Zweck der Kontrolle 8.15
Logs – ob in Form von Anwendungsprotokollen, Ereignisprotokollen oder allgemeinen Systeminformationen – sind ein wesentlicher Bestandteil, um eine Top-Down-Sicht auf IKT-Ereignisse und Mitarbeiteraktionen zu erhalten. Mithilfe von Protokollen können Unternehmen einen Zeitplan für Ereignisse erstellen und sowohl logische als auch physische Muster in ihrem gesamten Netzwerk überprüfen.
Die Erstellung klarer und leicht zugänglicher Protokollinformationen ist ein wichtiger Bestandteil der gesamten IKT-Strategie einer Organisation und begleitet zahlreiche wichtige Informationssicherheitskontrollen, die in ISO 27002:2002 enthalten sind.
Protokolle sollten:
- Ereignisse aufzeichnen.
- Sammeln Sie Beweise.
- Schützen Sie ihre eigene Integrität.
- Sichern Sie Protokolldaten vor unbefugtem Zugriff.
- Identifizieren Sie Aktionen und Ereignisse, die zu einer Informations-/Sicherheitsverletzung führen könnten.
- Als Instrument zur Unterstützung interner und externer Untersuchungen fungieren.
Attributtabelle der Steuerung 8.15
Kontrolle 8.15 ist ein Detektiv Kontrolliere das verändert das Risiko durch die Annahme eines Protokollierungsansatzes, der die oben genannten Ziele erfüllt.
Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
---|---|---|---|---|
#Detektiv | #Vertraulichkeit | #Erkennen | #Informationssicherheits-Ereignismanagement | #Schutz |
#Integrität | #Verteidigung | |||
#Verfügbarkeit |
Eigentum an der Kontrolle 8.15
Control 8.15 befasst sich mit IKT-Vorgängen, die über Systemadministratorzugriff ausgeführt werden und unter das Dach der Netzwerkverwaltung und -wartung fallen. Daher sollte die Verantwortung für Control 8.15 beim IT-Leiter oder einer gleichwertigen Organisation liegen.
Verschaffen Sie sich einen Vorsprung von 81 %
Wir haben die harte Arbeit für Sie erledigt und Ihnen ab dem Moment Ihrer Anmeldung einen Vorsprung von 81 % verschafft.
Sie müssen lediglich die Lücken ausfüllen.
Anleitung – Informationen zum Ereignisprotokoll
Ein „Ereignis“ ist jede Aktion, die von einer logischen oder physischen Präsenz auf einem Computersystem ausgeführt wird – z. B. eine Datenanforderung, eine Remote-Anmeldung, ein automatisches Herunterfahren des Systems oder das Löschen einer Datei.
Kontrollieren Sie 8.15, dass jedes einzelne Ereignisprotokoll fünf Hauptkomponenten enthalten sollte, damit es seinen betrieblichen Zweck erfüllen kann:
- Benutzer-ID – Wer oder welches Konto hat die Aktionen ausgeführt.
- Systemaktivität – Was ist passiert?
- Zeitstempel – Datum und Uhrzeit des Ereignisses
- Geräte- und Systemkennungen sowie Standort – Auf welcher Anlage ist das Ereignis aufgetreten
- Netzwerkadressen und Protokolle – IP-Informationen
Anleitung – Veranstaltungstypen
Aus praktischen Gründen ist es möglicherweise nicht möglich, jedes einzelne Ereignis zu protokollieren, das in einem bestimmten Netzwerk auftritt.
Vor diesem Hintergrund identifiziert Control 8.15 die folgenden 10 Ereignisse als besonders wichtig für Protokollierungszwecke, da sie das Risiko modifizieren können und eine Rolle bei der Aufrechterhaltung eines angemessenen Niveaus der Informationssicherheit spielen:
- Versuche, auf das System zuzugreifen.
- Daten- und/oder Ressourcenzugriffsversuche.
- Änderungen an der System-/Betriebssystemkonfiguration.
- Nutzung erhöhter Privilegien.
- Verwendung von Hilfsprogrammen oder Wartungseinrichtungen (siehe Kontrolle 8.18).
- Dateizugriffsanfragen und was passiert ist (Löschung, Migration usw.).
- Zugangskontrollalarme und kritische Unterbrechungen.
- Aktivierung und/oder Deaktivierung von Front-End- und Back-End-Sicherheitssystemen, wie z. B. clientseitiger Antivirensoftware oder Firewall-Schutzsystemen.
