⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →
CS EN BG DA DE EL ES ET FI FR GA HR HU IT LT LV MT NL PL PT RO SK SL SV
NIS2 DORA GDPR NIST COBIT 2019

Důkazy z protokolování podle ISO 27001 pro NIS2, DORA a GDPR

Igor Petreski
15 min read
#Protokolování a monitorování #Audit #ISMS #Reakce na incidenty #Ochrana údajů #SOC #Řízení dodavatelů
Mapa důkazů z protokolování podle ISO 27001 pro audity NIS2 DORA GDPR

Upozornění dorazilo do kanálu SOC v úterý ve 2:17 ráno: několik neúspěšných pokusů o přihlášení privilegovaného uživatele admin z nové IP adresy. Pokusy po několika minutách ustaly. Mladší analytik upozornění zaznamenal, předpokládal chybnou konfiguraci skriptu nebo administrátora pracujícího pozdě v noci a pokračoval dál.

O dva dny později byla Maria, CISO rychle rostoucí fintech společnosti, na poradě vedení, když jí zavibroval telefon. Vývojový tým zjistil neobvykle vysoké využití CPU na instanci produkční databáze. Byl vytvořen nový neoprávněný uživatelský účet. Upozornění ve 2:17 ráno nebylo falešně pozitivním nálezem. Byl to první viditelný signál pokusu o průnik.

Incident se podařilo zadržet, ale vyšetřování odhalilo větší problém. Logy firewallu byly v jednom systému. Logy Kubernetes v jiném. Auditní logy databáze byly uloženy samostatně. Několik časových razítek se rozcházelo o minuty. Tým měl data, ale nedokázal rychle sestavit obhajitelný příběh o detekci, přezkumu, eskalaci, zadržení incidentu a posouzení porušení zabezpečení.

Dohledový audit ISO/IEC 27001:2022 u Mariiny organizace skončil úspěšně, auditor však zanechal jedno upozornění: organizace má zavedena opatření pro protokolování a monitorování, ale měla by potíže včas předložit korelované důkazy pro rozhodnutí o oznamování podle NIS2, DORA a GDPR.

To je realita, které v roce 2026 čelí mnoho organizací. Nemají problém s protokolováním. Mají problém s důkazy.

SIEM, platforma EDR, cloudová auditní stopa ani log firewallu samy o sobě nejsou důkazem připraveným pro audit. Důkaz je obhajitelný teprve tehdy, když se řídí politikou, je chráněn proti manipulaci, přezkoumáván ve stanovené periodicitě, propojen s rozhodnutími o incidentech a uchováván dostatečně dlouho pro rekonstrukci událostí.

U ISO/IEC 27001:2022, NIS2, DORA a GDPR již hlavní otázka nezní: „Sbíráme logy?“ Otázka zní: „Dokážeme doložit, co se stalo, kdo to přezkoumal, jak to bylo klasifikováno, zda vznikla oznamovací povinnost a zda nad tím mělo vedení dohled?“

Proč se protokolování a monitorování stalo otázkou důkazů o souladu

NIS2, DORA a GDPR změnily obchodní význam bezpečnostních logů.

Podle NIS2 musí základní a významné subjekty zavést vhodná a přiměřená opatření pro řízení kybernetických rizik. Article 21 zahrnuje zvládání incidentů, kontinuitu činností, zabezpečení dodavatelského řetězce, bezpečný vývoj, posuzování účinnosti, kybernetickou hygienu, kryptografii, bezpečnost lidských zdrojů, řízení přístupu, správu aktiv, MFA a bezpečnou komunikaci. Article 23 zavádí stupňovaný model oznamování, včetně včasného varování do 24 hodin, oznámení incidentu do 72 hodin, průběžných aktualizací tam, kde jsou relevantní, a závěrečné zprávy nejpozději do jednoho měsíce po oznámení incidentu.

Tento model závisí na protokolování a monitorování. Nelze odeslat věrohodné včasné varování, pokud nedokážete ukázat, kdy byla událost detekována. Nelze klasifikovat významný incident, pokud nedokážete rekonstruovat dotčené systémy, aktivitu uživatelů, dopad na službu a opatření k zadržení incidentu.

DORA vytváří podobný tlak na finanční subjekty. Articles 5 to 14 stanovují očekávání v oblasti správy a řízení a řízení rizik v oblasti ICT, včetně odpovědnosti řídicího orgánu, identifikace ICT aktiv, ochrany a prevence, detekce, reakce a obnovy, zálohování, obnovení, učení se z událostí a komunikace. Articles 17 to 23 vyžadují proces řízení incidentů souvisejících s ICT, který zahrnuje detekci, zaznamenání, klasifikaci, eskalaci, oznámení a následné kroky. Articles 24 to 27 se věnují testování digitální provozní odolnosti. Articles 28 to 31 zakládají povinnosti řízení rizik třetích stran v oblasti ICT.

