ISO 27701 Klausul 6.9.4: Stärka integriteten genom loggning och övervakning
Loggning och övervakning är en avgörande del av en organisations integritetsskyddsverksamhet, som gör det möjligt för personalen att både upptäcka och analysera skadlig aktivitet över ett nätverk och samla in en mängd data som tjänar till att stärka framtida säkerhetsinitiativ.
Vad som omfattas av ISO 27701 klausul 6.9.4
ISO 27701 6.9.4 innehåller tre underklausuler informationssäkerhetsvägledning från ISO 27002 inom ramen för integritetsskydd:
- ISO 27701 – 6.9.4.1 Händelseloggning (Referenser ISO 27002 kontroll 8.15)
- ISO 27701 – 6.9.4.2 Skydd av logginformation (Referenser ISO 27002 kontroll 8.15)
- ISO 27701 – 6.9.4.4 Klocksynkronisering (Referenser ISO 27002 kontroll 8.17)
Underavsnitt 6.9.4.1 och 6.9.4.2 innehåller båda omfattande ytterligare vägledning om hantering av loggning och övervakning vid sidan av PII-relaterade aktiviteter. Flera klausuler innehåller också information som är tillämplig inom brittisk GDPR-lagstiftning, med de relevanta artiklarna nedan.
Observera att GDPR-hänvisningar endast är i vägledande syfte. Organisationer bör granska lagstiftningen och göra en egen bedömning av vilka delar av lagen som gäller för dem.
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
ISO 27701 Klausul 6.9.4.1 – Händelseloggning
Referenser ISO 27002 Kontroll 8.15
ISO definierar en "händelse" som varje åtgärd som utförs av en digital eller fysisk närvaro/enhet på ett datorsystem.
Händelseloggar bör innehålla:
- Ett användar-ID – Vem eller vilket konto som utförde åtgärderna.
- En registrering av systemaktivitet.
- Tidsstämplar.
- Enhets- och systemidentifierare och platsen för händelsen.
- IP-adressinformation.
Händelsetyper
ISO identifierar 11 händelser/komponenter som kräver loggning (och länkade till samma tidskälla – se ISO 27002 kontroll 8.17), för att upprätthålla PII-säkerhet och förbättra organisationens integritetsskydd:
- Systemåtkomstförsök.
- Dataåtkomstförsök.
- Resursåtkomstförsök.
- OS-konfigurationen ändras.
- Förhöjda privilegier.
- Verktygsprogram och underhållsanläggningar (se ISO 27002 kontroll 8.18).
- Begäran om filåtkomst och vad som hände (radering, migrering etc).
- Kritiska avbryter.
- Aktiviteter kring säkerhet/antimalware-system.
- Identitetsadministrationsarbete (t.ex. tillägg och raderingar av användare).
- Utvalda applikationssessionsaktiviteter.
Loggskydd
Loggar bör skyddas mot obehöriga ändringar eller driftsavvikelser, inklusive:
- Ändringar av meddelandetyp.
- Ta bort eller redigera.
- Överskrivning på grund av lagringsproblem.
Organisationer bör använda följande tekniker för att förbättra loggbaserad säkerhet:
- Kryptografisk hashing.
- Inspelning endast med tillägg.
- Skrivskyddad inspelning.
- Användning av offentliga transparensfiler.
När behov uppstår att tillhandahålla loggar till externa organisationer bör strikta åtgärder vidtas för att skydda PII och integritetsrelaterad information, i enlighet med accepterade datasekretessstandarder (se ISO 27002 kontroll 5.34 och ytterligare vägledning nedan).
Logganalys
Loggar kommer att behöva analyseras då och då, för att förbättra integritetsskyddet överlag och för att både lösa och förhindra säkerhetsintrång.
När de utför logganalys bör organisationer ta hänsyn till:
- Expertisen hos den personal som utför analysen.
- Ocuco-landskapet Typ, kategori och attribut av varje händelsetyp.
- Alla undantag som tillämpas via nätverksregler som härrör från hårdvara och plattformar för säkerhetsprogramvara.
- Onormal nätverkstrafik.
- Specialiserad dataanalys.
- Tillgänglig hotintelligens (antingen internt eller från en betrodd tredjepartskälla).
Loggövervakning
Loggövervakning ger organisationer möjligheten att skydda PII vid källan och främja ett proaktivt förhållningssätt till integritetsskydd.
Organisationer bör:
- Granska interna och externa försök att komma åt säkra resurser.
- Analysera DNS-loggar (och dataanvändningsrapporter) för att identifiera trafik till och från skadliga källor.
