– в ситуациях, когда конфиденциальность играет важную роль, резервные копии необходимо защищать шифрованием.

Операционные процедуры должны контролировать уничтожение резервных копий и выполнение планового резервного копирования для обеспечения его полноты в соответствии с политикой резервного копирования.

Меры резервного копирования индивидуальных систем и сервисов должны регулярно тестироваться на предмет соответствия требованиям планов непрерывности бизнеса. Для критичных систем и сервисов меры резервного копирования должны охватытвать всю системную информацию, приложения и данные, необходимые для полного восстановления системы на случай разрушения.

8.5. Протоколирование и мониторинг

Цель: Записывать события и получать фактические данные.

Протоколирование и мониторинг обеспечивают следующие мероприятия:

– протоколирование событий;

– защита логов;

– ведение логов пользователей;

– синхронизация часов.

Протоколирование событий

Меры и средства

Журналы (логи) событий, в которые записываются действия пользователей, ошибки и события ИБ, должны вестить, сохраняться и регулярно пересматриваться.

Рекомендации по реализации

Логи должны включать, при необходимости:

– идентификаторы пользователей;

– системные действия;

– даты, время и детали ключевых событий, например начало и завершение сеанса;

– идентичность и местоположение устройства, по возможности, и идентификатор системы;

– регистрацию успешных и отклоненных попыток доступа к системе;

– регистрацию успешных и отклоненных попыток доступа к данным или другим ресурсам;

– изменения конфигурации системы;

– использование привилегий;

– использование системного и прикладного ПО;

– файлы, к которым был получен доступ, и вид доступа;

– сетевые адреса и протоколы;

– сигналы тревоги системы управления доступом;

– активация и деактивация систем защиты, таких как антивирусы и системы обнаружения вторжения;

– запись операций, сделанных пользователем в приложениях.

Протоколирование событий является фундаментом для автоматических систем мониторинга, создающих объединенные отчеты и сигналы безопасности системы.

Логи событий могут содержать критичную информацию и персональные данные, поэтому должны быть надлежащим образом защищены.

По возможности, системные администраторы не должны иметь полномочий стирать или деактивировать логи своих действий.

Защита логов

Меры и средства

Средства протоколирования и информация в логах должны быть защищены от фальсификации и несанкционированного доступа.

Рекомендации по реализации

Меры защиты направлены на предотвращение несанкционированных изменений в логах и эксплуатационных проблем со средствами протоколирования, включающих:

– изменения типов записываемых сообщений;

– редактирование или удаление файлов логов;

– недостаточность объема памяти носителя файл лога, что может привести к отказу записи события или перезаписи последних событий.

Некоторые журналы аудита необходимо архивировать как часть политики хранения записей или в связи с требованиями сбора и хранения правовых доказательств.

Системные логи часто содержат большой объем информации, большинство из которой не нужно для мониторинга ИБ. Поэтому следует определить значительные события для целей мониторинга ИБ, автоматическое копирование соответствующих типов сообщения во второй лог или использование приемлемого системного ПО или инструментов аудита для выполнения опроса и рационализации файла.

Системные логи нуждаются в защите, поскольку если данные в них будут модифицированы или уничтожены, они могут создать фальшивые данные по безопасности.

Логи пользователя

Меры и средства

Действия пользователей (администраторов) системы должны протоколироваться, и логи сохраняться и регулярно пересматриваться.

Рекомендации по реализации

Учетные записи привилегированного пользователя дают возможность для управления логами средств обработки информации, поэтому важно защищать и пересматривать логи для поддержания ответственности привилегированного пользователя.