ISO 27701 Clause 6.9.4 : Renforcement de la confidentialité grâce à la journalisation et à la surveillance
La journalisation et la surveillance constituent un élément crucial des opérations de protection de la vie privée d'une organisation, car elles permettent au personnel de détecter et d'analyser les activités malveillantes sur un réseau et de rassembler un ensemble de données servant à renforcer les futures initiatives de sécurité.
Ce qui est couvert par la clause 27701 de la norme ISO 6.9.4
L'ISO 27701 6.9.4 contient trois sous-paragraphes qui présentent directives sur la sécurité de l'information de la norme ISO 27002 dans le cadre de la protection de la vie privée :
- ISO 27701 – 6.9.4.1 Journalisation des événements (Références ISO 27002 contrôle 8.15)
- ISO 27701 – 6.9.4.2 Protection des informations du journal (Références ISO 27002 contrôle 8.15)
- ISO 27701 – 6.9.4.4 Synchronisation de l'horloge (Références ISO 27002 contrôle 8.17)
Les sous-clauses 6.9.4.1 et 6.9.4.2 contiennent tous deux des instructions supplémentaires détaillées sur la gestion de la journalisation et de la surveillance parallèlement aux activités liées aux informations personnelles. Plusieurs clauses contiennent également des informations applicables dans le cadre de la législation britannique GDPR, avec les articles pertinents fournis ci-dessous.
Veuillez noter que les citations du RGPD sont uniquement à titre indicatif. Les organisations doivent examiner la législation et se forger leur propre jugement sur les parties de la loi qui s'appliquent à elles.
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
ISO 27701 Clause 6.9.4.1 – Journalisation des événements
Références ISO 27002 Contrôle 8.15
L'ISO définit un « événement » comme toute action effectuée par une présence/entité numérique ou physique sur un système informatique.
Les journaux d'événements doivent contenir :
- Un identifiant utilisateur – Qui ou quel compte a effectué les actions.
- Un enregistrement de l’activité du système.
- Horodatages.
- Identifiants de l’appareil et du système, ainsi que l’emplacement de l’événement.
- Informations sur l'adresse IP.
Types d'événements
ISO identifie 11 événements/composants qui nécessitent une journalisation (et liés à la même source de temps – voir le contrôle ISO 27002 8.17), afin de maintenir la sécurité des informations personnelles et d'améliorer la protection de la confidentialité de l'organisation :
- Tentatives d'accès au système.
- Tentatives d'accès aux données.
- Tentatives d'accès aux ressources.
- Modifications de la configuration du système d'exploitation.
- Des privilèges élevés.
- Programmes utilitaires et installations de maintenance (voir contrôle ISO 27002 8.18).
- Demandes d'accès aux fichiers et ce qui s'est passé (suppression, migration, etc.).
- Interruptions critiques.
- Activités entourant les systèmes de sécurité/antimalware.
- Travail d'administration d'identité (par exemple ajouts et suppressions d'utilisateurs).
- Activités de session d'application sélectionnées.
Protection des journaux
Les journaux doivent être protégés contre les modifications non autorisées ou les anomalies opérationnelles, notamment :
- Modifications du type de message.
- Suppression ou modification.
- Écrasement dû à des problèmes de stockage.
Les organisations doivent adopter les techniques suivantes, afin d'améliorer la sécurité basée sur les journaux :
- Hachage cryptographique.
- Enregistrement en ajout uniquement.
- Enregistrement en lecture seule.
- Utilisation de fichiers publics de transparence.
Lorsqu'il est nécessaire de fournir des journaux à des organisations externes, des mesures strictes doivent être prises pour protéger les informations personnelles et les informations liées à la confidentialité, conformément aux normes acceptées en matière de confidentialité des données (voir le contrôle ISO 27002 5.34 et les directives supplémentaires ci-dessous).
Analyse des journaux
Les journaux devront être analysés de temps en temps, afin d'améliorer la protection de la vie privée dans son ensemble, ainsi que de résoudre et de prévenir les failles de sécurité.
Lors de l’analyse des journaux, les organisations doivent prendre en compte :
- L'expertise du personnel effectuant l'analyse.
- Le type, category et attribuer de chaque type d'événement.
- Toutes les exceptions appliquées via des règles de réseau émanant du matériel et des plates-formes de logiciels de sécurité.
- Trafic réseau anormal.
- Analyse de données spécialisée.
- Informations disponibles sur les menaces (soit en interne, soit auprès d'une source tierce de confiance).
Surveillance des journaux
La surveillance des journaux offre aux organisations la possibilité de protéger les informations personnelles à la source et de favoriser une approche proactive en matière de protection de la vie privée.
Les organisations devraient :
- Examinez les tentatives internes et externes d’accès aux ressources sécurisées.
