Fenyegetettségi információk megosztása ISO 27001 szerint 2026-ban

Kedden reggel 07:40-kor Maria, egy gyorsan növekvő európai fizetési platform CISO-ja, magas megbízhatóságú közleményt kap egy pénzügyi szolgáltatási ISAC-tól. Egy hitelesítőadat-lopási kampány olyan fizetési szolgáltatókat céloz, amelyek meghatározott identitásszolgáltatói integrációt használnak. A tájékoztató parancs- és vezérlési domaineket, gyanús OAuth-alkalmazásneveket, User-Agent karakterláncokat, megfigyelt taktikákat, valamint az érintett tenantok titkos adatainak rotációjára vonatkozó ajánlást tartalmaz.
Perceken belül az üzleti területek felteszik azokat a kérdéseket, amelyek 2026-ban meghatározzák a kiberfenyegetettségi információk megosztását.
A SOC azonnal be akarja tölteni az indikátorokat a SIEM-be. A jogi terület azt kérdezi, hogy a vállalat visszaoszthatja-e saját telemetriai adatait az ISAC-nak. Az adatvédelmi tisztviselő (DPO) azt vizsgálja, hogy az IP-címek, felhasználónevek, jegyrészletek, hitelesítési naplók vagy végponti adatok tartalmaznak-e személyes adatokat. A COO azt szeretné tudni, kell-e figyelmeztetni az ügyfeleket. A vezérigazgató, aki éppen túl van a NIS2 vezetői képzésen, két szóval továbbítja a riasztást: „Mi a terv?”
Ezután a megfelelőségi vezető felteszi a legfontosabb kérdést: „Ha a felügyelet jövő hónapban rákérdez, tudjuk-e igazolni, hogy a kiberfenyegetettségi információk megosztása jogszerű, jóváhagyott, hasznos és kontrollált volt?”
Ez az új valóság. A DORA a bevezetési határidőből felügyeleti ellenőrzési témává vált. A NIS2 a felkészülési projektekből operatív együttműködéssé alakult. A GDPR továbbra is alkalmazandó, akkor is, ha az adat biztonsági telemetria. A fenyegetettségi információk megosztása már nem informális Slack-beszélgetés biztonsági csapatok között. Irányított tevékenység, amely bizalmasságot, személyesadat-minimalizálást, közzétételi jóváhagyásokat, nyilvántartásokat, szabályozói elvárásokat és auditbizonyítékokat foglal magában.
A CISO-k, megfelelőségi vezetők, auditorok és üzleti felelősök számára nem az a kérdés, hogy részt vegyenek-e kiberfenyegetettségi információmegosztási megállapodásokban. A valódi kérdés az, hogyan lehet elég gyorsan megosztani az információt a védekező csapatok támogatásához úgy, hogy közben megelőzzék a jogellenes közzétételt, az ügyfélbizalmasság megsértését, a versenyjogilag érzékeny információk kiszivárgását, a kontrollálatlan sérülékenység-közzétételt és a gyenge bizonyítékolást.
Az ISO/IEC 27001:2022 az az irányítási gerinc, amely ezt lehetővé teszi. Nem fali tanúsítványként, hanem olyan irányítási rendszerként, amely a kiberfenyegetettségi információk megosztását ismételhető, igazolható és GDPR-nak megfelelő működési modellé alakítja.
Miért változott meg a kiberfenyegetettségi információk megosztása 2026-ban
A DORA- és NIS2-felkészülés első hulláma a hatályra, az incidensbejelentési határidőkre, az IKT harmadik féllel kapcsolatos kockázatokra, az igazgatósági elszámoltathatóságra és a hiányosságelemzésekre összpontosított. Ez a munka szükséges volt, de a szabályozók és az ügyfelek ma már operatívabb kérdéseket tesznek fel:
- Mely ISAC-okban, CERT-ekben, CSIRT-ekben, beszállítói fórumokon vagy megbízható közösségekben vesznek részt?
- Ki jogosult a szervezet külső képviseletére?
- Hogyan döntik el, mi osztható meg?
- Hogyan akadályozzák meg a személyes adatok, ügyféltitkok, sérülékenységi részletek és érzékeny architektúrainformációk közzétételét?
- Hogyan épülnek be a fenyegetettségi információk a felügyeleti szabályokba, javítási prioritásokba, kockázati nyilvántartásokba, incidenskezelési forgatókönyvekbe, beszállítói felülvizsgálatokba és rezilienciatesztekbe?
- Hol van a bizonyíték?
A DORA különösen egyértelmű a pénzügyi szervezetek esetében. A digitális működési rezilienciát igazgatósági felelősségi körbe tartozó IKT-kockázatkezelési rendszerként kezeli, nem informatikai ellenőrzőlistaként. A DORA 2025. január 17-től alkalmazandó, ezért 2026-ban sok pénzügyi szervezetet már aszerint értékelnek, hogy folyamatai a gyakorlatban is működnek-e.
A DORA Article 45 lehetővé teszi a kiberfenyegetési információk és fenyegetettségi információk pénzügyi szervezetek közötti megosztását, ha annak célja a digitális működési reziliencia erősítése. A megosztásnak megbízható közösségeken belül, olyan megállapodások alapján kell történnie, amelyek védik az érzékeny üzleti információkat, a személyes adatokat, a bizalmasságot, a szellemi tulajdont és a versenyjogi határokat. Egyszerűen fogalmazva: a DORA nem azt jelenti, hogy „mindent meg kell osztani”. Azt jelenti, hogy „biztonságosan, tudatosan és kontrollált feltételek mellett kell megosztani”.
A NIS2 hasonló nyomást teremt a pénzügyi szektoron kívül is. Számos alapvető és fontos szervezetre alkalmazandó a kiemelten kritikus és egyéb kritikus ágazatokban, ideértve a digitális infrastruktúrát, a menedzselt szolgáltatókat, a menedzselt biztonsági szolgáltatókat, a felhőszolgáltatókat, az adatközpont-szolgáltatókat, az online piactereket, a keresőmotorokat, a közösségi hálózati platformokat, a banki szolgáltatásokat és a pénzügyi piaci infrastruktúrákat. A NIS2 Article 20 az irányító testületek felelősségévé teszi a kiberbiztonsági kockázatkezelési intézkedések jóváhagyását, végrehajtásuk felügyeletét és a képzésben való részvételt. Az Article 21 megfelelő és arányos technikai, operatív és szervezeti intézkedéseket ír elő, többek között kockázatelemzést, incidenskezelést, üzletmenet-folytonosságot, ellátásilánc-biztonságot, sérülékenységkezelést, eredményességértékelést, kiberhigiéniát, képzést, kriptográfiát, HR-biztonságot, hozzáférés-szabályozást, eszközkezelést, MFA-t és biztonságos kommunikációt. Az Article 23 szakaszos jelentéstételt ír elő a jelentős incidensekre, beleértve a 24 órán belüli korai figyelmeztetést, a 72 órán belüli incidensbejelentést és az incidensbejelentést követő legkésőbb egy hónapon belüli zárójelentést.
A GDPR hozzáadja az adatvédelmi korlátot. Személyes adat minden olyan információ, amely azonosított vagy azonosítható természetes személyre vonatkozik. A biztonsági naplók, IP-címek, felhasználónevek, e-mail címek, végpontnevek, hitelesítési események, támogatási jegyek, malware-minták, képernyőképek és csalásvizsgálati jegyzetek mind személyes adattá válhatnak. A GDPR jogszerű, tisztességes, átlátható, célhoz kötött, adattakarékos, pontos, tárolási korlátozásnak megfelelő és biztonságos adatkezelést követel meg. Elszámoltathatóságot is előír, ami azt jelenti, hogy a szervezetnek igazolnia kell a megfelelést.
Az eredmény irányítási probléma. A fenyegetettségi információk megosztásának elég gyorsnak kell lennie a védelem javításához, elég kontrolláltnak a felügyeleti elvárások teljesítéséhez, és elég fegyelmezettnek az adatvédelmi és bizalmassági sérülések elkerüléséhez.
Az ISO 27001 mint megfelelőségi központ a fenyegetettségi információk megosztásához
Az ISO/IEC 27001:2022 jól illeszkedik ehhez a kihíváshoz, mert a kontextussal, az érdekelt felekkel, a hatállyal, a kockázattal, a vezetéssel, a működés kontrolljával, a nyomon követéssel, a belső audittal, a vezetőségi átvizsgálással és a folyamatos fejlesztéssel kezd.
A 4.1–4.4 pontok előírják, hogy a szervezetek értsék meg a belső és külső tényezőket, azonosítsák az érdekelt feleket és követelményeiket, határozzák meg az IBIR alkalmazási területét, és tartsák fenn az irányítási rendszert. Egy DORA- vagy NIS2-szervezet esetében az érdekelt felek közé tartozhatnak az illetékes hatóságok, CSIRT-ek, ügyfelek, IKT-szolgáltatók, ISAC-ok, ágazati csoportok, adatfeldolgozók, adatkezelők, biztosítók, a belső audit és az igazgatóság.
Az 5.1–5.3 pontok vezetői elkötelezettséget, szabályzati iránymutatást, elszámoltathatóságot, erőforrásokat és kijelölt felelősségeket követelnek meg. Ez azért fontos, mert a fenyegetettségi információk megosztása megbukik, ha informális technikai mérlegelésre hagyják. Ha a SOC-elemző, a jogtanácsos, a DPO, a CISO, a PR-felelős és az üzleti felelős eltérő feltételezéseket alkalmaz, a szervezet vagy túl sokat oszt meg, vagy lefagy, vagy túl későn reagál.
A 6.1.1–6.1.3 pontok a szabályozási kérdést kockázatértékeléssé, kockázatkezeléssé, kontrollkiválasztássá, alkalmazhatósági nyilatkozati döntésekké, kezelési tervekké és maradványkockázat-elfogadássá alakítják. A fenyegetettségi információk megosztásának tipikus kockázatai:
- Személyes adatok megosztása jogalap vagy adattakarékosság nélkül.
- Ügyfélbizalmas információk közzététele egy fórumon.
- Sérülékenységi részletek közzététele azelőtt, hogy kockázatcsökkentő intézkedés rendelkezésre állna.
- Indikátorok befogadása anélkül, hogy azok operatív intézkedéssé válnának.
- Az ISAC-részvétel nem jelenik meg az incidenskezelésben, a naplózásban, a sérülékenységkezelésben vagy a beszállítói kockázatkezelésben.
- Hiányzik a bizonyíték arra, hogy ki és miért hagyta jóvá a közzétételt.
- Versenyjogi kockázat keletkezik kereskedelmileg érzékeny piaci információk megosztása miatt.
- Inkonzisztens szabályozói és ügyfélkommunikáció jelentős incidens során.
A 8.1 pont ezt követően előírja a tervezett folyamatok bevezetését és kontrollált működtetését, valamint olyan dokumentált információk fenntartását, amelyek elegendők annak igazolására, hogy a folyamatok a tervek szerint működtek. A 9. és 10. pontok megfigyelést, mérést, belső auditot, vezetőségi átvizsgálást, nemmegfelelőség-kezelést, helyesbítő intézkedést és folyamatos fejlesztést követelnek meg. Röviden: az ISO/IEC 27001:2022 a kiberfenyegetettségi információk megosztását auditálható működési modellé alakítja.
A két ISO-kontroll, amely működőképessé teszi a megosztást
A Clarysec Zenith Blueprint: Egy auditor 30 lépéses ütemterve Zenith Blueprint ezt a témát a Controls in Action szakasz 22. lépésének, a Szervezeti kontrolloknak a részeként kezeli. Két ISO/IEC 27002:2022 kontroll központi jelentőségű: 5.6, Kapcsolattartás szakmai érdekcsoportokkal, és 5.7, Fenyegetettségi információk.
A Zenith Blueprint egyértelművé teszi, hogy az ISAC-részvétel nem jelképes kapcsolatépítés:
Az ilyen csoportokban való részvétel nem szimbolikus gesztus. Stratégiai befektetés az információkba, az együttműködésbe és a közös rezilienciába.
