Järjestelmälokien kehityksen tulee pysyä järjestemän kehityksen mukana ja mahdollistaa esim. tarvittava häriötilanteiden selvitys. Kuvaamme tietojärjestelmälistauksen yhteydessä, minkä järjestelmien suhteen vastuu lokituksen toteutuksesta on itsellämme. Näiden järjestelmien suhteen dokumentoimme:

• mitä tietoja lokiin tallentuu
• kuinka pitkään lokin tiedot säilytetään

Organisaation on määriteltävä, mitkä tapahtumat on lokitettava, kuinka kauan lokit säilytetään ja miten lokitiedot suojataan ja käsitellään lokien käyttötarkoituksen perusteella. On varmistettava, että yksityiskohtaisuuden taso tukee poikkeavien toimintojen havaitsemista tehokkaasti. Tähän on sisällyttävä tapahtumia seuraavista:

• looginen ja fyysinen pääsynvalvonta ja identiteetinhallinta
• kapasiteetinhallinta
• muutoksenhallinta
• ICT-toiminnot, mukaan lukien ICT-järjestelmätoiminnot
• verkkoliikennetoiminnot, mukaan lukien ICT-verkon suorituskyky

Organisaatio luo integraatioita palveluntarjoajien alustoihin automatisoidakseen keskeisiin tapahtumiin, kuten todennukseen ja käyttäjähallintaan, liittyvien lokien keräämisen, käyttää automatisoituja prosesseja näiden lokien rutiininomaiseen keräämiseen ja määrittää suodattimet asiaankuuluvien tietojen keräämiseksi.

Organisaation on lokitettava käytettyjen laitteiden ja palveluiden hallinto- ja turvalokit.

Näihin lokitietoihin lokitetaan järjestelmänvalvojien ja etuoikeutettujen käyttäjien tekemät toimet. Niiden avulla voidaan valvoa järjestelmäkonfiguraatioiden, käyttäjien käyttöoikeuksien ja muiden kriittisten asetusten muutoksia. Säilyttämällä näitä lokitietoja organisaatio voi tarkastaa hallintatoimet ja varmistaa vastuullisuuden.

Tietoturvalokit tallentavat järjestelmien ja tietojen turvallisuuteen liittyviä tapahtumia. Näihin kuuluvat kirjautumisyritykset, palomuuritoiminnot, tunkeutumisen havaitsemisjärjestelmän hälytykset ja virustorjuntatoimet. Näiden lokien seuraaminen auttaa tunnistamaan epäilyttävät toiminnot, jotka voivat viitata tietoturvaloukkaukseen tai sisäiseen uhkaan.

Laitteiden, tietojärjestelmien ja verkkojen nykyiset kokoonpanot dokumentoidaan ja kokoonpanomuutoksista pidetään kirjaa.

Konfiguraatioiden muutoksia on valvottava, ja ne on tehtävä muutostenhallintamenettelyn kautta. Vain valtuutettu henkilöstö saa tehdä muutoksia konfiguraatioihin.

Konfiguraatiotietoihin voi sisältyä esim. seuraavat tiedot:

• kiinteistön omistajan ja yhteyshenkilön tiedot
• viimeisimmän konfiguraatiomuutoksen päivämäärä
• konfiguraatiomallin versio
• yhteydet muihin omaisuuseriin

Lokeja pyritään suojaamaan luvattomilta tietojen muutoksilta sekä toimintahäiriöiltä, joita ovat mm.:

• tallennettavien sanomatyyppien muutokset
• lokin tietojen muokkaaminen tai poistaminen
• lokin säilytyskapasiteetin ylittäminen, josta voi seurata tapahtumien ylikirjoittaminen tai jääminen kirjaamatta

Organisaation olisi kerättävä lokitiedot kaikesta omaisuudestaan. Keräys olisi tehtävä organisaation lokienhallintaprosessin mukaisesti.