Journaux – que ce soit sous la forme de journaux d'applications, de journaux d'événements ou d'informations générales sur le système – constituent un élément clé pour obtenir une vue descendante des événements TIC et des actions des employés. Les journaux permettent aux organisations d'établir une chronologie des événements et d'examiner les modèles logiques et physiques sur l'ensemble de leur réseau.
La production d'informations de journal claires et facilement accessibles constitue un élément important de la stratégie TIC globale d'une organisation et accompagne de nombreux contrôles majeurs de sécurité de l'information contenus dans la norme ISO 27002:2002.
Les journaux doivent :
Le contrôle 8.15 est un détective contrôler cela modifie le risque en adoptant une approche de l’exploitation forestière qui répond aux objectifs ci-dessus.
Type de contrôle | Propriétés de sécurité des informations | Concepts de cybersécurité | Capacités opérationnelles | Domaines de sécurité |
---|---|---|---|---|
#Détective | #Confidentialité #Intégrité #Disponibilité | #Détecter | #Gestion des événements de sécurité de l'information | #Protection #La défense |
Control 8.15 traite des opérations TIC effectuées à l'aide d'un accès administrateur système et relève de la gestion et de la maintenance du réseau. En tant que tel, la propriété de Control 8.15 devrait appartenir au responsable informatique ou à son équivalent organisationnel.
Un « événement » est toute action effectuée par une présence logique ou physique sur un système informatique – par exemple une demande de données, une connexion à distance, un arrêt automatique du système, une suppression de fichier.
Le contrôle 8.15 précise que chaque journal d'événements individuel doit contenir 5 composants principaux, afin qu'il puisse remplir son objectif opérationnel :
Pour des raisons pratiques, il n'est peut-être pas possible de consigner chaque événement qui se produit sur un réseau donné.
Dans cette optique, Control 8.15 identifie les 10 événements ci-dessous comme étant particulièrement importants à des fins de journalisation, compte tenu de leur capacité à modifier les risques et du rôle qu'ils jouent dans le maintien de niveaux adéquats de sécurité des informations :
Comme expliqué dans Control 8.17, il est d'une importance vitale que tous les journaux soient liés à la même source de temps synchronisée (ou ensemble de cours) et, dans le cas de journaux d'applications tierces, que tout écart de temps soit pris en compte et enregistré.
La seule conformité
solution dont vous avez besoin
Réservez votre démo
Les journaux constituent le plus petit dénominateur commun pour établir le comportement des utilisateurs, des systèmes et des applications sur un réseau donné, en particulier lorsqu'ils sont confrontés à une enquête.
Il est donc d’une importance vitale pour les organisations de s’assurer que les utilisateurs – quel que soit leurs niveaux d’autorisation – ne conservent pas la possibilité de supprimer ou de modifier leurs propres journaux d’événements.
Les journaux individuels doivent être complets, précis et protégés contre toute modification non autorisée ou problème opérationnel, notamment :
L'ISO recommande que, afin d'améliorer la sécurité des informations, les journaux soient protégés à l'aide des méthodes suivantes :
Les organisations peuvent avoir besoin d'envoyer des journaux aux fournisseurs pour résoudre les incidents et les pannes. Si cela s'avère nécessaire, les journaux doivent être « anonymisés » (voir Contrôle 8.11) et les informations suivantes doivent être masquées :
En plus de cela, des mesures doivent être prises pour protéger les informations personnelles identifiables (PII) conformément aux propres protocoles de confidentialité des données de l'organisation et à toute législation en vigueur (voir Contrôle 5.34).
Lors de l'analyse des journaux dans le but d'identifier, de résoudre et d'analyser des événements de sécurité de l'information – dans le but final de prévenir de futurs événements – les facteurs suivants doivent être pris en compte :
Nous vous donnerons une longueur d'avance de 81 %
à partir du moment où vous vous connectez
Réservez votre démo
L’analyse des journaux ne doit pas être effectuée de manière isolée et doit être effectuée en tandem avec des activités de surveillance rigoureuses qui identifient les modèles clés et les comportements anormaux.
Afin de parvenir à une approche à double front, les organisations doivent :
Les organisations devraient envisager d'utiliser des programmes utilitaires spécialisés qui les aident à rechercher dans les grandes quantités d'informations générées par les journaux système, afin d'économiser du temps et des ressources lors des enquêtes sur les incidents de sécurité, comme un outil SIEM.
Si une organisation utilise une plate-forme basée sur le cloud pour effectuer une partie de ses opérations, la gestion des journaux doit être considérée comme une responsabilité partagée entre le fournisseur de services et l'organisation elle-même.
ISO 27002:2002-8.15 remplace trois contrôles de l'ISO 27002:2003 qui traitent du stockage, de la gestion et de l'analyse des fichiers journaux :
27002:2002-8.15 corrobore largement tous les points d'orientation des trois contrôles ci-dessus en un seul protocole clair qui traite de l'exploitation forestière, avec quelques extensions notables, notamment (mais sans s'y limiter) :
La plateforme ISMS.Online aide à tous les aspects de la mise en œuvre de la norme ISO 27002, depuis la gestion des activités d'évaluation des risques jusqu'à l'élaboration de politiques, procédures et lignes directrices pour se conformer aux exigences de la norme.
Grâce à son ensemble d'outils automatisés, ISMS.Online permet aux organisations de démontrer facilement leur conformité à la norme ISO 27002.
Contactez-nous aujourd'hui pour planifier une démo.
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
5.7 | Nouveauté | Intelligence de la menace |
5.23 | Nouveauté | Sécurité des informations pour l'utilisation des services cloud |
5.30 | Nouveauté | Préparation aux TIC pour la continuité des activités |
7.4 | Nouveauté | Surveillance de la sécurité physique |
8.9 | Nouveauté | Gestion de la configuration |
8.10 | Nouveauté | Suppression des informations |
8.11 | Nouveauté | Masquage des données |
8.12 | Nouveauté | Prévention des fuites de données |
8.16 | Nouveauté | Activités de surveillance |
8.23 | Nouveauté | filtrage web |
8.28 | Nouveauté | Codage sécurisé |
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
6.1 | 07.1.1 | Tamisage |
6.2 | 07.1.2 | Termes et conditions d'emploi |
6.3 | 07.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
6.4 | 07.2.3 | Processus disciplinaire |
6.5 | 07.3.1 | Responsabilités après la cessation ou le changement d'emploi |
6.6 | 13.2.4 | Accords de confidentialité ou de non-divulgation |
6.7 | 06.2.2 | Travail à distance |
6.8 | 16.1.2, 16.1.3 | Rapports d'événements liés à la sécurité des informations |
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
7.1 | 11.1.1 | Périmètres de sécurité physique |
7.2 | 11.1.2, 11.1.6 | Entrée physique |
7.3 | 11.1.3 | Sécurisation des bureaux, des locaux et des installations |
7.4 | Nouveauté | Surveillance de la sécurité physique |
7.5 | 11.1.4 | Se protéger contre les menaces physiques et environnementales |
7.6 | 11.1.5 | Travailler dans des zones sécurisées |
7.7 | 11.2.9 | Bureau clair et écran clair |
7.8 | 11.2.1 | Implantation et protection des équipements |
7.9 | 11.2.6 | Sécurité des actifs hors site |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Supports de stockage |
7.11 | 11.2.2 | Utilitaires pris en charge |
7.12 | 11.2.3 | Sécurité du câblage |
7.13 | 11.2.4 | La maintenance des équipements |
7.14 | 11.2.7 | Élimination ou réutilisation sécurisée des équipements |