⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →

Dijeljenje obavještajnih podataka o prijetnjama uz ISO 27001 u 2026.

Igor Petreski
14 min read
Radni tok dijeljenja obavještajnih podataka o prijetnjama prema ISO 27001 za DORA, NIS2 i GDPR

U utorak u 07:40 Maria, CISO brzorastuće europske platne platforme, prima bilten visoke pouzdanosti od ISAC-a za financijske usluge. Kampanja krađe vjerodajnica cilja pružatelje platnih usluga koji koriste određenu integraciju pružatelja identiteta. Sigurnosna obavijest uključuje command-and-control domene, sumnjive nazive OAuth aplikacija, nizove user-agent, uočene taktike i preporuku za periodičnu promjenu tajni za pogođene tenant-e.

U roku od nekoliko minuta poslovanje počinje postavljati pitanja koja definiraju dijeljenje obavještajnih podataka o kibernetičkim prijetnjama u 2026.

SOC želi odmah unijeti pokazatelje u SIEM. Pravna služba pita smije li društvo vlastitu telemetriju podijeliti natrag s ISAC-om. DPO pita uključuju li IP adrese, korisnička imena, izvatci iz prijava, zapisnici autentifikacije ili pojedinosti o krajnjim uređajima osobne podatke. COO želi znati moraju li se upozoriti klijenti. CEO, netom nakon obuke rukovodstva o NIS2, prosljeđuje upozorenje uz dvije riječi: „Naš plan?”

Zatim voditelj usklađenosti postavlja najvažnije pitanje: „Ako nadzorno tijelo idući mjesec zatraži objašnjenje, možemo li dokazati da je naše dijeljenje obavještajnih podataka o kibernetičkim prijetnjama bilo zakonito, odobreno, korisno i kontrolirano?”

To je nova stvarnost. DORA je iz faze roka za implementaciju prešla u fazu nadzorne provjere. NIS2 je iz projekata spremnosti prešao u operativnu suradnju. GDPR se i dalje primjenjuje, čak i kada su podaci sigurnosna telemetrija. Dijeljenje obavještajnih podataka o prijetnjama više nije neformalna razmjena na Slacku između sigurnosnih timova. To je upravljana aktivnost koja uključuje povjerljivost, minimizaciju osobnih podataka, odobrenja za otkrivanje, zapise, očekivanja regulatora i revizijske dokaze.

Za CISO-e, voditelje usklađenosti, revizore i vlasnike poslovnih procesa pitanje nije treba li sudjelovati u aranžmanima za dijeljenje obavještajnih podataka o kibernetičkim prijetnjama. Pravo je pitanje kako dijeliti dovoljno brzo da se pomogne obrani, a pritom spriječiti nezakonito otkrivanje, povrede povjerljivosti klijenata, curenje konkurentski osjetljivih informacija, nekontroliranu objavu ranjivosti i nedostatne dokaze.

ISO/IEC 27001:2022 upravljačka je okosnica koja to omogućuje. Ne kao certifikat na zidu, nego kao sustav upravljanja koji dijeljenje obavještajnih podataka o kibernetičkim prijetnjama pretvara u ponovljiv, dokaziv operativni model usklađen s GDPR-om.

Zašto se dijeljenje obavještajnih podataka o kibernetičkim prijetnjama promijenilo u 2026.

Prvi val pripreme za DORA i NIS2 bio je usmjeren na opseg, rokove za prijavu incidenata, IKT rizik trećih strana, odgovornost upravnog odbora i analize nedostataka. Taj je rad bio nužan, ali regulatori i klijenti sada postavljaju operativnija pitanja:

  • U kojim ISAC-ovima, CERT-ovima, CSIRT-ovima, forumima dobavljača ili pouzdanim zajednicama sudjelujete?
  • Tko je ovlašten predstavljati organizaciju prema van?
  • Kako odlučujete što se smije dijeliti?
  • Kako sprječavate otkrivanje osobnih podataka, klijentskih tajni, pojedinosti o ranjivostima i osjetljive arhitekture?
  • Kako ulazni obavještajni podaci o prijetnjama ažuriraju pravila praćenja, prioritete zakrpavanja, registre rizika, operativne upute za incidente, preglede dobavljača i testove otpornosti?
  • Gdje su dokazi?

DORA je osobito izravna za financijske subjekte. Digitalnu operativnu otpornost tretira kao sustav upravljanja IKT rizicima u nadležnosti upravnog odbora, a ne kao IT kontrolni popis. DORA se primjenjuje od 17. siječnja 2025., pa se u 2026. mnogi financijski subjekti ocjenjuju prema tome funkcioniraju li njihovi procesi u praksi.

DORA Article 45 dopušta razmjenu informacija i obavještajnih podataka o kibernetičkim prijetnjama među financijskim subjektima kada je svrha jačanje digitalne operativne otpornosti. Dijeljenje se treba odvijati unutar pouzdanih zajednica i prema aranžmanima koji štite osjetljive poslovne informacije, osobne podatke, povjerljivost, intelektualno vlasništvo i granice prava tržišnog natjecanja. Jednostavno rečeno, DORA ne znači „dijelite sve”. Znači „dijelite sigurno, promišljeno i pod kontroliranim uvjetima”.