- Analysez les journaux DNS (et les rapports d'utilisation des données) pour identifier le trafic vers et depuis des sources malveillantes.
- Collectez les journaux des points d'accès physiques et des dispositifs de sécurité périmétrique physique (systèmes d'entrée, etc.).
Conseils supplémentaires relatifs aux informations personnelles
L'ISO exige que les organisations surveillent les journaux relatifs aux informations personnelles via un 'processus de surveillance et d’alerte continu et automatisé'. Cela peut nécessiter un ensemble distinct de procédures qui surveillent l'accès aux informations personnelles.
Les organisations doivent s’assurer que – en priorité – les journaux fournissent un compte rendu clair de l’accès aux informations personnelles, notamment :
- Qui a accédé aux données.
- Quand les données ont été consultées.
- Les informations personnelles du directeur ont été consultées.
- Toutes les modifications apportées.
Les organisations devraient décider 'si, quand et commentLes informations du journal PII doivent être mises à la disposition des clients, tous les critères étant mis gratuitement à la disposition des mandants eux-mêmes et un grand soin étant pris pour garantir que les mandants PII ne peuvent accéder qu'aux informations les concernant.
Articles applicables du RGPD
- Article 5 – (1)(f)
Contrôles ISO 27002 pertinents
- ISO 27002 5.34
- ISO 27002 8.11
- ISO 27002 8.17
- ISO 27002 8.18
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
ISO 27701 Clause 6.9.4.2 – Protection des informations du journal
Références ISO 27002 Contrôle 8.15
Voir la norme ISO 27701, article 6.9.4.1.
Conseils supplémentaires relatifs aux informations personnelles
Les organisations doivent consacrer beaucoup d’attention à garantir que les journaux contenant des informations personnelles sont correctement contrôlés et bénéficient d’une surveillance sécurisée.
Des procédures automatisées doivent être mises en place pour supprimer ou « désidentifier » les journaux, conformément à une politique de conservation publiée (voir le contrôle ISO 27002 7.4.7).
Articles applicables du RGPD
- Article 5 – (1)(f)
ISO 27701 Clause 6.9.4.3 – Journaux de l'administrateur et de l'opérateur
Références ISO 27002 Contrôle 8.15
Voir la norme ISO 27701, article 6.9.4.1.
ISO 27701 Clause 6.9.4.4 – Synchronisation de l'horloge
Références ISO 27002 Contrôle 8.17
L'ISO exige que les organisations établissent un temps de référence standard qui peut être utilisé dans tous les systèmes de protection de la vie privée.
Les organisations devraient :
- Considérez leurs exigences pour trois aspects de la synchronisation de l'horloge : la représentation de l'heure, la synchronisation fiable et la précision.
- Répondre à leurs besoins dans le cadre de leurs obligations légales, statutaires, réglementaires, contractuelles et de surveillance.
- Utilisez un service d’horloge atomique comme point de référence unique.
- Utilisez deux sources de temps distinctes pour améliorer la redondance et renforcer la résilience lors d'incidents critiques.
- Tenez compte des implications de l'utilisation de sources de temps émanant de différentes plates-formes et fournisseurs, par exemple des services de domaine sur site par rapport à des fournisseurs de services cloud tiers.
Prise en charge des contrôles ISO 27002 et RGPD
| Identificateur de clause ISO 27701 | Nom de la clause ISO 27701 | Exigence ISO 27002 | Articles associés au RGPD |
|---|---|---|---|
| 6.9.4.1 | Journalisation des événements |
8.15 – Journalisation pour ISO 27002 |
Article (5) |
| 6.9.4.2 | Protection des informations du journal |
8.15 – Journalisation pour ISO 27002 |
Article (5) |
| 6.9.4.3 | Journaux d'administrateur et d'opérateur |
8.15 – Journalisation pour ISO 27002 |
Aucun |
| 6.9.4.4 | Synchronisation de l'horloge |
8.17 – Synchronisation d'horloge pour ISO 27002 |
Aucun |
Comment ISMS.online vous aide
Construire votre propre système PIMS a tendance à être un meilleur moyen de parvenir à un système adapté à vos processus métier.
Un système sur mesure peut vous faire économiser de l'argent et sera probablement plus facile à utiliser, à configurer et à adapter à vos processeurs et contrôleurs de données.
Certaines organisations trouvent l’idée de créer leur propre système intimidante et c’est une tâche qui les amène à rechercher des systèmes prêts à l’emploi.
Quelle que soit la voie que vous choisissez de suivre pour votre organisation, nos solutions basées sur le cloud sur ISMS.online vous aideront à garantir que vous conservez la documentation requise pour répondre à la norme.
En savoir plus par réserver une démo.
