Liste de contrôle de conformité GPG 13
Guide de bonnes pratiques 13ouGPG 13est une liste de mesures qui décrivent comment les données du gouvernement britannique doivent être protégées. En vertu du GPG 13, les organisations gouvernementales britanniques ont la responsabilité d'utiliser la surveillance, la journalisation et d'autres mesures de sécurité pour protéger les données sensibles.
Qu’est-ce que le GPG 13 ?
GPG 13est un cadre de surveillance de la protection qui dicteContrôles de surveillance de protectionque les ministères et agences du gouvernement de Sa Majesté (HMG) doivent suivre pour gérer les risques liés à leurs systèmes. Le guide fait partie du projet du Cabinet Office du Royaume-Uni.Cadre de politique de sécuritépour gouverner les systèmes de gestion ayant accès aux données du gouvernement britannique.
Les contrôles de surveillance de protection incluent des mesures pratiques telles que la gestion des journaux d'événements pour systèmes de détection d'intrusion et surveillance du réseau. Essentiellement, ces contrôles indiquent aux agences comment surveiller les systèmes internes pour gérer les facteurs de risque.
Par exemple, en utilisant la surveillance de l'infrastructure ou l'analyse du trafic pour détecter si un cyber-attaquant tente de rejoindre le réseau. Les 12 contrôles de surveillance de protection fournissent aux agences gouvernementales des conseils pratiques sur la manière de maintenir l'intégrité de leurs systèmes internes.
La transparence est un principe fondamental du GPG 13. Les agences HMG sont censées disposer des outils nécessaires pour maintenir les systèmes informatiques et avoir les moyens de détecter lorsqu'un appareil a été compromis. Le GPG 13 souligne qu'il est de la responsabilité des agences et des ministères de s'assurer qu'ils disposent de la protection nécessaire qui correspond à leur profil de risque.
Qui doit suivre les GPG 13 ?
Bien que les directives réglementaires du GPG 13 aient été principalement conçues pour les départements et agences du gouvernement de Sa Majesté (HMG), les prestataires de services peuvent également se retrouver dans l’obligation de s’y conformer. Les prestataires de services ayant accès aux données gouvernementales doivent également se conformer à ces exigences.
Quelles sont les sanctions en cas de non-conformité ?
GPG 13 est un guide plutôt qu’une politique. En conséquence, il y ail n’y a pas de pénalités ou d’amendes en cas de non-conformitéau-delà du risque potentiel et de la perte de données sensibles. Se conformer aux GPG 13 est une question d'éthique et de bonnes pratiques plutôt que de nécessité juridique.
D'un point de vue éthique, les agences devraient prendre toutes les mesures nécessaires pour protéger les données qu'elles détiennent contre toute compromission en cas de répercussions sur les citoyens ou d'autres organisations.
Les quatre profils d'enregistrement
GPG 13 dispose de quatre profils d'enregistrement, avec différentes variations dans le niveau de protection que vous devriez avoir contre les cybermenaces. Les profils d'enregistrement sont identiques à ceuxModèle de segmentation standard d’assurance de l’information HMG, et sont répartis en quatre catégories (de segmentation faible à élevée) :
- Conscient– Une obligation d’être conscient des menaces du domaine public, des fournisseurs d’attaques courants et des vulnérabilités connues.
- Dissuader– Une obligation de dissuasion des attaques de la part d’un hacker expérimenté (doit mettre en place des contrôles pour dissuader une attaque !).
- Détecter/Résister– Une obligation de détecter et de résister à une attaque d’un attaquant sophistiqué.
- Défendre– Une obligation de se défendre contre une attaque d’un attaquant sophistiqué.
Les agences doivent choisir quel niveau d’organisation appliquer à quelles données. Pour décider du niveau de segmentation à utiliser, les agences doivent examiner les conséquences potentielles de la perte des données en question et l'effet sur le gouvernement britannique ou européen, les citoyens britanniques ou les entreprises.
Liste de contrôle de conformité GPG 13 : Contrôles de surveillance de protection
Il existe 12 PMC décrits dans GPG 13. Ces contrôles se résument à l'utilisation d'outils de surveillance du réseau pour identifier les menaces pesant sur le réseau et les appareils connectés. La solution de surveillance du réseau utilisée doit également offrir des fonctionnalités telles quealertes,avis, etrapports automatisésafin que l'utilisateur puisse réagir rapidement aux événements critiques.
