Logs – uanset om det er i form af ansøgningslogs, hændelseslogs eller generel systeminformation – udgør en central del af at opnå et top-down-billede af IKT-hændelser og medarbejderhandlinger. Logs giver organisationer mulighed for at etablere en tidslinje over begivenheder og granske både logiske og fysiske mønstre på tværs af hele deres netværk.
At producere klare og let tilgængelige logoplysninger er en vigtig del af en organisations overordnede IKT-strategi og ledsager adskillige større informationssikkerhedskontroller indeholdt i ISO 27002:2002.
Logs skal:
Kontrol 8.15 er en detektiv kontrollere det ændrer risikoen ved at anvende en tilgang til logning, der opfylder ovenstående mål.
Kontrol type | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle evner | Sikkerhedsdomæner |
---|---|---|---|---|
#Detektiv | #Fortrolighed #Integritet #Tilgængelighed | #Opdage | #Informationssikkerhed Event Management | #Beskyttelse #Forsvar |
Kontrol 8.15 omhandler IKT-operationer, der udføres ved hjælp af systemadministratoradgang og falder ind under paraplyen netværksstyring og vedligeholdelse. Som sådan bør ejerskabet af Kontrol 8.15 ligge hos IT-chefen eller tilsvarende organisatorisk.
En 'hændelse' er enhver handling udført af en logisk eller fysisk tilstedeværelse på et computersystem – f.eks. en anmodning om data, et fjernlogin, en automatisk systemnedlukning, en filsletning.
Kontrol 8.15 specifikt, at hver enkelt hændelseslog skal indeholde 5 hovedkomponenter, for at den kan opfylde sit operationelle formål:
Af praktiske årsager er det muligvis ikke muligt at logge hver enkelt hændelse, der opstår på et givet netværk.
Med det i tankerne identificerer Control 8.15 nedenstående 10 hændelser som værende særligt vigtige til logføringsformål på grund af deres evne til at ændre risiko og den rolle, de spiller i opretholdelsen af passende niveauer af informationssikkerhed:
Som forklaret i kontrol 8.17, er det afgørende vigtigt, at alle logfiler er knyttet til den samme synkroniserede tidskilde (eller sæt af kurser), og i tilfælde af tredjeparts applikationslogfiler, eventuelle tidsforskelle, der tages hensyn til og registreres.
Logs er den laveste fællesnævner for at etablere bruger-, system- og applikationsadfærd på et givet netværk, især når man står over for en undersøgelse.
Det er derfor meget vigtigt for organisationer at sikre, at brugere – uanset deres tilladelsesniveauer – ikke bevarer muligheden for at slette eller ændre deres egne hændelseslogfiler.
Individuelle logfiler skal være fuldstændige, nøjagtige og beskyttet mod uautoriserede ændringer eller driftsproblemer, herunder:
ISO anbefaler, at logfiler beskyttes ved hjælp af følgende metoder for at forbedre informationssikkerheden:
Organisationer skal muligvis sende logfiler til leverandører for at løse hændelser og fejl. Hvis dette behov opstår, skal logs 'afidentificeres' (se kontrol 8.11), og følgende oplysninger skal maskeres:
Ud over dette bør der træffes foranstaltninger til at beskytte personligt identificerbare oplysninger (PII) i overensstemmelse med organisationens egne databeskyttelsesprotokoller og enhver gældende lovgivning (se kontrol 5.34).
Når man analyserer logfiler med det formål at identificere, løse og analysere informationssikkerhedshændelser – med det endelige mål at forhindre fremtidige hændelser – skal følgende faktorer tages i betragtning:
Vi giver dig et forspring på 81 %
fra det øjeblik du logger ind
Book din demo
Loganalyse bør ikke udføres isoleret, og bør udføres i takt med strenge overvågningsaktiviteter, der identificerer nøglemønstre og unormal adfærd.
For at opnå en dobbeltfrontstilgang bør organisationer:
Organisationer bør overveje at bruge specialiserede hjælpeprogrammer, der hjælper dem med at søge gennem de enorme mængder information, som systemlogfiler genererer, for at spare tid og ressourcer, når de undersøger sikkerhedshændelser, såsom et SIEM-værktøj.
Hvis en organisation bruger en cloud-baseret platform til at udføre en del af deres drift, bør logstyring betragtes som et delt ansvar mellem tjenesteudbyderen og organisationen selv.
ISO 27002:2002-8.15 erstatter tre kontroller fra ISO 27002:2003, der omhandler lagring, styring og analyse af logfiler:
27002:2002-8.15 bekræfter stort set alle vejledningspunkterne fra de ovennævnte tre kontroller til én klar protokol, der omhandler logning, med nogle få bemærkelsesværdige udvidelser, herunder (men ikke begrænset til):
ISMS.Online-platformen hjælper med alle aspekter af implementering af ISO 27002, lige fra styring af risikovurderingsaktiviteter til udvikling af politikker, procedurer og retningslinjer for overholdelse af standardens krav.
Med sit automatiserede værktøjssæt gør ISMS.Online det nemt for organisationer at demonstrere overholdelse af ISO 27002-standarden.
Kontakt os i dag for planlæg en demo.
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
5.7 | Ny | Trusselsintelligens |
5.23 | Ny | Informationssikkerhed til brug af cloud-tjenester |
5.30 | Ny | IKT-parathed til forretningskontinuitet |
7.4 | Ny | Fysisk sikkerhedsovervågning |
8.9 | Ny | Konfigurationsstyring |
8.10 | Ny | Sletning af oplysninger |
8.11 | Ny | Datamaskering |
8.12 | Ny | Forebyggelse af datalækage |
8.16 | Ny | Overvågning af aktiviteter |
8.23 | Ny | Webfiltrering |
8.28 | Ny | Sikker kodning |
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
6.4 | 07.2.3 | Disciplinær proces |
6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
6.7 | 06.2.2 | Fjernbetjening |
6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
7.4 | Ny | Fysisk sikkerhedsovervågning |
7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
7.6 | 11.1.5 | Arbejde i sikre områder |
7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
7.12 | 11.2.3 | Kabler sikkerhed |
7.13 | 11.2.4 | Vedligeholdelse af udstyr |
7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |