search string side menu

Аудит безопасности

В ELMA365 вы можете регистрировать и анализировать события, связанные с изменением прав пользователей и данных. Для этого используется Аудит безопасности.

Вы можете проводить внутренний аудит безопасности и выполнять отдельные требования ФСТЭК по защите от несанкционированного доступа к корпоративной информации.

Аудит безопасности — это модуль, который регистрирует события в системе, и сервис для хранения полученной из модуля информации. Записи обо всех зарегистрированных событиях будут выводиться в отчёте. Подробнее об этом читайте в статье «Отчёт „Аудит безопасности“».

Аудит безопасности предназначен для использования в поставке ELMA365 On‑Premises. Настройка его работы выполняется в несколько этапов:

  1. Установка сервиса Аудит безопасности.
  2. Загрузка модуля Аудит безопасности из ELMA365 Store и его настройка.

Начало внимание 

Для установки аудита безопасности в поставке SaaS Enterprise обратитесь к своему менеджеру ELMA365. В поставке SaaS Standard аудит безопасности не устанавливается.

Конец внимание 

Установка сервиса

Прежде чем приступить к работе с модулем и регистрации событий, установите сервис Аудит безопасности как базу для хранения полученных данных.

Сервис устанавливается в редакциях ELMA365 On‑Premises по‑разному:

  • On-Premises Enterprise — настройка сервиса выполняется в несколько этапов. Подробнее читайте в статье «Установка сервиса „Аудит безопасности“»;
  • On-Premises Standard — в конфигурационном файле config-elma365.txt включите параметр ELMA365_AUDIT. Сервис станет доступен по значению URL‑адреса. При необходимости укажите строку подключения к PostgreSQL.

 

начало примечание

Примечание

Если при установке в Kubernetes-in-Docker в конфигурационном файле config-elma365.txt отсутствуют параметры для установки сервиса Аудит безопасности, добавьте в конец файла:

  • ELMA365_AUDIT=true;
  • ELMA365_AUDIT_PSQL_URL=postgresql://user:password@hostname:port/databaseName — укажите строку подключения к PostgreSQL. При использовании встроенной базы данных добавлять параметр не нужно.

конец примечание

Загрузка и настройка модуля

После того как вы установили сервис и вам стал доступен его URL-адрес, можете приступить к установке модуля Аудит безопасности. Для этого:

  1. Перейдите в раздел Администрирование > Модули и в верхнем правом углу нажмите кнопку + Модуль.
  2. В появившемся окне выберите опцию Скачать. Откроется каталог ELMA365 Store.
  3. Выберите модуль Аудит безопасности и нажмите кнопку Установить модуль.
  4. В появившемся окне нажмите кнопку Далее. Дождитесь окончания загрузки модуля в систему.
  5. Перейдите в установленный модуль и заполните основные настройки:
    audit-extention-2
  • Адрес сервиса «Аудит» — введите URL-адрес сервиса Аудит безопасности. Значение по умолчанию при установке внутри кластера ELMA365: http://audit.audit.svc:3000;
  • Пользователи, имеющие доступ к виджету аудита — выберите сотрудников, которым будет доступна таблица с результатом аудита. Таблица отображается с помощью виджета Аудит безопасности.

Виджет размещается на отдельной странице, которая видна всем пользователям. При этом просматривать данные виджета могут только администраторы. Благодаря опции выбранные сотрудники смогут работать с результатом аудита, не имея при этом других привилегий администратора.

  1. Задайте настройки тайн, чтобы определить список приложений с конфиденциальной информацией. События по элементам таких приложений будут регистрироваться, однако пользователи не увидят значения их полей в виджете Аудит безопасности.
  2. Включите архивирование событий, чтобы переносить устаревшие данные во временный и долговременный архивы. Это позволит оптимизировать поиск событий в виджете Аудит безопасности.
  3. Сохраните изменения.

После установки модуля в дизайнере интерфейсов станет доступен виджет Аудит безопасности. Подробнее о размещении виджета и работе с ним читайте в статье «Отчёт „Аудит безопасности“».

