ISO 27002:2022, ohjaus 8.15, kirjaus

ISO 27002:2022 – Ohjaus 8.15 – Kirjaaminen

ISO 27002:2022 Control 8.15 – Kirjaaminen korostaa kirjaamisen tärkeyttä turvallisuuden valvonnassa, tapausten tutkinnassa ja vaatimustenmukaisuuden kannalta. Siinä hahmotellaan tärkeimmät lokivaatimukset, lokien suojauksen parhaat käytännöt ja IT-tiimien rooli lokin eheyden ja analyysin ylläpitämisessä.

Valvonnan tarkoitus 8.15

Lokit – joko sovelluslokien, tapahtumalokien tai yleisten järjestelmätietojen muodossa – ovat keskeinen osa ICT-tapahtumien ja työntekijöiden toimien ylhäältä alas -näkymän saamista. Lokien avulla organisaatiot voivat luoda tapahtumien aikajanan ja tarkastella sekä loogisia että fyysisiä malleja koko verkossaan.

Selkeiden ja helposti saatavien lokitietojen tuottaminen on tärkeä osa organisaation yleistä ICT-strategiaa, ja se liittyy lukuisiin ISO 27002:2002 -standardiin sisältyviin tietoturvatoimiin.

Lokien pitäisi:

Tallenna tapahtumia.
Kerää todisteita.
Suojaa omaa koskemattomuuttaan.
Suojaa lokitiedot luvattomalta käytöltä.
Tunnista toimet ja tapahtumat, jotka voivat johtaa tieto-/turvaloukkaukseen.
Toimia välineenä sisäisten ja ulkoisten tutkimusten tukena.

Attribuuttien ohjaustaulukko 8.15

Ohjaus 8.15 on a etsivä hallitse sitä muuttaa riskiä ottamalla käyttöön menetelmän, joka täyttää edellä mainitut tavoitteet.

Ohjaus	Tietoturvaominaisuudet	Kyberturvallisuuden käsitteet	Toiminnalliset valmiudet	Turvallisuus Domains
#Etsivä	#Luottamuksellisuus	#Havaita	#Tietoturvatapahtumanhallinta	#Suojaus
	#Integrity			#Puolustus
	#Saatavuus

Määräysvallan omistus 8.15

Ohjaus 8.15 käsittelee ICT-toimintoja, jotka suoritetaan järjestelmänvalvojan käyttöoikeuksilla ja kuuluvat verkonhallinnan ja ylläpidon sateenvarjon alle. Sellaisenaan Control 8.15:n omistusoikeus kuuluu IT-päällikölle tai vastaavalle organisaatiolle.

ISMS.online antaa sinulle 81 %:n etumatkan heti sisäänkirjautumisestasi lähtien.

ISO 27001 helposti

Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään. Sinun tarvitsee vain täyttää tyhjät kohdat.

Aloita

Ohjeet – Tapahtumalokin tiedot

"Tapahtuma" tarkoittaa mitä tahansa loogisen tai fyysisen läsnäolon suorittamaa toimintaa tietokonejärjestelmässä – esimerkiksi tietopyyntö, etäkirjautuminen, automaattinen järjestelmän sammutus, tiedostojen poistaminen.

Ohjaus 8.15:n mukaan jokaisen yksittäisen tapahtumalokin tulee sisältää 5 pääkomponenttia, jotta se voisi täyttää toiminnallisen tarkoituksensa:

Käyttäjätunnus – Kuka tai mikä tili suoritti toiminnot.
Järjestelmän toiminta – mitä tapahtui
Aikaleimat – mainitun tapahtuman päivämäärä ja aika
Laite- ja järjestelmätunnisteet ja sijainti – Millä omaisuudella tapahtuma tapahtui
Verkkoosoitteet ja protokollat – IP-tiedot

Ohjaus – Tapahtumatyypit

Käytännön syistä ei ehkä ole mahdollista kirjata jokaista yksittäistä tapahtumaa, joka tapahtuu tietyssä verkossa.

