⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →
ET EN BG CS DA DE EL ES FI FR GA HR HU IT LT LV MT NL PL PT RO SK SL SV
NIS2 DORA GDPR NIST COBIT 2019

ISO 27001 ohuteave NIS2 ja DORA jaoks

Igor Petreski
15 min read
#Riskijuhtimine #Audit #ISMS #Intsidentidele reageerimine #Tarnijahaldus #Logimine ja seire
ISO 27001 ohuteabe töövoog NIS2 ja DORA vastavustõendite jaoks

Teisipäeva hommikul kell 07.42 saab Euroopa fintech-ettevõtte infoturbejuht enne kohvi neli sõnumit.

Esimene on riikliku CERT-i teavitus, mis hoiatab, et kaugjuurdepääsu haavatavust kasutatakse aktiivselt ära. Teine on tarnija turvateade, mis kinnitab, et mõjutatud komponenti kasutatakse hallatavas failiedastusteenuses. Kolmas on hallatud tuvastus- ja reageerimisteenuse (MDR) teavitus ebatavalise väljuva liikluse kohta tootmisvälisest alamvõrgust. Neljas on finantsjuhilt: „Kas see mõjutab meie DORA valmisolekupaketti ja kas peame NIS2 alusel kedagi teavitama?“

See on 2026. aasta ohuteabe probleem. Küsimus ei ole rohkemate voogude kogumises. Küsimus on tõendamises, et asjakohane küberohuteave võetakse vastu, valideeritakse, suunatakse õigetele osapooltele, selle alusel tegutsetakse ning see muudetakse riski, tuvastuse, haavatavuste, intsidentide, tarnijate ja juhatuse jaoks kasutatavaks tõendusmaterjaliks.

Paljud organisatsioonid tellivad juba tarnijate turvateateid, CISA teavitusi, ENISA uuendusi, riiklikke CERT-teateid, ISAC-i bülletääne, pilveteenuse pakkujate turbeteavitusi, CVE vooge, MDR-aruandeid, ärakasutatavuse andmebaase ja tumeveebi seiret. Ometi tekib tegeliku turvateate saabudes endiselt rabelemine. SOC kirjutab tuvastusreegli. Taristumeeskond otsib varade registreid, mis ei pruugi olla ajakohased. Vastavusfunktsioon küsib, kas sündmus mõjutab NIS2 või DORA kohustusi. Juhtkond soovib selget vastust enne, kui organisatsioon üldse teab, kas haavatav komponent on tootmiskeskkonnas.

Probleem ei ole andmete puuduses. Probleem on auditikõlbliku toimemudeli puudumises.

Ohuteabe voog, mida keegi ei kasuta, ei ole kontrollimeede. Haavatavuse teavitus, mis ei muuda paikamise prioriteeti, ei ole tõendusmaterjal. Tarnijateade, mis ei jõua kunagi riskiregistrisse, ei ole tarneahela turvalisus. CSIRT-i hoiatus, mis ei uuenda seiret, intsidentide esmast hindamist ega juhtkonnale aruandlust, on lihtsalt postkasti müra.

Claryseci lähenemine on lihtne: ohuteabest peab saama riskiotsuste operatsioonisüsteem. See peab olema lõimitud ISMS-i kohaldamisalasse, riskihindamisse, kohaldatavusavaldusse, intsidentide tööjuhistesse, haavatavuste triaaži, logimisse ja seiresse, tarnijate juhtimisse, juhtkonnale aruandlusse ning auditi tõendusmaterjali paketti.

Miks ohuteave on nüüd juhatuse tasandi kontrollimeede

NIS2 muutis küberjulgeoleku juhtimise tooni. See toob paljud tarkvara teenusena (SaaS) pakkujad, pilveteenuse pakkujad, hallatud teenusepakkujad (MSP-d), hallatud turvateenuse pakkujad, digitaalse taristu organisatsioonid ja digiteenuse osutajad kohaldamisalasse oluliste või tähtsate üksustena sõltuvalt sektorist, suurusest ja liikmesriigi määratlusest.

NIS2 Article 21 nõuab riskide juhtimiseks asjakohaseid ja proportsionaalseid tehnilisi, operatiivseid ja organisatsioonilisi meetmeid. Need hõlmavad riskianalüüsi, intsidentide käsitlemist, talitluspidevust, tarneahela turvalisust, turvalisust hankimisel, arendamisel ja hooldusel, sealhulgas haavatavuste käsitlemist ja avalikustamist, tõhususe hindamist, põhilist küberhügieeni ja koolitust, krüptograafiat, personaliturvet, juurdepääsukontrolli, varahaldust ning vajaduse korral MFA-d või pidevat autentimist.

NIS2 Article 20 nõuab samuti, et juhtorganid kiidaksid heaks küberjulgeoleku riskijuhtimise meetmed, teeksid rakendamise üle järelevalvet ja läbiksid koolituse. Oluliste üksuste puhul võib maksimaalne haldustrahv ulatuda vähemalt 10 miljoni euroni või 2 protsendini üleilmsest aastakäibest, olenevalt sellest, kumb on suurem. Tähtsate üksuste puhul võib see ulatuda vähemalt 7 miljoni euroni või 1,4 protsendini.

Ohuteabe puhul muutub juhatuse tasandi küsimus järgmiseks: kuidas me teame, et esilekerkivad ohud muudavad meie kontrollimeetmeid enne, kui neist saavad intsidendid?

DORA lisab finantsüksustele ja asjakohastele kolmandatest isikutest IKT-teenuse osutajatele veel ühe kihi. Seda kohaldatakse alates 17. jaanuarist 2025 ning see nõuab usaldusväärset, terviklikku ja hästi dokumenteeritud IKT-riski juhtimise raamistikku, mis on lõimitud üldisesse riskijuhtimissüsteemi. DORA raamistik eeldab, et organisatsioonid tuvastavad ja klassifitseerivad IKT-toega ärifunktsioonid ja varad, kaitsevad ja ennetavad, tuvastavad anomaalset tegevust, reageerivad ja taastuvad, haldavad varukoopiaid ja taastamist, õpivad IKT intsidentidest, suhtlevad kriiside ajal ning juhivad kolmandatest isikutest IKT-teenuse osutajatega seotud riski.

DORA nõuab ka IKT-ga seotud intsidentide haldust, klassifitseerimist ja aruandlust. Article 17, Article 18 ja Article 19 käsitlevad intsidendihalduse protsesse, IKT-ga seotud intsidentide ja küberohtude klassifitseerimist ning olulistest IKT-ga seotud intsidentidest teatamist. Article 10 keskendub anomaalsete tegevuste tuvastamisele. Article 6 kuni Article 11 kirjeldavad IKT-riski juhtimise raamistikku ning tuvastamise, kaitse, ennetamise, tuvastuse, reageerimise ja taastamise ootusi.

Lihtsalt öeldes eeldab DORA ohuteadlikku vastupidavust. Mitte staatilist vastupidavust. Mitte kord aastas uuendatava poliitika vastupidavust. Ohuteadlikku vastupidavust.

ISO/IEC 27001:2022 annab juhtimissüsteemi mootori, mis need ootused kokku ühendab. Punktid 4.1 kuni 4.4 nõuavad, et organisatsioon mõistaks oma sisemist ja välist konteksti, huvitatud osapooli, õiguslikke ja regulatiivseid kohustusi, ISMS-i kohaldamisala, sõltuvusi ning omavahel toimivaid protsesse. Punktid 6.1.1 kuni 6.1.3 nõuavad korratavat riskihindamise ja riskikäsitluse protsessi, kontrollimeetmete valikut, võrdlust lisa A-ga, kohaldatavusavaldust, käsitlusplaani ning jääkriski heakskiitu riskiomaniku poolt.

Ohuteave kuulub sinna mitte kõrvalise juhtpaneelina, vaid sisendina konteksti, riski, kontrollimeetmete valikusse, käsitlusse, seiresse, juhtkonna läbivaatusse ja pidevasse täiustamisse.

Vastavuse lõks: ohuteabe vood ilma otsuste jälgitavuseta

Kõige levinum läbikukkumise muster on petlikult lihtne: organisatsioon saab ohuteavet, kuid ei suuda tõendada, kuidas see otsuseid muudab.

Nõrk tõendusahel näeb tavaliselt välja nii:

Saabunud signaalNõrk reageeringAudiitori mure
CERT-i teavitus aktiivse ärakasutuse kohtaEdastati IT postkastiPuudub tõendusmaterjal riskihindamise, vastutuse või tegevuse kohta
Tarnija bülletään kriitilise paiga kohtaLisati piletite tööjärjekordaPuudub prioriseerimine vara kriitilisuse või ärakasutustegevuse alusel
MDR-i tuvastus kahtlase käsurea kohtaSuleti valepositiivsenaPuuduvad dokumenteeritud triaažikriteeriumid või õppetundide rakendamise tsükkel
Tarnijateade kompromiteeritud sõltuvuse kohtaSalvestati hankekaustaPuudub tarnijariski uuendus või kompenseeriva kontrollimeetme ülevaatus
ISAC-i hoiatus sektori kampaania kohtaMainiti SOC-i koosolekulPuudub seire, teadlikkuse või intsidendi tööjuhise uuendus

Siin aitab Claryseci rakendusmeetod organisatsioonidel liikuda väitest „me saame ohuteavet“ väiteni „me viime ohuteabe operatiivsetesse tegevustesse“.

Dokumendis Zenith Blueprint: audiitori 30-sammuline teekaart Zenith Blueprint muudab kontrollimeetmete rakendamise etapp ohuteabe selgelt auditikõlblikuks praktikaks. Samm 22 „Organisatsioonilised kontrollimeetmed“ sätestab:

Kehtestage dokumenteeritud loend ohuteabe allikatest (5.7), sh tarnijad, ISAC-id või avatud allikad, ning määrake, kuidas teavet valideeritakse ja otsustamisse lõimitakse. Määrake, kes ohuteavitusi saab ja kuidas neid rakendatakse (nt paikamise prioriseerimine, teadlikkuse koolitus). Koostage lühike ohutrendide briifing, mida jagatakse kord kvartalis peamistele sidusrühmadele.

See juhis on sild ohuandmete ja vastavuse tõendusmaterjali vahel. Ohuteabe register ei ole lihtsalt allikate loend. See tõendab asjakohasust, omanikuvastutust, valideerimist, suunamist, lõimimist ja ärilist kasutust.

ISO 27001 kontrolliloogika: ohuteabe ahel

ISO/IEC 27002:2022 kontrollimeede 5.7 „Ohuteave“ nõuab, et organisatsioonid koguksid ja analüüsiksid infoturbeohtudega seotud teavet ning kasutaksid seda ohuteabe loomiseks. Dokumendis Zenith Controls: ristvastavuse juhend Zenith Controls on kontrollimeede 5.7 liigitatud ennetavaks, tuvastavaks ja korrigeerivaks. See toetab konfidentsiaalsust, terviklust ja käideldavust, joondub küberjulgeoleku mõistetega Identify, Detect ja Respond ning paikneb operatiivse võimekusena ohu- ja haavatavuste halduses.

See klassifikatsioon on oluline. Ohuteave ennetab, andes sisendi kõvendamisse, paikamisse, koolitusse ja tarnijate kontrollimeetmetesse. See tuvastab, kujundades seiret, SIEM-i reegleid ja ohujahti. See korrigeerib, parandades intsidentidele reageerimist, saadud õppetundide rakendamist ja riskikäsitlust.

Zenith Controls seob ISO/IEC 27002:2022 kontrollimeetme 5.7 ka toetavate kontrollimeetmetega:

ISO/IEC 27002:2022 kontrollimeetme seosMiks see praktikas oluline on
5.6 Kontaktid erihuvirühmadegaISAC-id, CERT-id, erialafoorumid ja sektori kogukonnad on ohuteabe allikad, mitte pelgalt võrgustike loomise lisad
8.7 Kaitse pahavara vastuKompromiteerimise indikaatorid (IOC-d), pahatahtlikud URL-id, räsid, käsu- ja juhtimistaristu ning ründemustrid uuendavad lõppseadmete ja e-posti kaitset
8.8 Tehniliste haavatavuste haldusTegeliku ärakasutuse kohta käiv ohuteave muudab haavatavuste prioriteeti ja paikamise kiireloomulisust
8.15 LogimineLogid annavad faktilise kirje, mida on vaja indikaatorite otsimiseks ja tegevuse rekonstrueerimiseks
8.16 SeiretegevusedOhuteave ütleb SOC-ile, mida seirata, samal ajal kui seire loob sisemist ohuteavet
5.25 Infoturbesündmuste hindamine ja otsustamineOhuteabel põhinev triaaž aitab otsustada, kas sündmus on turbeintsident

Seos haavatavustega on eriti oluline. Zenith Controls käsitleb kontrollimeedet 8.8 „Tehniliste haavatavuste haldus“ ennetavana ja otseselt kontrollimeetmega 5.7 seotuna, sest tegeliku maailma ohuteave näitab, milliseid haavatavusi aktiivselt ära kasutatakse. Samuti seob see 8.8 kontrollimeetmega 8.16 „Seiretegevused“, sest täheldatud ärakasutuskatsed peavad suurendama paikamise kiireloomulisust.

See loob praktilise ohuteabe ahela:

  1. Väline või sisemine ohuteave saabub.
  2. Asjakohasust valideeritakse varade, tarnijate, geograafia, sektori, äriteenuste ja andmete suhtes.
  3. Risk ajakohastatakse.
  4. Paikamise ja konfiguratsiooni prioriteedid muutuvad.
  5. Tuvastusloogikat häälestatakse.
  6. Vaadatakse läbi intsidentide tööjuhised ja klassifitseerimislävendid.
  7. Kontrollitakse tarnija- ja pilvesõltuvusi.
  8. Juhtkond saab trendiaruandlust.
  9. Tõendusmaterjal säilitatakse audiitorite, regulaatorite ja klientide jaoks.

Poliitikad, mis muudavad ohuteabe vastutavaks käitumiseks

Poliitikad on koht, kus kontrolliloogikast saab rollipõhine vastutus. Claryseci VKE- ja ettevõtte poliitikakomplektid sisaldavad ohuteabe seoseid riskijuhtimises, lõppseadmete kaitses, haavatavuste halduses, logimises, seires ja auditi tõendusmaterjalis.

VKE-de jaoks seab Lõppseadmete kaitse ja pahavara poliitika Lõppseadmete kaitse ja pahavara poliitika – VKE juhtimisnõuete punktis 5.4.1 otsese ootuse:

IT-tugiteenuse osutaja peab seirama usaldusväärseid ohuteabe allikaid (nt CISA, ENISA, suuremad viirusetõrje tarnijad) ja tagama, et tuvastussignatuurid püsivad ajakohased

Selle punkti väärtus seisneb vastutuse määramises. Ohuteave ei tähenda „keegi IT-st peaks teavitusi vaatama“. See on selgesõnaline teenuseosutaja kohustus.

Haavatavuste ja paikade halduse poliitika Haavatavuste ja paikade halduse poliitika – VKE tugevdab sama mudelit rollide ja vastutuste punktis 4.2.1:

Seirab süsteeme haavatavuste ja saadaolevate paikade suhtes, kasutades tarnijate teavitusi, ohuteabe teateid ja operatsioonisüsteemi teavitusi

Samuti määratleb see poliitika rakendamise nõuete punktis 6.2.1.3 allikatüübi, mis peab tegevuse käivitama:

Usaldusväärsed ohuteabe teated (nt CISA, ENISA, riiklikud CERT-i teavitused)

Ettevõtete puhul sätestab Haavatavuste ja paikade halduse poliitika Haavatavuste ja paikade halduse poliitika rollide ja vastutuste punktis 4.5.1:

Seirata ohuteateid (nt CVE, CISA KEV, tarnijate bülletäänid) ja eskaleerida kriitilised haavatavused.

Eskaleerimisnõue on otsustava tähtsusega. Haavatavus muutub kiireloomuliseks siis, kui ärakasutatavus, kokkupuude, ärikriitilisus, andmete tundlikkus ja ohutegevus langevad kokku.

Riskijuhtimise poliitika Riskijuhtimise poliitika lõimib ohuteabe analüüsi. Poliitika rakendamise nõuete punkt 6.2.2 sätestab:

Analüüs peab arvesse võtma olemasolevate kontrollimeetmete tõhusust, asjakohast ohuteavet, vara kriitilisust ja haavatavuse tõsidust.

See punkt on auditivalmis ohuteabe tuum. See tõendab, et riskianalüüs ei ole teoreetiline.

Logimis- ja seirepoliitika Logimis- ja seirepoliitika muudab ohuteabe tuvastuseks. Selle eesmärgi punkt 1.2 sätestab:

Auditilogimine, seire ja ohtude tuvastamine on kriitilised anomaaliate tuvastamiseks, ohtudele reageerimiseks, kohtuekspertiisiks, auditivalmiduseks ja õigusnõuetele vastavuseks. See poliitika tagab, et kõik süsteemi genereeritud sündmused salvestatakse, säilitatakse ja korreleeritakse nõuetekohaselt ajasünkroniseeritud täpsusega.

