# Логирование, аудит и управление инцидентами

## Логирование событий безопасности

В системе реализованы механизмы сбора и накопления журналов доступа и событий безопасности.

Система не выполняет функции SIEM. Журналы событий безопасности могут передаваться во внешние системы сбора и анализа в целях выявления инцидентов информационной безопасности. Передача осуществляется в независимое хранилище с использованием протокола `SYSLOG`, в том числе с поддержкой форматов `JSON` и `CEF`.

Журналы информационной безопасности фиксируют события аутентификации, ошибки входа, управление правами, сессии и другие события безопасности. События логируются через специализированный логгер в формате CEF. Настройка журналирования и параметров экспорта выполняется в соответствии с документацией по [настройке логирования событий информационной безопасности](https://help.globalerp.ru/books/GlobalServerAppGuide/SNAPSHOT/html/080_addition/120_структуры_аудита.html#cef).

## Защита журналов

Доступ к журналам осуществляется в соответствии с ролевой моделью доступа и предоставляется только уполномоченным пользователям.

Журналы используются для мониторинга событий, расследования инцидентов и контроля корректности работы системы.

В журналах исключается хранение чувствительных данных: паролей, ключей доступа, токенов и реквизитов аутентификации. Если хранение чувствительной информации необходимо, применяются механизмы ограничения доступа и криптографической защиты.

В системе реализованы механизмы регистрации и обработки событий информационной безопасности, включая контроль действий пользователей и подключений к системе.

Журналы защищены от несанкционированного изменения и удаления в пределах реализованных механизмов разграничения доступа и администрирования системы.

Для журналов могут применяться регламентированные сроки хранения, архивирования и очистки в соответствии с внутренними процедурами эксплуатации и требованиями заказчика.

## Аудит пользовательской активности

Система обеспечивает регистрацию и аудит действий пользователей, включая:

- доступ к данным;
- вызовы сервисных интерфейсов;
- действия, выполняемые в рамках пользовательских сеансов;
- события аутентификации и подключения к системе;
- создание, изменение и удаление объектов.

Для событий аудита фиксируются временные метки, идентификаторы пользователей и сведения о выполняемых операциях. Эти данные используются для мониторинга, расследования инцидентов и анализа действий в системе.

Аудит настраивается на уровне классов с сохранением данных в таблицах аудита и доступен для просмотра через интерфейс системы. Подробнее см. раздел [Аудит пользовательской активности](https://help.globalerp.ru/books/GlobalServerAppGuide/SNAPSHOT/html/030_class/service/050_Безопасность_и_сист_управление.html#id6).

Синхронизация времени осуществляется с использованием протокола NTP. Это обеспечивает согласованность временных меток и корректность корреляции событий аудита.

## Управление инцидентами

При выявлении инцидентов информационной безопасности проводится анализ причин, разрабатываются корректирующие меры и при необходимости выпускаются обновления системы.

Подготовлены эксплуатационные материалы и инструкции по развертыванию, эксплуатации и устранению нештатных ситуаций.

## Учет и устранение выявленных уязвимостей

В системе реализованы меры по учету и устранению уязвимостей:

- выявление уязвимостей на этапах проектирования и разработки (`security by design`);
- учет результатов внутренних и внешних проверок безопасности;
- классификация уязвимостей по уровню риска;
- устранение выявленных уязвимостей;
- контроль актуальности реализованных мер при обновлении системы.

Дополнительно применяются следующие меры:

- защита от внедрения SQL-кода за счет проверки, фильтрации и экранирования пользовательских данных;
- защита от межсайтового выполнения сценариев (`XSS`) путем обязательного экранирования пользовательского ввода.