⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →
LV EN BG CS DA DE EL ES ET FI FR GA HR HU IT LT MT NL PL PT RO SK SL SV
NIS2 DORA GDPR NIST COBIT 2019

ISO 27001 draudu izlūkošana NIS2 un DORA vajadzībām

Igor Petreski
15 min read
#Risku pārvaldība #Audits #IDPS #Reaģēšana uz incidentiem #Piegādātāju pārvaldība #Žurnālfiksēšana un uzraudzība
ISO 27001 draudu izlūkošanas darbplūsma NIS2 un DORA atbilstības pierādījumiem

Otrdienas rītā plkst. 07.42 Eiropas finanšu tehnoloģiju uzņēmuma CISO vēl pirms kafijas saņem četrus ziņojumus.

Pirmais ir nacionālā CERT brīdinājums, ka attālinātās piekļuves ievainojamība tiek aktīvi izmantota. Otrais ir piegādātāja drošības biļetens, kas apstiprina, ka skartā komponente tiek izmantota pārvaldītā failu pārsūtīšanas pakalpojumā. Trešais ir pārvaldītās atklāšanas un reaģēšanas pakalpojuma (MDR) paziņojums par neparastu izejošo datplūsmu no ārpusprodukcijas apakštīkla. Ceturtais ir no finanšu direktora: “Vai tas ietekmē mūsu DORA gatavības pakotni, un vai saskaņā ar NIS2 mums kāds ir jāinformē?”

Tā ir draudu izlūkošanas problēma 2026. gadā. Runa nav par arvien lielāka plūsmu skaita ievākšanu. Runa ir par spēju pierādīt, ka būtiska kiberdraudu izlūkošana tiek saņemta, validēta, novirzīta, apstrādāta un pārvērsta riska, detektēšanas, ievainojamību, incidentu, piegādātāju un valdes līmeņa pierādījumos.

Daudzas organizācijas jau abonē piegādātāju paziņojumus, CISA brīdinājumus, ENISA atjauninājumus, nacionālo CERT paziņojumus, ISAC biļetenus, mākoņpakalpojumu sniedzēju drošības paziņojumus, CVE plūsmas, MDR pārskatus, ekspluatācijas datubāzes un tumšā tīmekļa uzraudzību. Tomēr, kad pienāk reāls paziņojums, komandas joprojām steidzas improvizēt. SOC raksta detektēšanas noteikumu. Infrastruktūras komanda meklē aktīvu uzskaites datus, kas var nebūt aktuāli. Atbilstības funkcija jautā, vai notikums ietekmē NIS2 vai DORA. Vadība vēlas skaidru atbildi vēl pirms organizācija zina, vai ievainojamā komponente vispār ir produkcijas vidē.

Problēma nav datu trūkums. Problēma ir auditējama darbības modeļa trūkums.

Draudu plūsma, kuru neviens neizmanto, nav kontroles pasākums. Ievainojamības paziņojums, kas nemaina ielāpu prioritāti, nav pierādījums. Piegādātāja paziņojums, kas nekad nenonāk riska reģistrā, nav piegādes ķēdes drošība. CSIRT brīdinājums, kas neatjaunina uzraudzību, incidentu triāžu vai vadības ziņošanu, ir tikai troksnis iesūtnē.

Clarysec pieeja ir vienkārša: draudu izlūkošanai jākļūst par riska lēmumu operacionālo sistēmu. Tai jābūt iestrādātai ISMS darbības jomā, risku izvērtēšanā, Piemērojamības paziņojumā, incidentu reaģēšanas instrukcijās, ievainojamību triāžā, žurnālfiksēšanā un uzraudzībā, piegādātāju pārvaldībā, vadības ziņošanā un audita pierādījumu pakotnē.

Kāpēc draudu izlūkošana tagad ir valdes līmeņa kontroles pasākums

NIS2 mainīja kiberdrošības pārvaldības toni. Tā darbības jomā iekļauj daudzus SaaS pakalpojumu sniedzējus, mākoņpakalpojumu sniedzējus, pārvaldīto pakalpojumu sniedzējus (MSP), pārvaldīto drošības pakalpojumu sniedzējus, digitālās infrastruktūras organizācijas un digitālo pakalpojumu sniedzējus kā būtiskas vai svarīgas vienības atkarībā no nozares, lieluma un dalībvalsts noteiktās klasifikācijas.

NIS2 Article 21 prasa piemērot atbilstošus un samērīgus tehniskus, operacionālus un organizatoriskus pasākumus risku pārvaldībai. Tie ietver riska analīzi, incidentu apstrādi, darbības nepārtrauktību, piegādes ķēdes drošību, drošību iegādē, izstrādē un uzturēšanā, tostarp ievainojamību apstrādi un izpaušanu, efektivitātes izvērtēšanu, pamata kiberdrošības higiēnu un apmācību, kriptogrāfiju, cilvēkresursu drošību, piekļuves kontroli, aktīvu pārvaldību un MFA vai nepārtrauktu autentifikāciju, ja tas ir piemērojami.

NIS2 Article 20 arī prasa vadības institūcijām apstiprināt kiberdrošības risku pārvaldības pasākumus, pārraudzīt to ieviešanu un saņemt apmācību. Būtiskām vienībām maksimālais administratīvais naudas sods var sasniegt vismaz 10 miljonus EUR vai 2 procentus no pasaules gada apgrozījuma, atkarībā no tā, kura summa ir lielāka. Svarīgām vienībām tas var sasniegt vismaz 7 miljonus EUR vai 1,4 procentus.

Draudu izlūkošanas kontekstā valdes līmeņa jautājums ir šāds: kā mēs zinām, ka jaunie apdraudējumi maina mūsu kontroles pasākumus, pirms tie kļūst par incidentiem?

