Politika beleženja in spremljanja

Politika beleženja in spremljanja (P22) določa robusten in izvršljiv okvir za zajemanje in analizo sistemskih in varnostnih dogodkov v celotnem IT okolju organizacije. Primarni namen te politike je podpreti učinkovito zaznavanje anomalij, hiter odziv na grožnje, forenzično preiskavo, pripravljenost na revizijo in strogo zakonsko skladnost. Za dosego teh ciljev politika določa jasne zahteve za ustvarjanje, hrambo in zaščito dnevnikov, s poudarkom na natančni korelaciji dogodkov prek sistemsko usklajenega časa. Obseg politike je širok. Vključuje vse vrste infrastrukture: infrastrukturo na lokaciji, oblak (IaaS, PaaS, SaaS), hibridna okolja, pa tudi operacijske sisteme, podatkovne baze, aplikacije, omrežne naprave in specializirane varnostne sisteme, kot so SIEM in požarni zidovi. Politika velja za širok nabor deležnikov, vključno s sistemskimi in administrativnimi uporabniki, IT-operacijami, ekipami SOC, razvijalci, lastniki aplikacij in ponudniki storitev tretjih oseb. Vsaka od teh skupin ima specifične odgovornosti, kot so zagotavljanje zajema dnevnikov, preverjanje celovitosti dnevnikov, integracija dnevnikov s centralnimi sistemi spremljanja ter podpora funkcijam presoje in skladnosti. Cilji so jasno opredeljeni in pokrivajo celoten življenjski cikel podatkov o dogodkih. Vsi kritični sistemi morajo ustvarjati in hraniti dnevnike, ki podrobno beležijo pravice dostopa uporabnikov, privilegirane aktivnosti, spremembe konfiguracije, odpovedi, zaznave zlonamerne programske opreme in omrežne dogodke, s čimer se izpolnijo regulativne obveznosti in pogodbene zahteve. Dnevniki morajo biti zaščiteni pred nepooblaščenim dostopom, posegi ali izbrisom, pri čemer je obvezna uporaba šifriranih kanalov za posredovanje dnevnikov. Zahtevana je centralizirana agregacija in korelacija prek varnega SIEM, kar omogoča sodelovalno spremljanje, avtomatizirane mehanizme pravil za eskalacijo in odziv na incidente skoraj v realnem času. Politika uvaja tudi stroge zahteve za sinhronizacijo ure z uporabo NTP, s čimer se omogoči natančna korelacija med sistemi in zanesljiva forenzična analiza. Zahteve upravljanja določajo potrebo po Standardu beleženja in spremljanja, ki opredeljuje vrste dogodkov, varnostno pomembna sredstva, obdobja hrambe in formate dnevnikov ter zagotavlja dosledno uporabo v celotni organizaciji. Če sistemi zaradi tehničnih omejitev ne morejo izpolnjevati zahtev beleženja, je treba predložiti formalno zahtevo za izjemo pri beleženju (LER), jo formalno oceniti in periodično pregledovati, da tveganja ostanejo sprejemljiva. Skladnost je obvezna za vse osebje in se preverja z rednimi presojami, pri čemer so za namerne kršitve politike predvidene stroge sankcije, vključno z odstranitvijo iz produkcijskega okolja, eskalacijo v človeške vire (HR) ali pravnimi ukrepi. Nazadnje je ta politika tesno usklajena z aktualnimi mednarodnimi standardi in regulativnimi okviri, vključno z ISO/IEC 27001:2022 in 27002:2022, NIST SP 800-53 Rev.5, GDPR, NIS2, DORA in COBIT 2019. Ta usklajenost zagotavlja ne le skladnost, temveč tudi operativno odpornost prek temeljitega spremljanja dogodkov, zaznavanja, zaščite in praks nenehnega izboljševanja.