Tätä silmällä pitäen Control 8.15 tunnistaa alla olevat 10 tapahtumaa erityisen tärkeiksi kirjaamistarkoituksiin, kun otetaan huomioon niiden kyky muuttaa riskejä ja niiden rooli riittävän tietoturvatason ylläpitämisessä:

Järjestelmän käyttöyritykset.
Tietojen ja/tai resurssien käyttöyritykset.
Järjestelmän/käyttöjärjestelmän kokoonpanon muutokset.
Korkeiden oikeuksien käyttö.
Apuohjelmien tai huoltopalvelujen käyttö (katso Ohjaus 8.18).
Tiedostojen käyttöpyynnöt ja mitä tapahtui (poisto, siirto jne.).
Kulunvalvontahälytykset ja kriittiset keskeytykset.
Käyttöliittymän ja takapään turvajärjestelmien, kuten asiakaspuolen virustorjuntaohjelmistojen tai palomuurisuojausjärjestelmien, aktivointi ja/tai deaktivointi.
Identiteettihallinnon työ (sekä fyysinen että looginen).
Tietyt toiminnot tai järjestelmän/tietojen muutokset, jotka suoritetaan osana sovelluksen istuntoa.

Kuten Ohjaus 8.17:ssä selitettiin, on erittäin tärkeää, että kaikki lokit on linkitetty samaan synkronoituun aikalähteeseen (tai kurssisarjaan), ja kolmannen osapuolen sovelluslokien tapauksessa kaikki aikaerot huomioidaan ja kirjataan.

Ohjeet – Tukkisuojaus

Lokit ovat pienin yhteinen nimittäjä käyttäjien, järjestelmän ja sovellusten käyttäytymisen määrittämiseksi tietyssä verkossa, varsinkin kun niitä tutkitaan.

Siksi on erittäin tärkeää, että organisaatiot varmistavat, etteivät käyttäjät – käyttöoikeustasoistaan riippumatta – säilytä mahdollisuutta poistaa tai muuttaa omia tapahtumalokejaan.

Yksittäisten lokien tulee olla täydellisiä, tarkkoja ja suojattuja luvattomilta muutoksilta tai toimintahäiriöiltä, mukaan lukien:

Viestityypin muutokset.
Poistetut tai muokatut lokitiedostot.
Epäonnistuminen lokitiedoston luomisessa tai tarpeeton lokitiedostojen päällekirjoitus, joka johtuu vallitsevista tallennusvälineissä tai verkon suorituskyvyssä olevista ongelmista.

ISO suosittelee, että tietoturvan parantamiseksi lokit suojataan seuraavilla tavoilla:

Kryptografinen hajautus.
Liitä vain tallenne.
Vain luku -tallennus.
Julkisten läpinäkyvyystiedostojen käyttö.

Organisaatiot saattavat joutua lähettämään lokeja toimittajille tapausten ja vikojen ratkaisemiseksi. Jos tämä tarve ilmenee, lokien tunnistaminen tulee poistaa (katso Ohjaus 8.11) ja seuraavat tiedot tulee peittää:

käyttäjätunnukset
IP-osoitteita
Isäntänimet

Tämän lisäksi tulee ryhtyä toimenpiteisiin henkilökohtaisten tunnistetietojen (PII) turvaamiseksi organisaation omien tietosuojakäytäntöjen ja voimassa olevan lainsäädännön mukaisesti (ks. Valvonta 5.34).

ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa esittelysi

Ohjeet – lokianalyysi

Analysoitaessa lokeja tietoturvatapahtumien tunnistamista, ratkaisemista ja analysointia varten – lopullisena tavoitteena tulevien tapahtumien estäminen – on otettava huomioon seuraavat tekijät:

Analyysin tekevän henkilöstön asiantuntemus.
Kuinka lokit analysoidaan yrityksen menettelytavan mukaisesti.
Jokaisen analysointia vaativan tapahtuman tyyppi, luokka ja attribuutit.
Kaikki poikkeukset, joita sovelletaan tietoturvaohjelmistolaitteistoista ja -alustoista peräisin olevien verkkosääntöjen kautta.
Verkkoliikenteen oletusvirta verrattuna selittämättömiin kaavoihin.
Trendit, jotka tunnistetaan erikoistuneen data-analyysin tuloksena.
Uhkatietoisuus.

Ohjeet – lokin seuranta

Lokianalyysiä ei pidä tehdä eristyksissä, vaan se tulee tehdä yhdessä tiukkojen seurantatoimien kanssa, jotka osoittavat keskeiset kuviot ja poikkeavaa käyttäytymistä.

Kaksitahoisen lähestymistavan saavuttamiseksi organisaatioiden tulee:

Tarkista kaikki yritykset käyttää suojattuja ja/tai liiketoiminnan kannalta kriittisiä resursseja, mukaan lukien verkkotunnuksen palvelimia, verkkoportaaleja ja tiedostojen jakoalustoja.
Tarkkaile DNS-lokeja löytääksesi haitallisiin lähteisiin ja haitallisiin palvelintoimintoihin liittyvän lähtevän liikenteen.
Kerää palveluntarjoajien tai sisäisten alustojen tiedonkäyttöraportteja haitallisen toiminnan tunnistamiseksi.
Kerää lokit fyysisistä tukiasemista, kuten avainkortti-/puhaltimen lokit ja huoneen pääsytiedot.

Lisätiedot

Organisaatioiden tulisi harkita erikoistuneiden apuohjelmien, kuten SIEM-työkalun, käyttöä, jotka auttavat niitä etsimään järjestelmälokien tuottamaa valtavaa määrää tietoa, jotta he säästävät aikaa ja resursseja tutkiessaan tietoturvahäiriöitä.

Jos organisaatio käyttää pilvipohjaista alustaa jonkin osan toiminnastaan suorittamiseen, lokinhallintaa tulee pitää palveluntarjoajan ja organisaation jaettuna vastuuna.

Ohjaimet tukevat

5.34
8.11
8.17
8.18

Ota käyttöön, laajenna ja skaalaa vaatimustenmukaisuus ilman sotkua. Io antaa sinulle joustavuutta ja luottamusta kasvaa turvallisesti.

Varaa esittelysi

Muutokset ja erot standardista ISO 27002:2013

ISO 27002:2002-8.15 korvaa kolme ISO 27002:2003 -säädintä, jotka käsittelevät lokitiedostojen tallennusta, hallintaa ja analysointia:

12.4.1 – Tapahtumaloki
12.4.2 – Lokitietojen suojaus
12.4.3 – Järjestelmänvalvojan ja operaattorin lokit

27002:2002-8.15 vahvistaa suurelta osin kaikki edellä olevien kolmen ohjaimen ohjekohdat yhdeksi selkeäksi kirjaamista käsitteleväksi protokollaksi muutamilla merkittävillä laajennuksilla, mukaan lukien (mutta ei rajoittuen):

Laajennettu ohjesarja, joka käsittelee lokitietojen suojaa.
Lisäohjeita eri tapahtumatyypeistä, joita tulisi harkita tarkasteltavina.
Ohjeita siitä, kuinka lokeja tulisi sekä seurata että analysoida yhteisesti tietoturvan parantamiseksi.
Neuvoja pilvipohjaisten alustojen tuottamien lokien hallintaan.

Uudet ISO 27002 -säätimet

Uudet hallintalaitteet

ISO/IEC 27002:2022 Control Identifier	ISO/IEC 27002:2013 Control Identifier	Ohjausnimi
5.7	UUSI	Uhan älykkyys
5.23	UUSI	Tietoturva pilvipalvelujen käyttöön
5.30	UUSI	ICT-valmius liiketoiminnan jatkuvuuteen
7.4	UUSI	Fyysisen turvallisuuden valvonta
8.9	UUSI	Kokoonpanonhallinta
8.10	UUSI	Tietojen poistaminen
8.11	UUSI	Tietojen peittäminen
8.12	UUSI	Tietovuotojen esto
8.16	UUSI	Toimien seuranta
8.23	UUSI	Web-suodatus
8.28	UUSI	Turvallinen koodaus

