ГОСТ Р ИСО/МЭК 17799-2005 Информационная технология. Практические правила управления информационной безопасностью.

- ID пользователей;

- даты и время входа и выхода;

- идентификатор терминала или его местоположение, если возможно;

- записи успешных и отклоненных попыток доступа к системе;

- записи успешных и отклоненных попыток доступа к данным и другим ресурсам. Может потребоваться, чтобы определенные записи аудита были заархивированы для использования их при анализе и расследованиях инцидентов нарушения информационной безопасности, а также в интересах других целей (раздел 12).

9.7.2 Мониторинг использования систем

9.7.2.1 Процедуры и области риска

Для обеспечения уверенности в том, что пользователи выполняют только те действия, на которые они были явно авторизованы, необходимо определить процедуры мониторинга использования средств обработки информации. Уровень мониторинга конкретных средств обработки информации следует определять на основе оценки рисков. При мониторинге следует обращать внимание на:

а) авторизованный доступ, включая следующие детали:

1) пользовательский ID;

2) даты и время основных событий;

3) типы событий;

4) файлы, к которым был осуществлен доступ;

5) используемые программы/утилиты;

б) все привилегированные действия, такие как:

1) использование учетной записи супервизора;

2) запуск и останов системы;

3) подсоединение/отсоединение устройства ввода/вывода;

в) попытки неавторизованного доступа, такие как:

1) неудавшиеся попытки;

2) нарушения политики доступа и уведомления сетевых шлюзов и межсетевых экранов;

3) предупреждения от собственных систем обнаружения вторжения;

г) предупреждения или отказы системы, такие как:

1) консольные (терминальные) предупреждения или сообщения;

2) исключения, записанные в системные журналы регистрации;

3) предупредительные сигналы, связанные с управлением сетью.

9.7.2.2 Факторы риска

Результаты мониторинга следует регулярно анализировать. Периодичность анализов должна зависеть от результатов оценки риска. Факторы риска, которые необходимо при этом учитывать, включают:

- критичность процессов, которые поддерживаются бизнес-приложениями;

- стоимость, важность или критичность информации;

- анализ предшествующих случаев проникновения и неправильного использования системы;

- степень взаимосвязи информационных систем организации с другими (особенно с общедоступными) сетями.

9.7.2.3 Регистрация и анализ событий

Анализ (просмотр) журнала аудита подразумевает понимание угроз, которым подвержена система, и причин их возникновения. Примеры событий, которые могли бы потребовать дальнейшего исследования в случае инцидентов нарушения информационной безопасности, приведены в 9.7.1.

Системные журналы аудита часто содержат информацию, значительный объем которой не представляет интереса с точки зрения мониторинга безопасности. Для облегчения идентификации существенных событий при мониторинге безопасности целесообразно рассмотреть возможность автоматического копирования соответствующих типов сообщений в отдельный журнал и/или использовать подходящие системные утилиты или инструментальные средства аудита для подготовки к анализу данных.

При распределении ответственности за анализ журнала аудита необходимо учитывать разделение ролей между лицом (лицами), проводящим(и) анализ, и теми, чьи действия подвергаются мониторингу.

Особое внимание следует уделять защите собственных средств регистрации, потому что при вмешательстве в их работу может быть получено искаженное представление о событиях безопасности. Мероприятия по управлению информационной безопасностью должны обеспечивать защиту от неавторизованных изменений и эксплуатационных сбоев, включая: