10.5.1
Определенные требования подхода:
Сохраняйте историю журналов аудита не менее 12 месяцев, при этом последние три месяца должны быть немедленно доступны для анализа.
Цель Индивидуального подхода:
Исторические записи о деятельности доступны немедленно для поддержки реагирования на инциденты и сохраняются не менее 12 месяцев.
Определенные Процедуры Тестирования Подхода:
- 10.5.1.a Изучите документацию, чтобы убедиться, что определены следующие элементы:
- Политики сохранения журналов аудита.
- Процедуры сохранения истории журналов аудита на срок не менее 12 месяцев, при этом последние три месяца должны быть немедленно доступны онлайн.
- 10.5.1.b Изучите конфигурации истории журналов аудита, проведите интервью с персоналом и ознакомьтесь с журналами аудита, чтобы убедиться, что история журналов аудита сохраняется не менее 12 месяцев.
- 10.5.1.c Проведите интервью с персоналом и наблюдайте за процессами, чтобы убедиться, что история журналов аудита за последние три месяца немедленно доступна для анализа.
Цель:
Сохранение исторических журналов аудита на срок не менее 12 месяцев необходимо, поскольку компрометированные данные часто остаются незамеченными в течение значительного времени. Централизованное хранение истории журналов позволяет следователям лучше определить продолжительность возможного нарушения безопасности и какие системы могли быть затронуты. Наличие трех месяцев журналов, доступных немедленно, позволяет организации быстро выявлять и минимизировать последствия утечки данных.
Примеры:
Методы, которые позволяют немедленно получить доступ к журналам, включают хранение журналов онлайн, архивирование журналов или быстрое восстановление журналов из резервных копий.