ГОСТ ISO/TS 22600-3—2013
Аудит обеспечивает поддержку сервисориентировамной архитектуры и сервисов аутентификации и автори
зации.
Понятие учетности (accountability)означает,чтоотдельныелица илисубъекты могут бытьответственными за
выполнение определенныхдействий, например, за получение информироаанногосогласия или за нарушение кон
фиденциальности J18). Учетность обеспечивается с помощью реализации всеобъемлющего технического сервиса
аудита. Аудит обеспечивает регистрацию таких записей о потенциальных нарушениях безопасности, которые
позволяют неопровержимо отследить инициатора действия. Аудит безопасности не только обеспечивает учет
ность. но также и позволяет оценить ущерб, нанесенный системе умышленным действием или инцидентом. Аудит
безопасности, генерируемый действиями других служб безопасности, позволяет проверить правильность их рабо
ты. В распределенной системе централизованный сбор информации аудита и ее централизованная обработка
являются способом обнаружения неправильного использования системы и выдачи тревожных сигналов почти в
режиме реального времени. Чтобы быть эффективным, аудит должен быть всегда включен.
В журнале аудита регистрируются события, имеющие отношение к безопасности и собираемые в целях
потенциального обнаружения вторжения, илидля аудита безопасности, илидля того идля другого. Аудит является
всеобъемлющейфункцией информационной системы здравоохранения, обеспечивающей существенные возмож
ности учетности. Кроме того, аудит обеспечивает проверку правильности системных функций безопасности с
помощью мониторинга доступа пользователей и системы к данным и ресурсам. Журнал аудита генерируется как
побочный продукт деятельности сервисов безопасности, например, в нем регистрируются действия аутентифика
ции. доступа и авторизации (предоставления привилегий), а также информация о других событиях, имеющих отно
шение к безопасности (например, изменение файла). Аудит используется как средство предохранения от
(неавторизованных) действий пользователей, которые должны знать, что их действия регистрируются (обычно
такая информация выводится на экранную форму входа в систему). С помощью анализа журнала аудита можно
оценить степень ущерба, нанесенногодействия злоумышленника.
В системе с распределенной архитектурой, содержащей различные коммерческие готовые компоненты
(commercial off-the-shelf products— COTS), каждый из этих компонентов ведет отдельный журнал аудита в
собственном формате. Даже типы регистрируемых событий могут отличаться от одного компонента к другому
(например, событие «предоставить права доступа» (grant) может иметь смысл в системе управления базами дан
ных, но не в операционной системе). Системные журналы аудита могутсодержать строчные или двоичные записи.
Для просмотра и обработки журналов аудита, которые ведутся коммерческими готовыми компонентами, нередко
требуются специальные программные утилиты. Журналы аудита могут храниться афайловой системе, в таблицах
базы данных и т.д. В системах анализа журналов аудита эти различиядолжны учитываться и нивелироваться.
В распределенных системах аудит ведется в разных местах и разными компонентами, что затрудняет про
смотр и анализ журналов аудита. В таких системах, конечно, крайне желательно консолидировать данные, регис
трируемые в журналах аудита, и переправлять их в центрвльный сервер аудита, где они могут быть приведены к
общему формату и автоматически обработаны с помощью соответствующей утилиты. Доступны несколько таких
коммерческих готовых программ, рассчитанных на сбор, передачу, обработкуи выдачу отчетов о событиях аудита,
которые регистрируются в распределенной системе и исходят из разныхисточников. Поскольку размеры журналов
аудита могут быть значительными, единый центральный сервер аудита является практичным решением управле
ния сборомденныхаудита, не ухудшающим время реакции операционныхсистем. Обработкаданныхаудита может
осуществляться какв пакетном режиме, так и в режиме реального времени.
Автоматизированные инструменты аудита предоставляют возможности идентификации событий разных
уровней безопасности, выполнения автоматического профилирования, выдачи отчетов и тревожных сигналов, а
также хранения, сортировки и поиска потенциальных нарушений безопасности. С помощью автоматизированных
средств можноуправлять сбором журналов аудитав централизованных и распределенныхсистемах.Должновыби
раться такое размещение инструментов аудита, агентов и компонентов (включая средства мониторинга сети в
режиме реальноговремени иобнаружения вторжений), котороеобеспечит максимальную эффективностьсистемы
аудита.
Окончательные правила применения стандартов безопасности и электронной подписи, утвержденные
Министерством здравоохранения и социального обеспечения США (Department of Health and Human
Services — DHHS). содержат требования к аудиту, включая выдачу тревожных сигналов иотчетов о событиях (раз
дел 45 CFR, части 160.162 и 164).
Программные средства, разработанные или предназначенные для использования Управлением по вопро
сам здравоохранения ветеранов (Veterans’ Health Administration) должны либо включать в себя средства аудита,
либо интегрироваться с существующими системами аудита.
Предварительно настроенные отчеты готовятся на основе выбранных критериев документирования критич
ных событий безопасности и предоставления сводной информации, графиков и статистики активности системной
безопасности. Записижурналов аудита могут храниться в файле или вбазеданных. Чтобы регистрировать записи о
событиях, инициируемых всеми пользователями, в настройках системы аудита должна иметься возможность ука
зать признак весе пользователи».
Для получения аудиторской информации анализируются записи журналов аудита. Консолидация журналов
аудита, когда на центральном «сервере аудита» собираются записи из разныхжурналов, облегчает анализ, осуще
ствляемый с помощью автоматизированных средств обработки (как правило) больших объемов информации о
35