Politika protokolování a monitorování – SME

Politika protokolování a monitorování (P22S) stanovuje robustní rámec pro zabezpečení, uchovávání a auditování systémové aktivity v malých a středních podnicích (SME). Tato politika je specificky přizpůsobena organizacím, které nemají specializované IT nebo bezpečnostní týmy, a podporuje zjednodušené provozní role, jako jsou generální ředitel, poskytovatel IT podpory a koordinátor ochrany osobních údajů. Navzdory tomuto zjednodušenému přístupu politika zajišťuje přísný soulad s mezinárodními normami včetně ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev. 5, EU GDPR, EU NIS2, EU DORA a COBIT 2019. Účelem politiky je stanovit povinné kontroly protokolování a monitorování, které podporují jak bezpečnost, tak provozní integritu IT infrastruktury organizace. Definuje, jaké události musí být protokolovány (včetně autentizace, řízení konfigurace, přístupu k citlivým datům a technických výstrah), jak jsou logy bezpečně ukládány a chráněny, a odpovědnosti za přezkoumání a eskalaci incidentů. Správa logů podle této politiky přímo podporuje regulační soulad, forenzní vyšetřování a průběžnou připravenost na audit a řeší důvěru zákazníků i povinné požadavky na reakci na porušení zabezpečení. Je jasně vymezen rozsah: každý systém (od serverů a síťových zařízení až po cloudové služby a využívání soukromých zařízení (BYOD)) a každý uživatel (zaměstnanci, dodavatelé, MSP) spadá do její působnosti. Logy generované spravovanými službami nebo platformami třetích stran musí být zahrnuty tam, kde jsou administrátorská práva nebo auditní přístup smluvně zajištěny. Politika vyžaduje týdenní a měsíční přezkoumání kritických logů, okamžitou pozornost vůči upozorněním s vysokou závažností a stanovuje doby uchovávání nejméně 12 měsíců, prodloužené na 3 roky pro logy incidentů. Opatření ochrany logů zahrnují ochranu proti zápisu, omezený přístup, šifrované záložní systémy a auditní stopu pro jakékoli kritické změny systému. Role a odpovědnosti jsou pro SME výslovně definovány: generální ředitel dohlíží na schválení politiky, reaguje na kritická upozornění a autorizuje výjimky tam, kde existují technická nebo provozní omezení. Poskytovatelé IT podpory odpovídají za nastavení logů, pravidelné přezkoumání, udržování záložních systémů a automatizovaných upozornění, zatímco koordinátor ochrany osobních údajů zajišťuje, že logy osobních údajů jsou v souladu s GDPR, a podporuje analýzu porušení zabezpečení a regulační oznamování. Zaměstnanci a dodavatelé nesmí nikdy manipulovat se systémy protokolování ani je vypínat a jsou povinni hlásit anomálie. Mechanismy správy a souladu zahrnují harmonogramy řízení logů, požadavky na uchovávání a ochranné kontroly. Jsou zahrnuty politiky pro cloudové služby, časovou synchronizaci (NTP), konfiguraci upozornění, pokrytí BYOD, zálohování a postupy legal hold, aby byla zajištěna forenzní připravenost a právní obhajitelnost. Výjimky musí být dokumentované, přezkoumávané pololetně a přiměřeně zmírňované. Vynucování je podpořeno disciplinárními opatřeními za manipulaci, nesoulad nebo neeskalování kritických upozornění, aby byly vždy splněny auditní a regulační požadavky. Politika vyžaduje každoroční přezkoumání a stanovuje spouštěče pro neplánované aktualizace na základě zjištění auditu, incidentů nebo změn v infrastruktuře či regulačním prostředí. Tato politika přímo podporuje a je podporována souvisejícími politikami pro SME včetně ochrany údajů a ochrany osobních údajů, zabezpečení sítě, bezpečného vývoje, reakce na incidenty a časové synchronizace. Tyto vazby vytvářejí komplexní základ pro dohledatelnost, řízení porušení zabezpečení a soulad, přizpůsobený malým organizacím, ale dostatečně robustní pro splnění předních mezinárodních norem.