Пункт 1.5 Приказа ОАЦ №66: как обеспечить сбор и хранение информации о функционировании СВТ, телеком-оборудования и СЗИ

Смысл требования

Пункт 1.5 касается не событий информационной безопасности как таковых, а информации о функционировании технической основы информационной системы. Это принципиально иной слой данных. Если пункты 1.1–1.4 посвящены тому, какие события ИБ регистрируются, как они хранятся и как мониторятся, то пункт 1.5 требует отдельно собирать и сохранять сведения о работе средств вычислительной техники, телекоммуникационного оборудования и средств защиты информации.

В прикладном смысле речь идёт о подтверждаемой истории функционирования технических компонентов ИС: состоянии сервисов и устройств, перезапусках, отказах, деградации, доступности, изменениях режимов работы, авариях и иных эксплуатационно значимых признаках. Без такого слоя данных владелец ИС может видеть только итоговый инцидент, но не иметь возможности восстановить, как вели себя узлы и средства защиты до его наступления, в момент возникновения и после него.

Формулировка требования

Приложение 3 к Положению о порядке технической и криптографической защиты информации в информационных системах, раздел «Аудит безопасности», пункт 1.5: «обеспечение сбора и хранения информации о функционировании средств вычислительной техники, телекоммуникационного оборудования и средств защиты информации в течение установленного срока хранения, но не менее одного года».

Обязательность применения

По таблице приложения 3 требование пункта 1.5 является обязательным для всех классов типовых ИС: 4-ин, 4-спец, 4-бг, 4-юл, 4-дсп, 3-ин, 3-спец, 3-бг, 3-юл, 3-дсп. Рекомендательного режима для него не предусмотрено.

Норма устанавливает нижнюю границу срока хранения — не менее одного года. Следовательно, владелец ИС обязан организовать такой режим хранения, при котором сведения о функционировании соответствующих технических средств не утрачиваются ранее этого срока, независимо от объёма инфраструктуры и выбранной платформы мониторинга.

Что именно здесь подлежит пониманию и разграничению

На практике пункт 1.5 нередко смешивают с пунктами о журналировании событий ИБ и с требованием пункта 2.2 о контроле работоспособности, параметров настройки и правильности функционирования. Такое смешение ошибочно. Пункт 1.5 относится именно к накоплению и хранению информации о функционировании, то есть к историческому слою эксплуатационных данных. Пункт 2.2 — это требование о самом контроле работоспособности и корректности функционирования. Иными словами, 2.2 отвечает на вопрос, должен ли владелец контролировать состояние и настройки, а 1.5 — должен ли он собирать и хранить информацию о таком функционировании в течение установленного срока.

В рабочей практике под информацией о функционировании обычно понимают данные о доступности узлов, состоянии интерфейсов и каналов связи, перезапусках, отказах, изменении состояния сервисов, ошибках работы средств защиты, утрате связи с оборудованием, превышении пороговых значений эксплуатационных параметров и иных признаках, позволяющих восстановить историю работы технического контура ИС. Это не буквальный перечень из приказа, а технически и юридически обоснованная интерпретация самого требования в связке с пунктом 2.2.

Что проверяет аудитор или ОАЦ

При проверке исполнения пункта 1.5 оценивается не наличие какого-либо одного экрана мониторинга, а способность владельца ИС подтвердить, что информация о функционировании нужных компонентов действительно собирается и хранится требуемый срок. Проверяющего интересует, какие именно технические средства включены в контур такого сбора, где хранятся данные, как обеспечивается их ретенция и можно ли поднять историческую информацию по конкретному узлу или средству защиты.

• определён ли перечень средств вычислительной техники, телекоммуникационного оборудования и СЗИ, по которым собирается информация о функционировании;
• закреплён ли в ТЗ, ЛПА, эксплуатационном регламенте или ином ОРД порядок такого сбора и срок хранения не менее одного года;
• можно ли фактически показать исторические данные по работе узлов, средств связи и средств защиты;
• не утрачиваются ли данные при ротации, обновлении, отказах, замене оборудования или переполнении хранилища;
• согласована ли модель хранения с архитектурой ИС и с составом активов, отражённых на схемах.

Если владелец ИС может показать только текущий статус оборудования без исторического массива за установленный период, требование исполненным считать затруднительно. Пункт 1.5 требует именно сбора и хранения, а не разового отображения текущего состояния.

Варианты реализации

Организационная модель.

Владелец ИС утверждает перечень контролируемых устройств и средств защиты, устанавливает состав собираемой информации о функционировании, срок хранения, ответственных лиц и порядок контроля полноты архива. Такая модель необходима как управленческая основа, но сама по себе не закрывает требование без технического механизма накопления данных.

Техническая модель локального накопления.

Информация о функционировании собирается на самих системах или на уровне отдельных подсистем мониторинга, а затем архивируется и сохраняется на требуемый срок. Формально такая реализация допустима, если владелец способен доказать, что исторические данные по всем значимым компонентам доступны не менее одного года. Практическое ограничение очевидно: чем больше источников, тем труднее обеспечить полноту и единообразие хранения.

Централизованная модель эксплуатационного мониторинга.

Наиболее устойчивый вариант для большинства реальных ИС. Данные о функционировании технических средств и СЗИ поступают в единый контур мониторинга, где обеспечиваются накопление, ретенция, поиск и извлечение истории. С точки зрения проверки эта модель предпочтительнее, поскольку позволяет быстро показать как текущую картину, так и архив функционирования за прошлые периоды.

Возможность технической реализации и инструменты

Для исполнения пункта 1.5 обычно используются не SIEM как таковые, а системы мониторинга и накопления эксплуатационных данных. Ниже приведены типовые инструменты, которые позволяют закрывать именно задачу сбора и хранения информации о функционировании. Полная настройка каждого из них — отдельная тема.

• Zabbix. Один из наиболее практичных вариантов для централизованного мониторинга серверов, сетевого оборудования и части СЗИ. Позволяет собирать метрики, статусы, события доступности, историю изменений состояния и хранить данные длительный период.
• PRTG Network Monitor. Подходит для сетевой инфраструктуры и смешанной среды. Удобен быстрым развёртыванием и широким набором сенсоров для контроля доступности, загрузки каналов, сервисов и устройств.
• LibreNMS. Рационален для телекоммуникационного оборудования и сетевого контура. Хорошо подходит для инвентаризации и исторического мониторинга интерфейсов, доступности и сетевых параметров.
• Prometheus + Grafana. Эффективны там, где требуется накопление временных рядов, исторический анализ и визуализация эксплуатационных метрик. Особенно полезны для серверов, контейнерных сред и современных прикладных платформ.
• Встроенные средства производителей СЗИ и оборудования. Для части межсетевых экранов, VPN-шлюзов, средств обнаружения атак и иных СЗИ уместно использовать штатные консоли мониторинга, если они позволяют сохранять историю функционирования и обеспечивают требуемый срок хранения либо интеграцию с внешним хранилищем.
• SCOM, Nagios, Pandora FMS и иные системы мониторинга. Могут применяться при наличии соответствующей инфраструктуры и компетенций, если обеспечивают архив функционирования и возможность извлечения исторических данных за установленный срок.

Выбор конкретного инструмента должен определяться не названием продукта, а тем, позволяет ли он собирать и хранить именно эксплуатационные данные по нужным классам активов: серверам, рабочим станциям, сетевым устройствам и средствам защиты. Если система даёт только текущий дашборд без гарантированного годового архива, она не решает задачу пункта 1.5 в полном объёме.

Типичные ошибки при реализации

• смешение информации о функционировании с событиями ИБ и отсутствие разграничения между пунктами 1.5 и 1.1–1.4;
• контроль текущего состояния есть, но исторические данные не сохраняются не менее одного года;
• собирается информация только по серверам, а телекоммуникационное оборудование и СЗИ не включены в контур;
• используется система мониторинга, но срок ретенции не рассчитан и архив обрезается раньше установленного срока;
• внутренние документы не фиксируют перечень контролируемых объектов, состав собираемой информации и порядок хранения;
• при замене оборудования или обновлении платформы исторические данные утрачиваются;
• владелец ИС ориентируется на текущие графики и оповещения, но не может предоставить архив функционирования за прошлые периоды.

Пункт 1.5 нельзя подменять ни общим журналированием событий ИБ, ни разовыми проверками работоспособности. Его предмет — длительное, подтверждаемое хранение информации о том, как функционировали вычислительные средства, телекоммуникационное оборудование и средства защиты информации. Для небольшой ИС допустима более простая модель накопления, если владелец способен доказать полноту и годовой срок хранения. Для сложной и распределённой архитектуры предпочтительна централизованная система эксплуатационного мониторинга с историческим архивом.

С правовой и практической точки зрения требование исполнено тогда, когда владелец ИС может не только показать текущую доступность узлов, но и предоставить историческую информацию об их функционировании за установленный срок, но не менее одного года. Именно в этом состоит отличие пункта 1.5 от смежных требований раздела «Аудит безопасности».