Az információbiztonsági vezető útmutatója az auditra felkészült forenzikai képességhez: a NIS2, a DORA, az ISO 27001 és a GDPR egységes kezelése

Maria, egy közepes méretű fintech vállalat információbiztonsági vezetője, ismerős szorítást érzett a gyomrában. Az ISO/IEC 27001:2022 tanúsításukhoz készült külső auditjelentés az asztalán feküdt, és a végkövetkeztetés könyörtelenül nézett vissza rá: jelentős nemmegfelelőség.

Három héttel korábban egy junior fejlesztő véletlenül 72 percre kitett egy nem éles környezetben működő adattárat a nyilvános internetre. Operatív szempontból az incidensreagálás sikeres volt. A csapat gyorsan intézkedett, zárolta a rendszert, és megerősítette, hogy érzékeny ügyféladatok nem érintettek.

Megfelelési szempontból azonban ez katasztrófa volt.

Amikor az auditor bizonyítékot kért arra, hogy pontosan mi történt abban a 72 percben, a csapat nem tudott elegendő anyagot bemutatni. A felhőszolgáltató naplói általánosak voltak, és 24 óra után felülíródtak. A tűzfalnaplók kapcsolatokat mutattak, de nem tartalmaztak csomagszintű részleteket. A belső alkalmazásnaplók nem voltak úgy konfigurálva, hogy rögzítsék a konkrét API-hívásokat. Nem tudták kétséget kizáróan igazolni, hogy jogosulatlan fél nem próbált jogosultságkiterjesztést végrehajtani vagy laterális mozgást végezni más rendszerek felé.

Az auditor megállapítása kemény volt: „A szervezet nem tud elegendő, megbízható bizonyítékot szolgáltatni egy biztonsági esemény idővonalának rekonstruálásához, ami a forenzikai felkészültség hiányát jelzi. Ez jelentős aggályokat vet fel a NIS2 incidenskezelési követelményeinek, a DORA részletes incidensnyomonkövetési előírásainak, valamint a GDPR elszámoltathatósági elvének való megfelelés tekintetében.”

Maria problémája nem az incidensreagálás hibája volt, hanem az előrelátás hiánya. Csapata kiválóan oltotta a tüzet, de nem építette ki azt a képességet, amellyel a gyújtogatót is ki lehet vizsgálni. Itt jelenik meg a forenzikai felkészültség kritikus szerepe: olyan képességként, amely a modern szabályozási környezetben már nem kényelmi elem, hanem megkerülhetetlen követelmény.

A reaktív naplózástól a proaktív forenzikai felkészültségig

Sok szervezet Maria vállalatához hasonlóan tévesen azt gondolja, hogy a „vannak naplóink” egyenértékű a vizsgálatra való felkészültséggel. Nem az. A forenzikai felkészültség stratégiai képesség, nem az IT-üzemeltetés véletlen mellékterméke. Az ISO/IEC 27043 nemzetközi szabvány megközelítése szerint a szervezeteknek olyan folyamatokat kell kialakítaniuk, amelyek biztosítják, hogy a digitális bizonyítékok előkészítettek, hozzáférhetők és költséghatékonyan felhasználhatók legyenek a potenciális biztonsági incidensek előrelátásával.

A NIS2, a DORA, az ISO 27001:2022 és a GDPR kontextusában ez azt jelenti, hogy képesnek kell lennie a következőkre:

• Észlelés: a releváns események kellően gyors észlelése a szoros jelentéstételi határidők teljesítéséhez.
• Rekonstrukció: megbízható eseménysor felépítése manipulációra utaló naplók alapján.
• Igazolás: annak bemutatása auditoroknak és szabályozó hatóságoknak, hogy a naplózási és felügyeleti kontrollok kockázatalapúak, tiszteletben tartják az adatvédelmi követelményeket, és hatékonyak.

A Clarysec megvalósítási útmutatója, a Clarysec’s Zenith Controls: The Cross-Compliance Guide Zenith Controls, egyértelműen fogalmaz:

A megfelelési környezetben hatékony forenzikai felkészültség megköveteli, hogy a naplóadatok gyűjtése a szigorúan szükséges mértékre korlátozódjon, kerülni kell a túlzott mennyiségű személyes vagy érzékeny adat tárolását, és ahol megvalósítható, anonimizálást vagy álnevesítést kell alkalmazni. További jó gyakorlat az erős biztonsági intézkedések alkalmazása, például a hozzáférés-szabályozás, a titkosítás, a gyakori auditok és a folyamatos felügyelet, valamint a GDPR-ral összhangban álló adatmegőrzési szabályzatok érvényesítése és a szükségtelenné vált információk rendszeres törlése.

Ez alapvető szemléletváltást jelent:

• Az adatfelhalmozástól a célzott gyűjtésig: nem mindent gyűjtünk, hanem meghatározzuk, milyen bizonyítékokra van szükség a kritikus kérdések megválaszolásához: Ki mit tett? Mikor és hol történt? Mi volt a hatás?
• Az elszigetelt naplóktól a korrelált idővonalakig: a tűzfal-, alkalmazás- és felhőnaplók önálló kirakósdarabok. A forenzikai felkészültség az a képesség, amellyel ezek egységes képpé állíthatók össze.
• Az üzemeltetési eszköztől a bizonyító erejű vagyonelemig: a naplók nem csak hibakeresésre szolgálnak. Jogi és szabályozói bizonyítékok, amelyeket védeni, megőrizni és egyértelmű bizonyítéklánc mentén kezelni kell.

Ha egy szervezet nem tudja bizonyítani, mi történt egy incidens során, az ma már önmagában kontrollhibának minősülhet, függetlenül az incidens kezdeti hatásától.

Az alapok: ahol az irányítás és a szabályzat találkozik a gyakorlattal

Mielőtt egyetlen naplót konfigurálnánk, a forenzikai felkészültségi programnak egyértelmű irányítással kell kezdődnie. Az auditor első kérdése nem az lesz, hogy „Mutassa meg a SIEM-et”, hanem az, hogy „Mutassa meg a szabályzatot.” Itt ad azonnali, igazolható értéket a strukturált megközelítés.

A The Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint című anyagban a „Kockázat és megvalósítás” szakasz 14. lépése kifejezetten ezzel az alapozó munkával foglalkozik. A cél egyértelmű:

„Dolgozza ki vagy pontosítsa azokat a konkrét szabályzatokat és eljárásokat, amelyeket a kiválasztott kockázatkezelési intézkedések (és az A melléklet kontrolljai) megkövetelnek, és biztosítsa az összhangot olyan szabályozásokkal, mint a GDPR, a NIS2 és a DORA.”

Ez a lépés rákényszeríti a szervezeteket arra, hogy a kockázati döntéseket dokumentált, betartható szabályokká alakítsák. Egy Mariahoz hasonló információbiztonsági vezető számára ez olyan, egymással összekapcsolt szabályzatcsomag létrehozását jelenti, amely meghatározza a szervezet forenzikai képességét. A Clarysec szabályzatsablonjai ehhez adják az architekturális terveket. A lényeg az, hogy a szabályzatok között kifejezett kapcsolódások jöjjenek létre, és ezek egységes irányítási keretrendszert alkossanak.

E szabályzati keretrendszer előzetes kialakításával igazolható álláspont jön létre. Például a Bizonyítékgyűjtési és forenzikai szabályzatunk kimondja, hogy a P22 – Naplózási és felügyeleti szabályzatra támaszkodik az „eseménynaplók és telemetria rendelkezésre állásának biztosításához bizonyítékgyűjtés és forenzikai korreláció céljából”. Ez az egyetlen mondat erős felhatalmazást ad: kijelenti, hogy a naplózás célja nem pusztán üzemeltetési, hanem a forenzikai elemzés támogatása is.

Kisebb szervezetek esetében az elvek azonosak. Az Evidence Collection and Forensics Policy-sme a saját alapvető naplózási szabályzatára hivatkozik: „P22S – Naplózási és felügyeleti szabályzat: biztosítja a forenzikai bizonyítékként használt nyers adatokat, és meghatározza a megőrzési, hozzáférés-szabályozási és naplózási követelményeket.”

Ez a dokumentált stratégia azt üzeni az auditoroknak, a szabályozó hatóságoknak és a belső csapatoknak, hogy a bizonyítékkezelésnek meghatározott, tudatos megközelítése van.

A technikai motor: a felkészültség támogatása stratégiai felügyelettel

Szilárd szabályzati alapok mellett a következő lépés a technikai motor kiépítése. Ennek középpontjában az ISO/IEC 27001:2022 két kulcskontrollja áll: 8.15 Naplózás és 8.16 Felügyeleti tevékenységek. Bár ezeket gyakran együtt tárgyalják, eltérő célt szolgálnak. A 8.15 kontroll az események rögzítéséről szól. A 8.16 kontroll azok aktív elemzéséről, amelynek célja az anomáliák és biztonsági események észlelése. Ez a forenzikai felkészültség szívdobbanása.

A Zenith Controls útmutató, amely saját módszertani anyagunkként az ISO kontrollokat globális szabványokhoz és auditgyakorlatokhoz rendeli, részletesen bemutatja, hogyan válik a 8.16 Felügyeleti tevékenységek azzá a központi elemmé, amely a nyers adatokat cselekvésre alkalmas információvá alakítja. Nem elszigetelten működik; egy mélyen összekapcsolt biztonsági ökoszisztéma része:

• Kapcsolódás a 8.15 Naplózáshoz: hatékony felügyelet nem létezhet robusztus naplózás nélkül. A 8.15 kontroll biztosítja a nyers adatok meglétét. A 8.16 kontroll adja az elemző motort, amely értelmezhetővé teszi őket. Felügyelet nélkül a naplók csupán néma, át nem vizsgált archívumot jelentenek.
• Bemenet az 5.25 Információbiztonsági események értékeléséhez és az azokkal kapcsolatos döntésekhez: a felügyelet (8.16) által jelzett riasztások és anomáliák az eseményértékelési folyamat (5.25) elsődleges bemenetei. Ahogy a Zenith Controls útmutató is kiemeli, így különböztethető meg egy kisebb rendellenesség egy teljes körű, eszkalációt igénylő incidenstől.
• A 5.7 Fenyegetettségi információk által támogatva: a felügyelet nem lehet statikus. A fenyegetettségi információk (5.7) új kompromittálódási indikátorokat és támadási mintákat adnak, amelyeket fel kell használni a felügyeleti szabályok és keresések frissítésére, proaktív visszacsatolási kört hozva létre.
• Kiterjesztés az 5.22 Beszállítói szolgáltatások felügyeletére: a láthatóság nem érhet véget a saját peremvédelmen. Felhőszolgáltatások és más beszállítók esetén biztosítani kell, hogy felügyeleti és naplózási képességeik megfeleljenek a forenzikai követelményeknek; ez a NIS2 és a DORA szempontjából is kulcsfontosságú.

Az auditra felkészült naplózási és felügyeleti stratégiának célhoz kötötten kell indulnia. A riasztási küszöbértékeket a kockázatértékelés alapján kell meghatározni, például a kimenő hálózati forgalom kiugrásainak, a gyors egymásutánban bekövetkező fiókzárolásoknak, a jogosultságkiterjesztési eseményeknek, a kártevő-észleléseknek és a nem engedélyezett szoftvertelepítéseknek a megfigyelésére.

Hasonlóképpen, a naplómegőrzésnek tudatos döntésnek kell lennie. A Zenith Controls útmutató ezt javasolja:

A naplók megőrzését és biztonsági mentését előre meghatározott időtartamra kell kezelni, a jogosulatlan hozzáféréssel és módosítással szembeni védelemmel. A naplómegőrzési időszakokat üzleti igények, kockázatértékelések, jó gyakorlatok és jogi követelmények alapján kell meghatározni…

Ez azt jelenti, hogy rendszerenként kell meghatározni a megőrzési időket (például 12 hónap online, 3–5 év archivált formában DORA-kritikus rendszerek esetén), és biztosítani kell, hogy a biztonsági mentési példányok legalább addig megőrződjenek, ameddig a naplókat rendszeresen felülvizsgálják.

A megfelelési egyensúly: bizonyítékgyűjtés a GDPR megsértése nélkül

Egy Maria esetéhez hasonló auditkudarc után ösztönös reakció lehetne mindent és mindenhol naplózni. Ez azonban új, ugyanilyen veszélyes problémát okoz: sértheti a GDPR szerinti adatvédelmi elveket. A forenzikai felkészültséget és az adatvédelmet gyakran egymással ellentétes erőként kezelik, pedig ezeket össze kell hangolni.

Itt válik kritikus fontosságúvá az ISO 27001:2022 5.34 A magánszféra védelme és a személyazonosításra alkalmas adatok (PII) védelme kontrollja. Ez teremti meg a hidat a biztonsági program és az adatvédelmi kötelezettségek között. A Zenith Controls részletezése szerint az 5.34 végrehajtása közvetlen bizonyíték arra, hogy képes megfelelni a GDPR Article 25 (beépített és alapértelmezett adatvédelem) és Article 32 (az adatkezelés biztonsága) követelményeinek.

