Järjestelmälokien kehityksen tulee pysyä järjestemän kehityksen mukana ja mahdollistaa esim. tarvittava häriötilanteiden selvitys. Kuvaamme tietojärjestelmälistauksen yhteydessä, minkä järjestelmien suhteen vastuu lokituksen toteutuksesta on itsellämme. Näiden järjestelmien suhteen dokumentoimme:

• mitä tietoja lokiin tallentuu
• kuinka pitkään lokin tiedot säilytetään

Organisaatio ottaa käyttöön keskitetyn lokienhallintajärjestelmän, jonka tarkoituksena on

• koota ja säilyttää lokit vähintään 90 päivän ajan.
• ottaa käyttöön virallisen lokien säilyttämiskäytännön, josta tiedotetaan kaikille osastoille.
• automatisoi lokien arkistoinnin säilytysajan jälkeen.
• tekee säännöllisiä sääntöjenmukaisuustarkastuksia varmistaakseen, että käytäntöä noudatetaan.

Organisaatio on kehittänyt yksityiskohtaisen tarkastuslokien hallintaprosessin, jossa määritellään lokivaatimukset, keruu-, tarkastelu- ja säilytysmenettelyt.

Organisaatio varmistaa standardien noudattamisen, tekee vuosittaisia tarkistuksia ja päivityksiä sekä valvoo jatkuvasti näiden prosessien noudattamista ja ongelmien ratkaisemista.

Organisaation on tunnistettava, mitä lakeja ja asetuksia sen on noudatettava. Näiden lakien ja asetusten perusteella organisaatio määrittää strategian ja ohjeet tietojen lokitusta ja analysointia varten.

Strategiassa ja ohjeissa tulisi kuvata seuraavat asiat:

• Kerättyjen tietojen tarkoitus ja käyttö
• Mitä tietoja kerätään
• Miten tiedot tallennetaan
• Kerättyjen tietojen säilytysaika
• Lakien ja asetusten velvoittamien tietoon liittyvien asioiden tiedottaminen asianomaisille sidosryhmille.

Verkon käytöstä syntyy asianmukaista lokia, jotta mahdollistetaan tietoturvallisuuden kannalta olennaisten toimenpiteiden havaitseminen.

Verkkoliikenteen normaali tila (liikennemäärät, protokollat ja yhteydet) on tiedossa. Poikkeamien havaitsemiseksi on olemassa menettely, jolla verkkoliikenteen normaaliin tilaan nähden eroavat tapahtumat (esimerkiksi poikkeavat yhteydet tai niiden yritykset) pyritään havaitsemaan.

Suojausjärjestelmissä (esim. palomuuri, haittaohjelmasuojaus) on usein mahdollisuus tallentaa lokia tapahtumista. Varmistakaa säännöllisin aikavälein, että kattavaa lokia kertyy ja pyrkikää tunnistamaan epäilyttävää toimintaa. Lokista on hyötyä myös häiriöiden tai loukkausten tutkinnassa.

Organisaation on oltava selvillä eri tietojärjestelmien käytöstä kertyvistä tapahtumalokeista, olipa lokien tuottaminen omalla tai järjestelmätoimittajan vastuulla. Lokeihin tallentuvat käyttäjien suorittamat toiminnot sekä tapahtuneet poikkeamat, virheet ja tietoturvatapahtumat.

Kertyvän lokin riittävyyttä on katselmoitava säännöllisesti. Lokin avulla pitäisi tarvittaessa pystyä selvittämään järjestelmään liittyvät häiriötilanteet ja niiden syy.

Järjestelmälokit sisältävät usein runsaasti tietoa, josta suuri osa on tietoturvallisuuden tarkkailun kannalta epäolennaista. Jotta tietoturvallisuuden tarkkailun kannalta merkittävät tapahtumat saadaan tunnistettua, olisi harkittava tarkoituksenmukaisten sanomatyyppien automaattista kopiointia toiseen lokiin tai soveltuvien apuohjelmien tai tarkastustyökalujen käyttöä tiedostojen läpikäymisessä ja selvittämisessä.