DNS-i juhtimine 2026. aastal: auditiks valmis registripidaja kontrollimeetmed
Esmaspäeva hommikul kell 07:42 saab fintech-kasvuettevõtte CISO sõnumi, mida keegi näha ei taha. Kliendid ei pääse makseportaali, kasutajatugi on üle koormatud, e-post ei tööta ning SOC ei ole leidnud pahavara, tulemüüri katkestust ega pilveteenuse pakkuja intsidenti.
Algpõhjus on vaiksem ja piinlikum. Registripidaja kontole pääseti ligi aegunud administraatori autentimisandmetega, mida jagasid mitu endist IT-töötajat. Ründaja muutis autoritatiivseid nimeservereid, muutis MX-kirjeid, keelas DNSSEC-i ning suunas liikluse piisavalt kauaks ümber, et koguda autentimisandmeid ja häirida partnerite rakendusliideseid. Makseportaali ei häkitud traditsioonilises tähenduses. Kompromiteeriti ettevõtte usaldusankur — tema domeen.
Kell 09:30 on operatiivkriisist saanud vastavuskriis. Juhatus küsib, kas registri lukustus oli sisse lülitatud. Õigusosakond küsib, kas isikuandmed avalikustusid. Andmekaitseametnik küsib, kas tegemist on GDPR-i isikuandmetega seotud rikkumisega. Regulaator soovib teada, kas mõjutatud oli kriitiline või oluline funktsioon. Kliendi audiitor küsib DNS-i muudatuse heaks kiitnud muudatusetaotlust.
Liiga paljudes organisatsioonides on vastuseks arvutustabel, ühiskasutuses postkast ja registripidaja konsool, mida keegi pole kuus kuud üle vaadanud.
DNS-i ja domeeniregistripidajate juhtimine 2026. aastal ei ole enam kitsas taristuteema. See on osa lunavara toimepidevusest, andmepüügi ennetamisest, pilveteenuste käideldavusest, tarnijariskide juhtimisest, intsidentidele reageerimisest, talitluspidevusest ja tõenduspõhisest vastavusest. Kui teie domeeni saab kaaperdada, võib teie SaaS-platvorm kaduda. Kui teie DNS-kirjeid saab muuta ilma heakskiiduta, saab teie e-posti turvet, SSO-d, TLS-sertifikaate, API otspunkte ja klientide usaldust õõnestada minutitega.
Miks DNS-i ja registripidaja juhtimine kuulub ISMS-i
Domeeninimi ei ole ainult brändivara. See on loogiline vara, autentimissõltuvus, marsruutimissõltuvus ja sageli tarnija hallatav teenus. See ühendab identiteedipakkujad, e-posti autentimise, TLS-sertifikaatide valideerimise, pilveotspunktid, kliendiportaalid, rakendusliidesed, CDN-teenused, seireproovid ja intsidentide kommunikatsiooni.
Clarysec’i Varahalduse poliitika - VKE Varahalduse poliitika - VKE määratleb selle oma kohaldamisalas selgelt:
Digitaalsed autentimisandmed ja teenused: domeeninimed, digitaalsed sertifikaadid, API-võtmed, e-posti kontod, pilveteenuste sisselogimised
Jaotisest „Kohaldamisala“, poliitika punkt 2.2.4.
Sama poliitika nõuab enamat kui domeeninime loetlemist:
Omand, eesmärk, juurdepääsuõigused ja uuendamise tähtajad tuleb dokumenteerida.
Jaotisest „Poliitika rakendamise nõuded“, poliitika punkt 6.6.2.
Ettevõttekeskkondade puhul hõlmab Clarysec’i Varahalduse poliitika Varahalduse poliitika kohaldamisala ka loogilisi varasid:
Loogilised varad: domeeninimed, litsentsid, kasutajakontod, konfiguratsiooni lähtealused
Jaotisest „Kohaldamisala“, poliitika punkt 2.2.5.
See on juhtimise lähtekoht. DNS-i ja registripidaja register peab dokumenteerima:
- domeeninime, registri, registripidaja, DNS-majutusteenuse pakkuja ja autoritatiivsed nimeserverid;
- äriomaniku, tehnilise omaniku, turbeomaniku ja erakorralise heakskiitja;
- eesmärgi, näiteks tootmiskeskkonna portaali, API, e-posti, SSO, turunduse, testkeskkonna või kaitseotstarbelise registreeringu;
- kriitilisuse hinnangu ja sõltuvuste seosed äriteenustega;
- DNSSEC-i staatuse, DS-kirje staatuse, võtmeomandi ja võtmerotatsiooni protsessi;
- registri lukustuse ja registripidaja lukustuse staatuse;
- MFA ja privilegeeritud juurdepääsu mudeli registripidaja ja DNS-teenuse pakkuja kontode jaoks;
- uuendamise kuupäeva, automaatse uuendamise staatuse, maksete omaniku ja aegumisteavitused;
- muudatuste kontrolli nõuded tsoonimuudatuste ja delegeerimismuudatuste jaoks;
- logimise, teavitamise, seire ja tõendusmaterjali säilitamise.
Seetõttu peab domeenide juhtimine kajastuma ISO/IEC 27001:2022 ISMS-i kohaldamisalas ja riskihindamises. ISO/IEC 27001:2022 nõuab, et organisatsioon määratleks konteksti, huvitatud osapoolte nõuded, õiguslikud ja lepingulised kohustused ning liidesed ja sõltuvused väliste organisatsioonidega. DNS sõltub registripidajatest, registritest, DNS-majutusteenuse pakkujatest, pilveteenuse pakkujatest, sertifitseerimiskeskustest, MSP-dest ja mõnikord turundusagentuuridest. Kui need liidesed jäetakse ISMS-ist välja, jääb auditijälg puudulikuks.
2026. aasta DNS-i ohumudel
Kõige kahjulikumad DNS-i tõrked on sageli lihtsad:
- Domeen aegub, sest uuendamise omanik ei olnud selge.
- Endisel agentuuril on endiselt juurdepääs registripidaja kontole.
- DNSSEC on sisse lülitatud, kuid DS-kirjed on pärast DNS-teenuse pakkuja migreerimist valed.
- Metamärgikirje suunab liikluse mahajäetud pilveteenusele.
- TXT-kirjet muudetakse, et valideerida ründaja kontrollitav SaaS-i rentnik või sertifikaaditaotlus.
- MX-kirjeid muudetakse andmepüügi- või e-posti pealtkuulamise kampaania käigus.
- Kolmanda osapoole platvormile viitav CNAME muutub ülevõtmisele haavatavaks.
- Registri lukustus on sisse lülitatud põhidomeenil, kuid mitte klientidele suunatud riigikoodiga domeenidel.
- SOC seirab lõppseadmeid, kuid keegi ei seira tsoonifaili muudatusi.
Tehnilised kaitsemeetmed on hästi teada. DNSSEC aitab kaitsta DNS-andmete terviklust ja päritolu autentimist. Registri lukustus nõuab suure riskiga registritasandi muudatuste puhul täiendavat kanalivälist kontrolli. Registripidaja lukustus vähendab loata ülekande riski. MFA ja privilegeeritud juurdepääsuõiguste läbivaatamine vähendavad konto ülevõtmise tõenäosust. Muudatuste kontroll ennetab juhuslikke häireid. Seire tuvastab loata või ootamatud muudatused.
Vastavuse väljakutse on teistsugune: kas suudate tõendada, et need kaitsemeetmed on olemas, neil on omanik, neid vaadatakse üle ja need toimivad intsidendi ajal?
Just tõendusmaterjali küsimuses kukuvad paljud organisatsioonid läbi.
DNS-i juhtimise kaardistamine standarditele ISO/IEC 27001:2022 ja ISO/IEC 27002:2022
ISO/IEC 27001:2022 annab juhtimissüsteemi struktuuri, mille abil muuta DNS-i kontrollimeetmed korduvkasutatavateks ja auditeeritavateks protsessideks. ISO/IEC 27001:2022 lisa A ja ISO/IEC 27002:2022 kontrollimeetmete juhised annavad kontrollikeele, mida audiitorid ootavad.
| DNS-i juhtimise valdkond | ISO/IEC 27001:2022 lisa A ja ISO/IEC 27002:2022 tõendusmaterjali teema | Mida audiitorid eeldavad näha |
|---|---|---|
| Domeenide register | 5.9 Teabe ja muu seotud vara register | Domeeniregister omanike, kriitilisuse, uuendamise kuupäevade, DNS-teenuse pakkuja, registripidaja ja sõltuvustega |
| Registripidaja juurdepääs | 5.15 Juurdepääsukontroll, 5.16 Identiteedihaldus, 5.18 Juurdepääsuõigused, 8.5 Turvaline autentimine | Nimelised kasutajad, MFA tõendusmaterjal, heakskiidukirjed, perioodilised juurdepääsuõiguste ülevaatused ja erakorralise juurdepääsu protsess |
| DNSSEC | 8.24 Krüptograafia kasutamine | DNSSEC-i staatus, DS-kirjed, võtmete hoidmise vastutus, rotatsiooniplaan ja valideerimise seire |
| Registri ja registripidaja lukustus | 5.15 Juurdepääsukontroll, 8.20 Võrguturve, 8.21 Võrguteenuste turvalisus, 8.32 Muudatuste juhtimine | Lukustuse staatus, avamise protseduur, volitatud kontaktid ja kanaliväline kontrolliprotsess |
| Tsooni muudatuste kontroll | 8.9 Konfiguratsioonihaldus, 8.32 Muudatuste juhtimine | Muudatusetaotlused, riskihindamine, heakskiidud, rakendamise tõendusmaterjal ja tagasipööramise plaan |
| DNS-teenuse pakkuja juhtimine | 5.19 Infoturve tarnijasuhetes, 5.20 Infoturbe käsitlemine tarnijalepingutes, 5.22 Tarnijateenuste seire, läbivaatamine ja muudatuste juhtimine | Lepinguklauslid, SLA, turbevastutused, teenuste läbivaatamised ja intsidentidest teavitamise ootused |
| DNS-i logimine ja seire | 8.15 Logimine, 8.16 Seiretegevused | Logid, teavitused, SIEM-i sisestus, säilitamine ja teavituste testimise tõendusmaterjal |
| DNS-i katkestusele reageerimine | 5.24 Infoturbeintsidentide halduse planeerimine ja ettevalmistus, 5.29 Infoturve häire ajal, 5.30 IKT valmisolek talitluspidevuseks | Tööjuhised, eskalatsiooniloend, taastamisprotseduurid ja intsidendijärgsed õppetunnid |
Clarysec’i Zenith Blueprint: audiitori 30-sammuline teekaart Zenith Blueprint käsitleb võrguteenuseid selgesõnaliste auditiobjektidena. Faasis „Kontrollimeetmed tegevuses“, samm 20, juhendab see meeskondi valideerima võrguteenuste turvet:
Loetlege kõik sisemised ja välised võrguteenused (DNS, VPN, SMTP, DHCP, API lüüsid, jne).
