richardk/iso27diy-corp
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
iso27diy-corp/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/a-8.15-Logging.md

10 KiB
Raw Blame History

#iso27002/2022/NL

Standard: ISO 27002:2022 NL

+------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+ | Type | Informatie- | Cybersecurity- | Operationele | Beveiligings- | | | | | | | | beheersmaatregel | beveiligings- | concepten | capaciteiten | domeinen | | | | | | | | | eigenschappen | | | | +========================+====================================================+======================+========================================================+=====================+ | #Detectief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Detecteren | #Beheer_van_infor- matiebeveiligings- gebeurtenissen | #Bescherming | | | | | | | | | | | | #Verdediging | +------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+

Beheersmaatregel

Er behoren logbestanden waarin activiteiten, uitzonderingen, fouten en andere relevante gebeurtenissen worden geregistreerd te worden geproduceerd, opgeslagen, beschermd en geanalyseerd.

Doel

Gebeurtenissen registreren, bewijs genereren, de integriteit van informatie in logbestanden waarborgen, onbevoegde toegang voorkomen, informatiebeveiligingsgebeurtenissen identificeren die tot een informatiebeveiligingsincident kunnen leiden en onderzoeken ondersteunen.

Richtlijn

Algemeen

De organisatie behoort het doel vast te stellen waarvoor logbestanden worden aangemaakt, welke gegevens worden verzameld en in het logbestand worden geregistreerd en welke logbestandspecifieke eisen er zijn voor het beschermen en behandelen van de gegevens in het logbestandit behoort te worden gedocumenteerd in onderwerpspecifiek registratiebeleid.

Logbestanden van gebeurtenissen behoren het volgende voor elke gebeurtenis te bevatten, al naargelang van toepassing is:

a) gebruikersidentificaties;

b) systeemactiviteiten;

c) data, tijdstippen en details van relevante gebeurtenissen (bijvn- en uitloggen);

d) de identiteit van apparaten, identificatie van systemen en hun locatie;

e) netwerkadressen en -protocollen.

Het behoort te worden overwogen de volgende gebeurtenissen in logbestanden vast te leggen:

a) geslaagde en geweigerde pogingen om toegang te verkrijgen tot het systeem;

b) goedgekeurde en geweigerde gegevens en overige pogingen om toegang te verkrijgen tot bronnen

van informatie;

c) systeemconfiguratieveranderingen;

d) het gebruik van speciale bevoegdheden;

e) het gebruik van systeemhulpmiddelen en -toepassingen;

f) de bestanden waartoe toegang is gemaakt en de soort toeganget inbegrip van het wissen van

belangrijke gegevensbestanden;

g) alarmen die worden afgegeven door het toegangsbeveiligingssysteem;

h) activering en deactivering van beveiligingssystemen, zoals antivirussystemen en

inbraakdetectiesystemen;

i) het aanmaken, wijzigen of wissen van identiteiten;

j) transacties die door gebruikers in toepassingen zijn uitgevoerdn sommige gevallen zijn de

toepassingen een door een derde verleend(e), geleverd(e) of verzorgd(e) dienst of product.

Het is belangrijk dat alle systemen gesynchroniseerde tijdsbronnen hebben (zie 8.17), aangezien dit het mogelijk maakt logbestanden van verschillende systemen met elkaar te correleren voor analyse, alarmering en voor het onderzoeken van incidenten.

Logbestanden beschermen

Gebruikers, ook die met speciale toegangsrechten, behoren geen toestemming te hebben om logbestanden van hun eigen activiteiten te verwijderen of te deactiverenij kunnen mogelijk de logbestanden over informatieverwerkende faciliteiten waarover zij het directe bestuur hebben, manipulerenaarom is het nodig de logbestanden te beschermen en te beoordelen om de verantwoordelijkheid voor de gebruikers met speciale rechten in stand te houden.

Beheersmaatregelen behoren gericht te zijn op het beschermen van informatie in logbestanden tegen onbevoegde veranderingen en tegen operationele problemen met de logvoorziening, met inbegrip van:

a) veranderingen aan de soorten berichten die worden vastgelegd;

b) bewerken of verwijderen van logbestanden;

c) het niet-registreren van gebeurtenissen of het overschrijven van eerder geregistreerde

gebeurtenissen indien de capaciteit van opslagmedia met een logbestand wordt overschreden.

Ter bescherming van logbestanden behoort het gebruik van de volgende technieken te worden overwogen: cryptografisch hashen, registratie in een bestand waar alleen toevoegen of alleen lezen mogelijk is, registratie in een openbaar transparant bestand.

Voor bepaalde auditlogbestanden kan het vereist zijn dat ze worden gearchiveerd vanwege eisen met betrekking tot het bewaren van gegevens of eisen met betrekking tot het verzamelen en bewaren van bewijsmateriaal (zie 5.28).

