AL
Госсопка требует 6месяцев
Это если у вас центр ГосСОПКИ
Size: a a a
2019 July 13
2019 July 15
KV
В отношении соблюдения закона о КИИ есть требования по сроку хранения?
Не про КИИ, но требования регулятора
Есть документ ЦБ «РС БР ИББС-2.5-2014 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ МЕНЕДЖМЕНТ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ»
6.4.8. Рекомендуется обеспечить следующие сроки хранения информации об обнаруженных событиях ИБ: — событиях ИБ, обнаруженных в рамках банковских платежных технологических процессов, — не менее 5 лет; — иных событиях ИБ — не менее 3 лет.
Есть документ ЦБ «РС БР ИББС-2.5-2014 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ МЕНЕДЖМЕНТ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ»
6.4.8. Рекомендуется обеспечить следующие сроки хранения информации об обнаруженных событиях ИБ: — событиях ИБ, обнаруженных в рамках банковских платежных технологических процессов, — не менее 5 лет; — иных событиях ИБ — не менее 3 лет.
l
Не про КИИ, но требования регулятора
Есть документ ЦБ «РС БР ИББС-2.5-2014 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ МЕНЕДЖМЕНТ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ»
6.4.8. Рекомендуется обеспечить следующие сроки хранения информации об обнаруженных событиях ИБ: — событиях ИБ, обнаруженных в рамках банковских платежных технологических процессов, — не менее 5 лет; — иных событиях ИБ — не менее 3 лет.
Есть документ ЦБ «РС БР ИББС-2.5-2014 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ МЕНЕДЖМЕНТ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ»
6.4.8. Рекомендуется обеспечить следующие сроки хранения информации об обнаруженных событиях ИБ: — событиях ИБ, обнаруженных в рамках банковских платежных технологических процессов, — не менее 5 лет; — иных событиях ИБ — не менее 3 лет.
Это только для банков. Если мне не изменяет память это связано с банковской тайной.
KV
Ну, логично, что требования ЦБ для банков.
AL
Не про КИИ, но требования регулятора
Есть документ ЦБ «РС БР ИББС-2.5-2014 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ МЕНЕДЖМЕНТ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ»
6.4.8. Рекомендуется обеспечить следующие сроки хранения информации об обнаруженных событиях ИБ: — событиях ИБ, обнаруженных в рамках банковских платежных технологических процессов, — не менее 5 лет; — иных событиях ИБ — не менее 3 лет.
Есть документ ЦБ «РС БР ИББС-2.5-2014 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ МЕНЕДЖМЕНТ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ»
6.4.8. Рекомендуется обеспечить следующие сроки хранения информации об обнаруженных событиях ИБ: — событиях ИБ, обнаруженных в рамках банковских платежных технологических процессов, — не менее 5 лет; — иных событиях ИБ — не менее 3 лет.
Рекомендуется. Не обязательно. Хранить 5 лет данные - это мягко говоря нецелесообразно и непонятно, на чем основано требование.
VG
Я обычно делаю так (в Arcsight):
Online: 45 дней
Offline: 90 дней
В любой момент можно подключить архивные события и они станут Online (что даст возможность прогнать через корреляцию).
В добавок важные данные заношу в trend и ставлю ему TTL в 180 дней (при желании можно и больше держать).
Цифра "online 45 дней" берется как перекрытие месячного окна. Этого чаще всего хватает для 90% детекта. Остальное кидай в Trend и анализируй.
Online: 45 дней
Offline: 90 дней
В любой момент можно подключить архивные события и они станут Online (что даст возможность прогнать через корреляцию).
В добавок важные данные заношу в trend и ставлю ему TTL в 180 дней (при желании можно и больше держать).
Цифра "online 45 дней" берется как перекрытие месячного окна. Этого чаще всего хватает для 90% детекта. Остальное кидай в Trend и анализируй.
VG
ИМХО
NA
Дополню, что по "классике" отсреленные архивы не обязательно хранить на сервере с SIEM, где дорогие быстрые диски. Выделити под это старый сервак с хорошим капасити по хардам 3,5. Забейте его хардами на 4/8ТБ в RAID 1 или 5 и складируйте архивы там.
NA
В компании есть ленточные библиотеки для бекапов, наматывайте не ленту
EO
Поясни и разложи логику работы своего SIEM!
EO
@happywalrus максимум 8 слайдов
EO
Дополню, что по "классике" отсреленные архивы не обязательно хранить на сервере с SIEM, где дорогие быстрые диски. Выделити под это старый сервак с хорошим капасити по хардам 3,5. Забейте его хардами на 4/8ТБ в RAID 1 или 5 и складируйте архивы там.
А как к намотанным на ленту данным доступать при форензике? Руками читать? или есть интеграци между, допустим, Veritas Netbackup и Arcsight?
EO
А, понял! Поскольку ДИБ корпоративными бэкапами не управляет, нужно создать ТИКЕТ админам через СЕРВИС ДЕСК!
NA
Я не знаю, есть ли тесная интеграция у ArcSight. Как-то делали такое: Логи надо было хранить 3 года. 3 месяца держали на быстрых дисках СХД c SIEM, 9 месяцев на медленных СХД SIEM, 1 год - внешний сервер, дольше, наматывали
NA
Если нужны были данные старше года, разматывали с ленты средствами стриммера... это долго и нудно
v
Много раз слушал истории о том как запись на ленту оказалась односторонней историей. И даже когда сильно приспичило ничего не восстановили.
Тут версии сменили. Тут пару нужных Архивов крашнули. Тут тупо не смогли дождаться 47 часов восстановления.
В общем все какие-то грустные.
Тут версии сменили. Тут пару нужных Архивов крашнули. Тут тупо не смогли дождаться 47 часов восстановления.
В общем все какие-то грустные.
NA
Много раз слушал истории о том как резервное копирование оказалось односторонней историй
NA
Дело не в решении, а руках
NA
Бекап считается рабочим, если есть процедура проверки его восстановления
AP
Ну, какбы, отсутствие записи на ленту и резервного копирования 100% "односторонняя история". 😊