[МУЗЫКА] Еще один сервис безопасности,
который мы рассмотрим, — это сервис протоколирования и аудита.
Прежде всего дадим понятие инцидента информационной безопасности,
или, иными словами, компьютерного инцидента,
как он формулируется в ряде словосочетаний или в литературе.
Например, такое понятие, как расследование компьютерных инцидентов,
широко распространено.
Так вот, под инцидентом информационной безопасности будем понимать любое событие,
не обязательно злоумышленное, заключающееся в нарушении безопасности,
любого ее аспекта, информации или информационной системы.
В отличие от понятия компьютернего преступления понятие
инцидента не предполагает обязательного наличия злого умысла.
Таким образом, это более широкое понятие.
В определенной мере инцидент — это результат реализации угрозы безопасности
информации.
Если вспомнить четырехкомпонентную модель угроз информации, источник,
далее — уязвимость, источник угрозы воздействует на уязвимость с помощью
некоего воздействия, то есть атаки, и в результате наступают некие последствия, то
есть, собственно говоря, реализуется некий инцидент информационной безопасности.
Протоколирование — это фиксирование информации о событиях,
происходящих в информационной системе, а аудит — это дальнейший анализ
зафиксированной информации как раз таки с целью расследования инцидентов
информационной безопасности и повышения защищенности информационной системы.
Именно на этих двух действиях и основано, как следует из его названия,
действие сервиса безопасности, протоколирования и аудита.
При протоколировании в интересах обеспечения безопасности информации
фиксируется информация не о всех событиях, а только о событиях,
касающихся безопасности информации.
Рекомендуется вносить в журналы регистрации следующие события.
Это минимальный набор событий, относящихся к вопросам безопасности:
вход и выход субъектов доступа, то есть начало и завершение сеансов
работы и доступа; запуск и завершение программ; печать документов;
попытка доступа к защищаемым ресурсам; изменение полномочий субъектов доступа.
Большинство из этих событий связаны с действиями субъектов в
системе и к их возможному доступу к конфиденциальной информации,
а печать документов является одним из способов реализации утечки информации.
Если документ нельзя никоим образом скопировать на носитель,
отправить по электронной почте, снять скриншот,
то существует еще одна возможность его напечатать.
Печатный документ тоже может несанкционированно
покинуть пределы контролируемой территории объекта информатизации,
и таким образом будет реализована утечка.
Поэтому при работе с конфиденциальной информацией, тем более с информацией,
составляющей некую охраняемую законом тайну, крайне рекомендуется все действия,
связанные с печатью документов, как минимум протоколировать, а еще лучше вести
специальные журналы регистрации, в которых отмечать факты печати документов,
указывая, кто напечатал, зачем и в скольки экземплярах.
При протоколировании событий рекомендуется записывать следующие их параметры в
журналы регистрации: дату и время события, это позволяет в дальнейшем восстановить
хронологию событий; идентификатор субъекта, инициировавшего событие,
для того чтобы в дальнейшем определять, кто из субъектов ответственен за то или
иное событие; тип события, а также его результат — успех или неудача,
то есть то, что позволит определить, осуществилось ли что-то в системе или нет,
и если да, то что конкретно; источник запроса, то есть, например,
какой конкретный узел сети явился источником запроса; имена затронутых
объектов и описание изменений, внесенных в базы данных средств защиты информации.
Это, собственно, то, что позволяет определять, какие конкретно изменения
были проведены вследствие того или иного события в информационной системе, и
таким образом оценить, несут ли они ту или иную угрозу для информационной системы,
являются ли они частью реализации некоего вредоносного воздействия.
При протоколировании и аудите рекомендуется строить работу данной
системы по следующему четырехэтапному плану.
Во-первых, сбор и хранение данных — собственно, протоколирование.
Далее, защита собранных данных от модификации,
то есть обеспечение целостности собранной информации.
Далее, интеграция, то есть приведение данных к единому формату,
исключение дублирующих записей и так далее.
И, наконец, анализ собранных и интегрированных данных, то есть,
собственно, аудит.
Данный сервис безопасности предназначен для того,
чтобы администратор безопасности мог бы полностью контролировать события,
происходящие в информационной системе, мог бы восстанавливать хронологию событий
в случае тех или иных инцидентов безопасности и на основе их анализа
повышать защищенность всей информационной системы объекта информатизации.
[МУЗЫКА]