В информационной системе персональных данных (ИСПДн) должны быть определены состав и содержание информации о событиях безопасности, подлежащих регистрации.
Состав и содержание информации о событиях безопасности, включаемой в записи регистрации о событиях безопасности, должны, как минимум, обеспечить возможность идентификации типа события безопасности, даты и времени события безопасности, идентификационной информации источника события безопасности, результат события безопасности (успешно или неуспешно), субъект доступа (пользователь и (или) процесс), связанный с данным событием безопасности.
При регистрации входа (выхода) субъектов доступа в ИСПДн и загрузки (останова) операционной системы состав и содержание информации должны, как минимум, включать дату и время входа (выхода) в систему (из системы) или загрузки (останова) операционной системы, результат попытки входа (успешная или неуспешная), результат попытки загрузки (останова) операционной системы (успешная или неуспешная), идентификатор, предъявленный при попытке доступа.
При регистрации подключения машинных носителей информации и вывода персональных данных на носители информации состав и содержание регистрационных записей должны, как минимум, включать дату и время подключения машинных носителей информации и вывода персональных данных на носители информации, логическое имя (номер) подключаемого машинного носителя информации, идентификатор субъекта доступа, осуществляющего вывод персональных данных на носитель информации.
При регистрации запуска (завершения) программ и процессов (заданий, задач), связанных с обработкой персональных данных состав и содержание регистрационных записей должны, как минимум, включать дату и время запуска, имя (идентификатор) программы (процесса, задания), идентификатор субъекта доступа (устройства), запросившего программу (процесс, задание), результат запуска (успешный, неуспешный).
При регистрации попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам состав и содержание регистрационных записей должны, как минимум, включать дату и время попытки доступа к защищаемому файлу с указанием ее результата (успешная, неуспешная), идентификатор субъекта доступа (устройства), спецификацию защищаемого файла (логическое имя, тип).
При регистрации попыток доступа программных средств к защищаемым объектам доступа (техническим средствам, узлам сети, линиям (каналам) связи, внешним устройствам, программам, томам, каталогам, записям, полям записей) состав и содержание информации должны, как минимум, включать дату и время попытки доступа к защищаемому объекту с указанием ее результата (успешная, неуспешная), идентификатор субъекта доступа (устройства), спецификацию защищаемого объекта доступа (логическое имя (номер).
При регистрации попыток удаленного доступа к ИСПДн состав и содержание информации должны, как минимум, включать дату и время попытки удаленного доступа с указанием ее результата (успешная, неуспешная), идентификатор субъекта доступа (устройства), используемый протокол доступа, используемый интерфейс доступа и (или) иную информацию о попытках удаленного доступа к ИСПДн.
Состав и содержание информации о событиях безопасности, подлежащих регистрации, отражаются в организационно-распорядительных документах оператора персональных данных по защите персональных данных.
Требования к усилению РСБ.2:
1) в ИСПДн обеспечивается запись дополнительной информации о событиях безопасности, включающую:
а) полнотекстовую запись привилегированных команд (команд, управляющих системными функциями);
б) запись сетевых потоков (дампов), связанных с событием безопасности;
2) в ИСПДн обеспечивается централизованное управление записями регистрации событий безопасности в рамках сегментов ИСПДн, определяемых оператором персональных данных, и (или) ИСПДн в целом;
3) в ИСПДн обеспечивается индивидуальная регистрация пользователей групповых учетных записей (локальные и доменные группы пользователей);
4) в ИСПДн обеспечивается регистрация информации о месте (в частности сетевой адрес, географическая привязка и (или) другая информация), с которого осуществляется вход субъектов доступа в ИСПДн;
5) в ИСПДн состав и содержание регистрационных записей при регистрации запуска процессов (приложений) должны включать следующие сведения:
а) параметров запуска процесса (приложения);
б) продолжительность работы;
в) объекты доступа, к которым осуществлялось обращение процесса (приложения);
г) использованные процессом (приложением) устройства;
6) в ИСПДн обеспечивается запись следующей информации, связанной с доступом к объектам доступа (в частности к файлам):
а) тип доступа (в том числе чтение, исполнение, запись и (или) иные типы);
б) изменение атрибутов объектов доступа(права доступа, контрольные суммы, размер, содержание, путь, тип и (или) иные атрибуты);
в) продолжительность доступа.
Содержание базовой меры РСБ.2:
| Мера защиты персональных данных | Уровень защищенности персональных данных | |||
| 4 | 3 | 2 | 1 | |
| РСБ.2 | + | + | + | + |
| Усиление РСБ.2 | 1а | 1а | ||