🔒 Информационная безопасность — Его величество Аудит

Продолжаем разрушать розовый мир пони и барби юных продуктологов темой Информационной Безопасности в B2B/B2G. Сегодня мы поговорим с вами об одной технически несложной, но очень затратной вещи — об Аудите.

Ни одна уважающая себя компания Enterprise-уровня не допустит вашу разработку в контур, если ваша система не будет обеспечивать фиксацию истории действий всех пользователей. Пройдемся по верхам по типовыми событиям, которые плюс-минус все требуют фиксировать:

🕐 Факт входа (включая ip, инфу о браузере/клиентском ПО); 🚪 Факт выхода (разлогина, или протухания токена); 🖥 Открытие любого раздела в вашем приложении или системе; 📄 Взаимодействие с любым документом или записью с учетом метода взаимодействия (создание, чтение, изменение, удаление)

И на первый взгляд, требования к Аудиту обычно не являются прям космическими, на уровне разработки это условно вставка строчек в базу данных, но... Именно скрыта самая большая проблема, которую не учитывают многие начинающие продакты и проджекты.

Важно понимать, что вашей системой будут пользоваться десятки-сотни-тысячи пользователей, которые будут входить-выходить несколько раз в день, постоянно открывать разные разделы, взаимодействовать с документами...

В системах, которые разрабатывал и внедрял я, могло фиксироваться до миллиона записей аудита в сутки (а я знаю ребят, для кого миллион наваливается за пять минут).

Казалось бы — ну, значит будем иногда чистить... Как бы не так! На моей практике самые мягкие требования ИБ позволяли чистить журнал аудита возрастом не менее 3 месяцев. А в некоторых организациях журналы должны храниться 3 года или даже более.

Исходя из этих цифр вам надо осознать, что это влечет за собой:

💻 Разработку интерфейса для удобного поиска событий аудита с их выгрузкой; 📊 Возможную интеграцию с системами мониторинга событий аудита; 💵 Увеличение затрат на инфраструктуру (нужно больше места под БД); 🗄 Разработку функционала "архивации"/"дробления" аудита, чтобы разнести информацию по разным СУБД (грубо говоря, оперативный аудит на неделю на быстрых дисках сервера СУБД, все остальное на медленных);

Самое обидное, что как и с другими историями по ИБ, в вопросах аудита нет той самой серебряной пули, универсальной методички как сделать правильно сразу для всех. Поэтому, держите в голове хотя бы вышеописанные ограничения и закладывайте их сразу в риски разработки продукта и проекта внедрения заказчику.

📝 А вы занимались разработкой или развитием систем журналов аудита? Может быть вы хотели бы дополнить списки что может быть и к чему стоит готовиться?

Автор: Валентин Драздов, главный по программной роботизации (RPA) и не только