Читаем Управление информационной безопасностью. Стандарты СУИБ (СИ) полностью

Политика резервного копирования должна быть установлена для определения требований организации по резервному копированию информации, ПО и систем. Политика должна определить требования по хранению и защите.

Адекватные средства резервного копирования должны обеспечить восстановление всей важной информации и ПО после разрушения или повреждения носителей.

При составлении плана резервного копирования необходимо рассмотреть следующие вопросы:

– обеспечение точных и полных записей резервных копий и документирование процедур восстановления;

– объем (полное или выборочное) и частота резервного копирования должны отражать требования бизнеса организации, безопасности связанной информации и критичность информации для непрерывности бизнеса;

– хранение резервных копий в удаленном месте, на надежном расстоянии, достаточном, чтобы избежать любого повреждения из-за разрушения в основном месте;

– обеспечение соответствующего уровня физической и экологической защиты резервируемой информации в соответствии со стандартами, применяемыми в основном месте;

– регулярное тестирование носителей резервируемой информации для обеспечения, при необходимости, их аварийного использования, которое надо объединять с тестом процедур восстановления и проверкой в отношении требуемого времени восстановления;

тестирование способности восстановления данных должно осуществляться на выделенных для этой цели носителях, не перезаписывая исходных носителей на случай нарушения процесса резервного копирования или восстановления и причинения непоправимого повреждения или потери данных;

– в ситуациях, когда конфиденциальность играет важную роль, резервные копии необходимо защищать шифрованием.

Операционные процедуры должны контролировать уничтожение резервных копий и выполнение планового резервного копирования для обеспечения его полноты в соответствии с политикой резервного копирования.

Меры резервного копирования индивидуальных систем и сервисов должны регулярно тестироваться на предмет соответствия требованиям планов непрерывности бизнеса. Для критичных систем и сервисов меры резервного копирования должны охватытвать всю системную информацию, приложения и данные, необходимые для полного восстановления системы на случай разрушения.

8.5. Протоколирование и мониторинг

Цель: Записывать события и получать фактические данные.

Протоколирование и мониторинг обеспечивают следующие мероприятия:

– протоколирование событий;

– защита логов;

– ведение логов пользователей;

– синхронизация часов.

Протоколирование событий

Меры и средства

Журналы (логи) событий, в которые записываются действия пользователей, ошибки и события ИБ, должны вестить, сохраняться и регулярно пересматриваться.

Рекомендации по реализации

Логи должны включать, при необходимости:

– идентификаторы пользователей;

– системные действия;

– даты, время и детали ключевых событий, например начало и завершение сеанса;

– идентичность и местоположение устройства, по возможности, и идентификатор системы;

– регистрацию успешных и отклоненных попыток доступа к системе;

– регистрацию успешных и отклоненных попыток доступа к данным или другим ресурсам;

– изменения конфигурации системы;

– использование привилегий;

– использование системного и прикладного ПО;

– файлы, к которым был получен доступ, и вид доступа;

– сетевые адреса и протоколы;

– сигналы тревоги системы управления доступом;

– активация и деактивация систем защиты, таких как антивирусы и системы обнаружения вторжения;

– запись операций, сделанных пользователем в приложениях.

Протоколирование событий является фундаментом для автоматических систем мониторинга, создающих объединенные отчеты и сигналы безопасности системы.

Логи событий могут содержать критичную информацию и персональные данные, поэтому должны быть надлежащим образом защищены.

По возможности, системные администраторы не должны иметь полномочий стирать или деактивировать логи своих действий.

Защита логов

Меры и средства

Средства протоколирования и информация в логах должны быть защищены от фальсификации и несанкционированного доступа.

Рекомендации по реализации

Меры защиты направлены на предотвращение несанкционированных изменений в логах и эксплуатационных проблем со средствами протоколирования, включающих:

– изменения типов записываемых сообщений;

– редактирование или удаление файлов логов;

– недостаточность объема памяти носителя файл лога, что может привести к отказу записи события или перезаписи последних событий.

Некоторые журналы аудита необходимо архивировать как часть политики хранения записей или в связи с требованиями сбора и хранения правовых доказательств.