Polityka rejestrowania i monitorowania

Polityka rejestrowania i monitorowania (P22) ustanawia solidne i egzekwowalne ramy dla pozyskiwania i analizowania zdarzeń systemowych oraz zdarzeń bezpieczeństwa w całym środowisku IT organizacji. Głównym celem tej polityki jest wsparcie skutecznego wykrywania anomalii, szybkiego reagowania na zagrożenia, dochodzenia kryminalistycznego, gotowości do audytu oraz ścisłej zgodności prawnej. Aby osiągnąć te cele, polityka ustanawia jasne wymagania dotyczące generowania, retencji i ochrony rejestrów zdarzeń, z naciskiem na dokładną korelację zdarzeń dzięki ogólnosystemowej synchronizacji czasu. Zakres polityki jest szeroki. Obejmuje wszystkie typy infrastruktury: infrastrukturę lokalną, chmurę obliczeniową (IaaS, PaaS, SaaS), środowiska hybrydowe, a także systemy operacyjne, bazy danych, aplikacje, urządzenia sieciowe oraz wyspecjalizowane systemy bezpieczeństwa, takie jak SIEM i zapory sieciowe. Polityka dotyczy szerokiego grona interesariuszy, w tym użytkowników systemowych i administracyjnych, operacji IT, zespołów SOC, programistów, właścicieli aplikacji oraz dostawców usług stron trzecich. Każda z tych grup ma określone obowiązki, takie jak zapewnienie pozyskiwania rejestrów zdarzeń, weryfikacja integralności rejestrów zdarzeń, integracja rejestrów zdarzeń z centralnymi systemami monitorowania oraz wsparcie audytów i funkcji zgodności. Cele są jasno zdefiniowane i obejmują pełny cykl życia danych zdarzeń. Wszystkie systemy krytyczne muszą generować i przechowywać rejestry zdarzeń, które opisują dostęp użytkowników, działania uprzywilejowane, zmiany konfiguracji, awarie, wykrycia złośliwego oprogramowania oraz zdarzenia sieciowe, zapewniając spełnienie zobowiązań dotyczących zgodności oraz wymogów umownych. Rejestry zdarzeń muszą być chronione przed nieuprawnioną manipulacją lub usunięciem, z obowiązkowym stosowaniem szyfrowanych kanałów do przekazywania rejestrów zdarzeń. Wymagana jest scentralizowana agregacja i korelacja poprzez bezpieczny SIEM, umożliwiająca wspólne monitorowanie, eskalację opartą na regułach oraz reagowanie na incydenty w trybie zbliżonym do czasu rzeczywistego. Polityka wprowadza również ścisłe wymagania dotyczące synchronizacji zegarów z użyciem NTP, co umożliwia dokładną korelację między systemami i wiarygodną analizę kryminalistyczną. Wymagania dotyczące zarządzania wskazują na potrzebę ustanowienia standardu rejestrowania i monitorowania, który definiuje typy zdarzeń, aktywa krytyczne, okresy retencji oraz formaty rejestrów zdarzeń, zapewniając spójne stosowanie w całej organizacji. W przypadku, gdy systemy nie są w stanie spełnić wymagań rejestrowania z powodu ograniczeń technicznych, należy złożyć formalny wniosek o odstępstwo od rejestrowania (LER), poddać go formalnej ocenie oraz okresowo przeglądać, aby utrzymać ryzyko na akceptowalnym poziomie. Zgodność jest obowiązkowa dla całego personelu i weryfikowana poprzez regularne audyty, z surowymi konsekwencjami, w tym usunięciem ze środowiska produkcyjnego, eskalacją do zasobów ludzkich (HR) lub działaniami prawnymi, w przypadku celowych naruszeń polityki. Na koniec polityka jest ściśle zgodna z aktualnymi normami międzynarodowymi i ramami regulacyjnymi, w tym ISO/IEC 27001:2022 i 27002:2022, NIST SP 800-53 Rev.5, GDPR, NIS2, DORA oraz COBIT 2019. To dopasowanie zapewnia nie tylko zgodność, ale również odporność operacyjną dzięki kompleksowemu monitorowaniu zdarzeń, wykrywaniu, ochronie oraz praktykom ciągłego doskonalenia.