Indien de organisatie logbestanden inzake systemen of toepassingen naar een leverancier moet sturen om te helpen bij het detecteren of oplossen van fouten of storingen, behoren de logbestanden waar mogelijk te worden gede-identificeerd door gebruik te maken van technieken voor het maskeren van gegevens (zie 8.11) voor informatie zoals gebruikersnamen, IP-adressen, hostnamen of de naam van de organisatie, alvorens ze naar de leverancier te sturen.

Logbestanden van gebeurtenissen kunnen gevoelige gegevens en persoonsgegevens bevattener bescherming van de privacy behoren passende maatregelen te worden genomen (zie 5.34).

Analyse van logbestanden

De analyse van logbestanden behoort te bestaan uit het analyseren en interpreteren van informatiebeveiligingsgebeurtenissen om ongebruikelijke activiteiten of afwijkend gedrag, hetgeen mogelijke indicatoren van compromittering zijn, te helpen identificeren.

Bij het analyseren van gebeurtenissen behoort rekening te worden gehouden met:

a) de noodzakelijke vaardigheden van de deskundigen die de analyse uitvoeren;

b) het vaststellen van de procedure voor het analyseren van logbestanden;

c) de vereiste attributen van elke beveiligingsgerelateerde gebeurtenis;

d) uitzonderingen die zijn geïdentificeerd door het gebruik van vooraf vastgestelde regels (bijvIEM-

of firewallregels, en IDS- of malwarehandtekeningen);

e) bekende gedragspatronen en standaardnetwerkverkeer in vergelijking met afwijkend(e)

activiteiten en gedrag (analyse van het gedrag van gebruikers en entiteiten - UEBA);

f) resultaten van de analyse van trends of patronen (bijvls gevolg van het gebruik van

gegevensanalyse, bigdatatechnieken en gespecialiseerde analyse-instrumenten);

g) beschikbare informatie en analyses over dreigingen.

De analyse van logbestanden behoort te worden ondersteund door specifieke monitoringactiviteiten om afwijkend gedrag te helpen identificeren en analyseren, waaronder:

a) het beoordelen van geslaagde en mislukte pogingen om toegang te krijgen tot beschermde bronnen

(bijvNS-servers, webportals en bestandsshares);

b) het controleren van DNS-logbestanden om uitgaande netwerkverbindingen met kwaadaardige servers te identificeren, zoals verbindingen die in verband worden gebracht met 'command-and- controlservers van botnets;

c) het onderzoeken van gebruiksverslagen van dienstverleners (bijvacturen of verslagen van de geleverde diensten) op ongebruikelijke activiteit binnen systemen en netwerken (bijvoorbeeld door activiteitenpatronen te beoordelen);

d) het opnemen van gebeurtenislogbestanden van fysieke monitoring, zoals in- en uitgang, met het

oog op een nauwkeurigere detectie en analyse van incidenten;

e) het correleren van logbestanden om doelmatige en zeer nauwkeurige analyse mogelijk te maken.

Vermeende en daadwerkelijke informatiebeveiligingsincidenten behoren te worden geïdentificeerd (bijvesmetting met malware of het uitpeilen van firewalls) en nader te worden onderzocht (bijvn het kader van een proces voor het beheer van informatiebeveiligingsincidenten, zie 5).

Overige informatie

Systeemlogbestanden bevatten vaak een grote hoeveelheid informatie, waarvan een groot deel irrelevant is voor het monitoren van informatiebeveiligingm belangrijke gebeurtenissen voor het monitoren in het kader van informatiebeveiliging te helpen identificeren, kan het gebruik van geschikte systeemhulpmiddelen of auditinstrumenten voor het bevragen van bestanden worden overwogen.

Logbestanden van gebeurtenissen vormen de basis van geautomatiseerde monitorsystemen (zie 8.16) die geconsolideerde rapporten en waarschuwingen over systeembeveiliging kunnen verzamelen.

Er kan een hulpmiddel voor het beheer van beveiligingsinformatie en -gebeurtenissen (SIEM) of een gelijkwaardige dienst worden gebruikt om loginformatie op te slaan, te correleren, normaliseren en analyseren en waarschuwingsmeldingen te generereneestal is het nodig SIEM-hulpmiddelen zorgvuldig te configureren om de voordelen ervan te optimaliserenonfiguraties die in aanmerking behoren te worden genomen, omvatten het identificeren en selecteren van passende bronnen voor logbestanden, het afstemmen en testen van regels, en het ontwikkelen van usecases.

Er worden openbaar transparante bestanden gebruikt voor het registreren van logbestanden, bijvoorbeeld in systemen voor de transparantie van certificatenergelijke bestanden kunnen een extra detectiemechanisme bieden dat nuttig is ter bescherming tegen manipulatie van logbestanden.

In cloudomgevingen kunnen de afnemer en de leverancier van de clouddienst de verantwoordelijkheden voor het beheer van logbestanden met elkaar delene verantwoordelijkheden variëren afhankelijk van de soort clouddienst die wordt gebruikterdere richtlijnen zijn te vinden in ISO/IEC 27017.