Žurnālfiksēšanas un uzraudzības politika

Žurnālfiksēšanas un uzraudzības politika (P22) nosaka stabilu un izpildāmu ietvaru sistēmu un drošības notikumu fiksēšanai un analīzei visā organizācijas IT vidē. Šīs politikas galvenais mērķis ir atbalstīt efektīvu anomāliju atklāšanu, ātru reaģēšanu uz draudiem, kriminālistisko izmeklēšanu, audita gatavību un stingru juridisko atbilstību. Lai sasniegtu šos mērķus, politika nosaka skaidras prasības žurnālu ģenerēšanai, glabāšanai un aizsardzībai, īpašu uzmanību pievēršot precīzai notikumu korelācijai, izmantojot sistēmu mēroga laika sinhronizāciju. Politikas darbības joma ir plaša. Tā ietver visu veidu infrastruktūru: uz vietas, mākonī (IaaS, PaaS, SaaS), hibrīdvides, kā arī operētājsistēmas, datubāzes, lietojumprogrammas, tīkla iekārtas un specializētas drošības sistēmas, piemēram, SIEM un ugunsmūrus. Politika attiecas uz plašu ieinteresēto pušu loku, tostarp sistēmu un administratīvajiem lietotājiem, IT operācijām, Drošības operāciju centra (SOC) komandām, izstrādātājiem, lietojumprogrammu īpašniekiem un trešo pušu pakalpojumu sniedzējiem. Katrai no šīm grupām ir konkrēti pienākumi, piemēram, nodrošināt žurnālu fiksēšanu, pārbaudīt žurnālu integritāti, integrēt žurnālus ar centralizētām uzraudzības sistēmām un atbalstīt audita un atbilstības funkcijas. Mērķi ir skaidri definēti un aptver visu notikumu datu dzīves ciklu. Visām kritiskajām sistēmām ir jāģenerē un jāglabā žurnāli, kuros detalizēti atspoguļota lietotāju piekļuve, priviliģētas darbības, konfigurācijas izmaiņas, atteices, ļaunprogrammatūras atklāšana un tīkla notikumi, nodrošinot regulatīvo un līgumsaistību izpildi. Žurnāli ir jāaizsargā pret nesankcionētu viltošanu vai dzēšanu, obligāti izmantojot šifrētus kanālus žurnālu pārsūtīšanai. Ir nepieciešama centralizēta apkopošana un korelācija, izmantojot drošu SIEM, nodrošinot kopīgu uzraudzību, uz noteikumiem balstītu eskalāciju un reaģēšanu uz incidentiem gandrīz reāllaikā. Politika arī ievieš stingras prasības pulksteņu sinhronizācijai, izmantojot NTP, tādējādi nodrošinot precīzu korelāciju starp sistēmām un uzticamu kriminālistisko analīzi. Pārvaldības prasības nosaka nepieciešamību pēc žurnālfiksēšanas un uzraudzības standarta, kas definē notikumu veidus, drošībai nozīmīgus aktīvus, glabāšanas periodus un žurnālu formātus, nodrošinot konsekventu piemērošanu visā organizācijā. Ja sistēmas tehnisku ierobežojumu dēļ nespēj ievērot žurnālfiksēšanas prasības, ir jāiesniedz formāls žurnālfiksēšanas izņēmuma pieprasījums (LER), tas formāli jāizvērtē un periodiski jāpārskata, lai riski saglabātos pieņemami. Atbilstība ir obligāta visam personālam un tiek pārbaudīta ar regulāriem auditiem; par apzinātiem politikas pārkāpumiem tiek piemēroti stingri sodi, tostarp izņemšana no ražošanas vides, eskalācija uz Cilvēkresursiem (HR) vai tiesiskas darbības. Visbeidzot, šī politika ir cieši saskaņota ar aktuālajiem starptautiskajiem standartiem un regulatīvajiem ietvariem, tostarp ISO/IEC 27001:2022 un 27002:2022, NIST SP 800-53 Rev.5, GDPR, NIS2, DORA un COBIT 2019. Šī saskaņošana nodrošina ne tikai atbilstību, bet arī operatīvo noturību, izmantojot rūpīgu notikumu uzraudzību, atklāšanu, aizsardzību un nepārtrauktas uzlabošanas prakses.