Galiekārtu aizsardzība pret ļaunatūru: ISO 27001 pierādījumi ES prasībām

Pirmdien plkst. 07.42 finanšu direktors atver piegādātāja rēķinu no e-pasta sarakstes, kas izskatās leģitīma. Pēc dažām minūtēm galiekārtu atklāšanas konsole atzīmē aizdomīgu skripta izpildi, noturības mēģinājumu un izejošo datplūsmu uz nepazīstamu domēnu. EDR aģents automātiski izolē klēpjdatoru. Izspiedējprogrammatūras uzbrukuma ķēde tiek pārrauta, pirms sākas šifrēšana.
Drošības kontroles pasākumi nostrādāja. Taču sarežģītais jautājums seko pēc tam.
Galvenajam informācijas drošības vadītājam nejautā tikai: “Vai mēs apturējām ļaunatūru?” Galvenais izpilddirektors un valde jautā: “Vai varam pierādīt, ka tā bija projektēta noturība, nevis veiksme? Vai varam auditoriem, klientiem, regulatoriem un apdrošinātājiem parādīt, ka mūsu galiekārtu aizsardzība darbojās atbilstoši ISO/IEC 27001:2022, NIS2 kiberdrošības higiēnai, DORA IKT risku pārvaldībai un GDPR Article 32?”
Tas ir galvenais galiekārtu drošības izaicinājums 2026. gadā. Galiekārtu aizsardzība vairs nav tikai IT operāciju funkcija. Tā ir atbilstības pierādījumu sistēma.
Viens ļaunatūras brīdinājums klēpjdatorā var kļūt par ISO/IEC 27001:2022 audita izlasi, NIS2 būtiska incidenta izvērtējumu, DORA ar IKT saistīta incidenta ierakstu, GDPR personas datu aizsardzības pārkāpuma sākotnējo izvērtēšanu, piegādātāju riska apspriešanu un valdes pārvaldības pārskatu. Organizācijas, kas to pārvalda labi, ne tikai ievieš EDR. Tās sasaista politiku, aktīvu uzskaiti, tehniskos kontroles pasākumus, uzraudzību, reaģēšanu uz incidentiem, juridisko sākotnējo izvērtēšanu, piegādātāju līgumus, metriku un nepārtrauktu uzlabošanu vienā pamatotā kontroles naratīvā.
Clarysec redz to pašu modeli SaaS, fintech, pārvaldīto pakalpojumu un regulētās digitālajās vidēs. Lielākajai daļai organizāciju jau ir spēcīgi rīki: EDR, antivīrusu programmatūra, MDM, ievainojamību skeneri, SIEM, e-pasta drošība, tīmekļa filtrēšana, rezerves kopiju platformas un pieteikumu sistēmas. Parasti problēma nav tehnoloģijā. Problēma ir pierādījumu projektēšanā.
Šajā rakstā parādīts, kā izveidot auditam gatavus galiekārtu aizsardzības pret ļaunatūru pierādījumus, izmantojot ISO/IEC 27001:2022 kā IDPS pamatu, Clarysec Endpoint Protection / Malware Policy Endpoint Protection / Malware Policy, SME Endpoint Protection - Malware Policy Endpoint Protection - Malware Policy - SME, Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint un Zenith Controls: The Cross-Compliance Guide Zenith Controls.
Kāpēc galiekārtu aizsardzība pret ļaunatūru tagad ir valdes līmeņa atbilstības jautājums
Mūsdienu galiekārta ir vieta, kur satiekas identitāte, biznesa dati, lietotāju uzvedība, uzbrucēju paņēmieni un regulatīvā pārskatatbildība. Klēpjdatori pieslēdzas no mājas tīkliem un lidostām. Izstrādātāji izmanto lokālus rīkus. Vadītāji ceļo ar kešotu e-pastu un failiem. Līgumslēdzēji var izmantot pārvaldītas vai daļēji pārvaldītas ierīces. Mobilie tālruņi apstiprina MFA pieprasījumus. Mākoņa darbslodzes un serveri no EDR skatpunkta uzvedas kā galiekārtas.
Zenith Blueprint fāzē “Kontroles pasākumi darbībā”, 19. solī “Tehnoloģiskie kontroles pasākumi I”, Clarysec lietotāju galiekārtas raksturo kā organizācijas “durvis un logus”:
Lietotāju galiekārtas — klēpjdatori, viedtālruņi, planšetdatori, galddatori un pat plānie klienti — ir vieta, kur sākas digitālā mijiedarbība. Tās ir durvis un logi uz jūsu sistēmām. Un, tāpat kā jebkura fiziska struktūra, tās ir jānostiprina, jāuzrauga un jākontrolē.
Šis skatījums ir būtisks, jo galiekārtu aizsardzība nav tikai ļaunatūras bloķēšana. Tai jāpierāda, ka organizācija zina, kādas ierīces pastāv, pārvalda to lietošanu, piemēro drošības pamatkonfigurācijas, atklāj kompromitēšanu, reaģē konsekventi, saglabā pierādījumus, atjauno darbību un pēc incidentiem pilnveidojas.
Nobriedušai galiekārtu aizsardzības pret ļaunatūru programmai bez vilcināšanās jāatbild uz četriem audita jautājumiem:
- Vai mēs zinām katru galiekārtu, kas var piekļūt biznesa sistēmām vai personas datiem?
- Vai katra galiekārta ir aizsargāta ar apstiprinātu, centralizēti pārvaldītu aizsardzību pret ļaunatūru vai EDR?
- Vai varam pierādīt konfigurāciju, skenēšanu, atjauninājumus, brīdinājumus, ievietošanu karantīnā, izolāciju, izmeklēšanu un slēgšanu?
- Vai varam sasaistīt galiekārtu notikumus ar risku apstrādi, reaģēšanu uz incidentiem, regulatīvo ziņošanu, piegādātāju uzraudzību un vadības pārskatīšanu?
ISO/IEC 27001:2022 nodrošina pārvaldības sistēmu, kas nepieciešama, lai atbildētu uz šiem jautājumiem. Punkti 4.1 līdz 4.4 prasa organizācijai definēt kontekstu, ieinteresētās puses, juridiskos un līgumiskos pienākumus, saskarnes, atkarības un IDPS darbības jomu. Galiekārtu aizsardzības darbības joma nevar apstāties pie “uzņēmuma IT”. Tajā jāņem vērā attālinātais darbs, priviliģētas darbstacijas, mobilās ierīces, mākoņpiekļuve, piegādātāju pārvaldītas ierīces, galiekārtu žurnāli, ārpakalpojumā sniegti SOC vai MDR pakalpojumi un jebkura galiekārta, kas var ietekmēt informācijas drošību.
Punkti 5.1 līdz 5.3 skaidri nosaka vadības pārskatatbildību. Augstākajai vadībai ir jāatbalsta IDPS, jāpiešķir lomas, jānodrošina resursi un jānodrošina politiku saskaņotība. Galiekārtu kontekstā valde nevar apstiprināt kiberdrošības higiēnas mērķus, vienlaikus atstājot neatrisinātas EDR licencēšanas, ielāpu uzkrājuma, BYOD izņēmumu vai MDR eskalācijas nepilnības.
Punkti 6.1.1 līdz 6.1.3 izveido risku apstrādes mehānismu. Galiekārtu ļaunatūras riski ir jāidentificē, jāizvērtē, jāapstrādā, jākartē uz Annex A kontroles pasākumiem, jāatspoguļo piemērojamības deklarācijā (SoA) un jāakceptē riska īpašniekiem, ja saglabājas atlikušais risks. Punkti 8.1 līdz 8.3 pēc tam pārvērš risku apstrādi kontrolētās operācijās, plānotās izmaiņās, risku izvērtēšanā noteiktos intervālos vai pēc būtiskām izmaiņām un risku apstrādes rezultātos.
Audita stāsts nav “mēs uzstādījām EDR”. Audita stāsts ir “galiekārtu ļaunatūras risks ir identificēts, izvērtēts, apstrādāts, operacionāli pārvaldīts, uzraudzīts, testēts, pamatots ar pierādījumiem, ziņots un uzlabots”.
Clarysec politikas tilts no EDR iestatījumiem uz audita pierādījumiem
Politika ir vieta, kur tehniskā realitāte kļūst par auditējamu nodomu. Bez politikas galiekārtu konfigurācijas ir tikai rīka iestatījumi. Ar politiku šie iestatījumi kļūst par kontroles prasībām.
Clarysec uzņēmuma Endpoint Protection / Malware Policy šo tiltu izveido 1.3. punktā:
Šī politika tieši atbalsta atbilstību ISO/IEC 27001:2022 8.1. punktam un Annex A kontroles pasākumam 8.7 un ir saskaņota ar reģionālajiem kiberdrošības pienākumiem saskaņā ar GDPR, NIS2 un DORA.
Šis viens punkts organizācijai nodrošina tiešu sasaisti no galiekārtu operācijām uz ISO/IEC 27001:2022, NIS2, DORA un GDPR. Auditori pēc tam var pārbaudīt, vai organizācijas faktiskā galiekārtu programma atbilst politikas saistībai.
Tā pati uzņēmuma politika nosaka sagaidāmo darbības modeli pārvaldības prasībās, 5.2. punktā:
Visas galiekārtas ir jāreģistrē centralizēti pārvaldītās aizsardzības pret ļaunatūru sistēmās (piemēram, EDR, antivīrusu programmatūrā vai līdzvērtīgās platformās) ar piemērotu pamatkonfigurāciju.
Tieši šāda veida formulējums auditoriem ir noderīgs, jo tas ir pārbaudāms. Ja “visas galiekārtas” ir jāreģistrē, pierādījumiem jāparāda pilna galiekārtu populācija, sagaidāmā EDR populācija, reģistrācijas statuss, izņēmumi, kompensējošie kontroles pasākumi un trūkumu novēršanas progress.
SME vajadzībām Endpoint Protection - Malware Policy sniedz tiešas, operacionālas prasības. 5.1.3. punkts nosaka:
Visas galiekārtas ir jāreģistrē IT aktīvu uzskaitē un jāsasaista ar izmantoto galiekārtu aizsardzības rīku.
5.2.1. punkts papildina:
Visās galiekārtās jāizmanto tikai organizācijas apstiprināti antivīrusu vai EDR (endpoint detection and response) risinājumi.
6.1.1.1. punkts prasa:
Nepārtraukti jāveic skenēšana reāllaikā ar antivīrusu un aizsardzību pret ļaunatūru.
Savukārt 8.1.1. punkts prasa:
Ļaunatūras notikumi ir nepārtraukti jāuzrauga, izmantojot antivīrusu konsoli vai centralizētu EDR informācijas paneli.
Kopā šie punkti izveido vienkāršu, bet spēcīgu pierādījumu testu: parādiet aktīvu uzskaiti, parādiet galiekārtu aizsardzības rīku, parādiet apstiprināto konfigurāciju, parādiet nepārtrauktu uzraudzību, parādiet notikumus, parādiet pieteikumus un parādiet slēgšanu.
ISO/IEC 27001:2022 un ISO/IEC 27002:2022 galiekārtu kontroles pasākumu kartēšana
Galiekārtu aizsardzība auditos bieži izgāžas tāpēc, ka komandas to uztver kā vienu kontroles pasākumu. Patiesībā galiekārtu aizsardzība pret ļaunatūru balstās uz vairākiem savstarpēji pastiprinošiem kontroles pasākumiem.
Galvenie ISO/IEC 27002:2022 kontroles pasākumi ir A.8.1 Lietotāju galiekārtas un A.8.7 Aizsardzība pret ļaunatūru. Taču efektīva galiekārtu aizsardzība balstās arī uz ievainojamību pārvaldību, žurnalēšanu, uzraudzību, reaģēšanu uz incidentiem, rezerves kopijām, tīmekļa filtrēšanu, pārnēsājamu datu nesēju kontroli, piekļuves ierobežošanu, piegādātāju pārvaldību, mākoņpakalpojumu pārvaldību, informētību un darbības nepārtrauktību.
Zenith Controls kartē ISO/IEC 27002:2022 kontroles pasākumu A.8.7 Aizsardzība pret ļaunatūru kā preventīvu, atklājošu un koriģējošu. Tas atbalsta konfidencialitāti, integritāti un pieejamību un dabiski sasaistās ar sistēmu un tīkla drošību, informācijas aizsardzību un atklāšanas iespējām. Tas arī parāda, ka A.8.1 Lietotāju galiekārtas ir preventīvs kontroles pasākums, kas atbalsta konfidencialitāti, integritāti un pieejamību, izmantojot aktīvu pārvaldību un galiekārtu pārvaldību.
| ISO/IEC 27002:2022 kontroles joma | Saglabājamie galiekārtu un ļaunatūras pierādījumi | Kāpēc tas ir svarīgi auditā |
|---|---|---|
| A.8.1 Lietotāju galiekārtas | Aktīvu uzskaite, MDM vai UEM atbilstības pārskati, šifrēšanas statuss, ekrāna bloķēšanas iestatījumi, attālinātas dzēšanas iespēja, BYOD kontroles pasākumi | Pierāda, ka galiekārtas ir zināmas, pārvaldītas un aizsargātas pirms piekļuves piešķiršanas |
| A.8.7 Aizsardzība pret ļaunatūru | EDR ieviešanas pārskati, aizsardzības reāllaikā iestatījumi, atjauninājumu statuss, atklājumi, ievietošana karantīnā, izolācijas ieraksti, kļūdaini pozitīvu gadījumu apstrāde | Pierāda, ka ļaunatūras novēršana, atklāšana un reaģēšana ir aktīva un centralizēti pārvaldīta |
| A.8.8 Tehnisko ievainojamību pārvaldība | Ievainojamību skenēšana, ielāpu SLA, trūkumu novēršanas pieteikumi, izņēmumu apstiprinājumi, kompensējošie kontroles pasākumi | Parāda, ka ļaunatūras ekspozīcija tiek mazināta, novēršot izmantojamas vājās vietas |
| A.8.15 Žurnalēšana un A.8.16 Uzraudzības darbības | Galiekārtu žurnāli, SIEM korelācija, brīdinājumu sākotnējā izvērtēšana, eskalācijas pierādījumi, informācijas paneļi, pārskatīšanas ieraksti | Parāda, ka ļaunatūras notikumi ir redzami, pārskatīti un apstrādāti |
| A.5.24 līdz A.5.28 Incidentu pārvaldība | Incidentu procedūras, klasifikācijas ieraksti, reaģēšanas darbības, gūtās mācības, pierādījumu saglabāšana | Parāda, ka aizdomas par ļaunatūru kļūst par kontrolētu incidentu apstrādi, nevis neformālu problēmu risināšanu |
| A.8.13 Rezerves kopijas un A.5.30 IKT gatavība darbības nepārtrauktībai | Rezerves kopiju sekmīgas izpildes pārskati, atjaunošanas testi, nemaināmu rezerves kopiju iestatījumi, atjaunošanas mācības | Parāda, ka noturība pret izspiedējprogrammatūru ietver atjaunojamību |
| A.5.19 līdz A.5.23 Piegādātāju un mākoņpakalpojumu kontroles pasākumi | MDR līgumi, EDR pakalpojumu SLA, piegādātāju drošības prasības, mākoņa galiekārtu pārklājums, izstāšanās kārtība | Parāda, ka ārpakalpojumā sniegti galiekārtu pakalpojumi paliek IDPS kontrolē |
Zenith Controls ir īpaši noderīgs, jo parāda, kā galiekārtu aizsardzība ir atkarīga no saistītajiem kontroles pasākumiem. Aizsardzība pret ļaunatūru sasaistās ar A.5.7 Draudu izlūkošanu, jo aizsardzībai pret ļaunatūru jāpielāgojas mainīgām taktikām. Tā sasaistās ar A.8.8 Tehnisko ievainojamību pārvaldību, jo ļaunatūra bieži izmanto zināmas vājās vietas. Tā sasaistās ar A.8.15 Žurnalēšanu un A.8.16 Uzraudzības darbībām, jo atklājumi, ievietošana karantīnā, skenēšana un atjauninājumi ir jāapkopo un jāpārskata. Tā sasaistās ar A.8.23 Tīmekļa filtrēšanu, jo ļaunprātīgas vietnes joprojām ir izplatīts inficēšanās ceļš. Tā sasaistās ar A.7.10 Datu nesējiem, jo pārnēsājami datu nesēji var ieviest ļaunatūru, ja tie netiek kontrolēti.
Lietotāju galiekārtas sasaistās arī ar A.5.10 Informācijas un citu saistīto aktīvu pieņemamu lietošanu, A.6.7 Attālinātu darbu, A.8.3 Informācijas piekļuves ierobežošanu, A.8.5 Drošu autentifikāciju, A.6.3 Informācijas drošības informētību, izglītošanu un apmācību un A.6.6 Konfidencialitātes vai neizpaušanas līgumiem.
Vienkārši sakot, droša galiekārta nav tikai ierīce ar aģentu. Tā ir ar politiku kontrolēta darba vide.
Kā ļaunatūras brīdinājumu pārvērst pamatotā pierādījumu ķēdē
Atgriezīsimies pie pirmdienas rīta ļaunatūras notikuma. EDR aģents izolēja klēpjdatoru, taču atbilstības gatavība ir atkarīga no pierādījumu ķēdes, kas seko pēc tam.
Kvalitatīva galiekārtu ļaunatūras pierādījumu ķēde ietver:
- Aktīva ierakstu, kas parāda īpašnieku, biznesa funkciju, kritiskumu, ierīces tipu, operētājsistēmu, datu piekļuves profilu un šifrēšanas statusu.
- Galiekārtu aizsardzības ierakstu, kas parāda EDR aģenta darbspēju, piemēroto politiku, aizsardzību pret manipulācijām, atjauninājumu statusu un skenēšanu reāllaikā.
- Atklājuma ierakstu, kas parāda brīdinājuma ID, laikspiedolu, procesu koku, atklāšanas loģiku, smaguma pakāpi, ietekmētos failus, tīkla indikatorus un automatizētas darbības.
- SIEM ierakstu, kas korelē DNS, e-pastu, identitāti, starpniekserveri, mākoni un galiekārtu telemetriju.
- Pieteikuma ierakstu, kas parāda sākotnējo izvērtēšanu, eskalāciju, ierobežošanu, izskaušanu, atjaunošanu, pamatcēloni un slēgšanu.
- Incidenta lēmumu, kas parāda, vai notikums palika drošības notikums vai kļuva par incidentu.
- Regulatīvo sākotnējo izvērtēšanu, kas parāda, vai tika izvērtēti NIS2, DORA vai GDPR sliekšņi.
- Gūto mācību ierakstu, kas parāda politikas pielāgošanu, ielāpu uzstādīšanu, informētības darbību, piegādātāja pieteikumu vai riska reģistra atjauninājumu.
Endpoint Protection / Malware Policy pastiprina šo reaģēšanas modeli ar politikas ieviešanas prasībām, 6.3. punktu, kura nosaukums ir:
Reaģēšanas un ierobežošanas darbības
SME vajadzībām 6.3.1.2. punkts ir vēl tiešāks:
IT atbalsta pakalpojumu sniedzējam ir jāievieto ierīce karantīnā, jāapstiprina inficēšanās un jāveic pamatcēloņa analīze.
Bloķētam ļaunatūras notikumam nevajadzētu pazust konsolē. Ja notikums ir pietiekami nozīmīgs, lai to atklātu, tas ir pietiekami nozīmīgs, lai to klasificētu, dokumentētu un slēgtu.
NIS2 kiberdrošības higiēnas pierādījumi no galiekārtu aizsardzības
NIS2 padara pamatlīmeņa kiberdrošības higiēnu par pārvaldības jautājumu. Aptvertajām organizācijām ir jāsaprot, vai tās ietilpst darbības jomā, vai tās ir būtiskas vai svarīgas vienības un kā piemērojamas nacionālās transponēšanas prasības.
Galiekārtu aizsardzībai pret ļaunatūru galvenā norma ir Article 21. Tā prasa atbilstošus un samērīgus tehniskos, operacionālos un organizatoriskos pasākumus, lai pārvaldītu riskus tīklu un informācijas sistēmām un novērstu vai mazinātu incidentu ietekmi. Pasākumi ietver riska analīzi un informācijas sistēmu drošības politikas, incidentu apstrādi, darbības nepārtrauktību, piegādes ķēdes drošību, drošu iegādi un uzturēšanu, tostarp ievainojamību apstrādi, efektivitātes izvērtēšanu, pamatlīmeņa kiberdrošības higiēnu un apmācību, kriptogrāfiju, personāla drošību, piekļuves kontroli, aktīvu pārvaldību un, ja piemērojams, MFA vai nepārtrauktu autentifikāciju.
Galiekārtu pierādījumi tieši kartējas uz šīm gaidām.
| NIS2 Article 21 joma | Galiekārtu aizsardzības pret ļaunatūru pierādījumi |
|---|---|
| Riska analīze un drošības politikas | Galiekārtu risku izvērtēšana, Endpoint Protection / Malware Policy, piemērojamības deklarācija, risku apstrādes plāns |
| Incidentu apstrāde | EDR brīdinājumu ieraksti, incidentu pieteikumi, smaguma pakāpes izvērtēšana, ierobežošanas darbības, gūtās mācības |
| Darbības nepārtrauktība | Izspiedējprogrammatūras scenāriji, rezerves kopiju pārskati, atjaunošanas testi, atjaunošanas procedūras |
| Piegādes ķēdes drošība | MDR vai MSP līgumi, atbildību matrica, incidentu atbalsta noteikumi, audita tiesības |
| Ievainojamību apstrāde | Ielāpu SLA, ievainojamību skenēšana, izņēmumu apstiprinājumi, izmantoto ievainojamību analīze |
| Efektivitātes izvērtēšana | Iekšējā audita rezultāti, EDR testa atklājumi, pikšķerēšanas simulācijas, galda mācības |
| Pamatlīmeņa kiberdrošības higiēna un apmācība | Galiekārtu pamatprasību atbilstība, informētības apmācību pabeigšanas ieraksti, pikšķerēšanas un ļaunatūras apmācība |
| Piekļuves kontrole un aktīvu pārvaldība | Galiekārtu uzskaite, lietotāju un ierīču sasaistes kartēšana, nosacījumos balstīta piekļuve, priviliģētu darbstaciju kontroles pasākumi |
Svarīgs ir arī NIS2 Article 23, jo ļaunatūra var kļūt par būtisku incidentu. Ja tā izraisa vai var izraisīt smagus darbības traucējumus, finansiālus zaudējumus vai būtisku materiālu vai nemateriālu kaitējumu citiem, var būt nepieciešama pakāpeniska ziņošana. NIS2 ietver agrīnu brīdinājumu 24 stundu laikā, incidenta paziņojumu 72 stundu laikā, starpposma atjauninājumus pēc pieprasījuma un galīgo ziņojumu viena mēneša laikā pēc paziņojuma.
Galiekārtu pierādījumi atbalsta katru posmu. EDR brīdinājums nodrošina pirmo indikatoru. Aktīvu uzskaite identificē ietekmētos pakalpojumus un kritiskumu. SIEM dati un pieteikumi atbalsta ietekmes analīzi. Ierobežošanas ieraksti pierāda rīcību. Pamatcēloņa analīze atbalsta galīgo ziņošanu.
NIS2 gatava atbilde nav “mums ir antivīruss”. Tā ir: “mēs zinām savas galiekārtas, piemērojam aizsardzību, nepārtraukti uzraugām, klasificējam incidentus, apmācām lietotājus, pārvaldām ievainojamības, saglabājam pierādījumus un ziņojam, kad sliekšņi ir sasniegti”.
DORA IKT risku pārvaldība un galiekārtu aizsardzība pret ļaunatūru
Finanšu iestādēm DORA izveido nozarei specifisku digitālās operacionālās noturības ietvaru. Galiekārtu aizsardzība pret ļaunatūru cieši kartējas uz IKT risku pārvaldību, incidentu pārvaldību, testēšanu, nepārtrauktību, atjaunošanu un IKT trešo pušu risku.
DORA Article 5 nosaka vadības struktūras atbildību par IKT risku. Article 6 prasa pamatotu, visaptverošu un dokumentētu IKT risku pārvaldības ietvaru. Article 8 un Article 9 prasa identificēt un klasificēt ar IKT atbalstītas biznesa funkcijas, informācijas aktīvus, IKT aktīvus, atkarības, kiberapdraudējumus, ievainojamības, konfigurācijas un savstarpējās atkarības. Tie aptver arī aizsardzības, novēršanas, atklāšanas, piekļuves kontroles, drošas autentifikācijas, izmaiņu pārvaldības un ielāpu uzstādīšanas politikas un rīkus.
Article 11 un Article 12 ir centrāli noturībai pret izspiedējprogrammatūru. Tie prasa IKT darbības nepārtrauktības politiku, reaģēšanas un atjaunošanas plānus, rezerves kopiju politikas, atjaunošanas procedūras, testēšanu un integritātes pārbaudes. Article 17 prasa ar IKT saistītu incidentu pārvaldības procesu, lai pēc incidentiem atklātu, pārvaldītu, klasificētu, reģistrētu, eskalētu, komunicētu un atjaunotu operācijas. Article 19 nosaka ziņošanas pienākumus par būtiskiem ar IKT saistītiem incidentiem. Article 24 līdz Article 26 aptver digitālās operacionālās noturības testēšanu. Article 28 līdz Article 30 aptver IKT trešo pušu risku un līgumisko kārtību.
| DORA jautājums | Noderīgi galiekārtu pierādījumi |
|---|---|
| IKT aktīvu identificēšana | Galiekārtu uzskaite, īpašnieks, biznesa funkcija, kritiskums, atkarību kartēšana |
| Aizsardzība un novēršana | EDR pamatkonfigurācija, ielāpu statuss, piekļuves kontrole, šifrēšana, tīmekļa filtrēšana, droša konfigurācija |
| Atklāšana | EDR brīdinājumi, SIEM korelācija, agrīnās brīdināšanas indikatori, draudu izlūkošanas bagātināšana |
| Ar IKT saistītu incidentu pārvaldība | Ļaunatūras incidenta pieteikums, smaguma pakāpes klasifikācija, lomas, darbības, eskalācija, pamatcēlonis |
| Atjaunošana | Ierīces pārbūves ieraksts, rezerves kopijas vai failu atjaunošanas pierādījumi, integritātes pārbaudes |
| Noturības testēšana | EDR simulācija, pikšķerēšanas simulācija, ievainojamību skenēšana, ielaušanās testēšana, galda mācības |
| IKT trešo pušu risks | MDR vai EDR piegādātāja līgums, SLA, audita tiesības, incidentu atbalsts, izstāšanās plāni |
Finanšu iestādei tas pats ļaunatūras incidents, kas pierāda A.8.7 darbību, var parādīt arī DORA uzraudzības pierādījumus: aktīvu klasifikāciju, kontroles pasākumu darbību, incidentu pārvaldību, atjaunošanas spēju, testēšanas vēsturi, trešo pušu atbildību un vadības pārraudzību.
GDPR Article 32 un personas datu aizsardzības pārkāpuma sākotnējā izvērtēšana
GDPR Article 32 prasa pārziņiem un apstrādātājiem ieviest riskam atbilstošus tehniskos un organizatoriskos pasākumus. Šie pasākumi ietver apstrādes sistēmu un pakalpojumu konfidencialitāti, integritāti, pieejamību un noturību, spēju atjaunot personas datu pieejamību un piekļuvi tiem, kā arī regulāru drošības pasākumu testēšanu, izvērtēšanu un novērtēšanu.
Galiekārtu ļaunatūra kļūst par GDPR pierādījumu, ja galiekārta var piekļūt personas datiem: klientu ierakstiem, atbalsta pieteikumiem, personāla failiem, eksportiem, ar maksājumiem saistītai informācijai, veselības informācijai, īpašu kategoriju datiem, autentifikācijas žurnāliem vai mākoņlietojumprogrammām, kas satur personas datus.
Privātuma jautājums ir atkarīgs no faktiem. Vai ļaunatūra tika izpildīta? Vai tā piekļuva failiem? Vai tā ieguva autentifikācijas datus? Vai marķieri tika nozagti? Vai notika datu neatļauta iznese? Vai galiekārta bija šifrēta? Vai konts tika atspējots? Vai sesijas tika atsauktas? Vai žurnāli bija pieejami? Vai ietekmētie personas dati tika identificēti? Vai tika izvērtēts risks fiziskām personām?
Galiekārtu telemetrija bieži ir vienīgais veids, kā uz šiem jautājumiem atbildēt ticami.
GDPR gatavai galiekārtu pierādījumu pakotnei jāsasaista datu klasifikācija un apstrādes ieraksti, galiekārtu piekļuves ceļi, šifrēšana, piekļuves ierobežošana, EDR telemetrija, SIEM žurnāli, datu neatļautas izneses analīze, autentifikācijas datu atiestatīšanas darbības, atjaunošanas ieraksti, juridiskā pārskatīšana, lēmumi par pārkāpumu un gūtās mācības.
Privātuma komandām jāpiedalās galiekārtu incidentu rokasgrāmatu izstrādē. Gaidīšana līdz brīdim pēc ļaunatūras incidenta, lai jautātu, vai tika ietekmēti personas dati, rada novēršamu pārskatatbildības risku.
Izveidojiet 30 minūšu galiekārtu ļaunatūras pierādījumu pakotni
Pirms nākamā audita izvēlieties vienu galiekārtas ļaunatūras atklājumu no pēdējām 90 dienām, pat ja tam bija zema smaguma pakāpe vai tas bija bloķēts testa fails. Izveidojiet pierādījumu pakotni tā, it kā auditors to būtu izvēlējies kā izlasi.
Izmantojiet Zenith Blueprint fāzi “Kontroles pasākumi darbībā”, 19. soli, kā pārskatīšanas scenāriju. 19. solis instruē komandas pārskatīt aizsardzības pret ļaunatūru stratēģiju, pārbaudot, vai visās galiekārtās ir uzstādīta, aktīva un automātiski atjaunināta centralizēti pārvaldīta aizsardzība pret ļaunatūru vai EDR, vai skenēšana reāllaikā aptver failu tipus, tīkla aktivitāti un pārnēsājamus datu nesējus, vai pastāv vārteju aizsardzības pasākumi, vai nesenie ļaunatūras žurnāli vai karantīnas gadījumi ir izmeklēti un atrisināti un vai lietotāji saņem pastāvīgu informētības apmācību par pikšķerēšanu un ļaunatūru.
Apkopojiet šos pierādījumus:
- Aktīva ieraksts: ierīces nosaukums, sērijas numurs, lietotājs, īpašnieks, biznesa vienība, atrašanās vieta, ierīces tips, operētājsistēma, kritiskums, datu piekļuves profils.
- EDR reģistrācija: ekrānuzņēmums vai eksports, kas parāda uzstādītu, aktīvu un atjauninātu aģentu, piemērotu politiku un iespējotu aizsardzību pret manipulācijām.
- Atbilstība pamatprasībām: šifrēšana, ekrāna bloķēšana, ugunsmūris, lokālā administratora statuss, ielāpu līmenis, aizliegtas programmatūras statuss.
- Atklājuma ieraksts: brīdinājuma ID, laikspiedols, atklājuma nosaukums vai uzvedība, smaguma pakāpe, procesu koks, ietekmētie faili, tīkla indikatori.
- Ierobežošanas darbība: ievietošana karantīnā, izolācija, procesa apturēšana, faila noņemšana, ierīces pārbūve, autentifikācijas datu atiestatīšana.
- Izmeklēšanas piezīmes: analītiķa sākotnējā izvērtēšana, pamatcēlonis, pikšķerēšanas ceļš, tīmekļa ceļš, izmantošanas paņēmiens, ietekmēto datu izvērtēšana.
- Incidenta lēmums: drošības notikums vai incidents, NIS2, DORA un GDPR sliekšņu izvērtēšana, ja attiecināms.
- Slēgšanas pierādījumi: pieteikuma slēgšana, apstiprinājums, gūtās mācības, riska reģistra atjauninājums, ja nepieciešams.
- Metrika: laiks līdz atklāšanai, laiks līdz ierobežošanai, laiks līdz trūkumu novēršanai, līdzīgu brīdinājumu skaits, kļūdaini pozitīva gadījuma statuss.
- Uzlabošanas darbība: bloķēts domēns, pasta noteikumu pielāgošana, ielāpu ieviešana, lietotāja informētības uzdevums, piegādātāja eskalācija.
Tagad salīdziniet pierādījumu pakotni ar savu politiku. Ja uzņēmuma politika nosaka, ka visas galiekārtas jāreģistrē centralizēti pārvaldītā aizsardzībā pret ļaunatūru ar piemērotu pamatkonfigurāciju, vai varat to pierādīt? Ja SME politika nosaka, ka ļaunatūras notikumi nepārtraukti jāuzrauga, izmantojot antivīrusu konsoli vai centralizētu EDR informācijas paneli, vai varat parādīt informācijas paneli, pārskatītāju, brīdinājumu, pieteikumu un slēgšanu?
Tādā veidā EDR dati kļūst par audita pierādījumiem.
Kā dažādi auditori testē tos pašus galiekārtu kontroles pasākumus
Dažādas apliecinājuma komandas skatīs galiekārtu aizsardzību no atšķirīgiem skatpunktiem. Pierādījumi var būt tie paši, bet jautājumi mainās.
| Auditora skatpunkts | Ko parasti testē | Pierādījumi, kas atbild uz jautājumu |
|---|---|---|
| ISO/IEC 27001:2022 auditors | Vai galiekārtu kontroles pasākumi ir atlasīti risku apstrādes ietvaros, iekļauti piemērojamības deklarācijā, ieviesti, uzraudzīti un uzlaboti | Risku izvērtēšana, SoA ieraksts, galiekārtu politika, EDR ieviešanas pārskats, uzraudzības pieteikumi, iekšējā audita rezultāti |
| NIS2 kiberdrošības higiēnas pārskatītājs | Vai galiekārtu drošība atbalsta samērīgu risku pārvaldību, incidentu apstrādi, ievainojamību apstrādi, piekļuves kontroli, aktīvu pārvaldību un apmācību | Galiekārtu uzskaite, atbilstība pamatprasībām, EDR brīdinājumi, incidentu ieraksti, ielāpu metrika, apmācību ieraksti |
| DORA IKT risku pārskatītājs | Vai galiekārtu aizsardzība atbalsta IKT aktīvu identificēšanu, noturību, incidentu pārvaldību, testēšanu, nepārtrauktību un IKT trešo pušu pārraudzību | IKT aktīvu kartēšana, incidentu klasifikācija, noturības testu rezultāti, rezerves kopiju pierādījumi, MDR līgums, vadības ziņošana |
| GDPR privātuma pārskatītājs | Vai galiekārtu kontroles pasākumi atbalsta apstrādes drošību un pārkāpuma izvērtēšanu | Datu piekļuves kartēšana, šifrēšana, žurnāli, datu neatļautas izneses analīze, pārkāpuma sākotnējā izvērtēšana, ierobežošanas un atjaunošanas pierādījumi |
| NIST CSF 2.0 vērtētājs | Vai pārvaldības, identificēšanas, aizsardzības, atklāšanas, reaģēšanas un atjaunošanas rezultāti ir integrēti | Pašreizējais un mērķa profils, aktīvu uzskaite, piekļuves kontroles pasākumi, uzraudzība, reaģēšana uz incidentiem, atjaunošanas pierādījumi |
| COBIT 2019 stila pārvaldības pārskatītājs | Vai īpašumtiesības, mērķi, veiktspēja, risks un apliecinājums ir definēti | RACI, KPI, KRI, ziņošana valdei, kontroles īpašnieka pierādījumi, izņēmumi, trūkumu novēršanas izsekošana |
| ISACA iekšējais auditors | Vai kontroles pasākumi ir efektīvi izstrādāti un konsekventi darbojas izlasēs | Izlases testēšana, ekrānuzņēmumi, konfigurāciju eksporti, izņēmumu apstiprinājumi, uzraudzības pārbaužu atkārtota izpilde |
NIST CSF 2.0 ir īpaši noderīgs kā vadībai saprotams tilta formulējums. Tā GOVERN funkcija atbalsta ieinteresēto pušu gaidas, juridiskos pienākumus, riska apetīti, pārskatatbildību, politiku, resursus un pārraudzību. Tā operacionālās funkcijas palīdz izskaidrot, kā aktīvu pārvaldība, piekļuves kontrole, datu aizsardzība, uzraudzība, reaģēšana uz incidentiem, ierobežošana, izskaušana, atjaunošana un komunikācija darbojas kopā.
Clarysec projektos ISO/IEC 27001:2022 nodrošina formālo IDPS pamatu, Zenith Controls nodrošina starpatbilstības kartēšanas ceļvedi, bet NIST CSF 2.0 nodrošina valdei draudzīgu komunikācijas slāni.
Piegādātāju pārvaldīti galiekārtu pakalpojumi ir daļa no pierādījumu modeļa
Daudzas organizācijas uztic galiekārtu aizsardzības daļas MSP, MSSP, MDR sniedzējiem, mākoņa darbvirsmu pakalpojumu sniedzējiem vai EDR piegādātājiem. Ārpakalpojumi var uzlabot spējas, taču tie nepārnes pārskatatbildību.
NIS2 Article 21 ietver piegādes ķēdes drošību un piegādātāju attiecības. DORA finanšu iestādēm iet tālāk, prasot IKT trešo pušu riska stratēģiju, līgumisko kārtību reģistrus, sākotnējo izpēti, koncentrācijas riska analīzi, audita un pārbaudes tiesības, izbeigšanas tiesības, incidentu atbalstu, izstāšanās stratēģijas un skaidru atbildību sadali. ISO/IEC 27001:2022 Annex A ietver piegādātāju attiecību kontroles pasākumus, piegādātāju vienošanās, IKT piegādes ķēdes kontroles pasākumus, piegādātāju pakalpojumu uzraudzību un izmaiņu pārvaldību, kā arī mākoņpakalpojumu iegādi, lietošanu, pārvaldību un izbeigšanu.
Galiekārtu ārpakalpojumu pierādījumiem jāietver:
- Piegādātāja sākotnējā izpēte pirms sākotnējās piesaistes.
- Līguma klauzulas par uzraudzību, incidentu paziņošanu, piekļuvi, datu atrašanās vietu, audita tiesībām, pakalpojumu līmeņiem un sadarbību.
- Atbildību matrica brīdinājumu sākotnējai izvērtēšanai, izolācijai, pamatcēloņa analīzei, ziņošanai un pierādījumu saglabāšanai.
- Pārskati, kas parāda piegādātāja veiktspēju un SLA ievērošanu.
- Pierādījumi, ka piegādātāja incidenti un platformas darbības pārtraukumi tiek pārskatīti.
- Izstāšanās plāns gadījumam, ja EDR vai MDR sniedzējs cieš neveiksmi, tiek izbeigts vai kļūst nepieņemams.
- Apstiprinājums, ka žurnāli un digitālās kriminālistikas pierādījumi organizācijai paliek pieejami.
Bieža audita neveiksme ir MDR informācijas panelis bez īpašumtiesībām. Organizācija var redzēt brīdinājumus, bet nevar pierādīt, kam pieder risks, kas pakalpojumu sniedzējam jādara, kā tiek pārskatīta brīdinājumu kvalitāte vai kā pierādījumi tiek saglabāti regulatīviem un juridiskiem mērķiem.
Metrika, kas galiekārtu rīkus pārvērš vadības pierādījumos
Valdēm un regulatoriem nav nepieciešams neapstrādāts brīdinājumu apjoms. Tiem nepieciešami indikatori, kas parāda, vai galiekārtu ļaunatūras risks tiek kontrolēts.
| Metrika | Kāpēc tā ir svarīga |
|---|---|
| Galiekārtu pārklājuma procentuālais rādītājs | Parāda, vai zināmās galiekārtas ir aizsargātas ar apstiprinātu EDR vai aizsardzību pret ļaunatūru |
| Nepārvaldīto galiekārtu skaits | Izceļ aktīvu uzskaites, sākotnējās piesaistes vai ēnu IT kļūmes |
| Aģenta darbspējas procentuālais rādītājs | Parāda, vai aģenti ir aktīvi, atjaunināti un ziņo |
| Kritisko galiekārtu ielāpu atbilstība | Sasaista ļaunatūras ekspozīciju ar ievainojamību pārvaldību |
| Vidējais laiks līdz atklāšanai | Parāda uzraudzības efektivitāti |
| Vidējais laiks līdz izolācijai | Parāda ierobežošanas ātrumu izspiedējprogrammatūras un ļaunatūras gadījumos |
| Ļaunatūras atkārtošanās pēc lietotāja vai biznesa vienības | Identificē apmācības, procesu vai piekļuves vājās vietas |
| Karantīnas neveiksmes rādītājs | Parāda, vai reaģēšanas darbības ir uzticamas |
| Augsta riska izņēmumi, kas ir atvērti ilgāk par SLA | Parāda pārvaldības disciplīnu |
| Atjaunošanas testa sekmības rādītājs | Parāda noturību, ja ļaunatūra izraisa traucējumus |
| Incidenti ar pabeigtu pamatcēloņa analīzi | Parāda mācīšanos un nepārtrauktu uzlabošanu |
Šī metrika atbalsta ISO/IEC 27001:2022 veiktspējas izvērtēšanu un vadības pārskatīšanu, NIS2 vadības struktūras pārraudzību, DORA pārvaldību un IKT risku stratēģiju, GDPR pārskatatbildību un iekšējā audita plānošanu.
Uzņēmuma Endpoint Protection / Malware Policy sadaļas “Ieviešana un atbilstība” 8.2. punkts nosaka:
Iekšējam auditam jāveic periodiska galiekārtu aizsardzības atbilstības pārskatīšana, tostarp:
Iekšējais audits var pārvērst iepriekš minēto metriku ceturkšņa kontroles testā: atlasīt galiekārtas, salīdzināt aktīvu uzskaiti ar EDR reģistrāciju, pārbaudīt skenēšanu reāllaikā, pārskatīt ielāpu statusu, apstiprināt, ka lietotāji nevar atspējot aizsardzību, pārbaudīt nesenos ļaunatūras brīdinājumus un izsekot atlasītos brīdinājumus no atklāšanas līdz slēgšanai.
Biežākie galiekārtu pierādījumu trūkumi, ko konstatē Clarysec
Pat nobriedušām organizācijām ir grūtības ar galiekārtu pierādījumu kvalitāti. Vieni un tie paši trūkumi atkārtojas regulāri:
- Aktīvu uzskaite un EDR uzskaite nesakrīt.
- Izstrādātāju darbstacijas tiek kontrolētas mazāk nekā standarta klēpjdatori.
- Mobilās ierīces ir izslēgtas no galiekārtu pierādījumiem.
- BYOD piekļuve ir atļauta bez piemērojamiem ierīces drošības stāvokļa kontroles pasākumiem.
- EDR aģenti ir uzstādīti, bet aizsardzība pret manipulācijām ir atspējota.
- Brīdinājumus uzrauga pakalpojumu sniedzējs, bet eskalācijas noteikumi ir neskaidri.
- Karantīnā ievietota ļaunatūra nav sasaistīta ar incidenta pieteikumu.
- Pamatcēloņa analīze tiek izlaista “bloķētiem” atklājumiem.
- Ielāpu izņēmumiem trūkst riska īpašnieka apstiprinājuma vai beigu datumu.
- Žurnāli tiek glabāti pārāk īsu periodu, lai atbalstītu pārkāpuma izvērtēšanu.
- Rezerves kopiju atjaunošana tiek testēta vispārīgi, bet ne pret izspiedējprogrammatūras scenārijiem.
- Ziņošana valdei rāda brīdinājumu skaitu, nevis riska samazinājumu.
Risinājums nav vairāk izklājlapu. Risinājums ir sasaistīts darbības modelis, kurā politika, aktīvu uzskaite, galiekārtu konfigurācija, uzraudzība, reaģēšana uz incidentiem, piegādātāju pārvaldība, regulatīvā sākotnējā izvērtēšana, metrika un audita testēšana savstarpēji pastiprina viena otru.
Desmit darba dienas, lai sagatavotu galiekārtu aizsardzību pret ļaunatūru auditam
Ja nepieciešams ātrs sākumpunkts, nākamo desmit darba dienu laikā veiciet šādas darbības:
- Eksportējiet galiekārtu uzskaiti un EDR uzskaiti, pēc tam salīdziniet tās.
- Identificējiet nepārvaldītas, neaktīvas, novecojušas, dublētas un izņēmuma galiekārtas.
- Apstipriniet skenēšanu reāllaikā, aizsardzību pret manipulācijām, automātiskos atjauninājumus, izolācijas un karantīnas iestatījumus.
- Atlasiet piecus ļaunatūras brīdinājumus un izsekojiet katru līdz izmeklēšanai un slēgšanai.
- Pārbaudiet, vai galiekārtu notikumi var atbalstīt NIS2, DORA un GDPR incidentu sākotnējo izvērtēšanu.
- Pārskatiet MDR, MSP un EDR piegādātāju līgumus attiecībā uz incidentu atbalstu, pierādījumu piekļuvi, audita tiesībām, SLA un izstāšanās noteikumiem.
- Pievienojiet galiekārtu pārklājumu, aģentu darbspēju, izolācijas laiku, ielāpu atbilstību un pamatcēloņa analīzes pabeigšanu vadības ziņošanai.
- Veiciet iekšējā audita izlasi, izmantojot Zenith Blueprint 19. soļa kontrolsarakstu.
- Izmantojiet Zenith Controls, lai kartētu A.8.1 un A.8.7 uz žurnalēšanu, uzraudzību, ievainojamību pārvaldību, reaģēšanu uz incidentiem, piegādātāju kontroles pasākumiem un atjaunošanu.
- Atjauniniet pārvaldības pamatlīmeni, izmantojot Clarysec Endpoint Protection / Malware Policy vai SME Endpoint Protection - Malware Policy.
Galiekārtu aizsardzība pret ļaunatūru 2026. gadā nav tikai izspiedējprogrammatūras apturēšana. Tā ir spēja pierādīt, ka jūsu organizācija var novērst, atklāt, ierobežot, atjaunot, ziņot un pilnveidoties.
Clarysec var palīdzēt pārvērst galiekārtu aizsardzību no rīka ieviešanas par pamatotu starpatbilstības pierādījumu sistēmu. Lejupielādējiet Endpoint Protection / Malware Policy, sāciet ar SME Endpoint Protection - Malware Policy, ja nepieciešams vieglāks darbības modelis, izmantojiet Zenith Blueprint, lai ieviestu kontroles pasākumus, un izmantojiet Zenith Controls, lai sasaistītu galiekārtu pierādījumus ar ISO/IEC 27001:2022, NIS2, DORA, GDPR Article 32, NIST CSF 2.0 un audita gaidām.
About the Author

Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council