Регистрация событий информационной безопасности

систем является создание и усовершенствование средств регистрации и анализа событий безопасности. Обычно процесс регистрации событий безопасности в ИС принято называть аудитом.

Возможности аудита существуют во многих операционных системах (ОС) и прикладном программном обеспечении (ПО). Часто подсистемы аудита обеспечивают лишь регистрацию информации о различных событиях, возможности анализа зачастую отсутствуют, а если и существуют, то очень ограниченные. Поэтому для эффективного решения задачи регистрации и анализа событий безопасности требуется специальное программное обеспечение, которое использует данные встроенных подсистем аудита операционных систем и прикладного программного обеспечения.

программ и процессов (заданий, задач), связанных с обработкой персональных данных; 

попытки удаленного доступа. 

В ИСПДн как минимум подлежат регистрации следующие события: 

с действиями от имени привилегированных учетных записей (администраторов);

оператором в перечень событий безопасности, подлежащих регистрации, должны быть включены события, связанные с изменением привилегий учетных записей;

Обязанности оператора по РСБ: 

регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема памяти. Реагирование на сбои при регистрации обязано предусматривать: - предупреждение администраторов при регистрации событий безопасности; - реагирование на сбои при регистрации событий безопасности путем изменения администраторами параметров сбора, записи и хранения информации о событиях безопасности

характера, которое способно повлиять на бизнес-процессы компании, скомпрометировать их или нарушить степень защиты информационной безопасности.

На практике к этому понятию относятся разноплановые события, происходящие в процессе работы с информацией, существующей в электронной форме или на материальных носителях. К ним может относиться и оставление документов на рабочем столе в свободном доступе для другого персонала, и хакерская атака – оба инцидента в равной мере могут нанести ущерб интересам компании.

поставщиками телекоммуникационных услуг;

отказ оборудования по любым причинам, как технического, так и программного характера;

нарушение работы программного обеспечения;

нарушение любых правил обработки, хранения, передачи информации, как электронной, так и документов;

неавторизированный или несанкционированный доступ третьих лиц к информационным ресурсам;

выявление внешнего мониторинга ресурсов;

выявление вирусов или других вредоносных программ;

любая компрометация системы, например, попадание пароля от учетной записи в открытый доступ.

Все эти события должны быть классифицированы, описаны и внесены во внутренние документы компании, регламентирующие порядок обеспечения информационной безопасности.

основные этапы:

обследование автоматизированной системы.
В рамках обследования проводится идентификация основных источников событий безопасности, определение технологии сбора, хранения и обработки данных. По результатам обследования формируются требования к архитектуре и функциональным возможностям системы мониторинга информационной безопасности;

основные этапы:

разработка технического проекта,
в котором описывается конфигурация оборудования и программного обеспечения, порядок внедрения, схема информационных потоков, требования к внешнему окружению системы мониторинга и т.д.;

основные этапы:

обучение сотрудников,
которые будут отвечать за эксплуатацию системы мониторинга информационной безопасности;

основные этапы:

создание пилотного района
для тестового внедрения системы мониторинга информационной безопасности. Если объектом мониторинга является территориально-распределённая система, охватывающая несколько филиалов, то в качестве тестового сегмента, как правило, выбирается наиболее крупное подразделение, на котором можно апробировать решения, описанные в техническом проекте.

основные этапы:

промышленное внедрение системы мониторинга.
Внедрение проводится с учетом результатов, полученных в процессе тестового внедрения системы мониторинга;

основные этапы:

техническое сопровождение системы
мониторинга информационной безопасности.