Upravljanje DNS-om u 2026.: kontrole registrara spremne za reviziju
U 07:42 u ponedjeljak ujutro CISO fintech scale-upa prima poruku koju nitko ne želi vidjeti. Klijenti ne mogu pristupiti portalu za plaćanja, služba za korisničku podršku je preplavljena, e-pošta ne radi, a SOC nije pronašao zlonamjerni softver, prekid rada vatrozida ni incident kod pružatelja usluga u oblaku.
Temeljni uzrok tiši je i neugodniji. Računu registrara pristupljeno je zastarjelom administratorskom vjerodajnicom koju je dijelilo više bivših članova IT tima. Napadač je promijenio autoritativne imenske poslužitelje, izmijenio MX zapise, onemogućio DNSSEC i preusmjeravao promet dovoljno dugo da prikupi vjerodajnice i poremeti partnerske API-je. Portal za plaćanja nije bio kompromitiran u tradicionalnom smislu. Kompromitiran je temeljni element povjerenja organizacije: njezina domena.
Do 09:30 operativna kriza postala je kriza usklađenosti. Upravni odbor pita je li bilo omogućeno zaključavanje na razini registra. Pravni odjel pita jesu li osobni podaci bili izloženi. DPO pita radi li se o povredi osobnih podataka prema GDPR. Regulator želi znati je li pogođena kritična ili važna funkcija. Revizor klijenta traži zahtjev za promjenu kojim je odobrena izmjena DNS-a.
Odgovor je, u previše organizacija, proračunska tablica, zajednički poštanski sandučić i konzola registrara koju nitko nije pregledao šest mjeseci.
Upravljanje DNS-om i registrarom domena u 2026. više nije usko infrastrukturno pitanje. Ono je dio otpornosti na ransomware, sprječavanja phishinga, dostupnosti oblaka, upravljanja rizicima dobavljača, odgovora na incidente, neprekidnosti poslovanja i usklađenosti utemeljene na dokazima. Ako se vaša domena može preoteti, vaša SaaS platforma može nestati. Ako se vaši DNS zapisi mogu promijeniti bez odobrenja, sigurnost e-pošte, jedinstvena prijava (SSO), TLS certifikati, API krajnje točke i povjerenje klijenata mogu biti narušeni u nekoliko minuta.
Zašto upravljanje DNS-om i registrarom pripada u ISMS
Naziv domene nije samo imovina brenda. To je logička imovina, ovisnost autentifikacije, ovisnost usmjeravanja i često usluga kojom upravlja dobavljač. Povezuje pružatelje identiteta, autentifikaciju e-pošte, provjeru TLS certifikata, krajnje točke u oblaku, portale za klijente, API-je, CDN usluge, nadzorne sonde i komunikaciju tijekom incidenata.
Clarysecova Politika upravljanja imovinom - SME Politika upravljanja imovinom - SME to izričito navodi u svom opsegu:
Digitalne vjerodajnice i usluge: nazivi domena, digitalni certifikati, API ključevi, računi e-pošte, prijave u oblak
Iz odjeljka “Opseg”, točka politike 2.2.4.
Ista politika zahtijeva više od samog popisivanja naziva domene:
Vlasništvo, svrha, privilegije pristupa i rokovi obnove moraju biti dokumentirani.
Iz odjeljka “Zahtjevi provedbe politike”, točka politike 6.6.2.
Za korporativna okruženja, Clarysecova Politika upravljanja imovinom Politika upravljanja imovinom također uključuje logičku imovinu u opseg:
Logička imovina: nazivi domena, licence, korisnički računi, osnovne konfiguracije
Iz odjeljka “Opseg”, točka politike 2.2.5.
To je početna točka upravljanja. Registar DNS-a i registrara mora dokumentirati:
- Naziv domene, registar, registrara, pružatelja DNS hostinga i autoritativne imenske poslužitelje
- Poslovnog vlasnika, tehničkog vlasnika, sigurnosnog vlasnika i odobravatelja u hitnim situacijama
- Svrhu, kao što su produkcijski portal, API, e-pošta, SSO, marketing, testno okruženje ili defenzivna registracija
- Ocjenu kritičnosti i mapiranje ovisnosti prema poslovnim uslugama
- Status DNSSEC-a, status DS zapisa, vlasništvo nad ključevima i postupak rotacije ključeva
- Status zaključavanja na razini registra i zaključavanja kod registrara
- Model MFA i privilegiranog pristupa za račune registrara i DNS pružatelja
- Datum obnove, status automatske obnove, vlasnika plaćanja i upozoravanje na istek
- Zahtjeve kontrole promjena za izmjene zona i promjene delegiranja
- Zapisivanje događaja, upozoravanje, nadzor i zadržavanje dokaza
Zbog toga upravljanje domenama mora biti uključeno u opseg ISMS-a i procjenu rizika prema ISO/IEC 27001:2022. ISO/IEC 27001:2022 zahtijeva da organizacije utvrde kontekst, zahtjeve zainteresiranih strana, pravne i ugovorne obveze te sučelja i ovisnosti s vanjskim organizacijama. DNS ovisi o registrarima, registrima, pružateljima DNS hostinga, pružateljima usluga u oblaku, certifikacijskim tijelima, MSP-ovima i ponekad marketinškim agencijama. Ako su ta sučelja isključena iz ISMS-a, revizijski trag bit će nepotpun.
Model DNS prijetnji u 2026.
Najštetniji DNS propusti često su jednostavni:
- Domena istječe jer odgovornost za obnovu nije bila jasna.
- Bivša agencija i dalje ima pristup računu registrara.
- DNSSEC je omogućen, ali DS zapisi su pogrešni nakon migracije DNS pružatelja.
- Wildcard zapis usmjerava promet prema napuštenoj usluzi u oblaku.
- TXT zapis promijenjen je radi potvrde SaaS korisničkog okruženja ili zahtjeva za certifikat pod kontrolom napadača.
- MX zapisi mijenjaju se tijekom phishing kampanje ili kampanje presretanja e-pošte.
- CNAME prema platformi treće strane postaje ranjiv na preuzimanje.
- Zaključavanje na razini registra postoji za primarnu domenu, ali ne i za country-code domene dostupne klijentima.
- SOC nadzire krajnje uređaje, ali nitko ne nadzire promjene datoteke zone.
Tehničke zaštitne mjere dobro su poznate. DNSSEC pomaže zaštititi cjelovitost DNS podataka i autentifikaciju izvora. Zaključavanje na razini registra zahtijeva dodatnu izvanpojasnu provjeru za promjene visokog rizika na razini registra. Zaključavanje kod registrara smanjuje rizik neovlaštenog prijenosa. MFA i pregledi privilegiranog pristupa smanjuju vjerojatnost preuzimanja računa. Kontrola promjena sprječava nenamjerne prekide. Nadzor otkriva neovlaštene ili neočekivane promjene.
Izazov usklađenosti drukčiji je: možete li dokazati da te zaštitne mjere postoje, da imaju vlasnike, da se pregledavaju i da funkcioniraju tijekom incidenta?
Upravo na pitanju dokaza mnoge organizacije padaju.
Mapiranje upravljanja DNS-om na ISO/IEC 27001:2022 i ISO/IEC 27002:2022
ISO/IEC 27001:2022 daje strukturu sustava upravljanja za pretvaranje DNS kontrola u ponovljive, revizijski provjerljive procese. ISO/IEC 27001:2022 Annex A i smjernice kontrola ISO/IEC 27002:2022 daju kontrolni jezik koji revizori očekuju.
| Područje upravljanja DNS-om | Tema dokaza prema ISO/IEC 27001:2022 Annex A i ISO/IEC 27002:2022 | Što revizori očekuju vidjeti |
|---|---|---|
| Popis domena | 5.9 Popis informacija i druge povezane imovine | Registar domena s vlasnicima, kritičnošću, datumima obnove, DNS pružateljem, registrarom i ovisnostima |
| Pristup registraru | 5.15 Kontrola pristupa, 5.16 Upravljanje identitetom, 5.18 Prava pristupa, 8.5 Sigurna autentifikacija | Imenovani korisnici, dokazi MFA, zapisi odobrenja, periodični pregledi pristupa i postupak hitnog pristupa |
| DNSSEC | 8.24 Uporaba kriptografije | Status DNSSEC-a, DS zapisi, skrbništvo nad ključevima, plan rotacije i nadzor validacije |
| Zaključavanje na razini registra i kod registrara | 5.15 Kontrola pristupa, 8.20 Sigurnost mreže, 8.21 Sigurnost mrežnih usluga, 8.32 Upravljanje promjenama | Status zaključavanja, postupak otključavanja, ovlašteni kontakti i postupak izvanpojasne provjere |
| Kontrola promjena zone | 8.9 Upravljanje konfiguracijom, 8.32 Upravljanje promjenama | Zahtjevi za promjenu, procjena rizika, odobrenja, dokazi o provedbi i plan povrata |
| Upravljanje DNS pružateljem | 5.19 Informacijska sigurnost u odnosima s dobavljačima, 5.20 Obrada informacijske sigurnosti u ugovorima s dobavljačima, 5.22 Nadzor, pregled i upravljanje promjenama usluga dobavljača | Ugovorne odredbe, SLA, sigurnosne odgovornosti, pregledi usluga i očekivanja obavješćivanja o incidentima |
| Zapisivanje događaja i nadzor DNS-a | 8.15 Zapisivanje događaja, 8.16 Aktivnosti nadzora | Dnevnički zapisi, upozorenja, unos u SIEM, zadržavanje i dokazi testiranja upozorenja |
| Odgovor na prekid DNS-a | 5.24 Planiranje i priprema upravljanja incidentima informacijske sigurnosti, 5.29 Informacijska sigurnost tijekom poremećaja, 5.30 IKT spremnost za neprekidnost poslovanja | Operativne upute za oporavak, popis za eskalaciju, postupci oporavka i naučene lekcije nakon incidenta |
Clarysecov Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint tretira mrežne usluge kao izričite objekte revizije. U fazi Controls in Action, Step 20, upućuje timove da provjere sigurnost mrežnih usluga:
Popišite sve interne i vanjske mrežne usluge (DNS, VPN, SMTP, DHCP, API pristupnici, itd.).
✓ Za svaku potvrdite da koristi sigurne protokole (npr. DNSSEC, TLS 1.2+, SSH umjesto Telnet). ✓ Pregledajte kako se kontrolira pristup svakoj usluzi (npr. IP popisi dopuštenih, autentifikacija, certifikati). ✓ Ako njima upravljaju treće strane (npr. DNS, SD-WAN, hostirani VPN), pregledajte sigurnosne odredbe u SLA-u ili ugovoru s dobavljačem. Ažurirajte svoj Registar usluga i zabilježite gdje se nalaze sigurnosne odgovornosti, interno ili eksterno.
Iz faze Controls in Action, Step 20: Kontrole 8.18 do 8.26.
To daje praktičan revizijski put: tretirajte DNS kao vanjsku mrežnu uslugu, dokumentirajte kako je zaštićen i zabilježite je li odgovornost interna, kod registrara, kod DNS pružatelja ili kod MSP-a.
Clarysecov Zenith Controls: The Cross-Compliance Guide Zenith Controls koristan je jer se upravljanje DNS-om rijetko mapira samo na jedan okvir. Ista odluka o DNSSEC-u ili zaključavanju na razini registra podupire dokaze za ISO/IEC 27001:2022, NIS2, DORA, GDPR, NIST CSF 2.0 i COBIT 2019.
Za nadzor dobavljača, Zenith Controls mapira kontrolu ISO/IEC 27002:2022 5.22, Nadzor, pregled i upravljanje promjenama usluga dobavljača, kao preventivnu kontrolu koja podupire povjerljivost, cjelovitost i dostupnost. Za DNS to znači da vaši registrar i DNS pružatelj nisu dobavljači koje se jednom postavi i zaboravi. Njihov sigurnosni profil, promjene usluga, prekidi, podizvršitelji obrade i prakse obavješćivanja moraju se pregledavati.
Za DNSSEC i kriptografsku cjelovitost, Zenith Controls mapira kontrolu ISO/IEC 27002:2022 8.24, Uporaba kriptografije, kao preventivnu kontrolu usklađenu sa sigurnom konfiguracijom. DNSSEC nije šifriranje DNS prometa, nego kriptografsko osiguranje cjelovitosti DNS podataka i autentifikacije izvora.
Za izmjene DNS zona, Zenith Controls mapira kontrolu ISO/IEC 27002:2022 8.32, Upravljanje promjenama, kao preventivnu kontrolu koja podupire povjerljivost, cjelovitost i dostupnost. DNS promjena je promjena konfiguracije. Ažuriranje DS zapisa, promjena MX zapisa, migracija CNAME-a, ažuriranje SPF-a ili DMARC-a, prelazak na CDN ili promjena delegiranja imenskog poslužitelja moraju imati zahtjev, procjenu rizika, odobrenje, rezultat testiranja i plan povrata.
DNSSEC, zaključavanje na razini registra i upravljanje ključevima za kritične domene
Nema svaka domena isti rizik. Defenzivna domena koja se koristi samo za sprječavanje lažnog predstavljanja može zahtijevati nadzor i disciplinu obnove. Primarna domena portala za klijente zahtijeva najsnažnije dostupne kontrole.
Za kritične domene Clarysec uobičajeno preporučuje ovu osnovnu razinu kontrola:
- DNSSEC omogućen i provjeren gdje ga podržavaju registar, registrar i DNS pružatelj
- DS zapisi pregledani nakon svake migracije DNS pružatelja
- Dokumentiran postupak rotacije KSK i ZSK ključeva kada ključevima upravlja korisnik
- Zaključavanje na razini registra omogućeno za primarne produkcijske domene te domene identiteta, API-ja, plaćanja i e-pošte
- Zaključavanje kod registrara omogućeno za sve domene osim ako je dokumentirana privremena iznimka
- MFA obvezan za sve korisnike registrara i DNS pružatelja
- Korisnici s povišenim ovlastima ograničeni, imenovani, odobreni i pregledani
- Hitni pristup dokumentiran i testiran
- Nadzor datoteke zone s upozorenjima na promjene NS, DS, DNSKEY, MX, TXT, A, AAAA, CNAME, CAA i wildcard zapisa
- Vanjski nadzor iz više razrješivača i regija
- Dokazi zadržani u repozitoriju ISMS-a
Clarysecova korporativna Politika kriptografskih kontrola Politika kriptografskih kontrola pruža upravljačko uporište za DNSSEC ključeve:
Mora se održavati centralizirani Registar upravljanja ključevima za evidentiranje svih kriptografskih ključeva, njihova statusa životnog ciklusa, dodijeljenih skrbnika i konteksta uporabe.
Iz odjeljka “Upravljački zahtjevi”, točka politike 5.2.
Ako vaša organizacija izravno upravlja DNSSEC ključevima ili kontrolira objavu DS zapisa kod registrara, Registar upravljanja ključevima mora dokumentirati skrbništvo, status životnog ciklusa, datume rotacije i ovlasti za odobravanje. Ako DNS pružatelj upravlja DNSSEC ključevima, zapis o dobavljaču mora objasniti tu odgovornost i uključiti dokaze o osiguranju.
Upravljanje pristupom registraru: MFA, načelo najmanjih privilegija i hitna kontrola
Računi registrara često se stvaraju rano u životnom ciklusu organizacije, a zatim se zaborave kako organizacija sazrijeva. Osnivači, agencije, razvojni inženjeri, financijski korisnici i MSP-ovi mogu imati povijesni pristup. To je ozbiljna slabost kontrole.
Clarysecova Politika upravljanja korisničkim računima i privilegijama - SME Politika upravljanja korisničkim računima i privilegijama - SME navodi:
Povišene ili administratorske privilegije zahtijevaju dodatno odobrenje glavnog direktora ili IT voditelja te moraju biti dokumentirane, vremenski ograničene i podložne periodičnom pregledu.
Iz odjeljka “Zahtjevi provedbe politike”, točka politike 6.2.2.
Primijenite to doslovno na pristup registraru i DNS pružatelju:
- Nema dijeljenih administratorskih računa registrara
- MFA za svakog korisnika, po mogućnosti otporan na phishing gdje je podržano
- Imenovani kontakti za hitne situacije s dokumentiranim ovlastima
- Razdvajanje korisnika za naplatu od tehničkih administratora gdje je moguće
- Trenutačno uklanjanje bivših zaposlenika, agencija i dobavljača
- Tromjesečni pregled privilegiranog pristupa za kritične domene
- Iznimke evidentirane s datumima isteka
- Testirani postupci hitnog otključavanja i oporavka koji ne stvaraju nesigurne produkcijske promjene
Dokazi o zaključavanju na razini registra moraju uključivati snimke zaslona ili potvrde registrara koje prikazuju omogućen status, ovlaštene kontakte, postupak otključavanja i datum posljednjeg pregleda.
Kontrola promjena zona: male DNS izmjene, velik poslovni utjecaj
DNS promjene naizgled su male. TXT zapis može potvrditi vlasništvo nad SaaS platformom. CNAME može preusmjeriti klijente u novo okruženje. MX zapis može preusmjeriti poštu. CAA zapis može utjecati na izdavanje certifikata. Pogrešan DS zapis može prouzročiti neuspjeh validacije potpisane domene.
Clarysecova Politika upravljanja promjenama - SME Politika upravljanja promjenama - SME navodi:
Sve promjene moraju se podnijeti kao zahtjev za promjenu (e-pošta, obrazac ili prijava u helpdesk sustavu).
Iz odjeljka “Upravljački zahtjevi”, točka politike 5.1.1.
Za korporativne klijente, Clarysecova Politika upravljanja promjenama Politika upravljanja promjenama povećava očekivanja u pogledu dokaza:
Svi zahtjevi za promjenu, pregledi, odobrenja i pripadajuća dokumentacija moraju biti evidentirani u centraliziranom Sustavu upravljanja promjenama.
Iz odjeljka “Zahtjevi provedbe politike”, točka politike 6.1.1.
Zenith Blueprint dodatno to potvrđuje u fazi Controls in Action, Step 21:
Odaberite 2–3 nedavne promjene sustava ili konfiguracije i provjerite jesu li obrađene kroz vaš formalni radni tok upravljanja promjenama.
✓ Jesu li rizici procijenjeni? ✓ Jesu li odobrenja dokumentirana? ✓ Je li uključen plan povrata?
Potvrdite da su promjene provedene prema planu i da su svi incidenti ili neočekivani utjecaji evidentirani. Pregledajte zapise dnevnika, razlike u upravljanju verzijama ili revizijske tragove iz alata kao što su ServiceNow, Jira ili Git. Zabilježite taj postupak u Sažetom zapisniku promjena za potrebe revizije.
Iz faze Controls in Action, Step 21: Kontrole 8.27 do 8.34.
DNS-specifičan zahtjev za promjenu mora uključivati zahvaćenu domenu i zonu, vrstu zapisa, vrijednosti prije i nakon promjene, poslovni razlog, procjenu rizika, termin provedbe, odobravatelja, izvršitelja, provjeravatelja, provjere DNS propagacije, provjeru DNSSEC-a, plan povrata, nadzor nakon promjene i izvezene dokaze.
Revizijsko načelo je jednostavno: DNS promjene moraju biti sljedive od zahtjeva, preko odobrenja i provedbe, do provjere.
Nadzor i zapisivanje događaja: otkrijte DNS promjenu prije klijenata
Snažan program upravljanja DNS-om pretpostavlja da prevencija može zakazati. Nadzor mora dovoljno brzo otkriti neočekivanu promjenu kako bi podržao odgovor na incidente.
Clarysecova Politika sigurnosti mreže - SME Politika sigurnosti mreže - SME izričita je:
DNS zapisivanje događaja mora biti omogućeno radi podrške lovu na prijetnje i odgovoru na incidente
Iz odjeljka “Zahtjevi provedbe politike”, točka politike 6.6.3.
Korporativna Politika zapisivanja događaja i praćenja Politika zapisivanja događaja i praćenja polazi od istog operativnog očekivanja:
Svi obuhvaćeni sustavi moraju generirati zapise dnevnika koji bilježe:
Iz odjeljka “Zahtjevi provedbe politike”, točka politike 6.1.1.
Za upravljanje DNS-om i registrarom, obuhvaćeni sustavi moraju uključivati portale registrara, konzole DNS hostinga, upravljanje DNS-om putem API-ja, CI/CD cjevovode koji implementiraju DNS kao kod, SIEM upozorenja i vanjske alate za nadzor.
| Događaj | Zašto je važan | Minimalni dokaz |
|---|---|---|
| Promjena NS zapisa | Može preusmjeriti cijelu domenu na DNS pod kontrolom napadača | Upozorenje, zahtjev, odobravatelj i vrijednosti prije/nakon |
| Promjena DS ili DNSKEY zapisa | Može narušiti validaciju DNSSEC-a ili omogućiti napade na cjelovitost | Izvješće o provjeri DNSSEC-a i zapis promjene |
| Promjena MX zapisa | Može preusmjeriti e-poštu i podržati phishing ili presretanje podataka | Upozorenje, test toka pošte i odobrenje |
| Promjena TXT zapisa | Može potvrditi vlasništvo nad SaaS-om, autentifikaciju e-pošte ili izdavanje certifikata | Zahtjev za promjenu, podnositelj zahtjeva i poslovno obrazloženje |
| Promjena CAA zapisa | Može utjecati na kontrole izdavanja certifikata | Pregled upravljanja certifikatima |
| Dodavanje wildcard zapisa | Može stvoriti širok rizik usmjeravanja ili preuzimanja | Procjena rizika i odobrenje |
| Prijava registraru s neuobičajene lokacije | Ukazuje na rizik kompromitacije računa | SIEM upozorenje i bilješka o istrazi |
| Zahtjev za otključavanje zaključavanja na razini registra | Promjena visokog rizika koja zahtijeva eskalaciju | Hitno odobrenje i pregled nakon radnje |
Nadzor mora biti integriran u odgovor na incidente. DNS upozorenje koje nema vlasnika, ocjenu ozbiljnosti ili operativne upute samo je šum.
NIS2, DORA i GDPR: upravljanje DNS-om kao regulatorni dokaz
NIS2 Article 21 zahtijeva odgovarajuće i razmjerne tehničke, operativne i organizacijske mjere za upravljanje rizicima za mrežne i informacijske sustave te za smanjenje utjecaja incidenata. Upravljanje DNS-om prirodno se mapira na upravljanje imovinom, kontrolu pristupa, kriptografiju, sigurnost opskrbnog lanca, postupanje s incidentima, neprekidnost poslovanja i procjenu učinkovitosti.
NIS2 Article 20 također čini kibernetičku sigurnost odgovornošću upravljačkog tijela. Upravni odbori ne moraju odobravati svaki TXT zapis, ali moraju razumjeti jesu li kritične domene zaštićene DNSSEC-om, zaključavanjem na razini registra, MFA-om, nadzorom i testiranim oporavkom. Za značajne incidente, NIS2 Article 23 uvodi fazno izvješćivanje, uključujući rano upozorenje u roku od 24 sata, obavijest o incidentu u roku od 72 sata i završno izvješće najkasnije mjesec dana nakon obavijesti o incidentu.
Za regulirane financijske subjekte, DORA se primjenjuje od 17. siječnja 2025. i djeluje kao sektorski okvir IKT otpornosti kada se preklapa s NIS2. DNS često podupire kritične ili važne funkcije kao što su aplikacije za plaćanje, mobilno bankarstvo, portali za trgovanje, identitet klijenata, sustavi za sprječavanje prijevara, API pristupnici i integracije trećih strana. Dokazi prema DORA moraju prikazati mapiranje ovisnosti IKT imovine, klasifikaciju incidenata, testiranje otpornosti, upravljanje rizicima trećih strana i planiranje oporavka za scenarije neuspjeha DNS-a i registrara.
DNS incident nije automatski povreda osobnih podataka prema GDPR. Može to postati ako su korisnici preusmjereni na phishing stranicu, ako su vjerodajnice prikupljene, ako je e-pošta koja sadrži osobne podatke preusmjerena, ako je promet prema sustavima za obradu osobnih podataka presretnut ili ako je dostupnost osobnih podataka bitno pogođena. GDPR Article 5 zahtijeva cjelovitost, povjerljivost i odgovornost. Article 32 zahtijeva odgovarajuće sigurnosne mjere za obradu. Upravljanje DNS-om pruža dokaze da su usmjeravanje domena i usluge ovisne o DNS-u zaštićene razmjernim tehničkim i organizacijskim mjerama.
| Kontrolna mjera | ISO/IEC 27001:2022 Annex A i ISO/IEC 27002:2022 | NIS2 | DORA | GDPR |
|---|---|---|---|---|
| Popis imovine domena | 5.9 Popis informacija i druge povezane imovine | Article 21(2)(i) | Article 8 | Articles 5 and 32 |
| Registrar kao dobavljač | 5.19, 5.20, 5.22 | Article 21(2)(d) | Chapter V | Article 28 and Article 32 |
| Kontrola pristupa registraru i MFA | 5.15, 5.16, 5.18, 8.5 | Article 21(2)(i) and 21(2)(j) | Article 9 | Article 32 |
| Zaključavanje na razini registra i kod registrara | 5.15, 8.20, 8.21, 8.32 | Article 21(2)(a) and 21(2)(e) | Articles 9, 10 and 11 | Article 32 |
| Kontrola promjena DNS zone | 8.9, 8.32 | Article 21(2)(a) and 21(2)(e) | Articles 9, 10 and 11 | Articles 5 and 32 |
| Implementacija DNSSEC-a | 8.24 Uporaba kriptografije | Article 21(2)(h) | Articles 9 and 10 | Article 32 |
| Zapisivanje događaja i nadzor DNS-a | 8.15 Zapisivanje događaja, 8.16 Aktivnosti nadzora | Article 21(2)(a), 21(2)(b) and 21(2)(f) | Articles 10 and 17 | Articles 5, 32 and 33 |
Izradite DNS paket dokaza u jednom tjednu
Praktičan plan otklanjanja nedostataka u upravljanju DNS-om može se brzo dovršiti ako je vođen dokazima.
Dan 1: izradite registar domena i DNS usluga
Počnite od zahtjeva iz Politike upravljanja imovinom - SME za dokumentiranje vlasništva, svrhe, privilegija pristupa i rokova obnove.
| Polje | Primjer |
|---|---|
| Domena | example.com |
| Poslovna svrha | Portal za klijente, API, e-pošta |
| Kritičnost | Kritično |
| Registrar | Registrar A |
| Zaključavanje na razini registra | Omogućeno |
| Zaključavanje kod registrara | Omogućeno |
| DNS pružatelj | Upravljani DNS pružatelj B |
| DNSSEC | Omogućeno, DS objavljen |
| Vlasnik | Voditelj platforme |
| Sigurnosni vlasnik | CISO |
| Datum obnove | 2027-04-12 |
| Nadzor | SIEM upozorenje i vanjski DNS monitor |
| Radni tok promjena | Jira vrsta DNS promjene |
| Datum pregleda dobavljača | 2026-03-15 |
Dan 2: pregledajte pristup i privilegije
Izvezite korisnike registrara i DNS pružatelja. Uklonite zastarjele račune. Provedite MFA. Identificirajte administratore. Evidentirajte dokaze odobrenja za korisnike s povišenim ovlastima i dokumentirajte hitni pristup.
Dan 3: provjerite DNSSEC i zaključavanje
Za svaku kritičnu domenu provjerite validaciju DNSSEC lanca, točnost DS zapisa, vidljivost DNSKEY-a, zaključavanje kod registrara i zaključavanje na razini registra. Ako DNSSEC-om upravlja pružatelj, dokumentirajte odgovornost pružatelja. Ako njime upravlja korisnik, dodajte DNSSEC ključeve i skrbnike u Registar upravljanja ključevima.
Dan 4: pretvorite DNS promjene u formalne zapise promjena
Odaberite posljednje tri DNS promjene i testirajte ih prema kriterijima iz Zenith Blueprint Step 21: rizik je procijenjen, odobrenje dokumentirano, plan povrata uključen, provedeno prema planu i neočekivani utjecaj evidentiran. Izradite Sažeti zapisnik promjena.
Dan 5: povežite nadzor s odgovorom na incidente
Potvrdite dnevničke zapise i upozorenja za prijavu registraru, promjene zona, promjene DNSSEC-a, promjene NS, MX, TXT i CAA zapisa te obavijesti pružatelja. Pošaljite testna upozorenja SOC-u ili IT vlasniku. Priložite dokaze u repozitorij ISMS-a.
Dan 6: pregledajte obveze dobavljača
Upotrijebite smjernice iz Zenith Blueprint Step 23 za postupke promjena dobavljača i nadzora:
Uspostavite jednostavan, skalabilan postupak za procjenu promjena usluga dobavljača (5.21), kao što su migracija u oblak, novi podizvršitelji obrade ili redizajn infrastrukture. Definirajte okidače koji zahtijevaju ponovnu sigurnosnu procjenu. Zatim uvedite ponavljajući ritam nadzora dobavljača (5.22), dodijelite vlasnike kritičnim dobavljačima i osigurajte da se performanse, usklađenost i rizici pregledavaju najmanje jednom godišnje.
Iz faze Controls in Action, Step 23: organizacijske kontrole 5.19 do 5.37.
Clarysecova korporativna Politika sigurnosti trećih strana i dobavljača Politika sigurnosti trećih strana i dobavljača pruža ugovorno uporište:
Ugovori s dobavljačima moraju uključivati:
Iz odjeljka “Upravljački zahtjevi”, točka politike 5.3.
| Ugovorna tema | DNS-specifičan zahtjev |
|---|---|
| Sigurnosne odgovornosti | Tko upravlja DNSSEC-om, zaključavanjima, dnevničkim zapisima, pristupom, sigurnosnim kopijama i odobrenjima promjena |
| Obavješćivanje o incidentima | Rokovi i kanali za kompromitaciju registrara, prekid DNS-a ili neovlaštenu promjenu |
| Eskalacija podrške | 24/7 hitni put za kritične domene |
| Obavijest o promjeni | Prethodna obavijest za migracije platforme, promjene API-ja i promjene podizvršitelja obrade |
| Dokazi | Zapisi pristupa, povijest promjena, status zaključavanja, status DNSSEC-a i izvješća o raspoloživosti |
| Izlaz | Prijenos domene, izvoz zone, migracija DNSSEC-a i postupak uklanjanja zaključavanja |
Dan 7: provedite stolnu vježbu
Simulirajte neovlaštenu promjenu NS zapisa. Tim mora otkriti promjenu, klasificirati je, eskalirati, kontaktirati registrara, po potrebi pokrenuti postupke zaključavanja na razini registra, vratiti ispravnu delegaciju, provjeriti DNSSEC, obavijestiti dionike, procijeniti utjecaj na GDPR i odlučiti jesu li dosegnuti pragovi izvješćivanja prema NIS2 ili DORA. Zabilježite naučene lekcije i ažurirajte postupke.
Revizijska pitanja, česti nalazi i metrike za upravni odbor
Revizija upravljanja DNS-om rijetko se provodi samo kroz jednu perspektivu.
| Revizijska perspektiva | Vjerojatno revizijsko pitanje | Snažni dokazi |
|---|---|---|
| Revizor ISO/IEC 27001:2022 | Jesu li domene u opsegu, procijenjene u pogledu rizika, imaju li vlasnike, jesu li kontrolirane, nadzirane i uključene u upravljanje dobavljačima? | Opseg ISMS-a, registar rizika, Registar imovine, Izjava o primjenjivosti, zahtjevi za promjene, pregledi dobavljača i dnevnički zapisi |
| Procjenitelj NIST CSF 2.0 | Upravlja li se DNS rizicima, jesu li identificirani, zaštićeni, otkriveni, obrađeni i oporavljivi? | Trenutačni i ciljni profil, plan otklanjanja praznina, popis imovine, kontrole pristupa, nadzorna upozorenja i zapisi oporavka |
| Pregledavatelj DORA | Podržava li DNS kritične ili važne funkcije te upravlja li se ovisnošću, testira li se i je li oporavljiva? | Mapa ovisnosti IKT imovine, plan testiranja otpornosti, postupak klasifikacije incidenata, registar trećih strana i dokazi oporavka |
| Pregledavatelj GDPR | Može li DNS incident utjecati na osobne podatke i može li organizacija dokazati odgovarajuću sigurnost? | Dokazi za Article 32, procjena incidenta, nadzor nad izvršiteljem obrade, kontrola pristupa, zapisi promjena i nadzora |
| Revizor COBIT 2019 ili ISACA | Jesu li upravljački ciljevi povezani s domenama prevedeni u upravljane procese s vlasništvom, metrikama i osiguranjem? | RACI, ciljevi procesa, KPI-jevi, KRI-jevi, pregledi učinkovitosti dobavljača, izvješćivanje rukovodstvu i praćenje korektivnih radnji |
Najčešći nalazi su predvidljivi.
| Nalaz | Rizik | Clarysec rješenje |
|---|---|---|
| Domene nedostaju iz registra imovine | Istek, nejasno vlasništvo i nepotpuna procjena rizika | Dodajte domene u Registar imovine s vlasnikom, svrhom, kritičnošću, obnovom i ovisnostima |
| Dijeljeni administratorski račun registrara | Nema odgovornosti i slaba forenzika incidenta | Prijeđite na imenovane korisnike, MFA, načelo najmanjih privilegija i tromjesečne preglede |
| Nema zaključavanja na razini registra na kritičnoj domeni | Neovlašteno delegiranje ili prijenos s visokim utjecajem | Omogućite zaključavanje na razini registra i dokumentirajte postupak hitnog otključavanja |
| DNSSEC djelomično omogućen | Neuspjesi validacije ili lažan osjećaj sigurnosti | Provjerite lanac, DS zapise, vlasništvo nad ključevima i plan rotacije |
| DNS promjene provedene izvan zahtjeva | Prekid, pogrešno usmjeravanje i revizijski nalaz | Zahtijevajte formalnu vrstu DNS promjene s odobrenjem i povratom |
| Nema upozoravanja na promjene NS ili MX zapisa | Sporo otkrivanje preotimanja ili preusmjeravanja pošte | Integrirajte DNS nadzor sa SIEM-om i operativnim uputama za eskalaciju |
| Registrar se ne pregledava kao dobavljač | Praznine u ugovorima i odgovoru na incidente | Dodajte registrara i DNS pružatelja u ritam nadzora dobavljača |
| Nema operativnih uputa za incidente | Odgođen oporavak i neizvjesnost izvješćivanja | Izradite operativne upute za preotimanje DNS-a i prekid DNS-a, zatim ih testirajte stolnom vježbom |
Upravni odbori i rukovodstva trebaju DNS metrike izražene jezikom otpornosti. Korisne mjere uključuju postotak kritičnih domena s omogućenim i provjerenim DNSSEC-om, postotak sa zaključavanjem na razini registra, broj administratora registrara, postotak korisnika s povišenim ovlastima pregledanih u posljednjem tromjesečju, broj DNS promjena provedenih bez formalnih zahtjeva, prosječno vrijeme do otkrivanja neovlaštene DNS promjene, prosječno vrijeme do vraćanja ispravne DNS konfiguracije, domene koje istječu u roku od 90 dana, dovršene preglede dobavljača i neriješena upozorenja DNS nadzora.
Pretvorite DNS iz skrivenog rizika u dokaze spremne za reviziju
Ako vaša organizacija nije pregledala upravljanje domenama i DNS-om u posljednjih šest mjeseci, pretpostavite da postoji odstupanje. Počnite s kritičnim produkcijskim domenama, zatim proširite na regionalne domene, defenzivne domene, testne domene, domene stečene akvizicijama i domene kojima upravljaju agencije ili društva kćeri.
Clarysec vam može pomoći prijeći s raspršenih snimki zaslona registrara na strukturirani paket dokaza pomoću:
- Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint za korak-po-korak provjeru mrežnih usluga, upravljanja promjenama, zapisivanja događaja, nadzora i kontrola dobavljača
- Zenith Controls: The Cross-Compliance Guide Zenith Controls za mapiranje DNSSEC-a, zaključavanja na razini registra, nadzora dobavljača i upravljanja promjenama zona kroz perspektive ISO/IEC 27001:2022, NIS2, DORA, GDPR, NIST i COBIT 2019
- Clarysec predložaka politika, uključujući Politika upravljanja imovinom - SME, Politika upravljanja promjenama - SME, Politika upravljanja korisničkim računima i privilegijama - SME, Politika sigurnosti mreže - SME, Politika upravljanja imovinom, Politika upravljanja promjenama, Politika zapisivanja događaja i praćenja, Politika kriptografskih kontrola i Politika sigurnosti trećih strana i dobavljača
Vaša domena ulazna su vrata vašeg digitalnog poslovanja. U 2026. revizori, regulatori, klijenti i upravni odbori očekivat će da dokažete kako su ta vrata zaključana, nadzirana, oporavljiva i upravljana.
Preuzmite Clarysec alatni komplet, provedite jednotjednu vježbu izrade DNS paketa dokaza ili rezervirajte Clarysec procjenu kako biste upravljanje DNS-om i registrarom pretvorili u dokaz spreman za reviziju prije vlastite krize u ponedjeljak ujutro.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
