В рамках данной заметки наиболее интересен п. 4.2:
В целях регистрации действий при осуществлении логического доступа работников к участку ПС БР и действий, связанных с назначением и распределением прав логического доступа, а также обеспечения хранения указанной информации должно быть обеспечено ведение следующих электронных журналов:
журналов логического доступа к информационным ресурсам ПС БР (далее - журналы логического доступа);
журналов операций, выполненных при осуществлении логического доступа к информационным ресурсам ПС БР (далее - журналы операций);
журналов средств защиты информации.
Сроки хранения журналов логического доступа, журналов операций и журналов средств защиты информации должны составлять не менее трех лет.
В наглядной форме сводные табличные данные по срокам хранения информации представлены у Валерия Васильевича, я же рассмотрю этот вопрос с точки зрения особенностей технической реализации.
Ключевая сложность здесь в том, что большинство программных решений оперирует не длительностью в днях/годах, а объемом хранения, например, операционные системы семейства Microsoft Windows:
А они нам интересны, т.к. ряд средств защиты информации пишет свои события именно в Event Log, в т.ч. средства антивирусной защиты Kaspersky и Dr.Web.
Если говорить о серверах администрирования Kaspersky, то здесь можно оперировать днями:
Максимальное значение: 1 825 (5 лет).
Если о Dr.Web, то объемом:
Если рассматривать средства защиты информации от несанкционированного доступа, то, например, Secret Net может оперировать днями, но в интервале до 365 дней (1 год):
Dallas Lock – хранит без ограничений (архивируя каждые 10 000 записей).
Таким образом, при настройке параметров регистрации там, где это возможно, необходимо выставлять значения в днях не менее 1 095 дней, а лучше больше, если же средство оперирует объемом, то эмпирическим путем подбирать оптимальное значение либо проводить периодическое архивирование журналов.
Стоит отметить, что выбранный вами вариант действий должен быть отражен, как минимум, в следующих документах «Состав и порядок применения организационных мер и технических средств защиты информации на участке ПС БР» и «Акты установки (настройки) СЗ от ВВК».
При этом не стоит забывать о том, что «Журналы средств защиты информации должны быть доступны только работникам службы информационной безопасности. Внесение исправлений в журналы операций не допускается», а также про то, что должен обеспечиваться «доступ к автоматизированному рабочему месту обмена электронными сообщениями с ПС БР только из сегмента локальной вычислительной сети, в котором расположен АРМ обмена ЭС с ПС БР».
В связи с этим, с одной стороны возникает необходимость наличия внешнего защищенного хранилища, например, систем управления данными средствами со своими базами данных и/или решений класса Security Information and Event Management, а с другой – вопрос организации доступа для получения событий. В данном случае в первую очередь необходимо будет рассматривать вариант отправки/экспорта событий с данных узлов сети, но это тема для другой заметки.
Успехов при ведении журналов средств защиты информации в рамках реализации Положения № 552-П!
