# МАС 8-16
## МАС.8 (Н-Т-Т)
> Централизованный сбор данных регистрации о событиях защиты информации, формируемых объектами информатизации, определенных мерами МАС.1 — MAC.7 таблицы 33.
>
> Уровень защиты информации 3-Н, 2-Т, 1-Т.
Пояснение
#### Реализация - Т
Данную меру можно считать реализованной если в финансовой организации в полном объеме выполнены требования по сбору данных регистрации о событиях защиты информации и их отправка в SIEM-систему. При этом поступающие логи, формируемые объектами информатизации, должны быть нормализованы.
В случае если ведется только сбор данных регистрации о событиях защиты информации, но не развернута SIEM-система, то данную меру можно считать невыполненной.
#### Проверочные процедуры (свидетельства)
1. Запросить Road-map по внедрению SIEM-системы;
2. Провести интервью с сотрудниками финансовой организации;
3. Запросить скриншоты состава подключенных объектов информатизации в SIEM-системе;
4. Запросить скриншоты поступающих логов в SIEM-систему.
#### Типичные недостатки
Не выявлены.
#### Компенсационные меры
Не выявлены.
#### Выявленные коллизии
Не выявлены.
## МАС.9 (Т-Т-Т)
> Генерация временных меток для данных регистрации о событиях защиты информации и синхронизации системного времени объектов информатизации, используемых для формирования, сбора и анализа данных регистрации.
>
> Уровень защиты информации 3-Т, 2-Т, 1-Т.
Пояснение
В этом требовании содержится две различных цели:
1. Обеспечить наличие в событиях безопасности их привязки к конкретному времени события;
2. Обеспечить единство всех временных меток (единый источник синхронизации времени) для возможности восстановления картины инцидента при криминалистической экспертизе (форенсике).
Таким образом, цель требования защитить нас от рисков, связанных с невозможностью провести расследования инцидента и внедрить соответствующие корректировки в систему защиты информации и/или систему организации и управления системой защиты.
#### Реализация - Т
Для реализации данного требования необходимо убедится, что системы в границах области оценки (см. пояснения к [МАС.1](https://57580.radcop.online/processy/6-p.-upravlenie-incidentami-zashity-informacii/mas-monitoring-i-analiz-sobytii-zashity-informacii/mas-1-7)) генерируют временные метки в журналах и интегрированы с общекорпоративными серверами времени, благодаря чему временные метки всех журналов синхронизированы между собой (через единый источник).
*Пример:*
*Для Linux систем, чтобы задать сервер NTP с которым будет синхронизироваться система нужно в файле конфигурации **/etc/ntp.conf** указать поддомен региона для pool.ntp.org (или другой доверенный источник времени), а именно привести в следующий вид:*
> ***ru.pool.ntp.org***
*Следует настроить NTP-сервер, а также прописать в настройках резервный сервер времени, в случае каких-либо нештатных ситуаций (например, отключение от сети Интернет), NTP-сервер для синхронизации будет передавать данные своих системных часов. Пример задания настроек резервного сервера представлен ниже.*
> ***server 127.127.1.0***
#### Проверочные процедуры (свидетельства)
1. Запросить скриншот конфигурационного файла NTP-сервера(ов);
2. Запросить скриншот информации о NTP-севере(ах) в командной строке.
Пример информации о NTP-сервере в командной строке
#### Типичные недостатки
Не выявлены.
#### Компенсационные меры
Не выявлены.
#### Выявленные коллизии
Не выявлены.
## МАС.10 (О-Т-Т)
> Контроль формирования данных регистрации о событиях защиты информации объектов информатизации, определенных мерами МАС.1 — MAC.7 таблицы 33.
>
> Уровень защиты информации 3-О, 2-Т, 1-Т.
Пояснение
#### Реализация - Т
Выполнение данного требования может предусматривать:
1. предупреждение администраторов о сбоях (аппаратных и программных ошибках, сбоях в механизмах сбора информации или переполнения объема памяти) при регистрации событий защиты информации;
2. реагирование на сбои при регистрации событий защиты информации путем изменения администраторами параметров сбора, записи и хранения информации о событиях, в том числе отключение записи информации о событиях от части компонентов информационной инфраструктуры, запись поверх устаревших хранимых записей событий защиты информации.
А также задание настроек при внедрении SIEM-системы данных механизмов, для контроля формирования журналов регистрации.
#### Реализация - О
Для реализации.
#### Проверочные процедуры (свидетельства)
Для процедур.
#### Типичные недостатки
Не выявлены.
#### Компенсационные меры
Не выявлены.
#### Выявленные коллизии
Не выявлены.
## МАС.11 (Н-Т-Т)
> Реализация защиты данных регистрации о событиях защиты информации от раскрытия и модификации, двухсторонней аутентификации при передаче данных регистрации с использованием сети Интернет.
>
> Уровень защиты информации 3-Н, 2-Т, 1-Т.
Пояснение
#### Реализация - Т
Данное требование необходимо реализовывать в случае, если данные регистрации о событиях защиты информации передаются с использованием сети Интернет (например при территориально распределенной инфраструктуре).
Двустороннюю аутентификацию необходимо реализовывать с использованием подходящих протоколов аутентификации, например, mTLS и подобных.
В случае, если данные регистрации о событиях защиты информации передаются по внутренним вычислительным сетям, данную меру можно считать неприменимой (например, вся техническая инфраструктура размещается в одном здании, доступ к системам ДБО предоставляется только через веб-приложение на сервере организации).
#### Проверочные процедуры (свидетельства)
Проверка использования протоколов двухсторонней аутентификации или иных средств, обеспечивающих двустороннюю аутентификацию.
#### Типичные недостатки
Не выявлены.
#### Компенсационные меры
Не выявлены.
#### Выявленные коллизии
Не выявлены.
## МАС.12 (Н-Т-Т)
> Обеспечение гарантированной доставки данных регистрации о событиях защиты информации при их централизованном сборе.
>
> Уровень защиты информации 3-Н, 2-Т, 1-Т.
Пояснение
#### Реализация - Т
Данное требование реализуется путем настройки методов гарантированной доставки данных регистрации о событиях защиты информации при их отправке в централизованную систему, SIEM-систему.
Одним из способов реализации будет являться настройка ПО для сбора логов с использованием протоколов гарантированной доставки или сервисов контроля периодичности доставки сообщений. Такими, например, являются Glaylog, Logstash, Log Collector и другие.
При этом можно настроить очередь отправки журналов событий защиты информации для гарантированной доставки в случае нештатных сбоев.
Для данной цели может подойти, например RabbitMQ.
#### Проверочные процедуры (свидетельства)
1. Проверка состава объектов, которые направляют логи в централизованную систему сбора событий и наличия сервиса контроля нарушения периодичности передачи событий.
2\. Проверка протокола гарантированной доставки, используемого для передачи логов в централизованную систему сбора событий.
3\. Проверка ПО, обеспечивающего гарантированную доставку логов в централизованную систему сбора событий.
#### Типичные недостатки
Не выявлены.
#### Компенсационные меры
Не выявлены.
#### Выявленные коллизии
Не выявлены.
## МАС.13 (Т-Т-Т)
> Резервирование необходимого объема памяти для хранения данных регистрации о событиях защиты информации.
>
> Уровень защиты информации 3-Т, 2-Т, 1-Т.
Пояснение
#### Реализация - Т
Мерами МАС.15 и МАС.16 установлено два временных периода для хранения данных о событиях защиты информации, 3 года и 5 лет соответственно. При централизованном сборе логов, например, при помощи SIEM-системы, необходимо зарезервировать память для ее базы данных, в которой будут хранится логи и обеспечить контроль техническими средствами доступности объема памяти.
В случае децентрализованного сбора логов необходимо зарезервировать достаточный объем памяти для каждой из частных систем, в которых собираются логи и обеспечить контроль техническими средствами доступности объема памяти.
Так для второго и третьего уровня защиты необходимо зарезервировать объем памяти и его контроль для хранения данных регистрации о событиях защиты информации в течение трех лет.
