12.1. Для обеспечения наличия и сохранности технических данных для цели реагирования на инциденты ИБ организации БС РФ рекомендуется:
- установить ограничения и организовать контроль использования административных учетных записей для объектов информационной инфраструктуры, являющихся источниками технических данных;
- установить ограничения на совмещение одним лицом полномочий по использованию административных учетных записей разных объектов информационной инфраструктуры, являющихся источниками технических данных, в том числе установить ограничения на выполнение одним лицом функций администратора операционных систем, СУБД, целевых систем;
- принятие мер по мониторингу сообщений о выявленных уязвимостях объектов информационной инфраструктуры, являющихся источниками технических данных, и по реагированию на них в соответствии с РС БР ИББС-2.6, направленных на обеспечение невозможности использования уязвимостей для несанкционированного отключения протоколирования и повреждения технических данных, сокрытия нарушителем своих действий;
- принятие мер по контролю фактического состава технических средств и систем - источников технических данных путем применения средств инвентаризации и оценки защищенности целевых систем;
- протоколирование всех действий с данными протоколов (журналов) регистрации, в том числе действий по отключению ведения и (или) очистке протоколов (журналов);
- принятие организационных мер по ограничению использования "непротоколируемых" административных учетных записей, например, путем разделения административного пароля на две части для цели реализации принципа "двойного контроля";
- обеспечение постоянного формирования и контроля формирования технических данных - протоколов (журналов) регистрации, являющихся потенциальной содержательной (семантической) информацией, состав которой определен в пунктах 7.10-7.17 настоящего стандарта. Обеспечение ведения протоколов (журналов) регистрации реализуется путем соответствующего выбора, настройки и (или) создания следующих источников технических данных:
- операционные системы;
- целевые системы;
- средства (системы) аутентификации, авторизации и разграничения доступа;
- средства антивирусной защиты информационной инфраструктуры;
- средства криптографической защиты информации;
- средства защиты от несанкционированного доступа;
- маршрутизаторы и средства межсетевого экранирования, в том числе средства межсетевого экранирования прикладного уровня;
- DHCP- и DNS-сервисы;
- средства обнаружения вторжений и сетевых атак в информационную инфраструктуру;
- средства, используемые для предоставления удаленного доступа (VPN-шлюзы);
- почтовые серверы и средства контентной фильтрации электронной почты;
- web-серверы и средства контентной фильтрации web-протоколов;
- СУБД;
- обеспечить периодическое тестирование ведения протоколов (журналов) регистрации, например, путем периодического проведения тестирования на проникновение с имитацией возможных действий нарушителя по реализации инцидентов ИБ;
- обеспечивать адаптацию содержания протоколов (журналов) регистрации, состава источников технических данных, формирующих протоколы (журналы) регистрации, с учетом появления новых инцидентов ИБ, опыта организации БС РФ по реагированию на них.
12.2. Организации БС РФ рекомендуется учитывать, что разные технические средства и системы - источники технических данных могут формировать разный состав сведений об одном и том же инциденте ИБ. К примеру, целевая система может регистрировать факт выполнения несанкционированной операции, но не идентифицировать источник сообщения, инициировавшего операцию, на сетевом уровне взаимодействия. Средства защиты сетевого уровня могут регистрировать факт поступления сообщения и его источник, но не регистрировать операцию, инициированную сообщением. Таким образом, рекомендуется обеспечивать формирование, сбор и сопоставление всех возможных технических данных об инциденте ИБ с максимально возможной избыточностью.
12.3. Организации БС РФ рекомендуется обеспечить применение для всех целевых систем унифицированного состава технических средств и систем - источников технических данных, а также реализовать систему централизованного сбора и хранения протоколов (журналов) регистрации (например, SIEM систему).
При реализации системы централизованного сбора и хранения протоколов (журналов) регистрации рекомендуется обеспечить:
- централизованный сбор и хранение технических данных протоколов (журналов) регистрации, формируемых источниками технических данных, указанных в пункте 12.1 настоящего стандарта;
- реализация сбора технических данных путем комбинации следующих способов: