ГОСТ Р 59548-2022

ГОСТ Р 59548-2022 «Защита информации. Регистрация событий безопасности. Требования к регистрируемой информации» -- национальный стандарт Российской Федерации, устанавливающий требования к составу и содержанию информации, подлежащей регистрации средствами защиты информации при фиксации событий безопасности.

Общие сведения

• Полное наименование: ГОСТ Р 59548-2022 «Защита информации. Регистрация событий безопасности. Требования к регистрируемой информации»
• Разработчики: ФСТЭК России, ООО «Центр безопасности информации» (ООО «ЦБИ»)
• Технический комитет: ТК 362 «Защита информации»
• Дата введения: 1 февраля 2022 г.
• ОКС: 35.020

Область применения

Стандарт устанавливает требования к составу и содержанию информации, регистрируемой:

• средствами защиты информации (СЗИ), в том числе встроенными в ПО и программно-технические средства
• средствами обеспечения безопасности информационных технологий
• иными программно-техническими средствами, применяемыми в информационных (автоматизированных) системах

Стандарт не устанавливает требований к технической реализации и формату хранения событий безопасности. Для соответствия требованиям достаточно, чтобы средства, осуществляющие регистрацию, предоставляли возможность получения информации о событиях безопасности.

KOMRAD Enterprise SIEM как средство автоматизации мониторинга информационной безопасности принимает и обрабатывает зарегистрированную информацию о событиях безопасности от подключенных источников.

Нормативные ссылки

В стандарте использованы ссылки на следующие документы:

• ГОСТ Р 7.0.64 -- Представление дат и времени. Общие требования
• ГОСТ Р 50922 -- Защита информации. Основные термины и определения
• ГОСТ Р 59547 -- Защита информации. Мониторинг информационной безопасности. Общие положения

Основные определения

Термин	Определение
Регистрация события безопасности	Процесс автоматического (автоматизированного) занесения в электронный журнал записи о событии безопасности
Регистрируемая информация	Сведения о событии безопасности, подлежащие регистрации в электронном журнале
Событие безопасности	Зафиксированное состояние информационной системы, указывающее на возможное нарушение целостности, доступности и (или) конфиденциальности информации, а также на сбой в работе средства защиты/обработки информации
Электронный журнал	Объект (файл) или их совокупность, предназначенные для хранения записей о событиях безопасности

Требования к типам данных

Элементы регистрационной записи о событии безопасности должны соответствовать следующим типам данных:

Тип данных	Описание	Пример
Дата/время	Формат по ГОСТ Р 7.0.64: YYYY-MM-DDThh:mm:ss[.sss]+hh:mm	2019-05-20T18:30:15.587+04:00
Продолжительность	Целочисленная величина; значения: секунда/минута/час/день	3600
Целое число	Целочисленный тип данных	42
Текст	Любая последовательность символов	--
Набор значений	Одно значение из фиксированного набора	успешный / неуспешный
Сетевой адрес	IPv4 или IPv6 адрес	192.168.0.1, fe80::1
Аппаратный адрес	MAC-адрес в формате 6 октетов	AA:BB:CC:DD:EE:FF
Версия ПО	Формат A.B.C.D (мажорная.минорная.релиз.сборка)	1.3.7.248
Адрес электронной почты	Формат имя@домен	info@org.ru

Обязательный состав регистрируемой информации

Для каждого типа события безопасности как минимум должна быть зарегистрирована следующая информация:

Элемент	Описание	Формат
Дата и время	Дата и время регистрации события безопасности	Дата/время
Идентификатор	Уникальный идентификатор события, позволяющий однозначно идентифицировать событие в журнале	Текст
Наименование	Действие в информационной системе, приведшее к регистрации события	Текст
Субъект доступа	Имя учетной записи пользователя или иные идентификационные данные	Текст
Тип	Тип события безопасности в соответствии с классификацией стандарта	Текст
Уровень важности	Приоритетность обработки события	Набор значений

Допустимые значения уровня важности: аварийный, фатальный, критический, высокий, средний, низкий, отладочный.

Дополнительный состав регистрируемой информации

Для каждого типа события безопасности дополнительно может быть зарегистрирована следующая информация:

Элемент	Описание	Формат
Идентификационная информация средства	Уникальный идентификатор средства, осуществляющего регистрацию	Текст
Порядковый номер	Номер регистрационной записи в последовательности	Целое число
Объект доступа	Идентификатор объекта доступа (сетевое имя, адрес, идентификатор процесса)	Текст

Типы событий безопасности

По функциям безопасности СЗИ (Приложение А)

Средства защиты информации регистрируют события безопасности, связанные с реализованными функциями безопасности, включая:

• Идентификация и аутентификация
• Управление доступом
• Регистрация событий безопасности
• Обнаружение вторжений
• Антивирусная защита (обнаружение вредоносных программ в файловой системе, почтовом и сетевом трафике, обновление баз, управление)
• Контроль (анализ) защищенности
• Обеспечение целостности

По мерам защиты (Приложение Б)

Средства обеспечения безопасности информационных технологий регистрируют события, связанные с выполняемыми мерами защиты, включая:

• Изменения состава программного обеспечения
• Изменения параметров настроек средств защиты информации
• Обновление баз уязвимостей
• Проведение контрольных проверок

Применение ГОСТ Р 59548-2022 в KOMRAD Enterprise SIEM

KOMRAD Enterprise SIEM обеспечивает прием, обработку и хранение событий безопасности в соответствии с требованиями ГОСТ Р 59548-2022:

1. Прием событий -- система поддерживает прием событий от источников, регистрирующих информацию в соответствии с требованиями стандарта, включая обязательные и дополнительные поля
2. Нормализация -- входящие события приводятся к единой модели данных, обеспечивающей соответствие типам данных стандарта (дата/время, сетевые адреса, уровни важности)
3. Хранение -- события сохраняются с возможностью поиска по всем полям, определенным стандартом
4. Корреляция -- обработка событий с учетом типов событий безопасности, определенных в приложениях А и Б стандарта
5. Визуализация -- отображение информации о событиях с учетом обязательного состава регистрируемой информации