ISO 27001 naplózási bizonyítékok NIS2, DORA és GDPR auditokhoz

A riasztás kedden hajnali 2:17-kor érkezett a SOC-csatornába: több sikertelen bejelentkezési kísérlet történt az admin kiemelt jogosultságú felhasználóval egy új IP-címről. A próbálkozások néhány perc után megszűntek. Egy junior elemző rögzítette a riasztást, hibásan konfigurált szkriptnek vagy későig dolgozó rendszergazdának vélte, majd továbblépett.

Két nappal később Maria, egy gyorsan növekvő FinTech vállalat információbiztonsági vezetője éppen vezetőségi értekezleten volt, amikor megszólalt a telefonja. A mérnöki csapat szokatlanul magas CPU-használatot talált egy éles adatbázis-példányon. Létrejött egy új, jogosulatlan felhasználói fiók. A hajnali 2:17-es riasztás nem téves pozitív jelzés volt. Ez volt egy behatolási kísérlet első látható jele.

Az incidenst sikerült elszigetelni, de a vizsgálat nagyobb problémát tárt fel. A tűzfalnaplók egy rendszerben voltak. A Kubernetes-naplók egy másikban. Az adatbázis-auditnaplók külön voltak tárolva. Több időbélyeg percekkel eltért egymástól. A csapat rendelkezett adatokkal, de nem tudott gyorsan igazolható történetet összeállítani az észlelésről, felülvizsgálatról, eszkalációról, elszigetelésről és incidensértékelésről.

Maria ISO/IEC 27001:2022 felügyeleti auditja sikeresen lezárult, de az auditor egy figyelmeztetést hagyott hátra: a szervezet rendelkezik naplózási és monitorozási kontrollokkal, de nehezen tudna időben, korrelált bizonyítékokat előállítani a NIS2, DORA és GDPR szerinti jelentéstételi döntésekhez.

Ez a valóság, amellyel sok szervezet szembesül 2026-ban. Nem naplózási problémájuk van. Bizonyítékproblémájuk van.

Egy SIEM, EDR-platform, felhőalapú auditnyomvonal vagy tűzfalnapló önmagában nem auditkész bizonyíték. A bizonyíték csak akkor válik igazolhatóvá, ha szabályzat irányítja, védett a manipulációval szemben, meghatározott ütemezés szerint felülvizsgálják, incidensdöntésekhez kapcsolódik, és elég ideig megőrzik az események rekonstruálásához.

Az ISO/IEC 27001:2022, a NIS2, a DORA és a GDPR esetében a kulcskérdés már nem az, hogy „Gyűjtünk-e naplókat?”. A kérdés az, hogy „Bizonyítani tudjuk-e, mi történt, ki vizsgálta felül, hogyan sorolták be, szükséges volt-e jelentést tenni, és volt-e felsővezetői felügyelet?”.

Miért vált a naplózás és a monitorozás megfelelőségi bizonyítékkérdéssé

A NIS2, a DORA és a GDPR megváltoztatta a biztonsági naplók üzleti jelentőségét.

A NIS2 alapján az alapvető és fontos szervezeteknek megfelelő és arányos kiberbiztonsági kockázatkezelési intézkedéseket kell bevezetniük. Article 21 magában foglalja az incidenskezelést, az üzletmenet-folytonosságot, az ellátási lánc biztonságát, a biztonságos fejlesztést, az eredményesség értékelését, a kiberhigiéniát, a kriptográfiát, a humánerőforrás-biztonságot, a hozzáférés-szabályozást, az eszközkezelést, a többtényezős hitelesítést és a biztonságos kommunikációt. Article 23 többlépcsős jelentéstételi modellt hoz létre, amely magában foglalja a 24 órán belüli korai figyelmeztetést, a 72 órán belüli incidensbejelentést, szükség esetén közbenső frissítéseket, valamint az incidensbejelentést követő legkésőbb egy hónapon belüli zárójelentést.

Ez a modell a naplózástól és a monitorozástól függ. Nem lehet hiteles korai figyelmeztetést küldeni, ha nem mutatható ki, mikor észlelték az eseményt. Nem lehet jelentős incidenst besorolni, ha nem rekonstruálhatók az érintett rendszerek, a felhasználói tevékenység, a szolgáltatási hatás és az elszigetelési intézkedések.

A DORA hasonló nyomást gyakorol a pénzügyi szervezetekre. Articles 5 to 14 irányítási és IKT-kockázatkezelési elvárásokat határoznak meg, beleértve a vezető testület felelősségét, az IKT-eszközök azonosítását, a védelmet és megelőzést, az észlelést, a reagálást és helyreállítást, a biztonsági mentést, a helyreállítást, a tanulást és a kommunikációt. Articles 17 to 23 IKT-val kapcsolatos incidenskezelési folyamatot írnak elő, amely kiterjed az észlelésre, rögzítésre, besorolásra, eszkalációra, értesítésre és nyomon követésre. Articles 24 to 27 a digitális működési reziliencia tesztelésével foglalkoznak. Articles 28 to 31 IKT harmadik féllel kapcsolatos kockázatkezelési kötelezettségeket hoznak létre.

A GDPR ehhez hozzáadja az adatvédelmi elszámoltathatósági réteget. Article 32 megfelelő adatkezelési biztonságot ír elő. Article 33 előírja a személyesadat-sértés bejelentését a felügyeleti hatóságnak indokolatlan késedelem nélkül, és lehetőség szerint legkésőbb az arról való tudomásszerzést követő 72 órán belül, kivéve, ha az incidens valószínűsíthetően nem jár kockázattal az érintettek jogaira és szabadságaira nézve. Article 34 magas kockázat esetén előírhatja az érintettek tájékoztatását. A naplók segítenek meghatározni, hogy személyes adatokhoz hozzáfértek-e, azokat módosították-e, kivitték-e vagy nyilvánosságra kerültek-e, ugyanakkor maguk a naplók is tartalmazhatnak személyes adatokat, ezért megfelelő irányítás alá kell őket vonni.

Az ISO/IEC 27001:2022 adja az irányítási rendszer gerincét. A 4.1–4.4 pontok előírják, hogy a szervezet értse meg a környezetét, az érdekelt feleket, a követelményeket és az IBIR alkalmazási területét. Az 5.1–5.3 pontok vezetői elkötelezettséget, szabályzati összhangot, szerepköröket, felelősségeket és hatásköröket írnak elő. A 6.1.1–6.1.3 pontok ismételhető kockázatértékelési és kockázatkezelési folyamatot követelnek meg, beleértve a kockázati kritériumokat, a kockázattulajdonosokat, a kezelési lehetőségeket, az Annex A kontrollösszevetést, az alkalmazhatósági nyilatkozatot és a maradványkockázat elfogadását. A 6.2 pont mérhető információbiztonsági célkitűzéseket ír elő.

Ezért a naplózási és monitorozási bizonyítékok nem maradhatnak kizárólag a SOC-on belül. Helyük van az IBIR-ben, a kockázati nyilvántartásban, az alkalmazhatósági nyilatkozatban, az incidenskezelési folyamatban, az adatvédelmi incidens munkafolyamatában, a beszállítói irányításban és a vezetői jelentéstételben.

Azok az ISO 27001 naplózási kontrollok, amelyeket az auditorok először összekapcsolnak

A Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint kiadványban a Controls in Action fázis 19. lépése, a Technological Controls I, a naplózást, a monitorozást és az időszinkronizálást egyetlen bizonyítékláncként kezeli.

A.8.15 – Naplózás: „A tevékenységeket, kivételeket, hibákat és egyéb releváns eseményeket rögzítő naplókat
elő kell állítani, tárolni, védeni és elemezni kell.”

A.8.16 – Monitorozási tevékenységek: „A hálózatokat, rendszereket és alkalmazásokat monitorozni kell
rendellenes viselkedés szempontjából, és megfelelő intézkedéseket kell tenni a lehetséges információbiztonsági
incidensek értékelésére”

A.8.17 – Óraszinkronizálás: „A szervezet által használt információfeldolgozó rendszerek óráit
jóváhagyott időforrásokhoz kell szinkronizálni.”

Ezek a kontrollok három auditkérdésre adnak választ:

A Zenith Controls: The Cross-Compliance Guide Zenith Controls egyértelművé teszi ezt a kapcsolatot:

„A naplózás a monitorozás alapvető adatrétege. A 8.16 kontroll a 8.15 alapján előállított naplóktól függ a biztonsági események elemzéséhez, az anomáliák észleléséhez és a lehetséges incidensek azonosításához. Átfogó naplózás nélkül a monitorozási rendszerek hatástalanok.”

