⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →
RO EN BG CS DA DE EL ES ET FI FR GA HR HU IT LT LV MT NL PL PT SK SL SV
NIS2 DORA GDPR NIST COBIT 2019

Dovezi de jurnalizare ISO 27001 pentru NIS2, DORA și GDPR

Igor Petreski
15 min read
#Jurnalizare și monitorizare #Audit #SMSI #Răspuns la incidente #Protecția datelor #SOC #Managementul furnizorilor
Hartă a dovezilor de jurnalizare ISO 27001 pentru auditurile NIS2 DORA GDPR

Alerta a ajuns pe canalul SOC la ora 02:17, într-o zi de marți: mai multe încercări eșuate de autentificare pentru utilizatorul privilegiat admin, dintr-o adresă IP nouă. Încercările s-au oprit după câteva minute. Un analist junior a consemnat alerta, a presupus că era vorba despre un script configurat greșit sau despre un administrator de sistem care lucra târziu și a trecut mai departe.

Două zile mai târziu, Maria, CISO al unei companii fintech în creștere rapidă, se afla într-o ședință de management când telefonul a vibrat. Echipa de inginerie identificase o utilizare neobișnuit de ridicată a procesorului pe o instanță de bază de date de producție. Fusese creat un cont de utilizator neautorizat. Alerta de la 02:17 nu fusese un fals pozitiv. Fusese primul semn vizibil al unei tentative de intruziune.

Incidentul a fost izolat, dar investigația a scos la iveală o problemă mai mare. Jurnalele de firewall erau într-un sistem. Jurnalele Kubernetes erau în altul. Jurnalele de audit ale bazei de date erau stocate separat. Mai multe marcaje temporale erau desincronizate cu câteva minute. Echipa avea date, dar nu putea construi rapid o explicație defensabilă privind detectarea, revizuirea, escaladarea, izolarea și evaluarea încălcării.

Auditul de supraveghere ISO/IEC 27001:2022 al Mariei se încheiase cu succes, însă auditorul a lăsat un avertisment: organizația avea controale de jurnalizare și monitorizare, dar ar fi avut dificultăți în furnizarea unor dovezi corelate și la timp pentru deciziile de raportare NIS2, DORA și GDPR.

Aceasta este realitatea cu care se confruntă multe organizații în 2026. Nu au o problemă de jurnalizare. Au o problemă de dovezi.

Un SIEM, o platformă EDR, o pistă de audit în cloud sau un jurnal de firewall nu reprezintă, în sine, dovezi pregătite pentru audit. Dovezile devin defensabile numai atunci când sunt guvernate prin politici, protejate împotriva alterării, revizuite cu o cadență definită, legate de deciziile privind incidentele și păstrate suficient timp pentru reconstruirea evenimentelor.

Pentru ISO/IEC 27001:2022, NIS2, DORA și GDPR, întrebarea principală nu mai este „Colectăm jurnale?”. Întrebarea este: „Putem demonstra ce s-a întâmplat, cine a revizuit, cum a fost clasificat, dacă raportarea era necesară și dacă managementul a avut supraveghere?”.

De ce jurnalizarea și monitorizarea au devenit o problemă de dovezi de conformitate

NIS2, DORA și GDPR au schimbat semnificația operațională a jurnalelor de securitate.

În temeiul NIS2, entitățile esențiale și importante trebuie să implementeze măsuri adecvate și proporționale de management al riscurilor de securitate cibernetică. Article 21 include gestionarea incidentelor, continuitatea activității, securitatea lanțului de aprovizionare, dezvoltarea securizată, evaluarea eficacității, igiena cibernetică, criptografia, securitatea resurselor umane, controlul accesului, managementul activelor, MFA și comunicațiile securizate. Article 23 creează un model de raportare etapizat, incluzând o avertizare timpurie în termen de 24 de ore, notificarea incidentului în termen de 72 de ore, actualizări intermediare, după caz, și un raport final cel târziu la o lună după notificarea incidentului.

Acest model depinde de jurnalizare și monitorizare. Nu puteți transmite o avertizare timpurie credibilă dacă nu puteți arăta când a fost detectat evenimentul. Nu puteți clasifica un incident semnificativ dacă nu puteți reconstrui sistemele afectate, activitatea utilizatorilor, impactul asupra serviciilor și acțiunile de izolare.

DORA exercită o presiune similară asupra entităților financiare. Articles 5 to 14 stabilesc așteptările privind guvernanța și managementul riscurilor TIC, inclusiv responsabilitatea organului de conducere, identificarea activelor TIC, protecția și prevenirea, detectarea, răspunsul și recuperarea, backupul, restaurarea, învățarea și comunicarea. Articles 17 to 23 impun un proces de gestionare a incidentelor legate de TIC care acoperă detectarea, înregistrarea, clasificarea, escaladarea, notificarea și urmărirea. Articles 24 to 27 abordează testarea rezilienței operaționale digitale. Articles 28 to 31 creează obligații de management al riscurilor asociate furnizorilor terți TIC.

GDPR adaugă nivelul de responsabilitate privind protecția datelor. Article 32 impune securitatea adecvată a prelucrării. Article 33 impune notificarea încălcării securității datelor cu caracter personal către autoritatea de supraveghere fără întârzieri nejustificate și, acolo unde este fezabil, în cel mult 72 de ore de la momentul la care organizația a luat cunoștință de aceasta, cu excepția cazului în care încălcarea este puțin probabil să genereze un risc pentru persoane. Article 34 poate impune comunicarea către persoanele vizate afectate atunci când riscul este ridicat. Jurnalele ajută la stabilirea faptului că datele cu caracter personal au fost accesate, modificate, exfiltrate sau expuse, dar jurnalele pot conține, la rândul lor, date cu caracter personal și trebuie guvernate corespunzător.

ISO/IEC 27001:2022 oferă coloana vertebrală a sistemului de management. Clauzele 4.1 până la 4.4 impun organizației să înțeleagă contextul, părțile interesate, cerințele și domeniul de aplicare al SMSI. Clauzele 5.1 până la 5.3 impun leadership, alinierea politicilor, roluri, responsabilități și autoritate. Clauzele 6.1.1 până la 6.1.3 impun un proces repetabil de evaluare și tratare a riscurilor, incluzând criterii de risc, proprietari de risc, opțiuni de tratament, comparația cu controalele din Anexa A, Declarația de aplicabilitate și acceptarea riscului rezidual. Clauza 6.2 impune obiective măsurabile de securitate a informației.

De aceea, dovezile de jurnalizare și monitorizare nu pot exista doar în interiorul SOC. Ele aparțin SMSI, registrului de riscuri, Declarației de aplicabilitate, procesului de răspuns la incidente, fluxului de gestionare a încălcărilor privind protecția datelor, guvernanței furnizorilor și raportării către management.

Controalele de jurnalizare ISO 27001 pe care auditorii le corelează primele

În Zenith Blueprint: foaia de parcurs în 30 de pași a auditorului Zenith Blueprint, faza Controale în acțiune, Pasul 19: Controale tehnologice I, tratează jurnalizarea, monitorizarea și sincronizarea ceasului ca pe un singur lanț de dovezi.

A.8.15 – Jurnalizare: „Jurnalele care înregistrează activități, excepții, erori și alte evenimente relevante
trebuie generate, stocate, protejate și analizate.”

A.8.16 – Activități de monitorizare: „Rețelele, sistemele și aplicațiile trebuie monitorizate pentru
comportament anormal, iar acțiunile adecvate trebuie întreprinse pentru evaluarea potențialelor incidente
de securitate a informației.”

A.8.17 – Sincronizarea ceasului: „Ceasurile sistemelor de prelucrare a informațiilor utilizate de
organizație trebuie sincronizate cu surse de timp aprobate.”

