Valvonnan tarkoitus 8.15
Lokit – joko sovelluslokien, tapahtumalokien tai yleisten järjestelmätietojen muodossa – ovat keskeinen osa ICT-tapahtumien ja työntekijöiden toimien ylhäältä alas -näkymän saamista. Lokien avulla organisaatiot voivat luoda tapahtumien aikajanan ja tarkastella sekä loogisia että fyysisiä malleja koko verkossaan.
Selkeiden ja helposti saatavien lokitietojen tuottaminen on tärkeä osa organisaation yleistä ICT-strategiaa, ja se liittyy lukuisiin ISO 27002:2002 -standardiin sisältyviin tietoturvatoimiin.
Lokien pitäisi:
- Tallenna tapahtumia.
- Kerää todisteita.
- Suojaa omaa koskemattomuuttaan.
- Suojaa lokitiedot luvattomalta käytöltä.
- Tunnista toimet ja tapahtumat, jotka voivat johtaa tieto-/turvaloukkaukseen.
- Toimia välineenä sisäisten ja ulkoisten tutkimusten tukena.
Attribuuttien ohjaustaulukko 8.15
Ohjaus 8.15 on a etsivä hallitse sitä muuttaa riskiä ottamalla käyttöön menetelmän, joka täyttää edellä mainitut tavoitteet.
| Ohjaus | Tietoturvaominaisuudet | Kyberturvallisuuden käsitteet | Toiminnalliset valmiudet | Turvallisuus Domains |
|---|---|---|---|---|
| #Etsivä | #Luottamuksellisuus | #Havaita | #Tietoturvatapahtumanhallinta | #Suojaus |
| #Integrity | #Puolustus | |||
| #Saatavuus |
Määräysvallan omistus 8.15
Ohjaus 8.15 käsittelee ICT-toimintoja, jotka suoritetaan järjestelmänvalvojan käyttöoikeuksilla ja kuuluvat verkonhallinnan ja ylläpidon sateenvarjon alle. Sellaisenaan Control 8.15:n omistusoikeus kuuluu IT-päällikölle tai vastaavalle organisaatiolle.
Hanki 81 % etumatka
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
Ohjeet – Tapahtumalokin tiedot
"Tapahtuma" tarkoittaa mitä tahansa loogisen tai fyysisen läsnäolon suorittamaa toimintaa tietokonejärjestelmässä – esimerkiksi tietopyyntö, etäkirjautuminen, automaattinen järjestelmän sammutus, tiedostojen poistaminen.
Ohjaus 8.15:n mukaan jokaisen yksittäisen tapahtumalokin tulee sisältää 5 pääkomponenttia, jotta se voisi täyttää toiminnallisen tarkoituksensa:
- Käyttäjätunnus – Kuka tai mikä tili suoritti toiminnot.
- Järjestelmän toiminta – mitä tapahtui
- Aikaleimat – mainitun tapahtuman päivämäärä ja aika
- Laite- ja järjestelmätunnisteet ja sijainti – Millä omaisuudella tapahtuma tapahtui
- Verkkoosoitteet ja protokollat – IP-tiedot
Ohjaus – Tapahtumatyypit
Käytännön syistä ei ehkä ole mahdollista kirjata jokaista yksittäistä tapahtumaa, joka tapahtuu tietyssä verkossa.
Tätä silmällä pitäen Control 8.15 tunnistaa alla olevat 10 tapahtumaa erityisen tärkeiksi kirjaamistarkoituksiin, kun otetaan huomioon niiden kyky muuttaa riskejä ja niiden rooli riittävän tietoturvatason ylläpitämisessä:
- Järjestelmän käyttöyritykset.
- Tietojen ja/tai resurssien käyttöyritykset.
- Järjestelmän/käyttöjärjestelmän kokoonpanon muutokset.
- Korkeiden oikeuksien käyttö.
- Apuohjelmien tai huoltopalvelujen käyttö (katso Ohjaus 8.18).
- Tiedostojen käyttöpyynnöt ja mitä tapahtui (poisto, siirto jne.).
- Kulunvalvontahälytykset ja kriittiset keskeytykset.
- Käyttöliittymän ja takapään turvajärjestelmien, kuten asiakaspuolen virustorjuntaohjelmistojen tai palomuurisuojausjärjestelmien, aktivointi ja/tai deaktivointi.
- Identiteettihallinnon työ (sekä fyysinen että looginen).
- Tietyt toiminnot tai järjestelmän/tietojen muutokset, jotka suoritetaan osana sovelluksen istuntoa.
