Loggnings- och övervakningspolicy

Loggnings- och övervakningspolicy (P22) fastställer ett robust och genomdrivbart ramverk för att samla in och analysera system- och säkerhetshändelser i hela organisationens IT-infrastruktur. Det primära syftet med denna policy är att stödja effektiv detektering av avvikelser, snabb hotrespons, forensisk utredning, revisionsberedskap och strikt rättslig regelefterlevnad. För att uppnå dessa mål fastställer policyn tydliga krav för att generera, bevara och skydda loggar, med fokus på korrekt händelsekorrelation genom systemövergripande tidssynkronisering. Policyomfattningen är omfattande. Den inkluderar alla typer av infrastruktur, lokala (på plats), moln (IaaS, PaaS, SaaS), hybridmiljöer samt operativsystem, databaser, applikationer, nätverksutrustning och specialiserade säkerhetssystem som SIEM och brandväggar. Policyn gäller för ett brett spektrum av intressenter, inklusive system- och administrativa användare, IT-drift, SOC-team, utvecklare, applikationsägare och tredjepartstjänsteleverantörer. Var och en av dessa grupper har specifika ansvar, såsom att säkerställa logginsamling, verifiera loggars riktighet, integrera loggar med centraliserade övervakningssystem samt stödja revision och regelefterlevnadsfunktioner. Mål är tydligt definierade och omfattar hela livscykeln för händelsedata. Alla kritiska system måste generera och bevara loggar som beskriver användaråtkomst, privilegierade aktiviteter, konfigurationsändringar, fel, detektering av skadlig kod och nätverkshändelser, så att regulatoriska skyldigheter och avtalskrav uppfylls. Loggar måste skyddas mot obehörig manipulering eller radering, med obligatorisk användning av krypterade kanaler för loggvidarebefordran. Centraliserad aggregering och korrelation via en säker SIEM krävs, vilket möjliggör samordnad övervakning, regelbaserad eskalering och incidentrespons på nära realtidsbasis. Policyn inför även strikta krav på klocksynkronisering med NTP, vilket möjliggör korrekt korrelation mellan system och tillförlitlig forensisk analys. Styrningskrav anger behovet av en loggnings- och övervakningsstandard, som definierar händelsetyper, säkerhetsrelevanta tillgångar, lagringsperioder och loggformat, vilket säkerställer konsekvent tillämpning i hela organisationen. Om system inte kan uppfylla loggningskrav på grund av tekniska begränsningar måste en formell begäran om loggningsundantag (LER) lämnas in, formellt bedömas och periodiskt granskas för att hålla risker på en acceptabel nivå. Efterlevnad är obligatorisk för all personal och verifieras genom regelbundna revisioner, med stränga påföljder, inklusive borttagning från produktionsmiljö, eskalering till HR eller rättsliga åtgärder, vid avsiktliga policyöverträdelser. Slutligen är denna policy djupt anpassad till aktuella internationella standarder och regulatoriska ramverk, inklusive ISO/IEC 27001:2022 och 27002:2022, NIST SP 800-53 Rev.5, GDPR, NIS2, DORA och COBIT 2019. Denna anpassning säkerställer inte bara regelefterlevnad utan även operativ motståndskraft genom grundlig övervakning, detektering, skydd och ständig förbättring.