Idézet a Pénzügyi Szervezetek Állami Felügyeletének 1/2007. számú módszertani útmutatója a pénzügyi szervezetek informatikai rendszerének védelméről c. dokumentumból ill. a Mpt., Öpt., Bszt., Hpt. törvényekből:
„A módszertani útmutató a Hpt., a Tpt., Bszt., az Mpt. és az Öpt. hatálya alá tartozó pénzügyi szervezeteknél működtetett informatikai rendszerekre terjed ki.”
„A biztonsági kockázatelemzés eredményének értékelése alapján a biztonsági kockázattal arányos módon kell gondoskodni olyan biztonsági környezetről, amely az informatikai rendszer működése szempontjából kritikus folyamatok eseményeit naplózza és alkalmas e naplózás rendszeres (esetleg önműködő) és érdemi értékelésére, illetve lehetőséget nyújt a nem rendszeres események kezelésére,”
Talán ismerősek a fenti idézetek, de ha nem, akkor mindenképpen érdemes a témában tájékozódni, mert a törvény, az törvény. Manapság már nem lehet elégséges olyan kifogás, hogy tervezés alatt van a rendszer bevezetése, vagy nincs rá elég pénz. Fontos megjegyeznem, hogy én személy szerint már 5-6 évvel ezelőtt is voltam "szenvedő alanya" olyan PSZÁF ellenőrzésnek, ahol a naplók központi gyűjtése önmagában már nem volt elégséges megoldás a jelentésben. Ugyanakkor még a múlt héten is találkoztam olyan pénzügyi intézménnyel, ahol gyakorlatilag nincs működő megoldás még a logelemzésre.
De vajon mit is takar pontosan a fenti idézet és milyen tévhitekkel találkoztam már ennek kapcsán?
Biztosan felfigyelt Ön is a "biztonsági kockázattal arányos módon" kifejezésre. Ez lehet a kiskapu? Természetesen ez enged némi mozgásteret a különböző megoldások kiválasztásánál, de azért azt ne gondoljuk, hogy az alsó határ a semmilyen megoldás.
A lényeg mindenképpen az, hogy kell valami, ami a szervezet rendszerei által generált naplókat összegyűjti, eltárolja és ezáltal lehetővé teszi azok visszakereshetőségét. Azt gondolom, hogy eddig a pontig még elfogadható lenne bármilyen módszer, ami ezt biztosítja. Működőképes lehet, ha tudom, hogy:
- milyen rendszereim vannak, mit és hova naplóznak,
- hol vannak a logjaim, mi van bennük
- hogyan találom meg a számomra fontos adatokat és hogyan értelmezem az ezekből nyerhető információt.
Minden más csak technológia.
Ugyanakkor elég gyorsan eljuthatunk arra a szintre, hogy ezt az egész folyamatot automatizálni kell, a feladatokat kényelmesebbé és gyorsabbá tenni.
Központosítás
Nagy számú logforrás esetén talán az első feladat, ami megfogalmazódik, hogy ne kelljen mindne egyes hosztra külön belépnem, ha a naplókban akarok keresni. A feladat egyszerű, tároljuk egy helyen a naplókat, rendszerezzük mondjuk forrásonként, idő szerint. Ez több szempontból is nagyon jó:
- gyorsan hozzáférek az adatokhoz
- könnyen tudom archiválni a logokat
- biztonsági felelősként kontrollt tudok gyakorolni az üzemeltetők fölött, feltéve, hogy nem férnek hozzá felügyelet nélkül a logokhoz
Persze azonnal felmerülnek az újabb kérdések:
- van-e, kell-e ugyanolyan rendelkezésre állás a gyűjtőmnek, mint a logforrásoknak?
- ki üzemelteti a központi loggyűjtőmet?
- hogyan ellenőrzöm, hogy minden logforrásról jön-e a log?
- és még folytathatnám....
Elemzés
Na ez már egy sokkal tágabb fogalom. A törvényben az "érdemi értékelés" és a "nem rendszeres események kezelése" már arra utal, hogy azért egy központi tároló és egy vi/notepad nem feltétlenül elégséges megoldás.
A lehetséges eszközök száma, funkciója, elérhetősége, ára széles skálán mozog. Ugyanolyan elterjedtek a home-grown (házon belüli) megoldások, mint a dobozos termékek. Terjed a LaaS szolgáltatatás is (Logging as a Service), bár ez Magyarországon bizonyos félelmek miatt nem preferált egyelőre.
Ne tegyük le a voksot látatlanban egyik mellett sem. Bármelyik lehet elég jó, sőt kitűnő megoldás is.
Tévhitek
Magasan vezeti a listát az az elképzelés, hogy vannak olyan termékek, amik out-of-the-box biztosítják a megfelelőséget, azaz "rajtuk van a PSZÁF pecsétje". Ha tüzetesen elolvassuk a törvényt és a PSZÁF fent nevezett útmutatóját, látni fogjuk, hogy nincsenek konkrétumot. Elérendő célok vannak, és rengeteg különböző rendszer. A PSZÁF nem definiál konkrét listákat, lekérdezéseket, szemben bizonyos iparági szabványokkal. Az ajánlások alapján minden szervezetnek magának kell megállapítania, mik "a rendszer működése szempontjából kritikus folyamatok", mit kell gyűjteni és elemezni.
Összefoglalva
Azt gondolom, hogy nem kell tartanunk semmilyen audittól, ha
- van szabályzatunk, ami leírja az elvárt működést, osztályozza a rendszereinket, adatainkat
- és ennek megfelelően működünk
- automatizáltan gyűjtjük a naplókat egy központi helyre
- vannak automatizált folyamatok a kritikus és váratlan események kiszűrésére
- és mindezt álmunkból felébresztve is tudjuk produkálni.
