ISO 27001 dokazi iz dnevničkih zapisa za NIS2, DORA i GDPR

Upozorenje je stiglo u SOC kanal u utorak u 2:17 ujutro: više neuspjelih pokušaja prijave za privilegiranog korisnika admin s nove IP adrese. Pokušaji su prestali nakon nekoliko minuta. Mlađi analitičar evidentirao je upozorenje, pretpostavio da je riječ o pogrešno konfiguriranoj skripti ili administratoru sustava koji radi do kasno i nastavio dalje.

Dva dana poslije Maria, CISO brzorastuće FinTech tvrtke, bila je na sastanku rukovodstva kada joj je zazvonio telefon. Inženjering je utvrdio neuobičajeno visoku upotrebu CPU-a na instanci produkcijske baze podataka. Kreiran je novi neovlašteni korisnički račun. Upozorenje u 2:17 nije bilo lažno pozitivan nalaz. Bilo je prvi vidljivi znak pokušaja upada.

Incident je ograničen, ali istraga je otkrila veći problem. Dnevnički zapisi vatrozida bili su u jednom sustavu. Kubernetes zapisi bili su u drugom. Revizijski zapisi baze podataka čuvali su se odvojeno. Nekoliko vremenskih oznaka odstupalo je za nekoliko minuta. Tim je imao podatke, ali nije mogao brzo sastaviti dokaziv prikaz otkrivanja, pregleda, eskalacije, ograničavanja i procjene povrede.

Marijina nadzorna revizija ISO/IEC 27001:2022 završila je uspješno, ali revizor je ostavio jedno upozorenje: organizacija ima kontrole bilježenja događaja i praćenja, no imala bi poteškoća s pravodobnom izradom koreliranih dokaza za odluke o izvješćivanju prema NIS2, DORA i GDPR.

To je stvarnost s kojom se mnoge organizacije suočavaju u 2026. One nemaju problem s bilježenjem događaja. Imaju problem s dokazima.

SIEM, EDR platforma, revizijski trag u oblaku ili dnevnički zapis vatrozida sami po sebi nisu dokazi spremni za reviziju. Dokazi postaju dokazivi tek kada su uređeni politikom, zaštićeni od neovlaštene izmjene, pregledavani u definiranom ritmu, povezani s odlukama o incidentima i zadržani dovoljno dugo za rekonstrukciju događaja.

Za ISO/IEC 27001:2022, NIS2, DORA i GDPR ključno pitanje više nije: „Prikupljamo li dnevničke zapise?” Pitanje glasi: „Možemo li dokazati što se dogodilo, tko je to pregledao, kako je klasificirano, je li izvješćivanje bilo potrebno i je li rukovodstvo imalo nadzor?”

Zašto su bilježenje događaja i praćenje postali pitanje dokaza usklađenosti

NIS2, DORA i GDPR promijenili su poslovno značenje sigurnosnih dnevničkih zapisa.

Prema NIS2, ključni i važni subjekti moraju provoditi primjerene i razmjerne mjere upravljanja rizicima kibernetičke sigurnosti. Article 21 uključuje postupanje s incidentima, neprekidnost poslovanja, sigurnost opskrbnog lanca, siguran razvoj, procjenu učinkovitosti, kibernetičku higijenu, kriptografiju, sigurnost ljudskih resursa, kontrolu pristupa, upravljanje imovinom, MFA i sigurne komunikacije. Article 23 uspostavlja fazni model izvješćivanja, uključujući rano upozorenje u roku od 24 sata, obavijest o incidentu u roku od 72 sata, privremena ažuriranja kada su relevantna i završno izvješće najkasnije mjesec dana nakon obavijesti o incidentu.

Taj model ovisi o bilježenju događaja i praćenju. Ne možete poslati vjerodostojno rano upozorenje ako ne možete pokazati kada je događaj otkriven. Ne možete klasificirati značajan incident ako ne možete rekonstruirati zahvaćene sustave, korisničke aktivnosti, utjecaj na uslugu i radnje ograničavanja.

DORA stvara sličan pritisak na financijske subjekte. Articles 5 to 14 utvrđuju očekivanja u pogledu upravljanja i upravljanja IKT rizicima, uključujući odgovornost upravljačkog tijela, identifikaciju IKT imovine, zaštitu i prevenciju, otkrivanje, odgovor i oporavak, sigurnosno kopiranje, vraćanje podataka, učenje i komunikaciju. Articles 17 to 23 zahtijevaju proces upravljanja incidentima povezanima s IKT-om koji obuhvaća otkrivanje, evidentiranje, klasifikaciju, eskalaciju, obavješćivanje i naknadno postupanje. Articles 24 to 27 odnose se na testiranje digitalne operativne otpornosti. Articles 28 to 31 uvode obveze upravljanja rizicima IKT trećih strana.

GDPR dodaje sloj odgovornosti u području privatnosti. Article 32 zahtijeva primjerenu sigurnost obrade. Article 33 zahtijeva prijavu povrede osobnih podataka nadzornom tijelu bez nepotrebnog odgađanja i, ako je izvedivo, najkasnije 72 sata nakon saznanja za povredu, osim ako nije vjerojatno da će povreda prouzročiti rizik za pojedince. Article 34 može zahtijevati obavješćivanje pogođenih ispitanika kada je rizik visok. Dnevnički zapisi pomažu utvrditi jesu li osobnim podacima pristupalo, jesu li izmijenjeni, izneseni ili izloženi, ali dnevnički zapisi mogu sadržavati i osobne podatke te se njima mora odgovarajuće upravljati.

ISO/IEC 27001:2022 pruža okosnicu sustava upravljanja. Točke 4.1 to 4.4 zahtijevaju da organizacija razumije kontekst, zainteresirane strane, zahtjeve i opseg ISMS-a. Točke 5.1 to 5.3 zahtijevaju vodstvo, usklađenost politika, uloge, odgovornosti i ovlasti. Točke 6.1.1 to 6.1.3 zahtijevaju ponovljiv proces procjene i obrade rizika, uključujući kriterije rizika, vlasnike rizika, opcije obrade, usporedbu kontrola iz Priloga A, Izjavu o primjenjivosti i prihvaćanje preostalog rizika. Točka 6.2 zahtijeva mjerljive ciljeve informacijske sigurnosti.

Zato dokazi o bilježenju događaja i praćenju ne mogu postojati samo unutar SOC-a. Oni pripadaju u ISMS, registar rizika, Izjavu o primjenjivosti, proces odgovora na incidente, tijek rada za povrede privatnosti, upravljanje dobavljačima i izvješćivanje rukovodstva.

Kontrole bilježenja događaja ISO 27001 koje revizori najprije povezuju

U Zenith Blueprint: 30-koračni plan revizora Zenith Blueprint, faza Kontrole u praksi, Step 19: Tehnološke kontrole I, tretira bilježenje događaja, praćenje i sinkronizaciju vremena kao jedan dokazni lanac.

A.8.15 – Bilježenje događaja: „Dnevnički zapisi koji bilježe aktivnosti, iznimke, greške i druge relevantne događaje
moraju se izrađivati, pohranjivati, štititi i analizirati.”

A.8.16 – Aktivnosti praćenja: „Mreže, sustavi i aplikacije moraju se pratiti radi
anomalnog ponašanja te se moraju poduzeti odgovarajuće radnje za vrednovanje potencijalnih incidenata
informacijske sigurnosti.”

A.8.17 – Sinkronizacija vremena: „Satovi sustava za obradu informacija koje koristi
organizacija moraju biti sinkronizirani s odobrenim izvorima vremena.”

Te kontrole odgovaraju na tri revizijska pitanja:

Zenith Controls: Vodič za međusobnu usklađenost Zenith Controls izričito opisuje odnos:

„Bilježenje događaja služi kao temeljni podatkovni sloj za praćenje. Kontrola 8.16 ovisi o dnevničkim zapisima generiranima prema 8.15 radi analize sigurnosnih događaja, otkrivanja anomalija i identifikacije potencijalnih povreda. Bez sveobuhvatnog bilježenja događaja sustavi za praćenje nisu učinkoviti.”

Zenith Controls klasificira kontrolu ISO/IEC 27002:2022 8.15, Bilježenje događaja, kao detektivnu kontrolu koja podržava povjerljivost, cjelovitost i dostupnost. Mapira je na koncept kibernetičke sigurnosti Detect i upravljanje događajima informacijske sigurnosti. Također povezuje Bilježenje događaja s Aktivnostima praćenja, Procjenom i odlukom o događajima informacijske sigurnosti te Sinkronizacijom vremena.

Za kontrolu 8.16, Aktivnosti praćenja, Zenith Controls klasificira je kao detektivnu i korektivnu, mapiranu na Detect i Respond. Povezuje praćenje s praćenjem usluga dobavljača i procjenom događaja, što je ključno za okruženja oblaka, SaaS-a, upravljanih usluga i eksternaliziranih usluga.

Praktična poruka je jednostavna. Dnevnički zapisi daju činjenice. Praćenje identificira anomalije. Sinkronizacija vremena čini činjenice pouzdanima u različitim sustavima. Procjena događaja pretvara upozorenja u odluke.

Kako zapravo izgledaju dokazi iz dnevničkih zapisa spremni za reviziju

Dokazi spremni za reviziju nisu mapa sa snimkama zaslona. To je koherentan trag koji dokazuje dizajn kontrole, operativno djelovanje kontrole i odlučivanje.

Zrela dokazna datoteka za bilježenje događaja i praćenje obično sadržava sljedeće:

Clarysecova Enterprise Politika bilježenja događaja i praćenja Politika bilježenja događaja i praćenja to izravno uokviruje:

„Ova je politika ključna za potporu ISO/IEC 27001 točki 8.1 i kontrolama Priloga A 8.15 (Bilježenje događaja), 8.16 (Praćenje) i 8.17 (Sinkronizacija vremena) te je izravno mapirana na regulatorne obveze prema GDPR-u, NIS2, DORA i COBIT 2019.”

Iz odjeljka „Svrha”, klauzula politike 1.3.

Ista politika postavlja operativno očekivanje:

„Uspostaviti centralizirane sustave za bilježenje događaja i upozoravanje (npr. SIEM) radi agregacije, korelacije i eskalacije sumnjivih aktivnosti gotovo u stvarnom vremenu.”

Iz odjeljka „Ciljevi”, klauzula politike 3.4.

Za manje organizacije Clarysecova SME Politika bilježenja događaja i praćenja za SME Politika bilježenja događaja i praćenja - SME prevodi isto načelo u razmjerne zahtjeve:

„Pružatelj IT podrške mora definirati i slijediti redovit raspored pregleda dnevničkih zapisa:”

Iz odjeljka „Zahtjevi upravljanja”, klauzula politike 5.1.1.

Također definira zadržavanje i zaštitu:

„Dnevnički zapisi moraju se zadržavati najmanje 12 mjeseci, osim ako je dulje razdoblje zadržavanja propisano zakonom ili ugovorom ili opravdano kao dio aktivnog incidenta ili pravnog spora.”

Iz odjeljka „Zahtjevi upravljanja”, klauzula politike 5.2.1.

„Dnevnički zapisi moraju se pohranjivati na lokacijama zaštićenima od pisanja, a pristup mora biti ograničen samo na ovlašteno osoblje.”

Iz odjeljka „Zahtjevi upravljanja”, klauzula politike 5.3.1.

Za NIS2 i DORA, dokazna polazna osnova od 12 mjeseci može biti razlika između vjerodostojne rekonstrukcije i neuspjele istrage. Za GDPR ona podupire odgovornost, uz obveznu minimizaciju, kontrolu pristupa i disciplinu zadržavanja.

Nedostajući most: procjena događaja i pragovi izvješćivanja

Mnoge organizacije prikupljaju dnevničke zapise i generiraju upozorenja na anomalije, ali zakazuju na točki odlučivanja.

