- Voir ISO 27002:2022 Contrôle 8.15 pour en profiter.
- Voir ISO 27001:2013 Annexe A 12.4.1 pour en profiter.
- Voir ISO 27001:2013 Annexe A 12.4.2 pour en profiter.
- Voir ISO 27001:2013 Annexe A 12.4.3 pour en profiter.
Objet de la norme ISO 27001:2022 Annexe A 8.15
Les journaux sont un élément crucial pour obtenir une vue d’ensemble complète des activités TIC et des actions du personnel. Ils permettent aux organisations de construire une chronologie des événements et d'examiner les tendances logiques et physiques sur l'ensemble de leur réseau.
La production de données de journal accessibles et simples constitue un aspect essentiel du plan TIC général d'une organisation, au même titre que de nombreux contrôles majeurs de sécurité des informations dans ISO 27001: 2022.
Les journaux doivent être régulièrement vérifiés :
- Enregistrez les événements.
- Rassemblez des données et obtenez des preuves.
- Maintenir leur intégrité.
- Garantissez la sécurité des données de journal contre tout accès non autorisé.
- Identifiez les activités et les événements qui pourraient entraîner une violation des informations/de la sécurité.
- Cela sert d’aide aux enquêtes internes et externes.
Propriété de l'annexe A 8.15
La norme ISO 27001 :2022, annexe A 8.15, couvre les opérations informatiques nécessitant un accès administrateur système. Il englobe la gestion et la maintenance du réseau. Par conséquent, la Head of IT, ou leur équivalent, est responsable de ce contrôle.
La norme ISO 27001 simplifiée
Une avance de 81 % dès le premier jour
Nous avons fait le plus gros du travail pour vous, en vous offrant une avance de 81 % dès votre connexion. Il ne vous reste plus qu'à remplir les champs.
Conseils sur les informations du journal des événements
Un événement est toute activité réalisée par une entité physique ou logique sur un système informatique, telle qu'une demande de données, une connexion à distance, un arrêt automatique du système ou la suppression d'un fichier.
La norme ISO 27001:2022, Annexe A 8.15, indique que pour que chaque journal d'événements remplisse son objectif, il doit contenir cinq éléments principaux :
- L'ID utilisateur associé à la personne.
- L'activité du système peut être surveillée pour identifier ce qui s'est passé.
- À une certaine date et heure, un événement s'est produit.
- L'événement a eu lieu sur l'appareil/système et son emplacement a été identifié.
- Adresses et protocoles réseau – informations IP.
Conseils sur les types d'événements
Il n'est peut-être pas possible d'enregistrer chaque occurrence sur un réseau pour des raisons pratiques. L'enregistrement de chaque événement peut ne pas être réalisable.
La norme ISO 27001:2022, Annexe A 8.15, spécifie dix événements qui doivent être enregistrés, car ils peuvent affecter le risque et maintenir un niveau approprié de risque. sécurité des informations :
- Les tentatives d’accès au système seront suivies et surveillées.
- Les tentatives d’accès aux données et/ou aux ressources seront surveillées. Toute activité considérée comme suspecte sera signalée.
- Modifications de la configuration du système/OS.
- L'utilisation de privilèges de haut niveau.
- Utiliser des programmes utilitaires ou des installations de maintenance (conformément à la norme ISO 27001:2022, annexe A 8.18).
- Demandes d'accès aux fichiers, avec suppressions, migrations, etc.
- Contrôle d'accès alarmes et interruptions importantes.
- Activation et/ou désactivation des systèmes de sécurité front-end et back-end, par exemple un logiciel antivirus côté client et des systèmes de protection par pare-feu.
- Gestion des identités.
- Certaines actions ou modifications du système/des données effectuées lors d'une session au sein d'une application.
Comme le souligne l'annexe A 27001 de la norme ISO 2022 : 8.17, il est essentiel de garantir que tous les journaux sont synchronisés avec la ou les mêmes sources de temps et, en cas de journaux d'applications tierces, tout écart de temps doit être traité et documenté.
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
Conseils sur la protection des journaux
Les journaux constituent le moyen le plus fondamental de déterminer l’activité des utilisateurs, des systèmes et des applications sur un réseau, en particulier lorsque des enquêtes sont en cours.
Il est essentiel pour les organisations de garantir que les utilisateurs, quel que soit leur niveau d'autorisation, ne puissent pas supprimer ou modifier leurs propres journaux d'événements.
