Dokumentation

Exempel kan vara att:

• Ta fram en process för hur loggar ska hanteras vid incidenter.
  

• Plan för att följa lagkrav eller standarder som gäller för loggning och hantering av data.
  

Motivera ”vad, varför och när”

En viktig del är att dokumentera vad som loggas, varför denna information loggas och när denna loggning sker. Information används sedan inom förvaltning av systemet eller tjänsten som genererar loggarna men informationen kan även användas av verksamheten.

Följande information bör, som minimum, finnas med i den dokumentation som tas fram hur loggning och spårbarhet hanteras:

• Syfte och mål med loggning
• Ansvar och befogenheter
• Tidsfrist för bevarande- och gallring
• Informationsklassning
• Loggtyp
• Larmregler
• Genererande system/tjänst
• Lagringsplats av loggar
• Relaterade loggar (om applicerbart)
• Uppdatering och revision

Informationsklassning

Med informationsklassning avses klassificering av den information/data som hanteras så att gällande rätt appliceras för denna information.

Informationen som loggas skall vara klassad så att den skyddas på rätt nivå. Här bör MSBs modell för klassificering av information följas, denna finns här:

https://metodstod-informationssakerhet.msb.se/sv/utforma/klassningsmodell/ Länk till annan webbplats.

Informationsklassning är inte något som specifikt genomförs i själva systemet, systemet kan klassa loggarna automatiskt utifrån det arbete som är genomfört innan implementering av loggning. Med informationsklassning avses klassificering av den information/data som hanteras så att gällande rätt appliceras för denna information. Informationen som loggas skall vara klassad så att den skyddas på rätt nivå. Här bör MSBs modell för klassificering av information följas.

Uppsättning av rutiner och processer

För hantering av access till loggar, hur det ges och vem som har access, krävs att dokumentation skapas och underhålls. Detta i och med att loggar kan innehålla direkt kritisk information som inte ska vara lättvindigt att komma åt.

Statistik och övervakning

Statistik

Att logga till ett eget centraliserat loggsystem möjliggör andra förmågor än bara spårbarhet. Spårbarhet är alltid reaktivt. Analys av information för att ge prognoser eller förutse framtida incidenter är inte en del av spårbarhet.

Statistik som berör loggning handlar om att samla och analysera data för att identifiera trender, mönster och eventuella avvikelser. Detta kan inkludera analys av loggar och övervakningsdata för att identifiera säkerhetshot och prestandaproblem. Genom att använda statistiska verktyg kan verksamheten få en bättre förståelse för sin informationssäkerhet och utveckla strategier för att hantera och förbättra den.

AI, Spårbarhet och statistik. Genom att kombinera AI, spårbarhet och statistik kan man analysera stora mängder data som genereras i den lokala centraliserade loggningssystemet för att identifiera mönster, förutse händelser och fatta datadrivan beslut. AI kan använda statistiska metoder för att utvärdera, inhämtad loggning, lära sig mönster, trender och dra slutsatser för att fatta prediktiva beslut som är stor nytta till att förbättra processer, säkerhet och effektivitet. Detta bidrar till att skapa en mer intelligent och effektiv loggningstjänst där data används för att generera värdefulla insikter och stödja beslut. Många AI-analysverktyg idag är molnbaserade, och skickar data ut från organisationen. Ska man använda sig av dessa behöver man säkerställa att informationsklassningen medger att informationen behandlas av extern part.

Övervakning

Övervakning handlar om att aktivt övervaka applikationer och system för att identifiera eventuella hot eller avvikelser från normal drift. Detta kan inkludera övervakning av nätverksaktivitet, systemloggar, användarbeteende och andra data som kan indikera pågående attacker eller obehöriga aktiviteter. Genom att använda övervakningsverktyg kan verksamheter identifiera potentiella hot och vidta lämpliga åtgärder för att förhindra eller stoppa dem.