Logger – enten det er i form av søknadslogger, hendelseslogger eller generell systeminformasjon – utgjør en sentral del av å få et ovenfra-og-ned-bilde av IKT-hendelser og ansattes handlinger. Logger lar organisasjoner etablere en tidslinje med hendelser og granske både logiske og fysiske mønstre på tvers av hele nettverket.
Å produsere tydelig og lett tilgjengelig logginformasjon er en viktig del av en organisasjons overordnede IKT-strategi, og følger med en rekke viktige informasjonssikkerhetskontroller innenfor ISO 27002:2002.
Logger skal:
Kontroll 8.15 er en detektiv kontrollere det endrer risiko ved å ta i bruk en tilnærming til logging som oppfyller målene ovenfor.
| Kontrolltype | Informasjonssikkerhetsegenskaper | Konsepter for cybersikkerhet | Operasjonelle evner | Sikkerhetsdomener |
|---|---|---|---|---|
| #Detektiv | #Konfidensialitet #Integritet #Tilgjengelighet | #Oppdag | #Informasjonssikkerhet hendelsesadministrasjon | #Beskyttelse #Forsvar |
Kontroll 8.15 omhandler IKT-operasjoner som utføres ved bruk av systemadministratortilgang, og faller inn under paraplyen nettverksadministrasjon og vedlikehold. Som sådan bør eierskapet til Kontroll 8.15 ligge hos IT-sjefen, eller tilsvarende organisatorisk.
En "hendelse" er enhver handling utført av en logisk eller fysisk tilstedeværelse på et datasystem – for eksempel en forespørsel om data, en ekstern pålogging, en automatisk systemavslutning, en filsletting.
Kontroller 8.15 spesifikt at hver enkelt hendelseslogg skal inneholde 5 hovedkomponenter, for at den skal oppfylle sitt operasjonelle formål:
For praktiske formål er det kanskje ikke mulig å logge hver enkelt hendelse som skjer på et gitt nettverk.
Med det i tankene identifiserer Control 8.15 de 10 hendelsene nedenfor som spesielt viktige for loggformål, gitt deres evne til å endre risiko og rollen de spiller for å opprettholde tilstrekkelig informasjonssikkerhetsnivå:
Som forklart i kontroll 8.17, er det svært viktig at alle logger er koblet til den samme synkroniserte tidskilden (eller sett med kurs), og i tilfelle av tredjeparts applikasjonslogger, eventuelle tidsavvik som tas hensyn til og registreres.
Logger er den laveste fellesnevneren for å etablere bruker-, system- og applikasjonsatferd på et gitt nettverk, spesielt når de står overfor en undersøkelse.
Det er derfor svært viktig for organisasjoner å sikre at brukere – uavhengig av tillatelsesnivåer – ikke beholder muligheten til å slette eller endre sine egne hendelseslogger.
Individuelle logger skal være fullstendige, nøyaktige og beskyttet mot eventuelle uautoriserte endringer eller driftsproblemer, inkludert:
ISO anbefaler at logger beskyttes ved å bruke følgende metoder for å forbedre informasjonssikkerheten:
Organisasjoner må kanskje sende logger til leverandører for å løse hendelser og feil. Hvis dette skulle oppstå, bør logger "avidentifiseres" (se kontroll 8.11) og følgende informasjon skal maskeres:
I tillegg til dette bør det iverksettes tiltak for å sikre personlig identifiserbar informasjon (PII) i tråd med organisasjonens egne datavernprotokoller, og eventuell gjeldende lovgivning (se kontroll 5.34).
Når du analyserer logger med det formål å identifisere, løse og analysere informasjonssikkerhetshendelser – med det endelige målet å forhindre fremtidige hendelser – må følgende faktorer tas i betraktning:
Vi gir deg et forsprang på 81 %
fra det øyeblikket du logger inn
Bestill demoen din
Logganalyse bør ikke utføres isolert, og bør gjøres i takt med strenge overvåkingsaktiviteter som identifiserer nøkkelmønstre og unormal atferd.
For å oppnå en tofrontstilnærming bør organisasjoner:
Organisasjoner bør vurdere å bruke spesialiserte hjelpeprogrammer som hjelper dem å søke gjennom de enorme mengdene informasjon som systemlogger genererer, for å spare tid og ressurser når de undersøker sikkerhetshendelser, for eksempel et SIEM-verktøy.
Hvis en organisasjon bruker en skybasert plattform for å utføre noen del av driften, bør loggadministrasjon betraktes som et delt ansvar mellom tjenesteleverandøren og organisasjonen selv.
ISO 27002:2002-8.15 erstatter tre kontroller fra ISO 27002:2003 som omhandler lagring, administrasjon og analyse av loggfiler:
27002:2002-8.15 bekrefter i stor grad alle veiledningspunktene fra de tre ovennevnte kontrollene til én klar protokoll som omhandler logging, med noen få bemerkelsesverdige utvidelser, inkludert (men ikke begrenset til):
ISMS.Online-plattformen hjelper med alle aspekter ved implementering av ISO 27002, fra styring av risikovurderingsaktiviteter til utvikling av retningslinjer, prosedyrer og retningslinjer for å overholde standardens krav.
Med sitt automatiserte verktøysett gjør ISMS.Online det enkelt for organisasjoner å demonstrere samsvar med ISO 27002-standarden.
Kontakt oss i dag for planlegg en demonstrasjon.
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 5.7 | Ny | Trusselintelligens |
| 5.23 | Ny | Informasjonssikkerhet for bruk av skytjenester |
| 5.30 | Ny | IKT-beredskap for forretningskontinuitet |
| 7.4 | Ny | Fysisk sikkerhetsovervåking |
| 8.9 | Ny | Konfigurasjonsstyring |
| 8.10 | Ny | Sletting av informasjon |
| 8.11 | Ny | Datamaskering |
| 8.12 | Ny | Forebygging av datalekkasje |
| 8.16 | Ny | Overvåking av aktiviteter |
| 8.23 | Ny | Web-filtrering |
| 8.28 | Ny | Sikker koding |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansettelsen |
| 6.3 | 07.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| 6.4 | 07.2.3 | Disiplinær prosess |
| 6.5 | 07.3.1 | Ansvar etter oppsigelse eller endring av arbeidsforhold |
| 6.6 | 13.2.4 | Avtaler om konfidensialitet eller taushetsplikt |
| 6.7 | 06.2.2 | Fjernarbeid |
| 6.8 | 16.1.2, 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhetsomkretser |
| 7.2 | 11.1.2, 11.1.6 | Fysisk inngang |
| 7.3 | 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| 7.4 | Ny | Fysisk sikkerhetsovervåking |
| 7.5 | 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| 7.6 | 11.1.5 | Arbeid i sikre områder |
| 7.7 | 11.2.9 | Oversiktlig skrivebord og oversiktlig skjerm |
| 7.8 | 11.2.1 | Utstyrsplassering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhet av eiendeler utenfor lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedier |
| 7.11 | 11.2.2 | Støtteverktøy |
| 7.12 | 11.2.3 | Kablingssikkerhet |
| 7.13 | 11.2.4 | Vedlikehold av utstyr |
| 7.14 | 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