Organisaation valvonta

ISO/IEC 27002:2022 Control Identifier	ISO/IEC 27002:2013 Control Identifier	Ohjausnimi
5.1	05.1.1, 05.1.2	Tietoturvakäytännöt
5.2	06.1.1	Tietoturvaroolit ja -vastuut
5.3	06.1.2	Tehtävien eriyttäminen
5.4	07.2.1	Johdon vastuut
5.5	06.1.3	Yhteys viranomaisiin
5.6	06.1.4	Ota yhteyttä erityisiin eturyhmiin
5.7	UUSI	Uhan älykkyys
5.8	06.1.5, 14.1.1	Tietoturva projektinhallinnassa
5.9	08.1.1, 08.1.2	Tietojen ja muiden niihin liittyvien varojen luettelo
5.10	08.1.3, 08.2.3	Tietojen ja muiden niihin liittyvien resurssien hyväksyttävä käyttö
5.11	08.1.4	Omaisuuden palautus
5.12	08.2.1	Tietojen luokitus
5.13	08.2.2	Tietojen merkitseminen
5.14	13.2.1, 13.2.2, 13.2.3	Tietojen siirto
5.15	09.1.1, 09.1.2	Kulunvalvonta
5.16	09.2.1	Identiteettihallinta
5.17	09.2.4, 09.3.1, 09.4.3	Todennustiedot
5.18	09.2.2, 09.2.5, 09.2.6	Käyttöoikeudet
5.19	15.1.1	Tietoturva toimittajasuhteissa
5.20	15.1.2	Tietoturvan huomioiminen toimittajasopimuksissa
5.21	15.1.3	Tietoturvan hallinta ICT-toimitusketjussa
5.22	15.2.1, 15.2.2	Toimittajapalvelujen seuranta, arviointi ja muutosten hallinta
5.23	UUSI	Tietoturva pilvipalvelujen käyttöön
5.24	16.1.1	Tietoturvaloukkausten hallinnan suunnittelu ja valmistelu
5.25	16.1.4	Tietoturvatapahtumien arviointi ja päätös
5.26	16.1.5	Tietoturvahäiriöihin reagointi
5.27	16.1.6	Tietoturvahäiriöistä oppiminen
5.28	16.1.7	Todisteiden kerääminen
5.29	17.1.1, 17.1.2, 17.1.3	Tietoturva häiriön aikana
5.30	5.30	ICT-valmius liiketoiminnan jatkuvuuteen
5.31	18.1.1, 18.1.5	Lakisääteiset, lakisääteiset, säädökset ja sopimusvaatimukset
5.32	18.1.2	Immateriaalioikeudet
5.33	18.1.3	Tietueiden suojaus
5.34	18.1.4	Yksityisyys ja henkilötietojen suoja
5.35	18.2.1	Riippumaton tietoturvatarkastus
5.36	18.2.2, 18.2.3	Tietoturvakäytäntöjen, sääntöjen ja standardien noudattaminen
5.37	12.1.1	Dokumentoidut toimintaohjeet

Ihmisten ohjaukset

ISO/IEC 27002:2022 Control Identifier	ISO/IEC 27002:2013 Control Identifier	Ohjausnimi
6.1	07.1.1	Seulonta
6.2	07.1.2	Työsuhteen ehdot
6.3	07.2.2	Tietoturvatietoisuus, koulutus ja koulutus
6.4	07.2.3	Kurinpitoprosessi
6.5	07.3.1	Vastuut työsuhteen päättymisen tai muutoksen jälkeen
6.6	13.2.4	Luottamuksellisuus- tai salassapitosopimukset
6.7	06.2.2	Etätyö
6.8	16.1.2, 16.1.3	Tietoturvatapahtumaraportointi