Lõpuks selgitab Auditi ja vastavuse seire poliitika Auditi ja vastavuse seire poliitika, miks tõendusmaterjali distsipliin on oluline. Eesmärkide punkt 3.4 nõuab, et organisatsioon looks tõendusmaterjali:

Luua kaitstav tõendusmaterjal ja auditijälg regulatiivsete päringute, kohtumenetluste või klientide kindlustandvate päringute toetamiseks.

Kui NIS2, DORA, klient või ISO audiitor küsib, mida te teadsite, millal te seda teadsite, kes otsustas ja mis muutus, eristab see tõendusahel küpset kindlust andvat toimimist kaitsepositsioonilt rabelemisest.

Ohuteabe registri loomine

Küps register koosneb kahest kihist: allikate juhtimine ja sündmuste jälgimine. Allikate juhtimine määratleb, mida organisatsioon usaldab, kes selle eest vastutab, kuidas seda valideeritakse ja millist tegevust see võib käivitada.

Allika nimiTüüpValideerimisprotsessLõimimiskohtOmanik
CISA KEV CatalogOperatiivneRistkontroll varade registri ja kokkupuutegaKäivitab erakorralise paikamise prioriseerimiseHaavatavuste haldus
ENISA teatedStrateegilineLäbivaatus riskiomaniku või riskikomitee pooltUuendab riskistsenaariume ja juhtkonna briifingutInfoturbejuht
Sektori ISACTaktikalineIOC-de analüüs tehnoloogiapinu asjakohasuse suhtesUuendab SIEM-i, EDR-i ja ohujahi ülesandeidSOC-i juht
Pilveteenuse pakkuja bülletäänidOperatiivneMõjutatud teenuste ja regioonide kontrollEskaleerimine pilveinsenerideleDevOps-juht
Tarnija paikamisteavitusedOperatiivneToote, versiooni ja juurutusulatuse kinnitamineLisatakse paikamistsüklisse või erakorralisse muudatusseIT-operatsioonid
MDR-i teavitusedTaktikaline ja operatiivneTriaaž logide, varade ja teadaolevate lähteolukordade suhtesAvatakse tuvastus-, uurimis- või intsidendijuhtumTurbeoperatsioonid
Tarnijate turbeteatedOperatiivneVastendamine lepingulistele teenustele ja andmevoogudeleUuendab tarnijariski ja kompenseerivaid kontrollimeetmeidTarnija omanik

Sündmuste jälgimine kirjeldab, kuidas konkreetsest turvateatest sai tõendusmaterjal. Naastes teisipäeva hommikuse failiedastuse stsenaariumi juurde, peab registrikanne sisaldama piisavalt teavet, et toetada riski-, reageerimis- ja vastavusotsuseid.

VäliNäidiskanne
Vastuvõtmise kuupäev ja kellaaeg2026-05-26 07:42 UTC
AllikasRiiklik CERT-i teavitus, tarnija bülletään, MDR-i teavitus
Allika tüüpValitsusasutuse teade, tarnija teade, sisemine tuvastus
Mõjutatud tehnoloogiaHallatav failiedastusteenus, versioonivahemik, sõltuvad teegid
ÄrivastutajaPlatvormioperatsioonide juht
RiskiomanikInfoturbejuht
Seos varagaVäline failiedastuslüüs, kliendiaruandluse töövoog
Esialgne tõsidusKõrge, kuni kokkupuude on valideeritud
Nõutavad tegevusedKokkupuute kontroll, paikamise staatus, tuvastuse ülevaatus, tarnija kinnitus
Vastavuse asjakohasusNIS2 Article 21, NIS2 Article 23, kui olulise intsidendi kriteeriumid on täidetud, ning vajaduse korral DORA IKT-riski ja intsidendi elutsükkel
Tõendusmaterjali asukohtPilet, riskiregistri uuendus, SIEM-i muudatus, juhtkonna märkus

See ei ole bürokraatia. See on faktiline kirje, mis tõendab, et organisatsioonil on määratletud vastuvõtu-, valideerimis-, triaaži-, eskaleerimis- ja tõendusprotsess.

Teavitusest auditi tõendusmaterjalini: praktiline töövoog

Ohuteabe töövoog peab kiiresti vastama kuuele küsimusele: kas oleme ohustatud, kui tõsine see on, mis peab muutuma, kes vastutab, kas peame teavitama ja milline tõendusmaterjal tuleb säilitada?

1. Valideeri kokkupuude ja ärimõju

ISO/IEC 27001:2022 punktid 4.1 kuni 4.4 nõuavad, et ISMS kajastaks organisatsiooni tegelikku konteksti, kohustusi ja sõltuvusi. Esimene ülesanne ei ole pimesi paikamine. Esimene ülesanne on kokkupuute valideerimine.

Küsi:

  • Kas kasutame mõjutatud tehnoloogiat?
  • Kas see on internetile avatud?
  • Kas seda kasutab kriitiline äriteenus?
  • Kas see töötleb isikuandmeid?
  • Kas seda käitab tarnija või hallatud teenusepakkuja?
  • Kas see on asjakohane DORA kriitilise või olulise funktsiooni jaoks?
  • Kas see on asjakohane NIS2 kohaldamisalas olevate teenuste jaoks?
  • Kas klientidega sõlmitud lepingutes on teavitamiskohustusi?
  • Kas logid on olemas, täielikud ja ajasünkroniseeritud?

Kui mõjutatud võivad olla isikuandmed, lisandub analüüsi ka GDPR vastutuse tõendatavus. GDPR nõuab töötlemise asjakohast turvalisust ja tõendatavat vastutust, sealhulgas suutlikkust hinnata, kas toimus isikuandmetega seotud rikkumine ja kas teavitamine on nõutav.

2. Uuenda riskiregistrit

Riskijuhtimise poliitika Riskijuhtimise poliitika – VKE annab juhtimisnõuete punktis 5.1.3 lihtsa ajastusreegli:

Riske tuleb üle vaadata kord kvartalis ja ajakohastada oluliste sündmuste ilmnemisel.

Usaldusväärne aktiivse ärakasutuse teade on oluline sündmus. Uuendus ei tohi oodata järgmist kvartaalset läbivaatamist.

RiskielementAjakohastatud hinnang
OhtHallatava failiedastuse haavatavuse aktiivne ärakasutamine
HaavatavusMõjutatud versioon, avatud liides, nõrk konfiguratsioon, puuduv paik
VaraKliendiandmete vahetusplatvorm
TagajärgTeenusehäire, loata juurdepääs andmetele, regulatiivne teavitamine, mõju klientide usaldusele
TõenäosusSuurenenud aktiivse tegelikus keskkonnas toimuva ärakasutuse tõttu
Olemasolevad kontrollimeetmedMFA, WAF, lõppseadmete kaitse, SIEM-i seire, varundus, tarnija SLA
KontrollilüngadPaik ei ole kinnitatud, tuvastus ei ole häälestatud, tarnija tõendusmaterjal on ootel
KäsitlusErakorraline paik, ajutine võrgupiirang, IOC-otsing, tarnija kinnitus, kliendimõju hindamine
Jääkriski omanikInfoturbejuht ja platvormioperatsioonide omanik

See seostub otseselt ISO/IEC 27001:2022 punktidega 6.1.1-6.1.3. Organisatsioon tuvastab riski, analüüsib tõenäosust ja tagajärgi, prioriseerib käsitluse, valib kontrollimeetmed, haldab kohaldatavusavaldust, koostab käsitlusplaani ja hangib jääkriski heakskiidu.

3. Prioriseeri haavatavuste käsitlus ärakasutusteabe alusel

Zenith Blueprint selgitab kontrollimeetmete rakendamise etapis, sammus 19 „Tehnilised kontrollimeetmed I“, miks haavatavuste haldus on küberhügieeni keskne osa:

Haavatavuste haldamine on tänapäevase küberhügieeni üks kriitilisemaid valdkondi. Kuigi tulemüürid ja viirusetõrjevahendid pakuvad kaitset, võivad need kaitsemeetmed kaotada mõju, kui paikamata süsteemid või väärkonfigureeritud teenused jäävad avatuks. Selle kontrollimeetme täitmiseks peaksid organisatsioonid rakendama struktureeritud ja korratavat protsessi haavatavuste tuvastamiseks, hindamiseks ja kõrvaldamiseks.

CVSS üksi ei ole piisav. Keskmise skooriga haavatavus, mida aktiivselt kasutatakse ära internetile avatud süsteemis, võib olla kiireloomulisem kui kõrge skooriga haavatavus, mis asub segmenteeritud laboris.

TegurKüsimusTõendusmaterjal
ÄrakasutustegevusKas ärakasutust täheldatakse või sellest teatavad usaldusväärsed allikad?CERT-i teavitus, CISA KEV viide, tarnija bülletään, MDR-i aruanne
KokkupuudeKas vara on internetile avatud või tarnijatele ligipääsetav?Varade register, Cloud Security Posture Management (CSPM), võrguskaneerimine
ÄrikriitilisusKas see toetab olulisi teenuseid või kriitilisi funktsioone?Ärimõju analüüs, DORA funktsioonide kaardistus
Andmete tundlikkusKas see töötleb isikuandmeid, reguleeritud finantsandmeid või konfidentsiaalseid kliendiandmeid?Andmeregister, DPIA, töötlemiskirjed
Kompenseerivad kontrollimeetmedKas WAF, tulemüüri reeglid, segmentimine, EDR või funktsiooni keelamine saavad riski vähendada?Muudatuse pilet, tulemüüri reegel, EDR-i poliitika
OperatsiooniriskKas erakorraline paikamine võib häirida kriitilise teenuse osutamist?Muudatuse hinnang, tagasipööramiskava, talitluspidevuse plaan

See loob kaitstava otsuse. Samuti toetab see NIS2 Article 21(2)(e) haavatavuste käsitlemisel, NIS2 Article 21(2)(g) küberhügieenis ja DORA IKT-riski juhtimise ootusi.

4. Muuda ohuteave seireks ja tuvastuseks

Ohuteave peab jõudma logimise ja seireni. Logimis- ja seirepoliitika Logimis- ja seirepoliitika – VKE sätestab poliitika rakendamise nõuete punktis 6.2.1:

Turbetööriistad (nt viirusetõrje, tulemüürid, VPN-id) tuleb konfigureerida teavitusi genereerima määratletud ohustsenaariumide kohta, sealhulgas:

Väljavõte sõnastab kontrollimeetme eesmärgi selgelt: määratletud ohustsenaariumid peavad juhtima teavitamist.

Zenith Blueprint kirjeldab kontrollimeetmete rakendamise etapis, sammus 19, seiretegevusi järgmiselt:

Kui logimine on tegevus, mille käigus salvestatakse, mis teie keskkonnas toimub, siis seire on nende sündmuste jälgimine, mõistmine ja neile reageerimine. See kontrollimeede tähendab võrkude, süsteemide ja rakenduste aktiivset vaatlemist ebatavalise tegevuse tuvastamiseks mitte ainult tagantjärele, vaid võimaluse korral reaalajas või peaaegu reaalajas.