Kuten Ohjaus 8.17:ssä selitettiin, on erittäin tärkeää, että kaikki lokit on linkitetty samaan synkronoituun aikalähteeseen (tai kurssisarjaan), ja kolmannen osapuolen sovelluslokien tapauksessa kaikki aikaerot huomioidaan ja kirjataan.
Ohjeet – Tukkisuojaus
Lokit ovat pienin yhteinen nimittäjä käyttäjien, järjestelmän ja sovellusten käyttäytymisen määrittämiseksi tietyssä verkossa, varsinkin kun niitä tutkitaan.
Siksi on erittäin tärkeää, että organisaatiot varmistavat, etteivät käyttäjät – käyttöoikeustasoistaan riippumatta – säilytä mahdollisuutta poistaa tai muuttaa omia tapahtumalokejaan.
Yksittäisten lokien tulee olla täydellisiä, tarkkoja ja suojattuja luvattomilta muutoksilta tai toimintahäiriöiltä, mukaan lukien:
- Viestityypin muutokset.
- Poistetut tai muokatut lokitiedostot.
- Epäonnistuminen lokitiedoston luomisessa tai tarpeeton lokitiedostojen päällekirjoitus, joka johtuu vallitsevista tallennusvälineissä tai verkon suorituskyvyssä olevista ongelmista.
ISO suosittelee, että tietoturvan parantamiseksi lokit suojataan seuraavilla tavoilla:
- Kryptografinen hajautus.
- Liitä vain tallenne.
- Vain luku -tallennus.
- Julkisten läpinäkyvyystiedostojen käyttö.
Organisaatiot saattavat joutua lähettämään lokeja toimittajille tapausten ja vikojen ratkaisemiseksi. Jos tämä tarve ilmenee, lokien tunnistaminen tulee poistaa (katso Ohjaus 8.11) ja seuraavat tiedot tulee peittää:
- käyttäjätunnukset
- IP-osoitteita
- Isäntänimet
Tämän lisäksi tulee ryhtyä toimenpiteisiin henkilökohtaisten tunnistetietojen (PII) turvaamiseksi organisaation omien tietosuojakäytäntöjen ja voimassa olevan lainsäädännön mukaisesti (ks. Valvonta 5.34).
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia
ja määräykset, mikä antaa sinulle yhden
alusta kaikkiin vaatimustenmukaisuustarpeisiisi.
Ohjeet – lokianalyysi
Analysoitaessa lokeja tietoturvatapahtumien tunnistamista, ratkaisemista ja analysointia varten – lopullisena tavoitteena tulevien tapahtumien estäminen – on otettava huomioon seuraavat tekijät:
- Analyysin tekevän henkilöstön asiantuntemus.
- Kuinka lokit analysoidaan yrityksen menettelytavan mukaisesti.
- Jokaisen analysointia vaativan tapahtuman tyyppi, luokka ja attribuutit.
- Kaikki poikkeukset, joita sovelletaan tietoturvaohjelmistolaitteistoista ja -alustoista peräisin olevien verkkosääntöjen kautta.
- Verkkoliikenteen oletusvirta verrattuna selittämättömiin kaavoihin.
- Trendit, jotka tunnistetaan erikoistuneen data-analyysin tuloksena.
- Uhkatietoisuus.
Ohjeet – lokin seuranta
Lokianalyysiä ei pidä tehdä eristyksissä, vaan se tulee tehdä yhdessä tiukkojen seurantatoimien kanssa, jotka osoittavat keskeiset kuviot ja poikkeavaa käyttäytymistä.
Kaksitahoisen lähestymistavan saavuttamiseksi organisaatioiden tulee:
- Tarkista kaikki yritykset käyttää suojattuja ja/tai liiketoiminnan kannalta kriittisiä resursseja, mukaan lukien verkkotunnuksen palvelimia, verkkoportaaleja ja tiedostojen jakoalustoja.
- Tarkkaile DNS-lokeja löytääksesi haitallisiin lähteisiin ja haitallisiin palvelintoimintoihin liittyvän lähtevän liikenteen.
- Kerää palveluntarjoajien tai sisäisten alustojen tiedonkäyttöraportteja haitallisen toiminnan tunnistamiseksi.
- Kerää lokit fyysisistä tukiasemista, kuten avainkortti-/puhaltimen lokit ja huoneen pääsytiedot.