DORA pievieno vēl vienu slāni finanšu vienībām un attiecīgajiem IKT trešo pušu pakalpojumu sniedzējiem. Tā ir piemērojama no 2025. gada 17. janvāra un prasa pamatotu, visaptverošu un labi dokumentētu IKT risku pārvaldības ietvaru, kas integrēts kopējā risku pārvaldības sistēmā. DORA ietvars paredz, ka organizācijas identificē un klasificē ar IKT atbalstītās biznesa funkcijas un aktīvus, aizsargā un novērš, atklāj anomālas aktivitātes, reaģē un atjauno darbību, pārvalda rezerves kopijas un atjaunošanu, mācās no IKT incidentiem, komunicē krīžu laikā un pārvalda IKT trešo pušu risku.

DORA prasa arī ar IKT saistītu incidentu pārvaldību, klasifikāciju un ziņošanu. Articles 17, 18 un 19 aptver incidentu pārvaldības procesus, ar IKT saistītu incidentu un kiberdraudu klasifikāciju, kā arī ziņošanu par būtiskiem ar IKT saistītiem incidentiem. Article 10 koncentrējas uz anomālu aktivitāšu atklāšanu. Articles 6 to 11 apraksta IKT risku pārvaldības ietvaru un identificēšanas, aizsardzības, novēršanas, atklāšanas, reaģēšanas un atjaunošanas prasības.

Vienkārši sakot, DORA sagaida uz apdraudējumiem balstītu noturību. Ne statisku noturību. Ne ikgadējas politikas noturību. Uz apdraudējumiem balstītu noturību.

ISO/IEC 27001:2022 nodrošina pārvaldības sistēmas mehānismu, kas savieno šīs prasības. Clauses 4.1 to 4.4 prasa organizācijai izprast tās iekšējo un ārējo kontekstu, ieinteresētās puses, juridiskos un regulatīvos pienākumus, ISMS darbības jomu, atkarības un savstarpēji saistītos procesus. Clauses 6.1.1 to 6.1.3 prasa atkārtojamu risku izvērtēšanas un riska apstrādes procesu, kontroles pasākumu atlasi, salīdzinājumu ar Annex A, Piemērojamības paziņojumu, apstrādes plānošanu un riska īpašnieka apstiprinājumu atlikušajam riskam.

Draudu izlūkošanai ir jāatrodas tieši šajā vietā — nevis kā blakus esošam informācijas panelim, bet kā ievadei kontekstā, riskā, kontroles pasākumu atlasē, apstrādē, uzraudzībā, vadības pārskatīšanā un nepārtrauktā uzlabošanā.

Atbilstības slazds: draudu plūsmas bez lēmumu izsekojamības

Visbiežākais neveiksmes modelis ir maldinoši vienkāršs: organizācija saņem draudu izlūkošanu, bet nespēj pierādīt, kā tā maina lēmumus.

Vāja pierādījumu ķēde parasti izskatās šādi:

Saņemtais signālsVāja reakcijaAuditora bažas
CERT brīdinājums par aktīvu ekspluatācijuPārsūtīts uz IT pastkastiNav pierādījumu par risku izvērtēšanu, īpašumtiesībām vai rīcību
Piegādātāja biļetens par kritisku ielāpuPievienots pieteikumu rindaiNav prioritizācijas pēc aktīva kritiskuma vai ekspluatācijas aktivitātes
MDR detektēta aizdomīga komandrindaSlēgts kā kļūdaini pozitīvs gadījumsNav dokumentētu triāžas kritēriju vai mācīšanās cikla
Piegādātāja paziņojums par kompromitētu atkarībuIesniegts iepirkumu mapēNav piegādātāja riska atjauninājuma vai kompensējošo kontroles pasākumu pārskatīšanas
ISAC brīdinājums par nozares kampaņuPieminēts SOC sanāksmēNav uzraudzības, informētības vai incidentu reaģēšanas instrukciju atjauninājuma

Šeit Clarysec ieviešanas metode palīdz organizācijām pāriet no “mēs saņemam izlūkošanu” uz “mēs izlūkošanu izmantojam operacionāli”.

Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint sadaļā Controls in Action draudu izlūkošana tiek tieši pārvērsta auditējamā praksē. Step 22, Organizational controls, nosaka:

Izveidojiet dokumentētu draudu izlūkošanas avotu sarakstu (5.7) no piegādātājiem, ISAC vai atvērtajiem avotiem un nosakiet, kā izlūkdati tiek validēti un integrēti lēmumu pieņemšanā. Definējiet, kas saņem draudu atjauninājumus un kā tie tiek piemēroti (piem., ielāpu prioritizācija, informētības apmācība). Izveidojiet īsu draudu tendenču instruktāžu, ko reizi ceturksnī izplatīt galvenajām ieinteresētajām pusēm.

Šī instrukcija ir tilts starp draudu datiem un atbilstības pierādījumiem. Draudu izlūkošanas reģistrs nav tikai avotu saraksts. Tas pierāda atbilstību vajadzībām, īpašumtiesības, validāciju, novirzīšanu, integrāciju un izmantošanu organizācijas darbībā.

ISO 27001 kontroles loģika: draudu izlūkošanas ķēde

ISO/IEC 27002:2022 kontroles pasākums 5.7, Threat intelligence, prasa organizācijām vākt un analizēt informāciju par informācijas drošības apdraudējumiem un izmantot to draudu izlūkošanas sagatavošanai. Zenith Controls: The Cross-Compliance Guide Zenith Controls kontroles pasākums 5.7 ir klasificēts kā preventīvs, detektējošs un koriģējošs. Tas atbalsta konfidencialitāti, integritāti un pieejamību, ir saskaņots ar Identify, Detect un Respond kiberdrošības konceptiem un ietilpst draudu un ievainojamību pārvaldībā kā operacionāla spēja.

Šī klasifikācija ir būtiska. Draudu izlūkošana novērš riskus, sniedzot ievadi drošai konfigurēšanai, ielāpu uzstādīšanai, apmācībai un piegādātāju kontroles pasākumiem. Tā detektē, veidojot uzraudzību, SIEM noteikumus un draudu medību uzdevumus. Tā koriģē, uzlabojot reaģēšanu uz incidentiem, gūtās mācības un riska apstrādi.

Zenith Controls arī sasaista ISO/IEC 27002:2022 kontroles pasākumu 5.7 ar atbalstošajiem kontroles pasākumiem:

ISO/IEC 27002:2022 kontroles pasākumu saistībaKāpēc tas ir svarīgi praksē
5.6 Saziņa ar īpašām interešu grupāmISAC, CERT, profesionālie forumi un nozares kopienas ir izlūkošanas avoti, nevis tikai tīklošanās papildinājumi
8.7 Aizsardzība pret ļaunprogrammatūrukompromitācijas indikatori (IOC), ļaunprātīgi URL, jaucējvērtības, vadības un kontroles infrastruktūra un uzbrukumu modeļi atjaunina galapunktu un e-pasta aizsardzību
8.8 Tehnisko ievainojamību pārvaldībaReālajā vidē ekspluatētu ievainojamību izlūkošana maina ievainojamību prioritāti un ielāpu steidzamību
8.15 ŽurnālfiksēšanaŽurnāli nodrošina faktisko ierakstu, kas nepieciešams indikatoru meklēšanai un darbību rekonstrukcijai
8.16 Uzraudzības darbībasDraudu izlūkošana norāda SOC, ko uzraudzīt, savukārt uzraudzība rada iekšējo izlūkošanu
5.25 Informācijas drošības notikumu izvērtēšana un lēmumsIzlūkošanā balstīta triāža palīdz noteikt, vai notikums ir drošības incidents

Saikne ar ievainojamībām ir īpaši svarīga. Zenith Controls uzskata kontroles pasākumu 8.8, Management of technical vulnerabilities, par preventīvu un tieši saistītu ar kontroles pasākumu 5.7, jo reālās vides draudu izlūkošana parāda, kuras ievainojamības tiek aktīvi ekspluatētas. Tas arī sasaista 8.8 ar 8.16, Monitoring activities, jo novēroti ekspluatācijas mēģinājumi jāeskalē ielāpu steidzamībā.

Tas izveido praktisku draudu izlūkošanas ķēdi:

  1. Pienāk ārēja vai iekšēja izlūkošana.
  2. Tās atbilstība tiek validēta pret aktīviem, piegādātājiem, ģeogrāfiju, nozari, biznesa pakalpojumiem un datiem.
  3. Risks tiek atjaunināts.
  4. Mainās ielāpu un konfigurācijas prioritātes.
  5. Tiek pielāgota detektēšanas loģika.
  6. Tiek pārskatītas incidentu reaģēšanas instrukcijas un klasifikācijas sliekšņi.
  7. Tiek pārbaudītas piegādātāju un mākoņpakalpojumu atkarības.
  8. Vadība saņem tendenču ziņojumus.
  9. Pierādījumi tiek saglabāti auditoriem, regulatoriem un klientiem.

Politikas, kas izlūkošanu pārvērš pārskatatbildīgā rīcībā

Politikas ir vieta, kur kontroles loģika kļūst par lomās balstītu pārskatatbildību. Clarysec MVU un uzņēmuma politiku kopās draudu izlūkošanas sasaistes ir iestrādātas risku pārvaldībā, galapunktu aizsardzībā, ievainojamību pārvaldībā, žurnālfiksēšanā, uzraudzībā un audita pierādījumos.

MVU vajadzībām Endpoint Protection - Malware Policy Endpoint Protection - Malware Policy - SME Governance Requirements punktā 5.4.1 nosaka tiešu prasību:

IT atbalsta pakalpojumu sniedzējam jāuzrauga uzticami draudu izlūkošanas avoti (piem., CISA, ENISA, lielākie antivīrusu programmatūras piegādātāji) un jānodrošina, ka atklāšanas signatūras paliek aktuālas

Šī punkta vērtība ir atbildības piešķiršana. Draudu izlūkošana nav “kādam IT vajadzētu pārbaudīt brīdinājumus”. Tas ir skaidrs pakalpojumu sniedzēja pienākums.

Vulnerability and Patch Management Policy Vulnerability and Patch Management Policy - SME nostiprina to pašu modeli Roles and Responsibilities punktā 4.2.1:

Uzrauga sistēmas attiecībā uz ievainojamībām un pieejamiem ielāpiem, izmantojot piegādātāju brīdinājumus, draudu izlūkošanas paziņojumus un operētājsistēmas līmeņa paziņojumus

Tā Policy Implementation Requirements punktā 6.2.1.3 arī identificē avota tipu, kam jāierosina rīcība:

Uzticami draudu izlūkošanas paziņojumi (piem., CISA, ENISA, nacionālā CERT brīdinājumi)

Uzņēmumiem Vulnerability and Patch Management Policy Vulnerability and Patch Management Policy Roles and Responsibilities punktā 4.5.1 nosaka:

Uzraudzīt draudu paziņojumus (piem., CVE, CISA KEV, piegādātāju biļetenus) un eskalēt kritiskās ievainojamības.

Eskalācijas prasība ir kritiska. Ievainojamība kļūst steidzama, kad sakrīt ekspluatējamība, ekspozīcija, darbībai kritiska nozīme, datu sensitivitāte un apdraudējumu aktivitāte.

Risk Management Policy Risk Management Policy iestrādā draudu izlūkošanu analīzē. Policy Implementation Requirements punkts 6.2.2 nosaka:

Analīzē jāņem vērā esošo kontroles pasākumu efektivitāte, attiecīgā draudu izlūkošana, aktīvu kritiskums un ievainojamību smaguma pakāpe.

Šis punkts ir auditam gatavas draudu izlūkošanas kodols. Tas pierāda, ka riska analīze nav teorētiska.

Logging and Monitoring Policy Logging and Monitoring Policy pārvērš izlūkošanu detektēšanā. Tās Purpose punkts 1.2 nosaka:

Audita žurnālu reģistrēšana, uzraudzība un draudu atklāšana ir kritiski svarīga anomāliju noteikšanai, reaģēšanai uz apdraudējumiem, kriminālistiskajai pārbaudei, gatavībai auditam un atbilstībai tiesiskajām prasībām. Šī politika nodrošina, ka visi sistēmas ģenerētie notikumi tiek pienācīgi reģistrēti, glabāti un korelēti ar laika ziņā sinhronizētu precizitāti.

Visbeidzot, Audit and Compliance Monitoring Policy Audit and Compliance Monitoring Policy skaidro, kāpēc pierādījumu disciplīna ir svarīga. Objectives punkts 3.4 prasa organizācijai ģenerēt pierādījumus:

Lai sagatavotu pamatotus pierādījumus un audita pēdu regulatoru pieprasījumu, tiesvedības vai klientu apliecinājuma pieprasījumu atbalstam.

Kad NIS2, DORA, klients vai ISO auditors jautā, ko jūs zinājāt, kad to zinājāt, kurš pieņēma lēmumu un kas mainījās, šī pierādījumu pēda ir atšķirība starp nobriedušu apliecinājumu un improvizētu aizsardzības režīmu.

Izveidojiet draudu izlūkošanas reģistru

Nobriedušam reģistram ir divi slāņi: avotu pārvaldība un notikumu izsekošana. Avotu pārvaldība nosaka, kam organizācija uzticas, kas par to atbild, kā tas tiek validēts un kādu rīcību tas var ierosināt.

Avota nosaukumsTipsValidācijas processIntegrācijas punktsĪpašnieks
CISA KEV katalogsOperacionālsKrusteniski salīdzināt ar aktīvu uzskaiti un ekspozīcijuIerosināt ārkārtas ielāpu prioritizācijuIevainojamību pārvaldība
ENISA paziņojumiStratēģisksRiska īpašnieka vai risku komitejas pārskatīšanaAtjaunināt riska scenārijus un vadības instruktāžuGalvenais informācijas drošības vadītājs
Nozares ISACTaktisksAnalizēt IOC atbilstību tehnoloģiju stekamAtjaunināt SIEM, EDR un draudu medību uzdevumusSOC vadītājs
Mākoņpakalpojumu sniedzēja biļeteniOperacionālsVerificēt skartos pakalpojumus un reģionusEskalēt mākoņinženierijaiDevOps vadītājs
Piegādātāja ielāpu paziņojumiOperacionālsApstiprināt produktu, versiju un izvietošanas apjomuPievienot ielāpu ciklam vai ārkārtas izmaiņaiIT operācijas
MDR paziņojumiTaktisks un operacionālsVeikt triāžu pret žurnāliem, aktīviem un zināmām bāzlīnijāmAtvērt detektēšanas, izmeklēšanas vai incidenta lietuDrošības operācijas
Piegādātāju drošības paziņojumiOperacionālsKartēt uz līgumā paredzētajiem pakalpojumiem un datu plūsmāmAtjaunināt piegādātāja risku un kompensējošos kontroles pasākumusPiegādātāja īpašnieks

Notikumu izsekošana fiksē, kā konkrēts paziņojums kļuva par pierādījumu. Atgriežoties pie otrdienas rīta failu pārsūtīšanas scenārija, reģistra ierakstam jāietver pietiekama informācija, lai atbalstītu riska, reaģēšanas un atbilstības lēmumus.

LauksIeraksta piemērs
Saņemšanas datums un laiks2026-05-26 07:42 UTC
AvotsNacionālā CERT brīdinājums, piegādātāja biļetens, MDR paziņojums
Avota tipsValsts paziņojums, piegādātāja paziņojums, iekšēja detektēšana
Skartā tehnoloģijaPārvaldīts failu pārsūtīšanas pakalpojums, versiju diapazons, atkarīgās bibliotēkas
Biznesa īpašnieksPlatformas operāciju vadītājs
Riska īpašnieksGalvenais informācijas drošības vadītājs
Aktīva sasaisteĀrējā failu pārsūtīšanas vārteja, klientu ziņošanas darbplūsma
Sākotnējā smaguma pakāpeAugsta, līdz ekspozīcijas validācijai
Nepieciešamās darbībasEkspozīcijas pārbaude, ielāpu statuss, detektēšanas pārskatīšana, piegādātāja apstiprinājums
Atbilstības nozīmeNIS2 Article 21, NIS2 Article 23, ja ir izpildīti nozīmīga incidenta kritēriji; DORA IKT risks un incidenta dzīves cikls, ja piemērojams
Pierādījumu atrašanās vietaPieteikums, riska reģistra atjauninājums, SIEM izmaiņa, vadības piezīme

Tā nav birokrātija. Tas ir faktiskais ieraksts, kas pierāda, ka organizācijai ir definēts pieņemšanas, validācijas, triāžas, eskalācijas un pierādījumu process.

No paziņojuma līdz audita pierādījumiem: praktiska darbplūsma

Draudu izlūkošanas darbplūsmai ātri jāatbild uz sešiem jautājumiem: vai esam pakļauti riskam, cik nopietni tas ir, kas jāmaina, kurš ir īpašnieks, vai mums jāziņo un kādi pierādījumi jāsaglabā?

1. Validējiet ekspozīciju un biznesa ietekmi

ISO/IEC 27001:2022 clauses 4.1 to 4.4 prasa, lai ISMS atspoguļotu organizācijas faktisko kontekstu, pienākumus un atkarības. Pirmais uzdevums nav akli uzstādīt ielāpus. Tas ir ekspozīcijas validācija.

Jautājiet:

  • Vai mēs izmantojam skarto tehnoloģiju?
  • Vai tā ir pieejama no interneta?
  • Vai to izmanto kritisks biznesa pakalpojums?
  • Vai tā apstrādā personas datus?
  • Vai to ekspluatē piegādātājs vai pārvaldīto pakalpojumu sniedzējs?
  • Vai tā attiecas uz DORA kritisku vai svarīgu funkciju?
  • Vai tā attiecas uz pakalpojumiem NIS2 darbības jomā?
  • Vai pastāv līgumiski paziņošanas pienākumi klientiem?
  • Vai žurnāli ir pieejami, pilnīgi un sinhronizēti laikā?

Ja var tikt ietekmēti personas dati, analīzē iekļaujas arī GDPR pārskatatbildība. GDPR prasa atbilstošu apstrādes drošību un pierādāmu pārskatatbildību, tostarp spēju izvērtēt, vai ir noticis personas datu aizsardzības pārkāpums un vai nepieciešama paziņošana.

2. Atjauniniet riska reģistru

Risk Management Policy Risk Management Policy - SME Governance Requirements punktā 5.1.3 sniedz vienkāršu termiņa noteikumu:

Riski jāpārskata reizi ceturksnī un jāatjaunina, kad notiek nozīmīgi notikumi.

Uzticams paziņojums par aktīvu ekspluatāciju ir nozīmīgs notikums. Atjauninājums nedrīkst gaidīt nākamo ceturkšņa pārskatīšanu.

Riska elementsAtjauninātais izvērtējums
ApdraudējumsPārvaldīta failu pārsūtīšanas pakalpojuma ievainojamības aktīva ekspluatācija
IevainojamībaSkartā versija, eksponēta saskarne, vāja konfigurācija, trūkstošs ielāps
AktīvsKlientu datu apmaiņas platforma
SekasPakalpojumu darbības traucējumi, nesankcionēta piekļuve datiem, regulatīvā ziņošana, ietekme uz klientu uzticēšanos
VarbūtībaPalielināta, jo notiek aktīva ekspluatācija reālajā vidē
Esošie kontroles pasākumiMFA, WAF, galapunktu aizsardzība, SIEM uzraudzība, rezerves kopijas, piegādātāja SLA
Kontroles trūkumiIelāps nav apstiprināts, detektēšana nav pielāgota, piegādātāja pierādījumi gaida apstiprinājumu
ApstrādeĀrkārtas ielāps, pagaidu tīkla ierobežojums, IOC medības, piegādātāja apliecinājums, klientu ietekmes izvērtēšana
Atlikušā riska īpašnieksGalvenais informācijas drošības vadītājs un Platformas operāciju īpašnieks

Tas tieši sasaistās ar ISO/IEC 27001:2022 clauses 6.1.1-6.1.3. Organizācija identificē risku, analizē varbūtību un sekas, prioritizē apstrādi, atlasa kontroles pasākumus, uztur Piemērojamības paziņojumu, izveido riska apstrādes plānu un saņem atlikušā riska apstiprinājumu.

3. Prioritizējiet ievainojamību apstrādi, izmantojot ekspluatācijas izlūkošanu

Zenith Blueprint sadaļā Controls in Action, Step 19, Technological Controls I, skaidro, kāpēc ievainojamību pārvaldība ir kiberdrošības higiēnas pamats:

Ievainojamību pārvaldība ir viena no kritiskākajām mūsdienu kiberdrošības higiēnas jomām. Lai gan ugunsmūri un antivīrusu rīki nodrošina aizsardzību, tos var vājināt, ja neielāpītas sistēmas vai nepareizi konfigurēti pakalpojumi paliek eksponēti. Lai izpildītu šo kontroles pasākumu, organizācijām jāievieš strukturēts un atkārtojams process ievainojamību identificēšanai, izvērtēšanai un novēršanai.

Ar CVSS vien nepietiek. Vidēji novērtēta ievainojamība, kas tiek aktīvi ekspluatēta no interneta pieejamā sistēmā, var būt steidzamāka nekā augsti novērtēta ievainojamība segmentētā laboratorijā.

FaktorsJautājumsPierādījumi
Ekspluatācijas aktivitāteVai ekspluatācija tiek novērota vai par to ziņo uzticami avoti?CERT brīdinājums, CISA KEV atsauce, piegādātāja biļetens, MDR pārskats
EkspozīcijaVai aktīvs ir pieejams no interneta vai sasniedzams piegādātājiem?Aktīvu uzskaite, mākoņdrošības stāvoklis, tīkla skenēšana
Biznesa kritiskumsVai tas atbalsta būtiskus pakalpojumus vai kritiskas funkcijas?Biznesa ietekmes analīze, DORA funkciju kartēšana
Datu sensitivitāteVai tas apstrādā personas datus, reglamentētus finanšu datus vai konfidenciālus klientu datus?Datu uzskaite, DPIA, apstrādes ieraksti
Kompensējošie kontroles pasākumiVai WAF, ugunsmūra noteikumi, segmentēšana, EDR vai funkcijas atspējošana var mazināt risku?Izmaiņu pieteikums, ugunsmūra noteikums, EDR politika
Operacionālais risksVai ārkārtas ielāpu uzstādīšana var traucēt kritisku pakalpojumu nodrošināšanu?Izmaiņu izvērtēšana, atcelšanas plāns, nepārtrauktības plāns

Tas rada pamatotu lēmumu. Tas arī atbalsta NIS2 Article 21(2)(e) ievainojamību apstrādei, NIS2 Article 21(2)(g) kiberdrošības higiēnai un DORA IKT risku pārvaldības prasības.

4. Pārvērtiet izlūkošanu uzraudzībā un detektēšanā

Draudu izlūkošanai jāsasniedz žurnālfiksēšana un uzraudzība. Logging and Monitoring Policy Logging and Monitoring Policy - SME Policy Implementation Requirements punktā 6.2.1 nosaka:

Drošības rīki (piem., antivīrusu programmatūra, ugunsmūri, VPN) jākonfigurē tā, lai tie ģenerētu brīdinājumus definētiem apdraudējumu scenārijiem, tostarp:

Fragments skaidri nosaka kontroles nodomu: definētiem apdraudējumu scenārijiem jāvirza brīdināšana.

Zenith Blueprint sadaļā Controls in Action, Step 19, uzraudzības darbības raksturo šādi:

Ja žurnālfiksēšana ir darbība, kurā tiek reģistrēts, kas notiek jūsu vidē, tad uzraudzība ir šo notikumu vērošana, izpratne un reaģēšana uz tiem. Šis kontroles pasākums ir par aktīvu tīklu, sistēmu un lietojumprogrammu novērošanu, lai atklātu neparastu aktivitāti ne tikai pēc fakta, bet arī reāllaikā vai gandrīz reāllaikā, kur iespējams.

Failu pārsūtīšanas scenārijā SOC vai IT pakalpojumu sniedzējam jāveic šādas darbības:

  • Pievienot vai validēt IOC no CERT un piegādātāja paziņojuma.
  • Meklēt žurnālos zināmus ekspluatācijas ceļus, aizdomīgas augšupielādes, tīmekļa čaulas indikatorus, neparastu procesu izpildi un negaidītus izejošos savienojumus.
  • Apstiprināt, ka autentifikācijas, administratora darbību, failu piekļuves, API un tīkla žurnāli tiek glabāti.
  • Pielāgot SIEM brīdinājumus ekspluatācijas modelim.
  • Izveidot lietas piezīmi, kas skaidro, kas tika meklēts, kas tika atrasts un kurš to pārskatīja.
  • Eskalēt incidenta klasifikācijai, ja indikatori norāda uz kompromitāciju, datu ekspozīciju vai ietekmi uz pakalpojumu.

Šeit incidentu ziņošana kļūst praktiska. NIS2 Article 23 prasa pakāpenisku ziņošanu par nozīmīgiem incidentiem, tostarp agrīno brīdinājumu 24 stundu laikā, paziņojumu 72 stundu laikā, starpposma atjauninājumus pēc pieprasījuma un gala ziņojumu ne vēlāk kā vienu mēnesi pēc paziņojuma. DORA prasa finanšu vienībām atklāt, pārvaldīt, klasificēt un ziņot par būtiskiem ar IKT saistītiem incidentiem, izmantojot regulā un saistītajos tehniskajos standartos definēto pakāpenisko procesu.

Draudu izlūkošana palīdz noteikt, vai organizācija joprojām ir ievainojamības reakcijas, drošības notikuma izvērtēšanas vai reglamentētas incidentu ziņošanas stadijā.

Viena darbplūsma, vairāki atbilstības pienākumi

Draudu izlūkošana ir ideāla integrētas atbilstības darbplūsma, jo vieni un tie paši pierādījumi atbalsta vairākus režīmus.

Ietvars vai regulējumsKo tas sagaidaDraudu izlūkošanas pierādījumi
ISO/IEC 27001:2022Kontekstam atbilstoša ISMS, risku izvērtēšana, kontroles pasākumu atlase, apstrādes plānošana, nepārtraukta uzlabošanaISMS darbības joma, Riska reģistrs, Piemērojamības paziņojums, riska apstrādes plāns, vadības pārskatīšanas ievades dati
ISO/IEC 27002:2022Draudu izlūkošana, ievainojamību pārvaldība, žurnālfiksēšana, uzraudzība, incidentu izvērtēšana, aizsardzība pret ļaunprogrammatūruDraudu izlūkošanas reģistrs, IOC atjauninājumi, SIEM noteikumi, ielāpu pieteikumi, incidentu triāžas piezīmes
NIS2Risku pārvaldība, incidentu apstrāde, kiberdrošības higiēna, ievainojamību apstrāde, piegādes ķēdes drošība, pārvaldības pārraudzībaArticle 20 un 21 pierādījumi, vadības instruktāžas, CSIRT ziņošanas procedūra, turpmākā rīcība pēc piegādātāja paziņojuma
DORAIKT riska ietvars, detektēšana, nepārtrauktība, incidentu dzīves cikls, noturības testēšana, IKT trešo pušu risksIKT aktīvu klasifikācija, detektēšanas lietas, incidentu klasifikācijas ieraksti, noturības testu ievades dati, IKT piegādātāju ieraksti
GDPRApstrādes drošība, pārskatatbildība, pārkāpumu atklāšanas un paziņošanas atbalstsDatu ietekmes izvērtēšana, piekļuves žurnāli, uzraudzības pierādījumi, pārkāpuma izvērtēšanas ieraksts
NIST CSF 2.0Govern, Identify, Protect, Detect, Respond, Recover rezultātiCurrent Profile, Target Profile, prioritizēts rīcības plāns, risku komunikācija
COBIT 2019 audita skatījumsRiska, kontroļu, veiktspējas, apliecinājuma un pārskatatbildības pārvaldībaKontroles pasākumu īpašumtiesības, vadības metrika, apliecinājuma pierādījumi, problēmu novēršanas izsekošana

NIST CSF 2.0 ir īpaši noderīgs komunikācijai ar vadību. Tā Core Functions — Govern, Identify, Protect, Detect, Respond un Recover — pārvērš tehnisko izlūkošanu valdei saprotamā stāstā:

  • Govern: draudu izlūkošanas avoti, īpašnieki un ziņošanas līnijas ir definētas.
  • Identify: skartie aktīvi, piegādātāji, biznesa pakalpojumi un dati ir kartēti.
  • Protect: ielāpu uzstādīšana, droša konfigurēšana, segmentēšana un galapunktu signatūras ir atjauninātas.
  • Detect: uzraudzības noteikumi, IOC un draudu medību uzdevumi ir ieviesti.
  • Respond: incidentu reaģēšanas instrukcijas, triāžas noteikumi un paziņošanas sliekšņi ir pārskatīti.
  • Recover: rezerves kopijas, atjaunošanas prioritātes un gūtās mācības ir validētas.

Tas pārvērš neapstrādātu kiberdraudu izlūkošanu risku pārvaldībā.

Auditora skatījums: ko viņi prasīs

Spēcīgam draudu izlūkošanas procesam jāiztur dažādi audita stili. ISO auditors, NIS2 pārskatītājs, DORA uzraudzības iestāde, NIST CSF izvērtētājs, COBIT 2019 orientēts auditors, ISACA speciālists vai privātuma pārskatītājs var lietot atšķirīgu terminoloģiju, taču visi nonāk pie pierādījumiem.

Auditora skatījumsIespējamais audita jautājumsPierādījumi, kas uz to atbild
ISO/IEC 27001:2022 auditorsKā ārējais un iekšējais konteksts ietekmē ISMS riskus un kontroles pasākumus?Draudu izlūkošanas reģistrs, riska metodoloģija, atjaunināts riska reģistrs, Piemērojamības paziņojuma pamatojums
ISO/IEC 27002:2022 kontroles pasākumu pārskatītājsKā ir saistīti kontroles pasākumi 5.7, 8.8, 8.16, 8.15, 8.7 un 5.25?Avotu saraksts, ievainojamību triāža, SIEM pielāgošana, ļaunprogrammatūras signatūru atjauninājumi, notikumu izvērtēšanas ieraksti
NIS2 pārskatītājsKā jūs nodrošināt vadības pārraudzību, kiberdrošības higiēnu, ievainojamību apstrādi, incidentu apstrādi un piegādes ķēdes drošību?Article 20 un 21 kartējums, vadības instruktāžas, CSIRT ziņošanas procedūra, piegādātāja paziņojuma darbplūsma
DORA uzraudzības iestādeKā draudu izlūkošana atjaunina IKT risku, detektēšanu, noturības testēšanu un incidentu klasifikāciju?IKT riska ietvars, kritisko funkciju kartēšana, detektēšanas lietas, incidentu klasifikācijas ieraksti, noturības testu tvērums
NIST CSF izvērtētājsKāds ir jūsu Current Profile, Target Profile un prioritizētais rīcības plāns?CSF profils, trūkumu izvērtēšana, rīcības plāns, nepārtrauktu atjauninājumu žurnāls
COBIT 2019 vai ISACA auditorsKam pieder kontroles pasākums, kā tiek mērīta veiktspēja un kā tiek novērsti izņēmumi?RACI, KPI, KRI, izņēmumu reģistrs, novēršanas pieteikumi, vadības apstiprinājums
GDPR auditors vai privātuma pārskatītājsKā uzraudzība un ievainojamību pārvaldība aizsargāja personas datus un atbalstīja pārkāpuma izvērtēšanu?Datu apstrādes karte, žurnāli, pārkāpuma izvērtēšana, tehnisko un organizatorisko pasākumu pierādījumi

Zenith Controls šīm diskusijām nodrošina starpatbilstības interpretāciju. Kontroles pasākumam 8.16, Monitoring activities, ceļvedis sasaista uzraudzību ar GDPR drošību un pārkāpumu pārskatatbildību, NIS2 incidentu apstrādi un ziņošanu, kā arī DORA detektēšanas un reaģēšanas prasībām. Kontroles pasākumam 8.8, Management of technical vulnerabilities, tas sasaista ievainojamību apstrādi ar GDPR apstrādes drošību, NIS2 Article 21(2)(e) un DORA proaktīvu IKT risku pārvaldību.

Tā ir pierādījumu konverģence, ko auditori vēlas redzēt.

Vadības ziņošana: ceturkšņa draudu tendenču instruktāža

Draudu izlūkošanas reģistrs nedrīkst palikt SOC līmenī. Zenith Blueprint iesaka īsu ceturkšņa draudu tendenču instruktāžu galvenajām ieinteresētajām pusēm. Clarysec iesaka vienas lapas vadības pārskatu ar piecām sadaļām:

  1. Trīs būtiskākās attiecīgās draudu tendences pēc biznesa ietekmes.
  2. Visvairāk eksponētās tehnoloģijas vai piegādātāji.
  3. Kritiskās ievainojamības, kas ir ielāpītas, mazinātas vai pieņemtas.
  4. Veiktie detektēšanas un reaģēšanas uzlabojumi.
  5. Lēmumi, kas nepieciešami no vadības.

Spēcīga vadības instruktāža neuzskaita 400 CVE. Tā izskaidro riska virzību. Piemēram:

  • Izspiedējprogrammatūra, kas vērsta pret pārvaldīto pakalpojumu sniedzējiem, palielināja piegādātāju pārskatīšanas prioritāti.
  • Failu pārsūtīšanas platformu ekspluatācija izraisīja ārkārtas ielāpu uzstādīšanu un kompensējošu ugunsmūra noteikumu.
  • Mākoņidentitātes uzbrukumi izraisīja MFA izņēmumu pārskatīšanu un nosacītās piekļuves drošu konfigurēšanu.
  • Nozares ISAC izlūkošana noveda pie jaunām pikšķerēšanas simulācijām finanšu un atbalsta komandām.
  • DORA kritisko funkciju kartēšana atklāja vienu uzraudzības trūkumu trešās puses darbplūsmā.

Šī instruktāža atbalsta NIS2 vadības pārskatatbildību, DORA IKT risku pārvaldību, ISO/IEC 27001:2022 vadības pārskatīšanu un klientu apliecinājumu.

Biežākie neveiksmes modeļi

Draudu izlūkošanas programmas prezentācijās bieži izskatās nobriedušas, bet auditā — vājas. Biežākie neveiksmes modeļi ir:

  • Pārāk daudz plūsmu un nav validācijas kritēriju.
  • Nav saiknes starp izlūkošanu un aktīvu uzskaiti.
  • Nav dokumentēta riska atjauninājuma pēc būtiskiem paziņojumiem.
  • Ielāpu prioritāte balstīta tikai skenera smaguma pakāpē.
  • Piegādātāju paziņojumi tiek apstrādāti ārpus ISMS.
  • SOC noteikumi tiek atjaunināti bez izmaiņu ierakstiem.
  • Incidentu sliekšņi nav saskaņoti ar NIS2 vai DORA ziņošanas darbplūsmām.
  • Valdes ziņošana koncentrējas uz brīdinājumu apjomu, nevis biznesa risku.
  • Nav pierādījumu, ka gūtās mācības mainīja kontroles pasākumus.
  • Nav īpašnieka draudu izlūkošanas reģistra uzturēšanai.

Risinājums nav vēl vienas plūsmas iegāde. Risinājums ir kontroles pasākumu integrācija.

10 punktu gatavības kontrolsaraksts 2026. gadam

Izmantojiet šo kontrolsarakstu kā praktisku iekšējo pārbaudi.

Gatavības jautājumsJā vai nē
Vai mēs uzturam apstiprinātu draudu izlūkošanas reģistru ar avotu īpašniekiem un validācijas noteikumiem?
Vai CERT, CSIRT, ISAC, piegādātāju, mākoņpakalpojumu, MDR un pakalpojumu sniedzēju paziņojumi tiek novirzīti nosauktām lomām?
Vai nozīmīgi paziņojumi ierosina riska reģistra pārskatīšanu ārpus ceturkšņa cikla?
Vai ievainojamību prioritizācijā tiek iekļauta ekspluatācijas aktivitāte, aktīvu kritiskums, datu sensitivitāte un ekspozīcija?
Vai IOC un apdraudējumu scenāriji tiek pārvērsti uzraudzības noteikumos vai draudu medību uzdevumos?
Vai galapunktu signatūras, mākoņvides detektēšana un dinamiskās draudu izlūkošanas plūsmas tiek pārbaudītas attiecībā uz aktualitāti?
Vai piegādātāju paziņojumi tiek izvērtēti pret piegādes ķēdes risku un līgumiskajiem pienākumiem?
Vai incidentu klasifikācijas kritēriji ir saskaņoti ar NIS2 un DORA ziņošanas darbplūsmām, kur tas ir piemērojams?
Vai vadība saņem ceturkšņa draudu tendenču instruktāžu?
Vai mēs varam vienas darba dienas laikā sagatavot pierādījumu pakotni auditoram, regulatoram vai klientam?

Ja atbilde uz kādu no šiem jautājumiem ir “nē”, organizācijai nav tikai draudu izlūkošanas problēma. Tai ir ISMS integrācijas problēma.

Kā Clarysec palīdz draudu izlūkošanu pārvērst pierādījumos

Clarysec metode ir izstrādāta organizācijām, kurām vienlaikus nepieciešama praktiska drošība un uzticama atbilstība.

Zenith Blueprint sniedz 30 soļu ieviešanas ceļu, tostarp Step 22 draudu izlūkošanas reģistram un Step 19 ievainojamību pārvaldībai un uzraudzības darbībām. Clarysec uzņēmuma un MVU politikas pārvērš šīs prasības lomās balstītās procedūrās risku pārvaldībai, ievainojamību apstrādei, galapunktu aizsardzībai, žurnālfiksēšanai, uzraudzībai un audita pierādījumiem. Zenith Controls pēc tam nodrošina starpatbilstības interpretāciju, parādot, kā ISO/IEC 27002:2022 kontroles pasākumi sasaistās ar NIS2, DORA, GDPR, NIST CSF 2.0, COBIT 2019 un audita pierādījumiem.

Otrdienas rīta CISO atbilde finanšu direktoram kļūst skaidra:

“Mēs saņēmām paziņojumu, validējām ekspozīciju, atjauninājām riska reģistru, prioritizējām ielāpu uzstādīšanu, balstoties uz aktīvu ekspluatāciju, pielāgojām uzraudzību, pārbaudījām piegādātāja atkarību, izvērtējām incidentu ziņošanas sliekšņus, informējām vadību un saglabājām pierādījumus. Mēs neminām. Mēs ievērojam savu ISMS.”

Tā 2026. gadā jāizskatās ISO 27001 draudu izlūkošanai NIS2 kiberdrošības higiēnai un DORA IKT riska pierādījumiem.

Nākamie soļi

Ja jūsu organizācija saņem draudu izlūkošanu, bet nevar pierādīt, kā tā maina riska lēmumus, kontroles pasākumus, detektēšanu, reaģēšanu uz incidentiem, piegādātāju pārvaldību un regulatīvos pierādījumus, sāciet ar trim darbībām šonedēļ:

  1. Izveidojiet vai atjauniniet savu draudu izlūkošanas reģistru, izmantojot Zenith Blueprint, Controls in Action fāzi, Step 22.
  2. Kartējiet savu pašreizējo procesu pret ISO/IEC 27002:2022 kontroles pasākumiem 5.7, 8.8, 8.15, 8.16, 8.7 un 5.25, izmantojot Zenith Controls.
  3. Saskaņojiet savas politikas, īpaši Risk Management Policy, Vulnerability and Patch Management Policy, Logging and Monitoring Policy un Audit and Compliance Monitoring Policy, lai katrs paziņojums varētu kļūt par pamatotu pierādījumu.

Clarysec var palīdzēt pārvērst draudu plūsmas, paziņojumus, piegādātāju paziņojumus, ievainojamību izlūkošanu un detektēšanas signālus ISO/IEC 27001:2022 saskaņotā, NIS2 gatavā un DORA apzinātā darbības modelī.

Lejupielādējiet Clarysec rīkkopas, pieprasiet procesa izklāstu vai rezervējiet gatavības izvērtēšanu, lai redzētu, kā jūsu pašreizējais draudu izlūkošanas process izturētu ISO auditoru, NIS2 pārskatītāju, DORA uzraudzības iestādi vai klienta apliecinājuma pieprasījumu.

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles

ENISA EUVD 2026: ISO 27001, NIS2 un CRA vajadzībām

ENISA EUVD 2026: ISO 27001, NIS2 un CRA vajadzībām

ENISA EUVD mainīs to, kā ES organizācijas izmanto draudu izlūkošanas informāciju par ievainojamībām, pārvalda CVD, koordinē piegādātājus un pamato NIS2, DORA, GDPR un CRA ziņošanas lēmumus. Šajā ceļvedī parādīts, kā ISO/IEC 27001:2022, Clarysec politikas, Zenith Blueprint un Zenith Controls pārvērš ievainojamību brīdinājumus auditējamā darbības modelī.

SBOM ISO 27001, NIS2 un DORA apliecināšanai

SBOM ISO 27001, NIS2 un DORA apliecināšanai

SBOM tagad ir pamata pierādījums programmatūras piegādes ķēdes apliecināšanai. Šī rokasgrāmata parāda, kā operacionāli ieviest SBOM, izmantojot ISO 27001:2022, NIS2, DORA, GDPR, NIST CSF 2.0, COBIT 2019 un Clarysec politikas.