NIST Special Publication 800-92
NIST Special Publication 800-92 , «Руководство по управлению журналами компьютерной безопасности», устанавливает руководящие принципы и рекомендации по защите и управлению конфиденциальными данными журнала. Публикация была подготовлена Карен Кент и Мурудж Соуппая из Национального института науки и технологий и опубликована в рамках SP 800-й серии; [ 1 ] Репозиторий лучших практик для сообщества Infosec. Управление журналом имеет важное значение для обеспечения того, чтобы записи компьютерной безопасности хранились в достаточной степени в течение соответствующего периода времени. [ 2 ]

Фон
[ редактировать ]Эффективное ведение журнала событий безопасности и анализ журналов является важнейшим компонентом любой комплексной программы безопасности в организации. Он используется для мониторинга системы, сети и приложений. Он служит сдерживающим фактором для несанкционированной деятельности, а также предоставляет средства для обнаружения и анализа атаки, чтобы организация могла смягчить или предотвратить аналогичные атаки в будущем. Тем не менее, специалисты по безопасности имеют серьезную проблему, чтобы определить, какие события должны быть зарегистрированы, где и как долго сохранить эти журналы, и как проанализировать огромное количество информации, которая может быть получена. Дефицит в любой из этих областей может заставить организацию пропустить признаки несанкционированной деятельности, вторжения и потери данных, что создает дополнительный риск. [ 3 ]
Объем
[ редактировать ]NIST SP 800-92 предоставляет обзор высокого уровня и руководство по планированию, разработке и реализации эффективной стратегии управления журналами безопасности. Предполагаемая аудитория для этой публикации включает сообщество общей информационной безопасности (Infosec), участвующее в реагировании на инциденты, системное/приложение/сетевое администрирование и менеджеры. [ 2 ]
NIST SP 800-92 Определяет инфраструктуру управления журналами как имеющую 4 основные функции: [ 4 ]
- Общее - анализ журнала, фильтрация событий и агрегация событий;
- Хранение журнала - вращение, архив, сжатие, восстановление, нормализация, проверка целостности;
- Анализ журналов - корреляция, просмотр и отчетность события;
- Утилизация - очистка;
NIST SP 800-92 Адреса Следующие проблемы управления журналами безопасности:
- Объем журнала превышает скорость анализа;
- Обеспечение неизменности во время хранения и передачи;
- Непоследовательные форматы журнала поставщиков;
- Важность последовательного графика обзора;
- Проблемы удержания, связанные с очисткой, долгосрочным хранением и стоимостью;
NIST SP 800-92 дает следующие рекомендации по управлению журналами безопасности: [ 5 ]
- Установить политики и процедуры для управления журналами;
- Приоритет управление журналами надлежащим образом во всей организации;
- Создать и поддерживать инфраструктуру управления журналами;
- Обеспечить надлежащую поддержку всем сотрудникам с обязанностями по управлению журналами;
- Установить стандартные эксплуатационные процессы управления журналами;
Согласие
[ редактировать ]Следующие федеральные правила требуют надлежащей обработки и хранения конфиденциальных данных журнала:
- HIPAA (Закон о мобильности и подотчетности медицинского страхования 1996 года). Требуется обязательная защита личной медицинской информации. [ 6 ]
- Сокс (Закон о Сарбейнс-Оксли 2002). Требует обязательного ведения данных финансовых данных и данных, связанных с его журналом. [ 7 ]
- GLBA (Gramm-Leach-Bliley Act). Требуется обязательная защита данных PII (личная идентифицируемая информация). [ 8 ]
- PCI DSS (стандарт безопасности данных индустрии платежных карт). Требуется обязательная защита информации о потребительских кредитных картах, включая хранение и передачу. [ 9 ]
- FISMA (Закон о управлении федеральной информационной безопасностью 2002 года). Указывает федеральные требования для управления государственными сетевыми системами и данными. Руководящие принципы управления журналами включают в себя генерацию, обзор, защиту и сохранение записей аудита, а также действия, которые необходимо предпринять из -за сбоя аудита. [ 4 ]
Ссылки
[ редактировать ]- ^ "NIST Publications" . NIST Computer Security Resource Center . Нист . Получено 26 февраля 2015 года .
- ^ Jump up to: а беременный Кент, Карен; Souppaya, Murugiah (2006). «Руководство по управлению журналами компьютерной безопасности» (PDF) . NIST SP 800-92 : ES-1,1-1. doi : 10.6028/nist.sp.800-92 . S2CID 221183642 . Получено 26 февраля 2015 года .
- ^ Батлер, Винсент; Дорси, Том; Робинсон, Кен (3 августа 2014 г.). «Создание стратегии регистрации для эффективного анализа»: 3.
{{cite journal}}
: CITE Journal требует|journal=
( помощь ) - ^ Jump up to: а беременный Кент, Карен; Souppaya, Murugiah (2006). «Руководство по управлению журналами компьютерной безопасности» (PDF) . NIST SP 800-92 : 3-3,3-4. doi : 10.6028/nist.sp.800-92 . S2CID 221183642 . Получено 26 февраля 2015 года .
- ^ Радак, Ширли. "Редактор" . Itl.nist.gov . Нист . Получено 26 февраля 2015 года .
- ^ «Резюме правила безопасности HIPAA» . Резюме правила безопасности HIPAA . Здравоохранение и социальные службы. 20 ноября 2009 г. Получено 26 февраля 2015 года .
- ^ «Акт Сарбейнса-Оксли 2002 года» . Гид по акту Сарбейнса-Оксли . Аддисон-Хьюитт.
- ^ «Закон Gramm-Leach-Bliley (конфиденциальность потребительской финансовой информации» (PDF) . FDIC.Gov . FDIC . Получено 26 февраля 2015 года .
- ^ «Стандарт безопасности данных платежных карт» (PDF) . Совет по стандартам безопасности . 3 2013 . Получено 26 февраля 2015 года .