LOG.01 — Loglama ve İzleme Standartları
Açıklama
Bu standart; bilgi sistemleri üzerindeki faaliyetlerin izlenmesi, denetlenebilirliğin sağlanması ve güvenlik olaylarının tespit edilmesi amacıyla loglama ve izleme (monitoring) faaliyetlerinin nasıl yürütüleceğini tanımlar. Şirketin sahip olduğu tüm bilgi işlem sistemleri, sunucular, istemciler, ağ ekipmanları, güvenlik duvarları, uygulamalar, veri tabanları ve bulut hizmetleri üzerinde gerçekleştirilen loglama ve izleme faaliyetlerini kapsar.
Sorumluluklar
- Bilgi Güvenliği Birimi: Loglama ve izleme politikalarının oluşturulmasından ve denetiminden sorumludur.
- Sistem Yöneticileri: İlgili sistemlerde loglama ve izleme yapılandırmalarının doğru şekilde uygulanmasından sorumludur.
- IT Operasyon Ekibi: Logların yedeklenmesinden ve saklanmasından sorumludur.
Standartlar
- Loglanacak faaliyetler: Aşağıdaki sistem faaliyetleri için log kaydı tutulur:
- Kullanıcı giriş/çıkışları (başarılı ve başarısız denemeler)
- Yetki yükseltme denemeleri
- Sistem yapılandırma değişiklikleri
- Ağ bağlantıları ve trafiği
- Dosya erişimleri ve değişiklikleri
- Kritik uygulama işlemleri (veri aktarımı, silme vb.)
- Zaman senkronizasyonu: Tüm sistemlerin zaman senkronizasyonu merkezi bir NTP (Network Time Protocol) sunucusu üzerinden sağlanır; logların zaman damgalarının tutarlılığı bu şekilde güvence altına alınır.
- Log formatı ve detaylar: Loglar en az aşağıdaki bilgileri içerir:
- Zaman damgası
- Kullanıcı kimliği / IP adresi
- Olay tipi ve sonucu
- Etkilenen sistem veya servis
- Log kaynağı (sunucu adı vb.)
- Merkezi log toplama: Loglar, üretildikleri sistemin dışında merkezi bir log platformunda (syslog sunucusu veya SIEM) toplanır; böylece kaynak sistem ele geçirilse dahi log bütünlüğü korunur.
- Log saklama süresi: Kritik sistem logları en az 1 yıl, diğer sistem logları en az 6 ay süreyle güvenli şekilde saklanır. Loglar; erişimi kısıtlanmış, şifreli ve yalnızca yetkili kişilerce erişilebilir ortamlarda tutulur.
- İzleme (monitoring): Kritik sistemler ve ağ trafiği, gerçek zamanlı izleme sistemleri (SIEM) ile sürekli gözlemlenir. Güvenlik olayları için otomatik uyarı (alerting) mekanizmaları kurulur; tespit edilen olaylar GÜV.04 — İhlal Yönetimi standardına uygun olarak ele alınır.
- Log analizi ve denetim: Loglar düzenli aralıklarla (haftalık/aylık) analiz edilir ve olası anormallikler raporlanır. Log yönetimi süreci yılda en az bir kez iç denetime tabi tutulur.
- Güvenlik ve erişim: Loglara erişim yalnızca yetkili personele açıktır. Log dosyaları silinmeye ve değiştirilmeye karşı koruma altına alınır. Loglara yapılan erişimler ve işlemler de ayrıca kayıt altına alınır.