Aceste controale răspund la trei întrebări de audit:

Control ISO/IEC 27001:2022Întrebare de auditTemă de dovezi
Anexa A.8.15 JurnalizareCe s-a întâmplat?Generarea, stocarea, protecția, retenția și analiza jurnalelor
Anexa A.8.16 Activități de monitorizareCine a observat și a acționat?Alertare, revizuire, triaj, escaladare și răspuns
Anexa A.8.17 Sincronizarea ceasuluiPutem avea încredere în cronologie?Surse de timp aprobate, configurație NTP și corelarea marcajelor temporale

Zenith Controls: ghidul de conformitate transversală Zenith Controls face relația explicită:

„Jurnalizarea servește drept strat fundamental de date pentru monitorizare. Controlul 8.16 depinde de jurnalele generate în cadrul 8.15 pentru a analiza evenimentele de securitate, a detecta anomaliile și a identifica potențialele încălcări. Fără jurnalizare cuprinzătoare, sistemele de monitorizare sunt ineficiente.”

Zenith Controls clasifică controlul ISO/IEC 27002:2022 8.15, Jurnalizare, ca un control de detectare care susține confidențialitatea, integritatea și disponibilitatea. Acesta este mapat la conceptul de securitate cibernetică Detect și la gestionarea evenimentelor de securitate a informației. De asemenea, conectează Jurnalizarea la Activități de monitorizare, Evaluarea și decizia privind evenimentele de securitate a informației și Sincronizarea ceasului.

Pentru controlul 8.16, Activități de monitorizare, Zenith Controls îl clasifică drept control de detectare și corectiv, mapat la Detect și Respond. Acesta conectează monitorizarea la monitorizarea serviciilor furnizorilor și la evaluarea evenimentelor, ceea ce este esențial pentru medii cloud, SaaS, servicii administrate și externalizare.

Mesajul practic este simplu. Jurnalele furnizează faptele. Monitorizarea identifică anomaliile. Sincronizarea ceasului face faptele fiabile între sisteme. Evaluarea evenimentelor transformă alertele în decizii.

Cum arată în practică dovezile de jurnalizare pregătite pentru audit

Dovezile pregătite pentru audit nu sunt un folder cu capturi de ecran. Ele reprezintă o pistă coerentă care demonstrează proiectarea controlului, operarea controlului și procesul decizional.

Un dosar matur de dovezi pentru jurnalizare și monitorizare conține, de regulă, următoarele:

Element de dovadăCe demonstreazăSursă tipică
Politica de jurnalizare și monitorizareCerințe aprobate de management pentru jurnalizare, revizuire, retenție, protecție și escaladareBiblioteca de politici Clarysec, setul de politici SMSI
Inventarul jurnalizării sistemelorCe sisteme produc ce jurnale și cine le dețineCMDB, registrul activelor, registru de urmărire a înrolării în SIEM
Configurația SIEM sau a colectorului de jurnaleColectare centralizată, parsare, corelare și alertareTablou de bord SIEM, configurație syslog, setări de audit cloud
Dovezi de retențieJurnalele sunt păstrate pe perioadele prevăzute de politică, lege și contractPolitică de stocare, setări de retenție SIEM, setări de arhivă
Dovezi de integritateJurnalele sunt protejate împotriva modificării sau ștergerii neautorizateRBAC, protecție la scriere, criptare, verificare hash
Înregistrări ale revizuirilorJurnalele și alertele sunt revizuite cu o cadență definităRaport SOC zilnic, listă de verificare a revizuirii, coadă de tichete
Înregistrări de escaladareAlertele cu prioritate ridicată sunt escaladate în termene definiteTichet de incident, e-mail, jurnal de paging, marcaj temporal al fluxului de lucru
Legătura cu incidentulAlertele sunt evaluate și transformate în incidente atunci când pragurile sunt îndepliniteRegistru al incidentelor, înregistrare de clasificare, analiza cauzei principale
Dovezi privind sincronizarea timpuluiCeasurile sistemelor sunt aliniate la surse de timp aprobateConfigurație NTP, politică pentru puncte terminale, cerințe de bază ale serverului
Raportare către managementConducerea primește metrici și rezultate ale monitorizării relevante pentru riscRaport SMSI, pachet pentru comitetul de risc, tablou de bord pentru consiliul de administrație

Politica Enterprise Politica de jurnalizare și monitorizare a Clarysec Politica de jurnalizare și monitorizare formulează direct această abordare:

„Această politică este esențială pentru susținerea clauzei 8.1 din ISO/IEC 27001 și a controalelor din Anexa A 8.15 (Jurnalizare), 8.16 (Monitorizare) și 8.17 (Sincronizarea ceasului) și este mapată direct la obligațiile de reglementare din GDPR, NIS2, DORA și COBIT 2019.”

