موسسه SANS به عنوان یکی از معتبرترین موسسات در زمینه آموزش و مشاوره امنیت اطلاعات، مجموعه ای از 20 کنترل کلیدی امنیت اطلاعات را منتشر نموده است. این کنترل ها، حداقل مواردی هستند که برای تضمین امنیت اطلاعات در سازمان ها باید استقرار یابند. شناسایی این کنترل ها و شیوه آزمون آنها برای حسابرسان داخلی بسیار مفید و حائز اهمیت است. نگهداري، نظارت و تحليل ردپاي حسابرسي، ششمین کنترل از این مجموعه است.
شرح كنترل
ردپاي حسابرسي (Audit Log) داده هايي هستند كه سوابق دسترسي به سيستم ها را ثبت نموده و اطلاعات عمليات انجام شده طي هر مرتبه دسترسي را نگهداري مي كنند. ردپاي حسابرسي حاوي اطلاعاتي ارزشمند است كه مي تواند براي شناسايي حملات و سواستفاده ها و همچنين دسترسي هاي غيرمجاز و مقابله با آنها مورد استفاده قرار گيرد.
بدين منظور ابتدا بايد سيستم ها ردپاي حسابرسي را ثبت كنند. اين اطلاعات بايد به صورت كامل و براساس فرمت هاي استاندارد از جمله Syslog ثبت شود.
علاوه بر ثبت و نگهداري اطلاعات، بايد داده هاي مربوطه به صورت مستمر و ترجيحا خودكار مورد ارزيابي و پايش قرار گرفته تا بتوان تهديدها و حملات احتمالي را شناسايي كرد. سيستم هايي كه اين داده ها را پايش مي كنند، سعي مي كنند رفتارهاي غيرطبيعي را شناسايي كرده و هشدار دهند.
ردپاي حسابرسي همچنين در زمان رسيدگي به موارد تخلف و تقلب مورد استفاده قرار مي گيرد چرا كه مشخص مي كند سوء استفاده كنندگان چه رفتاري داشته اند و در چه زماني چه فعاليتي را انجام داده اند.
پس از بروز حمله نيز ردپاي حسابرسي براي شناسايي نقاط ضعف و شيوه نفوذ سواستفاده كنندگان مورد استفاده قرار مي گيرد. با استفاده از ردپاي حسابرسي مي توان دريافت كه حمله كنندگان به چه سيستم ها و داده هايي دسترسي داشته اند.
آزمون كنترل
براي سيستم هاي كليدي، فايل هايي كه ردپاي حسابرسي را ثبت مي كنند در دوره هاي زماني مشخصي دريافت شده و صحت و كفايت فايل از لحاظ ثبت دقيق سوابق بررسي شود.
پرس و جو گردد كه آيا سيستمي براي پردازش و تحليل داده هاي گردآوري شده در مورد سوابق عمليات وجود دارد يا خير. قابليت هاي هشداردهي اين سيستم بررسي شود.