法規遵循與個人資料保護 回到資安Q&A
Q
關於個資保護的log搜集與管理該如何進行
請問Log搜集若要符合個資法規,在Firewall是log全收嗎?又在個資方面,應搜集的欄位與項目為何?
提問者: Hung 提問時間: 12/28/2012
A
值班醫師回應

這兩個問題需要統一來進行回答。

首先個資法並未對Firewall 的Log 搜集必要欄位進行規範。主要原因是各家Firewall對log的欄位名稱各有差異,雖然log內容可能類似。如果規範下去,將來企業在舉證時,可能因法令有所規範的情況下,造成某些欄位名稱不同而不符合規定的情況。


至於Firewall的log是否該因應個資法而全收?端看Firewall 的形態。如果是一般的Firewall,一般來說Log的內容大部份都是與個資無關。例如事件編號,事件日期,事件時間,來源IP,目的IP,事件原因,事件等級。

但如果是UTM型或次世代Firewall(依不同廠商提供的功能皆有不同), 可以分析封包內容,事件就有可能包含應用程式與字串等。例如事件編號,事件日期,事件時間,來源IP,目的IP,事件原因,違反應用程式,違反字串內容,事件等級。

不管哪種類型,Firewall所搜集下來的log,只能說明有「某人違反policy的事件」,無法深入判斷是否與個資外洩有關。除非有內建類似DLP功能的Firewall,可以分析字串、可識別個資型態,這樣的防火牆log就需收下。

此外,如果Log要全收,也要考慮Firewall內建儲存空間的情況。有些Firewall使用HD or SSD進行儲存,有些Firewall 在產生Log後直接往後端log Server存放。當然log的不可否認性也必須考量,但這不是您所提之問題,您可以在資安人網站中找到相關資料

然而如果依先前個資法的個人資料檔案安全維護計劃草案中所提之內容(關於計畫各項程序之執行,非公務機關至少應保存下列紀錄:…六、違反權限行為之紀錄。…),Firewall的log是要搜集,但不是唯一的log。還必須與其他安全設備之log進行搜集與比對,這樣的Log搜集才有完整性,而且不用全部都搜集。否則如果以一般事件(資訊)進行搜集的動作,儲存空間再大恐怕也不夠存放(有流量即產生事件)。

資安急診室醫師介紹
資安顧問
教育訓練中心資訊安全講師,超過100場次500小時以上資訊安全相關教育訓練講授,參與多次ISMS導入與內部稽核專案,網路弱點風險評鑑測試、評估,參與多家客戶DLP解決方案評估規劃,擁有多項安全與系統認証,包括ISO27001 LA、Checkpoint CCSE、CEH、ECSA等。
我要回應此文章
您的姓名:
回應內容:
  輸入圖片數字