Objective: Event logs support the traceability of events in case of a security incident. This requires that events necessary to determine the causes are recorded and stored. In addition, the logging and analysis of activities in accordance with applicable legislation (e.g. Data Protection or Works Constitution Act) is required to determine which user account has made changes to IT systems.
Requirements (must): Information security requirements regarding the handling of event logs are determined and fulfilled.
Security-relevant requirements regarding the logging of activities of system administrators and users are determined and fulfilled.
The IT systems used are assessed regarding the necessity of logging.
When using external IT services, information on the monitoring options is obtained and considered in the assessment.
Event logs are checked regularly for rule violations and noticeable problems in compliance with the permissible legal and organizational provisions.
Requirements (should): A procedure for the escalation of relevant events to the responsible body (e.g. security incident report, data protection, corporate security, IT security) is defined and established.
Event logs (contents and meta data) are protected against alteration. (e.g. by a dedicated environment).
Adequate monitoring and recording of any actions on the network that are relevant to information security are established.
Järjestelmälokien kehityksen tulee pysyä järjestemän kehityksen mukana ja mahdollistaa esim. tarvittava häriötilanteiden selvitys. Kuvaamme tietojärjestelmälistauksen yhteydessä, minkä järjestelmien suhteen vastuu lokituksen toteutuksesta on itsellämme. Näiden järjestelmien suhteen dokumentoimme:
Organisaation on oltava selvillä eri tietojärjestelmien käytöstä kertyvistä tapahtumalokeista, olipa lokien tuottaminen omalla tai järjestelmätoimittajan vastuulla. Lokeihin tallentuvat käyttäjien suorittamat toiminnot sekä tapahtuneet poikkeamat, virheet ja tietoturvatapahtumat.
Kertyvän lokin riittävyyttä on katselmoitava säännöllisesti. Lokin avulla pitäisi tarvittaessa pystyä selvittämään järjestelmään liittyvät häiriötilanteet ja niiden syy.
Suojausjärjestelmissä (esim. palomuuri, haittaohjelmasuojaus) on usein mahdollisuus tallentaa lokia tapahtumista. Varmistakaa säännöllisin aikavälein, että kattavaa lokia kertyy ja pyrkikää tunnistamaan epäilyttävää toimintaa. Lokista on hyötyä myös häiriöiden tai loukkausten tutkinnassa.
Organisaatiolla on oltava toimenpiteet ja toimintatavat tulevan tiedon, käsittelyssä olevan tiedon ja ulos tulevan tiedon turvallista säilytystä varten. Säilytyksessä tulisi ottaa huomioon:
Kaikki säilytettävä tieto tulee suojata varkaudelta, muokkaamiselta ja tuhoamiselta tai muulta tapahtumalta, joka vaikuttaa niiden luottamuksellisuuteen, eheyteen tai saatavuuteen.
Organisaatiolla on oltava menettely, jolla tapahtumalokit tarkastetaan sääntöjen rikkomisen ja muiden havaittavien ongelmien varalta lakisääteisten ja organisatoristen määräysten mukaisesti.
Organisaation on myös suojattava tapahtumalokien eheys (esim. erillisellä ympäristöllä).
Järjestelmälokit sisältävät usein runsaasti tietoa, josta suuri osa on tietoturvallisuuden tarkkailun kannalta epäolennaista. Jotta tietoturvallisuuden tarkkailun kannalta merkittävät tapahtumat saadaan tunnistettua, olisi harkittava tarkoituksenmukaisten sanomatyyppien automaattista kopiointia toiseen lokiin tai soveltuvien apuohjelmien tai tarkastustyökalujen käyttöä tiedostojen läpikäymisessä ja selvittämisessä.
Paranna osaamistasi viikoittaisten webinaarien, videokurssien, artikkeleiden ja blogien avulla.
