ISO 27001 žurnalēšanas pierādījumi NIS2, DORA un GDPR vajadzībām

Brīdinājums SOC kanālā parādījās otrdien plkst. 2:17 naktī: vairāki neveiksmīgi pieteikšanās mēģinājumi priviliģētajam lietotājam admin no jaunas IP adreses. Pēc dažām minūtēm mēģinājumi beidzās. Jaunākais analītiķis brīdinājumu pamanīja, pieņēma, ka tas ir kļūdaini konfigurēts skripts vai sistēmu administrators, kas strādā vēlu vakarā, un turpināja darbu.

Pēc divām dienām Marija, strauji augoša FinTech uzņēmuma informācijas drošības vadītāja, piedalījās vadības sanāksmē, kad viņas tālrunis ievibrējās. Inženieru komanda bija konstatējusi neparasti augstu CPU noslodzi ražošanas datubāzes instancē. Bija izveidots jauns nesankcionēts lietotāja konts. Plkst. 2:17 saņemtais brīdinājums nebija kļūdaini pozitīvs gadījums. Tā bija pirmā redzamā pazīme par ielaušanās mēģinājumu.

Incidents tika ierobežots, taču izmeklēšana atklāja būtiskāku problēmu. Ugunsmūra žurnāli atradās vienā sistēmā. Kubernetes žurnāli — citā. Datubāzes audita žurnāli tika glabāti atsevišķi. Vairāki laikspiedoli atšķīrās par vairākām minūtēm. Komandai dati bija pieejami, taču tā nespēja ātri izveidot pamatotu un auditā aizstāvamu skaidrojumu par atklāšanu, pārskatīšanu, eskalāciju, ierobežošanu un personas datu aizsardzības pārkāpuma izvērtēšanu.

Marijas ISO/IEC 27001:2022 uzraudzības audits bija noslēdzies veiksmīgi, taču auditors atstāja vienu brīdinājumu: organizācijai bija žurnalēšanas un uzraudzības kontroles pasākumi, tomēr tai būtu grūti savlaicīgi sagatavot korelētus pierādījumus NIS2, DORA un GDPR ziņošanas lēmumiem.

Tāda ir realitāte, ar ko 2026. gadā saskaras daudzas organizācijas. Tām nav žurnalēšanas problēmas. Tām ir pierādījumu problēma.

SIEM, EDR platforma, mākoņpakalpojumu audita pēda vai ugunsmūra žurnāls pats par sevi nav auditam gatavs pierādījums. Pierādījumi kļūst aizstāvami tikai tad, ja tos pārvalda politika, tie ir aizsargāti pret manipulācijām, tiek pārskatīti noteiktā regularitātē, ir sasaistīti ar incidentu lēmumiem un tiek glabāti pietiekami ilgi, lai rekonstruētu notikumus.

ISO/IEC 27001:2022, NIS2, DORA un GDPR kontekstā galvenais jautājums vairs nav: “Vai mēs vācam žurnālus?” Jautājums ir: “Vai mēs varam pierādīt, kas notika, kas to pārskatīja, kā tas tika klasificēts, vai ziņošana bija nepieciešama un vai vadība īstenoja pārraudzību?”

Kāpēc žurnalēšana un uzraudzība ir kļuvusi par atbilstības pierādījumu jautājumu

NIS2, DORA un GDPR ir mainījuši drošības žurnālu nozīmi organizācijas darbībā.

Saskaņā ar NIS2 būtiskajām un svarīgajām vienībām jāievieš atbilstoši un samērīgi kiberdrošības risku pārvaldības pasākumi. Article 21 ietver incidentu apstrādi, darbības nepārtrauktību, piegādes ķēdes drošību, drošu izstrādi, efektivitātes izvērtēšanu, kiberdrošības higiēnu, kriptogrāfiju, cilvēkresursu drošību, piekļuves kontroli, aktīvu pārvaldību, MFA un drošu saziņu. Article 23 izveido pakāpenisku ziņošanas modeli, tostarp agrīnu brīdinājumu 24 stundu laikā, incidenta paziņojumu 72 stundu laikā, starpposma atjauninājumus, ja tie ir būtiski, un galīgo ziņojumu ne vēlāk kā vienu mēnesi pēc incidenta paziņojuma.

Šis modelis ir atkarīgs no žurnalēšanas un uzraudzības. Nav iespējams nosūtīt ticamu agrīno brīdinājumu, ja nevar parādīt, kad notikums tika atklāts. Nav iespējams klasificēt nozīmīgu incidentu, ja nevar rekonstruēt skartās sistēmas, lietotāju darbības, pakalpojumu ietekmi un ierobežošanas darbības.