Je li upozorenje bilo samo sigurnosni događaj ili je postalo incident informacijske sigurnosti? Je li značajno prema NIS2? Je li riječ o većem incidentu povezanom s IKT-om prema DORA? Jesu li uključeni osobni podaci? Je li potrebna analiza prijave povrede prema GDPR-u?

Ta točka odlučivanja mapira se na kontrolu ISO/IEC 27002:2022 5.25, Procjena i odluka o događajima informacijske sigurnosti. Zenith Controls opisuje 5.25 kao funkciju trijaže između sirovih upozorenja iz praćenja i formalnog postupanja s incidentima. Povezuje 5.25 s planiranjem upravljanja incidentima, aktivnostima praćenja, odgovorom na incidente informacijske sigurnosti i bilježenjem događaja. Također mapira 5.25 na GDPR Articles 33 and 34 za prijavu povrede i vrednovanje rizika, NIS2 obavješćivanje o incidentima i kriterije klasifikacije te DORA klasifikaciju većih incidenata povezanih s IKT-om.

Clarysecova Politika odgovora na incidente Politika odgovora na incidente podržava tu točku eskalacije:

„Ako incident rezultira potvrđenom ili vjerojatnom izloženošću osobnih podataka ili drugih reguliranih podataka, Pravni poslovi i DPO moraju procijeniti primjenjivost:”

Iz odjeljka „Zahtjevi za provedbu politike”, klauzula politike 6.4.1.

Za SME organizacije Politika odgovora na incidente za SME Politika odgovora na incidente - SME postavlja tehnički zahtjev za dokaze:

„Sustavi za bilježenje događaja moraju biti konfigurirani tako da bilježe dovoljno pojedinosti za potporu istrazi.”

Iz odjeljka „Zahtjevi za provedbu politike”, klauzula politike 6.4.1.

Tu GDPR Article 33 postaje operativan. Pitanje nije samo jesu li osobni podaci bili pristupljeni. Pitanje je omogućuju li dnevnički zapisi, upozorenja iz praćenja i zapisi o incidentu DPO-u pravodobnu i dokazivu procjenu povrede.

NIS2 Article 23 i DORA Articles 17 to 23 stvaraju sličan pritisak. Rokovi izvješćivanja ovise o saznanju, klasifikaciji i procjeni materijalnosti. Organizacija mora moći dokazati kada je upozorenje generirano, kada je pregledano, tko ga je procijenio, koja je odluka donesena i kada je došlo do eskalacije.

60-minutna dokazna vježba za istragu privilegirane prijave

Koristan način za testiranje spremnosti dokaza jest uvježbati stvarni scenarij prije revizije ili incidenta.

Scenarij: privilegirani administratorski račun prijavljuje se iz neuobičajene zemlje u 02:13 UTC. Pet minuta poslije račun pokušava pristupiti funkciji izvoza podataka klijenata. Uvjetni pristup blokira sesiju i generira se upozorenje.

Cilj: u 60 minuta izraditi dokazni paket koji dokazuje otkrivanje, pregled, eskalaciju, procjenu i zatvaranje.

Korak 1: Potvrdite da događaj postoji u dnevničkim zapisima

Upotrijebite Politiku bilježenja događaja i praćenja za identifikaciju potrebnih izvora dnevničkih zapisa: zapise pružatelja identiteta, zapise administratora oblaka, zapise aplikacija, zapise baza podataka, zapise krajnjih uređaja i zapise vatrozida ili sigurnog pristupa.

Izvezite zapis događaja s vremenskom oznakom, ID-om korisnika, izvorišnim IP-om, uređajem, radnjom, rezultatom i korelacijskim ID-om. Ako događaj postoji samo u jednoj konzoli, a ne u SIEM-u ili sakupljaču dnevničkih zapisa, evidentirajte to kao nedostatak kontrole.

Zenith Blueprint Step 19 preporučuje osigurati da kritični sustavi prosljeđuju dnevničke zapise u SIEM ili središnji sakupljač dnevničkih zapisa te provjeriti da je zadržavanje usklađeno s politikom.

Korak 2: Dokažite da je praćenje otkrilo događaj

Prikažite SIEM upozorenje, EDR upozorenje ili upozorenje zaštite identiteta. Uključite naziv pravila, ozbiljnost, vremensku oznaku, uvjet aktiviranja i put obavješćivanja. Ako organizacija koristi ručni pregled, prikažite dnevno izvješće i odobrenje pregledavatelja.

Enterprise Politika bilježenja događaja i praćenja to određuje kao odgovornost uloge:

„Pregledava dnevna izvješća i osigurava da se anomalije analiziraju, dokumentiraju i eskaliraju prema potrebi.”

Iz odjeljka „Uloge i odgovornosti”, klauzula politike 4.2.3.

Korak 3: Dokažite da je eskalacija provedena u roku propisanom politikom

Za SME organizacije zahtjev za eskalaciju je izričit:

„Upozorenja visokog prioriteta moraju se eskalirati GM-u i koordinatoru za privatnost u roku od 24 sata.”

Iz odjeljka „Provedba i usklađenost”, klauzula politike 8.1.2.

Za enterprise timove dokazi mogu uključivati prijavu incidenta, zapis eskalacije u Teamsu ili Slacku, zapisnik pozivanja, obavijest e-poštom, SOC bilješku o primopredaji ili unos u sustav za upravljanje predmetima.

Korak 4: Klasificirajte događaj

Upotrijebite logiku procjene događaja 5.25 iz Zenith Controls. Zabilježite je li upozorenje sigurnosni događaj, incident informacijske sigurnosti, povreda osobnih podataka, značajan NIS2 incident ili veći DORA incident povezan s IKT-om.

Bilješka o klasifikaciji treba odgovoriti na sljedeće:

• Je li autentifikacija bila uspješna ili blokirana?
• Je li korišten pristup s povišenim ovlastima?
• Jesu li podaci klijenata pristupljeni, izmijenjeni ili izneseni?
• Jesu li regulirane usluge bile prekinute?
• Je li pogođena kritična IKT imovina?
• Jesu li uključeni dobavljači ili izvršitelji obrade?
• Ispunjava li događaj interne pragove izvješćivanja?
• Je li potrebna obavijest DPO-u, Pravnim poslovima, regulatoru ili klijentu?

Korak 5: Izradite pouzdan vremenski slijed

Sinkronizacija vremena često se zanemaruje dok istraga ne zakaže. Zenith Blueprint Step 19 navodi da je sinkronizirano vrijeme ključno za korelaciju događaja jer se dnevnički zapisi iz različitih sustava moraju vremenski uskladiti tijekom analize incidenta.

Uključite dokaze NTP konfiguracije za platforme identiteta, usluge u oblaku, poslužitelje, krajnje uređaje, baze podataka, vatrozide i SIEM. Normalizirajte vremenske oznake na UTC gdje je moguće.

Korak 6: Zatvorite ili eskalirajte

Ako je događaj ograničen i podacima nije pristupljeno, dokumentirajte zatvaranje, naučene lekcije i preventivnu radnju. Ako preraste u incident, povežite ga s odgovorom na incidente, pravnim pregledom i svim tijekovima rada izvješćivanja prema NIS2, DORA ili GDPR.

Na kraju zaštitite dokaze. Clarysecova Politika praćenja revizije i usklađenosti Politika praćenja revizije i usklađenosti navodi:

„Svi revizijski zapisi, nalazi i izvješća o korektivnim mjerama moraju se zadržati, šifrirati i zaštititi od neovlaštene izmjene.”

Iz odjeljka „Provedba i usklađenost”, klauzula politike 8.5.1.

Ova jedna vježba daje dokaze za Prilog A.8.15, A.8.16, A.8.17, kontrolu ISO/IEC 27002:2022 5.25, odgovornost za povrede prema GDPR-u, postupanje s incidentima prema NIS2 i klasifikaciju IKT incidenata prema DORA.

Mapa dokaza međusobne usklađenosti za ISO 27001, NIS2, DORA i GDPR

Najjači programi usklađenosti ne grade odvojene skupove dokaza za svaki okvir. Grade jedan dokazni sustav koji se može promatrati kroz više revizijskih perspektiva.

NIST Cybersecurity Framework 2.0 može pomoći u operativnoj primjeni kao komunikacijski sloj. Njegovih šest funkcija, GOVERN, IDENTIFY, PROTECT, DETECT, RESPOND i RECOVER, pokazuju da se bilježenje događaja i praćenje uglavnom nalaze u DETECT i RESPOND, ali ovise o upravljanju, razumijevanju imovine i prioritetima rizika.

NIST CSF 2.0 profili mogu također podržati plan za 2026. Current Profile može prikazati današnji obuhvat bilježenja događaja i zrelost upozoravanja. Target Profile može definirati potreban obuhvat za regulirane sustave, privilegirane aktivnosti, platforme dobavljača i okruženja osobnih podataka. Razlika između njih postaje plan korektivnih mjera.

Dnevnički zapisi dobavljača i oblaka: dokazni jaz koji revizori sve češće testiraju

U modernim revizijama najteža pitanja o bilježenju događaja često se odnose na eksternalizirane platforme.

Možete li pristupiti zapisima autentifikacije svojeg pružatelja usluga u oblaku? Bilježe li se administratorske radnje u SaaS-u? Jesu li revizijski zapisi baze podataka omogućeni u upravljanim uslugama? Zadržava li vaš MSSP upozorenja dovoljno dugo? Zahtijevaju li ugovori suradnju u vezi s incidentima? Mogu li dobavljači dovoljno brzo dostaviti zapise za rokove izvješćivanja prema NIS2 ili DORA? Jesu li zapisi izvršitelja obrade dostupni za procjenu povrede prema GDPR-u?

Zenith Controls povezuje Aktivnosti praćenja, kontrolu 8.16, s Praćenjem usluga dobavljača, kontrolom 5.22. Također mapira praćenje na ISO/IEC 27005:2024 točku 10.5, koja naglašava praćenje i pregled planova obrade rizika i kontrola, te na ISO/IEC 27035-2:2023 točku 7.3, gdje mehanizmi kontinuiranog praćenja otkrivaju događaje informacijske sigurnosti i pokreću upravljanje incidentima.

DORA čini bilježenje događaja kod dobavljača posebno važnim za financijske subjekte jer upravljanje rizicima IKT trećih strana uključuje registre dobavljača, ugovorne aranžmane, rizik podugovaranja, rizik koncentracije i izlazne strategije. NIS2 Article 21 uključuje sigurnost opskrbnog lanca u mjere upravljanja rizicima kibernetičke sigurnosti. GDPR može učiniti zapise dobavljača presudnima kada incident kod izvršitelja obrade može postati povreda osobnih podataka koju voditelj obrade mora prijaviti.

Praktična klauzula o bilježenju događaja kod dobavljača treba zahtijevati:

• Sigurnosno relevantne revizijske zapise za autentifikaciju, promjene privilegija, administrativne radnje, API pristup, izvoz podataka i promjene konfiguracije.
• Zadržavanje dnevničkih zapisa usklađeno s politikom, regulatornim obvezama i ugovornim rizikom.
• Sinkronizaciju vremena i normalizaciju vremenske zone.
• Zaštitu od neovlaštene izmjene i ograničen pristup dnevničkim zapisima.
• Suradnju u vezi s incidentima u definiranim rokovima.
• Dostavu dokaza za revizije, istrage i upite regulatornih tijela.
• Okidače obavješćivanja za sumnjiv pristup, kompromitaciju usluge ili izloženost podataka.
• Obveze bilježenja događaja i eskalacije za podizvršitelje obrade gdje je relevantno.

Bilježenje događaja kod dobavljača treba urediti prije incidenta, a ne pregovarati tijekom njega.

Kako različiti revizori testiraju istu kontrolu bilježenja događaja

Dobar dokazni paket mora izdržati različite profesionalne perspektive. ISO revizor, NIS2 pregledavatelj, DORA nadzorno tijelo, GDPR pregledavatelj i revizor usmjeren na COBIT 2019 ili ISACA mogu gledati istu SIEM nadzornu ploču, ali postavit će različita pitanja.

Zenith Blueprint Step 19 priprema organizacije za ta pitanja. Za Bilježenje događaja revizori se usmjeravaju na to bilježe li se ključni sigurnosni događaji i jesu li dnevnički zapisi zadržani, zaštićeni i korisni. Za Aktivnosti praćenja pitaju kako se neuobičajena ili neovlaštena aktivnost otkriva, vrednuje i eskalira. Za Sinkronizaciju vremena mogu usporediti vremenske oznake između sustava i označiti neusklađenost.

Step 16: Kontrole osoblja II, kontrola 6.8, također je važan jer mehanizmi prijavljivanja incidenata povezuju ljudsko prijavljivanje s tehničkim otkrivanjem. GDPR Article 33, NIS2 Article 23 i DORA obveze izvješćivanja o incidentima ovise o pravodobnoj internoj eskalaciji.

Česti revizijski nalazi i praktična rješenja

Većina nalaza u području bilježenja događaja i praćenja predvidljiva je. Problem je u tome što ih organizacije često otkriju tijekom revizije, a ne tijekom internog testiranja.

Za organizacije s ograničenim resursima pristup SME politike je realističan. Ne zahtijeva puni SOC od prvog dana. Zahtijeva definirane rasporede pregleda, 12-mjesečno zadržavanje osim ako je potrebno dulje, pohranu zaštićenu od pisanja, ograničen pristup i eskalaciju upozorenja visokog prioriteta. Time se stvara dokaziva polazna osnova dok organizacija sazrijeva prema centraliziranom SIEM-u, automatiziranoj korelaciji i upravljanom otkrivanju.

Metrike koje bilježenje događaja čine vjerodostojnim za rukovodstvo

Odborima i izvršnim rukovoditeljima nisu potrebni sirovi SIEM događaji. Potrebno im je uvjerenje relevantno za rizik. Budući da NIS2 Article 20 i zahtjevi upravljanja prema DORA stavljaju odgovornost na upravljačka tijela, metrike bilježenja događaja i praćenja trebaju biti dio izvješćivanja o upravljanju sigurnošću.

Korisne metrike uključuju:

• Postotak kritične imovine koja prosljeđuje dnevničke zapise u SIEM ili sakupljač dnevničkih zapisa.
• Postotak događaja pristupa s povišenim ovlastima obuhvaćenih upozoravanjem.
• Broj upozorenja visokog prioriteta pregledanih unutar SLA.
• Prosječno vrijeme od generiranja upozorenja do pregleda analitičara.
• Prosječno vrijeme od otkrivanja do eskalacije.
• Broj događaja klasificiranih prema procesu odgovora na incidente.
• Broj događaja koji zahtijevaju pregled DPO-a ili Pravnih poslova.
• Usklađenost zadržavanja dnevničkih zapisa prema kategoriji sustava.
• Broj platformi dobavljača s ugovornim pristupom dnevničkim zapisima.
• Broj sustava koji ne prolaze provjere sinkronizacije vremena.
• Otvorene korektivne radnje za bilježenje događaja i praćenje prema razini rizika.

Te metrike podržavaju ISO/IEC 27001:2022 točku 6.2 za mjerljive ciljeve informacijske sigurnosti. Također jačaju nadzor rukovodstva prema NIS2 i DORA te odgovornost prema GDPR-u.

Izrada dokaznog paketa za bilježenje događaja i praćenje za 2026.

Snažan dokazni paket za 2026. treba sastaviti prije revizije ili incidenta. Clarysec obično preporučuje strukturiranu mapu ili GRC dokazni objekt s ovim odjeljcima:

1. Upravljanje i opseg: opseg ISMS-a, zainteresirane strane, regulatorna primjenjivost, odobrenje rukovodstva i dodjele uloga.
2. Politika: Politika bilježenja događaja i praćenja, Politika odgovora na incidente, Politika praćenja revizije i usklađenosti, zahtjevi zadržavanja i zahtjevi eskalacije.
3. Rizik i SoA: Procjena rizika, plan obrade rizika, obrazloženje Izjave o primjenjivosti za A.8.15, A.8.16, A.8.17 i povezane kontrole.
4. Arhitektura: dijagram SIEM-a ili sakupljača dnevničkih zapisa, popis izvora dnevničkih zapisa, postavke bilježenja događaja u oblaku i ovisnosti o zapisima dobavljača.
5. Operativno djelovanje kontrole: zapisi o pregledu, upozorenja, prijave, zapisi o eskalaciji, dokazi zatvaranja i iznimke.
6. Povezanost s incidentima: radni list klasifikacije događaja, registar incidenata, zapis procjene DPO-a i dnevnik odluka o izvješćivanju.
7. Cjelovitost i zadržavanje: kontrole pristupa, šifriranje, zaštita od pisanja, postavke arhive, kontrole brisanja i dokaz o zadržavanju.
8. Sinkronizacija vremena: NTP konfiguracija, sigurna polazna osnova, praćenje odstupanja sistemskog vremena i pristup normalizaciji na UTC.
9. Dokazi dobavljača: ugovorne odredbe, izvješća dobavljača o pružanju potvrda, dostupnost revizijskih zapisa u oblaku i postupci suradnje u incidentima.
10. Poboljšanje: nalazi interne revizije, alat za praćenje korektivnih mjera, rezultati stolnih vježbi, zapisi podešavanja upozorenja i izvješća rukovodstva.

Svrha nije zatrpati revizore količinom dokaza. Svrha je dokazati da bilježenje događaja i praćenje djeluju kao kontrolirani proces od upravljanja do otkrivanja, procjene, eskalacije, izvješćivanja i poboljšanja.

Pretvorite dnevničke zapise u dokazive dokaze usklađenosti

Marijin tim nije riješio problem kupnjom još jedne nadzorne ploče. Riješio ga je pretvaranjem bilježenja događaja i praćenja u dokazni mehanizam. Politike su definirale zahtjeve. SIEM pravila i zapisi iz oblaka osigurali su signale. Tijekovi rada za incidente zabilježili su odluke. Sinkronizacija vremena učinila je vremenski slijed vjerodostojnim. Izvješćivanje rukovodstva učinilo je rizik vidljivim.

To je standard koji organizacije trebaju za ISO/IEC 27001:2022, NIS2, DORA i GDPR u 2026.

Počnite jednim praktičnim testom: uzmite stvarno upozorenje iz posljednjih 30 dana i dokažite, od početka do kraja, kako je zabilježeno, otkriveno, pregledano, eskalirano, klasificirano, zadržano i prijavljeno.

Ako odgovor nije siguran, Clarysec vam može pomoći zatvoriti prazninu.

Upotrijebite Zenith Blueprint: 30-koračni plan revizora Zenith Blueprint za implementaciju Step 19 za bilježenje događaja, praćenje i sinkronizaciju vremena te Step 16 za mehanizme prijavljivanja incidenata. Upotrijebite Zenith Controls: Vodič za međusobnu usklađenost Zenith Controls za mapiranje Priloga A.8.15, A.8.16, A.8.17 i kontrole ISO/IEC 27002:2022 5.25 kroz perspektive NIS2, DORA, GDPR, NIST CSF 2.0 i COBIT 2019.

Zatim operativno provedite zahtjeve kroz Clarysecovu Politiku bilježenja događaja i praćenja Politika bilježenja događaja i praćenja, Politiku bilježenja događaja i praćenja za SME Politika bilježenja događaja i praćenja - SME, Politiku odgovora na incidente Politika odgovora na incidente, Politiku odgovora na incidente za SME Politika odgovora na incidente - SME i Politiku praćenja revizije i usklađenosti Politika praćenja revizije i usklađenosti.

Dnevnički zapisi nisu dokazi dok se njima ne upravlja, dok nisu zaštićeni, pregledani i povezani s odlukama. Organizacije koje mogu dokazati taj lanac brže će prolaziti revizije, bolje odgovarati na incidente i dati rukovodstvu sigurnost kada stigne sljedeće upozorenje u 2:17 ujutro.