ГОСТ Р 59548-2022 Защита информации. Регистрация событий безопасности. Требования к регистрируемой информации

Статус документа

ГОСТ Р 59548-2022

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Защита информации

РЕГИСТРАЦИЯ СОБЫТИЙ БЕЗОПАСНОСТИ

Требования к регистрируемой информации

Information protection. Security event logging. Requirements for registered information

ОКС 35.020

Дата введения 2022-02-01

Предисловие

1 РАЗРАБОТАН Федеральной службой по техническому и экспортному контролю (ФСТЭК России), Обществом с ограниченной ответственностью "Центр безопасности информации" (ООО "ЦБИ")

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 362 "Защита информации"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 13 января 2022 г. N 2-ст

4 ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.rst.gov.ru)

Введение

Настоящий стандарт предназначен для изготовителей средств защиты информации, средств обеспечения безопасности информационных технологий, иных программно-технических средств (а также программного обеспечения), применяемых в информационных (автоматизированных) системах, в том числе в интересах мониторинга информационной безопасности, контроля (анализа) защищенности, выявления инцидентов информационной безопасности в информационных (автоматизированных) системах, а также контроля функционирования элементов и в целом таких систем.

Настоящий стандарт содержит требования к составу и содержанию информации, которая подлежит регистрации указанными средствами, по отношению к событиям безопасности, регистрируемым в информационных (автоматизированных) системах.

1 Область применения

Настоящий стандарт устанавливает требования к составу и содержанию информации, которая подлежит регистрации средствами защиты информации, в том числе встроенными в программное обеспечение и (или) программно-технические средства, средствами обеспечения безопасности информационных технологий, иными программно-техническими средствами (а также программным обеспечением), применяемыми в информационных (автоматизированных) системах.

Настоящий стандарт не устанавливает требования к технической реализации и формату хранения событий безопасности. Для соответствия требованиям настоящего стандарта достаточно, чтобы средства, осуществляющие регистрацию событий безопасности, предоставляли возможность получения информации о событиях безопасности для реализации мониторинга информационной безопасности в информационных (автоматизированных) системах, контроля (анализа) защищенности, выявления инцидентов информационной безопасности в информационных (автоматизированных) системах, а также контроля функционирования элементов и в целом таких систем. При этом допускается расширение состава предоставляемой информации о событиях безопасности по сравнению с требованиями настоящего стандарта.

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ Р 7.0.64 Система стандартов по информации, библиотечному и издательскому делу. Представление дат и времени. Общие требования

ГОСТ Р 50922 Защита информации. Основные термины и определения

ГОСТ Р 59547 Защита информации. Мониторинг информационной безопасности. Общие положения

Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

3 Термины и определения

В настоящем стандарте применены термины по ГОСТ Р 50922, ГОСТ 59547*, а также следующие термины с соответствующими определениями:

________________

* Вероятно, ошибка оригинала. Следует читать: ГОСТ Р 59547. - Примечание изготовителя базы данных.

3.1 регистрация события безопасности: Процесс автоматического (автоматизированного) занесения в электронный журнал регистрации событий безопасности записи о событии безопасности.

3.2 регистрируемая информация (о событии безопасности): Сведения о событии безопасности, подлежащие регистрации в электронном журнале регистрации событий безопасности.

3.3 событие безопасности: Зафиксированное в обрабатываемом виде состояние информационной (автоматизированной) системы, сетевого, телекоммуникационного, коммуникационного, иного прикладного сервиса или информационно-телекоммуникационной сети, указывающее на возможное нарушение целостности, доступности и (или) конфиденциальности информации, а также на сбой в работе средства защиты/обработки информации или иную ситуацию, которая может быть значимой для безопасности информации.

3.4 электронный журнал регистрации событий безопасности: Объект (файл в электроном виде) или их совокупность в информационной (автоматизированной) системе, предназначенный (предназначенные) для хранения записей о событиях безопасности.

4 Сокращения

В настоящем стандарте применены следующие сокращения:

БРП - база решающих правил;

ОС - операционная система;

СЗИ - средство защиты информации;

ПО - программное обеспечение.

5 Общие положения

5.1 События безопасности могут быть зарегистрированы следующими составными частями информационной (автоматизированной) системы:

- средствами защиты информации;

- средствами обеспечения безопасности информационных технологий;

- иными программно-техническими средствами (а также программным обеспечением), применяемыми в информационных (автоматизированных) системах.

