NIST Special Publication 800-92

Эффективное ведение журналов событий безопасности и их последующий анализ являются неотъемлемой частью комплексной программы обеспечения информационной безопасности в любой организации. Журналы используются для мониторинга активности систем, сетей и приложений. Они служат средством сдерживания несанкционированных действий и позволяют выявлять и анализировать атаки, что даёт возможность организации минимизировать или предотвратить повторение подобных инцидентов в будущем. Однако специалистам по безопасности приходится решать сложные задачи по определению перечня событий, которые необходимо журналировать, мест хранения и сроков хранения журналов, а также методов анализа больших объёмов собираемой информации. Недостатки в любом из этих аспектов могут привести к пропуску признаков несанкционированной активности, проникновения или утраты данных, что несёт дополнительные риски для организации.^[3].

Документ NIST SP 800-92 предоставляет обзор и рекомендации по планированию, разработке и внедрению эффективной стратегии управления журналами безопасности. Основная аудитория публикации — это специалисты по информационной безопасности, задействованные в реагировании на инциденты, администрировании систем, приложений и сетей, а также руководители соответствующих подразделений^[2].

В публикации NIST SP 800-92 инфраструктура управления журналами определяется как состоящая из четырёх основных функций:^[4]

• Общие функции — парсинг журналов, фильтрация событий, агрегирование событий;
• Хранение журналов — ротация, архивирование, сжатие, сокращение объёма, нормализация, проверка целостности;
• Анализ журналов — корреляция событий, просмотр и отчётность;
• Уничтожение — очистка данных.

Руководство NIST SP 800-92 рассматривает следующие ключевые проблемы управления журналами безопасности:

• Объём журналируемых данных превышает возможности их своевременного анализа;
• Обеспечение неизменности данных при хранении и передаче;
• Несогласованность форматов журналов у различных производителей программных решений;
• Важность регулярного и согласованного обзора журналов;
• Задачи, связанные с удалением данных, долгосрочным хранением и стоимостью хранения.

Основные рекомендации NIST SP 800-92 по управлению журналами безопасности:^[5]

• Установить чёткие политики и процедуры управления журналами;
• Соответствующим образом расставить приоритеты управления журналами на всех уровнях организации;
• Создать и поддерживать инфраструктуру управления журналами;
• Обеспечить необходимую поддержку для сотрудников, ответственных за работу с журналами;
• Внедрить стандартные операционные процессы управления журналами.

Ряд федеральных нормативных актов США устанавливают обязательные требования к обработке и хранению конфиденциальных журналов событий:

• HIPAA (Закон о передаче и подотчётности медицинской информации) — требует обязательной защиты персональной медицинской информации^[6].
• SOX (Закон Сарбейнса — Оксли) — предписывает обязательное ведение учёта финансовых данных и журналов, связанных с ИТ^[7].
• GLBA (Закон Грэма — Лича — Блайли) — устанавливает обязательные меры защиты персонализированных идентифицируемых данных (PII)^[8].
• PCI DSS (Стандарт безопасности данных индустрии платёжных карт) — требует обязательной защиты данных кредитных карт потребителей, включая хранение и передачу информации^[9].
• FISMA (Закон об управлении информационной безопасностью федеральных органов) — регламентирует требования по обеспечению безопасности сетей и данных федеральных структур. К руководящим принципам по ведению журналов относятся создание, обзор, защита и хранение аудиторских записей, а также действия в случае сбоев аудита^[4].