Logs – ob in Form von Anwendungsprotokollen, Ereignisprotokollen oder allgemeinen Systeminformationen – sind ein wesentlicher Bestandteil, um eine Top-Down-Sicht auf IKT-Ereignisse und Mitarbeiteraktionen zu erhalten. Mithilfe von Protokollen können Unternehmen einen Zeitplan für Ereignisse erstellen und sowohl logische als auch physische Muster in ihrem gesamten Netzwerk überprüfen.
Die Erstellung klarer und leicht zugänglicher Protokollinformationen ist ein wichtiger Bestandteil der gesamten IKT-Strategie einer Organisation und begleitet zahlreiche wichtige Informationssicherheitskontrollen, die in ISO 27002:2002 enthalten sind.
Protokolle sollten:
Kontrolle 8.15 ist ein Detektiv Kontrolliere das verändert das Risiko durch die Annahme eines Protokollierungsansatzes, der die oben genannten Ziele erfüllt.
| Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
|---|---|---|---|---|
| #Detektiv | #Vertraulichkeit #Integrität #Verfügbarkeit | #Erkennen | #Informationssicherheits-Ereignismanagement | #Schutz #Verteidigung |
Control 8.15 befasst sich mit IKT-Vorgängen, die über Systemadministratorzugriff ausgeführt werden und unter das Dach der Netzwerkverwaltung und -wartung fallen. Daher sollte die Verantwortung für Control 8.15 beim IT-Leiter oder einer gleichwertigen Organisation liegen.
Ein „Ereignis“ ist jede Aktion, die von einer logischen oder physischen Präsenz auf einem Computersystem ausgeführt wird – z. B. eine Datenanforderung, eine Remote-Anmeldung, ein automatisches Herunterfahren des Systems oder das Löschen einer Datei.
Kontrollieren Sie 8.15, dass jedes einzelne Ereignisprotokoll fünf Hauptkomponenten enthalten sollte, damit es seinen betrieblichen Zweck erfüllen kann:
Aus praktischen Gründen ist es möglicherweise nicht möglich, jedes einzelne Ereignis zu protokollieren, das in einem bestimmten Netzwerk auftritt.
Vor diesem Hintergrund identifiziert Control 8.15 die folgenden 10 Ereignisse als besonders wichtig für Protokollierungszwecke, da sie das Risiko modifizieren können und eine Rolle bei der Aufrechterhaltung eines angemessenen Niveaus der Informationssicherheit spielen:
Wie in Control 8.17 erläutert, ist es von entscheidender Bedeutung, dass alle Protokolle mit derselben synchronisierten Zeitquelle (oder demselben Satz von Kursen) verknüpft sind und im Falle von Anwendungsprotokollen von Drittanbietern alle Zeitabweichungen berücksichtigt und aufgezeichnet werden.
Die einzige Compliance
Lösung, die Sie brauchen
Buchen Sie Ihre Demo
Protokolle sind der kleinste gemeinsame Nenner zur Feststellung des Benutzer-, System- und Anwendungsverhaltens in einem bestimmten Netzwerk, insbesondere bei einer Untersuchung.
Daher ist es für Unternehmen von entscheidender Bedeutung, sicherzustellen, dass Benutzer – unabhängig von ihrer Berechtigungsstufe – nicht die Möglichkeit behalten, ihre eigenen Ereignisprotokolle zu löschen oder zu ändern.
Einzelne Protokolle sollten vollständig und genau sein und vor unbefugten Änderungen oder Betriebsproblemen geschützt sein, einschließlich:
ISO empfiehlt zur Verbesserung der Informationssicherheit, Protokolle mit den folgenden Methoden zu schützen:
Unternehmen müssen möglicherweise Protokolle an Anbieter senden, um Vorfälle und Fehler zu beheben. Sollte dies erforderlich sein, sollten Protokolle „anonymisiert“ werden (siehe Kontrolle 8.11) und die folgenden Informationen sollten maskiert werden:
Darüber hinaus sollten Maßnahmen zum Schutz personenbezogener Daten (PII) im Einklang mit den Datenschutzprotokollen der Organisation und allen geltenden Gesetzen ergriffen werden (siehe Kontrolle 5.34).
