Politika protokolování a monitorování

Politika protokolování a monitorování (P22) stanovuje robustní a vymahatelný rámec pro zachytávání a analýzu systémových a bezpečnostních událostí napříč celým IT prostředím organizace. Hlavním účelem této politiky je podpořit efektivní systémy detekce anomálií, rychlou reakci na hrozby, forenzní vyšetřování, připravenost na audit a přísný soulad s právními předpisy. K dosažení těchto cílů politika stanovuje jasné požadavky na generování, uchovávání a ochranu logů se zaměřením na přesnou korelaci událostí prostřednictvím časově synchronizovaných logů v rámci celého systému. Rozsah politiky je rozsáhlý. Zahrnuje všechny typy infrastruktury, on-premise, cloud (IaaS, PaaS, SaaS), hybridní prostředí, stejně jako operační systémy, databáze, aplikace, síťová zařízení a specializované bezpečnostní systémy, jako jsou SIEM a firewally. Politika se vztahuje na široké spektrum zainteresovaných stran, včetně vlastníků systému, administrativních uživatelů, provozu IT, týmů Bezpečnostního operačního centra (SOC), vývojářů, vlastníků aplikací a poskytovatelů služeb třetích stran. Každá z těchto skupin má specifické odpovědnosti, například zajištění zachytávání logů, ověřování integrity logů, integrace logů s centrálními monitorovacími systémy a podpora interního auditu a funkcí zajištění souladu s předpisy. Cíle jsou jasně definovány a pokrývají celý životní cyklus dat o událostech. Všechny kritické systémy musí generovat a uchovávat logy, které detailně popisují přístupová práva, privilegované účty, změny konfiguračního nastavení, selhání, ochranu proti škodlivému kódu a síťové události, aby byly splněny regulační povinnosti a smluvní požadavky. Logy musí být chráněny proti neoprávněnému přístupu, manipulaci nebo výmazu, přičemž je povinné používat šifrované komunikační kanály pro přeposílání logů. Je vyžadována centralizovaná agregace a korelace prostřednictvím zabezpečeného SIEM, což umožňuje kooperativní monitorování, automatizované pravidlové enginy pro eskalaci a reakci na incidenty téměř v reálném čase. Politika také zavádí přísné požadavky na synchronizaci hodin pomocí NTP, čímž umožňuje přesnou korelaci napříč systémy a spolehlivou forenzní analýzu. Požadavky na správu a řízení stanovují potřebu standardu protokolování a monitorování, který definuje typy událostí, bezpečnostně relevantní aktiva, doby uchovávání a formáty logů a zajišťuje konzistentní uplatňování napříč organizací. V případě, že systémy nejsou schopny dodržet požadavky na protokolování z důvodu technických omezení, musí být podána formální žádost o výjimku z protokolování (LER), formálně posouzena a pravidelně přezkoumávána, aby rizika zůstala přijatelná. Soulad je povinný pro veškerý personál a je ověřován prostřednictvím pravidelných auditů, přičemž za úmyslné porušení politiky hrozí přísné sankce, včetně odebrání přístupu do produkčního prostředí, eskalace na lidské zdroje (HR) nebo právních kroků. Nakonec je tato politika úzce sladěna se současnými mezinárodními normami a regulačními rámci, včetně ISO/IEC 27001:2022 a 27002:2022, NIST SP 800-53 Rev.5, GDPR, NIS2, DORA a COBIT 2019. Toto sladění zajišťuje nejen soulad, ale také provozní odolnost prostřednictvím důkladného monitorování událostí, detekce, ochrany a neustálého zlepšování.