NIS2 stvara sličan pritisak izvan financijskog sektora. Primjenjuje se na mnoge bitne i važne subjekte u visoko kritičnim i drugim kritičnim sektorima, uključujući digitalnu infrastrukturu, pružatelje upravljanih usluga, pružatelje upravljanih sigurnosnih usluga, pružatelje usluga računalstva u oblaku, pružatelje usluga podatkovnih centara, internetska tržišta, internetske tražilice, platforme društvenih mreža, bankarstvo i infrastrukture financijskog tržišta. NIS2 Article 20 upravljačka tijela čini odgovornima za odobravanje mjera upravljanja rizicima kibernetičke sigurnosti, nadzor njihove provedbe i pohađanje obuke. Article 21 zahtijeva odgovarajuće i razmjerne tehničke, operativne i organizacijske mjere, uključujući analizu rizika, upravljanje incidentima, neprekidnost poslovanja, sigurnost opskrbnog lanca, upravljanje ranjivostima, procjenu učinkovitosti, kibernetičku higijenu, obuku, kriptografiju, sigurnost ljudskih resursa, kontrolu pristupa, upravljanje imovinom, MFA i sigurne komunikacije. Article 23 zahtijeva fazno prijavljivanje značajnih incidenata, uključujući rano upozorenje u roku od 24 sata, obavijest o incidentu u roku od 72 sata i završno izvješće najkasnije mjesec dana nakon obavijesti o incidentu.

GDPR dodaje ograničenje privatnosti. Osobni podaci uključuju svaku informaciju koja se odnosi na identificiranu fizičku osobu ili fizičku osobu koja se može identificirati. Sigurnosni zapisnici, IP adrese, korisnička imena, adrese e-pošte, nazivi krajnjih uređaja, događaji autentifikacije, prijave podršci, uzorci zlonamjernog softvera, snimke zaslona i bilješke istrage prijevara mogu biti osobni podaci. GDPR zahtijeva zakonitu, poštenu, transparentnu, svrhovito ograničenu, minimiziranu, točnu, vremenski ograničenu i sigurnu obradu. Zahtijeva i odgovornost, što znači da organizacija mora moći dokazati usklađenost.

Rezultat je upravljački problem. Dijeljenje obavještajnih podataka o prijetnjama mora biti dovoljno brzo da poboljša obranu, dovoljno kontrolirano da zadovolji nadzorna tijela i dovoljno disciplinirano da izbjegne povrede privatnosti i povjerljivosti.

ISO 27001 kao središte usklađenosti za dijeljenje obavještajnih podataka o prijetnjama

ISO/IEC 27001:2022 dobro odgovara ovom izazovu jer počinje kontekstom, zainteresiranim stranama, opsegom, rizikom, vodstvom, operativnom kontrolom, praćenjem, unutarnjom revizijom, preispitivanjem od strane uprave i kontinuiranim poboljšanjem.

Točke 4.1 do 4.4 zahtijevaju da organizacije razumiju unutarnja i vanjska pitanja, identificiraju zainteresirane strane i njihove zahtjeve, definiraju opseg ISMS-a i održavaju sustav upravljanja. Za organizaciju obuhvaćenu DORA ili NIS2, zainteresirane strane mogu uključivati nadležna tijela, CSIRT-ove, klijente, pružatelje IKT usluga, ISAC-ove, sektorske skupine, izvršitelje obrade, voditelje obrade, osiguratelje, internu reviziju i upravni odbor.

Točke 5.1 do 5.3 zahtijevaju predanost vodstva, smjer politike, odgovornost, resurse i dodijeljene odgovornosti. To je važno jer dijeljenje obavještajnih podataka o prijetnjama ne uspijeva kada se prepusti neformalnoj tehničkoj prosudbi. Ako SOC analitičar, pravni savjetnik, DPO, CISO, voditelj odnosa s javnošću i vlasnik poslovnog procesa primjenjuju različite pretpostavke, organizacija će ili podijeliti previše, zakočiti se ili odgovoriti prekasno.

Točke 6.1.1 do 6.1.3 regulatorno pitanje pretvaraju u procjenu rizika, obradu rizika, odabir kontrola, odluke u Izjavi o primjenjivosti, planove obrade rizika i prihvaćanje preostalog rizika. Tipični rizici dijeljenja obavještajnih podataka o prijetnjama uključuju:

  • Osobne podatke podijeljene bez pravne osnove ili minimizacije.
  • Povjerljive informacije klijenata otkrivene forumu.
  • Pojedinosti o ranjivosti objavljene prije nego što je dostupna mjera ublažavanja.
  • Pokazatelje koji su zaprimljeni, ali nikada nisu provedeni u operativne kontrole.
  • Sudjelovanje u ISAC-u koje nije odraženo u odgovoru na incidente, zapisivanju događaja, upravljanju ranjivostima ili riziku dobavljača.
  • Nedostatak dokaza o tome tko je odobrio otkrivanje i zašto.
  • Rizik povrede prava tržišnog natjecanja zbog dijeljenja komercijalno osjetljivih tržišnih informacija.
  • Nedosljedne regulatorne i klijentske komunikacije tijekom značajnog incidenta.

Točka 8.1 zatim zahtijeva implementaciju i kontrolu planiranih procesa, uz dokumentirane informacije dostatne za dokazivanje da su procesi provedeni kako je planirano. Točke 9 i 10 zahtijevaju praćenje, mjerenje, unutarnju reviziju, preispitivanje od strane uprave, postupanje s nesukladnostima, korektivne radnje i kontinuirano poboljšanje. Ukratko, ISO/IEC 27001:2022 pretvara dijeljenje obavještajnih podataka o kibernetičkim prijetnjama u operativni model koji se može revidirati.

Dvije ISO kontrole koje omogućuju učinkovito dijeljenje

Clarysecov Zenith Blueprint: revizorov plan u 30 koraka Zenith Blueprint obrađuje ovu temu u fazi Kontrole u praksi, Step 22: Organizational controls. Dvije kontrole ISO/IEC 27002:2022 ključne su: 5.6, Kontakt s posebnim interesnim skupinama, i 5.7, Obavještajni podaci o prijetnjama.

Zenith Blueprint jasno navodi da sudjelovanje u ISAC-u nije simbolično umrežavanje:

Sudjelovanje u takvim skupinama nije simbolična gesta. To je strateško ulaganje u obavještajne podatke, suradnju i zajedničku otpornost.

