תקן רישום מידע
1. סקירה כללית
רישום מידע ממערכות קריטיות, יישומים ושירותים יכול לספק מידע חיוני ואינדיקטורים אפשריים לפגיעה באבטחה. אף על פי שלא תמיד נבדקות הרשומות על בסיס יומי, הן חיוניות לצורכי חקירה משפטית.
2. מטרה
מטרת מסמך זה היא לזהות דרישות ספציפיות שעל מערכות מידע לעמוד בהן כדי ליצור רשומות ביקורת מתאימות ולהשתלב עם פונקציית ניהול הרשומות בארגון. הכוונה היא שניתן יהיה להתאים את השפה בקלות לשימוש במדיניות אבטחת IT ארגונית ובסטנדרטים של הארגון, וכן בסטנדרטים של רכש ותבניות RFP.
באופן זה, ארגונים יכולים להבטיח שמערכות IT חדשות, בין אם פותחו בבית או נרכשו, יתמכו בפונקציות נדרשות של רישום ביקורת וניהול רשומות.
3. תחום יישום
מדיניות זו חלה על כל המערכות בסביבת הייצור של רשת איי.אמ.אס טכנולוגיות.
4. מדיניות
4.1 דרישות כלליות
כל המערכות המטפלות במידע סודי, מקבלות חיבורים לרשת או מקבלות החלטות של בקרת גישה (אימות וזיהוי), חייבות להקליט ולשמור מידע רישום ביקורת המספיק לענות על השאלות הבאות:
4.1.1 איזו פעילות בוצעה?
4.1.2 מי או מה ביצע את הפעילות, כולל היכן או באיזו מערכת היא בוצעה (נושא)?
4.1.3 על מה בוצעה הפעילות (אובייקט)?
4.1.4 מתי בוצעה הפעילות?
4.1.5 עם אילו כלים בוצעה הפעילות?
4.1.6 מה היה הסטטוס (כגון הצלחה מול כישלון), התוצאה או התפוקה של הפעילות?
4.2 פעילויות שיש לרשום
רשומות ייווצרו בכל פעם שהמערכת מתבקשת לבצע אחת מהפעילויות הבאות:
4.2.1 יצירה, קריאה, עדכון או מחיקה של מידע סודי, כולל מידע סודי של אימות כמו סיסמאות.
4.2.2 יצירה, עדכון או מחיקה של מידע שאינו מכוסה בסעיף הקודם.
4.2.3 ייזום חיבור רשת.
4.2.4 קבלת חיבור רשת.
4.2.5 אימות וזיהוי משתמש לפעילויות המוזכרות בסעיפים 1 ו-2, כמו כניסת ויציאת משתמש.
4.2.6 הענקה, שינוי או שלילת זכויות גישה, כולל הוספת משתמש חדש או קבוצה, שינוי רמות זכויות משתמש, שינוי הרשאות קבצים, שינוי הרשאות אובייקט במסד נתונים, שינוי חוקי חומת אש ושינוי סיסמאות משתמשים.
4.2.7 שינויים בתצורת מערכת, רשת או שירותים, כולל התקנת עדכוני תוכנה ותיקונים או שינויים בתוכנה המותקנת.
4.2.8 הפעלה, כיבוי או אתחול תהליך יישום.
4.2.9 כשל, הפסקה או סיום לא תקין של תהליך יישום, במיוחד עקב מיצוי משאבים או הגעה למגבלת משאבים (כגון CPU, זיכרון, חיבורי רשת, רוחב פס, שטח דיסק או משאבים אחרים), כשל בשירותי רשת כמו DHCP או DNS, או תקלת חומרה.
4.2.10 זיהוי פעילות חשודה/זדונית ממערכת זיהוי או מניעת חדירה (IDS/IPS), מערכת אנטי-וירוס או מערכת אנטי-ריגול.
4.3 רכיבי הרשומה
הרשומות צריכות לזהות או להכיל לפחות את הרכיבים הבאים, באופן ישיר או עקיף:
4.3.1 סוג הפעולה – דוגמאות כוללות: אישור, יצירה, קריאה, עדכון, מחיקה, וקבלת חיבור רשת.
4.3.2 מערכת המשנה המבצעת את הפעולה – דוגמאות כוללות: שם תהליך או עסקה, מזהה תהליך או עסקה.
4.3.3 מזהים (ככל שישנם) עבור הנושא המבקש את הפעו�לה – דוגמאות כוללות: שם משתמש, שם מחשב, כתובת IP, וכתובת MAC. יש לתקנן מזהים אלה כדי להקל על התאמת הרשומות.
4.3.4 מזהים (ככל שישנם) עבור האובייקט שעליו בוצעה הפעולה – דוגמאות כוללות: שמות קבצים שניגשו אליהם, מזהים ייחודיים של רשומות שניגשו אליהם במסד נתונים, פרמטרי שאילתות שנעשה בהם שימוש לקביעת רשומות שניגשו אליהם במסד נתונים, שם מחשב, כתובת IP וכתובת MAC. יש לתקנן מזהים אלה כדי להקל על התאמת הרשומות.
4.3.5 ערכים לפני ואחרי כאשר הפעולה כוללת עדכון רכיב נתונים, אם אפשרי.
4.3.6 תאריך ושעת ביצוע הפעולה, כולל מידע רלוונטי על אזור הזמן אם אינו בזמן אוניברסלי מתואם (UTC).
4.3.7 האם הפעולה הותרה או נדחתה על ידי מנגנוני בקרת גישה.
4.3.8 תיאור וקודי סיבה לכך שהפעולה נדחתה על ידי מנגנון בקרת הגישה, אם רלוונטי.
4.4 עיצוב ואחסון
המערכת חייבת לתמוך בעיצוב ואחסון של רשומות ביקורת בצורה שתבטיח את שלמות הרשומות ותתמוך בניתוח ודיווח ברמה הארגונית. מנגנונים התומכים במטרות אלה כוללים, אך אינם מוגבלים ל:
4.4.1 יומני אירועים של Microsoft Windows שנאספו על ידי מערכת ניהול יומנים מרכזית.
4.4.2 יומנים בפורמט מתועד היטב שנשלחו באמצעות פרוטוקולי רשת syslog, syslog-ng, או syslog-reliable למערכת ניהול יומנים מרכזית.
4.4.3 יומנים המאוחסנים במסד נתונים ANSI-SQL המייצר בעצמו רשומות ביקורת העומדות בדרישות מסמך זה.
4.4.4 מנגנוני רישום פתוחים אחרים התומכים בדרישות הנ"ל, כולל כאלה המבוססים על CheckPoint OpSec, ArcSight CEF, ו-IDMEF.
5. עמידה במדיניות
5.1 מדידת עמידה
צוות אבטחת המידע יבדוק עמידה במדיניות זו באמצעות שיטות שונות, כולל אך לא מוגבל לדוחות כלים עסקיים, ביקורות פנימיות וחיצוניות, ומשוב לבעל המדיניות.
5.2 חריגות
כל חריגה מהמדיניות חייבת לקבל אישור מראש מצוות אבטחת המידע.
5.3 אי-ציות
עובד שיימצא כי הפר את המדיניות עשוי להיות כפוף לפעולות משמעתיות, עד ובכלל סיום העסקתו.