Voici laliste des contrôles :
- Assurez-vous que les journaux comportent des horodatages précis et cohérents.
- Enregistrez le trafic transfrontalier et confirmez sa validité.
- Analysez le trafic frontalier et identifiez les activités suspectes.
- Identifiez les changements d’état des appareils, des serveurs et des postes de travail grâce à des alertes et des rapports automatisés.
- Enregistrez les activités suspectes sur votre réseau avec des notifications.
- Suivez, enregistrez et analysez les connexions réseau.
- Établissez des alertes pour reconnaître et analyser les activités suspectes des utilisateurs et des postes de travail.
- Créez un plan de sauvegarde et de continuité des activités qui protège l’intégrité et la disponibilité des données.
- Définissez les facteurs considérés comme des événements critiques et fournissez des alertes et des rapports en temps réel.
- Confirmer la validité et l’intégrité des processus d’audit.
- Développez une procédure pour produire des rapports précis pour accéder aux performances de votre conformité PMC.
- Fournir la preuve que les mesures de sécurité, y compris la collecte de données de surveillance, sont licites et sécurisées.
1. Assurez-vous que les journaux ont des horodatages précis
La première condition est que vous ayez la capacité deafficher les horodatagesà partir des données du journal. Les horodatages sont utilisés pour vous informer lorsqu'un événement de sécurité s'est produit. D'un point de vue réglementaire, disposer d'horodatages précis vous fournit un enregistrement des événements réseau que vous pouvez utiliser pour voir ce qui se passe. Pour répondre à cette exigence, vous devrez utiliser un outil de gestion des journaux ou un analyseur de journaux (tel que ManageEngine EventLog Analyzer ou LogRythme ).
2. Enregistrer le trafic transfrontalier
La deuxième exigence stipule que les agences doivent enregistrer le trafic professionnel traversant une frontière. Plus précisément, vous devezenregistrer,analyser, etrapporttrafic professionnel pour vous assurer que tout le trafic est autorisé. Tout trafic malveillant doit être arrêté, empêché ou alerté.
3. Enregistrement relatif à une activité suspecte à une frontière
L'enregistrement relatif aux activités suspectes fait spécifiquement référence à la surveillance du trafic réseau franchissant une frontière pour détecter les comportements suspects. Vous devriez avoir les moyens dedétecter si un attaquant tente d'accéder à un appareilou il y a un écart par rapport à l'utilisation normale du réseau.
4. Enregistrement de l'état du poste de travail, du serveur ou de l'appareil
Vous devez également être capable desurveiller les changements d’état ou de configuration des appareils. L'enregistrement du poste de travail, du serveur ou de l'appareil doit vous permettre d'identifier si les modifications sur un appareil ont eu lieu en raison d'un logiciel malveillant ou d'une véritable erreur de l'utilisateur. La surveillance doit également être capable d'identifier les indications d'une attaque telles que des redémarrages répétés du système ou l'utilisation de processus inhabituels.
5. Enregistrement relatif à une activité suspecte du réseau interne
La surveillance des frontières intérieures est tout aussi importante que la surveillance du trafic transfrontalier. Les agences doivent détecter toute activité suspecte qui signifie qu'un attaquant a violé le réseau interne. Des outils comme systèmes de détection d'intrusion et systèmes de prévention des intrusions sont des exemples d’outils qui pourraient aider à identifier cela.
6. Enregistrement relatif aux connexions réseau
Il est également nécessaire que les agencessurveiller les connexions temporaires au réseaueffectué par accès à distance, VPN, sans fil ou autres types de connexion transitoire. La surveillance des connexions temporaires est importante au cas où un attaquant tenterait d'accéder à votre réseau par d'autres moyens.
7. Enregistrement de l'activité de session par utilisateur et poste de travail
Pour s'assurer que le comportement des utilisateurs est légitime, les agences doiventsurveiller l'activité de l'utilisateur ou de la sessionet un accès pour vérifier qu’un système n’a pas été violé. La solution de surveillance doit être capable de détecter les activités non autorisées ou suspectes pour garantir qu'aucune entité malveillante n'a accès aux données confidentielles.
