ISO 27001:2022 Vedlegg A Kontroll 8.15

Logging

Bestill en demonstrasjon

gruppe,med,glade,kolleger,diskuterer,i,konferanse,rom

Formål med ISO 27001:2022 vedlegg A 8.15

Logger er en avgjørende komponent for å oppnå en helhetlig oversikt over IKT-aktiviteter og personellhandlinger. De gjør det mulig for organisasjoner å konstruere en tidslinje med anledninger og undersøke både logiske og fysiske trender på tvers av hele nettverket.

Å produsere tilgjengelige, enkle loggdata er et kritisk aspekt av en organisasjons generelle IKT-plan, sammen med en rekke viktige informasjonssikkerhetskontroller i ISO 27001: 2022.

Logger bør sjekkes regelmessig:

  • Registrer hendelser.

  • Samle data og få bevis.

  • Opprettholde deres integritet.

  • Sikre sikkerheten til loggdata fra uautorisert tilgang.

  • Identifisere aktiviteter og hendelser som kan forårsake brudd på informasjon/sikkerhet.

  • Dette fungerer som en hjelp til både interne og eksterne henvendelser.

Eierskap til vedlegg A 8.15

ISO 27001:2022 vedlegg A 8.15 dekker IT-drift som krever systemadministratortilgang. Det omfatter nettverksadministrasjon og vedlikehold. derfor Leder for IT, eller tilsvarende, er ansvarlig for denne kontrollen.

Gå til emnet
Få et forsprang på ISO 27001
  • Alt oppdatert med 2022-kontrollsettet
  • Få 81 % fremgang fra det øyeblikket du logger på
  • Enkel og lett å bruke
Bestill demoen din
img

Veiledning om hendelseslogginformasjon

En hendelse er enhver aktivitet utført av en fysisk eller logisk enhet på et datasystem, for eksempel en forespørsel om data, ekstern pålogging, automatisk avslutning av systemet eller sletting av en fil.

ISO 27001:2022 vedlegg A 8.15 sier at for at hver hendelseslogg skal oppfylle formålet, må den inneholde fem hovedkomponenter:

  • Bruker-ID-en knyttet til personen.

  • Systemaktivitet kan overvåkes for å identifisere hva som har skjedd.

  • På en bestemt dato og klokkeslett skjedde en hendelse.

  • Hendelsen fant sted på enheten/systemet og plasseringen ble identifisert.

  • Nettverksadresser og protokoller – IP-informasjon.

Veiledning om hendelsestyper

Det er kanskje ikke mulig å logge alle hendelser på et nettverk av praktiske årsaker. Det er kanskje ikke mulig å logge hver hendelse.

ISO 27001:2022 vedlegg A 8.15 spesifiserer ti hendelser som skal logges, da de kan påvirke risiko og opprettholde et passende nivå av informasjonssikkerhet:

  1. Forsøk på systemtilgang vil bli sporet og overvåket.

  2. Forsøk på å få tilgang til data og/eller ressurser vil bli overvåket. Enhver slik aktivitet som anses som mistenkelig vil bli rapportert.

  3. Endringer i system/OS-konfigurasjon.

  4. Bruk av privilegier på høyt nivå.

  5. Bruk hjelpeprogrammer eller vedlikeholdsfasiliteter (i henhold til ISO 27001:2022 vedlegg A 8.18).

  6. Filtilgangsforespørsler, med slettinger, migreringer osv.

  7. Adgangskontroll alarmer og viktige avbrudd.

  8. Aktivering og/eller deaktivering av sikkerhetssystemer foran og bak, for eksempel antivirusprogramvare på klientsiden og brannmurbeskyttelsessystemer.

  9. Identitetsadministrasjon.

  10. Visse handlinger eller modifikasjoner av systemet/dataene utført under en økt i en applikasjon.

Som ISO 27001:2022 vedlegg A 8.17 skisserer, er det viktig å sikre at alle logger synkroniseres til samme tidskilde (eller kilder), og i tilfelle tredjeparts applikasjonslogger må eventuelle tidsavvik adresseres og dokumenteres.

Veiledning om loggbeskyttelse

Logger er den mest grunnleggende måten å fastslå bruker-, system- og applikasjonsaktivitet på et nettverk, spesielt når undersøkelser finner sted.

