ISO 27001’de Log Yönetimi ve İzleme Süreci Nasıl Kurulur?
Bilgi güvenliği olaylarının zamanında tespiti ve müdahalesi, sistemlerde tutulan log (kayıt) verilerinin etkinliğine bağlıdır.
ISO/IEC 27001:2022 standardı kapsamında loglama ve izleme, hem önleyici hem de olay sonrası iyileştirici faaliyetlerin temelini oluşturur.
“Log yoksa, denetim de yoktur.” Bu yaklaşım ISO 27001’in risk tabanlı denetim sisteminde kritik öneme sahiptir.
ISO 27001’de Log ve İzleme Süreci Hangi Maddelerde Geçer?
| Madde | Açıklama |
|---|---|
| A.5.28 | Olaylara müdahale sonrası gözden geçirme |
| A.8.16 | İzleme faaliyetleri ve sistem günlüklerinin yönetimi |
| A.8.23 | Kullanıcı erişim kayıtlarının izlenmesi |
| A.5.10 | Yetkilendirme ve kullanıcı yönetimi ile ilişkili loglama ihtiyacı |
Log Yönetimi Süreci Nasıl Kurulmalı?
1. Loglama Hangi Sistemlerde Zorunlu?
-
Ağ cihazları: Firewall, switch, router
-
Sunucular: Windows/Linux sunucular
-
Uygulamalar: Web servisleri, veritabanları
-
Erişim yönetimi: VPN, Active Directory, proxy
-
Antivirüs ve güvenlik yazılımları
-
Kritik dosya sistemleri ve kullanıcı aktiviteleri
2. Ne Tür Loglar Toplanmalı?
| Log Türü | Amaç |
|---|---|
| Kimlik doğrulama kayıtları | Erişim denetimi |
| Dosya erişim kayıtları | Yetkisiz veri erişiminin izlenmesi |
| Sistem değişiklik kayıtları | Konfigürasyon takibi |
| Ağ trafiği logları | Saldırı tespiti |
| Güvenlik duvarı olayları | Tehdit analizi |
| Kullanıcı aktiviteleri | Uyumluluk ve disiplin süreci |
3. Logların Saklanma ve Koruma Kuralları
-
En az 1 yıl süreyle saklanmalı (KVKK, e-Tuys, ISO 27001 beklentisi)
-
Değiştirilemez formatta tutulmalı (örn. WORM diskler, hash’li dosyalar)
-
Düzenli olarak yedeklenmeli ve erişim kontrol altına alınmalı
-
Logların silinmesi, üzerine yazılması veya değiştirilmesi engellenmeli
4. Log İzleme (Monitoring) Süreci
-
SIEM (Security Information and Event Management) yazılımları önerilir
-
Belirli tetikleyiciler için otomatik alarm kuralları tanımlanmalı
-
İzleme raporları düzenli olarak bilgi güvenliği ekibine gönderilmeli
-
Şüpheli olaylar için olay müdahale süreci başlatılmalı
Önerilen Belgeler
-
Loglama ve İzleme Politikası
-
Günlük Kayıt Saklama Prosedürü
-
Log Takip ve Analiz Formu
-
Olay Bildirim Formu
-
Log Denetim Raporu
-
Yetkili Log Erişim Listesi
Denetimlerde Sorulabilecek Sorular
| Soru | Beklenen Kanıt |
|---|---|
| Log politikası var mı? | Loglama prosedürü |
| Hangi sistemler loglanıyor? | Log listesi / diyagram |
| Kimler loglara erişebiliyor? | Yetkilendirme kayıtları |
| Loglar düzenli analiz ediliyor mu? | İzleme raporları |
| Olay tespiti sonrası müdahale nasıl yapılıyor? | Müdahale kayıtları |
YYS Danışmanlık ile Süreciniz Nasıl Kurulur?
-
Tüm log ve izleme süreçlerinin BGYS ile uyumlu tasarımı
-
Log politikası ve prosedürlerinin hazırlanması
-
Log kaynaklarının sınıflandırılması ve erişim kontrolünün yapılandırılması
-
Olay algılama ve alarm sistemlerinin yapılandırılması
-
Denetimlerde sorulan sorulara karşı delil niteliğindeki belgelerin hazırlanması
Sonuç:
Log yönetimi yalnızca teknik bir IT süreci değil, aynı zamanda BGYS’nin omurgasıdır.
Yetersiz loglama, hem iç denetimlerde hem de dış tetkiklerde sert bulgulara sebep olur. Bu yüzden log yönetimi, ISO 27001’in başarısı için kritik bir yapı taşıdır.