8. Enregistrement de l'état de sauvegarde des données
Dans le cas où un cyber-attaquant violerait le réseau et causerait des dommages, les organisations devraient être en mesure deidentifier et récupérer les actifs informationnelsqui ont été endommagés. Cela signifie être capable de récupérer les fichiers perdus et de revenir à l'état de l'actif avant l'attaque.
9. Alerter les événements critiques
Pour vous assurer de réagir rapidement aux événements de sécurité, vous devez disposer d'unsolution de surveillance avec notifications en temps quasi réel. Les notifications doivent être aussi proches que possible du temps réel, mais vous n’avez pas nécessairement besoin d’une solution avec des alertes instantanées (même si cela serait avantageux du point de vue de la sécurité).
10. Rapport sur l'état du système d'audit
Cette exigence stipule que vous devez être en mesure de confirmer levalidité et intégritédes processus d’audit. En d’autres termes, vous devriez pouvoir vérifier l’intégrité des données que vous collectez.
11. Production des rapports de gestion statistique
Vous devez être capable de produire des rapports pour fournir des commentaires sur les performances duSystème de surveillance de protection. Les rapports fournissent une enquête supplémentaire sur les événements de sécurité et fournissent davantage une piste d'audit. Il est nécessaire de se procurer une solution de surveillance du réseau qui permet de générer des rapports (une solution qui permet de planifier des rapports qui peuvent aider à être sûr de ne pas oublier).
12. Fournir un cadre juridique pour les activités de surveillance protectrice
Enfin, vous devez vous assurer que toute surveillance des systèmes et des communications est effectuée conformément à la loi. Cela signifie que vous ne devez pas violer la loi ou les droits des individus lors de la collecte de données. De plus, vous devez vous assurer que toutes les données comptables collectées sont traitées comme des informations sensibles et protégées.
Surveillance du réseau
La meilleure façon de vous assurer que vous respectez ces exigences est de déployer une solution de surveillance réseau qui peut vous offrir la combinaison devisibilité,alertes, etrapports. Choisir la ou les bonnes solutions de surveillance du réseau contribuera grandement à vous défendre contre les menaces et vous évitera d'être victime d'un attaquant. Aux fins de la conformité GPG, nous allons examiner les exigences de gestion des journaux et LogRhythm.
Exigences de gestion des journaux
La gestion des journaux est un sujet qui revient régulièrement dans le GPG 13. Pour satisfaire toutes les exigences, vous devez prendre en compte un certain nombre de composants. Les directives spécifiques sur la gestion des journaux dépendent du niveau de segmentation ou du niveau de risque auquel le système est confronté :
Conscient | Jusqu'à 3 mois | Une fois par mois (minimum) | Annuel (minimum) |
Dissuader | 3-6 mois | Une fois par semaine (minimum) | Annuel (minimum) |
Détecter / Résister | 6-12 mois | Une fois par jour (Le minimum) | Tous les 6 mois (minimum) |
Défendre | Plus de 12 mois | Une fois par heure (minimum) | Chaque trimestre (minimum) |
Plus généralement, vous devez également être en mesure d'enregistrer les accès des utilisateurs (en particulier les utilisateurs non autorisés), les tentatives d'accès aux fichiers, d'afficher les connexions et déconnexions réussies ou infructueuses, les modifications de configuration et les modifications de stratégie. Pour répondre aux exigences ci-dessus, il est fortement recommandé d'utiliser un outil d'analyse de journaux. Nous avons inclus LogRhythm ci-dessous à titre d'exemple.
LogRhythm (logiciel de gestion des journaux)
LogRythmeest une solution de surveillance des journaux qui répond aux exigences de contrôle décrites dans GPG 13. Le logiciel offre une gestion automatisée des journaux et des messages d'événements dans une perspective centralisée. Les capacités de gestion des logs du logiciel répondent au premier défi de détection des menaces.
Principales caractéristiques:
- Options de déploiement
- Collecte et consolidation des journaux
- Gestion des fichiers journaux
- Assistance à l'audit
- Détection des menaces
Le logiciel comporte trois modules conçus spécifiquement pour GPG 13 à des fins de contrôles de surveillance de protection : GPG 13 (standard, GPG 13 Compliance Automation Suite et GPG 13 Advanced Compliance Suite.) Chacun est conçu pour aider les utilisateurs à appliquer le niveau de contrôle qui correspond leurs besoins.
Avantages:
- Disponible sous forme d'appliance virtuelle, de périphérique physique ou de solution cloud
- Collecte et standardise les messages de journal, leur permettant d'être unifiés pour les recherches
- Comprend des recherches automatisées de détection des menaces et des outils d'analyse manuelle
- Alertes en cas de menaces et d'utilisation abusive des données
- Options de réponses automatisées
Les inconvénients:
- N'inclut pas de module de gouvernance
Pour un contrôle plus approfondi, LogRhythm dispose d'un système d'alerte en temps réel qui avertit l'utilisateur lorsqu'un comportement problématique est reconnu. Les alertes réduisent le temps de réponse et rendent votre stratégie corrective beaucoup plus efficace. Une réponse rapide aidera à lutter contre les attaques plus sophistiquées. Vous pouvez en savoir plus sur LogRhythm ici .
Conformité GPG 13 : Surveillance
Pour vous conformer à la réglementation GPG 13, vous devez utiliser outils de surveillance , gestion du journal des événements ,journalisation des événements,alertes en temps réel, etdes rapports pour améliorer votre visibilité.
Bien que vous puissiez repérer et reconnaître les attaques sur les systèmes à faible priorité, sur les systèmes à haute priorité, vous devrez détecter et vaincre activement les attaquants sophistiqués. Se protéger contre la nouvelle génération de menaces se résume à une combinaison de vigilance et d’utilisation des outils de surveillance adaptés à votre travail.
Sur les systèmes prioritaires, soyez proactif et cherchez des moyens d’augmenter votre sécurité. Par exemple, si vous utilisez un système de détection d’intrusion, envisagez de passer à un système de prévention des intrusions capable de réagir automatiquement à un attaquant.
Il existe de nombreuses solutions sur le marché conçues spécifiquement pour la conformité réglementaire et GPG 13. Nous vous recommandons de vous procurer un logiciel de surveillance conforme aux réglementations en vigueur.
FAQ sur la conformité GPG 13
Qu’est-ce que le GPG 13 ?
GPG 13 signifie Good Practice Guide 13. Il s'agit d'un ensemble de lignes directrices élaborées par le Communications-Electronics Security Group (CESG), qui est une division du Government Communications Quarters (GCHQ) du Royaume-Uni. Le CESG est l’autorité technique nationale du Royaume-Uni pour l’assurance des données. Les normes visent à produire un ensemble de pratiques de travail garantissant que les activités relatives aux données sont correctement appliquées. La principale voie de surveillance de l'assurance des données est la collecte et le regroupement des messages de journaux générés par les systèmes de fichiers, les outils de gestion des droits d'accès et les services de gestion des données.
Qu’est-ce que la surveillance de protection ?
La surveillance de protection implique la collecte de données d'activité en direct sur les réseaux et les points finaux pour surveiller le comportement des utilisateurs. Le but de ce processus est de protéger les ressources, avec une attention particulière portée aux activités liées aux données. La surveillance protectrice est devenue de plus en plus importante à mesure que les violations de données se sont multipliées et que les pirates ont créé des techniques de plus en plus sophistiquées, telles que les menaces persistantes avancées (APT).
Quel est le but de la journalisation et de la surveillance ?
La journalisation et la surveillance ont deux objectifs : l’un est de détecter les activités malveillantes au fur et à mesure qu’elles se produisent et l’autre est de révéler après coup des activités malveillantes non détectées auparavant. La surveillance en direct nécessite des entrées à la fois matérielles et logicielles et ces messages de rapport sont appelés « journaux ». Un système de surveillance doit collecter ces messages et y rechercher des activités spécifiques. Chaque système de surveillance est produit avec des objectifs différents et certaines activités peuvent donc ne pas être repérées immédiatement – l'algorithme de recherche opérationnel peut ne pas rechercher ce type de comportement spécifique. Bien que rater une attaque au moment où elle se produit constitue une défaillance de la sécurité du système, être capable de découvrir qu'une attaque a eu lieu est important car cela incite les gestionnaires de système à prendre des mesures pour combler les failles de sécurité – mieux vaut tard que jamais.