Det er viktig for organisasjoner å garantere at brukere, uavhengig av tillatelsesnivåer, ikke kan slette eller endre sine egne hendelseslogger.

Logger skal være fullstendige, nøyaktige og sikret mot alle uautoriserte endringer eller forstyrrelser, inkludert:

  • Slettede eller redigerte loggfiler.

  • Endringer av meldingstype.

  • Unnlatelse av å produsere en logg eller overskriving av logger på grunn av lagrings- eller nettverksproblemer bør unngås.

ISO anbefaler at for å forbedre informasjonssikkerheten, bør logger beskyttes med følgende teknikker:

  • Skrivebeskyttet opptak.

  • Bruk av offentlige åpenhetsfiler.

  • Kryptografisk hashing.

  • Bare vedlegg opptak.

Organisasjoner kan kreve å sende logger til leverandører for å løse hendelser og feil. Når dette er nødvendig, bør logger "avidentifiseres" (i henhold til ISO 27001:2022 vedlegg A 8.11) med følgende informasjon maskert:

  • IP-adresser.

  • Vertsnavn.

  • Brukernavn.

For å sikre at PII er beskyttet, bør det tas skritt i samsvar med organisasjonens personvernforskrifter og eksisterende lover (se ISO 27001:2022 vedlegg A 5.34).

Veiledning om logganalyse

Når du vurderer logger for å finne, takle og forklare cybersikkerhetshendelser – med sikte på å forhindre gjentakelser – vurder følgende:

  • Personellet som utfører analysen har høy kompetanse.

  • Logger analyseres i henhold til selskapets protokoll.

  • Hendelsene som skal analyseres må kategoriseres og identifiseres etter type og attributt.

  • Unntak som følger av nettverksregler generert av sikkerhetsprogramvare, maskinvare og plattformer skal brukes.

  • Den typiske progresjonen av nettverkstrafikk i motsetning til uforutsigbare mønstre.

  • Spesialisert dataanalyse avslører trender som er bemerkelsesverdige.

  • Trusseletterretning.

Veiledning om loggovervåking

Logganalyse bør utføres sammen med grundig overvåkingsaktiviteter som oppdager viktige mønstre og uvanlig atferd.

Organisasjoner bør ta en todelt tilnærming for å nå sine mål:

  • Gjennomgå alle forsøk på å få tilgang til sikre og forretningskritiske ressurser, for eksempel domeneservere, nettportaler og fildelingsplattformer.

  • Undersøk DNS-poster for å identifisere utgående trafikk knyttet til ondsinnede kilder og skadelige serverprosedyrer.

  • Samle databruksposter fra tjenesteleverandører eller interne systemer for å gjenkjenne eventuell ondsinnet oppførsel.

  • Samle poster fra fysiske inngangspunkter, som nøkkelkort/fob-logger og romtilgangsdata.

Tilleggsinformasjon

Organisasjoner bør vurdere å bruke spesialiserte hjelpeprogrammer for å sile gjennom den enorme mengden informasjon som produseres av systemlogger, og dermed spare tid og ressurser når de undersøker sikkerhetshendelser, f.eks. et SIEM-verktøy.

Hvis en organisasjon bruker en skybasert plattform for noen del av sin virksomhet, bør loggadministrasjon være et delt ansvar mellom tjenesteleverandøren og organisasjonen.

Medfølgende vedlegg A kontroller

  • ISO 27001:2022 vedlegg A 5.34

  • ISO 27001:2022 vedlegg A 8.11

  • ISO 27001:2022 vedlegg A 8.17

  • ISO 27001:2022 vedlegg A 8.18

Endringer og forskjeller fra ISO 27001:2013

ISO 27001:2022 vedlegg A 8.15 erstatter tre kontroller fra ISO 27001:2013 som dekker lagring, administrasjon og analyse av loggfiler:

  • 12.4.1 – Hendelseslogging
  • 12.4.2 – Beskyttelse av logginformasjon
  • 12.4.3 – Administrator- og operatørlogger

ISO 27001:2022 vedlegg A 8.15 tilpasser i stor grad veiledningen fra de tre kontrollene som er diskutert tidligere, og danner en klar protokoll som dekker logging, sammen med noen bemerkelsesverdige tillegg som:

  • Retningslinjer som tar for seg beskyttelse av logginformasjon på en utvidet måte.

  • Råd om ulike typer hendelser som bør undersøkes nøye.

