# МАС 21-23

## МАС.21 (Н-Т-Т)

> Регистрация нарушений и сбоев в формировании и сборе данных о событиях защиты информации.
>
> Уровень защиты информации 3-Н, 2-Т, 1-Т.

<details>

<summary>Пояснение</summary>

</details>

#### Реализация - Т

Для реализации данной меры необходимо настраивать оповещение администратора о недоступности объекта для сбора логов, невозможности сбора логов с технического средства, переполнении хранилища для сбора логов, ошибок при формировании хранилищ данных о событиях защиты информации.

Оповещение можно настроить с помощью встроенных функций решений типа SIEM, средств защиты информации, средств мониторинга доступности технических средств.

#### Проверочные процедуры (свидетельства)

Скриншоты настроек средств сбора логов и средств защиты информации, предусматривающие оповещение администратора при:

1\. Недоступности объекта для сбора логов.

2\. Невозможности сбора логов с технического средства.

3. Переполнении хранилища для сбора логов.
4. Ошибок при формировании хранилищ данных о событиях защиты информации.

Скриншоты e-mail оповещений администратора от средства сбора логов и средств защиты информации.

Скриншоты e-mail от скриптов, предназначенных для мониторинга и оповещения администратора о доступности технических средств, функционалом которых предусмотрен сбор логов.

#### Типичные недостатки

Не выявлены.

#### Компенсационные меры

Не выявлены.

#### Выявленные коллизии

Не выявлены.

## МАС.22 (Т-Т-Т)

> Регистрация доступа к хранимым данным о событиях защиты информации.
>
> Уровень защиты информации 3-Т, 2-Т, 1-Т.

#### Реализация - Т

Для реализации данной меры необходимо настраивать журналирование событий доступа к данным журналов событий защиты информации в используемых хранилищах данных о событиях защиты информации, которые могут располагаться в базах данных, файловом хранилище используемых средств типа SIEM, средствах защиты информации иных средствах сбора журналов либо непосредственно в журналах объектов и ресурсов доступа.

#### Проверочные процедуры (свидетельства)

Скриншоты настроек журналирования, cкриншоты событий доступа в журналах событий операционных систем, скриншоты событий доступа в журналах событий используемых средств защиты информации или в решениях типа SIEM.

#### Типичные недостатки

Не выявлены.

#### Компенсационные меры

Не выявлены.

#### Выявленные коллизии

Не выявлены.

## МАС.23 (Н-Т-Т)

> Регистрация операций, связанных с изменением правил нормализации (приведения к единому формату), фильтрации, агрегации и классификации данных регистрации о событиях защиты информации.
>
> Уровень защиты информации 3-Н, 2-Т, 1-Т.

<details>

<summary>Пояснение</summary>

</details>

#### Реализация - Т

Для реализации данной меры необходимо настраивать журналирование операций, связанных с изменением правил нормализации (приведения к единому формату), фильтрации, агрегации и классификации данных регистрации о событиях защиты информации в используемых для нормализации средствах.

В случае если указанные настройки хранятся в конфигурационном файле – такой файл может быть поставлен на контроль целостности, в случае изменения настроек – контрольные суммы файла изменятся и соответствующее событие (изменение настроек) будет зарегистрировано.

#### Проверочные процедуры (свидетельства)

Скриншоты настроек журналирования, скриншоты событий операций, связанных с изменением правил нормализации (приведения к единому формату), фильтрации, агрегации и классификации данных регистрации о событиях защиты информации, скриншоты журналов событий средств контроля целостности (в случае если настройки правил нормализации (приведения к единому формату), фильтрации, агрегации и классификации данных регистрации о событиях защиты информации хранятся в конфигурационном файле, который поставлен на контроль целостности.

#### Типичные недостатки

Не выявлены.

#### Компенсационные меры

Не выявлены.

#### Выявленные коллизии

Не выявлены.