ISO 27701 סעיף 6.9.4: חיזוק הפרטיות באמצעות רישום וניטור
רישום וניטור הם חלק מכריע בפעולת הגנת הפרטיות של ארגון, המאפשרת לצוות גם לזהות ולנתח פעילות זדונית ברחבי הרשת, ולאסוף גוף נתונים המשמש לחיזוק יוזמות אבטחה עתידיות.
מה מכוסה בסעיף 27701 של ISO 6.9.4
תקן ISO 27701 6.9.4 מכיל שלושה סעיפי משנה, שקיימים הנחיות אבטחת מידע מ-ISO 27002 במסגרת הגנת הפרטיות:
- ISO 27701 – 6.9.4.1 רישום אירועים (References ISO 27002 control 8.15)
- ISO 27701 – 6.9.4.2 הגנה על מידע יומן (References ISO 27002 control 8.15)
- ISO 27701 – 6.9.4.4 סנכרון שעון (References ISO 27002 control 8.17)
סעיפי משנה 6.9.4.1 ו-6.9.4.2 מכילים שניהם הנחיות נרחבות נוספות בנושא ניהול רישום וניטור לצד פעילויות הקשורות ל-PII. מספר סעיפים מכילים גם מידע שישים במסגרת חקיקת ה-GDPR בבריטניה, עם המאמרים הרלוונטיים המופיעים להלן.
שים לב שהציטוטים של GDPR הם למטרות אינדיקטיביות בלבד. ארגונים צריכים לבחון את החקיקה ולעשות שיקול דעת בעצמם על אילו חלקים בחוק חלים עליהם.
ציות לא חייב להיות מסובך.
עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה.
כל שעליכם לעשות הוא להשלים את החסר.
ISO 27701 סעיף 6.9.4.1 - רישום אירועים
הפניות ISO 27002 בקרה 8.15
ISO מגדיר 'אירוע' ככל פעולה המבוצעת על ידי נוכחות/ישות דיגיטלית או פיזית במערכת מחשב.
יומני אירועים צריכים להכיל:
- מזהה משתמש - מי או איזה חשבון ביצע את הפעולות.
- תיעוד של פעילות המערכת.
- חותמות זמן.
- מזהי מכשיר ומערכת, ומיקום האירוע.
- מידע על כתובת IP.
סוגי אירועים
ISO מזהה 11 אירועים/רכיבים הדורשים רישום (ומקושרים לאותו מקור זמן - ראה ISO 27002 בקרת 8.17), על מנת לשמור על אבטחת PII ולשפר את הגנת הפרטיות הארגונית:
- ניסיונות גישה למערכת.
- ניסיונות גישה לנתונים.
- ניסיונות גישה למשאבים.
- שינויים בתצורת מערכת ההפעלה.
- הרשאות מוגברות.
- תוכניות שירות ומתקני תחזוקה (ראה ISO 27002 בקרת 8.18).
- בקשות גישה לקבצים ומה קרה (מחיקה, העברה וכו').
- קטעים קריטיים.
- פעילויות סביב מערכות אבטחה/אנטי תוכנות זדוניות.
- עבודת ניהול זהויות (למשל הוספות ומחיקות משתמשים).
- פעילויות מושב יישומים נבחרות.
הגנת יומן
יומנים צריכים להיות מוגנים מפני שינויים לא מורשים או חריגות תפעוליות, כולל:
- תיקונים מסוג הודעה.
- מחיקה או עריכה.
- כתיבה יתרה עקב בעיות אחסון.
ארגונים צריכים לעסוק בטכניקות הבאות, על מנת לשפר אבטחה מבוססת יומן:
- גיבוב קריפטוגרפי.
- הקלטה להוספה בלבד.
- הקלטה לקריאה בלבד.
- שימוש בקבצי שקיפות ציבורית.
כאשר מתעורר צורך לספק יומנים לארגונים חיצוניים, יש לנקוט באמצעים קפדניים לשמירה על PII ומידע הקשור לפרטיות, בהתאם לתקני פרטיות הנתונים המקובלים (ראה ISO 27002 בקרה 5.34 והנחיה נוספת להלן).
ניתוח יומן
יומנים יצטרכו לעבור ניתוח מעת לעת, על מנת לשפר את הגנת הפרטיות באופן כללי, וכדי לפתור ולמנוע פרצות אבטחה.
בעת ביצוע ניתוח יומן, ארגונים צריכים לקחת בחשבון:
- המומחיות של הצוות המבצע את הניתוח.
- השמיים סוג, קטגוריה ו תכונה מכל סוג אירוע.
- כל חריגים המיושמים באמצעות כללי רשת הנובעים מחומרה ופלטפורמות של תוכנת אבטחה.
- תעבורת רשת חריגה.
- ניתוח נתונים מיוחד.
- מודיעין איומים זמין (בין אם פנימית או ממקור צד שלישי מהימן).
ניטור יומן
ניטור יומנים מציע לארגונים את ההזדמנות להגן על PII במקור ולטפח גישה פרואקטיבית להגנה על פרטיות.
ארגונים צריכים:
- סקור ניסיונות פנימיים וחיצוניים לגשת למשאבים מאובטחים.