GDPR přidává vrstvu odpovědnosti za ochranu soukromí. Article 32 vyžaduje odpovídající zabezpečení zpracování. Article 33 vyžaduje oznámení porušení zabezpečení osobních údajů dozorovému úřadu bez zbytečného odkladu a, je-li to proveditelné, nejpozději do 72 hodin poté, co se o něm správce dozvěděl, pokud není nepravděpodobné, že porušení povede k riziku pro fyzické osoby. Article 34 může vyžadovat informování dotčených subjektů údajů, pokud je riziko vysoké. Logy pomáhají určit, zda byly osobní údaje zpřístupněny, změněny, exfiltrovány nebo vystaveny, ale logy mohou samy obsahovat osobní údaje a musí být podle toho řízeny.

ISO/IEC 27001:2022 poskytuje páteř systému řízení. Clauses 4.1 to 4.4 vyžadují, aby organizace porozuměla kontextu, zainteresovaným stranám, požadavkům a rozsahu ISMS. Clauses 5.1 to 5.3 vyžadují vedení, sladění politik, role, odpovědnosti a pravomoci. Clauses 6.1.1 to 6.1.3 vyžadují opakovatelný proces posouzení rizik a ošetření rizik, včetně kritérií rizik, vlastníků rizik, možností ošetření, porovnání s opatřeními Annex A, Prohlášení o použitelnosti a přijetí zbytkového rizika. Clause 6.2 vyžaduje měřitelné cíle bezpečnosti informací.

Proto důkazy z protokolování a monitorování nemohou zůstávat pouze uvnitř SOC. Patří do ISMS, registru rizik, Prohlášení o použitelnosti, procesu reakce na incidenty, pracovního postupu pro porušení ochrany osobních údajů, řízení dodavatelů a reportingu vedení.

Opatření ISO 27001 pro protokolování, která auditoři propojují jako první

V Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint fáze Controls in Action, Step 19: Technological Controls I, pracuje s protokolováním, monitorováním a synchronizací času jako s jedním důkazním řetězcem.

A.8.15 – Protokolování: „Logy zaznamenávající aktivity, výjimky, poruchy a další relevantní události
mají být vytvářeny, ukládány, chráněny a analyzovány.“

A.8.16 – Monitorovací činnosti: „Sítě, systémy a aplikace mají být monitorovány za účelem zjištění
anomálního chování a mají být přijímána vhodná opatření k vyhodnocení potenciálních incidentů
informační bezpečnosti.“

A.8.17 – Synchronizace času: „Čas systémů zpracování informací používaných organizací má být
synchronizován se schválenými časovými zdroji.“

Tato opatření odpovídají na tři auditní otázky:

Opatření ISO/IEC 27001:2022Auditní otázkaTéma důkazů
Annex A.8.15 ProtokolováníCo se stalo?Generování, ukládání, ochrana, uchovávání a analýza logů
Annex A.8.16 Monitorovací činnostiKdo si toho všiml a jednal?Upozorňování, přezkum, triáž, eskalace a reakce
Annex A.8.17 Synchronizace časuMůžeme věřit časové ose?Schválené časové zdroje, konfigurace NTP a korelace časových razítek

Zenith Controls: The Cross-Compliance Guide Zenith Controls tento vztah vyjadřuje explicitně:

„Protokolování slouží jako základní datová vrstva pro monitorování. Opatření 8.16 závisí na logech vytvářených podle 8.15, aby bylo možné analyzovat bezpečnostní události, detekovat anomálie a identifikovat potenciální porušení zabezpečení. Bez komplexního protokolování jsou monitorovací systémy neúčinné.“

Zenith Controls klasifikuje opatření ISO/IEC 27002:2022 8.15, Protokolování, jako detekční kontrolu podporující důvěrnost, integritu a dostupnost. Mapuje jej na kyberbezpečnostní koncept Detect a řízení událostí informační bezpečnosti. Propojuje také Protokolování s Monitorovacími činnostmi, Posouzením a rozhodnutím o událostech informační bezpečnosti a Synchronizací času.

U opatření 8.16, Monitorovací činnosti, jej Zenith Controls klasifikuje jako detekční a nápravné, mapované na Detect a Respond. Propojuje monitorování s monitorováním služeb dodavatelů a posuzováním událostí, což je nezbytné pro cloudová, SaaS, řízená a outsourcingová prostředí.

Praktické sdělení je jednoduché. Logy poskytují fakta. Monitorování identifikuje anomálie. Synchronizace času zajišťuje spolehlivost faktů napříč systémy. Posouzení událostí převádí upozornění na rozhodnutí.

Jak ve skutečnosti vypadá důkaz z protokolování připravený pro audit

Důkazy připravené pro audit nejsou složka se snímky obrazovky. Jde o ucelenou stopu, která dokládá návrh opatření, provoz opatření a rozhodování.

