Dalijimasis kibernetinių grėsmių žvalgybos informacija pagal ISO 27001 2026 m.

Antradienio rytą 07:40 Maria, sparčiai augančios Europos mokėjimų platformos vyriausioji informacijos saugumo vadovė (CISO), gauna didelio patikimumo biuletenį iš finansinių paslaugų ISAC. Prisijungimo duomenų vagystės kampanija nukreipta į mokėjimo paslaugų teikėjus, naudojančius konkrečią tapatybės teikėjo integraciją. Saugumo pranešime pateikiami valdymo ir kontrolės domenai, įtartini OAuth programų pavadinimai, User-Agent eilutės, stebėtos taktikos ir rekomendacija periodiškai pakeisti paveiktų klientų aplinkų paslaptis.
Per kelias minutes verslas pradeda kelti klausimus, kurie 2026 m. apibrėžia dalijimąsi kibernetinių grėsmių žvalgybos informacija.
SOC nori nedelsdamas įkelti indikatorius į SIEM. Teisininkai klausia, ar įmonė gali grąžinti savo telemetrijos duomenis ISAC. DPO klausia, ar IP adresai, naudotojų vardai, užklausų ištraukos, autentifikavimo žurnalai arba galinių įrenginių duomenys apima asmens duomenis. COO nori žinoti, ar reikia įspėti klientus. CEO, ką tik baigęs NIS2 vadovybės mokymus, persiunčia įspėjimą su dviem žodžiais: „Mūsų planas?“
Tuomet atitikties vadovas užduoda svarbiausią klausimą: „Jeigu priežiūros institucija kitą mėnesį paprašys, ar galėsime įrodyti, kad mūsų dalijimasis kibernetinių grėsmių žvalgybos informacija buvo teisėtas, patvirtintas, naudingas ir kontroliuojamas?“
Tokia yra naujoji realybė. DORA perėjo nuo įgyvendinimo termino prie priežiūros institucijų tikrinimo. NIS2 perėjo nuo pasirengimo projektų prie operacinio bendradarbiavimo. GDPR vis dar taikomas, net kai duomenys yra saugumo telemetrija. Dalijimasis grėsmių žvalgybos informacija nebėra neformalus keitimasis Slack žinutėmis tarp saugumo komandų. Tai valdoma veikla, apimanti konfidencialumą, asmens duomenų kiekio mažinimą, atskleidimo patvirtinimus, įrašus, priežiūros institucijų lūkesčius ir audito įrodymus.
CISO, atitikties vadovams, auditoriams ir verslo savininkams klausimas nėra, ar dalyvauti kibernetinių grėsmių žvalgybos informacijos dalijimosi susitarimuose. Tikrasis klausimas – kaip dalytis pakankamai greitai, kad tai padėtų gynėjams, kartu užkertant kelią neteisėtam atskleidimui, klientų konfidencialumo pažeidimams, konkurencinės informacijos nutekėjimui, nekontroliuojamam pažeidžiamumų paskelbimui ir silpniems įrodymams.
ISO/IEC 27001:2022 yra valdysenos pagrindas, leidžiantis tai padaryti. Ne kaip sertifikatas ant sienos, o kaip valdymo sistema, kuri dalijimąsi kibernetinių grėsmių žvalgybos informacija paverčia kartojamu, pagrindžiamu ir GDPR reikalavimus atitinkančiu veiklos modeliu.
Kodėl dalijimasis kibernetinių grėsmių žvalgybos informacija pasikeitė 2026 m.
Pirmoji DORA ir NIS2 pasirengimo banga buvo sutelkta į taikymo sritį, pranešimų apie incidentus terminus, IRT trečiųjų šalių riziką, valdybos atskaitomybę ir spragų vertinimus. Šis darbas buvo būtinas, tačiau reguliuotojai ir klientai dabar užduoda labiau operacinius klausimus:
- Kuriuose ISAC, CERT, CSIRT, tiekėjų forumuose ar patikimose bendruomenėse dalyvaujate?
- Kas yra įgaliotas atstovauti organizacijai išorėje?
- Kaip nusprendžiate, kuo galima dalytis?
- Kaip užkertate kelią asmens duomenų, klientų paslapčių, pažeidžiamumų detalių ir jautrios architektūros atskleidimui?
- Kaip grėsmių žvalgybos įvestys atnaujina stebėsenos taisykles, pataisų prioritetus, rizikų registrus, reagavimo scenarijus, tiekėjų peržiūras ir atsparumo testus?
- Kur yra įrodymai?
DORA finansų subjektams yra ypač tiesioginė. Ji skaitmeninį operacinį atsparumą traktuoja kaip valdybos valdomą IRT rizikos valdymo sistemą, o ne kaip IT kontrolinį sąrašą. DORA taikoma nuo 2025 m. sausio 17 d., todėl 2026 m. daugelis finansų subjektų vertinami pagal tai, ar jų procesai veikia praktikoje.
DORA Article 45 leidžia finansų subjektams dalytis informacija apie kibernetines grėsmes ir žvalgybos duomenimis, kai tikslas yra didinti skaitmeninį operacinį atsparumą. Dalijimasis turėtų vykti patikimose bendruomenėse ir pagal susitarimus, kurie apsaugo jautrią verslo informaciją, asmens duomenis, konfidencialumą, intelektinę nuosavybę ir konkurencijos teisės ribas. Paprastai tariant, DORA nereiškia „dalytis viskuo“. Ji reiškia „dalytis saugiai, apgalvotai ir kontroliuojamomis sąlygomis“.
NIS2 sukuria panašų spaudimą už finansų sektoriaus ribų. Ji taikoma daugeliui esminių ir svarbių subjektų didelio kritiškumo ir kituose kritiniuose sektoriuose, įskaitant skaitmeninę infrastruktūrą, valdomų paslaugų teikėjus, valdomų saugumo paslaugų teikėjus, debesijos paslaugų teikėjus, duomenų centrų paslaugų teikėjus, internetines prekyvietes, paieškos sistemas, socialinių tinklų platformas, bankininkystę ir finansų rinkų infrastruktūras. NIS2 Article 20 nustato valdymo organų atsakomybę tvirtinti kibernetinio saugumo rizikos valdymo priemones, prižiūrėti įgyvendinimą ir dalyvauti mokymuose. Article 21 reikalauja tinkamų ir proporcingų techninių, operacinių ir organizacinių priemonių, įskaitant rizikos analizę, incidentų valdymą, veiklos tęstinumą, tiekimo grandinės saugumą, pažeidžiamumų valdymą, veiksmingumo vertinimą, kibernetinę higieną, mokymus, kriptografiją, žmogiškųjų išteklių saugumą, prieigos kontrolę, turto valdymą, MFA ir saugią komunikaciją. Article 23 reikalauja etapinio reikšmingų incidentų pranešimo, įskaitant 24 valandų ankstyvąjį įspėjimą, 72 valandų pranešimą apie incidentą ir galutinę ataskaitą ne vėliau kaip per vieną mėnesį nuo pranešimo apie incidentą.
GDPR prideda privatumo apribojimą. Asmens duomenys apima bet kokią informaciją, susijusią su identifikuotu arba identifikuojamu fiziniu asmeniu. Saugumo žurnalai, IP adresai, naudotojų vardai, el. pašto adresai, galinių įrenginių pavadinimai, autentifikavimo įvykiai, pagalbos užklausos, kenkimo programinės įrangos pavyzdžiai, ekrano kopijos ir sukčiavimo apsimetant tyrimų pastabos gali būti asmens duomenys. GDPR reikalauja teisėto, sąžiningo, skaidraus, tikslu apriboto, duomenų kiekį mažinančio, tikslaus, saugojimo trukme apriboto ir saugaus tvarkymo. Jis taip pat reikalauja atskaitomybės, t. y. organizacija turi įrodyti atitiktį.
Rezultatas – valdysenos problema. Dalijimasis grėsmių žvalgybos informacija turi būti pakankamai greitas, kad pagerintų gynybą, pakankamai kontroliuojamas, kad atitiktų priežiūros institucijų lūkesčius, ir pakankamai disciplinuotas, kad būtų išvengta privatumo ir konfidencialumo pažeidimų.
ISO 27001 kaip dalijimosi grėsmių žvalgybos informacija atitikties centras
ISO/IEC 27001:2022 šiam iššūkiui ypač tinka, nes prasideda nuo konteksto, suinteresuotųjų šalių, taikymo srities, rizikos, lyderystės, operacinės kontrolės, stebėsenos, vidaus audito, vadovybės peržiūros ir nuolatinio tobulinimo.
4.1–4.4 punktai reikalauja, kad organizacijos suprastų vidaus ir išorės klausimus, identifikuotų suinteresuotąsias šalis ir jų reikalavimus, apibrėžtų ISVS taikymo sritį ir palaikytų valdymo sistemą. DORA arba NIS2 organizacijoje suinteresuotosios šalys gali būti kompetentingos institucijos, CSIRT, klientai, IRT paslaugų teikėjai, ISAC, sektoriaus grupės, duomenų tvarkytojai, duomenų valdytojai, draudikai, vidaus auditas ir valdyba.
5.1–5.3 punktai reikalauja vadovybės įsipareigojimo, politikos krypties, atskaitomybės, išteklių ir priskirtų atsakomybių. Tai svarbu, nes dalijimasis grėsmių žvalgybos informacija žlunga, kai paliekamas neformaliai techninei diskrecijai. Jei SOC analitikas, teisininkas, DPO, CISO, viešųjų ryšių vadovas ir verslo savininkas taiko skirtingas prielaidas, organizacija arba pasidalys per daug, arba sustos, arba sureaguos per vėlai.
6.1.1–6.1.3 punktai reguliavimo klausimą paverčia rizikos vertinimu, rizikos tvarkymu, kontrolės priemonių parinkimu, Taikomumo pareiškimo sprendimais, rizikos tvarkymo planais ir liekamosios rizikos priėmimu. Tipinės dalijimosi grėsmių žvalgybos informacija rizikos apima:
- Asmens duomenų pasidalijimą be teisinio pagrindo arba duomenų kiekio mažinimo.
- Kliento konfidencialios informacijos atskleidimą forumui.
- Pažeidžiamumų detalių paskelbimą prieš tai, kai prieinamos švelninimo priemonės.
- Indikatorių gavimą, bet jų nepavertimą operaciniais veiksmais.
- ISAC dalyvavimo neatspindėjimą reagavime į incidentus, žurnalavime, pažeidžiamumų valdyme arba tiekėjų rizikoje.
- Įrodymų, kas ir kodėl patvirtino atskleidimą, trūkumą.
- Konkurencijos teisės riziką dalijantis komerciškai jautria rinkos informacija.
- Nenuoseklią komunikaciją su reguliuotojais ir klientais reikšmingo incidento metu.
8.1 punktas reikalauja įgyvendinti ir kontroliuoti suplanuotus procesus, turint pakankamą dokumentuotą informaciją, kuri parodytų, kad procesai veikė taip, kaip suplanuota. 9 ir 10 punktai reikalauja stebėsenos, matavimo, vidaus audito, vadovybės peržiūros, neatitikčių tvarkymo, korekcinių veiksmų ir nuolatinio tobulinimo. Trumpai tariant, ISO/IEC 27001:2022 dalijimąsi kibernetinių grėsmių žvalgybos informacija paverčia audituojamu veiklos modeliu.
Dvi ISO kontrolės priemonės, dėl kurių dalijimasis veikia
Clarysec Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint šią temą traktuoja kaip Controls in Action etapo dalį, 22 žingsnį: Organizacinės kontrolės priemonės. Dvi ISO/IEC 27002:2022 kontrolės priemonės yra pagrindinės: 5.6 Kontaktai su specialiųjų interesų grupėmis ir 5.7 Grėsmių žvalgyba.
Zenith Blueprint aiškiai nurodo, kad dalyvavimas ISAC nėra simbolinis tinklaveikos veiksmas:
Dalyvavimas tokiose grupėse nėra simbolinis gestas. Tai strateginė investicija į žvalgybą, bendradarbiavimą ir bendrą atsparumą.
Pagal kontrolės priemonę 5.6 specialiųjų interesų grupės gali apimti nacionalinius arba sektoriaus kibernetinių grėsmių žvalgybos tinklus, ISAC, reguliavimo forumus, tiekėjų saugumo pranešimų grupes, atvirojo kodo bendruomenes ir akademines darbo grupes. Tačiau išorinis dalijimasis turi būti sąmoningas, teisėtas ir suderintas. Zenith Blueprint prideda brandos lūkestį:
Brandžios ISVS įgyvendinimo praktikos SIG dalyvavimą traktuoja kaip valdysena pagrįstą veiklą, o ne kaip neformalų privalumą.
Tai reiškia, kad reikia tvarkyti grupių ir forumų, prie kurių prisijungta, registrą, paskirti oficialius dalyvius, fiksuoti protokolus arba santraukas ir integruoti įžvalgas į vidaus peržiūras arba kontrolės priemonių atnaujinimus.
Kontrolės priemonė 5.7 išorinę informaciją paverčia veiksmais. Zenith Blueprint teigia:
Organizacija negali apsiginti nuo to, ko nesupranta.
Jame taip pat įspėjama nepainioti pataisų kanalų su grėsmių žvalgyba. Tikroji žvalgyba apima grėsmės veikėjų profiliavimą, taktikas, technikas ir procedūras, kompromitavimo indikatorius, sektoriaus įspėjimus, pažeidžiamumų kontekstą ir strateginį poveikį verslui. Naudinga žvalgyba sujungia vidaus stebėseną, išorės partnerystes, CERT arba ISAC ryšius, komercinius kanalus ir atvirojo kodo šaltinius, tačiau tik tada, kai kas nors ją peržiūri, prioritetizuoja ir paverčia veiksmais.
Clarysec Zenith Controls: The Cross-Compliance Guide Zenith Controls sustiprina vertę keliems atitikties režimams. Jis susieja kontrolės priemonę 5.6 kaip prevencinę ir korekcinę, palaikančią konfidencialumą, vientisumą ir prieinamumą, o valdyseną nurodo kaip pagrindinį operacinį gebėjimą. Jis susieja 5.6 su 5.7 Grėsmių žvalgyba, 5.5 Kontaktai su institucijomis, 5.31 Teisiniai, statutiniai, reguliavimo ir sutartiniai reikalavimai ir 8.8 Techninių pažeidžiamumų valdymas. 5.7 pateikiama kaip prevencinė, nustatomoji ir korekcinė kontrolės priemonė, susieta su Identify, Detect ir Respond, turinti operacinį gebėjimą grėsmių ir pažeidžiamumų valdyme.
Žinutė paprasta: brandi dalijimosi kibernetinių grėsmių žvalgybos informacija programa turi dvi dalis. Pirma – kontroliuojami santykiai. Antra – kontroliuojamas gautos ir dalijamos informacijos naudojimas.
Praktinis valdysena pagrįsto dalijimosi veiklos modelis
Pagrindžiamas 2026 m. veiklos modelis turėtų atsakyti į šešis klausimus prieš pasidalijant pirmuoju indikatoriumi.
| Valdysenos klausimas | Praktinis atsakymas | Įrodymai, kurių tikisi auditoriai |
|---|---|---|
| Kas gali dalyvauti? | Įvardyti vaidmenys, patvirtinti forumai, pakaitiniai kontaktai, įgaliojimų ribos | SIG ir ISAC registras, paskyrimo įrašai, vaidmenų aprašai |
| Kas gali būti gaunama? | Grėsmių ataskaitos, IOC, TTP, pažeidžiamumų pranešimai, sektoriaus įspėjimai | Gavimo žurnalas, šaltinio klasifikacija, tvarkymo taisyklės |
| Kuo galima dalytis? | Išvalyti indikatoriai, neatributuojami dėsningumai, patvirtinti pranešimai, reguliuotojui tinkami faktai | Atskleidimo patvirtinimo įrašas, duomenų kiekio mažinimo peržiūra, teisinis arba DPO patvirtinimas |
| Kaip naudojama žvalgyba? | SIEM taisyklės, EDR blokavimai, pažeidžiamumų prioritetizavimas, rizikų registro atnaujinimai, reagavimo scenarijų pakeitimai | Pakeitimų užklausos, aptikimo taisyklės, rizikos atnaujinimai, posėdžių protokolai |
| Kaip saugomas privatumas? | Duomenų kiekio mažinimas, pseudoniminimas, redagavimas, teisinio pagrindo patikra, saugojimo ribos | DPIA arba privatumo peržiūra, dalijimosi šablonas, saugojimo žurnalas |
| Kaip peržiūrimas veiksmingumas? | Rodikliai, stalo pratybos, audito išvados, vadovybės peržiūra | KPI, įgyta patirtis po incidentų, vidaus audito ataskaita, korekciniai veiksmai |
Clarysec tai paprastai įgyvendina kaip lengvą, bet formalizuotą darbo eigą:
- Gauti ir suklasifikuoti žvalgybos informaciją.
- Patvirtinti aktualumą turtui, tiekėjams, paslaugoms, geografijoms ir klientams.
- Paversti žvalgybą veiksmais, pvz., stebėsenos taisyklėmis, pažeidžiamumų užklausomis, naudotojų įspėjimais, tiekėjų užklausomis arba rizikos atnaujinimais.
- Nuspręsti, ar išorinis dalijimasis yra būtinas, teisėtas, saugus ir leidžiamas pagal narystės taisykles.
- Taikyti redagavimą, agregavimą, pseudoniminimą arba anoniminimą.
- Gauti reikiamus patvirtinimus.
- Dalytis per patvirtintą kanalą.
- Užfiksuoti, kuo, su kuo, kodėl, kada ir kieno įgaliojimu buvo pasidalyta.
- Peržiūrėti rezultatus ir atnaujinti kontrolės priemones.
Tai apsaugo nuo dviejų klasikinių nesėkmių: saugumo komanda gauna naudingą žvalgybą, bet niekas nepasikeičia, arba saugumo komanda pasidalija naudinga žvalgyba, bet sukuria teisinę, sutartinę ar privatumo rizikos ekspoziciją.
