1、UNION INTERNATIONALE DES TLCOMMUNICATIONS5)4 4 8 SECTEUR DE LA NORMALISATION (11/95)DES TLCOMMUNICATIONSDE LUIT2 3%!58 $% #/-5.)#!4)/. $% $/ %3 %4#/-5.)#!4)/. %.42% 3934 -%3 /56%2433 #52)4 4%#(./,/)%3 $% , ). aider garantir que les actions peuvent tre attribues aux entits responsables de ces actions
2、; contribuer au dveloppement de procdures amliores de contrle des dommages; confirmer la conformit avec la politique de scurit tablie; signaler linformation qui peut indiquer des inadquations dans le contrle du systme; identifier les changements possibles requis dans les contrles, la politique et le
3、s procdures.Dans ce cadre, un audit de scurit consiste en la dtection, la collecte et lenregistrement des vnements lis lascurit des systmes ouverts dans un journal daudit de scurit et en lanalyse de ces vnements.Laudit mais aussi limputabilit ncessitent le stockage de linformation. Un audit de scuri
4、t garantit que linformationenregistre concerne la fois les vnements routiniers et les vnements exceptionnels, de sorte que des investigationsultrieures puissent dterminer si des violations de scurit sont survenues et, si tel est le cas, quelles sont lesinformations ou les autres ressources qui ont t
5、 compromises. Limputabilit garantit que linformation relative auxactions ralises par les utilisateurs, ou par des processus agissant pour leur compte, est enregistre, de telle sorte que lesconsquences de ces actions puissent tre ultrieurement lies aux utilisateurs en question et que les utilisateurs
6、 puissenttre tenus responsables de ces actions. La fourniture dun service daudit de scurit peut contribuer assurerlimputabilit.Une alarme de scurit est une indication mise vers un individu ou un processus pour indiquer quune situation pouvantncessiter une action temps est apparue. Les objectifs dun
7、service dalarme de scurit sont les suivants: signaler des tentatives relles ou apparentes de violer la scurit; signaler divers vnements lis la scurit, y compris les vnements normaux; signaler les vnements dclenchs par latteinte des limites de seuil.ISO/CEI 10181-7 : 1996 (F)Rec. UIT-T X.816 (1995 F)
8、 1NORME INTERNATIONALEISO/CEI 10181-7 : 1996 (F)Rec. UIT-T X.816 (1995 F)RECOMMANDATION UIT-TTECHNOLOGIES DE LINFORMATION INTERCONNEXION DES SYSTMESOUVERTS CADRES DE SCURIT POUR LES SYSTMES OUVERTS:CADRE DAUDIT ET DALARMES DE SCURIT1 Domaine dapplicationLa prsente Recommandation | Norme internationa
9、le couvre lapplication des services de scurit dans un environnementde systmes ouverts, o le terme systmes ouverts est utilis pour des domaines tels que les bases de donnes, lesapplications distribues, le traitement ODP et linterconnexion OSI. Les cadres de scurit sont destins dfinir lesmoyens doffri
10、r la protection pour les systmes et les objets au sein des systmes, ainsi que les interactions entresystmes. Les cadres ne couvrent pas la mthodologie de construction des systmes ou mcanismes.Les cadres couvrent la fois les lments de donnes et les squences doprations (mais pas les lments de protocol
11、e)utiliss pour obtenir des services spcifiques de scurit. Ces services de scurit peuvent sappliquer aux entitscommunicantes des systmes aussi bien quaux donnes changes entre systmes, ainsi quaux donnes gres par lessystmes.Le but de laudit et des alarmes de scurit dcrits dans la prsente Recommandatio
12、n | Norme internationale est dassurerque les vnements lis la scurit des systmes ouverts sont manipuls en accord avec la politique de scurit delautorit de scurit en vigueur.En particulier, ce cadre de scurit:a) dfinit les concepts lmentaires daudit et dalarmes de scurit;b) fournit un modle gnral pour
13、 laudit et les alarmes de scurit;c) identifie les relations du service daudit et dalarmes de scurit avec dautres services de scurit.Comme les autre services de scurit, un audit de scurit ne peut tre fourni que dans le contexte dune politique descurit dfinie.Le modle daudit et dalarmes de scurit indi
14、qu dans larticle 6 de ce cadre rpond une varit dobjectifs qui peuventne pas tre tous ncessaires ou souhaits dans un environnement particulier. Le service daudit de scurit offre uneautorit daudit la possibilit de spcifier les vnements qui doivent tre enregistrs dans un journal daudit de scurit.Plusie
15、urs types de normes diffrents peuvent utiliser ce cadre, y compris:1) les normes qui incorporent le concept daudit et dalarmes;2) les normes qui spcifient des services abstraits comprenant laudit et les alarmes;3) les normes qui spcifient les utilisations daudit et dalarmes;4) les normes qui spcifie
16、nt les moyens de fournir laudit et les alarmes au sein dune architecture de systmeouvert;5) les normes qui spcifient les mcanismes daudit et dalarmes.De telles normes peuvent utiliser ce cadre de la faon suivante: les normes de types 1), 2), 3), 4) et 5) peuvent utiliser la terminologie de ce cadre;
17、 les normes de types 2), 3), 4) et 5) peuvent utiliser les fonctionnalits dfinies dans larticle 8 de ce cadre; les normes de type 5) peuvent tre bases sur les caractristiques des mcanismes dfinis dans larticle 9de ce cadre.ISO/CEI 10181-7 : 1996 (F)2 Rec. UIT-T X.816 (1995 F)2 Rfrences normativesLes
18、 Recommandations et Normes internationales suivantes contiennent des dispositions qui, par suite de la rfrence quiy est faite, constituent des dispositions valables pour la prsente Recommandation | Norme internationale. Au moment dela publication, les ditions indiques taient en vigueur. Toute Recomm
19、andation et Norme sont sujettes rvision et lesparties prenantes aux accords fonds sur la prsente Recommandation | Norme internationale sont invites rechercherla possibilit dappliquer les ditions les plus rcentes des Recommandations et Normes indiques ci-aprs. Les membresde la CEI et de lISO possdent
20、 le registre des Normes internationales en vigueur. Le Bureau de la normalisation destlcommunications de lUIT tient jour une liste des Recommandations de lUIT-T en vigueur.2.1 Recommandations | Normes internationales identiques Recommandation UIT-T X.200 (1994) | Norme ISO/CEI 7498-1:1994, Technolog
21、ies de linformation Interconnexion des systmes ouverts Modle de rfrence de base: le modle de rfrence de base. Recommandation X.734 du CCITT (1992) | ISO/CEI 10164-5:1993, Technologies de linformation Interconnexion des systmes ouverts Gestion-systmes: fonction de gestion des rapports dvnement. Recom
22、mandation X.735 du CCITT (1992) | ISO/CEI 10164-6:1993, Technologies de linformation Interconnexion des systmes ouverts Gestion-systmes: fonction de commande des registres deconsignation. Recommandation X.736 du CCITT (1992) | ISO/CEI 10164-7:1992, Technologies de linformation Interconnexion des sys
23、tmes ouverts Gestion-systmes: fonction de signalisation des alarmes descurit. Recommandation X.740 du CCITT (1992) | ISO/CEI 10164-8:1993, Technologies de linformation Interconnexion des systmes ouverts Gestion-systmes: fonction de piste de vrification de scurit. Recommandation UIT-T X.810 (1995) |
24、ISO/CEI 10181-1:1996, Technologies de linformation Interconnexion des systmes ouverts Cadres de scurit pour les systmes ouverts: aperu gnral.2.2 Paires de Recommandations | Normes internationales quivalentes par leur contenu technique Recommandation X.700 du CCITT (1992), Cadre de gestion pour linte
25、rconnexion de systmes ouvertspour les applications du CCITT.ISO/CEI 7498-4:1989, Systmes de traitement de linformation Interconnexion des systmes ouverts Modle de rfrence de base Partie 4: Cadre gnral de gestion. Recommandation X.800 du CCITT (1991), Architecture de scurit pour linterconnexion en sy
26、stmesouverts dapplications du CCITT.ISO 7498-2:1989, Systmes de traitement de linformation Interconnexion des systmes ouverts Modle de rfrence de base Partie 2: Architecture de scurit.3 DfinitionsPour les besoins de la prsente Recommandation | Norme internationale, les dfinitions suivantes sapplique
27、nt.3.1 Dfinitions du modle de rfrence de baseLa prsente Recommandation | Norme internationale utilise les termes suivants dfinis dans la Rec. UIT-T X.200 |ISO/CEI 7498-1:a) entit;b) fonctionnalit;c) fonction;d) service.ISO/CEI 10181-7 : 1996 (F)Rec. UIT-T X.816 (1995 F) 33.2 Dfinitions de larchitect
28、ure de scuritLa prsente Recommandation | Norme internationale utilise les termes suivants dfinis dans la Rec. X.800 du CCITT |ISO/CEI 7498-2:a) imputabilit;b) disponibilit;c) audit de scurit;d) journal daudit de scurit;e) politique de scurit.3.3 Dfinitions du cadre de gestionLa prsente Recommandatio
29、n | Norme internationale utilise le terme suivant dfini dans la Rec. X.700 du CCITT |ISO/CEI 7498-4: objet gr.3.4 Dfinitions de laperu gnral du cadre de scuritLa prsente Recommandation | Norme internationale utilise le terme suivant dfini dans la Rec. UIT-T X.810 |ISO/CEI 10181-1: domaine de scurit.
