Управление информационной безопасностью. Стандарты СУИБ
Шрифт:
– в ситуациях, когда конфиденциальность играет важную роль, резервные копии необходимо защищать шифрованием.
Операционные процедуры должны контролировать уничтожение резервных копий и выполнение планового резервного копирования для обеспечения его полноты в соответствии с политикой резервного копирования.
Меры резервного копирования индивидуальных систем и сервисов должны регулярно тестироваться на предмет соответствия требованиям планов непрерывности бизнеса. Для критичных систем и сервисов меры резервного копирования должны охватытвать всю системную информацию,
8.5. Протоколирование и мониторинг
Цель: Записывать события и получать фактические данные.
Протоколирование и мониторинг обеспечивают следующие мероприятия:
– протоколирование событий;
– защита логов;
– ведение логов пользователей;
– синхронизация часов.
Протоколирование событий
Меры и средства
Журналы (логи) событий, в которые записываются действия пользователей, ошибки и события ИБ, должны вестить, сохраняться и регулярно пересматриваться.
Рекомендации по реализации
Логи должны включать, при необходимости:
– идентификаторы пользователей;
– системные действия;
– даты, время и детали ключевых событий, например начало и завершение сеанса;
– идентичность и местоположение устройства, по возможности, и идентификатор системы;
– регистрацию успешных и отклоненных попыток доступа к системе;
– регистрацию успешных и отклоненных попыток доступа к данным или другим ресурсам;
– изменения конфигурации системы;
– использование привилегий;
– использование системного и прикладного ПО;
– файлы, к которым был получен доступ, и вид доступа;
– сетевые адреса и протоколы;
– сигналы тревоги системы управления доступом;
– активация и деактивация систем защиты, таких как антивирусы и системы обнаружения вторжения;
– запись операций, сделанных пользователем в приложениях.
Протоколирование событий является фундаментом для автоматических систем мониторинга, создающих объединенные отчеты и сигналы безопасности системы.
Логи событий могут содержать критичную информацию и персональные данные, поэтому должны быть надлежащим образом защищены.
По возможности, системные администраторы не должны иметь полномочий стирать или деактивировать логи своих действий.
Защита логов
Меры и средства
Средства протоколирования и информация в логах должны быть защищены от фальсификации и несанкционированного доступа.
Рекомендации по реализации
Меры защиты направлены на предотвращение несанкционированных изменений в логах и эксплуатационных проблем со средствами протоколирования, включающих:
– изменения типов записываемых сообщений;
– редактирование
– недостаточность объема памяти носителя файл лога, что может привести к отказу записи события или перезаписи последних событий.
Некоторые журналы аудита необходимо архивировать как часть политики хранения записей или в связи с требованиями сбора и хранения правовых доказательств.
Системные логи часто содержат большой объем информации, большинство из которой не нужно для мониторинга ИБ. Поэтому следует определить значительные события для целей мониторинга ИБ, автоматическое копирование соответствующих типов сообщения во второй лог или использование приемлемого системного ПО или инструментов аудита для выполнения опроса и рационализации файла.
Системные логи нуждаются в защите, поскольку если данные в них будут модифицированы или уничтожены, они могут создать фальшивые данные по безопасности.
Логи пользователя
Меры и средства
Действия пользователей (администраторов) системы должны протоколироваться, и логи сохраняться и регулярно пересматриваться.
Рекомендации по реализации
Учетные записи привилегированного пользователя дают возможность для управления логами средств обработки информации, поэтому важно защищать и пересматривать логи для поддержания ответственности привилегированного пользователя.
Система обнаружения вторжения, не управляемая администраторами системы и сети, может использоваться для мониторинга действий по администрированию системы и сети.
Синхронизация часов
Меры и средства
Часы всех систем обработки информации внутри организации или домена безопасности должны быть синхронизированы с единым эталонным источником времени.
Рекомендации по реализации
Внешние и внутренние требования по представлению, синхронизации и точности времени должны быть задокументированы. Эти требования могут быть правовыми, нормативными, договорными требованиями, соответствием стандарту или требованиями для внутреннего мониторинга. В организации должно быть определено стандартное эталонное время.
Подход организации к получению эталонного времени из внешнего источника и достоверной синхронизации внутренних часов должен быть задокументирован и внедрен.
Корректная установка компьютерных часов важна для обеспечения точности логов аудита, которые могут потребоваться для расследований или как доказательство в случае судебного или дисциплинарного разбирательства. Неточные логи аудита могут затруднить такие расследования и навредить достоверности такого доказательства.
Часы, корректируемые по радиовещанию с помощью национальных атомных часов, могут использоваться как главные часы для систем протоколирования. Сетевой протокол времени может использовать все серверы для синхронизации главных часов.
Неудержимый. Книга VIII
8. Неудержимый
Фантастика:
фэнтези
попаданцы
аниме
рейтинг книги
Законы Рода. Том 6
6. Граф Берестьев
Фантастика:
юмористическое фэнтези
аниме
рейтинг книги
Восход. Солнцев. Книга I
1. Голос Бога
Фантастика:
фэнтези
попаданцы
аниме
рейтинг книги
Попаданка
Любовные романы:
любовно-фантастические романы
рейтинг книги
Возлюби болезнь свою
Научно-образовательная:
психология
рейтинг книги
