Content
View differences
Updated by Oliver Günther over 1 year ago
**As** an administrator of an OpenProject installation
**I want to** have a standardized logging and auditing mechanism that is easily configurable and observable
**so that** I can monitor, observe and audit the application in a secure and compliant way
**Acceptance criteria**
* **Auditing**
* Check and unify the different auditing options we currently have
* paper\_trail on attachments, projects, principal, work\_package
* Visualize these paper trails through an administrative UI, allow filtering them
* **Logging data**
* Log created audits in a standardized way
* Log all failed authorization attempts in a standardized way
* Log all succesful login attempts, including authentication methods
* Log changes to RBAC and roles assignments
* Log changes to project memberships, anytime a permissions is granted or revoked
* Log all system administration activities (e.g. changes made to the system settings)
* Logging of all user activities (e.g. who created, deleted, sent, released, shared which project and when) and which action was performed.
* Verify and correct all login attempts for internal and external authentication
* Document all categories of logged data with examples
* Configure the above logging categories globally for privacy reasons
* **Logging capabilities**
* Verify and document structured logging capabilities (e.g., LogRage JSON formatter)
* Document these capabilities
* **Open / for discussion:**
* Tamper-proof audits, write-only columns (need to check technical feasibility)
**BSI Grundschutz Requirements**
> **SYS1.6**
>
> Die Ausgabe von Informationen über das Betriebssystem und der Zugriff auf Protokoll- und Konfigurationsdateien SOLLTE für Benutzende auf das notwendige Maß beschränkt werden.
> [SYS.1.1.A10](https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium_Einzel_PDFs_2021/07_SYS_IT_Systeme/SYS_1_1_Allgemeiner_Server_Edition_2021.pdf?__blob=publicationFile&v=2)
>
> Generell MÜSSEN alle sicherheitsrelevanten Systemereignisse protokolliert werden, dazu gehören mindestens:
>
> * erfolgreiche und erfolglose Anmeldungen am der Anwendungssoftware
>
> * fehlgeschlagene Berechtigungsprüfungen
>
> * blockierte Datenströme (Verstöße gegen ACLs oder Firewallregeln),
>
> * Einrichtung oder Änderungen von Benutzern, Gruppen und Berechtigungen,
>
> * sicherheitsrelevante Fehlermeldungen (z. B. Hardwaredefekte, Überschreitung von Kapazitätsgrenzen) sowie
>
> * Warnmeldungen von Sicherheitssystemen (z. B. Virenschutz)
>
> [APP3.2](https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2023/06_APP_Anwendungen/APP_3_2_Webserver_Edition_2023.pdf?__blob=publicationFile&v=3)
>
> APP.3.2.A4 Protokollierung von Ereignissen (B)
>
> * Der Webserver MUSS mindestens folgende Ereignisse protokollieren:
>
> * erfolgreiche Zugriffe auf Ressource
>
> * fehlgeschlagene Zugriffe auf Ressourcen aufgrund von mangelnder Berechtigung, nicht vorhandenen Ressourcen und Server-Fehlern
>
> * allgemeine Fehlermeldungen.
>
* [BSI OPS1.1.5 Protokollierung](https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2023/04_OPS_Betrieb/OPS_1_1_5_Protokollierung_Edition_2023.html)
**I want to** have a standardized logging and auditing mechanism that is easily configurable and observable
**so that** I can monitor, observe and audit the application in a secure and compliant way
**Acceptance criteria**
* **Auditing**
* Log all system administration activities (e.g. changes made to the system settings)
> **SYS1.6**
>
> Die Ausgabe von Informationen über das Betriebssystem und der Zugriff auf Protokoll- und Konfigurationsdateien SOLLTE für Benutzende auf das notwendige Maß beschränkt werden.
> [SYS.1.1.A10](https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium_Einzel_PDFs_2021/07_SYS_IT_Systeme/SYS_1_1_Allgemeiner_Server_Edition_2021.pdf?__blob=publicationFile&v=2)
>
> Generell MÜSSEN alle sicherheitsrelevanten Systemereignisse protokolliert werden, dazu gehören mindestens:
>
> * erfolgreiche und erfolglose Anmeldungen am der Anwendungssoftware
>
> * fehlgeschlagene Berechtigungsprüfungen
>
> * blockierte Datenströme (Verstöße gegen ACLs oder Firewallregeln),
>
> * Einrichtung oder Änderungen von Benutzern, Gruppen und Berechtigungen,
>
> * sicherheitsrelevante Fehlermeldungen (z. B. Hardwaredefekte, Überschreitung von Kapazitätsgrenzen) sowie
>
> * Warnmeldungen von Sicherheitssystemen (z. B. Virenschutz)
> [APP3.2](https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2023/06_APP_Anwendungen/APP_3_2_Webserver_Edition_2023.pdf?__blob=publicationFile&v=3)
>
> APP.3.2.A4 Protokollierung von Ereignissen (B)
>
> * Der Webserver MUSS mindestens folgende Ereignisse protokollieren:
>
> * erfolgreiche Zugriffe auf Ressource
>
> * fehlgeschlagene Zugriffe auf Ressourcen aufgrund von mangelnder Berechtigung, nicht vorhandenen Ressourcen und Server-Fehlern
>
> * allgemeine Fehlermeldungen.
>