5.1.2 При формировании перечня источников данных следует учитывать необходимость получения следующей информации:

а) данных о событиях безопасности от средств, осуществляющих регистрацию событий безопасности (источников событий безопасности);

б) данных о результатах выявления (поиска) уязвимостей, в том числе:

• в общесистемном (общем) ПО;
• прикладном ПО;
• специальном ПО;
• программно-технических средствах;
• портативных программно-технических средствах;
• коммуникационном (телекоммуникационном) оборудовании;
• средствах ЗИ.

в) данных о результатах контроля обновлений ПО, в том числе:

1. баз данных, необходимых для реализации функций безопасности средства ЗИ (обновление баз данных признаков вредоносных компьютерных программ (вирусов) средств антивирусной защиты, баз сигнатур уязвимостей средств контроля (анализа) защищенности, баз решающих правил систем обнаружения вторжений и других);
2. направленных на устранение уязвимостей средства (средств) ЗИ;
3. направленных на добавление функции (функций) безопасности средства (средств) ЗИ, на совершенствование реализации функции (функций) безопасности средства (средств) ЗИ, на расширение числа поддерживаемых программных и аппаратных платформ (если необходимость таких обновлений была определена по результатам анализа изменения угроз безопасности информации в информационных (автоматизированных) системах, возникающих в ходе их эксплуатации);
4. направленных на устранение уязвимостей общесистемного, прикладного и иного ПО.

г) данных о результатах контроля состава программно-технических средств, ПО и средств ЗИ (инвентаризационных данных), включая:

1. архитектуру информационных (автоматизированных) систем (сетевые адреса и имена);
2. местоположение узлов информационных (автоматизированных) систем;
3. назначение узлов информационных (автоматизированных) систем;
4. функционирующие сетевые службы;
5. сведения об источниках событий безопасности;
6. характеристики программно-технических средств, ПО и средств ЗИ;
7. принадлежность программно-технических средств подразделениям оператора информационных (автоматизированных) систем (сведения о владельцах);
8. принадлежность программно-технических средств соответствующим информационным (автоматизированным) системам;
9. конфигурацию узлов информационных (автоматизированных) систем.

д) данных о результатах контроля соответствия настроек ПО и средств ЗИ установленным требованиям к ЗИ (политикам безопасности);

е) данных о работоспособности (неотключении) ПО и средств ЗИ;

ж) информации о результатах контроля потоков информации, включая:

1. результаты контроля объемов сетевого трафика (входящего и исходящего) по различным типам протоколов и типам передаваемых файлов;
2. результаты контроля содержимого сетевого трафика по различным типам протоколов и файлов в целях выявления запрещенного или подозрительного контента и конфиденциальной информации;
3. результаты контроля потоков ввода/вывода информации при работе со съемными машинными носителями информации в целях выявления запрещенной деятельности, а также запрещенного или подозрительного контента и конфиденциальной информации;
4. результаты контроля вывода информации на печать;
5. результаты контроля подозрительной сетевой активности и выявления компьютерных атак или признаков подготовки к ним, а также несанкционированных действий пользователей в сети (например, попыток несанкционированного доступа пользователей к различным информационным ресурсам или подключения к сети посторонних устройств).

в) результаты контроля состояния беспроводных сетей в целях выявления несанкционированных подключений;

и) данных о действиях пользователей и процессов, необходимых для выявления преднамеренного или непреднамеренного нарушения установленных политик безопасности, регламентов работы, фактов запрещенной деятельности, попыток совершения несанкционированного доступа и утечки конфиденциальной информации, включая:

1. контроль запуска/останова различных процессов;
2. контроль подключения съемных машинных носителей информации и работы с ними;
3. контроль подключения мобильных, беспроводных и других устройств;
4. контроль установки/удаления ПО (компонентов ПО);
5. контроль изменения сетевых настроек автоматизированных рабочих мест и серверов;
6. контроль несанкционированных сетевых соединений с не разрешенными политикой безопасности сетевыми ресурсами;
7. контроль попыток удаленного доступа к автоматизированным рабочим местам и серверам;
8. контроль фактов работы с административными правами и полномочиями;
9. контроль изменения локальных политик безопасности, прав и привилегий;
10. контроль создания и работы с общими ресурсами;
11. контроль открытия «подозрительных» сетевых портов;
12. иные действия пользователей.

к) справочной информации, включая:

1. информацию о показателе доверия (репутации) сетевых адресов, доменных имен, серверов электронной почты, серверов доменных имен;
2. информацию о владельцах сетевых адресов, доменных имен, серверов электронной почты, серверов доменных имен;
3. информацию о местоположении и географической принадлежности сетевых адресов;
4. информацию об известных уязвимостях используемого ПО;
5. информацию о компьютерных сетях, состоящих из управляемых с использованием вредоносного ПО средств вычислительной техники, включая сведения об их управляющих серверах;

л) данных о новых угрозах безопасности информации.

[из 5.1.2 ГОСТ Р 59547-2021]

5.1.4 Источники данных о событиях безопасности могут предоставлять доступ к данным о событиях безопасности одним из следующих способов:

• предоставление источником данных доступа к файлам или базам данных журналов событий безопасности;
• выгрузка данных о событиях безопасности с использованием стандартных протоколов передачи данных;
• предоставление источником данных доступа к данным о событиях безопасности через программный интерфейс приложения или веб-сервис источника.

Примечание - Под веб-сервисом понимают идентифицируемую веб-адресом программную систему со стандартизированными интерфейсами [из 5.1.4 ГОСТ Р 59547-2021]