Журнал изменений

Описание раздела

Раздел Журнал изменений предназначен для полного аудита всех действий пользователей в системе Пуаро. Модуль автоматически регистрирует каждое взаимодействие с интерфейсом, создавая неизменяемую цепочку событий для обеспечения прозрачности, подотчетности и соответствия требованиям информационной безопасности.

Основная цель модуля — обеспечить:

• Полную прослеживаемость действий всех пользователей системы
• Защиту от несанкционированных действий через постоянный мониторинг активности
• Соответствие требованиям регуляторов (152-ФЗ, стандарты безопасности)
• Расследование инцидентов через детальную историю операций
• Контроль доступа и выявление подозрительной активности

Система фильтрации

Развитая система фильтрации позволяет точно находить нужные записи в большом объеме данных аудита.

Основные фильтры

Временной фильтр

Период: Точная настройка временного диапазона с детализацией до минуты:

• Дата начала (ДД.ММ.ГГГГ)
• Время начала (ЧЧ:ММ)
• Разделитель (-)
• Дата окончания (ДД.ММ.ГГГГ)
• Время окончания (ЧЧ:ММ)

Формат: ДД.ММ.ГГГГ ЧЧ:ММ - ДД.ММ.ГГГГ ЧЧ:ММ

Управление фильтрами

• Очистить — сброс всех примененных фильтров
• Применить — активация установленных критериев поиска

Таблица журнала

Основная таблица содержит хронологическую запись всех действий в системе.

Структура таблицы

Примеры записей журнала

Просмотр данных:

ID: 20047
Дата: 05-11-2025 02:33:03
Пользователь: admin
IP: 127.0.0.1
Раздел: Журнал изменений
Действие: Просмотр Журнала Изменений
Подробно: Сортировка: timestamp des...

Поиск информации:

ID: 20046
Дата: 05-11-2025 02:27:17
Пользователь: admin
IP: 127.0.0.1
Раздел: Косвенные улики
Действие: Поиск косвенных улик
Подробно: Период с: 2025-11-05 00:0...

Работа с данными:

ID: 20045
Дата: 05-11-2025 02:19:15
Пользователь: admin
IP: 127.0.0.1
Раздел: Поведенческая модель
Действие: Поиск событий Поведенческой модели
Подробно: Страница: 1 Записей на ст...

Просмотр мониторинга:

ID: 20043
Дата: 05-11-2025 02:14:33
Пользователь: admin
IP: 127.0.0.1
Раздел: Мониторинг
Действие: Просмотр События Мониторинга
Подробно: Запрошено событие: 103875...

Типичные действия в журнале

Просмотр данных:

• Просмотр Журнала Изменений
• Просмотр События Мониторинга
• Просмотр списка Событий Мониторинга

Поиск и фильтрация:

• Поиск косвенных улик
• Поиск событий Поведенческой модели

Получение отчетов:

• Получение Отчетов События Мониторинга
• Запрошены логи отчётов для...

Навигация:

• Переход между страницами
• Изменение количества записей на странице
• Применение фильтров и сортировок

Управление таблицей

Экспорт данных:

• CSV — экспорт записей журнала в формате CSV для анализа
• PDF — экспорт в PDF для архивирования и предоставления регуляторам

Настройки отображения:

• Количество строк — выбор числа записей на странице

Пагинация:

• Навигация по страницам для просмотра всей истории изменений

Удаление записей

Функция удаления позволяет удалять записи из журнала изменений. Доступна только пользователям с правами администратора.