Din secțiunea „Scop”, clauza de politică 1.3.

Aceeași politică stabilește așteptarea operațională:

„Stabiliți sisteme centralizate de jurnalizare și alertare (de exemplu, SIEM) pentru a agrega, corela și escalada activitățile suspecte aproape în timp real.”

Din secțiunea „Obiective”, clauza de politică 3.4.

Pentru organizațiile mai mici, Politica de jurnalizare și monitorizare pentru IMM-uri a Clarysec Politica de jurnalizare și monitorizare - IMM transpune același principiu în cerințe proporționale:

„Furnizorul de suport IT trebuie să definească și să respecte un program regulat de revizuire a jurnalelor:”

Din secțiunea „Cerințe de guvernanță”, clauza de politică 5.1.1.

De asemenea, aceasta definește retenția și protecția:

„Jurnalele trebuie păstrate pentru cel puțin 12 luni, cu excepția cazului în care legea sau contractul impune o perioadă de retenție mai lungă sau aceasta este justificată ca parte a unui incident activ ori a unui litigiu.”

Din secțiunea „Cerințe de guvernanță”, clauza de politică 5.2.1.

„Jurnalele trebuie stocate în locații protejate la scriere, iar accesul trebuie restricționat exclusiv la personalul autorizat.”

Din secțiunea „Cerințe de guvernanță”, clauza de politică 5.3.1.

Pentru NIS2 și DORA, o bază de referință de 12 luni pentru dovezi poate face diferența între o reconstrucție credibilă și o investigație eșuată. Pentru GDPR, aceasta susține responsabilitatea, impunând în același timp minimizarea, controlul accesului și disciplina retenției.

Puntea lipsă: evaluarea evenimentelor și pragurile de raportare

Multe organizații colectează jurnale și emit alerte pentru anomalii, dar eșuează în punctul decizional.

A fost alerta doar un eveniment de securitate sau a devenit un incident de securitate a informației? A fost semnificativă în temeiul NIS2? A fost un incident major legat de TIC în temeiul DORA? Au fost implicate date cu caracter personal? Este necesară analiza notificării unei încălcări conform GDPR?

Acest punct decizional se mapează la controlul ISO/IEC 27002:2022 5.25, Evaluarea și decizia privind evenimentele de securitate a informației. Zenith Controls descrie 5.25 ca funcția de triaj dintre alertele brute de monitorizare și gestionarea formală a incidentelor. Acesta conectează 5.25 la planificarea managementului incidentelor, activități de monitorizare, răspuns la incidente de securitate a informației și jurnalizare. De asemenea, mapează 5.25 la GDPR Articles 33 and 34 pentru notificarea încălcărilor și evaluarea riscurilor, notificarea incidentelor conform NIS2 și criteriile de clasificare, precum și clasificarea incidentelor majore legate de TIC conform DORA.

Politica de răspuns la incidente a Clarysec Politica de răspuns la incidente susține acest punct de escaladare:

„Dacă un incident duce la expunerea confirmată sau probabilă a datelor cu caracter personal ori a altor date reglementate, Departamentul juridic și DPO trebuie să evalueze aplicabilitatea:”

Din secțiunea „Cerințe de implementare a politicii”, clauza de politică 6.4.1.

Pentru IMM-uri, Politica de răspuns la incidente pentru IMM-uri Politica de răspuns la incidente - IMM stabilește cerința tehnică privind dovezile:

„Sistemele de jurnalizare trebuie configurate pentru a captura suficiente detalii care să susțină investigația.”

Din secțiunea „Cerințe de implementare a politicii”, clauza de politică 6.4.1.

