# Логирование, аудит и управление инцидентами Раздел описывает механизмы регистрации событий безопасности, аудита действий пользователей, защиты журналов, а также процессы обработки инцидентов и управления уязвимостями. ## Логирование событий безопасности В системе реализованы механизмы сбора и накопления журналов доступа и событий безопасности. Система не выполняет функции SIEM. Все журналы событий безопасности передаются во внешние системы сбора и анализа (SIEM) в целях выявления инцидентов информационной безопасности. Передача осуществляется в независимое хранилище с использованием протокола `SYSLOG` (в том числе с поддержкой форматов `JSON`, `CEF`). ## Защита журналов Доступ к журналам осуществляется на основе ролевой модели. В журналах исключено хранение чувствительных данных либо применяется их шифрование. Реализованы регламенты обработки и реагирования на события информационной безопасности. ## Аудит пользовательской активности Система обеспечивает аудит действий пользователей, включая: - доступ к данным; - вызовы сервисных интерфейсов; - действия в рамках пользовательских сеансов. Для всех транзакций, записанных в журнал аудита, фиксируются временные метки. Метки синхронизируются по протоколу NTP, что обеспечивает корректность аудита и расследования инцидентов. ## Управление инцидентами При выявлении инцидентов информационной безопасности проводится анализ причин, разрабатываются корректирующие меры и при необходимости выпускаются обновления системы. Подготовлены эксплуатационные материалы и инструкции по развертыванию, эксплуатации и устранению нештатных ситуаций. ## Учет и устранение выявленных уязвимостей В системе реализованы меры по учету и устранению уязвимостей: - выявление уязвимостей на этапах проектирования и разработки (`security by design`); - учет результатов внутренних и внешних проверок безопасности; - классификация уязвимостей по уровню риска; - устранение выявленных уязвимостей; - контроль актуальности реализованных мер при обновлении системы. Дополнительно применяются следующие меры: - защита от внедрения SQL-кода за счет проверки, фильтрации и экранирования пользовательских данных; - защита от межсайтового выполнения сценариев (`XSS`) путем обязательного экранирования пользовательского ввода.