Skip to Content

การบันทึกตามมาตรฐาน ISO 27001 A.8.15

14 กุมภาพันธ์ ค.ศ. 2024 โดย
K&O Systems and Consulting


การบันทึกตามมาตรฐาน ISO 27001 เป็นเรื่องง่ายในเวลาที่ “สงบ” แต่เมื่อเกิดเหตุการณ์ด้านความปลอดภัยขึ้น – คุณต้องเริ่มจากที่ไหนสักแห่ง และคุณต้องเริ่มต้นด้วยการค้นหาว่าเกิดอะไรขึ้น ที่ไหน ใครเป็นต้นเหตุของเหตุการณ์ ฯลฯ ด้วยเหตุนี้จึงจำเป็นต้องมีบันทึก และคุณต้องตรวจสอบบันทึกเหล่านี้ – นี่คือสิ่งที่ควบคุม A.8.15 ในISO 27001


ปฏิบัติตามกฎหมายความปลอดภัยของข้อมูล

การมีระบบที่ไม่มีบันทึกเหตุการณ์ถือเป็นข้อผิดพลาดร้ายแรง ซึ่งในบางกรณีอาจมีบทลงโทษสำหรับการละเมิดข้อบังคับทางกฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล โดยทั่วไปแล้ว ประเทศที่มีข้อบังคับเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลจำเป็นต้องมีการลงทะเบียนอย่างน้อยเพื่อระบุตัวผู้ใช้ที่เข้าถึงข้อมูลเหล่านั้น ดูบทความกฎหมายและข้อบังคับเกี่ยวกับความปลอดภัยของข้อมูลและความต่อเนื่องทางธุรกิจตามประเทศ  เพื่อช่วยให้คุณทำความคุ้นเคยกับข้อบังคับที่เกี่ยวข้องกับความปลอดภัยของข้อมูลที่บังคับใช้ในประเทศของคุณ

แนวคิดง่ายๆ คือ หากเหตุการณ์หรือเหตุการณ์เกิดขึ้น เราต้องระบุให้ได้ว่าเกิดอะไรขึ้น เช่น เวลา/วันที่เกิดเหตุการณ์ ฯลฯ ผู้คนที่เกี่ยวข้อง ที่มาและสาเหตุ เป็นต้น ตัวอย่างเช่น จะทำอย่างไรเจ้าหน้าที่จะทำอย่างไรเมื่อมีการกระทำผิด? พวกเขาจับภาพบันทึกของกล้องวงจรปิด หรือพิจารณาการมีอยู่ของกล่องดำในเครื่องบิน เรือ และรถไฟ


ป้องกันการทุจริตและเหตุการณ์อื่นๆ

บันทึกเป็นบันทึกเกี่ยวกับการเข้าถึงระบบ เหตุการณ์ กิจกรรมของผู้ใช้ ฯลฯ ดังนั้นจึงเป็นเรื่องที่น่าสนใจที่จะตรวจสอบบันทึกเป็นประจำ ไม่ว่าจะมีเหตุการณ์เกิดขึ้นหรือไม่ก็ตาม เนื่องจากสามารถช่วยให้เราวิเคราะห์แนวโน้มหรือตรวจจับกิจกรรมการฉ้อโกงที่อาจเกิดขึ้นได้ก่อนที่เหตุการณ์สำคัญจะเกิดขึ้น ตัวอย่างเช่น หากมีความพยายามที่ล้มเหลวหลายครั้งในการเข้าถึงระบบที่สำคัญบางอย่าง (ซึ่งจะถูกบันทึกไว้ในไฟล์บันทึก) ขององค์กร อาจหมายความว่ามีคนพยายามเข้าถึงโดยไม่ได้รับอนุญาต หรือหากในบันทึกไฟร์วอลล์เราตรวจพบการเชื่อมต่อภายนอกที่พยายามเข้าถึงทรัพยากรบางอย่าง เราสามารถระบุสัญญาณของการพยายามโจมตีจากภายนอกที่เป็นไปได้

อย่างไรก็ตาม บทความนี้เกี่ยวกับเหตุการณ์ด้านความปลอดภัย  อาจน่าสนใจสำหรับคุณ: วิธีจัดการกับเหตุการณ์ตามมาตรฐาน ISO 27001

ท้ายที่สุดแล้ว ข้อมูลนี้มีประโยชน์ในการตรวจสอบระบบ กล่าวคือ เพื่อทราบว่าเกิดอะไรขึ้นหรือกำลังเกิดอะไรขึ้นในการทำงานของระบบสารสนเทศ และสามารถใช้เพื่อรับข้อมูลเกี่ยวกับที่มาของเหตุการณ์ หรือเพื่อระบุแนวโน้มและจัดทำ การตัดสินใจเพื่อหลีกเลี่ยงปัญหา

ความสำคัญของการบันทึกและการตรวจสอบคือแอปพลิเคชันส่วนใหญ่มีตัวเลือกในการลงทะเบียนฟังก์ชันประเภทนี้ ในบางกรณี มันเปิดใช้งานโดยค่าเริ่มต้นด้วยซ้ำ ข้อมูลนี้มีความสำคัญมากในการวิเคราะห์ทางนิติวิทยาศาสตร์ เพราะสามารถใช้เป็นหลักฐานในการดำเนินคดีได้


ข้อกำหนด ISO 27001 สำหรับการบันทึกและการตรวจสอบ

ภาคผนวก A ของ ISO 27001:2022 มีการควบคุมการบันทึก A.8.15 เพื่อช่วยเราจัดการปัญหาส่วนใหญ่ที่กล่าวถึงในบทความนี้:

 

  • การบันทึกเหตุการณ์:ลงทะเบียนข้อมูลเกี่ยวกับการเข้าถึงและการดำเนินการของผู้ใช้ (รวมถึงผู้ดูแลระบบและผู้ดำเนินการของระบบ) ข้อผิดพลาด เหตุการณ์ ฯลฯ ในระบบข้อมูล
  • พื้นที่จัดเก็บบันทึก:หากคุณมีแอปพลิเคชันหลายตัว การส่งบันทึกที่สร้างขึ้นโดยแต่ละแอปพลิเคชันไปยังเซิร์ฟเวอร์ส่วนกลางเป็นเรื่องที่น่าสนใจ ในการทำเช่นนี้ คุณสามารถกำหนดค่าเซิร์ฟเวอร์ syslog (syslog เป็นมาตรฐานสำหรับการบันทึกข้อความและสามารถทำงานผ่านเครือข่ายที่มีโครงสร้างแอปพลิเคชันไคลเอนต์เซิร์ฟเวอร์) ซึ่งโดยทั่วไปจะช่วยให้คุณสามารถรวมศูนย์บันทึกทั้งหมดบนเซิร์ฟเวอร์เฉพาะได้
  • การป้องกันข้อมูลบันทึก:บันทึกต้องได้รับการป้องกัน เนื่องจากไม่สามารถลบหรือแก้ไขโดยบุคคลที่ไม่ได้รับอนุญาต โดยทั่วไป เมื่อผู้โจมตีเข้าถึงระบบที่ไม่ได้รับอนุญาต เขาจะลบข้อมูลทั้งหมดที่สร้างขึ้นในบันทึก เพื่อลบหลักฐานของการกระทำใดๆ ที่เขาดำเนินการ ดังนั้น คุณต้องตั้งกฎที่อนุญาตการแก้ไขบันทึกเหล่านี้โดยบางคนเท่านั้น และในทางกลับกัน เห็นได้ชัดว่ามาตรการควบคุมการเข้าถึงของระบบควรได้รับการเสริมความแข็งแกร่ง
  • การวิเคราะห์ บันทึก: ต้องวิเคราะห์บันทึกตามช่วงเวลาปกติเพื่อให้แน่ใจว่าตรวจพบพฤติกรรมและข้อผิดพลาดที่ผิดปกติอย่างเหมาะสมและตรวจสอบได้ทันท่วงที

สิ่งสำคัญที่ต้องกล่าวถึงในบทความนี้คือการควบคุม A.8.17 การซิงโครไนซ์นาฬิกา ระบบทั้งหมดควรได้รับการกำหนดค่าตามเวลาและวันที่เดียวกัน มิฉะนั้น หากเกิดเหตุการณ์ขึ้นและเราต้องการทำการทดสอบย้อนกลับของสิ่งที่เกิดขึ้นในระบบต่างๆ ที่เกี่ยวข้อง อาจเป็นเรื่องยากหากแต่ละระบบมีการกำหนดค่าที่แตกต่างกัน ดังนั้น สถานการณ์ในอุดมคติคือระบบมีเวลาซิงโครไนซ์ และสิ่งนี้สามารถทำได้ในลักษณะอัตโนมัติด้วยเซิร์ฟเวอร์เวลา (เรียกในทางเทคนิคว่าเซิร์ฟเวอร์ NTP โดยที่ “NTP” หมายถึงโปรโตคอลอินเทอร์เน็ตสำหรับการซิงโครไนซ์นาฬิการะบบ)


เน้นระบบที่ละเอียดอ่อนที่สุด

เราเห็นว่าการดูแลรักษาบันทึกเป็นสิ่งสำคัญมาก เนื่องจากสามารถช่วยเราตรวจสอบระบบของเราได้ และในบางกรณีก็เป็นข้อบังคับด้วยซ้ำ แต่ระวัง: การดำเนินการนี้มากเกินไปอาจเป็นผลเสีย เพราะการบันทึกข้อมูลทั้งหมดที่สร้างระบบทั้งหมดด้วยวิธีที่ไม่มีการควบคุมอาจเกี่ยวข้องกับปัญหาด้านความจุ

มีอะไรแนะนำบ้าง? ระบุระบบที่สำคัญและจำกัดข้อมูลที่บันทึก: การเข้าถึงของผู้ใช้ ความล้มเหลว ข้อผิดพลาด ฯลฯ นอกจากนี้ อาจแนะนำให้ลบบันทึกบางอย่างที่บันทึกไว้เมื่อนานมาแล้วและไม่สำคัญอีกต่อไป หรือคุณสามารถเก็บไว้ใน ระบบสำรองข้อมูล พูดง่ายๆ ก็คือ การบันทึกบันทึกเป็นสิ่งสำคัญ แต่การเก็บบันทึกทั้งหมดไว้อย่างไม่มีกำหนดก็ไม่ใช่เรื่องสำคัญ การบันทึกตามมาตรฐาน ISO 27001


​สำหรับองค์กรที่ต้องการ Document and Content Management Solution ที่สมบูรณ์แบบ พร้อม Professional Services ที่มีประสบการณ์ Implement Alfresco มามากกว่า 100 โครงการณ์ สามารถติดขอคำปรึกษากับ K&O Systems


​ทั้งนี้บริษัทเคแอนด์โอ จึงได้มุ่งเน้นการจัดการแก้ไขปัญหา จัดการเอกสาร ด้านเอกสารขององค์กรมาอย่างยาวนาน และ ให้ความสำคัญกับด้านงานเอกสาร ต่อลูกค้าเป็นอย่างดี จนถึงปัจจุบันก็ได้ความยอมรับจากองค์กร ขนาดใหญ่ ขนาดกลาง และขนาดเล็กมากมาย จึงใคร่ขออาสาดูและปัญหาด้านเอกสารให้กับองค์กรของท่านอย่างสุดความสามารถ เพราะเราเป็นหนึ่งในธุรกิจ ระบบจัดเก็บเอกสาร ที่ท่านไว้ใจได้


หากคุณต้องการอ่านข้อมูลเพิ่มเติมเกี่ยวกับเว็บไซต์

ติดต่อเรา 095-9196699, 02 860 6659 ต่อ 206

นิ้ว Knowledge