Bei der Analyse von Protokollen zum Zwecke der Identifizierung, Lösung und Analyse von Informationssicherheitsereignissen – mit dem Endziel, zukünftige Ereignisse zu verhindern – müssen die folgenden Faktoren berücksichtigt werden:
Wir verschaffen Ihnen einen Vorsprung von 81 %
ab dem Moment, in dem Sie sich anmelden
Buchen Sie Ihre Demo
Die Protokollanalyse sollte nicht isoliert durchgeführt werden, sondern in Verbindung mit strengen Überwachungsaktivitäten, die wichtige Muster und anomales Verhalten erkennen.
Um einen dualen Ansatz zu erreichen, sollten Organisationen:
Um Zeit und Ressourcen bei der Untersuchung von Sicherheitsvorfällen zu sparen, sollten Unternehmen den Einsatz spezieller Hilfsprogramme in Betracht ziehen, die ihnen dabei helfen, die riesigen Mengen an Informationen zu durchsuchen, die von Systemprotokollen generiert werden, beispielsweise ein SIEM-Tool.
Wenn eine Organisation eine Cloud-basierte Plattform zur Durchführung irgendeines Teils ihrer Vorgänge nutzt, sollte die Protokollverwaltung als eine gemeinsame Verantwortung zwischen dem Dienstanbieter und der Organisation selbst betrachtet werden.
ISO 27002:2002-8.15 ersetzt drei Kontrollen aus ISO 27002:2003, die sich mit der Speicherung, Verwaltung und Analyse von Protokolldateien befassen:
27002:2002-8.15 bestätigt weitgehend alle Leitlinien der oben genannten drei Kontrollen in einem klaren Protokoll, das sich mit der Protokollierung befasst, mit einigen bemerkenswerten Erweiterungen, darunter (aber nicht beschränkt auf):
Die ISMS.Online-Plattform hilft bei allen Aspekten der Implementierung von ISO 27002, von der Verwaltung von Risikobewertungsaktivitäten bis hin zur Entwicklung von Richtlinien, Verfahren und Leitlinien zur Einhaltung der Anforderungen der Norm.
Mit seinem automatisierten Toolset erleichtert ISMS.Online Unternehmen den Nachweis der Einhaltung des ISO 27002-Standards.
Kontaktieren Sie uns noch heute zu planen eine Demo.
Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 5.7 | Neu | Bedrohungsinformationen |
| 5.23 | Neu | Informationssicherheit bei der Nutzung von Cloud-Diensten |
| 5.30 | Neu | IKT-Bereitschaft für Geschäftskontinuität |
| 7.4 | Neu | Physische Sicherheitsüberwachung |
| 8.9 | Neu | Konfigurationsmanagement |
| 8.10 | Neu | Löschung von Informationen |
| 8.11 | Neu | Datenmaskierung |
| 8.12 | Neu | Verhinderung von Datenlecks |
| 8.16 | Neu | Überwachungsaktivitäten |
| 8.23 | Neu | Web-Filter |
| 8.28 | Neu | Sichere Codierung |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 6.1 | 07.1.1 | Untersuchungen |
| 6.2 | 07.1.2 | Beschäftigungsbedingungen |
| 6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
| 6.4 | 07.2.3 | Disziplinarverfahren |
| 6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| 6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| 6.7 | 06.2.2 | Fernarbeit |
| 6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 7.1 | 11.1.1 | Physische Sicherheitsbereiche |
| 7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
| 7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
| 7.4 | Neu | Physische Sicherheitsüberwachung |
| 7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| 7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
| 7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| 7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
| 7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
| 7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
| 7.12 | 11.2.3 | Verkabelungssicherheit |
| 7.13 | 11.2.4 | Wartung der Ausrüstung |
| 7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
