TFL Vsebine / TFLGlasnik

IZHODIŠČE

Pojasnila v zvezi z vodenjem revizijske sledi so bila nazadnje objavljena leta 2013. Od takrat so bili med drugim sprejeti Zakon o informacijski varnosti, ki vsebuje nejasno opredelitev pojma revizijska sled, Uredba o informacijski varnosti v državni upravi ter Pravilnik o enotnih tehnoloških zahtevah za zajem in hrambo gradiva v digitalni obliki, v katerih je v vsakem drugače opredeljen pojem revizijska sled.

Na podlagi predstavljenega izhodišča je bila sprejeta naslednja strokovna razlaga.

STROKOVNA RAZLAGA

Uredba o informacijski varnosti v državni upravi (Uradni list RS, št. 29/18 in 131/20) najkrajše določa pojem revizijske sledi v 29. točki 1. odstavka 2. člena, in sicer je revizijska sled »dnevnik z zapisi o operacijah nad poslovnimi podatki«.

V 27. točki 1. odstavka 4. člena Zakona o informacijski varnosti (Uradni list RS, št. 30/18 in 95/21) je zapisano, da je revizijska sled »nespremenljiva sled oziroma niz podatkov, ki se je zgodil v informacijskem sistemu ali napravi, z natančnim časovnim zapisom v obliki dnevniškega zapisa, ki omogoča natančen pregled vseh zapisov, povezanih z vsemi dogodki in vsemi shranjenimi informacijami, od nastanka podatka ali informacije naprej do trenutnega stanja«.

Definicija po mnenju odbora PRIS vsebuje napako, saj se »nespremenljiva sled oziroma niz podatkov« ne more »zgoditi v informacijskem sistemu ali napravi«, tako da se verjetneje določba nanaša na »dogodek, ki se je zgodil v informacijskem sistemu ali napravi«.

V 29. točki 1. odstavka 3. člena Pravilnika o enotnih tehnoloških zahtevah za zajem in hrambo gradiva v digitalni obliki (Uradni list RS, št. 118/20) je določeno, da je revizijska sled »nespremenljivi podrobno dokumentirani zapis, ki nedvoumno, neizpodbitno in celovito dokumentira zapisovanje in spreminjanje zapisov ves čas njihovega trajanja od izvirnega zapisa do v tistem času veljavnega zapisa. Iz nje je razvidno vsaj, kdo, kdaj, s katerimi podatki in kakšno operacijo je izvedel glede posameznega zapisa, ter tako omogoča poznejše prepoznavanje časa, vršilca, načina in vsebine poznejše obdelave podatkov, na katere se revizijska sled nanaša«.

Dobra praksa CIS Controls v8¹ loči pojma revizijski dnevniki in sistemski dnevniki, čeprav sta oba pojma obravnavana skupaj, znotraj kontrole številka 8 – Vodenje revizijskih dnevnikov. V nadaljnji razlagi pojasnjuje, da ti vrsti dnevnikov običajno obravnavamo in nastavljamo ločeno. Pri tem sistemski dnevniki beležijo dogodke na sistemski ravni, ki prikazujejo zagon in izklop sistemskih procesov skupaj s časi, sesutje sistemov ipd. ter so praviloma »naravni« del sistemov, zato njihovo vklapljanje zahteva manj nastavitev. Revizijski dnevniki praviloma vsebujejo dogodke na ravni uporabnikov – kadar se uporabnik prijavi, dostopa do datoteke ipd. Njihova vzpostavitev zahteva več načrtovanja in truda.

V praksi je beleženje dogodkov v revizijske dnevnike oziroma vodenje revizijske sledi ključno za odzivanje na incidente. Napadalci se zavedajo, da organizacije beležijo v revizijske dnevnike zaradi zagotavljanja skladnosti, vendar jih redko analizirajo. Napadalci se zato ne obremenjujejo s skrivanjem svoje lokacije, škodljive kode in aktivnosti na računalnikih žrtev. Zaradi neustrezne ali neobstoječe analitike dnevnikov napadalci v nekaterih primerih nadzirajo računalnike žrtve mesece ali celo leta, ne da bi v organizaciji to opazili.

Večina strojne opreme in informacijskih rešitev (med drugim požarni zidovi, posredniški strežniki, sistemi za oddaljeni dostop, sistemi za zaznavanje vsiljivcev in podobne naprave) v organizaciji ponuja zmogljivosti beleženja sistemskih dogodkov v revizijske dnevnike. Kadar je tako beleženje vključeno, omogoča tudi pošiljanje zapisov centraliziranim strežnikom za beleženje in analizo. Hramba dnevniških zapisov oziroma revizijske sledi je pomembna pri preiskavi incidenta.

