Politica de jurnalizare și monitorizare

Politica de jurnalizare și monitorizare (P22) stabilește un cadru robust și aplicabil pentru captarea și analizarea evenimentelor de sistem și a evenimentelor de securitate în întregul mediu IT al organizației. Scopul principal al acestei politici este de a sprijini sisteme de detectare a anomaliilor, răspuns rapid la incidente, investigație criminalistică, pregătire pentru audit și conformitate contractuală și legală strictă. Pentru a atinge aceste obiective, politica stabilește mandate clare pentru generarea, păstrarea și protejarea jurnalelor, cu accent pe corelarea exactă a evenimentelor prin marcare temporală sincronizată la nivel de sistem. Domeniul de aplicare al politicii este extins. Include toate tipurile de infrastructură, la sediu, cloud (IaaS, PaaS, SaaS), medii hibride, precum și sisteme de operare, baze de date, aplicații, echipamente de rețea și sisteme de securitate specializate precum SIEM-uri și firewall-uri. Politica se aplică unei game largi de părți interesate, inclusiv utilizatori de sistem și administratori, operațiuni IT, echipe SOC, dezvoltatori, proprietari de aplicații și furnizori terți de servicii. Fiecare dintre aceste grupuri are responsabilități specifice, cum ar fi asigurarea captării jurnalelor, verificarea integrității jurnalelor, integrarea jurnalelor cu sisteme de monitorizare centralizate și sprijinirea funcțiilor de audit și conformitate. Obiectivele sunt clar definite și acoperă întregul ciclu de viață al datelor de eveniment. Toate sistemele critice trebuie să genereze și să păstreze jurnale care detaliază drepturile de acces ale utilizatorilor, activități privilegiate, schimbări de configurare, eșecuri, detectări de malware și evenimente de rețea, asigurând îndeplinirea obligațiilor de conformitate și a cerințelor contractuale. Jurnalele trebuie protejate împotriva alterării sau ștergerii neautorizate, cu utilizarea obligatorie a canalelor criptate pentru redirecționarea jurnalelor. Este necesară agregarea și corelarea centralizată printr-un SIEM securizat, permițând monitorizare cooperativă, escaladare bazată pe reguli și răspuns la incidente aproape în timp real. Politica introduce, de asemenea, cerințe stricte pentru sincronizarea ceasului folosind NTP, permițând corelarea exactă între sisteme și analiză criminalistică fiabilă. Cerințele de guvernanță impun necesitatea unui standard de jurnalizare și monitorizare, care definește tipurile de evenimente, active relevante pentru securitate, perioadele de păstrare și formatele jurnalelor, asigurând aplicarea consecventă în întreaga organizație. În cazul în care sistemele nu pot respecta cerințele de jurnalizare din cauza limitărilor tehnice, trebuie depusă o solicitare formală de excepție de jurnalizare (LER), evaluată formal și revizuită periodic pentru a menține riscurile la un nivel acceptabil. Conformitatea este obligatorie pentru întregul personal și este verificată prin audituri regulate, cu sancțiuni severe, inclusiv eliminarea din mediul de producție, escaladare către resurse umane sau acțiune juridică, pentru încălcări intenționate ale politicii. În final, această politică este profund aliniată cu standardele internaționale și cadrele de reglementare actuale, inclusiv ISO/IEC 27001:2022 și 27002:2022, NIST SP 800-53 Rev.5, GDPR, NIS2, DORA și COBIT 2019. Această aliniere asigură nu doar conformitatea, ci și reziliența operațională prin monitorizare, detectare, protecție și îmbunătățire continuă riguroase ale evenimentelor.