Які вимоги до логування (SIEM) для NIS2 та ISO 27001 і як це реалізувати?
Чому логування є критично важливимБільшість організацій впроваджують SIEM не тому, що цього вимагає аудитор, а тому, що без журналів подій практично неможливо виявити компрометацію, провести розслідування інциденту або довести відповідність вимогам регуляторів. Для NIS2, ISO/IEC 27001:2022, SOC 2, PCI DSS та багатьох інших стандартів логування є одним із ключових технічних контролів. Вимоги ISO 27001 до логуванняISO 27001 не встановлює конкретний перелік логів або термін їх зберігання, але вимагає:● ведення журналів подій безпеки;● моніторинг подій безпеки;● захист журналів від модифікації;● контроль доступу до логів;● синхронізацію часу на системах;● розслідування інцидентів на основі логів. Аудитор зазвичай перевіряє:● чи збираються журнали подій;● чи централізовано вони зберігаються;● чи є процес моніторингу;● чи створюються інциденти на основі критичних подій. Вимоги NIS2 до логуванняNIS2 прямо вимагає впровадження заходів для:● моніторингу мереж та інформаційних систем;● виявлення інцидентів;● реагування на кіберзагрози;● управління подіями безпеки;● збереження доказів під час розслідування. На практиці виконати ці вимоги без SIEM або MDR практично неможливо. Які джерела логів повинні бути підключені? Для середньої компанії мінімальний перелік виглядає так: Ідентифікація та доступActive DirectoryEntra ID (Azure AD)VPNMFAPAM-системи Кінцеві точкиEDR/XDRWindows EventsLinux SyslogmacOS Logs ПоштаMicrosoft 365ExchangeGoogle Workspace МережаFirewallNGFWIDS/IPSWAFDNS ХмараAWS CloudTrailAzure Activity LogsGCP Audit Logs Критичні бізнес-системиERPCRMфінансові системибази даних Як реалізувати SIEM Найпоширеніші рішення:Microsoft SentinelSplunk Enterprise SecurityIBM QRadarWazuhGoogle Security Operations Для SMB та середнього бізнесу сьогодні найчастіше розглядають Wazuh або Microsoft Sentinel.