Во третьей части рассмотрены следующие вопросы:
- Подтверждение проведения анализа журналов регистрации событий
- Доказательство журналирования событий
- Доказательство выполнения анализа журналов регистрации событий
- Доказательство выполнения обработки необычных событий
- Журнал регистрации расследованных необычных событий
- Рекомендуемый формат журнала регистрации расследованных необычных событий
- Пакет доказательств соответствия требованиям PCI DSS
- Отчеты для руководства
- Периодические оперативные задачи
- Ежедневные задачи
- Еженедельные задачи
- Ежемесячные задачи
- Ежеквартальные задачи
- Ежегодные задачи
Важной частью организации процедур анализа журналов регистрации событий, направленной на обеспечение соответствия требованиям PCI DSS, является обеспечение наличия необходимых доказательств для подтверждения создания и реального выполнения этих процедур. Хорошей новостью здесь является тот факт, что те же самые данные могут использоваться при подготовке отчетности для руководства по ведению и анализу журналов регистрации событий, таким образом, доказательства будут собираться не только для обеспечения соответствия требованиям PCI DSS.
Какие нужны документы для доказательства создания процесса анализа журналов регистрации событий? Распространенным заблуждением является уверенность в том, что для доказательства наличия этого процесса достаточно просто иметь актуальные журналы регистрации событий. Это не так, ведь «иметь журналы» – это совсем не то же самое, что «выполнять анализ журналов».
В отличие от других разделов настоящего Руководства, здесь мы рассмотрим, в том числе, доказательства самого процесса журналирования событий, а не только анализа журналов, поскольку второй процесс полностью зависит от первого.
В качестве подсказки, у нас есть перечень основных доказательств, которые потребуются при проведении проверки на соответствие требованиям PCI DSS. Вот этот перечень:
- Наличие и достаточность процесса журналирования
- Наличие и реализация процессов анализа журналов регистрации событий
- Наличие и реализация процесса обработки необычных событий
Первой категорией доказательств является наличие и достаточность процесса журналирования. Это самая простая категория из трех. Доказательством будет служить следующее:
- Утвержденная Политика ведения журналов регистрации событий, в которой указаны типы журналируемых событий и состав информации для каждого из них.
- Конфигурационные файлы систем и приложений, реализующие вышеуказанную Политику.
- Журналы регистрации событий этих систем и приложений, соответствующие Политике.
Второй категорией доказательств является наличие и реализация процессов анализа журналов регистрации событий. Это несколько труднее доказать, по сравнению с первой категорией. Доказательством будет служить следующее:
- Утвержденная Политика ведения журналов регистрации событий, в которой предусмотрено ведение анализа журналов регистрации событий.
- Утвержденные оперативные процедуры, детализирующие конкретные шаги процесса анализа журналов регистрации событий.
- Записи (отчеты) о выполнении задач по анализу журналов регистрации событий соответствующим персоналом (некоторые системы управления журналами регистрации событий сами ведут журнал, в который записывается информация о проанализированных отчетах и событиях). Результатом должен стать некий «журнал регистрации событий анализа журналов регистрации событий».
- Кроме того, записи (отчеты) о проведении расследований по необычным событиям (рассматриваются далее) также служат косвенным доказательством выполнения анализа журналов регистрации событий.
Третьей категорией доказательств является наличие и реализация процесса обработки необычных событий. Это еще труднее доказать, по сравнению с первыми двумя категориями. Доказательством будет служить следующее:
- Утвержденная Политика ведения журналов регистрации событий, в которой предусмотрено выявление и обработка необычных событий.
- Утвержденные оперативные процедуры, детализирующие конкретные шаги процесса расследования необычных событий, выявленных в процессе анализа журналов регистрации событий (этот документ).
- Журнал регистрации всех расследованных необычных событий и предпринятых мер.