Les journaux doivent être complets, précis et protégés contre toute modification ou interruption non autorisée, notamment :
- Fichiers journaux supprimés ou modifiés.
- Modifications du type de message.
- Il convient d'éviter de ne pas produire de journal ou d'écraser des journaux en raison de problèmes de stockage ou de réseau.
L'ISO conseille que pour améliorer la sécurité des informations, les journaux doivent être protégés avec les techniques suivantes :
- Enregistrement en lecture seule.
- Utilisation de fichiers publics de transparence.
- Hachage cryptographique.
- Enregistrement en ajout uniquement.
Les organisations peuvent exiger l'envoi de journaux aux fournisseurs pour résoudre les incidents et les pannes. Lorsque cela est nécessaire, les journaux doivent être « anonymisés » (conformément à la norme ISO 27001:2022 Annexe A 8.11) avec les informations suivantes masquées :
- Adresses IP.
- Noms d'hôtes.
- Noms d'utilisateurs.
Pour garantir la protection des informations personnelles, des mesures doivent être prises conformément aux réglementations de l'organisation en matière de confidentialité des données et aux lois en vigueur (voir la norme ISO 27001:2022, annexe A 5.34).
Conseils sur l'analyse des journaux
Lorsque vous évaluez les journaux pour identifier, traiter et expliquer les incidents de cybersécurité – dans le but de prévenir leur récurrence – tenez compte des éléments suivants :
- Le personnel effectuant l'analyse possède un haut niveau d'expertise.
- Les journaux sont analysés conformément au protocole de l'entreprise.
- Les événements à analyser doivent être catégorisés et identifiés par type et attribut.
- Les exceptions résultant des règles de réseau générées par les logiciels, le matériel et les plates-formes de sécurité doivent être appliquées.
- La progression typique du trafic réseau par opposition aux modèles imprévisibles.
- Une analyse spécialisée des données révèle des tendances remarquables.
- Renseignements sur les menaces.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Conseils sur la surveillance des journaux
L'analyse des journaux doit être effectuée conjointement avec activités de surveillance qui détectent les modèles essentiels et les comportements inhabituels.
Les organisations doivent adopter une approche à deux volets pour atteindre leurs objectifs :
- Examinez toutes les tentatives d'accès à des ressources sécurisées et critiques pour l'entreprise, telles que les serveurs de domaine, les portails Web et les plateformes de partage de fichiers.
- Examinez les enregistrements DNS pour identifier tout trafic sortant associé à des sources malveillantes et à des procédures de serveur préjudiciables.
- Rassemblez les enregistrements d'utilisation des données auprès des fournisseurs de services ou des systèmes internes pour reconnaître tout comportement malveillant.
- Rassemblez des enregistrements à partir de points d’entrée physiques, tels que les journaux de cartes-clés/porte-clés et les données d’accès aux chambres.
Information supplémentaire
Les organisations devraient envisager d'utiliser des programmes utilitaires spécialisés pour passer au crible l'immense quantité d'informations produites par les journaux système, économisant ainsi du temps et des ressources lors de l'analyse des incidents de sécurité, par exemple un outil SIEM.
Si une organisation utilise une plate-forme basée sur le cloud pour une partie quelconque de ses opérations, la gestion des journaux doit être une responsabilité partagée entre le fournisseur de services et l'organisation.
Contrôles accompagnant l’Annexe A
- ISO 27001:2022 Annexe A 5.34
- ISO 27001:2022 Annexe A 8.11
- ISO 27001:2022 Annexe A 8.17
- ISO 27001:2022 Annexe A 8.18
Modifications et différences par rapport à la norme ISO 27001:2013
ISO 27001:2022 Annexe A 8.15 remplace trois contrôles de la norme ISO 27001:2013 qui couvrent le stockage, la gestion et l'analyse des fichiers journaux :
- 12.4.1 – Journalisation des événements
- 12.4.2 – Protection des informations du journal
- 12.4.3 – Journaux de l’administrateur et de l’opérateur
ISO 27001:2022 Annexe A 8.15 aligne largement les directives des trois contrôles évoqués précédemment, formant un protocole clair qui couvre la journalisation, ainsi que quelques ajouts notables tels que :
- Lignes directrices qui abordent la protection des informations de journal de manière élargie.
- Conseils sur les différents types d’événements qui doivent être examinés de près.
- Conseils sur la surveillance et l’analyse des journaux pour améliorer la sécurité des informations.
