ISO 27001 žurnalų įrašų įrodymai NIS2, DORA ir GDPR auditams

Įspėjimas SOC kanale pasirodė antradienį 2:17 val. nakties: keli nesėkmingi prisijungimo bandymai prie privilegijuotojo naudotojo paskyros admin iš naujo IP adreso. Po kelių minučių bandymai nutrūko. Jaunesnysis analitikas užfiksavo įspėjimą, palaikė jį netinkamai sukonfigūruotu scenarijumi arba vėlai dirbančio sistemų administratoriaus veikla ir perėjo prie kitų užduočių.

Po dviejų dienų Maria, sparčiai augančios FinTech bendrovės CISO, dalyvavo vadovybės posėdyje, kai suskambo jos telefonas. Inžinerijos komanda aptiko neįprastai didelį CPU naudojimą produkcinės duomenų bazės egzemplioriuje. Buvo sukurta nauja neautorizuota naudotojo paskyra. 2:17 val. įspėjimas nebuvo klaidingas teigiamas signalas. Tai buvo pirmasis matomas bandymo įsibrauti požymis.

Incidentas buvo lokalizuotas, tačiau tyrimas atskleidė didesnę problemą. Ugniasienės žurnalai buvo vienoje sistemoje. Kubernetes žurnalai – kitoje. Duomenų bazės audito žurnalai buvo saugomi atskirai. Kelios laiko žymos skyrėsi keliomis minutėmis. Komanda turėjo duomenų, tačiau negalėjo greitai pateikti įrodymais pagrįsto pasakojimo apie aptikimą, peržiūrą, eskalavimą, lokalizavimą ir pažeidimo vertinimą.

Maria ISO/IEC 27001:2022 priežiūros auditas buvo užbaigtas sėkmingai, tačiau auditorius paliko vieną pastabą: organizacija turėjo žurnalų tvarkymo ir stebėsenos kontrolės priemones, tačiau jai būtų sudėtinga laiku pateikti koreliuotus įrodymus NIS2, DORA ir GDPR ataskaitų teikimo sprendimams.

Tai realybė, su kuria 2026 m. susiduria daugelis organizacijų. Jos neturi žurnalų problemos. Jos turi įrodymų problemą.

SIEM, EDR platforma, debesijos audito pėdsakas ar ugniasienės žurnalas savaime nėra auditui tinkami įrodymai. Įrodymai tampa pagrįsti tik tada, kai jie valdomi politika, apsaugomi nuo klastojimo, peržiūrimi nustatytu periodiškumu, susiejami su incidentų sprendimais ir saugomi pakankamai ilgai, kad būtų galima atkurti įvykius.

ISO/IEC 27001:2022, NIS2, DORA ir GDPR kontekste pagrindinis klausimas nebėra „Ar renkame žurnalus?“ Klausimas yra toks: „Ar galime įrodyti, kas įvyko, kas tai peržiūrėjo, kaip tai buvo klasifikuota, ar reikėjo teikti pranešimą ir ar vadovybė vykdė priežiūrą?“

Kodėl žurnalų tvarkymas ir stebėsena tapo atitikties įrodymų klausimu

NIS2, DORA ir GDPR pakeitė saugumo žurnalų verslo reikšmę.

Pagal NIS2 esminiai ir svarbūs subjektai privalo įgyvendinti tinkamas ir proporcingas kibernetinio saugumo rizikos valdymo priemones. Article 21 apima incidentų valdymą, veiklos tęstinumą, tiekimo grandinės saugumą, saugų kūrimą, veiksmingumo vertinimą, kibernetinę higieną, kriptografiją, žmogiškųjų išteklių saugumą, prieigos kontrolę, turto valdymą, MFA ir saugią komunikaciją. Article 23 nustato etapais vykdomą pranešimų teikimo modelį, įskaitant ankstyvąjį įspėjimą per 24 valandas, pranešimą apie incidentą per 72 valandas, tarpinius atnaujinimus, kai tai aktualu, ir galutinę ataskaitą ne vėliau kaip per vieną mėnesį nuo pranešimo apie incidentą.

Šis modelis priklauso nuo žurnalų tvarkymo ir stebėsenos. Negalima pateikti patikimo ankstyvojo įspėjimo, jei negalite parodyti, kada įvykis buvo aptiktas. Negalima klasifikuoti reikšmingo incidento, jei negalite atkurti paveiktų sistemų, naudotojų veiklos, poveikio paslaugai ir lokalizavimo veiksmų.

