TISAX® Kapitel 5.2.4
Inwieweit werden Ereignisprotokolle aufgezeichnet und analysiert?
Erschlagen von den Anforderungen? Sie wissen nicht, wie ausführlich Sie bestimmte Anforderungen erfüllen müssen?
Testen Sie jetzt kostenlos & unverbindlich unser TISAX®-Vorlagenpaket.
Ziel
Ereignisprotokolle unterstützen die Rückverfolgbarkeit von Ereignissen im Falle eines Sicherheitsvorfalls. Dies setzt voraus, dass Ereignisse, die zur Ermittlung der Ursachen notwendig sind, aufgezeichnet und gespeichert werden. Darüber hinaus ist die Protokollierung und Analyse von Aktivitäten entsprechend der geltenden Gesetzgebung (z. B. Datenschutz- oder Betriebsverfassungsgesetz) erforderlich, um festzustellen, welches Benutzerkonto Änderungen an IT-Systemen vorgenommen hat.
Anforderungen
- Muss
- Anforderungen an die Informationssicherheit bezüglich der Handhabung von Ereignisprotokollen sind ermittelt und erfüllt.
- Muss
- Sicherheitsrelevante Anforderungen an die Protokollierung der Aktivitäten von Systemadministratoren und Nutzern sind ermittelt und erfüllt.
- Muss
- Die eingesetzten IT-Systeme werden hinsichtlich der Notwendigkeit der Protokollierung bewertet.
- Muss
- Bei der Nutzung organisationsfremder IT-Dienste werden Informationen zu den Überwachungsmöglichkeiten eingeholt und im Assessment berücksichtigt.
- Muss
- Ereignisprotokolle werden regelmäßig auf Regelverstöße und Auffälligkeiten im Einklang mit den zulässigen gesetzlichen und betrieblichen Bestimmungen überprüft.
- Sollte
- Ein Verfahren zur Eskalation von relevanten Ereignissen an die zuständige Stelle (z.B. Sicherheitsvorfall-Meldung, Datenschutz, Unternehmenssicherheit, IT-Sicherheit) ist definiert und etabliert.
- Sollte
- Ereignisprotokolle (Inhalte und Metadaten) sind gegen Änderungen geschützt. (z. B. durch eine dedizierte Umgebung).
- Sollte
- Eine angemessene Überwachung und Aufzeichnung aller informationssicherheitsrelevanten Aktionen im Netzwerk sind etabliert.
- Schutzbedarf hoch
- Informationssicherheitsanforderungen, die für die Sicherheit während der Handhabung von Ereignisprotokollen relevant sind, z.B. vertragliche Anforderungen, sind ermittelt und umgesetzt. (C, I, A)
- Schutzbedarf hoch
- Zugriffe beim Auf- und Abbau von organisationsfremden Netzwerkverbindungen (z.B. Fernwartung) werden protokolliert. (C, I, A)
- Bei Sehr Hoch
- Protokollierung aller Zugriffe auf Daten mit sehr hohem Schutzbedarf, soweit technisch möglich und im Rahmen der gesetzlichen und betrieblichen Bestimmungen zulässig. (C, I)
Umsetzung
Ereignisprotokollierung und Analyse gemäß TISAX Anforderungen
Zur Erfüllung der TISAX Anforderungen im Bereich der Ereignisprotokollierung und -analyse sollten Unternehmen eine klar definierte und umfassende Strategie entwickeln. Zunächst ist eine Bestandsaufnahme der vorhandenen IT-Systeme erforderlich, um die Notwendigkeit und den Umfang der Protokollierung zu bestimmen. Dies beinhaltet auch die Bewertung von organisationsfremden IT-Diensten auf deren Überwachungsmöglichkeiten.
Es ist essenziell, eine Richtlinie zu implementieren, die festlegt, welche Arten von Ereignissen protokolliert werden müssen. Diese Richtlinie sollte speziell die Aktivitäten von Systemadministratoren und Nutzern umfassen. Der Fokus liegt darauf, sicherheitsrelevante Vorfälle lückenlos zu dokumentieren und Systemintegrität zu gewährleisten.
In Bezug auf die Protokollführung muss sicherstellt werden, dass Ereignisprotokolle regelmäßig analysiert werden, um Anomalien oder Regelverstöße aufzudecken. Hierfür sollte ein automatisiertes Tool eingesetzt werden, das die Protokolle kontinuierlich überprüft und bei Auffälligkeiten Alarm schlägt.
- Um den Schutz der Ereignisprotokolle zu gewährleisten, sollten diese in einer sicheren, dedizierten Umgebung gespeichert und gegen Manipulation geschützt werden.
- Ferner ist ein Eskalationsverfahren essentiell, das die Meldung kritischer Sicherheitsvorfälle an relevante interne Stellen wie die IT-Sicherheitsabteilung oder die Unternehmenssicherheit regelt.
Zusätzlich zu den Must-Anforderungen gibt es spezielle Überlegungen für den Schutz und die Handhabung von Protokollen bei hohem und sehr hohem Schutzbedarf. Für solche Szenarien müssen vertragliche und rechtliche Anforderungen definiert und eingehalten werden, insbesondere bei der Protokollierung des Aufbauens und Abbauens von organisationsfremden Netzwerkverbindungen sowie beim Zugriff auf besonders schützenswerte Daten.
Letztlich sollte in Organisationen mit sehr hohem Schutzbedarf eine nahezu lückenlose Protokollierung aller Zugriffe auf hochsensible Daten angestrebt werden, sofern dies technisch umsetzbar und rechtlich zulässig ist. Dies erhöht nicht nur die Transparenz, sondern auch die Kontrollmöglichkeiten über die Verarbeitung kritischer Informationen.
Durch die Implementierung dieser Maßnahmen können Unternehmen sicherstellen, dass sie die strengen Anforderungen des TISAX in Bezug auf Ereignisprotokollierung und -analyse erfüllen.