воскресенье, 20 марта 2011 г.

Практика ИБ \ Процедуры анализа журналов регистрации событий в соответствии с PCI DSS. Часть 3

Продолжение Руководства по организации процедур анализа журналов регистрации событий в соответствии с требованиями PCI DSS. (Первые две части - здесь и здесь). Третья часть посвящена доказательствам выполнения процедур анализа журналов регистрации событий.

Во третьей части рассмотрены следующие вопросы:
  • Подтверждение проведения анализа журналов регистрации событий
  • Доказательство журналирования событий
  • Доказательство выполнения анализа журналов регистрации событий
  • Доказательство выполнения обработки необычных событий
  • Журнал регистрации расследованных необычных событий
  • Рекомендуемый формат журнала регистрации расследованных необычных событий
  • Пакет доказательств соответствия требованиям PCI DSS
  • Отчеты для руководства
  • Периодические оперативные задачи
  • Ежедневные задачи
  • Еженедельные задачи
  • Ежемесячные задачи
  • Ежеквартальные задачи
  • Ежегодные задачи


Важной частью организации процедур анализа журналов регистрации событий, направленной на обеспечение соответствия требованиям PCI DSS, является обеспечение наличия необходимых доказательств для подтверждения создания и реального выполнения этих процедур. Хорошей новостью здесь является тот факт, что те же самые данные могут использоваться при подготовке отчетности для руководства по ведению и анализу журналов регистрации событий, таким образом, доказательства будут собираться не только для обеспечения соответствия требованиям PCI DSS.

Какие нужны документы для доказательства создания процесса анализа журналов регистрации событий? Распространенным заблуждением является уверенность в том, что для доказательства наличия этого процесса достаточно просто иметь актуальные журналы регистрации событий. Это не так, ведь «иметь журналы» – это совсем не то же самое, что «выполнять анализ журналов».

В отличие от других разделов настоящего Руководства, здесь мы рассмотрим, в том числе, доказательства самого процесса журналирования событий, а не только анализа журналов, поскольку второй процесс полностью зависит от первого.

В качестве подсказки, у нас есть перечень основных доказательств, которые потребуются при проведении проверки на соответствие требованиям PCI DSS. Вот этот перечень:
  • Наличие и достаточность процесса журналирования
  • Наличие и реализация процессов анализа журналов регистрации событий
  • Наличие и реализация процесса обработки необычных событий
Теперь мы можем организовать сбор доказательств для этих областей, а затем построить соответствующие процессы.


Первой категорией доказательств является наличие и достаточность процесса журналирования. Это самая простая категория из трех. Доказательством будет служить следующее:
  1. Утвержденная Политика ведения журналов регистрации событий, в которой указаны типы журналируемых событий и состав информации для каждого из них.
  2. Конфигурационные файлы систем и приложений, реализующие вышеуказанную Политику.
  3. Журналы регистрации событий этих систем и приложений, соответствующие Политике.
Как было сказано ранее, только ваш QSA может судить о том, какие доказательства нужны вашей компании для соответствия PCI DSS.


Второй категорией доказательств является наличие и реализация процессов анализа журналов регистрации событий. Это несколько труднее доказать, по сравнению с первой категорией. Доказательством будет служить следующее:
  1. Утвержденная Политика ведения журналов регистрации событий, в которой предусмотрено ведение анализа журналов регистрации событий.
  2. Утвержденные оперативные процедуры, детализирующие конкретные шаги процесса анализа журналов регистрации событий.
  3. Записи (отчеты) о выполнении задач по анализу журналов регистрации событий соответствующим персоналом (некоторые системы управления журналами регистрации событий сами ведут журнал, в который записывается информация о проанализированных отчетах и событиях). Результатом должен стать некий «журнал регистрации событий анализа журналов регистрации событий».
  4. Кроме того, записи (отчеты) о проведении расследований по необычным событиям (рассматриваются далее) также служат косвенным доказательством выполнения анализа журналов регистрации событий.

