23.08.2010

Мониторинг событий ИБ и PCI DSS

Golshtein_AB

Автор: Анна Гольдштейн

Должность: директор департамента развития бизнеса компании «Информзащита»

Одна из самых серьезных проблем на пути к PCI DSS Compliance — организация процесса мониторинга событий ИБ. Сразу оговорюсь, что вообще организовать процесс можно как угодно, стандарт PCI DSS это напрямую не регламентирует (централизованно/децентрализовано, средствами автоматизации или без оных и т. п.). Модель построения процесса: сбор событий автоматизирован, мониторинг в рабочее время обеспечивает квалифицированный сотрудник из подразделения безопасности, в ночное время реагирование обеспечивается только на наиболее критичные события, которые поступает дежурному сотруднику, от которого не требуется знаний ИБ, а требуется реагирование по инструкции (в норме задействуются уже существующие круглосуточные службы). Что же нужно от системы?

1. В SIMS должны собираться события ИБ от всех типов ресурсов в области аудита PCI DSS:

  • ОС серверов
  • СУБД;
  • Сетевое оборудование;
  • Web-серверы (если используются для обработки карт);
  • Реже: Прикладное ПО обработки карт

2. При этом подсистемы протоколирования данных ресурсов должны обеспечивать регистрацию (а SIMS в свою очередь — сбор) всех типов событий, приведенных в пунктах 10.2.1–10.2.7 стандарта PCI DSS (если имеют смысл для данного типа ресурса), а именно:

  • Доступ к данным платежных карт
  • Успешное использование привилегированных административных полномочий и управление системными объектами
  • Все события, связанные с работой систем аутентификации
  • Попытки использования отсутствующих привилегий, то есть ошибки логического доступа к объектам и функциям систем

3. В SIMS должны также попадать сообщения от специализированных средств защиты. Итак, средства защиты, требуемые согласно PCI DSS:

  • Межсетевые экраны;
  • IDS/IPS;
  • Средства антивирусной защиты;
  • Средства контроля целостности и др.

4. Должен обеспечиваться совокупный период хранение зарегистрированных событий ИБ не менее 1 года при включенном уровне протоколирования событий на источниках согласно требованиям 10.2.1–10.2.7 стандарта PCI DSS (см. пункт 2 данного списка).

5. Есть и ещё несколько требований применительно к хранению журналов (ограничение доступа к хранящимся журналам событий, а также контроль их целостности) — они обычно легко реализуется с помощью предлагаемых средств автоматизации.

6. А чтобы собранные события не стали одной большой, но совершенно бесполезной помойкой, нужно, чтобы выбранная система предоставляла какие-то возможности фильтрации, корреляции событий.