РИ 15-18

РИ.15 (Т-Т-Т)

Реализация защиты информации об инцидентах защиты информации от НСД, обеспечение целостности и доступности указанной информации.

Уровень защиты информации 3-Т, 2-Т, 1-Т.

Реализация - Т

Одной из технических реализаций данной меры является встроенный функционал в используемое для регистрации инцидентов ПО (например: КСЭД «Директум», СУОР «Ланселот»), позволяющий:

· осуществить управление доступом к информации об инцидентах защиты информации для возможности выполнения санкционированных процедур (например: просмотр; внесение изменений в карточку инцидента; закрытие инцидента; и пр.);

· обеспечить невозможность бесконтрольного изменения зарегистрированных данных;

· обеспечить централизованное хранение данных об инциденте в структурированном виде (базе данных).

В случае хранения информации об инцидентах защиты информации на файловом сервере, необходимо разграничить доступ к карточкам инцидентов за счет политик «Active Directory» и обеспечить их целостность (снятием и сопоставлением хэш функций) и обеспечить резервное копирование.

Проверочные процедуры (свидетельства)

Независимо от технической реализации (встроенный функционал используемого ПО и иные) необходимо проверить механизмы защиты информации об инцидентах защиты информации от НСД, механизмы обеспечения целостности и доступности.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

РИ.16 (Н-Т-Т)

Разграничение доступа членов ГРИЗИ к информации об инцидентах защиты информации в соответствии с определенным распределением ролей, связанных с реагированием на инциденты защиты информации.

Уровень защиты информации 3-Н, 2-Т, 1-Т.

Реализация - Т

Одной из технических реализаций данной меры является встроенный функционал управления доступом в используемом для регистрации инцидентов ПО (например: КСЭД «Директум», СУОР «Ланселот»), позволяющий реализовать разграничение доступа членов ГРИЗИ к данным об инцидентах защиты информации, в соответствии с определенными ролями на основании мер РИ. 7 – РИ.9.

Функционал управления доступом в ПО регистрации инцидентов должен обеспечить возможность назначения разных ролей для участников ГРИЗИ с разным уровнем доступа.

Проверочные процедуры (свидетельства)

Проверить определенные в Организации роли, связанные с реагированием на инциденты защиты информации выделенные в соответствии с мерами РИ.7 – РИ.9. Проверить регистрацию в ПО учета инцидентов всех участников ГРИЗИ и назначение им полномочий в соответствии с ролью.

Независимо от технической реализации (встроенный функционал используемого ПО и иные) необходимо проверить механизмы разграничения доступа к информации об инцидентах защиты информации и соотнести их с указанными ролями.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

РИ.17 (Т-Т-Н)

Обеспечение возможности доступа к информации об инцидентах защиты информации в течение трех лет.

Уровень защиты информации 3-Т, 2-Т, 1-Н.

Реализация - Т

Технической реализацией данной меры является использование встроенного функционала специализированного ПО для учета инцидентов (например: КСЭД «Директум», СУОР «Ланселот») обеспечивающего хранение и доступ к информации об инцидентах защиты информации в течении трех или более лет.

Также, в случае осуществления обработки информации об инцидентах защиты информации без использования специализированного ПО, а с применением иных инструментариев (регистрация событий ИБ в Excel-таблице «Журнал учета инцидентов ЗИ») за счет настроек хранения файлового сервера, процедур резервного копирования и пр., необходимо обеспечить возможность доступа к информации об инцидентах защиты информации в течении трех или более лет.

При заключении договора с внешними подрядными организациями, оказывающими услуги SOC и предоставляющими внешние сервисы для процедур управления инцидентами защиты информации, необходимо предусмотреть возможность доступа организации к информации об инцидентах защиты информации в течении трех или более лет, даже после истечения договора указания услуг SOC (достигается путем ведения параллельной регистрации событий ИБ на объектах информатизации организации, включения в договор возможности доступа к внешнему сервису для процедур управления инцидентами защиты информации на протяжении трех лет и пр.).

Проверочные процедуры (свидетельства)

Скриншоты карточек инцидентов защиты информации из специализированного ПО, со сроком хранения три или более лет.

Скриншоты или сами файлы учтенных инцидентов защиты информации, регистрируемые без использования специализированного ПО, но с применением иных технических мер (регистрация событий ИБ в Excel-таблице «Журнал учета инцидентов ИБ» и пр.).

Договор с внешней подрядной организацией оказывающей услуги SOC, а также скриншоты карточек инцидентов защиты информации из внешнего сервиса для процедур управления инцидентами защиты информации, со сроком хранения три или более лет.

В случае, если в организации нет зарегистрированных инцидентов защиты информации сроком более трех лет, необходимо предоставить настройки соответствующих технических средств, обеспечивающие хранение информации об инцидентах защиты информации сроком три или более лет.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

РИ.18 (Н-Н-Т)

Обеспечение возможности доступа к информации об инцидентах защиты информации в течение пяти лет.

Уровень защиты информации 3-Н, 2-Н, 1-Т.

Реализация - Т

Технической реализацией данной меры является использование встроенного функционала специализированного ПО для учета инцидентов (например: КСЭД «Директум», СУОР «Ланселот») обеспечивающего хранение и доступ к информации об инцидентах защиты информации в течении пяти или более лет.

Также, в случае осуществления обработки информации об инцидентах защиты информации без использования специализированного ПО, а с применением иных инструментариев (регистрация событий ИБ в Excel-таблице «Журнал учета инцидентов ЗИ») за счет настроек хранения файлового сервера, процедур резервного копирования и пр., необходимо обеспечить возможность доступа к информации об инцидентах защиты информации в течении пяти или более лет.

При заключении договора с внешними подрядными организациями, оказывающими услуги SOC и предоставляющими внешние сервисы для процедур управления инцидентами защиты информации, необходимо предусмотреть возможность доступа организации к информации об инцидентах защиты информации в течении пяти или более лет, даже после истечения договора указания услуг SOC (достигается путем ведения параллельной регистрации событий ИБ на объектах информатизации организации, включения в договор возможности доступа к внешнему сервису для процедур управления инцидентами защиты информации на протяжении пяти лет и пр.).

Проверочные процедуры (свидетельства)

Скриншоты карточек инцидентов защиты информации из специализированного ПО, со сроком хранения пяти или более лет.

Скриншоты или сами файлы учтенных инцидентов защиты информации, регистрируемые без использования специализированного ПО, но с применением иных технических мер (регистрация событий ИБ в Excel-таблице «Журнал учета инцидентов ИБ» и пр.), со сроком хранения пяти или более лет.

Договор с внешней подрядной организацией оказывающей услуги SOC, а также скриншоты карточек инцидентов защиты информации из внешнего сервиса для процедур управления инцидентами защиты информации, со сроком хранения пяти или более лет.

В случае, если в организации нет зарегистрированных инцидентов защиты информации сроком более пяти лет, необходимо предоставить настройки соответствующих технических средств, обеспечивающие хранение информации об инцидентах защиты информации сроком пяти или более лет.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.