Audit jurnallarini yuritish Axborot xavfsizligi insidentlari, voqealarini yozish uchun audit jurnalini yuritish va ularni ma’lum vaqt mobaynida saqlash kerak. Bu jurnallar insidentlarning keyingi tekshiruvlarini va foydalanishni boshqarish monitoringini о‘tkazishda zarur bо‘ladi.
Audit jurnallari zarur bо‘lganda quyidagilarni о‘z ichiga olishi kerak:
a) foydalanuvchilarning identifikatorlarini;
b) asosiy voqealarning sanasi, vaqti va batafsil tafsilotlarini, masalan, foydalanuvchilarning kirishi va chiqishi;
c) terminal identifikatori yoki mumkin bо‘lsa, uning joylashgan joyi;
d) tizimdan foydalanishning muvaffaqiyatli va rad etilgan urinishlarining yozuvlari;
e) ma’lumotlar va boshqa aktivlardan foydalanishning muvaffaqiyatli va rad etilgan urinishlarining yozuvlari;
f) tizim konfiguratsiyasini о‘zgartirish;
g) imtiyozlardan foydalanish;
h) tizim utilitlari va ilovalaridan foydalanish;
i) fayllardan foydalanish va foydalanish turi;
j) tarmoq adreslari va bayonnomalari;
k) foydalanishni boshqarish tizimidan chiqadigan xabarlar;
l) muhofaza qilish tizimini, masalan, antivirus muhofazasi va buzib kirishlarni aniqlash tizimlarini aktivatsiya va deaktivatsiya qilish.
Audit jurnallari buzib kirishlar tо‘g‘risidagi ma’lumotlarga va shaxsiy konfidensial ma’lumotlarga ega bо‘lishi mumkin. Konfidensiallikni muhofaza qilish bо‘yicha tegishli choralar kо‘rilishi kerak (15.1.4). Mumkin bо‘lgan joylarda, tizim ma’murlari о‘zlarining harakatlari bayonnomalarini о‘chirishlari yoki deaktivatsiya qilishlari man etiladi (10.1.3).
Tizimlardan foydalanish monitoringi Axborotga ishlov berish vositalaridan foydalanish monitoringi tartibini tasdiqlash, shuningdek, monitoring natijalarini muntazam kо‘rib chiqish zarur.
Axborotga ishlov berish muayyan vositalarining monitoringi darajasini xavflarni baholash asosida aniqlash kerak. Tashkilot kuzatib borish bо‘yicha о‘zining xatti-harakatlariga tegishli yuridik talablarni bajarishi kerak. Monitoringda quyidagilarga e’tibor berish kerak:
a) ruxsat berilgan, jumladan quyidagi detallarni hisobga olgan foydalanish;
1) foydalanuvchining identifikatori;
2) asosiy voqealar sanasi va vaqti;
3) voqealar turlari;
4) foydalanish amalga oshirilgan fayllar;
5) foydalaniladigan dasturlar/utilitlar;
b) quyidagilar kabi barcha imtiyozli amallar:
1) imtiyozli hisobga olinadigan yozuvlardan foydalanish, masalan, qо‘llanmalar, tizim ma’muri va ma’murning yozuvlaridan;
2) tizimni ishga tushirish va tо‘xtatish;
3) kiritish/chiqarish qurilmasini ulash/uzish;
s) quyidagilar kabi ruxsat berilmagan foydalanishga urinishlar;
1) foydalanuvchilarning muvaffaqiyatsiz yoki rad etilgan xatti-harakatlari;
2) ushbu va boshqa aktivlarga tegishli muvaffaqiyatsiz yoki rad etilgan xatti-harakatlar;
3) foydalanish siyosatining va tarmoq shlyuzlari hamda tarmoqlararo ekranlar uchun xabarnomalarning buzilishi;
4) buzib kirishlarni aniqlashning о‘z tizimlaridan ogohlantirish;
d) quyidagilar kabi ogohlantirishlar yoki tо‘xtab qolishlar;
1) konsol (terminal) ogohlantirishlar yoki xabarlar;
2) tizimli rо‘yxatga olish jurnallarida yozilgan istisnolar;
3) tarmoqni boshqarish bilan bog‘liq ogohlantiruvchi signallar;
e) tizimning sozlash va xavfsizligini boshqarish vositalarini о‘zgartirish yoki о‘zgartirishga urinishlar.
Kuzatish bо‘yicha xatti-harakatlar natijalari monitoringining chastotasi о‘zaro aniqlangan xavflarga bog‘liq bо‘lishi kerak. Bunda hisobga olinishi kerak bо‘lgan xavf omillari о‘z ichiga quyidagilarni oladi:
a) biznes ilovalar tomonidan saqlab turiladigan jarayonlarning kritikligi;
b) amaldagi axborotning ahamiyati, konfidensialligi va sezgirligi;
s) ilgari bо‘lib о‘tgan buzib kirish hodisalari va tizimdan notо‘g‘ri foydalanishning tahlili, shuningdek, zaifliklardan foydalanishning chastotasi;
d) tashkilot axborot tizimlarining boshqa tarmoqlar bilan, ayniqsa, umumiy foydalanish tarmoqlari bilan о‘zaro bog‘liqlik darajasi;
e) voqealarni rо‘yxatga olish vositalarini uzib qо‘yish.
Monitoring protseduralaridan foydalanuvchilar tomonidan faqat ruxsat etilgan harakatlarni bajarishni kafolatlash uchun foydalanish zarur.
Audit jurnalini tahlil qilish (kо‘rib chiqish) tizim duchor bо‘lgan tahdidlarni va ularning kelib chiqish sabablarini tushunishni nazarda tutadi. Axborot xavfsizligining buzilish insidentlari yuz berganda keyingi tekshiruvlarni talab qilishi mumkin bо‘lgan hodisalar 13.1.1-bandda keltirilgan.