Настройка тайн

С помощью настройки тайн вы можете отмечать приложения, в которых содержится конфиденциальная информация. Все данные из элементов таких приложений не будут отображаться в зарегистрированных событиях. К конфиденциальной информации относятся:

  • коммерческие тайны;
  • персональные данные;
  • медицинские тайны.

Например, в настройках модуля укажите, что в приложении Контрагенты хранится конфиденциальная информация. Тогда на странице с данными аудита безопасности пользователи не смогут просматривать свойства элементов, по которым зарегистрированы события.

Для настройки тайн выполните следующие действия:

  1. На странице настроек модуля Аудит безопасности заполните таблицу:
    audit-extension-1
  • Приложение* — введите URL приложения, хранящего конфиденциальную информацию, в формате namespace:code. Например, если полный URL‑адрес приложения http://mycompany.local/_clients/_companies, в поле необходимо ввести _clients:_companies;
  • Тайна* — нажмите на поле для ввода и из выпадающего списка выберите, какая информация содержится в приложении: ПД — персональные данные, КТ — коммерческая тайна или МТ — медицинская тайна. В поле можно указывать сразу несколько типов тайн.
  1. Сохраните внесённые изменения.

После сохранения настроек все поля из перечисленных приложений не будут отображаться в подробной информации о зарегистрированных событиях.

Настройка архивирования событий

Вы можете включить архивирование устаревающих событий в сервисе Аудит безопасности. Это позволит ускорить поиск по таблице с зарегистрированными записями для пользователей.

События будут храниться в базе данных следующим образом:

  • оперативное хранилище — актуальные события. Период их размещения определяется в настройках модуля. По умолчанию пользователи выполняют поиск в виджете Аудит безопасности по этим данным;
  • временный архив — события, перемещённые из оперативного хранилища. Данные остаются здесь в течение одного года. Чтобы в виджете Аудит безопасности искать архивные события, пользователям нужно включить специальную опцию;
  • долговременный архив — устаревшие события из временного архива. Поиск по таким данным не осуществляется.

События не удаляются из архива автоматически. Пользователи с доступом к базе данных могут очистить архив вручную, чтобы освободить место для новых событий.

начало внимание

После активации архивирования событий в настройках модуля Аудит безопасности опцию нельзя отключить.

конец внимание

Выполните следующие действия:

  1. На странице настроек модуля Аудит безопасности активируйте опцию Включить архивирование событий*.
    audit-extension-3
  2. В поле Период оперативного хранения событий* задайте срок, после которого данные перемещаются во временный архив. Максимальное значение — 12 месяцев.
  3. Сохраните внесённые изменения.

Регистрируемые события

Ниже приведён список событий в различных компонентах системы, которые фиксируются с помощью аудита безопасности.

Обратите внимание, полный набор функциональных возможностей доступен с версии модуля 2023.5.

Пользователи

  1. Вход и выход из системы, неуспешная аутентификация.
  2. Создание пользователя.
  3. Удаление пользователя.
  4. Изменение пользователя.
  5. Изменение статуса пользователя.
  6. Блокировка пользователя администратором.
  7. Блокировка пользователя после опредёленного количества неуспешных попыток входа.

Приложения

  1. Создание элемента приложения.
  2. Удаление элемента приложения.
  3. Изменение элемента приложения.
  4. Изменение статуса приложения.
  5. Импорт данных приложения.
  6. Экспорт данных приложения.

Файлы

  1. Создание файла.
  2. Удаление файла.
  3. Изменение файла.
  4. Изменение прав доступа к файлу.
  5. Добавление комментария к файлу.

Директории

  1. Создание директории.
  2. Удаление директории.
  3. Изменение директории (переименование, перемещение).
  4. Изменение прав доступа к директории.

Модули

  1. Включение модуля.
  2. Выключение модуля.
  3. Установка модуля.
  4. Обновление модуля.
  5. Настройка тайн в модуле Аудит безопасности.
  6. Доступ к модулю Аудит безопасности.
saml-with-keycloak.html audit_extension.html