МАС 8-16

МАС.8 (Н-Т-Т)

Централизованный сбор данных регистрации о событиях защиты информации, формируемых объектами информатизации, определенных мерами МАС.1 — MAC.7 таблицы 33.

Уровень защиты информации 3-Н, 2-Т, 1-Т.

Реализация - Т

Данную меру можно считать реализованной если в финансовой организации в полном объеме выполнены требования по сбору данных регистрации о событиях защиты информации и их отправка в SIEM-систему. При этом поступающие логи, формируемые объектами информатизации, должны быть нормализованы.

В случае если ведется только сбор данных регистрации о событиях защиты информации, но не развернута SIEM-система, то данную меру можно считать невыполненной.

Проверочные процедуры (свидетельства)

1. Запросить Road-map по внедрению SIEM-системы;

2. Провести интервью с сотрудниками финансовой организации;

3. Запросить скриншоты состава подключенных объектов информатизации в SIEM-системе;

4. Запросить скриншоты поступающих логов в SIEM-систему.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

МАС.9 (Т-Т-Т)

Генерация временных меток для данных регистрации о событиях защиты информации и синхронизации системного времени объектов информатизации, используемых для формирования, сбора и анализа данных регистрации.

Уровень защиты информации 3-Т, 2-Т, 1-Т.

Реализация - Т

Для реализации данного требования необходимо убедится, что системы в границах области оценки (см. пояснения к МАС.1) генерируют временные метки в журналах и интегрированы с общекорпоративными серверами времени, благодаря чему временные метки всех журналов синхронизированы между собой (через единый источник).

Пример:

Для Linux систем, чтобы задать сервер NTP с которым будет синхронизироваться система нужно в файле конфигурации /etc/ntp.conf указать поддомен региона для pool.ntp.org (или другой доверенный источник времени), а именно привести в следующий вид:

ru.pool.ntp.org

Следует настроить NTP-сервер, а также прописать в настройках резервный сервер времени, в случае каких-либо нештатных ситуаций (например, отключение от сети Интернет), NTP-сервер для синхронизации будет передавать данные своих системных часов. Пример задания настроек резервного сервера представлен ниже.

server 127.127.1.0

Проверочные процедуры (свидетельства)

1. Запросить скриншот конфигурационного файла NTP-сервера(ов);

2. Запросить скриншот информации о NTP-севере(ах) в командной строке.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

МАС.10 (О-Т-Т)

Контроль формирования данных регистрации о событиях защиты информации объектов информатизации, определенных мерами МАС.1 — MAC.7 таблицы 33.

Уровень защиты информации 3-О, 2-Т, 1-Т.

Реализация - Т

Выполнение данного требования может предусматривать:

1. предупреждение администраторов о сбоях (аппаратных и программных ошибках, сбоях в механизмах сбора информации или переполнения объема памяти) при регистрации событий защиты информации;

2. реагирование на сбои при регистрации событий защиты информации путем изменения администраторами параметров сбора, записи и хранения информации о событиях, в том числе отключение записи информации о событиях от части компонентов информационной инфраструктуры, запись поверх устаревших хранимых записей событий защиты информации.

А также задание настроек при внедрении SIEM-системы данных механизмов, для контроля формирования журналов регистрации.

Реализация - О

Для реализации.

Проверочные процедуры (свидетельства)

Для процедур.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

МАС.11 (Н-Т-Т)

Реализация защиты данных регистрации о событиях защиты информации от раскрытия и модификации, двухсторонней аутентификации при передаче данных регистрации с использованием сети Интернет.

Уровень защиты информации 3-Н, 2-Т, 1-Т.

Реализация - Т

Данное требование необходимо реализовывать в случае, если данные регистрации о событиях защиты информации передаются с использованием сети Интернет (например при территориально распределенной инфраструктуре).

Двустороннюю аутентификацию необходимо реализовывать с использованием подходящих протоколов аутентификации, например, mTLS и подобных.

В случае, если данные регистрации о событиях защиты информации передаются по внутренним вычислительным сетям, данную меру можно считать неприменимой (например, вся техническая инфраструктура размещается в одном здании, доступ к системам ДБО предоставляется только через веб-приложение на сервере организации).

Проверочные процедуры (свидетельства)

Проверка использования протоколов двухсторонней аутентификации или иных средств, обеспечивающих двустороннюю аутентификацию.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

МАС.12 (Н-Т-Т)

Обеспечение гарантированной доставки данных регистрации о событиях защиты информации при их централизованном сборе.

Уровень защиты информации 3-Н, 2-Т, 1-Т.

Реализация - Т

Данное требование реализуется путем настройки методов гарантированной доставки данных регистрации о событиях защиты информации при их отправке в централизованную систему, SIEM-систему.

