Registratie (logging)

Uit NORA Online
Ga naar: navigatie, zoeken
Op 19 juni 2017 zijn de Afgeleide Principes die raken aan het thema Beveiliging gewijzigd (zie nieuwsbericht). De beheersmaatregelen, implementatierichtlijnen en beveiligingspatronen uit de oude 'Katern' Beveiliging hangen hiermee beter in het bredere kader van de NORA-afspraken. De komende periode zal hieraan nog de ISOR (Information Security Object Repository) van het Centrum Informatiebeveiliging en Privacybescherming (CIP) worden toegevoegd.

Registratie (logging).png
Registratie (logging) is een eis (Beheersmaatregel)

Status: Concept
Realiseert Afgeleid Principe: Controleerbaarheid

Thema: Beveiliging/Registratie controle rapportering
Bron: BIR (Baseline Informatiebeveiliging Rijksdienst), NEN-ISO/IEC 27001,

BIR/ISO 27001:2005 10.6.1, 10.10.1, 10.10.3, 10.10.4, 10.10.6, 11.5.4, ISO 27001:2013 12.4


Eis: Handelingen in en meldingen van systeemfuncties in de technische infrastructuur worden vastgelegd in logging.

Realiseert

Registratie (logging) realiseert het/de afgeleide principe(s):

Implicaties

De volgende implementatierichtlijnen zijn een uitwerking van Registratie (logging):

  1. De volgende uitgevoerde handelingen worden in ieder geval opgenomen in de logging:
    • gebruik van technische beheerfuncties en systeemhulpmiddelen zoals het wijzigingen van configuratie of instelling, uitvoeren van een systeemcommando, starten en stoppen, uitvoering van een back-up of restore, (tijdelijke) toekenning en uitoefening van hogere dan gebruikelijk rechten (incl. handelingen verricht met geprivilegieerde accounts, zoals root, superuser, proddba etc.);
    • gebruik van functionele beheerfuncties; zoals het wijzigen van configuratie en instellingen; release van nieuwe functionaliteit ingrepen in gegevenssets waaronder databases;
    • handelingen van beveiligingsbeheer; zoals het opvoeren en afvoeren gebruikers; toekennen en intrekken van rechten; wachtwoordreset; uitgifte en intrekken van cryptosleutels;
    • beveiligingsovertredingen (zoals de constatering van een virus; worm; Trojaans paard of andere malware; een poortscan of testen op zwakheden; foutieve inlogpogingen; overschrijding van autorisatiebevoegdheden; geweigerde pogingen om toegang te krijgen; het gebruik van niet operationele systeemservices; het starten en stoppen van security services);
    • verstoringen in het productieproces (zoals het vollopen van queues; systeemfouten; afbreken tijdens uitvoering van programmatuur; het niet beschikbaar zijn van aangeroepen programmaonderdelen of systemen);
    • handelingen van gebruikers; zoals verleende toegangsrechten; gebruik van on-line transacties en toegang tot bestanden door systeembeheerders. (BIR (Baseline Informatiebeveiliging Rijksdienst))
  2. In een te schrijven logregel wordt in ieder geval weggeschreven:
    • de naar een natuurlijke persoon herleidbare gebruikersnaam die verzocht een handeling uit te voeren;
    • het soort handeling; het gegeven commando met de parameters;
    • waar mogelijk de identiteit van het werkstation of de locatie;
    • het middel waarop de handeling werd uitgevoerd of waar een event optrad;
    • het resultaat van de handeling indien dit niet uit het soort handeling is af te leiden;
    • de datum en het tijdstip van een handeling of event;
    • de severity-aanduiding: het beveiligingsbelang waarop selectie t.b.v. de analyse kan plaatsvinden. (BIR (Baseline Informatiebeveiliging Rijksdienst))
  3. Systeemklokken worden tijdens openstelling gesynchroniseerd en worden gelijk gezet met een atoomklok op basis van het Network Time Protocol (NTP) zodat de juiste tijd in het logbestand vastgelegd kan worden. Een indicatie voor de synchronisatiefrequentie is 4 uur. De maximale afwijking ten opzichte van de standaardtijd is 100 milliseconden. (BIR (Baseline Informatiebeveiliging Rijksdienst))
  4. In een te schrijven logregel worden in geen geval gegevens opgenomen waardoor de beveiliging doorbroken kan worden (zoals wachtwoorden, pincodes).
  5. Loginformatie wordt bewaard totdat de bewaartermijnen verstreken zijn. Een indicatie voor de bewaartermijn is:
    • een transactielog wordt bewaard totdat is vastgesteld dat de juiste en volledige verwerking van de (batch)transactie(s) heeft plaats gevonden of totdat de mogelijkheid om een roll-back uit te voeren is verstreken; veelal maximaal één dag;
    • een technische log wordt bewaard totdat is vastgesteld dat er zich geen verstoring in het systeem heeft voorgedaan; veelal maximaal enkele dagen tot een week;
    • logging die van belang is voor auditing en onderzoek naar oneigenlijk gebruik wordt zolang bewaard als de gerechtelijke procedure duurt waarvoor de loggegevens als bewijsmateriaal dienen (>2 jaar).
  6. Er zijn query- en analysetools aanwezig voor het kunnen ontsluiten van loginformatie.
  7. Het overschrijven of verwijderen van logbestanden wordt gelogd in de nieuw aangelegde log.
  8. Het vollopen van het opslagmedium voor de logbestanden wordt gelogd en leidt tot automatische alarmering van de beheerorganisatie; bij kritische toepassingen leidt het vollopen van het logbestand tot het stilzetten van de verwerking totdat nieuwe ruimte voor loggegevens beschikbaar is. Het volgelopen opslagmedium wordt pas weer vrijgegeven nadat de logbestanden zijn zeker gesteld (op een ander medium). (BIR (Baseline Informatiebeveiliging Rijksdienst))
  9. Bij onderhoud op analyse- en raadpleegvoorzieningen voor een logbestand wordt achterwaartse compatibiliteit afgedwongen. Dit wil zeggen dat ook de eerder aangelegde logbestanden binnen de bewaartermijn van het logbestand met de nieuwe of gewijzigde voorziening ontsloten kunnen worden.
  10. Bij het schrijven en opslaan van logregels wordt zoveel mogelijk gebruik gemaakt van hiervoor ingerichte generieke beveiligingsvoorzieningen.
  11. Bij het aanleggen van logbestanden wordt zo mogelijk gebruik gemaakt van “write once”-technologie.
  12. De volledigheid van de logging kan worden vastgesteld. Bijvoorbeeld met behulp van opeenvolgende nummers per log-event.
  13. Uitsluitend geautoriseerde processen (operationeel onder een functioneel account) mogen logregels schrijven
  14. Het raadplegen van logbestanden is voorbehouden aan geautoriseerde gebruikers waarbij de toegang is beperkt tot leesrechten.
  15. Beheerders zijn niet in staat de instellingen van de logging te wijzigen of logbestanden te verwijderen, tenzij het specifiek hiervoor bevoegde beheerders zijn. Wanneer een systeem een specifieke rol voor auditdoeleinden kent, dan wordt hiervan gebruik gemaakt bij het raadplegen.


Gerelateerde beschouwingsmodellen

De volgende beschouwingsmodellen zijn gerelateerd aan Registratie (logging):



Persoonlijke instellingen
Naamruimten

Varianten
Handelingen
Hulpmiddelen