logo search
Основи інформаційної безпеки / пос_бник_О_Б_МОН

Основні поняття

Протоколювання – це процес збирання і накопичення інформації про події, що відбуваються в інформаційній системі.

У кожного сервісу свій набір можливих подій, але у будь-якому випадку їх можна розділити на:

Аудит– це аналіз накопиченої інформації, що здійснюється оперативно, у реальному часі або періодично.

Оперативний аудит з автоматичним реагуванням на виявлені нештатні ситуації називається активним.

Протоколювання й аудит дозволяють розв’язати такі задачі:

Дуже докладне протоколювання не тільки знижує продуктивність сервісів (що негативно позначається на доступності), але й ускладнює аудит, тобто не збільшує, а зменшує ІБ.

У “Помаранчевій книзі” рекомендується протоколювати такі події:

При протоколюванні події рекомендується записувати, таку інформацію:

Ще одне важливе поняття, що фігурує в “Помаранчевій книзі”, – вибіркове протоколювання, як відносно користувачів (уважно стежити тільки за підозрілими), так і відносно подій.