  • Veiledning om overvåking og analyse av logger for å forbedre informasjonssikkerheten.

  • Hvordan administrere logger generert av skybaserte plattformer.

Tabell over alle ISO 27001:2022 vedlegg A kontroller

I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A Kontroll.

ISO 27001:2022 Organisasjonskontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
OrganisasjonskontrollerVedlegg A 5.1Vedlegg A 5.1.1
Vedlegg A 5.1.2		Retningslinjer for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.2Vedlegg A 6.1.1Informasjonssikkerhetsroller og ansvar
OrganisasjonskontrollerVedlegg A 5.3Vedlegg A 6.1.2Ansvarsfordeling
OrganisasjonskontrollerVedlegg A 5.4Vedlegg A 7.2.1Ledelsesansvar
OrganisasjonskontrollerVedlegg A 5.5Vedlegg A 6.1.3Kontakt med myndighetene
OrganisasjonskontrollerVedlegg A 5.6Vedlegg A 6.1.4Kontakt med spesielle interessegrupper
OrganisasjonskontrollerVedlegg A 5.7NEWThreat Intelligence
OrganisasjonskontrollerVedlegg A 5.8Vedlegg A 6.1.5
Vedlegg A 14.1.1		Informasjonssikkerhet i prosjektledelse
OrganisasjonskontrollerVedlegg A 5.9Vedlegg A 8.1.1
Vedlegg A 8.1.2		Inventar over informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.10Vedlegg A 8.1.3
Vedlegg A 8.2.3		Akseptabel bruk av informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.11Vedlegg A 8.1.4Retur av eiendeler
OrganisasjonskontrollerVedlegg A 5.12Vedlegg A 8.2.1Klassifisering av informasjon
OrganisasjonskontrollerVedlegg A 5.13Vedlegg A 8.2.2Merking av informasjon
OrganisasjonskontrollerVedlegg A 5.14Vedlegg A 13.2.1
Vedlegg A 13.2.2
Vedlegg A 13.2.3		Informasjonsoverføring
OrganisasjonskontrollerVedlegg A 5.15Vedlegg A 9.1.1
Vedlegg A 9.1.2		Access Control
OrganisasjonskontrollerVedlegg A 5.16Vedlegg A 9.2.1Identitetshåndtering
OrganisasjonskontrollerVedlegg A 5.17Vedlegg A 9.2.4
Vedlegg A 9.3.1
Vedlegg A 9.4.3		Autentiseringsinformasjon
OrganisasjonskontrollerVedlegg A 5.18Vedlegg A 9.2.2
Vedlegg A 9.2.5
Vedlegg A 9.2.6		Tilgangsrettigheter
OrganisasjonskontrollerVedlegg A 5.19Vedlegg A 15.1.1Informasjonssikkerhet i leverandørforhold
OrganisasjonskontrollerVedlegg A 5.20Vedlegg A 15.1.2Adressering av informasjonssikkerhet innenfor leverandøravtaler
OrganisasjonskontrollerVedlegg A 5.21Vedlegg A 15.1.3Håndtere informasjonssikkerhet i IKT-leverandørkjeden
OrganisasjonskontrollerVedlegg A 5.22Vedlegg A 15.2.1
Vedlegg A 15.2.2		Overvåking, gjennomgang og endringsstyring av leverandørtjenester
OrganisasjonskontrollerVedlegg A 5.23NEWInformasjonssikkerhet for bruk av skytjenester
OrganisasjonskontrollerVedlegg A 5.24Vedlegg A 16.1.1Informasjonssikkerhetshendelsesplanlegging og -forberedelse
OrganisasjonskontrollerVedlegg A 5.25Vedlegg A 16.1.4Vurdering og beslutning om informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.26Vedlegg A 16.1.5Respons på informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.27Vedlegg A 16.1.6Lær av informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.28Vedlegg A 16.1.7Samling av bevis
OrganisasjonskontrollerVedlegg A 5.29Vedlegg A 17.1.1
Vedlegg A 17.1.2
Vedlegg A 17.1.3		Informasjonssikkerhet under avbrudd
OrganisasjonskontrollerVedlegg A 5.30NEWIKT-beredskap for forretningskontinuitet
OrganisasjonskontrollerVedlegg A 5.31Vedlegg A 18.1.1
Vedlegg A 18.1.5		Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
OrganisasjonskontrollerVedlegg A 5.32Vedlegg A 18.1.2Immaterielle rettigheter
OrganisasjonskontrollerVedlegg A 5.33Vedlegg A 18.1.3Beskyttelse av poster
OrganisasjonskontrollerVedlegg A 5.34 Vedlegg A 18.1.4Personvern og beskyttelse av PII
OrganisasjonskontrollerVedlegg A 5.35Vedlegg A 18.2.1Uavhengig gjennomgang av informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.36Vedlegg A 18.2.2
Vedlegg A 18.2.3		Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.37Vedlegg A 12.1.1Dokumenterte driftsprosedyrer

