Lokit – joko sovelluslokien, tapahtumalokien tai yleisten järjestelmätietojen muodossa – ovat keskeinen osa ICT-tapahtumien ja työntekijöiden toimien ylhäältä alas -näkymän saamista. Lokien avulla organisaatiot voivat luoda tapahtumien aikajanan ja tarkastella sekä loogisia että fyysisiä malleja koko verkossaan.
Selkeiden ja helposti saatavien lokitietojen tuottaminen on tärkeä osa organisaation yleistä ICT-strategiaa, ja se liittyy lukuisiin ISO 27002:2002 -standardiin sisältyviin tietoturvatoimiin.
Lokien pitäisi:
Ohjaus 8.15 on a etsivä hallitse sitä muuttaa riskiä ottamalla käyttöön menetelmän, joka täyttää edellä mainitut tavoitteet.
Ohjaus | Tietoturvaominaisuudet | Kyberturvallisuuden käsitteet | Toiminnalliset valmiudet | Turvallisuus Domains |
---|---|---|---|---|
#Etsivä | #Luottamuksellisuus #Integrity #Saatavuus | #Havaita | #Tietoturvatapahtumanhallinta | #Suojaus #Puolustus |
Ohjaus 8.15 käsittelee ICT-toimintoja, jotka suoritetaan järjestelmänvalvojan käyttöoikeuksilla ja kuuluvat verkonhallinnan ja ylläpidon sateenvarjon alle. Sellaisenaan Control 8.15:n omistusoikeus kuuluu IT-päällikölle tai vastaavalle organisaatiolle.
"Tapahtuma" tarkoittaa mitä tahansa loogisen tai fyysisen läsnäolon suorittamaa toimintaa tietokonejärjestelmässä – esimerkiksi tietopyyntö, etäkirjautuminen, automaattinen järjestelmän sammutus, tiedostojen poistaminen.
Ohjaus 8.15:n mukaan jokaisen yksittäisen tapahtumalokin tulee sisältää 5 pääkomponenttia, jotta se voisi täyttää toiminnallisen tarkoituksensa:
Käytännön syistä ei ehkä ole mahdollista kirjata jokaista yksittäistä tapahtumaa, joka tapahtuu tietyssä verkossa.
Tätä silmällä pitäen Control 8.15 tunnistaa alla olevat 10 tapahtumaa erityisen tärkeiksi kirjaamistarkoituksiin, kun otetaan huomioon niiden kyky muuttaa riskejä ja niiden rooli riittävän tietoturvatason ylläpitämisessä:
Kuten Ohjaus 8.17:ssä selitettiin, on erittäin tärkeää, että kaikki lokit on linkitetty samaan synkronoituun aikalähteeseen (tai kurssisarjaan), ja kolmannen osapuolen sovelluslokien tapauksessa kaikki aikaerot huomioidaan ja kirjataan.
Lokit ovat pienin yhteinen nimittäjä käyttäjien, järjestelmän ja sovellusten käyttäytymisen määrittämiseksi tietyssä verkossa, varsinkin kun niitä tutkitaan.
Siksi on erittäin tärkeää, että organisaatiot varmistavat, etteivät käyttäjät – käyttöoikeustasoistaan riippumatta – säilytä mahdollisuutta poistaa tai muuttaa omia tapahtumalokejaan.
Yksittäisten lokien tulee olla täydellisiä, tarkkoja ja suojattuja luvattomilta muutoksilta tai toimintahäiriöiltä, mukaan lukien:
ISO suosittelee, että tietoturvan parantamiseksi lokit suojataan seuraavilla tavoilla:
Organisaatiot saattavat joutua lähettämään lokeja toimittajille tapausten ja vikojen ratkaisemiseksi. Jos tämä tarve ilmenee, lokien tunnistaminen tulee poistaa (katso Ohjaus 8.11) ja seuraavat tiedot tulee peittää:
Tämän lisäksi tulee ryhtyä toimenpiteisiin henkilökohtaisten tunnistetietojen (PII) turvaamiseksi organisaation omien tietosuojakäytäntöjen ja voimassa olevan lainsäädännön mukaisesti (ks. Valvonta 5.34).
Analysoitaessa lokeja tietoturvatapahtumien tunnistamista, ratkaisemista ja analysointia varten – lopullisena tavoitteena tulevien tapahtumien estäminen – on otettava huomioon seuraavat tekijät:
Annamme sinulle 81 % etumatkan
siitä hetkestä, kun kirjaudut sisään
Varaa esittelysi
Lokianalyysiä ei pidä tehdä eristyksissä, vaan se tulee tehdä yhdessä tiukkojen seurantatoimien kanssa, jotka osoittavat keskeiset kuviot ja poikkeavaa käyttäytymistä.
Kaksitahoisen lähestymistavan saavuttamiseksi organisaatioiden tulee:
Organisaatioiden tulisi harkita erikoistuneiden apuohjelmien, kuten SIEM-työkalun, käyttöä, jotka auttavat niitä etsimään järjestelmälokien tuottamaa valtavaa määrää tietoa, jotta he säästävät aikaa ja resursseja tutkiessaan tietoturvahäiriöitä.
Jos organisaatio käyttää pilvipohjaista alustaa jonkin osan toiminnastaan suorittamiseen, lokinhallintaa tulee pitää palveluntarjoajan ja organisaation jaettuna vastuuna.
ISO 27002:2002-8.15 korvaa kolme ISO 27002:2003 -säädintä, jotka käsittelevät lokitiedostojen tallennusta, hallintaa ja analysointia:
27002:2002-8.15 vahvistaa suurelta osin kaikki edellä olevien kolmen ohjaimen ohjekohdat yhdeksi selkeäksi kirjaamista käsitteleväksi protokollaksi muutamilla merkittävillä laajennuksilla, mukaan lukien (mutta ei rajoittuen):
ISMS.Online-alusta auttaa kaikissa ISO 27002:n käyttöönoton asioissa riskinarviointitoimintojen hallinnasta standardin vaatimusten noudattamista koskevien käytäntöjen, menettelyjen ja ohjeiden kehittämiseen.
Automaattisen työkalusarjansa ansiosta ISMS.Online helpottaa ISO 27002 -standardin noudattamisen osoittamista organisaatioille.
Ota yhteyttä jo tänään aikataulun esittely.
Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi
ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
---|---|---|
5.7 | Uusi | Uhan älykkyys |
5.23 | Uusi | Tietoturva pilvipalvelujen käyttöön |
5.30 | Uusi | ICT-valmius liiketoiminnan jatkuvuuteen |
7.4 | Uusi | Fyysisen turvallisuuden valvonta |
8.9 | Uusi | Kokoonpanonhallinta |
8.10 | Uusi | Tietojen poistaminen |
8.11 | Uusi | Tietojen peittäminen |
8.12 | Uusi | Tietovuotojen esto |
8.16 | Uusi | Toimien seuranta |
8.23 | Uusi | Web-suodatus |
8.28 | Uusi | Turvallinen koodaus |
ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
---|---|---|
6.1 | 07.1.1 | Seulonta |
6.2 | 07.1.2 | Työsuhteen ehdot |
6.3 | 07.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
6.4 | 07.2.3 | Kurinpitoprosessi |
6.5 | 07.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
6.6 | 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
6.7 | 06.2.2 | Etätyö |
6.8 | 16.1.2, 16.1.3 | Tietoturvatapahtumaraportointi |
ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
---|---|---|
7.1 | 11.1.1 | Fyysisen turvallisuuden rajat |
7.2 | 11.1.2, 11.1.6 | Fyysinen sisääntulo |
7.3 | 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
7.4 | Uusi | Fyysisen turvallisuuden valvonta |
7.5 | 11.1.4 | Suojautuminen fyysisiltä ja ympäristöuhkilta |
7.6 | 11.1.5 | Työskentely turvallisilla alueilla |
7.7 | 11.2.9 | Selkeä pöytä ja selkeä näyttö |
7.8 | 11.2.1 | Laitteiden sijoitus ja suojaus |
7.9 | 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Tallennusvälineet |
7.11 | 11.2.2 | Apuohjelmia tukevat |
7.12 | 11.2.3 | Kaapeloinnin turvallisuus |
7.13 | 11.2.4 | Laitehuolto |
7.14 | 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |