ISO 27701 -lauseke 6.9.4: Tietosuojan vahvistaminen kirjaamisen ja valvonnan avulla
Kirjaaminen ja seuranta ovat olennainen osa organisaation yksityisyyden suojatoimintoa, jonka avulla henkilökunta voi havaita ja analysoida haitallista toimintaa verkossa ja kerätä dataa, joka tukee tulevia tietoturvahankkeita.
Mitä ISO 27701:n lauseke 6.9.4 kattaa
ISO 27701 6.9.4 sisältää kolme alalausetta, jotka ovat olemassa tietoturvaohjeet ISO 27002:sta yksityisyyden suojan yhteydessä:
- ISO 27701 – 6.9.4.1 Tapahtumaloki (viitteet ISO 27002 ohjaus 8.15)
- ISO 27701 – 6.9.4.2 Lokitietojen suojaus (viitteet ISO 27002 ohjaus 8.15)
- ISO 27701 – 6.9.4.4 Kellon synkronointi (viitteet ISO 27002 ohjaus 8.17)
Kohdat 6.9.4.1 ja 6.9.4.2 sisältävät molemmat kattavat lisäohjeet kirjauksen ja seurannan hallintaan henkilökohtaisiin tunnistetietoihin liittyvien toimintojen ohella. Useat lausekkeet sisältävät myös tietoja, joita sovelletaan Yhdistyneen kuningaskunnan GDPR-lainsäädännön puitteissa. Alla on asiaankuuluvat artikkelit.
Huomaa, että GDPR-viitteet ovat vain ohjeellisia. Organisaatioiden tulee tutkia lainsäädäntöä ja tehdä omat arvionsa siitä, mitä lain osia niihin sovelletaan.
Vapauta itsesi laskentataulukoiden vuorten vallasta
Ota käyttöön, laajenna ja skaalaa vaatimustenmukaisuus ilman sotkua. Io antaa sinulle joustavuutta ja luottamusta kasvaa turvallisesti.
ISO 27701, lauseke 6.9.4.1 – Tapahtumaloki
Viitteet ISO 27002 Control 8.15
ISO määrittelee "tapahtuman" mitä tahansa toimintoa, jonka digitaalinen tai fyysinen läsnäolo/kokonaisuus suorittaa tietokonejärjestelmässä.
Tapahtumalokien tulee sisältää:
- Käyttäjätunnus – Kuka tai mikä tili suoritti toiminnot.
- Tietue järjestelmän toiminnasta.
- Aikaleimat.
- Laitteen ja järjestelmän tunnisteet sekä tapahtuman sijainti.
- IP-osoitetiedot.
Tapahtumatyypit
ISO tunnistaa 11 tapahtumaa/komponenttia, jotka vaativat kirjaamisen (ja jotka on linkitetty samaan aikalähteeseen – katso ISO 27002 -hallinta 8.17) henkilökohtaisten tunnistetietojen turvallisuuden ylläpitämiseksi ja organisaation yksityisyyden suojan parantamiseksi:
- Järjestelmän käyttöyritykset.
- Tietojen käyttöyritykset.
- Resurssien käyttöyritykset.
- Käyttöjärjestelmän kokoonpanon muutokset.
- Korotetut etuoikeudet.
- Apuohjelmat ja huoltopalvelut (katso ISO 27002 ohjaus 8.18).
- Tiedostojen käyttöoikeuspyynnöt ja mitä tapahtui (poisto, siirto jne.).
- Kriittiset keskeytykset.
- Turvallisuus-/haittaohjelmien torjuntajärjestelmiä ympäröivä toiminta.
- Identiteetin hallintatyöt (esim. käyttäjien lisäykset ja poistot).
- Valitut sovellusistunnon toiminnot.
Tukkisuojaus
Lokit tulee suojata luvattomilta muutoksilta tai toimintahäiriöiltä, mukaan lukien:
- Viestityypin muutokset.
- Poistaminen tai muokkaaminen.
- Ylikirjoitus tallennusongelmien vuoksi.
Organisaatioiden tulee käyttää seuraavia tekniikoita parantaakseen lokipohjaista turvallisuutta:
- Kryptografinen hajautus.
- Liitä vain tallenne.
- Vain luku -tallennus.
- Julkisten läpinäkyvyystiedostojen käyttö.
Kun tulee tarve toimittaa lokeja ulkopuolisille organisaatioille, tulee ryhdyttävä tiukoihin toimenpiteisiin henkilökohtaisten tunnistetietojen ja yksityisyyteen liittyvien tietojen turvaamiseksi hyväksyttyjen tietosuojastandardien mukaisesti (katso ISO 27002 -ohjaus 5.34 ja lisäohjeet alla).
Lokianalyysi
Lokeja tulee analysoida aika ajoin, jotta voidaan parantaa yksityisyyden suojaa kokonaisuutena ja sekä ratkaista että estää tietoturvaloukkaukset.
Lokianalyysiä tehdessään organisaatioiden tulee ottaa huomioon:
- Analyysin tekevän henkilöstön asiantuntemus.
- - tyyppi, luokka ja ominaisuus jokaisesta tapahtumatyypistä.
- Kaikki poikkeukset, joita sovelletaan tietoturvaohjelmistolaitteistoista ja -alustoista peräisin olevien verkkosääntöjen kautta.
- Epänormaalia verkkoliikennettä.
- Erikoistunut tietojen analysointi.
- Käytettävissä oleva uhkatieto (joko sisäisesti tai luotettavalta kolmannelta osapuolelta).
Lokin seuranta
Lokien seuranta tarjoaa organisaatioille mahdollisuuden suojata henkilökohtaisia tunnistetietoja lähteellä ja edistää ennakoivaa lähestymistapaa yksityisyyden suojaamiseen.
