Naplózási és monitorozási szabályzat

A Naplózási és monitorozási szabályzat (P22) egy robusztus és kikényszeríthető keretrendszert határoz meg a rendszer- és biztonsági események rögzítésére és elemzésére a szervezet teljes IT-környezetében. A szabályzat elsődleges célja az anomáliadetektálás hatékony támogatása, a gyors fenyegetésreagálás, a forenzikus vizsgálat, az auditfelkészültség és a szigorú jogszabályi megfelelés biztosítása. E célok elérése érdekében a szabályzat egyértelmű előírásokat rögzít a naplók előállítására, megőrzésére és védelmére, különös tekintettel a pontos eseménykorrelációra a rendszerszintű időszinkronizálás révén. A szabályzat hatóköre kiterjedt. Magában foglalja az infrastruktúra minden típusát: helyszíni, felhő (IaaS, PaaS, SaaS), hibrid környezetek, továbbá az operációs rendszereket, adatbázisokat, alkalmazásokat, hálózati eszközöket, valamint a speciális biztonsági rendszereket, például a SIEM-eket és a tűzfalakat. A szabályzat az érdekelt felek széles körére vonatkozik, beleértve a rendszer- és adminisztratív felhasználókat, az informatikai üzemeltetés területét, a SOC-csapatokat, a fejlesztőket, az alkalmazástulajdonosok körét és a harmadik fél szolgáltatók csoportját. E csoportok mindegyikének konkrét felelősségei vannak, például a naplók rögzítésének biztosítása, a naplók sértetlenségének ellenőrzése, a naplók központi monitorozási rendszerekkel való integrálása, valamint az auditok és a megfelelési funkciók támogatása. A célkitűzések egyértelműek, és lefedik az eseményadatok teljes életciklusát. Valamennyi kritikus rendszernek naplókat kell előállítania és megőriznie, amelyek részletezik a felhasználói hozzáférést, a kiemelt jogosultságú tevékenységeket, a konfigurációs változásokat, a meghibásodásokat, a kártevők elleni védelem észleléseit és a hálózati eseményeket, biztosítva a szabályozási és szerződéses kötelezettségek teljesítését. A naplókat védeni kell a jogosulatlan manipulációval vagy törléssel szemben, és kötelező a titkosított kommunikációs csatornák használata a naplók továbbításához. Központosított összegyűjtés és korreláció egy biztonságos SIEM-en keresztül kötelező, lehetővé téve az együttműködő monitorozást, a szabályalapú eszkalációt és az incidensreagálás közel valós idejű támogatását. A szabályzat szigorú követelményeket vezet be az óra-szinkronizálásra NTP használatával, ezáltal biztosítva a pontos, rendszerek közötti korrelációt és a megbízható forenzikus elemzést. Az irányítási követelmények előírják egy naplózási és monitorozási szabvány szükségességét, amely meghatározza az eseménytípusokat, a biztonsági szempontból releváns eszközöket, a megőrzési időszakokat és a naplóformátumokat, biztosítva a következetes alkalmazást a szervezet egészében. Amennyiben a rendszerek műszaki korlátok miatt nem képesek megfelelni a naplózási követelményeknek, formális naplózási kivételkérelem (LER) benyújtása szükséges, amelyet formálisan értékelnek és időszakosan felülvizsgálnak annak érdekében, hogy a kockázatok elfogadhatóak maradjanak. A megfelelés valamennyi munkatárs számára kötelező, és rendszeres auditokkal kerül ellenőrzésre; a szándékos szabályzatsértések súlyos szankciókat vonhatnak maguk után, beleértve az éles környezetből való eltávolítást, a HR-hez utalást vagy jogi eljárást. Végül a szabályzat szorosan igazodik a jelenlegi nemzetközi szabványokhoz és szabályozási keretrendszerekhez, beleértve az ISO/IEC 27001:2022 és 27002:2022 szabványokat, a NIST SP 800-53 Rev.5-öt, a GDPR-t, a NIS2-t, a DORA-t és a COBIT 2019-et. Ez az összehangolás nemcsak a megfelelést biztosítja, hanem az alapos esemény-monitorozás, észlelés, védelem és folyamatos fejlesztés gyakorlatai révén az üzemeltetési ellenállóképességet is erősíti.