A Zenith Controls az ISO/IEC 27002:2022 8.15 kontrollját, a Naplózást, észlelő kontrollként sorolja be, amely támogatja a bizalmasságot, a sértetlenséget és a rendelkezésre állást. A DETECT kiberbiztonsági koncepcióhoz és az információbiztonsági eseménykezeléshez rendeli. A Naplózást összekapcsolja továbbá a Monitorozási tevékenységekkel, az információbiztonsági események értékelésével és az azokról hozott döntéssel, valamint az Óraszinkronizálással.

A 8.16 kontroll, a Monitorozási tevékenységek esetében a Zenith Controls észlelő és helyesbítő kontrollként sorolja be, amely a DETECT és RESPOND funkciókhoz kapcsolódik. A monitorozást a beszállítói szolgáltatások felügyeletéhez és az eseményértékeléshez köti, ami elengedhetetlen a felhő-, SaaS-, menedzselt szolgáltatási és kiszervezett környezetekben.

A gyakorlati üzenet egyszerű. A naplók adják a tényeket. A monitorozás azonosítja az anomáliákat. Az óraszinkronizálás megbízhatóvá teszi a tényeket a rendszerek között. Az eseményértékelés a riasztásokat döntésekké alakítja.

Hogyan néz ki valójában az auditkész naplózási bizonyíték

Az auditkész bizonyíték nem képernyőképek mappája. Olyan koherens nyomvonal, amely bizonyítja a kontroll kialakítását, működését és a döntéshozatalt.

Egy érett naplózási és monitorozási bizonyítékfájl általában a következőket tartalmazza:

A Clarysec vállalati Naplózási és monitorozási szabályzata Naplózási és monitorozási szabályzat ezt közvetlenül így keretezi:

„Ez a szabályzat elengedhetetlen az ISO/IEC 27001 8.1 pontja és az Annex A 8.15 (Naplózás), 8.16 (Monitorozás) és 8.17 (Óraszinkronizálás) kontrolljainak támogatásához, és közvetlenül le van képezve a GDPR, NIS2, DORA és COBIT 2019 szerinti szabályozási kötelezettségekre.”

A „Cél” szakaszból, 1.3 szabályzati pont.

Ugyanez a szabályzat rögzíti az operatív elvárást:

„Központosított naplózási és riasztási rendszereket (pl. SIEM) kell létrehozni a gyanús tevékenységek közel valós idejű gyűjtésére, korrelálására és eszkalálására.”

A „Célkitűzések” szakaszból, 3.4 szabályzati pont.

Kisebb szervezetek számára a Clarysec KKV-knak szóló Logging and Monitoring Policy-sme Logging and Monitoring Policy - SME ugyanezt az elvet arányos követelményekké alakítja:

„Az IT-támogatási szolgáltatónak rendszeres ütemezést kell meghatároznia és követnie a naplók felülvizsgálatára:”

Az „Irányítási követelmények” szakaszból, 5.1.1 szabályzati pont.

A szabályzat a megőrzést és a védelmet is meghatározza:

„A naplókat legalább 12 hónapig meg kell őrizni, kivéve, ha jogszabály vagy szerződés hosszabb megőrzési időt ír elő, vagy azt aktív incidens vagy jogvita indokolja.”

Az „Irányítási követelmények” szakaszból, 5.2.1 szabályzati pont.

„A naplókat írásvédett helyeken kell tárolni, és a hozzáférést kizárólag az arra jogosult személyzetre kell korlátozni”

Az „Irányítási követelmények” szakaszból, 5.3.1 szabályzati pont.

A NIS2 és a DORA esetében egy 12 hónapos bizonyítékmegőrzési alapkövetelmény különbséget jelenthet a hiteles rekonstrukció és a sikertelen vizsgálat között. A GDPR esetében támogatja az elszámoltathatóságot, miközben továbbra is megköveteli az adattakarékosságot, a hozzáférés-szabályozást és a megőrzési fegyelmet.

A hiányzó híd: eseményértékelés és jelentéstételi küszöbértékek

Sok szervezet gyűjt naplókat és riaszt az anomáliákra, de a döntési pontnál elbukik.

A riasztás csak biztonsági esemény volt, vagy információbiztonsági incidenssé vált? Jelentősnek minősül a NIS2 szerint? Jelentős IKT-val kapcsolatos incidens a DORA szerint? Érintett-e személyes adat? Szükséges-e GDPR szerinti incidensbejelentési elemzés?