Третьей категорией доказательств является наличие и реализация процесса обработки необычных событий. Это еще труднее доказать, по сравнению с первыми двумя категориями. Доказательством будет служить следующее:
  1. Утвержденная Политика ведения журналов регистрации событий, в которой предусмотрено выявление и обработка необычных событий.
  2. Утвержденные оперативные процедуры, детализирующие конкретные шаги процесса расследования необычных событий, выявленных в процессе анализа журналов регистрации событий (этот документ).
  3. Журнал регистрации всех расследованных необычных событий и предпринятых мер.
Приведенных выше доказательств должно быть достаточно для проверки соответствия компании требованиям PCI DSS. Теперь давайте более детально рассмотрим процесс создания этих доказательств.

Категория доказательств соответствия требованиям PCI DSSДоказательство соответствияКак создать доказательство?
Доказательство наличия и достаточности процесса журналирования событийУтвержденная Политика ведения журналов регистрации событийРазработать и утвердить Политику, если она отсутствует
Доказательство наличия и достаточности процесса журналирования событийКонфигурационные файлы систем и приложенийПосле выполнения соответствующих настроек, сохранить резервную копию конфигурационных файлов в качестве эталона
Доказательство наличия и достаточности процесса журналирования событийЖурналы регистрации событий этих систем и приложенийФормировать и сохранять примеры журналов регистрации событий в качестве доказательства процесса журналирования
Доказательство наличия и реализации процессов анализа журналов регистрации событийУтвержденная Политика ведения журналов регистрации событийРазработать и утвердить Политику, если она отсутствует
Доказательство наличия и реализации процессов анализа журналов регистрации событийУтвержденные оперативные процедурыЭтот документ (оформить и утвердить)
Доказательство наличия и реализации процессов анализа журналов регистрации событийЗаписи (отчеты) о выполнении задач по анализу журналов регистрации событийЛибо использовать возможности системы автоматизированного анализа журналов регистрации событий, либо вести журнал выполнения задач анализа журналов регистрации событий
Доказательство наличия и реализации процессов анализа журналов регистрации событийЗаписи (отчеты) о проведении расследований по необычным событиямВести журнал регистрации всех расследованных необычных событий и предпринятых мер
Доказательство наличия и реализации процесса обработки необычных событийУтвержденная Политика ведения журналов регистрации событийРазработать и утвердить Политику, если она отсутствует
Доказательство наличия и реализации процесса обработки необычных событийУтвержденные оперативные процедурыЭтот документ (оформить и утвердить)
Доказательство наличия и реализации процесса обработки необычных событийЖурнал регистрации всех расследованных необычных событийВести журнал регистрации всех расследованных необычных событий и предпринятых мер или Базу знаний
Таблица 3. Доказательства выполнения требований PCI DSS в части журналирования и анализа событий

Приведенные категории и доказательства напрямую связаны с требованиями раздела 10 PCI DSS и процедурами проверки на соответствие PCI DSS. Наиболее важным пунктом среди них, является ведение журнала регистрации всех расследованных необычных событий и предпринятых мер. Такой журнал может быть прекрасным доказательством соответствия требованиям PCI DSS. В процессе дальнейшего развития, этот журнал может перерасти в «базу знаний» по расследованиям, содержащую всю информацию по проведенным ранее расследованиям необычных событий.

Журнал регистрации расследованных необычных событий

Как создать журнал регистрации расследованных необычных событий, который будет являться надежным доказательством выполнения анализа журналов регистрации событий и расследования необычных событий, как это требуется в разделе 10 PCI DSS? В этот журнал должно записываться все, что связано с анализом и расследованием необычных событий, выявленных в рамках ежедневного анализа журналов регистрации событий. Аналогичный подход применяется в процедурах реагирования на инциденты (например, SANS Incident Response Workflow), но здесь мы используем его в качестве доказательства соответствия.

В журнале должны отмечаться все задействованные системы, все люди, с которыми были проведены беседы, все предпринятые действия, а также их обоснования и результаты выполнения, какие программные средства и команды были использованы (с указанием результатов) и т.д. Ниже приведен рекомендуемый формат записей в журнале регистрации расследованных необычных событий.