ISO 27001:2022 Personkontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
PersonkontrollerVedlegg A 6.1Vedlegg A 7.1.1Screening
PersonkontrollerVedlegg A 6.2Vedlegg A 7.1.2Vilkår og betingelser for ansettelse
PersonkontrollerVedlegg A 6.3Vedlegg A 7.2.2Informasjonssikkerhetsbevissthet, utdanning og opplæring
PersonkontrollerVedlegg A 6.4Vedlegg A 7.2.3Disiplinær prosess
PersonkontrollerVedlegg A 6.5Vedlegg A 7.3.1Ansvar etter oppsigelse eller endring av ansettelse
PersonkontrollerVedlegg A 6.6Vedlegg A 13.2.4Konfidensialitet eller taushetserklæring
PersonkontrollerVedlegg A 6.7Vedlegg A 6.2.2Fjernarbeid
PersonkontrollerVedlegg A 6.8Vedlegg A 16.1.2
Vedlegg A 16.1.3		Informasjonssikkerhet hendelsesrapportering

ISO 27001:2022 Fysiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Fysiske kontrollerVedlegg A 7.1Vedlegg A 11.1.1Fysiske sikkerhetsomkretser
Fysiske kontrollerVedlegg A 7.2Vedlegg A 11.1.2
Vedlegg A 11.1.6		Fysisk inngang
Fysiske kontrollerVedlegg A 7.3Vedlegg A 11.1.3Sikring av kontorer, rom og fasiliteter
Fysiske kontrollerVedlegg A 7.4NEWFysisk sikkerhetsovervåking
Fysiske kontrollerVedlegg A 7.5Vedlegg A 11.1.4Beskyttelse mot fysiske og miljømessige trusler
Fysiske kontrollerVedlegg A 7.6Vedlegg A 11.1.5Arbeid i sikre områder
Fysiske kontrollerVedlegg A 7.7Vedlegg A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerVedlegg A 7.8Vedlegg A 11.2.1Utstyrsplassering og beskyttelse
Fysiske kontrollerVedlegg A 7.9Vedlegg A 11.2.6Sikkerhet for eiendeler utenfor lokaler
Fysiske kontrollerVedlegg A 7.10Vedlegg A 8.3.1
Vedlegg A 8.3.2
Vedlegg A 8.3.3
 Vedlegg A 11.2.5		Lagringsmedium
Fysiske kontrollerVedlegg A 7.11Vedlegg A 11.2.2Støtteverktøy
Fysiske kontrollerVedlegg A 7.12Vedlegg A 11.2.3Kablingssikkerhet
Fysiske kontrollerVedlegg A 7.13Vedlegg A 11.2.4Vedlikehold av utstyr
Fysiske kontrollerVedlegg A 7.14Vedlegg A 11.2.7Sikker avhending eller gjenbruk av utstyr

