ГОСТ Р ИСО/МЭК 27002-2012
е) деактивацию средств регистрации.
Дополнительная информация
Процедурымониторингаиспользованиясистемнужныдляобеспечения
уверенности в том, что пользователи выполняют только те действия, которые были явно
разрешены.
Анализ журналарегистрацииспособствует пониманию угроз, с которыми
сталкивается система, и каким образом они могут возникать. Примеры событий, для
которых могло бы потребоваться дальнейшее расследование в случае инцидентов
информационной безопасности, приведены в 13.1.1.
10.10.3 Защита информации журналов регистрации
Мера и средство контроля и управления
Средства регистрации и информацию журналов регистрации следует защищать от
повреждения и неавторизованного доступа.
Рекомендация по реализации
Использование мер и средств контроля и управления должно быть нацелено на
защиту от неавторизованных измененийи эксплуатационныхпроблемсредств
регистрации, включая:
a) изменения типов записываемых сообщений;
b
) редактирование или удаление файлов журнала регистрации;
c) превышениеобъемапамятиносителя,содержащегофайлжурнала
регистрации, что может приводить либо к отказу регистрировать события, либо к
затиранию’ информации о событиях, зарегистрированных в последнюю очередь.
Архивация некоторых контрольных журналов может требоваться как часть политики
хранения записей или вследствие требований собирать и хранить доказательство
(см. 13.2.3).
Дополнительная информация
Системные журналы часто содержат большой объем информации, значительная
часть которой не представляет интереса с точки зрения мониторинга безопасности.
Чтобы помочь в выявлении значимых событий в целях мониторинга безопасности,
необходимо рассмотреть возможность автоматической записи соответствующих типов
Запись поверх ранее записанной информации.
93