Az 5.6 kontroll esetében a szakmai érdekcsoportok közé tartozhatnak nemzeti vagy ágazatspecifikus kiberfenyegetettségi információs hálózatok, ISAC-ok, szabályozói fórumok, beszállítói biztonsági tájékoztató csoportok, nyílt forráskódú közösségek és akadémiai munkacsoportok. A külső megosztásnak azonban szándékosnak, jogszerűnek és jóváhagyottnak kell lennie. A Zenith Blueprint hozzáteszi az érettségi elvárást:
Az érett IBIR-bevezetések a SIG-részvételt irányított tevékenységként, nem pedig informális előnyként kezelik.
Ez azt jelenti, hogy nyilvántartást kell vezetni a csatlakozott csoportokról és fórumokról, ki kell jelölni a hivatalos résztvevőket, rögzíteni kell a jegyzőkönyveket vagy összefoglalókat, és az információkat be kell építeni a belső felülvizsgálatokba vagy kontrollfrissítésekbe.
Az 5.7 kontroll a külső információkat intézkedéssé alakítja. A Zenith Blueprint így fogalmaz:
Egy szervezet nem tud védekezni az ellen, amit nem ért.
Arra is figyelmeztet, hogy a javítási hírcsatornákat nem szabad összekeverni a fenyegetettségi információkkal. A valódi információk magukban foglalják a fenyegető szereplők profilozását, a taktikákat, technikákat és eljárásokat, a kompromittálódási indikátorokat, az ágazatspecifikus figyelmeztetéseket, a sérülékenységi kontextust és a stratégiai üzleti hatást. A hasznos információk belső felügyeletet, külső partnerségeket, CERT- vagy ISAC-kapcsolatokat, kereskedelmi hírcsatornákat és nyílt forrású forrásokat ötvöznek, de csak akkor, ha valaki felülvizsgálja, priorizálja és intézkedéssé fordítja őket.
A Clarysec Zenith Controls: Keresztmegfelelési útmutatója Zenith Controls megerősíti a keresztmegfelelési értéket. Az 5.6 kontrollt megelőző és helyesbítő kontrollként térképezi fel, amely támogatja a bizalmasságot, sértetlenséget és rendelkezésre állást, elsődleges operatív képességként pedig az irányítást jelöli meg. Az 5.6 kontrollt összekapcsolja az 5.7 Fenyegetettségi információk, az 5.5 Kapcsolattartás hatóságokkal, az 5.31 Jogi, jogszabályi, szabályozói és szerződéses követelmények és a 8.8 Műszaki sérülékenységek kezelése kontrollokkal. Az 5.7 kontrollt megelőző, észlelő és helyesbítő kontrollként térképezi fel, amely az Identify, Detect és Respond területekhez kapcsolódik, operatív képességként pedig a fenyegetés- és sérülékenységkezelést jelöli meg.
Az üzenet egyszerű: egy érett kiberfenyegetettségi információmegosztási programnak két fele van. Először: kontrollált kapcsolatok. Másodszor: a kapott és megosztott információk kontrollált felhasználása.
Gyakorlati működési modell az irányított megosztáshoz
Egy 2026-ban igazolható működési modellnek hat kérdésre kell választ adnia, mielőtt az első indikátort megosztják.
| Irányítási kérdés | Gyakorlati válasz | Auditorok által elvárt bizonyíték |
|---|---|---|
| Ki vehet részt? | Név szerint kijelölt szerepkörök, jóváhagyott fórumok, helyettes kapcsolattartók, hatásköri korlátok | SIG- és ISAC-nyilvántartás, kijelölési bejegyzések, szerepkörleírások |
| Mi fogadható be? | Fenyegetési jelentések, IOC-k, TTP-k, sérülékenységi tájékoztatók, ágazati riasztások | Befogadási napló, forrásbesorolás, kezelési szabályok |
| Mi osztható meg? | Tisztított indikátorok, nem attribútálható minták, jóváhagyott tájékoztatók, szabályozói jelentésre alkalmas tények | Közzétételi jóváhagyási bejegyzés, adattakarékossági felülvizsgálat, jogi vagy DPO-jóváhagyás |
| Hogyan használják fel az információt? | SIEM-szabályok, EDR-blokkolások, sérülékenységi priorizálás, kockázati nyilvántartás frissítése, forgatókönyv-módosítások | Változtatási jegyek, észlelési szabályok, kockázati frissítések, értekezleti jegyzőkönyvek |
| Hogyan védik az adatvédelmet? | Adattakarékosság, álnevesítés, kitakarás, jogalap-ellenőrzés, megőrzési korlátok | DPIA vagy adatvédelmi felülvizsgálat, megosztási sablon, megőrzési napló |
| Hogyan vizsgálják felül az eredményességet? | Mutatók, asztali gyakorlatok, auditmegállapítások, vezetőségi átvizsgálás | KPI-k, incidensekből levont tanulságok, belső auditjelentés, helyesbítő intézkedések |
A Clarysec ezt jellemzően könnyű, de formális munkafolyamatként vezeti be:
- Az információ befogadása és osztályozása.
- A relevancia ellenőrzése eszközök, beszállítók, szolgáltatások, földrajzi területek és ügyfelek alapján.
- Az információ intézkedéssé alakítása, például felügyeleti szabályokká, sérülékenységi jegyekké, felhasználói riasztásokká, beszállítói megkeresésekké vagy kockázati frissítésekké.
- Annak eldöntése, hogy a kimenő megosztás szükséges, jogszerű, biztonságos és a tagsági szabályok alapján megengedett-e.
- Kitakarás, aggregálás, álnevesítés vagy anonimizálás alkalmazása.
- A szükséges jóváhagyások beszerzése.
- Megosztás jóváhagyott csatornán keresztül.
- Annak rögzítése, hogy mit, kivel, miért, mikor és kinek a hatáskörében osztottak meg.
- Az eredmények felülvizsgálata és a kontrollok frissítése.
Ez megelőzi a két klasszikus hibát: a biztonsági csapat hasznos információt kap, de semmi sem változik; vagy a biztonsági csapat hasznos információt oszt meg, de jogi, szerződéses vagy adatvédelmi kitettséget hoz létre.
DORA Article 45: kontrollált megosztás a bizalmasság elvesztése nélkül
Pénzügyi szervezeteknél a DORA Article 45 követelményeit belső kiberfenyegetettségi információmegosztási szabvánnyá kell alakítani. A gyakorlati értelmezés öt feltételt tartalmaz.
