Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Национальный стандарт РФ ГОСТ Р 59548-2022 "Защита информации. Регистрация событий безопасности. Требования к регистрируемой информации" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 13 января 2022 г. N 2-ст)
- Приложение А (справочное). Типы событий безопасности, подлежащих регистрации средствами защиты информации
Приложение А (справочное). Типы событий безопасности, подлежащих регистрации средствами защиты информации
Приложение А
(справочное)
Типы событий безопасности, подлежащих регистрации средствами защиты информации
Изготовитель средства защиты информации определяет типы событий безопасности на основании выполняемых средством защиты функций безопасности.
Выделяют следующие основные типы событий безопасности, подлежащих регистрации средствами защиты информации:
- события безопасности, связанные с идентификацией и аутентификацией субъекта доступа;
Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Отказ во входе в связи с тем, что идентификатор не зарегистрирован", "Отказ во входе в связи с тем, что идентификатор заблокирован", "Отказ во входе в связи с неправильным паролем", "Отказ во входе в связи с тем, что превышен лимит попыток ввода пароля", "Отказ во входе в связи с тем, что закончен срок действия пароля", "Успешный вход в систему", "Выход из системы" и другие события безопасности.
- события безопасности, связанные с осуществлением идентификации объекта доступа;
Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Успешная идентификация", "Ошибка прохождения идентификации" и другие события безопасности.
- события безопасности, связанные с осуществлением аутентификации объекта доступа;
Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Успешная аутентификация", "Ошибка прохождения аутентификации" и другие события безопасности.
- события безопасности, связанные с управлением учетными записями пользователей;
Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Создание учетной записи", "Изменение наименования учетной записи", "Изменение пароля учетной записи", "Удаление учетной записи", "Блокирование учетной записи", "Активация учетной записи" и другие события безопасности.
- события безопасности, связанные с управлением аппаратными идентификаторами;
Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Создание идентификатора", "Изменение идентификатора", "Удаление идентификатора", "Блокирование идентификатора" и другие события безопасности.
- события безопасности, связанные с управлением средствами аутентификации;
Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Пароль не соответствует параметрам безопасности", "Истекает срок действия сертификата", "Истек срок действия сертификата" и другие события безопасности.
- события безопасности, связанные с управлением атрибутами доступа;
Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Создание типа доступа", "Изменение типа доступа", "Удаление типа доступа", "Создание группы пользователей", "Изменение группы пользователей", "Удаление группы пользователей", "Занесение учетной записи в группу пользователей", "Удаление учетной записи из группы пользователей", "Изменение прав доступа", "Изменение параметров конфиденциального ресурса", "Запрет изменения параметров конфиденциального ресурса" и другие события безопасности.
- события безопасности, связанные с доступом к защищаемой информации;
Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Получение доступа", "Ошибка получения доступа", "Поступление запроса на предоставление доступа", "Ошибка обработки запроса на предоставление доступа", "Отказ в доступе", "Доступ прекращен", "Получен доступ к конфиденциальному ресурсу", "Запрет доступа к конфиденциальному ресурсу", "Создание конфиденциального ресурса", "Изменение конфиденциального ресурса", "Удаление конфиденциального ресурса" и другие события безопасности.
- события безопасности, связанные с прохождением процедуры доверенной загрузки операционной системы;
Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Загрузка пройдена успешно", "Ошибка при прохождении загрузки", "Отказ в загрузке" и другие события безопасности.
- события безопасности, связанные с обнаружением файловой активности вредоносных программ;
Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Обнаружен вирус, зараженный файл оставлен без изменений", "Обнаружен вирус, зараженный файл удален", "Обнаружен вирус, зараженный файл перемещен в карантин", "Ошибка при перемещении зараженного файла в карантин", "Сканирование завершено, вирусы не обнаружены", "Сканирование завершено, обнаружены вирусы", "Успешно восстановлен файл из карантина" и другие события безопасности.
- события безопасности, связанные с обнаружением активности вредоносных программ в почтовом трафике;
Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Централизованная проверка входящих и исходящих почтовых сообщений на наличие вирусов", "Выборочная проверка входящих и исходящих почтовых сообщений на наличие вирусов" и другие события безопасности.
- события безопасности, связанные с обнаружением активности вредоносных программ в сетевом трафике;
Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Проверка входящих и исходящих сетевых соединений на наличие вирусной активности", "Проверка файлов, обнаруженных в сетевом трафике" и другие события безопасности.
- события безопасности, связанные с проведением обновления базы данных признаков вредоносных компьютерных программ (вирусов);
Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Успешное проведение обновления базы данных признаков вредоносных компьютерных программ (вирусов)", "Ошибка при обновлении базы данных признаков вредоносных компьютерных программ (вирусов)" и другие события безопасности.