Vse organizacije bi morale nastaviti dnevnike dostopa tako, da se beležijo vsi poskusi dostopa brez ustreznih pooblastil.

Dobra praksa CIS Controls v8 v sklopu kontrole številka 8 predvideva naslednje minimalne oziroma osnovne varnostne ukrepe za zagotavljanje kibernetske varnosti:

1. Vzpostavite in vzdržujte proces vodenja revizijskih dnevnikov.
2. Zbirajte revizijske dnevnike.
3. Zagotovite zadostno hrambo revizijskih dnevnikov.

SIST EN ISO 27002:2017 v prilogi A, točka 2.4, določa kontrole na področju beleženja in spremljanja. V točki 12.4.1 smernic za izvedbo se priporoča, da naj bi dnevniki o dogodkih, kadar je to smiselno, vsebovali:

• identifikacijo uporabnika; sistemske aktivnosti;
• datum, čas in podrobnosti o ključnih dogodkih (npr. prijava in
• odjava);
• identiteto naprave in njeno lokacijo, če je to mogoče, in identifikator sistema;
• zapise o uspešnih in zavrnjenih poskusih dostopa do sistema; zapise o uspešnih in zavrnjenih poskusih dostopa do podatkov in drugih virov;
• spremembe sistemskih nastavitev; uporabo pooblastil;
• uporabo sistemskih pripomočkov in aplikacij; dostope do datotek in vrsto dostopa;
• naslove omrežja in protokole;
• alarme, ki so se sprožili v sistemu kontrole dostopa;
• vklop in izklop zaščitnih sistemov, kot so protivirusni sistemi in sistemi za zaznavanje vdorov;
• zapise o transakcijah, ki so jih izvršili uporabniki in aplikacije.

Slovenski predpisi različno pojmujejo revizijsko sled, odvisno od področja, ki ga ureja posamezen predpis. Skladno s tem je revizijska sled lahko omejena na primer le na poslovne dogodke ali dogodke, povezane z upravljanjem dokumentarnega gradiva. Najširšo definicijo, čeprav je v njej zelo verjetno napaka, podaja Zakon o informacijski varnosti. Glede na podane zahteve o vsebini revizijske sledi se smiselno ujema z definicijo revizijske sledi po standardu SIST EN ISO 27002:2017. Dobra praksa CIS Controls v8 se nanaša na »dnevnike« in jih loči na revizijske in sistemske. Glede na obseg podatkov iz definicije revizijske sledi po SIST EN ISO 27002:2017 se revizijska sled nanaša tudi na sistemske dnevnike (npr. beleženje dostopa do datotek, spremembe sistemskih nastavitev).

Ker naj bi bila revizijska sled celovit in zanesljiv zapis o dogodkih, sistemski dnevniki smiselno dopolnjujejo aplikativne oziroma revizijske dnevnike, zato bi jih bilo treba obravnavati kot celoto, kot sestavni del revizijske sledi.

Skladno z navedenim je revizijska sled množica zapisov, ki skupaj tvorijo celovit nespremenljiv zapis o časovno opredeljenih dogodkih v informacijskem sistemu. Krovno definicijo pojma določa Zakon o informacijski varnosti. Zaradi nejasne definicije pri uporabi v stroki jo razumemo v naslednji obliki:

»Revizijska sled je nespremenljiva sled oziroma niz podatkov o dogodku, ki se je zgodil v informacijskem sistemu ali napravi, z natančnim časovnim zapisom v obliki dnevniškega zapisa, ki omogoča natančen pregled vseh zapisov, povezanih z vsemi dogodki in vsemi shranjenimi informacijami, od nastanka podatka ali informacije naprej do trenutnega stanja.«²

Revizijska sled naj bi vsebovala vsaj podatke, ki jih določa SIST EN ISO 27001:2017, kadar v področnem predpisu ni določeno drugače. Ker predpisi izrecno ne določajo strokovnih smernic v zvezi z vodenjem revizijske sledi, naj bi osnovne kontrole in varnostni ukrepi pri vodenju revizijske sledi vsebovali vsaj tiste, ki so navedeni v CIS Controls v8 v sklopu kontrole številka 8 in predstavljajo nabor osnovnih kibernetskih kontrol (spadajo v skupino IG1).

Skladno s priporočili SIST EN ISO 27001:2017 opozarjamo še, da revizijske sledi lahko vsebujejo občutljive podatke in informacije določljivih posameznikov, zato je treba pri njihovem vodenju sprejeti ustrezne ukrepe za zaščito zasebnosti.

Opombe

1. Dostopno naspletnem naslovu.

2. Razlaga predstavlja le strokovno tolmačenje zahteve z namenom, da bo mogoča uporaba definicije v strokovni praksi. Spremembo zakona ali avtentično razlago zakona lahko sprejme le zakonodajalec.