| Категория доказательств соответствия требованиям PCI DSS | Доказательство соответствия | Как создать доказательство? |
| Доказательство наличия и достаточности процесса журналирования событий | Утвержденная Политика ведения журналов регистрации событий | Разработать и утвердить Политику, если она отсутствует |
| Доказательство наличия и достаточности процесса журналирования событий | Конфигурационные файлы систем и приложений | После выполнения соответствующих настроек, сохранить резервную копию конфигурационных файлов в качестве эталона |
| Доказательство наличия и достаточности процесса журналирования событий | Журналы регистрации событий этих систем и приложений | Формировать и сохранять примеры журналов регистрации событий в качестве доказательства процесса журналирования |
| Доказательство наличия и реализации процессов анализа журналов регистрации событий | Утвержденная Политика ведения журналов регистрации событий | Разработать и утвердить Политику, если она отсутствует |
| Доказательство наличия и реализации процессов анализа журналов регистрации событий | Утвержденные оперативные процедуры | Этот документ (оформить и утвердить) |
| Доказательство наличия и реализации процессов анализа журналов регистрации событий | Записи (отчеты) о выполнении задач по анализу журналов регистрации событий | Либо использовать возможности системы автоматизированного анализа журналов регистрации событий, либо вести журнал выполнения задач анализа журналов регистрации событий |
| Доказательство наличия и реализации процессов анализа журналов регистрации событий | Записи (отчеты) о проведении расследований по необычным событиям | Вести журнал регистрации всех расследованных необычных событий и предпринятых мер |
| Доказательство наличия и реализации процесса обработки необычных событий | Утвержденная Политика ведения журналов регистрации событий | Разработать и утвердить Политику, если она отсутствует |
| Доказательство наличия и реализации процесса обработки необычных событий | Утвержденные оперативные процедуры | Этот документ (оформить и утвердить) |
| Доказательство наличия и реализации процесса обработки необычных событий | Журнал регистрации всех расследованных необычных событий | Вести журнал регистрации всех расследованных необычных событий и предпринятых мер или Базу знаний |
Приведенные категории и доказательства напрямую связаны с требованиями раздела 10 PCI DSS и процедурами проверки на соответствие PCI DSS. Наиболее важным пунктом среди них, является ведение журнала регистрации всех расследованных необычных событий и предпринятых мер. Такой журнал может быть прекрасным доказательством соответствия требованиям PCI DSS. В процессе дальнейшего развития, этот журнал может перерасти в «базу знаний» по расследованиям, содержащую всю информацию по проведенным ранее расследованиям необычных событий.
Журнал регистрации расследованных необычных событий
Как создать журнал регистрации расследованных необычных событий, который будет являться надежным доказательством выполнения анализа журналов регистрации событий и расследования необычных событий, как это требуется в разделе 10 PCI DSS? В этот журнал должно записываться все, что связано с анализом и расследованием необычных событий, выявленных в рамках ежедневного анализа журналов регистрации событий. Аналогичный подход применяется в процедурах реагирования на инциденты (например, SANS Incident Response Workflow), но здесь мы используем его в качестве доказательства соответствия.
В журнале должны отмечаться все задействованные системы, все люди, с которыми были проведены беседы, все предпринятые действия, а также их обоснования и результаты выполнения, какие программные средства и команды были использованы (с указанием результатов) и т.д. Ниже приведен рекомендуемый формат записей в журнале регистрации расследованных необычных событий.
Рекомендуемый формат журнала регистрации расследованных необычных событий
1. Дата / время / часовой пояс внесения записи в журнал
2. Ф.И.О. и роль сотрудника, внесшего запись в журнал
3. Причина записи: необычное событие (копируется информация из используемого средства для сбора журналов регистрации событий или из исходного файла журнала регистрации событий – убедитесь, что скопирована вся информация события, особенно обратите внимание на штамп времени, которое будет отличаться от времени в п.1, и на информацию о системе, с которой поступило данное событие (что, когда, где и т.д.))
4. Детальная информация, почему это событие не соответствует профилю «нормальной» деятельности и почему требуется проведение анализа
5. Информация о системе, с которой поступило необычное событие, или к которой относится это событие:
- Имя узла (hostname)
- Операционная система
- Название приложения
- IP-адрес (адреса)
- Месторасположение
- Владелец (если известен)
- Критичность системы (если определена и применима)
- Находится ли она под контролем систем Управления обновлениями, Управления изменениями, Контроля целостности файлов и т.п.
7. Использованные процедуры проведения расследования, программные средства, снимки экрана и т.п.
8. Выполненные в процессе расследования действия
9. Люди, с которыми контактировали в ходе анализа необычного события
10. Степень влияния на безопасность и соответствие требованиям PCI DSS, определенная в ходе анализа
11. Рекомендуемые действия, направленные на снижение влияния (если требуются)
Пример записи в журнале регистрации расследованных необычных событий
1. Дата / время / часовой пояс внесения записи в журнал: 23.11.2009, 16:15, UTC+03:00
2. Ф.И.О. и роль сотрудника, внесшего запись в журнал: Иванов И.И., аналитик безопасности
3. Причина записи: необычное событие
Дата и время события: 21.10.2009, 22:01:23, UTC+03:00
Система: OLGA.example.com
4. Детальная информация, почему это событие не соответствует профилю «нормальной» деятельности и почему требуется проведение анализа: событие такого типа (Windows Event ID 11) от этого источника (источник: crypt32) раньше никогда не происходило ни на одной из систем, журналы регистрации событий с которых анализируются в компании.
