ISO 27701 Clausule 6.9.4: Versterking van privacy door middel van logging en monitoring
Logboekregistratie en monitoring zijn een cruciaal onderdeel van de privacybescherming van een organisatie, waardoor medewerkers kwaadwillige activiteiten binnen een netwerk kunnen detecteren en analyseren, en een grote hoeveelheid gegevens kunnen verzamelen die dienen ter ondersteuning van toekomstige beveiligingsinitiatieven.
Wat wordt er behandeld in ISO 27701, clausule 6.9.4
ISO 27701 6.9.4 bevat drie subclausules die aanwezig zijn richtlijnen voor informatiebeveiliging uit ISO 27002 in het kader van de privacybescherming:
- ISO 27701 – 6.9.4.1 Gebeurtenisregistratie (referenties ISO 27002-controle 8.15)
- ISO 27701 – 6.9.4.2 Bescherming van loginformatie (Referenties ISO 27002 controle 8.15)
- ISO 27701 – 6.9.4.4 Kloksynchronisatie (referenties ISO 27002-besturing 8.17)
Subclausules 6.9.4.1 en 6.9.4.2 bevatten beide uitgebreide aanvullende richtlijnen voor het beheren van logboekregistratie en monitoring naast PII-gerelateerde activiteiten. Verschillende clausules bevatten ook informatie die van toepassing is binnen de Britse AVG-wetgeving, waarbij de relevante artikelen hieronder worden gegeven.
Houd er rekening mee dat AVG-vermeldingen uitsluitend voor indicatieve doeleinden zijn. Organisaties moeten de wetgeving nauwkeurig onderzoeken en hun eigen oordeel vormen over welke delen van de wet op hen van toepassing zijn.
Bevrijd jezelf van een berg spreadsheets
Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.
ISO 27701 Clausule 6.9.4.1 – Registratie van gebeurtenissen
Referenties ISO 27002 Controle 8.15
ISO definieert een 'gebeurtenis' als elke actie die wordt uitgevoerd door een digitale of fysieke aanwezigheid/entiteit op een computersysteem.
Gebeurtenislogboeken moeten het volgende bevatten:
- Een gebruikers-ID – Wie of welk account de acties heeft uitgevoerd.
- Een registratie van systeemactiviteit.
- Tijdstempels.
- Apparaat- en systeem-ID's en de locatie van de gebeurtenis.
- IP-adresinformatie.
Gebeurtenistypes
ISO identificeert 11 gebeurtenissen/componenten die moeten worden geregistreerd (en gekoppeld aan dezelfde tijdbron – zie ISO 27002 controle 8.17), om de PII-beveiliging te behouden en de privacybescherming van de organisatie te verbeteren:
- Pogingen tot systeemtoegang.
- Pogingen tot gegevenstoegang.
- Pogingen tot toegang tot bronnen.
- Wijzigingen in de besturingssysteemconfiguratie.
- Verhoogde privileges.
- Nutsprogramma's en onderhoudsfaciliteiten (zie ISO 27002 controle 8.18).
- Verzoeken om toegang tot bestanden en wat er is gebeurd (verwijdering, migratie, enz.).
- Kritieke interrupties.
- Activiteiten rondom beveiligings-/antimalwaresystemen.
- Werkzaamheden op het gebied van identiteitsbeheer (bijv. toevoegingen en verwijderingen van gebruikers).
- Geselecteerde activiteiten voor sollicitatiesessies.
Logboekbescherming
Logboeken moeten worden beschermd tegen ongeoorloofde wijzigingen of operationele afwijkingen, waaronder:
- Wijzigingen in berichttype.
- Verwijderen of bewerken.
- Overschrijven vanwege opslagproblemen.
Organisaties moeten zich bezighouden met de volgende technieken om de op logbestanden gebaseerde beveiliging te verbeteren:
- Cryptografische hashing.
- Alleen-toevoegen-opname.
- Alleen-lezen opname.
- Gebruik van openbare transparantiebestanden.
Wanneer de noodzaak zich voordoet om logbestanden aan externe organisaties te verstrekken, moeten strikte maatregelen worden genomen om PII en privacygerelateerde informatie te beschermen, in overeenstemming met geaccepteerde normen voor gegevensprivacy (zie ISO 27002-controle 5.34 en aanvullende richtlijnen hieronder).
Logboekanalyse
Logboeken zullen van tijd tot tijd moeten worden geanalyseerd om de privacybescherming in het algemeen te verbeteren en om beveiligingsinbreuken op te lossen en te voorkomen.
Bij het uitvoeren van loganalyses moeten organisaties rekening houden met:
- De expertise van het personeel dat de analyse uitvoert.
- De type dan: , categorie en attribuut van elk evenementtype.
- Eventuele uitzonderingen die worden toegepast via netwerkregels die afkomstig zijn van hardware en platforms voor beveiligingssoftware.
- Afwijkend netwerkverkeer.
- Gespecialiseerde data-analyse.
- Beschikbare dreigingsinformatie (intern of van een vertrouwde externe bron).
Logboekbewaking
Logmonitoring biedt organisaties de kans om PII bij de bron te beschermen en een proactieve benadering van privacybescherming te bevorderen.
Organisaties moeten:
- Beoordeel interne en externe pogingen om toegang te krijgen tot beveiligde bronnen.
- Analyseer DNS-logboeken (en gegevensgebruiksrapporten) om verkeer van en naar kwaadaardige bronnen te identificeren.
- Verzamel logboeken van fysieke toegangspunten en fysieke perimeterbeveiligingsapparatuur (toegangssystemen enz.).
Aanvullende PII-gerelateerde richtlijnen
ISO vereist dat organisaties logbestanden met betrekking tot PII monitoren via een 'continu en geautomatiseerd monitoring- en waarschuwingsproces'. Hiervoor kan een aparte reeks procedures nodig zijn die de toegang tot PII monitoren.
Organisaties moeten ervoor zorgen dat logboeken – als prioriteit – een duidelijk verslag geven van de toegang tot PII, waaronder:
- Wie heeft toegang gekregen tot de gegevens.
- Wanneer de gegevens werden geopend.
- Van welke opdrachtgever de PII is geopend.
- Eventuele wijzigingen die zijn aangebracht.
Organisaties moeten beslissen'of, wanneer en hoe' PII-logboekinformatie moet beschikbaar worden gesteld aan klanten, waarbij alle criteria vrij beschikbaar moeten worden gesteld aan de opdrachtgevers zelf en er moet grote zorg worden besteed om ervoor te zorgen dat PII-opdrachtgevers alleen toegang kunnen krijgen tot informatie die op hen betrekking heeft.
Toepasselijke AVG-artikelen
- Artikel 5 – (1)(f)
Relevante ISO 27002-controles
- ISO 27002 5.34
- ISO 27002 8.11
- ISO 27002 8.17
- ISO 27002 8.18
Beheer al uw compliance op één plek
ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.
ISO 27701 Clausule 6.9.4.2 – Bescherming van loginformatie
Referenties ISO 27002 Controle 8.15
Zie ISO 27701 clausule 6.9.4.1
Aanvullende PII-gerelateerde richtlijnen
Organisaties moeten veel aandacht besteden aan het waarborgen dat logbestanden die PII bevatten op de juiste manier worden beheerd en profiteren van veilige monitoring.
Er moeten geautomatiseerde procedures worden ingevoerd die logbestanden verwijderen of 'de-identificeren', in overeenstemming met een gepubliceerd bewaarbeleid (zie ISO 27002-controle 7.4.7).
Toepasselijke AVG-artikelen
- Artikel 5 – (1)(f)
ISO 27701 Clausule 6.9.4.3 – Beheerder- en operatorlogboeken
Referenties ISO 27002 Controle 8.15
Zie ISO 27701 clausule 6.9.4.1
ISO 27701 Clausule 6.9.4.4 – Kloksynchronisatie
Referenties ISO 27002 Controle 8.17
ISO vereist dat organisaties een standaard referentietijd die in alle privacybeschermingssystemen kan worden gebruikt.
Organisaties moeten:
- Denk eens aan hun vereisten voor drie aspecten van kloksynchronisatie: tijdweergave, betrouwbare synchronisatie, nauwkeurigheid.
- Kom tegemoet aan hun behoeften binnen de reikwijdte van hun wettelijke, statutaire, regelgevende, contractuele en monitoringverplichtingen.
- Gebruik een atoomklokservice als uniek referentiepunt.
- Gebruik twee afzonderlijke tijdbronnen om de redundantie te verbeteren en de veerkracht tijdens kritieke incidenten te vergroten.
- Denk na over de implicaties van het gebruik van tijdbronnen die afkomstig zijn van verschillende platforms en providers – bijvoorbeeld lokale domeinservices versus externe cloudserviceproviders.
Ondersteunende controles van ISO 27002 en AVG
| ISO 27701-clausule-identificatie | ISO 27701 Clausulenaam | ISO 27002-vereiste | Bijbehorende AVG-artikelen |
|---|---|---|---|
| 6.9.4.1 | Gebeurtenisregistratie |
8.15 – Loggen voor ISO 27002 |
Artikel (5) |
| 6.9.4.2 | Bescherming van loginformatie |
8.15 – Loggen voor ISO 27002 |
Artikel (5) |
| 6.9.4.3 | Beheerder- en operatorlogboeken |
8.15 – Loggen voor ISO 27002 |
Geen |
| 6.9.4.4 | Kloksynchronisatie |
8.17 – Kloksynchronisatie voor ISO 27002 |
Geen |
Hoe ISMS.online helpt
Het bouwen van uw eigen PIMS-systeem is vaak een betere manier om een systeem te krijgen dat past bij uw bedrijfsprocessen.
Een op maat gemaakt systeem kan u geld besparen en is waarschijnlijk gemakkelijker te gebruiken, te configureren en aan te passen aan uw gegevensverwerkers en controleurs.
Sommige organisaties vinden het idee om hun eigen systeem te bouwen ontmoedigend en een taak die hen ertoe brengt op zoek te gaan naar kant-en-klare systemen.
Welke route u ook kiest voor uw organisatie, onze cloudgebaseerde oplossingen bij ISMS.online zorgen ervoor dat u over de documentatie beschikt die nodig is om aan de norm te voldoen.
Meer informatie via een demo boeken.
