来源：https://logz.io/blog/monitoring-logging-compliance/

对于任何组织来说，解决监视和日志记录的合规性需求都是一项挑战，无论负责人员多么有经验或多么熟练。法规合规需求通常不被技术团队很好地理解，并且没有太多关于如何遵循法规合规程序的指导。在本文中，我们将讨论这些新的合规程序的含义、它们为什么重要，以及如合规您的日志和监视系统。

1、什么是合规计划?

合规性的目标是以可验证的方式提供更强的安全性。他们这样做的方法是创建标准或法规，规定组织必须满足最低级别的强大安全实践。为满足这些要求，可包括技术控制;例如日志/监控软件、强配置控制或管理控制;例如政策、程序和培训。

虽然法规合规设置了最低级别的需求，但是需要由组织决定所需的控制级别。最常见的是，这是通过与需求相关的风险或威胁评估来完成的。如果可以证明合规性控制需求是足够的，那么该控制至少应该是必需的，但是可以根据评估发生变化。

2、谁受到这些规定的影响?

下一节包括一些常见法规合规程序的表——通常由与之相关的法规或安全框架引用。当一项法规关注特定类型的数据时(就像州隐私法保护任何公民的数据而不考虑其所在地)，或者它可能关注经济的特定部门(如医疗保健或能源公用事业)，它可能会非常广泛，并对任何企业产生影响。

许多企业可能会发现，它们在监管范围内的程度是有限的，例如，当一个企业对其员工进行自我保险时，即使该企业没有健康产业导向，它也符合一些HIPAA监管要求。如果您想知道您是否会受到法规的影响，这个问题通常由您的法律或安全部门决定。

3、合规程序是怎么说的?

法规可能是如何识别一个程序，但通常它也是一个框架或相关的文档，提供了关于如何实现和评估合规性工作的指导。明智的做法是将这些框架要求分发给工作人员(有时是在规定之外)，以便解释需要什么。

4、合规类型

那么，监管如何变成合规计划呢?它至少需要两个组成部分:1)合规框架，以实现监管目标;2)惩罚机制，以“鼓励”合规。当您检查这些机制时，就更容易理解这些活动。

5、为什么，什么时候你必须遵守?

惩罚机制有助于回答“为什么以及什么时候我们必须遵守”的问题。在很多情况下，一个合规项目的罚款和费用比公司仅仅遵守规定要高。

例如，PCI的罚款在5000美元到10万美元/月之间[XVIII]。在美国的48个州，违反隐私法的人均罚款为50 - 90美元。这并不排除在违约事件之后的其他民事诉讼。HIPAA对每起事故的罚款最高可达150万美元[XIX]，而GDPR的罚款最高可达2000万欧元，占全球年度业务的4%(以最高金额为准)。这些高成本使得公司关注合规计划的关键方面——比如遵守合规时间表。合规性计划一旦实施，通常会开始严格的审核时间，在许多情况下，还有修复或纠正不合规性发现的时间框架。

法规合规框架是法规遵循程序面临挑战的地方，也是技术人员可能参与的地方。您首先需要阅读框架的实际文本。大多数合规性框架通常是公开可用的[XXI]，因此您可以阅读组织要合规的需求。

6、合规程序在哪里应用?

框架的挑战是，对于大多数技术人员来说，它通常是“高层次的”。这可能是一个令人沮丧的地方——大多数框架不是很规范。

有几个方面需要记住:首先，经常存在范围问题，定义在哪里应用法规遵循程序。虽然这可能是显而易见的，但当公司能够隔离高风险的功能以限制安全性成本时，这也可能是战略性的。

其次，最常见的是发现“目标”或安全控制需求1)分为常见的业务操作和关键功能(如人力资源、访问控制、物理安全、计算机操作、加密)。然后2)语言用于描述“兼容”环境的结果或组件，但不定义特定的控制。

