"Методический документ. Меры защиты информации в государственных информационных системах" (утв. ФСТЭК России 11.02.2014)

СОВ.2 ОБНОВЛЕНИЕ БАЗЫ РЕШАЮЩИХ ПРАВИЛ

Требования к реализации СОВ.2: Оператором должно обеспечиваться обновление базы решающих правил системы обнаружения вторжений, применяемой в информационной системе.

Обновление базы решающих правил системы обнаружения вторжений должно предусматривать:

получение уведомлений о необходимости обновлений и непосредственном обновлении базы решающих правил;

получение из доверенных источников и установку обновлений базы решающих правил;

контроль целостности обновлений базы решающих правил.

Правила и процедуры обновления базы решающих правил регламентируются в организационно-распорядительных документах оператора по защите информации.

Требования к усилению СОВ.2:

1) в информационной системе должно обеспечиваться централизованное управление обновлением базы решающих правил системы обнаружения вторжений;

2) в информационной системе должна обеспечиваться возможность редактирования базы решающих правил (добавление и (или) исключение решающих правил) со стороны уполномоченных должностных лиц (администраторов) для предотвращения определенных оператором компьютерных атак и (или) сокращения нагрузки на информационную систему, а также минимизации ложных срабатываний системы обнаружения вторжений;

3) оператором информационной системы устанавливается порядок редактирования базы решающих правил. В случае редактирования базы решающих правил запись об этом событии с указанием произведенных изменений фиксируется в соответствующем журнале регистрации событий безопасности.

Содержание базовой меры СОВ.2:

Мера защиты информации

Класс защищенности информационной системы

4

3

2

1

СОВ.2

+

+

Усиление СОВ.2

1, 2, 3

СОВ.1 Обнаружение вторжений 3.8. Контроль (анализ) защищенности информации (АНЗ)