Správa a řízení DNS v roce 2026: auditovatelná opatření registrátora
V pondělí v 07:42 ráno obdrží CISO fintechového scale-upu zprávu, kterou nechce vidět nikdo. Zákazníci se nemohou dostat do platebního portálu, helpdesk je zahlcen, e-mail nefunguje a SOC nenašel žádný malware, žádný výpadek firewallu ani žádný incident poskytovatele cloudových služeb.
Kořenová příčina je tišší a nepříjemnější. K účtu registrátora bylo přistoupeno pomocí zastaralých administrátorských přihlašovacích údajů, které zůstaly aktivní a sdílelo je několik bývalých pracovníků IT. Útočník změnil autoritativní jmenné servery, upravil MX záznamy, deaktivoval DNSSEC a přesměroval provoz na dostatečně dlouhou dobu k získání přihlašovacích údajů a narušení partnerských rozhraní API. Platební portál nebyl napaden v tradičním smyslu. Napaden byl kotevní bod důvěry společnosti: její doména.
V 09:30 se provozní krize změnila v krizi compliance. Řídicí orgán se ptá, zda byl povolen registry lock. Právní oddělení se ptá, zda došlo ke zpřístupnění osobních údajů. DPO se ptá, zda jde o porušení zabezpečení osobních údajů podle GDPR. Regulační orgán chce vědět, zda byla dotčena kritická nebo důležitá funkce. Auditor zákazníka žádá o tiket ke změně, kterým byla úprava DNS schválena.
Odpovědí je v příliš mnoha organizacích tabulka, sdílená poštovní schránka a konzole registrátora, kterou nikdo šest měsíců nepřezkoumal.
Správa a řízení DNS a doménových registrátorů již v roce 2026 není okrajovým infrastrukturním tématem. Je součástí odolnosti proti ransomwaru, prevence phishingu, dostupnosti cloudu, řízení rizik dodavatelů, reakce na incidenty, kontinuity činností a souladu založeného na důkazech. Pokud lze vaši doménu převzít, může zmizet i vaše SaaS platforma. Pokud lze vaše DNS záznamy změnit bez schválení, lze během několika minut oslabit zabezpečení e-mailu, SSO, TLS certifikáty, koncové body API i důvěru zákazníků.
Proč správa a řízení DNS a registrátora patří do ISMS
Doménové jméno není jen aktivem značky. Je to logické aktivum, závislost autentizace, závislost směrování a často služba spravovaná dodavatelem. Propojuje poskytovatele identit, autentizaci e-mailu, validaci TLS certifikátů, cloudové koncové body, zákaznické portály, rozhraní API, služby CDN, monitorovací sondy a komunikaci při incidentech.
Politika správy aktiv - SME společnosti Clarysec Politika správy aktiv - SME to ve svém rozsahu uvádí výslovně:
Digitální přihlašovací údaje a služby: doménová jména, digitální certifikáty, API klíče, e-mailové účty, cloudová přihlášení
Ze sekce „Rozsah“, ustanovení politiky 2.2.4.
Táž politika vyžaduje více než pouhé uvedení doménového jména:
Vlastnictví, účel, přístupová oprávnění a lhůty pro obnovení musí být dokumentovány.
Ze sekce „Požadavky na implementaci politiky“, ustanovení politiky 6.6.2.
Pro podniková prostředí zahrnuje Politika správy aktiv společnosti Clarysec Politika správy aktiv do rozsahu také logická aktiva:
Logická aktiva: doménová jména, licence, uživatelské účty, výchozí konfigurace
Ze sekce „Rozsah“, ustanovení politiky 2.2.5.
To je výchozí bod správy a řízení. Evidence DNS a registrátorů má dokumentovat:
- doménové jméno, registr, registrátora, poskytovatele DNS hostingu a autoritativní jmenné servery,
- vlastníka za obchodní oblast, technického vlastníka, vlastníka bezpečnosti a nouzového schvalovatele,
- účel, například produkční portál, API, e-mail, SSO, marketing, testovací prostředí nebo defensivní registraci,
- hodnocení kritičnosti a mapování závislostí na podnikové služby,
- stav DNSSEC, stav DS záznamu, vlastnictví klíčů a proces rotace klíčů,
- stav registry lock a registrar lock,
- model MFA a privilegovaného přístupu pro účty registrátora a poskytovatele DNS,
- datum obnovení, stav automatické obnovy, vlastníka plateb a upozornění na expiraci,
- požadavky na řízení změn pro úpravy zón a změny delegace,
- protokolování, upozorňování, monitorování a uchovávání důkazů.