DORA daro panašų spaudimą finansų subjektams. Articles 5 to 14 nustato valdysenos ir IRT rizikos valdymo lūkesčius, įskaitant valdymo organo atsakomybę, IRT turto identifikavimą, apsaugą ir prevenciją, aptikimą, reagavimą ir atkūrimą, atsargines kopijas, atkūrimą, mokymąsi ir komunikaciją. Articles 17 to 23 reikalauja su IRT susijusių incidentų valdymo proceso, apimančio aptikimą, registravimą, klasifikavimą, eskalavimą, pranešimą ir tolesnius veiksmus. Articles 24 to 27 reglamentuoja skaitmeninio operacinio atsparumo testavimą. Articles 28 to 31 nustato IRT trečiųjų šalių rizikos valdymo įpareigojimus.

GDPR prideda privatumo atskaitomybės sluoksnį. Article 32 reikalauja tinkamo tvarkymo saugumo. Article 33 reikalauja apie asmens duomenų saugumo pažeidimą pranešti priežiūros institucijai nepagrįstai nedelsiant ir, kai įmanoma, ne vėliau kaip per 72 valandas nuo sužinojimo apie jį, nebent mažai tikėtina, kad pažeidimas sukels riziką fiziniams asmenims. Article 34 gali reikalauti informuoti paveiktus duomenų subjektus, kai rizika yra didelė. Žurnalai padeda nustatyti, ar prie asmens duomenų buvo prieita, ar jie buvo pakeisti, eksfiltruoti arba atskleisti, tačiau žurnaluose taip pat gali būti asmens duomenų, todėl jie turi būti atitinkamai valdomi.

ISO/IEC 27001:2022 suteikia valdymo sistemos pagrindą. Clauses 4.1 to 4.4 reikalauja, kad organizacija suprastų kontekstą, suinteresuotąsias šalis, reikalavimus ir ISVS taikymo sritį. Clauses 5.1 to 5.3 reikalauja lyderystės, politikos suderinimo, vaidmenų, atsakomybių ir įgaliojimų. Clauses 6.1.1 to 6.1.3 reikalauja pakartojamo rizikos vertinimo ir apdorojimo proceso, įskaitant rizikos kriterijus, rizikos savininkus, apdorojimo parinktis, Annex A kontrolės priemonių palyginimą, Taikytinumo pareiškimą ir liekamosios rizikos priėmimą. Clause 6.2 reikalauja išmatuojamų informacijos saugumo tikslų.

Todėl žurnalų tvarkymo ir stebėsenos įrodymai negali likti tik SOC viduje. Jie priklauso ISVS, rizikų registrui, Taikytinumo pareiškimui, reagavimo į incidentus procesui, privatumo pažeidimų darbo eigai, tiekėjų valdysenai ir ataskaitų teikimui vadovybei.

ISO 27001 žurnalavimo kontrolės priemonės, kurias auditoriai pirmiausia susieja

Dokumente Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint, etape „Controls in Action“, Step 19: Technological Controls I, žurnalų tvarkymas, stebėsena ir laiko sinchronizavimas vertinami kaip viena įrodymų grandinė.

A.8.15 – Logging: „Žurnalai, registruojantys veiklą, išimtis, gedimus ir kitus susijusius įvykius,
turi būti kuriami, saugomi, apsaugomi ir analizuojami.“

A.8.16 – Monitoring activities: „Tinklai, sistemos ir taikomosios programos turi būti stebimi dėl
anomalios elgsenos, o galimiems informacijos saugumo incidentams įvertinti turi būti imamasi
tinkamų veiksmų.“

A.8.17 – Clock synchronization: „Organizacijos naudojamų informacijos tvarkymo sistemų
laikrodžiai turi būti sinchronizuojami su patvirtintais laiko šaltiniais.“

Šios kontrolės priemonės atsako į tris audito klausimus:

Zenith Controls: The Cross-Compliance Guide Zenith Controls šį ryšį įvardija tiesiogiai:

„Žurnalų tvarkymas yra bazinis stebėsenos duomenų sluoksnis. Kontrolė 8.16 priklauso nuo pagal 8.15 generuojamų žurnalų, kad būtų galima analizuoti saugumo įvykius, aptikti anomalijas ir nustatyti galimus pažeidimus. Be išsamaus žurnalų tvarkymo stebėsenos sistemos yra neveiksmingos.“

Zenith Controls ISO/IEC 27002:2022 kontrolę 8.15, Logging, klasifikuoja kaip aptinkamąją kontrolės priemonę, palaikančią konfidencialumą, vientisumą ir prieinamumą. Ji susiejama su Detect kibernetinio saugumo sąvoka ir informacijos saugumo įvykių valdymu. Ji taip pat sieja Logging su Monitoring activities, Assessment and decision on information security events ir Clock synchronization.

