it-swarm.com.de

Sollten wir Protokolle für immer führen, um frühere Datenverletzungen zu untersuchen?

Das Anhören des Secure Code Lessons von Have I Been Pwned brachte mich dazu, wirklich über das Protokollieren nachzudenken.

Es scheint, dass in der realen Welt viele Datenverletzungen lange nach ihrem Auftreten entdeckt werden , was die Untersuchung und Wiederherstellung erheblich erschwert, da es häufig keine gibt Protokolle zu folgen und zu recherchieren.

Was können wir dagegen tun? Sollten wir alle Anwendungs-/System-/Webserver-Protokolle für immer aufbewahren?

47
alecxe

Leider gibt es keine "richtige" Antwort auf Ihre Frage. Richtlinien zur Vorratsdatenspeicherung sind spezifisch für die Anforderungen eines Unternehmens und werden häufig aus der Notwendigkeit heraus implementiert, verschiedene gesetzliche Anforderungen einzuhalten, die je nach Art der gespeicherten Daten sowie der Gerichtsbarkeit variieren dass die Daten unter fallen.

Das Aufbewahren von Protokolldaten kann eine Post-Mortem-Analyse ermöglichen, wenn ein Verstoß festgestellt wird, auf den Sie in Ihrer Frage hinweisen. Aufbewahrte Daten können jedoch auch ein eigenständiges Sicherheitsrisiko darstellen, wenn die Protokolle vertrauliche Informationen enthalten. Daher müssen bei Bedarf Schritte unternommen werden, um Protokolldateien zu sichern. Der andere offensichtliche Faktor im Spiel sind die Kosten für die Aufbewahrung der Protokolle. Abhängig von den Verfügbarkeitsanforderungen sind verschiedene Sicherungslösungen möglicherweise kostengünstiger als andere, z. B. wenn alte Protokolle nicht auf dem Bandspeicher gespeichert werden, anstatt Festplattenredundanz zu verwenden.

44
John

10 Jahre

Das Speichern von Protokollen ist billig, häufiger sind sie ASCII/UNICODE und können für eine langfristige Archivierung leicht komprimiert werden.

Das Aufbewahren Ihrer Protokolle ist aus Gründen, die Sie nicht vorhersehen können, besser als das Löschen.

Mindestens eine zehnjährige Aufbewahrungsrichtlinie ist jedoch eine branchenweit bewährte Methode für in den USA ansässige Unternehmen, da die Bundesverjährungsfrist und in den meisten Bundesstaaten ein Jahrzehntmaximum in Bezug auf Verbrechen von Personen ohne schwerwiegende Personen beträgt.

Bestimmte Branchen gehen noch weiter, Ärzte, einschließlich Krankenhäuser, bewahren die Gesundheitsakten und die daraus resultierenden elektronischen Protokolldaten für 50 Jahre auf.

Telekommunikationsanbieter wie NYNEX (von Verizon übernommen) und andere "Baby Bells" behielten ihre Pen Registers , die Protokolle der Telefonanrufe ihrer Teilnehmer, für immer bei.

Die Aufbewahrung, Spiegelung und sichere Archivierung von Aufzeichnungen außerhalb des Standorts ist eine Praxis, die jedes große Unternehmen angehen muss, die jedoch bei der Implementierung zur Routine wird.

Wenn Sie ein Dienstleister, ein Hosting-Unternehmen oder in irgendeiner Weise ein Verwalter von personenbezogene Daten sind, werden Sie durch eine 10-jährige Aufbewahrungsrichtlinie mit allen bekannten und branchenüblichen Sicherheitsstandards einschließlich PCI in Einklang gebracht -DSS und der Rest des Telefonbuchs mit Best Practices der Branche.

Die Demonstration einer einheitlichen Richtlinie für die Aufbewahrung von Ironclad hilft einem Unternehmen, das Thema im RFP-Auswahlprozess schnell zu verankern, und definiert sich selbst als "auf dem neuesten Stand".

Das unbegrenzte Speichern dieser Protokolldateien kann in der EU illegal sein. Ich sage KANN SEIN, da das neue Datenschutzgesetz im Mai 2018 in Kraft tritt und es noch einige unklare Bereiche gibt. Die Regeln lauten jedoch wie folgt:

Wenn Sie keine ausdrückliche Einwilligung haben (was Sie vermutlich nicht haben), dürfen Sie personenbezogene Daten nur für gesetzlich zulässige Zwecke aufbewahren. Die Aufbewahrung von Protokolldateien zum Zwecke der Untersuchung von Datenschutzverletzungen ist zulässig, da folgende Ausnahme gilt: "Die Verarbeitung ist erforderlich, um die vitalen Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.".

Sie sind jedoch weiterhin an das Verhältnismäßigkeitsprinzip gebunden, sodass Sie Protokolldaten nur insoweit speichern können, als dies "notwendig" ist. Irgendwann ist die Nützlichkeit der Daten nur noch theoretisch, so dass die rechtliche Grundlage für die Verarbeitung verschwindet. Es gibt kein festes Limit, aber in jedem Fall liegt die Beweislast auf Ihrer Seite - Sie müssen nachweisen, dass das Speichern von Protokolldateien zum Schutz der Sicherheit erforderlich ist.

Sie sollten sich darüber Sorgen machen, auch wenn Sie in den USA tätig sind, da diese Verordnung sehr weit verbreitet ist (zum Beispiel haben Sie Kunden in der EU).

Auf jeden Fall gibt es einen Weg, um diese Regelung zu umgehen. Wenn Ihre Protokolle keine persönlichen Daten enthalten (z. B. Benutzer kann nicht identifiziert werden), gilt die Regelung nicht. Da die IP-Adresse jedoch als personenbezogene Daten betrachtet wird (Vorabend

8
MikiRaven