ФСТЭК выпустил рекомендации по базовой настройке регистрации событий безопасности
Федеральная служба по техническому и экспортному контролю (ФСТЭК) обновила методические рекомендации, детально описывающие минимальный набор регистрируемых событий безопасности, требования к их хранению и конкретные настройки для операционных систем Windows и Linux, подробнее в материале SecPost.
Федеральная служба по техническому и экспортному контролю (ФСТЭК) России опубликовала документ «Рекомендации по базовой настройке регистрации событий безопасности». Как сообщили в службе, документ призван унифицировать подходы к сбору данных аудита в информационных системах.
Согласно опубликованным рекомендациям, в инфраструктуре необходимо обеспечить регистрацию широкого спектра событий. В обязательный перечень входят успешные и неуспешные попытки авторизации и доступа, изменения конфигурации, запуск и завершение процессов, действия администраторов, использование системных учетных записей и правил, создание и удаление системных объектов, операции импорта и экспорта данных, а также сетевые сбои.
Состав регистрируемых событий для каждой конкретной информационной системы, как уточняет ФСТЭК, должен определяться с учетом национального стандарта ГОСТ Р 59548-2022 «Защита информации. Регистрация событий безопасности. Требования к регистрируемой информации».
В рекомендациях подчеркивается необходимость обязательной фиксации временных меток и идентификационных данных, таких как IP-адрес источника и идентификатор пользователя. Собранные события безопасности, согласно документу, должны храниться не менее трех месяцев, а объем хранилищ журналов должен быть достаточным для полноценного анализа. Также требуется организовать резервное копирование журналов в обособленное хранилище, физически отделенное от основной инфраструктуры.
Для операционных систем Windows и Linux в приложениях к документу приведены детальные инструкции по настройке. В случае Windows, как следует из рекомендаций, требуется настроить расширенную политику аудита, включив запись успешных и неуспешных попыток для десятков подкатегорий, таких как вход в систему, управление учетными записями, доступ к объектам и изменение политик. Для Linux основной инструмент — служба Auditd, правила для которой настраиваются с помощью утилиты auditctl. Рекомендуемые правила включают аудит изменений критичных файлов конфигурации, отслеживание запуска приложений и мониторинг системных вызовов.
Для сертифицированных ФСТЭК средств защиты информации, межсетевых экранов и телекоммуникационного оборудования настройку регистрации необходимо выполнять в соответствии с их эксплуатационной документацией. Финальным этапом, согласно рекомендациям, является внедрение сертифицированных средств мониторинга событий информационной безопасности или организация постоянного контроля журналов с помощью доступных инструментов, например, Zabbix.
Ранее редакция SecPost готовила обзор рекомендаций ФСТЭК, посвящённых защите почтового сервера Microsoft.