5. Информация о системе, с которой поступило необычное событие, или к которой относится это событие:
6. Информация о пользователе, чьи действия привели к генерации этого события: не применимо, событие вызвано не действиями пользователя
- Имя узла: OLGA.example.com
- Операционная система: Windows XP SP3
- Название приложения: не применимо
- IP-адрес: 10.1.1.1
- Месторасположение: Центральный офис, кабинет 299
- Владелец: Петрова О.П., генеральный директор
- Критичность системы: высокая критичность – основной рабочий компьютер генерального директора
- Находится ли она под контролем систем Управления обновлениями, Управления изменениями, Контроля целостности файлов и т.п.: да
7. Использованные процедуры проведения расследования, программные средства, снимки экрана и т.п.: процедура «Первичное расследование», описанная далее
8. Выполненные в процессе расследования действия: выполнялись действия в соответствии с процедурой «Первичное расследование», описанной далее; было определено, что через 1 секунду после сообщения об ошибке было записано событие успешного выполнения того же действия:
Поскольку второе событие указывает на успешное выполнение действия, отраженного в расследуемом необычном событии, опасность сбоя или негативного влияния на работу системы отсутствует.
9. Люди, с которыми контактировали в ходе анализа необычного события: нет
10. Степень влияния на безопасность и соответствие требованиям PCI DSS, определенная в ходе анализа: влияние – отсутствует; функционирование системы не затронуто; ни одна из систем не подвержена риску.
11. Рекомендуемые действия, направленные на снижение влияния: действий по снижению влияния не требуется; событие добавлено в профиль «нормальной» деятельности для его последующего игнорирования при наличии второго события (сообщения об успешном выполнении действия).Оформленный таким образом журнал, может использоваться в качестве доказательства соответствия требованиям PCI DSS, поскольку он отражает процесс обработки необычных событий, необходимый для соответствия требованию п.10.6.a процедур проверки соответствия PCI DSS, в котором указано, что QSA должен «получить и проанализировать политики и процедуры безопасности на предмет наличия в них процедур анализа журналов регистрации событий безопасности, которые выполняются не реже, чем ежедневно, и требуют проведения дополнительного анализа при выявлении любых необычных событий».
Этот журнал (в электронной или бумажной форме) может быть при необходимости предъявлен QSA или другому аудитору. Рекомендуется хранить журнал три года, но не менее удвоенного срока хранения журналов регистрации событий (1 год для PCI DSS).
Чтобы подвести итог, давайте сформируем некий «пакет доказательств соответствия требованиям PCI DSS», основанный на разработанных и внедренных процедурах, который будет предъявляться QSA при проведении проверки соответствия. Он поможет подтвердить ваше соответствие трем ключевым требованиям PCI DSS в части журналирования событий:
- Наличие и достаточность процесса журналирования
- Наличие и реализация процессов анализа журналов регистрации событий
- Наличие и реализация процесса обработки необычных событий
- Политика ведения журналов регистрации событий, которая охватывает все системы, входящие в область действия PCI DSS.
- Процедуры ведения и анализа журналов регистрации событий (на основе этого документа).
- Список источников событий – все системы и их компоненты (приложения), находящиеся в среде, на которую распространяется действие PCI DSS.
- Эталонные копии конфигурационных файлов, показывающие, что журналирование событий в системах настроено в соответствии с требованиями Политики (например, /etc/syslog.conf для Unix, снимки экрана с настройками политики аудита для Windows и т.д.).
- Примеры журналов регистрации событий с систем, на которые распространяется действие PCI DSS, показывающие, что журналы действительно формируются в соответствии с требованиями Политики и удовлетворяют требованиям PCI DSS в части журналирования событий.
- Экспортированные или распечатанные отчеты системы управления журналами регистрации событий, которые показывают, что анализ журналов регистрации событий действительно выполняется.
- Актуальный журнал регистрации расследованных необычных событий.