- события безопасности, связанные с управлением антивирусной защитой;
Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Запуск службы", "Останов службы", "Включение сканера", "Отключение сканера", "Лицензия просрочена", "Лицензия не найдена", "У лицензии окончен срок действия" и другие события безопасности.
- события безопасности, связанные с анализом компонента программного обеспечения в среде безопасного выполнения компьютерных программ (песочнице);
Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Создание новой песочницы", "Запуск песочницы", "Останов песочницы", "Выполнение анализа начато", "Выполнение анализа завершено" и другие события безопасности.
- события безопасности, связанные с обнаружением и действиями по защите от незапрашиваемых электронных сообщений (спама);
Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Обнаружен спам", "Отправитель заблокирован" и другие события безопасности.
- события безопасности, связанные с управлением защитой от спама;
Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Запуск службы", "Останов службы", "Включение сканера", "Отключение сканера", "Лицензия просрочена", "Лицензия не найдена", "У лицензии окончен срок действия", "Конфигурация изменена" и другие события безопасности.
- события безопасности, связанные с обнаружением признаков компьютерных атак в сетевом трафике;
Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Обнаружена аномальная сетевая активность", "Обнаружена компьютерная атака", "Заблокирован подозрительный трафик" и другие события безопасности.
- события безопасности, связанные с обнаружением признаков компьютерных атак на узле;
Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Обнаружена аномальная сетевая активность на узле", "Обнаружена компьютерная атака на узле", "На узле заблокирован подозрительный трафик" и другие события безопасности.
- события безопасности, связанные с проведением обновления базы решающих правил;
Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "БРП обновлена успешно", "Ошибка при обновлении БРП" и другие события безопасности.
- события безопасности, связанные с управлением средством обнаружения и блокирования компьютерных атак;
Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Запуск службы", "Останов службы", "Лицензия просрочена", "Лицензия не найдена", "У лицензии окончен срок действия", "Включение отдельных правил", "Отключение отдельных правил", "Добавление правил", "Изменение правил", "Удаление правил" и другие события безопасности.
- события безопасности, связанные с фильтрацией сетевого трафика на уровне логических границ сети и сегментов сети;
Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Обнаружен пакет", "Пакет заблокирован", "Обнаружен поток", "Поток заблокирован", "Соединение разрешено", "Соединение запрещено", "Соединение заблокировано" и другие события безопасности.
- события безопасности, связанные с фильтрацией сетевого трафика на уровне узла;
Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "На узле обнаружен пакет", "На узле заблокирован пакет", "На узле обнаружен поток", "На узле заблокирован поток", "На узле разрешено соединение", "На узле запрещено соединение", "На узле заблокировано соединение", "Срабатывание правила фильтрации запросов", "Срабатывание правила" и другие события безопасности.
- события безопасности, связанные с фильтрацией сетевого трафика на прикладном уровне;
Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Попытка эксплуатации уязвимости", "Внедрение кода", "Межсайтовое выполнение сценариев" и другие события безопасности.
- события безопасности, связанные с управлением фильтрацией сетевого трафика;
Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Создание правила фильтрации", "Изменение правила фильтрации", "Удаление правила фильтрации" и другие события безопасности.
- события безопасности, связанные с изменениями в сетевой адресации;
Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Изменение IP-адреса", "Автоматическое назначение IP-адреса", "Изменение дополнительных параметров IP-адресации" и другие события безопасности.
- события безопасности, связанные с изменениями в аппаратной адресации;
Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Изменение аппаратного адреса" и другие события безопасности.
- события безопасности, связанные с изменениями в статической маршрутизации;
Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Добавление маршрута в таблицу маршрутизации", "Удаление маршрута из таблицы маршрутизации", "Назначение маршрута по умолчанию" и другие события безопасности.
- события безопасности, связанные с изменениями в таблице сопоставления аппаратных адресов и портов;
Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Добавление статической записи в САМ-таблицу", "Добавление МАС-адреса в таблицу" и другие события безопасности.
- события безопасности, связанные с обнаружением и действиями по защите от атак, направленных на отказ в обслуживании;
Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Срабатывание правила обнаружения атаки", "Срабатывание правила оповещения" и другие события безопасности.
- события безопасности, связанные с обнаружением уязвимостей программного обеспечения;
Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Обнаружена уязвимость", "Устранена уязвимость" и другие события безопасности.
- события безопасности, связанные с проведением обновления базы уязвимостей;
Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "База уязвимостей обновлена успешно", "Ошибка при обновлении базы уязвимостей" и другие события безопасности.
- события безопасности, связанные с изменениями состава программного обеспечения;
Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Обнаружено изменение состава ПО", "Обнаружено запрещенное ПО" и другие события безопасности.