Aici devine operațional GDPR Article 33. Întrebarea nu este doar dacă datele cu caracter personal au fost accesate. Întrebarea este dacă jurnalele, alertele de monitorizare și înregistrările incidentelor permit DPO să realizeze o evaluare la timp și defensabilă a încălcării.

NIS2 Article 23 și DORA Articles 17 to 23 creează o presiune similară. Termenele de raportare depind de momentul luării la cunoștință, de clasificare și de evaluarea materialității. Organizația trebuie să poată demonstra când a fost generată alerta, când a fost revizuită, cine a evaluat-o, ce decizie a fost luată și când a avut loc escaladarea.

Un exercițiu de dovezi de 60 de minute pentru o investigație privind autentificarea privilegiată

O modalitate utilă de a testa pregătirea dovezilor este repetarea unui scenariu real înainte de audit sau incident.

Scenariu: un cont de administrator privilegiat se autentifică dintr-o țară neobișnuită la 02:13 UTC. Cinci minute mai târziu, contul încearcă să acceseze o funcție de export al datelor clienților. Accesul condiționat blochează sesiunea și este generată o alertă.

Obiectiv: în 60 de minute, produceți un pachet de dovezi care demonstrează detectarea, revizuirea, escaladarea, evaluarea și închiderea.

Pasul 1: Confirmați că evenimentul există în jurnale

Utilizați Politica de jurnalizare și monitorizare pentru a identifica sursele de jurnale necesare: jurnale ale furnizorului de identitate, jurnale de administrare cloud, jurnale de aplicații, jurnale de baze de date, jurnale pentru puncte terminale și jurnale de firewall sau de acces securizat.

Exportați înregistrarea evenimentului cu marcaj temporal, ID-ul utilizatorului, IP-ul sursă, dispozitivul, acțiunea, rezultatul și ID-ul de corelare. Dacă evenimentul există doar într-o consolă și nu în SIEM sau în colectorul de jurnale, înregistrați acest fapt ca lacună de control.

Zenith Blueprint Pasul 19 recomandă să se asigure că sistemele critice transmit jurnale către SIEM sau către colectorul central de jurnale și să se valideze că retenția este aliniată la politică.

Pasul 2: Demonstrați că monitorizarea l-a detectat

Prezentați alerta SIEM, alerta EDR sau alerta de protecție a identității. Includeți numele regulii, severitatea, marcajul temporal, condiția declanșată și ruta de notificare. Dacă organizația utilizează revizuire manuală, prezentați raportul zilnic și aprobarea revizorului.

Politica Enterprise Politica de jurnalizare și monitorizare face din aceasta o responsabilitate de rol:

„Revizuiește rapoartele zilnice și se asigură că anomaliile sunt analizate, documentate și escaladate după caz.”

Din secțiunea „Roluri și responsabilități”, clauza de politică 4.2.3.

Pasul 3: Demonstrați că escaladarea a avut loc în termenul prevăzut de politică

Pentru IMM-uri, cerința de escaladare este explicită:

„Alertele cu prioritate ridicată trebuie escaladate către Directorul general și Coordonatorul pentru confidențialitate în termen de 24 de ore.”

Din secțiunea „Aplicare și conformitate”, clauza de politică 8.1.2.

Pentru echipele enterprise, dovezile pot include un tichet de incident, o înregistrare de escaladare în Teams sau Slack, un jurnal de paging, o notificare prin e-mail, o notă de predare SOC sau o intrare în sistemul de gestionare a cazurilor.

Pasul 4: Clasificați evenimentul

Utilizați logica de evaluare a evenimentelor 5.25 din Zenith Controls. Capturați dacă alerta este un eveniment de securitate, un incident de securitate a informației, o încălcare a securității datelor cu caracter personal, un incident NIS2 semnificativ sau un incident major legat de TIC conform DORA.

Nota de clasificare trebuie să răspundă la următoarele întrebări:

  • Autentificarea a reușit sau a fost blocată?
  • A fost utilizat accesul privilegiat?
  • Datele clienților au fost accesate, modificate sau exfiltrate?
  • Serviciile reglementate au fost perturbate?
  • Au fost afectate active TIC critice?
  • Sunt implicați furnizori sau persoane împuternicite?
  • Evenimentul îndeplinește pragurile interne de raportare?
  • Este necesară notificarea DPO, a Departamentului juridic, a autorității de reglementare sau a clientului?

