9 Kiểm soát truy cập
9.7.2Sử dụng việc theo dõi hệ thống
9.7.2.1 Các thủ tục và những phạm vi rủi ro
Những thủ tục cho việc sử dụng việc theo dõi các điều kiện xử lí thông tin nên được thiết lập. Các thủ tục như vậy là rất cần để đảm bảo rằng những người dùng chỉ thực hiện các hoạt động hợp phép. Mức độ theo dõi yêu cầu đối với các phương tiện cá thể nên được xác định bằng việc đánh giá rủi ro. Những khía cạnh nên được chú ý bao gồm:
a) truy cập hợp phép, bao gồm chi tiết như là: 1) mã người dùng;
2) ngày và giờ của những sự kiện quan trọng; 3) các loại sự kiện;
4) các tệp tin được truy cập;
5) chương trình/các tiện ích được dùng; b) tất cả các hoạt động đặc quyền, như là: 1) việc sử dụng tài khoản giám sát;
3) sự đính kèm/tháo rời thiết bị đầu vào/đầu ra; c) các cố gắng truy cập trái phép, như là:
1) những cố gắng không thành;
2) những vi phạm chính sách truy cập và những khai báo cho các cổng nối mạng và tường lửa;
3) những báo động hệ thống dò tìm ra sự xâm nhập; d) những báo động hệ thống như là:
1) báo động màn hình hoặc các thông báo; 2) báo động quản lý mạng
9.7.2.2 Những yếu tố rủi ro
Kết quả của các hoạt động theo dõi nên được xem xét lại thường kì. Tính thường xuyên của việc xem xét sẽ phụ thuộc vào những rủi ro có liên quan. Những yếu tố rủi ro nên được quan tâm bao gồm:
a) tính quyết định của các quá trình ứng dụng;
b) giá trị, tính nhạy cảm, hoặc tính quyết định của thông tin có liên quan; c) phạm vi của liên kết nối hệ thống (đặc biệt là những mạng công cộng).
9.7.2.3 Ghi lại và xem xét các sự kiện
Sự xem xét lại bản ghi bao gồm việc hiểu rõ những mối đe doạ mà hệ thống đối mặt và cách mà chúng nảy sinh. Những việc có thể đòi hỏi đến sự nghiên cứu xa hơn trong những trường hợp liên quan đến bảo mật đã được nói trong 9.7.1.
Các bản ghi hệ thống thường chứa khối lượng lớn thông tin, rất nhiều trong số đó không liên quan đến việc theo dõi bảo mật. Để giúp đỡ xác định những sự kiện cho các mục đích theo dõi bảo mật, việc sao chép tự động các loại thông báo thích hợp sang bản ghi thứ hai, và/hoặc việc sử dụng những tiện ích hệ thống phù hợp hay các công cụ kiểm định để thực hiện việc truy vấn tệp tin nên được quan tâm. Khi chỉ định trách nhiệm xem xét bản ghi, sự tách biệt các vai trò nên được quan tâm giữa những người đảm nhận việc xem xét và những hoạt động của những người này nên được giám sát.
Sự chú ý đặc biệt nên được đưa ra đối với việc bảo mật phương tiện ghi bởi vì nếu làm xáo trộn sẽ có thể đưa ra hướng bảo mật sai. Những kiểm soát sẽ tập trung vào bảo vệ chống lại những thay đổi trái phép và các vấn đề hoạt động bao gồm:
a) phương tiện ghi bị làm không hoạt động;
b) những thay đổi đối với các loại thông báo được ghi; c) các tệp ghi bị sửa chữa hoặc xoá bỏ;
d) phương tiện chứa tệp ghi bị thoái hoá, và hoặc là không thể thực hiện ghi các sự kiện hay ghi đè.
9.7.3 Sự đồng bộ hoá thời gian
Thiết định chính xác của các đồng hồ máy tính là rất quan trọng để đảm bảo độ chính xác của các bản ghi kiểm định, mà có thể cần cho những nghiên cứu hoặc như là chứng cớ hợp pháp hay các trường hợp kỉ luật.
Các bản ghi kiểm định không chính xác có thể cản trở những nghiên cứu và độ tin cậy của chứng cớ.
Nơi nào mà máy tính hoặc thiết bị kết nối có khả năng vận hành bộ thời gian thực, nó nên được đặt thành tiêu chuẩn thoả thuận, ví dụ, bộ thời gian phối hợp chung (UCT) hoặc bộ thời gian chuẩn cục bộ.
Khi một số đồng hồ được biết theo thời gian, sẽ có thủ tục kiểm tra và hiệu chỉnh bất cứ thay đổi quan trọng nào.