5.2 Средства защиты информации регистрируют события безопасности, связанные с реализованными в них функциями безопасности.

Типы событий безопасности, подлежащих регистрации средствами защиты информации в зависимости от реализуемых ими функций безопасности, приведены в приложении А.

5.3 Средства обеспечения безопасности информационных технологий и иные программно-технические средства (а также программное обеспечение), применяемые в информационных (автоматизированных) системах, регистрируют события безопасности, связанные с выполняемыми ими мерами защиты.

Типы событий безопасности, подлежащих регистрации средствами обеспечения безопасности информационных технологий и иными программно-техническими средствами (а также программным обеспечением), применяемыми в информационных (автоматизированных) системах, в зависимости от выполняемых ими мер защиты, представлены в приложении Б.

5.4 При необходимости зарегистрированная информация о событиях безопасности может быть передана в средства автоматизации мониторинга информационной безопасности. Для этого средства, осуществляющие регистрацию событий безопасности, должны обеспечивать предоставление доступа к информации о зарегистрированных событиях безопасности и (или) передавать сведения о событиях безопасности в средства автоматизации мониторинга информационной безопасности.

6 Требования к составу и содержанию регистрируемой информации

6.1 Общие требования

6.1.1 Элементы регистрационной записи о событии безопасности должны соответствовать типам данных (форматам), указанным в таблице 1.

Таблица 1 - Требования к типам данных регистрируемой информации


Наименование типа данных	Описание типа данных
"Дата/время"	Дату и время указывают в соответствии с ГОСТ Р 7.0.64 в формате: YYYY-MM-DDThh:mm:ss[.sss]±hh:mm, где YYYY-MM-DD обозначает "год"-"месяц"-"день"; - T - определитель времени, указывающий на начало обозначения элемента времени дня; - hh:mm:ss[.sss] обозначает элементы времени "час"-"минута"-"секунда"-"миллисекунда", при этом указание миллисекунд не является обязательным; - "-" и ":" разделители используют в обозначениях даты и времени дня соответственно; - "±" символ обозначает разность между местным временем и Всемирным координированным временем дня. Пример описания: 2019-05-20Т18:30:15.587+04:00
"Продолжительность"	Продолжительность указывают в соответствии с ГОСТ Р 7.0.64. Продолжительность является неотрицательной величиной, приписываемой периоду времени, значение которой равно разности между метками времени конечного момента и начального момента периода времени (если метки времени являются числовыми). Продолжительность соответствует целочисленному типу данных. Принимаемые значения: секунда/минута/час/день
"Целое число"	Соответствует целочисленному типу данных
"Текст"	Любая последовательность символов
"Набор значений"	Указывают одно значение из фиксированного набора принимаемых значений (набор значений определяют исходя из особенностей регистрируемой информации)
"Сетевой адрес"	Сетевой адрес - уникальный сетевой идентификатор, присваивающийся каждому участнику сетевого взаимодействия в вычислительной сети. Сетевой адрес, как правило, представлен двумя версиями: 4-й (IPv4) и 6-й (IPv6). IP-адрес (IPv4) представляет собой 32-битовое число. Формой записи IP-адреса (IPv4) является запись в виде четырех десятичных чисел значением от 0 до 255, разделенных точками (например, 192.168.0.1). IP-адрес (IPv6) представляет собой 128-битовое число. Внутри адреса разделителем служит двоеточие (например, 2001:0db8:85a3:0000:0000:8a2e:0370:7334). Ведущие нули допускается в записи опускать. Нулевые группы, идущие подряд, могут быть опущены, вместо них ставят двойное двоеточие (например, fe80:0:0:0:0:0:0:1 можно записать как fe80::1). Более одного такого пропуска в адресе не допускается
"Аппаратный адрес"	Аппаратный адрес - уникальный идентификатор, присваиваемый каждой единице активного оборудования или некоторым их интерфейсам в вычислительных сетях. Аппаратный адрес, как правило, представляет собой MAC-адрес и определяется 6 октетами, между которыми ставят разделитель ":". Пример описания: AA:BB:CC:DD:EE:FF
"Версия ПО"	Указывают полную версию ПО в текстовом виде. Рекомендовано представить в виде A.B.C.D, где: A - мажорная версия (изменение номера мажорной версии ПО происходит при глобальном изменении функциональности); - В - минорная версия (изменение номера минорной версии ПО происходит при введении новой функциональности, ведущей к программной несовместимости со старой версией);
	- C - номер релиза (изменение номера релиза ПО происходит при каждом публичном выпуске обновления ПО, не обозначенном в A и B. Как правило, номерами релизов обозначают выходы исправлений ошибок); - D - номер сборки (изменение номера сборки ПО происходит при любой новой сборке ПО). - "." - разделитель. Пример описания: 1.3.7.248
"Адрес электронной почты"	Указывают адрес электронной почты, состоящий из двух частей, разделенных символом "@". Левая часть указывает имя почтового ящика. Правая часть адреса указывает доменное имя того сервера, на котором расположен почтовый ящик. Адрес электронной почты определен в соответствии с разделом 3.4 международной спецификации [1]. Пример описания: info@org.ru

