Соответствие стандарту PCI DSS: журналы регистрации событий

Павел Федоров
Руководитель департамента
аудита банков и платежных систем
Digital Security

Во-первых, журналы регистрации событий должны содержать полную информацию о том, кто и когда работал с инфраструктурой и получал доступ к карточным данным. Во-вторых, они должны быть достаточно понятны, прозрачны и доступны для ручного или автоматического изучения.

Распределение полномочий

Все сотрудники, имеющие отношение к инфраструктуре, обрабатывающей карточные данные, делятся на три группы: пользователи, администраторы систем и офицеры безопасности. Последние нужны именно для того, чтобы контролировать действия первых двух групп, при этом им необязательно иметь непосредственный доступ к самой инфраструктуре. Однако доступом к журналам офицеры безопасности должны обладать непременно, в отличие от администраторов, имеющих доступ к карточным данным. Это необходимо для того, чтобы исключить возможность незаметного изменения журналов администратором-злоумышленником.

Сбор и синхронизация

Журналы должны собираться со всего оборудования, входящего в область применения стандарта, - с операционных систем серверов, с управляемого сетевого оборудования, со всех мест хранения данных, а также со всего ПО для доступа к карточным данным. При наличии виртуализованных компонентов журналы необходимо собирать в том числе и с гипервизоров, чтобы исключить возможность подлога на уровне управления виртуализацией. Также журналы должны вестись дополнительными системами безопасности: антивирусом, системой обнаружения вторжений, системой контроля целостности. Кстати, последняя должна отслеживать не только конфигурационные файлы, но и сами журналы. Также рекомендуется синхронизировать с инфраструктурой систему контроля доступа, использующую персонализированные пропуски или системы видеонаблюдения. Это позволит эффективнее отслеживать получение консольного доступа или отключение систем для обслуживания аппаратной части.

Отдельный вопрос - анализ журналов

Во-первых, для анализа можно использовать настроенный лог-обработчик, однако его настройка в части отслеживания и реакции на события должна быть достаточно точной для того, чтобы, с одной стороны, фиксировать все возможные инциденты безопасности, а с другой - не иметь слишком большого количества ложных срабатываний, которые как ничто другое расслабляют сотрудников, ответственных за мониторинг. Разумеется, при вводе новых систем в инфраструктуру необходимо настроить анализ событий на них до ввода их в производственную эксплуатацию - в противном случае злоумышленник сможет воспользоваться новым недонастроенным оборудованием. Кроме того, автоматизированная система анализа и оповещения упрощает такие задачи, как мониторинг инфраструктуры в круглосуточном режиме, а также во время долгих выходных. Гораздо проще следить за безопасностью, зная, что в случае даже неуспешной попытки подбора пароля придет SMS-сообщение. Должен предупредить, что во время аудита безопасности даже достаточно небольшой инфраструктуры попытка убедить QSA-аудитора в том, что анализ журналов проводится "вручную", может оказаться неуспешной: очевидно, что просматривать ежедневно несколько мегабайт логов - задача не только непростая, но и утомительная. С другой стороны, полностью полагаться на автоматику также не стоит - периодически следует изучать журналы и "вручную", а также проверять срабатывание, создавая заведомо критические ситуации, чтобы убедиться, что все события успешно отлавливаются.