9. Quản lý truyền thông và vận hành
9.10.2. Giám sát sử dụng hệ thống
Biện pháp quản lý
Các thủ tục giám sát việc sử dụng các phương tiện xử lý thông tin cần được thiết lập và thường xuyên xem xét lại kết quả giám sát.
Hướng dẫn triển khai
Mức độ giám sát yêu cầu đối với từng thiết bị cần được xác định bằng đánh giá rủi ro. Tổ chức cần tuân thủ tất cả các yêu cầu pháp lý liên quan áp dụng cho các hoạt động giám sát. Các phạm vi giám sát cần được quan tâm bao gồm:
a) truy cập được phép, bao gồm các thông tin chi tiết như: 1) ID của người dùng;
2) ngày tháng và thời gian của các sự kiện quan trọng; 3) các loại sự kiện;
4) các tệp được truy cập;
5) các chương trình/tiện ích được sử dụng; b) tất cả các hoạt động được ưu tiên, như:
1) sử dụng các tài khoản ưu tiên, ví dụ người giám sát, gốc, người quản trị; 2) khởi động và dừng hệ thống;
3) cắm/tháo thiết bị I/O;
c) những nỗ lực truy cập trái phép, như:
1) các hành động bị lỗi hoặc bị từ chối của người dùng;
2) các hành động bị lỗi hoặc bị từ chối liên quan đến dữ liệu và các nguồn tài nguyên khác; 3) những vi phạm chính sách truy cập và những thông báo đối với các cổng và bức tường lửa của mạng;
4) các cảnh báo từ các hệ thống phát hiện xâm nhập riêng; d) các cảnh báo hoặc lỗi hệ thống như:
1) các cảnh báo hoặc thông điệp từ bảng điều khiển; 2) những ngoại lệ trên nhật ký hệ thống;
3) các cảnh báo về quản lý mạng;
4) các cảnh báo từ các hệ thống điều khiển truy cập;
e) những thay đổi đối với, hoặc những nỗ lực thay đổi các cài đặt và biện pháp quản lý an toàn hệ thống.
Tần suất soát xét các kết quả của hoạt động giám sát cần dựa trên các rủi ro liên quan. Các yếu tố rủi ro cần được lưu ý bao gồm:
a) tầm quan trọng của các quy trình ứng dụng;
b) giá trị, độ nhạy cảm, và tầm quan trọng của thông tin liên quan;
c) các trường hợp xâm nhập và lạm dụng trước đây, và tần suất điểm yếu bị khai thác; d) phạm vi của kết nối hệ thống (đặc biệt là các mạng công cộng);
e) phương tiện ghi nhật ký đang bị giải kích hoạt. Thông tin khác
Các thủ tục giám sát sử dụng rất cần thiết nhằm đảm bảo rằng người dùng chỉ đang thực hiện các hoạt động đã được cấp phép.
Việc soát xét lại nhật ký sẽ giúp hiểu được những mối đe dọa mà hệ thống phải đối mặt và phương thức xuất hiện của chúng. 12.1.1 sẽ đưa ra những ví dụ về các sự kiện có thể yêu cầu phải điều tra thêm trong trường hợp có các sự cố an toàn thông tin.