DORA rada līdzīgu spiedienu uz finanšu vienībām. Articles 5 to 14 nosaka pārvaldības un IKT risku pārvaldības prasības, tostarp vadības struktūras atbildību, IKT aktīvu identificēšanu, aizsardzību un novēršanu, atklāšanu, reaģēšanu un atjaunošanu, rezerves kopiju veidošanu, atjaunošanu, mācīšanos un komunikāciju. Articles 17 to 23 prasa ar IKT saistītu incidentu pārvaldības procesu, kas aptver atklāšanu, reģistrēšanu, klasifikāciju, eskalāciju, paziņošanu un turpmāku rīcību. Articles 24 to 27 attiecas uz digitālās darbības noturības testēšanu. Articles 28 to 31 izveido IKT trešo pušu risku pārvaldības pienākumus.

GDPR pievieno privātuma pārskatatbildības slāni. Article 32 prasa atbilstošu apstrādes drošību. Article 33 prasa paziņot uzraudzības iestādei par personas datu aizsardzības pārkāpumu bez nepamatotas kavēšanās un, ja iespējams, ne vēlāk kā 72 stundu laikā pēc tam, kad tas kļuvis zināms, ja vien pārkāpums, visticamāk, nerada risku fiziskām personām. Article 34 var prasīt informēt skartos datu subjektus, ja risks ir augsts. Žurnāli palīdz noteikt, vai personas datiem tika piekļūts, vai tie tika mainīti, neatļauti iznesti vai eksponēti, taču arī paši žurnāli var saturēt personas datus, un tie attiecīgi jāpārvalda.

ISO/IEC 27001:2022 nodrošina pārvaldības sistēmas pamatu. Punkti 4.1 līdz 4.4 prasa organizācijai izprast kontekstu, ieinteresētās puses, prasības un ISMS darbības jomu. Punkti 5.1 līdz 5.3 prasa vadību, politikas saskaņošanu, lomas, pienākumus un pilnvaras. Punkti 6.1.1 līdz 6.1.3 prasa atkārtojamu risku izvērtēšanas un apstrādes procesu, tostarp riska kritērijus, riska īpašniekus, apstrādes iespējas, salīdzinājumu ar Annex A kontroles pasākumiem, piemērojamības deklarāciju (SoA) un atlikušā riska pieņemšanu. Punkts 6.2 prasa izmērāmus informācijas drošības mērķus.

Tāpēc žurnalēšanas un uzraudzības pierādījumi nedrīkst palikt tikai SOC ietvaros. Tie pieder ISMS, risku reģistram, piemērojamības deklarācijai, reaģēšanas uz incidentiem procesam, privātuma pārkāpumu darbplūsmai, piegādātāju pārvaldībai un vadības ziņošanai.

ISO 27001 žurnalēšanas kontroles pasākumi, ko auditori sasaista vispirms

Dokumentā Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint fāze Controls in Action, Step 19: Technological Controls I, aplūko žurnalēšanu, uzraudzību un pulksteņu sinhronizāciju kā vienotu pierādījumu ķēdi.

A.8.15 – Žurnalēšana: “Žurnāli, kuros reģistrētas darbības, izņēmumi, kļūmes un citi būtiski notikumi,
ir jāveido, jāglabā, jāaizsargā un jāanalizē.”

A.8.16 – Uzraudzības darbības: “Tīkli, sistēmas un lietojumprogrammas ir jāuzrauga, lai konstatētu
anomālu uzvedību, un jāveic atbilstošas darbības potenciālu informācijas drošības
incidentu izvērtēšanai.”

A.8.17 – Pulksteņu sinhronizācija: “Organizācijas izmantoto informācijas apstrādes sistēmu
pulksteņi ir jāsinhronizē ar apstiprinātiem laika avotiem.”

Šie kontroles pasākumi atbild uz trim audita jautājumiem:

Zenith Controls: The Cross-Compliance Guide Zenith Controls šo saistību formulē tieši:

“Žurnalēšana kalpo kā uzraudzības pamatdatu slānis. Kontroles pasākums 8.16 ir atkarīgs no žurnāliem, kas ģenerēti saskaņā ar 8.15, lai analizētu drošības notikumus, atklātu anomālijas un identificētu potenciālus pārkāpumus. Bez visaptverošas žurnalēšanas uzraudzības sistēmas nav efektīvas.”

