ISO 27001:2022 Annexe A Contrôle 8.15

Conseils sur les informations du journal des événements

Un événement est toute activité réalisée par une entité physique ou logique sur un système informatique, telle qu'une demande de données, une connexion à distance, un arrêt automatique du système ou la suppression d'un fichier.

La norme ISO 27001:2022, Annexe A 8.15, indique que pour que chaque journal d'événements remplisse son objectif, il doit contenir cinq éléments principaux :

• L'ID utilisateur associé à la personne.
• L'activité du système peut être surveillée pour identifier ce qui s'est passé.
• À une certaine date et heure, un événement s'est produit.
• L'événement a eu lieu sur l'appareil/système et son emplacement a été identifié.
• Adresses et protocoles réseau – informations IP.

Conseils sur les types d'événements

Il n'est peut-être pas possible d'enregistrer chaque occurrence sur un réseau pour des raisons pratiques. L'enregistrement de chaque événement peut ne pas être réalisable.

La norme ISO 27001:2022, Annexe A 8.15, spécifie dix événements qui doivent être enregistrés, car ils peuvent affecter le risque et maintenir un niveau approprié de risque. sécurité des informations :

1. Les tentatives d’accès au système seront suivies et surveillées.
2. Les tentatives d’accès aux données et/ou aux ressources seront surveillées. Toute activité considérée comme suspecte sera signalée.
3. Modifications de la configuration du système/OS.
4. L'utilisation de privilèges de haut niveau.
5. Utiliser des programmes utilitaires ou des installations de maintenance (conformément à la norme ISO 27001:2022, annexe A 8.18).
6. Demandes d'accès aux fichiers, avec suppressions, migrations, etc.
7. Contrôle d'accès alarmes et interruptions importantes.
8. Activation et/ou désactivation des systèmes de sécurité front-end et back-end, par exemple un logiciel antivirus côté client et des systèmes de protection par pare-feu.
9. Gestion des identités.
10. Certaines actions ou modifications du système/des données effectuées lors d'une session au sein d'une application.

Comme le souligne l'annexe A 27001 de la norme ISO 2022 : 8.17, il est essentiel de garantir que tous les journaux sont synchronisés avec la ou les mêmes sources de temps et, en cas de journaux d'applications tierces, tout écart de temps doit être traité et documenté.

Conseils sur la protection des journaux

Les journaux constituent le moyen le plus fondamental de déterminer l’activité des utilisateurs, des systèmes et des applications sur un réseau, en particulier lorsque des enquêtes sont en cours.

Il est essentiel pour les organisations de garantir que les utilisateurs, quel que soit leur niveau d'autorisation, ne puissent pas supprimer ou modifier leurs propres journaux d'événements.

Les journaux doivent être complets, précis et protégés contre toute modification ou interruption non autorisée, notamment :

• Fichiers journaux supprimés ou modifiés.
• Modifications du type de message.
• Il convient d'éviter de ne pas produire de journal ou d'écraser des journaux en raison de problèmes de stockage ou de réseau.

L'ISO conseille que pour améliorer la sécurité des informations, les journaux doivent être protégés avec les techniques suivantes :

• Enregistrement en lecture seule.
• Utilisation de fichiers publics de transparence.
• Hachage cryptographique.
• Enregistrement en ajout uniquement.

Les organisations peuvent exiger l'envoi de journaux aux fournisseurs pour résoudre les incidents et les pannes. Lorsque cela est nécessaire, les journaux doivent être « anonymisés » (conformément à la norme ISO 27001:2022 Annexe A 8.11) avec les informations suivantes masquées :

• Adresses IP.
• Noms d'hôtes.
• Noms d'utilisateurs.

Pour garantir la protection des informations personnelles, des mesures doivent être prises conformément aux réglementations de l'organisation en matière de confidentialité des données et aux lois en vigueur (voir la norme ISO 27001:2022, annexe A 5.34).