Az egyensúly eléréséhez a forenzikai programnak be kell építenie a fő adatvédelmet erősítő kontrollokat:

• Integráció az 5.12 Információk osztályozása kontrollal: biztosítani kell, hogy a személyazonosításra alkalmas adatokat (PII) kezelő rendszerekből származó naplók szigorúan érzékeny besorolást kapjanak, és a legerősebb védelmet élvezzék.
• A 8.11 Adatmaszkolás bevezetése: aktívan alkalmazni kell az álnevesítést vagy maszkolást a személyes azonosítók elfedésére azokban a naplókban, ahol a nyers értékekre nincs szükség a vizsgálathoz. Ez az adattakarékosság közvetlen megvalósítása.
• Az 5.15 és 5.16 (Hozzáférés-szabályozás és identitáskezelés) érvényesítése: a nyers naplókhoz való hozzáférést szigorúan a szükséges ismeret elve alapján kell korlátozni, különösen munkavállalókkal vagy ügyfelekkel kapcsolatos események esetén.
• Kapcsolódás adatvédelmi keretrendszerekhez: a programot olyan szabványokkal kell támogatni, mint az ISO/IEC 27701 (PIMS-hez), az ISO/IEC 27018 (felhőben kezelt PII-re) és az ISO/IEC 29100 (adatvédelmi elvekhez).

E kontrollok integrálásával olyan naplózási és felügyeleti stratégia alakítható ki, amely forenzikailag megbízható és adatvédelmi szempontból is tudatos, így egyszerre felel meg a biztonsági csapatok és az adatvédelmi tisztviselők elvárásainak.

Az elmélettől az auditig: mit keresnek valójában a különböző auditorok

Egy audit sikeres teljesítéséhez a megfelelő bizonyítékokat kell bemutatni olyan formában, amely megfelel az auditor saját módszertanának. Egy ISO 27001 auditor másként gondolkodik, mint egy COBIT auditor, és mindkettő fókusza eltér egy NIS2 szabályozó hatóságétól.

A Zenith Controls útmutatónk 8.16 Felügyeleti tevékenységek kontrollhoz tartozó audit_methodology szakasza felbecsülhetetlen ütemtervet ad az információbiztonsági vezetőknek: a kontroll célját kézzelfogható bizonyítékokká alakítja különböző auditnézőpontok szerint.

Így lehet felkészülni a különböző szempontú vizsgálatokra:

E különböző nézőpontok megértése kulcsfontosságú. Egy ISO auditor számára egy téves riasztás kezelésére vonatkozó jól dokumentált folyamat kiváló bizonyíték a működő rendszerre. Egy NIST auditor számára meggyőzőbb lehet egy élő teszt, amely valós időben vált ki riasztást. Egy NIS2 vagy DORA szabályozó hatóság számára az időben történő észlelés és eszkaláció bizonyítása elsődleges. Maria csapata azért bukott el, mert egyik nézőpont kielégítésére sem tudott megfelelő bizonyítékot adni.

Gyakorlati forgatókönyv: auditra felkészült bizonyítékcsomag összeállítása

Alkalmazzuk ezt egy valós forgatókönyvre: egy kártevő-kampány több végpontot érint az EU-s működésben, amelyek közül néhány ügyfél-PII-t kezel. Meg kell felelni a GDPR, a NIS2, a DORA és az ISO 27001 auditor elvárásainak.

A bizonyítékcsomagnak strukturált narratívának kell lennie, nem puszta adatlerakatnak. Tartalmaznia kell:

1. Technikai idővonal és artefaktumok:

   • SIEM-riasztások az első észlelésről, a 8.16 Felügyeleti tevékenységek kontrollhoz kapcsolva.
   • EDR-naplók fájlhash-ekkel, folyamatfákkal és elszigetelési intézkedésekkel.
   • Tűzfal- és hálózati naplók C2 kommunikációs kísérletekről.
   • Hitelesítési naplók bármilyen laterális mozgási kísérletről.
   • Az összes begyűjtött naplófájl hash-e a sértetlenség igazolására, összhangban a 8.24 Kriptográfia használata kontrollal.

2. Irányítási és eljárási bizonyítékok:

   • A Bizonyítékgyűjtési és forenzikai szabályzat egy példánya.
   • A Naplózási és felügyeleti szabályzat egy példánya, amely igazolja az adatok gyűjtésére vonatkozó felhatalmazást.
   • Az Adatmegőrzési és megsemmisítési szabályzat Adatmegőrzési és megsemmisítési szabályzat releváns kivonata, amely bemutatja az adott naplókra vonatkozó megőrzési időket.

3. Incidenskezelési kapcsolódás:

   • Az incidenskezelési jegy, amely tartalmazza a besorolást, a súlyossági értékelést és az eszkalációt, összekapcsolva a felügyeletet (8.16) az incidensértékeléssel (5.25).
   • Nyilvántartások a hatóságok értesítésére vonatkozó döntéshozatali folyamatról NIS2 Article 23 vagy GDPR Article 33 alapján.

