длежащим образом защищены.
По возможности, системные администраторы не должны иметь полномочий стирать или деактивировать логи своих действий.
Защита логов
Меры и средства
Средства протоколирования и информация в логах должны быть защищены от фальсификации и несанкционированного доступа.
Рекомендации по реализации
Меры защиты направлены на предотвращение несанкционированных изменений в логах и эксплуатационных проблем со средствами протоколирования, включающих:
— изменения типов записываемых сообщений;
— редактирование или удаление файлов логов;
— недостаточность объема памяти носителя файл лога, что может привести к отказу записи события или перезаписи последних событий.
Некоторые журналы аудита необходимо архивировать как часть политики хранения записей или в связи с требованиями сбора и хранения правовых доказательств.
Системные логи часто содержат большой объем информации, большинство из которой не нужно для мониторинга ИБ. Поэтому следует определить значительные события для целей мониторинга ИБ, автоматическое копирование соответствующих типов сообщения во второй лог или использование приемлемого системного ПО или инструментов аудита для выполнения опроса и рационализации файла.
Системные логи нуждаются в защите, поскольку если данные в них будут модифицированы или уничтожены, они могут создать фальшивые данные по безопасности.
Логи пользователя
Меры и средства
Действия пользователей (администраторов) системы должны протоколироваться, и логи сохраняться и регулярно пересматриваться.
Рекомендации по реализации
Учетные записи привилегированного пользователя дают возможность для управления логами средств обработки информации, поэтому важно защищать и пересматривать логи для поддержания ответственности привилегированного пользователя.
Система обнаружения вторжения, не управляемая администраторами системы и сети, может использоваться для мониторинга действий по администрированию системы и сети.
Синхронизация часов
Меры и средства
Часы всех систем обработки информации внутри организации или домена безопасности должны быть синхронизированы с единым эталонным источником времени.
Рекомендации по реализации
Внешние и внутренние требования по представлению, синхронизации и точности времени должны быть задокументированы. Эти требования могут быть правовыми, нормативными, договорными требованиями, соответствием стандарту или требованиями для внутреннего мониторинга. В организации должно быть определено стандартное эталонное время.
Подход организации к получению эталонного времени из внешнего источника и достоверной синхронизации внутренних часов должен быть задокументирован и внедрен.
Корректная установка компьютерных часов важна для обеспечения точности логов аудита, которые могут потребоваться для расследований или как доказательство в случае судебного или дисциплинарного разбирательства. Неточные логи аудита могут затруднить такие расследования и навредить достоверности такого доказательства.
Часы, корректируемые по радиовещанию с помощью национальных атомных часов, могут использоваться как главные часы для систем протоколирования. Сетевой протокол времени может использовать все серверы для синхронизации главных часов.
8.6. Управление техническими уязвимостями
Цель: Предотвратить использование технических уязвимостей.
Управление техническими уязвимостями обеспечивают следующие мероприятия:
— обработка технических уязвимостей;
— ограничение на установку ПО.
Обработка технических уязвимостей
Меры и средства
Информация о технических уязвимостях используемых ИС должна быть получена своевременно, незащищенность организации от уязвимостей оценена и приняты соответствующие меры для обработки связанных с ними рисков.
Рекомендации по реализации
Актуальная и полная инвентаризация активов является необходимым условием эффективного управления техническими уязвимостями. Информация, необходимая для поддержки управления техническими уязвимостями, включает в себя разработчика ПО, номера версии, текущее состояние развертывания (например, какое ПО на какую систему устанавливается) и сотрудников организации, ответственных за ПО.
Идентификация потенциальных технических уязвимостей должна вызвать соответствующее и своевременное действие.