Proto má být správa domén zahrnuta do rozsahu ISMS podle ISO/IEC 27001:2022 a do posouzení rizik. ISO/IEC 27001:2022 vyžaduje, aby organizace určily kontext, požadavky zainteresovaných stran, právní a smluvní povinnosti, rozhraní a závislosti s externími organizacemi. DNS závisí na registrátorech, registrech, poskytovatelích DNS hostingu, poskytovatelích cloudových služeb, certifikačních autoritách, MSP a někdy také na marketingových agenturách. Pokud jsou tato rozhraní z ISMS vyloučena, auditní stopa bude neúplná.
Model hrozeb DNS pro rok 2026
Nejzávažnější selhání DNS bývají často jednoduchá:
- Doména expiruje, protože nebylo jasné vlastnictví obnovy.
- Bývalá agentura má stále přístup k účtu registrátora.
- DNSSEC je povolen, ale DS záznamy jsou po migraci poskytovatele DNS chybné.
- Wildcard záznam směruje provoz na opuštěnou cloudovou službu.
- TXT záznam je změněn tak, aby ověřil SaaS tenant nebo požadavek na certifikát ovládaný útočníkem.
- MX záznamy jsou upraveny během phishingové kampaně nebo kampaně zaměřené na zachytávání e-mailů.
- CNAME na platformu třetí strany se stane zranitelným vůči převzetí.
- Registry lock existuje pro primární doménu, ale ne pro národní domény dostupné zákazníkům.
- SOC monitoruje koncové body, ale nikdo nemonitoruje změny souboru zóny.
Technická ochranná opatření jsou dobře známá. DNSSEC pomáhá chránit integritu DNS dat a autentizaci původu. Registry lock vyžaduje u vysoce rizikových změn na úrovni registru dodatečné ověření mimo hlavní komunikační kanál. Registrar lock snižuje riziko neoprávněného převodu. MFA a přezkum privilegovaných přístupů snižují pravděpodobnost převzetí účtu. Řízení změn brání neúmyslnému narušení. Monitorování detekuje neoprávněné nebo neočekávané změny.
Výzva v oblasti souladu je jiná: dokážete prokázat, že tato ochranná opatření existují, mají vlastníka, jsou přezkoumávána a fungují během incidentu?
Právě na této otázce důkazů mnoho organizací selhává.
Mapování správy a řízení DNS na ISO/IEC 27001:2022 a ISO/IEC 27002:2022
ISO/IEC 27001:2022 poskytuje strukturu systému řízení pro převod opatření DNS do opakovatelných, auditovatelných procesů. Příloha A ISO/IEC 27001:2022 a metodické pokyny k opatřením v ISO/IEC 27002:2022 poskytují jazyk opatření, který auditoři očekávají.
| Oblast správy a řízení DNS | Téma důkazů podle přílohy A ISO/IEC 27001:2022 a ISO/IEC 27002:2022 | Co auditoři očekávají |
|---|---|---|
| Evidence domén | 5.9 Evidence informací a dalších souvisejících aktiv | Registr domén s vlastníky, kritičností, daty obnovení, poskytovatelem DNS, registrátorem a závislostmi |
| Přístup k registrátorovi | 5.15 Řízení přístupu, 5.16 Správa identit, 5.18 Přístupová práva, 8.5 Bezpečná autentizace | Pojmenovaní uživatelé, důkazy MFA, záznamy o schválení, pravidelné přezkumy přístupových práv a proces nouzového přístupu |
| DNSSEC | 8.24 Používání kryptografie | Stav DNSSEC, DS záznamy, úschova klíčů, plán rotace a monitorování validace |
| Registry lock a registrar lock | 5.15 Řízení přístupu, 8.20 Zabezpečení sítí, 8.21 Zabezpečení síťových služeb, 8.32 Řízení změn | Stav zámku, postup odemčení, autorizované kontakty a proces ověření mimo hlavní komunikační kanál |
| Řízení změn zóny | 8.9 Řízení konfigurace, 8.32 Řízení změn | Tikety změn, posouzení rizik, schválení, důkazy o implementaci a plán návratu do původního stavu |
| Správa poskytovatele DNS | 5.19 Bezpečnost informací ve vztazích s dodavateli, 5.20 Řešení bezpečnosti informací ve smlouvách s dodavateli, 5.22 Monitorování, přezkum a řízení změn dodavatelských služeb | Smluvní doložky, SLA, bezpečnostní odpovědnosti, přezkumy služeb a očekávání ohledně oznamování incidentů |
| Protokolování a monitorování DNS | 8.15 Protokolování, 8.16 Monitorovací činnosti | Logy, upozornění, příjem do SIEM, uchovávání a důkazy o testování upozornění |
| Reakce na výpadek DNS | 5.24 Plánování a příprava řízení incidentů informační bezpečnosti, 5.29 Bezpečnost informací během narušení, 5.30 Připravenost ICT pro kontinuitu činností | Runbooky, eskalační seznam, postupy obnovy a poznatky získané po incidentu |
Zenith Blueprint: 30krokový plán auditora společnosti Clarysec Zenith Blueprint považuje síťové služby za výslovné objekty auditu. Ve fázi Opatření v praxi, krok 20, ukládá týmům ověřit zabezpečení síťových služeb:
Sepište všechny interní a externí síťové služby (DNS, VPN, SMTP, DHCP, brány API, apod.).