Zenith Controls klasificē ISO/IEC 27002:2022 kontroles pasākumu 8.15, Žurnalēšana, kā atklājošu kontroles pasākumu, kas atbalsta konfidencialitāti, integritāti un pieejamību. Tas tiek kartēts uz Detect kiberdrošības konceptu un informācijas drošības notikumu pārvaldību. Tas arī sasaista žurnalēšanu ar uzraudzības darbībām, informācijas drošības notikumu izvērtēšanu un lēmumu pieņemšanu, kā arī pulksteņu sinhronizāciju.

Kontroles pasākumam 8.16, Uzraudzības darbības, Zenith Controls to klasificē kā atklājošu un koriģējošu, kartētu uz Detect un Respond. Tas sasaista uzraudzību ar piegādātāju pakalpojumu uzraudzību un notikumu izvērtēšanu, kas ir būtiski mākoņpakalpojumu, SaaS, pārvaldīto pakalpojumu un ārpakalpojumu vidēs.

Praktiskais secinājums ir vienkāršs. Žurnāli sniedz faktus. Uzraudzība identificē anomālijas. Pulksteņu sinhronizācija padara faktus uzticamus dažādās sistēmās. Notikumu izvērtēšana pārvērš brīdinājumus lēmumos.

Kā patiesībā izskatās auditam gatavi žurnalēšanas pierādījumi

Auditam gatavi pierādījumi nav ekrānuzņēmumu mape. Tā ir saskaņota pierādījumu pēda, kas apliecina kontroles pasākuma uzbūvi, darbību un lēmumu pieņemšanu.

Nobriedusi žurnalēšanas un uzraudzības pierādījumu lieta parasti ietver šādus elementus:

Clarysec uzņēmuma līmeņa Žurnalēšanas un uzraudzības politika Žurnalēšanas un uzraudzības politika to formulē tieši:

“Šī politika ir būtiska, lai atbalstītu ISO/IEC 27001 8.1. punktu un Annex A kontroles pasākumus 8.15 (Žurnalēšana), 8.16 (Uzraudzība) un 8.17 (Pulksteņu sinhronizācija), un tā ir tieši kartēta uz regulatīvajiem pienākumiem saskaņā ar GDPR, NIS2, DORA un COBIT 2019.”

No sadaļas “Mērķis”, politikas klauzula 1.3.

Tā pati politika nosaka operacionālo prasību:

“Izveidot centralizētas žurnalēšanas un brīdināšanas sistēmas (piem., SIEM), lai agregētu, korelētu un eskalētu aizdomīgas darbības gandrīz reāllaikā.”

No sadaļas “Mērķi”, politikas klauzula 3.4.

Mazākām organizācijām Clarysec MVU Žurnalēšanas un uzraudzības politika-sme Žurnalēšanas un uzraudzības politika - SME to pašu principu pārvērš samērīgās prasībās:

“IT atbalsta pakalpojumu sniedzējam ir jādefinē un jāievēro regulārs žurnālu pārskatīšanas grafiks:”

No sadaļas “Pārvaldības prasības”, politikas klauzula 5.1.1.

Tā arī nosaka glabāšanu un aizsardzību:

“Žurnāli jāglabā vismaz 12 mēnešus, ja vien likums vai līgums neprasa ilgāku glabāšanas periodu vai tas nav pamatots aktīva incidenta vai juridiska strīda ietvaros.”

No sadaļas “Pārvaldības prasības”, politikas klauzula 5.2.1.

“Žurnāli jāglabā vietās ar rakstīšanas aizsardzību, un piekļuve jāierobežo tikai autorizētam personālam.”

No sadaļas “Pārvaldības prasības”, politikas klauzula 5.3.1.

NIS2 un DORA kontekstā 12 mēnešu pierādījumu pamatlīmenis var būt atšķirība starp ticamu rekonstrukciju un neveiksmīgu izmeklēšanu. GDPR kontekstā tas atbalsta pārskatatbildību, vienlaikus joprojām prasot minimizēšanu, piekļuves kontroli un glabāšanas disciplīnu.

Trūkstošais tilts: notikumu izvērtēšana un ziņošanas sliekšņi

Daudzas organizācijas vāc žurnālus un brīdina par anomālijām, bet kļūdās lēmuma pieņemšanas brīdī.

Vai brīdinājums bija tikai drošības notikums, vai tas kļuva par informācijas drošības incidentu? Vai tas ir nozīmīgs saskaņā ar NIS2? Vai tas ir būtisks ar IKT saistīts incidents saskaņā ar DORA? Vai bija iesaistīti personas dati? Vai nepieciešama GDPR pārkāpuma paziņošanas analīze?

Šis lēmuma punkts atbilst ISO/IEC 27002:2022 kontroles pasākumam 5.25, informācijas drošības notikumu izvērtēšanai un lēmuma pieņemšanai. Zenith Controls apraksta 5.25 kā triāžas funkciju starp neapstrādātiem uzraudzības brīdinājumiem un formālu incidentu apstrādi. Tas sasaista 5.25 ar incidentu pārvaldības plānošanu, uzraudzības darbībām, reaģēšanu uz informācijas drošības incidentiem un žurnalēšanu. Tas arī kartē 5.25 uz GDPR Articles 33 and 34 pārkāpumu paziņošanai un riska izvērtēšanai, NIS2 incidentu paziņošanai un klasifikācijas kritērijiem, kā arī DORA būtisku ar IKT saistītu incidentu klasifikāciju.

Clarysec Incidentu reaģēšanas politika Incidentu reaģēšanas politika atbalsta šo eskalācijas punktu:

“Ja incidents izraisa apstiprinātu vai iespējamu personas datu vai citu reglamentētu datu ekspozīciju, Juridiskajam dienestam un datu aizsardzības speciālistam jāizvērtē šādu prasību piemērojamība:”

No sadaļas “Politikas ieviešanas prasības”, politikas klauzula 6.4.1.

MVU vajadzībām Incidentu reaģēšanas politika-sme Incidentu reaģēšanas politika - SME nosaka tehnisko pierādījumu prasību:

“Žurnalēšanas sistēmas jākonfigurē tā, lai tās fiksētu pietiekamu detalizācijas līmeni izmeklēšanas atbalstam.”

No sadaļas “Politikas ieviešanas prasības”, politikas klauzula 6.4.1.

Šajā brīdī GDPR Article 33 kļūst operacionāls. Jautājums nav tikai par to, vai personas datiem tika piekļūts. Jautājums ir, vai žurnāli, uzraudzības brīdinājumi un incidentu ieraksti ļauj datu aizsardzības speciālistam savlaicīgi un aizstāvami izvērtēt pārkāpumu.

NIS2 Article 23 un DORA Articles 17 to 23 rada līdzīgu spiedienu. Ziņošanas termiņi ir atkarīgi no apzināšanās brīža, klasifikācijas un būtiskuma izvērtēšanas. Organizācijai jāspēj pierādīt, kad brīdinājums tika ģenerēts, kad tas tika pārskatīts, kas to izvērtēja, kāds lēmums tika pieņemts un kad notika eskalācija.

60 minūšu pierādījumu mācības priviliģētas pieteikšanās izmeklēšanai

Noderīgs veids, kā pārbaudīt pierādījumu gatavību, ir pirms audita vai incidenta izspēlēt reālistisku scenāriju.

Scenārijs: priviliģēts administratora konts piesakās no neparastas valsts plkst. 02:13 UTC. Pēc piecām minūtēm konts mēģina piekļūt klientu datu eksportēšanas funkcijai. Nosacītā piekļuve bloķē sesiju, un tiek ģenerēts brīdinājums.

Mērķis: 60 minūšu laikā sagatavot pierādījumu pakotni, kas pierāda atklāšanu, pārskatīšanu, eskalāciju, izvērtēšanu un slēgšanu.

1. solis: apstipriniet, ka notikums pastāv žurnālos

Izmantojiet Žurnalēšanas un uzraudzības politiku, lai identificētu nepieciešamos žurnālu avotus: identitātes nodrošinātāja žurnālus, mākoņvides administratora žurnālus, lietojumprogrammu žurnālus, datubāzes žurnālus, galiekārtu žurnālus un ugunsmūra vai drošas piekļuves žurnālus.

Eksportējiet notikuma ierakstu ar laikspiedolu, lietotāja ID, avota IP, ierīci, darbību, rezultātu un korelācijas ID. Ja notikums pastāv tikai vienā konsolē, bet ne SIEM vai žurnālu kolektorā, reģistrējiet to kā kontroles trūkumu.

Zenith Blueprint Step 19 iesaka nodrošināt, ka kritiskās sistēmas pārsūta žurnālus uz SIEM vai centrālo žurnālu kolektoru, un validēt, ka glabāšana atbilst politikai.

2. solis: pierādiet, ka uzraudzība to atklāja

Parādiet SIEM brīdinājumu, EDR brīdinājumu vai identitātes aizsardzības brīdinājumu. Iekļaujiet noteikuma nosaukumu, smaguma pakāpi, laikspiedolu, iedarbināšanas nosacījumu un paziņošanas maršrutu. Ja organizācija izmanto manuālu pārskatīšanu, parādiet ikdienas pārskatu un pārskatītāja apstiprinājumu.

Uzņēmuma līmeņa Žurnalēšanas un uzraudzības politika to nosaka kā lomas pienākumu:

“Pārskata ikdienas pārskatus un nodrošina, ka anomālijas tiek analizētas, dokumentētas un pēc nepieciešamības eskalētas.”

No sadaļas “Lomas un pienākumi”, politikas klauzula 4.2.3.

3. solis: pierādiet, ka eskalācija notika politikā noteiktajā termiņā

MVU gadījumā eskalācijas prasība ir skaidra:

“Augstas prioritātes brīdinājumi 24 stundu laikā jāeskalē ģenerāldirektoram un privātuma koordinatoram.”

No sadaļas “Ievērošana un atbilstība”, politikas klauzula 8.1.2.

Uzņēmuma līmeņa komandām pierādījumi var ietvert incidenta pieteikumu, Teams vai Slack eskalācijas ierakstu, izsaukumu žurnālu, e-pasta paziņojumu, SOC maiņas nodošanas piezīmi vai lietu pārvaldības ierakstu.

4. solis: klasificējiet notikumu

Izmantojiet 5.25 notikumu izvērtēšanas loģiku no Zenith Controls. Fiksējiet, vai brīdinājums ir drošības notikums, informācijas drošības incidents, personas datu aizsardzības pārkāpums, nozīmīgs NIS2 incidents vai būtisks ar IKT saistīts DORA incidents.

Klasifikācijas piezīmei jāatbild uz šādiem jautājumiem:

• Vai autentifikācija bija veiksmīga vai bloķēta?
• Vai tika izmantota priviliģētā piekļuve?
• Vai klientu datiem tika piekļūts, vai tie tika mainīti vai neatļauti iznesti?
• Vai tika traucēti reglamentēti pakalpojumi?
• Vai tika skarti kritiski IKT aktīvi?
• Vai ir iesaistīti piegādātāji vai apstrādātāji?
• Vai notikums atbilst iekšējiem ziņošanas sliekšņiem?
• Vai nepieciešama datu aizsardzības speciālista, Juridiskā dienesta, regulatora vai klientu informēšana?

5. solis: izveidojiet uzticamu laika skalu

Pulksteņu sinhronizāciju bieži ignorē līdz brīdim, kad izmeklēšana neizdodas. Zenith Blueprint Step 19 norāda, ka sinhronizēts laiks ir būtisks notikumu korelācijai, jo dažādu sistēmu žurnāliem incidenta analīzes laikā jāsakrīt.

Iekļaujiet NTP konfigurācijas pierādījumus identitātes platformām, mākoņpakalpojumiem, serveriem, galiekārtām, datubāzēm, ugunsmūriem un SIEM. Kur iespējams, normalizējiet laikspiedolus uz UTC.

6. solis: slēdziet vai eskalējiet

Ja notikums ir ierobežots un datiem nav piekļūts, dokumentējiet slēgšanu, gūtās mācības un preventīvo darbību. Ja tas kļūst par incidentu, sasaistiet to ar reaģēšanu uz incidentiem, juridisko pārskatīšanu un jebkuru NIS2, DORA vai GDPR ziņošanas darbplūsmu.

Visbeidzot, aizsargājiet pierādījumus. Clarysec Audita un atbilstības uzraudzības politika Audita un atbilstības uzraudzības politika nosaka:

“Visi audita žurnāli, konstatējumi un trūkumu novēršanas pārskati jāglabā, jāšifrē un jāaizsargā pret manipulācijām.”

No sadaļas “Ievērošana un atbilstība”, politikas klauzula 8.5.1.

Šīs vienas mācības sniedz pierādījumus Annex A.8.15, A.8.16, A.8.17, ISO/IEC 27002:2022 kontroles pasākumam 5.25, GDPR pārkāpumu pārskatatbildībai, NIS2 incidentu apstrādei un DORA IKT incidentu klasifikācijai.

Atbilstības pierādījumu karte ISO 27001, NIS2, DORA un GDPR vajadzībām

Spēcīgākās atbilstības programmas neveido atsevišķus pierādījumu kopumus katram ietvaram. Tās veido vienu pierādījumu sistēmu, ko var aplūkot caur vairākām audita perspektīvām.

NIST Cybersecurity Framework 2.0 var palīdzēt to operacionāli izmantot kā komunikācijas slāni. Tā sešas funkcijas — GOVERN, IDENTIFY, PROTECT, DETECT, RESPOND un RECOVER — parāda, ka žurnalēšana un uzraudzība galvenokārt ietilpst DETECT un RESPOND, taču ir atkarīgas no pārvaldības, aktīvu izpratnes un risku prioritātēm.

NIST CSF 2.0 profili var arī atbalstīt 2026. gada ceļkarti. Pašreizējais profils var parādīt šodienas žurnalēšanas pārklājumu un brīdinājumu briedumu. Mērķa profils var definēt nepieciešamo pārklājumu reglamentētām sistēmām, priviliģētām darbībām, piegādātāju platformām un personas datu vidēm. Atšķirība starp tiem kļūst par trūkumu novēršanas plānu.

Piegādātāju un mākoņvides žurnāli: pierādījumu plaisa, ko auditori pārbauda arvien biežāk

Mūsdienu auditos sarežģītākie žurnalēšanas jautājumi bieži ir saistīti ar ārpakalpojuma platformām.

Vai varat piekļūt autentifikācijas žurnāliem pie sava mākoņpakalpojumu sniedzēja? Vai SaaS administratora darbības tiek žurnalētas? Vai datubāzes audita žurnāli pārvaldītajos pakalpojumos ir iespējoti? Vai jūsu MSSP glabā brīdinājumus pietiekami ilgi? Vai līgumi prasa sadarbību incidentu gadījumā? Vai piegādātāji var nodrošināt žurnālus pietiekami ātri NIS2 vai DORA ziņošanas termiņiem? Vai apstrādātāja žurnāli ir pieejami GDPR pārkāpuma izvērtēšanai?

Zenith Controls sasaista Uzraudzības darbības, kontroles pasākumu 8.16, ar piegādātāju pakalpojumu uzraudzību, kontroles pasākumu 5.22. Tas arī kartē uzraudzību uz ISO/IEC 27005:2024 punktu 10.5, kas uzsver riska apstrādes plānu un kontroles pasākumu uzraudzību un pārskatīšanu, un ISO/IEC 27035-2:2023 punktu 7.3, kur nepārtrauktas uzraudzības mehānismi atklāj informācijas drošības notikumus un iedarbina incidentu pārvaldību.

DORA padara piegādātāju žurnalēšanu īpaši svarīgu finanšu vienībām, jo IKT trešo pušu risku pārvaldība ietver piegādātāju reģistrus, līgumiskās vienošanās, apakšuzņēmēju risku, koncentrācijas risku un izstāšanās stratēģijas. NIS2 Article 21 iekļauj piegādes ķēdes drošību kiberdrošības risku pārvaldības pasākumos. GDPR kontekstā piegādātāju žurnāli var būt izšķiroši, ja apstrādātāja incidents var kļūt par pārzinim paziņojamu personas datu aizsardzības pārkāpumu.

Praktiskai piegādātāju žurnalēšanas klauzulai jāprasa:

• Drošībai nozīmīgi audita žurnāli autentifikācijai, privilēģiju izmaiņām, administratīvajām darbībām, API piekļuvei, datu eksportam un konfigurācijas izmaiņām.
• Žurnālu glabāšana, kas saskaņota ar politiku, regulatīvajiem pienākumiem un līguma risku.
• Laika sinhronizācija un laika joslu normalizācija.
• Aizsardzība pret manipulācijām un ierobežota piekļuve žurnāliem.
• Sadarbība incidentu gadījumā noteiktajos termiņos.
• Pierādījumu nodrošināšana auditiem, izmeklēšanām un regulatoru pieprasījumiem.
• Paziņošanas trigeri aizdomīgai piekļuvei, pakalpojuma kompromitēšanai vai datu ekspozīcijai.
• Apakšapstrādātāju žurnalēšanas un eskalācijas pienākumi, ja attiecināmi.

Piegādātāju žurnalēšana jārisina pirms incidenta, nevis jāvienojas par to incidenta laikā.

Kā dažādi auditori pārbauda vienu un to pašu žurnalēšanas kontroles pasākumu

Labai pierādījumu pakotnei jāiztur dažādas profesionālās perspektīvas. ISO auditors, NIS2 pārskatītājs, DORA uzraugs, GDPR pārskatītājs un COBIT 2019 vai ISACA orientēts auditors var skatīties uz vienu un to pašu SIEM informācijas paneli, taču uzdos atšķirīgus jautājumus.

Zenith Blueprint Step 19 sagatavo organizācijas šiem jautājumiem. Žurnalēšanas gadījumā auditori koncentrējas uz to, vai būtiski drošības notikumi tiek žurnalēti un vai žurnāli tiek glabāti, aizsargāti un ir izmantojami. Uzraudzības darbību gadījumā viņi jautā, kā tiek atklāta, izvērtēta un eskalēta neparasta vai nesankcionēta darbība. Pulksteņu sinhronizācijas gadījumā viņi var salīdzināt laikspiedolus starp sistēmām un norādīt uz nesakritībām.

Step 16: People Controls II, kontroles pasākums 6.8, arī ir svarīgs, jo incidentu ziņošanas mehānismi savieno cilvēku ziņošanu ar tehnisko atklāšanu. GDPR Article 33, NIS2 Article 23 un DORA incidentu ziņošanas pienākumi visi ir atkarīgi no savlaicīgas iekšējās eskalācijas.

Biežākie audita konstatējumi un praktiski labojumi

Lielākā daļa žurnalēšanas un uzraudzības konstatējumu ir paredzami. Problēma ir tā, ka organizācijas tos bieži atklāj audita laikā, nevis iekšējās testēšanas laikā.

Organizācijām ar ierobežotiem resursiem MVU politikas pieeja ir reālistiska. Tā neprasa pilnu SOC jau pirmajā dienā. Tā prasa definētus pārskatīšanas grafikus, 12 mēnešu glabāšanu, ja vien nav vajadzīgs ilgāks periods, glabātuvi ar rakstīšanas aizsardzību, ierobežotu piekļuvi un augstas prioritātes brīdinājumu eskalāciju. Tas izveido aizstāvamu pamatlīmeni, kamēr organizācija nobriest centralizēta SIEM, automatizētas korelācijas un pārvaldītas detektēšanas virzienā.

Metrika, kas padara žurnalēšanu ticamu vadībai

Valdēm un augstākajai vadībai nav nepieciešami neapstrādāti SIEM notikumi. Tiem nepieciešams ar risku saistīts apliecinājums. Tā kā NIS2 Article 20 un DORA pārvaldības prasības uzliek atbildību vadības struktūrām, žurnalēšanas un uzraudzības metrikai jābūt iekļautai drošības pārvaldības ziņošanā.

Noderīga metrika ietver:

• Kritisko aktīvu procentuālo daļu, kas pārsūta žurnālus uz SIEM vai žurnālu kolektoru.
• Priviliģētās piekļuves notikumu procentuālo daļu, ko aptver brīdināšana.
• Augstas prioritātes brīdinājumu skaitu, kas pārskatīti SLA ietvaros.
• Vidējo laiku no brīdinājuma ģenerēšanas līdz analītiķa pārskatīšanai.
• Vidējo laiku no atklāšanas līdz eskalācijai.
• Notikumu skaitu, kas klasificēti reaģēšanas uz incidentiem procesa ietvaros.
• Notikumu skaitu, kuriem nepieciešama datu aizsardzības speciālista vai Juridiskā dienesta pārskatīšana.
• Žurnālu glabāšanas atbilstību pēc sistēmu kategorijas.
• Piegādātāju platformu skaitu ar līgumiski nodrošinātu piekļuvi žurnāliem.
• Sistēmu skaitu, kas neiztur pulksteņu sinhronizācijas pārbaudes.
• Atvērtās žurnalēšanas un uzraudzības trūkumu novēršanas darbības pēc riska līmeņa.

Šī metrika atbalsta ISO/IEC 27001:2022 punktu 6.2 par izmērāmiem informācijas drošības mērķiem. Tā arī stiprina NIS2 un DORA vadības pārraudzību un GDPR pārskatatbildību.

2026. gada žurnalēšanas un uzraudzības pierādījumu pakotnes izveide

Spēcīga 2026. gada pierādījumu pakotne jāsagatavo pirms audita vai incidenta. Clarysec parasti iesaka strukturētu mapi vai GRC pierādījumu objektu ar šādām sadaļām:

1. Pārvaldība un darbības joma: ISMS darbības joma, ieinteresētās puses, regulatīvā piemērojamība, vadības apstiprinājums un lomu piešķīrumi.
2. Politika: Žurnalēšanas un uzraudzības politika, Incidentu reaģēšanas politika, Audita un atbilstības uzraudzības politika, glabāšanas prasības un eskalācijas prasības.
3. Risks un SoA: risku izvērtēšana, riska apstrādes plāns, piemērojamības deklarācijas pamatojums A.8.15, A.8.16, A.8.17 un saistītajiem kontroles pasākumiem.
4. Arhitektūra: SIEM vai žurnālu kolektora shēma, žurnālu avotu uzskaite, mākoņvides žurnalēšanas iestatījumi un piegādātāju žurnālu atkarības.
5. Kontroles darbība: pārskatīšanas ieraksti, brīdinājumi, pieteikumi, eskalācijas žurnāli, slēgšanas pierādījumi un izņēmumi.
6. Saiste ar incidentiem: notikumu klasifikācijas darba lapa, incidentu reģistrs, datu aizsardzības speciālista izvērtēšanas ieraksts un ziņošanas lēmumu žurnāls.
7. Integritāte un glabāšana: piekļuves kontroles pasākumi, šifrēšana, rakstīšanas aizsardzība, arhīva iestatījumi, dzēšanas kontroles pasākumi un glabāšanas pierādījumi.
8. Laika sinhronizācija: NTP konfigurācija, droša pamatkonfigurācija, pulksteņa novirzes uzraudzība un UTC normalizācijas pieeja.
9. Piegādātāju pierādījumi: līguma klauzulas, piegādātāju apliecinājuma pārskati, mākoņvides audita žurnālu pieejamība un sadarbības procedūras incidentu gadījumā.
10. Uzlabošana: iekšējā audita konstatējumi, trūkumu novēršanas izsekošanas rīks, galda mācību rezultāti, brīdinājumu pielāgošanas ieraksti un vadības pārskati.

Mērķis nav pārpludināt auditorus ar apjomu. Mērķis ir pierādīt, ka žurnalēšana un uzraudzība darbojas kā kontrolēts process no pārvaldības līdz atklāšanai, izvērtēšanai, eskalācijai, ziņošanai un uzlabošanai.

Pārvērtiet žurnālus par aizstāvamiem atbilstības pierādījumiem

Marijas komanda neatrisināja problēmu, nopērkot vēl vienu informācijas paneli. Tā atrisināja problēmu, pārvēršot žurnalēšanu un uzraudzību par pierādījumu dzinēju. Politikas definēja prasības. SIEM noteikumi un mākoņvides žurnāli nodrošināja signālus. Incidentu darbplūsmas fiksēja lēmumus. Pulksteņu sinhronizācija padarīja laika skalu ticamu. Vadības ziņošana padarīja risku redzamu.

Tas ir standarts, kas organizācijām nepieciešams ISO/IEC 27001:2022, NIS2, DORA un GDPR vajadzībām 2026. gadā.

Sāciet ar vienu praktisku pārbaudi: paņemiet reālu brīdinājumu no pēdējām 30 dienām un no sākuma līdz beigām pierādiet, kā tas tika žurnalēts, atklāts, pārskatīts, eskalēts, klasificēts, glabāts un paziņots.

Ja atbilde nav pārliecinoša, Clarysec var palīdzēt novērst trūkumu.

Izmantojiet Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint, lai ieviestu Step 19 žurnalēšanai, uzraudzībai un pulksteņu sinhronizācijai, kā arī Step 16 incidentu ziņošanas mehānismiem. Izmantojiet Zenith Controls: The Cross-Compliance Guide Zenith Controls, lai kartētu Annex A.8.15, A.8.16, A.8.17 un ISO/IEC 27002:2022 kontroles pasākumu 5.25 NIS2, DORA, GDPR, NIST CSF 2.0 un COBIT 2019 perspektīvās.

Pēc tam ieviesiet prasības operacionāli, izmantojot Clarysec Žurnalēšanas un uzraudzības politiku Žurnalēšanas un uzraudzības politika, Žurnalēšanas un uzraudzības politika-sme Žurnalēšanas un uzraudzības politika - SME, Incidentu reaģēšanas politiku Incidentu reaģēšanas politika, Incidentu reaģēšanas politika-sme Incidentu reaģēšanas politika - SME un Audita un atbilstības uzraudzības politiku Audita un atbilstības uzraudzības politika.

Žurnāli nav pierādījumi, kamēr tie netiek pārvaldīti, aizsargāti, pārskatīti un sasaistīti ar lēmumiem. Organizācijas, kas var pierādīt šo ķēdi, ātrāk izies auditus, labāk reaģēs uz incidentiem un sniegs vadībai pārliecību, kad pienāks nākamais brīdinājums plkst. 2:17 naktī.