Ez a döntési pont az ISO/IEC 27002:2022 5.25 kontrolljához, az információbiztonsági események értékeléséhez és az azokról hozott döntéshez kapcsolódik. A Zenith Controls az 5.25-öt a nyers monitorozási riasztások és a formális incidenskezelés közötti triage-funkcióként írja le. Összekapcsolja az 5.25-öt az incidenskezelési tervezéssel, a monitorozási tevékenységekkel, az információbiztonsági incidensekre adott reagálással és a naplózással. Az 5.25-öt továbbá a GDPR Articles 33 and 34 szerinti incidensbejelentéshez és kockázatértékeléshez, a NIS2 incidensbejelentési és besorolási kritériumaihoz, valamint a DORA jelentős IKT-val kapcsolatos incidensbesorolásához rendeli.

A Clarysec Incidenskezelési szabályzata Incidenskezelési szabályzat támogatja ezt az eszkalációs pontot:

„Ha egy incidens személyes adatok vagy más szabályozott adatok igazolt vagy valószínű kitettségéhez vezet, a jogi területnek és a DPO-nak értékelnie kell az alábbiak alkalmazhatóságát:”

„A szabályzat végrehajtásának követelményei” szakaszból, 6.4.1 szabályzati pont.

KKV-k számára az Incident Response Policy-sme Incident Response Policy - SME meghatározza a technikai bizonyítékkövetelményt:

„A naplózási rendszereket úgy kell konfigurálni, hogy elegendő részletet rögzítsenek a vizsgálat támogatásához.”

„A szabályzat végrehajtásának követelményei” szakaszból, 6.4.1 szabályzati pont.

Itt válik működő gyakorlattá a GDPR Article 33. A kérdés nem csupán az, hogy történt-e hozzáférés személyes adatokhoz. A kérdés az, hogy a naplók, monitorozási riasztások és incidensfeljegyzések lehetővé teszik-e a DPO számára az időben történő és igazolható incidensértékelést.

A NIS2 Article 23 és a DORA Articles 17 to 23 hasonló nyomást teremtenek. A jelentéstételi határidők a tudomásszerzéstől, a besorolástól és a lényegességi értékeléstől függnek. A szervezetnek bizonyítani tudnia kell, mikor keletkezett a riasztás, mikor vizsgálták felül, ki értékelte, milyen döntés született, és mikor történt eszkaláció.

60 perces bizonyítékgyakorlat kiemelt jogosultságú bejelentkezés vizsgálatához

A bizonyítékra való felkészültség tesztelésének hasznos módja, ha az audit vagy incidens előtt valós forgatókönyvet gyakorolnak.

Forgatókönyv: egy kiemelt jogosultságú rendszergazdai fiók 02:13 UTC-kor szokatlan országból jelentkezik be. Öt perccel később a fiók megpróbál hozzáférni egy ügyféladat-export funkcióhoz. A feltételes hozzáférés blokkolja a munkamenetet, és riasztás keletkezik.

Cél: 60 percen belül olyan bizonyítékcsomag előállítása, amely igazolja az észlelést, felülvizsgálatot, eszkalációt, értékelést és lezárást.

1. lépés: Ellenőrizze, hogy az esemény létezik-e a naplókban

A Naplózási és monitorozási szabályzat alapján azonosítsa a szükséges naplóforrásokat: identitásszolgáltatói naplók, felhőadminisztrátori naplók, alkalmazásnaplók, adatbázisnaplók, végpontnaplók és tűzfal- vagy biztonságos hozzáférési naplók.

Exportálja az eseménybejegyzést időbélyeggel, felhasználói azonosítóval, forrás IP-címmel, eszközzel, művelettel, eredménnyel és korrelációs azonosítóval. Ha az esemény csak egy konzolban létezik, de a SIEM-ben vagy naplógyűjtőben nem, rögzítse ezt kontrollhiányosságként.

A Zenith Blueprint 19. lépése azt javasolja, hogy a kritikus rendszerek továbbítsák a naplókat a SIEM-be vagy központi naplógyűjtőbe, és ellenőrizni kell, hogy a megőrzés összhangban van-e a szabályzattal.