- Samla in loggar från fysiska åtkomstpunkter och fysiska perimetersäkerhetsenheter (entrésystem etc).
Ytterligare PII-relaterad vägledning
ISO kräver att organisationer övervakar loggar som hänför sig till PII genom enkontinuerlig och automatiserad övervaknings- och varningsprocess'. Detta kan kräva en separat uppsättning procedurer som övervakar åtkomst till PII.
Organisationer bör se till att – som en prioritet – loggar ger en tydlig redogörelse för åtkomst till PII, inklusive:
- Vem som fick tillgång till uppgifterna.
- När informationen var tillgänglig.
- Vilken rektors PII nåddes.
- Eventuella ändringar som gjorts.
Organisationer bör bestämmaom, när och hur' PII-logginformation bör göras tillgänglig för kunderna, med alla kriterier fritt tillgängliga för huvudmännen själva och stor noggrannhet vidtas för att säkerställa att PII-huvudmän endast har tillgång till information som rör dem.
Tillämpliga GDPR-artiklar
- Artikel 5 – (1)(f)
Relevanta ISO 27002-kontroller
- ISO 27002 5.34
- ISO 27002 8.11
- ISO 27002 8.17
- ISO 27002 8.18
Hantera all din efterlevnad, allt på ett ställe
ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.
ISO 27701 Klausul 6.9.4.2 – Skydd av logginformation
Referenser ISO 27002 Kontroll 8.15
Se ISO 27701 klausul 6.9.4.1
Ytterligare PII-relaterad vägledning
Organisationer bör ägna mycket uppmärksamhet åt att se till att loggar som innehåller PII kontrolleras korrekt och dra nytta av säker övervakning.
Automatiska procedurer bör införas som antingen tar bort eller "avidentifierar" loggar, i linje med en publicerad lagringspolicy (se ISO 27002 kontroll 7.4.7).
Tillämpliga GDPR-artiklar
- Artikel 5 – (1)(f)
ISO 27701 Klausul 6.9.4.3 – Administratörs- och operatörsloggar
Referenser ISO 27002 Kontroll 8.15
Se ISO 27701 klausul 6.9.4.1
ISO 27701 Klausul 6.9.4.4 – Klocksynkronisering
Referenser ISO 27002 Kontroll 8.17
ISO kräver att organisationer etablerar en standardreferenstid som kan användas i alla integritetsskyddssystem.
Organisationer bör:
- Tänk på deras krav på tre aspekter av klocksynkronisering: tidsrepresentation, pålitlig synkronisering, noggrannhet.
- Tillgodose deras behov inom ramen för deras juridiska, lagstadgade, lagstadgade, avtalsenliga och övervakningsskyldigheter.
- Använd en atomurtjänst som en singulär referenspunkt.
- Använd två separata tidskällor för att förbättra redundans och stärka motståndskraften under kritiska incidenter.
- Tänk på konsekvenserna av att använda tidskällor som härrör från olika plattformar och leverantörer – t.ex. on-premise domäntjänster kontra tredjeparts molntjänstleverantörer.
Stödjande kontroller från ISO 27002 och GDPR
| ISO 27701 Klausulidentifierare | ISO 27701 Klausulnamn | ISO 27002-krav | Tillhörande GDPR-artiklar |
|---|---|---|---|
| 6.9.4.1 | Händelseloggning |
8.15 – Loggning för ISO 27002 |
Artikeln Lagring |
| 6.9.4.2 | Skydd av logginformation |
8.15 – Loggning för ISO 27002 |
Artikeln Lagring |
| 6.9.4.3 | Administratörs- och operatörsloggar |
8.15 – Loggning för ISO 27002 |
Ingen |
| 6.9.4.4 | Klocka Synkronisering |
8.17 – Klocksynkronisering för ISO 27002 |
Ingen |
Hur ISMS.online hjälper
Att bygga ditt eget PIMS-system tenderar att vara ett bättre sätt att få ett system som passar dina affärsprocesser.
Ett skräddarsytt system kan spara pengar och är sannolikt lättare att använda, konfigurera och anpassa till dina databehandlare och registeransvariga.
Vissa organisationer tycker att tanken på att bygga sitt eget system är skrämmande och en uppgift som får dem att leta efter hyllsystem.
Vilken väg du än väljer att följa för din organisation, kommer våra molnbaserade lösningar på ISMS.online att hjälpa till att se till att du behåller den dokumentation som krävs för att uppfylla standarden.
Ta reda på mer av boka en demo.
