Приложение А (справочное). Типы событий безопасности, подлежащих регистрации средствами защиты информации. Национальный стандарт РФ ГОСТ Р 59548-2022 "Защита информации. Регистрация событий безопасности. Требования к регистрируемой информации" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 13.01.2022 N 2-ст)

Приложение А
(справочное)

Типы событий безопасности, подлежащих регистрации средствами защиты информации

Изготовитель средства защиты информации определяет типы событий безопасности на основании выполняемых средством защиты функций безопасности.

Выделяют следующие основные типы событий безопасности, подлежащих регистрации средствами защиты информации:

- события безопасности, связанные с идентификацией и аутентификацией субъекта доступа;

Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Отказ во входе в связи с тем, что идентификатор не зарегистрирован", "Отказ во входе в связи с тем, что идентификатор заблокирован", "Отказ во входе в связи с неправильным паролем", "Отказ во входе в связи с тем, что превышен лимит попыток ввода пароля", "Отказ во входе в связи с тем, что закончен срок действия пароля", "Успешный вход в систему", "Выход из системы" и другие события безопасности.

- события безопасности, связанные с осуществлением идентификации объекта доступа;

Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Успешная идентификация", "Ошибка прохождения идентификации" и другие события безопасности.

- события безопасности, связанные с осуществлением аутентификации объекта доступа;

Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Успешная аутентификация", "Ошибка прохождения аутентификации" и другие события безопасности.

- события безопасности, связанные с управлением учетными записями пользователей;

Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Создание учетной записи", "Изменение наименования учетной записи", "Изменение пароля учетной записи", "Удаление учетной записи", "Блокирование учетной записи", "Активация учетной записи" и другие события безопасности.

- события безопасности, связанные с управлением аппаратными идентификаторами;

Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Создание идентификатора", "Изменение идентификатора", "Удаление идентификатора", "Блокирование идентификатора" и другие события безопасности.

- события безопасности, связанные с управлением средствами аутентификации;

Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Пароль не соответствует параметрам безопасности", "Истекает срок действия сертификата", "Истек срок действия сертификата" и другие события безопасности.

- события безопасности, связанные с управлением атрибутами доступа;

Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Создание типа доступа", "Изменение типа доступа", "Удаление типа доступа", "Создание группы пользователей", "Изменение группы пользователей", "Удаление группы пользователей", "Занесение учетной записи в группу пользователей", "Удаление учетной записи из группы пользователей", "Изменение прав доступа", "Изменение параметров конфиденциального ресурса", "Запрет изменения параметров конфиденциального ресурса" и другие события безопасности.

- события безопасности, связанные с доступом к защищаемой информации;

Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Получение доступа", "Ошибка получения доступа", "Поступление запроса на предоставление доступа", "Ошибка обработки запроса на предоставление доступа", "Отказ в доступе", "Доступ прекращен", "Получен доступ к конфиденциальному ресурсу", "Запрет доступа к конфиденциальному ресурсу", "Создание конфиденциального ресурса", "Изменение конфиденциального ресурса", "Удаление конфиденциального ресурса" и другие события безопасности.

- события безопасности, связанные с прохождением процедуры доверенной загрузки операционной системы;

Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Загрузка пройдена успешно", "Ошибка при прохождении загрузки", "Отказ в загрузке" и другие события безопасности.

- события безопасности, связанные с обнаружением файловой активности вредоносных программ;

Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Обнаружен вирус, зараженный файл оставлен без изменений", "Обнаружен вирус, зараженный файл удален", "Обнаружен вирус, зараженный файл перемещен в карантин", "Ошибка при перемещении зараженного файла в карантин", "Сканирование завершено, вирусы не обнаружены", "Сканирование завершено, обнаружены вирусы", "Успешно восстановлен файл из карантина" и другие события безопасности.

- события безопасности, связанные с обнаружением активности вредоносных программ в почтовом трафике;

Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Централизованная проверка входящих и исходящих почтовых сообщений на наличие вирусов", "Выборочная проверка входящих и исходящих почтовых сообщений на наличие вирусов" и другие события безопасности.

- события безопасности, связанные с обнаружением активности вредоносных программ в сетевом трафике;

Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Проверка входящих и исходящих сетевых соединений на наличие вирусной активности", "Проверка файлов, обнаруженных в сетевом трафике" и другие события безопасности.

- события безопасности, связанные с проведением обновления базы данных признаков вредоносных компьютерных программ (вирусов);

Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Успешное проведение обновления базы данных признаков вредоносных компьютерных программ (вирусов)", "Ошибка при обновлении базы данных признаков вредоносных компьютерных программ (вирусов)" и другие события безопасности.

- события безопасности, связанные с управлением антивирусной защитой;

Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Запуск службы", "Останов службы", "Включение сканера", "Отключение сканера", "Лицензия просрочена", "Лицензия не найдена", "У лицензии окончен срок действия" и другие события безопасности.

- события безопасности, связанные с анализом компонента программного обеспечения в среде безопасного выполнения компьютерных программ (песочнице);

Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Создание новой песочницы", "Запуск песочницы", "Останов песочницы", "Выполнение анализа начато", "Выполнение анализа завершено" и другие события безопасности.

