Politika beleženja in spremljanja - SME

Politika beleženja in spremljanja (P22S) vzpostavlja robusten okvir za varovanje, hrambo in revidiranje sistemske aktivnosti v malih in srednje velikih podjetjih (SME). Ta politika je posebej prilagojena organizacijam, ki nimajo namenskih IT ali varnostnih ekip, in podpira poenostavljene operativne vloge, kot so generalni direktor, ponudnik IT podpore in koordinator za zasebnost. Kljub temu poenostavljenemu pristopu politika zagotavlja strogo skladnost z mednarodnimi standardi, vključno z ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev. 5, EU GDPR, EU NIS2, EU DORA in COBIT 2019. Namen politike je določiti kontrole beleženja in spremljanja, ki zagotavljajo tako varnost kot operativno celovitost IT sistemov organizacije. Opredeljuje, kateri dogodki morajo biti zabeleženi (vključno z avtentikacijo, upravljanjem konfiguracije, dostopom do občutljivih podatkov in varnostnimi opozorili), kako se dnevniki varno shranjujejo in zaščitijo ter odgovornosti za pregled in eskalacijo incidentov. Upravljanje dnevnikov v okviru te politike neposredno podpira regulativno skladnost, forenzične preiskave in stalno pripravljenost na revizijo, pri čemer naslavlja zaupanje strank in obvezni odziv na kršitve. Opredeljen je jasen obseg: vsak sistem (od strežnikov in omrežnih naprav do storitev v oblaku in okolij uporabe lastnih naprav (BYOD)) ter vsak uporabnik (zaposleni, pogodbeni izvajalci, MSP) je zajet. Dnevniki, ki jih ustvarjajo upravljane storitve ali platforme tretjih oseb, morajo biti vključeni, kjer so administrativne pravice ali revizijski dostop zagotovljeni s pogodbo. Politika zahteva tedenske in mesečne preglede kritičnih dnevnikov, takojšnjo obravnavo opozoril z visoko stopnjo resnosti ter določa obdobja hrambe najmanj 12 mesecev, podaljšano na 3 leta za dnevnike incidentov. Ukrepi zaščite dnevnikov vključujejo zaščito pred pisanjem, omejen dostop, šifrirane varnostne kopije in revizijsko sled za vse kritične spremembe sistema. Vloge in odgovornosti so izrecno opredeljene za SME: generalni direktor nadzira odobritev politike, se odziva na kritična opozorila in odobri izjeme, kjer obstajajo tehnične ali operativne omejitve. Ponudniki IT podpore so odgovorni za nastavitev dnevnikov, redne preglede ter vzdrževanje sistemov za varnostno kopiranje in opozarjanje, koordinator za zasebnost pa zagotavlja, da so dnevniki osebnih podatkov skladni z GDPR, ter podpira analizo kršitev in regulatorna obvestila. Zaposleni in pogodbeni izvajalci ne smejo nikoli posegati v sisteme beleženja ali jih onemogočati ter so dolžni poročati o anomalijah. Mehanizmi upravljanja in skladnosti vključujejo urnike upravljanja dnevnikov, zahteve glede hrambe in kontrole zaščite. Vključene so politike za storitve v oblaku, časovno sinhronizacijo (NTP), konfiguracijo opozoril, pokritost BYOD, varnostno kopiranje ter postopki pravnega zadržanja in odloga izbrisa, da se zagotovi forenzična pripravljenost in pravna obramba. Izjeme morajo biti dokumentirane, pregledane dvakrat letno in ustrezno omiljene. Uveljavljanje je podprto s sankcijami za posege, neskladnost ali neeskaliranje kritičnih opozoril, s čimer se zagotovi, da so revizijske in regulativne zahteve vedno izpolnjene. Politika zahteva letne preglede in določa sprožilce za nenačrtovane posodobitve na podlagi ugotovitev presoje, incidentov ali sprememb v infrastrukturi ali regulativnem okolju. Ta politika neposredno podpira in jo podpirajo povezane politike za SME, vključno z varstvom podatkov, omrežno varnostjo, varnim razvojem, odzivom na incidente in časovno sinhronizacijo. Te povezave gradijo celovito osnovo za sledljivost, upravljanje kršitev in skladnost, prilagojeno majhnim organizacijam, vendar dovolj robustno za izpolnjevanje vodilnih mednarodnih standardov.