Политика аудита

Политика аудита

Одной из составляющих политики безопасности является контроль за функционированием компьютерных систем, при котором происходящие события регистрируются в специальном журнале - журнале аудита. Журнал аудита периодически просматривается системным администратором либо специально выделенным специалистом - аудитором, кото­рые анализируют зафиксированные в нем данные. На основе изучения записей о попытках атак и успешных атаках, если таковые имели место, можно выявить способ их осуществления и, следовательно, предотвратить подобные действия в будущем.

Система аудита должна удовлетворять следующие требования:

·                   формировать записи в журнале аудита может только компьютерная система;

·                   записи нельзя ни удалять, ни ре­дактировать;

·                   доступ к журналу имеют только специально назначенные пользователи;

·                   очищать журнал могут только аудиторы, перед очисткой должна создаваться страховая копия.

Минимальным числом событий для аудита, обеспечивающего защиту компьютерной системы, являются:

·                   попытки входа/выхода пользователей из системы;

·                   попытки изменения списка пользователей;

·                   попытки изменения политики безопасности.

Следует отметить, что чрезмерно большой объем фиксируемых событий приводит к ослаблению безопасности, а не к ее усилению, поскольку  большое число записей затрудняет их анализ и создает условия для пропуска записей о действиях, представляющих реальные угрозы безопасности. Исходя из этого, окончательное составление перечня событий для регистрации производится аудитором на основе анализа специфики конкретной информационной системы.