Рекомендуемый формат журнала регистрации расследованных необычных событий

1. Дата / время / часовой пояс внесения записи в журнал
2. Ф.И.О. и роль сотрудника, внесшего запись в журнал
3. Причина записи: необычное событие (копируется информация из используемого средства для сбора журналов регистрации событий или из исходного файла журнала регистрации событий – убедитесь, что скопирована вся информация события, особенно обратите внимание на штамп времени, которое будет отличаться от времени в п.1, и на информацию о системе, с которой поступило данное событие (что, когда, где и т.д.))
4. Детальная информация, почему это событие не соответствует профилю «нормальной» деятельности и почему требуется проведение анализа
5. Информация о системе, с которой поступило необычное событие, или к которой относится это событие:
  • Имя узла (hostname)
  • Операционная система
  • Название приложения
  • IP-адрес (адреса)
  • Месторасположение
  • Владелец (если известен)
  • Критичность системы (если определена и применима)
  • Находится ли она под контролем систем Управления обновлениями, Управления изменениями, Контроля целостности файлов и т.п.
6. Информация о пользователе, чьи действия привели к генерации этого события (если применимо)
7. Использованные процедуры проведения расследования, программные средства, снимки экрана и т.п.
8. Выполненные в процессе расследования действия
9. Люди, с которыми контактировали в ходе анализа необычного события
10. Степень влияния на безопасность и соответствие требованиям PCI DSS, определенная в ходе анализа
11. Рекомендуемые действия, направленные на снижение влияния (если требуются)
Пример записи в журнале регистрации расследованных необычных событий
1. Дата / время / часовой пояс внесения записи в журнал: 23.11.2009, 16:15, UTC+03:00
2. Ф.И.О. и роль сотрудника, внесшего запись в журнал: Иванов И.И., аналитик безопасности
3. Причина записи: необычное событие
Дата и время события: 21.10.2009, 22:01:23, UTC+03:00
Система: OLGA.example.com
4. Детальная информация, почему это событие не соответствует профилю «нормальной» деятельности и почему требуется проведение анализа: событие такого типа (Windows Event ID 11) от этого источника (источник: crypt32) раньше никогда не происходило ни на одной из систем, журналы регистрации событий с которых анализируются в компании.
5. Информация о системе, с которой поступило необычное событие, или к которой относится это событие:
  • Имя узла: OLGA.example.com
  • Операционная система: Windows XP SP3
  • Название приложения: не применимо
  • IP-адрес: 10.1.1.1
  • Месторасположение: Центральный офис, кабинет 299
  • Владелец: Петрова О.П., генеральный директор
  • Критичность системы: высокая критичность – основной рабочий компьютер генерального директора
  • Находится ли она под контролем систем Управления обновлениями, Управления изменениями, Контроля целостности файлов и т.п.: да
6. Информация о пользователе, чьи действия привели к генерации этого события: не применимо, событие вызвано не действиями пользователя
7. Использованные процедуры проведения расследования, программные средства, снимки экрана и т.п.: процедура «Первичное расследование», описанная далее
8. Выполненные в процессе расследования действия: выполнялись действия в соответствии с процедурой «Первичное расследование», описанной далее; было определено, что через 1 секунду после сообщения об ошибке было записано событие успешного выполнения того же действия:
Поскольку второе событие указывает на успешное выполнение действия, отраженного в расследуемом необычном событии, опасность сбоя или негативного влияния на работу системы отсутствует. 
9. Люди, с которыми контактировали в ходе анализа необычного события: нет
10. Степень влияния на безопасность и соответствие требованиям PCI DSS, определенная в ходе анализа: влияние – отсутствует; функционирование системы не затронуто; ни одна из систем не подвержена риску. 
11. Рекомендуемые действия, направленные на снижение влияния: действий по снижению влияния не требуется; событие добавлено в профиль «нормальной» деятельности для его последующего игнорирования при наличии второго события (сообщения об успешном выполнении действия).
Оформленный таким образом журнал, может использоваться в качестве доказательства соответствия требованиям PCI DSS, поскольку он отражает процесс обработки необычных событий, необходимый для соответствия требованию п.10.6.a процедур проверки соответствия PCI DSS, в котором указано, что QSA должен «получить и проанализировать политики и процедуры безопасности на предмет наличия в них процедур анализа журналов регистрации событий безопасности, которые выполняются не реже, чем ежедневно, и требуют проведения дополнительного анализа при выявлении любых необычных событий».

