Come posso archiviare in modo sicuro i log di attività di audit da un sistema come insieme con i dati di origine o separatamente dal sito?
Come posso archiviare in modo sicuro i log di attività di audit da un sistema come insieme con i dati di origine o separatamente dal sito?
In qualità di revisore IT, lascia che ti dia una risposta per esperienza.
Segregazione dei compiti - SOD
È una buona pratica e un principio fondamentale separare i dipendenti che gestiscono o amministrano il sistema da cui i registri di audit sono prodotti da dipendenti come me, con la responsabilità di rivedere questi registri per individuare eventuali frodi / attività dannose / vulnerabilità della sicurezza. Se questi doveri non sono separati, un singolo individuo può minare il sistema apportando un cambiamento malevolo e coprire le sue azioni modificando i registri di controllo per nascondere le sue azioni. Per illustrare, le seguenti persone in generale dovrebbero non avere accesso ai dati di registro.
Per espandere gli esempi precedenti, se un amministratore della sicurezza ha accesso ai dati dei registri, può aumentare i propri privilegi per consentire un accesso improprio maggiore di quanto sia appropriato per le sue mansioni lavorative, una violazione del principio di sicurezza di Minimo privilegio . Per prevenire o impedire il rilevamento, può cancellare e / o falsificare i valori per le voci di registro di data, ID utente, ecc. Lo stesso ragionamento si applica agli articoli 2 e 3.
Per evitare quanto sopra, i registri possono essere archiviati centralmente in un server in cui l'accesso è strettamente controllato alle persone con ruoli specifici - RBAC. Dovrebbe essere condotta una revisione periodica delle persone che hanno accesso ai registri e i diritti di accesso improprio dovrebbero essere rimossi immediatamente dopo la scoperta.
Archiviazione sicura dei log
I dati di registro dovrebbero essere sottoposti a backup su base regolare e il backup deve essere archiviato fuori sito lontano dalle operazioni principali dell'azienda. Questo per garantire che se si verificasse un disastro (es: incendio o alluvione) nel sito principale dell'azienda, la perdita di dati verrà mitigata. Se i registri contengono informazioni riservate, i backup dei registri dovrebbero essere crittografati mediante crittografia avanzata come AES 256. Un metodo scritto, come le ricevute, dovrebbe essere usato per tracciare la spedizione e la ricezione di questi registri. Periodicamente, una riconciliazione dei media di backup deve essere presa sulla documentazione di tracciamento, con eventuali riconciliazioni non riuscite prontamente esaminate.
Le procedure di monitoraggio relative alla sicurezza e alla riservatezza dello spazio di archiviazione di backup dovrebbero essere documentate. Se queste responsabilità sono delegate a una terza parte da eseguire, gli SLA e un contratto dovrebbero idealmente essere in atto, specificando esplicitamente i doveri di ciascuna parte (Società e fornitore) e includere idealmente una clausola diritto di controllo nel contratto. Il periodo di conservazione del registro deve essere documentato in un criterio di conservazione noto a tutti gli individui con un ruolo di lavoro nella gestione dei backup.
Infine, per saperne di più, questa è una fonte autorevole di ISACA.