Žurnalinimo ir stebėsenos politika

Žurnalinimo ir stebėsenos politika (P22) nustato patikimą ir vykdytiną sistemą, skirtą fiksuoti ir analizuoti sistemų ir saugumo įvykius visoje organizacijos IT aplinkoje. Pagrindinis šios politikos tikslas – palaikyti veiksmingą anomalijų aptikimą, greitą reagavimą į grėsmes, kriminalistinį tyrimą, pasirengimą auditui ir griežtą teisinę atitiktį. Šiems tikslams pasiekti politika nustato aiškius reikalavimus žurnalų generavimui, saugojimui ir apsaugai, ypatingą dėmesį skiriant tiksliam įvykių koreliavimui, užtikrinant visos sistemos laiko sinchronizavimą. Politikos taikymo sritis yra plati. Ji apima visų tipų infrastruktūrą: vietinę, debesiją (IaaS, PaaS, SaaS), hibridines aplinkas, taip pat operacines sistemas, duomenų bazes, taikomąsias programas, tinklo įrenginius ir specializuotas saugumo sistemas, tokias kaip SIEM ir ugniasienės. Politika taikoma plačiam suinteresuotųjų šalių ratui, įskaitant sistemų ir administracinius naudotojus, IT operacijas, SOC komandas, kūrėjus, taikomųjų programų savininkus ir trečiųjų šalių paslaugų teikėjus. Kiekviena iš šių grupių turi konkrečias atsakomybes, pavyzdžiui, užtikrinti žurnalų fiksavimą, tikrinti žurnalų vientisumą, integruoti žurnalus su centralizuotomis stebėsenos sistemomis ir palaikyti audito bei atitikties funkcijas. Tikslai aiškiai apibrėžti ir apima visą įvykių duomenų gyvavimo ciklą. Visos kritinės sistemos turi generuoti ir saugoti žurnalus, kuriuose detalizuojama naudotojų prieiga, privilegijuota veikla, konfigūracijos pakeitimai, gedimai, kenkėjiškos programinės įrangos aptikimai ir tinklo įvykiai, užtikrinant, kad būtų įvykdyti reglamentavimo ir sutartiniai reikalavimai. Žurnalai turi būti apsaugoti nuo nesankcionuoto klastojimo ar ištrynimo, privalomai naudojant šifruotus kanalus žurnalų persiuntimui. Reikalaujamas centralizuotas agregavimas ir koreliavimas per saugią SIEM, sudarant sąlygas bendradarbiaujančiai stebėsenai, automatizuotiems taisyklių varikliams pagrįstam eskalavimui ir reagavimui į incidentus beveik realiuoju laiku. Politika taip pat nustato griežtus laikrodžių sinchronizavimo reikalavimus naudojant NTP, taip užtikrinant tikslią koreliaciją tarp sistemų ir patikimą kriminalistinę analizę. Valdysenos reikalavimai numato poreikį turėti Žurnalinimo ir stebėsenos standartą, kuriame apibrėžiami įvykių tipai, saugai svarbūs turtai, saugojimo laikotarpiai ir žurnalų formatai, užtikrinant nuoseklų taikymą visoje organizacijoje. Jei sistemos dėl techninių apribojimų negali laikytis žurnalinimo reikalavimų, turi būti pateiktas formalus žurnalinimo išimties prašymas (LER), jis turi būti formaliai įvertintas ir periodiškai peržiūrimas, kad rizika išliktų priimtina. Atitiktis yra privaloma visam personalui ir tikrinama reguliariais auditais; už tyčinius politikos pažeidimus taikomos griežtos sankcijos, įskaitant pašalinimą iš gamybos aplinkos, eskalavimą į žmogiškuosius išteklius arba teisinius veiksmus. Galiausiai, ši politika yra glaudžiai suderinta su dabartiniais tarptautiniais standartais ir reglamentavimo sistemomis, įskaitant ISO/IEC 27001:2022 ir 27002:2022, NIST SP 800-53 Rev.5, GDPR, NIS2, DORA ir COBIT 2019. Šis suderinimas užtikrina ne tik atitiktį, bet ir operacinį atsparumą per išsamią įvykių stebėseną, aptikimą, apsaugą ir nuolatinio tobulinimo praktikas.