ГОСТ Р 59548-2022 Защита информации. Регистрация событий безопасности. Требования к регистрируемой информации

Наименование типа данных

Описание типа данных

"Дата/время"

Дату и время указывают в соответствии с ГОСТ Р 7.0.64 в формате: YYYY-MM-DDThh:mm:ss[.sss]±hh:mm,

где YYYY-MM-DD обозначает "год"-"месяц"-"день";

- T - определитель времени, указывающий на начало обозначения элемента времени дня;

- hh:mm:ss[.sss] обозначает элементы времени "час"-"минута"-"секунда"-"миллисекунда", при этом указание миллисекунд не является обязательным;

- "-" и ":" разделители используют в обозначениях даты и времени дня соответственно;

- "±" символ обозначает разность между местным временем и Всемирным координированным временем дня.

Пример описания: 2019-05-20Т18:30:15.587+04:00

"Продолжительность"

Продолжительность указывают в соответствии с ГОСТ Р 7.0.64.

Продолжительность является неотрицательной величиной, приписываемой периоду времени, значение которой равно разности между метками времени конечного момента и начального момента периода времени (если метки времени являются числовыми).

Продолжительность соответствует целочисленному типу данных.

Принимаемые значения: секунда/минута/час/день

"Целое число"

Соответствует целочисленному типу данных

"Текст"

Любая последовательность символов

"Набор значений"

Указывают одно значение из фиксированного набора принимаемых значений (набор значений определяют исходя из особенностей регистрируемой информации)

"Сетевой адрес"

Сетевой адрес - уникальный сетевой идентификатор, присваивающийся каждому участнику сетевого взаимодействия в вычислительной сети.

Сетевой адрес, как правило, представлен двумя версиями: 4-й (IPv4) и 6-й (IPv6).

IP-адрес (IPv4) представляет собой 32-битовое число. Формой записи IP-адреса (IPv4) является запись в виде четырех десятичных чисел значением от 0 до 255, разделенных точками (например, 192.168.0.1).

IP-адрес (IPv6) представляет собой 128-битовое число. Внутри адреса разделителем служит двоеточие (например, 2001:0db8:85a3:0000:0000:8a2e:0370:7334). Ведущие нули допускается в записи опускать. Нулевые группы, идущие подряд, могут быть опущены, вместо них ставят двойное двоеточие (например, fe80:0:0:0:0:0:0:1 можно записать как fe80::1). Более одного такого пропуска в адресе не допускается

"Аппаратный адрес"

Аппаратный адрес - уникальный идентификатор, присваиваемый каждой единице активного оборудования или некоторым их интерфейсам в вычислительных сетях. Аппаратный адрес, как правило, представляет собой MAC-адрес и определяется 6 октетами, между которыми ставят разделитель ":".

Пример описания: AA:BB:CC:DD:EE:FF

"Версия ПО"

Указывают полную версию ПО в текстовом виде. Рекомендовано представить в виде A.B.C.D,

где: A - мажорная версия (изменение номера мажорной версии ПО происходит при глобальном изменении функциональности);

- В - минорная версия (изменение номера минорной версии ПО происходит при введении новой функциональности, ведущей к программной несовместимости со старой версией);

- C - номер релиза (изменение номера релиза ПО происходит при каждом публичном выпуске обновления ПО, не обозначенном в A и B. Как правило, номерами релизов обозначают выходы исправлений ошибок);

- D - номер сборки (изменение номера сборки ПО происходит при любой новой сборке ПО).

- "." - разделитель.

Пример описания: 1.3.7.248

"Адрес электронной почты"

Указывают адрес электронной почты, состоящий из двух частей, разделенных символом "@". Левая часть указывает имя почтового ящика. Правая часть адреса указывает доменное имя того сервера, на котором расположен почтовый ящик. Адрес электронной почты определен в соответствии с разделом 3.4 международной спецификации [1].

Пример описания: info@org.ru

Состав регистрируемой информации

Содержание регистрируемой информации

Дата и время

Включает информацию о дате и времени, в которое было зарегистрировано соответствующее событие безопасности.

Формат "Дата/время"

Идентификатор

Представляет собой уникальный идентификатор события безопасности, который должен позволять однозначно идентифицировать событие безопасности в электронном журнале регистрации событий безопасности соответствующего средства, осуществляющего регистрацию событий безопасности, и связанный с ним ожидаемый набор параметров регистрируемой информации.

Формат "Текст". Указывают уникальную (для соответствующего средства) последовательность чисел, обозначающую числовой код события безопасности

Наименование

Позволяет определить действие в информационной (автоматизированной) системе, которое привело к его регистрации.

Формат "Текст". Указывают краткое наименование события безопасности.

Примеры наименования событий безопасности приведены в примечаниях к типам событий безопасности, указанных в приложениях А и Б

Субъект доступа

Представляет собой имя учетной записи пользователя или иные идентификационные данные, позволяющие сопоставить субъект доступа с событием безопасности. В случае невозможности определения субъекта доступа (например, при компьютерных атаках, направленных на отказ в обслуживании) данное поле следует оставить пустым.

Формат "Текст"

Тип

Указывают в соответствии с приложениями А и Б.

Формат "Текст"

Уровень важности

Влияет на приоритетность обработки события безопасности.

Формат "Набор значений". Принимаемые значения: аварийный/фатальный/ критический/высокий/средний/низкий/отладочный