יומנים - בין אם בצורה של יומני יישומים, יומני אירועים או מידע כללי על המערכת - מהווים חלק מרכזי בהשגת תצוגה מלמעלה למטה של אירועי ICT ופעולות עובדים. יומנים מאפשרים לארגונים לקבוע ציר זמן של אירועים ולבחון דפוסים לוגיים ופיזיים כאחד בכל הרשת שלהם.
הפקת מידע יומן ברור וניתן להשגה בקלות היא חלק חשוב מאסטרטגיית ה-ICT הכוללת של הארגון, והיא מלווה בקרות רבות של אבטחת מידע עיקריות הכלולים במסגרת ISO 27002:2002.
יומנים צריכים:
שליטה 8.15 היא א בלש לשלוט בזה משנה סיכון על ידי אימוץ גישה לרישום המגשים את היעדים הנ"ל.
סוג הבקרה | מאפייני אבטחת מידע | מושגי אבטחת סייבר | יכולות מבצעיות | תחומי אבטחה |
---|---|---|---|---|
#בַּלָשׁ | #סודיות #יושרה #זמינות | #לזהות | #ניהול אירועי אבטחת מידע | #הֲגָנָה #הֲגָנָה |
בקרה 8.15 עוסקת בפעולות ICT המבוצעות באמצעות גישת מנהל מערכת, ונושאות תחת מטריית ניהול ותחזוקת הרשת. לפיכך, הבעלות על בקרה 8.15 צריכה להיות בידי ראש ה-IT, או מקבילה ארגונית.
'אירוע' הוא כל פעולה המבוצעת על ידי נוכחות לוגית או פיזית במערכת מחשב – למשל בקשה לנתונים, התחברות מרחוק, כיבוי אוטומטי של המערכת, מחיקת קבצים.
בקרת 8.15 ספציפית שכל יומן אירועים בודד צריך להכיל 5 רכיבים עיקריים, על מנת שהוא ימלא את מטרתו התפעולית:
למטרות מעשיות, ייתכן שלא יהיה זה ריאלי לרשום כל אירוע בודד המתרחש ברשת נתונה.
עם זאת בחשבון, בקרה 8.15 מזהה את 10 האירועים שלהלן כחשובים במיוחד למטרות רישום, לאור יכולתם לשנות סיכונים והתפקיד שהם ממלאים בשמירה על רמות נאותות של אבטחת מידע:
כפי שהוסבר ב-Control 8.17, חשוב מאוד שכל היומנים יהיו מקושרים לאותו מקור זמן מסונכרן (או סט של קורסים), ובמקרה של יומני יישומים של צד שלישי, כל אי-התאמות בזמן שנקבעו ונרשמו.
יומנים הם המכנה המשותף הנמוך ביותר לביסוס התנהגות משתמשים, מערכת ואפליקציות ברשת נתונה, במיוחד כאשר עומדים בפני חקירה.
לכן חשוב מאוד לארגונים להבטיח שמשתמשים - ללא קשר לרמות ההרשאה שלהם - לא ישמרו על היכולת למחוק או לתקן את יומני האירועים שלהם.
יומנים בודדים צריכים להיות מלאים, מדויקים ומוגנים מפני כל שינוי או בעיות תפעול לא מורשים, כולל:
ISO ממליצה, על מנת לשפר את אבטחת המידע, יומנים צריכים להיות מוגנים באמצעות השיטות הבאות:
ייתכן שארגונים יצטרכו לשלוח יומנים לספקים כדי לפתור תקלות ותקלות. אם יתעורר צורך זה, יש לבטל את הזיהוי של יומנים (ראה בקרה 8.11) ויש להסוות את המידע הבא:
בנוסף לכך, יש לנקוט באמצעים כדי להגן על מידע אישי מזהה (PII) בהתאם לפרוטוקולי פרטיות הנתונים של הארגון עצמו ולכל חקיקה רווחת (ראה בקרה 5.34).