Собранные доказательства соответствия требованиям PCI DSS могут использоваться не только при проверках, но и при подготовке отчетов для руководства (или метрик) по результатам успешной реализации программы управления журналами регистрации событий, соответствующих процессов и процедур. В частности, на основании собранных данных могут быть подготовлены следующие полезные отчеты:
- Наличие и достаточность процесса журналирования:
- Процент систем, на которых выполняется процесс журналирования событий в соответствии с Политикой, по отношению к общему количеству систем (отдельно – для всех систем компании и для систем, на которые распространяются требования (например, PCI DSS) по ведению журналирования (для последних он должен быть 100%)).
- Наличие и реализация процессов анализа журналов регистрации событий:
- Изменения Политики и процедур, связанных с журналированием событий и анализом журналов;
- Количество приложений, для которых проводится анализ журналов регистрации событий;
- Количество проанализированных событий в журналах регистрации событий.
- Наличие и реализация процесса обработки необычных событий:
- Количество проанализированных необычных событий с разбивкой по типам, по аналитикам и т.д.;
- Количество необычных событий, эскалированных до уровня инцидента безопасности;
- Снижение рисков в результате своевременной эскалации необычных событий и предотвращения инцидентов (если применимо);
- Стоимость ресурсов, сэкономленных в результате своевременной эскалации необычных событий и предотвращения инцидентов;
- Увеличение производительности приложений, благодаря анализу происходящих в них событий.
- Другие отчеты, связанные с программой управления журналами регистрации событий:
- Общий уровень соответствия (PCI DSS и другим требованиям).
В следующих разделах кратко рассмотрены основные оперативные задачи, связанные с журналированием и анализом журналов регистрации событий. Некоторые из этих задач детально описаны в настоящем Руководстве, другие являются вспомогательными задачами, необходимыми для успешной реализации процедур анализа журналов регистрации событий в соответствии с требованиями PCI DSS.
В таблице ниже приведены ежедневные задачи, выполняющие их роли, а также записи или доказательства, которые создаются в процессе их выполнения:
| Задача | Ответственная роль | Доказательства |
| Анализ всех событий, сгенерированных за прошедший день, в соответствии с процедурами ежедневного анализа журналов регистрации событий | Администратор безопасности, аналитик безопасности, администратор приложения (если уполномочен) | Записи об отчетах, сформированных в системе управления журналами регистрации событий |
| Проведение расследований при выявлении необычных событий в соответствии с процедурами проведения расследований (при необходимости) | Администратор безопасности, аналитик безопасности, администратор приложения (если уполномочен) | Записи в журнале регистрации расследованных необычных событий по расследованным событиям |
| Принятие мер для снижения негативного влияния, восстановления или урегулирования по результатам расследований (при необходимости) | Администратор безопасности, аналитик безопасности, администратор приложения (если уполномочен), другие стороны | Записи в журнале регистрации расследованных необычных событий по расследованным событиям и предпринятым действиям |
| Проверка, что журналирование выполняется для всех систем, находящихся в области действия PCI DSS | Администратор приложения | Создание журнала (таблицы) для регистрации таких действий с целью его предъявления при проведении оценки |
| Включение журналирования, если оно было отключено или приостановлено (при необходимости) | Администратор приложения | Создание журнала (таблицы) для регистрации таких действий с целью его предъявления при проведении оценки |
В таблице ниже приведены еженедельные задачи, выполняющие их роли, а также записи или доказательства, которые создаются в процессе их выполнения:
| Задача | Ответственная роль | Доказательства |
| Анализ всех событий, сгенерированных за прошедшую неделю менее критичными приложениями, в соответствии с процедурами ежедневного анализа журналов регистрации событий (если будет одобрено QSA) | Администратор безопасности, аналитик безопасности, администратор приложения (если уполномочен) | Записи об отчетах, сформированных в системе управления журналами регистрации событий Документальное подтверждение от QSA об одобрении уменьшения периодичности проведения анализа журналов регистрации событий с указанием оснований для такого одобрения |
| Проведение расследований при выявлении необычных событий в соответствии с процедурами проведения расследований (при необходимости) | Администратор безопасности, аналитик безопасности, администратор приложения (если уполномочен) | Записи в журнале регистрации расследованных необычных событий по расследованным событиям |
| Принятие мер для снижения негативного влияния, восстановления или урегулирования по результатам расследований (при необходимости) | Администратор безопасности, аналитик безопасности, администратор приложения (если уполномочен), другие стороны | Записи в журнале регистрации расследованных необычных событий по расследованным событиям и предпринятым действиям |
В таблице ниже приведены ежемесячные задачи, выполняющие их роли, а также записи или доказательства, которые создаются в процессе их выполнения:
| Задача | Ответственная роль | Доказательства |
| Подготовка отчета по расследованным необычным событиям | Аналитик безопасности, руководитель подразделения информационной безопасности | Подготовленный отчет |
| Подготовка отчета по типам произошедших событий, записанных в журналы регистрации событий | Аналитик безопасности, руководитель подразделения информационной безопасности | Подготовленный отчет |
| Подготовка отчета по выявленным новым типам событий | Аналитик безопасности, руководитель подразделения информационной безопасности | Подготовленный отчет |
| Анализ всех событий, сгенерированных за прошедший месяц менее критичными приложениями, в соответствии с процедурами ежедневного анализа журналов регистрации событий (если будет одобрено QSA) | Администратор безопасности, аналитик безопасности, администратор приложения (если уполномочен) | Записи об отчетах, сформированных в системе управления журналами регистрации событий Документальное подтверждение от QSA об одобрении уменьшения периодичности проведения анализа журналов регистрации событий с указанием оснований для такого одобрения |
| Проведение расследований при выявлении необычных событий в соответствии с процедурами проведения расследований (при необходимости) | Администратор безопасности, аналитик безопасности, администратор приложения (если уполномочен) | Записи в журнале регистрации расследованных необычных событий по расследованным событиям |
| Принятие мер для снижения негативного влияния, восстановления или урегулирования по результатам расследований (при необходимости) | Администратор безопасности, аналитик безопасности, администратор приложения (если уполномочен), другие стороны | Записи в журнале регистрации расследованных необычных событий по расследованным событиям и предпринятым действиям |
В таблице ниже приведены ежеквартальные задачи, выполняющие их роли, а также записи или доказательства, которые создаются в процессе их выполнения:
| Задача | Ответственная роль | Доказательства |
| Проведение проверки, что журналирование событий выполняется на всех системах, находящихся в области действия PCI DSS, и что проводится анализ создаваемых журналов регистрации событий | Аналитик безопасности, руководитель подразделения информационной безопасности | Записи в журналах по выполнению процедур анализа журналов регистрации событий и по расследованию необычных событий |
| Пересмотр и актуализация ежедневных процедур анализа журналов регистрации событий | Аналитик безопасности, руководитель подразделения информационной безопасности | Изменения в процедурах анализа журналов регистрации событий; журнал изменений |
| Пересмотр и актуализация процедур расследования необычных событий | Аналитик безопасности, руководитель подразделения информационной безопасности | Изменения в процедурах расследования необычных событий; журнал изменений |
| Анализ собранных доказательств соответствия требованиям PCI DSS | Аналитик безопасности, руководитель подразделения информационной безопасности | Доказательства соответствия требованиям PCI DSS; журнал анализа доказательств |
| Пересмотр и актуализация процедур сбора доказательств соответствия требованиям PCI DSS | Аналитик безопасности, руководитель подразделения информационной безопасности | Изменения в процедурах сбора доказательств; журнал изменений |
В таблице ниже приведены ежегодные задачи, выполняющие их роли, а также записи или доказательства, которые создаются в процессе их выполнения:
| Задача | Ответственная роль | Доказательства |
| Пересмотр и актуализация Политики ведения журналов регистрации событий | Руководитель подразделения информационной безопасности | Изменения в Политике ведения журналов регистрации событий; журнал изменений; протоколы встреч в рамках пересмотра Политики |
| Проведение анализа собранных доказательств соответствия требованиям PCI DSS перед проведением проверки QSA | Ответственный за проект по обеспечению соответствия PCI DSS | Протоколы встреч и другие записи |
| Проведение проверок эффективности процедур анализа журналов регистрации событий путем выполнения аномальных действий в системах (при необходимости) | Ответственный за проект по обеспечению соответствия PCI DSS | Журналы регистрации событий, записи в журналах анализа событий и проведения расследований, другие записи по проведению проверок |
Приведенные ниже материалы будут полезны при реализации программы управления журналами регистрации событий:
- SANS CAG/CSC «Twenty Critical Security Controls for Effective Cyber Defense: Consensus Audit Guidelines» (вопросы, связанные с журналами регистрации событий рассмотрены в «Critical Control 6: Maintenance, Monitoring, and Analysis of Audit Logs»)
- NIST 800-92 «Guide to Computer Security Log Management: Recommendations of the National Institute of Standards and Technology by Karen Kent and Murugiah Souppaya»
- NIST 800-66 «An Introductory Resource Guide for Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule»
1 комментарий:
спасибо, просто и понятно.
Отправить комментарий