- נתח יומני DNS (ודוחות שימוש בנתונים) כדי לזהות תנועה ממקורות זדוניים וממנו.
- איסוף יומנים מנקודות גישה פיזיות ומהתקני אבטחה היקפיים פיזיים (מערכות כניסה וכו').
הנחיות נוספות הקשורות ל-PII
ISO דורש מארגונים לנטר יומנים הנוגעים ל-PII באמצעות 'תהליך ניטור והתראה מתמשך ואוטומטי'. זה עשוי לחייב קבוצה נפרדת של נהלים המנטרים את הגישה ל-PII.
ארגונים צריכים להבטיח ש- בראש סדר העדיפויות - יומנים מספקים חשבון ברור של גישה ל-PII, כולל:
- מי ניגש לנתונים.
- מתי הגישה לנתונים.
- לאיזה PII של המנהל הגישה.
- כל שינוי שבוצע.
ארגונים צריכים להחליט'אם, מתי ואיךמידע על יומן PII צריך להיות זמין ללקוחות, כאשר כל קריטריון יהיה זמין באופן חופשי למנהלים עצמם ונקיטת הקפדה רבה על מנת להבטיח שמנהלי PII יוכלו לגשת רק למידע הנוגע אליהם.
מאמרי GDPR ישימים
- סעיף 5 – (1)(ו)
בקרות ISO 27002 רלוונטיות
- ISO 27002 5.34
- ISO 27002 8.11
- ISO 27002 8.17
- ISO 27002 8.18
נהל את כל התאימות שלך במקום אחד
ISMS.online תומך ביותר מ-100 תקנים
ותקנות, נותן לך יחיד
פלטפורמה לכל צרכי התאימות שלך.
ISO 27701 סעיף 6.9.4.2 - הגנה על מידע יומן
הפניות ISO 27002 בקרה 8.15
ראה ISO 27701 סעיף 6.9.4.1
הנחיות נוספות הקשורות ל-PII
ארגונים צריכים להקדיש תשומת לב רבה להבטחת היומנים המכילים PII נשלטים כראוי, ולהפיק תועלת מניטור מאובטח.
יש להפעיל נהלים אוטומטיים שמוחקים או 'מבטלים מזהים' יומנים, בהתאם למדיניות שמירה שפורסמה (ראה ISO 27002 בקרת 7.4.7).
מאמרי GDPR ישימים
- סעיף 5 – (1)(ו)
ISO 27701 סעיף 6.9.4.3 - יומני מנהל ומפעיל
הפניות ISO 27002 בקרה 8.15
ראה ISO 27701 סעיף 6.9.4.1
ISO 27701 סעיף 6.9.4.4 - סנכרון שעון
הפניות ISO 27002 בקרה 8.17
ISO דורש מארגונים להקים א זמן התייחסות סטנדרטי שניתן להשתמש בכל מערכות הגנת הפרטיות.
ארגונים צריכים:
- שקול את הדרישות שלהם לשלושה היבטים של סנכרון שעון: ייצוג זמן, סנכרון אמין, דיוק.
- לתת מענה לצרכיהם במסגרת חובותיהם המשפטיות, הסטטוטוריות, הרגולטוריות, החוזיות והפיקוח.
- השתמש בשירות שעון אטומי כנקודת ייחוס יחידה.
- השתמש בשני מקורות זמן נפרדים כדי לשפר את היתירות ולחזק את החוסן במהלך תקריות קריטיות.
- שקול את ההשלכות של שימוש במקורות זמן הנובעים מפלטפורמות וספקים שונים - למשל שירותי דומיין מקומיים לעומת ספקי שירותי ענן של צד שלישי.
בקרות תומכות מ-ISO 27002 ו-GDPR
| מזהה סעיף ISO 27701 | שם סעיף ISO 27701 | דרישת ISO 27002 | מאמרי GDPR משויכים |
|---|---|---|---|
| 6.9.4.1 | רישום אירועים |
8.15 - רישום עבור ISO 27002 | סעיף (5) |
| 6.9.4.2 | הגנה על מידע יומן |
8.15 - רישום עבור ISO 27002 | סעיף (5) |
| 6.9.4.3 | יומני מנהל ומפעילים |
8.15 - רישום עבור ISO 27002 | ללא חתימה |
| 6.9.4.4 | סנכרון שעון |
8.17 - סנכרון שעון עבור ISO 27002 | ללא חתימה |
כיצד ISMS.online עוזר
בניית מערכת PIMS משלך נוטה להיות דרך טובה יותר לסיים מערכת שמתאימה לתהליכים העסקיים שלך.
מערכת מותאמת אישית עשויה לחסוך לך כסף וסביר להניח שתהיה קלה יותר לשימוש, להגדיר ולהתאים למעבדי הנתונים והבקרים שלך.
ארגונים מסוימים מוצאים את הרעיון של בניית מערכת משלהם מרתיע ומשימה שמובילה אותם לחפש מערכות מדף.
לא משנה באיזה מסלול תבחר ללכת עבור הארגון שלך, הפתרונות מבוססי הענן שלנו ב-ISMS.online יסייעו לוודא שאתה שומר את התיעוד הנדרש כדי לעמוד בתקן.
למידע נוסף על ידי הזמנת הדגמה.
קפוץ לנושא