30、3.5 Dfinitions additionnellesPour les besoins de la prsente Recommandation | Norme internationale, les dfinitions suivantes sappliquent.3.5.1 processeur dalarme: fonction qui, en rponse une alarme de scurit, gnre une action approprie etgnre un message daudit de scurit.3.5.2 autorit daudit: gestionna
31、ire responsable de la dfinition des aspects dune politique de scurit applicables la conduite dun audit de scurit.3.5.3 analyseur daudit: fonction qui vrifie un journal daudit de scurit afin de produire, si cela est appropri, desmessages dalarme de scurit et des messages daudit de scurit.3.5.4 archiv
32、iste daudit: fonction qui archive une partie du journal daudit de scurit.3.5.5 expditeur daudit: fonction qui transfre, la fonction de collecte de journal de scurit, des parties ou latotalit dun journal distribu daudit de scurit.3.5.6 examinateur de journal daudit: fonction qui, partir dun ou plusie
33、urs journaux daudit de scurit, construitdes rapports.3.5.7 enregistreur daudit: fonction qui gnre des enregistrements daudit de scurit et les stocke dans un journaldaudit de scurit.3.5.8 fournisseur daudit: fonction qui fournit des enregistrements de journal daudit de scurit en fonction decertains c
34、ritres.3.5.9 collecteur de journal daudit: fonction qui rassemble les enregistrements dun journal distribu daudit dansun journal daudit de scurit.3.5.10 filtre dvnement: fonction qui fournit une analyse initiale des vnements lis la scurit et gnre unmessage daudit de scurit et/ou un message dalarme.3
35、.5.11 alarme de scurit: message gnr lorsquun vnement li la scurit, dfini par la politique de scuritcomme tant une condition dalarme, a t dtect. Une alarme de scurit est destine tre porte temps lattentiondentits appropries.ISO/CEI 10181-7 : 1996 (F)4 Rec. UIT-T X.816 (1995 F)3.5.12 administrateur dal
36、arme de scurit: individu ou processus qui dtermine la nature des alarmes de scurit.3.5.13 vnement li la scurit: tout vnement qui a t dfini par la politique de scurit comme une brchepotentielle dans la politique de scurit, ou comme ayant un intrt potentiel pour la scurit. Larrive une valeurprdfinie d
37、e seuil est un exemple dvnement li la scurit.3.5.14 message daudit de scurit: message gnr la suite dun vnement vrifiable li la scurit.3.5.15 enregistrement daudit de scurit: enregistrement unique dans un journal daudit de scurit.3.5.16 agent daudit de scurit: individu ou processus autoris avoir accs
38、 au journal de scurit et btir desrapports daudit.3.5.17 rapport de scurit: rapport qui rsulte dune analyse du journal daudit de scurit et qui peut tre utilis pourdterminer si une brche est apparue dans la scurit.4 AbrviationsOSI Interconnexion des systmes ouverts (open systems interconnection).5 Not
39、ationSauf indication contraire, les termes service et mcanisme sont utiliss pour dsigner, respectivement, le servicedaudit de scurit et le mcanisme daudit de scurit; celui daudit dsigne un audit de scurit et enfin, celuidalarme dsigne une alarme de scurit.6 Prsentation gnrale de laudit et des alarme
40、s de scuritCet article dcrit un modle permettant de manipuler les alarmes de scurit et de conduire un audit de scurit pour lessystmes ouverts.Un audit de scurit permet dvaluer ladquation de la politique de scurit, daider la dtection des violations descurit, de faciliter limputation de leurs actions
41、aux individus (ou des actions des entits agissant pour leur compte),daider la dtection de mauvaise utilisation des ressources, et agit comme lment prventif pour les individus quipourraient tenter dendommager le systme. Les mcanismes daudit de scurit ne sont pas directement mis en jeu dansla prventio
42、n des violations de scurit: ils sont impliqus pour la dtection, lenregistrement et lanalyse des vnements.Cela permet de mettre en uvre des changements dans les procdures oprationnelles en rponse des vnementsanormaux comme des violations de scurit.Une alarme de scurit est gnre suite la dtection de to
43、ut vnement li la scurit qui a t dfini par la politiquede scurit comme tant une condition dalarme. Cela pourrait inclure le cas de lobtention dun seuil prdfini. Certainsde ces vnements peuvent ncessiter une action immdiate alors que dautres peuvent ncessiter une investigation pluspousse pour dtermine
44、r si une action est requise.Une mise en uvre du modle daudit et dalarmes de scurit peut ncessiter lutilisation dautres services de scuritpour raliser le service daudit et dalarmes de scurit et pour assurer son fonctionnement correct et sr. Ce sujet estabord plus loin dans larticle 10.Bien que lutili
45、sation des journaux daudit de scurit et daudits de scurit ait des caractristiques spciales, dautresjournaux daudit et dautres audits (autres que de scurit) peuvent recourir aux fonctions et mcanismes dcrits dans leprsent cadre.Comme avec les autres aspects de la scurit, on obtient une efficacit maxi
46、male en sassurant que les besoinsspcifiques daudit de scurit sont conus dans le systme. Les concepteurs de systme devraient donc tenir compte dubesoin de vrifier (par exemple, examen et analyse tout prts) la fois le processus de conception et le systme en coursde dveloppement.NOTE Le modle daudit et dalarmes de scurit nindique pas comment les autres systmes de gestion et lescaractristiques oprationnelles sont lis ce modle.ISO/CEI 10181-7 : 1996 (F)Rec. UIT-T X.816 (1995 F) 56.1 Modle et fonctionsLe modle prsent ci-dessous illustre les fonctions utilises dans la fourniture du service