Этапы регистрации и методы аудита событий информационной системы
Организация регистрации событий, связанных с безопасностью информационной системы включает как минимум три этапа:
1. Сбор и хранение информации о событиях.
2. Защита содержимого журнала регистрации.
3. Анализ содержимого журнала регистрации.
На первом этапе определяются данные, подлежащие сбору и хранению, период чистки и архивации журнала, степень централизации управления, место и средства хранения журнала, возможность регистрации шифрованной информации и др.
Регистрируемые данные должны быть защищены, в первую очередь, от несанкционированной модификации и, возможно, раскрытия.
Самым важным этапом является анализ регистрационной информации. Известны несколько методов анализа информации с целью выявления несанкционированных действий.
Статистические методы основаны на накоплении среднестатистических параметров функционирования подсистем и сравнении текущих параметров с ними. Наличие определенных отклонений может сигнализировать о возможности появления некоторых угроз.
Эвристические методы используют модели сценариев несанкционированных действий, которые описываются логическими правилами или модели действий, по совокупности приводящие к несанкционированным действиям.
Выводы по теме
1. Эффективность системы безопасности принципиально повышается в случае дополнения механизма регистрации механизмом аудита. Это позволяет оперативно выявлять нарушения, определять слабые места в системе защите, анализировать закономерности системы, оценивать работу пользователей.
2. Механизм регистрации основан на подотчетности системы обеспечения безопасности, фиксирует все события, касающиеся безопасности.
3. Аудит системных событий – это анализ накопленной информации, проводимый оперативно в реальном времени или периодически (например, раз в день).
4. Механизмы регистрации и аудита являются сильным психологическим средством, напоминающим потенциальным нарушителям о неотвратимости наказания за несанкционированные действия, а пользователям – за возможные критические ошибки.
5. Регистрационный журнал – это хронологически упорядоченная совокупность записей результатов деятельности субъектов системы, достаточная для восстановления, просмотра и анализа последовательности действий, окружающих или приводящих к выполнению операций, процедур или совершению событий при транзакции с целью контроля конечного результата.
6. Регистрация событий, связанных с безопасностью информационной системы, включает как минимум три этапа: сбор и хранение информации о событиях, защита содержимого журнала регистрации и анализ содержимого журнала регистрации.
7. Методы аудита могут быть статистические и эвристические.
8. Для сертифицируемых по безопасности информационных систем список контролируемых событий определен рабочим документом Гостехкомиссии РФ: "Положение о сертификации средств и систем вычислительной техники и связи по требованиям безопасности информации".
Вопросы для самоконтроля
1. На чем основан механизм регистрации?
2. Какие события, связанные с безопасностью, подлежат регистрации?
3. Чем отличаются механизмы регистрации и аудита?
4. Дайте определение аудита событий информационной системы.
5. Что относится к средствам регистрации и аудита?
6. Что такое регистрационный журнал? Его форма.
7. Что понимается под подозрительной активностью?
8. Какие этапы предусматривают механизмы регистрации и аудита?
9. Охарактеризуйте известные методы аудита безопасности информационных систем.
Дата добавления: 2016-07-22; просмотров: 4022;