Először: a cél a reziliencia kell legyen. A megosztásnak segítenie kell a kiberfenyegetések megelőzését, észlelését, kezelését vagy az azokból való helyreállítást. Nem sodródhat át árképzésbe, ügyféllistákba, piaci stratégiába vagy kereskedelmileg érzékeny információkba.
Másodszor: a közösségnek megbízhatónak kell lennie. Ez egyértelmű tagsági szabályokat, titoktartási kötelezettségeket, biztonságos csatornákat, hozzáférés-szabályozást és a további közzététel korlátozását jelenti. Az ISO/IEC 27010:2015 támogatja a biztonságos információcserét bizalmi közösségekben, beleértve a bizalmassági szabályokat, a kölcsönösséget és a megbízható kommunikációs csatornákat. Az ISO/IEC 27032:2023 támogatja a kiberbiztonsági információmegosztást és a helyzetismeretet. Az ISO/IEC 27035-2:2023 az információmegosztást az incidensreagálási tervezéshez kapcsolja, beleértve a CERT-ekben és iparági csoportokban való részvételt.
Harmadszor: az érzékeny információkat védeni kell. Ide tartoznak az üzleti titkok, architektúraábrák, sérülékenységi részletek, hitelesítő adatok, ügyfélazonosítók és személyes adatok. A Clarysec KKV Adatosztályozási és címkézési szabályzata Adatosztályozási és címkézési szabályzat – KKV kimondja:
A külső megosztást kifejezetten engedélyezni és naplózni kell.
Ez a mondat a DORA Article 45 munkafolyamat mögötti kontrollalapelv. A szervezetnek tudnia kell, milyen osztályozás alkalmazandó, ki hagyta jóvá a kiadást, és hol található a bejegyzés.
Negyedszer: a személyes adatokat minimalizálni kell. A vállalati Adatvédelmi és magánszféra-védelmi szabályzat Adatvédelmi és magánszféra-védelmi szabályzat kimondja:
Csak egy meghatározott, jogszerű üzleti célhoz szükséges adatok gyűjthetők és kezelhetők.
A KKV-megfelelője, a Adatvédelmi és magánszféra-védelmi szabályzat – KKV Adatvédelmi és magánszféra-védelmi szabályzat – KKV, kimondja:
Csak a szükséges minimális személyes adatok gyűjthetők és őrizhetők meg.
Ez azért fontos, mert a fenyegetettségi információk gyakran arra csábítják a csapatokat, hogy nyers naplókat másoljanak külső csatornákba. Ehelyett csak azt szabad megosztani, amire a címzettnek szüksége van, például egy rosszindulatú domaint, hash-t, időbélyegtartományt, általános mintát vagy álnevesített ügyhivatkozást.
Ötödször: a szervezetnek bizonyítékokat kell megőriznie. A DORA dokumentált IKT-kockázatkezelésre, incidensosztályozásra, jelentéstételre, tesztelésre, harmadik féllel kapcsolatos irányításra és vezetői elszámoltathatóságra épül. Ha a megosztás befolyásolja az incidenskezelést, egy rezilienciateszt-forgatókönyvet vagy egy beszállítói kockázati döntést, annak láthatónak kell lennie az IBIR nyilvántartásaiban.
NIS2 együttműködés: a jogi hatálytól az operatív kapcsolatokig
A NIS2 a beszélgetést a pénzügyi szervezeteken túlra terjeszti. Alkalmazása ágazaton, méreten és kritikalitáson alapul, és bizonyos szervezetekre mérettől függetlenül is alkalmazandó lehet, például bizalmi szolgáltatókra, DNS-szolgáltatókra, TLD-nyilvántartókra, kritikus szervezetekre és domainnév-regisztrációs szolgáltatásokra.
A fenyegetettségi információk megosztása szempontjából a kulcstanulság az irányítás. Az Article 20 az irányító testületek felelősségévé teszi a kiberbiztonsági kockázatkezelési intézkedések jóváhagyását és felügyeletét. Az Article 21 megfelelő és arányos technikai, operatív és szervezeti intézkedéseket ír elő. Az Article 23 szakaszos jelentéstételt követel meg a jelentős incidensekre.
A fenyegetettségi információk megosztása mindezekkel összefügg. Ha egy ISAC-tájékoztató azt jelzi, hogy egy beszállító menedzselt szolgáltatását kihasználják, az Article 21 ellátási láncra vonatkozó elvárásai relevánssá válnak. Ha az információ folyamatban lévő jelentős incidenst jelez, az Article 23 szerinti jelentéstételi és ügyfélkommunikációs munkafolyamatok aktiválódhatnak. Ha egy jelentős kiberfenyegetés érintheti a szolgáltatás igénybevevőit, a szervezetnek kontrollált figyelmeztetési folyamatra van szüksége.
A Zenith Blueprint ezt az IBIR Foundation and Leadership szakasz 5. lépésében, a Communication, Awareness, and Competence témakörben tárgyalja. Olyan külső kommunikációs tervezést javasol, amely azonosítja az ügyfeleket, szabályozókat, partnereket és a nyilvánosságot, majd meghatározza, mit, mikor, ki és milyen jóváhagyással kommunikál. Gyakorlati példaként incidenskommunikációs eljárást ad, amelyben a CISO értesítést készít, a jogi terület felülvizsgálja, a vezérigazgató pedig jóváhagyja a kiküldés előtt.
A KKV Incidenskezelési szabályzat Incidenskezelési szabályzat – KKV kimondja:
Az ügyvezető (GM) felelős valamennyi incidens-eszkalációs döntés, szabályozó hatósági értesítés és külső kommunikáció engedélyezéséért.
Nagyobb szervezetek esetében a vállalati Incidenskezelési szabályzat Incidenskezelési szabályzat rögzíti a bizonyítékolási alapot:
Minden incidenst rögzíteni kell a Biztonsági Incidenskezelő Rendszerben (SIMS), beleértve:
Amikor a fenyegetettségi információ incidenssé, ügyfélfigyelmeztetéssé, szabályozó hatósági értesítéssé vagy külső tájékoztatóvá válik, nem maradhat kizárólag beérkező levelekben és csevegőszálakban. Az incidenskezelési rendszerben van a helye, osztályozással, intézkedésekkel, jóváhagyásokkal, bizonyítékokkal és levont tanulságokkal együtt.