Kontrolei 8.16, Monitoring activities, Zenith Controls priskiria aptinkamąją ir korekcinę paskirtį, susietą su Detect ir Respond. Ji susieja stebėseną su tiekėjų paslaugų stebėsena ir įvykių vertinimu, o tai būtina debesijos, SaaS, valdomų paslaugų ir išorės paslaugų aplinkose.

Praktinė žinutė paprasta. Žurnalai pateikia faktus. Stebėsena nustato anomalijas. Laiko sinchronizavimas padaro faktus patikimus skirtingose sistemose. Įvykių vertinimas įspėjimus paverčia sprendimais.

Kaip iš tikrųjų atrodo auditui tinkami žurnalų įrodymai

Auditui tinkami įrodymai nėra ekrano kopijų aplankas. Tai nuoseklus pėdsakas, įrodantis kontrolės priemonės projektavimą, veikimą ir sprendimų priėmimą.

Brandus žurnalų tvarkymo ir stebėsenos įrodymų failas paprastai apima šiuos elementus:

Clarysec Enterprise Logging and Monitoring Policy Logging and Monitoring Policy tai apibrėžia tiesiogiai:

„Ši politika yra būtina ISO/IEC 27001 Clause 8.1 ir Annex A Controls 8.15 (Logging), 8.16 (Monitoring) ir 8.17 (Clock Synchronization) palaikymui ir yra tiesiogiai susieta su reglamentavimo įpareigojimais pagal GDPR, NIS2, DORA ir COBIT 2019.“

Iš skyriaus „Tikslas“, politikos nuostata 1.3.

Ta pati politika nustato operacinį lūkestį:

„Sukurti centralizuotas žurnalų tvarkymo ir įspėjimų sistemas (pvz., SIEM), kurios beveik realiuoju laiku agreguotų, koreliuotų ir eskaluotų įtartiną veiklą.“

Iš skyriaus „Tikslai“, politikos nuostata 3.4.

Mažesnėms organizacijoms Clarysec SME Logging and Monitoring Policy-sme Logging and Monitoring Policy - SME tą patį principą perkelia į proporcingus reikalavimus:

„IT pagalbos teikėjas turi apibrėžti ir taikyti reguliarų žurnalų peržiūros grafiką:“

Iš skyriaus „Valdysenos reikalavimai“, politikos nuostata 5.1.1.

Ji taip pat apibrėžia saugojimą ir apsaugą:

„Žurnalai turi būti saugomi ne trumpiau kaip 12 mėnesių, nebent ilgesnio saugojimo termino reikalauja teisės aktai ar sutartis arba jis pagrįstas aktyviu incidentu ar teisiniu ginču.“

Iš skyriaus „Valdysenos reikalavimai“, politikos nuostata 5.2.1.

„Žurnalai turi būti saugomi nuo rašymo apsaugotose vietose, o prieiga turi būti apribota tik autorizuotam personalui.“

Iš skyriaus „Valdysenos reikalavimai“, politikos nuostata 5.3.1.

NIS2 ir DORA kontekste 12 mėnesių įrodymų bazinis laikotarpis gali lemti skirtumą tarp patikimo atkūrimo ir nesėkmingo tyrimo. GDPR kontekste jis palaiko atskaitomybę, kartu vis tiek reikalaudamas minimizavimo, prieigos kontrolės ir saugojimo drausmės.

Trūkstama grandis: įvykių vertinimas ir pranešimo slenksčiai

Daugelis organizacijų renka žurnalus ir siunčia įspėjimus apie anomalijas, tačiau nesuveikia sprendimo priėmimo taške.

Ar įspėjimas buvo tik saugumo įvykis, ar jis tapo informacijos saugumo incidentu? Ar jis reikšmingas pagal NIS2? Ar tai didelis su IRT susijęs incidentas pagal DORA? Ar buvo įtraukti asmens duomenys? Ar būtina GDPR pažeidimo pranešimo analizė?

Šis sprendimo taškas susiejamas su ISO/IEC 27002:2022 kontrole 5.25, Assessment and decision on information security events. Zenith Controls apibūdina 5.25 kaip triažo funkciją tarp neapdorotų stebėsenos įspėjimų ir formalaus incidentų valdymo. Ji susieja 5.25 su incidentų valdymo planavimu, stebėsenos veiklomis, reagavimu į informacijos saugumo incidentus ir žurnalų tvarkymu. Ji taip pat susieja 5.25 su GDPR Articles 33 ir 34 dėl pranešimo apie pažeidimą ir rizikos vertinimo, NIS2 pranešimu apie incidentus ir klasifikavimo kriterijais bei DORA didelių su IRT susijusių incidentų klasifikavimu.

Clarysec Incident Response Policy Incident Response Policy palaiko šį eskalavimo tašką:

„Jei incidentas lemia patvirtintą arba tikėtiną asmens duomenų ar kitų reglamentuojamų duomenų atskleidimą, Teisės funkcija ir DPO turi įvertinti, ar taikoma:“

Iš skyriaus „Politikos įgyvendinimo reikalavimai“, politikos nuostata 6.4.1.

MVĮ atveju Incident Response Policy-sme Incident Response Policy - SME nustato techninių įrodymų reikalavimą:

„Žurnalų tvarkymo sistemos turi būti sukonfigūruotos taip, kad fiksuotų pakankamai detalią informaciją tyrimui pagrįsti.“

Iš skyriaus „Politikos įgyvendinimo reikalavimai“, politikos nuostata 6.4.1.

Čia GDPR Article 33 tampa operaciniu reikalavimu. Klausimas nėra tik tai, ar prie asmens duomenų buvo prieita. Klausimas yra tai, ar žurnalai, stebėsenos įspėjimai ir incidentų įrašai leidžia DPO laiku atlikti pagrįstą pažeidimo vertinimą.

NIS2 Article 23 ir DORA Articles 17 to 23 sukuria panašų spaudimą. Pranešimo terminai priklauso nuo sužinojimo, klasifikavimo ir reikšmingumo vertinimo. Organizacija turi gebėti įrodyti, kada įspėjimas buvo sugeneruotas, kada jis buvo peržiūrėtas, kas jį įvertino, koks sprendimas buvo priimtas ir kada įvyko eskalavimas.

60 minučių įrodymų pratybos privilegijuoto prisijungimo tyrimui

Naudingas būdas patikrinti pasirengimą įrodymams – prieš auditą ar incidentą surepetuoti realų scenarijų.

Scenarijus: privilegijuoto administratoriaus paskyra prisijungia iš neįprastos šalies 02:13 UTC. Po penkių minučių paskyra bando pasiekti klientų duomenų eksporto funkciją. Sąlyginė prieiga blokuoja sesiją ir sugeneruojamas įspėjimas.

Tikslas: per 60 minučių parengti įrodymų paketą, įrodantį aptikimą, peržiūrą, eskalavimą, vertinimą ir uždarymą.

1 veiksmas: patvirtinkite, kad įvykis yra žurnaluose

Naudokite Logging and Monitoring Policy, kad nustatytumėte privalomus žurnalų šaltinius: tapatybės teikėjo žurnalus, debesijos administravimo žurnalus, taikomųjų programų žurnalus, duomenų bazių žurnalus, galinių įrenginių žurnalus ir ugniasienės arba saugios prieigos žurnalus.

Eksportuokite įvykio įrašą su laiko žyma, naudotojo ID, šaltinio IP, įrenginiu, veiksmu, rezultatu ir koreliacijos ID. Jei įvykis matomas tik vienoje konsolėje, bet nėra SIEM arba žurnalų rinkiklyje, užfiksuokite tai kaip kontrolės spragą.

Zenith Blueprint Step 19 rekomenduoja užtikrinti, kad kritinės sistemos perduotų žurnalus į SIEM arba centrinį žurnalų rinkiklį, ir patvirtinti, kad saugojimo terminai atitinka politiką.

2 veiksmas: įrodykite, kad stebėsena jį aptiko

Pateikite SIEM įspėjimą, EDR įspėjimą arba tapatybės apsaugos įspėjimą. Įtraukite taisyklės pavadinimą, sunkumą, laiko žymą, suveikimo sąlygą ir pranešimo maršrutą. Jei organizacija taiko rankinę peržiūrą, pateikite kasdienę ataskaitą ir peržiūrą atlikusio asmens patvirtinimą.

Enterprise Logging and Monitoring Policy tai apibrėžia kaip vaidmens atsakomybę:

„Peržiūri kasdienes ataskaitas ir užtikrina, kad anomalijos būtų analizuojamos, dokumentuojamos ir pagal poreikį eskaluojamos.“

Iš skyriaus „Vaidmenys ir atsakomybės“, politikos nuostata 4.2.3.

3 veiksmas: įrodykite, kad eskalavimas įvyko pagal politiką

MVĮ atveju eskalavimo reikalavimas yra aiškus:

„Aukšto prioriteto įspėjimai turi būti eskaluojami GM ir privatumo koordinatoriui per 24 valandas.“

Iš skyriaus „Įgyvendinimas ir atitiktis“, politikos nuostata 8.1.2.

Įmonių komandoms įrodymai gali apimti incidento užklausą, Teams ar Slack eskalavimo įrašą, iškvietimo žurnalą, el. pašto pranešimą, SOC perdavimo pastabą arba bylos valdymo įrašą.

4 veiksmas: klasifikuokite įvykį

Naudokite 5.25 įvykio vertinimo logiką iš Zenith Controls. Užfiksuokite, ar įspėjimas yra saugumo įvykis, informacijos saugumo incidentas, asmens duomenų saugumo pažeidimas, reikšmingas NIS2 incidentas ar didelis su IRT susijęs DORA incidentas.

Klasifikavimo pastaba turėtų atsakyti:

• Ar autentifikavimas buvo sėkmingas, ar užblokuotas?
• Ar buvo naudota privilegijuota prieiga?
• Ar prie klientų duomenų buvo prieita, ar jie buvo pakeisti arba eksfiltruoti?
• Ar buvo sutrikdytos reglamentuojamos paslaugos?
• Ar buvo paveikti kritiniai IRT turtai?
• Ar dalyvauja tiekėjai arba duomenų tvarkytojai?
• Ar įvykis atitinka vidinius ataskaitų teikimo slenksčius?
• Ar reikalingas DPO, Teisės funkcijos, reguliavimo institucijos arba kliento informavimas?

5 veiksmas: sudarykite patikimą laiko juostą

Laiko sinchronizavimas dažnai ignoruojamas tol, kol tyrimas nepavyksta. Zenith Blueprint Step 19 nurodo, kad sinchronizuotas laikas yra būtinas įvykių koreliacijai, nes skirtingų sistemų žurnalai turi sutapti incidento analizės metu.

Įtraukite NTP konfigūracijos įrodymus tapatybės platformoms, debesijos paslaugoms, serveriams, galiniams įrenginiams, duomenų bazėms, ugniasienėms ir SIEM. Kai įmanoma, normalizuokite laiko žymas į UTC.

6 veiksmas: uždarykite arba eskaluokite

Jei įvykis lokalizuotas ir prie duomenų nebuvo prieita, dokumentuokite uždarymą, įgytą patirtį ir prevencinį veiksmą. Jei jis tampa incidentu, susiekite jį su reagavimu į incidentus, teisine peržiūra ir bet kuria NIS2, DORA ar GDPR pranešimų teikimo darbo eiga.

Galiausiai apsaugokite įrodymus. Clarysec Audit and Compliance Monitoring Policy Audit and Compliance Monitoring Policy nurodo:

„Visi audito žurnalai, išvados ir taisomųjų veiksmų ataskaitos turi būti saugomi, šifruojami ir apsaugoti nuo klastojimo.“

Iš skyriaus „Įgyvendinimas ir atitiktis“, politikos nuostata 8.5.1.

Šios vienos pratybos suteikia įrodymų Annex A.8.15, A.8.16, A.8.17, ISO/IEC 27002:2022 kontrolei 5.25, GDPR pažeidimų atskaitomybei, NIS2 incidentų valdymui ir DORA IRT incidentų klasifikavimui.

ISO 27001, NIS2, DORA ir GDPR kryžminės atitikties įrodymų žemėlapis

Stipriausios atitikties programos nekuria atskirų įrodymų rinkinių kiekvienai sistemai. Jos kuria vieną įrodymų sistemą, kurią galima vertinti per skirtingas audito perspektyvas.

