Politika zaznamenávania a monitorovania

Politika zaznamenávania a monitorovania (P22) stanovuje robustný a vynútiteľný rámec pre zachytávanie a analýzu systémových a bezpečnostných udalostí naprieč celým IT prostredím organizácie. Primárnym účelom tejto politiky je podporiť účinné systémy detekcie anomálií, rýchlu reakciu na hrozby, forenzné vyšetrovanie, pripravenosť na audit a prísny právny súlad. Na dosiahnutie týchto cieľov politika stanovuje jasné požiadavky na generovanie, uchovávanie a ochranu záznamov so zameraním na presnú koreláciu udalostí prostredníctvom časovo synchronizovaných záznamov v rámci celého systému. Rozsah politiky je rozsiahly. Zahŕňa všetky typy infraštruktúry, infraštruktúru vo vlastných priestoroch, cloud (IaaS, PaaS, SaaS), hybridné prostredia, ako aj operačné systémy, databázy, aplikácie, sieťové zariadenia a špecializované bezpečnostné systémy, ako sú SIEM a firewally. Politika sa vzťahuje na široké spektrum zainteresovaných strán vrátane používateľov systémov a administrátorov, prevádzky IT, tímov centra bezpečnostných operácií (SOC), vývojárov, vlastníkov aplikácií a poskytovateľov služieb tretích strán. Každá z týchto skupín má špecifické zodpovednosti, ako je zabezpečenie zachytávania záznamov, overovanie integrity záznamov, integrácia záznamov s centralizovanými monitorovacími systémami a podpora auditu a funkcií súladu. Ciele sú jasne definované a pokrývajú celý životný cyklus údajov o udalostiach. Všetky kritické systémy musia generovať a uchovávať záznamy, ktoré podrobne opisujú prístup používateľov, privilegované aktivity, zmeny konfiguračných nastavení, zlyhania, detekcie škodlivého kódu a sieťové udalosti, čím sa zabezpečí plnenie regulačných povinností a zmluvných požiadaviek. Záznamy musia byť chránené pred neoprávnenou manipuláciou alebo vymazaním, pričom je povinné používanie šifrovaných komunikačných kanálov na preposielanie záznamov. Vyžaduje sa centralizovaná agregácia a korelácia prostredníctvom bezpečného SIEM, čo umožňuje spoločné monitorovanie, eskaláciu na základe pravidiel a reakciu na incidenty takmer v reálnom čase. Politika tiež zavádza prísne požiadavky na synchronizáciu hodín pomocou NTP, čím umožňuje presnú koreláciu naprieč systémami a spoľahlivú forenznú analýzu. Požiadavky na správu a riadenie určujú potrebu normy pre zaznamenávanie a monitorovanie, ktorá definuje typy udalostí, bezpečnostne relevantné aktíva, lehoty uchovávania a formáty záznamov, čím zabezpečuje konzistentné uplatňovanie naprieč organizáciou. V prípade, že systémy nie sú schopné dodržať požiadavky na zaznamenávanie z dôvodu technických obmedzení, musí byť predložená formálna žiadosť o výnimku zo zaznamenávania (LER), formálne posúdená a pravidelne preskúmavaná, aby riziká zostali akceptovateľné. Súlad je povinný pre všetok personál a overuje sa prostredníctvom pravidelných auditov, pričom za úmyselné porušenia politiky sa uplatňujú prísne sankcie vrátane odobratia prístupu do produkčného prostredia, eskalácie na ľudské zdroje (HR) alebo právnych krokov. Napokon je táto politika úzko zosúladená so súčasnými medzinárodnými normami a regulačnými rámcami vrátane ISO/IEC 27001:2022 a 27002:2022, NIST SP 800-53 Rev.5, GDPR, NIS2, DORA a COBIT 2019. Toto zosúladenie zabezpečuje nielen súlad, ale aj prevádzkovú odolnosť prostredníctvom dôkladného monitorovania udalostí, detekcie, ochrany a postupov neustáleho zlepšovania.