Lisätiedot
Organisaatioiden tulisi harkita erikoistuneiden apuohjelmien, kuten SIEM-työkalun, käyttöä, jotka auttavat niitä etsimään järjestelmälokien tuottamaa valtavaa määrää tietoa, jotta he säästävät aikaa ja resursseja tutkiessaan tietoturvahäiriöitä.
Jos organisaatio käyttää pilvipohjaista alustaa jonkin osan toiminnastaan suorittamiseen, lokinhallintaa tulee pitää palveluntarjoajan ja organisaation jaettuna vastuuna.
Ohjaimet tukevat
- 5.34
- 8.11
- 8.17
- 8.18
Vaatimustenmukaisuuden ei tarvitse olla monimutkaista.
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
Muutokset ja erot standardista ISO 27002:2013
ISO 27002:2002-8.15 korvaa kolme ISO 27002:2003 -säädintä, jotka käsittelevät lokitiedostojen tallennusta, hallintaa ja analysointia:
- 12.4.1 – Tapahtumaloki
- 12.4.2 – Lokitietojen suojaus
- 12.4.3 – Järjestelmänvalvojan ja operaattorin lokit
27002:2002-8.15 vahvistaa suurelta osin kaikki edellä olevien kolmen ohjaimen ohjekohdat yhdeksi selkeäksi kirjaamista käsitteleväksi protokollaksi muutamilla merkittävillä laajennuksilla, mukaan lukien (mutta ei rajoittuen):
- Laajennettu ohjesarja, joka käsittelee lokitietojen suojaa.
- Lisäohjeita eri tapahtumatyypeistä, joita tulisi harkita tarkasteltavina.
- Ohjeita siitä, kuinka lokeja tulisi sekä seurata että analysoida yhteisesti tietoturvan parantamiseksi.
- Neuvoja pilvipohjaisten alustojen tuottamien lokien hallintaan.
Uudet ISO 27002 -säätimet
Uudet hallintalaitteet
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 5.7 | Uusi | Uhan älykkyys |
| 5.23 | Uusi | Tietoturva pilvipalvelujen käyttöön |
| 5.30 | Uusi | ICT-valmius liiketoiminnan jatkuvuuteen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 8.9 | Uusi | Kokoonpanonhallinta |
| 8.10 | Uusi | Tietojen poistaminen |
| 8.11 | Uusi | Tietojen peittäminen |
| 8.12 | Uusi | Tietovuotojen esto |
| 8.16 | Uusi | Toimien seuranta |
| 8.23 | Uusi | Web-suodatus |
| 8.28 | Uusi | Turvallinen koodaus |
Organisaation valvonta
Ihmisten ohjaukset
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 6.1 | 07.1.1 | Seulonta |
| 6.2 | 07.1.2 | Työsuhteen ehdot |
| 6.3 | 07.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
| 6.4 | 07.2.3 | Kurinpitoprosessi |
| 6.5 | 07.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
| 6.6 | 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
| 6.7 | 06.2.2 | Etätyö |
| 6.8 | 16.1.2, 16.1.3 | Tietoturvatapahtumaraportointi |
Fyysiset säätimet
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 7.1 | 11.1.1 | Fyysisen turvallisuuden rajat |
| 7.2 | 11.1.2, 11.1.6 | Fyysinen sisääntulo |
| 7.3 | 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 7.5 | 11.1.4 | Suojautuminen fyysisiltä ja ympäristöuhkilta |
| 7.6 | 11.1.5 | Työskentely turvallisilla alueilla |
| 7.7 | 11.2.9 | Selkeä pöytä ja selkeä näyttö |
| 7.8 | 11.2.1 | Laitteiden sijoitus ja suojaus |
| 7.9 | 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Tallennusvälineet |
| 7.11 | 11.2.2 | Apuohjelmia tukevat |
| 7.12 | 11.2.3 | Kaapeloinnin turvallisuus |
| 7.13 | 11.2.4 | Laitehuolto |
| 7.14 | 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |
Tekniset säädöt
Miten ISMS.online auttaa
ISMS.Online-alusta auttaa kaikissa ISO 27002:n käyttöönoton asioissa riskinarviointitoimintojen hallinnasta standardin vaatimusten noudattamista koskevien käytäntöjen, menettelyjen ja ohjeiden kehittämiseen.
Automaattisen työkalusarjansa ansiosta ISMS.Online helpottaa ISO 27002 -standardin noudattamisen osoittamista organisaatioille.
Ota yhteyttä jo tänään aikataulun esittely.
Hyppää aiheeseen
