12. Рекомендации по обеспечению наличия технических данных на этапах создания и эксплуатации информационной инфраструктуры
12. Рекомендации по обеспечению наличия технических данных на этапах создания и эксплуатации информационной инфраструктуры 
12.1. Для обеспечения наличия и сохранности технических данных для цели реагирования на инциденты ИБ организации БС РФ рекомендуется:
- установить ограничения и организовать контроль использования административных учетных записей для объектов информационной инфраструктуры, являющихся источниками технических данных;
- установить ограничения на совмещение одним лицом полномочий по использованию административных учетных записей разных объектов информационной инфраструктуры, являющихся источниками технических данных, в том числе установить ограничения на выполнение одним лицом функций администратора операционных систем, СУБД, целевых систем;
- принятие мер по мониторингу сообщений о выявленных уязвимостях объектов информационной инфраструктуры, являющихся источниками технических данных, и по реагированию на них в соответствии с РС БР ИББС-2.6, направленных на обеспечение невозможности использования уязвимостей для несанкционированного отключения протоколирования и повреждения технических данных, сокрытия нарушителем своих действий;
- принятие мер по контролю фактического состава технических средств и систем - источников технических данных путем применения средств инвентаризации и оценки защищенности целевых систем;
- протоколирование всех действий с данными протоколов (журналов) регистрации, в том числе действий по отключению ведения и (или) очистке протоколов (журналов);
- принятие организационных мер по ограничению использования "непротоколируемых" административных учетных записей, например, путем разделения административного пароля на две части для цели реализации принципа "двойного контроля";
- обеспечение постоянного формирования и контроля формирования технических данных - протоколов (журналов) регистрации, являющихся потенциальной содержательной (семантической) информацией, состав которой определен в пунктах 7.10 - 7.17 настоящего стандарта. Обеспечение ведения протоколов (журналов) регистрации реализуется путем соответствующего выбора, настройки и (или) создания следующих источников технических данных:
- операционные системы;
- целевые системы;
- средства (системы) аутентификации, авторизации и разграничения доступа;
- средства антивирусной защиты информационной инфраструктуры;
- средства криптографической защиты информации;
- средства защиты от несанкционированного доступа;
- маршрутизаторы и средства межсетевого экранирования, в том числе средства межсетевого экранирования прикладного уровня;
- DHCP- и DNS-сервисы;
- средства обнаружения вторжений и сетевых атак в информационную инфраструктуру;
- средства, используемые для предоставления удаленного доступа (VPN-шлюзы);
- почтовые серверы и средства контентной фильтрации электронной почты;
- web-серверы и средства контентной фильтрации web-протоколов;
- СУБД;
- обеспечить периодическое тестирование ведения протоколов (журналов) регистрации, например, путем периодического проведения тестирования на проникновение с имитацией возможных действий нарушителя по реализации инцидентов ИБ;
- обеспечивать адаптацию содержания протоколов (журналов) регистрации, состава источников технических данных, формирующих протоколы (журналы) регистрации, с учетом появления новых инцидентов ИБ, опыта организации БС РФ по реагированию на них.
12.2. Организации БС РФ рекомендуется учитывать, что разные технические средства и системы - источники технических данных могут формировать разный состав сведений об одном и том же инциденте ИБ. К примеру, целевая система может регистрировать факт выполнения несанкционированной операции, но не идентифицировать источник сообщения, инициировавшего операцию, на сетевом уровне взаимодействия. Средства защиты сетевого уровня могут регистрировать факт поступления сообщения и его источник, но не регистрировать операцию, инициированную сообщением. Таким образом, рекомендуется обеспечивать формирование, сбор и сопоставление всех возможных технических данных об инциденте ИБ с максимально возможной избыточностью.
12.3. Организации БС РФ рекомендуется обеспечить применение для всех целевых систем унифицированного состава технических средств и систем - источников технических данных, а также реализовать систему централизованного сбора и хранения протоколов (журналов) регистрации (например, SIEM систему).
При реализации системы централизованного сбора и хранения протоколов (журналов) регистрации рекомендуется обеспечить:
- централизованный сбор и хранение технических данных протоколов (журналов) регистрации, формируемых источниками технических данных, указанных в пункте 12.1 настоящего стандарта;
- реализация сбора технических данных путем комбинации следующих способов:
- путем периодического автоматического копирования протоколов (журналов) регистрации;
- путем получения данных, передаваемых с помощью протоколов аудита и диагностики (в том числе SYSLOG, SNMP);
- путем периодического сбора данных о фактическом составе технических средств и систем - источников технических данных путем использования средств инвентаризации и оценки защищенности, протоколов удаленного администрирования (системного сканирования);
- путем копирования сетевого трафика;
- контроль работоспособности технических средств, применяемых для сбора протоколов (журналов) регистрации;
- хранение собранных технических данных, в том числе архивное хранение, обеспечивающее:
- контроль и протоколирование доступа к собранным техническим данным;
- реализация защитных мер, направленных на обеспечение конфиденциальности, целостности и доступности собранных технических данных;
- обеспечение запрета единоличного изменения и (или) удаления собранных технических данных;
- возможность установления сроков оперативного хранения технических данных;
- архивное хранение по истечении срока оперативного хранения, реализуемое при необходимости внешними системами архивного хранения;
- возможность доступа к архивным данным о событиях информационной безопасности для цели анализа в течение трех лет;
- реализацию защиты собранных технических данных от несанкционированного доступа, двустороннюю аутентификацию при использовании общедоступных вычислительных сетей, в том числе информационно-телекоммуникационной сети Интернет, для цели передачи указанных данных;
- гарантированную доставку данных о событиях информационной безопасности;
- приведение однотипных технических данных, формируемых разными источниками технических данных, к унифицированному формату;
- возможность объединения и корреляции технических данных, сформированных разными источниками технических данных, в пределах одного общего инцидента ИБ;
- приведение (синхронизация) временных меток записей электронных журналов событий ИБ к единому часовому поясу и единому эталонному времени, для чего рекомендуется:
- использование в качестве основного сигнала точного времени спутниковой системы "ГЛОНАСС" <1>:
--------------------------------
<1> Допустимо использование интернет-сервисов точного времени, погрешность которых должна быть достаточной для целей выявления и анализа событий ИБ.
- использование в информационной инфраструктуре специального оборудования, содержащего в своем составе приемники сигналов спутниковой системы "ГЛОНАСС" - сервер времени информационной инфраструктуры (Time Server);
- осуществление синхронизации системного времени технических средств, являющихся источниками технических данных, с сервером времени информационной инфраструктуры с одновременным документированием выполнения этой операции;
- осуществление синхронизации системного времени видеорегистраторов, установленных в корпусах технических средств, являющихся источниками технических данных, систем видеонаблюдения и систем контроля доступа, с одновременным документированием выполнения этой операции.
