Kiberdraudu izlūkošanas informācijas apmaiņa ar ISO 27001 2026. gadā

Otrdienas rītā plkst. 07.40 Marija, strauji augošas Eiropas maksājumu platformas CISO, saņem augstas ticamības biļetenu no finanšu pakalpojumu ISAC. Akreditācijas datu zādzības kampaņa ir vērsta pret maksājumu pakalpojumu sniedzējiem, kas izmanto konkrētu identitātes nodrošinātāja integrāciju. Paziņojumā ir iekļauti vadības un kontroles domēni, aizdomīgi OAuth lietotņu nosaukumi, lietotāja aģenta virknes, novērotā taktika un ieteikums rotēt noslēpumus ietekmētajiem nomniekiem.
Dažu minūšu laikā organizācijā sāk izskanēt jautājumi, kas 2026. gadā raksturo kiberdraudu izlūkošanas informācijas apmaiņu.
SOC vēlas nekavējoties ievietot indikatorus SIEM. Juridiskais dienests jautā, vai uzņēmums drīkst nosūtīt savu telemetriju atpakaļ ISAC. DPO jautā, vai IP adreses, lietotājvārdi, pieteikumu izvilkumi, autentifikācijas žurnāli vai galiekārtu detaļas ietver personas datus. Operāciju direktors vēlas zināt, vai jābrīdina klienti. Galvenais izpilddirektors pēc nesenām NIS2 vadības apmācībām pārsūta brīdinājumu ar diviem vārdiem: “Mūsu plāns?”
Tad atbilstības vadītājs uzdod būtiskāko jautājumu: “Ja uzraudzības iestāde nākamajā mēnesī jautās, vai mēs spēsim pierādīt, ka mūsu kiberdraudu izlūkošanas informācijas apmaiņa bija likumīga, apstiprināta, lietderīga un kontrolēta?”
Tā ir jaunā realitāte. DORA no ieviešanas termiņa ir pārgājusi uz uzraudzības pārbaudēm. NIS2 no gatavības projektiem ir pārgājusi uz operatīvu sadarbību. GDPR joprojām ir piemērojams arī tad, ja dati ir drošības telemetrija. Draudu izlūkošanas informācijas apmaiņa vairs nav neformāla Slack sarakste starp drošības komandām. Tā ir pārvaldīta darbība, kas ietver konfidencialitāti, personas datu minimizēšanu, izpaušanas apstiprinājumus, ierakstus, regulatoru gaidas un audita pierādījumus.
CISO, atbilstības vadītājiem, auditoriem un biznesa īpašniekiem jautājums nav par to, vai piedalīties kiberdraudu izlūkošanas informācijas apmaiņas kārtībās. Patiesais jautājums ir, kā kopīgot pietiekami ātri, lai palīdzētu aizsardzības komandām, vienlaikus novēršot nelikumīgu izpaušanu, klientu konfidencialitātes pārkāpumus, konkurences ziņā sensitīvas informācijas noplūdi, nepārvaldītu ievainojamību publiskošanu un vājus pierādījumus.
ISO/IEC 27001:2022 ir pārvaldības pamats, kas to padara iespējamu. Nevis kā sertifikāts pie sienas, bet kā pārvaldības sistēma, kas kiberdraudu izlūkošanas informācijas apmaiņu pārvērš atkārtojamā, pamatojamā un GDPR drošā darbības modelī.
Kāpēc kiberdraudu izlūkošanas informācijas apmaiņa 2026. gadā mainījās
Pirmais DORA un NIS2 sagatavošanās vilnis koncentrējās uz darbības jomu, incidentu ziņošanas termiņiem, IKT trešo pušu risku, valdes pārskatatbildību un trūkumu izvērtēšanu. Šis darbs bija nepieciešams, taču regulatori un klienti tagad uzdod operacionālākus jautājumus:
- Kuros ISAC, CERT, CSIRT, piegādātāju forumos vai uzticamās kopienās jūs piedalāties?
- Kurš ir pilnvarots ārēji pārstāvēt organizāciju?
- Kā jūs lemjat, ko drīkst kopīgot?
- Kā jūs novēršat personas datu, klientu noslēpumu, ievainojamību detaļu un sensitīvas arhitektūras izpaušanu?
- Kā draudu izlūkošanas ievaddati atjaunina uzraudzības noteikumus, ielāpu prioritātes, risku reģistrus, incidentu rokasgrāmatas, piegādātāju pārskatīšanu un noturības testus?
- Kur ir pierādījumi?
DORA finanšu vienībām ir īpaši tieša. Tā digitālo darbības noturību uztver kā valdes pārraudzībā esošu IKT risku pārvaldības sistēmu, nevis IT kontrolsarakstu. DORA ir piemērojama no 2025. gada 17. janvāra, tādēļ 2026. gadā daudzas finanšu vienības tiek vērtētas pēc tā, vai to procesi darbojas praksē.
DORA Article 45 ļauj finanšu vienībām apmainīties ar kiberdraudu informāciju un draudu izlūkošanas informāciju, ja nolūks ir stiprināt digitālo darbības noturību. Apmaiņai jānotiek uzticamās kopienās un saskaņā ar kārtību, kas aizsargā sensitīvu uzņēmuma informāciju, personas datus, konfidencialitāti, intelektuālo īpašumu un konkurences tiesību robežas. Vienkārši sakot, DORA nenozīmē “kopīgot visu”. Tā nozīmē “kopīgot droši, apzināti un kontrolētos apstākļos”.