✓ U každé potvrďte, že používá zabezpečené protokoly (např. DNSSEC, TLS 1.2+, SSH místo Telnet). ✓ Přezkoumejte, jak je řízen přístup ke každé službě (např. seznamy povolených IP adres, autentizace, certifikáty). ✓ Pokud jsou spravovány třetími stranami (např. DNS, SD-WAN, hostovaná VPN), přezkoumejte bezpečnostní doložky v SLA nebo smlouvě s dodavatelem. Aktualizujte registr služeb a uveďte, kde leží bezpečnostní odpovědnosti, zda interně nebo externě.
Z fáze Opatření v praxi, krok 20: opatření 8.18 až 8.26.
To poskytuje praktickou auditní cestu: zacházejte s DNS jako s externí síťovou službou, dokumentujte, jak je zabezpečena, a zaznamenejte, zda odpovědnost leží interně, u registrátora, u poskytovatele DNS nebo u MSP.
Zenith Controls: průvodce napříč rámci souladu společnosti Clarysec Zenith Controls je užitečný, protože správa a řízení DNS se jen zřídka mapuje pouze na jeden rámec. Stejné rozhodnutí o DNSSEC nebo registry lock podporuje důkazy pro ISO/IEC 27001:2022, NIS2, DORA, GDPR, NIST CSF 2.0 a COBIT 2019.
Pro monitorování dodavatelů mapuje Zenith Controls opatření ISO/IEC 27002:2022 5.22, Monitorování, přezkum a řízení změn dodavatelských služeb, jako preventivní opatření podporující důvěrnost, integritu a dostupnost. Pro DNS to znamená, že váš registrátor a poskytovatel DNS nejsou dodavatelé typu „nastavit a zapomenout“. Jejich bezpečnostní stav, změny služeb, výpadky, dílčí zpracovatelé a oznamovací postupy musí být přezkoumávány.
Pro DNSSEC a kryptografickou integritu mapuje Zenith Controls opatření ISO/IEC 27002:2022 8.24, Používání kryptografie, jako preventivní opatření sladěné s bezpečnou konfigurací. DNSSEC není šifrování DNS provozu, ale poskytuje kryptografické ujištění integrity DNS dat a autentizace původu.
Pro úpravy DNS zóny mapuje Zenith Controls opatření ISO/IEC 27002:2022 8.32, Řízení změn, jako preventivní opatření podporující důvěrnost, integritu a dostupnost. Změna DNS je konfigurační změna. Aktualizace DS záznamu, změna MX záznamu, migrace CNAME, aktualizace SPF nebo DMARC, přepnutí CDN nebo změna delegace jmenných serverů má mít tiket, posouzení rizik, schválení, výsledek testu a plán návratu do původního stavu.
DNSSEC, registry lock a správa klíčů pro kritické domény
Ne každá doména má stejné riziko. Defensivní doména používaná pouze k prevenci vydávání se za jinou osobu může potřebovat monitorování a disciplínu při obnově. Primární doména zákaznického portálu vyžaduje nejsilnější dostupná opatření.
Pro kritické domény Clarysec obvykle doporučuje tento základní soubor opatření:
- DNSSEC povolený a validovaný tam, kde jej podporuje registr, registrátor a poskytovatel DNS,
- DS záznamy přezkoumané po každé migraci poskytovatele DNS,
- dokumentovaný proces rotace KSK a ZSK tam, kde jsou klíče spravovány zákazníkem,
- registry lock povolený pro primární produkční domény, domény identity, API, plateb a e-mailu,
- registrar lock povolený pro všechny domény, pokud není dokumentována dočasná výjimka,
- MFA vynucená pro všechny uživatele registrátora a poskytovatele DNS,
- privilegovaní uživatelé omezení, pojmenovaní, schválení a přezkoumávaní,
- nouzový přístup „break-glass“ dokumentovaný a testovaný,
- monitorování souboru zóny s upozorněními na změny NS, DS, DNSKEY, MX, TXT, A, AAAA, CNAME, CAA a wildcard záznamů,
- externí monitorování z více resolverů a regionů,
- důkazy uchovávané v repozitáři ISMS.