Процесс удаления:

1. Выбор записей

   • Установите чекбоксы в левой части таблицы для записей, которые необходимо удалить
   • Можно выбрать несколько записей одновременно для массового удаления
   • Выбранные строки визуально выделяются в таблице

2. Подтверждение удаления

   • После выбора записей появляется кнопка "Удалить" в верхней части таблицы
   • При нажатии на кнопку система запрашивает подтверждение действия
   • Удаление необратимо — восстановление записей невозможно

3. Результат

   • Удаленные записи немедленно исчезают из журнала
   • Обновляется счетчик общего количества записей
   • Система фиксирует факт удаления в служебных логах

Рекомендации по использованию:

• Не удаляйте записи без серьезных оснований — журнал изменений является критичным элементом системы аудита
• Документируйте причины удаления в отдельном регистре для соблюдения требований комплаенса
• Используйте фильтры перед удалением, чтобы точно выбрать нужные записи
• Создавайте резервные копии журнала перед массовым удалением записей

Типичные сценарии удаления:

Удаление тестовых данных после завершения тестирования системы
Удаление дублирующихся записей, возникших из-за технических ошибок
Удаление записей с некорректными данными, созданных при сбоях

Сценарии использования

Аудит действий пользователя

Задача: Проверить, какие действия выполнял конкретный пользователь в определенный период.

Шаги:

1. Введите имя пользователя в фильтр "Пользователь"
2. Установите временной диапазон
3. Нажмите "Применить"
4. Проанализируйте список действий
5. При необходимости экспортируйте в PDF для отчета

Пример использования:

Цель: Проверить активность пользователя "ivanov" 01.11.2025
Фильтр: Пользователь = "ivanov"
Период: 01.11.2025 00:00 - 01.11.2025 23:59
Результат: 47 записей о просмотре конфиденциальных данных
Действие: Расследование подозрительной активности

Расследование инцидента

Задача: Выяснить, кто и когда внес критические изменения в настройки системы.

Шаги:

1. Установите фильтр "Раздел системы" = "Настройки системы"
2. Установите фильтр "Действие" = "Редактирование" или "Изменение настроек"
3. Определите временной период инцидента
4. Проанализируйте IP-адреса источников
5. Проверьте колонку "Подробно" для деталей изменений

Пример:

Инцидент: Неожиданное отключение модуля мониторинга
Фильтры:
  - Раздел системы: Настройки системы
  - Период: 03.11.2025 14:00 - 03.11.2025 16:00
Найдено: admin изменил настройки мониторинга в 15:23
IP: 192.168.1.100 (внешний адрес)
Вывод: Несанкционированный доступ к учетной записи администратора

Контроль доступа к данным

Задача: Определить, кто имел доступ к конкретным данным расследования.

Шаги:

1. Фильтр "Раздел системы" = "Косвенные улики" или "Инциденты"
2. Фильтр "Действие" = "Просмотр" или "Поиск"
3. Установите период времени
4. Проанализируйте список пользователей
5. Проверьте легитимность доступа

Соответствие требованиям регуляторов

Задача: Подготовить отчет об активности в системе для предоставления регуляторам.

Шаги:

1. Установите требуемый временной период (например, квартал)
2. Оставьте остальные фильтры пустыми для полного отчета
3. Экспортируйте данные в CSV для анализа
4. Создайте сводный PDF-отчет по ключевым событиям
5. Приложите к отчетности по информационной безопасности

Детали записей

Колонка "Подробно"

Колонка "Подробно" содержит расширенную информацию о действии:

Параметры запроса:

Период с: 2025-11-05 00:00...
Запрошено событие: 103875...
Страница: 1 Записей на ст...

Результаты операции:

Запрошены логи отчётов дл...
Сортировка: timestamp des...

Идентификаторы объектов:

ID пользователя: 42
ID базы данных: 157
ID профиля: 89

Технические детали:

Фильтр: status=new
Лимит записей: 25
Формат экспорта: CSV

Требования безопасности

Защита журнала

Неизменяемость:

• Записи журнала не могут быть отредактированы или удалены пользователями
• Система использует криптографические методы для защиты целостности
• Попытки изменения журнала автоматически фиксируются

Доступ:

• Просмотр журнала доступен только авторизованным пользователям
• Роли определяют уровень доступа к различным разделам
• Администраторы безопасности имеют полный доступ ко всем записям

Хранение:

• Журнал хранится в защищенной базе данных
• Регулярное резервное копирование в офлайн-хранилище
• Шифрование данных при хранении и передаче

Политики хранения

Минимальные сроки:

• Критические системы: не менее 3 лет
• Персональные данные: в соответствии с 152-ФЗ (не менее 1 года)
• Финансовые системы: в соответствии с требованиями законодательства

Архивирование:

• Автоматический перенос старых записей в архив
• Сжатие данных для оптимизации хранения
• Возможность восстановления из архива при необходимости

Удаление:

• Только по истечении установленных сроков хранения
• С соблюдением процедур безопасного удаления
• С фиксацией факта удаления в отдельном журнале

Мониторинг и алерты

Автоматические оповещения

Система может быть настроена на автоматическое оповещение о критических событиях:

Подозрительная активность:

• Множественные неудачные попытки входа
• Доступ к системе в нестандартное время
• Массовый экспорт данных
• Изменение критических настроек

Нарушения политик:

• Попытки доступа к запрещенным разделам
• Превышение лимитов операций
• Использование нестандартных IP-адресов

Технические проблемы:

• Ошибки записи в журнал
• Потеря связности журнала
• Дисковое пространство заканчивается

Регулярный анализ

Ежедневно:

• Проверка критических действий администраторов
• Анализ нестандартной активности
• Проверка целостности журнала

Еженедельно:

• Обзор паттернов использования системы
• Выявление аномалий в поведении пользователей
• Генерация сводных отчетов

Ежемесячно:

• Полный аудит всех действий
• Архивирование старых записей
• Оптимизация производительности

Интеграция с SIEM

Журнал изменений может быть интегрирован с системами Security Information and Event Management (SIEM):

Экспорт событий:

• Потоковая передача событий в SIEM
• Поддержка стандартных форматов (Syslog, CEF)
• Фильтрация событий по важности

Корреляция:

• Связывание событий из разных систем
• Обнаружение сложных паттернов атак
• Автоматическое создание инцидентов

Визуализация:

• Дашборды активности в реальном времени
• Графики трендов использования
• Карты тепловых зон активности

Соответствие стандартам

152-ФЗ "О персональных данных"

Журнал изменений обеспечивает выполнение требований закона:

• Фиксация всех операций с ПДн
• Идентификация пользователей, работавших с данными
• Возможность предоставления отчетов регуляторам

ISO 27001

Соответствие требованиям международного стандарта:

• Полная прослеживаемость действий
• Контроль доступа и мониторинг
• Защита целостности журналов

PCI DSS

Для организаций, обрабатывающих платежные данные:

• Журналирование доступа к платежным системам
• Хранение журналов не менее 1 года
• Регулярный анализ журналов безопасности

Рекомендации по использованию

Для администраторов

Регулярный мониторинг:

• Проверяйте журнал минимум раз в день
• Обращайте внимание на необычную активность
• Используйте фильтры для быстрого поиска

Реагирование на инциденты:

• При обнаружении подозрительной активности немедленно экспортируйте данные
• Зафиксируйте время и обстоятельства инцидента
• Используйте журнал как доказательную базу

Планирование:

• Настройте автоматические отчеты
• Определите критические события для мониторинга
• Установите политики хранения

Для аналитиков безопасности

Расследования:

• Начинайте с широких фильтров, затем сужайте поиск
• Обращайте внимание на аномалии в паттернах поведения
• Сопоставляйте данные из журнала с другими источниками

Анализ трендов:

• Отслеживайте изменения в активности пользователей
• Выявляйте новые паттерны использования
• Прогнозируйте потенциальные проблемы

Для аудиторов

Подготовка отчетов:

• Используйте экспорт в CSV для детального анализа
• Создавайте PDF-отчеты для документации
• Включайте статистику по типам действий

Проверка соответствия:

• Убедитесь в полноте журналирования
• Проверьте корректность временных меток
• Подтвердите защиту целостности данных

Заключение

Журнал изменений является фундаментом системы аудита и контроля в Пуаро. Правильное использование этого инструмента позволяет:

• Обеспечить прозрачность всех операций в системе
• Предотвратить инциденты через постоянный мониторинг
• Быстро расследовать проблемы безопасности
• Соответствовать требованиям законодательства и стандартов
• Защитить организацию от внутренних и внешних угроз