552-П: Ведение журналов средств защиты информации

552-П: Ведение журналов средств защиты информации
Начиная на практике заниматься реализацией и содействием в реализации требований к защите информации в платежной системе Банка России, которые были закреплены в Положении № 552-П, утвержденном Банком России 24.08.2016, решил поделиться информацией, которая может быть полезна.
В рамках данной заметки наиболее интересен п. 4.2:

В целях регистрации действий при осуществлении логического доступа работников к участку ПС БР и действий, связанных с назначением и распределением прав логического доступа, а также обеспечения хранения указанной информации должно быть обеспечено ведение следующих электронных журналов:

журналов логического доступа к информационным ресурсам ПС БР (далее - журналы логического доступа);

журналов операций, выполненных при осуществлении логического доступа к информационным ресурсам ПС БР (далее - журналы операций);

журналов средств защиты информации.

Сроки хранения журналов логического доступа, журналов операций и журналов средств защиты информации должны составлять не менее трех лет.


В наглядной форме сводные табличные данные по срокам хранения информации представлены
здесь у Валерия Васильевича, я же рассмотрю этот вопрос с точки зрения особенностей технической реализации.

Ключевая сложность здесь в том, что большинство программных решений оперирует не длительностью в днях/годах, а объемом хранения, например, операционные системы семейства Microsoft Windows:

e8214485a9682aee8b8ad85f26dfb72d.png

А они нам интересны, т.к. ряд средств защиты информации пишет свои события именно в Event Log, в т.ч. средства антивирусной защиты Kaspersky и Dr.Web.

Если говорить о серверах администрирования Kaspersky, то здесь можно оперировать днями:

328e6fba443fc5de7dfe63d06d99947b.jpg

Максимальное значение: 1 825 (5 лет).


Если о Dr.Web, то объемом:

dc1c306e975eab57408f7a3a5573e349.png


Если рассматривать средства защиты информации от несанкционированного доступа, то, например, Secret Net может оперировать днями, но в интервале до 365 дней (1 год):

2b3fa5814f5b4946b5462edf1ecf591b.png

Dallas Lock – хранит без ограничений (архивируя каждые 10 000 записей).

 
Таким образом, при настройке параметров регистрации там, где это возможно, необходимо выставлять значения в днях не менее 1 095 дней, а лучше больше, если же средство оперирует объемом, то эмпирическим путем подбирать оптимальное значение либо проводить периодическое архивирование журналов.

Стоит отметить, что выбранный вами вариант действий должен быть отражен, как минимум, в следующих документах «Состав и порядок применения организационных мер и технических средств защиты информации на участке ПС БР» и «Акты установки (настройки) СЗ от ВВК».

При этом не стоит забывать о том, что «Журналы средств защиты информации должны быть доступны только работникам службы информационной безопасности. Внесение исправлений в журналы операций не допускается», а также про то, что должен обеспечиваться «доступ к автоматизированному рабочему месту обмена электронными сообщениями с ПС БР только из сегмента локальной вычислительной сети, в котором расположен АРМ обмена ЭС с ПС БР».

В связи с этим, с одной стороны возникает необходимость наличия внешнего защищенного хранилища, например, систем управления данными средствами со своими базами данных и/или решений класса Security Information and Event Management, а с другой – вопрос организации доступа для получения событий. В данном случае в первую очередь необходимо будет рассматривать вариант отправки/экспорта событий с данных узлов сети, но это тема для другой заметки.

Успехов при ведении журналов средств защиты информации в рамках реализации Положения № 552-П!
Alt text

Александр Кузнецов

Заметки про управление в области информационной безопасности и не только