2. lépés: Bizonyítsa, hogy a monitorozás észlelte az eseményt

Mutassa be a SIEM-riasztást, EDR-riasztást vagy identitásvédelmi riasztást. Tartalmazza a szabály nevét, a súlyosságot, az időbélyeget, a kiváltó feltételt és az értesítési útvonalat. Ha a szervezet manuális felülvizsgálatot alkalmaz, mutassa be a napi jelentést és a felülvizsgáló jóváhagyását.

A vállalati Naplózási és monitorozási szabályzat ezt szerepköri felelősséggé teszi:

„Felülvizsgálja a napi jelentéseket, és biztosítja, hogy az anomáliákat elemezzék, dokumentálják és szükség szerint eszkalálják.”

A „Szerepkörök és felelősségek” szakaszból, 4.2.3 szabályzati pont.

3. lépés: Bizonyítsa, hogy az eszkaláció a szabályzatban meghatározott időn belül megtörtént

KKV-k esetében az eszkalációs követelmény egyértelmű:

„A kiemelt prioritású riasztásokat 24 órán belül eszkalálni kell az ügyvezető és az adatvédelmi koordinátor felé”

A „Betartatás és megfelelés” szakaszból, 8.1.2 szabályzati pont.

Vállalati csapatoknál a bizonyíték lehet incidensjegy, Teams- vagy Slack-eszkalációs bejegyzés, értesítési napló, e-mailes értesítés, SOC-átadási jegyzet vagy ügykezelési bejegyzés.

4. lépés: Sorolja be az eseményt

Használja a Zenith Controls 5.25 eseményértékelési logikáját. Rögzítse, hogy a riasztás biztonsági esemény, információbiztonsági incidens, személyesadat-sértés, jelentős NIS2-incidens vagy a DORA szerinti jelentős IKT-val kapcsolatos incidens-e.

A besorolási feljegyzésnek választ kell adnia az alábbiakra:

• Sikeres volt vagy blokkolták a hitelesítést?
• Használtak-e emelt jogosultságú hozzáférést?
• Hozzáfértek-e ügyféladatokhoz, módosították-e vagy kivitték-e azokat?
• Megszakadtak-e szabályozott szolgáltatások?
• Érintettek-e kritikus IKT-eszközöket?
• Érintettek-e beszállítók vagy adatfeldolgozók?
• Teljesíti-e az esemény a belső jelentéstételi küszöbértékeket?
• Szükséges-e DPO, jogi terület, szabályozó hatóság vagy ügyfél értesítése?

5. lépés: Építsen megbízható idővonalat

Az óraszinkronizálást gyakran figyelmen kívül hagyják, amíg egy vizsgálat el nem bukik. A Zenith Blueprint 19. lépése kimondja, hogy a szinkronizált idő létfontosságú az eseménykorrelációhoz, mivel a különböző rendszerek naplóinak illeszkedniük kell az incidenselemzés során.

Tartalmazzon NTP-konfigurációs bizonyítékot az identitásplatformokra, felhőszolgáltatásokra, szerverekre, végpontokra, adatbázisokra, tűzfalakra és a SIEM-re vonatkozóan. Ahol lehetséges, normalizálja az időbélyegeket UTC-re.

6. lépés: Zárja le vagy eszkalálja

Ha az eseményt elszigetelték, és nem történt adathozzáférés, dokumentálja a lezárást, a tanulságokat és a megelőző intézkedést. Ha incidenssé válik, kapcsolja össze az incidenskezeléssel, a jogi felülvizsgálattal és bármely NIS2, DORA vagy GDPR jelentéstételi munkafolyamattal.

Végül védje meg a bizonyítékokat. A Clarysec Audit- és megfelelőség-monitorozási szabályzata Audit- és megfelelőség-monitorozási szabályzat kimondja:

„Minden auditnaplót, megállapítást és korrekciós jelentést meg kell őrizni, titkosítani kell, és védeni kell a manipulációval szemben.”

A „Betartatás és megfelelés” szakaszból, 8.5.1 szabályzati pont.

Ez az egyetlen gyakorlat bizonyítékot ad az Annex A.8.15, A.8.16, A.8.17, az ISO/IEC 27002:2022 5.25 kontroll, a GDPR szerinti incidens-elszámoltathatóság, a NIS2 incidenskezelés és a DORA IKT-incidensbesorolás tekintetében.

Keresztmegfelelési bizonyítéktérkép ISO 27001, NIS2, DORA és GDPR követelményekhez

A legerősebb megfelelőségi programok nem építenek külön bizonyítékkészletet minden keretrendszerhez. Egyetlen bizonyítékrendszert alakítanak ki, amely több auditnézőpontból is vizsgálható.

