KVKK, GDPR, PCI, Basel II, HIPAA, SOX, NISPOM, CISP Açısından SIEM
BT Uyumluluğu tüm standartlar ve düzenlemeler için ortak hale getirilmemiştir. Her şeyi kapsayabilecek bir çözüm yoktur. Bununla birlikte, en iyi uygulama (best case) olarak kabul edilen bazı minimum güvenlik gereksinimleri vardır. Örnek:
- İşletmeniz için kritik öneme sahip olayları izleyin
- Herhangi bir işleminiz için veri ihlali olayı riskini değerlendirin
- Risk düzeyine bağlı olarak, olaylarınızdan hangilerinin en yüksek tehdit olarak kabul edildiğini tanımlayın
- Güvenlik tehditlerini nasıl ele alacağınızı tanımlayan bir süreç oluşturun
- Güvenlik olaylarının kayıtlarını tutun: ne oldu, tam olarak ne zaman oldu, nasıl çözüm sağlandı veya sağlanamadı ise nasıl ele alındı, vb.
Çoğu düzenleme ve standart, şirketlerin tüm logları kaydetmesini ve gerektiğinde uygun önlemleri alabilmeleri için bunları zamanında incelemesini gerektirir.
Düzenlemelerin çoğu, uyumluluğu sağlamak için SIEM yazılımının kullanılmasını açıkça zorunlu kılmasa da, SIEM, aynı anda birden fazla düzenlemenin güvenlik gereksinimlerini karşılamak için en iyi ve en uygun maliyetli çözüm olur.
Çeşitli kanunlar ve yönetmelikler, işletmelerin altı ay ile yedi yıl arasında değişen sürelerde log tutmasını şart koşmaktadır. Bazıları özel olarak sıcak kayıt süresini tanımladığı gibi (analiz için kolayca kullanılabilir) ), bazıları ise bu ayrımı yapmaz, ancak her iki durumda da sonuçların mümkün olduğu kadar hızlı alınması kritik önem taşıyor.
Aşağıda bu düzenlemelerden bazılarını ve gerekli süreleri bulabilirsiniz.
KVKK, logların 2 yıl tutulması gibi fiili bir durum var. Canlı loga değinmemekle birlikte ihlal bildirimlerinin 72 saat ve kanun kapsamında sorulan sorulara da 30 gün içerisinde cevap verilmesini şart koşuyor. 72 saat içerisinde bildirimde bulunmayan Facebook ve bir bankaya yüzbinlerce lira ceza verdi. Aşağıdaki makalede
PCI, tüm denetim log kayıtlarını en az bir yıl boyunca tutmayı ve son üç ayın günlüklerini analiz için hazır tutmayı (sıcak veriler) zorunlu kılıyor. Yani en az 90 gün canlı ve toplamda 1 yıl.
Basel II, logların 3 ila 7 yıl boyunca tutulmasını gerektirir.
Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (HIPAA) , logların 6 yıla kadar tutulmasını gerektirir.
Ulusal Endüstriyel Güvenlik Programı (NISPOM), logların en az bir yıl boyunca saklanmasını gerektirir.
Sarbanes-Oxley Yasası (SOX), denetim loglarının yedi (7) yıl boyunca tutulmasını gerektirir.
CISP, denetim loglarının en az altı ay süreyle saklanmasını gerektirir.
