Polityka rejestrowania i monitorowania - MŚP

Polityka rejestrowania i monitorowania (P22S) ustanawia solidne ramy dla zabezpieczania, retencji i audytowania aktywności systemów w małych i średnich przedsiębiorstwach (MŚP). Polityka jest dostosowana do organizacji, które nie mają dedykowanych zespołów IT ani bezpieczeństwa, wspierając uproszczone role operacyjne, takie jak dyrektor generalny, dostawca wsparcia IT oraz koordynator ds. prywatności. Pomimo tego uproszczonego podejścia polityka zapewnia ścisłą zgodność z międzynarodowymi normami, w tym ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev. 5, EU GDPR, EU NIS2, EU DORA oraz COBIT 2019. Celem polityki jest ustanowienie środków kontroli rejestrowania audytowego i monitorowania, które wspierają zarówno bezpieczeństwo, jak i integralność operacyjną systemów informatycznych organizacji. Określa, jakie zdarzenia muszą być rejestrowane (obejmując uwierzytelnianie, ustawienia konfiguracyjne, dostęp do danych wrażliwych oraz automatyczne alerty), w jaki sposób logi są bezpiecznie przechowywane i chronione oraz jakie są obowiązki w zakresie przeglądu i eskalacji incydentów. Zarządzanie logami w ramach tej polityki bezpośrednio wspiera zgodność regulacyjną, dochodzenia oraz stałą gotowość do audytu, odpowiadając na zaufanie klientów i obowiązkowe reagowanie na naruszenia. Zakres jest jasno określony: każdy system (od serwerów i urządzeń sieciowych po usługi chmurowe i środowiska wykorzystywania prywatnych urządzeń (BYOD)) oraz każdy użytkownik (pracownicy, wykonawcy, dostawcy usług stron trzecich) są objęci polityką. Logi generowane przez usługi zarządzane lub platformy stron trzecich muszą być uwzględnione, jeśli prawa administracyjne lub prawo do audytu są zapewnione umownie. Polityka wymaga cotygodniowych i comiesięcznych przeglądów krytycznych logów, natychmiastowej reakcji na alerty o wysokiej istotności oraz określa okresy retencji wynoszące co najmniej 12 miesięcy, wydłużone do 3 lat dla logów incydentów. Środki ochrony logów obejmują ochronę przed zapisem, ograniczony dostęp, szyfrowane kopie zapasowe oraz ścieżkę audytu dla wszelkich krytycznych zmian systemowych. Role i odpowiedzialności są jednoznacznie zdefiniowane dla MŚP: dyrektor generalny nadzoruje zatwierdzanie polityki, reaguje na krytyczne alerty oraz autoryzuje udokumentowane odstępstwa, gdy istnieją ograniczenia techniczne lub operacyjne. Dostawcy wsparcia IT odpowiadają za konfigurację logów, regularny przegląd, utrzymanie systemów kopii zapasowych i alertowania, natomiast koordynator ds. prywatności zapewnia, że logi danych osobowych są zgodne z GDPR oraz wspiera analizę naruszeń i powiadomienia regulacyjne. Personel i wykonawcy nie mogą manipulować ani wyłączać systemów rejestrowania audytowego i są zobowiązani do zgłaszania anomalii. Mechanizmy zarządzania i zgodności obejmują harmonogramy nadzoru nad logami, wymagania retencji oraz kontrole ochrony. Uwzględniono polityki dla usług chmurowych, synchronizacji czasu (NTP), konfiguracji alertów, zakresu BYOD, kopii zapasowych oraz procedury blokady prawnej, aby zapewnić gotowość kryminalistyczną i obronę prawną. Odstępstwa muszą być udokumentowane, przeglądane co pół roku oraz odpowiednio mitygowane. Egzekwowanie jest wspierane przez środki dyscyplinarne za manipulację, niezgodność lub brak eskalacji krytycznych alertów, co zapewnia spełnienie wymogów audytowych i regulacyjnych. Polityka wymaga corocznych przeglądów oraz przewiduje wyzwalacze dla nieplanowanych aktualizacji na podstawie ustaleń z audytu, incydentów lub zmian w infrastrukturze bądź otoczeniu regulacyjnym. Polityka bezpośrednio wspiera i jest wspierana przez powiązane polityki dla MŚP, w tym ochronę danych i prywatność, bezpieczeństwo sieci, bezpieczny rozwój oprogramowania, reagowanie na incydenty oraz synchronizację czasu. Te powiązania budują kompleksową podstawę dla identyfikowalności, zarządzania naruszeniami i zgodności, dostosowaną do małych organizacji, ale wystarczająco solidną, aby spełniać wiodące międzynarodowe normy.