A NIST Cybersecurity Framework 2.0 kommunikációs rétegként segíthet ezt működőképessé tenni. Hat funkciója – GOVERN, IDENTIFY, PROTECT, DETECT, RESPOND és RECOVER – megmutatja, hogy a naplózás és monitorozás főként a DETECT és RESPOND területhez tartozik, de az irányítástól, az eszközök megértésétől és a kockázati prioritásoktól függ.

A NIST CSF 2.0 profilok egy 2026-os ütemtervet is támogathatnak. Egy Current Profile megmutathatja a mai naplózási lefedettséget és riasztási érettséget. Egy Target Profile meghatározhatja a szabályozott rendszerekhez, kiemelt jogosultságú tevékenységekhez, beszállítói platformokhoz és személyesadat-környezetekhez szükséges lefedettséget. A kettő közötti rés lesz a korrekciós terv.

Beszállítói és felhőnaplók: a bizonyítékhiány, amelyet az auditorok egyre gyakrabban tesztelnek

A modern auditokban a legnehezebb naplózási kérdések gyakran kiszervezett platformokhoz kapcsolódnak.

Hozzáfér a felhőszolgáltató hitelesítési naplóihoz? Naplózottak a SaaS-adminisztrátori műveletek? Engedélyezettek az adatbázis-auditnaplók a menedzselt szolgáltatásokban? Az MSSP elég hosszú ideig megőrzi a riasztásokat? A szerződések előírják az incidensekkel kapcsolatos együttműködést? A beszállítók elég gyorsan tudnak naplókat biztosítani a NIS2 vagy DORA jelentéstételi határidőihez? Elérhetők az adatfeldolgozói naplók a GDPR szerinti incidensértékeléshez?

A Zenith Controls a Monitorozási tevékenységeket, a 8.16 kontrollt, a beszállítói szolgáltatások monitorozására vonatkozó 5.22 kontrollhoz kapcsolja. A monitorozást az ISO/IEC 27005:2024 10.5 pontjához is rendeli, amely a kockázatkezelési tervek és kontrollok monitorozását és felülvizsgálatát hangsúlyozza, valamint az ISO/IEC 27035-2:2023 7.3 pontjához, ahol a folyamatos monitorozási mechanizmusok információbiztonsági eseményeket észlelnek és incidenskezelést indítanak.

A DORA a beszállítói naplózást különösen fontossá teszi a pénzügyi szervezetek számára, mert az IKT harmadik féllel kapcsolatos kockázatkezelés magában foglalja a beszállítói nyilvántartásokat, a szerződéses megállapodásokat, az alvállalkozói kockázatot, a koncentrációs kockázatot és a kilépési stratégiákat. A NIS2 Article 21 az ellátási lánc biztonságát a kiberbiztonsági kockázatkezelési intézkedések közé helyezi. A GDPR alapján a beszállítói naplók döntőek lehetnek, ha egy adatfeldolgozói incidens az adatkezelő által bejelentendő személyesadat-sértéssé válhat.

Egy gyakorlati beszállítói naplózási záradéknak elő kell írnia:

• Biztonsági szempontból releváns auditnaplókat a hitelesítésről, jogosultságváltozásokról, adminisztratív műveletekről, API-hozzáférésről, adatexportról és konfigurációváltozásokról.
• A szabályzathoz, szabályozási kötelezettségekhez és szerződéses kockázathoz igazított naplómegőrzést.
• Időszinkronizálást és időzóna-normalizálást.
• Manipuláció elleni védelmet és korlátozott hozzáférést a naplókhoz.
• Incidens-együttműködést meghatározott határidőkön belül.
• Bizonyítékátadást auditokhoz, vizsgálatokhoz és szabályozó hatósági megkeresésekhez.
• Értesítési kiváltó feltételeket gyanús hozzáférés, szolgáltatáskompromittálódás vagy adatkitettség esetén.
• Al-adatfeldolgozói naplózási és eszkalációs kötelezettségeket, ahol releváns.

A beszállítói naplózást incidens előtt kell kezelni, nem pedig incidens közben kell megtárgyalni.