NIST Cybersecurity Framework 2.0 gali padėti tai taikyti operaciniu lygmeniu kaip komunikacijos sluoksnį. Jo šešios funkcijos – GOVERN, IDENTIFY, PROTECT, DETECT, RESPOND ir RECOVER – rodo, kad žurnalų tvarkymas ir stebėsena daugiausia priklauso DETECT ir RESPOND, tačiau remiasi valdysena, turto supratimu ir rizikos prioritetais.

NIST CSF 2.0 profiliai taip pat gali palaikyti 2026 m. veiksmų planą. Current Profile gali parodyti dabartinę žurnalavimo aprėptį ir įspėjimų brandą. Target Profile gali apibrėžti reikiamą aprėptį reglamentuojamoms sistemoms, privilegijuotai veiklai, tiekėjų platformoms ir asmens duomenų aplinkoms. Atotrūkis tarp jų tampa taisomųjų veiksmų planu.

Tiekėjų ir debesijos žurnalai: įrodymų spraga, kurią auditoriai vis dažniau tikrina

Šiuolaikiniuose audituose sudėtingiausi žurnalavimo klausimai dažnai susiję su išorės platformomis.

Ar galite pasiekti autentifikavimo žurnalus iš savo debesijos paslaugų teikėjo? Ar SaaS administratoriaus veiksmai žurnalinami? Ar valdomose paslaugose įjungti duomenų bazių audito žurnalai? Ar jūsų MSSP saugo įspėjimus pakankamai ilgai? Ar sutartyse reikalaujama bendradarbiauti incidentų metu? Ar tiekėjai gali pateikti žurnalus pakankamai greitai NIS2 ar DORA pranešimų terminams? Ar duomenų tvarkytojo žurnalai prieinami GDPR pažeidimo vertinimui?

Zenith Controls susieja Monitoring activities, kontrolę 8.16, su Monitoring of supplier services, kontrole 5.22. Ji taip pat susieja stebėseną su ISO/IEC 27005:2024 clause 10.5, kuri pabrėžia rizikos apdorojimo planų ir kontrolės priemonių stebėseną bei peržiūrą, ir ISO/IEC 27035-2:2023 clause 7.3, kur nuolatinės stebėsenos mechanizmai aptinka informacijos saugumo įvykius ir paleidžia incidentų valdymą.

DORA daro tiekėjų žurnalavimą ypač svarbų finansų subjektams, nes IRT trečiųjų šalių rizikos valdymas apima tiekėjų registrus, sutartinius susitarimus, subrangos riziką, koncentracijos riziką ir pasitraukimo strategijas. NIS2 Article 21 įtraukia tiekimo grandinės saugumą į kibernetinio saugumo rizikos valdymo priemones. GDPR kontekste tiekėjų žurnalai gali būti lemiami, kai duomenų tvarkytojo incidentas gali tapti duomenų valdytojui praneštinu asmens duomenų saugumo pažeidimu.

Praktinė tiekėjų žurnalavimo nuostata turi reikalauti:

• Saugai svarbių audito žurnalų autentifikavimui, privilegijų pakeitimams, administraciniams veiksmams, API prieigai, duomenų eksportui ir konfigūracijos pakeitimams.
• Žurnalų saugojimo, suderinto su politika, reglamentavimo pareigomis ir sutartine rizika.
• Laiko sinchronizavimo ir laiko juostų normalizavimo.
• Apsaugos nuo klastojimo ir apribotos prieigos prie žurnalų.
• Bendradarbiavimo incidentų metu per nustatytus terminus.
• Įrodymų pateikimo auditams, tyrimams ir reguliavimo institucijų paklausimams.
• Pranešimų paleidiklių dėl įtartinos prieigos, paslaugos kompromitavimo ar duomenų atskleidimo.
• Subtvarkytojų žurnalavimo ir eskalavimo įpareigojimų, kai tai aktualu.

Tiekėjų žurnalavimas turi būti sureguliuotas prieš incidentą, o ne derinamas jam įvykus.

Kaip skirtingi auditoriai tikrina tą pačią žurnalavimo kontrolę

Geras įrodymų paketas turi atlaikyti skirtingas profesines perspektyvas. ISO auditorius, NIS2 vertintojas, DORA priežiūros institucija, GDPR vertintojas ir COBIT 2019 ar ISACA krypties auditorius gali žiūrėti į tą patį SIEM valdymo skydą, tačiau užduos skirtingus klausimus.

Zenith Blueprint Step 19 parengia organizacijas šiems klausimams. Dėl Logging auditoriai vertina, ar pagrindiniai saugumo įvykiai žurnalinami ir ar žurnalai saugomi, apsaugoti ir naudingi. Dėl Monitoring activities jie klausia, kaip aptinkama, įvertinama ir eskaluojama neįprasta arba neautorizuota veikla. Dėl Clock synchronization jie gali palyginti laiko žymas skirtingose sistemose ir pažymėti nesuderinamumą.

Step 16: People Controls II, kontrolė 6.8, taip pat svarbi, nes incidentų pranešimo mechanizmai sujungia žmonių teikiamus pranešimus su techniniu aptikimu. GDPR Article 33, NIS2 Article 23 ir DORA incidentų pranešimo įpareigojimai priklauso nuo savalaikio vidinio eskalavimo.

Dažnos audito išvados ir praktiniai taisymai

Dauguma žurnalų tvarkymo ir stebėsenos išvadų yra nuspėjamos. Problema ta, kad organizacijos dažnai jas aptinka audito metu, o ne atlikdamos vidinį testavimą.

Ribotus išteklius turinčioms organizacijoms MVĮ politikos metodas yra realistiškas. Jis nereikalauja pilno SOC nuo pirmos dienos. Jis reikalauja apibrėžtų peržiūros grafikų, 12 mėnesių saugojimo, nebent reikia ilgesnio termino, nuo rašymo apsaugotos saugyklos, apribotos prieigos ir aukšto prioriteto įspėjimų eskalavimo. Tai sukuria pagrįstą bazę, kol organizacija bręsta link centralizuoto SIEM, automatizuotos koreliacijos ir valdomo aptikimo.

Rodikliai, kurie daro žurnalų tvarkymą patikimą vadovybei

Valdyboms ir vykdomiesiems vadovams nereikia neapdorotų SIEM įvykių. Jiems reikia rizikai reikšmingo patikinimo. Kadangi NIS2 Article 20 ir DORA valdysenos reikalavimai atsakomybę nustato valdymo organams, žurnalų tvarkymo ir stebėsenos rodikliai turi būti įtraukti į saugumo valdysenos ataskaitas.

Naudingi rodikliai:

• Kritinių turtų, perduodančių žurnalus į SIEM arba žurnalų rinkiklį, procentinė dalis.
• Privilegijuotos prieigos įvykių, kuriems taikomi įspėjimai, procentinė dalis.
• Aukšto prioriteto įspėjimų, peržiūrėtų per SLA, skaičius.
• Vidutinis laikas nuo įspėjimo sugeneravimo iki analitiko peržiūros.
• Vidutinis laikas nuo aptikimo iki eskalavimo.
• Įvykių, klasifikuotų pagal reagavimo į incidentus procesą, skaičius.
• Įvykių, kuriems reikėjo DPO arba Teisės funkcijos peržiūros, skaičius.
• Žurnalų saugojimo atitiktis pagal sistemų kategoriją.
• Tiekėjų platformų su sutartine prieiga prie žurnalų skaičius.
• Sistemų, neišlaikančių laiko sinchronizavimo patikrų, skaičius.
• Atviri žurnalų tvarkymo ir stebėsenos taisomieji veiksmai pagal rizikos lygį.

Šie rodikliai palaiko ISO/IEC 27001:2022 clause 6.2 dėl išmatuojamų informacijos saugumo tikslų. Jie taip pat stiprina NIS2 ir DORA vadovybės priežiūrą bei GDPR atskaitomybę.

Kaip sukurti 2026 m. žurnalų tvarkymo ir stebėsenos įrodymų paketą

Stiprus 2026 m. įrodymų paketas turi būti parengtas prieš auditą ar incidentą. Clarysec paprastai rekomenduoja struktūrizuotą aplanką arba GRC įrodymų objektą su šiomis dalimis:

1. Valdysena ir taikymo sritis: ISVS taikymo sritis, suinteresuotosios šalys, reglamentavimo taikytinumas, vadovybės patvirtinimas ir vaidmenų priskyrimai.
2. Politika: Logging and Monitoring Policy, Incident Response Policy, Audit and Compliance Monitoring Policy, saugojimo reikalavimai ir eskalavimo reikalavimai.
3. Rizika ir SoA: rizikos vertinimas, apdorojimo planas, Taikytinumo pareiškimo pagrindimas A.8.15, A.8.16, A.8.17 ir susijusioms kontrolėms.
4. Architektūra: SIEM arba žurnalų rinkiklio schema, žurnalų šaltinių apskaita, debesijos žurnalavimo nustatymai ir tiekėjų žurnalų priklausomybės.
5. Kontrolės veikimas: peržiūros įrašai, įspėjimai, užklausos, eskalavimo žurnalai, uždarymo įrodymai ir išimtys.
6. Sąsaja su incidentais: įvykių klasifikavimo darbalapis, incidentų registras, DPO vertinimo įrašas ir pranešimo sprendimų žurnalas.
7. Vientisumas ir saugojimas: prieigos kontrolės priemonės, šifravimas, rašymo apsauga, archyvo nustatymai, ištrynimo kontrolės priemonės ir saugojimo įrodymas.
8. Laiko sinchronizavimas: NTP konfigūracija, saugus bazinis nustatymas, laikrodžio nuokrypio stebėsena ir UTC normalizavimo metodas.
9. Tiekėjų įrodymai: sutartinės nuostatos, tiekėjų patikinimo ataskaitos, debesijos audito žurnalų prieinamumas ir bendradarbiavimo incidentų metu procedūros.
10. Tobulinimas: vidaus audito išvados, taisomųjų veiksmų stebėjimo priemonė, stalo pratybų rezultatai, įspėjimų derinimo įrašai ir vadovybės ataskaitos.

Tikslas nėra užversti auditorius apimtimi. Tikslas – įrodyti, kad žurnalų tvarkymas ir stebėsena veikia kaip kontroliuojamas procesas nuo valdysenos iki aptikimo, vertinimo, eskalavimo, ataskaitų teikimo ir tobulinimo.

Paverskite žurnalus pagrįstais atitikties įrodymais

Maria komanda problemos neišsprendė nusipirkdama dar vieną valdymo skydą. Ji išsprendė problemą paversdama žurnalų tvarkymą ir stebėseną įrodymų varikliu. Politikos apibrėžė reikalavimus. SIEM taisyklės ir debesijos žurnalai pateikė signalus. Incidentų darbo eigos užfiksavo sprendimus. Laiko sinchronizavimas padarė laiko juostą patikimą. Ataskaitos vadovybei padarė riziką matomą.

Būtent tokio standarto organizacijoms reikia ISO/IEC 27001:2022, NIS2, DORA ir GDPR kontekste 2026 m.

Pradėkite nuo vieno praktinio testo: paimkite realų įspėjimą iš pastarųjų 30 dienų ir nuo pradžios iki pabaigos įrodykite, kaip jis buvo užžurnalintas, aptiktas, peržiūrėtas, eskaluotas, klasifikuotas, išsaugotas ir apie jį pranešta.

Jei atsakymas nėra užtikrintas, Clarysec gali padėti uždaryti spragą.

Naudokite Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint, kad įgyvendintumėte Step 19 žurnalų tvarkymui, stebėsenai ir laiko sinchronizavimui, ir Step 16 incidentų pranešimo mechanizmams. Naudokite Zenith Controls: The Cross-Compliance Guide Zenith Controls, kad susietumėte Annex A.8.15, A.8.16, A.8.17 ir ISO/IEC 27002:2022 kontrolę 5.25 per NIS2, DORA, GDPR, NIST CSF 2.0 ir COBIT 2019 perspektyvas.

Tada įgyvendinkite reikalavimus per Clarysec Logging and Monitoring Policy Logging and Monitoring Policy, Logging and Monitoring Policy-sme Logging and Monitoring Policy - SME, Incident Response Policy Incident Response Policy, Incident Response Policy-sme Incident Response Policy - SME ir Audit and Compliance Monitoring Policy Audit and Compliance Monitoring Policy.

Žurnalai nėra įrodymai, kol jie nėra valdomi, apsaugoti, peržiūrimi ir susieti su sprendimais. Organizacijos, galinčios įrodyti šią grandinę, greičiau įveiks auditus, geriau reaguos į incidentus ir suteiks vadovybei pasitikėjimo, kai pasirodys kitas 2:17 val. įspėjimas.