Данные журнала/сервера: как подготовить экспертный отчет на стороне сервера?

Журналы сервера являются важным доказательством; Однако если синхронизация времени + хэш + владение сервером не задокументированы в экспертном отчете, другая сторона опровергнет его, заявив о манипуляциях.

Общие источники журналов

Синхронизация времени (NTP)

Экспертная методология

Пример AWS CloudTrail

Часто задаваемые вопросы

Журнал удален; Вернётся ли оно?

Да, если существует политика управления версиями S3 + блокировка объектов + политика жизненного цикла. Если он был удален на локальном сервере, его можно восстановить с помощью компьютерной экспертизы. Если отправлено в SIEM, оно доступно в SIEM.

Другая сторона сообщает, что «журнал был изменен»; Что мы ответим?

Синхронизация NTP + неизменяемое хранилище + документ хэш-цепочки. Кроме того, SIEM сбрасывает риск манипуляций с помощью «обнаружения несанкционированного доступа». В экспертном отчете эти детали должны быть четко отражены.

Сторонний сервер (AWS); Есть ли проблемы с доступом?

Доступ возможен с разрешения авторизованного пользователя IAM; Поставщик облачных услуг может предоставить дополнительные экспертные отчеты (например, аудит AWS GovCloud). Если авторизованный пользователь отсутствует, отправьте MLAT в AWS по запросу суда.

Каким должен быть срок хранения журнала?

Принципы хранения статьи 7 КВКК; тип данных + зависит от цели. Общий для бревна: 1-3 года; финансовый сектор 10 лет; страховой бизнес 10 лет. Политика компании должна быть четкой.

В журнале приложения есть личные данные; Соответствует ли он требованиям KVKK?

Может быть. При наличии в журнале PII требуется КВКК ст.5 юридическое основание + маскировка + контроль доступа. Редактирование (удаление ПДн) рекомендуется при проведении экспертизы.

Соответствующее законодательство