- события безопасности, связанные с обнаружением и действиями по защите от незапрашиваемых электронных сообщений (спама);

Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Обнаружен спам", "Отправитель заблокирован" и другие события безопасности.

- события безопасности, связанные с управлением защитой от спама;

Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Запуск службы", "Останов службы", "Включение сканера", "Отключение сканера", "Лицензия просрочена", "Лицензия не найдена", "У лицензии окончен срок действия", "Конфигурация изменена" и другие события безопасности.

- события безопасности, связанные с обнаружением признаков компьютерных атак в сетевом трафике;

Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Обнаружена аномальная сетевая активность", "Обнаружена компьютерная атака", "Заблокирован подозрительный трафик" и другие события безопасности.

- события безопасности, связанные с обнаружением признаков компьютерных атак на узле;

Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Обнаружена аномальная сетевая активность на узле", "Обнаружена компьютерная атака на узле", "На узле заблокирован подозрительный трафик" и другие события безопасности.

- события безопасности, связанные с проведением обновления базы решающих правил;

Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "БРП обновлена успешно", "Ошибка при обновлении БРП" и другие события безопасности.

- события безопасности, связанные с управлением средством обнаружения и блокирования компьютерных атак;

Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Запуск службы", "Останов службы", "Лицензия просрочена", "Лицензия не найдена", "У лицензии окончен срок действия", "Включение отдельных правил", "Отключение отдельных правил", "Добавление правил", "Изменение правил", "Удаление правил" и другие события безопасности.

- события безопасности, связанные с фильтрацией сетевого трафика на уровне логических границ сети и сегментов сети;

Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Обнаружен пакет", "Пакет заблокирован", "Обнаружен поток", "Поток заблокирован", "Соединение разрешено", "Соединение запрещено", "Соединение заблокировано" и другие события безопасности.

- события безопасности, связанные с фильтрацией сетевого трафика на уровне узла;

Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "На узле обнаружен пакет", "На узле заблокирован пакет", "На узле обнаружен поток", "На узле заблокирован поток", "На узле разрешено соединение", "На узле запрещено соединение", "На узле заблокировано соединение", "Срабатывание правила фильтрации запросов", "Срабатывание правила" и другие события безопасности.

- события безопасности, связанные с фильтрацией сетевого трафика на прикладном уровне;

Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Попытка эксплуатации уязвимости", "Внедрение кода", "Межсайтовое выполнение сценариев" и другие события безопасности.

- события безопасности, связанные с управлением фильтрацией сетевого трафика;

Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Создание правила фильтрации", "Изменение правила фильтрации", "Удаление правила фильтрации" и другие события безопасности.

- события безопасности, связанные с изменениями в сетевой адресации;

Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Изменение IP-адреса", "Автоматическое назначение IP-адреса", "Изменение дополнительных параметров IP-адресации" и другие события безопасности.

- события безопасности, связанные с изменениями в аппаратной адресации;

Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Изменение аппаратного адреса" и другие события безопасности.

- события безопасности, связанные с изменениями в статической маршрутизации;

Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Добавление маршрута в таблицу маршрутизации", "Удаление маршрута из таблицы маршрутизации", "Назначение маршрута по умолчанию" и другие события безопасности.

- события безопасности, связанные с изменениями в таблице сопоставления аппаратных адресов и портов;

Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Добавление статической записи в САМ-таблицу", "Добавление МАС-адреса в таблицу" и другие события безопасности.

- события безопасности, связанные с обнаружением и действиями по защите от атак, направленных на отказ в обслуживании;

Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Срабатывание правила обнаружения атаки", "Срабатывание правила оповещения" и другие события безопасности.

- события безопасности, связанные с обнаружением уязвимостей программного обеспечения;

Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Обнаружена уязвимость", "Устранена уязвимость" и другие события безопасности.

- события безопасности, связанные с проведением обновления базы уязвимостей;

Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "База уязвимостей обновлена успешно", "Ошибка при обновлении базы уязвимостей" и другие события безопасности.

- события безопасности, связанные с изменениями состава программного обеспечения;

Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Обнаружено изменение состава ПО", "Обнаружено запрещенное ПО" и другие события безопасности.

- события безопасности, связанные с изменениями параметров настроек средств защиты информации;

Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Конфигурация компонента СЗИ изменена", "Компонент СЗИ отключен" и другие события безопасности.

- события безопасности, связанные с установкой, изменением системного времени;

Примечание - Основным событиями безопасности, относящимися к данному типу, являются: "Системное время установлено", "Системное время изменено" и другие события безопасности.

- события безопасности, связанные с изменением настроек общего программного обеспечения;

Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Конфигурация компонента программного обеспечения изменена", "Компонент программного обеспечения отключен" и другие события безопасности.

- события безопасности, связанные с контролем наличия обязательных обновлений программного обеспечения;

Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Обновления установлены", "Начат поиск установленных обновлений", "Сбой в централизованном распространении обновлений" и другие события безопасности.

- события безопасности, связанные с выполнением процедур