NIS2 rada līdzīgu spiedienu ārpus finanšu sektora. Tā attiecas uz daudzām būtiskām un svarīgām vienībām augstas kritiskuma pakāpes un citās kritiskās nozarēs, tostarp digitālo infrastruktūru, pārvaldīto pakalpojumu sniedzējiem (MSP), pārvaldītās drošības pakalpojumu sniedzējiem, mākoņpakalpojumu sniedzējiem, datu centru pakalpojumu sniedzējiem, tiešsaistes tirdzniecības vietām, meklētājprogrammām, sociālo tīklu platformām, banku nozari un finanšu tirgu infrastruktūrām. NIS2 Article 20 nosaka pārvaldības institūciju atbildību par kiberdrošības risku pārvaldības pasākumu apstiprināšanu, ieviešanas pārraudzību un apmācību saņemšanu. Article 21 prasa atbilstošus un samērīgus tehniskus, operacionālus un organizatoriskus pasākumus, tostarp riska analīzi, incidentu apstrādi, darbības nepārtrauktību, piegādes ķēdes drošību, ievainojamību apstrādi, efektivitātes izvērtēšanu, kiberdrošības higiēnu, apmācību, kriptogrāfiju, personāla drošību, piekļuves kontroli, aktīvu pārvaldību, MFA un drošu saziņu. Article 23 prasa pakāpenisku ziņošanu par nozīmīgiem incidentiem, tostarp 24 stundu agrīno brīdinājumu, 72 stundu incidenta paziņojumu un galīgo ziņojumu ne vēlāk kā mēnesi pēc incidenta paziņojuma.
GDPR pievieno privātuma ierobežojumu. Personas dati ietver jebkādu informāciju, kas attiecas uz identificētu vai identificējamu fizisku personu. Drošības žurnāli, IP adreses, lietotājvārdi, e-pasta adreses, galiekārtu nosaukumi, autentifikācijas notikumi, atbalsta pieteikumi, ļaunatūras paraugi, ekrānuzņēmumi un krāpšanas izmeklēšanas piezīmes var būt personas dati. GDPR prasa likumīgu, godprātīgu, pārredzamu, nolūkam ierobežotu, minimizētu, precīzu, glabāšanas termiņā ierobežotu un drošu apstrādi. Tas prasa arī pārskatatbildību, proti, organizācijai jāspēj pierādīt atbilstību.
Rezultātā tā ir pārvaldības problēma. Draudu izlūkošanas informācijas apmaiņai jābūt pietiekami ātrai, lai uzlabotu aizsardzību, pietiekami kontrolētai, lai apmierinātu uzraudzības iestādes, un pietiekami disciplinētai, lai nepieļautu privātuma un konfidencialitātes pārkāpumus.
ISO 27001 kā atbilstības centrs draudu izlūkošanas informācijas apmaiņai
ISO/IEC 27001:2022 ir labi piemērots šim izaicinājumam, jo tas sākas ar kontekstu, ieinteresētajām pusēm, darbības jomu, risku, vadību, darbības kontroli, uzraudzību, iekšējo auditu, vadības pārskatīšanu un nepārtrauktu pilnveidi.
4.1 līdz 4.4 punkti prasa organizācijām izprast iekšējos un ārējos jautājumus, identificēt ieinteresētās puses un to prasības, definēt IDPS darbības jomu un uzturēt pārvaldības sistēmu. DORA vai NIS2 organizācijai ieinteresētās puses var ietvert kompetentās iestādes, CSIRT, klientus, IKT pakalpojumu sniedzējus, ISAC, nozares grupas, apstrādātājus, pārziņus, apdrošinātājus, iekšējo auditu un valdi.
5.1 līdz 5.3 punkti prasa vadības apņemšanos, politikas virzienu, pārskatatbildību, resursus un piešķirtas atbildības. Tas ir svarīgi, jo draudu izlūkošanas informācijas apmaiņa neizdodas, ja tā tiek atstāta neformālai tehniskai rīcības brīvībai. Ja SOC analītiķis, Juridiskais dienests, DPO, CISO, sabiedrisko attiecību vadītājs un biznesa īpašnieks piemēro atšķirīgus pieņēmumus, organizācija vai nu pārmērīgi izpaudīs informāciju, sastingst, vai reaģēs pārāk vēlu.
6.1.1 līdz 6.1.3 punkti regulatīvo jautājumu pārvērš risku izvērtēšanā, riska apstrādē, kontroles pasākumu atlasē, piemērojamības deklarācijas (SoA) lēmumos, riska apstrādes plānos un atlikušā riska pieņemšanā. Tipiski draudu izlūkošanas informācijas apmaiņas riski ietver:
- Personas dati kopīgoti bez tiesiskā pamata vai minimizēšanas.
- Klienta konfidenciāla informācija izpausta forumā.
- Ievainojamības detaļas publiskotas, pirms ir pieejami mazināšanas pasākumi.
- Indikatori saņemti, bet nekad nav ieviesti operatīvajā darbībā.
- Dalība ISAC nav atspoguļota incidentu reaģēšanā, žurnālfiksēšanā, ievainojamību pārvaldībā vai piegādātāju riskā.
- Trūkst pierādījumu par to, kurš apstiprināja izpaušanu un kāpēc.
- Konkurences tiesību risks, kopīgojot komerciāli sensitīvu tirgus informāciju.
- Nekonsekventa regulatīvā un klientu komunikācija nozīmīga incidenta laikā.
Pēc tam 8.1 punkts prasa ieviest un kontrolēt plānotos procesus, nodrošinot pietiekamu dokumentētu informāciju, lai parādītu, ka procesi darbojās, kā plānots. 9. un 10. punkts prasa uzraudzību, mērīšanu, iekšējo auditu, vadības pārskatīšanu, neatbilstību apstrādi, korektīvās darbības un nepārtrauktu pilnveidi. Īsumā — ISO/IEC 27001:2022 pārvērš kiberdraudu izlūkošanas informācijas apmaiņu auditējamā darbības modelī.
Divi ISO kontroles pasākumi, kas nodrošina apmaiņas darbību
Clarysec Zenith Blueprint: auditora 30 soļu ceļvedis Zenith Blueprint šo tēmu aplūko kā daļu no posma “Kontroles pasākumi darbībā”, 22. solis: organizatoriskās kontroles. Divi ISO/IEC 27002:2022 kontroles pasākumi ir centrāli: 5.6, saziņa ar īpašo interešu grupām, un 5.7, draudu izlūkošana.
Zenith Blueprint skaidri norāda, ka dalība ISAC nav simboliska tīklošanās:
Dalība šādās grupās nav simbolisks žests. Tas ir stratēģisks ieguldījums izlūkošanā, sadarbībā un kopīgā noturībā.
