Naplózás az informatikai rendszerben

Az elszámoltathatóság alapjai

Általánosságban elmondható, hogy aki figyel az informatikai biztonságra, találkozott már a naplózás témakörével és alkalmazza is azt; készülve egy esetleges adatvédelmi vagy információbiztonsági incidens nyomainak felderítésére. Az Európai Unió általános adatvédelmi rendelete (GDPR) megjelenésével a naplózás még fontosabb lett; hiszen a Rendelet hozta magával az elszámoltathatóság szuper elvét, aminek a megfelelését az informatikai rendszerben a naplózás biztosítja.

Megállapítható, hogy az informatikai rendszerünk, rendszereink naplózását egy tíz pontos szempontrendszer alapján működtetve nagy lépést tehetünk; hogy IT biztonságunk az elszámoltathatóság szempontjából megfelelően működjön. Nagyon fontos, hogy tudjuk mi a célunk, minek akarunk megfelelni. Látnunk kell mely rendszerből, rendszerekből szeretnénk logokat gyűjteni és természetesen azt is, hogy hogyan tudjuk ezt jogszerűen végezni.

A Naplózás 10 sarkalatos pontja

Egy tíz pontos szempontrendszer alapján működtetve a naplózást nagy lépést tehetünk, hogy IT biztonságunk az elszámoltathatóság szempontjából megfelelően működjön.

A naplózási szabályzat vagy eljárásrend

Először is rendelkeznünk kell egy naplózási szabályzattal vagy eljárásrenddel, amiben a következő témaköröket tárgyaljuk:

  • célok
  • hatókör
  • szerepkörök
  • felelősségek
  • vezetői elkötelezettség
  • koordináció a szervezeti egységek között
  • compliance (megfelelés)
  • egy eljárás, hogy hogyan segítsük elő a naplózási szabályzat, eljárásrend és a kapcsolódó ellenőrzések megvalósulását

Ha a szervezet mérete, típusa nem indokolja a külön szabályzatot, eljárásrendet; természetesen beírhatjuk a naplózási követelményeket az Informatikai Biztonsági Szabályzatunkba (IBSZ) is.

Naplózandó események

Itt röviden azt szoktuk javasolni, hogy ami a naplózási eljárásrendben, szabályzatban benne van azokat naplózzuk. Először meg kell határoznunk milyen szinteken tegyük azt. A következő felsorolás megfelelő alap lehet:

  • operációs rendszerek szintjén
  • adatbázis kezelők szintjén
  • alkalmazások szintjén
  • hálózati aktív eszközök szintjén
  • hálózatok biztonságát szavatoló eszközök szintjén

Naplózandó események vonatkozásában a következő felsorolás segíthet belőni a scope-ot, azt, hogy mit naplózzunk.

Naplózandó események az operációs rendszer szintjén:

  • az operációs rendszerbe történő sikeres ki és belépések (ki, mikor)
  • az operációs rendszerbe történő sikertelen belépések (ki, mikor)
  • kritikus rendszerfájlok létrehozása, módosítása, törlése 
  • jogosultsági rendszert érintő változtatásokat (jogosultsági csoportok létre hozása, módosítása, felhasználók létrehozása, módosítása esetleg csoporthoz rendelése)
  • az operációs rendszer naplózásával kapcsolatos bármely beállítás módosítását, a naplózás leállítását és indítását
  • az adott operációs rendszer vagy a rá telepített alkalmazást befolyásoló konfigurációs beállítások létrehozását, módosítását, törlését
  • a hozzáférést biztosító alkalmazások indítása, azok körülményei

Naplózandó események az adatbázis kezelőkben:

  • Az adatbázis kezelőbe történő sikeres ki és belépések (ki, mikor);
  • ugyan így a sikertelen belépések (ki, mikor);
  • az adatbázis, illetve annak fontosabb funkcióinak leállítását, újraindítását;
  • az adatbázisban a változtatásokat (ki, mit, mikor, mire, miről);
  • jogosultsági rendszert érintő változtatásokat (jogosultsági csoportok létre hozása, módosítása, felhasználók létrehozása, módosítása esetleg csoporthoz rendelése);
  • az adatbázis kezelő naplózásával kapcsolatos bármely beállítás módosítását, a naplózás leállítását és indítását.

Naplózandó események az alkalmazások szintjén:

  • Az alkalmazásba történő sikeres ki és belépések (ki, mikor);
  • hasonlóan a sikertelen belépések (ki, mikor);
  • az alkalmazás részeinek indítását, (ki, mikor, mit,) és a sikertelen indításokat;
  • jogosultsági rendszert érintő változtatásokat (jogosultsági csoportok létre hozása, módosítása, felhasználók létrehozása, módosítása esetleg csoporthoz rendelése);
  • az alkalmazás naplózásával kapcsolatos bármely beállítás módosítását, a naplózás leállítását és indítását;
  • az adatvédelem itt kiemelt tényező, naplózni kell a személyes adatokhoz történő hozzáférést és módosítást.

Naplózandó események a hálózati aktív eszközökön:

  • a hálózati eszköz konfigurációs rendszerébe történő be és kilépéseket
  • a hálózati eszköz konfigurációs rendszerébe történő sikertelen belépési kísérleteket
  • a végrehajtott konfigurációs változtatások
  • sikertelen változtatási kísérletek a konfigurációban

Naplózandó események a hálózati biztonsági eszközökön:

  • a hálózati eszköz konfigurációs rendszerébe történő be és kilépéseket
  • a biztonsági eszköz konfigurációs rendszerébe történő be és kilépéseket
  • a biztonsági eszköz konfigurációs rendszerébe történő sikertelen belépési kísérleteket
  • a végrehajtott konfigurációs változtatások
  • sikertelen változtatási kísérletek a konfigurációban

Kijelenthető, hogy a tűzfalak, illetve IPS/IDS rendszerek tekintetében kiemelt figyelemmel kell naplóznunk; és napi szinten ellenőriznünk, hogy az informatikai biztonsági incidenseket a legrövidebb időn belül kiszűrjük és kezeljük.

Napló bejegyzések tartalma

Fontos, hogy informatikai rendszerünk, rendszereink naplózási követelményeit úgy állítsuk be, hogy elegendő információt gyűjtsön ahhoz, hogy lássuk milyen események történtek; és ezek honnan, miből származtak. Alkalmasnak kell lenniük az események utólagos rekonstruálására.

A Naplók tárolásához szükséges tárkapacitás

A naplózásra elegendő méretű tárkapacitást kell kijelölnünk. A naplózásunkat úgy kell konfigurálnunk, hogy megelőzzük a tárkapacitás betelését.

Naplózási hibák kezelése

Naplózási hibák esetén; vagy, ha tárkapacitásunk a végéhez közeleg, a rendszernek üzenetet kell küldeni a naplózásért felelős rendszeradminisztrátornak, hogy tudjunk reagálni.

Naplók figyelése, elemzése, jelentések készítése

Napló bejegyzéseinket rendszeresen át kell vizsgálnunk (naponta, esetleg 2 naponta) nem megfelelő vagy szokatlan működésre utaló jelek keresése céljából. A szokatlan tevékenységeket elemezni kell, majd az eredményt továbbítani az érintett vezetőnek. Rendelkeznünk kell egy értesítési lánccal, hogy a logokban található anomáliák kezelését hatékonyan és gyorsan tudjuk végezni. Akármennyi eseményt logolhatunk, ha nem vizsgáljuk rendszeresen, mit sem ér. Ha engedi a budget; vezessünk be naplózási rendszert megfelelő supporttal; ha nem, legyen humán erőforrásunk a logok elemzésére, mert sokszorosan megtérül. A logelemzés nélkül amúgy láthatatlan eseményeket nagyobb valószínűséggel szűrhetjük ki és csökkenthetjük a lehetséges károkat.

Időbélyegek

Informatikai rendszerünknek időbélyegeket kell biztosítani a naplóbejegyzések előállításához. A belső rendszerórákat szinkronizálni kell minden egyes adatkérést kiszolgáló tevékenységnél.

Napló információk védelme

Biztosítanunk kell, hogy napló állományaink védve legyenek jogosulatlan törléstől, módosítástól és hozzáféréstől. Ez már jogosultság kezelési kérdés is. Kiemelt figyelemmel kell lennünk arra, hogy ki férhet hozzá a napló fájlokhoz és milyen jogokkal.

Napló bejegyzések megőrzése

Meg kell határoznunk meddig őrizzük a naplófájlokat (5 esetleg 8 év); különös figyelemmel a GDPR rendelet és egyéb jogszabályok (41/2015 BM Rendelet2013. évi L. törvény) követelményeire.

Összegzés

Természetesen ez a blog bejegyzés nem azoknak íródott, akik egy pénzügyi szervezet naplózását szeretnénk beállítani; hanem azoknak, akik egy kisebb cégnél most szeretnék a naplózás és az elszámoltathatóság alapjait lefektetni. Érdemes ennek az ellenőrzőlistának minden pontját figyelembe venni. Ezzel komoly lépést tehetünk, hogy kiberbiztonságunkat magasabb szintre emeljük. 

Ha adatvédelmi megfelelőség kialakításában vagy szolgáltatásod, terméked ellenőrzésében, vállalkozásod segítségére lehetünk vedd fel velünk a kapcsolatot elérhetőségeink egyikén.

További publikációink