ISO 27001:2022 teknologiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Teknologiske kontrollerVedlegg A 8.1Vedlegg A 6.2.1
Vedlegg A 11.2.8		Bruker endepunktenheter
Teknologiske kontrollerVedlegg A 8.2Vedlegg A 9.2.3Privilegerte tilgangsrettigheter
Teknologiske kontrollerVedlegg A 8.3Vedlegg A 9.4.1Begrensning for informasjonstilgang
Teknologiske kontrollerVedlegg A 8.4Vedlegg A 9.4.5Tilgang til kildekode
Teknologiske kontrollerVedlegg A 8.5Vedlegg A 9.4.2Sikker godkjenning
Teknologiske kontrollerVedlegg A 8.6Vedlegg A 12.1.3Kapasitetsstyring
Teknologiske kontrollerVedlegg A 8.7Vedlegg A 12.2.1Beskyttelse mot skadelig programvare
Teknologiske kontrollerVedlegg A 8.8Vedlegg A 12.6.1
Vedlegg A 18.2.3		Håndtering av tekniske sårbarheter
Teknologiske kontrollerVedlegg A 8.9NEWConfiguration Management
Teknologiske kontrollerVedlegg A 8.10NEWSletting av informasjon
Teknologiske kontrollerVedlegg A 8.11NEWDatamaskering
Teknologiske kontrollerVedlegg A 8.12NEWForebygging av datalekkasje
Teknologiske kontrollerVedlegg A 8.13Vedlegg A 12.3.1Sikkerhetskopiering av informasjon
Teknologiske kontrollerVedlegg A 8.14Vedlegg A 17.2.1Redundans av informasjonsbehandlingsfasiliteter
Teknologiske kontrollerVedlegg A 8.15Vedlegg A 12.4.1
Vedlegg A 12.4.2
Vedlegg A 12.4.3		Logging
Teknologiske kontrollerVedlegg A 8.16NEWOvervåkingsaktiviteter
Teknologiske kontrollerVedlegg A 8.17Vedlegg A 12.4.4Klokke synkronisering
Teknologiske kontrollerVedlegg A 8.18Vedlegg A 9.4.4Bruk av Privileged Utility Programs
Teknologiske kontrollerVedlegg A 8.19Vedlegg A 12.5.1
Vedlegg A 12.6.2		Installasjon av programvare på operative systemer
Teknologiske kontrollerVedlegg A 8.20Vedlegg A 13.1.1Nettverkssikkerhet
Teknologiske kontrollerVedlegg A 8.21Vedlegg A 13.1.2Sikkerhet for nettverkstjenester
Teknologiske kontrollerVedlegg A 8.22Vedlegg A 13.1.3Segregering av nettverk
Teknologiske kontrollerVedlegg A 8.23NEWWeb-filtrering
Teknologiske kontrollerVedlegg A 8.24Vedlegg A 10.1.1
Vedlegg A 10.1.2		Bruk av kryptografi
Teknologiske kontrollerVedlegg A 8.25Vedlegg A 14.2.1Sikker utviklingslivssyklus
Teknologiske kontrollerVedlegg A 8.26Vedlegg A 14.1.2
Vedlegg A 14.1.3		Programsikkerhetskrav
Teknologiske kontrollerVedlegg A 8.27Vedlegg A 14.2.5Sikker systemarkitektur og ingeniørprinsipper
Teknologiske kontrollerVedlegg A 8.28NEWSikker koding
Teknologiske kontrollerVedlegg A 8.29Vedlegg A 14.2.8
Vedlegg A 14.2.9		Sikkerhetstesting i utvikling og aksept
Teknologiske kontrollerVedlegg A 8.30Vedlegg A 14.2.7Utkontraktert utvikling
Teknologiske kontrollerVedlegg A 8.31Vedlegg A 12.1.4
Vedlegg A 14.2.6		Separasjon av utviklings-, test- og produksjonsmiljøer
Teknologiske kontrollerVedlegg A 8.32Vedlegg A 12.1.2
Vedlegg A 14.2.2
Vedlegg A 14.2.3
Vedlegg A 14.2.4		Endringsledelse
Teknologiske kontrollerVedlegg A 8.33Vedlegg A 14.3.1Testinformasjon
Teknologiske kontrollerVedlegg A 8.34Vedlegg A 12.7.1Beskyttelse av informasjonssystemer under revisjonstesting

Hvordan ISMS.online Hjelp

ISMS.online-plattformen legger til rette for hele ISO 27001 implementering, som begynner med risikovurderingsaktiviteter, og avsluttes med etablering av retningslinjer, prosedyrer og retningslinjer for å oppfylle standardens kriterier.

ISMS.online gir organisasjoner en enkel vei til ISO 27001-overholdelse via sitt automatiserte verktøysett. Dens brukervennlige funksjoner gjør det enkelt å demonstrere overholdelse av standarden.

Ta kontakt med oss ​​nå for å arrangere en demonstrasjon.

Se vår plattform
i aksjon

Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din

Enkel. Sikre. Bærekraftig.

Se vår plattform i aksjon med en skreddersydd praktisk økt basert på dine behov og mål.

Bestill demoen din
img

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer