NIST Special Publication 800-92

NIST Special Publication 800-92 , «Руководство по управлению журналами компьютерной безопасности», устанавливает руководящие принципы и рекомендации по защите и управлению конфиденциальными данными журнала. Публикация была подготовлена Карен Кент и Мурудж Соуппая из Национального института науки и технологий и опубликована в рамках SP 800-й серии; ^{[ 1 ]} Репозиторий лучших практик для сообщества Infosec. Управление журналом имеет важное значение для обеспечения того, чтобы записи компьютерной безопасности хранились в достаточной степени в течение соответствующего периода времени. ^{[ 2 ]}

Национальный институт науки и техники

Фон

Эффективное ведение журнала событий безопасности и анализ журналов является важнейшим компонентом любой комплексной программы безопасности в организации. Он используется для мониторинга системы, сети и приложений. Он служит сдерживающим фактором для несанкционированной деятельности, а также предоставляет средства для обнаружения и анализа атаки, чтобы организация могла смягчить или предотвратить аналогичные атаки в будущем. Тем не менее, специалисты по безопасности имеют серьезную проблему, чтобы определить, какие события должны быть зарегистрированы, где и как долго сохранить эти журналы, и как проанализировать огромное количество информации, которая может быть получена. Дефицит в любой из этих областей может заставить организацию пропустить признаки несанкционированной деятельности, вторжения и потери данных, что создает дополнительный риск. ^{[ 3 ]}

Объем

NIST SP 800-92 предоставляет обзор высокого уровня и руководство по планированию, разработке и реализации эффективной стратегии управления журналами безопасности. Предполагаемая аудитория для этой публикации включает сообщество общей информационной безопасности (Infosec), участвующее в реагировании на инциденты, системное/приложение/сетевое администрирование и менеджеры. ^{[ 2 ]}

NIST SP 800-92 Определяет инфраструктуру управления журналами как имеющую 4 основные функции: ^{[ 4 ]}

Общее - анализ журнала, фильтрация событий и агрегация событий;
Хранение журнала - вращение, архив, сжатие, восстановление, нормализация, проверка целостности;
Анализ журналов - корреляция, просмотр и отчетность события;
Утилизация - очистка;

NIST SP 800-92 Адреса Следующие проблемы управления журналами безопасности:

Объем журнала превышает скорость анализа;
Обеспечение неизменности во время хранения и передачи;
Непоследовательные форматы журнала поставщиков;
Важность последовательного графика обзора;
Проблемы удержания, связанные с очисткой, долгосрочным хранением и стоимостью;

NIST SP 800-92 дает следующие рекомендации по управлению журналами безопасности: ^{[ 5 ]}

Установить политики и процедуры для управления журналами;
Приоритет управление журналами надлежащим образом во всей организации;
Создать и поддерживать инфраструктуру управления журналами;
Обеспечить надлежащую поддержку всем сотрудникам с обязанностями по управлению журналами;
Установить стандартные эксплуатационные процессы управления журналами;

Согласие

Следующие федеральные правила требуют надлежащей обработки и хранения конфиденциальных данных журнала:

HIPAA (Закон о мобильности и подотчетности медицинского страхования 1996 года). Требуется обязательная защита личной медицинской информации. ^{[ 6 ]}
Сокс (Закон о Сарбейнс-Оксли 2002). Требует обязательного ведения данных финансовых данных и данных, связанных с его журналом. ^{[ 7 ]}
GLBA (Gramm-Leach-Bliley Act). Требуется обязательная защита данных PII (личная идентифицируемая информация). ^{[ 8 ]}
PCI DSS (стандарт безопасности данных индустрии платежных карт). Требуется обязательная защита информации о потребительских кредитных картах, включая хранение и передачу. ^{[ 9 ]}
FISMA (Закон о управлении федеральной информационной безопасностью 2002 года). Указывает федеральные требования для управления государственными сетевыми системами и данными. Руководящие принципы управления журналами включают в себя генерацию, обзор, защиту и сохранение записей аудита, а также действия, которые необходимо предпринять из -за сбоя аудита. ^{[ 4 ]}

Ссылки

^ "NIST Publications" . NIST Computer Security Resource Center . Нист . Получено 26 февраля 2015 года .
^ Jump up to: ^а ^{беременный} Кент, Карен; Souppaya, Murugiah (2006). «Руководство по управлению журналами компьютерной безопасности» (PDF) . NIST SP 800-92 : ES-1,1-1. doi : 10.6028/nist.sp.800-92 . S2CID 221183642 . Получено 26 февраля 2015 года .
^ Батлер, Винсент; Дорси, Том; Робинсон, Кен (3 августа 2014 г.). «Создание стратегии регистрации для эффективного анализа»: 3. {{cite journal}}: CITE Journal требует |journal= ( помощь )
^ Jump up to: ^а ^{беременный} Кент, Карен; Souppaya, Murugiah (2006). «Руководство по управлению журналами компьютерной безопасности» (PDF) . NIST SP 800-92 : 3-3,3-4. doi : 10.6028/nist.sp.800-92 . S2CID 221183642 . Получено 26 февраля 2015 года .
^ Радак, Ширли. "Редактор" . Itl.nist.gov . Нист . Получено 26 февраля 2015 года .
^ «Резюме правила безопасности HIPAA» . Резюме правила безопасности HIPAA . Здравоохранение и социальные службы. 20 ноября 2009 г. Получено 26 февраля 2015 года .
^ «Акт Сарбейнса-Оксли 2002 года» . Гид по акту Сарбейнса-Оксли . Аддисон-Хьюитт.
^ «Закон Gramm-Leach-Bliley (конфиденциальность потребительской финансовой информации» (PDF) . FDIC.Gov . FDIC . Получено 26 февраля 2015 года .
^ «Стандарт безопасности данных платежных карт» (PDF) . Совет по стандартам безопасности . 3 2013 . Получено 26 февраля 2015 года .

Внешние ссылки