Podniková Politika kryptografických opatření společnosti Clarysec Politika kryptografických opatření poskytuje řídicí vazbu pro klíče DNSSEC:
Musí být veden centralizovaný registr správy klíčů, který zaznamenává všechny kryptografické klíče, stav jejich životního cyklu, přiřazené správce aktiv a kontexty používání.
Ze sekce „Požadavky na správu a řízení“, ustanovení politiky 5.2.
Pokud vaše organizace spravuje klíče DNSSEC přímo nebo řídí zveřejnění DS záznamu u registrátora, registr správy klíčů má dokumentovat úschovu klíčů, stav životního cyklu, data rotace a schvalovací pravomoc. Pokud klíče DNSSEC spravuje poskytovatel DNS, záznam dodavatele má tuto odpovědnost vysvětlit a obsahovat důkazy o zajištění.
Správa přístupu k registrátorovi: MFA, zásada minimálních oprávnění a nouzové řízení
Účty registrátora jsou často vytvořeny na začátku života společnosti a poté zapomenuty, když společnost vyspěje. Zakladatelé, agentury, vývojáři, finanční pracovníci a MSP mohou mít historický přístup. Jde o závažnou slabinu bezpečnostních opatření.
Politika správy uživatelských účtů a oprávnění - SME společnosti Clarysec Politika správy uživatelských účtů a oprávnění - SME stanoví:
Zvýšená nebo administrátorská oprávnění vyžadují dodatečné schválení generálním ředitelem nebo vedoucím IT a musí být dokumentována, časově omezená a podléhat pravidelnému přezkumu.
Ze sekce „Požadavky na implementaci politiky“, ustanovení politiky 6.2.2.
Uplatněte to doslova na přístup k registrátorovi a poskytovateli DNS:
- žádné sdílené administrátorské účty registrátora,
- MFA pro každého uživatele, přednostně odolná vůči phishingu, pokud je podporována,
- pojmenované nouzové kontakty s dokumentovanou pravomocí,
- oddělení fakturačních uživatelů od technických správců, pokud je to možné,
- okamžité odebrání přístupu bývalým zaměstnancům, agenturám a dodavatelům,
- čtvrtletní přezkum privilegovaných přístupů u kritických domén,
- výjimky zaznamenané s daty expirace,
- testované postupy nouzového odemčení a obnovy, které nevytvářejí nebezpečné produkční změny.
Důkazy o registry lock mají zahrnovat snímky obrazovky nebo potvrzení registrátora prokazující povolený stav, autorizované kontakty, proces odemčení a datum posledního přezkumu.
Řízení změn zón: malé úpravy DNS, velký dopad na podnikání
Změny DNS vypadají klamně malé. TXT záznam může ověřit vlastnictví SaaS platformy. CNAME může přesměrovat zákazníky do nového prostředí. MX záznam může přesměrovat poštu. CAA záznam může ovlivnit vydávání certifikátů. Nesprávný DS záznam může způsobit selhání validace podepsané domény.
Politika řízení změn - SME společnosti Clarysec Politika řízení změn - SME stanoví:
Všechny změny musí být podány jako požadavek na změnu (e-mail, formulář nebo helpdeskový tiket).
Ze sekce „Požadavky na správu a řízení“, ustanovení politiky 5.1.1.
U podnikových klientů zvyšuje Politika řízení změn společnosti Clarysec Politika řízení změn očekávání ohledně důkazů:
Všechny požadavky na změnu, přezkumy, schválení a podpůrné důkazy musí být zaznamenány v centralizovaném systému řízení změn.
Ze sekce „Požadavky na implementaci politiky“, ustanovení politiky 6.1.1.
Zenith Blueprint to potvrzuje ve fázi Opatření v praxi, krok 21:
Vyberte 2–3 nedávné systémové nebo konfigurační změny a ověřte, zda byly zpracovány prostřednictvím vašeho formálního pracovního postupu řízení změn.
✓ Byla posouzena rizika? ✓ Byla schválení dokumentována? ✓ Byl zahrnut plán vrácení změn?
Ověřte, že změny byly implementovány podle plánu a že byly zaznamenány všechny incidenty nebo neočekávané dopady. Přezkoumejte logy, rozdíly ve správě verzí nebo auditní stopy z nástrojů, jako jsou ServiceNow, Jira nebo Git. Zachyťte tento proces v souhrnném logu záznamů změn pro auditní účely.
Z fáze Opatření v praxi, krok 21: opatření 8.27 až 8.34.
Tiket změny specifický pro DNS má obsahovat dotčenou doménu a zónu, typ záznamu, hodnoty před změnou a po změně, obchodní důvod, posouzení rizik, implementační okno, schvalovatele, implementátora, ověřovatele, kontroly propagace DNS, validaci DNSSEC, plán návratu do původního stavu, monitorování po změně a exportované důkazy.
Auditní princip je jednoduchý: změny DNS musí být dohledatelné od žádosti přes schválení a implementaci až po ověření.
Monitorování a protokolování: detekujte změnu DNS dříve než zákazníci
Silný program správy a řízení DNS předpokládá, že prevence může selhat. Monitorování musí detekovat neočekávanou změnu dostatečně rychle, aby podpořilo reakci na incidenty.
Politika zabezpečení sítí - SME společnosti Clarysec Politika zabezpečení sítí - SME je explicitní:
Protokolování DNS musí být povoleno, aby podporovalo vyhledávání hrozeb a reakci na incidenty
Ze sekce „Požadavky na implementaci politiky“, ustanovení politiky 6.6.3.
Podniková Politika protokolování a monitorování Politika protokolování a monitorování vychází ze stejného provozního očekávání:
Všechny pokryté systémy musí generovat logy zachycující:
Ze sekce „Požadavky na implementaci politiky“, ustanovení politiky 6.1.1.
Pro správu a řízení DNS a registrátora mají pokryté systémy zahrnovat portály registrátora, konzole DNS hostingu, správu DNS založenou na API, CI/CD pipeline nasazující DNS jako kód, upozornění SIEM a externí monitorovací nástroje.
| Událost | Proč je důležitá | Minimální důkaz |
|---|---|---|
| Změna NS záznamu | Může přesměrovat celou doménu na DNS ovládané útočníkem | Upozornění, tiket, schvalovatel a hodnoty před/po změně |
| Změna DS nebo DNSKEY | Může narušit validaci DNSSEC nebo umožnit útoky na integritu | Zpráva o validaci DNSSEC a záznam změny |
| Změna MX | Může přesměrovat e-mail a podpořit phishing nebo zachytávání dat | Upozornění, test toku pošty a schválení |
| Změna TXT | Může ověřit vlastnictví SaaS, autentizaci e-mailu nebo vydání certifikátu | Tiket změny, žadatel a obchodní odůvodnění |
| Změna CAA | Může ovlivnit kontrolní mechanismy vydávání certifikátů | Přezkum správy certifikátů |
| Přidání wildcard záznamu | Může vytvořit široké směrování nebo riziko převzetí | Posouzení rizik a schválení |
| Přihlášení k registrátorovi z neobvyklé lokality | Indikuje riziko kompromitace účtu | Upozornění SIEM a poznámka z vyšetřování |
| Žádost o odemčení registry lock | Vysoce riziková změna vyžadující eskalaci | Nouzové schválení a přezkum po provedení |
Monitorování má být integrováno do reakce na incidenty. Upozornění DNS, které nemá vlastníka, hodnocení závažnosti ani runbook, je pouze šum.
NIS2, DORA a GDPR: správa a řízení DNS jako regulační důkazy
NIS2 Article 21 vyžaduje vhodná a přiměřená technická, provozní a organizační opatření pro řízení rizik pro síťové a informační systémy a minimalizaci dopadu incidentů. Správa a řízení DNS se přirozeně mapuje na správu aktiv, řízení přístupu, kryptografii, zabezpečení dodavatelského řetězce, zvládání incidentů, kontinuitu činností a posouzení účinnosti.
NIS2 Article 20 také činí z kybernetické bezpečnosti odpovědnost řídicího orgánu. Řídicí orgány nemusí schvalovat každý TXT záznam, ale mají rozumět tomu, zda jsou kritické domény chráněny pomocí DNSSEC, registry lock, MFA, monitorování a testované obnovy. Pro významné incidenty zavádí NIS2 Article 23 fázované oznamování, včetně včasného varování do 24 hodin, oznámení incidentu do 72 hodin a závěrečné zprávy nejpozději jeden měsíc po oznámení incidentu.
Pro regulované finanční subjekty se DORA použije od 17. ledna 2025 a v oblastech překryvu s NIS2 funguje jako sektorový rámec odolnosti ICT. DNS často podporuje kritické nebo důležité funkce, jako jsou platební aplikace, mobilní bankovnictví, obchodní portály, zákaznická identita, systémy prevence podvodů, brány API a integrace třetích stran. Důkazy podle DORA mají ukazovat mapování závislostí ICT aktiv, klasifikaci incidentů, testování odolnosti, řízení rizik třetích stran a plánování obnovy pro scénáře selhání DNS a registrátora.
Incident DNS není automaticky porušením zabezpečení osobních údajů podle GDPR. Může se jím stát, pokud jsou uživatelé přesměrováni na phishingový web, jsou získány přihlašovací údaje, e-mail obsahující osobní údaje je přesměrován, provoz do systémů zpracovávajících osobní údaje je zachycen nebo je podstatně ovlivněna dostupnost osobních údajů. GDPR Article 5 vyžaduje integritu, důvěrnost a odpovědnost. Article 32 vyžaduje přiměřená bezpečnostní opatření pro zpracování. Správa a řízení DNS poskytuje důkazy, že směrování domén a služby závislé na DNS jsou chráněny přiměřenými technickými a organizačními opatřeními.
| Kontrolní opatření | Příloha A ISO/IEC 27001:2022 a ISO/IEC 27002:2022 | NIS2 | DORA | GDPR |
|---|---|---|---|---|
| Evidence doménových aktiv | 5.9 Evidence informací a dalších souvisejících aktiv | Article 21(2)(i) | Article 8 | Articles 5 and 32 |
| Registrátor jako dodavatel | 5.19, 5.20, 5.22 | Article 21(2)(d) | Chapter V | Article 28 and Article 32 |
| Řízení přístupu k registrátorovi a MFA | 5.15, 5.16, 5.18, 8.5 | Article 21(2)(i) and 21(2)(j) | Article 9 | Article 32 |
| Registry lock a registrar lock | 5.15, 8.20, 8.21, 8.32 | Article 21(2)(a) and 21(2)(e) | Articles 9, 10 and 11 | Article 32 |
| Řízení změn DNS zóny | 8.9, 8.32 | Article 21(2)(a) and 21(2)(e) | Articles 9, 10 and 11 | Articles 5 and 32 |
| Implementace DNSSEC | 8.24 Používání kryptografie | Article 21(2)(h) | Articles 9 and 10 | Article 32 |
| Protokolování a monitorování DNS | 8.15 Protokolování, 8.16 Monitorovací činnosti | Article 21(2)(a), 21(2)(b) and 21(2)(f) | Articles 10 and 17 | Articles 5, 32 and 33 |
Vybudujte balíček důkazů DNS za jeden týden
Praktický plán nápravy správy a řízení DNS lze dokončit rychle, pokud je řízen důkazy.
Den 1: Vytvořte registr domén a služeb DNS
Začněte požadavkem Politiky správy aktiv - SME na dokumentování vlastnictví, účelu, přístupových oprávnění a lhůt pro obnovení.
| Pole | Příklad |
|---|---|
| Doména | example.com |
| Obchodní účel | Zákaznický portál, API, e-mail |
| Kritičnost | Kritická |
| Registrátor | Registrátor A |
| Registry lock | Povoleno |
| Registrar lock | Povoleno |
| Poskytovatel DNS | Spravovaný poskytovatel DNS B |
| DNSSEC | Povoleno, DS publikován |
| Vlastník | Vedoucí platformy |
| Vlastník bezpečnosti | CISO |
| Datum obnovení | 2027-04-12 |
| Monitorování | Upozornění SIEM plus externí monitor DNS |
| Pracovní postup změn | Typ změny DNS v Jira |
| Datum přezkumu dodavatele | 2026-03-15 |
Den 2: Přezkoumejte přístup a oprávnění
Exportujte uživatele registrátora a poskytovatele DNS. Odstraňte neplatné účty, které zůstaly aktivní. Vynuťte MFA. Identifikujte správce. Zaznamenejte důkazy o schválení pro privilegované uživatele a dokumentujte nouzový přístup.
Den 3: Ověřte DNSSEC a zámky
U každé kritické domény ověřte validaci řetězce DNSSEC, přesnost DS záznamu, viditelnost DNSKEY, registrar lock a registry lock. Pokud je DNSSEC spravován poskytovatelem, dokumentujte odpovědnost poskytovatele. Pokud je spravován zákazníkem, přidejte klíče DNSSEC a správce aktiv do registru správy klíčů.