Za kontrolu 5.6, posebne interesne skupine mogu uključivati nacionalne ili sektorske mreže za obavještajne podatke o kibernetičkim prijetnjama, ISAC-ove, regulatorne forume, sigurnosne savjetodavne skupine dobavljača, zajednice otvorenog koda i akademske radne skupine. Međutim, vanjsko dijeljenje mora biti namjerno, zakonito i odobreno. Zenith Blueprint dodaje očekivanje zrelosti:

Zrele implementacije ISMS-a tretiraju sudjelovanje u SIG-u kao upravljanu aktivnost, a ne kao neformalnu korist.

To znači vođenje registra skupina i foruma kojima se organizacija pridružila, imenovanje službenih sudionika, bilježenje zapisnika ili sažetaka te integraciju uvida u interne preglede ili ažuriranja kontrola.

Kontrola 5.7 pretvara vanjske informacije u djelovanje. Zenith Blueprint navodi:

Organizacija se ne može obraniti od onoga što ne razumije.

Također upozorava na pogrešno poistovjećivanje feedova zakrpa s obavještajnim podacima o prijetnjama. Stvarni obavještajni podaci uključuju profiliranje aktera prijetnje, taktike, tehnike i postupke, pokazatelje kompromitacije, sektorska upozorenja, kontekst ranjivosti i strateški poslovni utjecaj. Korisni obavještajni podaci povezuju interno praćenje, vanjska partnerstva, odnose s CERT-om ili ISAC-om, komercijalne feedove i otvorene izvore, ali samo kada ih netko pregledava, prioritizira i prevodi u djelovanje.

Clarysecov Zenith Controls: vodič za višestruku usklađenost Zenith Controls dodatno potvrđuje vrijednost za višestruku usklađenost. Mapira kontrolu 5.6 kao preventivnu i korektivnu, koja podržava povjerljivost, cjelovitost i dostupnost, pri čemu je upravljanje primarna operativna sposobnost. Povezuje 5.6 s 5.7 Obavještajni podaci o prijetnjama, 5.5 Kontakt s tijelima, 5.31 Pravni, zakonski, regulatorni i ugovorni zahtjevi i 8.8 Upravljanje tehničkim ranjivostima. Kontrolu 5.7 mapira kao preventivnu, detektivnu i korektivnu, povezanu s Identify, Detect i Respond, uz operativnu sposobnost upravljanja prijetnjama i ranjivostima.

Poruka je jednostavna: zreo program dijeljenja obavještajnih podataka o kibernetičkim prijetnjama ima dvije polovice. Prvo, kontrolirane odnose. Drugo, kontroliranu uporabu onoga što je primljeno i podijeljeno.

Praktičan operativni model za upravljano dijeljenje

Dokaziv operativni model za 2026. treba odgovoriti na šest pitanja prije nego što se podijeli prvi pokazatelj.

Upravljačko pitanjePraktičan odgovorDokazi koje revizori očekuju
Tko smije sudjelovati?Imenovane uloge, odobreni forumi, zamjenski kontakti, ograničenja ovlastiRegistar SIG-a i ISAC-a, zapisi o imenovanju, opisi uloga
Što se smije primati?Izvješća o prijetnjama, IOC-ovi, TTP-ovi, obavijesti o ranjivostima, sektorska upozorenjaDnevnik zaprimanja, klasifikacija izvora, pravila postupanja
Što se smije dijeliti?Sanitizirani pokazatelji, neatributivni obrasci, odobrene sigurnosne obavijesti, činjenice prikladne za regulatoraZapis odobrenja otkrivanja, pregled minimizacije, odobrenje pravne službe ili DPO-a
Kako se obavještajni podaci koriste?SIEM pravila, EDR blokade, prioritizacija ranjivosti, ažuriranja registra rizika, izmjene operativnih uputaZahtjevi za promjene, detekcijska pravila, ažuriranja rizika, zapisnici sastanaka
Kako se štiti privatnost?Minimizacija podataka, pseudonimizacija, redigiranje, provjera pravne osnove, ograničenja zadržavanjaDPIA ili pregled privatnosti, predložak za dijeljenje, evidencija zadržavanja
Kako se pregledava učinkovitost?Metrike, stolne vježbe, nalazi revizije, preispitivanje od strane upraveKPI-jevi, naučene lekcije iz incidenata, izvješće unutarnje revizije, korektivne radnje

Clarysec to obično implementira kao jednostavan, ali formalan radni tok:

  1. Zaprimiti i klasificirati obavještajne podatke.
  2. Provjeriti relevantnost za imovinu, dobavljače, usluge, geografska područja i klijente.
  3. Pretvoriti obavještajne podatke u radnje, kao što su pravila praćenja, prijave ranjivosti, upozorenja korisnicima, upiti dobavljačima ili ažuriranja rizika.
  4. Odlučiti je li izlazno dijeljenje potrebno, zakonito, sigurno i dopušteno pravilima članstva.
  5. Primijeniti redigiranje, agregaciju, pseudonimizaciju ili anonimizaciju.
  6. Ishoditi potrebna odobrenja.
  7. Podijeliti putem odobrenog kanala.
  8. Evidentirati što je podijeljeno, s kime, zašto, kada i na temelju čije ovlasti.
  9. Pregledati ishode i ažurirati kontrole.

Time se sprječavaju dvije klasične pogreške: sigurnosni tim prima korisne obavještajne podatke, ali se ništa ne mijenja, ili sigurnosni tim dijeli korisne obavještajne podatke, ali stvara pravnu, ugovornu ili privatnosnu izloženost.

DORA Article 45: kontrolirano dijeljenje bez gubitka povjerljivosti

Za financijske subjekte DORA Article 45 treba pretočiti u interni standard za dijeljenje obavještajnih podataka o kibernetičkim prijetnjama. Praktično tumačenje uključuje pet uvjeta.

Prvo, svrha mora biti otpornost. Dijeljenje treba pomoći u sprječavanju, otkrivanju, odgovoru na kibernetičke prijetnje ili oporavku od njih. Ne smije skrenuti u cijene, popise klijenata, tržišnu strategiju ili komercijalno osjetljive informacije.