4. Adatvédelmi megfelelési bizonyítékok:

   • Az adatvédelmi tisztviselő (DPO) feljegyzése, amely megerősíti, hogy a bizonyítékcsomagon adatvédelmi felülvizsgálat történt.
   • Annak bemutatása, hogy a naplókban szereplő bármely PII-t a szabályzatnak megfelelően kezelték (például a hozzáférést korlátozták), összhangban az 5.34 A magánszféra védelme és a személyazonosításra alkalmas adatok (PII) védelme kontrollal.

5. Szabályozói kommunikáció:

   • Bármely levelezés nyilvántartása az adatvédelmi hatósággal vagy a nemzeti kiberbiztonsági hatósággal, a Zenith Controls útmutatónk ajánlásai szerint.

Ez a strukturált csomag egy kaotikus eseményt a kontrollok, a folyamatok és a kellő gondosság bemutatásává alakít.

Bizonyítéktár kialakítása: végrehajtható terv

Hogyan juthat el egy információbiztonsági vezető a reaktív helyzettől a folyamatos, auditra felkészült forenzikai felkészültség állapotáig? A kulcs egy olyan „bizonyítéktár” szisztematikus felépítése, amely már az auditor kérése előtt tartalmazza a szükséges bizonyítékokat.

1. Dokumentálja a stratégiát:

• Véglegesítse a szabályzatokat: hagyja jóvá és tegye közzé a Naplózási és felügyeleti szabályzatot, a Bizonyítékgyűjtési szabályzatot és az Adatmegőrzési szabályzatot, a Zenith Blueprint 14. lépését útmutatóként használva.
• Térképezze fel az adatáramlást: tartson fenn ábrát arról, honnan gyűjtik a naplókat, hol aggregálják őket (például SIEM-ben), és hogyan védik azokat.

2. Konfigurálja és ellenőrizze az eszközöket:

• Állítson be kockázatalapú küszöbértékeket: dokumentálja a fő riasztások küszöbértékeit, és indokolja őket a kockázatértékelés alapján.
• Ellenőrizze a megőrzési beállításokat: készítsen képernyőképeket a naplókezelő platformról vagy a felhőkonzolról, amelyek egyértelműen mutatják a különböző adattípusokra konfigurált megőrzési időket.
• Igazolja a sértetlenséget: alakítson ki folyamatot a kritikus bizonyítékfájlok gyűjtéskori kriptográfiai hash-elésére, és a hash-eket külön tárolja.

3. Mutassa be az operatív hatékonyságot:

• Vezessen részletes nyilvántartásokat: őrizzen meg nyilvántartásokat legalább három közelmúltbeli biztonsági esemény kezeléséről, akár téves riasztásokról is. Mutassa be az első riasztást, a triage feljegyzéseit, a megtett intézkedéseket és a végső lezárást időbélyegekkel.
• Naplózza a naplóhozzáférést: készüljön fel annak bemutatására, hogy ki fér hozzá a nyers naplók megtekintéséhez, és adjon auditnyomot a hozzáféréseikről.
• Teszteljen és rögzítsen: tartson fenn nyilvántartásokat arról, hogy a felügyeleti rendszerek megfelelően működnek, és az időszakos teszteket (például riasztásteszteket) elvégzik és naplózzák.

Maria auditkudarca nem technikai, hanem stratégiai jellegű volt. A nehezebb úton tanulta meg, hogy a mai szabályozói környezetben egy kivizsgálhatatlan incidens majdnem olyan súlyos, mint maga az incidens. A naplók már nem egyszerű IT-melléktermékek; kritikus vagyonelemek az irányítás, a kockázatkezelés és a megfelelés szempontjából.

Ne várja meg, amíg egy nemmegfelelőség feltárja a hiányosságokat. Valódi forenzikai felkészültségi képesség kiépítésével a biztonsági adatok potenciális kockázatból a kellő gondosság és a reziliencia igazolásának legerősebb eszközévé válnak.

Készen áll saját, auditra felkészült forenzikai képességének kiépítésére? Ismerje meg a Clarysec The Zenith Blueprint: An Auditor’s 30-Step Roadmap anyagát, amellyel az alapoktól építheti fel dokumentált IBIR-jét, és merüljön el a Zenith Controls útmutatóban, hogy megértse, pontosan milyen bizonyítékokat várnak el az auditorok az egyes kontrollokhoz. Foglaljon konzultációt még ma, és nézze meg, hogyan gyorsíthatják integrált eszköztáraink az igazolható megfelelés felé vezető útját.