Pasul 5: Construiți o cronologie de încredere

Sincronizarea ceasului este adesea ignorată până când o investigație eșuează. Zenith Blueprint Pasul 19 precizează că timpul sincronizat este vital pentru corelarea evenimentelor, deoarece jurnalele din sisteme diferite trebuie să se alinieze în timpul analizei incidentului.

Includeți dovezi privind configurația NTP pentru platforme de identitate, servicii cloud, servere, puncte terminale, baze de date, firewall-uri și SIEM. Normalizați marcajele temporale la UTC acolo unde este posibil.

Pasul 6: Închideți sau escaladați

Dacă evenimentul este izolat și nu au fost accesate date, documentați închiderea, lecțiile învățate și acțiunea preventivă. Dacă devine incident, legați-l de răspunsul la incidente, revizuirea juridică și orice flux de raportare NIS2, DORA sau GDPR.

În final, protejați dovezile. Politica de audit și monitorizare a conformității a Clarysec Politica de audit și monitorizare a conformității prevede:

„Toate jurnalele de audit, constatările și rapoartele de remediere trebuie păstrate, criptate și protejate împotriva alterării.”

Din secțiunea „Aplicare și conformitate”, clauza de politică 8.5.1.

Acest exercițiu unic oferă dovezi pentru Anexa A.8.15, A.8.16, A.8.17, controlul ISO/IEC 27002:2022 5.25, responsabilitatea privind încălcările conform GDPR, gestionarea incidentelor conform NIS2 și clasificarea incidentelor TIC conform DORA.

Hartă de dovezi pentru conformitate transversală ISO 27001, NIS2, DORA și GDPR

Cele mai solide programe de conformitate nu construiesc seturi separate de dovezi pentru fiecare cadru. Ele construiesc un singur sistem de dovezi care poate fi privit prin mai multe lentile de audit.

Capabilitate de doveziISO/IEC 27001:2022 și ISO/IEC 27002:2022NIS2DORAGDPRAncoră de implementare Clarysec
Domeniu de aplicare și responsabilitateClauzele 4, 5 și 6 aliniază domeniul de aplicare, leadershipul, riscurile, controalele și obiectiveleArticle 20 privind supravegherea de către management și Article 21 privind măsurile de management al riscurilorArticles 5 to 14 privind managementul riscurilor TIC și responsabilitatea organului de conducereArticle 5 privind responsabilitatea și Article 32 privind securitatea prelucrăriiFazele Zenith Blueprint pentru definirea domeniului de aplicare, risc și Controale în acțiune
Generarea jurnalelorAnexa A.8.15 și controlul ISO/IEC 27002:2022 8.15Susține gestionarea incidentelor și păstrarea dovezilor în temeiul Article 21Susține înregistrarea, detectarea și analiza evenimentelor TIC în temeiul Articles 10 and 17Susține responsabilitatea și investigarea încălcărilorPolitica de jurnalizare și monitorizare, registru de urmărire a înrolării în SIEM
Monitorizare activăAnexa A.8.16 și revizuirea evenimentelorSusține gestionarea incidentelor și pregătirea pentru notificare conform Article 23Susține detectarea, răspunsul și gestionarea incidentelor în temeiul Articles 10, 11 and 17Susține detectarea la timp a încălcărilor și evaluarea conform Article 33Rapoarte SOC, reguli de alertă, cadență de revizuire
Sincronizarea timpuluiAnexa A.8.17Susține cronologii fiabile ale incidentelorSusține reconstrucția consecventă a incidentelor TICSusține o cronologie defensabilă a încălcăriiConfigurație de referință securizată și dovezi NTP
Evaluarea evenimentelorControlul ISO/IEC 27002:2022 5.25 privind evaluarea și decizia asupra evenimentelorClasificarea incidentelor semnificativeClasificarea incidentelor majore legate de TIC în temeiul Articles 18 and 19Evaluarea riscului privind încălcarea securității datelor cu caracter personal în temeiul Articles 33 and 34Politica de răspuns la incidente și fișa de clasificare
Jurnalele furnizorilorControale privind furnizorii, inclusiv controlul ISO/IEC 27002:2022 5.22 privind monitorizarea serviciilor furnizorilorArticle 21 privind securitatea lanțului de aprovizionareArticles 28 to 31 privind riscul asociat terților TICResponsabilitatea persoanelor împuternicite și dovezi de securitateRegistrul furnizorilor, clauze contractuale, acces la jurnalele cloud
Testare și lecții învățateEvaluarea performanței și îmbunătățire continuăEvaluarea eficacității și igienă ciberneticăArticles 24 to 27 privind testarea rezilienței operaționale digitaleResponsabilitate și îmbunătățirea securitățiiExerciții de tip tabletop, reglarea alertelor, audit intern