Den 4: Převeďte změny DNS na formální záznamy změn
Vyberte poslední tři změny DNS a otestujte je podle kritérií kroku 21 Zenith Blueprint: posouzené riziko, dokumentované schválení, zahrnutý plán návratu do původního stavu, implementace podle plánu a zaznamenaný neočekávaný dopad. Vytvořte souhrnný log záznamů změn.
Den 5: Propojte monitorování s reakcí na incidenty
Potvrďte logy a upozornění pro přihlášení k registrátorovi, změny zón, změny DNSSEC, změny NS, změny MX, změny TXT, změny CAA a oznámení poskytovatele. Odešlete testovací upozornění SOC nebo vlastníkovi IT. Připojte důkazy do repozitáře ISMS.
Den 6: Přezkoumejte povinnosti dodavatelů
Použijte pokyny Zenith Blueprint v kroku 23 pro postupy změn a monitorování dodavatelů:
Zaveďte jednoduchý, škálovatelný postup pro posuzování změn dodavatelských služeb (5.21), například migrace do cloudu, nových dílčích zpracovatelů nebo přepracování infrastruktury. Definujte spouštěče, které vyžadují opětovné posouzení bezpečnosti. Poté zaveďte opakovanou kadenci monitorování dodavatelů (5.22), přiřaďte vlastníky kritickým dodavatelům a zajistěte, aby výkonnost, soulad a rizika byly přezkoumávány alespoň jednou ročně.
Z fáze Opatření v praxi, krok 23: organizační opatření 5.19 až 5.37.
Podniková Bezpečnostní politika dodavatelů a poskytovatelů služeb třetích stran společnosti Clarysec Bezpečnostní politika dodavatelů a poskytovatelů služeb třetích stran poskytuje smluvní oporu:
Smlouvy s dodavateli musí obsahovat:
Ze sekce „Požadavky na správu a řízení“, ustanovení politiky 5.3.
| Smluvní téma | Požadavek specifický pro DNS |
|---|---|
| Bezpečnostní odpovědnosti | Kdo spravuje DNSSEC, zámky, logy, přístup, zálohy a schvalování změn |
| Oznámení incidentu | Lhůty a kanály pro kompromitaci registrátora, výpadek DNS nebo neoprávněnou změnu |
| Eskalace podpory | Nouzová cesta 24/7 pro kritické domény |
| Oznámení změny | Předchozí oznámení migrací platformy, změn API a změn dílčích zpracovatelů |
| Důkazy | Logy přístupu, historie změn, stav zámku, stav DNSSEC a reporty dostupnosti |
| Ukončení | Postup převodu domény, exportu zóny, migrace DNSSEC a odstranění zámku |
Den 7: Proveďte stolní cvičení
Simulujte neoprávněnou změnu NS záznamu. Tým ji musí detekovat, klasifikovat, eskalovat, kontaktovat registrátora, v případě potřeby vyvolat postupy registry lock, obnovit správnou delegaci, validovat DNSSEC, informovat zainteresované strany, posoudit dopad podle GDPR a rozhodnout, zda jsou splněny prahové hodnoty pro hlášení podle NIS2 nebo DORA. Zachyťte získané poznatky a aktualizujte postupy.
Auditní otázky, běžná zjištění a metriky pro řídicí orgány
Audit správy a řízení DNS se jen zřídka provádí pouze jednou optikou.
| Pohled auditora | Pravděpodobná auditní otázka | Silné důkazy |
|---|---|---|
| Auditor ISO/IEC 27001:2022 | Jsou domény zahrnuty do rozsahu, posouzeny z hlediska rizik, mají vlastníky, jsou řízeny, monitorovány a zahrnuty do správy dodavatelů? | Rozsah ISMS, registr rizik, registr aktiv, Prohlášení o použitelnosti, tikety změn, přezkumy dodavatelů a logy |
| Hodnotitel NIST CSF 2.0 | Jsou rizika DNS řízena, identifikována, chráněna, detekována, řešena a obnovována? | Aktuální a cílový profil, plán odstranění mezer, evidence aktiv, řízení přístupu, monitorovací upozornění a záznamy obnovy |
| Přezkoumávající podle DORA | Podporuje DNS kritické nebo důležité funkce a je tato závislost řízena, testována a obnovitelná? | Mapa závislostí ICT aktiv, plán testování odolnosti, proces klasifikace incidentů, registr třetích stran a důkazy obnovy |
| Přezkoumávající podle GDPR | Mohl by incident DNS ovlivnit osobní údaje a může organizace doložit přiměřené zabezpečení? | Důkazy podle Article 32, posouzení incidentu, dohled nad zpracovatelem, řízení přístupu, záznamy změn a monitorování |
| Auditor COBIT 2019 nebo ISACA | Jsou cíle správy a řízení související s doménami převedeny do řízených procesů s vlastnictvím, metrikami a ujištěním? | RACI, cíle procesů, KPI, KRI, přezkumy výkonnosti dodavatelů, reportování vedení a sledování nápravných opatření |
Nejběžnější zjištění jsou předvídatelná.
