ГОСТ Р 56045—2014/ISO/IEC TR 27008:2011
Таблица А.2
А.2 Техническая проверка мер и средств контроля и управления для контрольной
регистрации
Мера и средст
во контроля и
управления
Дополнитель
ная техниче
ская информа
ция
ИСО/МЭК 27002 10.10.1. Контрольная регистрация
Необходимо вести и хранить в течение согласованного периода времени кон
трольные журналы, регистрирующие действия пользователей, нештатные си
туации и события информационной безопасности, чтобы помочь в будущих рас
следованиях и проведении контроля управления доступом
Для обнаружения несанкционированных действий по обработке информации
важно создание записей в контрольных журналах, которые используются для
отслеживания действий пользователей, операторов систем, связанных с безо
пасностью событий и систем.
Чтобы можно было проанализировать, происходит ли несанкционированная
деятельность и связанные с безопасностью события, контрольные журналы
должны содержать следующую информацию:
- идентификатор пользователя:
-дату и время;
- основные события, такие как вход в систему и выход из системы;
- идентификатор терминала;
- сетевой адрес и протоколы.
Для создания необходимых записей, включая вышеприведенную информацию,
оборудование, создающее контрольные журналы, должно быть соответствую
щим образом настроено или к нему должны применяться некоторые правила.
Метод протоколирования зависит от структуры и архитектуры системы и реали
зованных приложений.
Аудиторы, проводящие проверку мер и средств контроля и управления инфор
мационной безопасностью, должны учитывать различие методов протоколиро
вания для различной архитектуры систем, например, серверов и ПК.
Примечание - Примеры структурсистемы, которые затрагиваются:
- система клиент-сервер;
- система на базеИнтернет-технологий;
- система «тонкий клиент»:
- виртуализация;
-использование ASP (поставщиков услуг по аренде приложений). SaaS (программного
обеспечения какуслуги)илиоблачных вычислений.
Примерыархитектурсистем, которые затрагиваются:
- UNIX. Linux;
- Windows;
- мэйнфрейм.
Примеры видов контрольныхжурналов, которыезатрагиваются:
- системный журнал;
- контрольныйжурнал прикладныхпрограмм.
Стандарт
реализации
безопасности
l
Должны создаваться контрольные журналы, фиксирующие действия пользова
телей. отклонения от нормы и события, связанные с информационной безопас
ностью. Контрольные журналы должны включать, где это необходимо:
a)идентификаторы пользователей;
b
)дату, время и подробности основных событий, например, входа в систему
и выхода из системы;
c)идентификатор терминала или местонахождение, если это возможно;
d)записи успешных и неудачных попыток доступа к системе.
e)записи успешных и неудачных попыток доступа к данным идругим ресурсам;
0описания изменений в конфигурации системы;
h)описание использования утилит и приложений;
i)файлы, к которым получен доступ, и вид доступа;
j)сетевые адреса и протоколы;
k)сигналы тревоги, производимые системой управления доступом;
)описание активации и деактивации систем защиты, таких как
антивирусные системы и системы обнаружения вторжений
25