АссистентНовый вопросИсторияОбласти знаний
Партнёрские проектыСпецпроектыСтать автором
Сменить язык
О РУВИКИ

NIST Special Publication 800-92

NIST Special Publication 800-92 — стандарт, устанавливающий рекомендации и руководящие принципы по обеспечению безопасности и управлению конфиденциальными журналами событий. Публикация подготовлена Карен Кент и Муругией Суппая из Национального института стандартов и технологий США и входит в серию SP 800[1], которая представляет собой сборник передовых практик для сообщества специалистов по информационной безопасности. Управление журналами событий играет ключевую роль в том, чтобы компьютерные журналы безопасности сохранялись с необходимой степенью детализации в течение требуемого периода времени[2] Актуальной финальной версией стандарта остаётся редакция 2006 года. С 11 октября 2023 года в статусе первоначального публичного черновика (Initial Public Draft) находится первая ревизия документа (Rev. 1). Проект получил новое название «Cybersecurity Log Management Planning Guide» и представлен в формате сборника сценариев (playbook)[3][4].

undefined

Предпосылки

Эффективное ведение журналов событий безопасности и их последующий анализ являются неотъемлемой частью комплексной программы обеспечения информационной безопасности в любой организации. Журналы используются для мониторинга активности систем, сетей и приложений. Они служат средством сдерживания несанкционированных действий и позволяют выявлять и анализировать атаки, что даёт возможность организации минимизировать или предотвратить повторение подобных инцидентов в будущем. Однако специалистам по безопасности приходится решать сложные задачи по определению перечня событий, которые необходимо журналировать, мест хранения и сроков хранения журналов, а также методов анализа больших объёмов собираемой информации. Недостатки в любом из этих аспектов могут привести к пропуску признаков несанкционированной активности, проникновения или утраты данных, что несёт дополнительные риски для организации[5]..

В проекте первой ревизии стандарта (Rev. 1) выделяются новые вызовы в области управления журналами, характерные для современных ИТ-инфраструктур. К ним относятся разнообразие и динамичность источников данных (включая облачные среды), повсеместное шифрование сетевого трафика, усложнение гибридных сред, а также огромные объёмы генерируемой информации, требующие нормализации для эффективного анализа[6]..

Область применения

Документ NIST SP 800-92 предоставляет обзор и рекомендации по планированию, разработке и внедрению эффективной стратегии управления журналами безопасности. Основная аудитория публикации — это специалисты по информационной безопасности, задействованные в реагировании на инциденты, администрировании систем, приложений и сетей, а также руководители соответствующих подразделений[2].

В публикации NIST SP 800-92 инфраструктура управления журналами определяется как состоящая из четырёх основных функций:[7]

  • Генерация (создание записей);
  • Передача (безопасная отправка);
  • Хранение (архивация и защита);
  • Доступ/Анализ (контролируемый доступ и выявление инцидентов);
  • Уничтожение (безопасное удаление)[3].

Руководство NIST SP 800-92 рассматривает следующие ключевые проблемы управления журналами безопасности:

  • Объём журналируемых данных превышает возможности их своевременного анализа;
  • Обеспечение неизменности данных при хранении и передаче;
  • Несогласованность форматов журналов у различных производителей программных решений;
  • Важность регулярного и согласованного обзора журналов;
  • Задачи, связанные с удалением данных, долгосрочным хранением и стоимостью хранения.

Основные рекомендации NIST SP 800-92 по управлению журналами безопасности:[8]

  • Установить чёткие политики и процедуры управления журналами;
  • Соответствующим образом расставить приоритеты управления журналами на всех уровнях организации;
  • Создать и поддерживать инфраструктуру управления журналами;
  • Обеспечить необходимую поддержку для сотрудников, ответственных за работу с журналами;
  • Внедрить стандартные операционные процессы управления журналами.

Проект первой ревизии (Rev. 1) уделяет значительное внимание облачным средам и рассматривает управление журналами как фундаментальный компонент для реализации архитектуры нулевого доверия (Zero Trust)[4].[9]

Соответствие требованиям

Ряд федеральных нормативных актов США устанавливают обязательные требования к обработке и хранению конфиденциальных журналов событий:

  • HIPAA (Закон о передаче и подотчётности медицинской информации) — требует обязательной защиты персональной медицинской информации.
  • SOX (Закон Сарбейнса — Оксли) — предписывает обязательное ведение учёта финансовых данных и журналов, связанных с ИТ.
  • GLBA (Закон Грэма — Лича — Блайли) — устанавливает обязательные меры защиты персонализированных идентифицируемых данных (PII).
  • PCI DSS (Стандарт безопасности данных индустрии платёжных карт) — версия 4.0 требует использования автоматизированных механизмов для анализа журналов аудита и их хранения в течение не менее одного года[10].
  • FISMA (Закон о модернизации федеральной информационной безопасности 2014 года) — регламентирует требования по обеспечению безопасности сетей и данных федеральных структур, которые реализуются через каталог контролей NIST SP 800-53[11].
  • Указ Президента США № 14028 и Меморандум OMB M-21-31 — устанавливают для федеральных ведомств многоуровневую модель зрелости логирования (EL0—EL3) и требуют хранения журналов событий в течение 30 месяцев[12][13].

Примечания

  1. NIST Publications. NIST Computer Security Resource Center. NIST. Дата обращения: 28 мая 2026. Архивировано 31 октября 2000 года.
  2. 1 2 Kent, Karen; Souppaya, Murugiah (2006). “Guide to Computer Security Log Management” (PDF). NIST Sp 800-92: ES-1,1-1. DOI:10.6028/NIST.SP.800-92. S2CID 221183642. Дата обращения 2026-05-28.
  3. 1 2 SP 800-92 Rev. 1 (Draft). NIST Computer Security Resource Center. NIST (11 октября 2023). Дата обращения: 28 мая 2026.
  4. 1 2 Cybersecurity Log Management Planning Guide (Initial Public Draft). NIST (2023). Дата обращения: 28 мая 2026.
  5. Butler, Vincent; Dorsey, Tom; Robinson, Ken (2014-08-03). “Building a Logging Strategy for Effective Analysis”: 3.
  6. Open Source SIEM and Anomaly Detection. IJERT. Дата обращения: 28 мая 2026.
  7. Kent, Karen; Souppaya, Murugiah (2006). “Guide to Computer Security Log Management” (PDF). NIST Sp 800-92: 3-3,3-4. DOI:10.6028/NIST.SP.800-92. S2CID 221183642. Дата обращения 2026-05-28.
  8. Radack, Shirley Editor. ITL.NIST.gov. NIST. Дата обращения: 28 мая 2026. Архивировано 5 февраля 2007 года.
  9. NIST Special Publication 800-92r1: Cybersecurity Log Management Planning Guide. Gigamon Blog (6 декабря 2023). Дата обращения: 28 мая 2026.
  10. PCI DSS Compliance Guide. AuditKit. Дата обращения: 28 мая 2026.
  11. NIST 800-53 vs. FISMA. Secureframe. Дата обращения: 28 мая 2026.
  12. Log Architecture Maturity Assessment M-21-31. InfusionPoints. Дата обращения: 28 мая 2026.
  13. M-21-31 Executive Order Public Sector Cloud Security. Datadog. Дата обращения: 28 мая 2026.

Ссылки

Категории