вторник, 1 июня 2010 г.

Что делать с журналами (логами) аудита и событий?

Нечасто можно встретить публикации, посвящённые проблеме управления лог-файлами (протоколами/журналами аудита) с точки зрения управления документами. Тем временем за рубежом эта проблема постепенно обостряется, в первую очередь в связи с ужесточением законодательно-нормативных требований к сохранению документов и информации.

Предлагаемая вниманию читателей заметка Роджера Пула (Roger Poole), общекорпоративного руководителя службы управления документами (Global Head of Records Management) компании Barclays Capital, была опубликована 19 мая 2010 года на блоге сообщества по управлению документами, созданного членами международной ассоциации специалистов по управлению контентом AIIM (AIIM ERM Community, http://aiimcommunities.org/erm/ ).

Хочу воспользоваться правом любого блоггера, и сыграть на минуту роль адвоката дьявола.

Мы можем считать, что говорим на одном языке и преследуем общие цели с нашими партнерами из информационных технологий, но порой между нами открывается пропасть, показывая, насколько далеко друг от друга мы можем быть

Позвольте мне показать вам один пример – журналы аудита/событий (audit/event logs).

В течение последних нескольких недель я участвовал в ряде обсуждений, касавшихся обращения с системными журналами аудита с точки зрения управления документами, и, в частности, вопроса об их сохранении в течение установленного периода времени. Я решил рассказать здесь об этом, в надежде на расширение дискуссии по этим вопросам.

Началось с трудностей, возникших при попытке сформулировать вопрос типа «что?» - «что именно Вы имеете в виду ... помогите мне несколько сузить тему». «Хорошо», - сказали мне,  и мы начали перечислять:
  • Протоколирование событий, относящихся к безопасности и используемых для выявления и отслеживания внешних или внутренних атак (информационная безопасность);

  • Журналы обнаружения вторжений в реальном времени (информационная безопасность);

  • Документирование в журнале внесенных в систему  изменений (управление изменениями);

  • Создание журнала аудита, вплоть до уровня нажатий клавиш (расследования / судебная экспертиза);

  • Выявление нарушения политики (информационная безопасность);

  • Оптимизация производительности системы и сети (информационные технологии);

  • Выявление оперативных тенденций и долгосрочных проблем (информационные технологии).
Картина совсем не проясняется и тогда, когда, - прочёсывая Интернет в поисках желанного основополагающего руководства, закона или нормативного акта, - постоянно натыкаешься на написанные с лучшими намерениями комментарии, которые сводятся к следующим:

  • Разработать конкретные рекомендации очень трудно, потому что среди специалистов нет согласия;

  • Журналы аудита нужно хранить от 3 до 7 лет [с учетом различия в типовых сроках хранения, в переложении на российские условия это соответствует диапазону «от года до 5 лет» - Н.Х.]

  • Журналы аудита следует сохранять для целей соответствия требования закона Сарбейнса-Оксли [Этот американский закон, в частности,  регламентирует сохранение информации, относящейся к аудиту компаний, публично торгующих акциями на ведущих биржах. Под него подпадают и российские компании, акции которых котируются на биржах США. – Н.Х.]

  • Журналы нужно сохранять в соответствии с местными законодательно-нормативными требованиями ...
... Без шуток! ...

Ясно одно: среди множества назначений и целей, приписываемых компьютерным журналам аудита, по некоторым вещам в ИТ-отрасли существует консенсус:
  • Журналы аудита важны - нужно лишь задуматься над тем, что именно они могут подтвердить или опровергнуть;

  • Они очень объёмные,  и становятся ещё объёмнее - журналы аудита чрезвычайно склонны поглощать компьютерную память;

  • Некоторые сферы их применения четко определены – примером является обеспечение информационной безопасности;

  • Другие сферы применения определены в меньшей степени - например, их реальный потенциал для мониторинга управления доказательствами (evidence management control).
Так каков же ответ? ... Журналы аудита появились в своё время для использования в целях администрирования, но постепенно (ну, примерно так же постепенно, как тают полярные льды) превращаются в нечто иное, нечто гораздо более проблемное и интересное для специалистов в области управления документами.

Или же, возможно, мы откатимся на позиции постоянного хранения журналов аудита, поскольку они подтверждают деловые транзакции, и будем использовать неизбежные аргументы о повышении ёмкости и удешевлении систем хранения .... а может, придумаем что-то ещё?

Роджер Пул (Roger Poole)

Источник: AIIM ERM Community Blogs
http://aiimcommunities.org/erm/blog/what-do-you-do-audit-and-event-logs

Комментариев нет:

Отправка комментария