Failiedastuse stsenaariumi puhul peab SOC või IT-teenusepakkuja:

  • Lisama või valideerima CERT-i ja tarnija teavituse IOC-d.
  • Otsima logidest teadaolevaid ärakasutusteid, kahtlaseid üleslaadimisi, veebikesta indikaatoreid, ebatavalist protsessikäivitust ja ootamatuid väljuvaid ühendusi.
  • Kinnitama, et autentimise, administraatorite tegevuse, failijuurdepääsu, API ja võrgu logid on säilitatud.
  • Häälestama SIEM-i teavitused ärakasutusmustri jaoks.
  • Loome juhtumimärkuse, mis selgitab, mida otsiti, mida leiti ja kes selle läbi vaatas.
  • Eskaleerima intsidendi klassifitseerimisele, kui indikaatorid viitavad kompromiteerimisele, andmete avalikustumisele või teenusemõjule.

Siin muutub intsidentidest teavitamine praktiliseks. NIS2 Article 23 nõuab olulistest intsidentidest etapiviisilist teatamist, sh varajast hoiatust 24 tunni jooksul, teavitust 72 tunni jooksul, vaheuuendusi nõudmise korral ja lõpparuannet hiljemalt ühe kuu jooksul pärast teavitust. DORA nõuab, et finantsüksused tuvastaksid, haldaksid, klassifitseeriksid ja teataksid olulistest IKT-ga seotud intsidentidest regulatsioonis ja sellega seotud tehnilistes standardites määratletud etapiviisilise protsessi kaudu.

Ohuteave aitab otsustada, kas organisatsioon on veel haavatavusele reageerimise, turbesündmuse hindamise või reguleeritud intsidendist teatamise etapis.

Üks töövoog, mitu vastavuskohustust

Ohuteave on ideaalne lõimitud vastavuse töövoog, sest sama tõendusmaterjal toetab mitut raamistikku.

Raamistik või regulatsioonMida see eeldabOhuteabe tõendusmaterjal
ISO/IEC 27001:2022Kontekstitundlik ISMS, riskihindamine, kontrollimeetmete valik, käsitlusplaan, pidev täiustamineISMS-i kohaldamisala, riskiregister, kohaldatavusavaldus, käsitlusplaan, juhtkonna läbivaatuse sisendid
ISO/IEC 27002:2022Ohuteave, haavatavuste haldus, logimine, seire, intsidentide hindamine, pahavarakaitseOhuteabe register, IOC-uuendused, SIEM-i reeglid, paikamispiletid, intsidentide triaažimärkused
NIS2Riskijuhtimine, intsidentide käsitlemine, küberhügieen, haavatavuste käsitlemine, tarneahela turvalisus, juhtkonna järelevalveArticle 20 ja 21 tõendusmaterjal, juhtkonna briifingud, CSIRT-i aruandlusprotseduur, tarnijateadete järeltegevused
DORAIKT-riski raamistik, tuvastus, talitluspidevus, intsidendi elutsükkel, vastupidavuse testimine, kolmandatest isikutest IKT-teenuse osutajate riskIKT-varade klassifitseerimine, tuvastusjuhtumid, intsidendi klassifitseerimise kirjed, vastupidavustestide sisendid, IKT-tarnija kirjed
GDPRTöötlemise turvalisus, vastutuse tõendatavus, rikkumise tuvastamise ja teavitamise tugiAndmekaitsealase mõjuhinnangu tulemused, juurdepääsulogid, seire tõendusmaterjal, rikkumise hindamise kirje
NIST CSF 2.0Govern, Identify, Protect, Detect, Respond, Recover tulemusedPraegune profiil, sihtprofiil, prioriseeritud tegevuskava, riskikommunikatsioon
COBIT 2019 auditi vaadeRiski, kontrollimeetmete, toimivuse, kindluse ja vastutuse juhtimineKontrollimeetme omanikuvastutus, juhtkonna mõõdikud, kindlust andev tõendusmaterjal, probleemide parandusmeetmete jälgimine

NIST CSF 2.0 on eriti kasulik tippjuhtkonnaga suhtlemisel. Selle põhifunktsioonid Govern, Identify, Protect, Detect, Respond ja Recover muudavad tehnilise ohuteabe juhatusele arusaadavaks looks:

  • Govern: ohuteabe allikad, omanikud ja aruandlusliinid on määratletud.
  • Identify: mõjutatud varad, tarnijad, äriteenused ja andmed on kaardistatud.
  • Protect: paikamine, kõvendamine, segmentimine ja lõppseadmete signatuurid on ajakohastatud.
  • Detect: seirereeglid, IOC-d ja ohujahi ülesanded on juurutatud.
  • Respond: intsidendi tööjuhised, triaažireeglid ja teavitamislävendid on läbi vaadatud.
  • Recover: varukoopiad, taastamise prioriteedid ja saadud õppetunnid on valideeritud.

See muudab toore küberohuteabe riskijuhtimiseks.

Audiitori vaade: mida nad küsivad

Tugev ohuteabe protsess peab vastu pidama erinevatele auditistiilidele. ISO audiitor, NIS2 läbivaataja, DORA järelevalveasutus, NIST CSF hindaja, COBIT 2019-põhine audiitor, ISACA spetsialist või andmekaitse läbivaataja võib kasutada erinevat sõnavara, kuid kõik jõuavad tõendusmaterjalini.

Audiitori vaadeTõenäoline auditiküsimusTõendusmaterjal, mis sellele vastab
ISO/IEC 27001:2022 audiitorKuidas mõjutab väline ja sisemine kontekst ISMS-i riske ja kontrollimeetmeid?Ohuteabe register, riskimetoodika, ajakohastatud riskiregister, kohaldatavusavalduse põhjendus
ISO/IEC 27002:2022 kontrollimeetmete läbivaatajaKuidas on kontrollimeetmed 5.7, 8.8, 8.16, 8.15, 8.7 ja 5.25 seotud?Allikate loend, haavatavuste triaaž, SIEM-i häälestus, pahavara signatuuride uuendused, sündmuste hindamise kirjed
NIS2 läbivaatajaKuidas täidate juhtkonna järelevalve, küberhügieeni, haavatavuste käsitlemise, intsidentide käsitlemise ja tarneahela turvalisuse nõudeid?Article 20 ja 21 vastendus, juhtkonna briifingud, CSIRT-i teavitusprotseduur, tarnijateadete töövoog
DORA järelevalveasutusKuidas ajakohastab ohuteave IKT-riski, tuvastust, vastupidavuse testimist ja intsidendi klassifitseerimist?IKT-riski raamistik, kriitiliste funktsioonide kaardistus, tuvastusjuhtumid, intsidendi klassifitseerimise kirjed, vastupidavustesti kohaldamisala
NIST CSF hindajaMis on teie praegune profiil, sihtprofiil ja prioriseeritud tegevuskava?CSF-profiil, lünkade hindamine, tegevuskava, pidevate uuenduste logi
COBIT 2019 või ISACA audiitorKes kontrollimeetme eest vastutab, kuidas toimivust mõõdetakse ja kuidas erandid kõrvaldatakse?RACI, KPI-d, KRI-d, erandiregister, parandusmeetmete piletid, juhtkonna kinnitus
GDPR audiitor või andmekaitse läbivaatajaKuidas kaitsesid seire ja haavatavuste haldus isikuandmeid ning toetasid rikkumise hindamist?Andmetöötluse kaart, logid, rikkumise hindamine, tehniliste ja korralduslike meetmete tõendusmaterjal

Zenith Controls annab nende arutelude jaoks ristvastavuse tõlgenduse. Kontrollimeetme 8.16 „Seiretegevused“ puhul seob juhend seire GDPR-i turvalisuse ja rikkumisega seotud vastutuse tõendatavusega, NIS2 intsidentide käsitlemise ja aruandlusega ning DORA tuvastus- ja reageerimisootustega. Kontrollimeetme 8.8 „Tehniliste haavatavuste haldus“ puhul seob see haavatavuste käsitlemise GDPR-i töötlemise turvalisusega, NIS2 Article 21(2)(e)-ga ja DORA proaktiivse IKT-riski juhtimisega.

Just sellist tõendusmaterjali koondumist audiitorid näha tahavad.

Juhtkonnale aruandlus: kvartaalne ohutrendide briifing

Ohuteabe register ei tohi jääda SOC-i sisse. Zenith Blueprint soovitab peamistele sidusrühmadele lühikest kvartaalset ohutrendide briifingut. Clarysec soovitab üheleheküljelist juhtkonna aruannet viie jaotisega:

  1. Kolm kõige asjakohasemat ohutrendi ärimõju järgi.
  2. Kõige enam kokkupuutuvad tehnoloogiad või tarnijad.
  3. Kriitilised haavatavused, mis paigati, maandati või aktsepteeriti.
  4. Tehtud tuvastus- ja reageerimisparandused.
  5. Juhtkonnalt nõutavad otsused.

Tugev juhtkonna briifing ei loetle 400 CVE-d. See selgitab riski liikumist. Näiteks:

  • Hallatud teenusepakkujaid sihtiv lunavara suurendas tarnijate läbivaatamise prioriteeti.
  • Failiedastusplatvormide ärakasutamine käivitas erakorralise paikamise ja kompenseeriva tulemüürireegli.
  • Pilveidentiteedi ründed põhjustasid MFA erandite läbivaatamise ja tingimusliku juurdepääsu kõvendamise.
  • Sektori ISAC-i ohuteave viis uute andmepüügi simulatsioonideni finants- ja tugimeeskondade jaoks.
  • DORA kriitiliste funktsioonide kaardistus tõi esile ühe seirelünga kolmanda osapoole töövoos.

See briifing toetab NIS2 juhtkonna vastutust, DORA IKT-riski juhtimist, ISO/IEC 27001:2022 juhtkonna läbivaatust ja klientidele kindluse andmist.

Levinud läbikukkumise mustrid

Ohuteabe programmid paistavad slaididel sageli küpsed, kuid on auditis nõrgad. Kõige levinumad läbikukkumise mustrid on:

  • Liiga palju vooge ja puuduvad valideerimiskriteeriumid.
  • Puudub seos ohuteabe ja varade registri vahel.
  • Suurte turvateadete järel puudub dokumenteeritud riskiuuendus.
  • Paikamise prioriteet põhineb ainult skanneri tõsidusel.
  • Tarnijateateid käsitletakse väljaspool ISMS-i.
  • SOC-i reegleid uuendatakse ilma muudatuste kirjeteta.
  • Intsidendilävendid ei ole kooskõlas NIS2 või DORA aruandluse töövoogudega.
  • Juhatuse aruandlus keskendub teavituste mahule, mitte äririskile.
  • Puudub tõendusmaterjal, et saadud õppetunnid muutsid kontrollimeetmeid.
  • Puudub omanik ohuteabe registri haldamiseks.

Lahendus ei ole veel ühe voo ostmine. Lahendus on kontrollimeetmete lõimimine.

10-punktiline valmisoleku kontrollnimekiri 2026. aastaks

Kasuta seda kontrollnimekirja praktilise sisemise läbivaatamisena.

Valmisoleku küsimusJah või ei
Kas meil on heakskiidetud ohuteabe register koos allikaomanike ja valideerimisreeglitega?
Kas CERT-i, CSIRT-i, ISAC-i, tarnijate, pilveteenuse pakkujate, MDR-i ja tarnijate nõuandeid suunatakse nimeliselt määratud rollidele?
Kas olulised turvateated käivitavad riskiregistri läbivaatamise väljaspool kvartaalset tsüklit?
Kas haavatavuste prioriseerimine hõlmab ärakasutustegevust, vara kriitilisust, andmete tundlikkust ja kokkupuudet?
Kas IOC-d ja ohustsenaariumid teisendatakse seirereegliteks või ohujahi ülesanneteks?
Kas lõppseadmete signatuuride, pilvetuvastuste ja dünaamiliste ohuteabe voogude ajakohasust kontrollitakse?
Kas tarnijateateid hinnatakse tarneahela riski ja lepinguliste kohustuste suhtes?
Kas intsidendi klassifitseerimise kriteeriumid on vajaduse korral kooskõlas NIS2 ja DORA aruandluse töövoogudega?
Kas juhtkond saab kord kvartalis ohutrendide briifingu?
Kas suudame ühe tööpäeva jooksul koostada tõendusmaterjali paketi audiitorile, regulaatorile või kliendile?

Kui vastus mõnele neist küsimustest on „ei“, ei ole organisatsioonil lihtsalt ohuteabe probleem. Tal on ISMS-i lõimimise probleem.

Kuidas Clarysec aitab muuta ohuteabe tõendusmaterjaliks

Claryseci meetod on mõeldud organisatsioonidele, kes vajavad samal ajal praktilist turvalisust ja usaldusväärset vastavust.

Zenith Blueprint annab 30-sammulise rakendusteekonna, sealhulgas sammu 22 ohuteabe registri jaoks ja sammu 19 haavatavuste halduse ning seiretegevuste jaoks. Claryseci ettevõtte- ja VKE-poliitikad muudavad need ootused rollipõhisteks protseduurideks riskijuhtimise, haavatavuste käsitlemise, lõppseadmete kaitse, logimise, seire ja auditi tõendusmaterjali jaoks. Zenith Controls annab seejärel ristvastavuse tõlgenduse, näidates, kuidas ISO/IEC 27002:2022 kontrollimeetmed seostuvad NIS2, DORA, GDPR, NIST CSF 2.0, COBIT 2019 ja auditi tõendusmaterjaliga.

Teisipäeva hommikuse infoturbejuhi jaoks saab vastus finantsjuhile selgeks:

„Saime teavituse kätte, valideerisime kokkupuute, uuendasime riskiregistrit, prioriseerisime paikamise aktiivse ärakasutuse alusel, häälestasime seiret, kontrollisime tarnijasõltuvust, hindasime intsidendist teatamise lävendeid, briifisime juhtkonda ja säilitasime tõendusmaterjali. Me ei arva. Me järgime oma ISMS-i.“

Selline peaks välja nägema ISO 27001 ohuteave NIS2 küberhügieeni ja DORA IKT-riski tõendusmaterjali jaoks 2026. aastal.

Järgmised sammud

Kui sinu organisatsioon saab ohuteavet, kuid ei suuda tõendada, kuidas see muudab riskiotsuseid, kontrollimeetmeid, tuvastust, intsidentidele reageerimist, tarnijahaldust ja regulatiivset tõendusmaterjali, alusta sel nädalal kolmest tegevusest:

  1. Loo või värskenda oma ohuteabe register, kasutades Zenith Blueprint kontrollimeetmete rakendamise etapi sammu 22.
  2. Kaardista oma praegune protsess ISO/IEC 27002:2022 kontrollimeetmete 5.7, 8.8, 8.15, 8.16, 8.7 ja 5.25 suhtes, kasutades Zenith Controls.
  3. Ühtlusta oma poliitikad, eelkõige Riskijuhtimise poliitika, Haavatavuste ja paikade halduse poliitika, Logimis- ja seirepoliitika ning Auditi ja vastavuse seire poliitika, et igast turvateatest saaks kaitstav tõendusmaterjal.

Clarysec aitab sul muuta ohuteabe vood, turvateated, tarnijateated, haavatavusteabe ja tuvastussignaalid ISO/IEC 27001:2022-ga joondatud, NIS2-valmis ja DORA-teadlikuks toimemudeliks.

Laadi alla Claryseci tööriistakomplektid, küsi ülevaatlikku tutvustust või broneeri valmisoleku hindamine, et näha, kuidas sinu praegune ohuteabe protsess peaks vastu ISO audiitori, NIS2 läbivaataja, DORA järelevalveasutuse või kliendi kindlustandva päringu korral.

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles

ENISA EUVD 2026: ISO 27001 NIS2 ja CRA jaoks

ENISA EUVD 2026: ISO 27001 NIS2 ja CRA jaoks

ENISA EUVD muudab seda, kuidas ELi organisatsioonid kasutavad haavatavuste ohuteavet, haldavad CVD-d, koordineerivad tarnijaid ning tõendavad NIS2, DORA, GDPR ja CRA aruandlusotsuseid. See juhend näitab, kuidas ISO/IEC 27001:2022, Clarysec poliitikad, Zenith Blueprint ja Zenith Controls muudavad haavatavuste teavitused auditeeritavaks tegevusmudeliks.

SBOM-id ISO 27001, NIS2 ja DORA vastavustõenduse jaoks

SBOM-id ISO 27001, NIS2 ja DORA vastavustõenduse jaoks

SBOM-id on nüüd tarkvara tarneahela vastavustõenduse keskne tõendusmaterjal. See juhend näitab, kuidas rakendada SBOM-e ISO 27001:2022, NIS2, DORA, GDPR, NIST CSF 2.0, COBIT 2019 ja Clarysec poliitikate toel.