web-dev-qa-db-fra.com

Devrions-nous conserver des journaux pour toujours pour enquêter sur les violations de données passées?

L'écoute des leçons de code sécurisé de Have I Been Pwned m'a vraiment fait penser à la journalisation.

Il semble que dans le monde réel de nombreuses violations de données soient découvertes longtemps après qu'elles se soient produites , ce qui rend l'enquête et la récupération beaucoup plus difficiles car il n'y a souvent pas de journaux à suivre et recherche.

Que pouvons-nous y faire? Devrions-nous conserver pour toujours tous les journaux d'application/système/serveur Web?

47
alecxe

Malheureusement, il n'y a pas de réponse "correcte" à votre question. Les politiques de conservation des données sont spécifiques aux besoins d'une organisation et sont souvent mises en œuvre par nécessité pour se conformer à diverses exigences légales , qui varient en fonction de la nature des données stockées, ainsi que de la juridiction que les données relèvent.

La conservation des données du journal peut permettre une analyse post-mortem si une violation est découverte, comme vous y faites allusion dans votre question. Cependant, les données conservées peuvent également constituer un risque de sécurité à part entière si les journaux contiennent des informations sensibles. Par conséquent, des mesures doivent être prises pour sécuriser les fichiers journaux si nécessaire. L'autre facteur évident en jeu est le coût de conservation des journaux. Selon les exigences de disponibilité, différentes solutions de sauvegarde peuvent être plus rentables que d'autres, telles que la conservation des anciens journaux hors site sur le stockage sur bande plutôt que l'utilisation de la redondance de disque.

44
John

10 années

Le stockage des journaux est bon marché, le plus souvent ils sont ASCII/UNICODE et facilement compressés pour un archivage à long terme.

Il est préférable de conserver vos journaux que de purger pour les raisons que vous ne pouvez pas anticiper.

Mais au minimum, une politique de rétention de dix ans est une meilleure pratique de l'industrie pour les entreprises basées aux États-Unis, car le délai de prescription fédéral et dans la plupart des États est d'un maximum de dix ans pour les délits non graves.

Des secteurs industriels spécifiques vont plus loin, les cliniciens médicaux, y compris les hôpitaux, conservent les dossiers de santé et les données du journal électronique corollaire pendant 50 ans .

Les fournisseurs de télécommunications tels que NYNEX (acquis par Verizon) et d'autres "Baby Bells" ont conservé pour toujours leurs Pen Registers , les journaux des appels téléphoniques de leurs abonnés.

La conservation des enregistrements, la mise en miroir et l'archivage hors site en toute sécurité sont une pratique à laquelle toute organisation de taille importante doit s'attaquer mais devient routinière lorsqu'elle est mise en œuvre.

Si vous êtes un fournisseur de services, une société d'hébergement ou de quelque manière que ce soit un dépositaire de données personnellement identifiables , une politique de conservation de 10 ans vous maintiendra en conformité avec toutes les normes de sécurité bien connues et acceptées par l'industrie, y compris PCI -DSS et le reste de l'annuaire des meilleures pratiques de l'industrie.

La démonstration d'une politique de rétention uniforme à toute épreuve aide une entreprise à rapidement appréhender le sujet dans le processus de sélection de la DP et se définira comme "à la hauteur".

Le stockage de ces fichiers journaux indéfiniment PEUT ÊTRE illégal dans l'UE. Je dis PEUT ÊTRE, car la nouvelle législation sur la protection des données entre en vigueur en mai 2018 et il y a encore des domaines peu clairs. Cependant, les règles sont les suivantes:

Si vous n'avez pas de consentement explicite (ce qui, je présume, vous n'avez pas), vous êtes autorisé à conserver les données personnelles uniquement aux fins autorisées par la loi. La conservation de fichiers journaux à des fins d'enquête sur les violations de données est autorisée, car l'exception suivante s'applique: "le traitement est nécessaire afin de protéger les intérêts vitaux de la personne concernée ou d'une autre personne physique".

Cependant, vous êtes toujours lié par le principe de proportionnalité, vous ne pouvez donc stocker des données de journal que dans la mesure où cela est "nécessaire". À un moment donné, l'utilité des données n'est que théorique, de sorte que le fondement juridique du traitement disparaît. Il n'y a pas de limite fixe, mais dans tous les cas, la charge de la preuve est de votre côté - vous devez prouver que le stockage des fichiers journaux est nécessaire pour protéger la sécurité.

Vous devriez vous en préoccuper, même si vous opérez aux États-Unis, car cette réglementation s'applique très largement (par exemple, vous avez des clients dans l'UE).

Quoi qu'il en soit, il existe un moyen de contourner cette réglementation - si vos journaux ne contiennent pas de données personnelles (par exemple, l'utilisateur ne peut pas être identifié), la réglementation ne s'applique pas. Cependant, étant donné que l'adresse IP est considérée comme des données personnelles (veille

8
MikiRaven