ISMS Guiden 1.0

Search

SearchSearch

3.2.4 - Beslutt hvilke data som er sikkerhetsrelevant og bør samles inn

May 03, 20242 min read

For delene nevnte i 3.2.3 bør man som minimum samle inn:

  • a) data relatert til tilgangskontroll (vellykkede og mislykkede pålogginger) på enheter og tjenester og
  • b) administrasjons- og sikkerhetslogger fra enheter og tjenester i IKT-systemene.

For klienter bør man i tillegg som minimum registrere

  • c) forsøk på kjøring av ukjent programvare (ref. 2.3.2) og
  • d) forsøk på å få forhøyede systemrettigheter («privilege escalation»).

Når det skal besluttes hvilken data som er sikkerhets relevant og bør samles inn fra de nevnte delene i 3.2.3 er det viktig å fokusere på informasjon som kan gi innsikt i potensielle sikkerhets trusler, uautorisert adgang og systemmissbruk.

Implementering

a) data relatert til tilgangskontroll (vellykkede og mislykkede pålogginger) på enheter og tjenester og

1. Tilgangskontroll

Log spesifikk data for å skape en basis for hva som er “normal” adferd, Dette kan inkludere. Tidspunkt for på logging, brukernavn, Ip-addresse og lokasjon.

Detaljer rundt mislykkede påloggings forsøk er viktige for å oppdage mulige angreps forsøk eller brukere som sliter med å få tilgang.

b) administrasjons- og sikkerhetslogger fra enheter og tjenester i IKT-systemene.

1. Systemendringer

Det er viktig å kunne logge endringer i system konfigurasjoner, programvare installasjoner, oppdateringer og avinstallering. Overvåkning av slike endringer kan hjelpe å legge merke til uautoriserte forsøk på å endre systemkonfigurasjon, eller installer skadelig programvare.

Hendelser som blir logget av sikkerhets produkter som antivirus, brannmurer, IDS og IPS. Er svært viktige informasjons kilder som kan hjelpe å avdekke angreps forsøk.

c) forsøk på kjøring av ukjent programvare

1. Uautorisert programvare forsøk

Det kan hjelpe å logge når programmer som ikke er forhåndsgodkjent eller ikke er signert av en kjent utgiver prøver å kjøres på en maskin. Dette kan være med på å oppdage en angriper som har kommet inn i systemene.

Ved å samle inn denne dataen vil det hjelpe å beskytte organisasjonens ressurser og data. Denne dataen kan hjelpe å avdekke mistenkelig aktivitet.

https://cheatsheetseries.owasp.org/cheatsheets/Logging_Cheat_Sheet.html#which-events-to-log

Graph View

Backlinks