GDPR-nak megfelelő közzététel: információk megosztása, nem szükségtelen személyes adatoké
A GDPR lehetővé teszi a biztonsági üzemeltetést, de nem teremt szabad zónát a kontrollálatlan telemetriamegosztáshoz. Számos fenyegetettségi artefaktum tartalmazhat személyes adatot:
- Felhasználói tevékenységhez kapcsolódó IP-címek.
- Adathalászati kísérletekben használt e-mail címek.
- Felhasználónevek, eszköznevek, végpontazonosítók vagy ügyfél-tenant azonosítók.
- Hitelesítési naplók.
- Támogatási jegyek.
- Képernyőképek.
- Csalásvizsgálati jegyzetek.
- Dokumentumokat vagy személyes fájlokat tartalmazó malware-minták.
- Ügyféladat-kitettséget tartalmazó sérülékenységi jelentések.
A Clarysec modelljében minden kimenő megosztási döntés adatvédelmi és bizalmassági szűrőn megy keresztül.
| Szűrő | Döntési kérdés | Tipikus kontrollintézkedés |
|---|---|---|
| Cél | Szükséges-e a megosztás kibervédelemhez, jogi jelentéstételhez vagy koordinált kockázatcsökkentéshez? | A cél rögzítése a megosztási naplóban |
| Jogalap | Van-e dokumentált jogalap vagy jogi kötelezettség? | Jogi vagy DPO-felülvizsgálat hozzáadása személyes adatok esetén |
| Adattakarékosság | Elérhető-e ugyanaz az eredmény kevesebb mezővel? | Felhasználónevek, e-mailek, jegyzetek, ügyfélnevek eltávolítása |
| Álnevesítés | Helyettesíthetők-e az azonosítók ügyazonosítókkal vagy tokenekkel? | A megfeleltetés belső, korlátozott hozzáférésű megőrzése |
| Bizalmasság | Felfed-e a tartalom architektúrát, sérülékenységi részleteket vagy ügyféltitkokat? | Bizalmas vagy szigorúan bizalmas besorolás és megosztási korlátozás |
| Megőrzés | Meddig kell megőrizni a megosztott bejegyzést és a jóváhagyási bizonyítékot? | Megőrzési szabály és törlési felülvizsgálat alkalmazása |
A Zenith Controls az ISO/IEC 27002:2022 5.34, Adatvédelem és a személyazonosításra alkalmas információk védelme kontrollját megelőző kontrollként térképezi fel, és összekapcsolja az osztályozással, az eszköznyilvántartással, az adatmaszkolással, a felhőbiztonsággal, az információátvitellel, a hozzáférés-szabályozással, az identitáskezeléssel, valamint a projekt- vagy változásfelülvizsgálattal. A GDPR Articles 25 és 32 követelményeihez is kapcsolja a beépített adatvédelem, az adatkezelés biztonsága, a titkosítás, az álnevesítés, a hozzáférés-szabályozás és az igazolható irányítás révén. Támogató szabványok az ISO/IEC 27701:2021 az adatvédelmi információk kezelésére, az ISO/IEC 27018:2019 a PII védelmére nyilvános felhőben működő adatfeldolgozói környezetekben, valamint az ISO/IEC 29100:2011 az adatvédelmi alapelvekre.
A fenyegetettségi információk megosztása esetében a DPO-nak és a biztonsági csapatnak nem válsághelyzetben kell először találkoznia. Előzetesen jóvá kell hagyniuk mintákat, sablonokat, kitakarási szabályokat és eszkalációs küszöbértékeket.
Gyakorlati példa: egy ISAC-riasztás bizonyítékalapú rezilienciává válik
Térjünk vissza Maria fizetési platformjához. Az ISAC-tájékoztató rosszindulatú domaineket, gyanús OAuth-alkalmazásneveket, User-Agent karakterláncokat és azt a megjegyzést tartalmazza, hogy több tag fiókátvételi kísérleteket figyelt meg pénzügyi üzemeltetési felhasználók ellen. A vállalat a saját naplóiban három gyanús bejelentkezési kísérletet is talál.
A Clarysec így tenné operatívvá a reagálást az ISO/IEC 27001:2022, a Zenith Blueprint, a Zenith Controls és a szabályzati eszköztár alapján.
| Lépés | Intézkedés | Felelős | Bizonyíték vagy kontrollkapcsolat |
|---|---|---|---|
| 1. Befogadás naplózása | Forrás, dátum, megbízhatóság, eszközök, érintett technológia és kezelési korlátozások rögzítése | SOC-elemző | Fenyegetettségi információk befogadási naplója, ISO/IEC 27002:2022 5.7 kontroll |
| 2. Osztályozás | A tájékoztató Bizalmas vagy Szigorúan bizalmas címkézése, ha érzékeny tagi adatokat tartalmaz | Biztonsági vezető | Adatosztályozási bejegyzés, külső megosztás engedélyezési szabálya |
| 3. Relevancia ellenőrzése | Az identitásintegráció éles használatának, a kitett felhasználóknak, OAuth-engedélyeknek, DNS-nek, proxynak, EDR-nek és SIEM-naplóknak az ellenőrzése | SOC és platformcsapat | Elsődleges értékelési jegyzetek, felügyeleti bizonyíték, sérülékenységi felülvizsgálat |
| 4. Intézkedéssé alakítás | Észlelések hozzáadása, engedélyek felülvizsgálata, szükség esetén titkos adatok rotációja, beszállító megkeresése, kockázati nyilvántartás frissítése | SOC, mérnöki csapat, kockázatgazda | SIEM-szabályjegyek, változásbejegyzések, beszállítói eszkaláció |
| 5. Kimenő megosztás felülvizsgálata | A nyers megállapítások időablakra, mintára, rosszindulatú domainre és érintett szerepkörtípusra csökkentése | CISO, jogi terület, DPO | Közzétételi jóváhagyás, adattakarékossági értékelés |
| 6. Biztonságos megosztás | Csak jóváhagyott információk küldése az ISAC titkosított csatornáján | CISO vagy megbízott | Megosztási napló, csatornabejegyzés, jóváhagyási időbélyeg |
| 7. Fejlesztés | Mutatók és tanulságok jelentése az IBIR-átvizsgáláson | CISO és GRC | Vezetőségi átvizsgálási jegyzőkönyvek, helyesbítő intézkedések |
A kimenő üzenet eredetileg időbélyegeket, forrás IP-címeket, célzott felhasználóneveket, ügyfél-tenant azonosítókat és képernyőképeket tartalmaz. A DPO és a jogi felülvizsgálat után ez a következőkre csökken:
- Időablak UTC-ben.
