| Note |
|---|
Om review makkelijker te maken werden de wijzigingen tegenover ICRv2 als volgt in de tekst duidelijk gemaakt:
|
Het proces van veiligheidslogging en monitoring is ontworpen om continu toezicht te houden op activiteiten en gebeurtenissen binnen systemen en netwerken, met als doel afwijkingen te identificeren en beveiligingsincidenten proactief te beheren. Door deze aanpak wordt de integriteit, vertrouwelijkheid en beschikbaarheid van informatie bewaakt en beschermd. Het proces zoals hier beschreven is gedefinieerd op een basisniveau, waarbij een set aan minimale maatregelen wordt geïmplementeerd die organisatie breed dient gerespecteerd te worden. Naarmate er hogere data classificatie niveaus betrokken zijn, kunnen aanvullende maatregelen worden toegevoegd om aan de striktere vereisten te voldoen.
Veiligheidslogging en monitoring in het kader van informatieclassificatie
Logging en monitoring is essentieel voor het bewaken van informatie, geclassificeerd op basis van vertrouwelijkheid, integriteit en beschikbaarheid. De informatieclassificatie bepaalt de prioriteit en aanpak binnen het logging- en monitoringproces. Voor informatie met een hogere classificatie worden strengere controle- en analysevereisten toegepast.
Vertrouwelijkheid: Informatie die een hoge vertrouwelijkheid heeft, wordt specifiek gemonitord op ongeautoriseerde toegangspogingen en afwijkende toegangspatronen.
Integriteit: Monitoring voor systemen met een hoge integriteit richt zich op wijzigingen die de juistheid en betrouwbaarheid van de informatie kunnen aantasten.
Beschikbaarheid: Voor kritieke systemen waarvan de beschikbaarheid essentieel is, worden logevents die wijzen op mogelijke verstoringen, zoals DoS-aanvallen, snel opgevolgd.
Veiligheidslogging en monitoring omvat een aantal basisactiviteiten die afhankelijk van de klasse waartoe de betrokken informatie behoort al dan niet verplicht uitgevoerd worden. Deze activiteiten zijn:
Identificatie van te loggen events;
Registratie van de events (logging);
Beoordeling van de events (Analyse en monitoring);
Beheersing van de events (Eventdetectie en waarschuwingsbeheer);
Validatie van de genomen beheersingsmaatregelen (Incidentbeheer);
Rapportage;
Uitvoeren van lessons learned.
Veiligheidslogging en monitoring is een kernproces in het ICR.
De minimale beschikbaarheid van het proces ‘veiligheidslogging en monitoring’ zelf is afhankelijk van het type en klasse van de betreffende informatie. We onderscheiden beschikbaarheid tijdens kantooruren (10ux5dagen) en permanente beschikbaarheid (24ux7dagen).
Identificatie van te loggen events
In deze eerste stap wordt bepaald welke events essentieel zijn voor veiligheidsmonitoring. Denk hierbij aan activiteiten zoals inlogpogingen, systeemwijzigingen en toegang tot gevoelige data. Door relevante events te identificeren, wordt een eenvormige basis gelegd voor effectieve log- en incidentmonitoring.
Registratie van de events (loggingà
Na de identificatie worden de geselecteerde events nauwkeurig vastgelegd en bijgehouden in logs. Deze logging is ontworpen om een gedetailleerd overzicht van belangrijke acties en systeeminteracties te bewaren, met als doel manipulatie te voorkomen en een solide basis te bieden voor verdere analyse.
Beoordeling van de events (analyse en monitoring)
In deze fase worden de vastgelegde events regelmatig geanalyseerd, met een focus op het opsporen van afwijkingen of verdachte patronen. Analyse en monitoring gebeuren op basis van vooraf ingestelde regels, waarbij afwijkingen snel worden gesignaleerd. Als startpunt wordt hierbij gekozen voor regels die vooral herkenbare basisveiligheidsrisico’s gaan opsporen.
Beheersing van de events (Eventdetectie en waarschuwingsbeheer)
Zodra een potentieel veiligheidsincident wordt opgemerkt, genereert het systeem een waarschuwing. Deze meldingen worden beheerd en opgevolgd door het beveiligingsteam, waardoor directe acties kunnen worden ondernomen om potentiële dreigingen in te perken. Gezien het hier nog steeds gaat over een standaardproces, kunnen deze meldingen manueel afgehandeld worden, meestal bij wijze van creatie van een incident ticket dat verder het incidentbeheersproces op gang zet. Verdere afhandeling van het betrokken incident gebeurt dan daar.
Validatie van de genomen beheersmaatregelen (Incidentbeheer)
Bij detectie van een afwijking wort via incidentbeheer het incident verder afgehandeld. Dit kan gepaard gaan met de inzet van additionele beheersmaatregelen. Validatie omvat een terugkerende controle op het probleem en bevestigt dat de genomen maatregelen de gewenste resultaten opleveren (het niet meer voorvallen van het potentiële veiligheidsincident) zonder nieuwe risico’s te introduceren.
Rapportage
De bevindingen van het logging- en monitoringproces worden gedocumenteerd en gerapporteerd aan relevante stakeholders. Deze rapportage bevat een overzicht van de gedetecteerde events, bijkomende beheersmaatregelen waar van toepassing, en eventueel resterende risico’s.
Uitvoeren van lessons learned
Na afsluiting van het incident vindt een evaluatie plaats om het proces te verbeteren. Lessons learned bieden inzicht in de effectiviteit van de detectie en de respons, en identificeren mogelijke verbeteringen voor toekomstige incidenten.
Ingeval er aanpassingen dienen te gebeuren aan het proces, dient de uitvoering ervan opgenomen te worden via het wijzigingsbeheer proces.
