Требования к реализации РСБ.2: В информационной системе должны быть определены состав и содержание информации о событиях безопасности, подлежащих регистрации.
Состав и содержание информации о событиях безопасности, включаемой в записи регистрации о событиях безопасности, должны, как минимум, обеспечить возможность идентификации типа события безопасности, даты и времени события безопасности, идентификационной информации источника события безопасности, результат события безопасности (успешно или неуспешно), субъект доступа (пользователь и (или) процесс), связанный с данным событием безопасности.
При регистрации входа (выхода) субъектов доступа в информационную систему и загрузки (останова) операционной системы состав и содержание информации должны, как минимум, включать дату и время входа (выхода) в систему (из системы) или загрузки (останова) операционной системы, результат попытки входа (успешная или неуспешная), результат попытки загрузки (останова) операционной системы (успешная или неуспешная), идентификатор, предъявленный при попытке доступа.
При регистрации подключения машинных носителей информации и вывода информации на носители информации состав и содержание регистрационных записей должны, как минимум, включать дату и время подключения машинных носителей информации и вывода информации на носители информации, логическое имя (номер) подключаемого машинного носителя информации, идентификатор субъекта доступа, осуществляющего вывод информации на носитель информации.
При регистрации запуска (завершения) программ и процессов (заданий, задач), связанных с обработкой защищаемой информации состав и содержание регистрационных записей должны, как минимум, включать дату и время запуска, имя (идентификатор) программы (процесса, задания), идентификатор субъекта доступа (устройства), запросившего программу (процесс, задание), результат запуска (успешный, неуспешный).
При регистрации попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам состав и содержание регистрационных записей должны, как минимум, включать дату и время попытки доступа к защищаемому файлу с указанием ее результата (успешная, неуспешная), идентификатор субъекта доступа (устройства), спецификацию защищаемого файла (логическое имя, тип).
При регистрации попыток доступа программных средств к защищаемым объектам доступа (техническим средствам, узлам сети, линиям (каналам) связи, внешним устройствам, программам, томам, каталогам, записям, полям записей) состав и содержание информации должны, как минимум, включать дату и время попытки доступа к защищаемому объекту с указанием ее результата (успешная, неуспешная), идентификатор субъекта доступа (устройства), спецификацию защищаемого объекта доступа (логическое имя (номер).
При регистрации попыток удаленного доступа к информационной системе состав и содержание информации должны, как минимум, включать дату и время попытки удаленного доступа с указанием ее результата (успешная, неуспешная), идентификатор субъекта доступа (устройства), используемый протокол доступа, используемый интерфейс доступа и (или) иную информацию о попытках удаленного доступа к информационной системе.
Состав и содержание информации о событиях безопасности, подлежащих регистрации, отражаются в организационно-распорядительных документах оператора по защите информации.
Требования к усилению РСБ.2:
1) в информационной системе обеспечивается запись дополнительной информации о событиях безопасности, включающую:
а) полнотекстовую запись привилегированных команд (команд, управляющих системными функциями);
б) запись сетевых потоков (дампов), связанных с событием безопасности;
2) в информационной системе обеспечивается централизованное управление записями регистрации событий безопасности в рамках сегментов информационной системы, определяемых оператором, и (или) информационной системы в целом;
3) в информационной системе обеспечивается индивидуальная регистрация пользователей групповых учетных записей*;
_______________
* Локальные и доменные группы пользователей.
4) в информационной системе обеспечивается регистрация информации о месте (в частности сетевой адрес, географическая привязка и (или) другая информация), с которого осуществляется вход субъектов доступа в информационную систему;
5) в информационной системе состав и содержание регистрационных записей при регистрации запуска процессов (приложений) должны включать следующие сведения:
а) параметров запуска процесса (приложения);
б) продолжительность работы;
в) объекты доступа, к которым осуществлялось обращение процесса (приложения);
г) использованные процессом (приложением) устройства;
6) в информационной системе обеспечивается запись следующей информации, связанной с доступом к объектам доступа (в частности к файлам):
а) тип доступа (в том числе чтение, исполнение, запись и (или) иные типы);
б) изменение атрибутов объектов доступа (права доступа, контрольные суммы, размер, содержание, путь, тип и (или) иные атрибуты);