- Arbeiten zur Identitätsverwaltung (sowohl physisch als auch logisch).
- Bestimmte Aktionen oder System-/Datenänderungen, die im Rahmen einer Sitzung innerhalb einer Anwendung ausgeführt werden.
Wie in Control 8.17 erläutert, ist es von entscheidender Bedeutung, dass alle Protokolle mit derselben synchronisierten Zeitquelle (oder demselben Satz von Kursen) verknüpft sind und im Falle von Anwendungsprotokollen von Drittanbietern alle Zeitabweichungen berücksichtigt und aufgezeichnet werden.
Anleitung – Protokollschutz
Protokolle sind der kleinste gemeinsame Nenner zur Feststellung des Benutzer-, System- und Anwendungsverhaltens in einem bestimmten Netzwerk, insbesondere bei einer Untersuchung.
Daher ist es für Unternehmen von entscheidender Bedeutung, sicherzustellen, dass Benutzer – unabhängig von ihrer Berechtigungsstufe – nicht die Möglichkeit behalten, ihre eigenen Ereignisprotokolle zu löschen oder zu ändern.
Einzelne Protokolle sollten vollständig und genau sein und vor unbefugten Änderungen oder Betriebsproblemen geschützt sein, einschließlich:
- Änderungen des Nachrichtentyps.
- Gelöschte oder bearbeitete Protokolldateien.
- Jeder Fehler beim Generieren einer Protokolldatei oder unnötiges Überschreiben von Protokolldateien aufgrund vorherrschender Probleme mit Speichermedien oder der Netzwerkleistung.
ISO empfiehlt zur Verbesserung der Informationssicherheit, Protokolle mit den folgenden Methoden zu schützen:
- Kryptografisches Hashing.
- Nur-Anhang-Aufzeichnung.
- Schreibgeschützte Aufzeichnung.
- Nutzung öffentlicher Transparenzdateien.
Unternehmen müssen möglicherweise Protokolle an Anbieter senden, um Vorfälle und Fehler zu beheben. Sollte dies erforderlich sein, sollten Protokolle „anonymisiert“ werden (siehe Kontrolle 8.11) und die folgenden Informationen sollten maskiert werden:
- Benutzernamen
- IP-Adressen
- Hostnamen
Darüber hinaus sollten Maßnahmen zum Schutz personenbezogener Daten (PII) im Einklang mit den Datenschutzprotokollen der Organisation und allen geltenden Gesetzen ergriffen werden (siehe Kontrolle 5.34).
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards
und Vorschriften, die Ihnen eine einzige geben
Plattform für alle Ihre Compliance-Anforderungen.
Anleitung – Protokollanalyse
Bei der Analyse von Protokollen zum Zwecke der Identifizierung, Lösung und Analyse von Informationssicherheitsereignissen – mit dem Endziel, zukünftige Ereignisse zu verhindern – müssen die folgenden Faktoren berücksichtigt werden:
- Die Fachkompetenz des Personals, das die Analyse durchführt.
- Wie Protokolle gemäß den Unternehmensabläufen analysiert werden.
- Der Typ, die Kategorie und die Attribute jedes Ereignisses, das analysiert werden muss.
- Alle Ausnahmen, die über Netzwerkregeln angewendet werden, die von Sicherheitssoftware-Hardware und -Plattformen ausgehen.
- Der Standardfluss des Netzwerkverkehrs im Vergleich zu unerklärlichen Mustern.
- Trends, die als Ergebnis einer speziellen Datenanalyse identifiziert werden.
- Bedrohungsinformationen.
Anleitung – Protokollüberwachung
Die Protokollanalyse sollte nicht isoliert durchgeführt werden, sondern in Verbindung mit strengen Überwachungsaktivitäten, die wichtige Muster und anomales Verhalten erkennen.
Um einen dualen Ansatz zu erreichen, sollten Organisationen:
- Überprüfen Sie alle Versuche, auf sichere und/oder geschäftskritische Ressourcen zuzugreifen, einschließlich Domänenservern, Webportalen und Dateifreigabeplattformen.
- Untersuchen Sie DNS-Protokolle, um ausgehenden Datenverkehr zu erkennen, der mit bösartigen Quellen und schädlichen Servervorgängen in Verbindung steht.
- Sammeln Sie Datennutzungsberichte von Dienstanbietern oder internen Plattformen, um böswillige Aktivitäten zu identifizieren.