Drugo, zajednica mora biti pouzdana. To znači jasna pravila članstva, obveze povjerljivosti, sigurne kanale, kontrole pristupa i ograničenja daljnjeg otkrivanja. ISO/IEC 27010:2015 podržava sigurnu razmjenu informacija u zajednicama povjerenja, uključujući pravila povjerljivosti, uzajamnost i pouzdane komunikacijske kanale. ISO/IEC 27032:2023 podržava dijeljenje informacija o kibernetičkoj sigurnosti i situacijsku svijest. ISO/IEC 27035-2:2023 povezuje dijeljenje informacija s planiranjem odgovora na incidente, uključujući sudjelovanje u CERT-ovima i industrijskim skupinama.

Treće, osjetljive informacije moraju biti zaštićene. To uključuje poslovne tajne, arhitekturne dijagrame, pojedinosti o ranjivostima, vjerodajnice, identifikatore klijenata i osobne podatke. Clarysecova SME Politika klasifikacije i označavanja podataka Politika klasifikacije podataka i označavanja - SME navodi:

Vanjsko dijeljenje mora biti izričito ovlašteno i evidentirano u zapisima dnevnika.

Ta je rečenica kontrolno načelo iza radnog toka prema DORA Article 45. Organizacija mora znati koja se klasifikacija primjenjuje, tko je odobrio objavu i gdje se čuva zapis.

Četvrto, osobni podaci moraju biti minimizirani. Korporativna Politika zaštite podataka i privatnosti Politika zaštite podataka i privatnosti navodi:

Smiju se prikupljati i obrađivati samo podaci potrebni za određenu, legitimnu poslovnu svrhu.

SME ekvivalent, Politika zaštite podataka i privatnosti - SME Politika zaštite podataka i privatnosti - SME, navodi:

Moraju se prikupljati i zadržavati samo minimalni potrebni osobni podaci

To je važno jer obavještajni podaci o prijetnjama često navode timove da kopiraju sirove zapisnike u vanjske kanale. Umjesto toga, trebaju dijeliti samo ono što primatelju treba, primjerice zlonamjernu domenu, hash vrijednost, raspon vremenskih oznaka, opći obrazac ili pseudonimiziranu referencu predmeta.

Peto, organizacija mora čuvati dokaze. DORA se temelji na dokumentiranom upravljanju IKT rizicima, klasifikaciji incidenata, izvješćivanju, testiranju, upravljanju trećim stranama i odgovornosti rukovodstva. Ako dijeljenje utječe na odgovor na incidente, scenarij testa otpornosti ili odluku o riziku dobavljača, to mora biti vidljivo u zapisima ISMS-a.

Suradnja prema NIS2: od pravnog opsega do operativnih odnosa

NIS2 širi raspravu izvan financijskih subjekata. Primjenjuje se na temelju sektora, veličine i kritičnosti, a na određene subjekte može se primjenjivati i neovisno o veličini, kao što su pružatelji usluga povjerenja, pružatelji DNS usluga, registri TLD-a, kritični subjekti i usluge registracije naziva domena.

Za dijeljenje obavještajnih podataka o prijetnjama ključna je lekcija upravljanje. Article 20 upravljačka tijela čini odgovornima za odobravanje i nadzor mjera upravljanja rizicima kibernetičke sigurnosti. Article 21 zahtijeva odgovarajuće i razmjerne tehničke, operativne i organizacijske mjere. Article 23 zahtijeva fazno izvješćivanje za značajne incidente.

Dijeljenje obavještajnih podataka o prijetnjama presijeca se sa svime navedenim. Ako sigurnosna obavijest ISAC-a pokaže da se iskorištava upravljana usluga dobavljača, očekivanja iz Article 21 u vezi s opskrbnim lancem postaju relevantna. Ako obavještajni podaci ukazuju na značajan incident u tijeku, mogu se aktivirati radni tokovi izvješćivanja prema Article 23 i komunikacije s klijentima. Ako značajna kibernetička prijetnja može utjecati na primatelje usluga, organizaciji je potreban kontrolirani postupak upozoravanja.

Zenith Blueprint obrađuje to u fazi ISMS Foundation and Leadership, Step 5, Communication, Awareness, and Competence. Preporučuje planiranje vanjske komunikacije koje identificira klijente, regulatore, partnere i javnost, a zatim definira što se komunicira, kada, tko komunicira i uz koje odobrenje. Navodi praktičan primjer postupka komunikacije o incidentu u kojem CISO izrađuje obavijest, pravna služba je pregledava, a CEO odobrava prije slanja.

SME Politika odgovora na incidente Politika odgovora na incidente - SME navodi:

Glavni direktor (GM) odgovoran je za odobravanje svih odluka o eskalaciji incidenta, regulatornih obavijesti i vanjskih komunikacija.

Za veće organizacije korporativna Politika odgovora na incidente Politika odgovora na incidente uspostavlja dokaznu osnovu:

Svi incidenti moraju se evidentirati u sustavu za upravljanje sigurnosnim incidentima (SIMS), uključujući:

Kada obavještajni podaci o prijetnjama postanu incident, upozorenje klijentima, obavijest regulatoru ili vanjska sigurnosna obavijest, ne smiju ostati samo u pretincima e-pošte i chat nitima. Pripadaju u sustav upravljanja incidentima s klasifikacijom, radnjama, odobrenjima, dokazima i naučenim lekcijama.

Otkrivanje usklađeno s GDPR-om: dijeljenje obavještajnih podataka, a ne nepotrebnih osobnih podataka

GDPR dopušta sigurnosne operacije, ali ne stvara slobodnu zonu za nekontrolirano dijeljenje telemetrije. Mnogi artefakti obavještajnih podataka o prijetnjama mogu sadržavati osobne podatke:

  • IP adrese povezane s korisničkom aktivnošću.
  • Adrese e-pošte korištene u pokušajima phishinga.
  • Korisnička imena, nazivi uređaja, identifikatori krajnjih uređaja ili identifikatori tenant-a klijenata.
  • Zapisnici autentifikacije.
  • Prijave podršci.
  • Snimke zaslona.
  • Bilješke istrage prijevara.
  • Uzorci zlonamjernog softvera koji sadržavaju dokumente ili osobne datoteke.
  • Izvješća o ranjivostima koja uključuju izloženost podataka klijenata.