✓ Iga teenuse puhul kinnitage, et kasutatakse turvalisi protokolle (nt DNSSEC, TLS 1.2+, SSH Telneti asemel). ✓ Vaadake üle, kuidas iga teenuse juurdepääsu kontrollitakse (nt IP lubatud loendid, autentimine, sertifikaadid). ✓ Kui teenust haldavad kolmandad osapooled (nt DNS, SD-WAN, majutatud VPN), vaadake üle SLA või tarnijalepingu turbeklauslid. Uuendage oma teenuseregistrit ja märkige, kus paiknevad turbevastutused — organisatsiooni sees või väliselt.
Faasist „Kontrollimeetmed tegevuses“, samm 20: kontrollimeetmed 8.18 kuni 8.26.
See annab praktilise audititee: käsitlege DNS-i välise võrguteenusena, dokumenteerige, kuidas see on kaitstud, ja fikseerige, kas vastutus asub organisatsioonis, registripidaja, DNS-teenuse pakkuja või MSP juures.
Clarysec’i Zenith Controls: ristvastavuse juhend Zenith Controls on kasulik, sest DNS-i juhtimine ei kaardistu tavaliselt ainult ühe raamistikuga. Sama DNSSEC-i või registri lukustuse otsus toetab ISO/IEC 27001:2022, NIS2, DORA, GDPR, NIST CSF 2.0 ja COBIT 2019 tõendusmaterjali.
Tarnijate seire puhul kaardistab Zenith Controls ISO/IEC 27002:2022 kontrollimeetme 5.22 „Tarnijateenuste seire, läbivaatamine ja muudatuste juhtimine“ ennetava kontrollimeetmena, mis toetab konfidentsiaalsust, terviklust ja käideldavust. DNS-i puhul tähendab see, et teie registripidaja ja DNS-teenuse pakkuja ei ole „seadista ja unusta“ tüüpi tarnijad. Nende turbeolekut, teenusemuudatusi, katkestusi, alltöötlejaid ja teavitamistavasid tuleb üle vaadata.
DNSSEC-i ja krüptograafilise tervikluse puhul kaardistab Zenith Controls ISO/IEC 27002:2022 kontrollimeetme 8.24 „Krüptograafia kasutamine“ ennetava kontrollimeetmena, mis on kooskõlas turvalise seadistamisega. DNSSEC ei krüpteeri DNS-liiklust, kuid annab krüptograafilise kindluse DNS-andmete tervikluse ja päritolu autentimise kohta.
DNS-tsooni muudatuste puhul kaardistab Zenith Controls ISO/IEC 27002:2022 kontrollimeetme 8.32 „Muudatuste juhtimine“ ennetava kontrollimeetmena, mis toetab konfidentsiaalsust, terviklust ja käideldavust. DNS-i muudatus on konfiguratsioonimuudatus. DS-kirje uuendus, MX-kirje muutmine, CNAME-i migreerimine, SPF-i või DMARC-i uuendus, CDN-i üleminek või nimeserveri delegeerimise muudatus peab sisaldama muudatusetaotlust, riskihindamist, heakskiitu, testitulemust ja tagasipööramise plaani.
DNSSEC, registri lukustus ja võtmehaldus kriitiliste domeenide jaoks
Kõigil domeenidel ei ole sama riskitase. Kaitseotstarbeline domeen, mida kasutatakse ainult kehastamise vältimiseks, võib vajada seiret ja uuendamisdistsipliini. Peamine kliendiportaali domeen vajab tugevaimaid kättesaadavaid kontrollimeetmeid.
Kriitiliste domeenide puhul soovitab Clarysec tavaliselt järgmist baastaset:
- DNSSEC on sisse lülitatud ja valideeritud seal, kus register, registripidaja ja DNS-teenuse pakkuja seda toetavad;
- DS-kirjed vaadatakse üle pärast iga DNS-teenuse pakkuja migreerimist;
- dokumenteeritud KSK ja ZSK rotatsiooniprotsess, kui võtmeid haldab klient;
- registri lukustus on sisse lülitatud põhiliste tootmiskeskkonna, identiteedi-, API-, makse- ja e-posti domeenide jaoks;
- registripidaja lukustus on sisse lülitatud kõigi domeenide jaoks, välja arvatud juhul, kui ajutine erand on dokumenteeritud;
- MFA on kohustuslik kõigile registripidaja ja DNS-teenuse pakkuja kasutajatele;
- privilegeeritud kasutajad on piiratud, nimelised, heaks kiidetud ja üle vaadatud;
- break-glass-juurdepääs on dokumenteeritud ja testitud;
- tsoonifaili seire teavitustega NS-, DS-, DNSKEY-, MX-, TXT-, A-, AAAA-, CNAME-, CAA- ja metamärgikirjete muudatuste kohta;
- väline seire mitmest resolverist ja piirkonnast;
- tõendusmaterjal säilitatakse ISMS-i repositooriumis.