- Comment gérer les journaux générés par les plateformes basées sur le cloud.
Tableau de tous les contrôles ISO 27001:2022 Annexe A
Dans le tableau ci-dessous, vous trouverez plus d'informations sur chaque individu ISO 27001:2022 Annexe A Contrôle.
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles organisationnels | Annexe A 5.1 |
Annexe A 5.1.1 Annexe A 5.1.2 |
Politiques de sécurité des informations |
| Contrôles organisationnels | Annexe A 5.2 | Annexe A 6.1.1 | Rôles et responsabilités en matière de sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.3 | Annexe A 6.1.2 | Séparation des tâches |
| Contrôles organisationnels | Annexe A 5.4 | Annexe A 7.2.1 | Responsabilités de la direction |
| Contrôles organisationnels | Annexe A 5.5 | Annexe A 6.1.3 | Contact avec les autorités |
| Contrôles organisationnels | Annexe A 5.6 | Annexe A 6.1.4 | Contact avec des groupes d'intérêt spécial |
| Contrôles organisationnels | Annexe A 5.7 | NOUVEAU | Renseignement sur les menaces |
| Contrôles organisationnels | Annexe A 5.8 |
Annexe A 6.1.5 Annexe A 14.1.1 |
Sécurité de l'information dans la gestion de projet |
| Contrôles organisationnels | Annexe A 5.9 |
Annexe A 8.1.1 Annexe A 8.1.2 |
Inventaire des informations et autres actifs associés |
| Contrôles organisationnels | Annexe A 5.10 |
Annexe A 8.1.3 Annexe A 8.2.3 |
Utilisation acceptable des informations et autres actifs associés |
| Contrôles organisationnels | Annexe A 5.11 | Annexe A 8.1.4 | Restitution des actifs |
| Contrôles organisationnels | Annexe A 5.12 | Annexe A 8.2.1 | Classification des informations |
| Contrôles organisationnels | Annexe A 5.13 | Annexe A 8.2.2 | Étiquetage des informations |
| Contrôles organisationnels | Annexe A 5.14 |
Annexe A 13.2.1 Annexe A 13.2.2 Annexe A 13.2.3 |
Transfert d'information |
| Contrôles organisationnels | Annexe A 5.15 |
Annexe A 9.1.1 Annexe A 9.1.2 |
Contrôle d'Accès |
| Contrôles organisationnels | Annexe A 5.16 | Annexe A 9.2.1 | Gestion d'identité |
| Contrôles organisationnels | Annexe A 5.17 |
Annexe A 9.2.4 Annexe A 9.3.1 Annexe A 9.4.3 |
Informations d'authentification |
| Contrôles organisationnels | Annexe A 5.18 |
Annexe A 9.2.2 Annexe A 9.2.5 Annexe A 9.2.6 |
Des droits d'accès |
| Contrôles organisationnels | Annexe A 5.19 | Annexe A 15.1.1 | Sécurité de l'information dans les relations avec les fournisseurs |
| Contrôles organisationnels | Annexe A 5.20 | Annexe A 15.1.2 | Aborder la sécurité des informations dans les accords avec les fournisseurs |
| Contrôles organisationnels | Annexe A 5.21 | Annexe A 15.1.3 | Gestion de la sécurité de l'information dans la chaîne d'approvisionnement des TIC |
| Contrôles organisationnels | Annexe A 5.22 |
Annexe A 15.2.1 Annexe A 15.2.2 |
Surveillance, révision et gestion du changement des services des fournisseurs |
| Contrôles organisationnels | Annexe A 5.23 | NOUVEAU | Sécurité des informations pour l'utilisation des services cloud |
| Contrôles organisationnels | Annexe A 5.24 | Annexe A 16.1.1 | Planification et préparation de la gestion des incidents de sécurité de l’information |
| Contrôles organisationnels | Annexe A 5.25 | Annexe A 16.1.4 | Évaluation et décision sur les événements liés à la sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.26 | Annexe A 16.1.5 | Réponse aux incidents de sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.27 | Annexe A 16.1.6 | Tirer les leçons des incidents de sécurité de l’information |
| Contrôles organisationnels | Annexe A 5.28 | Annexe A 16.1.7 | Collecte de preuves |
| Contrôles organisationnels | Annexe A 5.29 |
Annexe A 17.1.1 Annexe A 17.1.2 Annexe A 17.1.3 |
Sécurité des informations en cas de perturbation |