最后，越来越多的目标是用假定关键风险决定是解决方案的一部分的语言表达的，以影响控制的特性。因此，这些都是公司合规方法的一部分。遵从性语言的一些示例可能有助于为日志记录或监视主题提供一些上下文。

7、用于日志/事件监控的遵从性语言示例

7.1NERC cip - 007 - 5表R4 -安全事件监控

R4。每个负责实体应以识别、评估和纠正缺陷的方式实施一个或多个文档化的过程，这些过程共同包括CIP-007-5表R4 -安全事件监控中的每个适用的需求部分。【违规风险因素:中】【期限:同日作业及作业考核】

M4。证据必须包括在CIP-007-5表R4 -安全事件监控和额外的证据中共同包括每个适用需求部分的文档化过程，以证明表的Measures列中所描述的实现。

7.2ISO 27001 - A.12.4 -记录和监控

目的:记录事件并生成证据。

事件日志——记录用户活动、异常、错误和信息安全事件的事件日志应被生成、保存和定期审查。

A.12.4.2保护日志信息——应保护日志记录设施和日志信息不受篡改和未经授权的访问。

控制A.12.4.3管理员和操作员日志——系统管理员和系统操作员的活动应进行日志记录，并对日志进行保护和定期检查。

控制A.12.4.4时钟同步的时钟所有相关信息处理系统在一个组织或安全域应同步到一个参考时间源。

7.3PCI DSS(需求10):跟踪和监视对网络资源和持卡人数据日志记录机制的所有访问，以及跟踪用户活动的能力对于有效的取证和漏洞管理至关重要。所有环境中都存在日志，这使得在出现问题时可以进行彻底的跟踪和分析。如果没有系统活动日志，确定破坏的原因是非常困难的。

10.1建立一个流程，将对系统组件的所有访问链接到每个单独的用户—特别是使用管理权限进行的访问。

10.2为所有系统组件实现自动审计跟踪，以重建这些事件:所有单个用户访问持卡人数据;任何具有根权限或管理权限的个人采取的所有行动;访问所有审计记录;无效的逻辑访问尝试;使用识别和身份验证机制;审核日志的初始化;系统级对象的创建和删除。

10.3记录每个事件的所有系统组件的审计跟踪条目，至少包括:用户标识、事件类型、日期和时间、成功或失败指示、事件的起源、受影响数据、系统组件或资源的标识或名称。

10.4使用时间同步技术，同步所有关键的系统时钟和时间，并实现对时间的获取、分配和存储的控制。

10.5保证审计跟踪的安全，使其不能更改。

10.6至少每天检查与安全功能相关的所有系统组件的日志。

10.7保留审核跟踪历史至少一年;至少有三个月的历史可供分析。

8、外卖

从上面的例子中可以看出，法规合规需求并不指定特定的产品或解决方案——组织可以选择如何处理这些需求以实现法规合规。理想情况下，这种解决方案应该带来可审计的结果，以便评估人员或审计人员能够验证现有的控制满足法规合规计划的期望。

第二个结论是，主题——日志和监视——在合规性程序中是相当类似的。许多法规合规程序之间的控制是相同的，因为基础系统和技术风险是如此相似。

最后，通常有许多合规性框架提供的评估指南。通过一些研究，您将发现用于部署或评估程序合规性的多个指导方针和检查列表。许多可能是对审计人员的指示，可以让您“洞察”如何评估您，以及需要什么样的证据。提前计划可以节省您的时间和精力，同时向法规合规审核员说明您的组织处于项目目标的前列。

9、最终建议

我们已经讨论了谁，什么，为什么，什么时候，以及在哪里合规，并希望留给你一些最后的建议:

1)考虑合规计划的范围，确保您的控制包括合规计划中包含的系统组件、设施、产品和业务流程。避免过于狭隘地关注合规性的范围。

2)控制要求的解释可能具有挑战性。解决复杂的技术控制配置的一种方法是使用您企业中的所有产品、工具和实用程序实现标准的安全最佳实践，并考虑执行风险评估，以帮助部署最适用的控制。