Этот журнал (в электронной или бумажной форме) может быть при необходимости предъявлен QSA или другому аудитору. Рекомендуется хранить журнал три года, но не менее удвоенного срока хранения журналов регистрации событий (1 год для PCI DSS).


Чтобы подвести итог, давайте сформируем некий «пакет доказательств соответствия требованиям PCI DSS», основанный на разработанных и внедренных процедурах, который будет предъявляться QSA при проведении проверки соответствия. Он поможет подтвердить ваше соответствие трем ключевым требованиям PCI DSS в части журналирования событий:
  • Наличие и достаточность процесса журналирования
  • Наличие и реализация процессов анализа журналов регистрации событий
  • Наличие и реализация процесса обработки необычных событий
Конечно, можно подготовить такой пакет доказательств непосредственно перед проверкой, но гораздо проще поддерживать его актуальность на постоянной основе. Для этого, например, можно хранить электронные и бумажные копии следующих документов:
  1. Политика ведения журналов регистрации событий, которая охватывает все системы, входящие в область действия PCI DSS.
  2. Процедуры ведения и анализа журналов регистрации событий (на основе этого документа).
  3. Список источников событий – все системы и их компоненты (приложения), находящиеся в среде, на которую распространяется действие PCI DSS.
  4. Эталонные копии конфигурационных файлов, показывающие, что журналирование событий в системах настроено в соответствии с требованиями Политики (например, /etc/syslog.conf для Unix, снимки экрана с настройками политики аудита для Windows и т.д.).
  5. Примеры журналов регистрации событий с систем, на которые распространяется действие PCI DSS, показывающие, что журналы действительно формируются в соответствии с требованиями Политики и удовлетворяют требованиям PCI DSS в части журналирования событий.
  6. Экспортированные или распечатанные отчеты системы управления журналами регистрации событий, которые показывают, что анализ журналов регистрации событий действительно выполняется.
  7. Актуальный журнал регистрации расследованных необычных событий.
Ведение и поддержка актуальности перечисленных документов позволит постоянно поддерживать статус соответствия требованиям PCI DSS и в любой момент иметь готовые актуальные доказательства для подтверждения соответствия.


Собранные доказательства соответствия требованиям PCI DSS могут использоваться не только при проверках, но и при подготовке отчетов для руководства (или метрик) по результатам успешной реализации программы управления журналами регистрации событий, соответствующих процессов и процедур. В частности, на основании собранных данных могут быть подготовлены следующие полезные отчеты:
  • Наличие и достаточность процесса журналирования:
    • Процент систем, на которых выполняется процесс журналирования событий в соответствии с Политикой, по отношению к общему количеству систем (отдельно – для всех систем компании и для систем, на которые распространяются требования (например, PCI DSS) по ведению журналирования (для последних он должен быть 100%)).
  • Наличие и реализация процессов анализа журналов регистрации событий:
    • Изменения Политики и процедур, связанных с журналированием событий и анализом журналов;
    • Количество приложений, для которых проводится анализ журналов регистрации событий;
    • Количество проанализированных событий в журналах регистрации событий.
  • Наличие и реализация процесса обработки необычных событий:
    • Количество проанализированных необычных событий с разбивкой по типам, по аналитикам и т.д.;
    • Количество необычных событий, эскалированных до уровня инцидента безопасности;
    • Снижение рисков в результате своевременной эскалации необычных событий и предотвращения инцидентов (если применимо);
    • Стоимость ресурсов, сэкономленных в результате своевременной эскалации необычных событий и предотвращения инцидентов;
    • Увеличение производительности приложений, благодаря анализу происходящих в них событий.
  • Другие отчеты, связанные с программой управления журналами регистрации событий:
    • Общий уровень соответствия (PCI DSS и другим требованиям).
Завершая это Руководство, сведем в несколько таблиц все периодические оперативные задачи, связанные с анализом журналов регистрации событий, которые должны выполняться в компании.


