⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →

Küberohuteabe jagamine ISO 27001 alusel 2026. aastal

Igor Petreski
14 min read
ISO 27001 küberohuteabe jagamise töövoog DORA, NIS2 ja GDPR jaoks

Teisipäeva hommikul kell 07.40 saab kiiresti kasvava Euroopa makseplatvormi infoturbejuht Maria finantsteenuste ISAC-ilt kõrge usaldusväärsusega teavituse. Autentimistunnuste varguse kampaania sihib makseteenuse pakkujaid, kes kasutavad konkreetset identiteedipakkuja integratsiooni. Turvateade sisaldab käsu- ja juhtimisdomeene, kahtlasi OAuth-rakenduste nimesid, User-Agent-stringe, täheldatud taktikaid ning soovitust mõjutatud rentnike saladused roteerida.

Mõne minuti jooksul hakkab ettevõte esitama küsimusi, mis määravad küberohuteabe jagamise toimimise 2026. aastal.

SOC soovib indikaatorid kohe SIEM-i edastada. Õigusosakond küsib, kas ettevõte võib oma telemeetriat ISAC-iga tagasi jagada. DPO küsib, kas IP-aadressid, kasutajanimed, piletite väljavõtted, autentimislogid või lõppseadmete üksikasjad sisaldavad isikuandmeid. COO soovib teada, kas kliente tuleb hoiatada. CEO, kes on äsja läbinud NIS2 juhtimiskoolituse, edastab hoiatuse kahe sõnaga: „Meie plaan?“

Seejärel küsib vastavusjuht kõige olulisema küsimuse: „Kui järelevalveasutus küsib järgmisel kuul, kas suudame tõendada, et meie küberohuteabe jagamine oli seaduslik, heaks kiidetud, kasulik ja kontrollitud?“

See on uus tegelikkus. DORA on liikunud rakendustähtajast järelevalvelise kontrollini. NIS2 on liikunud valmisolekuprojektidest operatiivse koostööni. GDPR kohaldub endiselt ka siis, kui andmed on turbetelemeetria. Küberohuteabe jagamine ei ole enam turvameeskondade mitteametlik Slacki-vestlus. See on juhitud tegevus, mis hõlmab konfidentsiaalsust, isikuandmete minimaalsust, avalikustamise heakskiite, kirjeid, regulaatori ootusi ja audititõendeid.

Infoturbejuhtide, vastavusjuhtide, audiitorite ja äriomanike jaoks ei ole küsimus selles, kas osaleda küberohuteabe jagamise kokkulepetes. Tegelik küsimus on, kuidas jagada piisavalt kiiresti, et kaitsjaid aidata, vältides samal ajal ebaseaduslikku avalikustamist, klientide konfidentsiaalsuse rikkumist, konkurentsitundliku teabe lekkimist, juhitamata haavatavuse avalikustamist ja nõrka tõendusmaterjali.

ISO/IEC 27001:2022 on juhtimisraamistik, mis teeb selle võimalikuks. Mitte seinal rippuva sertifikaadina, vaid juhtimissüsteemina, mis muudab küberohuteabe jagamise korratavaks, kaitstavaks ja GDPR-i nõuetele vastavaks tegevusmudeliks.

Miks küberohuteabe jagamine 2026. aastal muutus

DORA ja NIS2 ettevalmistuse esimene laine keskendus kohaldamisalale, intsidentidest teatamise tähtaegadele, IKT kolmandate osapoolte riskile, juhatuse vastutusele ja puudujääkide hindamisele. See töö oli vajalik, kuid regulaatorid ja kliendid esitavad nüüd operatiivsemaid küsimusi:

  • Millistes ISAC-ides, CERT-ides, CSIRT-ides, tarnijafoorumites või usaldatud kogukondades te osalete?
  • Kellel on õigus organisatsiooni väliselt esindada?
  • Kuidas otsustate, mida võib jagada?
  • Kuidas väldite isikuandmete, kliendisaladuste, haavatavuse üksikasjade ja tundliku arhitektuuri avalikustamist?
  • Kuidas uuendavad küberohuteabe sisendid seirereegleid, paikamise prioriteete, riskiregistreid, intsidentidele reageerimise tööjuhiseid, tarnijate ülevaatusi ja tegevuskerksuse teste?
  • Kus on tõendusmaterjal?

DORA on finantssektori üksuste suhtes eriti otsene. See käsitleb digitaalset tegevuskerksust juhatuse vastutusalas oleva IKT-riski juhtimissüsteemina, mitte IT-kontrollnimekirjana. DORA kohaldub alates 17. jaanuarist 2025, mistõttu hinnatakse 2026. aastal paljude finantssektori üksuste puhul, kas nende protsessid toimivad praktikas.

DORA Article 45 lubab finantssektori üksustel jagada küberohtudega seotud teavet ja küberohuteavet, kui eesmärk on tugevdada digitaalset tegevuskerksust. Jagamine peaks toimuma usaldatud kogukondades ja kokkulepete alusel, mis kaitsevad tundlikku äriteavet, isikuandmeid, konfidentsiaalsust, intellektuaalomandit ja konkurentsiõiguse piire. Lihtsalt öeldes ei tähenda DORA „jagage kõike“. See tähendab „jagage turvaliselt, teadlikult ja kontrollitud tingimustel“.