Clarysec’i ettevõtte Krüptograafiliste kontrollimeetmete poliitika Krüptograafiliste kontrollimeetmete poliitika annab DNSSEC-i võtmete jaoks juhtimisankru:
Kõigi krüptograafiliste võtmete, nende elutsükli staatuse, määratud hoidjate ja kasutuskontekstide registreerimiseks tuleb pidada keskset võtmehalduse registrit.
Jaotisest „Juhtimisnõuded“, poliitika punkt 5.2.
Kui teie organisatsioon haldab DNSSEC-i võtmeid otse või kontrollib DS-i avaldamist registripidaja juures, peab võtmehalduse register dokumenteerima võtmete hoidmise vastutuse, elutsükli oleku, rotatsioonikuupäevad ja heakskiiduõiguse. Kui DNS-teenuse pakkuja haldab DNSSEC-i võtmeid, peab tarnijakirje seda vastutust selgitama ja sisaldama kindlust andvat tõendusmaterjali.
Registripidaja juurdepääsu juhtimine: MFA, vähima privileegi põhimõte ja erakorraline kontroll
Registripidaja kontod luuakse sageli ettevõtte elutsükli varases etapis ja unustatakse hiljem, kui ettevõte küpseb. Asutajatel, agentuuridel, arendajatel, finantskasutajatel ja MSP-del võib kõigil olla ajalooline juurdepääs. See on tõsine kontrollimeetme nõrkus.
Clarysec’i Kasutajakontode ja õiguste haldamise poliitika - VKE Kasutajakontode ja õiguste haldamise poliitika - VKE sätestab:
Kõrgendatud või administraatoriõigustega juurdepääs nõuab tegevjuhi või IT-valdkonna juhi täiendavat heakskiitu ning peab olema dokumenteeritud, ajaliselt piiratud ja perioodilise läbivaatamise objekt.
Jaotisest „Poliitika rakendamise nõuded“, poliitika punkt 6.2.2.
Rakendage seda sõna-sõnalt registripidaja ja DNS-teenuse pakkuja juurdepääsule:
- ühiskasutuses registripidaja administraatorikontosid ei kasutata;
- MFA igale kasutajale, eelistatavalt andmepüügikindel, kui see on toetatud;
- nimelised erakorralised kontaktid dokumenteeritud volitustega;
- arvelduskasutajate eraldamine tehnilistest administraatoritest, kui võimalik;
- endiste töötajate, agentuuride ja tarnijate viivitamatu eemaldamine;
- kriitiliste domeenide privilegeeritud juurdepääsuõiguste kvartaalne läbivaatamine;
- erandid registreeritakse koos aegumiskuupäevadega;
- testitud erakorralise lukustuse avamise ja taastamise protseduurid, mis ei tekita ebaturvalisi tootmiskeskkonna muudatusi.
Registri lukustuse tõendusmaterjal peab sisaldama kuvatõmmiseid või registripidaja kinnitusi, mis näitavad aktiveeritud staatust, volitatud kontakte, avamisprotsessi ja viimase läbivaatamise kuupäeva.
Tsooni muudatuste kontroll: väikesed DNS-i muudatused, suur ärimõju
DNS-i muudatused näivad petlikult väikesed. TXT-kirje võib valideerida SaaS-platvormi omandi. CNAME võib suunata kliendid uude keskkonda. MX-kirje võib e-posti ümber marsruutida. CAA-kirje võib mõjutada sertifikaatide väljastamist. Vale DS-kirje võib põhjustada allkirjastatud domeeni valideerimise ebaõnnestumise.
Clarysec’i Muudatuste haldamise poliitika - VKE Muudatuste haldamise poliitika - VKE sätestab:
Kõik muudatused tuleb esitada muudatustaotlusena (e-post, vorm või kasutajatoe pilet).
Jaotisest „Juhtimisnõuded“, poliitika punkt 5.1.1.
Ettevõtte klientide puhul tõstab Clarysec’i Muudatuste haldamise poliitika Muudatuste haldamise poliitika tõendusmaterjali ootust:
Kõik muudatustaotlused, läbivaatamised, heakskiidud ja toetav tõendusmaterjal tuleb registreerida keskses muudatuste juhtimissüsteemis.
Jaotisest „Poliitika rakendamise nõuded“, poliitika punkt 6.1.1.
Zenith Blueprint tugevdab seda faasis „Kontrollimeetmed tegevuses“, samm 21:
Valige 2–3 hiljutist süsteemi- või konfiguratsioonimuudatust ja kontrollige, kas need töödeldi teie ametliku muudatuste juhtimise töövoo kaudu.
✓ Kas riske hinnati? ✓ Kas heakskiidud dokumenteeriti? ✓ Kas tagasipööramiskava oli lisatud?
