Politika zaznamenávania a monitorovania - SME

Politika zaznamenávania a monitorovania (P22S) stanovuje robustný rámec na zabezpečenie, uchovávanie a auditovanie systémovej aktivity v malých a stredných podnikoch (SME). Táto politika je špecificky prispôsobená organizáciám, ktoré nemajú vyhradené IT alebo bezpečnostné tímy, a podporuje zjednodušené prevádzkové roly, ako sú generálny riaditeľ, poskytovateľ IT podpory a koordinátor ochrany údajov. Napriek tomuto zjednodušenému prístupu politika zabezpečuje prísny súlad s medzinárodnými normami vrátane ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, EU GDPR, EU NIS2, EU DORA a COBIT 2019. Účelom politiky je nariadiť auditné logovanie a monitorovanie, ktoré podporujú bezpečnosť aj prevádzkovú integritu IT systémov organizácie. Definuje, ktoré udalosti sa musia zaznamenávať (vrátane autentifikácie, riadenia konfigurácie, prístupu k citlivým údajom a bezpečnostných upozornení), ako sa logy bezpečne uchovávajú a chránia, a zodpovednosti za kontrolu a eskaláciu incidentov. Správa logov podľa tejto politiky priamo podporuje dodržiavanie predpisov, forenzné vyšetrovania a pripravenosť na audit, pričom rieši dôveru zákazníkov a povinnú reakciu na porušenie ochrany údajov. Jasne je definovaný rozsah: každý systém (od serverov a sieťových zariadení až po cloudové služby a prostredia používania vlastných zariadení (BYOD)) a používateľ (zamestnanci, dodávatelia, MSP) spadá do jej pôsobnosti. Logy generované riadenými službami alebo platformami tretích strán musia byť zahrnuté tam, kde sú administrátorské práva alebo práva na audit zmluvne poskytnuté. Politika vyžaduje týždenné a mesačné revízie kritických logov, okamžitú pozornosť vysokozávažným upozorneniam a nariaďuje lehoty uchovávania najmenej 12 mesiacov, predĺžené na 3 roky pre logy incidentov. Opatrenia ochrany logov zahŕňajú ochranu proti zápisu, obmedzený prístup, šifrované zálohovacie systémy a auditnú stopu pre akékoľvek kritické zmeny systémov. Roly a zodpovednosti sú pre SME explicitne definované: generálny riaditeľ dohliada na schválenie politiky, reaguje na kritické upozornenia a autorizuje výnimky tam, kde existujú technické alebo prevádzkové obmedzenia. Poskytovatelia IT podpory sú zodpovední za nastavenie logov, pravidelnú kontrolu logov, udržiavanie zálohovacích systémov a systémov upozornení, zatiaľ čo koordinátor ochrany údajov zabezpečuje, aby logy osobných údajov spĺňali GDPR, a podporuje analýzu porušenia a regulačné notifikácie. Zamestnanci a dodávatelia nesmú nikdy manipulovať so systémami logovania ani ich vypínať a sú povinní hlásiť anomálie. Mechanizmy správy a súladu zahŕňajú harmonogramy správy logov, požiadavky na uchovávanie a ochranné kontroly. Zahrnuté sú politiky pre cloudové služby, časovú synchronizáciu (NTP), konfiguráciu upozornení, pokrytie BYOD, zálohovanie a postupy blokovania z právnych dôvodov, aby sa zabezpečila forenzná pripravenosť a právna obhájiteľnosť. Výnimky musia byť zdokumentované, preskúmané polročne a primerane zmiernené. Vynucovanie je podporené disciplinárnymi opatreniami za manipuláciu, nesúlad alebo zlyhanie pri eskalácii kritických upozornení, čím sa zabezpečí, že auditné a regulačné požiadavky sú vždy splnené. Politika nariaďuje ročné preskúmania a ponúka spúšťače pre neplánované aktualizácie na základe auditných zistení, incidentov alebo zmien v infraštruktúre či regulačnom prostredí. Táto politika priamo podporuje a je podporovaná súvisiacimi politikami pre SME vrátane ochrany údajov a súkromia, bezpečnosti siete, bezpečného vývoja, reakcie na incidenty a časovej synchronizácie. Tieto prepojenia vytvárajú komplexný základ pre vysledovateľnosť, riadenie porušení a súlad, prispôsobený malým organizáciám, ale dostatočne robustný na splnenie popredných medzinárodných noriem.