Hogyan tesztelik a különböző auditorok ugyanazt a naplózási kontrollt

Egy jó bizonyítékcsomagnak különböző szakmai nézőpontokat is ki kell állnia. Egy ISO auditor, NIS2 felülvizsgáló, DORA felügyeleti szerv, GDPR felülvizsgáló és COBIT 2019 vagy ISACA-orientált auditor ugyanazt a SIEM-irányítópultot nézheti, de eltérő kérdéseket fog feltenni.

A Zenith Blueprint 19. lépése felkészíti a szervezeteket ezekre a kérdésekre. A Naplózás esetében az auditorok arra összpontosítanak, hogy a kulcsfontosságú biztonsági eseményeket naplózzák-e, és a naplók megőrzöttek, védettek és használhatók-e. A Monitorozási tevékenységeknél azt kérdezik, hogyan észlelik, értékelik és eszkalálják a szokatlan vagy jogosulatlan tevékenységet. Az Óraszinkronizálásnál összehasonlíthatják a rendszerek közötti időbélyegeket, és jelezhetik az eltérést.

A 16. lépés: People Controls II, a 6.8 kontroll, szintén fontos, mert az incidensbejelentési mechanizmusok összekapcsolják az emberi bejelentést a technikai észleléssel. A GDPR Article 33, a NIS2 Article 23 és a DORA incidensbejelentési kötelezettségek mind az időben történő belső eszkalációtól függenek.

Gyakori auditmegállapítások és gyakorlati javítások

A legtöbb naplózási és monitorozási megállapítás előre jelezhető. A probléma az, hogy a szervezetek gyakran az audit során fedezik fel őket, nem pedig belső tesztelés közben.

Korlátozott erőforrásokkal rendelkező szervezetek számára a KKV szabályzati megközelítés reális. Nem igényel teljes SOC-ot az első napon. Meghatározott felülvizsgálati ütemezést, legalább 12 hónapos megőrzést – kivéve, ha hosszabb idő szükséges –, írásvédett tárolást, korlátozott hozzáférést és a kiemelt prioritású riasztások eszkalációját követeli meg. Ez igazolható alapot teremt, miközben a szervezet a központosított SIEM, az automatizált korreláció és a menedzselt észlelés felé érik.

Mutatók, amelyek hitelessé teszik a naplózást a vezetés számára

Az igazgatóságoknak és felsővezetőknek nincs szükségük nyers SIEM-eseményekre. Kockázati szempontból releváns bizonyosságra van szükségük. Mivel a NIS2 Article 20 és a DORA irányítási követelményei felelősséget helyeznek a vezető testületekre, a naplózási és monitorozási mutatóknak meg kell jelenniük a biztonsági irányítási jelentéstételben.

Hasznos mutatók:

• A kritikus eszközök hány százaléka továbbít naplókat a SIEM-be vagy naplógyűjtőbe.
• A kiemelt jogosultságú hozzáférési események hány százalékát fedi le riasztás.
• Az SLA-n belül felülvizsgált kiemelt prioritású riasztások száma.
• A riasztás keletkezése és az elemzői felülvizsgálat közötti átlagos idő.
• Az észleléstől az eszkalációig eltelt átlagos idő.
• Az incidenskezelési folyamat szerint besorolt események száma.
• A DPO vagy a jogi terület felülvizsgálatát igénylő események száma.
• Naplómegőrzési megfelelés rendszerkategóriánként.
• Szerződéses naplóhozzáféréssel rendelkező beszállítói platformok száma.
• Az óraszinkronizálási ellenőrzéseken elbukó rendszerek száma.
• Nyitott naplózási és monitorozási korrekciós intézkedések kockázati szint szerint.

Ezek a mutatók támogatják az ISO/IEC 27001:2022 6.2 pontja szerinti mérhető információbiztonsági célkitűzéseket. Erősítik továbbá a NIS2 és DORA szerinti vezetői felügyeletet, valamint a GDPR szerinti elszámoltathatóságot.

