Логирование, аудит и управление инцидентами

Логирование, аудит и управление инцидентами#

Раздел описывает механизмы регистрации событий безопасности, аудита действий пользователей, защиты журналов, а также процессы обработки инцидентов и управления уязвимостями.

Логирование событий безопасности#

В системе реализованы механизмы сбора и накопления журналов доступа и событий безопасности.

Система не выполняет функции SIEM. Все журналы событий безопасности передаются во внешние системы сбора и анализа (SIEM) в целях выявления инцидентов информационной безопасности. Передача осуществляется в независимое хранилище с использованием протокола SYSLOG (в том числе с поддержкой форматов JSON, CEF).

Защита журналов#

Доступ к журналам осуществляется на основе ролевой модели.

В журналах исключено хранение чувствительных данных либо применяется их шифрование.

Реализованы регламенты обработки и реагирования на события информационной безопасности.

Аудит пользовательской активности#

Система обеспечивает аудит действий пользователей, включая:

  • доступ к данным;

  • вызовы сервисных интерфейсов;

  • действия в рамках пользовательских сеансов.

Для всех транзакций, записанных в журнал аудита, фиксируются временные метки. Метки синхронизируются по протоколу NTP, что обеспечивает корректность аудита и расследования инцидентов.

Управление инцидентами#

При выявлении инцидентов информационной безопасности проводится анализ причин, разрабатываются корректирующие меры и при необходимости выпускаются обновления системы.

Подготовлены эксплуатационные материалы и инструкции по развертыванию, эксплуатации и устранению нештатных ситуаций.

Учет и устранение выявленных уязвимостей#

В системе реализованы меры по учету и устранению уязвимостей:

  • выявление уязвимостей на этапах проектирования и разработки (security by design);

  • учет результатов внутренних и внешних проверок безопасности;

  • классификация уязвимостей по уровню риска;

  • устранение выявленных уязвимостей;

  • контроль актуальности реализованных мер при обновлении системы.

Дополнительно применяются следующие меры:

  • защита от внедрения SQL-кода за счет проверки, фильтрации и экранирования пользовательских данных;

  • защита от межсайтового выполнения сценариев (XSS) путем обязательного экранирования пользовательского ввода.

Содержание