Карточка защитной меры

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Утверждение Регламента регистрации событий безопасности в ИС

2 1 10

Цель: определение и установление общих правил, требований и процедур регистрации событий безопасности в информационных системах (ИСПДн).

Регламент направлен на формирование требований по регистрации событий безопасности в эксплуатируемых ИС и определяет:

цели сбора и обработки информации о событиях безопасности;
область применения регистрации событий безопасности на компонентах ИС;
порядок доступа к записям событий безопасности;
состав и содержание информации о событиях безопасности.

Рекомендации к заполнению карточки:
Приложите скан-копию Регламента в Реестр документов по защите информации (в модуле активов SECURITM). Укажите созданный актив в качестве инструмента к данной защитной мере.

Область действия: Вся организация

Классификация

Тип

Организационная

Реализация

Вручную

Периодичность

Разово

Ответственный

Не определено

Инструменты

Не определено

Для просмотра файла необходимо авторизоваться!

Регламент регистрации событий безопасности в информационных системах.docx

Цепочка мер

Внедрение системы централизованного сбора событий информационной безопасности (SIEM)

Утверждение Регламента регистрации событий безопасности в ИС

Предшествующие меры

№	Этап -1
1					Внедрение системы централизованного сбора событий информационной безопасности (SIEM)

Ресурсная оценка

	Качественная оценка			Количественная оценка		Итоговая оценка
	Стоимость	Трудозатраты	Сложность	Стоимость, тыс. руб	Трудозатраты, дней/ год	Итоговая оценка
CAPEX ^?	Отсутствует	Низкие	Низкая	0	1	4 - Низкая
OPEX ^?	Отсутствует	Низкие	Низкая	0	1	4 - Низкая

Связанные риски

Риск	Связи
Нарушение требований законодательства по персональным данным из-за отсутствия требуемых законодательством форм и документов в информационной системе персональных данных Право	13

Заметки

SECURITM

4 месяца назад

Community

ПРИКАЗ

Об утверждении регламента регистрации событий безопасности в информационных системах в [наименование организации]

В целях обеспечения безопасности персональных данных при их обработке в информационных системах [наименование организации], и выполнения требований приказа Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», приказываю:

1. Утвердить регламент регистрации событий безопасности в информационных системах [наименование организации] согласно приложению к настоящему приказу.

2. Контроль за исполнением настоящего приказа возложить на [должность ответственного лица]

[Должность руководителя]| [Фамилия И.О.]

SECURITM

4 месяца назад

Community

Регламент регистрации событий безопасности в информационных системах [наименование организации]

1. Общие положения

1.1. Настоящий Регламент разработан с целью установления [наименование организации] общих правил, требований и процедур регистрации событий безопасности в информационных системах (далее – ИС) [наименование организации].

1.2. Меры защиты информации, реализация которых описана в рамках настоящего Регламента:

РСБ.1 | Определение событий безопасности, подлежащих регистрации, и сроков их хранения
РСБ.2 | Определение состава и содержания информации о событиях безопасности, подлежащих регистрации
РСБ.3 | Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения
РСБ.7 | Защита информации о событиях безопасности

1.3. Состав мер определен на основании уровня защищенности персональных данных и структурно-функциональных характеристик ИС [наименование организации].

1.4. Регламент предназначен для сотрудников [наименование организации]:

1.4.1. Назначенных ответственными за обеспечение безопасности персональных данных и за защиту информации, не содержащей сведения, составляющие государственную тайну.

1.4.2. Выполняющих функции по управлению конфигурацией информационной системы и ее системы защиты информации.

2. Регистрация и мониторинг событий безопасности

2.1. Общие положения

2.1.1. Сбор, запись и хранение информации о событиях безопасности осуществляется с целью выявления инцидентов информационной безопасности и реагирования на них.

2.1.2. Сбор, запись и хранение событий безопасности должны осуществляться на всех компонентах ИС (рабочие места пользователей, серверы, телекоммуникационное оборудование). Требования к составу и содержанию информации о событиях безопасности представлены в пункте 2.2.

2.1.3. Доступ к функциям управления механизмами регистрации (аудита) должен быть доступен только сотрудникам [наименование организации], выполняющим функции по управлению конфигурацией информационной системы и ее системы защиты информации.

2.1.4. Доступ к записям аудита должен быть доступен только сотрудникам [наименование организации]:

Назначенным ответственными за обеспечение безопасности персональных данных и за защиту информации, не содержащей сведения, составляющие государственную тайну.
Выполняющим функции по управлению конфигурацией информационной системы и ее системы защиты информации.

2.1.5. Защита информации о событиях безопасности (записях регистрации (аудита)) должна обеспечиваться применением мер защиты информации от неправомерного доступа, уничтожения или модифицирования. В том числе должна обеспечиваться защита средств ведения регистрации (аудита) и настроек механизмов регистрации событий.

2.1.6. Зарегистрированные события безопасности должны храниться не менее чем [указать необходимый срок].

2.2. Требования к составу регистрируемых событий безопасности

2.2.1. Регистрации подлежат следующие события с указанием минимального состава информации о событии:

Вход (выход), а также попытки входа субъектов доступа (пользователей) в операционную систему
Дата и время входа (выхода) в операционную систему (из операционной системы); Результат попытки входа (успешный или неуспешный); Идентификатор (логин), предъявленный при попытке доступа
Изменение полномочий субъектов доступа и статуса объектов доступа, в том числе создание, модификация, удаление учетных записей
Дата и время создания или модификации или удаления учетной записи или статуса объекта доступа; Результат операции (успешный или неуспешный); Идентификатор (логин) субъекта доступа (пользователя), выполнившего операцию (создание или модификация или удаление учетной записи / изменении статуса объекта доступа)
Подключение съемных машинных носителей информации и вывод информации на носители информации
Дата и время подключения съемного машинного носителя информации и вывода информации на носители информации; Логическое имя (имя устройства и (или) ID) съемного машинного носителя информации; Идентификатор субъекта доступа, осуществляющего вывод информации на носитель информации
Запуск (завершение) программ и процессов (заданий, задач), связанных с обработкой защищаемой информации
Дата и время запуска; Имя (идентификатор) программы (процесса, задания); Идентификатор субъекта доступа (пользователя, устройства), запросившего программу (процесс, задание); Результат запуска (успешный, неуспешный)
Попытки доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам
Дата и время попытки доступа к защищаемому файлу; Результат попытки доступа (успешный, неуспешный); Идентификатор субъекта доступа (пользователя, устройства); Спецификация защищаемого файла (логическое имя, тип)
Попытки доступа программных средств к защищаемым объектам доступа (техническим средствам, узлам сети, линиям (каналам) связи, внешним устройствам, программам, томам, каталогам, записям, полям записей)
Дата и время попытки доступа к защищаемому объекту; Результата попытки доступа (успешный, неуспешный); Идентификатор субъекта доступа (пользователя, устройства); Спецификацию защищаемого объекта доступа (логическое имя (номер))
Попытка удаленного доступа
Дата и время попытки удаленного доступа; Результат попытки удаленного доступа (успешный, неуспешный); Идентификатор субъекта доступа (пользователя, устройства); Используемый протокол доступа; Используемый интерфейс доступа

3. Ответственность

3.1. Сотрудники [наименование организации], назначенные ответственными за обеспечение безопасности персональных данных и за защиту информации, не содержащей сведения, составляющие государственную тайну, и сотрудники [наименование организации], выполняющие функции по управлению конфигурацией информационной системы и ее системы защиты информации, несут персональную ответственность за ненадлежащее исполнение или неисполнение положений настоящего Регламента.

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.