Organisaatio on kehittänyt yksityiskohtaisen tarkastuslokien hallintaprosessin, jossa määritellään lokivaatimukset, keruu-, tarkastelu- ja säilytysmenettelyt.

Organisaatio varmistaa standardien noudattamisen, tekee vuosittaisia tarkistuksia ja päivityksiä sekä valvoo jatkuvasti näiden prosessien noudattamista ja ongelmien ratkaisemista.

Organisaation on lokitettava käytettyjen laitteiden ja palveluiden hallinto- ja turvalokit.

Näihin lokitietoihin lokitetaan järjestelmänvalvojien ja etuoikeutettujen käyttäjien tekemät toimet. Niiden avulla voidaan valvoa järjestelmäkonfiguraatioiden, käyttäjien käyttöoikeuksien ja muiden kriittisten asetusten muutoksia. Säilyttämällä näitä lokitietoja organisaatio voi tarkastaa hallintatoimet ja varmistaa vastuullisuuden.

Tietoturvalokit tallentavat järjestelmien ja tietojen turvallisuuteen liittyviä tapahtumia. Näihin kuuluvat kirjautumisyritykset, palomuuritoiminnot, tunkeutumisen havaitsemisjärjestelmän hälytykset ja virustorjuntatoimet. Näiden lokien seuraaminen auttaa tunnistamaan epäilyttävät toiminnot, jotka voivat viitata tietoturvaloukkaukseen tai sisäiseen uhkaan.

Organisaation on kuvattava verkon ja tietojärjestelmien käytön normaalitila, jota käytetään lähtökohtana poikkeavuuksien tunnistamisessa. 

Normaalitilaa määritettäessä on otettava huomioon seuraavat asiat:

• tietojärjestelmien käytön valvonta sekä normaali- että ruuhka-aikoina
• tavalliset käyttöajat, käyttöpaikat sekä käyttötiheys kunkin käyttäjän ja käyttäjäryhmän osalta

Valvontajärjestelmät on konfiguroitava normaalitilaa vasten, jotta voidaan tunnistaa poikkeava käyttäytyminen, kuten:

• järjestelmien tai prosessien suunnittelematon lopettaminen
• haittaohjelmiin tai haitallisiin IP-osoitteisiin tai verkkotunnuksiin liittyvä liikenne
• tunnetut hyökkäysominaisuudet (esim. palvelunesto tai buffer overflow)
• epätavallinen järjestelmäkäyttö (esim. näppäinpainallusten lokitus)
• pullonkaulat ja ylikuormitukset (esim. verkon jonot, latenssitasot)
• luvaton pääsy (todellinen tai yritys) järjestelmiin tai tietoihin
• tietojärjestelmien ja verkkojen luvaton skannaus
• onnistuneet ja epäonnistuneet yritykset käyttää suojattuja resursseja (esim. DNS-palvelimia, verkkoportaaleja ja tiedostojärjestelmiä)
• epätavallinen käyttäjien ja järjestelmän käyttäytyminen

Organisaation on rajattava lokitietoihin pääsy vain sallituille henkilöille. Lokeihin pitää jäädä merkintä niiden katsomisesta ja noita merkintöjä on säilytettävä, jotta lokien tarkastelukerrat voidaan yksilöidä.

Suojausjärjestelmissä (esim. palomuuri, haittaohjelmasuojaus) on usein mahdollisuus tallentaa lokia tapahtumista. Varmistakaa säännöllisin aikavälein, että kattavaa lokia kertyy ja pyrkikää tunnistamaan epäilyttävää toimintaa. Lokista on hyötyä myös häiriöiden tai loukkausten tutkinnassa.

Organisaation on oltava selvillä eri tietojärjestelmien käytöstä kertyvistä tapahtumalokeista, olipa lokien tuottaminen omalla tai järjestelmätoimittajan vastuulla. Lokeihin tallentuvat käyttäjien suorittamat toiminnot sekä tapahtuneet poikkeamat, virheet ja tietoturvatapahtumat.

Kertyvän lokin riittävyyttä on katselmoitava säännöllisesti. Lokin avulla pitäisi tarvittaessa pystyä selvittämään järjestelmään liittyvät häiriötilanteet ja niiden syy.

Organisaation tietojärjestelmiä ja verkkoa on valvottava poikkeavan käytön havaitsemiksi. Kun poikkeavaa käyttöä havaitaan, organisaation on ryhdyttävä tarvittaviin toimenpiteisiin arvioidakseen tietoturvahäiriön mahdollisuuden.

Valvonnassa tulisi hyödyntää työkaluja, jotka mahdollistavat reaaliaikaisen tai säännöllisen valvonnan organisaation tarvetason huomioiden. Valvontakäytännöillä tulisi pystyä hallitsemaan suuria määriä dataa, mukautumaan muuttuvaan uhkaympäristöön sekä lähettää tarvittaessa hälytyksiä välittömästi.

Seuraavien lähteiden sisällyttämistä valvontajärjestelmään on harkittava:

• lähtevä ja saapuva verkko- ja tietojärjestelmäliikenne
• pääsy kriittisiin tietojärjestelmiin, palvelimiin, verkkolaitteisiin ja itse valvontajärjestelmään
• kriittiset järjestelmä- ja verkkomääritystiedostot
• lokit suojaustyökaluista (esim. virustorjunta, IDS, IPS, verkkosuodattimet, palomuurit)
• verkon ja tietojärjestelmien käyttöön liittyvät tapahtumalokit
• suoritettavan koodin tarkistukset
• resurssien käyttö (esim. CPU, kiintolevyt, muisti, kaistanleveys) ja niiden suorituskyky

Organisaation on myös luotava toimintatavat "false positive" tulosten tunnistamiseksi ja korjaamiseksi, mukaan lukien valvontaohjelmiston virittäminen tarkempaa poikkeavuuksien tunnistamista varten.