Оператор персональных данных должен четко определить, какие события безопасности в его информационной системе персональных данных (ИСПДн) подлежат регистрации, а также установить сроки их хранения. Эти события безопасности должны быть выбраны с учетом возможных способов реализации угроз для ИСПДн.
К событиям безопасности, подлежащим регистрации в ИСПДн, относятся любые проявления, указывающие на потенциальную угрозу нарушения конфиденциальности, целостности или доступности персональных данных, а также на возможные проблемы с доступностью компонентов ИСПДн и нарушение процедур, установленных организационно-распорядительными документами по защите персональных данных. Также подлежат регистрации нарушения штатного функционирования средств защиты информации.
Сроки хранения соответствующих записей регистрационных журналов должны быть достаточными для своевременного обнаружения, идентификации и анализа инцидентов, которые могут возникнуть в ИСПДн. Подлежат регистрации события безопасности, связанные с применением выбранных мер по защите персональных данных в ИСПДн.
Перечень событий безопасности, подлежащих регистрации в текущий момент времени, определяется оператором исходя из возможностей реализации угроз безопасности персональных данных и фиксируется в организационно-распорядительных документах по защите персональных данных (документируется). В ИСПДн как минимум должны регистрироваться следующие события:
- Вход и выход, а также попытки входа субъектов доступа в ИСПДн и загрузки (останова) операционной системы;
- Подключение машинных носителей информации и вывод персональных данных на носители;
- Запуск и завершение программ и процессов, связанных с обработкой персональных данных;
- Попытки доступа программных средств к определяемым оператором защищаемым объектам доступа (техническим средствам, узлам сети, линиям (каналам) связи, внешним устройствам, программам, томам, каталогам, файлам, записям, полям записей) и иным объектам доступа;
- Попытки удаленного доступа.
Состав и содержание информации о событиях безопасности, подлежащих регистрации, определяются в соответствии с РСБ.2.
Требования к усилению РСБ.1
- Оператор персональных данных должен пересматривать перечень событий безопасности, подлежащих регистрации, не реже одного раза в год, а также по результатам контроля (мониторинга) за уровнем защищенности персональных данных, содержащихся в ИСПДн.
- В перечень событий безопасности, подлежащих регистрации, должны быть включены события, связанные с действиями от имени привилегированных учетных записей (администраторов).
- В перечень событий безопасности, подлежащих регистрации, должны быть включены события, касающиеся изменения привилегий учетных записей.
- Оператор должен обеспечить срок хранения информации о зарегистрированных событиях безопасности не менее трех месяцев, если иное не установлено требованиями законодательства Российской Федерации. При этом возможны следующие варианты хранения:
а. Только записи о выявленных событиях безопасности;
б. Записи о выявленных событиях безопасности и системные журналы, послужившие основанием для их регистрации;
в. Журналы приложений, которые стали причиной регистрации событий безопасности;
г. Все записи системных журналов и событий безопасности;
д. Все записи журналов приложений.