Valideerige, et muudatused rakendati kavakohaselt ja et kõik intsidendid või ootamatud mõjud registreeriti. Vaadake üle logid, versioonihalduse erinevused või auditijäljed sellistest tööriistadest nagu ServiceNow, Jira või Git. Jäädvustage see protsess auditi viiteks muudatuse kirje kokkuvõtlikus logis.
Faasist „Kontrollimeetmed tegevuses“, samm 21: kontrollimeetmed 8.27 kuni 8.34.
DNS-spetsiifiline muudatusetaotlus peab sisaldama mõjutatud domeeni ja tsooni, kirje tüüpi, varasemaid ja uusi väärtusi, ärilist põhjendust, riskihindamist, rakendusakent, heakskiitjat, rakendajat, kontrollijat, DNS-i leviku kontrolle, DNSSEC-i valideerimist, tagasipööramise plaani, muudatusejärgset seiret ja eksporditud tõendusmaterjali.
Auditi põhimõte on lihtne: DNS-i muudatused peavad olema jälgitavad taotlusest heakskiidu, rakendamise ja kontrollini.
Seire ja logimine: tuvastage DNS-i muudatus enne kliente
Tugev DNS-i juhtimisprogramm eeldab, et ennetus võib ebaõnnestuda. Seire peab tuvastama ootamatu muudatuse piisavalt kiiresti, et toetada intsidentidele reageerimist.
Clarysec’i Võrguturbe poliitika - VKE Võrguturbe poliitika - VKE on selgesõnaline:
DNS-i logimine peab olema sisse lülitatud, et toetada ohujahti ja intsidentidele reageerimist
Jaotisest „Poliitika rakendamise nõuded“, poliitika punkt 6.6.3.
Ettevõtte logimis- ja seirepoliitika logimis- ja seirepoliitika lähtub samast operatiivsest ootusest:
Kõik hõlmatud süsteemid peavad genereerima logid, mis hõlmavad:
Jaotisest „Poliitika rakendamise nõuded“, poliitika punkt 6.1.1.
DNS-i ja registripidaja juhtimise puhul peavad hõlmatud süsteemid sisaldama registripidaja portaale, DNS-majutuse konsoole, API-põhist DNS-i haldust, CI/CD torustikke, mis juurutavad DNS-i koodina, SIEM-i teavitusi ja väliseid seiretööriistu.
| Sündmus | Miks see on oluline | Minimaalne tõendusmaterjal |
|---|---|---|
| NS-kirje muutmine | Võib suunata kogu domeeni ründaja kontrollitavasse DNS-i | Teavitus, muudatusetaotlus, heakskiitja ning varasemad/uued väärtused |
| DS- või DNSKEY-kirje muutmine | Võib rikkuda DNSSEC-i valideerimise või võimaldada terviklusründeid | DNSSEC-i valideerimisaruanne ja muudatuse kirje |
| MX-kirje muutmine | Võib e-posti ümber marsruutida ning toetada andmepüüki või andmete pealtkuulamist | Teavitus, meilivoo test ja heakskiit |
| TXT-kirje muutmine | Võib valideerida SaaS-i omandi, e-posti autentimise või sertifikaadi väljastamise | Muudatusetaotlus, taotleja ja äriline põhjendus |
| CAA-kirje muutmine | Võib mõjutada sertifikaatide väljastamise kontrollimeetmeid | Sertifikaatide juhtimise ülevaatus |
| Metamärgikirje lisamine | Võib tekitada laiaulatusliku marsruutimise või ülevõtmise riski | Riskihindamine ja heakskiit |
| Registripidaja sisselogimine ebatavalisest asukohast | Viitab konto kompromiteerimise riskile | SIEM-i teavitus ja uurimismärkus |
| Registri lukustuse avamise taotlus | Suure riskiga muudatus, mis nõuab eskaleerimist | Erakorraline heakskiit ja tegevusjärgne läbivaatamine |
Seire tuleb integreerida intsidentidele reageerimisse. DNS-i teavitus, millel puudub omanik, tõsiduse hinnang või tööjuhis, on üksnes müra.
NIS2, DORA ja GDPR: DNS-i juhtimine regulatiivse tõendusmaterjalina
NIS2 Article 21 nõuab asjakohaseid ja proportsionaalseid tehnilisi, operatiivseid ja korralduslikke meetmeid, et juhtida riske võrgu- ja infosüsteemidele ning minimeerida intsidentide mõju. DNS-i juhtimine kaardistub loomulikult varahalduse, juurdepääsukontrolli, krüptograafia, tarneahela turbe, intsidentide käsitlemise, talitluspidevuse ja tõhususe hindamisega.
NIS2 Article 20 muudab küberturvalisuse ka juhtorgani vastutuseks. Juhatused ei pea heaks kiitma iga TXT-kirjet, kuid nad peavad mõistma, kas kriitilised domeenid on kaitstud DNSSEC-i, registri lukustuse, MFA, seire ja testitud taastamisega. Oluliste intsidentide puhul näeb NIS2 Article 23 ette etapiviisilise teatamise, sealhulgas varajase hoiatuse 24 tunni jooksul, intsidenditeate 72 tunni jooksul ning lõpparuande hiljemalt ühe kuu jooksul pärast intsidenditeadet.