DORA Article 45: kontroliuojamas dalijimasis neprarandant konfidencialumo
Finansų subjektams DORA Article 45 turėtų būti paverstas vidiniu dalijimosi kibernetinių grėsmių žvalgybos informacija standartu. Praktinė interpretacija apima penkias sąlygas.
Pirma, tikslas turi būti atsparumas. Dalijimasis turi padėti užkirsti kelią kibernetinėms grėsmėms, jas aptikti, į jas reaguoti arba po jų atsigauti. Jis neturi nukrypti į kainodarą, klientų sąrašus, rinkos strategiją ar komerciškai jautrią informaciją.
Antra, bendruomenė turi būti patikima. Tai reiškia aiškias narystės taisykles, konfidencialumo įsipareigojimus, šifruotus kanalus, prieigos kontrolę ir tolesnio atskleidimo ribas. ISO/IEC 27010:2015 palaiko saugų informacijos keitimąsi pasitikėjimo bendruomenėse, įskaitant konfidencialumo taisykles, abipusiškumą ir patikimus komunikacijos kanalus. ISO/IEC 27032:2023 palaiko kibernetinio saugumo informacijos dalijimąsi ir situacinį informuotumą. ISO/IEC 27035-2:2023 susieja informacijos dalijimąsi su reagavimo į incidentus planavimu, įskaitant dalyvavimą CERT ir pramonės grupėse.
Trečia, jautri informacija turi būti apsaugota. Tai apima verslo paslaptis, architektūros schemas, pažeidžiamumų detales, prisijungimo duomenis, klientų identifikatorius ir asmens duomenis. Clarysec MVĮ Data Classification and Labeling Policy Data Classification and Labeling Policy - SME nurodo:
Išorinis dalijimasis turi būti aiškiai autorizuotas ir užregistruotas žurnale.
Šis sakinys yra kontrolės principas, kuriuo grindžiama DORA Article 45 darbo eiga. Organizacija turi žinoti, kokia klasifikacija taikoma, kas patvirtino išleidimą ir kur saugomas įrašas.
Ketvirta, asmens duomenys turi būti minimizuojami. Įmonės Data Protection and Privacy Policy Data Protection and Privacy Policy nurodo:
Gali būti renkami ir tvarkomi tik tie duomenys, kurie būtini konkrečiam teisėtam verslo tikslui.
MVĮ atitikmuo Data Protection and Privacy Policy-sme Data Protection and Privacy Policy - SME nurodo:
Turi būti renkami ir saugomi tik minimalūs būtini asmens duomenys.
Tai svarbu, nes grėsmių žvalgyba dažnai skatina komandas kopijuoti neapdorotus žurnalus į išorinius kanalus. Vietoje to jos turėtų dalytis tik tuo, ko gavėjui reikia, pavyzdžiui, kenksmingu domenu, maišos reikšme, laiko žymų intervalu, bendru dėsningumu arba pseudoniminta bylos nuoroda.
Penkta, organizacija turi saugoti įrodymus. DORA pagrįsta dokumentuotu IRT rizikos valdymu, incidentų klasifikavimu, ataskaitų teikimu, testavimu, trečiųjų šalių valdysena ir vadovybės atskaitomybe. Jei dalijimasis turi įtakos reagavimui į incidentus, atsparumo testavimo scenarijui arba tiekėjų rizikos sprendimui, tai turi būti matoma ISVS įrašuose.
NIS2 bendradarbiavimas: nuo teisinės taikymo srities iki operacinių santykių
NIS2 išplečia diskusiją už finansų subjektų ribų. Ji taikoma pagal sektorių, dydį ir kritiškumą, taip pat gali būti taikoma nepriklausomai nuo dydžio tam tikriems subjektams, pavyzdžiui, patikimumo užtikrinimo paslaugų teikėjams, DNS paslaugų teikėjams, TLD registrams, kritiniams subjektams ir domenų vardų registravimo paslaugoms.
Dalijimosi grėsmių žvalgybos informacija atveju pagrindinė pamoka yra valdysena. Article 20 nustato valdymo organų atsakomybę tvirtinti ir prižiūrėti kibernetinio saugumo rizikos valdymo priemones. Article 21 reikalauja tinkamų ir proporcingų techninių, operacinių ir organizacinių priemonių. Article 23 reikalauja etapinio reikšmingų incidentų pranešimo.
Dalijimasis grėsmių žvalgybos informacija susikerta su visais šiais aspektais. Jei ISAC pranešimas rodo, kad išnaudojama tiekėjo valdoma paslauga, Article 21 tiekimo grandinės lūkesčiai tampa aktualūs. Jei žvalgyba rodo vykstantį reikšmingą incidentą, gali būti aktyvuojamos Article 23 ataskaitų teikimo ir komunikacijos su klientais darbo eigos. Jei reikšminga kibernetinė grėsmė gali paveikti paslaugų gavėjus, organizacijai reikia kontroliuojamo įspėjimo proceso.
Zenith Blueprint tai aptaria ISMS Foundation and Leadership etape, 5 žingsnyje „Communication, Awareness, and Competence“. Jis rekomenduoja išorinės komunikacijos planavimą, kuriame identifikuojami klientai, reguliuotojai, partneriai ir visuomenė, o tada apibrėžiama, kas komunikuojama, kada, kieno ir su kokiu patvirtinimu. Jame pateikiamas praktinis incidento komunikacijos procedūros pavyzdys, kai CISO parengia pranešimą, teisininkai jį peržiūri, o CEO patvirtina prieš išsiuntimą.
MVĮ Incident Response Policy Incident Response Policy - SME nurodo:
Generalinis vadovas (GM) yra atsakingas už visų incidentų eskalavimo sprendimų, pranešimų reguliuotojams ir išorinės komunikacijos autorizavimą.
Didesnėms organizacijoms įmonės Incident Response Policy Incident Response Policy nustato įrodymų bazinį lygį:
Visi incidentai turi būti registruojami Saugumo incidentų valdymo sistemoje (SIMS), įskaitant:
Kai grėsmių žvalgyba tampa incidentu, kliento įspėjimu, pranešimu reguliuotojui arba išoriniu pranešimu, ji negali likti tik el. pašto dėžutėse ir pokalbių gijose. Ji turi būti incidentų valdymo sistemoje su klasifikacija, veiksmais, patvirtinimais, įrodymais ir įgyta patirtimi.
GDPR saugus atskleidimas: dalijimasis žvalgyba, o ne nereikalingais asmens duomenimis
GDPR leidžia vykdyti saugumo operacijas, tačiau nesukuria laisvos zonos nekontroliuojamam telemetrijos dalijimuisi. Daugelis grėsmių žvalgybos artefaktų gali apimti asmens duomenis:
- IP adresai, susieti su naudotojo veikla.
- El. pašto adresai, naudoti sukčiavimo apsimetant bandymuose.
- Naudotojų vardai, įrenginių pavadinimai, galinių įrenginių ID arba klientų aplinkų ID.
- Autentifikavimo žurnalai.
- Pagalbos užklausos.
- Ekrano kopijos.
- Sukčiavimo apsimetant tyrimų pastabos.
- Kenkimo programinės įrangos pavyzdžiai, kuriuose yra dokumentų arba asmeninių failų.
- Pažeidžiamumų ataskaitos, apimančios klientų duomenų atskleidimą.
Clarysec modelyje kiekvienas išorinio dalijimosi sprendimas pereina privatumo ir konfidencialumo filtrą.
| Filtras | Sprendimo klausimas | Tipinis kontrolės veiksmas |
|---|---|---|
| Tikslas | Ar dalijimasis būtinas kibernetinei gynybai, teisiniam ataskaitų teikimui arba koordinuotam švelninimui? | Užfiksuoti tikslą dalijimosi žurnale |
| Teisinis pagrindas | Ar yra dokumentuotas teisinis pagrindas arba teisinė prievolė? | Pridėti teisinę arba DPO peržiūrą dėl asmens duomenų |
| Duomenų kiekio mažinimas | Ar tą patį rezultatą galima pasiekti su mažiau laukų? | Pašalinti naudotojų vardus, el. pašto adresus, užklausų pastabas, klientų pavadinimus |
| Pseudoniminimas | Ar identifikatorius galima pakeisti bylų ID arba prieigos raktais? | Susiejimą saugoti viduje su ribota prieiga |
| Konfidencialumas | Ar turinys atskleidžia architektūrą, pažeidžiamumų detales arba klientų paslaptis? | Klasifikuoti kaip konfidencialų arba ypač konfidencialų ir apriboti dalijimąsi |
| Saugojimas | Kiek laiko turi būti saugomas pasidalytas įrašas ir patvirtinimo įrodymai? | Taikyti saugojimo taisyklę ir ištrynimo peržiūrą |
Zenith Controls ISO/IEC 27002:2022 kontrolės priemonę 5.34 Privatumas ir PII apsauga susieja kaip prevencinę ir susijusią su klasifikavimu, turto apskaita, duomenų maskavimu, debesijos saugumu, informacijos perdavimu, prieigos kontrole, tapatybių valdymu ir projekto arba pakeitimo peržiūra. Ji taip pat susiejama su GDPR Articles 25 ir 32 per privatumą pagal projektavimą, tvarkymo saugumą, šifravimą, pseudoniminimą, prieigos kontrolę ir dokumentuotą valdyseną. Palaikantieji standartai apima ISO/IEC 27701:2021 privatumo informacijos valdymui, ISO/IEC 27018:2019 PII apsaugai viešosios debesijos tvarkytojų aplinkose ir ISO/IEC 29100:2011 privatumo principams.
Dalijimosi grėsmių žvalgybos informacija atveju DPO ir saugumo komanda neturėtų pirmą kartą susitikti krizės metu. Jie turėtų iš anksto patvirtinti dėsningumus, šablonus, redagavimo taisykles ir eskalavimo slenksčius.
Praktinis pavyzdys: ISAC įspėjimas tampa įrodymais grindžiamu atsparumu
Grįžkime prie Marios mokėjimų platformos. ISAC pranešime pateikiami kenksmingi domenai, įtartini OAuth programų pavadinimai, User-Agent eilutės ir pastaba, kad keli nariai stebėjo paskyrų perėmimo bandymus prieš finansų operacijų naudotojus. Įmonė savo žurnaluose taip pat randa tris įtartinus prisijungimo bandymus.
Taip Clarysec operacinėje veikloje įgyvendintų reagavimą naudodama ISO/IEC 27001:2022, Zenith Blueprint, Zenith Controls ir politikų rinkinį.
| Žingsnis | Veiksmas | Savininkas | Įrodymai arba kontrolės sąsaja |
|---|---|---|---|
| 1. Užregistruoti gavimą | Užfiksuoti šaltinį, datą, patikimumą, turtą, paveiktą technologiją ir tvarkymo apribojimus | SOC analitikas | Grėsmių žvalgybos gavimo žurnalas, ISO/IEC 27002:2022 kontrolės priemonė 5.7 |
| 2. Klasifikuoti | Pažymėti pranešimą kaip Konfidencialus arba Ypač konfidencialus, jei jame yra jautrių narių duomenų | Saugumo vadovas | Duomenų klasifikavimo įrašas, išorinio dalijimosi autorizavimo taisyklė |
| 3. Patvirtinti aktualumą | Patikrinti tapatybės integracijos produkcinį naudojimą, paveiktus naudotojus, OAuth suteikimus, DNS, tarpinio serverio, EDR ir SIEM žurnalus | SOC ir platformos komanda | Pirminio vertinimo pastabos, stebėsenos įrodymai, pažeidžiamumų peržiūra |
| 4. Paversti veiksmais | Pridėti aptikimus, peržiūrėti suteikimus, prireikus periodiškai pakeisti paslaptis, pateikti užklausą tiekėjui, atnaujinti rizikų registrą | SOC, inžinerija, rizikos savininkas | SIEM taisyklių užklausos, pakeitimų įrašai, tiekėjo eskalavimas |
| 5. Peržiūrėti išorinį dalijimąsi | Sumažinti neapdorotas išvadas iki laiko intervalo, dėsningumo, kenksmingo domeno ir paveikto vaidmens tipo | CISO, teisininkai, DPO | Atskleidimo patvirtinimas, duomenų kiekio mažinimo vertinimas |
| 6. Dalytis saugiai | Siųsti tik patvirtintą žvalgybą per ISAC šifruotą kanalą | CISO arba įgaliotas asmuo | Dalijimosi žurnalas, kanalo įrašas, patvirtinimo laiko žyma |
| 7. Tobulinti | Pateikti rodiklius ir įgytą patirtį ISVS peržiūroje | CISO ir GRC | Vadovybės peržiūros protokolai, korekciniai veiksmai |
Pradiniame siunčiamame pranešime buvo laiko žymos, šaltinio IP adresai, tiksliniai naudotojų vardai, klientų aplinkų ID ir ekrano kopijos. Po DPO ir teisininkų peržiūros jis sumažinamas iki:
- Laiko intervalo UTC.
- Atakos dėsningumo.
- Stebėto kenksmingo domeno.
- Bendro paveikto vaidmens tipo, pavyzdžiui, finansų operacijų naudotojų.
- Jokių naudotojų vardų.
- Jokių klientų aplinkų ID.
- Jokių ekrano kopijų.
- Jokių klientų pavadinimų.
- Jokių neapdorotų žurnalų, nebent jų paprašoma per kontroliuojamą kanalą.
Jei veikla tampa incidentu, perima Incident Response Policy kontrolės priemonės. Jei renkami kriminalistiniai artefaktai, taikoma Evidence Collection and Forensics Policy-sme Evidence Collection and Forensics Policy - SME:
Kiekvienas skaitmeninių įrodymų objektas turi būti užregistruotas nurodant:
Politika toliau viduje apibrėžia įrodymų metaduomenų reikalavimus, tačiau audito principas aiškus: kiekvienam artefaktui, naudojamam tyrimui, dalijimuisi, pranešimui reguliuotojui arba komunikacijai su klientais, reikalingas atsekamumas.
Pažeidžiamumų atskleidimas nėra tas pats, kas dalijimasis grėsmių žvalgybos informacija
Dažna klaida – pažeidžiamumų atskleidimą, pranešimą apie incidentą ir dalijimąsi grėsmių žvalgybos informacija traktuoti kaip tą patį procesą. Jie persidengia, bet nėra tapatūs.
Dalijimasis grėsmių žvalgybos informacija gali apimti indikatorius, taktikas, sektoriaus įspėjimus, priešininko elgseną, švelninimo priemones arba stebėtus bandymus. Koordinuotas pažeidžiamumų atskleidimas apima konkrečią produkto arba paslaugos silpnąją vietą, dažnai su pranešėju, pataisymo terminu, pranešimu ir viešo atskleidimo sprendimu. Pranešimas apie incidentą apima reglamentavimo arba sutartinį ataskaitų teikimą apie įvykį, kuris paveikia paslaugas, duomenis arba klientus.
Clarysec atskiria šias darbo eigas, kartu išlaikydama jų sąsają per ISVS. Įmonės Coordinated Vulnerability Disclosure Policy Coordinated Vulnerability Disclosure Policy nurodo:
Koordinavimas ir atskleidimas: organizacija turi koordinuoti viešą atskleidimą su pranešėju. Pagal numatytąsias nuostatas jokios pažeidžiamumo detalės neturi būti viešinamos, kol nėra prieinamas arba bent įgyvendinamas pataisymas ar švelninimo priemonė. Esant kritinėms problemoms, kai pataisymo negalima pateikti greitai, organizacija gali paskelbti saugumo pranešimą su apėjimo sprendimų gairėmis, kad įspėtų naudotojus, prireikus pasikonsultavusi su atitinkamomis institucijomis. Tikimasi, kad pranešėjas susilaikys nuo viešo atskleidimo, kol organizacija suteiks leidimą arba paskelbs pranešimą. Paprastai organizacija siekia paskelbti pranešimą per 90 dienų nuo ataskaitos gavimo arba per kitą abipusiai sutartą terminą, laikydamasi pramonės praktikos, įskaitant pranešėjo nurodymą, kai tam duotas sutikimas.
Ta pati politika taip pat nurodo:
Konfidencialumas: iki viešo atskleidimo visa informacija, susijusi su praneštu pažeidžiamumu, turi būti laikoma Ypač konfidencialia. Detalės viduje turi būti dalijamos tik būtinybės žinoti principu su personalu, reikalingu problemai patikrinti arba pašalinti. Pranešėjo tapatybė turi būti laikoma konfidencialia, kai to prašoma. Visa komunikacija su pranešėju turėtų būti šifruojama, įskaitant organizacijos PGP rakto naudojimą, siekiant apsaugoti jautrias pažeidžiamumo detales.
Tai itin svarbu DORA Article 45 ir NIS2 bendradarbiavimui. Patikima bendruomenė gali būti tinkama vieta dalytis švelninimo priemonėmis arba aukšto lygio indikatoriais, bet nebūtinai išnaudojimo detalėmis, konkrečių klientų duomenimis ar nepataisyto pažeidžiamumo informacija.
Išorinei komunikacijai reikalinga tokia pati disciplina. Įmonės Social Media and External Communications Policy Social Media and External Communications Policy priskiria atsakomybę už turinio peržiūrą, kad būtų užtikrinta atitiktis įstatymams, reglamentuojantiems konfidencialumą, vidinės informacijos atskleidimą, intelektinę nuosavybę ir šmeižtą. Tai svarbu, kai techninis pranešimas tampa viešu pareiškimu, kliento pranešimu, svetainės atnaujinimu arba reguliuotojui skirtu pranešimu.
Kelių atitikties režimų susiejimas: viena darbo eiga, daug įpareigojimų
Stipri dalijimosi kibernetinių grėsmių žvalgybos informacija darbo eiga turėtų tenkinti kelias sistemas nekurdama dubliuojamų procesų.
| Sistema | Ko ji tikisi | Kaip Clarysec tai susieja |
|---|---|---|
| ISO/IEC 27001:2022 | Kontekstas, lyderystė, rizikos tvarkymas, operacinė kontrolė, dokumentuoti įrodymai, stebėsena, auditas, nuolatinis tobulinimas | ISVS taikymo sritis, rizikų registras, Taikomumo pareiškimas, komunikacijos planas, vidaus auditas, vadovybės peržiūra |
| ISO/IEC 27002:2022 kontrolės priemonės 5.6 ir 5.7 | Valdomas kontaktas su specialiųjų interesų grupėmis ir veiksmais paverčiama grėsmių žvalgyba | SIG registras, grėsmių gavimas, analizės darbo eiga, aptikimo atnaujinimai, dalijimosi patvirtinimai |
| DORA Article 45 | Patikimas dalijimasis kibernetinių grėsmių žvalgybos informacija, saugantis konfidencialumą, asmens duomenis, komercines paslaptis, IP ir konkurencijos ribas | Patvirtintos bendruomenės, atskleidimo sąlygos, teisinė ir DPO peržiūra, saugūs kanalai, įrodymų žurnalai |
| NIS2 Articles 20, 21 ir 23 | Valdybos priežiūra, kibernetinio saugumo rizikos valdymo priemonės, bendradarbiavimas, incidentų valdymas, tiekimo grandinės saugumas, pažeidžiamumų valdymas, etapinis ataskaitų teikimas | Valdybos ataskaitos, incidentų komunikacija, tiekėjų eskalavimas, CSIRT kontaktų sąrašas, grėsmėmis grindžiami rizikos atnaujinimai |
| GDPR Articles 5, 6, 25 ir 32 | Teisėtas, minimizuotas, tikslu apribotas, saugus ir atskaitingas asmens duomenų tvarkymas | Privatumo filtras, redagavimas, pseudoniminimas, saugojimo taisyklės, DPO peržiūra, dalijimosi žurnalas |
| NIST CSF 2.0 | GOVERN, IDENTIFY, PROTECT, DETECT, RESPOND ir RECOVER rezultatai su teisiniais įpareigojimais ir komunikacijos kanalais | Organizational Profile, esama ir tikslinė būsena, aptikimo ir reagavimo patobulinimai, komunikacija su išorinėmis suinteresuotosiomis šalimis |
| COBIT 2019 | Išorinių reikalavimų stebėsena, saugumo grėsmių valdymas, kontrolės veiksmingumo vertinimas, privatumo valdymas | Atitikties stebėsena, grėsmių rodikliai, valdysenos ataskaitos, privatumo programos suderinimas |
NIST CSF 2.0 naudingas kaip neutralus organizacinis sluoksnis, nes jo GOVERN funkcija apima suinteresuotąsias šalis, teisinius įpareigojimus, priklausomybes, rizikos apetitą, vaidmenis, politikas ir priežiūrą. Jo DETECT ir RESPOND funkcijos tikisi stebėsenos, grėsmių žvalgybos integravimo, incidento paskelbimo, įrodymų išsaugojimo, pranešimo ir išorinės komunikacijos.
COBIT 2019 prideda vadovybės atskaitomybę. Tokios praktikos kaip DSS05.04 Manage security threats, APO12 Manage risk, MEA03 Managed compliance with external requirements ir APO13 Managed security padeda auditoriams patikrinti, ar žvalgyba pagerina kontrolės veiksmingumą ir valdysenos ataskaitas.
Kaip auditoriai tikrins jūsų dalijimosi programą
ISO/IEC 27001:2022 auditorius pradės nuo valdymo sistemos. Jis klaus, kaip pagal 4.1 ir 4.2 punktus buvo identifikuoti teisiniai, reglamentavimo, sutartiniai ir suinteresuotųjų šalių reikalavimai. Jis patikrins, ar dalijimasis grėsmių žvalgybos informacija patenka į taikymo sritį, ar rizikos buvo įvertintos, ar kontrolės priemonės 5.6, 5.7, 5.31, 5.34, 5.24, 5.28, 8.8, 8.15 ir 8.16 yra įtrauktos arba pagrįstos Taikomumo pareiškime, ir ar įrodymai rodo, kad procesas veikė taip, kaip suplanuota.
Į DORA orientuotas auditorius arba priežiūros institucija ieškos valdysenos, valdybos atskaitomybės, IRT rizikos integravimo, incidentų klasifikavimo, atsparumo testavimo, trečiųjų šalių implikacijų ir Article 45 sąlygų. Jie klaus, ar dalyvavimas informacijos dalijimosi susitarimuose yra dokumentuotas, ar jautrūs ir asmens duomenys saugomi, ar žvalgyba atnaujina IRT rizikos valdymo sistemą ir ar ji daro įtaką testavimo scenarijams.
Į NIS2 orientuotas vertintojas sutelks dėmesį į valdybos priežiūrą, Article 21 priemones, incidentų valdymą, tiekėjų priklausomybes, pažeidžiamumų valdymą, komunikaciją su klientais arba paslaugų gavėjais ir bendradarbiavimą su CSIRT arba kompetentingomis institucijomis. Jis tikrins, ar grėsmių žvalgyba susieta su reikšmingo incidento vertinimu ir etapiniu ataskaitų teikimu.
Privatumo auditorius sutelks dėmesį į GDPR principus. Jis klaus, ar pasidalyti duomenys buvo asmens duomenys, koks teisinis pagrindas buvo taikytas, ar atliktas duomenų kiekio mažinimas, ar buvo galimas pseudoniminimas arba redagavimas, ar saugojimas buvo kontroliuojamas ir ar organizacija gali įrodyti atskaitomybę.
Geri įrodymai apima:
- Patvirtintą ISAC arba SIG registrą.
- Įvardytus dalyvius ir pavaduotojus.
- Narystės sąlygas ir konfidencialumo įsipareigojimus.
- Grėsmių žvalgybos gavimo žurnalą.
- Pirminio vertinimo ir aktualumo vertinimus.
- Aptikimo inžinerijos užklausas.
- Pažeidžiamumų prioritetizavimo pakeitimus.
- Tiekėjų rizikos eskalavimus.
- Atskleidimo patvirtinimo įrašus.
- DPO arba privatumo peržiūros pastabas.
- Redaguotus siunčiamus pranešimus.
- Incidentų įrašus SIMS.
- Įrodymų saugojimo grandinės žurnalus.
- Vadovybės peržiūros protokolus.
- Vidaus audito išvadas ir korekcinius veiksmus.
Dažnos klaidos, kurias Clarysec mato praktikoje
Dažniausia nesėkmė yra neformalus dalyvavimas. Saugumo inžinierius prisijungia prie privataus forumo, gauna naudingą žvalgybą ir dalijasi vidiniais stebėjimais be formalaus autorizavimo. Ketinimas geras, tačiau įrodymų pėdsakas silpnas, o konfidencialumo rizika didelė.
Antroji nesėkmė – pasyvus vartojimas. Organizacija prenumeruoja kanalus, dalyvauja ISAC skambučiuose ir persiunčia pranešimus, tačiau niekas negali parodyti, kaip žvalgyba pakeitė kontrolės priemones. Grėsmių žvalgyba turi atnaujinti aptikimo logiką, pataisų prioritetus, reagavimo scenarijus, rizikų registrus, tiekėjų peržiūras, informuotumo kampanijas arba atsparumo testus.
Trečioji nesėkmė – neapdorotų žurnalų dalijimasis. Komandos siunčia ekrano kopijas, SIEM eksportus, el. laiškų antraštes arba paketų išklotines išorėn be duomenų kiekio mažinimo. Tai gali atskleisti asmens duomenis, klientų identifikatorius, vidinius kompiuterių vardus, prieigos raktus arba konfidencialią architektūrą.
Ketvirtoji nesėkmė – viešųjų ryšių painiojimas su reglamentuota komunikacija. LinkedIn įrašas apie atakos tendenciją nėra tas pats, kas kliento įspėjimas, pranešimas reguliuotojui, CSIRT atnaujinimas arba koordinuotas pranešimas. Clarysec atskiria šiuos kanalus, priskiria patvirtinimo savininkus ir reikalauja įrašų.
Penktoji nesėkmė – tiekėjų ignoravimas. Daugelis žvalgybos įspėjimų susiję su trečiųjų šalių programine įranga, debesijos platformomis, valdomų paslaugų teikėjais arba tapatybės integracijomis. Pagal DORA, NIS2, NIST CSF, COBIT 2019 ir ISO/IEC 27002:2022 tiekėjų kontrolės priemones grėsmių žvalgyba turi maitinti tiekėjų rizikos valdymą.
Sukurkite savo 2026 m. grėsmių žvalgybos dalijimosi paketą
Daugumai organizacijų nereikia sunkios atskiros biurokratijos. Joms reikia kompaktiško valdysenos paketo, veikiančio realaus incidento metu. Clarysec rekomenduoja:
- Dalijimosi grėsmių žvalgybos informacija procedūrą.
- Patvirtintų dalijimosi bendruomenių registrą.
- Grėsmių žvalgybos gavimo ir pirminio vertinimo formą.
- Išorinio atskleidimo patvirtinimo formą.
- Privatumo ir konfidencialumo peržiūros kontrolinį sąrašą.
- Išorinės komunikacijos matricą.
- ISAC susitikimo santraukos šabloną.
- Įrodymų ir incidentų sąsajų taisykles.
- Rodiklių valdymo skydą.
- Vidaus audito testavimo planą.
Procedūroje turėtų būti nurodyti ISO/IEC 27001:2022 rizikos valdymo, komunikacijos, operacinės kontrolės, veiklos vertinimo, vidaus audito ir nuolatinio tobulinimo punktai. Ji turėtų būti susieta su ISO/IEC 27002:2022 kontrolės priemonėmis 5.6, 5.7, 5.31, 5.34, 5.24, 5.28, 8.8, 8.15, 8.16 ir atitinkamomis tiekėjų kontrolės priemonėmis. Ji taip pat turėtų nurodyti DORA Article 45, NIS2 bendradarbiavimo ir incidentų komunikacijos pareigas bei GDPR principus.
Svarbiausia, kad ji būtų naudojama esant spaudimui. Jei procesas reikalauja 12 asmenų susitikimo prieš pasidalijant kenksmingu domenu su patikimu ISAC, jis žlugs. Jei jis leidžia įklijuoti neapdorotus klientų žurnalus į bendruomenės portalą, jis taip pat žlugs. Tikslas – kontroliuojamas greitis.
Paverskite dalijimąsi grėsmių žvalgybos informacija įrodymais grindžiamu atsparumu
Dalijimasis kibernetinių grėsmių žvalgybos informacija 2026 m. nėra vien saugumo brandos ženklas. Finansų subjektams jis susietas su DORA Article 45 ir skaitmeniniu operaciniu atsparumu. Esminiams ir svarbiems subjektams jis palaiko NIS2 bendradarbiavimą, incidentų valdymą, reagavimą į pažeidžiamumus, tiekėjų saugumą ir paslaugų gavėjų įspėjimą. Bet kuriai organizacijai, tvarkančiai ES asmens duomenis, jis turi atitikti GDPR pagal projektavimą.
Clarysec padeda organizacijoms sukurti šį veiklos modelį nelėtinant gynėjų darbo. Mes sujungiame Zenith Blueprint Zenith Blueprint, politikų rinkinį ir Zenith Controls Zenith Controls į veikiantį ISVS procesą: patvirtintos bendruomenės, aiškūs vaidmenys, privatumą užtikrinantis atskleidimas, incidentų sąsajos, įrodymų įrašai, pasirengimas auditui ir susiejimas su keliomis sistemomis.
Jei jūsų organizacija dalyvauja ISAC, gauna kibernetinius pranešimus, dalijasi indikatoriais su kolegomis, teikia pranešimus institucijoms arba tvarko pažeidžiamumų atskleidimus, dabar laikas formalizuoti darbo eigą. Pradėkite nuo vienos valandos esamų dalijimosi susitarimų peržiūros, tada susiekite juos su ISO/IEC 27001:2022, DORA Article 45, NIS2 ir GDPR.
Clarysec gali padėti jums sukurti registrą, politikos nuostatas, patvirtinimo šablonus, audito įrodymų modelį ir vadovybei skirtų ataskaitų paketą, reikalingą tam, kad dalijimasis kibernetinių grėsmių žvalgybos informacija būtų greitas, teisėtas ir pagrindžiamas.
Frequently Asked Questions
About the Author

Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council