В следующих разделах кратко рассмотрены основные оперативные задачи, связанные с журналированием и анализом журналов регистрации событий. Некоторые из этих задач детально описаны в настоящем Руководстве, другие являются вспомогательными задачами, необходимыми для успешной реализации процедур анализа журналов регистрации событий в соответствии с требованиями PCI DSS.


В таблице ниже приведены ежедневные задачи, выполняющие их роли, а также записи или доказательства, которые создаются в процессе их выполнения:

ЗадачаОтветственная рольДоказательства
Анализ всех событий, сгенерированных за прошедший день, в соответствии с процедурами ежедневного анализа журналов регистрации событийАдминистратор безопасности, аналитик безопасности, администратор приложения (если уполномочен)Записи об отчетах, сформированных в системе управления журналами регистрации событий
Проведение расследований при выявлении необычных событий в соответствии с процедурами проведения расследований (при необходимости)Администратор безопасности, аналитик безопасности, администратор приложения (если уполномочен)Записи в журнале регистрации расследованных необычных событий по расследованным событиям
Принятие мер для снижения негативного влияния, восстановления или урегулирования по результатам расследований (при необходимости)Администратор безопасности, аналитик безопасности, администратор приложения (если уполномочен), другие стороныЗаписи в журнале регистрации расследованных необычных событий по расследованным событиям и предпринятым действиям
Проверка, что журналирование выполняется для всех систем, находящихся в области действия PCI DSSАдминистратор приложенияСоздание журнала (таблицы) для регистрации таких действий с целью его предъявления при проведении оценки
Включение журналирования, если оно было отключено или приостановлено (при необходимости)Администратор приложенияСоздание журнала (таблицы) для регистрации таких действий с целью его предъявления при проведении оценки
Таблица 4. Ежедневные задачи в рамках процедур анализа журналов регистрации событий


В таблице ниже приведены еженедельные задачи, выполняющие их роли, а также записи или доказательства, которые создаются в процессе их выполнения:

ЗадачаОтветственная рольДоказательства
Анализ всех событий, сгенерированных за прошедшую неделю менее критичными приложениями, в соответствии с процедурами ежедневного анализа журналов регистрации событий (если будет одобрено QSA)Администратор безопасности, аналитик безопасности, администратор приложения (если уполномочен)Записи об отчетах, сформированных в системе управления журналами регистрации событий
Документальное подтверждение от QSA об одобрении уменьшения периодичности проведения анализа журналов регистрации событий с указанием оснований для такого одобрения
Проведение расследований при выявлении необычных событий в соответствии с процедурами проведения расследований (при необходимости)Администратор безопасности, аналитик безопасности, администратор приложения (если уполномочен)Записи в журнале регистрации расследованных необычных событий по расследованным событиям
Принятие мер для снижения негативного влияния, восстановления или урегулирования по результатам расследований (при необходимости)Администратор безопасности, аналитик безопасности, администратор приложения (если уполномочен), другие стороныЗаписи в журнале регистрации расследованных необычных событий по расследованным событиям и предпринятым действиям
Таблица 5. Еженедельные задачи в рамках процедур анализа журналов регистрации событий


В таблице ниже приведены ежемесячные задачи, выполняющие их роли, а также записи или доказательства, которые создаются в процессе их выполнения:

ЗадачаОтветственная рольДоказательства
Подготовка отчета по расследованным необычным событиямАналитик безопасности, руководитель подразделения информационной безопасностиПодготовленный отчет
Подготовка отчета по типам произошедших событий, записанных в журналы регистрации событийАналитик безопасности, руководитель подразделения информационной безопасностиПодготовленный отчет
Подготовка отчета по выявленным новым типам событийАналитик безопасности, руководитель подразделения информационной безопасностиПодготовленный отчет
Анализ всех событий, сгенерированных за прошедший месяц менее критичными приложениями, в соответствии с процедурами ежедневного анализа журналов регистрации событий (если будет одобрено QSA)Администратор безопасности, аналитик безопасности, администратор приложения (если уполномочен)Записи об отчетах, сформированных в системе управления журналами регистрации событий
Документальное подтверждение от QSA об одобрении уменьшения периодичности проведения анализа журналов регистрации событий с указанием оснований для такого одобрения
Проведение расследований при выявлении необычных событий в соответствии с процедурами проведения расследований (при необходимости)Администратор безопасности, аналитик безопасности, администратор приложения (если уполномочен)Записи в журнале регистрации расследованных необычных событий по расследованным событиям
Принятие мер для снижения негативного влияния, восстановления или урегулирования по результатам расследований (при необходимости)Администратор безопасности, аналитик безопасности, администратор приложения (если уполномочен), другие стороныЗаписи в журнале регистрации расследованных необычных событий по расследованным событиям и предпринятым действиям
Таблица 6. Ежемесячные задачи в рамках процедур анализа журналов регистрации событий


В таблице ниже приведены ежеквартальные задачи, выполняющие их роли, а также записи или доказательства, которые создаются в процессе их выполнения:

ЗадачаОтветственная рольДоказательства
Проведение проверки, что журналирование событий выполняется на всех системах, находящихся в области действия PCI DSS, и что проводится анализ создаваемых журналов регистрации событийАналитик безопасности, руководитель подразделения информационной безопасностиЗаписи в журналах по выполнению процедур анализа журналов регистрации событий и по расследованию необычных событий
Пересмотр и актуализация ежедневных процедур анализа журналов регистрации событийАналитик безопасности, руководитель подразделения информационной безопасностиИзменения в процедурах анализа журналов регистрации событий; журнал изменений
Пересмотр и актуализация процедур расследования необычных событийАналитик безопасности, руководитель подразделения информационной безопасностиИзменения в процедурах расследования необычных событий; журнал изменений
Анализ собранных доказательств соответствия требованиям PCI DSSАналитик безопасности, руководитель подразделения информационной безопасностиДоказательства соответствия требованиям PCI DSS; журнал анализа доказательств
Пересмотр и актуализация процедур сбора доказательств соответствия требованиям PCI DSSАналитик безопасности, руководитель подразделения информационной безопасностиИзменения в процедурах сбора доказательств; журнал изменений
Таблица 7. Ежеквартальные задачи в рамках процедур анализа журналов регистрации событий


В таблице ниже приведены ежегодные задачи, выполняющие их роли, а также записи или доказательства, которые создаются в процессе их выполнения:

ЗадачаОтветственная рольДоказательства
Пересмотр и актуализация Политики ведения журналов регистрации событийРуководитель подразделения информационной безопасностиИзменения в Политике ведения журналов регистрации событий; журнал изменений; протоколы встреч в рамках пересмотра Политики
Проведение анализа собранных доказательств соответствия требованиям PCI DSS перед проведением проверки QSAОтветственный за проект по обеспечению соответствия PCI DSSПротоколы встреч и другие записи
Проведение проверок эффективности процедур анализа журналов регистрации событий путем выполнения аномальных действий в системах (при необходимости)Ответственный за проект по обеспечению соответствия PCI DSSЖурналы регистрации событий, записи в журналах анализа событий и проведения расследований, другие записи по проведению проверок
Таблица 8. Ежегодные задачи в рамках процедур анализа журналов регистрации событий


Приведенные ниже материалы будут полезны при реализации программы управления журналами регистрации событий:

1 комментарий:

Анонимный комментирует...

спасибо, просто и понятно.