Политика за регистриране и мониторинг

Политиката за регистриране и мониторинг (P22) установява надеждна и приложима рамка за улавяне и анализ на системни събития и събития по сигурността в цялата ИТ среда на организацията. Основната цел на тази политика е да подпомага ефективни системи за откриване на аномалии, бързо реагиране при инциденти, форензично разследване, одитна готовност и стриктно правно съответствие. За постигане на тези цели политиката установява ясни изисквания за генериране, съхранение на логове и защита на логове, с фокус върху точна корелация на събития чрез журнали със синхронизирано време. Обхватът на политиката е широк. Той включва всички видове инфраструктура — локални, облачни (IaaS, PaaS, SaaS), хибридни среди — както и операционни системи, бази данни, приложения, мрежови устройства и специализирани системи за сигурност като SIEM и защитни стени. Политиката се прилага за широк кръг заинтересовани страни, включително системни и административни потребители, ИТ операции, екипи на Центъра за операции по сигурността (SOC), разработчици, собственици на приложения и доставчици на услуги на трети страни. Всяка от тези групи има конкретни отговорности, като осигуряване на улавяне на логове, проверка на цялостта на логовете, интегриране на логове с централни системи за мониторинг и подпомагане на одита и съответствието. Целите са ясно дефинирани и обхващат пълния жизнен цикъл на данните за събития. Всички критични системи трябва да генерират и съхраняват логове, които описват права за достъп на потребители, привилегировани дейности, промени в конфигурацията, откази, откривания на защита от зловреден софтуер и мрежови събития, като се гарантира изпълнение на регулаторни и договорни изисквания. Логовете трябва да бъдат защитени срещу неоторизиран достъп, подправяне или изтриване, с задължително използване на криптирани канали за препращане на логове. Изисква се централизирано агрегиране и корелация чрез защитен SIEM, което позволява съвместен мониторинг, автоматизирани двигатели за правила за ескалация и реагиране при инциденти в почти реално време. Политиката въвежда и строги изисквания за синхронизация на часовниците чрез NTP, което позволява точна междусистемна корелация и надежден форензичен анализ. Изискванията за управление определят необходимостта от стандарт за регистриране и мониторинг, който дефинира типове събития, активи със значение за сигурността, периоди за съхранение и формати на логове, осигурявайки последователно прилагане в организацията. В случай че системи не могат да спазят изискванията за регистриране поради технически ограничения, трябва да се подаде формална заявка за изключение за регистриране (LER), която да бъде формално оценена и периодично преглеждана, за да се поддържат рисковете приемливи. Съответствието е задължително за целия персонал и се проверява чрез регулярни одити, като се предвиждат строги санкции, включително отстраняване от продукционна среда, ескалация към Човешки ресурси (ЧР) или правни действия, при умишлени нарушения на политиката. Накрая, тази политика е тясно съгласувана с актуални международни стандарти и регулаторни рамки, включително ISO/IEC 27001:2022 и 27002:2022, NIST SP 800-53 Rev.5, GDPR, NIS2, DORA и COBIT 2019. Това съгласуване осигурява не само съответствие, но и оперативна устойчивост чрез задълбочен мониторинг, откриване, защита и практики за постоянно подобряване.