Logimis- ja seirepoliitika

Logimis- ja seirepoliitika (P22) kehtestab tugeva ja jõustatava raamistiku süsteemi- ja turbesündmuste kogumiseks ja analüüsimiseks kogu organisatsiooni IT-keskkonnas. Selle poliitika peamine eesmärk on toetada tõhusat anomaaliate tuvastamist, kiiret ohtudele reageerimist, kohtuekspertiisi uurimist, auditivalmidust ja ranget õigusnormidele vastavust. Nende eesmärkide saavutamiseks kehtestab poliitika selged kohustused logide genereerimiseks, säilitamiseks ja kaitsmiseks, keskendudes täpsele sündmuste korrelatsioonile kogu süsteemi ulatuses ajatünkroniseerimise kaudu. Poliitika kohaldamisala on ulatuslik. See hõlmab kõiki taristu tüüpe: kohapealne, pilv (IaaS, PaaS, SaaS), hübriidkeskkonnad, samuti operatsioonisüsteemid, andmebaasid, rakendused, võrguseadmed ja spetsialiseeritud turbesüsteemid nagu SIEM-id ja tulemüürid. Poliitika kehtib laiale sidusrühmade ringile, sh süsteemi- ja administraatorikasutajad, IT-operatsioonid, turbeoperatsioonide keskuse meeskonnad, arendajad, rakenduste omanikud ja kolmanda osapoole teenuseosutajad. Igal neist rühmadest on konkreetsed kohustused, näiteks logide kogumise tagamine, logide tervikluse kontrollimine, logide integreerimine tsentraliseeritud seiresüsteemidega ning auditite ja vastavusfunktsioonide toetamine. Eesmärgid on selgelt määratletud ja katavad sündmuste andmete kogu elutsükli. Kõik kriitilised süsteemid peavad genereerima ja säilitama logid, mis kirjeldavad kasutajate juurdepääsu, privilegeeritud tegevusi, konfiguratsioonimuudatusi, tõrkeid, pahavara tuvastusi ja võrgusündmusi, tagades regulatiivsete ja lepinguliste kohustuste täitmise. Logid peavad olema kaitstud volitamata manipuleerimise või kustutamise eest ning logide edastamisel on kohustuslik kasutada krüpteeritud kanaleid. Nõutav on tsentraliseeritud koondamine ja korrelatsioon turvalise SIEM-i kaudu, võimaldades koostöist seiret, reeglipõhist eskaleerimist ja intsidentidele reageerimist peaaegu reaalajas. Poliitika kehtestab ka ranged nõuded kella sünkroniseerimiseks NTP abil, võimaldades täpset süsteemidevahelist korrelatsiooni ja usaldusväärset kohtuekspertiisi analüüsi. Juhtimisnõuded sätestavad vajaduse logimis- ja seirestandardi järele, mis määratleb sündmuste tüübid, turvalisusega seotud varad, säilitamisperioodid ja logivormingud, tagades järjepideva rakendamise kogu organisatsioonis. Kui süsteemid ei suuda tehniliste piirangute tõttu logimisnõudeid täita, tuleb esitada ametlik logimise eranditaotlus (LER), mis hinnatakse formaalselt ning vaadatakse perioodiliselt üle, et hoida riskid vastuvõetaval tasemel. Vastavus on kohustuslik kogu personalile ja seda kontrollitakse regulaarsete auditite kaudu; tahtlike poliitikarikkumiste korral rakendatakse rangeid sanktsioone, sh tootmiskeskkonnast eemaldamine, eskaleerimine personaliosakonda või õiguslikud meetmed. Lõpuks on see poliitika tihedalt kooskõlas kehtivate rahvusvaheliste standardite ja regulatiivsete raamistikega, sh ISO/IEC 27001:2022 ja 27002:2022, NIST SP 800-53 Rev.5, GDPR, NIS2, DORA ja COBIT 2019. See kooskõla tagab mitte ainult vastavuse, vaid ka operatiivse vastupidavuse läbi põhjaliku sündmuste seire, tuvastamise, kaitse ja pideva täiustamise praktikate.