Ascoltare Lezioni di codice protetto da I'm Been Been Pwned mi ha fatto davvero pensare al logging.
Sembra che nel mondo reale molte violazioni dei dati siano scoperte molto tempo dopo che si sono verificate il che rende le indagini e il recupero molto più difficili perché spesso non ci sono log da seguire e ricercare.
Cosa possiamo fare a riguardo? Dovremmo tenere per sempre tutti i log dell'applicazione / sistema / server web?
Sfortunatamente, non c'è una risposta "corretta" alla tua domanda. Le politiche di conservazione dei dati sono specifiche per le esigenze di un'organizzazione e sono spesso implementate per necessità di conformità con vari requisiti legali , che variano a seconda della natura dei dati memorizzati, nonché della giurisdizione in cui si trovano i dati.
I dati dei registri di mantenimento possono consentire analisi post-mortem se viene rilevata una violazione, come si allude alla domanda. Tuttavia, i dati conservati possono anche rappresentare un rischio per la sicurezza di per sé, se i registri contengono informazioni riservate, pertanto è necessario adottare misure per proteggere i file di registro, se necessario. L'altro fattore ovvio in gioco è il costo di mantenere i registri. A seconda dei requisiti di disponibilità, le diverse soluzioni di backup possono essere più economiche di altre, come mantenere i vecchi registri fuori sede su storage su nastro piuttosto che utilizzare la ridondanza del disco.
10 anni
Lo storage dei log è economico, più spesso sono ASCII / UNICODE e facilmente compresso per l'archiviazione a lungo termine.
Mantenere i registri è meglio dello spurgo per i motivi che non puoi anticipare.
Ma il minimo, una politica di conservazione di dieci anni è una best practice del settore per le imprese con sede negli Stati Uniti dal momento della prescrizione federale e nella maggior parte degli stati è un decennio massimo per i crimini di persone non gravi.
I settori industriali specifici vanno oltre, i medici medici inclusi gli ospedali conservano i registri sanitari e i dati del registro elettronico del corollario per 50 anni .
I fornitori di telecomunicazioni come NYNEX (acquisita da Verizon) e altri "Baby Bells" hanno conservato i loro Registri penne , i registri delle telefonate dei loro abbonati per sempre.
La conservazione dei record, il mirroring e l'archiviazione sicura al di fuori del sito sono una pratica che ogni organizzazione importante deve affrontare, ma diventa di routine quando implementata.
Se sei un fornitore di servizi, società di hosting o in qualsiasi modo un custode di Dati identificabili personalmente , a 10 La politica di conservazione annuale ti manterrà conforme a tutti gli standard di sicurezza conosciuti e accettati dal settore, inclusi PCI-DSS e il resto della rubrica delle best practice del settore.
Dimostrare una politica di fidelizzazione della corazza uniforme aiuta un'impresa a consolidare rapidamente l'argomento nel processo di selezione delle RFP e si definirà "alla pari".
L'archiviazione indefinita di questi file di log può essere illegale nell'UE. Sto dicendo che potrebbe essere, dal momento che la nuova normativa sulla protezione dei dati entrerà in vigore nel maggio 2018 e ci sono ancora alcune aree poco chiare. Tuttavia, le regole seguono:
Se non hai il consenso esplicito (che, presumo, non hai), sei autorizzato a conservare i dati personali solo per scopi consentiti dalla legge. È consentito conservare i file di registro allo scopo di indagare sulle violazioni dei dati, poiché si applica la seguente eccezione: "l'elaborazione è necessaria per proteggere gli interessi vitali dell'interessato o di un'altra persona fisica".
Tuttavia, sei ancora vincolato dal principio di proporzionalità, quindi puoi memorizzare i dati del registro solo nella misura in cui è "necessario". Ad un certo punto, l'utilità dei dati è solo teorica, quindi la base legale per l'elaborazione scompare. Non esiste un limite fisso, ma in ogni caso l'onere della prova è dalla tua parte: devi dimostrare che la memorizzazione dei file di registro è necessaria per proteggere la sicurezza.
Dovresti preoccuparti di questo, anche se stai operando negli Stati Uniti, poiché questo regolamento si applica molto ampiamente (ad esempio, hai clienti nell'UE).
Ad ogni modo, c'è un modo per aggirare questo regolamento - se i registri non contengono dati personali (ad esempio l'utente non può essere identificato), il regolamento non si applica. Tuttavia, poiché l'indirizzo IP è considerato dati personali (eve
Leggi altre domande sui tag logging data-recovery attacks data-leakage incident-response