В автоматизированных системах (АС) реализованы механизмы регистрации и учёта доступа программ субъектов к различным критически важным ресурсам, включая:

• Терминалы и ЭВМ
• Узлы сети ЭВМ и каналы связи
• Внешние устройства ЭВМ
• Программы и исполняемые файлы
• Тома, каталоги, файлы, записи, поля записей

Эти механизмы обеспечивают безопасность, аудит, защиту данных и контроль доступа в АС.

Цели регистрации и учёта доступа

• Контроль и аудит действий пользователей и программ.
• Защита информации от несанкционированного доступа.
• Выявление подозрительной активности.
• Анализ инцидентов безопасности.
• Соблюдение нормативных требований.

Регистрация доступа к терминалам и ЭВМ

Что фиксируется?

• Имя пользователя и идентификатор процесса.
• Время начала и завершения сессии.
• IP-адрес и MAC-адрес устройства.
• Способ аутентификации (пароль, смарт-карта, биометрия).
• Попытки входа (успешные и неудачные).
• Команды и программы, запущенные во время сессии.

Где ведётся регистрация?

• Журналы ОС – Windows Event Log, Linux /var/log/auth.log.
• SIEM-системы – централизованный сбор логов.
• Системы мониторинга сессий (session recording) – Ekran System, ObserveIT.

Учёт доступа к узлам сети и каналам связи

Что фиксируется?

• Попытки подключения к сетевым узлам (локальным и удалённым).
• Используемые протоколы (SSH, RDP, SMB, FTP, HTTP/S).
• Объём переданных данных.
• Время установления и разрыва соединения.
• Статус соединения (успешно, отказано в доступе).

Где ведётся регистрация?

• Журналы межсетевых экранов (firewall logs) – FortiGate, Cisco ASA, iptables.
• Системы IDS/IPS – обнаружение аномалий в сетевом трафике.
• Логирование – учёт удалённых подключений.

Регистрация доступа к внешним устройствам ЭВМ

Что фиксируется?

• Подключение USB-устройств (флешки, внешние диски).
• Использование принтеров и сканеров.
• Подключение Bluetooth- и Wi-Fi-устройств.
• Попытки копирования данных на съёмные носители.

Где ведётся регистрация?

• DLP-системы (Device Control) – контроль съёмных носителей.
• Групповые политики Windows (GPO) – управление доступом к устройствам.
• Sysmon, AuditD – логирование подключений к системе.

Учёт доступа к программам и исполняемым файлам

Что фиксируется?

• Запуск программ и процессов.
• Идентификатор пользователя и процесса.
• Используемые файлы и каталоги.
• Попытки запуска запрещённых программ.

Где ведётся регистрация?

• Windows Defender Application Control (WDAC), AppLocker – контроль запуска ПО.
• Linux auditd – слежение за исполняемыми файлами.
• SIEM и EDR-системы – обнаружение вредоносных программ.

Регистрация доступа к файловой системе

Что фиксируется?

• Операции с файлами (чтение, запись, удаление, создание).
• Попытки доступа к защищённым файлам.
• Изменения в файловой структуре (создание каталогов).
• Копирование файлов на внешние устройства или в облако.

Где ведётся регистрация?

• Windows File Auditing, Linux inotify/auditd – контроль файловых операций.
• DLP-системы – предотвращение утечек данных.
• Журналы облачных хранилищ (OneDrive, Google Drive, Dropbox).

Контроль доступа к записям и полям записей в базах данных

Что фиксируется?

• Кто и когда запрашивал данные.
• Какие поля и записи были просмотрены или изменены.
• Попытки несанкционированного доступа.
• Запросы SQL (SELECT, INSERT, UPDATE, DELETE).

Где ведётся регистрация?

• Журналы баз данных (SQL Server Audit, PostgreSQL pgAudit, Oracle Audit Trail).
• Системы DAM (Database Activity Monitoring) – Imperva, IBM Guardium.
• Журналы SIEM – анализ SQL-запросов.

Анализ и отчётность

• Генерация отчётов по активности пользователей и программ.
• Выявление аномального поведения – массовый доступ к файлам, подозрительные подключения.
• Настройка оповещений о критических событиях.

Вывод

В АС реализованы регистрация и учёт доступа программ субъектов ко всем ключевым ресурсам: терминалам, ЭВМ, сети, внешним устройствам, файлам, программам и базам данных. Это обеспечивает защиту информации, аудит действий пользователей и предотвращение инцидентов безопасности.

---