- Támadási minta.
- Megfigyelt rosszindulatú domain.
- Általános érintett szerepkörtípus, például pénzügyi üzemeltetési felhasználók.
- Nincsenek felhasználónevek.
- Nincsenek ügyfél-tenant azonosítók.
- Nincsenek képernyőképek.
- Nincsenek ügyfélnevek.
- Nincsenek nyers naplók, kivéve ha kontrollált csatornán keresztül kérik őket.
Ha a tevékenység incidenssé válik, az Incidenskezelési szabályzat kontrolljai veszik át az irányítást. Ha forenzikus artefaktumokat gyűjtenek, a Bizonyítékgyűjtési és forenzikai szabályzat – KKV Bizonyítékgyűjtési és forenzikai szabályzat – KKV alkalmazandó:
Minden digitális bizonyítékelemet naplózni kell a következőkkel:
A szabályzat belsőleg tovább részletezi a bizonyítékmetaadat-követelményeket, de az auditalapelv egyértelmű: minden vizsgálathoz, megosztáshoz, szabályozói jelentéstételhez vagy ügyfélkommunikációhoz használt artefaktumnak visszakövethetőnek kell lennie.
A sérülékenység közzététele nem azonos a fenyegetettségi információk megosztásával
Gyakori hiba a sérülékenység közzétételét, az incidensbejelentést és a fenyegetettségi információk megosztását ugyanazon folyamatként kezelni. Átfednek, de nem azonosak.
A fenyegetettségi információk megosztása indikátorokat, taktikákat, ágazati figyelmeztetéseket, támadói magatartást, kockázatcsökkentő intézkedéseket vagy megfigyelt kísérleteket érinthet. A koordinált sérülékenység-feltárás egy termékben vagy szolgáltatásban található konkrét gyengeséget érint, gyakran bejelentővel, javítási ütemezéssel, tájékoztatóval és nyilvános közzétételi döntéssel. Az incidensbejelentés szabályozói vagy szerződéses jelentéstételt jelent olyan eseményről, amely szolgáltatásokat, adatokat vagy ügyfeleket érint.
A Clarysec elkülöníti ezeket a munkafolyamatokat, miközben az IBIR-en keresztül összekapcsolva tartja őket. A vállalati Koordinált sérülékenység-feltárási szabályzat Koordinált sérülékenység-feltárási szabályzat kimondja:
Koordináció és közzététel: A szervezetnek a nyilvános közzétételt a bejelentővel összehangoltan kell végeznie. Alapértelmezés szerint sérülékenységi részletek nem hozhatók nyilvánosságra addig, amíg javítás vagy kockázatcsökkentő intézkedés nem áll rendelkezésre, vagy legalább folyamatban nincs. Kritikus problémák esetén, amikor a javítás nem szállítható gyorsan, a szervezet biztonsági tájékoztatót adhat ki kerülőmegoldási útmutatással a felhasználók figyelmeztetésére, szükség esetén az illetékes hatóságokkal egyeztetve. A bejelentőtől elvárt, hogy tartózkodjon a nyilvános közzétételtől mindaddig, amíg a szervezet jóváhagyást nem ad vagy tájékoztatót nem tesz közzé. Általános szabályként a szervezet törekszik arra, hogy a jelentés kézhezvételétől számított 90 napon belül, vagy más, kölcsönösen egyeztetett határidőn belül, az iparági gyakorlattal összhangban tájékoztatót tegyen közzé, beleértve a bejelentő elismerését is, amennyiben ehhez hozzájárulását adta.
Ugyanez a szabályzat azt is kimondja:
Bizalmasság: A nyilvános közzétételig a bejelentett sérülékenységre vonatkozó valamennyi információt szigorúan bizalmasként kell kezelni. A részletek belsőleg kizárólag a szükséges ismeret elve alapján oszthatók meg azokkal a munkatársakkal, akiknek az ügy ellenőrzéséhez vagy helyesbítéséhez szükségük van rá. A bejelentő személyazonosságát kérés esetén bizalmasan kell kezelni. A bejelentővel folytatott minden kommunikációt titkosítani kell, ideértve a szervezet PGP-kulcsának használatát is, az érzékeny sérülékenységi részletek védelme érdekében.
Ez kulcsfontosságú a DORA Article 45 és a NIS2 együttműködés szempontjából. Egy megbízható közösség alkalmas hely lehet kockázatcsökkentő intézkedések vagy magas szintű indikátorok megosztására, de nem feltétlenül exploit-részletek, ügyfélspecifikus adatok vagy javítatlan sérülékenységi információk közzétételére.
A külső kommunikációnak ugyanezt a fegyelmet kell követnie. A vállalati Közösségimédia- és külső kommunikációs szabályzat Közösségimédia- és külső kommunikációs szabályzat a tartalom felülvizsgálati felelősségét annak biztosítására rendeli hozzá, hogy a kommunikáció megfeleljen a bizalmasságra, bennfentes közzétételekre, szellemi tulajdonra és rágalmazásra vonatkozó jogszabályoknak. Ez akkor számít, amikor egy technikai tájékoztató nyilvános nyilatkozattá, ügyfélértesítéssé, weboldalfrissítéssé vagy szabályozó felé irányuló üzenetté válik.
