Специальная публикация NIST 800-92 - Википедия - NIST Special Publication 800-92
Специальная публикация NIST 800-92"Руководство по управлению журналами компьютерной безопасности" устанавливает правила и рекомендации по защите конфиденциальных данных журнала и управлению ими. Публикацию подготовили Карен Кент и Муругия Суппайя из Национальный институт науки и технологий и опубликовано под серией SP 800;[1] репозиторий передового опыта для сообщества InfoSec. Управление журналами важно для обеспечения того, чтобы записи о компьютерной безопасности хранились с достаточной степенью детализации в течение соответствующего периода времени.[2]
Фон
Эффективная регистрация событий безопасности и анализ журналов - критически важный компонент любой комплексной программы безопасности в организации. Он используется для мониторинга активности системы, сети и приложений. Он служит сдерживающим фактором для несанкционированных действий, а также предоставляет средства для обнаружения и анализа атаки, чтобы позволить организации смягчить или предотвратить подобные атаки в будущем. Однако перед специалистами по безопасности стоит серьезная задача определить, какие события должны регистрироваться, где и как долго хранить эти журналы и как анализировать огромный объем информации, которая может быть сгенерирована. Недостаток в любой из этих областей может привести к тому, что организация пропустит признаки несанкционированной деятельности, вторжения или потери данных, что создает дополнительный риск.[3]
Объем
NIST SP 800-92 предоставляет общий обзор и руководство по планированию, разработке и внедрению эффективной стратегии управления журналами безопасности. Целевая аудитория данной публикации включает в себя информационная безопасность Сообщество (InfoSec), занимающееся реагированием на инциденты, администрированием систем / приложений / сетей и менеджерами.[2]
NIST SP 800-92 определяет инфраструктуру управления журналами как имеющую 4 основные функции:[4]
- Общие - парсинг логов, фильтрация событий и агрегирование событий;
- Хранение журналов - ротация, архивирование, сжатие, сокращение, нормализация, проверка целостности;
- Анализ журнала - корреляция событий, просмотр и создание отчетов;
- Утилизация - расчистка;
NIST SP 800-92 решает следующие задачи управления журналами безопасности:
- Объем журнала превышает скорость анализа;
- Обеспечение неизменности при хранении и передаче;
- Непоследовательный журнал продавца форматы;
- Важность согласованного графика проверки;
- Проблемы с хранением, включая продувку, долгосрочное хранение и стоимость;
NIST SP 800-92 дает следующие рекомендации по управлению журналами безопасности:[5]
- Установить политики и процедуры для управления журналами;
- Правильно расставьте приоритеты в управлении журналами во всей организации;
- Создавать и поддерживать инфраструктуру управления журналами;
- Обеспечить надлежащую поддержку для всего персонала, отвечающего за ведение журналов;
- Установить стандартные операционные процессы управления журналами;
Согласие
Следующие федеральные правила требуют надлежащего обращения и хранения конфиденциальных данных журнала:
- HIPAA (Закон о переносимости и подотчетности медицинского страхования 1996 года). Требуется обязательная защита личной информации о здоровье.[6]
- SOX (Закон Сарбейнса-Оксли 2002 г.). Требуется обязательное ведение финансовой отчетности и данных, связанных с журналом ИТ.[7]
- GLBA (Закон Грэмма-Лича-Блайли). Требуется обязательная защита данных PII (Personal Identifiable Information).[8]
- PCI DSS (Стандарт безопасности данных индустрии платежных карт). Требуется обязательная защита информации о кредитных картах потребителей, включая хранение и передачу.[9]
- FISMA (Федеральный закон об управлении информационной безопасностью 2002 г.). Устанавливает федеральные требования к управлению государственными сетевыми системами и данными. Руководства по управлению журналами включают создание, просмотр, защиту и хранение записей аудита, а также действия, которые необходимо предпринять в случае сбоя аудита.[4]
Рекомендации
- ^ "Публикации NIST". Центр ресурсов по компьютерной безопасности NIST. NIST. Получено 26 февраля 2015.
- ^ а б Кент, Карен; Суппайя, Муругия (2006). «Руководство по управлению журналами компьютерной безопасности» (PDF). НИСТ СП 800-92: ES-1,1-1. Получено 26 февраля 2015.
- ^ Батлер, Винсент; Дорси, Том; Робинсон, Кен (3 августа 2014 г.). «Построение стратегии лесозаготовок для эффективного анализа»: 3. Цитировать журнал требует
| журнал =
(помощь) - ^ а б Кент, Карен; Суппайя, Муругия (2006). «Руководство по управлению журналами компьютерной безопасности» (PDF). НИСТ СП 800-92: 3-3,3-4. Получено 26 февраля 2015.
- ^ Радак, Ширли. "Редактор". ITL.NIST.gov. NIST. Получено 26 февраля 2015.
- ^ «Краткое изложение правила безопасности HIPAA». Краткое изложение правила безопасности HIPAA. Здравоохранение и социальные услуги. Получено 26 февраля 2015.
- ^ "Закон Сарбейнса-Оксли 2002 г.". Справочник по закону Сарбейнса-Оксли. Эддисон-Хьюитт.
- ^ «Закон Грэмма-Лича-Блайли (Конфиденциальность финансовой информации потребителей») (PDF). FDIC.gov. FDIC. Получено 26 февраля 2015.
- ^ «Стандарт безопасности данных индустрии платежных карт» (PDF). Совет по стандартам безопасности. 3 (0). 2013. Получено 26 февраля 2015.