Lognings- og overvågningspolitik

Lognings- og overvågningspolitikken (P22) fastlægger et robust og håndhæveligt rammeværk for indsamling og analyse af system- og sikkerhedshændelser på tværs af organisationens samlede it-miljø. Det primære formål med denne politik er at understøtte effektiv anomalidetektion, hurtig trusselsrespons, forensisk undersøgelse, revisionsparathed og streng overholdelse af lovgivningen. For at opnå disse mål fastsætter politikken klare krav til generering, opbevaring og beskyttelse af logfiler med fokus på præcis hændelseskorrelation gennem tidssynkronisering på tværs af systemer. Politikkens omfang er omfattende. Den omfatter alle typer infrastruktur, lokal, cloud (IaaS, PaaS, SaaS), hybridmiljøer samt operativsystemer, databaser, applikationer, netværksudstyr og specialiserede sikkerhedssystemer som SIEM'er og firewalls. Politikken gælder for en bred vifte af interessenter, herunder system- og administrative brugere, IT-drift, SOC-teams, udviklere, applikationsejere og tredjepartstjenesteudbydere. Hver af disse grupper har specifikke ansvarsområder, såsom at sikre logindsamling, verificere integritet af logfiler, integrere logfiler med centrale overvågningssystemer og understøtte revisioner samt compliance-funktioner. Målsætningerne er klart defineret og dækker hele livscyklussen for hændelsesdata. Alle kritiske systemer skal generere og opbevare logfiler, der beskriver brugeradgang, privilegerede aktiviteter, konfigurationsændringer, fejl, malwaredetektioner og netværkshændelser, så regulatoriske og kontraktlige forpligtelser opfyldes. Logfiler skal beskyttes mod uautoriseret manipulation eller sletning med obligatorisk brug af krypterede kanaler til logvideresendelse. Centraliseret aggregering og korrelation via et sikkert SIEM er påkrævet, hvilket muliggør koordineret overvågning, regelbaseret eskalering og håndtering af sikkerhedshændelser på næsten realtidsbasis. Politikken indfører også strenge krav til klokkesynkronisering ved brug af NTP, hvilket muliggør præcis korrelation på tværs af systemer og pålidelig forensisk analyse. Styringskravene fastlægger behovet for en lognings- og overvågningsstandard, som definerer hændelsestyper, sikkerhedsrelevante aktiver, opbevaringsperioder og logformater og sikrer ensartet anvendelse på tværs af organisationen. Hvis systemer ikke kan overholde logningskravene på grund af tekniske begrænsninger, skal der indsendes en formel anmodning om logningsundtagelse (LER), som formelt vurderes og gennemgås periodisk for at holde risici på et acceptabelt niveau. Overholdelse er obligatorisk for alt personale og verificeres gennem regelmæssige revisioner med alvorlige sanktioner, herunder fjernelse fra produktionsmiljø, eskalering til HR eller retlige skridt, ved bevidste overtrædelser af politikken. Endelig er denne politik tæt tilpasset aktuelle internationale standarder og regulatoriske rammeværk, herunder ISO/IEC 27001:2022 og 27002:2022, NIST SP 800-53 Rev.5, GDPR, NIS2, DORA og COBIT 2019. Denne tilpasning sikrer ikke blot overholdelse, men også operationel robusthed gennem grundig overvågning af hændelser, detektion, beskyttelse og løbende forbedring.