Webログの保存期間
私はASPで働いており、銀行のソリューションを提供しています
- カード
- サービス
- お支払い
- ACH
- オンラインバンキング
- その他
バックストーリー:当社は「オールインワン」ソリューションまたはその一部を提供しており、規制当局の制約を受けています。私たちが遭遇した問題の1つは、保持です。私たちは詐欺、詐欺のようなトランザクションなどを調査するために引き込まれます。具体的には、私はマネージャーからウェブログの保持について尋ねられました。彼の質問はFFIEC 2.0リフレッシュに集中していました。コンプライアンスマネージャーとの話し合いでは、データの保持について話し合うための具体的な事項は見つかりませんでした。私がFFIECのWebサイトで目にした情報のほとんどは、ITやテクノロジーではなくビジネスプラクティスに集中しています。ただし、この投稿を最初に作成したときに、このトピックに関連するかなり関連性の高い記事がありましたが、これはPCIに関するものです。私は私の質問でも理解しています。この規制に関する質問を金融セクターだけでなくヘルスケア(HIPPA)にも公開したという意味で、非常に広範な筆描きがあります。
この投稿を作成するとき、トピック- 北米のISPのデータ保持法 および 電子メールを保存するのに最適な期間は何ですか? を確認しましたが、この質問はよりインラインになっています以下にリストされている特定の規制当局と。
次のWebサーバーログの保持に関する規制要件があるかどうかを知る必要があります。
- SAS-70
- FFIEC
- SOX
- ヒッパ
ログイン情報を収集し、フォレンジックデータを少なくとも365日間、時間ごとのデータを少なくとも30日間保持する必要があるとアドバイスされました。
たとえば、FFIECのWebサイトでこれを立証するものは何も見つかりませんでした。これに対処するガイドがあると確信しています。
これに関連するその他の参考資料 ペイメントカード業界(PCI)データセキュリティ基準 28ページ
他のアイデアや提案はありますか?
ほとんどの法律や規制では、ログを保存するための特定の期間を規定していません。たとえば、 National Archives Records Control Schedules(RCS) はドキュメントタイプによって異なり、政府機関の任務および有機法によって調整可能です。よくわからない場合は、FEDERAL RCSは保持期間を指定するための信頼できる基準です。 SANSリーディングルームのDavid Swiftsの論文 成功したSIEMおよび監査とコンプライアンスのためのログ管理戦略 は、詳細で思慮深いガイダンスを提供します。
コンプライアンスの一般的な原則は、文書化されたポリシーを持つことです。次に監査人は、文書化されたポリシーが守られていることを確認します。関心のあるイベント(EOI)を定義して文書化し、書面によるコピーを監査人に提供することにより、全体的なコンプライアンスを向上させ、書面によるポリシーの要件を満たします。次に、当然のことながら、サポート可能な正当なEOI定義のセットがあれば、他の誰かによる規制の解釈に拘束されるのではなく、合意された基準に合わせて測定されます。
監査人をこの決定に含めるか、後で不利な結果が出る可能性に直面するようにしてください。参加を拒否する場合は、書面で文書化してください。後で「記憶」する監査人を当てにしないでください。口頭での合意は、それが書かれた紙にのみ価値があります。また、決定プロセス(会議、参考資料、参加者、ポリシーステートメント)を慎重に文書化して、数年後の否定的な結果を回避します。監査用のドキュメントを準備するための3つの重要な入力は、アクション、アクター、およびアーティファクトです。
不正行為者の法的訴追に基づく記録は、刑期が控訴され、仮釈放公聴会が保証する必要がある場合でも、加害者の有罪判決を超えて何年も保持要件を拡張することに注意してください。
シュローダーが引用した セキュリティとコンプライアンスのためのログ管理におけるRSAベストプラクティスの付録2 には、イベントとコンプライアンスの期待の包括的なリストがあります。
これは SANSホワイトペーパー(2010) は信頼できないかもしれませんが、さまざまな要件間のベストプラクティスのマトリックスを強調しています。