Politika bilježenja i praćenja - SME

Politika bilježenja i praćenja (P22S) uspostavlja robustan okvir za osiguravanje, zadržavanje i reviziju aktivnosti sustava u malim i srednjim poduzećima (SME). Ova je politika posebno prilagođena organizacijama koje nemaju namjenske IT ili sigurnosne timove, uz podršku pojednostavljenih operativnih uloga kao što su generalni direktor, pružatelj IT podrške i koordinator za privatnost. Unatoč ovom pojednostavljenom pristupu, politika osigurava strogu usklađenost s međunarodnim standardima uključujući ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev. 5, EU GDPR, EU NIS2, EU DORA i COBIT 2019. Svrha politike je propisati kontrole revizijskog bilježenja i praćenja koje održavaju i sigurnost i operativnu cjelovitost IT sustava organizacije. Definira koji se događaji moraju bilježiti (uključujući autentifikaciju, konfiguracijske postavke, pristup osjetljivim podacima i automatizirana upozorenja), kako se log-zapisi sigurno pohranjuju i štite te odgovornosti za pregled i eskalaciju incidenata. Upravljanje log-zapisima prema ovoj politici izravno podržava usklađenost s propisima, forenzičke istrage i kontinuiranu spremnost za reviziju, adresirajući povjerenje kupaca i obvezni odgovor na povredu podataka. Jasno je definiran opseg: svaki sustav (od poslužitelja i mrežnih uređaja do usluga u oblaku i okruženja korištenja vlastitih uređaja (BYOD)) i korisnik (zaposlenici, izvođači, MSP-ovi) obuhvaćen je politikom. Log-zapisi koje generiraju upravljane usluge ili platforme trećih strana moraju biti uključeni kada su administrativna prava ili prava na reviziju ugovorno osigurana. Politika zahtijeva tjedne i mjesečne preglede kritičnih log-zapisa, trenutačnu pozornost na upozorenja visoke ozbiljnosti te propisuje razdoblja zadržavanja od najmanje 12 mjeseci, produljena na 3 godine za log-zapise o incidentima. Mjere zaštite log-zapisa uključuju zaštitu od pisanja, ograničeni pristup, šifrirane sigurnosne kopije i revizijski trag za sve kritične promjene sustava. Uloge i odgovornosti izričito su definirane za SME: generalni direktor nadzire odobravanje politike, odgovara na kritična upozorenja i odobrava iznimke kada postoje tehnička ili operativna ograničenja. Pružatelji IT podrške odgovorni su za postavljanje log-zapisa, redoviti pregled, održavanje sustava za sigurnosno kopiranje i upozoravanje, dok koordinator za privatnost osigurava da log-zapisi osobnih podataka budu u skladu s GDPR-om te podržava analizu povreda i regulatorna obavješćivanja. Osoblje i izvođači nikada ne smiju neovlašteno mijenjati ili onemogućiti sustave bilježenja te su obvezni prijaviti anomalije. Mehanizmi upravljanja i usklađenosti obuhvaćaju rasporede upravljanja log-zapisima, zahtjeve zadržavanja i kontrole zaštite. Uključene su politike za usluge u oblaku, vremensku sinkronizaciju (NTP), konfiguraciju upozorenja, obuhvat BYOD-a, sigurnosno kopiranje i postupke pravnog zadržavanja kako bi se osigurala forenzička spremnost i pravna obrana. Iznimke moraju biti dokumentirane, pregledane polugodišnje i odgovarajuće ublažene. Provedba je podržana disciplinskim mjerama za neovlaštenu izmjenu, nepridržavanje ili neeskaliranje kritičnih upozorenja, čime se osigurava da su zahtjevi revizije i regulatorni zahtjevi uvijek ispunjeni. Politika propisuje godišnje preglede i navodi okidače za neplanirana ažuriranja na temelju nalaza revizije, incidenata ili promjena u infrastrukturi ili regulatornom okruženju. Ova politika izravno podržava i podržana je povezanim SME politikama uključujući zaštitu podataka i privatnost, sigurnost mreže, siguran razvoj, odgovor na incidente i vremensku sinkronizaciju. Ove poveznice grade sveobuhvatnu osnovu za sljedivost, upravljanje povredama i usklađenost, prilagođenu malim organizacijama, ali dovoljno robusnu da zadovolji vodeće međunarodne standarde.