Reguleeritud finantsüksustele kohaldub DORA alates 17. jaanuarist 2025 ning see toimib sektoripõhise IKT tegevuskerksuse raamistikuna seal, kus see kattub NIS2-ga. DNS toetab sageli kriitilisi või olulisi funktsioone, nagu makserakendused, mobiilipangandus, kauplemisportaalid, kliendiidentiteet, pettustõrjesüsteemid, API lüüsid ja kolmandate osapoolte integratsioonid. DORA tõendusmaterjal peab näitama IKT varasõltuvuste kaardistamist, intsidentide klassifitseerimist, tegevuskerksuse testimist, kolmandate osapoolte riskijuhtimist ning taastamise planeerimist DNS-i ja registripidaja tõrkestsenaariumide jaoks.
DNS-i intsident ei ole automaatselt GDPR-i isikuandmetega seotud rikkumine. Selleks võib see muutuda, kui kasutajad suunatakse andmepüügilehele, autentimisandmed kogutakse, isikuandmeid sisaldav e-post marsruuditakse ümber, liiklust isikuandmeid töötlevatesse süsteemidesse pealt kuulatakse või isikuandmete käideldavus on oluliselt mõjutatud. GDPR Article 5 nõuab terviklust, konfidentsiaalsust ja vastutust. Article 32 nõuab töötlemiseks asjakohaseid turvameetmeid. DNS-i juhtimine annab tõendusmaterjali, et domeeni marsruutimine ja DNS-ist sõltuvad teenused on kaitstud proportsionaalsete tehniliste ja korralduslike meetmetega.
| Kontrollimeede | ISO/IEC 27001:2022 lisa A ja ISO/IEC 27002:2022 | NIS2 | DORA | GDPR |
|---|---|---|---|---|
| Domeeni varade register | 5.9 Teabe ja muu seotud vara register | Article 21(2)(i) | Article 8 | Articles 5 and 32 |
| Registripidaja kui tarnija | 5.19, 5.20, 5.22 | Article 21(2)(d) | Chapter V | Article 28 and Article 32 |
| Registripidaja juurdepääsukontroll ja MFA | 5.15, 5.16, 5.18, 8.5 | Article 21(2)(i) and 21(2)(j) | Article 9 | Article 32 |
| Registri ja registripidaja lukustus | 5.15, 8.20, 8.21, 8.32 | Article 21(2)(a) and 21(2)(e) | Articles 9, 10 and 11 | Article 32 |
| DNS-tsooni muudatuste kontroll | 8.9, 8.32 | Article 21(2)(a) and 21(2)(e) | Articles 9, 10 and 11 | Articles 5 and 32 |
| DNSSEC-i rakendamine | 8.24 Krüptograafia kasutamine | Article 21(2)(h) | Articles 9 and 10 | Article 32 |
| DNS-i logimine ja seire | 8.15 Logimine, 8.16 Seiretegevused | Article 21(2)(a), 21(2)(b) and 21(2)(f) | Articles 10 and 17 | Articles 5, 32 and 33 |
Koostage DNS-i tõendusmaterjali pakett ühe nädalaga
Praktilise DNS-i juhtimise parandusplaani saab kiiresti lõpule viia, kui see on tõenduspõhine.
1. päev: looge domeenide ja DNS-teenuste register
Alustage Varahalduse poliitika - VKE nõudest dokumenteerida omand, eesmärk, juurdepääsuõigused ja uuendamise tähtajad.
| Väli | Näide |
|---|---|
| Domeen | example.com |
| Ärialane eesmärk | Kliendiportaal, API, e-post |
| Kriitilisus | Kriitiline |
| Registripidaja | Registripidaja A |
| Registri lukustus | Sisse lülitatud |
| Registripidaja lukustus | Sisse lülitatud |
| DNS-teenuse pakkuja | Hallatud DNS-teenuse pakkuja B |
| DNSSEC | Sisse lülitatud, DS avaldatud |
| Omanik | Platvormivaldkonna juht |
| Turbeomanik | CISO |
| Uuendamise kuupäev | 2027-04-12 |
| Seire | SIEM-i teavitus ja väline DNS-seire |
| Muudatuste töövoog | Jira DNS-i muudatuse tüüp |
| Tarnija läbivaatamise kuupäev | 2026-03-15 |
2. päev: vaadake üle juurdepääs ja õigused
Eksportige registripidaja ja DNS-teenuse pakkuja kasutajad. Eemaldage aegunud kontod. Rakendage MFA. Tuvastage administraatorid. Registreerige privilegeeritud kasutajate heakskiidu tõendusmaterjal ja dokumenteerige erakorraline juurdepääs.
3. päev: valideerige DNSSEC ja lukustused
Iga kriitilise domeeni puhul kontrollige DNSSEC-i ahela valideerimist, DS-kirje täpsust, DNSKEY nähtavust, registripidaja lukustust ja registri lukustust. Kui DNSSEC-i haldab teenusepakkuja, dokumenteerige teenusepakkuja vastutus. Kui seda haldab klient, lisage DNSSEC-i võtmed ja hoidjad võtmehalduse registrisse.
4. päev: muutke DNS-i muudatused ametlikeks muudatuse kirjeteks
Valige kolm viimast DNS-i muudatust ja kontrollige neid Zenith Blueprint sammu 21 kriteeriumide alusel: risk hinnatud, heakskiit dokumenteeritud, tagasipööramise plaan lisatud, kavakohaselt rakendatud ja ootamatu mõju registreeritud. Looge muudatuse kirje kokkuvõtlik logi.
5. päev: siduge seire intsidentidele reageerimisega
Kinnitage logid ja teavitused registripidaja sisselogimise, tsoonimuudatuste, DNSSEC-i muudatuste, NS-muudatuste, MX-muudatuste, TXT-muudatuste, CAA-muudatuste ja teenusepakkuja teavituste kohta. Saatke testteavitused SOC-ile või IT-omanikule. Lisage tõendusmaterjal ISMS-i repositooriumisse.
6. päev: vaadake üle tarnijakohustused
Kasutage Zenith Blueprint sammu 23 juhiseid tarnijate muudatuste ja seireprotseduuride kohta:
Kehtestage lihtne ja skaleeritav protseduur tarnijateenuste muudatuste (5.21) hindamiseks, näiteks pilve migreerimine, uued alltöötlejad või taristu ümberkujundamine. Määratlege päästikud, mis nõuavad turbe kordushindamist. Seejärel rakendage korduv tarnijate seire rütm (5.22), määrates kriitilistele tarnijatele omanikud ning tagades, et toimivus, vastavus ja riskid vaadatakse üle vähemalt kord aastas.
Faasist „Kontrollimeetmed tegevuses“, samm 23: organisatsioonilised kontrollimeetmed 5.19 kuni 5.37.
Clarysec’i ettevõtte Kolmandate osapoolte ja tarnijate turbepoliitika Kolmandate osapoolte ja tarnijate turbepoliitika annab lepingulise ankru:
Tarnijatega sõlmitud lepingud peavad sisaldama:
Jaotisest „Juhtimisnõuded“, poliitika punkt 5.3.
| Lepingu teema | DNS-spetsiifiline nõue |
|---|---|
| Turbevastutused | Kes haldab DNSSEC-i, lukustusi, logisid, juurdepääsu, varukoopiaid ja muudatuste heakskiite |
| Intsidenditeavitus | Ajakavad ja kanalid registripidaja kompromiteerimise, DNS-i katkestuse või loata muudatuse korral |
| Toe eskaleerimine | 24/7 erakorraline eskalatsioonitee kriitiliste domeenide jaoks |
| Muudatustest teavitamine | Eelteavitus platvormimigreerimiste, API-muudatuste ja alltöötlejate muudatuste kohta |
| Tõendusmaterjal | Juurdepääsulogid, muudatuste ajalugu, lukustuse staatus, DNSSEC-i staatus ja käideldavusaruanded |
| Väljumine | Domeeni ülekanne, tsooni eksport, DNSSEC-i migreerimine ja lukustuse eemaldamise protseduur |
7. päev: viige läbi lauaõppus
Simuleerige loata NS-kirje muudatust. Meeskond peab selle tuvastama, klassifitseerima, eskaleerima, võtma ühendust registripidajaga, vajaduse korral käivitama registri lukustuse protseduurid, taastama õige delegeerimise, valideerima DNSSEC-i, teavitama sidusrühmi, hindama GDPR-i mõju ning otsustama, kas NIS2 või DORA teavitamislävendid on täidetud. Jäädvustage õppetunnid ja uuendage protseduure.
Auditi küsimused, levinud leiud ja juhatuse mõõdikud
DNS-i juhtimise auditit tehakse harva ainult ühest vaatenurgast.
| Audiitori vaatenurk | Tõenäoline auditi küsimus | Tugev tõendusmaterjal |
|---|---|---|
| ISO/IEC 27001:2022 audiitor | Kas domeenid on kohaldamisalas, riskihinnatud, omanikuga, kontrollitud, seiratud ja kaasatud tarnijajuhtimisse? | ISMS-i kohaldamisala, riskiregister, vararegister, kohaldatavusdeklaratsioon, muudatusetaotlused, tarnijate läbivaatamised ja logid |
| NIST CSF 2.0 hindaja | Kas DNS-i riske juhitakse, tuvastatakse, kaitstakse, avastatakse, neile reageeritakse ja neist taastutakse? | Praegune ja sihtprofiil, puudujääkide plaan, vararegister, juurdepääsukontrollid, seireteavitused ja taastamiskirjed |
| DORA läbivaataja | Kas DNS toetab kriitilisi või olulisi funktsioone ning kas sõltuvus on juhitud, testitud ja taastatav? | IKT varasõltuvuste kaart, tegevuskerksuse testiplaan, intsidentide klassifitseerimise protsess, kolmandate osapoolte register ja taastamise tõendusmaterjal |
| GDPR-i läbivaataja | Kas DNS-i intsident võib mõjutada isikuandmeid ning kas organisatsioon saab tõendada asjakohast turvalisust? | Article 32 tõendusmaterjal, intsidendi hindamine, volitatud töötleja järelevalve, juurdepääsukontroll, muudatuste ja seire kirjed |
| COBIT 2019 või ISACA audiitor | Kas domeenidega seotud juhtimise eesmärgid on teisendatud hallatavateks protsessideks koos omandi, mõõdikute ja kindlust andva tõendusmaterjaliga? | RACI, protsessieesmärgid, KPI-d, KRI-d, tarnijate toimivuse ülevaatused, juhtkonna aruandlus ja parandusmeetmete jälgimine |
Kõige levinumad leiud on etteaimatavad.
