Приложение В (справочное). Перечень событий защиты информации, потенциально связанных с несанкционированным доступом и инцидентами защиты информации, рекомендуемых для выявления, регистрации и анализа. Национальный стандарт РФ ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 08.08.2017 N 822-ст)

Приложение В
(справочное)

Перечень
событий защиты информации, потенциально связанных с несанкционированным доступом и инцидентами защиты информации, рекомендуемых для выявления, регистрации и анализа

В.1 Действия и (или) операции по созданию, удалению, копированию ресурсов доступа.

В.2 Действия и (или) операции по созданию, удалению, блокированию, разблокированию учетных записей.

В.3 Действия и (или) операции по изменению (предоставлению) прав логического доступа.

В.4 Действия и (или) операции по подключению СВТ к вычислительным сетям финансовой организации.

В.5 Действия и (или) операции по запуску программных процессов.

В.6 Действия и (или) операции при осуществлении логического доступа.

В.7 Факты выявления уязвимостей защиты информации.

В.8 Факты выявления вредоносного кода и (или) мобильного кода.

В.9 Факты выявления попыток осуществления вторжений и сетевых атак.

В.10 Факты выявления атак типа "отказ в обслуживании".

В.11 Действия и (или) операции, направленные на изменение правил сегментации и межсетевого экранирования вычислительных сетей финансовой организации.

В.12 Действия и (или) операции по изменению параметров настроек технических мер защиты информации, параметров настроек системного ПО, влияющих на обеспечение защиты информации.

В.13 Факты выявления нарушений и сбоев в работе технических мер защиты информации.

В.14 Факты выявление нарушений и сбоев в установлении (обновлении) ПО и параметров настроек технических мер защиты информации, их сигнатурных баз (в случае их использования).

В.15 Факты выявления нарушений и сбоев в установлении (обновлении) системного ПО и параметров его настроек, влияющих на обеспечение защиты информации.

В.16 Действия и (или) операции по изменению состава ПО АРМ пользователей и эксплуатационного персонала, в том числе запускаемого автоматически при загрузке операционных систем.

В.17 Действия и (или) операции по изменению состава ПО серверного оборудования.

В.18 Факты выявления нарушений целостности ПО АС на АРМ пользователей и эксплуатационного персонала.

В.19 Факты выявления нарушений доверенной загрузки операционных систем АРМ пользователей и эксплуатационного персонала.

В.20 Факты выявления нарушений целостности эталонных копий ПО, в том числе при осуществлении их распространения и (или) обновления.

В.21 Факты выявления смены и (или) компрометации аутентификационных данных, используемых для доступа к серверному и сетевому оборудованию.

В.22 Действия и (или) операции со средствами криптографической защиты информации и ключевой информацией.

В.23 Действия и (или) операции по использованию разблокированных коммуникационных портов.

В.24 Действия и (или) операции по передаче информации с использованием электронной почты.

В.25 Действия и (или) операции при осуществлении доступа к ресурсам сети Интернет.

В.26 Действия и (или) операции при осуществлении доступа к серверным компонентам виртуализации виртуальными машинами, логическими разделами или томами.

В.27 Факты выявления нарушений при доверенной загрузке виртуальных машин.

В.28 Действия и (или) операции при администрировании системы хранения данных.

В.29 Действия и (или) операции по использованию подконтрольных мобильных устройств.