U Clarysecovu modelu svaka odluka o izlaznom dijeljenju prolazi kroz filtar privatnosti i povjerljivosti.

FiltarPitanje za odlukuTipična kontrolna radnja
SvrhaJe li dijeljenje potrebno za kibernetičku obranu, pravno izvješćivanje ili koordinirano ublažavanje?Zabilježiti svrhu u dnevnik dijeljenja
Pravna osnovaPostoji li dokumentirana pravna osnova ili pravna obveza?Dodati pregled pravne službe ili DPO-a za osobne podatke
MinimizacijaMože li se isti rezultat postići s manje polja?Ukloniti korisnička imena, e-poštu, bilješke u prijavama, nazive klijenata
PseudonimizacijaMogu li se identifikatori zamijeniti ID-jevima predmeta ili tokenima?Interno čuvati mapiranje s ograničenim pristupom
PovjerljivostOtkriva li sadržaj arhitekturu, pojedinosti o ranjivostima ili klijentske tajne?Klasificirati kao povjerljivo ili visoko povjerljivo i ograničiti dijeljenje
ZadržavanjeKoliko dugo treba zadržati podijeljeni zapis i dokaz odobrenja?Primijeniti pravilo zadržavanja i pregled brisanja

U Zenith Controls, kontrola ISO/IEC 27002:2022 5.34, Privatnost i zaštita PII, mapirana je kao preventivna i povezana s klasifikacijom, popisom imovine, maskiranjem podataka, sigurnošću oblaka, prijenosom informacija, kontrolom pristupa, upravljanjem identitetom i pregledom projekta ili promjene. Također se mapira na GDPR Articles 25 i 32 kroz ugrađenu zaštitu privatnosti, sigurnost obrade, šifriranje, pseudonimizaciju, kontrolu pristupa i dokazivo upravljanje. Potporni standardi uključuju ISO/IEC 27701:2021 za upravljanje informacijama o privatnosti, ISO/IEC 27018:2019 za zaštitu osobnih podataka (PII) u okruženjima javnog oblaka kod izvršitelja obrade i ISO/IEC 29100:2011 za načela privatnosti.

Za dijeljenje obavještajnih podataka o prijetnjama DPO i sigurnosni tim ne bi se trebali prvi put susresti tijekom krize. Trebaju unaprijed odobriti obrasce, predloške, pravila redigiranja i pragove eskalacije.

Praktičan primjer: ISAC upozorenje postaje otpornost temeljena na dokazima

Vratimo se na Marijinu platnu platformu. Sigurnosna obavijest ISAC-a uključuje zlonamjerne domene, sumnjive nazive OAuth aplikacija, nizove user-agent i napomenu da je nekoliko članova uočilo pokušaje preuzimanja računa usmjerene na korisnike u financijskim operacijama. Društvo u vlastitim zapisnicima pronalazi i tri sumnjiva pokušaja prijave.

Ovo je način na koji bi Clarysec operacionalizirao odgovor koristeći ISO/IEC 27001:2022, Zenith Blueprint, Zenith Controls i paket politika.

KorakRadnjaVlasnikDokaz ili poveznica s kontrolom
1. Evidentirati zaprimanjeZabilježiti izvor, datum, razinu pouzdanosti, imovinu, pogođenu tehnologiju i ograničenja postupanjaSOC analitičarDnevnik zaprimanja obavještajnih podataka o prijetnjama, kontrola ISO/IEC 27002:2022 5.7
2. KlasificiratiOznačiti sigurnosnu obavijest kao Povjerljivo ili Visoko povjerljivo ako uključuje osjetljive pojedinosti članovaVoditelj sigurnostiZapis klasifikacije podataka, pravilo ovlaštenja za vanjsko dijeljenje
3. Provjeriti relevantnostProvjeriti produkcijsku uporabu integracije identiteta, izložene korisnike, OAuth dodjele, DNS, proxy, EDR i SIEM zapisnikeSOC i platformski timBilješke trijaže, dokazi praćenja, pregled ranjivosti
4. Pretvoriti u radnjeDodati detekcije, pregledati dodjele, periodički promijeniti tajne po potrebi, poslati upit dobavljaču, ažurirati registar rizikaSOC, inženjering, vlasnik rizikaZahtjevi za SIEM pravila, zapisi promjena, eskalacija dobavljaču
5. Pregledati izlazno dijeljenjeSirove nalaze svesti na vremenski prozor, obrazac, zlonamjernu domenu i vrstu pogođene ulogeCISO, pravna služba, DPOOdobrenje otkrivanja, procjena minimizacije
6. Dijeliti sigurnoPoslati samo odobrene obavještajne podatke putem šifriranog kanala ISAC-aCISO ili delegirana osobaDnevnik dijeljenja, zapis kanala, vremenska oznaka odobrenja
7. PoboljšatiIzvijestiti o metrikama i naučenim lekcijama na pregledu ISMS-aCISO i GRCZapisnik preispitivanja uprave, korektivne radnje

Izlazna poruka izvorno uključuje vremenske oznake, izvorišne IP adrese, ciljana korisnička imena, identifikatore tenant-a klijenata i snimke zaslona. Nakon pregleda DPO-a i pravne službe svodi se na:

  • Vremenski prozor u UTC-u.
  • Obrazac napada.
  • Uočenu zlonamjernu domenu.
  • Opću vrstu pogođene uloge, primjerice korisnici u financijskim operacijama.
  • Bez korisničkih imena.
  • Bez identifikatora tenant-a klijenata.
  • Bez snimki zaslona.
  • Bez naziva klijenata.
  • Bez sirovih zapisnika, osim ako se zatraže putem kontroliranog kanala.

Ako aktivnost postane incident, preuzimaju kontrole iz Politike odgovora na incidente. Ako se prikupljaju forenzički artefakti, primjenjuje se Politika prikupljanja dokaza i forenzike - SME Politika prikupljanja dokaza i forenzike - SME:

Svaka stavka digitalnih dokaza mora se evidentirati s:

Politika se interno nastavlja na zahtjeve za metapodatke dokaza, ali revizijsko načelo je jasno: svaki artefakt koji se koristi za istragu, dijeljenje, izvješćivanje regulatoru ili komunikaciju s klijentima mora imati sljedivost.

Objava ranjivosti nije isto što i dijeljenje obavještajnih podataka o prijetnjama

Česta je pogreška tretirati objavu ranjivosti, obavijest o incidentu i dijeljenje obavještajnih podataka o prijetnjama kao isti proces. Preklapaju se, ali nisu istovjetni.

Dijeljenje obavještajnih podataka o prijetnjama može uključivati pokazatelje, taktike, sektorska upozorenja, ponašanje protivnika, mjere ublažavanja ili uočene pokušaje. Koordinirana objava ranjivosti uključuje konkretnu slabost u proizvodu ili usluzi, često s prijaviteljem, rokom ispravka, sigurnosnom obavijesti i odlukom o javnoj objavi. Obavijest o incidentu uključuje regulatorno ili ugovorno izvješćivanje o događaju koji utječe na usluge, podatke ili klijente.

Clarysec razdvaja te radne tokove, ali ih povezuje kroz ISMS. Korporativna Politika koordinirane objave ranjivosti Politika koordinirane objave ranjivosti navodi:

Koordinacija i otkrivanje: Organizacija mora koordinirati javnu objavu s prijaviteljem. Prema zadanim postavkama, nikakve pojedinosti o ranjivosti ne smiju se javno objaviti dok ispravak ili mjera ublažavanja nije dostupna ili barem u tijeku. Za kritične probleme kod kojih se ispravak ne može brzo isporučiti, organizacija može izdati sigurnosnu obavijest sa smjernicama za zaobilazno rješenje kako bi upozorila korisnike, uz savjetovanje s relevantnim tijelima kada je to potrebno. Od prijavitelja se očekuje da se suzdrži od javne objave dok organizacija ne da odobrenje ili ne objavi sigurnosnu obavijest. Kao opće pravilo, organizacija nastoji objaviti sigurnosnu obavijest u roku od 90 dana od zaprimanja izvješća ili u drugom međusobno dogovorenom roku, u skladu s industrijskom praksom, uključujući navođenje zasluga prijavitelja kada je dana privola.

Ista politika također navodi:

Povjerljivost: Do javne objave, sve informacije koje se odnose na prijavljenu ranjivost moraju se tretirati kao Visoko povjerljivo. Pojedinosti se interno smiju dijeliti samo prema načelu nužnog poznavanja s osobljem koje mora validirati ili otkloniti problem. Identitet prijavitelja mora ostati povjerljiv kada se to zatraži. Sve komunikacije s prijaviteljem trebaju biti šifrirane, uključujući uporabu PGP ključa organizacije, radi zaštite osjetljivih pojedinosti o ranjivosti.

To je ključno za DORA Article 45 i suradnju prema NIS2. Pouzdana zajednica može biti pravo mjesto za dijeljenje mjera ublažavanja ili visokorazinskih pokazatelja, ali ne nužno i pojedinosti o iskorištavanju, podataka specifičnih za klijenta ili informacija o nezakrpanim ranjivostima.

Vanjske komunikacije zahtijevaju istu disciplinu. Korporativna Politika društvenih mreža i vanjske komunikacije Politika društvenih mreža i vanjske komunikacije dodjeljuje odgovornost za pregled sadržaja kako bi se osigurala usklađenost sa zakonima koji uređuju povjerljivost, insajderska otkrivanja, intelektualno vlasništvo i klevetu. To je važno kada tehnička sigurnosna obavijest postane javna izjava, obavijest klijentima, ažuriranje internetske stranice ili poruka prema regulatoru.

Mapiranje višestruke usklađenosti: jedan radni tok, mnogo obveza

Snažan radni tok dijeljenja obavještajnih podataka o kibernetičkim prijetnjama treba zadovoljiti više okvira bez stvaranja dupliciranih procesa.

OkvirŠto očekujeKako ga Clarysec mapira
ISO/IEC 27001:2022Kontekst, vodstvo, obrada rizika, operativna kontrola, dokumentirani dokazi, praćenje, revizija, kontinuirano poboljšanjeOpseg ISMS-a, registar rizika, Izjava o primjenjivosti, komunikacijski plan, unutarnja revizija, preispitivanje od strane uprave
Kontrole ISO/IEC 27002:2022 5.6 i 5.7Upravljani kontakt s posebnim interesnim skupinama i obavještajni podaci o prijetnjama koji se mogu pretvoriti u radnjeRegistar SIG-a, zaprimanje obavještajnih podataka o prijetnjama, radni tok analize, ažuriranja detekcije, odobrenja dijeljenja
DORA Article 45Pouzdano dijeljenje obavještajnih podataka o kibernetičkim prijetnjama koje štiti povjerljivost, osobne podatke, poslovne tajne, IP i granice tržišnog natjecanjaOdobrene zajednice, uvjeti otkrivanja, pravni pregled i pregled DPO-a, sigurni kanali, zapisnici dokaza
NIS2 Articles 20, 21 i 23Nadzor upravnog odbora, mjere upravljanja rizicima kibernetičke sigurnosti, suradnja, upravljanje incidentima, sigurnost opskrbnog lanca, upravljanje ranjivostima, fazno izvješćivanjeIzvješćivanje upravnom odboru, komunikacije o incidentima, eskalacija dobavljaču, popis kontakata CSIRT-a, ažuriranja rizika vođena prijetnjama
GDPR Articles 5, 6, 25 i 32Zakonita, minimizirana, svrhovito ograničena, sigurna i odgovorna obrada osobnih podatakaFiltar privatnosti, redigiranje, pseudonimizacija, pravila zadržavanja, pregled DPO-a, dnevnik dijeljenja
NIST CSF 2.0Ishodi GOVERN, IDENTIFY, PROTECT, DETECT, RESPOND i RECOVER uz pravne obveze i komunikacijske kanaleOrganizational Profile, trenutačno i ciljno stanje, poboljšanja detekcije i odgovora, komunikacija s vanjskim dionicima
COBIT 2019Praćenje vanjskih zahtjeva, upravljanje sigurnosnim prijetnjama, vrednovanje djelotvornosti kontrola, upravljanje privatnošćuPraćenje usklađenosti, metrike prijetnji, izvješćivanje o upravljanju, usklađivanje programa privatnosti

NIST CSF 2.0 koristan je kao neutralan organizacijski sloj jer njegova funkcija GOVERN obuhvaća dionike, pravne obveze, ovisnosti, apetit za rizik, uloge, politike i nadzor. Njegove funkcije DETECT i RESPOND očekuju praćenje, integraciju obavještajnih podataka o prijetnjama, proglašenje incidenta, očuvanje dokaza, obavješćivanje i vanjsku komunikaciju.

COBIT 2019 dodaje odgovornost rukovodstva. Prakse kao što su DSS05.04 Manage security threats, APO12 Manage risk, MEA03 Managed compliance with external requirements i APO13 Managed security pomažu revizorima provjeriti poboljšavaju li obavještajni podaci učinkovitost kontrola i izvješćivanje o upravljanju.

Kako će revizori testirati vaš program dijeljenja

Revizor ISO/IEC 27001:2022 počet će od sustava upravljanja. Pitat će kako su prema točkama 4.1 i 4.2 identificirani pravni, regulatorni i ugovorni zahtjevi te zahtjevi zainteresiranih strana. Provjerit će je li dijeljenje obavještajnih podataka o prijetnjama u opsegu, jesu li rizici procijenjeni, jesu li kontrole 5.6, 5.7, 5.31, 5.34, 5.24, 5.28, 8.8, 8.15 i 8.16 uključene ili opravdane u Izjavi o primjenjivosti te pokazuju li dokazi da je proces proveden kako je planirano.

Revizor ili nadzorno tijelo usmjereno na DORA tražit će upravljanje, odgovornost upravnog odbora, integraciju IKT rizika, klasifikaciju incidenata, testiranje otpornosti, implikacije za treće strane i uvjete iz Article 45. Pitat će je li sudjelovanje u aranžmanima za dijeljenje informacija dokumentirano, jesu li osjetljivi i osobni podaci zaštićeni, ažuriraju li obavještajni podaci okvir upravljanja IKT rizicima i utječu li na scenarije testiranja.

Pregledavatelj usmjeren na NIS2 fokusirat će se na nadzor upravnog odbora, mjere iz Article 21, upravljanje incidentima, ovisnosti o dobavljačima, upravljanje ranjivostima, komunikacije s klijentima ili primateljima usluga te suradnju s CSIRT-ovima ili nadležnim tijelima. Provjerit će je li threat intelligence povezan s procjenom značajnog incidenta i faznim izvješćivanjem.

Revizor privatnosti fokusirat će se na načela GDPR-a. Pitat će jesu li podijeljeni podaci bili osobni podaci, koja je pravna osnova primijenjena, je li provedena minimizacija, je li bila moguća pseudonimizacija ili redigiranje, je li zadržavanje bilo kontrolirano i može li organizacija dokazati odgovornost.

Dobri dokazi uključuju:

  • Odobreni registar ISAC-a ili SIG-a.
  • Imenovane sudionike i zamjenike.
  • Uvjete članstva i obveze povjerljivosti.
  • Dnevnik zaprimanja obavještajnih podataka o prijetnjama.
  • Procjene trijaže i relevantnosti.
  • Zahtjeve za inženjering detekcije.
  • Promjene prioritizacije ranjivosti.
  • Eskalacije rizika dobavljača.
  • Zapise odobrenja otkrivanja.
  • Bilješke DPO-a ili pregleda privatnosti.
  • Redigirane izlazne poruke.
  • Zapise o incidentima u SIMS-u.
  • Evidencije lanca nadzora dokaza.
  • Zapisnike preispitivanja uprave.
  • Nalaze unutarnje revizije i korektivne radnje.

Uobičajene zamke koje Clarysec vidi u praksi

Najčešći je neuspjeh neformalno sudjelovanje. Sigurnosni inženjer pridruži se privatnom forumu, primi korisne obavještajne podatke i podijeli interna opažanja bez formalnog ovlaštenja. Namjera je dobra, ali revizijski trag je slab, a rizik povjerljivosti visok.

Drugi je neuspjeh pasivna potrošnja. Organizacija se pretplaćuje na feedove, sudjeluje u ISAC pozivima i prosljeđuje sigurnosne obavijesti, ali nitko ne može pokazati kako su obavještajni podaci promijenili kontrole. Obavještajni podaci o prijetnjama moraju ažurirati logiku detekcije, prioritete zakrpa, operativne upute, registre rizika, preglede dobavljača, kampanje podizanja svijesti ili testove otpornosti.

Treći je neuspjeh dijeljenje sirovih zapisnika. Timovi šalju snimke zaslona, SIEM izvoze, zaglavlja e-pošte ili paketne snimke prema van bez minimizacije. Time se mogu izložiti osobni podaci, identifikatori klijenata, interna imena hostova, tokeni ili povjerljiva arhitektura.

Četvrti je neuspjeh miješanje odnosa s javnošću s reguliranom komunikacijom. Objava na LinkedInu o trendu napada nije isto što i upozorenje klijentima, obavijest regulatoru, ažuriranje CSIRT-u ili koordinirana sigurnosna obavijest. Clarysec razdvaja te kanale, dodjeljuje vlasnike odobrenja i zahtijeva zapise.

Peti je neuspjeh zanemarivanje dobavljača. Mnoga upozorenja iz obavještajnih podataka odnose se na softver trećih strana, platforme u oblaku, pružatelje upravljanih usluga ili integracije identiteta. Prema DORA, NIS2, NIST CSF, COBIT 2019 i kontrolama dobavljača iz ISO/IEC 27002:2022, obavještajni podaci o prijetnjama moraju se ulijevati u upravljanje rizicima dobavljača.

Izgradite svoj paket za dijeljenje obavještajnih podataka o prijetnjama za 2026.

Većini organizacija nije potrebna teška samostalna birokracija. Potreban im je kompaktan upravljački paket koji funkcionira tijekom stvarnog incidenta. Clarysec preporučuje:

  • Postupak dijeljenja obavještajnih podataka o prijetnjama.
  • Registar odobrenih zajednica za dijeljenje.
  • Obrazac zaprimanja i trijaže obavještajnih podataka o prijetnjama.
  • Obrazac odobrenja izlaznog otkrivanja.
  • Kontrolni popis za pregled privatnosti i povjerljivosti.
  • Matricu vanjske komunikacije.
  • Predložak sažetka ISAC sastanka.
  • Pravila povezivanja dokaza i incidenata.
  • Nadzornu ploču metrika.
  • Plan testiranja unutarnje revizije.

Postupak treba upućivati na točke ISO/IEC 27001:2022 o upravljanju rizicima, komunikacijama, operativnoj kontroli, vrednovanju učinkovitosti, unutarnjoj reviziji i kontinuiranom poboljšanju. Treba se mapirati na kontrole ISO/IEC 27002:2022 5.6, 5.7, 5.31, 5.34, 5.24, 5.28, 8.8, 8.15, 8.16 i relevantne kontrole dobavljača. Također treba upućivati na DORA Article 45, obveze suradnje i komunikacije o incidentima prema NIS2 te načela GDPR-a.

Najvažnije je da mora biti upotrebljiv pod pritiskom. Ako proces zahtijeva sastanak 12 osoba prije dijeljenja zlonamjerne domene s pouzdanim ISAC-om, neće funkcionirati. Ako dopušta lijepljenje sirovih zapisnika klijenata u portal zajednice, također neće funkcionirati. Cilj je kontrolirana brzina.

Pretvorite dijeljenje obavještajnih podataka o prijetnjama u otpornost temeljenu na dokazima

Dijeljenje obavještajnih podataka o kibernetičkim prijetnjama u 2026. nije samo oznaka sigurnosne zrelosti. Za financijske subjekte povezano je s DORA Article 45 i digitalnom operativnom otpornošću. Za bitne i važne subjekte podržava suradnju prema NIS2, upravljanje incidentima, odgovor na ranjivosti, sigurnost dobavljača i upozoravanje primatelja usluga. Za svaku organizaciju koja obrađuje osobne podatke iz EU mora biti usklađeno s GDPR-om po dizajnu.

Clarysec pomaže organizacijama izgraditi taj operativni model bez usporavanja obrane. Povezujemo Zenith Blueprint Zenith Blueprint, paket politika i Zenith Controls Zenith Controls u funkcionalan ISMS proces: odobrene zajednice, jasne uloge, otkrivanje sigurno za privatnost, povezivanje s incidentima, zapisi dokaza, spremnost za reviziju i mapiranje preko više okvira.

Ako vaša organizacija sudjeluje u ISAC-u, prima kibernetičke sigurnosne obavijesti, dijeli pokazatelje s drugim organizacijama, izvješćuje nadležna tijela ili obrađuje objave ranjivosti, sada je vrijeme za formalizaciju radnog toka. Započnite jednosatnim pregledom trenutačnih aranžmana dijeljenja, a zatim ih mapirajte na ISO/IEC 27001:2022, DORA Article 45, NIS2 i GDPR.

Clarysec vam može pomoći izgraditi registar, točke politike, predloške odobrenja, model revizijskih dokaza i paket izvješćivanja upravi potreban da dijeljenje obavještajnih podataka o kibernetičkim prijetnjama bude brzo, zakonito i dokazivo.

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles

Sigurno upravljanje udaljenim pristupom i VPN-om za NIS2 i DORA

Sigurno upravljanje udaljenim pristupom i VPN-om za NIS2 i DORA

Udaljeni pristup više nije uska IT tema. U 2026. VPN, MFA, pristup dobavljača, sigurnosno stanje krajnjih uređaja, zapisivanje događaja i dokazi o zakrpama moraju zadovoljiti revizore za ISO 27001, odgovornost uprave prema NIS2, pravila DORA za IKT rizike i sigurnosne obveze iz GDPR Article 32.

Klasifikacija ozbiljnosti incidenata za DORA, NIS2 i GDPR

Klasifikacija ozbiljnosti incidenata za DORA, NIS2 i GDPR

Praktični vodič za izradu jedinstvenog modela klasifikacije ozbiljnosti incidenata koji povezuje velike incidente povezane s IKT-om prema DORA, značajne incidente prema NIS2 i rizik povrede prema GDPR-u s dokazima prema ISO/IEC 27001:2022.

Registar regulatornih kontakata za NIS2 i DORA kao dokaz za ISO 27001

Registar regulatornih kontakata za NIS2 i DORA kao dokaz za ISO 27001

Registar regulatornih kontakata više nije administrativno vođenje evidencije. Za NIS2, DORA, GDPR i ISO/IEC 27001:2022 on je operativni dokaz da vaša organizacija može obavijestiti pravo nadležno tijelo, nadzorno tijelo, dobavljača ili izvršnog rukovoditelja prije isteka roka.