Web view Vanuit audit perspectief zijn goede logfiles juist zeer belangrijk; met de logfiles kunnen

download Web view Vanuit audit perspectief zijn goede logfiles juist zeer belangrijk; met de logfiles kunnen

of 32

  • date post

    24-May-2020
  • Category

    Documents

  • view

    0
  • download

    0

Embed Size (px)

Transcript of Web view Vanuit audit perspectief zijn goede logfiles juist zeer belangrijk; met de logfiles kunnen

Handreiking

Aanwijzing Logging

Een operationeel kennisproduct ter ondersteuning van de implementatie van de Baseline Informatiebeveiliging Overheid (BIO)

Colofon

Naam document

Handreiking Aanwijzing Logging

Versienummer

2.0

Versiedatum

Maart 2019

Versiebeheer

Het beheer van dit document berust bij de Informatiebeveiligingsdienst voor gemeenten (IBD).

Vereniging van Nederlandse Gemeenten / Informatiebeveiligingsdienst voor gemeenten (IBD) (2018)

Tenzij anders vermeld, is dit werk verstrekt onder een Creative Commons Naamsvermelding-Niet Commercieel-Gelijk Delen 4.0 Internationaal licentie. Dit houdt in dat het materiaal gebruikt en gedeeld mag worden onder de volgende voorwaarden: Alle rechten voorbehouden. Verveelvoudiging, verspreiding en gebruik van deze uitgave voor het doel zoals vermeld in deze uitgave is met bronvermelding toegestaan voor alle gemeenten en overheidsorganisaties.

Voor commerciële organisaties wordt hierbij toestemming verleend om dit document te bekijken, af te drukken, te verspreiden en te gebruiken onder de hiernavolgende voorwaarden:

1. De IBD wordt als bron vermeld;

2. Het document en de inhoud mogen commercieel niet geëxploiteerd worden;

3. Publicaties of informatie waarvan de intellectuele eigendomsrechten niet bij de verstrekker berusten, blijven onderworpen aan de beperkingen opgelegd door de IBD en / of de Vereniging van Nederlandse Gemeenten;

4. Iedere kopie van dit document, of een gedeelte daarvan, dient te zijn voorzien van de in deze paragraaf vermelde mededeling.

Wanneer dit werk wordt gebruikt, hanteer dan de volgende methode van naamsvermelding: “Vereniging van Nederlandse Gemeenten / Informatiebeveiligingsdienst voor gemeenten”, licentie onder: CC BY-NC-SA 4.0.

Bezoek http://creativecommons.org/licenses/by-nc-sa/4.0 voor meer informatie over de licentie.

Rechten en vrijwaring

De IBD is zich bewust van haar verantwoordelijkheid een zo betrouwbaar mogelijke uitgave te verzorgen. Niettemin kan de IBD geen aansprakelijkheid aanvaarden voor eventueel in deze uitgave voorkomende onjuistheden, onvolledigheden of nalatigheden. De IBD aanvaardt ook geen aansprakelijkheid voor enig gebruik van voorliggende uitgave of schade ontstaan door de inhoud van de uitgave of door de toepassing ervan.

Met dank aan

De expertgroep en de reviewgemeenten die hebben bijgedragen aan het vervaardigen van dit product.

Wijzigingshistorie

Versie

Datum

Wijziging / Actie

1.0

Januari 2014

1.0.1

Juli 2016

Taskforce BID verwijderd, WBP vervangen door Wbp, GBA vervangen door BRP en contactgegevens IBD aangepast

2.0

Maart 2019

BIO update

Over de IBD

De IBD is een gezamenlijk initiatief van alle Nederlandse Gemeenten. De IBD is de sectorale CERT / CSIRT voor alle Nederlandse gemeenten en richt zich op (incident)ondersteuning op het gebied van informatiebeveiliging. De IBD is voor gemeenten het schakelpunt met het Nationaal Cyber Security Centrum (NCSC). De IBD ondersteunt gemeenten bij hun inspanningen op het gebied van informatiebeveiliging en privacy / gegevensbescherming en geeft regelmatig kennisproducten uit. Daarnaast faciliteert de IBD kennisdeling tussen gemeenten onderling, met andere overheidslagen, met vitale sectoren en met leveranciers. Alle Nederlandse gemeenten kunnen gebruikmaken van de producten en de generieke dienstverlening van de IBD.

De IBD is ondergebracht bij VNG Realisatie.

Leeswijzer

Dit product is een nadere uitwerking voor gemeenten van de Baseline Informatiebeveiliging Overheid (BIO). De BIO is eind 2018 bestuurlijk vastgesteld als gezamenlijke norm voor informatiebeveiliging voor alle Nederlandse overheden.

Doel

Het doel van dit document is informatiebeveiligingsmaatregelen met betrekking tot logging en controle uit te werken en daarbij handreikingen te geven voor het logging-beleid en logging-procedures.

Doelgroep

Dit document is van belang voor de CISO van de gemeente, de systeemeigenaren, applicatiebeheerders en de ICT-afdeling.

Relatie met overige producten

· Baseline Informatiebeveiliging Overheid (BIO)

· Informatiebeveiligingsbeleid van de gemeente

· Verhogen Digitale Weerbaarheid: Monitoring & Response

Verwijzingen naar de Baseline Informatiebeveiliging voor de Overheid (BIO)

9.4.4.2 Het gebruik van systeemhulpmiddelen wordt gelogd.

12.4.1 Gebeurtenissen registreren.

12.4.1.1 Eisen wat een logregel minimaal moet bevatten.

12.4.1.2 Een logregel bevat in geen geval gegevens die tot het doorbreken van de beveiliging kunnen leiden.

12.4.1.3 De omgeving wordt gemonitord door een SIEM en/of SOC middels detectie-voorzieningen.

12.4.1.5 De SIEM en/of SOC hebben heldere regels over wanneer een incident moet worden gerapporteerd.

12.4.2 Beschermen van informatie in logbestanden.

12.4.2.1 Er is een overzicht van logbestanden die worden gegenereerd.

12.4.2.2 Ten behoeve van de loganalyse is op basis van risicoafweging de bewaarperiode van de logging bepaald.

12.4.2.3 Er is een audit procedure die toetst op het ongewijzigd bestaan van logbestanden.

12.4.2.4 Oneigenlijk wijzigen of verwijderen van loggegevens worden gemeld als beveiligingsincident.

12.4.3 Logbestanden van beheerders en operators.

12.4.4 Kloksynchronisatie.

16.1.7.1 De bewaartermijn van gelogde incidentinformatie is minimaal drie jaar.

Managementsamenvatting

Informatiesystemen en ICT-infrastructuur genereren loginformatie voor veel activiteiten, soms als normale statusmelding, soms als resultaat van een activiteit van een gebruiker of beheerder maar ook informatie als resultaat van onvoorziene omstandigheden of fouten. Een log beschrijft wat er gebeurt binnen systemen.

Logging is een niet een populair onderwerp bij een ICT afdeling. Het komt vaak voor dat de logging onvolledig is, men de noodzaak er niet van inziet of dat met het vergeeet. Vanuit audit perspectief zijn goede logfiles juist zeer belangrijk; met de logfiles kunnen handelingen en acties worden herleid.

Deze aanwijzing Logging is een document die de ICT afdeling kan ondersteunen met het maken van juiste beslissingen op het gebied van goed loggen van informatie en ter preventie van veel gemaakte fouten. Daarnaast bevat de bijlage een voorbeeld loggingbeleid.

Het goed inregelen van logging is randvoorwaardelijk voor monitoring het response. Een SIEM wordt gevoed door logfiles. Het SOC gebruikt het SIEM als middel om inzichtelijk te krijgen wat er gebeurd in de infrasctructuur van een gemeente.

Inhoudsopgave

1. Inleiding 7 1.1. Doelstelling Aanwijzing Logging 7 1.2. Aanwijzing voor gebruik 7 2. Logging 8 2.1. Wat zijn de meest voorkomende fouten bij logging? 9 2.2. Logging-cyclus en -opslag 9 2.3. Logging soorten 10 2.4. Bewaartermijnen van een log 11 2.5. Inhoud van een log 11 2.6. Waar te loggen? 12 2.7. Logging en SaaS 14 2.8. Wat te doen bij uitvallen van de logging 14 2.9. Voer actief controles uit op logs 15 2.10. Communicatie over logging 15 3. Logging-controle 16 3.1. Voer actief controles uit op logs 16 3.2. Waarmee te beginnen 16 3.3. Waar nog meer op te letten bij loggen 17 3.4. Bewijsvoering 18 3.5. Beoordeling logboek 19 3.6. Security Information and Event Management (SIEM) 19 Bijlage 1: Logging-beleid gemeente 21 Bijlage 2: Gemeentelijke communicatie over logging van toegang tot en gebruik van systemen 24 Bijlage 3: Voorbeeld proces controle logging 26

Inleiding

De Baseline Informatiebeveiliging Overheid (BIO) heeft maatregelen beschreven die te maken hebben met logging (in casu het vastleggen van) van systeemgebeurtenissen en acties van gebruikers.

Doelstelling Aanwijzing Logging

Doelstelling van Aanwijzing Logging is het verzamelen en beoordelen van systeemdata en waarschuwingen van bijvoorbeeld applicaties, netwerk infrastructuur, servers en desktop PC’s. Goed loggen is een eis uit de BIO en soms noodzakelijk om te kunnen voldoen aan een wettelijke eis, om bijvoorbeeld een audit op een systeem te doen. De eisen die gesteld worden aan logging worden zwaarder naarmate het belang hoger wordt. Hiervoor beschrijft het IBD document over dataclassificatie de specifieke eisen. Dit document gaat uit van de minimale eisen aan logging op basis van de BIO.

Aanwijzing voor gebruik

Deze handleiding is qua opzet geschreven om informatiebeveiligingsmaatregelen met betrekking tot logging en controle uit te werken en daarbij handreikingen te geven voor het logging-beleid en logging-procedures. Hoofdstuk 2 beschrijft waar logging aan moet voldoen en hoofdstuk 3 gaat over de controle op logging. In de bijlage is een voorbeeld logging-beleid opgenomen als ook een communicatieopzet die gebruikt kan worden als gecommuniceerd gaat worden over logging. Deze handleiding is niet geen volledige procesbeschrijving,in bijlage 3 is een voorbeeld proces beschreven van het controleren van logfiles.

Logging

Informatiesystemen en ICT-infrastructuur genereren loginformatie voor veel activiteiten, soms als normale statusmelding, soms als resultaat van een activiteit van een gebruiker of beheerder maar ook informatie als resultaat van onvoorziene omstandigheden of fouten.

Een log beschrijft wat er gebeurt binnen systemen. Tegenwoordig zijn de beschrijvingen van systemen soms zo gedetailleerd dat ze beschrijven waarom een gebeurtenis heeft plaatsgevonden.

Veel computersystemen gebruiken logging om informatie op te slaan over foutsituaties en andere gebeurtenissen die aandacht behoeven van de gebrui