.png)
1. Bistveni in pomembni subjekti določijo postopke in ustrezna orodja za spremljanje in beleženje dogodkov v svojih omrežjih in informacijskih sistemih oziroma zagotovijo zbiranje in ohranjanje dnevniških zapisov, da bi zaznali ali odkrili dogodke, ki bi se lahko šteli za incidente ali skorajšnje incidente in se ustrezno odzvali za ublažitev njihovega negativnega učinka. Dnevniški zapisi morajo biti zbrani in ohranjeni v obsegu in na način, ki omogoča rekonstrukcijo in analizo incidentov ali skorajšnjih incidentov.
2. Dnevniški zapisi iz prejšnjega odstavka obsegajo vsaj:
3. Dnevniški zapisi iz prejšnjega odstavka morajo biti hranjeni na način, ki zagotavlja njihovo avtentičnost celovitost razpoložljivost in zaupnost. Bistveni in pomembni subjekti zagotovijo, da imajo vsi sistemi sinhronizirane časovne vire, da se za presojo dogodkov lahko izvede korelacija dnevniških zapisov med sistemi.
4. Bistveni in pomembni subjekti zagotavljajo ohranjanje dnevniških zapisov iz prvega odstavka tega člena za najmanj šest mesecev lahko pa tudi za daljše obdobje kadar iz analize obvladovanja tveganj in ocene sprejemljive ravni tveganj izhaja, da bi bilo tveganja ustrezno obvladovati z daljšo hrambo dnevniških zapisov.
5. Ohranjanje dnevniških zapisov bistvenih subjektov, ki so na podlagi zakona, ki ureja kritično infrastrukturo določeni kot kritični subjekti, se zagotavlja na ozemlju Republike Slovenije druga kopija pa se lahko zagotavlja na ozemlju države članice EU.
The organization must ensure that logs cover all required system and security events, including system resource usage, service activation or shutdown, and logs from security tools such as antivirus, intrusion detection systems, and firewalls.
Logs must be retained for at least six months and longer if risk analysis shows that extended retention is needed for effective incident management. For entities designated as critical infrastructure, logs must be stored within the territory of Slovenia, with a possible secondary copy located within another EU Member State.
Organisaation on määriteltävä, mitkä tapahtumat on lokitettava, kuinka kauan lokit säilytetään ja miten lokitiedot suojataan ja käsitellään lokien käyttötarkoituksen perusteella. On varmistettava, että yksityiskohtaisuuden taso tukee poikkeavien toimintojen havaitsemista tehokkaasti. Tähän on sisällyttävä tapahtumia seuraavista:
Organisaation on lokitettava käytettyjen laitteiden ja palveluiden hallinto- ja turvalokit.
Näihin lokitietoihin lokitetaan järjestelmänvalvojien ja etuoikeutettujen käyttäjien tekemät toimet. Niiden avulla voidaan valvoa järjestelmäkonfiguraatioiden, käyttäjien käyttöoikeuksien ja muiden kriittisten asetusten muutoksia. Säilyttämällä näitä lokitietoja organisaatio voi tarkastaa hallintatoimet ja varmistaa vastuullisuuden.
Tietoturvalokit tallentavat järjestelmien ja tietojen turvallisuuteen liittyviä tapahtumia. Näihin kuuluvat kirjautumisyritykset, palomuuritoiminnot, tunkeutumisen havaitsemisjärjestelmän hälytykset ja virustorjuntatoimet. Näiden lokien seuraaminen auttaa tunnistamaan epäilyttävät toiminnot, jotka voivat viitata tietoturvaloukkaukseen tai sisäiseen uhkaan.
Organisaation on määriteltävä, millaisia tietoturvatapahtumia se seuraa ja millä toimintatavoilla.
Tietoturvatapahtumia tulisi seurata useista eri lähteistä, joiden avulla tärkeä, reagointia vaativat mahdolliset häiriöt voidaan tunnistaa. Tietoa voidaan saada mm. suoraan hallintajärjestelmästä, ulkoisilta kumppaneilta tai organisaation laitteiden tuottamista lokeista.
Esimerkkejä seurattavista tietoturvatapahtumista voivat olla mm.:
Organisaation on rajattava lokitietoihin pääsy vain sallituille henkilöille. Lokeihin pitää jäädä merkintä niiden katsomisesta ja noita merkintöjä on säilytettävä, jotta lokien tarkastelukerrat voidaan yksilöidä.
Kellojen synkronointi eri järjestelmien välillä mahdollistaa hyvän yhteentoimivuuden sekä helpottaa ongelmatilanteiden seurantaa ja tapahtumavirtojen hahmottamista.
Organisaation on käytettävä luotettavaa lähdettä kellonajan säätämiseen ja synkronointiin ainakin toimintansa kannalta kriittisten järjestelmien osalta. Sopivissa tapauksissa organisaation tulisi käyttää kahta lähdettä.
Verkon käytöstä syntyy asianmukaista lokia, jotta mahdollistetaan tietoturvallisuuden kannalta olennaisten toimenpiteiden havaitseminen.
Verkkoliikenteen normaali tila (liikennemäärät, protokollat ja yhteydet) on tiedossa. Poikkeamien havaitsemiseksi on olemassa menettely, jolla verkkoliikenteen normaaliin tilaan nähden eroavat tapahtumat (esimerkiksi poikkeavat yhteydet tai niiden yritykset) pyritään havaitsemaan.
Organisaation on oltava selvillä eri tietojärjestelmien käytöstä kertyvistä tapahtumalokeista, olipa lokien tuottaminen omalla tai järjestelmätoimittajan vastuulla. Lokeihin tallentuvat käyttäjien suorittamat toiminnot sekä tapahtuneet poikkeamat, virheet ja tietoturvatapahtumat.
Kertyvän lokin riittävyyttä on katselmoitava säännöllisesti. Lokin avulla pitäisi tarvittaessa pystyä selvittämään järjestelmään liittyvät häiriötilanteet ja niiden syy.
Lokeja pyritään suojaamaan luvattomilta tietojen muutoksilta sekä toimintahäiriöiltä, joita ovat mm.:
Digiturvamallissa kaikki vaatimuskehikkojen vaatimukset kohdistetaan universaaleihin tietoturvatehtäviin, jotta voitte muodostaa yksittäisen suunnitelman, joka täyttää ison kasan vaatimuksia.
.png)
Aloita ilmaiseksi tutussa Microsoft Teams -ympäristössä.
Jos sinulla on kysymyksiä, varaa palaveri sinulle sopivaan ajankohtaan.
.svg)
.svg)