Vyspělý důkazní soubor k protokolování a monitorování obvykle obsahuje následující:

Důkazní položkaCo dokládáTypický zdroj
Politika protokolování a monitorováníPožadavky schválené vedením pro protokolování, přezkum, uchovávání, ochranu a eskalaciKnihovna politik Clarysec, sada politik ISMS
Evidence systémového protokolováníKteré systémy vytvářejí které logy a kdo je jejich vlastníkemCMDB, registr aktiv, evidence zařazování zdrojů do SIEM
Konfigurace SIEM nebo kolektoru logůCentralizovaný sběr, parsování, korelace a upozorňováníŘídicí panel SIEM, konfigurace syslogu, nastavení cloudového auditu
Důkaz o uchováváníLogy jsou uchovávány po dobu vyžadovanou politikou, právními a smluvními požadavkyPolitika ukládání, nastavení uchovávání v SIEM, nastavení archivace
Důkaz integrityLogy jsou chráněny před neoprávněnou změnou nebo smazánímRBAC, ochrana proti zápisu, šifrování, ověření hash hodnoty
Záznamy o přezkumuLogy a upozornění jsou přezkoumávány ve stanovené periodicitěDenní report SOC, kontrolní seznam přezkumu, fronta tiketů
Záznamy o eskalaciUpozornění s vysokou prioritou jsou eskalována ve stanovených lhůtáchIncidentní tiket, e-mail, pagingový log, časové razítko pracovního postupu
Vazba na incidentUpozornění jsou posouzena a při splnění prahových hodnot převedena na incidentyRegistr incidentů, záznam o klasifikaci, analýza kořenové příčiny
Důkaz synchronizace časuSystémový čas je sladěn se schválenými časovými zdrojiKonfigurace NTP, politika koncových bodů, výchozí konfigurace serveru
Reporting vedeníVedení dostává metriky a výsledky monitorování relevantní z hlediska rizikReport ISMS, balíček pro výbor pro rizika, dashboard správního orgánu

Podniková Politika protokolování a monitorování Clarysec Politika protokolování a monitorování to formuluje přímo:

„Tato politika je nezbytná pro podporu ISO/IEC 27001 Clause 8.1 a opatření Annex A 8.15 (Protokolování), 8.16 (Monitorování) a 8.17 (Synchronizace času) a je přímo mapována na regulační povinnosti podle GDPR, NIS2, DORA a COBIT 2019.“

Ze sekce „Účel“, ustanovení politiky 1.3.

Stejná politika stanoví provozní očekávání:

„Zřídit centralizované systémy protokolování a upozorňování (např. SIEM) pro agregaci, korelaci a eskalaci podezřelých aktivit téměř v reálném čase.“

Ze sekce „Cíle“, ustanovení politiky 3.4.

Pro menší organizace převádí Politika protokolování a monitorování pro SME Clarysec Politika protokolování a monitorování - SME stejný princip do přiměřených požadavků:

„Poskytovatel IT podpory musí definovat a dodržovat pravidelný harmonogram přezkumu logů:“

Ze sekce „Požadavky na správu a řízení“, ustanovení politiky 5.1.1.

Definuje také uchovávání a ochranu:

„Logy musí být uchovávány po dobu nejméně 12 měsíců, pokud delší doba uchovávání není vyžadována právním předpisem nebo smlouvou, nebo odůvodněna jako součást aktivního incidentu či právního sporu.“

Ze sekce „Požadavky na správu a řízení“, ustanovení politiky 5.2.1.

„Logy musí být ukládány v umístěních chráněných proti zápisu a přístup musí být omezen pouze na autorizovaný personál.“

Ze sekce „Požadavky na správu a řízení“, ustanovení politiky 5.3.1.

U NIS2 a DORA může 12měsíční výchozí důkazní základna rozhodovat mezi věrohodnou rekonstrukcí a neúspěšným vyšetřováním. U GDPR podporuje odpovědnost, přičemž stále vyžaduje minimalizaci, řízení přístupu a disciplínu uchovávání.

Chybějící most: posouzení událostí a prahové hodnoty pro oznamování

Mnoho organizací sbírá logy a upozorňuje na anomálie, ale selhává v rozhodovacím bodě.

Bylo upozornění pouze bezpečnostní událostí, nebo se z něj stal incident informační bezpečnosti? Bylo významné podle NIS2? Šlo o závažný incident související s ICT podle DORA? Byly dotčeny osobní údaje? Je vyžadována analýza oznamovací povinnosti podle GDPR?

Tento rozhodovací bod se mapuje na opatření ISO/IEC 27002:2022 5.25, Posouzení a rozhodnutí o událostech informační bezpečnosti. Zenith Controls popisuje 5.25 jako triážní funkci mezi surovými monitorovacími upozorněními a formálním zvládáním incidentů. Propojuje 5.25 s plánováním řízení incidentů, monitorovacími činnostmi, reakcí na incidenty informační bezpečnosti a protokolováním. Mapuje také 5.25 na GDPR Articles 33 and 34 pro oznamování porušení zabezpečení a hodnocení rizik, oznámení incidentů podle NIS2 a klasifikační kritéria, a klasifikaci závažných incidentů souvisejících s ICT podle DORA.

Politika reakce na incidenty Clarysec Politika reakce na incidenty tento eskalační bod podporuje:

„Pokud incident vede k potvrzené nebo pravděpodobné expozici osobních údajů či jiných regulovaných dat, musí právní oddělení a DPO posoudit použitelnost:“

Ze sekce „Požadavky na implementaci politiky“, ustanovení politiky 6.4.1.

