Norm SM.04 Logging systeemactiviteiten
Waarom is dit nodig?
Logging helpt om ongepaste of ongebruikelijke activiteiten op tijd op te merken en vervolgacties uit te voeren. Logging is het vastleggen van gebeurtenissen en activiteiten die plaatsvinden in het systeem. Dit proces omvat het registreren van relevante informatie, zoals tijdstippen, uitgevoerde acties, foutmeldingen en andere relevante gegevens. De bewaartermijnenDe (wettelijke) periode dat een (persoons)gegeven bewaard moet worden. moeten aansluiten bij wet- en regelgeving.
Volwassenheidsniveaus
We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.
1 Ad hoc
- Eisen voor logging zijn gedeeltelijk gedefinieerd en gedocumenteerd.
- Logging wordt niet structureel en slechts ad hoc geëvalueerd en is afhankelijk van individuen.
2 Herhaalbaar
- Eisen zijn gedocumenteerd maar niet formeel vastgelegd.
- Er is een procedure voor de evaluatie van logging gedefinieerd maar niet formeel vastgelegd.
- Logging is ingevoerd voor relevante it-componenten en wordt periodiek geëvalueerd.
- Activiteiten van administrators en operators worden ook gelogd en periodiek geëvalueerd.
- Interne systeemklokken worden gesynchroniseerd.
- Er zijn bewaartermijnen vastgesteld voor logs en toegangsrechten
3 Bepaald (streefniveau)
- Eisen voor logging zijn formeel vastgelegd. De procedures en toegepaste technieken voor het onderhouden, opslaan en evalueren van logging zijn gedocumenteerd, formeel vastgelegd, en gebaseerd op een risicoanalyseHet analyseren van de kans dat een dreiging werkelijkheid wordt en de gevolgen hiervan..
- De procedure is volgens de vereisten vastgesteld door de school.
- Het loggen van ongebruikelijke activiteiten en incorrecte of gebrekkige logging wordt gedocumenteerd, geanalyseerd en opgevolgd met gepaste maatregelen.
4 Beheerst
Aanvullend op niveau 3:
- De implementatie en uitvoering van relevante procedures en werkwijzen worden periodiek geëvalueerd en gedocumenteerd. Verbeteringen worden bepaald op basis van deze evaluaties.
5 Continu verbeteren
Aanvullend op niveau 3 en 4:
- Geautomatiseerde detectie- en responsetechnologie, zoals SIEM (Security Incident en Event Managementsysteem), is volledig ingevoerd.
- De performance en verbeteringen van de loggingprocedures worden voortdurend bewaakt.
Aan de slag
Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Maar let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is natuurlijk maatwerk. De maatregelen die voor jouw organisatie nodig zijn, kunnen daardoor verschillen.
- Bepaal op basis van een expliciete risicoafweging per applicatie of en hoelang de logging bewaard moet worden en of er aanvullende eisen voor de logging zijn.
- Zorg ervoor dat een logregel minimaal informatie over de gebeurtenis of handeling bevat, welke gebruiker deze uitvoert, vanaf welk apparaat dit gebeurt, het resultaat van de actie en een datum en tijdstip van de handeling.
- Leg ook activiteiten van systeembeheerders vast.
- Zorg voor waarborgen die verhinderen dat de logging gewijzigd kan worden. Eventuele wijzigingen in logging of pogingen tot het verwijderen van logging moeten vastgelegd worden in de logging zelf.
- Controleer de logging periodiek om ongebruikelijke activiteiten te ontdekken. Grotere organisaties kunnen hiervoor bijvoorbeeld een SIEM inzetten. Deze voert automatische controle uit en gaat na of de logging correct gebeurt.
- Zorg ervoor dat it een overzicht heeft van alle logbestanden binnen de organisatie.
Gerelateerde wetten en normen
Norm SM.04 Logging systeemactiviteiten is gerelateerd aan de ISO-standaard 27001/2:2022 en het certificeringsschema IBP ROSA.
ISO 27001/2:2022
- A8.15
- A8.16
Certificeringsschema IBP ROSA
- Integriteit van de gegevens/Onweerlegbaarheid
- Integriteit van de toepassing/Onweerlegbaarheid
- Vertrouwelijkheid/Logging