בעת ניתוח יומנים למטרות זיהוי, פתרון וניתוח אירועי אבטחת מידע – במטרה סופית למנוע התרחשויות עתידיות – יש לקחת בחשבון את הגורמים הבאים:
ניתוח יומן לא צריך להתבצע במנותק, והוא צריך להיעשות במקביל לפעילויות ניטור קפדניות המצביעות על דפוסי מפתח והתנהגות חריגה.
על מנת להשיג גישה דו-חזיתית, ארגונים צריכים:
ארגונים צריכים לשקול שימוש בתוכניות שירות מיוחדות המסייעות להם לחפש בכמויות העצומות של מידע שיומני המערכת מייצרים, על מנת לחסוך זמן ומשאבים בעת חקירת אירועי אבטחה, כגון כלי SIEM.
אם ארגון משתמש בפלטפורמה מבוססת ענן כדי לבצע כל חלק מהפעילות שלו, יש לראות בניהול היומנים כאחריות משותפת בין ספק השירות לארגון עצמם.
ISO 27002:2002-8.15 מחליף שלושה פקדים מ-ISO 27002:2003 העוסקים באחסון, ניהול וניתוח של קובצי יומן:
27002:2002-8.15 מאשש במידה רבה את כל נקודות ההנחיה משלושת הפקדים לעיל לפרוטוקול אחד ברור העוסק ברישום, עם כמה הרחבות בולטות, כולל (אך לא רק):
פלטפורמת ISMS.Online מסייעת בכל ההיבטים של יישום ISO 27002, מניהול פעילויות הערכת סיכונים ועד לפיתוח מדיניות, נהלים והנחיות לעמידה בדרישות התקן.
עם ערכת הכלים האוטומטית שלה, ISMS.Online מקל על ארגונים להוכיח עמידה בתקן ISO 27002.
פנה אלינו עוד היום ל קבע הדגמה.
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
5.7 | חדש | אינטליגנציה מאיימת |
5.23 | חדש | אבטחת מידע לשימוש בשירותי ענן |
5.30 | חדש | מוכנות ICT להמשכיות עסקית |
7.4 | חדש | ניטור אבטחה פיזית |
8.9 | חדש | ניהול תצורה |
8.10 | חדש | מחיקת מידע |
8.11 | חדש | מיסוך נתונים |
8.12 | חדש | מניעת דליפת נתונים |
8.16 | חדש | פעילויות ניטור |
8.23 | חדש | סינון אינטרנט |
8.28 | חדש | קידוד מאובטח |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
6.1 | 07.1.1 | סריקה |
6.2 | 07.1.2 | תנאי העסקה |
6.3 | 07.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
6.4 | 07.2.3 | תהליך משמעתי |
6.5 | 07.3.1 | אחריות לאחר סיום או שינוי עבודה |
6.6 | 13.2.4 | הסכמי סודיות או סודיות |
6.7 | 06.2.2 | עבודה מרחוק |
6.8 | 16.1.2, 16.1.3 | דיווח על אירועי אבטחת מידע |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
7.1 | 11.1.1 | היקפי אבטחה פיזית |
7.2 | 11.1.2, 11.1.6 | כניסה פיזית |
7.3 | 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
7.4 | חדש | ניטור אבטחה פיזית |
7.5 | 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
7.6 | 11.1.5 | עבודה באזורים מאובטחים |
7.7 | 11.2.9 | שולחן כתיבה ברור ומסך ברור |
7.8 | 11.2.1 | מיקום ומיגון ציוד |
7.9 | 11.2.6 | אבטחת נכסים מחוץ לשטח |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | אחסון מדיה |
7.11 | 11.2.2 | כלי עזר תומכים |
7.12 | 11.2.3 | אבטחת כבלים |
7.13 | 11.2.4 | תחזוקת ציוד |
7.14 | 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |