Выпоняем п. 6.3.4 РС БР ИББС-2.3-2010

Выпоняем п. 6.3.4 РС БР ИББС-2.3-2010


Настройка регистрации входа в ИСПДн (выхода из ИСПДн) субъектов доступа

(обновлено 30.01.2013)
пп. 6.3.4 п. 6.3 РС БР ИББС-2.3-2010 «Требования по обеспечению безопасности персональных данных, обрабатываемых в информационных системах обработки персональных данных, не являющихся биометрическими, не относящихся к специальным категориям и к общедоступным или обезличенным» гласит:
«Регистрация входа в ИСПДн (выхода из ИСПДн) субъекта доступа является обяза­тельной. В журнале регистрации событий, который ведется в электронном виде ИСПДн, указы­ваются следующие параметры:
— дата и время входа в систему (выхода из системы) субъекта доступа;
— идентификатор субъекта, предъявленный при запросе доступа;
— результат попытки входа: успешная или неуспешная (несанкционированная);
— идентификатор (адрес) устройства (компьютера), используемого для входа в систему.»
В СТО БР ИББС-1.2-2010 это уточняющий вопрос № 16 Приложения В, который также связан с частными показателями М3.11 и М3.12.
Существует 2 способа выполнения данного требования:

Способ № 1.
Пуск->Выполнить->gpedit.msc->Конфигурация компьютера->Параметры безопасности->Локальные политики->Политика аудита->Аудит входа в систему. Клик правой кнопки мыши->Свойства->Параметры локальной безопасности. В пункте «Вести аудит следующих попыток доступа» ставим «галочки» во всех чекбоксах, как показано на рисунке:


Текущая политика определяет, будет ли операционная система пользователя, для компьютера которого применяется данная политика аудита, выполнять аудит каждой попытки входа пользователя в систему или выходаиз нее. Также в журнале будет фиксироваться дата и время входа/выхода, идентификатор субъекта (учетная запись пользователя), результат попытки входа/выхода,  идентификатор компьютера.
События будут фиксироваться в журнале «Безопасность» (клик правой кнопкой мыши по иконке «Мой компьютер» ->Управление->Служебные программы->Просмотр событий->Безопасность).
Недостатком данного способа является множество "сторонних" записей в журнале. 

Способ № 2 
1. Создать bat-файл “login.bat” со следующим содержанием и сохранить его в корневую папку диска С:
echo %username%logged into %computername% at %date% %time% >>c:название_файла.txt 
2.Пуск ->Выполнить ->gpedit.msc ->Конфигурация пользователя ->Конфигурация Windows ->Сценарии ->Автозагрузка ->Добавить…

 

3. В поле «Имя сценария» вписать C:login.bat 
4. ОК
5. Создать bat-файл «logout.bat»со следующим содержанием и сохранить его в корневую папку диска С: 
echo %username% logged out of %computername% at %date% %time% >>c:название_файла.txt 
6. Пуск ->Выполнить ->gpedit.msc ->Конфигурация потльзователя ->Конфигурация Windows ->Сценарии ->Завершение работы ->Добавить…
7. В поле «Имя сценария» вписать C:logout.bat

8. ОК.
Журнал событий будет расположен по адресу c:название_файла.txt 
Примечание: если авторизация доменная - скрипты прописываются в политиках безопасности домена, а логи необходимо писать не в >>c:, а в >>Serverlogs$, где "logs" - название папки. 
Достоинство: ведутся только те события, которые нас интересуют и ничего лишнего. 
Недостаток: не фиксируются события о пользователе "Гость".
Возможные ошибки:в журнале событий отсутствует (не записывается) имя пользователя.
Для этого в ветке реестр по адресуHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion Run необходимо создать строковый параметри задать ему имя "logon" со значением "C:login.bat" (писать с кавычками).

    Таким образом мы добьемся записи в журнале имени пользователя при входе. При выходе пока решения не нашел.
    Осталось только прописать в политикепоинформационной безопасностивашей организации, что журнал регистрации входа в ИСПДн (выхода из ИСПДн) субъекта доступа ведется в электронном виде. Там же можно перечислить и другие параметры.

 P.S. если у кого-то имеются другие способы выполнения данного требования, пишите в комментарии.
Alt text

Баги в софте могут влиять на судьбы заключенных в тюрьмах, недобросовестные полицейские находят слабые места в копирайт-защите соцсетей. Смотрите новый выпуск на нашем Yotube канале

Сергей Сторчак

Персональный блог Сергея Сторчака