Attiecībā uz kontroles pasākumu 5.6 īpašo interešu grupas var ietvert nacionālos vai nozares kiberdraudu izlūkošanas tīklus, ISAC, regulatīvos forumus, piegādātāju drošības konsultatīvās grupas, atvērtā pirmkoda kopienas un akadēmiskās darba grupas. Taču ārējai apmaiņai jābūt apzinātai, likumīgai un apstiprinātai. Zenith Blueprint papildina brieduma gaidu:
Nobriedušas IDPS ieviešanas SIG dalību traktē kā pārvaldītu darbību, nevis neformālu ieguvumu.
Tas nozīmē uzturēt pievienoto grupu un forumu reģistru, norīkot oficiālos dalībniekus, fiksēt protokolus vai kopsavilkumus un integrēt gūtās atziņas iekšējās pārskatīšanās vai kontroles pasākumu atjauninājumos.
Kontroles pasākums 5.7 pārvērš ārējo informāciju darbībā. Zenith Blueprint norāda:
Organizācija nevar aizsargāties pret to, ko tā nesaprot.
Tas arī brīdina nejaukt ielāpu plūsmas ar draudu izlūkošanu. Patiesa izlūkošana ietver apdraudējuma dalībnieku profilēšanu, taktikas, tehnikas un procedūras, kompromitācijas indikatorus (IOC), nozares specifiskus brīdinājumus, ievainojamību kontekstu un stratēģisku ietekmi uz organizāciju. Noderīga izlūkošana apvieno iekšējo uzraudzību, ārējās partnerības, CERT vai ISAC attiecības, komerciālās plūsmas un atvērtā pirmkoda avotus, bet tikai tad, ja kāds tos pārskata, prioritizē un pārvērš darbībā.
Clarysec Zenith Controls: starpatbilstības ceļvedis Zenith Controls pastiprina starpatbilstības vērtību. Tas kartē kontroles pasākumu 5.6 kā preventīvu un koriģējošu, atbalstot konfidencialitāti, integritāti un pieejamību, ar pārvaldību kā primāro operacionālo spēju. Tas sasaista 5.6 ar 5.7 Draudu izlūkošana, 5.5 Saziņa ar iestādēm, 5.31 Tiesiskās, normatīvās, regulatīvās un līgumiskās prasības un 8.8 Tehnisko ievainojamību pārvaldība. Tas kartē 5.7 kā preventīvu, detektīvu un koriģējošu, sasaistītu ar Identify, Detect un Respond, ar operacionālo spēju draudu un ievainojamību pārvaldībā.
Vēstījums ir vienkāršs: nobriedušai kiberdraudu izlūkošanas informācijas apmaiņas programmai ir divas daļas. Pirmkārt, kontrolētas attiecības. Otrkārt, kontrolēta saņemtās un kopīgotās informācijas izmantošana.
Praktisks darbības modelis pārvaldītai apmaiņai
Pamatojamam 2026. gada darbības modelim pirms pirmā indikatora kopīgošanas jāatbild uz sešiem jautājumiem.
| Pārvaldības jautājums | Praktiska atbilde | Auditoru sagaidītie pierādījumi |
|---|---|---|
| Kurš drīkst piedalīties? | Vārdā norādītas lomas, apstiprināti forumi, aizvietotājkontaktpersonas, pilnvaru robežas | SIG un ISAC reģistrs, iecelšanas ieraksti, lomu apraksti |
| Ko drīkst saņemt? | Draudu ziņojumi, IOC, TTP, ievainojamību paziņojumi, nozares brīdinājumi | Ievades žurnāls, avota klasifikācija, apstrādes noteikumi |
| Ko drīkst kopīgot? | Sanitizēti indikatori, neatributējami modeļi, apstiprināti paziņojumi, regulatoram gatavi fakti | Izpaušanas apstiprinājuma ieraksts, minimizēšanas pārskatīšana, Juridiskā dienesta vai DPO apstiprinājums |
| Kā izlūkošanas informācija tiek izmantota? | SIEM noteikumi, EDR bloķēšana, ievainojamību prioritizēšana, risku reģistra atjauninājumi, rokasgrāmatu izmaiņas | Izmaiņu pieteikumi, detekcijas noteikumi, risku atjauninājumi, sanāksmju protokoli |
| Kā tiek aizsargāts privātums? | Datu minimizēšana, pseidonimizācija, rediģēšana, tiesiskā pamata pārbaude, glabāšanas ierobežojumi | DPIA vai privātuma pārbaude, kopīgošanas veidne, glabāšanas žurnāls |
| Kā tiek pārskatīta efektivitāte? | Metrikas, galda mācības, audita konstatējumi, vadības pārskatīšana | KPI, incidentā gūtās mācības, iekšējā audita ziņojums, korektīvās darbības |
Clarysec to parasti ievieš kā vieglu, bet formālu darbplūsmu:
- Saņemt un klasificēt izlūkošanas informāciju.
- Validēt atbilstību aktīviem, piegādātājiem, pakalpojumiem, ģeogrāfijām un klientiem.
- Pārvērst izlūkošanas informāciju darbībā, piemēram, uzraudzības noteikumos, ievainojamību pieteikumos, lietotāju brīdinājumos, piegādātāju pieprasījumos vai risku atjauninājumos.
- Izlemt, vai izejoša kopīgošana ir nepieciešama, likumīga, droša un atļauta saskaņā ar dalības noteikumiem.
- Piemērot rediģēšanu, agregēšanu, pseidonimizāciju vai anonimizāciju.
- Saņemt nepieciešamos apstiprinājumus.
- Kopīgot pa apstiprinātu kanālu.
- Reģistrēt, kas, ar ko, kāpēc, kad un ar kā pilnvarojumu tika kopīgots.
- Pārskatīt rezultātus un atjaunināt kontroles pasākumus.
Tas novērš divas klasiskas kļūmes: drošības komanda saņem noderīgu izlūkošanas informāciju, bet nekas nemainās, vai drošības komanda kopīgo noderīgu izlūkošanas informāciju, bet rada juridisku, līgumisku vai privātuma risku.
DORA Article 45: kontrolēta apmaiņa, nezaudējot konfidencialitāti
Finanšu vienībām DORA Article 45 jāpārvērš iekšējā kiberdraudu izlūkošanas informācijas apmaiņas standartā. Praktiska interpretācija ietver piecus nosacījumus.
Pirmkārt, nolūkam jābūt noturībai. Apmaiņai jāpalīdz novērst, atklāt kiberdraudus, reaģēt uz tiem vai atjaunoties pēc tiem. Tā nedrīkst novirzīties uz cenu noteikšanu, klientu sarakstiem, tirgus stratēģiju vai komerciāli sensitīvu informāciju.
Otrkārt, kopienai jābūt uzticamai. Tas nozīmē skaidrus dalības noteikumus, konfidencialitātes pienākumus, drošus kanālus, piekļuves kontroles pasākumus un tālākas izpaušanas ierobežojumus. ISO/IEC 27010:2015 atbalsta drošu informācijas apmaiņu uzticamās kopienās, tostarp konfidencialitātes noteikumus, savstarpīgumu un uzticamus saziņas kanālus. ISO/IEC 27032:2023 atbalsta kiberdrošības informācijas apmaiņu un situācijas izpratni. ISO/IEC 27035-2:2023 sasaista informācijas apmaiņu ar incidentu reaģēšanas plānošanu, tostarp dalību CERT un nozares grupās.
Treškārt, sensitīva informācija ir jāaizsargā. Tas ietver komercnoslēpumus, arhitektūras shēmas, ievainojamību detaļas, autentifikācijas datus, klientu identifikatorus un personas datus. Clarysec SME Datu klasifikācijas un marķēšanas politika Datu klasifikācijas un marķēšanas politika - SME nosaka:
Ārējai kopīgošanai jābūt skaidri autorizētai un reģistrētai žurnālā.
Šis teikums ir DORA Article 45 darbplūsmas kontroles princips. Organizācijai jāzina, kāda klasifikācija ir piemērojama, kurš apstiprināja izplatīšanu un kur glabājas ieraksts.
Ceturtkārt, personas dati ir jāminimizē. Uzņēmuma Datu aizsardzības un privātuma politika Datu aizsardzības un privātuma politika nosaka:
Drīkst vākt un apstrādāt tikai tos datus, kas nepieciešami konkrētam, leģitīmam uzņēmuma nolūkam.
SME ekvivalents, Datu aizsardzības un privātuma politika - SME Datu aizsardzības un privātuma politika - SME, nosaka:
Jāvāc un jāglabā tikai minimāli nepieciešamie personas dati.
Tas ir svarīgi, jo draudu izlūkošana bieži mudina komandas kopēt neapstrādātus žurnālus ārējos kanālos. Tā vietā jādalās tikai ar to, kas saņēmējam nepieciešams, piemēram, ļaunprātīgu domēnu, jaucējvērtību, laikspiedolu diapazonu, vispārīgu modeli vai pseidonimizētu lietas atsauci.
Piektkārt, organizācijai jāglabā pierādījumi. DORA balstās uz dokumentētu IKT risku pārvaldību, incidentu klasifikāciju, ziņošanu, testēšanu, trešo pušu pārvaldību un vadības pārskatatbildību. Ja apmaiņa ietekmē incidentu reaģēšanu, noturības testa scenāriju vai piegādātāju riska lēmumu, tam jābūt redzamam IDPS ierakstos.
NIS2 sadarbība: no juridiskās darbības jomas līdz operatīvām attiecībām
NIS2 paplašina diskusiju ārpus finanšu vienībām. Tā ir piemērojama, pamatojoties uz nozari, lielumu un kritiskumu, un noteiktām vienībām var būt piemērojama arī neatkarīgi no lieluma, piemēram, uzticamības pakalpojumu sniedzējiem, DNS pakalpojumu sniedzējiem, TLD reģistriem, kritiskām vienībām un domēna vārdu reģistrācijas pakalpojumiem.
Draudu izlūkošanas informācijas apmaiņai galvenā mācība ir pārvaldība. Article 20 nosaka pārvaldības institūciju atbildību par kiberdrošības risku pārvaldības pasākumu apstiprināšanu un pārraudzību. Article 21 prasa atbilstošus un samērīgus tehniskus, operacionālus un organizatoriskus pasākumus. Article 23 prasa pakāpenisku ziņošanu par nozīmīgiem incidentiem.
Draudu izlūkošanas informācijas apmaiņa krustojas ar visiem šiem aspektiem. Ja ISAC paziņojums norāda, ka tiek izmantots piegādātāja pārvaldīts pakalpojums, Article 21 piegādes ķēdes gaidas kļūst būtiskas. Ja izlūkošanas informācija norāda uz notiekošu nozīmīgu incidentu, var tikt aktivizētas Article 23 ziņošanas un klientu komunikācijas darbplūsmas. Ja nozīmīgs kiberdrauds var ietekmēt pakalpojuma saņēmējus, organizācijai nepieciešams kontrolēts brīdināšanas process.
Zenith Blueprint to aplūko IDPS pamatu un līderības posmā, 5. solī — komunikācija, informētība un kompetence. Tas iesaka plānot ārējo komunikāciju, identificējot klientus, regulatorus, partnerus un sabiedrību, un pēc tam definējot, kas tiek paziņots, kad, kas to dara un ar kādu apstiprinājumu. Tas sniedz praktisku incidentu komunikācijas procedūras piemēru, kur CISO sagatavo paziņojumu, Juridiskais dienests to pārskata, un galvenais izpilddirektors to apstiprina pirms nosūtīšanas.
SME Incidentu reaģēšanas politika Incidentu reaģēšanas politika - SME nosaka:
Ģenerāldirektors (GM) ir pārskatatbildīgs par visu incidentu eskalācijas lēmumu, regulatīvo paziņojumu un ārējo komunikāciju autorizēšanu.
Lielākām organizācijām uzņēmuma Incidentu reaģēšanas politika Incidentu reaģēšanas politika nosaka pierādījumu pamatlīniju:
Visi incidenti jāreģistrē Drošības incidentu pārvaldības sistēmā (SIMS), tostarp:
Ja draudu izlūkošanas informācija pārtop incidentā, klienta brīdinājumā, regulatora paziņojumā vai ārējā konsultatīvā paziņojumā, tā nedrīkst palikt tikai iesūtnēs un tērzēšanas pavedienos. Tai jāatrodas incidentu pārvaldības sistēmā ar klasifikāciju, darbībām, apstiprinājumiem, pierādījumiem un gūtajām mācībām.
GDPR droša izpaušana: kopīgot izlūkošanu, nevis nevajadzīgus personas datus
GDPR ļauj veikt drošības operācijas, bet tas nerada brīvo zonu nekontrolētai telemetrijas kopīgošanai. Daudzi draudu izlūkošanas artefakti var saturēt personas datus:
- IP adreses, kas saistītas ar lietotāju darbību.
- E-pasta adreses, kas izmantotas pikšķerēšanas mēģinājumos.
- Lietotājvārdi, ierīču nosaukumi, galiekārtu identifikatori vai klientu nomnieku identifikatori.
- Autentifikācijas žurnāli.
- Atbalsta pieteikumi.
- Ekrānuzņēmumi.
- Krāpšanas izmeklēšanas piezīmes.
- Ļaunatūras paraugi, kas satur dokumentus vai personīgās datnes.
- Ievainojamību ziņojumi, kas ietver klientu datu ekspozīciju.
Clarysec modelī katrs izejošās kopīgošanas lēmums iziet caur privātuma un konfidencialitātes filtru.
| Filtrs | Lēmuma jautājums | Tipiska kontroles darbība |
|---|---|---|
| Nolūks | Vai kopīgošana ir nepieciešama kiberaizsardzībai, tiesiskai ziņošanai vai koordinētai mazināšanai? | Reģistrēt nolūku kopīgošanas žurnālā |
| Tiesiskais pamats | Vai ir dokumentēts tiesiskais pamats vai juridisks pienākums? | Pievienot Juridiskā dienesta vai DPO pārbaudi personas datiem |
| Minimizēšana | Vai to pašu rezultātu var sasniegt ar mazāku lauku skaitu? | Noņemt lietotājvārdus, e-pastus, pieteikumu piezīmes, klientu nosaukumus |
| Pseidonimizācija | Vai identifikatorus var aizstāt ar lietu identifikatoriem vai marķieriem? | Kartējumu glabāt iekšēji ar ierobežotu piekļuvi |
| Konfidencialitāte | Vai saturs atklāj arhitektūru, ievainojamību detaļas vai klientu noslēpumus? | Klasificēt kā konfidenciālu vai īpaši konfidenciālu un ierobežot kopīgošanu |
| Glabāšana | Cik ilgi jāsaglabā kopīgotais ieraksts un apstiprinājuma pierādījumi? | Piemērot glabāšanas noteikumu un dzēšanas pārskatīšanu |
Zenith Controls ISO/IEC 27002:2022 kontroles pasākums 5.34, Privātums un PII aizsardzība, ir kartēts kā preventīvs un saistīts ar klasifikāciju, aktīvu uzskaiti, datu maskēšanu, mākoņdrošību, informācijas pārsūtīšanu, piekļuves kontroli, identitāšu pārvaldību un projektu vai izmaiņu pārskatīšanu. Tas arī ir kartēts uz GDPR Articles 25 un 32, izmantojot datu aizsardzību pēc projektēšanas, apstrādes drošību, šifrēšanu, pseidonimizāciju, piekļuves kontroli un pierādāmu pārvaldību. Atbalstošie standarti ietver ISO/IEC 27701:2021 privātuma informācijas pārvaldībai, ISO/IEC 27018:2019 PII aizsardzībai publiskās mākoņvides apstrādātāju vidēs un ISO/IEC 29100:2011 privātuma principiem.
Draudu izlūkošanas informācijas apmaiņas gadījumā DPO un drošības komandai nevajadzētu pirmo reizi satikties krīzes laikā. Tām iepriekš jāapstiprina modeļi, veidnes, rediģēšanas noteikumi un eskalācijas sliekšņi.
Praktisks piemērs: ISAC brīdinājums kļūst par pierādījumos balstītu noturību
Atgriezīsimies pie Marijas maksājumu platformas. ISAC paziņojumā ir iekļauti ļaunprātīgi domēni, aizdomīgi OAuth lietotņu nosaukumi, lietotāja aģenta virknes un piezīme, ka vairāki dalībnieki novērojuši kontu pārņemšanas mēģinājumus pret finanšu operāciju lietotājiem. Uzņēmums savos žurnālos atrod arī trīs aizdomīgus pieteikšanās mēģinājumus.
Lūk, kā Clarysec ieviestu reaģēšanu operatīvajā darbībā, izmantojot ISO/IEC 27001:2022, Zenith Blueprint, Zenith Controls un politiku rīkkopu.
| Solis | Darbība | Īpašnieks | Pierādījums vai kontroles sasaiste |
|---|---|---|---|
| 1. Reģistrēt ievadi | Reģistrēt avotu, datumu, ticamību, aktīvus, ietekmēto tehnoloģiju un apstrādes ierobežojumus | SOC analītiķis | Draudu izlūkošanas ievades žurnāls, ISO/IEC 27002:2022 kontroles pasākums 5.7 |
| 2. Klasificēt | Marķēt paziņojumu kā konfidenciālu vai īpaši konfidenciālu, ja tas ietver sensitīvas dalībnieku detaļas | Drošības vadītājs | Datu klasifikācijas ieraksts, ārējās kopīgošanas autorizācijas noteikums |
| 3. Validēt atbilstību | Pārbaudīt identitātes integrācijas izmantošanu ražošanas vidē, eksponētos lietotājus, OAuth piešķīrumus, DNS, starpniekserveri, EDR un SIEM žurnālus | SOC un platformas komanda | Triāžas piezīmes, uzraudzības pierādījumi, ievainojamību pārskatīšana |
| 4. Pārvērst darbībā | Pievienot detekcijas, pārskatīt piešķīrumus, vajadzības gadījumā rotēt noslēpumus, vaicāt piegādātājam, atjaunināt risku reģistru | SOC, inženierija, riska īpašnieks | SIEM noteikumu pieteikumi, izmaiņu ieraksti, piegādātāja eskalācija |
| 5. Pārskatīt izejošo kopīgošanu | Samazināt neapstrādātos konstatējumus līdz laika logam, modelim, ļaunprātīgam domēnam un ietekmētās lomas tipam | CISO, Juridiskais dienests, DPO | Izpaušanas apstiprinājums, minimizēšanas izvērtēšana |
| 6. Kopīgot droši | Nosūtīt tikai apstiprinātu izlūkošanas informāciju pa ISAC šifrēto kanālu | CISO vai deleģētā persona | Kopīgošanas žurnāls, kanāla ieraksts, apstiprinājuma laikspiedols |
| 7. Uzlabot | Ziņot metrikas un gūtās mācības IDPS pārskatīšanā | CISO un GRC | Vadības pārskatīšanas protokoli, korektīvās darbības |
Izejošais ziņojums sākotnēji ietver laikspiedolus, avota IP adreses, mērķa lietotājvārdus, klientu nomnieku identifikatorus un ekrānuzņēmumus. Pēc DPO un Juridiskā dienesta pārbaudes tas tiek samazināts līdz:
- Laika logs UTC.
- Uzbrukuma modelis.
- Novērotais ļaunprātīgais domēns.
- Vispārīgs ietekmētās lomas tips, piemēram, finanšu operāciju lietotāji.
- Bez lietotājvārdiem.
- Bez klientu nomnieku identifikatoriem.
- Bez ekrānuzņēmumiem.
- Bez klientu nosaukumiem.
- Bez neapstrādātiem žurnāliem, ja vien tie netiek pieprasīti kontrolētā kanālā.
Ja darbība kļūst par incidentu, pārņem Incidentu reaģēšanas politika kontroles pasākumi. Ja tiek vākti digitālās kriminālistikas artefakti, piemēro Digitālo pierādījumu iegūšanas un kriminālistikas politika - SME Digitālo pierādījumu iegūšanas un kriminālistikas politika - SME:
Katrs digitālais pierādījums jāreģistrē ar:
Politika iekšēji turpina ar pierādījumu metadatu prasībām, taču audita princips ir skaidrs: katram artefaktam, kas izmantots izmeklēšanai, kopīgošanai, ziņošanai regulatoram vai klientu komunikācijai, nepieciešama izsekojamība.
Ievainojamību izpaušana nav tas pats, kas draudu izlūkošanas informācijas apmaiņa
Bieža kļūda ir ievainojamību izpaušanu, incidentu paziņošanu un draudu izlūkošanas informācijas apmaiņu traktēt kā vienu un to pašu procesu. Tie pārklājas, bet nav identiski.
Draudu izlūkošanas informācijas apmaiņa var ietvert indikatorus, taktikas, nozares brīdinājumus, pretinieka uzvedību, mazināšanas pasākumus vai novērotus mēģinājumus. Koordinēta ievainojamību izpaušana attiecas uz konkrētu vājumu produktā vai pakalpojumā, bieži ar ziņotāju, labojuma termiņu, paziņojumu un publiskas izpaušanas lēmumu. Incidenta paziņošana ietver regulatīvu vai līgumisku ziņošanu par notikumu, kas ietekmē pakalpojumus, datus vai klientus.
Clarysec nodala šīs darbplūsmas, vienlaikus saglabājot to sasaisti caur IDPS. Uzņēmuma Koordinētas ievainojamību izpaušanas politika Koordinētas ievainojamību izpaušanas politika nosaka:
Koordinācija un izpaušana: organizācijai jāsaskaņo publiska izpaušana ar ziņotāju. Pēc noklusējuma neviena ievainojamības detaļa nedrīkst tikt publiskota, kamēr nav pieejams labojums vai mazināšanas pasākums vai tas vismaz nav izstrādes procesā. Kritisku problēmu gadījumā, ja labojumu nevar piegādāt ātri, organizācija, konsultējoties ar attiecīgajām iestādēm, ja tas nepieciešams, var publicēt drošības paziņojumu ar apiešanas risinājuma norādījumiem, lai brīdinātu lietotājus. No ziņotāja tiek sagaidīts, ka tas atturēsies no publiskas izpaušanas, līdz organizācija sniedz atļauju vai publicē paziņojumu. Kā vispārīgs noteikums organizācija cenšas publicēt paziņojumu 90 dienu laikā pēc ziņojuma saņemšanas vai citā savstarpēji saskaņotā termiņā atbilstoši nozares praksei, norādot ziņotāja ieguldījumu, ja ir saņemta piekrišana.
Tā pati politika arī nosaka:
Konfidencialitāte: līdz publiskai izpaušanai visa informācija, kas attiecas uz ziņotu ievainojamību, jāapstrādā kā īpaši konfidenciāla. Detaļas iekšēji kopīgojamas tikai pēc principa “nepieciešams zināt” ar personālu, kuram tās nepieciešamas problēmas validācijai vai novēršanai. Ziņotāja identitāte pēc pieprasījuma jāglabā konfidenciāli. Visa saziņa ar ziņotāju ir jāšifrē, tostarp izmantojot organizācijas PGP atslēgu, lai aizsargātu sensitīvas ievainojamības detaļas.
Tas ir būtiski DORA Article 45 un NIS2 sadarbībai. Uzticama kopiena var būt pareizā vieta mazināšanas pasākumu vai augsta līmeņa indikatoru kopīgošanai, bet ne obligāti ekspluatācijas detaļām, klientam specifiskiem datiem vai neielāpītas ievainojamības informācijai.
Ārējām komunikācijām nepieciešama tā pati disciplīna. Uzņēmuma Sociālo mediju un ārējās komunikācijas politika Sociālo mediju un ārējās komunikācijas politika piešķir satura pārskatīšanas atbildību, lai nodrošinātu atbilstību tiesību aktiem par konfidencialitāti, iekšējās informācijas izpaušanu, intelektuālo īpašumu un neslavas celšanu. Tas ir svarīgi, kad tehnisks paziņojums kļūst par publisku paziņojumu, klientu paziņojumu, tīmekļvietnes atjauninājumu vai regulatoram adresētu ziņojumu.
