Средства оперативного контроля и регистрации событий безопасности
Средства объективного контроля должны обеспечивать обнаружение и регистрацию всех событий (действий пользователей, попыток НСД и т.п.), которые могут повлечь за собой нарушение политики безопасности и привести к возникновению кризисных ситуаций. Средства контроля и регистрации должны предоставлять возможности:
· ведения и анализа журналов регистрации событий безопасности (системных журналов). Журналы регистрации должны вестись для каждой рабочей станции сети;
· оперативного ознакомления администратора безопасности с содержимым системного журнала любой станции и с журналом оперативных сообщений об НСД;
· получения твердой копии (печати) системного журнала;
· упорядочения системных журналов по дням и месяцам, а также установления ограничений на срок их хранения;
· оперативного оповещения администратора безопасности о нарушениях.
При регистрации событий безопасности в системном журнале должна фиксироваться следующая информация:
· дата и время события;
· идентификатор субъекта (пользователя, программы), осуществляющего регистрируемое действие;
· действие (если регистрируется запрос на доступ, то отмечается объект и тип доступа).
Средства контроля должны обеспечивать обнаружение и регистрацию следующих событий:
· вход пользователя в систему;
· вход пользователя в сеть;
· неудачная попытка входа в систему или сеть (неправильный ввод пароля);
· подключение к файловому серверу;
· запуск программы;
· завершение программы;
· оставление программы резидентно в памяти;
· попытка открытия файла недоступного для чтения;
· попытка открытия на запись файла недоступного для записи;
· попытка удаления файла недоступного для модификации;
· попытка изменения атрибутов файла недоступного для модификации;
· попытка запуска программы, недоступной для запуска;
· попытка получения доступа к недоступному каталогу;
· попытка чтения/записи информации с диска, недоступного пользователю;
· попытка запуска программы с диска, недоступного пользователю;
· нарушение целостности программ и данных системы защиты
· и др.
Должны поддерживаться следующие основные способы реагирования на обнаруженные факты НСД (возможно с участием администратора безопасности):
· извещение владельца информации о НСД к его данным;
· снятие программы (задания) с дальнейшего выполнения;
· извещение администратора баз данных и администратора безопасности;
· отключение терминала (рабочей станции), с которого были осуществлены попытки НСД к информации;
· исключение нарушителя из списка зарегистрированных пользователей;
· подача сигнала тревоги и др.
