5. Контур регистрации и аудита событий

Контур регистрации и аудита событий (далее - контур РАС) основывается на применении встроенных в операционные системы и СУБД, прикладное и специальное программное обеспечение средств логирования действий и процессов, специализированных программных средств аудита и контроля за действиями пользователей информационных систем налоговых органов, средств регистрации, средств анализа защищенности и средства обнаружения и предупреждения атак (IDS/IPS). При построении контура РАС необходимо учитывать, что входящие в него элементы должны реализовывать функции безопасности, предусмотренные техническими требованиями Политики информационной безопасности ФНС России в объеме, необходимом для обеспечения требуемого уровня защищенности информационных систем налоговых органов. Элементы контура должны обеспечить:

сбор и анализ данных об активности пользователей информационных систем налоговых органов, в том числе внешних, состоянии системного и прикладного программного обеспечения, всех действиях пользователей и администраторов информационных систем налоговых органов;

обнаружение атак на информационные системы налоговых органов со стороны внешних по отношению к ней сетей, в том числе глобальных информационных сетей (Internet);

оперативное оповещение подразделения ФНС России, отвечающего за обеспечение информационной безопасности о выявленных нарушениях правил (функций) защиты информации, потенциально опасных для безопасности информации действиях и ситуациях;

моделирование попыток несанкционированного доступа к ресурсам ФНС России, определение наиболее уязвимых мест в средствах защиты хранилищ информации (серверы), точках потенциального доступа извне к информации (межсетевые экраны), на рабочих станциях пользователей информационных систем налоговых органов;

анализ прав доступа к информационным ресурсам ФНС России пользователей, в том числе внешних по отношению к информационным системам налоговых органов;

выдачу отчета (оповещения) о найденных уязвимых местах и перечне мер, необходимых для их устранения;

регистрацию событий безопасности по параметрам для установленного класса защищенности и фильтрацию потока первичных событий с применением технических средств корреляции событий, оптимизирующих записи в журналах инцидентов информационной безопасности;

возможность резервного копирования и архивирования данных, образующихся в результате выполнения функций мониторинга, сбора и накопления информации о событиях безопасности и проведения операций над архивами;

возможность организации учета отчуждаемых носителей, предназначенных для работы с защищаемыми информационными ресурсами.

Входящие в состав контура РАС средства анализа защищенности информационных систем налоговых органов должны обеспечивать возможность выявления уязвимостей, связанных с ошибками в конфигурации программного обеспечения информационных систем налоговых органов.

Входящие в состав контура РАС системы обнаружения и предупреждения атак (IDS/IPS) должны иметь возможность регулярного обновления баз сигнатур и должны осуществлять выборочную контекстную проверку трафика в реальном масштабе времени, принимаемого от внешних пользователей информационных систем налоговых органов и взаимодействующих органов государственной власти.