Keresztmegfelelési leképezés: egy munkafolyamat, sok kötelezettség
Egy erős kiberfenyegetettségi információmegosztási munkafolyamatnak több keretrendszer elvárásait kell teljesítenie anélkül, hogy párhuzamos folyamatokat hozna létre.
| Keretrendszer | Mit vár el | Hogyan képezi le a Clarysec |
|---|---|---|
| ISO/IEC 27001:2022 | Kontextus, vezetés, kockázatkezelés, működési kontroll, dokumentált bizonyíték, nyomon követés, audit, folyamatos fejlesztés | IBIR alkalmazási területe, kockázati nyilvántartás, alkalmazhatósági nyilatkozat, kommunikációs terv, belső audit, vezetőségi átvizsgálás |
| ISO/IEC 27002:2022 5.6 és 5.7 kontrollok | Irányított kapcsolattartás szakmai érdekcsoportokkal és intézkedésre fordítható fenyegetettségi információk | SIG-nyilvántartás, fenyegetettségi információk befogadása, elemzési munkafolyamat, észlelési frissítések, megosztási jóváhagyások |
| DORA Article 45 | Megbízható kiberfenyegetettségi információmegosztás, amely védi a bizalmasságot, személyes adatokat, üzleti titkokat, IP-t és versenyjogi határokat | Jóváhagyott közösségek, közzétételi feltételek, jogi és DPO-felülvizsgálat, biztonságos csatornák, bizonyítéknaplók |
| NIS2 Articles 20, 21 és 23 | Igazgatósági felügyelet, kiberbiztonsági kockázatkezelési intézkedések, együttműködés, incidenskezelés, ellátásilánc-biztonság, sérülékenységkezelés, szakaszos jelentéstétel | Igazgatósági jelentéstétel, incidenskommunikáció, beszállítói eszkaláció, CSIRT-kapcsolati lista, fenyegetésvezérelt kockázati frissítések |
| GDPR Articles 5, 6, 25 és 32 | Személyes adatok jogszerű, minimalizált, célhoz kötött, biztonságos és elszámoltatható kezelése | Adatvédelmi szűrő, kitakarás, álnevesítés, megőrzési szabályok, DPO-felülvizsgálat, megosztási napló |
| NIST CSF 2.0 | GOVERN, IDENTIFY, PROTECT, DETECT, RESPOND és RECOVER eredmények jogi kötelezettségekkel és kommunikációs csatornákkal | Szervezeti profil, jelenlegi és célállapot, észlelési és reagálási fejlesztések, külső érdekelt felekkel való kommunikáció |
| COBIT 2019 | Külső követelmények monitorozása, biztonsági fenyegetések kezelése, kontrollhatékonyság értékelése, adatvédelem kezelése | A megfelelés nyomon követése, fenyegetettségi mutatók, irányítási jelentéstétel, adatvédelmi programmal való összhang |
A NIST CSF 2.0 semleges szervezőrétegként hasznos, mert GOVERN funkciója az érdekelt feleket, jogi kötelezettségeket, függőségeket, kockázatvállalási hajlandóságot, szerepköröket, szabályzatokat és felügyeletet kezeli. DETECT és RESPOND funkciói felügyeletet, fenyegetettségi információk integrálását, incidens kihirdetését, bizonyítékmegőrzést, értesítést és külső kommunikációt várnak el.
A COBIT 2019 hozzáadja a vezetői elszámoltathatóságot. Az olyan gyakorlatok, mint a DSS05.04 Manage security threats, az APO12 Manage risk, a MEA03 Managed compliance with external requirements és az APO13 Managed security segítik az auditorokat annak tesztelésében, hogy az információk javítják-e a kontrollteljesítményt és az irányítási jelentéstételt.
Hogyan tesztelik az auditorok a megosztási programot
Egy ISO/IEC 27001:2022 auditor az irányítási rendszerrel kezdi. Megkérdezi, hogyan azonosították a jogi, szabályozási, szerződéses és érdekelt fél követelményeket a 4.1 és 4.2 pontok szerint. Ellenőrzi, hogy a fenyegetettségi információk megosztása a hatály része-e, a kockázatokat értékelték-e, az 5.6, 5.7, 5.31, 5.34, 5.24, 5.28, 8.8, 8.15 és 8.16 kontrollok szerepelnek-e vagy indokoltan kizártak-e az alkalmazhatósági nyilatkozatban, és hogy a bizonyíték igazolja-e, hogy a folyamat a tervek szerint működött.
Egy DORA-fókuszú auditor vagy felügyelet az irányítást, az igazgatósági elszámoltathatóságot, az IKT-kockázati integrációt, az incidensosztályozást, a rezilienciatesztelést, a harmadik felekkel kapcsolatos következményeket és az Article 45 feltételeit vizsgálja. Megkérdezi, dokumentált-e az információmegosztási megállapodásokban való részvétel, védettek-e az érzékeny és személyes adatok, frissíti-e az információ az IKT-kockázatkezelési keretrendszert, és befolyásolja-e a tesztforgatókönyveket.
Egy NIS2-orientált felülvizsgáló az igazgatósági felügyeletre, az Article 21 intézkedésekre, az incidenskezelésre, a beszállítói függőségekre, a sérülékenységkezelésre, az ügyfél- vagy szolgáltatásigénybevevői kommunikációra, valamint a CSIRT-ekkel vagy illetékes hatóságokkal való együttműködésre összpontosít. Teszteli, hogy a fenyegetettségi információk kapcsolódnak-e a jelentős incidens értékeléséhez és a szakaszos jelentéstételhez.
Egy adatvédelmi auditor a GDPR alapelveire összpontosít. Megkérdezi, hogy a megosztott adat személyes adat volt-e, milyen jogalap alkalmazandó, történt-e adattakarékossági vizsgálat, lehetséges volt-e álnevesítés vagy kitakarás, kontrollálták-e a megőrzést, és a szervezet képes-e igazolni az elszámoltathatóságot.
Jó bizonyíték például:
- Jóváhagyott ISAC- vagy SIG-nyilvántartás.
- Név szerint kijelölt résztvevők és helyettesek.
- Tagsági feltételek és titoktartási kötelezettségek.
- Fenyegetettségi információk befogadási naplója.
- Elsődleges értékelések és relevanciaértékelések.
- Észlelésfejlesztési jegyek.
- Sérülékenységi priorizálási változások.
- Beszállítói kockázati eszkalációk.
- Közzétételi jóváhagyási bejegyzések.
- DPO- vagy adatvédelmi felülvizsgálati jegyzetek.
- Kitakart kimenő üzenetek.
- Incidensbejegyzések a SIMS-ben.
- Bizonyítéklánc-naplók.
- Vezetőségi átvizsgálási jegyzőkönyvek.