| Leid | Risk | Clarysec’i parandus |
|---|---|---|
| Domeenid puuduvad vararegistrist | Aegumine, omandi ebaselgus ja puudulik riskihindamine | Lisage domeenid vararegistrisse koos omaniku, eesmärgi, kriitilisuse, uuendamise ja sõltuvustega |
| Jagatud registripidaja administraatorikonto | Puudub vastutuse omistamine ja nõrk intsidendi kohtuekspertiis | Liikuge nimelistele kasutajatele, MFA-le, vähima privileegi põhimõttele ja kvartaalsetele läbivaatamistele |
| Kriitilisel domeenil puudub registri lukustus | Suure mõjuga loata delegeerimine või ülekanne | Lülitage registri lukustus sisse ja dokumenteerige erakorralise avamise protseduur |
| DNSSEC on osaliselt sisse lülitatud | Valideerimistõrked või näiline kindlus | Valideerige ahel, DS-kirjed, võtmeomand ja rotatsiooniplaan |
| DNS-i muudatused tehakse väljaspool muudatusetaotlusi | Katkestus, valesti marsruutimine ja auditi ebaõnnestumine | Nõudke ametlikku DNS-i muudatuse tüüpi koos heakskiidu ja tagasipööramisega |
| NS- või MX-muudatuste kohta puuduvad teavitused | Kaaperdamise või e-posti ümbersuunamise aeglane tuvastamine | Integreerige DNS-seire SIEM-i ja eskalatsiooni tööjuhisega |
| Registripidajat ei vaadata tarnijana üle | Lepingulüngad ja intsidentidele reageerimise puudujäägid | Lisage registripidaja ja DNS-teenuse pakkuja tarnijate seire rütmi |
| Intsidendi tööjuhis puudub | Viivitatud taastamine ja teavitamiskohustuste ebaselgus | Looge DNS-i kaaperdamise ja DNS-i katkestuse tööjuhised ning testige neid lauaõppusel |
Juhatused ja juhtkonnad vajavad DNS-i mõõdikuid toimepidevuse keeles. Kasulikud mõõdikud hõlmavad kriitiliste domeenide osakaalu, millel DNSSEC on sisse lülitatud ja valideeritud; registri lukustusega domeenide osakaalu; registripidaja administraatorite arvu; viimase kvartali jooksul üle vaadatud privilegeeritud kasutajate osakaalu; ametlike muudatusetaotlusteta rakendatud DNS-i muudatuste arvu; keskmist aega loata DNS-i muudatuse tuvastamiseni; keskmist aega õige DNS-konfiguratsiooni taastamiseni; 90 päeva jooksul aeguvaid domeene; lõpule viidud tarnijate läbivaatamisi ja lahendamata DNS-seire teavitusi.
Muutke DNS varjatud riskist auditiks valmis tõendusmaterjaliks
Kui teie organisatsioon ei ole viimase kuue kuu jooksul domeenide ja DNS-i juhtimist üle vaadanud, eeldage triivi. Alustage kriitilistest tootmiskeskkonna domeenidest ning laiendage seejärel piirkondlikele domeenidele, kaitseotstarbelistele domeenidele, testdomeenidele, omandamisega saadud domeenidele ning agentuuride või tütarettevõtete hallatavatele domeenidele.
Clarysec aitab teil liikuda hajutatud registripidaja kuvatõmmistest struktureeritud tõendusmaterjali paketini, kasutades:
- Zenith Blueprint: audiitori 30-sammuline teekaart Zenith Blueprint võrguteenuste, muudatuste juhtimise, logimise, seire ja tarnijate kontrollimeetmete samm-sammuliseks valideerimiseks;
- Zenith Controls: ristvastavuse juhend Zenith Controls DNSSEC-i, registri lukustuse, tarnijate seire ja tsoonimuudatuste juhtimise kaardistamiseks ISO/IEC 27001:2022, NIS2, DORA, GDPR, NIST ja COBIT 2019 vaatenurkade lõikes;
- Clarysec’i poliitikamalle, sealhulgas Varahalduse poliitika - VKE, Muudatuste haldamise poliitika - VKE, Kasutajakontode ja õiguste haldamise poliitika - VKE, Võrguturbe poliitika - VKE, Varahalduse poliitika, Muudatuste haldamise poliitika, logimis- ja seirepoliitika, Krüptograafiliste kontrollimeetmete poliitika ja Kolmandate osapoolte ja tarnijate turbepoliitika
Teie domeen on teie digitaalse äri välisuks. 2026. aastal eeldavad audiitorid, regulaatorid, kliendid ja juhatused, et suudate tõendada: välisuks on lukustatud, seiratud, taastatav ja juhitud.
Laadige alla Clarysec’i tööriistakomplekt, viige läbi ühe nädala DNS-i tõendusmaterjali paketi harjutus või broneerige Clarysec’i hindamine, et muuta DNS-i ja registripidaja juhtimine auditiks valmis tõendusmaterjaliks enne teie enda esmaspäevahommikust kriisi.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
