Стандарт Банка России № СТО БР ИББС-1.3-2016 от 01.01.2017

10.3.4
Defined Approach Requirements: 
File integrity monitoring or change-detection mechanisms is used on audit logs to ensure that existing log data cannot be changed without generating alerts. 

Customized Approach Objective:
Stored activity records cannot be modified without an alert being generated. 

Defined Approach Testing Procedures:

Purpose:
File integrity monitoring or change-detection systems check for changes to critical files and notify when such changes are identified. For file integrity monitoring purposes, an entity usually monitors files that do not regularly change, but when changed, indicate a possible compromise. 

Good Practice:
Software used to monitor changes to audit logs should be configured to provide alerts when existing log data or files are changed or deleted. However, new log data being added to an audit log should not generate an alert. 

10.5.1
Defined Approach Requirements: 
Retain audit log history for at least 12 months, with at least the most recent three months immediately available for analysis. 

Customized Approach Objective:
Historical records of activity are available immediately to support incident response and are retained for at least 12 months. 

Defined Approach Testing Procedures:

Good Practice:
Retaining historical audit logs for at least 12 months is necessary because compromises often go unnoticed for significant lengths of time. Having centrally stored log history allows investigators to better determine the length of time a potential breach was occurring, and the possible system(s) impacted. By having three months of logs immediately available, an entity can quickly identify and minimize impact of a data breach. 

Examples:
 Methods that allow logs to be immediately available include storing logs online, archiving logs, or restoring logs quickly from backups. 

10.3.3
Defined Approach Requirements: 
Audit log files, including those for externalfacing technologies, are promptly backed up to a secure, central, internal log server(s) or other media that is difficult to modify. 

Customized Approach Objective:
Stored activity records are secured and preserved in a central location to prevent unauthorized modification. 

Defined Approach Testing Procedures:

Purpose:
Promptly backing up the logs to a centralized log server or media that is difficult to alter keeps the logs protected, even if the system generating the logs becomes compromised. 
Writing logs from external-facing technologies such as wireless, network security controls, DNS, and mail servers, reduces the risk of those logs being lost or altered. 

Good Practice:
Each entity determines the best way to back up log files, whether via one or more centralized log servers or other secure media. Logs may be written directly, offloaded, or copied from external systems to the secure internal system or media. 

5.3.4
Defined Approach Requirements: 
Audit logs for the anti-malware solution(s) are enabled and retained in accordance with Requirement 10.5.1. 

Customized Approach Objective:
Historical records of anti-malware actions are immediately available and retained for at least 12 months. 

Defined Approach Testing Procedures:

Purpose:
It is important to track the effectiveness of the anti-malware mechanisms—for example, by confirming that updates and scans are being performed as expected, and that malware is identified and addressed. Audit logs also allow an entity to determine how malware entered the environment and track its activity when inside the entity’s network. 

10.5.1
Определенные Требования к Подходу:
Сохраняйте историю журнала аудита не менее 12 месяцев, причем по крайней мере последние три месяца будут немедленно доступны для анализа.

Цель Индивидуального подхода:
Исторические записи о действиях доступны немедленно для поддержки реагирования на инциденты и хранятся не менее 12 месяцев.

Определенные Процедуры Тестирования Подхода:

Надлежащая практика:
Сохранение исторических журналов аудита в течение как минимум 12 месяцев необходимо, поскольку компромиссы часто остаются незамеченными в течение значительного периода времени. Централизованно хранимая история журналов позволяет исследователям лучше определить продолжительность времени, в течение которого происходило потенциальное нарушение, и возможные затронутые системы. Благодаря немедленному доступу к журналам за три месяца организация может быстро идентифицировать и минимизировать последствия утечки данных.

Примеры:
Методы, позволяющие сделать журналы доступными немедленно, включают хранение журналов в режиме онлайн, архивирование журналов или быстрое восстановление журналов из резервных копий.

10.3.3
Определенные Требования к Подходу:
Файлы журналов аудита, в том числе для технологий внешнего взаимодействия, быстро копируются на защищенный центральный внутренний сервер(ы) журналов или другой носитель, который трудно изменить.

Цель Индивидуального подхода:
Сохраненные записи о действиях защищены и хранятся в центральном месте для предотвращения несанкционированного изменения.

Определенные Процедуры Тестирования Подхода:

Цель:
Оперативное резервное копирование журналов на централизованный сервер журналов или носитель, который трудно изменить, обеспечивает защиту журналов, даже если система, генерирующая журналы, становится скомпрометированной.
Запись журналов с внешних технологий, таких как беспроводная связь, средства управления сетевой безопасностью, DNS и почтовые серверы, снижает риск потери или изменения этих журналов.

Надлежащая практика:
Каждая организация определяет наилучший способ резервного копирования файлов журналов, будь то через один или несколько централизованных серверов журналов или другой защищенный носитель. Журналы могут быть записаны напрямую, выгружены или скопированы с внешних систем на защищенную внутреннюю систему или носитель.

10.3.4
Определенные Требования к Подходу:
Мониторинг целостности файлов или механизмы обнаружения изменений используются в журналах аудита, чтобы гарантировать, что существующие данные журнала не могут быть изменены без создания предупреждений.

Цель Индивидуального подхода:
Сохраненные записи о действиях не могут быть изменены без создания предупреждения.

Определенные Процедуры Тестирования Подхода:

Цель:
Системы мониторинга целостности файлов или обнаружения изменений проверяют наличие изменений в критически важных файлах и уведомляют об обнаружении таких изменений. Для целей мониторинга целостности файлов объект обычно отслеживает файлы, которые регулярно не меняются, но при изменении указывают на возможную компрометацию.

Надлежащая практика:
Программное обеспечение, используемое для отслеживания изменений в журналах аудита, должно быть настроено на выдачу предупреждений при изменении или удалении существующих данных или файлов журнала. Однако новые данные журнала, добавляемые в журнал аудита, не должны генерировать предупреждение.

5.3.4
Определенные Требования к Подходу:
Журналы аудита для решения (решений) для защиты от вредоносных программ включены и сохраняются в соответствии с требованием 10.5.1.

Цель Индивидуального подхода:
Исторические записи о действиях по защите от вредоносных программ становятся доступными немедленно и сохраняются не менее 12 месяцев.

Определенные Процедуры Тестирования Подхода:

Цель:
Важно отслеживать эффективность механизмов защиты от вредоносных программ - например, путем подтверждения того, что обновления и проверки выполняются должным образом, а вредоносное ПО идентифицировано и устранено. Журналы аудита также позволяют организации определять, как вредоносное ПО проникло в среду, и отслеживать его активность внутри сети организации.