| Contrôles organisationnels | Annexe A 5.30 | NOUVEAU | Préparation aux TIC pour la continuité des activités |
| Contrôles organisationnels | Annexe A 5.31 |
Annexe A 18.1.1 Annexe A 18.1.5 |
Exigences légales, statutaires, réglementaires et contractuelles |
| Contrôles organisationnels | Annexe A 5.32 | Annexe A 18.1.2 | Droits de Propriété Intellectuelle |
| Contrôles organisationnels | Annexe A 5.33 | Annexe A 18.1.3 | Protection des dossiers |
| Contrôles organisationnels | Annexe A 5.34 | Annexe A 18.1.4 | Confidentialité et protection des informations personnelles |
| Contrôles organisationnels | Annexe A 5.35 | Annexe A 18.2.1 | Examen indépendant de la sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.36 |
Annexe A 18.2.2 Annexe A 18.2.3 |
Conformité aux politiques, règles et normes en matière de sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.37 | Annexe A 12.1.1 | Procédures opérationnelles documentées |
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles des personnes | Annexe A 6.1 | Annexe A 7.1.1 | Présélection |
| Contrôles des personnes | Annexe A 6.2 | Annexe A 7.1.2 | Conditions d'emploi |
| Contrôles des personnes | Annexe A 6.3 | Annexe A 7.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
| Contrôles des personnes | Annexe A 6.4 | Annexe A 7.2.3 | Processus disciplinaire |
| Contrôles des personnes | Annexe A 6.5 | Annexe A 7.3.1 | Responsabilités après la cessation ou le changement d'emploi |
| Contrôles des personnes | Annexe A 6.6 | Annexe A 13.2.4 | Accords de confidentialité ou de non-divulgation |
| Contrôles des personnes | Annexe A 6.7 | Annexe A 6.2.2 | Travail à distance |
| Contrôles des personnes | Annexe A 6.8 |
Annexe A 16.1.2 Annexe A 16.1.3 |
Rapport d'événements liés à la sécurité de l'information |
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles physiques | Annexe A 7.1 | Annexe A 11.1.1 | Périmètres de sécurité physique |
| Contrôles physiques | Annexe A 7.2 |
Annexe A 11.1.2 Annexe A 11.1.6 |
Entrée physique |
| Contrôles physiques | Annexe A 7.3 | Annexe A 11.1.3 | Sécuriser les bureaux, les chambres et les installations |
| Contrôles physiques | Annexe A 7.4 | NOUVEAU | Surveillance de la sécurité physique |
| Contrôles physiques | Annexe A 7.5 | Annexe A 11.1.4 | Se protéger contre les menaces physiques et environnementales |
| Contrôles physiques | Annexe A 7.6 | Annexe A 11.1.5 | Travailler dans des zones sécurisées |
| Contrôles physiques | Annexe A 7.7 | Annexe A 11.2.9 | Bureau clair et écran clair |
| Contrôles physiques | Annexe A 7.8 | Annexe A 11.2.1 | Emplacement et protection des équipements |
| Contrôles physiques | Annexe A 7.9 | Annexe A 11.2.6 | Sécurité des actifs hors site |
| Contrôles physiques | Annexe A 7.10 |
Annexe A 8.3.1 Annexe A 8.3.2 Annexe A 8.3.3 Annexe A 11.2.5 |
stockage des médias |
| Contrôles physiques | Annexe A 7.11 | Annexe A 11.2.2 | Utilitaires de support |
| Contrôles physiques | Annexe A 7.12 | Annexe A 11.2.3 | Sécurité du câblage |
| Contrôles physiques | Annexe A 7.13 | Annexe A 11.2.4 | Entretien de l'équipement |
| Contrôles physiques | Annexe A 7.14 | Annexe A 11.2.7 | Élimination ou réutilisation sécurisée de l’équipement |
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles technologiques | Annexe A 8.1 |
Annexe A 6.2.1 Annexe A 11.2.8 |
Périphériques de point de terminaison utilisateur |
| Contrôles technologiques | Annexe A 8.2 | Annexe A 9.2.3 | Droits d'accès privilégiés |
| Contrôles technologiques | Annexe A 8.3 | Annexe A 9.4.1 | Restriction d'accès aux informations |
| Contrôles technologiques | Annexe A 8.4 | Annexe A 9.4.5 | Accès au code source |