Pro SME stanoví Politika reakce na incidenty pro SME Politika reakce na incidenty - SME požadavek na technické důkazy:

„Systémy protokolování musí být nakonfigurovány tak, aby zachycovaly dostatečný detail pro podporu vyšetřování.“

Ze sekce „Požadavky na implementaci politiky“, ustanovení politiky 6.4.1.

Zde se GDPR Article 33 stává provozní povinností. Otázkou není jen to, zda byly zpřístupněny osobní údaje. Otázkou je, zda logy, monitorovací upozornění a záznamy o incidentech umožňují DPO provést včasné a obhajitelné posouzení porušení zabezpečení.

NIS2 Article 23 a DORA Articles 17 to 23 vytvářejí podobný tlak. Oznamovací lhůty závisí na zjištění, klasifikaci a posouzení významnosti. Organizace musí být schopna doložit, kdy bylo upozornění vygenerováno, kdy bylo přezkoumáno, kdo je posoudil, jaké rozhodnutí bylo přijato a kdy došlo k eskalaci.

60minutové důkazní cvičení pro vyšetřování privilegovaného přihlášení

Užitečným způsobem, jak ověřit připravenost důkazů, je nacvičit reálný scénář ještě před auditem nebo incidentem.

Scénář: privilegovaný administrátorský účet se přihlásí z neobvyklé země ve 02:13 UTC. O pět minut později se účet pokusí přistoupit k funkci exportu zákaznických dat. Podmíněný přístup relaci zablokuje a vygeneruje se upozornění.

Cíl: do 60 minut vytvořit důkazní balíček dokládající detekci, přezkum, eskalaci, posouzení a uzavření.

Krok 1: Potvrďte, že událost existuje v logech

Použijte Politiku protokolování a monitorování k identifikaci požadovaných zdrojů logů: logy poskytovatele identit, logy cloudové administrace, aplikační logy, databázové logy, logy koncových bodů a logy firewallu nebo zabezpečeného přístupu.

Exportujte záznam události s časovým razítkem, ID uživatele, zdrojovou IP adresou, zařízením, akcí, výsledkem a korelačním ID. Pokud událost existuje pouze v jedné konzoli a nikoli v SIEM nebo kolektoru logů, zaznamenejte to jako mezeru v kontrolách.

Zenith Blueprint Step 19 doporučuje zajistit, aby kritické systémy předávaly logy do SIEM nebo centrálního kolektoru logů, a ověřit, že uchovávání je v souladu s politikou.

Krok 2: Doložte, že monitorování událost detekovalo

Ukažte upozornění SIEM, upozornění EDR nebo upozornění ochrany identit. Zahrňte název pravidla, závažnost, časové razítko, spouštěcí podmínku a cestu oznámení. Pokud organizace používá manuální přezkum, ukažte denní report a schválení přezkoumávající osobou.

Podniková Politika protokolování a monitorování z toho činí odpovědnost role:

„Přezkoumává denní reporty a zajišťuje, aby anomálie byly analyzovány, dokumentovány a podle potřeby eskalovány.“

Ze sekce „Role a odpovědnosti“, ustanovení politiky 4.2.3.

Krok 3: Doložte, že eskalace proběhla v souladu s politikou

Pro SME je eskalační požadavek explicitní:

„Upozornění s vysokou prioritou musí být do 24 hodin eskalována GM a koordinátorovi ochrany soukromí.“

Ze sekce „Vynucování a dodržování“, ustanovení politiky 8.1.2.

U podnikových týmů mohou důkazy zahrnovat incidentní tiket, záznam eskalace v Teams nebo Slacku, pagingový log, e-mailové oznámení, předávací poznámku SOC nebo záznam v systému správy případů.

Krok 4: Klasifikujte událost

Použijte logiku posouzení události 5.25 z Zenith Controls. Zachyťte, zda je upozornění bezpečnostní událostí, incidentem informační bezpečnosti, porušením zabezpečení osobních údajů, významným incidentem podle NIS2 nebo závažným incidentem souvisejícím s ICT podle DORA.

Klasifikační poznámka má odpovědět na tyto otázky:

  • Byla autentizace úspěšná, nebo zablokovaná?
  • Byl použit privilegovaný přístup?
  • Byla zákaznická data zpřístupněna, změněna nebo exfiltrována?
  • Byly narušeny regulované služby?
  • Byla dotčena kritická ICT aktiva?
  • Jsou zapojeni dodavatelé nebo zpracovatelé?
  • Splňuje událost interní prahové hodnoty pro oznamování?
  • Je vyžadováno oznámení DPO, právnímu oddělení, regulačnímu orgánu nebo zákazníkovi?

Krok 5: Vytvořte důvěryhodnou časovou osu

Synchronizace času se často ignoruje, dokud vyšetřování neselže. Zenith Blueprint Step 19 uvádí, že synchronizovaný čas je zásadní pro korelaci událostí, protože logy z různých systémů se musí při analýze incidentu časově sladit.

Zahrňte důkazy konfigurace NTP pro platformy identit, cloudové služby, servery, koncové body, databáze, firewally a SIEM. Kde je to možné, normalizujte časová razítka na UTC.

Krok 6: Uzavřete nebo eskalujte

Pokud je událost zadržena a nedošlo ke zpřístupnění dat, dokumentujte uzavření, získané poznatky a preventivní opatření. Pokud se z ní stane incident, propojte ji s reakcí na incidenty, právním přezkumem a případným pracovním postupem oznamování podle NIS2, DORA nebo GDPR.

Nakonec důkazy chraňte. Politika monitorování auditu a souladu Clarysec Politika monitorování auditu a souladu uvádí:

„Všechny auditní logy, zjištění a zprávy o nápravných opatřeních musí být uchovávány, šifrovány a chráněny proti manipulaci.“

Ze sekce „Vynucování a dodržování“, ustanovení politiky 8.5.1.

Toto jediné cvičení poskytuje důkazy pro Annex A.8.15, A.8.16, A.8.17, opatření ISO/IEC 27002:2022 5.25, odpovědnost za porušení zabezpečení podle GDPR, zvládání incidentů podle NIS2 a klasifikaci ICT incidentů podle DORA.

Křížová mapa důkazů souladu pro ISO 27001, NIS2, DORA a GDPR

Nejsilnější programy souladu nevytvářejí samostatné sady důkazů pro každý rámec. Budují jeden důkazní systém, který lze posuzovat různými auditními pohledy.

Důkazní schopnostISO/IEC 27001:2022 a ISO/IEC 27002:2022NIS2DORAGDPRImplementační kotva Clarysec
Rozsah a odpovědnostClauses 4, 5 and 6 slaďují rozsah, vedení, rizika, opatření a cíleArticle 20 dohled vedení a Article 21 opatření řízení rizikArticles 5 to 14 řízení rizik v oblasti ICT a odpovědnost řídicího orgánuArticle 5 odpovědnost a Article 32 zabezpečení zpracováníFáze Zenith Blueprint pro vymezení rozsahu, rizika a Controls in Action
Generování logůAnnex A.8.15 a opatření ISO/IEC 27002:2022 8.15Podporuje zvládání incidentů a uchování důkazů podle Article 21Podporuje zaznamenávání, detekci a analýzu ICT událostí podle Articles 10 and 17Podporuje odpovědnost a vyšetřování porušení zabezpečeníPolitika protokolování a monitorování, evidence zařazování zdrojů do SIEM
Aktivní monitorováníAnnex A.8.16 a přezkum událostíPodporuje zvládání incidentů a připravenost na oznamování podle Article 23Podporuje detekci, reakci a řízení incidentů podle Articles 10, 11 and 17Podporuje včasnou detekci porušení zabezpečení a posouzení podle Article 33Reporty SOC, pravidla upozornění, periodicita přezkumu
Synchronizace časuAnnex A.8.17Podporuje spolehlivé časové osy incidentůPodporuje konzistentní rekonstrukci ICT incidentůPodporuje obhajitelnou časovou osu porušení zabezpečeníBezpečná výchozí konfigurace a důkazy NTP
Posouzení událostíOpatření ISO/IEC 27002:2022 5.25 pro posouzení a rozhodnutí o událostechKlasifikace významného incidentuKlasifikace závažného incidentu souvisejícího s ICT podle Articles 18 and 19Hodnocení rizika porušení zabezpečení osobních údajů podle Articles 33 and 34Politika reakce na incidenty a klasifikační pracovní list
Logy dodavatelůOpatření pro dodavatele včetně opatření ISO/IEC 27002:2022 5.22 monitorování služeb dodavatelůArticle 21 zabezpečení dodavatelského řetězceArticles 28 to 31 riziko třetích stran v oblasti ICTOdpovědnost zpracovatele a bezpečnostní důkazyRegistr dodavatelů, smluvní ustanovení, přístup ke cloudovým logům
Testování a získané poznatkyHodnocení výkonnosti a neustálé zlepšováníPosuzování účinnosti a kybernetická hygienaArticles 24 to 27 testování digitální provozní odolnostiOdpovědnost a zlepšování bezpečnostiTabletop cvičení, ladění upozornění, interní audit

NIST Cybersecurity Framework 2.0 může pomoci toto provozně uchopit jako komunikační vrstvu. Jeho šest funkcí, GOVERN, IDENTIFY, PROTECT, DETECT, RESPOND a RECOVER, ukazuje, že protokolování a monitorování spadají převážně do DETECT a RESPOND, ale závisí na správě a řízení, porozumění aktivům a prioritách rizik.

Profily NIST CSF 2.0 mohou také podpořit plán pro rok 2026. Current Profile může ukázat dnešní pokrytí protokolováním a vyspělost upozorňování. Target Profile může definovat požadované pokrytí regulovaných systémů, privilegovaných aktivit, platforem dodavatelů a prostředí s osobními údaji. Rozdíl mezi nimi se stává plánem nápravných opatření.

Logy dodavatelů a cloudů: důkazní mezera, kterou auditoři stále častěji testují

V moderních auditech se nejtěžší otázky k protokolování často týkají outsourcovaných platforem.

Máte přístup k autentizačním logům od poskytovatele cloudových služeb? Protokolují se administrátorské akce v SaaS? Jsou v řízených službách povoleny auditní logy databází? Uchovává váš MSSP upozornění dostatečně dlouho? Vyžadují smlouvy spolupráci při incidentech? Mohou dodavatelé dodat logy dostatečně rychle pro oznamovací lhůty NIS2 nebo DORA? Jsou logy zpracovatele dostupné pro posouzení porušení zabezpečení podle GDPR?

Zenith Controls propojuje Monitorovací činnosti, opatření 8.16, s Monitorováním služeb dodavatelů, opatřením 5.22. Mapuje také monitorování na ISO/IEC 27005:2024 clause 10.5, která zdůrazňuje monitorování a přezkum plánů ošetření rizik a opatření, a ISO/IEC 27035-2:2023 clause 7.3, kde mechanismy průběžného monitorování detekují události informační bezpečnosti a spouštějí řízení incidentů.

DORA činí protokolování dodavatelů zvláště důležitým pro finanční subjekty, protože řízení rizik třetích stran v oblasti ICT zahrnuje registry dodavatelů, smluvní ujednání, riziko subdodávek, riziko koncentrace a exit strategie. NIS2 Article 21 řadí zabezpečení dodavatelského řetězce mezi opatření řízení kybernetických rizik. GDPR může učinit logy dodavatelů rozhodujícími, pokud se incident zpracovatele může stát porušením zabezpečení osobních údajů oznamovaným správcem.

Praktické ustanovení o protokolování dodavatelů má vyžadovat:

  • Bezpečnostně relevantní auditní logy pro autentizaci, změny oprávnění, administrátorské akce, přístup přes API, export dat a změny konfigurace.
  • Uchovávání logů sladěné s politikou, regulačními povinnostmi a smluvním rizikem.
  • Synchronizaci času a normalizaci časových pásem.
  • Ochranu proti manipulaci a omezený přístup k logům.
  • Spolupráci při incidentech ve stanovených lhůtách.
  • Dodání důkazů pro audity, vyšetřování a regulační šetření.
  • Spouštěče oznámení pro podezřelý přístup, kompromitaci služby nebo expozici dat.
  • Povinnosti protokolování a eskalace u dílčích zpracovatelů, kde je to relevantní.

Protokolování u dodavatelů se má řešit před incidentem, nikoli vyjednávat během něj.

Jak různí auditoři testují stejné opatření protokolování

Dobrý důkazní balíček musí obstát před různými odbornými pohledy. Auditor ISO, hodnotitel NIS2, dohledový orgán DORA, hodnotitel GDPR a auditor orientovaný na COBIT 2019 nebo ISACA se mohou dívat na stejný řídicí panel SIEM, ale budou klást odlišné otázky.

Auditní pohledCo auditor ve skutečnosti testujeJaké důkazy bude očekávat
Certifikační audit ISO/IEC 27001:2022Zda jsou protokolování, monitorování a synchronizace času vybrány, zavedeny, provozovány a přezkoumávány prostřednictvím ISMSRozsah, ošetření rizik, Prohlášení o použitelnosti, Politika protokolování a monitorování, konfigurace SIEM, záznamy o přezkumu, vzorová upozornění, nastavení uchovávání, důkazy NTP
Přezkum opatření ISO/IEC 27002:2022Zda jsou opatření 8.15, 8.16 a 8.17 prakticky implementovánaEvidence zdrojů logů, chráněné úložiště, pravidla upozornění, denní reporty, záznamy o eskalaci, snímky obrazovky synchronizace času
Přezkum připravenosti na NIS2Zda detekce a zvládání incidentů podporují oznamování významných incidentůMapování opatření Article 21, pracovní postup oznamování Article 23, kritéria klasifikace incidentů, časová razítka eskalace, důkazy o dohledu vedení
Přezkum řízení rizik ICT podle DORAZda jsou ICT incidenty detekovány, zaznamenávány, klasifikovány, eskalovány, oznamovány a zda jsou z nich získávány poznatkyRámec rizik ICT, registr incidentů, klasifikace závažného incidentu, pracovní postup oznamování, důkazy logů dodavatelů, výsledky testů odolnosti
Přezkum odpovědnosti podle GDPRZda je posouzení porušení zabezpečení osobních údajů včasné a obhajitelnéZáznam posouzení DPO, analýza dopadu na osobní údaje, log rozhodnutí podle Article 33, logy přístupu, logy exportu dat, důkazy od zpracovatele
Posouzení NIST CSF 2.0Zda jsou výsledky DETECT a RESPOND řízeny, sladěny s riziky a měřitelnéCurrent Profile, Target Profile, plán mezer, pokrytí detekcí, metriky reakce, reporting vedení
Audit orientovaný na COBIT 2019 nebo ISACAZda je monitorování řízeno jako opakovatelný, měřený a odpovědný proces řízeníRACI, vlastnictví kontrol, KPI, KRI, soulad s politikou, integrita důkazů, sledování nápravných opatření, reporting vedení

Zenith Blueprint Step 19 připravuje organizace na tyto otázky. U Protokolování se auditoři zaměřují na to, zda jsou klíčové bezpečnostní události protokolovány a zda jsou logy uchovávány, chráněny a užitečné. U Monitorovacích činností se ptají, jak se neobvyklá nebo neoprávněná aktivita detekuje, vyhodnocuje a eskaluje. U Synchronizace času mohou porovnávat časová razítka napříč systémy a označit nesoulad.

Step 16: People Controls II, opatření 6.8, je také důležitý, protože mechanismy hlášení incidentů propojují lidské hlášení s technickou detekcí. GDPR Article 33, NIS2 Article 23 a povinnosti oznamování incidentů podle DORA všechny závisí na včasné interní eskalaci.

Běžná zjištění auditu a praktické nápravy

Většina zjištění k protokolování a monitorování je předvídatelná. Problém spočívá v tom, že organizace je často odhalí až během auditu, nikoli při interním testování.

Běžné zjištěníProč na tom záležíPraktická náprava Clarysec
Kritické systémy neposílají logy do SIEMPokrytí monitorováním je neúplné a časové osy incidentů jsou nespolehlivéPoužijte Zenith Blueprint Step 19 k vytvoření evidence zdrojů logů a plánu zařazení do SIEM
Logy jsou uchovávány po nekonzistentní dobuRegulační a incidentní vyšetřování mohou vyžadovat starší důkazyUplatněte výchozí dobu uchovávání podle Politiky protokolování a monitorování a dokumentujte výjimky
Chybí důkaz denního nebo pravidelného přezkumuProtokolování existuje, ale provoz monitorování není doloženPoužijte schválení denního reportu, přezkum tiketů a metriky fronty SOC
Upozornění nejsou propojena s incidentními tiketyEskalaci a klasifikaci nelze doložitMapujte upozornění na triáž podle opatření 5.25 a pracovní postup reakce na incidenty
Logy dodavatelů nejsou dostupnéCloudové nebo outsourcované incidenty nelze řádně vyšetřitPřidejte požadavky na protokolování dodavatelů do smluv a přezkumů monitorování dodavatelů
Odchylka času napříč systémyKorelace událostí a forenzní rekonstrukce se stávají nespolehlivýmiOvěřte konfiguraci NTP a zahrňte synchronizaci času do bezpečných výchozích konfigurací
Příliš mnoho osobních údajů v logechRostou rizika minimalizace podle GDPR a řízení přístupuPřezkoumejte obsah logů, maskujte citlivá pole a omezte přístup k logům
Vedení nedostává metrikyOčekávání NIS2, DORA a ISO vůči vedení jsou slabě naplněnaReportujte pokrytí detekcí, dokončení přezkumů, včasnost eskalace a otevřené mezery

Pro organizace s omezenými zdroji je přístup politiky pro SME realistický. Nevyžaduje plnohodnotné SOC od prvního dne. Vyžaduje definované harmonogramy přezkumu, uchovávání po dobu 12 měsíců, pokud není potřeba delší doba, úložiště chráněné proti zápisu, omezený přístup a eskalaci upozornění s vysokou prioritou. Tím vzniká obhajitelný základ, zatímco organizace dozrává k centralizovanému SIEM, automatizované korelaci a řízené detekci.

Metriky, díky nimž je protokolování důvěryhodné pro vedení

Správní orgány a vrcholové vedení nepotřebují surové události ze SIEM. Potřebují ujištění relevantní z hlediska rizik. Protože NIS2 Article 20 a požadavky DORA na správu a řízení kladou odpovědnost na řídicí orgány, metriky protokolování a monitorování mají být součástí reportingu správy a řízení bezpečnosti.

Užitečné metriky zahrnují:

  • Procento kritických aktiv předávajících logy do SIEM nebo kolektoru logů.
  • Procento událostí privilegovaného přístupu pokrytých upozorňováním.
  • Počet upozornění s vysokou prioritou přezkoumaných v rámci SLA.
  • Průměrná doba od vygenerování upozornění po přezkum analytikem.
  • Průměrná doba od detekce po eskalaci.
  • Počet událostí klasifikovaných v rámci procesu reakce na incidenty.
  • Počet událostí vyžadujících přezkum DPO nebo právního oddělení.
  • Soulad uchovávání logů podle kategorie systému.
  • Počet platforem dodavatelů se smluvním přístupem k logům.
  • Počet systémů, které neprošly kontrolou synchronizace času.
  • Otevřená nápravná opatření k protokolování a monitorování podle úrovně rizika.

Tyto metriky podporují ISO/IEC 27001:2022 clause 6.2 pro měřitelné cíle bezpečnosti informací. Posilují také dohled vedení podle NIS2 a DORA a odpovědnost podle GDPR.

Sestavení důkazního balíčku protokolování a monitorování pro rok 2026

Silný důkazní balíček pro rok 2026 má být sestaven před auditem nebo incidentem. Clarysec obvykle doporučuje strukturovanou složku nebo důkazní objekt v GRC s těmito sekcemi:

  1. Správa a rozsah: rozsah ISMS, zainteresované strany, použitelnost regulačních požadavků, schválení vedením a přiřazení rolí.
  2. Politika: Politika protokolování a monitorování, Politika reakce na incidenty, Politika monitorování auditu a souladu, požadavky na uchovávání a požadavky na eskalaci.
  3. Rizika a SoA: posouzení rizik, plán ošetření rizik, odůvodnění Prohlášení o použitelnosti pro A.8.15, A.8.16, A.8.17 a související opatření.
  4. Architektura: diagram SIEM nebo kolektoru logů, evidence zdrojů logů, nastavení cloudového protokolování a závislosti na logech dodavatelů.
  5. Provoz opatření: záznamy o přezkumu, upozornění, tikety, eskalační logy, důkazy o uzavření a výjimky.
  6. Vazba na incidenty: pracovní list klasifikace událostí, registr incidentů, záznam posouzení DPO a log rozhodnutí o oznamování.
  7. Integrita a uchovávání: řízení přístupu, šifrování, ochrana proti zápisu, nastavení archivace, kontroly mazání a důkazy o uchovávání.
  8. Synchronizace času: konfigurace NTP, bezpečná výchozí konfigurace, monitorování odchylky systémového času a přístup k normalizaci UTC.
  9. Důkazy od dodavatelů: smluvní ustanovení, zprávy ujištění dodavatelů, dostupnost cloudových auditních logů a postupy spolupráce při incidentech.
  10. Zlepšování: zjištění interního auditu, evidence nápravných opatření, výsledky tabletop cvičení, záznamy ladění upozornění a reporty vedení.

Účelem není zahltit auditory objemem. Účelem je doložit, že protokolování a monitorování fungují jako řízený proces od správy a řízení přes detekci, posouzení, eskalaci a oznamování až po zlepšování.

Proměňte logy v obhajitelné důkazy souladu

Mariin tým problém nevyřešil nákupem dalšího dashboardu. Vyřešil jej tím, že z protokolování a monitorování vytvořil systém tvorby důkazů. Politiky definovaly požadavky. Pravidla SIEM a cloudové logy poskytly signály. Pracovní postupy pro incidenty zachytily rozhodnutí. Synchronizace času učinila časovou osu věrohodnou. Reporting vedení zviditelnil riziko.

To je standard, který organizace v roce 2026 potřebují pro ISO/IEC 27001:2022, NIS2, DORA a GDPR.

Začněte jedním praktickým testem: vezměte reálné upozornění z posledních 30 dnů a doložte od začátku do konce, jak bylo zaprotokolováno, detekováno, přezkoumáno, eskalováno, klasifikováno, uchováno a oznámeno.

Pokud odpověď není jistá, Clarysec vám může pomoci mezeru uzavřít.

Použijte Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint k implementaci Step 19 pro protokolování, monitorování a synchronizaci času a Step 16 pro mechanismy hlášení incidentů. Použijte Zenith Controls: The Cross-Compliance Guide Zenith Controls k mapování Annex A.8.15, A.8.16, A.8.17 a opatření ISO/IEC 27002:2022 5.25 napříč pohledy NIS2, DORA, GDPR, NIST CSF 2.0 a COBIT 2019.

Poté požadavky uveďte do provozu prostřednictvím Politiky protokolování a monitorování Clarysec Politika protokolování a monitorování, Politiky protokolování a monitorování pro SME Politika protokolování a monitorování - SME, Politiky reakce na incidenty Politika reakce na incidenty, Politiky reakce na incidenty pro SME Politika reakce na incidenty - SME a Politiky monitorování auditu a souladu Politika monitorování auditu a souladu.

Logy nejsou důkazem, dokud nejsou řízeny, chráněny, přezkoumávány a propojeny s rozhodnutími. Organizace, které dokážou tento řetězec doložit, projdou audity rychleji, budou lépe reagovat na incidenty a dodají vedení jistotu, až dorazí další upozornění ve 2:17 ráno.

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles

ISO 27001 SoA pro připravenost na NIS2 a DORA

ISO 27001 SoA pro připravenost na NIS2 a DORA

Zjistěte, jak využít Prohlášení o použitelnosti podle ISO 27001 jako auditně připravený most mezi NIS2, DORA, GDPR, ošetřením rizik, dodavateli, reakcí na incidenty a důkazy.

DLP v roce 2026: ISO 27001 pro GDPR, NIS2 a DORA

DLP v roce 2026: ISO 27001 pro GDPR, NIS2 a DORA

Prevence úniku dat už není izolovanou konfigurací nástroje. V roce 2026 potřebují CISO program DLP řízený politikami a podložený důkazy, který propojuje klasifikaci dat, bezpečný přenos, protokolování, reakci na incidenty, řízení dodavatelů a opatření ISO/IEC 27001:2022 s GDPR Article 32, NIS2 a DORA.