| Zjištění | Riziko | Náprava podle Clarysec |
|---|---|---|
| Domény chybí v registru aktiv | Expirace, nejasné vlastnictví a neúplné posouzení rizik | Přidejte domény do Registru aktiv s vlastníkem, účelem, kritičností, obnovou a závislostmi |
| Sdílený administrátorský účet registrátora | Žádná odpovědnost a slabé forenzní šetření incidentu | Přejděte na pojmenované uživatele, MFA, zásadu minimálních oprávnění a čtvrtletní přezkumy |
| Chybí registry lock u kritické domény | Neoprávněná delegace nebo převod s vysokým dopadem | Povolte registry lock a dokumentujte postup nouzového odemčení |
| DNSSEC povolen jen částečně | Selhání validace nebo falešné ujištění | Validujte řetězec, DS záznamy, vlastnictví klíčů a plán rotace |
| Změny DNS provedené mimo tikety | Výpadek, chybné směrování a selhání auditu | Vyžadujte formální typ změny DNS se schválením a plánem návratu do původního stavu |
| Chybí upozorňování na změny NS nebo MX | Pomalá detekce převzetí nebo přesměrování pošty | Integrujte monitorování DNS se SIEM a eskalačním runbookem |
| Registrátor není přezkoumáván jako dodavatel | Mezery ve smlouvě a reakci na incidenty | Zařaďte registrátora a poskytovatele DNS do kadence monitorování dodavatelů |
| Chybí incidentní postup | Opožděná obnova a nejistota v hlášení | Vytvořte runbooky pro převzetí DNS a výpadek DNS a poté je otestujte stolním cvičením |
Řídicí orgány a manažerské týmy potřebují metriky DNS vyjádřené jazykem odolnosti. Užitečné ukazatele zahrnují procento kritických domén s povoleným a validovaným DNSSEC, procento s registry lock, počet správců registrátora, procento privilegovaných uživatelů přezkoumaných v posledním čtvrtletí, počet změn DNS implementovaných bez formálních tiketů, průměrnou dobu do detekce neoprávněné změny DNS, průměrnou dobu do obnovení správné konfigurace DNS, domény expirující do 90 dnů, dokončené přezkumy dodavatelů a nevyřešená upozornění z monitorování DNS.
Proměňte DNS ze skrytého rizika v důkazy připravené na audit
Pokud vaše organizace v posledních šesti měsících nepřezkoumala správu a řízení domén a DNS, předpokládejte odchylky. Začněte kritickými produkčními doménami a poté rozšiřte rozsah na regionální domény, defensivní domény, testovací domény, domény z akvizic a domény spravované agenturami nebo dceřinými společnostmi.
Clarysec vám může pomoci přejít od roztříštěných snímků obrazovky z registrátora ke strukturovanému balíčku důkazů pomocí:
- Zenith Blueprint: 30krokový plán auditora Zenith Blueprint pro postupné ověřování síťových služeb, řízení změn, protokolování, monitorování a opatření dodavatelů,
- Zenith Controls: průvodce napříč rámci souladu Zenith Controls pro mapování DNSSEC, registry lock, monitorování dodavatelů a správy změn zón napříč optikami ISO/IEC 27001:2022, NIS2, DORA, GDPR, NIST a COBIT 2019,
- šablon politik Clarysec, včetně Politiky správy aktiv - SME, Politiky řízení změn - SME, Politiky správy uživatelských účtů a oprávnění - SME, Politiky zabezpečení sítí - SME, Politiky správy aktiv, Politiky řízení změn, Politiky protokolování a monitorování, Politiky kryptografických opatření a Bezpečnostní politiky dodavatelů a poskytovatelů služeb třetích stran.
Vaše doména je vstupními dveřmi k vašemu digitálnímu podnikání. V roce 2026 budou auditoři, regulační orgány, zákazníci a řídicí orgány očekávat, že prokážete, že tyto dveře jsou zamčené, monitorované, obnovitelné a řízené.
Stáhněte si sadu nástrojů Clarysec, proveďte týdenní cvičení balíčku důkazů DNS nebo si objednejte posouzení Clarysec, abyste správu a řízení DNS a registrátora proměnili v důkazy připravené na audit dříve, než nastane vaše vlastní pondělní ranní krize.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