А для первого уровня защиты необходимо зарезервировать объем памяти и его контроль для хранения данных регистрации о событиях защиты информации в течение пяти лет.
#### Проверочные процедуры (свидетельства)
1\. Проверка глубины хранения логов, как в централизованной системе хранения событий, так и в частных системах.
2\. Проверка выделенного объема памяти для хранения логов и остатка незанятого объема памяти.
3 Демонстрация технического решения контроля доступности объема выделенной памяти.
#### Типичные недостатки
Не выявлены.
#### Компенсационные меры
Не выявлены.
#### Выявленные коллизии
Не выявлены.
## МАС.14 (Т-Т-Т)
> Реализация защиты данных регистрации о событиях защиты информации от НСД при их хранении, обеспечение целостности и доступности хранимых данных регистрации.
>
> Уровень защиты информации 3-Т, 2-Т, 1-Т.
Пояснение
#### Реализация - Т
Реализация данного требования возможна на уровне разграничения доступа, например, Active Directory, в системах централизованного сбора логов, а также в частных системах, которые генерируют собственные логи и не передают их в централизованную систему.
Также можно обеспечить хранение данных регистрации о событиях защиты информации в зашифрованном виде.
#### Проверочные процедуры (свидетельства)
Проверка разграничения доступа к данным регистрации о событиях защиты информации.
#### Типичные недостатки
Не выявлены.
#### Компенсационные меры
Не выявлены.
#### Выявленные коллизии
Не выявлены.
## МАС.15 (Т-Т-Н)
> Обеспечение возможности доступа к данным регистрации о событиях защиты информации в течение трех лет.
>
> Уровень защиты информации 3-Т, 2-Т, 1-Н.
Пояснение
Данная мера прямо связана с мерой МАС.13.
Для хранения логов в течение трех лет необходимо выделить достаточный объем памяти.
#### Реализация - Т
Для реализации данного требования необходимо реализовать непрерывный сбор логов в течение трех лет.
Для этого потребуется выделить необходимый объем памяти согласно мере МАС.13.
Для сохранения памяти можно настроить удаление логов старше трех лет.
Данная меря прямо связана с мерой МАС.13.
Для хранения логов в течение трех лет необходимо выделить достаточный объем памяти.
Мера не определяет способ доступа, таким образом наличие архивной копии с данными также может быть обеспечением возможности доступа к данным. Но при этом необходимо обеспечить хранение в архиве не только событий, но программного средства, позволяющего прочесть эти данные.
#### Проверочные процедуры (свидетельства)
Проверка глубины хранения данных регистрации о событиях защиты информации.
Демонстрация хранения в архиве данных о событии защиты информации в течение трех лет.
#### Типичные недостатки
Не выявлены.
#### Компенсационные меры
Не выявлены.
#### Выявленные коллизии
Не выявлены.
## МАС.16 (Н-Н-Т)
> Обеспечение возможности доступа к данным регистрации о событиях защиты информации в течение пяти лет.
>
> Уровень защиты информации 3-Н, 2-Н, 1-Т.
Пояснение
Данная мера прямо связана с мерой МАС.13.
Для хранения логов в течение пяти лет необходимо выделить достаточный объем памяти.
#### Реализация - Т
Для реализации данного требования необходимо реализовать непрерывный сбор логов в течение пяти лет.
Для этого потребуется выделить необходимый объем памяти согласно мере МАС.13.
Для сохранения памяти можно настроить удаление логов старше пяти лет.
Данная меря прямо связана с мерой МАС.13.
Для хранения логов в течение пяти лет необходимо выделить достаточный объем памяти.
Мера не определяет способ доступа, таким образом наличие архивной копии с данными также может быть обеспечением возможности доступа к данным. Но при этом необходимо обеспечить хранение в архиве не только событий, но программного средства, позволяющего прочесть эти данные.
#### Проверочные процедуры (свидетельства)
Проверка глубины хранения данных регистрации о событиях защиты информации.
Демонстрация хранения в архиве данных о событии защиты информации в течение трех лет.
#### Типичные недостатки
Не выявлены.
#### Компенсационные меры
Не выявлены.
#### Выявленные коллизии
Не выявлены.
