Žurnalinimo ir stebėsenos politika – SVV

Žurnalinimo ir stebėsenos politika (P22S) nustato tvirtą sistemą sistemų veiklos apsaugai, žurnalų saugojimui ir auditavimui mažose ir vidutinėse įmonėse (SVV). Ši politika yra specialiai pritaikyta organizacijoms, kurios neturi dedikuotų IT ar saugumo komandų, ir palaiko supaprastintus operacinius vaidmenis, tokius kaip vyriausiasis vykdomasis pareigūnas, IT pagalbos paslaugų teikėjas ir duomenų privatumo koordinatorius. Nepaisant šio supaprastinto požiūrio, politika užtikrina griežtą atitiktį tarptautiniams standartams, įskaitant ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, ES BDAR, ES NIS2, ES DORA ir COBIT 2019. Politikos tikslas – nustatyti privalomas žurnalinimo ir stebėsenos kontrolės priemones, kurios užtikrina tiek organizacijos IT sistemų saugumą, tiek operacinį vientisumą. Ji apibrėžia, kurie įvykiai turi būti registruojami (apimant autentifikavimą, konfigūracijos nustatymus, prieigą prie jautrių duomenų ir automatinius įspėjimus), kaip žurnalai saugiai saugomi ir apsaugomi, bei atsakomybes dėl peržiūros ir incidentų eskalavimo. Žurnalų valdymas pagal šią politiką tiesiogiai palaiko atitiktį reglamentavimo reikalavimams, kriminalistinius tyrimus ir nuolatinį pasirengimą auditui, sprendžiant klientų pasitikėjimo ir privalomų pranešimų apie pažeidimus reagavimo poreikius. Aiškiai apibrėžta taikymo sritis: kiekviena sistema (nuo serverių ir tinklo įrenginių iki debesijos paslaugų ir nuosavų įrenginių naudojimo (BYOD) aplinkų) ir kiekvienas naudotojas (darbuotojai, rangovai, MSP) patenka į jos aprėptį. Valdomų paslaugų ar trečiųjų šalių platformų generuojami žurnalai turi būti įtraukti, kai administravimo teisės arba audito prieiga yra suteikta sutartimi. Politika reikalauja savaitinių ir mėnesinių kritinių žurnalų peržiūrų, nedelsiamo dėmesio didelio kritiškumo įspėjimams ir nustato žurnalų saugojimą mažiausiai 12 mėnesių, o incidentų žurnalams – 3 metus. Žurnalų apsaugos priemonės apima rašymo apsaugą, ribotą prieigą, šifruotas atsargines kopijas ir audito pėdsaką bet kokiems kritinių sistemų pakeitimams. SVV vaidmenys ir atsakomybės apibrėžti aiškiai: vyriausiasis vykdomasis pareigūnas prižiūri politikos patvirtinimą, reaguoja į kritinius įspėjimus ir autorizuoja išimtis, kai egzistuoja techniniai ar operaciniai apribojimai. IT pagalbos paslaugų teikėjai yra atsakingi už žurnalų nustatymą, reguliarią peržiūrą, atsarginių kopijų sistemų ir įspėjimų sistemų palaikymą, o duomenų privatumo koordinatorius užtikrina, kad asmens duomenų žurnalai atitiktų BDAR, ir padeda atlikti pažeidimų analizę bei reguliacinius pranešimus. Darbuotojai ir rangovai niekada neturi klastoti ar išjungti žurnalinimo sistemų ir privalo pranešti apie anomalijas. Valdysenos ir atitikties mechanizmai apima žurnalų valdysenos grafikus, saugojimo reikalavimus ir apsaugos kontrolės priemones. Įtrauktos debesijos paslaugų, laiko sinchronizavimo (NTP), įspėjimų konfigūracijos, BYOD aprėpties, atsarginių kopijų ir teisinio duomenų išsaugojimo bei trinimo sustabdymo procedūrų nuostatos, siekiant užtikrinti kriminalistinį pasirengimą ir teisinę gynybą. Išimtys turi būti dokumentuojamos, peržiūrimos kas pusmetį ir tinkamai švelninamos. Vykdymo užtikrinimas remiamas drausminėmis priemonėmis už klastojimą, neatitiktį arba nesugebėjimą eskaluoti kritinių įspėjimų, užtikrinant, kad audito ir reglamentavimo reikalavimai visada būtų įvykdyti. Politika numato metines peržiūras ir paleidiklius neplanuotiems atnaujinimams, remiantis audito išvadomis, incidentais arba infrastruktūros ar reglamentavimo aplinkos pokyčiais. Ši politika tiesiogiai palaiko ir yra palaikoma susijusių SVV politikų, įskaitant duomenų apsaugą ir privatumą, tinklo saugumą, saugų kūrimą, reagavimą į incidentus ir laiko sinchronizavimą. Šios sąsajos sukuria išsamų atsekamumo, pažeidimų valdymo ir atitikties pagrindą, pritaikytą mažoms organizacijoms, bet pakankamai tvirtą, kad atitiktų pirmaujančius tarptautinius standartus.