NIS2 tekitab sarnase surve väljaspool finantssektorit. Seda kohaldatakse paljudele olulistele ja tähtsatele üksustele kõrge kriitilisusega ning muudes kriitilistes sektorites, sealhulgas digitaristu, hallatud teenusepakkujad (MSP-d), hallatud turvateenuse pakkujad, pilveteenuse pakkujad, andmekeskuste pakkujad, veebipõhised kauplemiskohad, otsingumootorid, sotsiaalvõrgustike platvormid, pangandus ja finantsturu taristud. NIS2 Article 20 paneb juhtorganitele vastutuse küberriskide juhtimise meetmete heakskiitmise, nende rakendamise järelevalve ja koolituse läbimise eest. Article 21 nõuab asjakohaseid ja proportsionaalseid tehnilisi, operatiivseid ja organisatsioonilisi meetmeid, sealhulgas riskianalüüsi, intsidentide käsitlemist, talitluspidevust, tarneahela turvet, haavatavuste käsitlemist, tõhususe hindamist, küberhügieeni, koolitust, krüptograafiat, personaliturvet, juurdepääsukontrolli, varahaldust, MFA-d ja turvalist sidet. Article 23 nõuab oluliste intsidentide etapiviisilist teatamist, sealhulgas 24-tunnist varajast hoiatust, 72-tunnist intsidenditeadet ja lõpparuannet hiljemalt ühe kuu jooksul pärast intsidenditeadet.

GDPR lisab andmekaitsepiirangu. Isikuandmed hõlmavad mis tahes teavet tuvastatud või tuvastatava füüsilise isiku kohta. Turbelogid, IP-aadressid, kasutajanimed, e-posti aadressid, lõppseadmete nimed, autentimissündmused, tugipiletid, pahavaranäidised, ekraanitõmmised ja pettuseuurimise märkmed võivad kõik olla isikuandmed. GDPR nõuab seaduslikku, õiglast, läbipaistvat, eesmärgipärast, minimaalselt vajalikku, täpset, säilitustähtajaga piiratud ja turvalist töötlemist. Samuti nõuab see vastutust, mis tähendab, et organisatsioon peab suutma vastavust tõendada.

Tulemuseks on juhtimisprobleem. Küberohuteabe jagamine peab olema piisavalt kiire, et parandada kaitset, piisavalt kontrollitud, et vastata järelevalveasutuste ootustele, ning piisavalt distsiplineeritud, et vältida privaatsuse ja konfidentsiaalsuse rikkumisi.

ISO 27001 kui küberohuteabe jagamise vastavuskeskus

ISO/IEC 27001:2022 sobib selle väljakutse lahendamiseks hästi, sest see algab kontekstist, huvitatud osapooltest, kohaldamisalast, riskist, juhtimisest, tegevuste ohjest, seirest, siseauditist, juhtkonna läbivaatamisest ja pidevast täiustamisest.

Punktid 4.1 kuni 4.4 nõuavad, et organisatsioonid mõistaksid sisemisi ja väliseid teemasid, tuvastaksid huvitatud osapooled ja nende nõuded, määratleksid ISMS-i kohaldamisala ning säilitaksid juhtimissüsteemi. DORA või NIS2 organisatsiooni puhul võivad huvitatud osapooled hõlmata pädevaid asutusi, CSIRT-e, kliente, IKT-teenusepakkujaid, ISAC-e, sektorirühmi, volitatud töötlejaid, vastutavaid töötlejaid, kindlustusandjaid, siseauditit ja juhatust.

Punktid 5.1 kuni 5.3 nõuavad juhtkonna pühendumust, poliitilist suunda, vastutust, ressursse ja määratud vastutusalasid. See on oluline, sest küberohuteabe jagamine ebaõnnestub, kui see jäetakse mitteametliku tehnilise hinnangu otsustada. Kui SOC-analüütik, õigusnõustaja, DPO, CISO, PR-juht ja äriomanik lähtuvad erinevatest eeldustest, jagab organisatsioon kas liiga palju, hangub või reageerib liiga hilja.

Punktid 6.1.1 kuni 6.1.3 muudavad regulatiivse teema riskihindamiseks, riskikäsitluseks, kontrollimeetmete valikuks, kohaldatavusdeklaratsiooni (SoA) otsusteks, käsitlusplaanideks ja jääkriski aktsepteerimiseks. Tüüpilised küberohuteabe jagamise riskid hõlmavad järgmist:

  • Isikuandmeid jagatakse ilma õigusliku aluse või andmete minimaalsuseta.
  • Kliendi konfidentsiaalne teave avalikustatakse foorumile.
  • Haavatavuse üksikasjad avaldatakse enne, kui leevendusmeetmed on kättesaadavad.
  • Indikaatorid võetakse vastu, kuid neid ei rakendata operatiivselt.
  • ISAC-is osalemine ei kajastu intsidentidele reageerimises, logimises, haavatavuste halduses ega tarnijariskis.
  • Puudub tõendusmaterjal selle kohta, kes avalikustamise heaks kiitis ja miks.
  • Konkurentsiõiguse risk äriliselt tundliku turuinfo jagamisel.
  • Ebajärjekindel regulatiivne ja kliendisuhtlus olulise intsidendi ajal.

Seejärel nõuab punkt 8.1 kavandatud protsesside rakendamist ja ohjamist koos piisava dokumenteeritud teabega, et näidata protsesside toimimist plaanipäraselt. Punktid 9 ja 10 nõuavad seiret, mõõtmist, siseauditit, juhtkonna läbivaatamist, mittevastavuste käsitlemist, parandusmeetmeid ja pidevat täiustamist. Lühidalt: ISO/IEC 27001:2022 muudab küberohuteabe jagamise auditeeritavaks tegevusmudeliks.

Kaks ISO kontrollimeedet, mis teevad jagamise toimivaks

Clarysec’i Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint käsitleb seda teemat Controls in Action etapi osana, samm 22: organisatsioonilised kontrollimeetmed. Kesksel kohal on kaks ISO/IEC 27002:2022 kontrollimeedet: 5.6, Contact with special interest groups, ja 5.7, Threat intelligence.

Zenith Blueprint ütleb selgelt, et ISAC-is osalemine ei ole sümboolne võrgustumine:

Sellistes rühmades osalemine ei ole sümboolne žest. See on strateegiline investeering ohuteabesse, koostöösse ja jagatud tegevuskerksusesse.

Kontrollimeetme 5.6 puhul võivad erihuvigrupid hõlmata riiklikke või sektoripõhiseid küberohuteabe võrgustikke, ISAC-e, regulatiivseid foorumeid, tarnijate turvateadete rühmi, avatud lähtekoodiga kogukondi ja akadeemilisi töörühmi. Kuid väline jagamine peab olema teadlik, seaduslik ja heaks kiidetud. Zenith Blueprint lisab küpsusootuse:

Küpsed ISMS-i rakendused käsitlevad SIG-is osalemist juhitud tegevusena, mitte mitteametliku lisaväärtusena.

See tähendab liitutud rühmade ja foorumite registri pidamist, ametlike osalejate määramist, protokollide või kokkuvõtete talletamist ning saadud teadmiste integreerimist sisemistesse läbivaatamistesse või kontrollimeetmete uuendustesse.

Kontrollimeede 5.7 muudab välise teabe tegevuseks. Zenith Blueprint ütleb:

Organisatsioon ei saa end kaitsta selle vastu, millest ta aru ei saa.

Samuti hoiatab see paikade infovoogude segiajamise eest küberohuteabega. Tegelik küberohuteave hõlmab ohutegijate profiile, taktikaid, tehnikaid ja protseduure, kompromiteerimise indikaatoreid, sektoripõhiseid hoiatusi, haavatavuste konteksti ja strateegilist ärimõju. Kasulik küberohuteave ühendab sisemise seire, välispartnerlused, CERT- või ISAC-suhted, kommertsvood ja avatud lähtekoodiga allikad, kuid ainult siis, kui keegi vaatab need üle, seab prioriteedid ja teisendab need tegevuseks.

Clarysec’i Zenith Controls: The Cross-Compliance Guide Zenith Controls tugevdab raamistikülese vastavuse väärtust. See kaardistab kontrollimeetme 5.6 ennetava ja korrigeerivana, toetades konfidentsiaalsust, terviklust ja käideldavust, ning määrab esmaseks operatiivseks võimekuseks juhtimise. See seob 5.6 kontrollimeetmega 5.7 Threat intelligence, 5.5 Contact with authorities, 5.31 Legal, statutory, regulatory and contractual requirements ning 8.8 Management of technical vulnerabilities. Kontrollimeede 5.7 on kaardistatud ennetava, tuvastava ja korrigeerivana, seotud funktsioonidega Identify, Detect ja Respond ning operatiivse võimekusega ohtude ja haavatavuste halduses.

Sõnum on lihtne: küpsel küberohuteabe jagamise programmil on kaks poolt. Esiteks kontrollitud suhted. Teiseks vastuvõetud ja jagatud teabe kontrollitud kasutamine.

Praktiline tegevusmudel juhitud jagamiseks

Kaitstav 2026. aasta tegevusmudel peab vastama kuuele küsimusele enne esimese indikaatori jagamist.

JuhtimisküsimusPraktiline vastusTõendusmaterjal, mida audiitorid ootavad
Kes võib osaleda?Nimeliselt määratud rollid, heakskiidetud foorumid, asenduskontaktid, volituspiiridSIG- ja ISAC-register, määramiskirjed, rollikirjeldused
Mida võib vastu võtta?Ohuraportid, IOC-d, TTP-d, haavatavuste teavitused, sektorihoiatusedVastuvõtulogi, allika klassifikatsioon, käitlemisreeglid
Mida võib jagada?Puhastatud indikaatorid, mitteatribueeritavad mustrid, heakskiidetud teavitused, regulaatorile sobivad faktidAvalikustamise heakskiidu kirje, minimaalsuse ülevaatus, õigusosakonna või DPO kinnitus
Kuidas küberohuteavet kasutatakse?SIEM-i reeglid, EDR-i blokeeringud, haavatavuste prioritiseerimine, riskiregistri uuendused, tööjuhiste muudatusedMuudatuste piletid, tuvastusreeglid, riskide uuendused, koosolekuprotokollid
Kuidas kaitstakse privaatsust?Andmete minimaalsus, pseudonüümimine, redigeerimine, õigusliku aluse kontroll, säilitamispiirangudDPIA või privaatsuse ülevaatus, jagamismall, säilitamislogi
Kuidas hinnatakse tõhusust?Mõõdikud, lauaõppused, auditileiud, juhtkonna läbivaatamineKPI-d, intsidendist saadud õppetunnid, siseauditi aruanne, parandusmeetmed

Clarysec rakendab seda tavaliselt kerge, kuid formaalse töövoona:

  1. Võta küberohuteave vastu ja klassifitseeri see.
  2. Valideeri asjakohasus varade, tarnijate, teenuste, geograafiliste piirkondade ja klientide suhtes.
  3. Teisenda küberohuteave tegevuseks, näiteks seirereegliteks, haavatavuste piletiteks, kasutajateavitusteks, tarnijapäringuteks või riskide uuendusteks.
  4. Otsusta, kas väljapoole jagamine on vajalik, seaduslik, turvaline ja liikmesusreeglitega lubatud.
  5. Rakenda redigeerimist, koondamist, pseudonüümimist või anonüümimist.
  6. Hangi nõutavad heakskiidud.
  7. Jaga heakskiidetud kanali kaudu.
  8. Kirjenda, mida jagati, kellega, miks, millal ja kelle volitusel.
  9. Vaata tulemused läbi ja uuenda kontrollimeetmeid.

See väldib kahte klassikalist ebaõnnestumist: turvameeskond saab kasulikku küberohuteavet, kuid midagi ei muutu, või turvameeskond jagab kasulikku küberohuteavet, kuid tekitab õigusliku, lepingulise või privaatsusega seotud kokkupuute.

DORA Article 45: kontrollitud jagamine ilma konfidentsiaalsust kaotamata

Finantssektori üksuste puhul tuleb DORA Article 45 tõlkida sisemiseks küberohuteabe jagamise standardiks. Praktiline tõlgendus sisaldab viit tingimust.

Esiteks peab eesmärk olema tegevuskerksus. Jagamine peab aitama küberohte ennetada, tuvastada, neile reageerida või neist taastuda. See ei tohi kalduda hinnakujunduse, kliendinimekirjade, turustrateegia või äriliselt tundliku teabe juurde.

Teiseks peab kogukond olema usaldatud. See tähendab selgeid liikmesusreegleid, konfidentsiaalsuskohustusi, turvalisi kanaleid, juurdepääsukontrolle ja edasijagamise piiranguid. ISO/IEC 27010:2015 toetab turvalist teabevahetust usalduskogukondades, sealhulgas konfidentsiaalsusreegleid, vastastikkust ja usaldatud sidekanaleid. ISO/IEC 27032:2023 toetab küberturvalisuse teabe jagamist ja olukorrateadlikkust. ISO/IEC 27035-2:2023 seob teabe jagamise intsidentidele reageerimise kavandamisega, sealhulgas osalemisega CERT-ides ja valdkonnarühmades.

Kolmandaks tuleb tundlikku teavet kaitsta. See hõlmab ärisaladusi, arhitektuuriskeeme, haavatavuste üksikasju, autentimisandmeid, kliendiidentifikaatoreid ja isikuandmeid. Clarysec’i VKE Andmete klassifitseerimise ja märgistamise poliitika Andmete klassifitseerimise ja märgistamise poliitika - VKE sätestab:

Väline jagamine peab olema sõnaselgelt autoriseeritud ja logitud.

See lause on DORA Article 45 töövoo aluseks olev kontrollipõhimõte. Organisatsioon peab teadma, milline klassifikatsioon kohaldub, kes avaldamise heaks kiitis ja kus kirje säilitatakse.

Neljandaks tuleb isikuandmeid minimeerida. Ettevõtte Andmekaitse ja privaatsuspoliitika Andmekaitse ja privaatsuspoliitika sätestab:

Koguda ja töödelda võib ainult konkreetse õiguspärase ärieesmärgi jaoks vajalikke andmeid.

VKE samaväärne dokument Andmekaitse ja privaatsuspoliitika - VKE Andmekaitse ja privaatsuspoliitika - VKE sätestab:

Koguda ja säilitada tuleb ainult minimaalselt vajalikud isikuandmed.

See on oluline, sest küberohuteave ahvatleb meeskondi sageli kopeerima toorloge välistesse kanalitesse. Selle asemel peavad nad jagama ainult seda, mida saaja vajab, näiteks pahatahtlikku domeeni, räsi, ajavahemikku, üldist mustrit või pseudonüümitud juhtumiviidet.

Viiendaks peab organisatsioon säilitama tõendusmaterjali. DORA põhineb dokumenteeritud IKT-riski juhtimisel, intsidentide klassifitseerimisel, aruandlusel, testimisel, kolmandate osapoolte juhtimisel ja juhtkonna vastutusel. Kui jagamine mõjutab intsidentidele reageerimist, tegevuskerksuse testi stsenaariumi või tarnijariski otsust, peab see olema ISMS-i kirjete kaudu nähtav.

NIS2 koostöö: õiguslikust kohaldamisalast operatiivsete suheteni

NIS2 laiendab arutelu finantssektori üksustest kaugemale. Seda kohaldatakse sektori, suuruse ja kriitilisuse alusel ning teatud üksustele ka suurusest sõltumata, näiteks usaldusteenuse osutajatele, DNS-teenuse osutajatele, TLD registritele, kriitilistele üksustele ja domeeninimede registreerimise teenustele.

Küberohuteabe jagamise puhul on põhiõppetund juhtimine. Article 20 paneb juhtorganitele vastutuse küberriskide juhtimise meetmete heakskiitmise ja järelevalve eest. Article 21 nõuab asjakohaseid ja proportsionaalseid tehnilisi, operatiivseid ja organisatsioonilisi meetmeid. Article 23 nõuab oluliste intsidentide etapiviisilist teatamist.

Küberohuteabe jagamine ristub kõigi nende teemadega. Kui ISAC-i turvateade näitab, et tarnija hallatavat teenust kasutatakse ära, muutuvad asjakohaseks Article 21 tarneahela ootused. Kui küberohuteave viitab käimasolevale olulisele intsidendile, võivad käivituda Article 23 aruandluse ja kliendisuhtluse töövood. Kui oluline küberoht võib mõjutada teenuse saajaid, vajab organisatsioon kontrollitud hoiatusprotsessi.

Zenith Blueprint käsitleb seda ISMS Foundation and Leadership etapis, samm 5, Communication, Awareness, and Competence. See soovitab välissuhtluse kavandamist, mis tuvastab kliendid, regulaatorid, partnerid ja avalikkuse ning määratleb seejärel, mida, millal, kelle poolt ja millise heakskiiduga edastatakse. Praktilise näitena kirjeldab see intsidentide kommunikatsiooniprotseduuri, kus CISO koostab teate, õigusosakond vaatab selle üle ja CEO kinnitab selle enne saatmist.

VKE Intsidentidele reageerimise poliitika Intsidentidele reageerimise poliitika - VKE sätestab:

Tegevjuht (GM) vastutab kõigi intsidendi eskaleerimisotsuste, regulatiivsete teavituste ja välissuhtluse autoriseerimise eest.

Suuremate organisatsioonide puhul loob ettevõtte Intsidentidele reageerimise poliitika Intsidentidele reageerimise poliitika tõendusmaterjali baastaseme:

Kõik intsidendid tuleb registreerida turbeintsidentide haldussüsteemis (SIMS), sealhulgas:

Kui küberohuteabest saab intsident, kliendihoiatus, regulaatorile teatamine või väline turvateade, ei tohi see jääda ainult postkastidesse ja vestluslõimedesse. See kuulub intsidendihaldussüsteemi koos klassifikatsiooni, tegevuste, heakskiitude, tõendusmaterjali ja õppetundidega.

GDPR-i nõuetele vastav avalikustamine: jaga küberohuteavet, mitte tarbetuid isikuandmeid

GDPR lubab turbetoiminguid, kuid ei loo vabatsooni kontrollimata telemeetria jagamiseks. Paljud küberohuteabe artefaktid võivad sisaldada isikuandmeid:

  • Kasutaja tegevusega seotud IP-aadressid.
  • Andmepüügikatsetes kasutatud e-posti aadressid.
  • Kasutajanimed, seadmete nimed, lõppseadme ID-d või kliendi rentniku ID-d.
  • Autentimislogid.
  • Tugipiletid.
  • Ekraanitõmmised.
  • Pettuseuurimise märkmed.
  • Dokumente või isiklikke faile sisaldavad pahavaranäidised.
  • Haavatavusaruanded, mis sisaldavad kliendiandmete avalikustumist.

Clarysec’i mudelis läbib iga väljapoole jagamise otsus privaatsuse ja konfidentsiaalsuse filtri.

FilterOtsustusküsimusTüüpiline kontrollitegevus
EesmärkKas jagamine on vajalik küberkaitseks, õiguslikuks aruandluseks või koordineeritud leevendamiseks?Kirjenda eesmärk jagamislogis
Õiguslik alusKas olemas on dokumenteeritud õiguslik alus või õiguslik kohustus?Lisa isikuandmete puhul õiguslik või DPO ülevaatus
MinimaalsusKas sama tulemust saab saavutada väiksema arvu andmeväljadega?Eemalda kasutajanimed, e-posti aadressid, piletimärkmed, klientide nimed
PseudonüümimineKas identifikaatorid saab asendada juhtumi ID-de või tokenitega?Hoia vastendus sisemiselt piiratud juurdepääsuga
KonfidentsiaalsusKas sisu avaldab arhitektuuri, haavatavuse üksikasju või kliendisaladusi?Klassifitseeri konfidentsiaalseks või rangelt konfidentsiaalseks ja piira jagamist
SäilitamineKui kaua tuleb jagatud kirjet ja heakskiidu tõendusmaterjali säilitada?Rakenda säilitamisreeglit ja kustutamise läbivaatamist

Zenith Controls kaardistab ISO/IEC 27002:2022 kontrollimeetme 5.34, Privacy and protection of PII, ennetavana ning seob selle klassifitseerimise, varade registri, andmete maskeerimise, pilveturbe, teabe edastamise, juurdepääsukontrolli, identiteedihalduse ning projekti või muudatuse läbivaatamisega. Samuti kaardistab see GDPR Articles 25 ja 32 lõimitud andmekaitse, töötlemise turvalisuse, krüptimise, pseudonüümimise, juurdepääsukontrolli ja tõendatava juhtimise kaudu. Toetavate standardite hulka kuuluvad ISO/IEC 27701:2021 privaatsusteabe haldamiseks, ISO/IEC 27018:2019 isikut tuvastava teabe kaitseks avaliku pilve volitatud töötleja keskkondades ning ISO/IEC 29100:2011 privaatsuspõhimõtete jaoks.

Küberohuteabe jagamise puhul ei tohiks DPO ja turvameeskond esimest korda kohtuda kriisi ajal. Nad peavad eelnevalt heaks kiitma mustrid, mallid, redigeerimisreeglid ja eskaleerimislävendid.

Praktiline näide: ISAC-i hoiatus muutub tõenduspõhiseks tegevuskerksuseks

Naaseme Maria makseplatvormi juurde. ISAC-i turvateade sisaldab pahatahtlikke domeene, kahtlasi OAuth-rakenduste nimesid, User-Agent-stringe ja märget, et mitu liiget on täheldanud konto ülevõtmise katseid finantstoimingute kasutajate vastu. Ettevõte leiab oma logidest ka kolm kahtlast sisselogimiskatset.

Järgnevalt on kirjeldatud, kuidas Clarysec rakendaks reageerimise ISO/IEC 27001:2022, Zenith Blueprint, Zenith Controls ja poliitikakomplekti abil.

SammTegevusOmanikTõendusmaterjal või kontrolliseos
1. Vastuvõtu logimineRegistreeri allikas, kuupäev, usaldusväärsus, varad, mõjutatud tehnoloogia ja käitlemispiirangudSOC-analüütikKüberohuteabe vastuvõtulogi, ISO/IEC 27002:2022 kontrollimeede 5.7
2. KlassifitseerimineMärgista turvateade konfidentsiaalseks või rangelt konfidentsiaalseks, kui see sisaldab tundlikke liikmeandmeidTurbejuhtAndmete klassifitseerimise kirje, välise jagamise autoriseerimisreegel
3. Asjakohasuse valideerimineKontrolli identiteediintegratsiooni tootmiskasutust, mõjutatud kasutajaid, OAuth-õigusi, DNS-i, proksit, EDR-i ja SIEM-i logisidSOC ja platvormimeeskondTriaažimärkmed, seiretõendid, haavatavuse ülevaatus
4. Tegevuseks teisendamineLisa tuvastused, vaata õigused üle, roteeri vajaduse korral saladused, tee tarnijapäring, uuenda riskiregistritSOC, arendus, riskiomanikSIEM-i reeglipiletid, muudatuste kirjed, tarnija eskaleerimine
5. Väljapoole jagamise ülevaatusVähenda toorleiud ajavahemikuks, mustriks, pahatahtlikuks domeeniks ja mõjutatud rollitüübiksCISO, õigusosakond, DPOAvalikustamise heakskiit, minimaalsuse hindamine
6. Turvaline jagamineSaada ainult heakskiidetud küberohuteave ISAC-i krüpteeritud kanali kauduCISO või volitatud esindajaJagamislogi, kanali kirje, heakskiidu ajatempel
7. ParendamineEsita mõõdikud ja õppetunnid ISMS-i läbivaatamiselCISO ja GRCJuhtkonna läbivaatamise protokoll, parandusmeetmed

Väljaminev sõnum sisaldab algselt ajatempleid, lähte-IP-aadresse, sihtkasutajanimesid, kliendi rentniku ID-sid ja ekraanitõmmiseid. Pärast DPO ja õigusosakonna ülevaatust vähendatakse see järgmiseni:

  • Ajavahemik UTC-s.
  • Ründemuster.
  • Täheldatud pahatahtlik domeen.
  • Üldine mõjutatud rollitüüp, näiteks finantstoimingute kasutajad.
  • Kasutajanimesid ei lisata.
  • Kliendi rentniku ID-sid ei lisata.
  • Ekraanitõmmiseid ei lisata.
  • Klientide nimesid ei lisata.
  • Toorloge ei lisata, välja arvatud kontrollitud kanali kaudu esitatud taotluse korral.

Kui tegevusest saab intsident, rakenduvad Intsidentidele reageerimise poliitika kontrollimeetmed. Kui kogutakse kohtuekspertiisi artefakte, kohaldub Tõendite kogumise ja kohtuekspertiisi poliitika - VKE Tõendite kogumise ja kohtuekspertiisi poliitika - VKE:

Iga digitaalse tõendusmaterjali üksus tuleb logida koos:

Poliitika jätkub sisemiselt tõendusmaterjali metaandmete nõuetega, kuid auditipõhimõte on selge: iga uurimiseks, jagamiseks, regulaatorile aruandmiseks või kliendisuhtluseks kasutatav artefakt vajab jälgitavust.

Haavatavuste avalikustamine ei ole sama mis küberohuteabe jagamine

Üks levinud viga on käsitleda haavatavuse avalikustamist, intsidenditeavitust ja küberohuteabe jagamist sama protsessina. Need kattuvad, kuid ei ole identsed.

Küberohuteabe jagamine võib hõlmata indikaatoreid, taktikaid, sektorihoiatusi, vastase käitumist, leevendusmeetmeid või täheldatud katseid. Koordineeritud haavatavuste avalikustamine hõlmab konkreetset nõrkust tootes või teenuses, sageli koos teavitaja, paranduse ajakava, turvateate ja avaliku avalikustamise otsusega. Intsidenditeavitus hõlmab regulatiivset või lepingulist aruandlust sündmuse kohta, mis mõjutab teenuseid, andmeid või kliente.

Clarysec eraldab need töövood, hoides need samal ajal ISMS-i kaudu seotuna. Ettevõtte Koordineeritud haavatavuste avalikustamise poliitika Koordineeritud haavatavuste avalikustamise poliitika sätestab:

Koordineerimine ja avalikustamine: organisatsioon koordineerib avaliku avalikustamise teavitajaga. Vaikimisi ei avalikustata haavatavuse üksikasju enne, kui parandus või leevendus on kättesaadav või vähemalt töös. Kriitiliste probleemide puhul, kus parandust ei ole võimalik kiiresti tarnida, võib organisatsioon kasutajate hoiatamiseks avaldada turvateate koos ajutiste lahenduste juhistega, konsulteerides vajaduse korral asjakohaste asutustega. Teavitajalt eeldatakse, et ta hoidub avalikust avalikustamisest kuni organisatsioon annab loa või avaldab turvateate. Üldreeglina püüab organisatsioon avaldada turvateate 90 päeva jooksul pärast teate saamist või muus vastastikku kokkulepitud ajaraamis, kooskõlas valdkonna praktikaga, sealhulgas teavitaja tunnustamisega, kui selleks on antud nõusolek.

Sama poliitika sätestab ka:

Konfidentsiaalsus: kuni avaliku avalikustamiseni käsitletakse kogu teatatud haavatavusega seotud teavet rangelt konfidentsiaalsena. Üksikasju jagatakse sisemiselt ainult teadmisvajaduse alusel töötajatega, kellel on vaja probleemi valideerida või parandada. Teavitaja identiteet hoitakse konfidentsiaalsena, kui seda taotletakse. Kõik suhtlused teavitajaga peaksid olema krüpteeritud, sealhulgas organisatsiooni PGP-võtme kasutamisega, et kaitsta tundlikke haavatavuse üksikasju.

See on DORA Article 45 ja NIS2 koostöö seisukohalt kriitiline. Usaldatud kogukond võib olla õige koht leevendusmeetmete või kõrgetasemeliste indikaatorite jagamiseks, kuid mitte tingimata ekspluateerimisdetailide, kliendipõhiste andmete või parandamata haavatavuse teabe jagamiseks.

Välissuhtlus vajab sama distsipliini. Ettevõtte Sotsiaalmeedia ja välissuhtluse poliitika Sotsiaalmeedia ja välissuhtluse poliitika määrab sisu ülevaatamise vastutuse, et tagada vastavus konfidentsiaalsust, siseinfo avalikustamist, intellektuaalomandit ja laimamist reguleerivatele õigusnormidele. See on oluline, kui tehnilisest turvateatest saab avalik avaldus, klienditeade, veebisaidi uuendus või regulaatorile suunatud sõnum.

Raamistikülese vastavuse kaardistus: üks töövoog, palju kohustusi

Tugev küberohuteabe jagamise töövoog peaks täitma mitme raamistiku nõuded ilma dubleerivaid protsesse loomata.

RaamistikMida see ootabKuidas Clarysec seda kaardistab
ISO/IEC 27001:2022Kontekst, juhtimine, riskikäsitlus, tegevuste ohje, dokumenteeritud tõendusmaterjal, seire, audit, pidev täiustamineISMS-i kohaldamisala, riskiregister, kohaldatavusdeklaratsioon, kommunikatsiooniplaan, siseaudit, juhtkonna läbivaatamine
ISO/IEC 27002:2022 kontrollimeetmed 5.6 ja 5.7Juhitud kontakt erihuvigruppidega ja tegevuseks muudetav küberohuteaveSIG-register, küberohuteabe vastuvõtt, analüüsi töövoog, tuvastuste uuendused, jagamise heakskiidud
DORA Article 45Usaldatud küberohuteabe jagamine, mis kaitseb konfidentsiaalsust, isikuandmeid, ärisaladust, intellektuaalomandit ja konkurentsipiireHeakskiidetud kogukonnad, avalikustamistingimused, õiguslik ja DPO ülevaatus, turvalised kanalid, tõenduslogid
NIS2 Articles 20, 21 ja 23Juhatuse järelevalve, küberriskide juhtimise meetmed, koostöö, intsidentide käsitlemine, tarneahela turve, haavatavuste käsitlemine, etapiviisiline aruandlusJuhatuse aruandlus, intsidendisuhtlus, tarnija eskaleerimine, CSIRT-i kontaktloend, küberohuteabel põhinevad riskiuuendused
GDPR Articles 5, 6, 25 ja 32Isikuandmete seaduslik, minimaalne, eesmärgipärane, turvaline ja vastutustundlik töötleminePrivaatsusfilter, redigeerimine, pseudonüümimine, säilitamisreeglid, DPO ülevaatus, jagamislogi
NIST CSF 2.0GOVERN, IDENTIFY, PROTECT, DETECT, RESPOND ja RECOVER tulemused koos õiguslike kohustuste ja suhtluskanalitegaOrganisatsiooni profiil, praegune ja sihtolek, tuvastamise ja reageerimise parendused, väliste sidusrühmade kommunikatsioon
COBIT 2019Väliste nõuete seire, turvaohtude haldus, kontrollimeetmete tõhususe hindamine, privaatsuse haldusVastavuse seire, ohumõõdikud, juhtimisaruandlus, andmekaitseprogrammi joondamine

NIST CSF 2.0 on kasulik neutraalse korrastava kihina, sest selle GOVERN funktsioon käsitleb sidusrühmi, õiguslikke kohustusi, sõltuvusi, riskivalmidust, rolle, poliitikaid ja järelevalvet. Selle DETECT ja RESPOND funktsioonid eeldavad seiret, küberohuteabe integreerimist, intsidendi väljakuulutamist, tõendusmaterjali säilitamist, teavitamist ja välissuhtlust.

COBIT 2019 lisab juhtkonna vastutuse. Praktikad nagu DSS05.04 Manage security threats, APO12 Manage risk, MEA03 Managed compliance with external requirements ja APO13 Managed security aitavad audiitoritel testida, kas küberohuteave parandab kontrollimeetmete toimivust ja juhtimisaruandlust.

Kuidas audiitorid teie jagamisprogrammi testivad

ISO/IEC 27001:2022 audiitor alustab juhtimissüsteemist. Ta küsib, kuidas õiguslikud, regulatiivsed, lepingulised ja huvitatud osapoolte nõuded tuvastati punktide 4.1 ja 4.2 alusel. Ta kontrollib, kas küberohuteabe jagamine on kohaldamisalas, kas riske hinnati, kas kontrollimeetmed 5.6, 5.7, 5.31, 5.34, 5.24, 5.28, 8.8, 8.15 ja 8.16 on kohaldatavusdeklaratsiooni lisatud või põhjendatult välja jäetud ning kas tõendusmaterjal näitab protsessi toimimist plaanipäraselt.

DORA-le keskenduv audiitor või järelevalveasutus otsib juhtimist, juhatuse vastutust, IKT-riski integreerimist, intsidendi klassifitseerimist, tegevuskerksuse testimist, kolmandate osapoolte mõjusid ja Article 45 tingimusi. Ta küsib, kas osalemine teabejagamise kokkulepetes on dokumenteeritud, kas tundlikud andmed ja isikuandmed on kaitstud, kas küberohuteave uuendab IKT-riski juhtimise raamistikku ning kas see mõjutab testimisstsenaariume.

NIS2-le suunatud ülevaataja keskendub juhatuse järelevalvele, Article 21 meetmetele, intsidentide käsitlemisele, tarnijasõltuvustele, haavatavuste käsitlemisele, klientide või teenuse saajate kommunikatsioonile ning koostööle CSIRT-ide või pädevate asutustega. Ta testib, kas küberohuteave on seotud olulise intsidendi hindamise ja etapiviisilise aruandlusega.

Privaatsusaudiitor keskendub GDPR-i põhimõtetele. Ta küsib, kas jagatud andmed olid isikuandmed, milline õiguslik alus kohaldus, kas tehti minimaalsuse hindamine, kas pseudonüümimine või redigeerimine oli võimalik, kas säilitamine oli kontrollitud ning kas organisatsioon suudab vastutust tõendada.

Hea tõendusmaterjal hõlmab:

  • Heakskiidetud ISAC- või SIG-registrit.
  • Nimeliselt määratud osalejaid ja asendajaid.
  • Liikmesustingimusi ja konfidentsiaalsuskohustusi.
  • Küberohuteabe vastuvõtulogi.
  • Triaaži- ja asjakohasushinnanguid.
  • Tuvastusreeglite arendamise pileteid.
  • Haavatavuste prioritiseerimise muudatusi.
  • Tarnijariski eskaleerimisi.
  • Avalikustamise heakskiidu kirjeid.
  • DPO või privaatsuse ülevaatuse märkmeid.
  • Redigeeritud väljaminevaid sõnumeid.
  • SIMS-is olevaid intsidendikirjeid.
  • Tõendite valduse ahela logisid.
  • Juhtkonna läbivaatamise protokolle.
  • Siseauditi leide ja parandusmeetmeid.

Levinud komistuskohad, mida Clarysec praktikas näeb

Kõige levinum ebaõnnestumine on mitteametlik osalemine. Turbeinsener liitub privaatse foorumiga, saab kasulikku küberohuteavet ja jagab sisemisi tähelepanekuid ilma ametliku autoriseerimiseta. Kavatsus on hea, kuid auditijälg on nõrk ja konfidentsiaalsusrisk kõrge.

Teine ebaõnnestumine on passiivne tarbimine. Organisatsioon tellib vooge, osaleb ISAC-i kõnedel ja edastab turvateateid, kuid keegi ei suuda näidata, kuidas küberohuteave kontrollimeetmeid muutis. Küberohuteave peab uuendama tuvastusloogikat, paikamise prioriteete, tööjuhiseid, riskiregistreid, tarnijate ülevaatusi, teadlikkuse tõstmise kampaaniaid või tegevuskerksuse teste.

Kolmas ebaõnnestumine on toorlogide jagamine. Meeskonnad saadavad ekraanitõmmiseid, SIEM-i eksporde, e-posti päiseid või paketihõiveid väliselt ilma minimaalsuseta. See võib avaldada isikuandmeid, kliendiidentifikaatoreid, sisemisi hostinimesid, tokeneid või konfidentsiaalset arhitektuuri.

Neljas ebaõnnestumine on avalike suhete segiajamine reguleeritud kommunikatsiooniga. LinkedIni postitus ründetrendi kohta ei ole sama, mis kliendihoiatus, regulaatorile teatamine, CSIRT-i uuendus või koordineeritud turvateade. Clarysec eraldab need kanalid, määrab heakskiidu omanikud ja nõuab kirjeid.

Viies ebaõnnestumine on tarnijate eiramine. Paljud küberohuteabeteated puudutavad kolmandate osapoolte tarkvara, pilveplatvorme, hallatud teenusepakkujaid või identiteediintegratsioone. DORA, NIS2, NIST CSF, COBIT 2019 ja ISO/IEC 27002:2022 tarnijakontrollide alusel peab küberohuteave sisendama tarnijariski juhtimist.

Koosta oma 2026. aasta küberohuteabe jagamise pakett

Enamik organisatsioone ei vaja rasket eraldi bürokraatiat. Nad vajavad kompaktset juhtimispaketti, mis toimib päris intsidendi ajal. Clarysec soovitab:

  • Küberohuteabe jagamise protseduur.
  • Heakskiidetud jagamiskogukondade register.
  • Küberohuteabe vastuvõtu ja triaaži vorm.
  • Väljapoole avalikustamise heakskiidu vorm.
  • Privaatsuse ja konfidentsiaalsuse ülevaatuse kontrollnimekiri.
  • Välissuhtluse maatriks.
  • ISAC-i koosoleku kokkuvõtte mall.
  • Tõendusmaterjali ja intsidendi seostamise reeglid.
  • Mõõdikute juhtpaneel.
  • Siseauditi testiplaan.

Protseduur peab viitama ISO/IEC 27001:2022 riskijuhtimise, kommunikatsiooni, tegevuste ohje, toimivuse hindamise, siseauditi ja pideva täiustamise punktidele. See peab kaardistuma ISO/IEC 27002:2022 kontrollimeetmetega 5.6, 5.7, 5.31, 5.34, 5.24, 5.28, 8.8, 8.15, 8.16 ja asjakohaste tarnijakontrollidega. Samuti peab see viitama DORA Article 45-le, NIS2 koostöö- ja intsidendikommunikatsiooni kohustustele ning GDPR-i põhimõtetele.

Kõige olulisem on, et see oleks surve all kasutatav. Kui protsess nõuab 12 inimese koosolekut enne pahatahtliku domeeni jagamist usaldatud ISAC-iga, kukub see läbi. Kui see lubab toored kliendilogid kogukonnaportaali kleepida, kukub see samuti läbi. Eesmärk on kontrollitud kiirus.

Muuda küberohuteabe jagamine tõenduspõhiseks tegevuskerksuseks

Küberohuteabe jagamine 2026. aastal ei ole pelgalt turbeküpsuse märk. Finantssektori üksuste jaoks on see seotud DORA Article 45 ja digitaalse tegevuskerksusega. Oluliste ja tähtsate üksuste jaoks toetab see NIS2 koostööd, intsidentide käsitlemist, haavatavustele reageerimist, tarnijate turvet ja teenuse saajate hoiatamist. Iga organisatsiooni jaoks, kes töötleb EL-i isikuandmeid, peab see olema kavandatud GDPR-i nõuetele vastavaks.

Clarysec aitab organisatsioonidel selle tegevusmudeli üles ehitada ilma kaitsjaid aeglustamata. Ühendame Zenith Blueprint Zenith Blueprint, poliitikakomplekti ja Zenith Controls Zenith Controls toimivaks ISMS-i protsessiks: heakskiidetud kogukonnad, selged rollid, privaatsust kaitsev avalikustamine, intsidendiga seostamine, tõendusmaterjali kirjed, auditivalmidus ja raamistikülese kaardistuse olemasolu.

Kui teie organisatsioon osaleb ISAC-is, saab küberhoiatusi, jagab indikaatoreid partneritega, esitab teateid asutustele või käsitleb haavatavuste avalikustamist, on nüüd aeg töövoog formaliseerida. Alustage oma praeguste jagamiskokkulepete ühetunnisest läbivaatamisest ning kaardistage need seejärel ISO/IEC 27001:2022, DORA Article 45, NIS2 ja GDPR nõuetega.

Clarysec saab aidata teil koostada registri, poliitikaklauslid, heakskiidumallid, audititõendite mudeli ja juhtkonnale aruandluse paketi, mida on vaja, et muuta küberohuteabe jagamine kiireks, seaduslikuks ja kaitstavaks.

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles

CRA 2026: toote turvatoimik ISO 27001 toel

CRA 2026: toote turvatoimik ISO 27001 toel

Praktiline tegevuskava CRA toote turvatoimiku koostamiseks ISO/IEC 27001:2022, SBOM-i halduse, koordineeritud haavatavuste avalikustamise, tarnijate tõendusmaterjali ja turule laskmise järgse seire põhjal.

CVD NIS2 ja DORA kontekstis: ISO 27001 tõendusmaterjali kaart

CVD NIS2 ja DORA kontekstis: ISO 27001 tõendusmaterjali kaart

Praktiline juhend infoturbejuhtidele koordineeritud haavatavuste avalikustamise kohta NIS2, DORA, GDPR ja ISO/IEC 27001:2022 alusel, hõlmates poliitikateksti, vastuvõtu töövoogu, tarnijate eskaleerimist, audititõendusmaterjali ja kontrollimeetmete kaardistust.