Логирование, аудит и управление инцидентами

Логирование, аудит и управление инцидентами#

Логирование событий безопасности#

В системе реализованы механизмы сбора и накопления журналов доступа и событий безопасности.

Система не выполняет функции SIEM. Журналы событий безопасности могут передаваться во внешние системы сбора и анализа в целях выявления инцидентов информационной безопасности. Передача осуществляется в независимое хранилище с использованием протокола SYSLOG, в том числе с поддержкой форматов JSON и CEF.

Журналы информационной безопасности фиксируют события аутентификации, ошибки входа, управление правами, сессии и другие события безопасности. События логируются через специализированный логгер в формате CEF. Настройка журналирования и параметров экспорта выполняется в соответствии с документацией по настройке логирования событий информационной безопасности.

Защита журналов#

Доступ к журналам осуществляется в соответствии с ролевой моделью доступа и предоставляется только уполномоченным пользователям.

Журналы используются для мониторинга событий, расследования инцидентов и контроля корректности работы системы.

В журналах исключается хранение чувствительных данных: паролей, ключей доступа, токенов и реквизитов аутентификации. Если хранение чувствительной информации необходимо, применяются механизмы ограничения доступа и криптографической защиты.

В системе реализованы механизмы регистрации и обработки событий информационной безопасности, включая контроль действий пользователей и подключений к системе.

Журналы защищены от несанкционированного изменения и удаления в пределах реализованных механизмов разграничения доступа и администрирования системы.

Для журналов могут применяться регламентированные сроки хранения, архивирования и очистки в соответствии с внутренними процедурами эксплуатации и требованиями заказчика.

Аудит пользовательской активности#

Система обеспечивает регистрацию и аудит действий пользователей, включая:

  • доступ к данным;

  • вызовы сервисных интерфейсов;

  • действия, выполняемые в рамках пользовательских сеансов;

  • события аутентификации и подключения к системе;

  • создание, изменение и удаление объектов.

Для событий аудита фиксируются временные метки, идентификаторы пользователей и сведения о выполняемых операциях. Эти данные используются для мониторинга, расследования инцидентов и анализа действий в системе.

Аудит настраивается на уровне классов с сохранением данных в таблицах аудита и доступен для просмотра через интерфейс системы. Подробнее см. раздел Аудит пользовательской активности.

Синхронизация времени осуществляется с использованием протокола NTP. Это обеспечивает согласованность временных меток и корректность корреляции событий аудита.

Управление инцидентами#

При выявлении инцидентов информационной безопасности проводится анализ причин, разрабатываются корректирующие меры и при необходимости выпускаются обновления системы.

Подготовлены эксплуатационные материалы и инструкции по развертыванию, эксплуатации и устранению нештатных ситуаций.

Учет и устранение выявленных уязвимостей#

В системе реализованы меры по учету и устранению уязвимостей:

  • выявление уязвимостей на этапах проектирования и разработки (security by design);

  • учет результатов внутренних и внешних проверок безопасности;

  • классификация уязвимостей по уровню риска;

  • устранение выявленных уязвимостей;

  • контроль актуальности реализованных мер при обновлении системы.

Дополнительно применяются следующие меры:

  • защита от внедрения SQL-кода за счет проверки, фильтрации и экранирования пользовательских данных;

  • защита от межсайтового выполнения сценариев (XSS) путем обязательного экранирования пользовательского ввода.

Содержание