| Contrôles technologiques | Annexe A 8.5 | Annexe A 9.4.2 | Authentification sécurisée |
| Contrôles technologiques | Annexe A 8.6 | Annexe A 12.1.3 | Gestion de la capacité |
| Contrôles technologiques | Annexe A 8.7 | Annexe A 12.2.1 | Protection contre les logiciels malveillants |
| Contrôles technologiques | Annexe A 8.8 |
Annexe A 12.6.1 Annexe A 18.2.3 |
Gestion des vulnérabilités techniques |
| Contrôles technologiques | Annexe A 8.9 | NOUVEAU | Configuration Management |
| Contrôles technologiques | Annexe A 8.10 | NOUVEAU | Suppression des informations |
| Contrôles technologiques | Annexe A 8.11 | NOUVEAU | Masquage des données |
| Contrôles technologiques | Annexe A 8.12 | NOUVEAU | Prévention des fuites de données |
| Contrôles technologiques | Annexe A 8.13 | Annexe A 12.3.1 | Sauvegarde des informations |
| Contrôles technologiques | Annexe A 8.14 | Annexe A 17.2.1 | Redondance des installations de traitement de l'information |
| Contrôles technologiques | Annexe A 8.15 |
Annexe A 12.4.1 Annexe A 12.4.2 Annexe A 12.4.3 |
Journal |
| Contrôles technologiques | Annexe A 8.16 | NOUVEAU | Activités de surveillance |
| Contrôles technologiques | Annexe A 8.17 | Annexe A 12.4.4 | Synchronisation d'horloge |
| Contrôles technologiques | Annexe A 8.18 | Annexe A 9.4.4 | Utilisation des programmes utilitaires privilégiésDroits d'accès |
| Contrôles technologiques | Annexe A 8.19 |
Annexe A 12.5.1 Annexe A 12.6.2 |
Installation de logiciels sur les systèmes opérationnels |
| Contrôles technologiques | Annexe A 8.20 | Annexe A 13.1.1 | Sécurité des réseaux |
| Contrôles technologiques | Annexe A 8.21 | Annexe A 13.1.2 | Sécurité des services réseau |
| Contrôles technologiques | Annexe A 8.22 | Annexe A 13.1.3 | Ségrégation des réseaux |
| Contrôles technologiques | Annexe A 8.23 | NOUVEAU | filtrage web |
| Contrôles technologiques | Annexe A 8.24 |
Annexe A 10.1.1 Annexe A 10.1.2 |
Utilisation de la cryptographie |
| Contrôles technologiques | Annexe A 8.25 | Annexe A 14.2.1 | Cycle de vie du développement sécurisé |
| Contrôles technologiques | Annexe A 8.26 |
Annexe A 14.1.2 Annexe A 14.1.3 |
Exigences de sécurité des applications |
| Contrôles technologiques | Annexe A 8.27 | Annexe A 14.2.5 | Principes d'architecture et d'ingénierie des systèmes sécurisés : Apprendre des incidents de sécurité de l'information |
| Contrôles technologiques | Annexe A 8.28 | NOUVEAU | Codage sécurisé |
| Contrôles technologiques | Annexe A 8.29 |
Annexe A 14.2.8 Annexe A 14.2.9 |
Tests de sécurité en développement et acceptation |
| Contrôles technologiques | Annexe A 8.30 | Annexe A 14.2.7 | Développement externalisé |
| Contrôles technologiques | Annexe A 8.31 |
Annexe A 12.1.4 Annexe A 14.2.6 |
Séparation des environnements de développement, de test et de production |
| Contrôles technologiques | Annexe A 8.32 |
Annexe A 12.1.2 Annexe A 14.2.2 Annexe A 14.2.3 Annexe A 14.2.4 |
La Gestion du changement |
| Contrôles technologiques | Annexe A 8.33 | Annexe A 14.3.1 | Informations sur les tests |
| Contrôles technologiques | Annexe A 8.34 | Annexe A 12.7.1 | Protection des systèmes d'information lors des tests d'audit |
Comment l'aide d'ISMS.online
La plateforme ISMS.online facilite l'intégralité de Implémentation ISO 27001, en commençant par les activités d'évaluation des risques et en concluant par l'établissement de politiques, de procédures et de lignes directrices pour répondre aux critères de la norme.
ISMS.online offre aux organisations un chemin simple vers la conformité ISO 27001 via son ensemble d'outils automatisés. Ses fonctionnalités conviviales permettent de démontrer facilement le respect de la norme.
Contactez-nous dès maintenant pour organiser une démonstration.