A 2026-os naplózási és monitorozási bizonyítékcsomag felépítése

Egy erős 2026-os bizonyítékcsomagot az audit vagy incidens előtt kell összeállítani. A Clarysec jellemzően strukturált mappát vagy GRC-bizonyítékobjektumot javasol az alábbi szakaszokkal:

1. Irányítás és hatály: IBIR alkalmazási területe, érdekelt felek, szabályozói alkalmazhatóság, vezetői jóváhagyás és szerepkör-hozzárendelések.
2. Szabályzat: Naplózási és monitorozási szabályzat, Incidenskezelési szabályzat, Audit- és megfelelőség-monitorozási szabályzat, megőrzési követelmények és eszkalációs követelmények.
3. Kockázat és SoA: kockázatértékelés, kezelési terv, alkalmazhatósági nyilatkozat indokolása az A.8.15, A.8.16, A.8.17 és kapcsolódó kontrollokhoz.
4. Architektúra: SIEM- vagy naplógyűjtő-ábra, naplóforrás-nyilvántartás, felhőnaplózási beállítások és beszállítói naplófüggőségek.
5. Kontrollműködés: felülvizsgálati feljegyzések, riasztások, jegyek, eszkalációs naplók, lezárási bizonyítékok és kivételek.
6. Incidenskapcsolat: eseménybesorolási munkalap, incidensnyilvántartás, DPO értékelési feljegyzés és jelentéstételi döntési napló.
7. Sértetlenség és megőrzés: hozzáférés-szabályozás, titkosítás, írásvédelem, archívumbeállítások, törlési kontrollok és megőrzési bizonyíték.
8. Időszinkronizálás: NTP-konfiguráció, biztonságos alapkonfiguráció, óraeltérés monitorozása és UTC-normalizálási megközelítés.
9. Beszállítói bizonyítékok: szerződéses záradékok, beszállítói bizonyossági jelentések, felhő auditnaplók elérhetősége és incidens-együttműködési eljárások.
10. Fejlesztés: belső auditmegállapítások, korrekciókövető, asztali gyakorlatok eredményei, riasztáshangolási feljegyzések és vezetői jelentések.

A cél nem az, hogy az auditorokat túlterheljük mennyiséggel. A cél annak bizonyítása, hogy a naplózás és monitorozás szabályozott folyamatként működik az irányítástól az észlelésen, értékelésen, eszkaláción és jelentéstételen át a fejlesztésig.

Alakítsa a naplókat igazolható megfelelőségi bizonyítékká

Maria csapata nem egy újabb irányítópult megvásárlásával oldotta meg a problémát. Úgy oldotta meg, hogy a naplózást és monitorozást bizonyítékmotorrá alakította. A szabályzatok meghatározták a követelményeket. A SIEM-szabályok és felhőnaplók jelzéseket adtak. Az incidens-munkafolyamatok rögzítették a döntéseket. Az óraszinkronizálás hitelessé tette az idővonalat. A vezetői jelentéstétel láthatóvá tette a kockázatot.

Ez az a szint, amelyre a szervezeteknek 2026-ban szükségük van az ISO/IEC 27001:2022, NIS2, DORA és GDPR megfeleléshez.

Kezdje egy gyakorlati teszttel: vegyen egy valós riasztást az elmúlt 30 napból, és bizonyítsa végponttól végpontig, hogyan naplózták, észlelték, vizsgálták felül, eszkalálták, sorolták be, őrizték meg és jelentették.

Ha a válasz nem magabiztos, a Clarysec segíthet a hiányosság megszüntetésében.

Használja a Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint útmutatót a 19. lépés bevezetéséhez a naplózás, monitorozás és óraszinkronizálás területén, valamint a 16. lépést az incidensbejelentési mechanizmusokhoz. Használja a Zenith Controls: The Cross-Compliance Guide Zenith Controls útmutatót az Annex A.8.15, A.8.16, A.8.17 és az ISO/IEC 27002:2022 5.25 kontroll leképezéséhez NIS2, DORA, GDPR, NIST CSF 2.0 és COBIT 2019 nézőpontok szerint.

Ezután tegye működővé a követelményeket a Clarysec Naplózási és monitorozási szabályzatával Naplózási és monitorozási szabályzat, Logging and Monitoring Policy-sme Logging and Monitoring Policy - SME, Incidenskezelési szabályzatával Incidenskezelési szabályzat, Incident Response Policy-sme Incident Response Policy - SME és Audit- és megfelelőség-monitorozási szabályzatával Audit- és megfelelőség-monitorozási szabályzat.

A naplók addig nem bizonyítékok, amíg nem irányítottak, védettek, felülvizsgáltak és döntésekhez kapcsoltak. Azok a szervezetek, amelyek ezt a láncot bizonyítani tudják, gyorsabban teljesítik az auditokat, jobban reagálnak az incidensekre, és magabiztosságot adnak a vezetésnek, amikor megérkezik a következő hajnali 2:17-es riasztás.