Lokitus- ja valvontapolitiikka

Lokitus- ja valvontapolitiikka (P22) määrittää vankan ja täytäntöönpanokelpoisen viitekehyksen järjestelmä- ja tietoturvatapahtumien keräämiselle ja analysoinnille koko organisaation IT-ympäristössä. Politiikan ensisijainen tarkoitus on tukea tehokasta poikkeamien havaitsemista, nopeaa uhkiin reagointia, forensista tutkintaa, auditointivalmiutta ja tiukkaa lakisääteistä vaatimustenmukaisuutta. Näiden tavoitteiden saavuttamiseksi politiikka asettaa selkeät vaatimukset lokien tuottamiselle, säilyttämiselle ja suojaamiselle, painottaen tarkkaa tapahtumien korrelointia järjestelmälaajuisen aikasynkronoinnin avulla. Politiikan soveltamisala on laaja. Se kattaa kaiken tyyppisen infrastruktuurin: omissa tiloissa, pilvessä (IaaS, PaaS, SaaS) ja hybridiympäristöissä, sekä käyttöjärjestelmät, tietokannat, sovellukset, verkkolaitteet ja erikoistuneet tietoturvajärjestelmät, kuten SIEM:t ja palomuurit. Politiikka koskee laajaa sidosryhmäjoukkoa, mukaan lukien järjestelmä- ja ylläpitokäyttäjät, IT-toiminnot, SOC-tiimit, kehittäjät, sovellusomistajat ja kolmannen osapuolen palveluntarjoajat. Jokaisella ryhmällä on omat vastuunsa, kuten lokien keruun varmistaminen, lokien eheyden varmentaminen, lokien integrointi keskitettyihin seurantajärjestelmiin sekä auditointi- ja vaatimustenmukaisuustoimintojen tukeminen. Tavoitteet on määritelty selkeästi ja ne kattavat tapahtumatiedon koko elinkaaren. Kaikkien kriittisten järjestelmien on tuotettava ja säilytettävä lokit, jotka kuvaavat käyttäjien loogisen pääsyn tapahtumat, etuoikeutetut toiminnot, konfiguraationhallintamuutokset, epäonnistumiset, haittaohjelmien torjuntahavainnot ja verkkotapahtumat, jotta sääntelyvelvoitteet ja sopimusvaatimukset täyttyvät. Lokit on suojattava luvattomalta peukaloinnilta tai poistamiselta, ja lokien edelleenlähetyksessä on käytettävä salattuja kanavia. Keskitetty kokoaminen ja korrelointi suojatun SIEM:n kautta on pakollista, mahdollistaen yhteistoiminnallisen seurannan, sääntöpohjaisen eskaloinnin ja tietoturvapoikkeamiin reagointitoimet lähes reaaliaikaisesti. Politiikka asettaa myös tiukat vaatimukset kellon synkronoinnille NTP:n avulla, mikä mahdollistaa tarkan järjestelmien välisen korrelaation ja luotettavan forensisen analyysin. Hallintotapavaatimukset edellyttävät lokitus- ja valvontastandardia, joka määrittelee tapahtumatyypit, tietoturvarelevantit omaisuuserät, säilytysajat ja lokimuodot, varmistaen yhdenmukaisen soveltamisen koko organisaatiossa. Mikäli järjestelmät eivät teknisten rajoitteiden vuoksi pysty noudattamaan lokitusvaatimuksia, on toimitettava muodollinen lokituspoikkeuspyyntö (LER), joka arvioidaan ja katselmoidaan säännöllisesti, jotta riskit pysyvät hyväksyttävällä tasolla. Vaatimustenmukaisuus on pakollista koko henkilöstön tasolla ja se varmistetaan säännöllisillä auditoinneilla. Tahallisista politiikkarikkomuksista voi seurata vakavia seuraamuksia, mukaan lukien poistaminen tuotantoympäristöstä, eskalointi henkilöstöhallintotoimintoon tai oikeudelliset toimet. Lopuksi tämä politiikka on tiiviisti linjassa nykyisten kansainvälisten standardien ja sääntelykehysten kanssa, mukaan lukien ISO/IEC 27001:2022 ja 27002:2022, NIST SP 800-53 Rev.5, GDPR, NIS2, DORA ja COBIT 2019. Tämä yhdenmukaisuus varmistaa paitsi vaatimustenmukaisuuden myös operatiivisen resilienssin perusteellisen tapahtumien seurannan, havaitsemisen, suojaamisen ja jatkuvan parantamisen käytäntöjen kautta.