6.1.2 При определении перечня источников данных следует учитывать необходимость получения следующей информации:
- данных о событиях безопасности от средств, осуществляющих регистрацию событий безопасности в информационной (автоматизированной) системе (источников событий безопасности);
- данных о результатах выявления (поиска) уязвимостей в информационной (автоматизированной) системе, в том числе:
- уязвимостей в общесистемном (общем) программном обеспечении;
- уязвимостей в прикладном программном обеспечении;
- уязвимостей в специальном программном обеспечении;
- уязвимостей в технических средствах;
- уязвимостей в портативных технических средствах;
- уязвимостей в сетевом (коммуникационном, телекоммуникационном) оборудовании;
- уязвимостей в средствах защиты информации;
- данных о результатах контроля установки обновлений программного обеспечения, в том числе:
- обновлений баз данных, необходимых для реализации функций безопасности средства защиты информации (обновление баз данных признаков вредоносных компьютерных программ (вирусов) средств антивирусной защиты, баз сигнатур уязвимостей средств контроля (анализа) защищенности, баз решающих правил систем обнаружения вторжений и других);
- обновлений, направленных на устранение уязвимостей средства защиты информации;
- обновлений, направленных на добавление функции (функций) безопасности средства защиты информации, на совершенствование реализации функции (функций) безопасности средства защиты информации, на расширение числа поддерживаемых программных и аппаратных платформ (если необходимость таких обновлений была определена по результатам периодического анализа изменения угроз безопасности информации в информационной (автоматизированной) системе, возникающих в ходе ее эксплуатации);
- данных о результатах контроля состава технических средств, программного обеспечения и средств защиты информации, применяемых в информационной (автоматизированной) системе (инвентаризационных данных), включая:
- местоположение элементов информационной (автоматизированной) системы;
- назначение элементов информационной (автоматизированной) системы;
- характеристики технических средств, программного обеспечения и средств защиты информации информационной (автоматизированной) системы;
- принадлежность технических средств подразделениям оператора информационной (автоматизированной) системы (сведения о владельцах);
- принадлежность технических средств информационным (автоматизированным) системам;
- данных о результатах контроля соответствия настроек программного обеспечения и средств защиты информации установленным требованиям безопасности (политикам безопасности);
- данных о работоспособности (неотключении) программного обеспечения и средств защиты информации; - данных о результатах контроля потоков информации, включая:
- результаты контроля объемов сетевого трафика (входящего и исходящего) по различным типам протоколов и типам передаваемых файлов;
- результаты контроля содержимого сетевого трафика по различным типам протоколов и файлов в целях выявления запрещенного или подозрительного контента и конфиденциальной информации;
- результаты контроля потоков ввода/вывода информации при работе со съемными носителями информации в целях выявления непроизводственной деятельности, а также запрещенного или подозрительного контента и конфиденциальной информации;
- результаты контроля вывода информации на печать; результаты контроля подозрительной сетевой активности и выявления компьютерных атак или признаков подготовки к ним, а также несанкционированных действий пользователей в сети (например, попыток несанкционированного доступа пользователей к различным информационным ресурсам или подключения к сети посторонних устройств);
- результаты контроля беспроводных сетей в целях выявления несанкционированных точек доступа подключения посторонних лиц.
- данных о действиях пользователей, необходимых для выявления преднамеренного или непреднамеренного нарушения установленных политик безопасности, регламентов работы, фактов непроизводственной деятельности, попыток совершения несанкционированного доступа и утечки конфиденциальной информации, включая:
- контроль запуска / остановки различных процессов;
- контроль подключения съемных машинных носителей информации и работы с ними;
- контроль подключения мобильных, беспроводных и других устройств;
- контроль установки / удаления ПО (компонентов ПО);
- контроль изменения сетевых настроек автоматизированных рабочих мест (АРМ) и серверов;
- контроль попыток удаленного доступа к АРМ и серверам;
- контроль фактов работы с административными правами и полномочиями;
- контроль изменения локальных политик безопасности, прав и привилегий;
- контроль создания и работы с общими ресурсами;
- контроль открытия «подозрительных» сетевых портов;
- иные действия пользователей.
