Logging en monitoring

Versie 2.1 van 29 oktober 2021 van de BIO Thema-uitwerking Toegangsbeveiliging is vervangen door versie 2.3 van 6 november 2023.
De wijzigingen betreffen met name aanpassingen naar aanleiding van publicatie van de [Handreiking BIO2.0-opmaat].
Versie 2.3 in PDF-formaat is op de website [CIP-overheid] gepubliceerd.

Beveiligingsprincipe
ID:	TBV_C.03
Versie:	2.4
Status:	Actueel
Indeling
Beveiligingsaspect:	Control
Invalshoek:	Gedrag

Objectdefinitie

Vastlegging van aan informatiebeveiliging gerelateerde gebeurtenissen en het bewaken en onderkennen van afwijkingen op beleidsregels.

Objecttoelichting

De beoogde werking van toegangsbeveiliging behoort via logging en monitoring te worden bewaakt.

Logging betreft de registratie van handelingen van gebruikers en systemen in een registratiesysteem voor analyse- en controledoeleinden. Monitoring behelst het bewaken en onderkennen van ongeautoriseerde acties en het analyseren van de geregistreerde acties op onvolkomenheden.

Tevens dient periodiek getoetst te worden of actuele autorisaties nog overeenkomen met de werkelijke situaties. Verder moet het volgende worden beoordeeld:

wijzigingen op autorisaties (vastgelegd in log-bestanden);
afspraken die niet systeemtechnisch worden afgedwongen (vier ogen principe).

Criterium

Er behoren logbestanden waarin activiteiten, uitzonderingen, fouten en andere relevante gebeurtenissen worden geregistreerd, te worden geproduceerd, opgeslagen, beschermd en geanalyseerd.

Doelstelling

Het mogelijk maken om:

eventuele schendingen van functionele en beveiligingseisen te detecteren en achteraf de juistheid van de uitgevoerde acties vast te stellen;
handelingen te herleiden naar individuele personen.

Risico

Als logging, monitoring en vastlegging van handelingen onvoldoende zijn ingericht, kan niet worden vastgesteld wie welke handelingen heeft uitgevoerd en worden schendingen van functionele of beveiligingseisen niet tijdig herkend, waardoor passende corrigerende acties achterwege blijven.

Indeling binnen ISOR

Dit beveiligingsprincipe:

is gericht op het Beveiligingsaspect Control;
valt binnen de Invalshoek Gedrag.

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten: Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is BIO2 8.15ISO 27002 2022 8.15

Onderliggende normen

ID	Conformiteitsindicator	Stelling
TBV_C.03.01	Log-bestanden	Een logregel bevat minimaal: Actie: de gebeurtenis of handeling die heeft plaatsgevonden. Object: waarop de gebeurtenis of handeling effect had (bijvoorbeeld welk bestand, proces of systeem). Resultaat: het resultaat van de gebeurtenis of handeling. Oorsprong: het apparaat of de netwerklocatie van waaruit de gebeurtenis of handeling in gang is gezet. Actor: identificatie van de persoon die of het proces dat de gebeurtenis in gang heeft gezet. Tijdstempel: datum en tijdstip waarop de gebeurtenis of handeling plaatsvond.
TBV_C.03.02	Log-bestanden	Een logregel bevat nooit gegevens die tot het doorbreken van de beveiliging kunnen leiden.
TBV_C.03.03	Log-bestanden	Er is een overzicht van logbestanden die worden gegenereerd.
TBV_C.03.04	Log-bestanden	De bewaartermijn van logbestanden en gegevens in het Security Incident en Event Monitoring (SIEM) worden risicogericht bepaald, rekening houdend met het scenario dat aanvallers langdurig binnen zijn.
TBV_C.03.05	Log-bestanden	Actieve netwerkcomponenten zijn voorzien van logging en monitoring van die logging om afwijkende gebeurtenissen te kunnen waarnemen en daarop te reageren.
TBV_C.03.06	Activiteiten	Oneigenlijk wijzigen, verwijderen of pogingen daartoe van loggegevens worden zo snel mogelijk gemeld als informatiebeveiligingsincident via de procedure voor informatiebeveiligingsincidenten volgens beheersmaatregel 5.24.
TBV_C.03.07	Activiteiten	Op basis van een expliciete risicoafweging bepaalt de organisatie de periodieke toetsing op het ongewijzigd bestaan van logbestanden gedurende de bewaartermijn. Toetsing wordt uitgevoerd door een onafhankelijke functionaris (ten opzichte van de uitvoering).
TBV_C.03.08	Activiteiten	De informatieverwerkende omgeving wordt gemonitord met een detectie- en response-oplossing, waarmee aanvallen kunnen worden gedetecteerd en afwijkingen adequaat en tijdig worden behandeld.
TBV_C.03.09	Activiteiten	Bij ontdekte nieuwe dreigingen (aanvallen) via overheidsmaatregel 8.16.3 worden deze binnen geldende juridische kaders verplicht gedeeld met de daarvoor aangewezen Computer Emergency Response Team (CERT).
TBV_C.03.10	Beoordeeld	De SIEM en/of het SOC-monitoring-proces hebben eenduidige regels over wanneer een incident moet worden gerapporteerd aan het verantwoordelijk management.
TBV_C.03.11	Beoordeeld	Bij het verwerken van persoonsgegevens wordt, volgens het gestelde in de AVG, een verwerkingsregister bijgehouden.
TBV_C.03.12	Bewaard	De log-bestanden worden gedurende een overeengekomen periode bewaard voor toekomstig onderzoek en toegangscontrole.