NIST Cybersecurity Framework 2.0 poate ajuta la operaționalizarea acestui model ca strat de comunicare. Cele șase funcții ale sale, GOVERN, IDENTIFY, PROTECT, DETECT, RESPOND și RECOVER, arată că jurnalizarea și monitorizarea se află în principal în DETECT și RESPOND, dar depind de guvernanță, de înțelegerea activelor și de prioritățile de risc.

Profilurile NIST CSF 2.0 pot susține și o foaie de parcurs pentru 2026. Un profil curent poate arăta acoperirea de jurnalizare și maturitatea alertării de astăzi. Un profil-țintă poate defini acoperirea necesară pentru sisteme reglementate, activitate privilegiată, platforme ale furnizorilor și medii cu date cu caracter personal. Diferența dintre acestea devine planul de remediere.

Jurnalele furnizorilor și ale mediilor cloud: lacuna de dovezi pe care auditorii o testează tot mai des

În auditurile moderne, cele mai dificile întrebări privind jurnalizarea implică adesea platforme externalizate.

Puteți accesa jurnalele de autentificare ale furnizorului cloud? Sunt jurnalizate acțiunile administrative SaaS? Sunt activate jurnalele de audit ale bazelor de date în serviciile administrate? MSSP-ul dumneavoastră păstrează alertele suficient timp? Contractele impun cooperarea în caz de incident? Pot furnizorii să livreze jurnale suficient de rapid pentru termenele de raportare NIS2 sau DORA? Sunt disponibile jurnalele persoanelor împuternicite pentru evaluarea încălcărilor conform GDPR?

Zenith Controls conectează Activități de monitorizare, controlul 8.16, la Monitorizarea serviciilor furnizorilor, controlul 5.22. De asemenea, mapează monitorizarea la clauza 10.5 din ISO/IEC 27005:2024, care subliniază monitorizarea și revizuirea planurilor de tratare a riscurilor și a controalelor, precum și la clauza 7.3 din ISO/IEC 27035-2:2023, unde mecanismele de monitorizare continuă detectează evenimente de securitate a informației și declanșează managementul incidentelor.

DORA face jurnalizarea furnizorilor deosebit de importantă pentru entitățile financiare, deoarece managementul riscurilor asociate furnizorilor terți TIC include registre ale furnizorilor, aranjamente contractuale, risc de subcontractare, risc de concentrare și strategii de ieșire. NIS2 Article 21 plasează securitatea lanțului de aprovizionare în cadrul măsurilor de management al riscurilor de securitate cibernetică. GDPR poate face ca jurnalele furnizorilor să fie decisive atunci când un incident al unei persoane împuternicite poate deveni o încălcare a securității datelor cu caracter personal notificabilă de către operator.

O clauză practică de jurnalizare pentru furnizori trebuie să impună:

  • Jurnale de audit relevante pentru securitate privind autentificarea, modificările de privilegii, acțiunile administrative, accesul API, exportul de date și modificările de configurare.
  • Retenția jurnalelor aliniată la politică, obligațiile de reglementare și riscul contractual.
  • Sincronizarea timpului și normalizarea fusului orar.
  • Protecție împotriva alterării și acces restricționat la jurnale.
  • Cooperare în caz de incident în termene definite.
  • Livrarea dovezilor pentru audituri, investigații și solicitări ale autorităților de reglementare.
  • Declanșatoare de notificare pentru acces suspect, compromiterea serviciului sau expunerea datelor.
  • Obligații de jurnalizare și escaladare pentru persoanele subîmputernicite, acolo unde este relevant.

