ГОСТ Р МЭК 62443-3-3-2016. Национальный стандарт Российской Федерации. Сети промышленной коммуникации. Безопасность сетей и систем. Часть 3-3. Требования к системной безопасности и уровни безопасности

6.10 SR 2.8 - События, подлежащие аудиту

 

6.10.1 Требование

Система управления должна обеспечивать возможность генерации записей аудита, относящихся к безопасности, для следующих категорий: управление доступом, ошибки запроса, события операционной системы, события системы управления, события дублирования и замещения, изменения в конфигурациях, потенциальная разведывательная активность и события журнала регистрации аудита. Отдельно взятые записи аудита должны включать в себя временную метку, источник (исходное устройство, программный процесс или учетную запись пользователя - физического лица), категорию, тип, ID события и результат события.

6.10.2 Целесообразность и дополнительная методологическая основа

Цель этого требования - фиксация наступления важных событий, которые необходимо подвергать аудиту как существенные и значимые для безопасности системы управления. Аудит активности пользователей может отражаться на функционировании систем управления. Функцию аудита безопасности обычно координируют с функцией мониторинга работоспособности и состояния сети, которая может быть реализована и принадлежать другой зоне безопасности. При составлении перечня событий, подлежащих аудиту, следует учитывать общепризнанные и одобренные формы и руководства по конфигурированию. Политики и регламенты безопасности по возможности должны определять те события, подлежащие аудиту, которые допускают поддержание исследований постфактум инцидентов безопасности. Кроме того, желательно, чтобы записей аудита было достаточно для отслеживания эффективности и корректного функционирования механизмов безопасности, применяемых для обеспечения соответствия требованиям настоящего стандарта.

Следует отметить, что требование фиксации событий применимо в контексте функциональности конкретной системы, точнее, в контексте требований безопасности конкретной системы для отдельно взятого уровня. Например, требование фиксации событий аутентификации (в категории управления доступом) в системе с SL 1 применимо только к уровню функциональности аутентификации, требуемому для SL 1 в соответствии с требованиями раздела 5. События могут наступать в любом компоненте системы управления (например, события входа в систему) или отслеживаться посредством специализированных мониторов. Например, сканирование портов может быть зафиксировано системой обнаружения несанкционированных проникновений (IDS) или системой предотвращения несанкционированных проникновений (IPS).

6.10.3 Расширения требований

6.10.3.1 SR 2.8 RE 1 - Централизованно управляемый системный журнал аудита

Система управления должна обеспечивать возможность централизованного управления событиями аудита и компоновки записей аудита, поступающих от множества компонентов в пределах системы управления в журнал коррелированного во времени аудита масштаба системы (логической или физической). Система управления должна обеспечивать возможность экспорта этих записей аудита в форматах промышленных стандартов для их анализа посредством стандартных коммерческих инструментов анализа файлов регистрации, например средств управления информацией и событиями безопасности (SIEM).

6.10.3.2 Пусто

6.10.4 Уровни безопасности

Далее приведены требования для четырех уровней SL, относящихся к SR 2.8 - События, подлежащие аудиту:

- SL-C (UC, система управления) 1: SR 2.8;

- SL-C (UC, система управления) 2: SR 2.8;

- SL-C (UC, система управления) 3: SR 2.8 (1);

- SL-C (UC, система управления) 4: SR 2.8 (1).