Politika bilježenja i praćenja

Politika bilježenja i praćenja (P22) utvrđuje robustan i provediv okvir za prikupljanje i analizu sustavnih i sigurnosnih događaja u cijelom IT okruženju organizacije. Primarna svrha ove politike je podržati djelotvorne sustave za otkrivanje anomalija, brz odgovor na incidente, forenzičku istragu, spremnost za reviziju i strogu pravnu usklađenost. Kako bi se postigli ovi ciljevi, politika uspostavlja jasne obveze za generiranje, retenciju i zaštitu log-zapisa, s naglaskom na točnu korelaciju događaja putem vremenski usklađenih dnevničkih zapisa kroz sinkronizaciju vremena na razini cijelog sustava. Opseg politike je opsežan. Uključuje sve vrste infrastrukture u vlastitim prostorijama, oblak (IaaS, PaaS, SaaS), hibridna okruženja, kao i operacijske sustave, baze podataka, aplikacije, mrežne uređaje i specijalizirane sigurnosne sustave poput SIEM-ova i vatrozida. Politika se primjenjuje na širok raspon dionika, uključujući korisnike sustava i administrativne korisnike, IT operacije, timove Centra za sigurnosne operacije (SOC), razvijatelje, vlasnike aplikacija i pružatelje usluga treće strane. Svaka od ovih skupina ima specifične odgovornosti, kao što su osiguravanje prikupljanja log-zapisa, provjera cjelovitosti log-zapisa, integracija log-zapisa s centraliziranim sustavima praćenja te podrška funkcijama revizije i usklađenosti. Ciljevi su jasno definirani i obuhvaćaju cijeli životni ciklus podataka o događajima. Svi kritični sustavi moraju generirati i zadržavati log-zapise koji detaljno opisuju prava pristupa korisnika, povlaštene aktivnosti, promjene konfiguracije, neuspjehe, otkrivanja zlonamjernog softvera i mrežne događaje, osiguravajući ispunjenje regulatornih i ugovornih obveza. Log-zapisi moraju biti zaštićeni od neovlaštene izmjene ili brisanja, uz obveznu uporabu šifriranih kanala za prosljeđivanje log-zapisa. Potrebna je centralizirana agregacija i korelacija putem sigurnog SIEM-a, što omogućuje suradničko praćenje, eskalaciju temeljenu na pravilima i odgovor na incidente gotovo u stvarnom vremenu. Politika također uvodi stroge zahtjeve za sinkronizaciju sata korištenjem NTP-a, čime se omogućuje točna korelacija među sustavima i pouzdana forenzička analiza. Zahtjevi upravljanja nalažu potrebu za Standardom bilježenja i praćenja, koji definira vrste događaja, imovinu relevantnu za sigurnost, razdoblja retencije i formate log-zapisa, osiguravajući dosljednu primjenu u cijeloj organizaciji. U slučaju da sustavi ne mogu udovoljiti zahtjevima bilježenja zbog tehničkih ograničenja, mora se podnijeti formalni Zahtjev za iznimku bilježenja (LER), formalno procijeniti i periodično pregledavati kako bi rizici ostali prihvatljivi. Usklađenost je obvezna za svo osoblje i provjerava se redovitim revizijama, uz stroge sankcije, uključujući uklanjanje iz produkcijskog okruženja, eskalaciju prema ljudskim resursima (HR) ili pravne radnje, za namjerna kršenja politike. Naposljetku, ova je politika snažno usklađena s aktualnim međunarodnim standardima i regulatornim okvirima, uključujući ISO/IEC 27001:2022 i 27002:2022, NIST SP 800-53 Rev.5, GDPR, NIS2, DORA i COBIT 2019. Ovo usklađenje osigurava ne samo usklađenost, već i operativnu otpornost kroz temeljito praćenje događaja, otkrivanje, zaštitu i kontinuirano poboljšanje praksi.