Одним из способов реализации будет являться настройка ПО для сбора логов с использованием протоколов гарантированной доставки или сервисов контроля периодичности доставки сообщений. Такими, например, являются Glaylog, Logstash, Log Collector и другие.

При этом можно настроить очередь отправки журналов событий защиты информации для гарантированной доставки в случае нештатных сбоев.

Для данной цели может подойти, например RabbitMQ.

Проверочные процедуры (свидетельства)

1. Проверка состава объектов, которые направляют логи в централизованную систему сбора событий и наличия сервиса контроля нарушения периодичности передачи событий.

2. Проверка протокола гарантированной доставки, используемого для передачи логов в централизованную систему сбора событий.

3. Проверка ПО, обеспечивающего гарантированную доставку логов в централизованную систему сбора событий.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

МАС.13 (Т-Т-Т)

Резервирование необходимого объема памяти для хранения данных регистрации о событиях защиты информации.

Уровень защиты информации 3-Т, 2-Т, 1-Т.

Реализация - Т

Мерами МАС.15 и МАС.16 установлено два временных периода для хранения данных о событиях защиты информации, 3 года и 5 лет соответственно. При централизованном сборе логов, например, при помощи SIEM-системы, необходимо зарезервировать память для ее базы данных, в которой будут хранится логи и обеспечить контроль техническими средствами доступности объема памяти.

В случае децентрализованного сбора логов необходимо зарезервировать достаточный объем памяти для каждой из частных систем, в которых собираются логи и обеспечить контроль техническими средствами доступности объема памяти.

Так для второго и третьего уровня защиты необходимо зарезервировать объем памяти и его контроль для хранения данных регистрации о событиях защиты информации в течение трех лет.

А для первого уровня защиты необходимо зарезервировать объем памяти и его контроль для хранения данных регистрации о событиях защиты информации в течение пяти лет.

Проверочные процедуры (свидетельства)

1. Проверка глубины хранения логов, как в централизованной системе хранения событий, так и в частных системах.

2. Проверка выделенного объема памяти для хранения логов и остатка незанятого объема памяти.

3 Демонстрация технического решения контроля доступности объема выделенной памяти.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

МАС.14 (Т-Т-Т)

Реализация защиты данных регистрации о событиях защиты информации от НСД при их хранении, обеспечение целостности и доступности хранимых данных регистрации.

Уровень защиты информации 3-Т, 2-Т, 1-Т.

Реализация - Т

Реализация данного требования возможна на уровне разграничения доступа, например, Active Directory, в системах централизованного сбора логов, а также в частных системах, которые генерируют собственные логи и не передают их в централизованную систему.

Также можно обеспечить хранение данных регистрации о событиях защиты информации в зашифрованном виде.

Проверочные процедуры (свидетельства)

Проверка разграничения доступа к данным регистрации о событиях защиты информации.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

МАС.15 (Т-Т-Н)

Обеспечение возможности доступа к данным регистрации о событиях защиты информации в течение трех лет.

Уровень защиты информации 3-Т, 2-Т, 1-Н.

Реализация - Т

Для реализации данного требования необходимо реализовать непрерывный сбор логов в течение трех лет.

Для этого потребуется выделить необходимый объем памяти согласно мере МАС.13.

Для сохранения памяти можно настроить удаление логов старше трех лет.

Данная меря прямо связана с мерой МАС.13.

Для хранения логов в течение трех лет необходимо выделить достаточный объем памяти.

Мера не определяет способ доступа, таким образом наличие архивной копии с данными также может быть обеспечением возможности доступа к данным. Но при этом необходимо обеспечить хранение в архиве не только событий, но программного средства, позволяющего прочесть эти данные.

Проверочные процедуры (свидетельства)

Проверка глубины хранения данных регистрации о событиях защиты информации.

Демонстрация хранения в архиве данных о событии защиты информации в течение трех лет.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

МАС.16 (Н-Н-Т)

Обеспечение возможности доступа к данным регистрации о событиях защиты информации в течение пяти лет.

Уровень защиты информации 3-Н, 2-Н, 1-Т.

Реализация - Т

Для реализации данного требования необходимо реализовать непрерывный сбор логов в течение пяти лет.

Для этого потребуется выделить необходимый объем памяти согласно мере МАС.13.

Для сохранения памяти можно настроить удаление логов старше пяти лет.

Данная меря прямо связана с мерой МАС.13.

Для хранения логов в течение пяти лет необходимо выделить достаточный объем памяти.

Мера не определяет способ доступа, таким образом наличие архивной копии с данными также может быть обеспечением возможности доступа к данным. Но при этом необходимо обеспечить хранение в архиве не только событий, но программного средства, позволяющего прочесть эти данные.

Проверочные процедуры (свидетельства)

Проверка глубины хранения данных регистрации о событиях защиты информации.

Демонстрация хранения в архиве данных о событии защиты информации в течение трех лет.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.