- Sammeln Sie Protokolle von physischen Zugangspunkten, z. B. Protokolle von Schlüsselkarten/Anhängern und Informationen zum Raumzugang.
Zusatzinformationen
Um Zeit und Ressourcen bei der Untersuchung von Sicherheitsvorfällen zu sparen, sollten Unternehmen den Einsatz spezieller Hilfsprogramme in Betracht ziehen, die ihnen dabei helfen, die riesigen Mengen an Informationen zu durchsuchen, die von Systemprotokollen generiert werden, beispielsweise ein SIEM-Tool.
Wenn eine Organisation eine Cloud-basierte Plattform zur Durchführung irgendeines Teils ihrer Vorgänge nutzt, sollte die Protokollverwaltung als eine gemeinsame Verantwortung zwischen dem Dienstanbieter und der Organisation selbst betrachtet werden.
Unterstützende Kontrollen
- 5.34
- 8.11
- 8.17
- 8.18
Compliance muss nicht kompliziert sein.
Wir haben die harte Arbeit für Sie erledigt und Ihnen ab dem Moment Ihrer Anmeldung einen Vorsprung von 81 % verschafft.
Sie müssen lediglich die Lücken ausfüllen.
Änderungen und Unterschiede zu ISO 27002:2013
ISO 27002:2002-8.15 ersetzt drei Kontrollen aus ISO 27002:2003, die sich mit der Speicherung, Verwaltung und Analyse von Protokolldateien befassen:
- 12.4.1 – Ereignisprotokollierung
- 12.4.2 – Schutz von Protokollinformationen
- 12.4.3 – Administrator- und Bedienerprotokolle
27002:2002-8.15 bestätigt weitgehend alle Leitlinien der oben genannten drei Kontrollen in einem klaren Protokoll, das sich mit der Protokollierung befasst, mit einigen bemerkenswerten Erweiterungen, darunter (aber nicht beschränkt auf):
- Ein erweiterter Satz von Richtlinien, die sich mit dem Schutz von Protokollinformationen befassen.
- Zusätzliche Hinweise zu den verschiedenen Ereignistypen, die bei der Prüfung berücksichtigt werden sollten.
- Anleitung, wie Protokolle im Rahmen einer gemeinsamen Anstrengung zur Verbesserung der Informationssicherheit überwacht und analysiert werden sollten.
- Ratschläge zur Verwaltung von Protokollen, die von cloudbasierten Plattformen erstellt werden.
Neue ISO 27002-Kontrollen
Neue Steuerelemente
ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
---|---|---|
5.7 | Neue | Bedrohungsinformationen |
5.23 | Neue | Informationssicherheit bei der Nutzung von Cloud-Diensten |
5.30 | Neue | IKT-Bereitschaft für Geschäftskontinuität |
7.4 | Neue | Physische Sicherheitsüberwachung |
8.9 | Neue | Konfigurationsmanagement |
8.10 | Neue | Löschung von Informationen |
8.11 | Neue | Datenmaskierung |
8.12 | Neue | Verhinderung von Datenlecks |
8.16 | Neue | Überwachungsaktivitäten |
8.23 | Neue | Web-Filter |
8.28 | Neue | Sichere Codierung |
Organisatorische Kontrollen
Menschenkontrollen
ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
---|---|---|
6.1 | 07.1.1 | Schirmungsmaß |
6.2 | 07.1.2 | Beschäftigungsbedingungen |
6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
6.4 | 07.2.3 | Disziplinarverfahren |
6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
6.7 | 06.2.2 | Fernarbeit |
6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
Physikalische Kontrollen
ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
---|---|---|
7.1 | 11.1.1 | Physische Sicherheitsbereiche |
7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
7.4 | Neue | Physische Sicherheitsüberwachung |
7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
7.12 | 11.2.3 | Verkabelungssicherheit |
7.13 | 11.2.4 | Wartung der Ausrüstung |
7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
Technologische Kontrollen
Wie ISMS.online hilft
Die ISMS.Online-Plattform hilft bei allen Aspekten der Implementierung von ISO 27002, von der Verwaltung von Risikobewertungsaktivitäten bis hin zur Entwicklung von Richtlinien, Verfahren und Leitlinien zur Einhaltung der Anforderungen der Norm.
Mit seinem automatisierten Toolset erleichtert ISMS.Online Unternehmen den Nachweis der Einhaltung des ISO 27002-Standards.
Kontaktieren Sie uns noch heute zu Demo anfordern.