Показатели, используемые для оценки систем активного аудита

Выделяются следующие показатели:

Отслеживание поведения пользователей и компонентов информационной системы

1. Возможность отслеживания базового набора характеристик поведения пользователей и компонентов информационной системы
2. Возможность изменения (в том числе пополнения) набора отслеживаемых характеристик
3. Возможность отслеживания характеристик в распределенных системах
4. Возможность отслеживания поведения отдельных пользователей и компонентов информационной системы в реальном масштабе времени
5. Возможность задания способа информирования администратора безопасности о выходе отслеживаемых характеристик за допустимые рамки
6. Возможность задания способа автоматического реагирования на выход отслеживаемых характеристик за допустимые рамки

Обеспечение конфиденциальности и целостности регистрационной информации

1. Защита регистрационной информации от несанкционированного доступа в рамках отдельных систем
2. Контроль целостности (взаимной согласованности) регистрационной информации в рамках распределенных систем
3. Защита регистрационной информации от несанкционированного доступа в рамках распределенных систем
4. Возможность задания способа информирования администратора безопасности о нарушении целостности и/или конфиденциальности регистрационной информации
5. Возможность задания способа автоматического реагирования на нарушение целостности и/или конфиденциальности регистрационной информации

Выявление злоумышленного поведения

1. Возможность выявления базового набора злоумышленных действий
2. Возможность пополнения базы правил, описывающих злоумышленные действия
3. Возможность настройки базы правил на конкретные информационные сервисы
4. Возможность выявления злоумышленных действий, распределенных во времени
5. Возможность выявления злоумышленных действий в распределенных системах
6. Возможность выявления злоумышленных действий в реальном масштабе времени
7. Возможность задания способа информирования администратора безопасности о выявленных злоумышленных действиях
8. Возможность задания уровня детализации информации, подтверждающей наличие злоумышленных действий
9. Возможность задания способа автоматического реагирования на выявленные злоумышленные действия
10. Наличие средств автоматической проверки согласованности базы правил в рамках распределенной конфигурации
11. Наличие средств анализа злоумышленных действий с выдачей рекомендаций по предотвращению подобных действий в будущем
12. Наличие средств прогнозирования злоумышленных действий

Выявление нетипичного поведения

1. Наличие подсистемы статистического анализа для выявления нетипичного поведения
2. Возможность выявления нетипичного поведения при использовании базового набора информационных сервисов
3. Возможность пополнения и/или изменения набора контролируемых аспектов поведения
4. Возможность настройки на конкретные информационные сервисы
5. Наличие средств для изменения параметров статистического анализа с целью обеспечения заданного соотношения между ошибками первого рода (отсутствие реакции на нетипичное поведение) и ошибками второго рода (ложное срабатывание)
6. Возможность выявления нетипичного поведения в рамках распределенной системы
7. Возможность выявления нетипичного поведения в реальном масштабе времени
8. Возможность задания способа информирования администратора безопасности о выявленном нетипичном поведении
9. Возможность задания уровня детализации информации, подтверждающей наличие нетипичного поведения
10. Возможность задания способа автоматического реагирования на выявленное нетипичное поведение
11. Наличие средств автоматической проверки согласованности статистических параметров в рамках распределенной конфигурации
12. Наличие средств автоматической оценки соотношения между ошибками первого и второго рода при заданных статистических параметрах

Администрирование

1. Идентификация и аутентификация администраторов в рамках локальных систем
2. Идентификация и аутентификация администраторов в рамках распределенных систем
3. Регистрация административных действий в рамках локальных систем
4. Регистрация административных действий в рамках распределенных систем
5. Возможность централизованного выявления подозрительной активности в рамках распределенных систем
6. Возможность централизованного администрирования распределенных систем активного аудита

Контроль целостности

1. Наличие средств контроля целостности программной и информационной частей системы активного аудита (локальные, распределенные, использующие аттестованные алгоритмы)

Масштабируемость

1. Наличие средств масштабирования по числу отслеживаемых пользователей и компонентов информационной системы: возможность группирования пользователей (компонентов) с однородными характеристиками
2. Наличие средств масштабирования по размеру обслуживаемой информационной системы, возможность варьирования между распределенной и централизованной обработкой регистрационной информации, возможность организации иерархии обрабатывающих центров

Доступность

1. Наличие средств обеспечения высокой доступности: сбои и отказы отдельных подсистем или компонентов системы активного аудита не должны нарушать работоспособность других подсистем (компонентов)

Восстановление

1. Наличие средств восстановления после сбоев и отказов, в том числе отказов отдельных элементов распределенной системы

Документация

1. Руководство администратора системы активного аудита (локальные, распределенные, с использованием аттестованных алгоритмов контроля целостности)
2. Руководство программиста (описание программных интерфейсов с системой сбора и анализа регистрационной информации)
3. Конструкторская (проектная) документация
4. Тестовая документация

Тестирование

1. Обеспечение возможности регламентного тестирования средств сбора регистрационной информации, подсистем выявления злоумышленного и нетипичного поведения, средств контроля целостности, средств администрирования, средств восстановления

Возможные критерии оценки систем активного аудита	Содержание	Классификация систем