- события безопасности, связанные с изменениями параметров настроек средств защиты информации;
Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Конфигурация компонента СЗИ изменена", "Компонент СЗИ отключен" и другие события безопасности.
- события безопасности, связанные с установкой, изменением системного времени;
Примечание - Основным событиями безопасности, относящимися к данному типу, являются: "Системное время установлено", "Системное время изменено" и другие события безопасности.
- события безопасности, связанные с изменением настроек общего программного обеспечения;
Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Конфигурация компонента программного обеспечения изменена", "Компонент программного обеспечения отключен" и другие события безопасности.
- события безопасности, связанные с контролем наличия обязательных обновлений программного обеспечения;
Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Обновления установлены", "Начат поиск установленных обновлений", "Сбой в централизованном распространении обновлений" и другие события безопасности.
- события безопасности, связанные с выполнением процедуры установки/удаления компонентов программного обеспечения;
Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Начата установка ПО", "ПО установлено", "Служба удалена" и другие события безопасности.
- события безопасности, связанные с управлением запуском/остановкой компонентов программного обеспечения;
Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Запуск (завершение) программ и процессов (заданий, задач)", "Запрет запуска программы", "Запрет загрузки библиотеки" и другие события безопасности.
- события безопасности, связанные с обнаружением утечки информации через съемные машинные носители информации и сетевые устройства;
Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Обнаружение утечки информации", "Обнаружение теневого копирования", "Обнаружение конфиденциальной информации на узле" и другие события безопасности.
- события безопасности, связанные с обнаружением утечки информации через системы обмена мгновенными сообщениями;
Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Обнаружение утечки информации", "Обнаружение конфиденциальной информации на узле" и другие события безопасности.
- события безопасности, связанные с обнаружением утечки информации через электронную почту;
Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Обнаружение утечки информации", "Обнаружение конфиденциальной информации на узле" и другие события безопасности.
- события безопасности, связанные с выводом защищаемой информации на печать;
Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Обнаружение утечки информации через печать", "Печать файла", "Печать файла запрещена" и другие события безопасности.
- события безопасности, связанные с подключением/отключением съемного машинного носителя информации;
Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Подключен съемный машинный носитель информации", "Отключен съемный машинный носитель информации" и другие события безопасности.
- события безопасности, связанные с выполнением действий с файлами на съемных машинных носителях информации;
Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Копирование файла на съемный машинный носитель информации", "Создание файла на съемном машинном носителе информации" и другие события безопасности.
- события безопасности, связанные с выполнением резервного копирования;
Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Начало резервного копирования", "Останов резервного копирования", "Ошибка доступа к цели резервирования", "Ошибка доступа к хранилищу" и другие события безопасности.
- события безопасности, связанные с управлением резервным копированием;
Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Изменение в составе целей/хранилищ", "Изменение задачи резервного копирования" и другие события безопасности.
- события безопасности, связанные с выполнением восстановления информации;
Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Успешное восстановление файла", "Ошибка восстановления" и другие события безопасности.
- события безопасности, связанные с контролем использования интерфейсов ввода (вывода) информации;
Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Устройство подключено", "Доступ к устройству заблокирован" и другие события безопасности.
- события безопасности, связанные с контролем целостности;
Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Добавлен новый объект контроля", "Удален объект контроля", "Запущен процесс выполнения контроля целостности для объекта", "Остановлен процесс выполнения контроля целостности для объекта", "Целостность объекта подтверждена", "Целостность объекта нарушена", "Ошибка при выполнении контроля целостности для объекта" и другие события безопасности.
- события безопасности, связанные с гарантированным уничтожением информации;
Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Файл гарантированно уничтожен", "Полное затирание съемного машинного носителя информации произведено" и другие события безопасности.
- события безопасности, связанные с контролем функционирования средств защиты информации;
Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Сбой функционирования компонента СЗИ", "Ошибка запуска СЗИ" и другие события безопасности.
- события безопасности, связанные с прекращением функционирования (сбой, отказ) программного, технического или программно-технического средства защиты информации;
Примечание - Основным событием безопасности, относящимся к данному типу, является "Прекращение функционирования средства защиты информации", а также другие события безопасности.
- события безопасности, связанные с управлением (администрированием) функциями безопасности;
Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Конфигурация компонента СЗИ изменена", "Компонент СЗИ отключен" и другие события безопасности.
- события безопасности, связанные с управлением журналами (записями) регистрации событий безопасности;
Примечание - Основными событиями безопасности, относящимися к данному типу, являются: "Журнал очищен", "Журналирование отключено", "Журнал архивирован" и другие события безопасности.
- события безопасности, связанные с применением методов криптографической защиты информации в соответствии с законодательством Российской Федерации;
- иные события безопасности.