Требования к реализации СОВ.2: Оператором должно обеспечиваться обновление базы решающих правил системы обнаружения вторжений, применяемой в информационной системе.
Обновление базы решающих правил системы обнаружения вторжений должно предусматривать:
получение уведомлений о необходимости обновлений и непосредственном обновлении базы решающих правил;
получение из доверенных источников и установку обновлений базы решающих правил;
контроль целостности обновлений базы решающих правил.
Правила и процедуры обновления базы решающих правил регламентируются в организационно-распорядительных документах оператора по защите информации.
Требования к усилению СОВ.2:
1) в информационной системе должно обеспечиваться централизованное управление обновлением базы решающих правил системы обнаружения вторжений;
2) в информационной системе должна обеспечиваться возможность редактирования базы решающих правил (добавление и (или) исключение решающих правил) со стороны уполномоченных должностных лиц (администраторов) для предотвращения определенных оператором компьютерных атак и (или) сокращения нагрузки на информационную систему, а также минимизации ложных срабатываний системы обнаружения вторжений;
3) оператором информационной системы устанавливается порядок редактирования базы решающих правил. В случае редактирования базы решающих правил запись об этом событии с указанием произведенных изменений фиксируется в соответствующем журнале регистрации событий безопасности.
Содержание базовой меры СОВ.2:
Мера защиты | Класс защищенности информационной системы | |||
информации | 4 | 3 | 2 | 1 |
СОВ.2 | + | + | ||
Усиление СОВ.2 | 1, 2, 3 | |||