IM_SM.11

• Reikwijdte en niveau van monitoring:

  • De reikwijdte en het niveau van de monitoring MOETEN worden bepaald in overeenstemming met de toepasselijke informatieklasse en relevante wet- en regelgeving.

• Registraties en bewaartermijnen:

  • De organisatie MOET registraties van de monitoring bijhouden gedurende gedefinieerde bewaartermijnen volgens de [beheer gebeurtenissen procedure].

• Elementen van het monitoringsysteem:

  • De organisatie MOET waar mogelijk de volgende elementen in het monitoringsysteem opnemen:

    • Uitgaand en inkomend netwerk-, systeem- en toepassingsverkeer

    • Toegang tot systemen, servers, netwerkapparatuur, monitoringsystemen, essentiële toepassingen, enz.

    • Systeem- en netwerkconfiguratiebestanden op essentieel of beheerniveau

    • Logbestanden van beveiligingsinstrumenten zoals antivirus, IDS, IPS, webfilters, firewalls, en systemen voor het voorkomen van gegevenslekken

    • Logbestanden van gebeurtenissen met betrekking tot systeem- en netwerkactiviteit

    • Controle van de integriteit van de uitvoerende code

    • Gebruik van middelen (CPU, vaste schijven, geheugen, bandbreedte) en hun prestaties

• Nullijn (baseline) voor normaal gedrag:

  • De organisatie MOET een nullijn voor normaal gedrag vaststellen en op afwijkingen monitoren. Bij het vaststellen van de nullijn wordt rekening gehouden met:

    • Het gebruik van systemen tijdens normale en piekperiodes

    • Het gebruikelijke tijdstip, de plaats en de frequentie van toegang voor elke gebruiker of gebruikersgroep

• Configuratie van het monitoringsysteem:

  • Het monitoringsysteem MOET worden geconfigureerd om afwijkend gedrag te identificeren, zoals:

    • Ongeplande beëindiging van processen of toepassingen

    • Activiteiten gerelateerd aan malware of kwaadaardige IP-adressen

    • Bekende aanvalskenmerken (bijv. denial of service, bufferoverflows)

    • Ongebruikelijk systeemgedrag (bijv. het registreren van toetsaanslagen, procesinjectie)

    • Knelpunten en overbelasting (bijv. netwerkwachtrijen, latentieniveaus)

    • Pogingen tot onbevoegde toegang

    • Ongeoorloofd scannen van toepassingen en netwerken

    • Geslaagde en mislukte pogingen om toegang te krijgen tot beschermde bronnen

    • Ongebruikelijk gebruikers- en systeemgedrag

• Continue monitoring:

  • Er MOET gebruik worden gemaakt van continue monitoring via een instrument dat realtime of met regelmatige tussenpozen de status van apparaten, processen of software vastlegt en evalueert.

• Waarschuwings- en meldingssysteem:

  • Geautomatiseerde monitoringsoftware MOET meldingen geven op basis van vooraf gedefinieerde drempels via beheerconsoles, e-mails of instantmessagingsystemen.

  • Het waarschuwingssysteem MOET worden afgestemd op de nullijn van de organisatie om valspositieven tot een minimum te beperken.

• Training en reactie van personeel:

  • Personeel MOET erop gericht zijn om op waarschuwingen te reageren en MOET voldoende getraind zijn om potentiële incidenten accuraat te interpreteren.

  • Er MOETEN redundante systemen en processen aanwezig zijn om waarschuwingsmeldingen te ontvangen en erop te reageren.

• Communicatie van abnormale gebeurtenissen:

  • Abnormale gebeurtenissen MOETEN aan relevante partijen worden meegedeeld voor verbeteringen in audit, beveiligingsevaluatie, kwetsbaarheidsscans en monitoring.

• Procedure voor tijdige reactie:

  • De organisatie MOET procedures hebben om tijdig te reageren op positieve indicatoren van het monitoringsysteem om de impact van nadelige gebeurtenissen op informatiebeveiliging te minimaliseren.

Gebeurtenisbeheer: Monitoren van activiteiten

1 2 3 4 5

BESCHIKBAARHEID INTEGRITEIT VERTROUWELIJKHEID

DETECTIEF CORRIGEREND

DETECTEREN REAGEREN