Lokitus- ja valvontapolitiikka – pk-yrityksille

Lokitus- ja valvontapolitiikka (P22S) luo vahvan viitekehyksen järjestelmätoiminnan suojaamiselle, säilyttämiselle ja auditoinnille pienissä ja keskisuurissa yrityksissä (pk-yrityksissä). Tämä politiikka on räätälöity erityisesti organisaatioille, joilla ei ole omistautuneita IT- tai tietoturvatiimejä, ja se tukee yksinkertaistettuja operatiivisia rooleja, kuten toimitusjohtajaa, IT-tukipalveluntarjoajaa ja tietosuojakoordinaattoria. Tästä virtaviivaistetusta lähestymistavasta huolimatta politiikka varmistaa tiukan vaatimustenmukaisuuden kansainvälisten standardien kanssa, mukaan lukien ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, EU GDPR, EU NIS2, EU DORA ja COBIT 2019. Politiikan tarkoituksena on määrätä lokitus- ja valvontakontrollit, jotka ylläpitävät sekä organisaation IT-järjestelmien turvallisuutta että operatiivista eheyttä. Se määrittelee, mitkä tapahtumat on kirjattava (kattaen todennuksen, konfiguraation, pääsyn arkaluonteisiin tietoihin ja tekniset hälytykset), miten lokit säilytetään ja suojataan turvallisesti sekä vastuut katselmoinnista ja eskaloinnista poikkeamien yhteydessä. Tämän politiikan mukainen lokien hallinta tukee suoraan sääntelyvaatimusten noudattamista, forensisia tutkintoja ja jatkuvaa auditointivalmiutta sekä vastaa asiakasluottamukseen ja pakollisiin tietoturvaloukkausvastetoimiin liittyviin vaatimuksiin. Soveltamisala on selkeä: jokainen järjestelmä (palvelimista ja verkkolaitteista pilvipalveluihin ja omien laitteiden käytön (BYOD) -ympäristöihin) ja käyttäjä (työntekijät, urakoitsijat, MSP:t) kuuluu politiikan piiriin. Hallinnoitujen palvelujen tai kolmannen osapuolen alustojen tuottamat lokit on sisällytettävä, kun hallinnolliset oikeudet tai auditointioikeudet on myönnetty sopimuksellisesti. Politiikka edellyttää kriittisten lokien viikoittaisia ja kuukausittaisia katselmointeja, välitöntä reagointia korkean vakavuusasteen hälytyksiin sekä vähintään 12 kuukauden säilytysaikoja, jotka laajennetaan 3 vuoteen poikkeamalokeille. Lokien suojaustoimenpiteisiin kuuluvat kirjoitussuojaus, rajoitettu pääsy, salatut varmuuskopiot sekä tarkastusjälki kaikista kriittisistä järjestelmämuutoksista. Roolit ja vastuut on määritelty pk-yrityksille: toimitusjohtaja valvoo politiikan hyväksyntää, reagoi kriittisiin hälytyksiin ja hyväksyy poikkeukset, kun teknisiä tai operatiivisia rajoitteita on. IT-tukipalveluntarjoajat vastaavat lokituksen käyttöönotosta, säännöllisestä katselmoinnista sekä varmuuskopiointi- ja hälytysjärjestelmien ylläpidosta, kun taas tietosuojakoordinaattori varmistaa, että henkilötietoja sisältävät lokit ovat GDPR:n mukaisia, ja tukee tietoturvaloukkausanalyysiä sekä sääntelyilmoituksia. Henkilöstö ja urakoitsijat eivät saa koskaan peukaloida tai poistaa käytöstä lokitusjärjestelmiä, ja heidän on raportoitava poikkeamat. Hallintotapa- ja vaatimustenmukaisuusmekanismit kattavat lokituksen hallintoaikataulut, säilytysvaatimukset ja suojauskontrollit. Pilvipalveluja, aikasynkronointia (NTP), hälytyskonfiguraatiota, omien laitteiden käytön (BYOD) -kattavuutta, varmuuskopiointia sekä oikeudellista säilytystä ja poistamisen keskeyttämistä koskevia menettelyjä koskevat käytännöt sisältyvät forensisen valmiuden ja oikeudellisen puolustettavuuden varmistamiseksi. Poikkeukset on dokumentoitava, katselmoitava puolivuosittain ja lievennettävä asianmukaisesti. Täytäntöönpanoa tuetaan sanktioilla peukaloinnista, vaatimustenvastaisuudesta tai kriittisten hälytysten eskaloinnin laiminlyönnistä, jotta auditointi- ja sääntelyvaatimukset täyttyvät aina. Politiikka edellyttää vuosittaisia katselmointeja ja määrittää herätteet aikatauluttamattomille päivityksille auditointihavaintojen, poikkeamien tai infrastruktuurin tai sääntely-ympäristön muutosten perusteella. Tämä politiikka tukee suoraan, ja sitä tukevat siihen liittyvät pk-yrityspolitiikat, mukaan lukien tietosuoja ja tietosuoja, verkkoturvallisuus, turvallinen kehittäminen, tietoturvapoikkeamiin reagointi ja aikasynkronointi. Nämä kytkennät muodostavat kattavan perustan jäljitettävyydelle, tietoturvaloukkausten hallinnalle ja vaatimustenmukaisuudelle, räätälöitynä pienille organisaatioille mutta riittävän vahvana täyttämään johtavat kansainväliset standardit.