Мониторинг использования систем

 

9.7.2.1 Процедуры и области риска

 

Для обеспечения уверенности в том, что пользователи выполняют только те действия, на которые они были явно авторизованы, необходимо определить процедуры мониторинга использования средств обработки информации. Уровень мониторинга конкретных средств обработки информации следует определять на основе оценки рисков. При мониторинге следует обращать внимание на:

 

а) авторизованный доступ, включая следующие детали:

 

1) пользовательский ID;

 

2) даты и время основных событий;

 

3) типы событий;

 

4) файлы, к которым был осуществлен доступ;

 

5) используемые программы/утилиты;

 

б) все привилегированные действия, такие как:

 

1) использование учетной записи супервизора;

 

2) запуск и останов системы;

 

3) подсоединение/отсоединение устройства ввода/вывода;

 

в) попытки неавторизованного доступа, такие как:

 

1) неудавшиеся попытки;

 

2) нарушения политики доступа и уведомления сетевых шлюзов и межсетевых экранов;

 

3) предупреждения от собственных систем обнаружения вторжения;

 

г) предупреждения или отказы системы, такие как:

 

1) консольные (терминальные) предупреждения или сообщения;

 

2) исключения, записанные в системные журналы регистрации;

 

3) предупредительные сигналы, связанные с управлением сетью.

 

9.7.2.2 Факторы риска

 

Результаты мониторинга следует регулярно анализировать. Периодичность анализов должна зависеть от результатов оценки риска. Факторы риска, которые необходимо при этом учитывать, включают:

 

- критичность процессов, которые поддерживаются бизнес-приложениями;

 

- стоимость, важность или критичность информации;

 

- анализ предшествующих случаев проникновения и неправильного использования системы;

 

- степень взаимосвязи информационных систем организации с другими (особенно с общедоступными) сетями.

 

9.7.2.3 Регистрация и анализ событий

 

Анализ (просмотр) журнала аудита подразумевает понимание угроз, которым подвержена система, и причин их возникновения. Примеры событий, которые могли бы потребовать дальнейшего исследования в случае инцидентов нарушения информационной безопасности, приведены в 9.7.1.

 

Системные журналы аудита часто содержат информацию, значительный объем которой не представляет интереса с точки зрения мониторинга безопасности. Для облегчения идентификации существенных событий при мониторинге безопасности целесообразно рассмотреть возможность автоматического копирования соответствующих типов сообщений в отдельный журнал и/или использовать подходящие системные утилиты или инструментальные средства аудита для подготовки к анализу данных.

 

При распределении ответственности за анализ журнала аудита необходимо учитывать разделение ролей между лицом (лицами), проводящим(и) анализ, и теми, чьи действия подвергаются мониторингу.

 

Особое внимание следует уделять защите собственных средств регистрации, потому что при вмешательстве в их работу может быть получено искаженное представление о событиях безопасности. Мероприятия по управлению информационной безопасностью должны обеспечивать защиту от неавторизованных изменений и эксплуатационных сбоев, включая:

 

- отключение средств регистрации;

 

- изменение типов зарегистрированных сообщений;

 

- редактирование или удаление файлов, содержащихся в журналах аудита;

 

- регистрацию случаев полного заполнения носителей журнальных файлов, а также случаев невозможности записей событий вследствие сбоев либо случаев перезаписи новых данных поверх старых.

 

Синхронизация часов

 

Правильная установка компьютерных часов (таймера) важна для обеспечения точности заполнения журналов аудита, которые могут потребоваться для расследований или как доказательство при судебных или административных разбирательствах. Некорректные журналы аудита могут затруднять такие расследования, а также приводить к сомнению в достоверности собранных доказательств.

 

Там, где компьютер или устройство связи имеют возможность использовать часы в реальном времени, их следует устанавливать по Универсальному Скоординированному Времени (UCT) или местному стандартному времени. Так как некоторые часы, как известно, "уходят вперед" или "отстают", должна существовать процедура, которая проверяет и исправляет любое отклонение или его значимое изменение.

 

9.8 Работа с переносными устройствами и работа в дистанционном режиме

 

Цель: обеспечение информационной безопасности при использовании переносных устройств и средств, обеспечивающих работу в дистанционном режиме.

 

Следует соизмерять требуемую защиту со специфичными рисками работы в удаленном режиме. При использовании переносных устройств следует учитывать риски, связанные с работой в незащищенной среде, и применять соответствующие меры защиты. В случаях работы в дистанционном режиме организация должна предусматривать защиту как места работы, так и соответствующие меры по обеспечению информационной безопасности.