В рамках информационной системы персональных данных (ИСПДн) необходимо четко определить состав и содержание информации о событиях безопасности, которые подлежат регистрации. Эти данные должны быть достаточными для точной идентификации типа события, даты и времени его возникновения, источника события и его результата (успешно или неуспешно). Также важно указать субъект доступа (пользователь или процесс), связанный с данным событием.
При регистрации входа и выхода субъектов доступа в ИСПДн, а также загрузки и останова операционной системы, состав и содержание информации должны включать:
- Дату и время входа или выхода в систему (из системы) или загрузки (останова) операционной системы;
- Результаты попыток входа и загрузки (успешно или неуспешно);
- Идентификатор, предъявленный при попытке доступа.
При подключении машинных носителей информации и выводе персональных данных на носители состав и содержание регистрационных записей должны включать:
- Дату и время подключения и вывода;
- Логическое имя или номер подключаемого носителя;
- Идентификатор субъекта доступа, осуществляющего вывод.
При запуске и завершении программ и процессов, связанных с обработкой персональных данных, состав и содержание записей должны включать:
- Дату и время запуска;
- Имя или идентификатор программы или процесса;
- Идентификатор субъекта доступа или устройства, запросившего программу;
- Результат запуска (успешный, неуспешный).
При регистрации попыток доступа программных средств к защищаемым файлам состав и содержание записей должны содержать:
- Дату и время попытки доступа с указанием ее результата (успешная, неуспешная);
- Идентификатор субъекта доступа или устройства;
- Спецификацию защищаемого файла (логическое имя, тип).
Аналогично, при регистрации попыток доступа программных средств к защищаемым объектам доступа (техническим средствам, узлам сети, линиям связи, внешним устройствам, программам, томам, каталогам, записям, полям записей) состав и содержание информации должны включать:
- Дату и время попытки доступа;
- Идентификатор субъекта доступа или устройства;
- Спецификацию защищаемого объекта (логическое имя, номер).
При регистрации удаленных попыток доступа к ИСПДн состав и содержание информации должны включать:
- Дату и время попытки;
- Результат попытки (успешная, неуспешная);
- Идентификатор субъекта доступа или устройства;
- Используемый протокол доступа;
- Интерфейс доступа;
- Иную информацию о попытках удаленного доступа к ИСПДн.
Состав и содержание информации о событиях безопасности, подлежащей регистрации, должны быть отражены в организационно-распорядительных документах оператора персональных данных по защите данных.
Требования к усилению РСБ.2
- В ИСПДн обеспечивается запись дополнительной информации о событиях безопасности. Эта информация включает:
а) Полнотекстовую запись привилегированных команд (команд, управляющих системными функциями);
б) Запись сетевых потоков (дампов), связанных с событием безопасности. - В ИСПДн осуществляется централизованное управление записями регистрации событий безопасности в рамках сегментов, определяемых оператором персональных данных, и (или) всей ИСПДн в целом.
- В ИСПДн реализуется индивидуальная регистрация пользователей групповых учетных записей (локальные и доменные группы пользователей).
- Регистрируется информация о месте (сетевой адрес, географическая привязка и другая информация), с которого осуществляется вход субъектов доступа в ИСПДн.
- Состав и содержание регистрационных записей при запуске процессов (приложений) должны включать:
а) Параметры запуска;
б) Продолжительность работы;
в) Объекты доступа, к которым осуществлялось обращение;
г) Использованные процессом (приложением) устройства. - В ИСПДн записывается следующая информация, связанная с доступом к объектам доступа (в частности, к файлам):
а) Тип доступа (чтение, исполнение, запись и другие);
б) Изменение атрибутов объектов доступа (права доступа, контрольные суммы, размер, содержание, путь, тип и другие);
в) Продолжительность доступа.