Fyysiset säätimet

ISO/IEC 27002:2022 Control Identifier	ISO/IEC 27002:2013 Control Identifier	Ohjausnimi
7.1	11.1.1	Fyysisen turvallisuuden rajat
7.2	11.1.2, 11.1.6	Fyysinen sisääntulo
7.3	11.1.3	Toimistojen, huoneiden ja tilojen turvaaminen
7.4	UUSI	Fyysisen turvallisuuden valvonta
7.5	11.1.4	Suojautuminen fyysisiltä ja ympäristöuhkilta
7.6	11.1.5	Työskentely turvallisilla alueilla
7.7	11.2.9	Selkeä pöytä ja selkeä näyttö
7.8	11.2.1	Laitteiden sijoitus ja suojaus
7.9	11.2.6	Omaisuuden turvallisuus muualla kuin toimitiloissa
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Tallennusvälineet
7.11	11.2.2	Apuohjelmia tukevat
7.12	11.2.3	Kaapeloinnin turvallisuus
7.13	11.2.4	Laitehuolto
7.14	11.2.7	Laitteiden turvallinen hävittäminen tai uudelleenkäyttö

Tekniset säädöt

ISO/IEC 27002:2022 Control Identifier	ISO/IEC 27002:2013 Control Identifier	Ohjausnimi
8.1	06.2.1, 11.2.8	Käyttäjän päätelaitteet
8.2	09.2.3	Etuoikeutetut käyttöoikeudet
8.3	09.4.1	Tiedon pääsyn rajoitus
8.4	09.4.5	Pääsy lähdekoodiin
8.5	09.4.2	Turvallinen todennus
8.6	12.1.3	Kapasiteetin hallinta
8.7	12.2.1	Suojaus haittaohjelmia vastaan
8.8	12.6.1, 18.2.3	Teknisten haavoittuvuuksien hallinta
8.9	UUSI	Kokoonpanonhallinta
8.10	UUSI	Tietojen poistaminen
8.11	UUSI	Tietojen peittäminen
8.12	UUSI	Tietovuotojen esto
8.13	12.3.1	Tietojen varmuuskopiointi
8.14	17.2.1	Tietojenkäsittelylaitteiden redundanssi
8.15	12.4.1, 12.4.2, 12.4.3	Hakkuu
8.16	UUSI	Toimien seuranta
8.17	12.4.4	Kellon synkronointi
8.18	09.4.4	Etuoikeutettujen apuohjelmien käyttö
8.19	12.5.1, 12.6.2	Ohjelmistojen asennus käyttöjärjestelmiin
8.20	13.1.1	Verkkojen turvallisuus
8.21	13.1.2	Verkkopalvelujen turvallisuus
8.22	13.1.3	Verkkojen erottelu
8.23	UUSI	Web-suodatus
8.24	10.1.1, 10.1.2	Salaustekniikan käyttö
8.25	14.2.1	Turvallinen kehityksen elinkaari
8.26	14.1.2, 14.1.3	Sovelluksen suojausvaatimukset
8.27	14.2.5	Turvallinen järjestelmäarkkitehtuuri ja suunnitteluperiaatteet
8.28	UUSI	Turvallinen koodaus
8.29	14.2.8, 14.2.9	Tietoturvatestausta kehitetään ja hyväksytään
8.30	14.2.7	Ulkoistettu kehitys
8.31	12.1.4, 14.2.6	Kehitys-, testi- ja tuotantoympäristöjen erottaminen toisistaan
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Muutoksen hallinta
8.33	14.3.1	Testitiedot
8.34	12.7.1	Tietojärjestelmien suojaus auditointitestauksen aikana

Miten ISMS.online auttaa

ISMS.Online-alusta auttaa kaikissa ISO 27002:n käyttöönoton asioissa riskinarviointitoimintojen hallinnasta standardin vaatimusten noudattamista koskevien käytäntöjen, menettelyjen ja ohjeiden kehittämiseen.

Automaattisen työkalusarjansa ansiosta ISMS.Online helpottaa ISO 27002 -standardin noudattamisen osoittamista organisaatioille.

Ota yhteyttä jo tänään aikataulun esittely.

Olemme alamme johtaja