Starpatbilstības kartēšana: viena darbplūsma, daudzi pienākumi
Spēcīgai kiberdraudu izlūkošanas informācijas apmaiņas darbplūsmai jāapmierina vairāki ietvari, neradot dublētus procesus.
| Ietvars | Ko tas sagaida | Kā Clarysec to kartē |
|---|---|---|
| ISO/IEC 27001:2022 | Konteksts, vadība, riska apstrāde, darbības kontrole, dokumentēti pierādījumi, uzraudzība, audits, nepārtraukta pilnveide | IDPS darbības joma, riska reģistrs, piemērojamības deklarācija (SoA), komunikācijas plāns, iekšējais audits, vadības pārskatīšana |
| ISO/IEC 27002:2022 kontroles pasākumi 5.6 un 5.7 | Pārvaldīta saziņa ar īpašo interešu grupām un praktiski izmantojama draudu izlūkošana | SIG reģistrs, draudu ievade, analīzes darbplūsma, detekcijas atjauninājumi, kopīgošanas apstiprinājumi |
| DORA Article 45 | Uzticama kiberdraudu izlūkošanas informācijas apmaiņa, kas aizsargā konfidencialitāti, personas datus, komercnoslēpumus, IP un konkurences robežas | Apstiprinātas kopienas, izpaušanas nosacījumi, Juridiskā dienesta un DPO pārbaude, droši kanāli, pierādījumu žurnāli |
| NIS2 Articles 20, 21 un 23 | Valdes pārraudzība, kiberdrošības risku pārvaldības pasākumi, sadarbība, incidentu apstrāde, piegādes ķēdes drošība, ievainojamību apstrāde, pakāpeniska ziņošana | Valdes ziņošana, incidentu komunikācija, piegādātāju eskalācija, CSIRT kontaktu saraksts, draudu virzīti risku atjauninājumi |
| GDPR Articles 5, 6, 25 un 32 | Likumīga, minimizēta, nolūkam ierobežota, droša un pārskatatbildīga personas datu apstrāde | Privātuma filtrs, rediģēšana, pseidonimizācija, glabāšanas noteikumi, DPO pārbaude, kopīgošanas žurnāls |
| NIST CSF 2.0 | GOVERN, IDENTIFY, PROTECT, DETECT, RESPOND un RECOVER rezultāti ar juridiskajiem pienākumiem un komunikācijas kanāliem | Organizācijas profils, pašreizējais un mērķa stāvoklis, detekcijas un reaģēšanas uzlabojumi, ārējo ieinteresēto pušu komunikācija |
| COBIT 2019 | Uzraudzīt ārējās prasības, pārvaldīt drošības apdraudējumus, izvērtēt kontroles efektivitāti, pārvaldīt privātumu | Atbilstības uzraudzība, draudu metrikas, pārvaldības ziņošana, privātuma programmas saskaņošana |
NIST CSF 2.0 ir noderīgs kā neitrāls strukturēšanas slānis, jo tā GOVERN funkcija aptver ieinteresētās puses, juridiskos pienākumus, atkarības, riska apetīti, lomas, politikas un pārraudzību. Tā DETECT un RESPOND funkcijas sagaida uzraudzību, draudu izlūkošanas integrāciju, incidenta deklarēšanu, pierādījumu saglabāšanu, paziņošanu un ārējo komunikāciju.
COBIT 2019 pievieno vadības pārskatatbildību. Tādas prakses kā DSS05.04 Drošības apdraudējumu pārvaldība, APO12 Risku pārvaldība, MEA03 Atbilstības ārējām prasībām pārvaldība un APO13 Drošības pārvaldība palīdz auditoriem pārbaudīt, vai izlūkošanas informācija uzlabo kontroles veiktspēju un pārvaldības ziņošanu.
Kā auditori pārbaudīs jūsu apmaiņas programmu
ISO/IEC 27001:2022 auditors sāks ar pārvaldības sistēmu. Viņš jautās, kā tiesiskās, regulatīvās, līgumiskās un ieinteresēto pušu prasības identificētas saskaņā ar 4.1 un 4.2 punktu. Viņš pārbaudīs, vai draudu izlūkošanas informācijas apmaiņa ir darbības jomā, vai riski ir izvērtēti, vai kontroles pasākumi 5.6, 5.7, 5.31, 5.34, 5.24, 5.28, 8.8, 8.15 un 8.16 ir iekļauti vai pamatoti piemērojamības deklarācijā (SoA), un vai pierādījumi parāda, ka process darbojās, kā plānots.
DORA fokusēts auditors vai uzraudzības iestāde meklēs pārvaldību, valdes pārskatatbildību, IKT risku integrāciju, incidentu klasifikāciju, noturības testēšanu, trešo pušu ietekmi un Article 45 nosacījumus. Viņi jautās, vai dalība informācijas apmaiņas kārtībās ir dokumentēta, vai sensitīvie dati un personas dati ir aizsargāti, vai izlūkošanas informācija atjaunina IKT risku pārvaldības ietvaru un vai tā ietekmē testēšanas scenārijus.
NIS2 orientēts pārbaudītājs koncentrēsies uz valdes pārraudzību, Article 21 pasākumiem, incidentu apstrādi, piegādātāju atkarībām, ievainojamību apstrādi, klientu vai pakalpojuma saņēmēju komunikāciju un sadarbību ar CSIRT vai kompetentajām iestādēm. Viņš pārbaudīs, vai draudu izlūkošana ir saistīta ar nozīmīgu incidentu izvērtēšanu un pakāpenisku ziņošanu.
Privātuma auditors koncentrēsies uz GDPR principiem. Viņš jautās, vai kopīgotie dati bija personas dati, kāds tiesiskais pamats tika piemērots, vai tika veikta minimizēšana, vai bija iespējama pseidonimizācija vai rediģēšana, vai glabāšana tika kontrolēta un vai organizācija var pierādīt pārskatatbildību.
Labi pierādījumi ietver:
- Apstiprinātu ISAC vai SIG reģistru.
- Vārdā norādītus dalībniekus un aizvietotājus.
- Dalības noteikumus un konfidencialitātes pienākumus.
- Draudu izlūkošanas ievades žurnālu.
- Triāžas un atbilstības izvērtējumus.
- Detekcijas inženierijas pieteikumus.
- Ievainojamību prioritizēšanas izmaiņas.
- Piegādātāju riska eskalācijas.
- Izpaušanas apstiprinājumu ierakstus.
- DPO vai privātuma pārbaudes piezīmes.
- Rediģētus izejošos ziņojumus.
- Incidentu ierakstus SIMS.
- Pierādījumu glabāšanas ķēdes žurnālus.
- Vadības pārskatīšanas protokolus.
- Iekšējā audita konstatējumus un korektīvās darbības.
Biežākās kļūdas, ko Clarysec redz praksē
Visbiežākā kļūme ir neformāla dalība. Drošības inženieris pievienojas privātam forumam, saņem noderīgu izlūkošanas informāciju un kopīgo iekšējos novērojumus bez formālas autorizācijas. Nolūks ir labs, bet pierādījumu pēda ir vāja un konfidencialitātes risks augsts.
Otra kļūme ir pasīvs patēriņš. Organizācija abonē plūsmas, piedalās ISAC zvanos un pārsūta paziņojumus, bet neviens nevar parādīt, kā izlūkošanas informācija mainīja kontroles pasākumus. Draudu izlūkošanai jāatjaunina detekcijas loģika, ielāpu prioritātes, rokasgrāmatas, risku reģistri, piegādātāju pārskatīšana, informētības kampaņas vai noturības testi.
Trešā kļūme ir neapstrādātu žurnālu kopīgošana. Komandas ārēji nosūta ekrānuzņēmumus, SIEM eksportus, e-pasta galvenes vai pakešu tvērumus bez minimizēšanas. Tas var atklāt personas datus, klientu identifikatorus, iekšējos resursdatoru nosaukumus, marķierus vai konfidenciālu arhitektūru.
Ceturtā kļūme ir sabiedrisko attiecību jaukšana ar regulētu komunikāciju. LinkedIn ieraksts par uzbrukuma tendenci nav tas pats, kas klienta brīdinājums, regulatora paziņojums, CSIRT atjauninājums vai koordinēts paziņojums. Clarysec nodala šos kanālus, piešķir apstiprinājuma īpašniekus un prasa ierakstus.
Piektā kļūme ir piegādātāju ignorēšana. Daudzi izlūkošanas brīdinājumi attiecas uz trešo pušu programmatūru, mākoņplatformām, pārvaldīto pakalpojumu sniedzējiem vai identitātes integrācijām. Saskaņā ar DORA, NIS2, NIST CSF, COBIT 2019 un ISO/IEC 27002:2022 piegādātāju kontroles pasākumiem draudu izlūkošanai jābaro piegādātāju riska pārvaldība.
Izveidojiet savu 2026. gada draudu izlūkošanas informācijas apmaiņas pakotni
Lielākajai daļai organizāciju nav vajadzīga smagnēja atsevišķa birokrātija. Tām vajadzīga kompakta pārvaldības pakotne, kas darbojas reāla incidenta laikā. Clarysec iesaka:
- Draudu izlūkošanas informācijas apmaiņas procedūra.
- Apstiprināto kopīgošanas kopienu reģistrs.
- Draudu izlūkošanas ievades un triāžas veidlapa.
- Izejošās izpaušanas apstiprinājuma veidlapa.
- Privātuma un konfidencialitātes pārbaudes kontrolsaraksts.
- Ārējās komunikācijas matrica.
- ISAC sanāksmes kopsavilkuma veidne.
- Pierādījumu un incidentu sasaistes noteikumi.
- Metriku informācijas panelis.
- Iekšējā audita testēšanas plāns.
Procedūrai jāatsaucas uz ISO/IEC 27001:2022 riska pārvaldības, komunikācijas, darbības kontroles, veiktspējas izvērtēšanas, iekšējā audita un nepārtrauktas pilnveides punktiem. Tai jābūt kartētai uz ISO/IEC 27002:2022 kontroles pasākumiem 5.6, 5.7, 5.31, 5.34, 5.24, 5.28, 8.8, 8.15, 8.16 un attiecīgajiem piegādātāju kontroles pasākumiem. Tai jāatsaucas arī uz DORA Article 45, NIS2 sadarbības un incidentu komunikācijas pienākumiem un GDPR principiem.
Vissvarīgākais — tai jābūt izmantojamai spiediena apstākļos. Ja process prasa 12 personu sanāksmi pirms ļaunprātīga domēna kopīgošanas ar uzticamu ISAC, tas nedarbosies. Ja tas ļauj neapstrādātus klientu žurnālus ielīmēt kopienas portālā, tas arī nedarbosies. Mērķis ir kontrolēts ātrums.
Pārvērtiet draudu izlūkošanas informācijas apmaiņu pierādījumos balstītā noturībā
Kiberdraudu izlūkošanas informācijas apmaiņa 2026. gadā nav tikai drošības brieduma zīme. Finanšu vienībām tā ir saistīta ar DORA Article 45 un digitālo darbības noturību. Būtiskām un svarīgām vienībām tā atbalsta NIS2 sadarbību, incidentu apstrādi, ievainojamību reaģēšanu, piegādātāju drošību un pakalpojuma saņēmēju brīdināšanu. Jebkurai organizācijai, kas apstrādā ES personas datus, tai pēc projektēšanas jābūt GDPR drošai.
Clarysec palīdz organizācijām izveidot šo darbības modeli, nepalēninot aizsardzības komandu darbu. Mēs savienojam Zenith Blueprint Zenith Blueprint, politiku rīkkopu un Zenith Controls Zenith Controls funkcionējošā IDPS procesā: apstiprinātas kopienas, skaidras lomas, privātumam droša izpaušana, incidentu sasaistes, pierādījumu ieraksti, gatavība auditam un starpietvaru kartēšana.
Ja jūsu organizācija piedalās ISAC, saņem kiberdrošības paziņojumus, kopīgo indikatorus ar kolēģiem, ziņo iestādēm vai apstrādā ievainojamību izpaušanu, tagad ir laiks formalizēt darbplūsmu. Sāciet ar vienas stundas pārskatīšanu par pašreizējo kopīgošanas kārtību, pēc tam kartējiet to uz ISO/IEC 27001:2022, DORA Article 45, NIS2 un GDPR.
Clarysec var palīdzēt izveidot reģistru, politikas punktus, apstiprinājuma veidnes, audita pierādījumu modeli un vadības ziņošanas pakotni, kas nepieciešama, lai kiberdraudu izlūkošanas informācijas apmaiņa būtu ātra, likumīga un pamatojama.
Frequently Asked Questions
About the Author

Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council


