ISO 27002:2022 – Kontrol 8.15 – Logning

Formål med kontrol 8.15

Logs – uanset om det er i form af ansøgningslogs, hændelseslogs eller generel systeminformation – udgør en central del af at opnå et top-down-billede af IKT-hændelser og medarbejderhandlinger. Logs giver organisationer mulighed for at etablere en tidslinje over begivenheder og granske både logiske og fysiske mønstre på tværs af hele deres netværk.

At producere klare og let tilgængelige logoplysninger er en vigtig del af en organisations overordnede IKT-strategi og ledsager adskillige større informationssikkerhedskontroller indeholdt i ISO 27002:2002.

Logs skal:

• Optag begivenheder.
• Saml beviser.
• Beskytte deres egen integritet.
• Sikre logdata mod uautoriseret adgang.
• Identificer handlinger og hændelser, der kan føre til et informations-/sikkerhedsbrud.
• Fungere som et værktøj til at understøtte interne og eksterne undersøgelser.

Attributter Kontroltabel 8.15

Kontrol 8.15 er en detektiv kontrollere det ændrer risikoen ved at anvende en tilgang til logning, der opfylder ovenstående mål.

Ejerskab af kontrol 8.15

Kontrol 8.15 omhandler IKT-operationer, der udføres ved hjælp af systemadministratoradgang og falder ind under paraplyen netværksstyring og vedligeholdelse. Som sådan bør ejerskabet af Kontrol 8.15 ligge hos IT-chefen eller tilsvarende organisatorisk.

Vejledning – Hændelseslogoplysninger

En 'hændelse' er enhver handling udført af en logisk eller fysisk tilstedeværelse på et computersystem – f.eks. en anmodning om data, et fjernlogin, en automatisk systemnedlukning, en filsletning.

Kontrol 8.15 specifikt, at hver enkelt hændelseslog skal indeholde 5 hovedkomponenter, for at den kan opfylde sit operationelle formål:

• Bruger-id – Hvem eller hvilken konto udførte handlingerne.
• Systemaktivitet – Hvad skete der
• Tidsstempler – Dato og tidspunkt for nævnte begivenhed
• Enheds- og systemidentifikatorer og placering – Hvilket aktiv hændelsen fandt sted på
• Netværksadresser og protokoller – IP-oplysninger

Vejledning – Begivenhedstyper

Af praktiske årsager er det muligvis ikke muligt at logge hver enkelt hændelse, der opstår på et givet netværk.

Med det i tankerne identificerer Control 8.15 nedenstående 10 hændelser som værende særligt vigtige til logføringsformål på grund af deres evne til at ændre risiko og den rolle, de spiller i opretholdelsen af ​​passende niveauer af informationssikkerhed:

1. Forsøg på systemadgang.
2. Forsøg på data- og/eller ressourceadgang.
3. System/OS-konfigurationsændringer.
4. Brug af forhøjede privilegier.
5. Brug af hjælpeprogrammer eller vedligeholdelsesfaciliteter (se Kontrol 8.18).
6. Filadgangsanmodninger og hvad der skete (sletning, migrering osv.).
7. Adgangskontrolalarmer og kritiske afbrydelser.
8. Aktivering og/eller deaktivering af frontend- og backend-sikkerhedssystemer, såsom antivirussoftware på klientsiden eller firewallbeskyttelsessystemer.
9. Identitetsadministrationsarbejde (både fysisk og logisk).
10. Visse handlinger eller system-/dataændringer udført som en del af en session i en applikation.

Som forklaret i kontrol 8.17, er det afgørende vigtigt, at alle logfiler er knyttet til den samme synkroniserede tidskilde (eller sæt af kurser), og i tilfælde af tredjeparts applikationslogfiler, eventuelle tidsforskelle, der tages hensyn til og registreres.

Vejledning – Logbeskyttelse

Logs er den laveste fællesnævner for at etablere bruger-, system- og applikationsadfærd på et givet netværk, især når man står over for en undersøgelse.

Det er derfor meget vigtigt for organisationer at sikre, at brugere – uanset deres tilladelsesniveauer – ikke bevarer muligheden for at slette eller ændre deres egne hændelseslogfiler.

Individuelle logfiler skal være fuldstændige, nøjagtige og beskyttet mod uautoriserede ændringer eller driftsproblemer, herunder:

• Ændringer af meddelelsestype.
• Slettede eller redigerede logfiler.
• Enhver fejl i at generere en logfil eller unødvendig overskrivning af logfiler på grund af fremherskende problemer med lagermedier eller netværksydelse.