Conseils sur l'analyse des journaux

Lorsque vous évaluez les journaux pour identifier, traiter et expliquer les incidents de cybersécurité – dans le but de prévenir leur récurrence – tenez compte des éléments suivants :

• Le personnel effectuant l'analyse possède un haut niveau d'expertise.
• Les journaux sont analysés conformément au protocole de l'entreprise.
• Les événements à analyser doivent être catégorisés et identifiés par type et attribut.
• Les exceptions résultant des règles de réseau générées par les logiciels, le matériel et les plates-formes de sécurité doivent être appliquées.
• La progression typique du trafic réseau par opposition aux modèles imprévisibles.
• Une analyse spécialisée des données révèle des tendances remarquables.
• Renseignements sur les menaces.

Conseils sur la surveillance des journaux

L'analyse des journaux doit être effectuée conjointement avec activités de surveillance qui détectent les modèles essentiels et les comportements inhabituels.

Les organisations doivent adopter une approche à deux volets pour atteindre leurs objectifs :

• Examinez toutes les tentatives d'accès à des ressources sécurisées et critiques pour l'entreprise, telles que les serveurs de domaine, les portails Web et les plateformes de partage de fichiers.
• Examinez les enregistrements DNS pour identifier tout trafic sortant associé à des sources malveillantes et à des procédures de serveur préjudiciables.
• Rassemblez les enregistrements d'utilisation des données auprès des fournisseurs de services ou des systèmes internes pour reconnaître tout comportement malveillant.
• Rassemblez des enregistrements à partir de points d’entrée physiques, tels que les journaux de cartes-clés/porte-clés et les données d’accès aux chambres.

Information supplémentaire

Les organisations devraient envisager d'utiliser des programmes utilitaires spécialisés pour passer au crible l'immense quantité d'informations produites par les journaux système, économisant ainsi du temps et des ressources lors de l'analyse des incidents de sécurité, par exemple un outil SIEM.

Si une organisation utilise une plate-forme basée sur le cloud pour une partie quelconque de ses opérations, la gestion des journaux doit être une responsabilité partagée entre le fournisseur de services et l'organisation.

Contrôles accompagnant l’Annexe A

• ISO 27001:2022 Annexe A 5.34
• ISO 27001:2022 Annexe A 8.11
• ISO 27001:2022 Annexe A 8.17
• ISO 27001:2022 Annexe A 8.18

Modifications et différences par rapport à la norme ISO 27001:2013

ISO 27001:2022 Annexe A 8.15 remplace trois contrôles de la norme ISO 27001:2013 qui couvrent le stockage, la gestion et l'analyse des fichiers journaux :

• 12.4.1 – Journalisation des événements
• 12.4.2 – Protection des informations du journal
• 12.4.3 – Journaux de l’administrateur et de l’opérateur

ISO 27001:2022 Annexe A 8.15 aligne largement les directives des trois contrôles évoqués précédemment, formant un protocole clair qui couvre la journalisation, ainsi que quelques ajouts notables tels que :

• Lignes directrices qui abordent la protection des informations de journal de manière élargie.
• Conseils sur les différents types d’événements qui doivent être examinés de près.
• Conseils sur la surveillance et l’analyse des journaux pour améliorer la sécurité des informations.
• Comment gérer les journaux générés par les plateformes basées sur le cloud.

Tableau de tous les contrôles ISO 27001:2022 Annexe A

Dans le tableau ci-dessous, vous trouverez plus d'informations sur chaque individu ISO 27001:2022 Annexe A Contrôle.

Comment l'aide d'ISMS.online

La plateforme ISMS.online facilite l'intégralité de Implémentation ISO 27001, en commençant par les activités d'évaluation des risques et en concluant par l'établissement de politiques, de procédures et de lignes directrices pour répondre aux critères de la norme.

ISMS.online offre aux organisations un chemin simple vers la conformité ISO 27001 via son ensemble d'outils automatisés. Ses fonctionnalités conviviales permettent de démontrer facilement le respect de la norme.

Contactez-nous dès maintenant pour organiser une démonstration.