Organisaatioiden tulee:
- Tarkista sisäiset ja ulkoiset yritykset päästä suojattuihin resursseihin.
- Analysoi DNS-lokeja (ja tiedonkäyttöraportteja) tunnistaaksesi liikenteen haitallisista lähteistä ja lähteistä.
- Kerää lokit fyysisistä tukipisteistä ja fyysisistä rajaturvalaitteista (sisääntulojärjestelmät jne.).
Muita henkilökohtaisia tunnistetietoja koskevia ohjeita
ISO edellyttää, että organisaatiot valvovat henkilökohtaisiin tunnistetietoihin liittyviä lokeja "jatkuva ja automaattinen valvonta- ja hälytysprosessi'. Tämä saattaa edellyttää erillistä menettelyä, joka valvoo pääsyä henkilökohtaisiin tunnistetietoihin.
Organisaatioiden on varmistettava, että lokit antavat selkeän selvityksen henkilökohtaisiin tietoihin pääsystä, mukaan lukien:
- Kuka pääsi tietoihin.
- Kun dataa haettiin.
- Kenen rehtorin henkilökohtaisia tunnistetietoja käytettiin.
- Kaikki tehdyt muutokset.
Organisaatioiden tulee päättääjos, milloin ja mitenPII-lokitiedot olisi asetettava asiakkaiden saataville siten, että kaikki kriteerit on asetettava vapaasti päämiehille itselleen, ja on huolehdittava siitä, että PII-päämiehillä on pääsy vain itseään koskeviin tietoihin.
Sovellettavat GDPR-artikkelit
- 5 artikla – 1 kohdan f alakohta
Asiaankuuluvat ISO 27002 -säätimet
- ISO 27002 5.34
- ISO 27002 8.11
- ISO 27002 8.17
- ISO 27002 8.18
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.
ISO 27701, lauseke 6.9.4.2 – Lokitietojen suojaus
Viitteet ISO 27002 Control 8.15
Katso ISO 27701 lauseke 6.9.4.1
Muita henkilökohtaisia tunnistetietoja koskevia ohjeita
Organisaatioiden tulee kiinnittää paljon huomiota sen varmistamiseen, että henkilökohtaisia tunnistetietoja sisältäviä lokeja valvotaan asianmukaisesti ja että ne hyötyvät suojatusta valvonnasta.
On otettava käyttöön automaattiset menettelyt, jotka joko poistavat lokit tai "poistavat niiden tunnistamisen" julkaistun säilytyskäytännön mukaisesti (katso ISO 27002 -ohjaus 7.4.7).
Sovellettavat GDPR-artikkelit
- 5 artikla – 1 kohdan f alakohta
ISO 27701, lauseke 6.9.4.3 – Järjestelmänvalvojan ja käyttäjän lokit
Viitteet ISO 27002 Control 8.15
Katso ISO 27701 lauseke 6.9.4.1
ISO 27701, kohta 6.9.4.4 – Kellon synkronointi
Viitteet ISO 27002 Control 8.17
ISO vaatii organisaatioita perustamaan a normaali viiteaika jota voidaan käyttää kaikissa yksityisyyden suojajärjestelmissä.
Organisaatioiden tulee:
- Harkitse heidän vaatimuksiaan kellon synkronoinnin kolmelle osa-alueelle: ajan esitys, luotettava synkronointi, tarkkuus.
- Vastaa heidän tarpeisiinsa laillisten, lakisääteisten, säännösten, sopimusten ja valvontavelvoitteidensa puitteissa.
- Käytä atomikellopalvelua yksittäisenä vertailupisteenä.
- Käytä kahta erillistä aikalähdettä redundanssin parantamiseen ja kestävyyden vahvistamiseen kriittisten tapahtumien aikana.
- Harkitse eri alustoilta ja palveluntarjoajilta peräisin olevien aikalähteiden käytön seurauksia – esim. paikalliset verkkotunnuksen palvelut vs. kolmannen osapuolen pilvipalveluntarjoajat.
Tuetut ohjaimet ISO 27002:sta ja GDPR:stä
| ISO 27701 -lausekkeen tunniste | ISO 27701 -lausekkeen nimi | ISO 27002 -vaatimus | Asiaan liittyvät GDPR-artikkelit |
|---|---|---|---|
| 6.9.4.1 | Tapahtumien kirjaaminen |
8.15 – Kirjaaminen ISO 27002:lle |
Artikkeli (5) |
| 6.9.4.2 | Lokitietojen suojaus |
8.15 – Kirjaaminen ISO 27002:lle |
Artikkeli (5) |
| 6.9.4.3 | Järjestelmänvalvojan ja operaattorin lokit |
8.15 – Kirjaaminen ISO 27002:lle |
Ei eristetty |
| 6.9.4.4 | Kellon synkronointi |
8.17 – Kellon synkronointi ISO 27002:lle |
Ei eristetty |
Miten ISMS.online auttaa
Oman PIMS-järjestelmän rakentaminen on yleensä parempi tapa saada järjestelmä, joka sopii liiketoimintaprosesseihisi.
Räätälöity järjestelmä voi säästää rahaa ja on todennäköisesti helpompi käyttää, konfiguroida ja mukauttaa tietojenkäsittelijöihisi ja rekisterinpitäjiisi.
Jotkut organisaatiot pitävät ajatusta oman järjestelmän rakentamisesta pelottavana ja tehtävänä, joka saa heidät etsimään hyllyltä saatavia järjestelmiä.
Riippumatta siitä, mitä reittiä valitset organisaatiollesi, ISMS.onlinen pilvipohjaiset ratkaisumme auttavat varmistamaan, että säilytät standardin edellyttämät asiakirjat.
Lisätietoja: varata demo.