6.1.2 Для каждого типа события безопасности как минимум должна быть зарегистрирована информация, состав и содержание которой представлены в таблице 2.

Таблица 2 - Состав и содержание регистрируемой информации


Состав регистрируемой информации	Содержание регистрируемой информации
Дата и время	Включает информацию о дате и времени, в которое было зарегистрировано соответствующее событие безопасности. Формат "Дата/время"
Идентификатор	Представляет собой уникальный идентификатор события безопасности, который должен позволять однозначно идентифицировать событие безопасности в электронном журнале регистрации событий безопасности соответствующего средства, осуществляющего регистрацию событий безопасности, и связанный с ним ожидаемый набор параметров регистрируемой информации. Формат "Текст". Указывают уникальную (для соответствующего средства) последовательность чисел, обозначающую числовой код события безопасности
Наименование	Позволяет определить действие в информационной (автоматизированной) системе, которое привело к его регистрации. Формат "Текст". Указывают краткое наименование события безопасности. Примеры наименования событий безопасности приведены в примечаниях к типам событий безопасности, указанных в приложениях А и Б
Субъект доступа	Представляет собой имя учетной записи пользователя или иные идентификационные данные, позволяющие сопоставить субъект доступа с событием безопасности. В случае невозможности определения субъекта доступа (например, при компьютерных атаках, направленных на отказ в обслуживании) данное поле следует оставить пустым. Формат "Текст"
Тип	Указывают в соответствии с приложениями А и Б. Формат "Текст"
Уровень важности	Влияет на приоритетность обработки события безопасности. Формат "Набор значений". Принимаемые значения: аварийный/фатальный/ критический/высокий/средний/низкий/отладочный

6.1.3 Для каждого типа события безопасности дополнительно может быть зарегистрирована информация, состав и содержание которой представлены в таблице 3.

Таблица 3 - Состав и содержание дополнительной регистрируемой информации


Состав регистрируемой информации	Содержание регистрируемой информации
Идентификационная информация средства, осуществляющего регистрацию	Представляет собой уникальный идентификатор средства, осуществляющего регистрацию событий безопасности, который должен позволять идентифицировать события безопасности, зарегистрированные конкретным средством. Формат "Текст". Указывают наименование средства или идентификатор средства
Порядковый номер	Номер, указывающий место конкретной регистрационной записи в последовательности регистрационных записей соответствующего средства, осуществляющего регистрацию событий безопасности (если возможно). Формат "Целое число". Указывают уникальный числовой номер события
Объект доступа	Представляет собой идентификатор (сетевое имя, сетевой адрес, идентификатор процесса и т.п.), позволяющий связать субъект доступа с объектом доступа в части события безопасности (если возможно). Формат "Текст"

6.2 Требования к составу и содержанию регистрируемой информации для типов событий безопасности

Доступ к полной версии документа ограничен

Полный текст этого документа доступен на портале с 20 до 24 часов по московскому времени 7 дней в неделю.

Также этот документ или информация о нем всегда доступны в профессиональных справочных системах «Техэксперт» и «Кодекс».

Нужен полный текст и статус документов ГОСТ, СНИП, СП?
Попробуйте «Техэксперт: Лаборатория. Инспекция. Сертификация» бесплатно

Реклама. Рекламодатель: Акционерное общество "Информационная компания "Кодекс". 2VtzqvQZoVs

Получить доступ