ГОСТ Р МЭК 62443-3-3-2016. Национальный стандарт Российской Федерации. Сети промышленной коммуникации. Безопасность сетей и систем. Часть 3-3. Требования к системной безопасности и уровни безопасности

6.12 Ответные действия в случае сбоев обработки данных аудита

 

6.12.1 Требование

Система управления должна обеспечивать возможность оповещения персонала о сбое и предотвращения утраты жизненно важных сервисов и функций в случае сбоя обработки данных аудита. Система управления должна обеспечивать возможность поддержания соответствующих действий в ответ на сбой обработки данных аудита в соответствии с общепринятыми промышленными практиками и рекомендациями.

6.12.2 Целесообразность и дополнительная методологическая основа

Инициация аудита обычно происходит на источнике события. Обработка данных аудита включает в себя пересылку записей аудита, возможное снабжение записей дополнительной информацией (например, добавление временной метки) и передачу записей на постоянное хранение. Сбои обработки данных аудита включают в себя, например, программные или аппаратные ошибки, сбои в механизмах сбора данных аудита и заполнение или превышение емкости носителя данных аудита. Руководящие материалы, которые следует учитывать при разработке соответствующих ответных действий, могут включать в себя требования NIST SP800-92. Следует отметить, что перезапись самых первых записей аудита или приостановка генерации файлов регистрации аудита являются возможными ответными действиями в случае превышения емкости носителя данных аудита, однако эти действия влекут потерю потенциально существенной информации для экспертного анализа.

6.12.3 Расширения требований

Отсутствуют.

6.12.4 Уровни безопасности

Далее приведены требования для четырех уровней SL, относящихся к SR 2.10 - Ответные действия в случае сбоев обработки данных аудита:

- SL-C (UC, система управления) 1: SR 2.10;

- SL-C (UC, система управления) 2: SR 2.10;

- SL-C (UC, система управления) 3: SR 2.10;

- SL-C (UC, система управления) 4: SR 2.10.