Для обеспечения процесса эффективного управления техническими уязвимостями необходимо выполнить следующие рекомендации:
— в организации необходимо определить и установить роли и обязанности, связанные с управлением техническими уязвимостями, включая мониторинг и оценку риска уязвимостей, исправление ПО (патчинг), слежение за активами и любые требуемые координирующие функции;
— следует определять для ПО и другой технологии информационные ресурсы, которые будут использоваться для выявления значимых технических уязвимостей и обеспечения осведомленности о них; эти ресурсы должны обновляться с учетом изменений в инвентарной описи или нахождения новых или применимых ресурсов;
— необходимо определить временные параметры реагирования на уведомления о потенциально значимых технических уязвимостях;
— после выявления потенциальной технической уязвимости организация должна определить связанные с ней риски и действия, которые необходимо предпринять; эти действия должны включать исправление уязвимых систем или другие меры защиты;
— в зависимости от того, насколько срочно необходимо рассмотреть техническую уязвимость, предпринимаемое действие следует осуществлять в соответствии с мерами по управлению изменениями или процедурами реагирования на инцидент ИБ;
— при наличии возможности установки легального патча следует оценить риски, связанные с его установкой (риски от уязвимости сравнить с риском установки патча);
— перед установкой патчи следует тестировать и оценивать на предмет их эффективности и отсутствия недопустимых побочных эффектов; если нет патчей, следует рассмотреть другие меры защиты, такие как:
• отключение сервисов или возможностей, связанных с уязвимостью;
• адаптирование или добавление средств контроля доступа, например, сетевые экраны или границы;
• расширенный мониторинг для выявления актуальных атак;
• повышение осведомленности об уязвимости;
— следует вести журнал аудита для всех предпринятых процедур;
— следует регулярно проводить мониторинг и оценку процесса управления техническими уязвимостями на предмет его эффективности и действенности;
— в первую очередь надо обращать внимание на системы с высоким уровнем риска;
— процесс управления техническими уязвимостями должен быть совмещен с действиями по управлению инцидентом ИБ, чтобы данные по уязвимостям передавались группе реагирования на инцидент и обеспечивались технические процедуры в случае появления инцидента;
— следует определить процедуру для случая, когда для выявленой уязвимости невозможно найти контрмеру. В этом случае организация должна оценить риски, связанные с этой уязвимостью и предпринять соответствующие поисковые и корректирующие действия.
Управление техническими уязвимостями может быть частью управления изменениями и таким образом взять на себя часть процедур и процессов управления изменениями.
Как правило, разработчики ПО вынуждены реализовывать патчи как можно быстрее. Поэтому иногда патчи могут неадекватно решать проблему и создавать побочные негативные эффекты. Также в некоторых случаях после установки патча бывает сложно ее отменить.
При невозможности адекватного тестирования патчей перед их установкой следует осуществить оценку связанных с этим рисков с учетом опыта, накопленного другими пользователями.
Ограничение на установку ПО
Меры и средства
Правила установки ПО пользователями должны быть разработаны и внедрены.
Рекомендации по реализации
Организация должна определить и внедрить строгую политику того, какие типы ПО могут устанавливать пользователи.
Следуе применить принцип наименьшей привилегии. При наличии определенных привилегий пользователи могут устанавливать ПО. Организация должна определить, какие типы установки ПО разрешены (например, обновления и безопасные патчи для существующего ПО) и какие запрещены (например, ПО для персонального использования и ПО, происхождение которого неизвестно или подозрительно). Такие привилегии должны предоставляться на основании ролей связанных с этим пользователей.
Неконтролируемая установка ПО на компьютерные устройства может привести к появлению уязвимостей и последующей утечке информации, потере целостности или другим инцидентам ИБ или нарушению прав интеллектуальной собственности.
8.7. Проведение аудита ИС
Цель: Минимизировать влияние аудиторских действий на действующие системы.
Контроль аудита систем
Меры и средства
Аудиторские требования и действия по проверке действующих систем должны быть тщательно спланированы и согласованы, чтобы минимизировать сбои в бизнес-процессах.
Рекомендации по реализации
Аудиторские действия при проверке эксплуатируемых ИС не должны приводить к сбоям бизнес-процессов. Для этого необходимо учесть следующие рекомендации:
— аудиторские требования в отношении доступа к системам и данным следует согласовать|согласиться| с соответствующим руководством;
— контекст технических аудиторских тестов следует согласовать|согласиться| и контролировать|управлять, контролировать|;
— аудиторские тесты должны| иметь ограничение доступа к ПО и данным в виде «только для чтения»;
— другие виды доступа, кроме «только для чтения», должны быть разрешены| только для изолированных копий системных файлов, которые следует стереть после завершения аудита|проверка, ревизия| или обеспечить|предоставляет| соответствующей защитой в случае обязательства их хранения