средства сбора логов и средств защиты информации.
Скриншоты e-mail от скриптов, предназначенных для мониторинга и оповещения администратора о доступности технических средств, функционалом которых предусмотрен сбор логов.
Типичные недостатки
Не выявлены.
Компенсационные меры
Не выявлены.
Выявленные коллизии
Не выявлены.
МАС.22 (Т-Т-Т)
Регистрация доступа к хранимым данным о событиях защиты информации.
Уровень защиты информации 3-Т, 2-Т, 1-Т.
Реализация - Т
Для реализации данной меры необходимо настраивать журналирование событий доступа к данным журналов событий защиты информации в используемых хранилищах данных о событиях защиты информации, которые могут располагаться в базах данных, файловом хранилище используемых средств типа SIEM, средствах защиты информации иных средствах сбора журналов либо непосредственно в журналах объектов и ресурсов доступа.
Проверочные процедуры (свидетельства)
Скриншоты настроек журналирования, cкриншоты событий доступа в журналах событий операционных систем, скриншоты событий доступа в журналах событий используемых средств защиты информации или в решениях типа SIEM.
Типичные недостатки
Не выявлены.
Компенсационные меры
Не выявлены.
Выявленные коллизии
Не выявлены.
МАС.23 (Н-Т-Т)
Регистрация операций, связанных с изменением правил нормализации (приведения к единому формату), фильтрации, агрегации и классификации данных регистрации о событиях защиты информации.
Уровень защиты информации 3-Н, 2-Т, 1-Т.
Реализация - Т
Для реализации данной меры необходимо настраивать журналирование операций, связанных с изменением правил нормализации (приведения к единому формату), фильтрации, агрегации и классификации данных регистрации о событиях защиты информации в используемых для нормализации средствах.
В случае если указанные настройки хранятся в конфигурационном файле – такой файл может быть поставлен на контроль целостности, в случае изменения настроек – контрольные суммы файла изменятся и соответствующее событие (изменение настроек) будет зарегистрировано.
Проверочные процедуры (свидетельства)
Скриншоты настроек журналирования, скриншоты событий операций, связанных с изменением правил нормализации (приведения к единому формату), фильтрации, агрегации и классификации данных регистрации о событиях защиты информации, скриншоты журналов событий средств контроля целостности (в случае если настройки правил нормализации (приведения к единому формату), фильтрации, агрегации и классификации данных регистрации о событиях защиты информации хранятся в конфигурационном файле, который поставлен на контроль целостности.
Типичные недостатки
Не выявлены.
Компенсационные меры
Не выявлены.
Выявленные коллизии
Не выявлены.
Last updated