ISO anbefaler, at logfiler beskyttes ved hjælp af følgende metoder for at forbedre informationssikkerheden:

• Kryptografisk hashing.
• Optagelse, der kun kan tilføjes.
• Skrivebeskyttet optagelse.
• Brug af offentlige transparensfiler.

Organisationer skal muligvis sende logfiler til leverandører for at løse hændelser og fejl. Hvis dette behov opstår, skal logs 'afidentificeres' (se kontrol 8.11), og følgende oplysninger skal maskeres:

• Brugernavne
• IP-adresser
• Værtsnavne

Ud over dette bør der træffes foranstaltninger til at beskytte personligt identificerbare oplysninger (PII) i overensstemmelse med organisationens egne databeskyttelsesprotokoller og enhver gældende lovgivning (se kontrol 5.34).

Vejledning – Loganalyse

Når man analyserer logfiler med det formål at identificere, løse og analysere informationssikkerhedshændelser – med det endelige mål at forhindre fremtidige hændelser – skal følgende faktorer tages i betragtning:

• Ekspertise hos det personale, der udfører analysen.
• Hvordan logfiler analyseres i overensstemmelse med virksomhedens procedure.
• Type, kategori og attributter for hver hændelse, der kræver analyse.
• Eventuelle undtagelser, der anvendes via netværksregler, der stammer fra sikkerhedssoftwarehardware og -platforme.
• Standardstrømmen af ​​netværkstrafik sammenlignet med uforklarlige mønstre.
• Tendenser, der identificeres som et resultat af specialiseret dataanalyse.
• Trusselsintelligens.

Vejledning – Logovervågning

Loganalyse bør ikke udføres isoleret, og bør udføres i takt med strenge overvågningsaktiviteter, der identificerer nøglemønstre og unormal adfærd.

For at opnå en dobbeltfrontstilgang bør organisationer:

1. Gennemgå alle forsøg på at få adgang til sikre og/eller forretningskritiske ressourcer, herunder domæneservere, webportaler og fildelingsplatforme.
2. Undersøg DNS-logfiler for at opdage udgående trafik knyttet til ondsindede kilder og skadelige serveroperationer.
3. Saml databrugsrapporter fra tjenesteudbydere eller interne platforme for at identificere ondsindet aktivitet.
4. Indsaml logfiler fra fysiske adgangspunkter, såsom nøglekort/fob-logfiler og rumadgangsoplysninger.

Yderligere information

Organisationer bør overveje at bruge specialiserede hjælpeprogrammer, der hjælper dem med at søge gennem de enorme mængder information, som systemlogfiler genererer, for at spare tid og ressourcer, når de undersøger sikkerhedshændelser, såsom et SIEM-værktøj.

Hvis en organisation bruger en cloud-baseret platform til at udføre en del af deres drift, bør logstyring betragtes som et delt ansvar mellem tjenesteudbyderen og organisationen selv.

Understøttende kontroller

• 5.34
• 8.11
• 8.17
• 8.18

Ændringer og forskelle fra ISO 27002:2013

ISO 27002:2002-8.15 erstatter tre kontroller fra ISO 27002:2003, der omhandler lagring, styring og analyse af logfiler:

• 12.4.1 – Hændelseslogning
• 12.4.2 – Beskyttelse af logoplysninger
• 12.4.3 – Administrator- og operatørlogfiler

27002:2002-8.15 bekræfter stort set alle vejledningspunkterne fra de ovennævnte tre kontroller til én klar protokol, der omhandler logning, med nogle få bemærkelsesværdige udvidelser, herunder (men ikke begrænset til):

• Et udvidet sæt retningslinjer, der omhandler beskyttelse af logoplysninger.
• Yderligere vejledning om de forskellige begivenhedstyper, der bør overvejes til undersøgelse.
• Vejledning i, hvordan logs både skal overvåges og analyseres i en fælles indsats for at forbedre informationssikkerheden.
• Rådgivning om, hvordan du administrerer logfiler, der er produceret af cloud-baserede platforme.

Nye ISO 27002 kontroller

Hvordan ISMS.online hjælper

ISMS.Online-platformen hjælper med alle aspekter af implementering af ISO 27002, lige fra styring af risikovurderingsaktiviteter til udvikling af politikker, procedurer og retningslinjer for overholdelse af standardens krav.

Med sit automatiserede værktøjssæt gør ISMS.Online det nemt for organisationer at demonstrere overholdelse af ISO 27002-standarden.

Kontakt os i dag for planlæg en demo.