ГОСТ Р ИСО/МЭК ТО 13335-5-2006 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Часть 5. Руководство по менеджменту безопасности сети

     13.4 Результаты аудита

Важно обеспечить эффективность безопасности сети через обнаружение, расследование и составление отчетов инцидентов безопасности. Следует записывать подробную информацию по результатам аудита ошибочных и адекватных событий, чтобы иметь возможность составлять тщательный анализ потенциальных и фактических инцидентов безопасности. Однако следует признать, что запись огромных объемов связанной с аудитом информации может затруднить проведение анализа и неблагоприятно повлиять на проведение аудита. Поэтому необходимо определить период времени, в течение которого следует отслеживать действия пользователей в контрольном журнале.

Большинство контрольных мер защиты, касающихся сетевых соединений и связанных с ними систем ИТ, могут быть установлены в соответствии с ISO/IEC TR 13335-4. Что касается сетевых соединений, то важно обеспечить возможность аудита следующих типов событий:

- попытки дистанционной неудачной регистрации при входе в систему с указанием даты и времени;

- события неудачной повторной аутентификации (или применения средства идентификации);

- нарушения трафика через шлюз обеспечения безопасности;

- сигналы опасности в системе управления с вовлечением защиты (например дублирование IP-адреса, нарушения в схеме однонаправленного канала передачи данных).

Результаты аудита могут содержать конфиденциальную информацию или сведения, которыми могут воспользоваться для вторжения в систему через сетевые соединения. Более того, сведения о результатах аудита могут служить доказательством передачи данных по сети в случае появления разногласий. Поэтому результаты аудита особенно необходимы в контексте обеспечения целостности и подтверждения отправки/приема информации. Следовательно, все результаты аудита следует защищать надлежащим образом.