- Belső auditmegállapítások és helyesbítő intézkedések.
Gyakori hibák, amelyeket a Clarysec a gyakorlatban lát
A leggyakoribb hiba az informális részvétel. Egy biztonsági mérnök csatlakozik egy privát fórumhoz, hasznos információkat kap, majd formális engedély nélkül megoszt belső megfigyeléseket. A szándék jó, de a bizonyítéklánc gyenge, a bizalmassági kockázat pedig magas.
A második hiba a passzív fogyasztás. A szervezet előfizet hírcsatornákra, részt vesz ISAC-hívásokon és továbbít tájékoztatókat, de senki sem tudja bemutatni, hogyan változtatták meg az információk a kontrollokat. A fenyegetettségi információknak frissíteniük kell az észlelési logikát, a javítási prioritásokat, a forgatókönyveket, a kockázati nyilvántartásokat, a beszállítói felülvizsgálatokat, a tudatosságnövelő kampányokat vagy a rezilienciateszteket.
A harmadik hiba a nyers naplók megosztása. A csapatok képernyőképeket, SIEM-exportokat, e-mail fejléceket vagy csomagrögzítéseket küldenek külső félnek adattakarékosság nélkül. Ez személyes adatokat, ügyfélazonosítókat, belső hosztneveket, tokeneket vagy bizalmas architektúrát tehet hozzáférhetővé.
A negyedik hiba a public relations összekeverése a szabályozott kommunikációval. Egy LinkedIn-bejegyzés egy támadási trendről nem azonos az ügyfélfigyelmeztetéssel, szabályozó hatósági értesítéssel, CSIRT-frissítéssel vagy koordinált tájékoztatóval. A Clarysec elkülöníti ezeket a csatornákat, kijelöli a jóváhagyási felelősöket és nyilvántartásokat követel meg.
Az ötödik hiba a beszállítók figyelmen kívül hagyása. Sok információs riasztás harmadik féltől származó szoftvert, felhőplatformokat, menedzselt szolgáltatókat vagy identitásintegrációkat érint. A DORA, NIS2, NIST CSF, COBIT 2019 és ISO/IEC 27002:2022 beszállítói kontrolljai alapján a fenyegetettségi információknak be kell épülniük a beszállítói kockázatkezelésbe.
Építse fel 2026-os fenyegetettségi információmegosztási csomagját
A legtöbb szervezetnek nincs szüksége nehézkes, önálló bürokráciára. Kompakt irányítási csomagra van szüksége, amely valós incidens során is működik. A Clarysec a következőket javasolja:
- Fenyegetettségi információk megosztására vonatkozó eljárás.
- Jóváhagyott megosztási közösségek nyilvántartása.
- Fenyegetettségi információk befogadási és elsődleges értékelési űrlapja.
- Kimenő közzétételi jóváhagyási űrlap.
- Adatvédelmi és bizalmassági felülvizsgálati ellenőrzőlista.
- Külső kommunikációs mátrix.
- ISAC-értekezlet összefoglaló sablon.
- Bizonyíték- és incidenskapcsolási szabályok.
- Mutatók irányítópultja.
- Belső audit tesztterv.
Az eljárásnak hivatkoznia kell az ISO/IEC 27001:2022 kockázatkezelésre, kommunikációra, működési kontrollra, teljesítményértékelésre, belső auditra és folyamatos fejlesztésre vonatkozó pontjaira. Le kell képeznie az ISO/IEC 27002:2022 5.6, 5.7, 5.31, 5.34, 5.24, 5.28, 8.8, 8.15, 8.16 kontrolljait és a releváns beszállítói kontrollokat. Hivatkoznia kell továbbá a DORA Article 45 követelményeire, a NIS2 együttműködési és incidenskommunikációs kötelezettségeire, valamint a GDPR alapelveire.
A legfontosabb, hogy a folyamat nyomás alatt is használható legyen. Ha egy rosszindulatú domain megbízható ISAC-kal való megosztása előtt 12 fős értekezletre van szükség, a folyamat megbukik. Ha lehetővé teszi nyers ügyfélnaplók bemásolását egy közösségi portálra, szintén megbukik. A cél a kontrollált gyorsaság.
Alakítsa a fenyegetettségi információk megosztását bizonyítékalapú rezilienciává
A kiberfenyegetettségi információk megosztása 2026-ban nem csupán biztonsági érettségi jelvény. Pénzügyi szervezeteknél a DORA Article 45 és a digitális működési reziliencia része. Alapvető és fontos szervezeteknél támogatja a NIS2 együttműködést, az incidenskezelést, a sérülékenységekre adott választ, a beszállítói biztonságot és a szolgáltatást igénybe vevők figyelmeztetését. Bármely, EU-s személyes adatot kezelő szervezetnél tervezésénél fogva GDPR-nak megfelelőnek kell lennie.
A Clarysec segít a szervezeteknek úgy kialakítani ezt a működési modellt, hogy közben ne lassítsa le a védekező csapatokat. A Zenith Blueprint Zenith Blueprint, a szabályzati eszköztár és a Zenith Controls Zenith Controls összekapcsolásával működő IBIR-folyamatot hozunk létre: jóváhagyott közösségek, egyértelmű szerepkörök, adatvédelmi szempontból biztonságos közzététel, incidenskapcsolás, bizonyítéknyilvántartások, auditra való felkészültség és keretrendszerek közötti leképezés.
Ha szervezete ISAC-ban vesz részt, kiberbiztonsági tájékoztatókat kap, indikátorokat oszt meg partnerekkel, hatóságoknak jelent vagy sérülékenység-feltárásokat kezel, most érdemes formalizálni a munkafolyamatot. Kezdje a jelenlegi megosztási megállapodások egyórás felülvizsgálatával, majd képezze le azokat az ISO/IEC 27001:2022, a DORA Article 45, a NIS2 és a GDPR követelményeire.
A Clarysec segít kialakítani azt a nyilvántartást, szabályzati záradékokat, jóváhagyási sablonokat, auditbizonyíték-modellt és vezetői jelentési csomagot, amely ahhoz szükséges, hogy a kiberfenyegetettségi információk megosztása gyors, jogszerű és igazolható legyen.
Frequently Asked Questions
About the Author

Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council