Jurnalizarea furnizorilor trebuie tratată înainte de un incident, nu negociată în timpul acestuia.

Cum testează auditori diferiți același control de jurnalizare

Un pachet bun de dovezi trebuie să reziste mai multor lentile profesionale. Un auditor ISO, un evaluator NIS2, un supraveghetor DORA, un evaluator GDPR și un auditor orientat COBIT 2019 sau ISACA pot privi același tablou de bord SIEM, dar vor pune întrebări diferite.

Lentilă de auditCe testează de fapt auditorulDovezi la care se va aștepta
Audit de certificare ISO/IEC 27001:2022Dacă jurnalizarea, monitorizarea și sincronizarea timpului sunt selectate, implementate, operate și revizuite prin SMSIDomeniu de aplicare, tratarea riscului, Declarația de aplicabilitate, Politica de jurnalizare și monitorizare, configurație SIEM, înregistrări ale revizuirilor, exemple de alerte, setări de retenție, dovezi NTP
Revizuirea controalelor ISO/IEC 27002:2022Dacă controalele 8.15, 8.16 și 8.17 sunt implementate practicInventar al surselor de jurnale, stocare protejată, reguli de alertă, rapoarte zilnice, înregistrări de escaladare, capturi de ecran privind sincronizarea ceasului
Revizuire a pregătirii NIS2Dacă detectarea și gestionarea incidentelor susțin raportarea incidentelor semnificativeMaparea controalelor Article 21, fluxul de raportare Article 23, criterii de clasificare a incidentelor, marcaje temporale de escaladare, dovezi privind supravegherea managementului
Revizuire a riscului TIC conform DORADacă incidentele TIC sunt detectate, înregistrate, clasificate, escaladate, raportate și utilizate pentru învățareCadru de risc TIC, registru al incidentelor, clasificarea incidentelor majore, flux de raportare, dovezi de jurnalizare ale furnizorilor, rezultate ale testelor de reziliență
Revizuire a responsabilității GDPRDacă evaluarea încălcării securității datelor cu caracter personal este la timp și defensabilăÎnregistrarea evaluării DPO, analiza impactului asupra datelor cu caracter personal, jurnalul deciziilor Article 33, jurnale de acces, jurnale de export de date, dovezi ale persoanei împuternicite
Evaluare NIST CSF 2.0Dacă rezultatele DETECT și RESPOND sunt guvernate, aliniate la risc și măsurabileProfil curent, profil-țintă, plan de lacune, acoperire de detectare, metrici de răspuns, raportare către conducere
Audit COBIT 2019 sau orientat ISACADacă monitorizarea este guvernată ca proces de management repetabil, măsurat și responsabilizatRACI, deținerea controlului, KPI, KRI, respectarea politicilor, integritatea dovezilor, urmărirea remedierii, raportare către management

Zenith Blueprint Pasul 19 pregătește organizațiile pentru aceste întrebări. Pentru Jurnalizare, auditorii se concentrează pe existența jurnalizării evenimentelor-cheie de securitate și pe faptul că jurnalele sunt păstrate, protejate și utile. Pentru Activități de monitorizare, întreabă cum este detectată, evaluată și escaladată activitatea neobișnuită sau neautorizată. Pentru Sincronizarea ceasului, pot compara marcajele temporale între sisteme și pot semnala lipsa alinierii timpului.

Pasul 16: Controale privind personalul II, controlul 6.8, contează de asemenea, deoarece mecanismele de raportare a incidentelor conectează raportarea umană cu detectarea tehnică. GDPR Article 33, NIS2 Article 23 și obligațiile de raportare a incidentelor conform DORA depind toate de escaladarea internă la timp.

Constatări frecvente de audit și remedieri practice

Cele mai multe constatări privind jurnalizarea și monitorizarea sunt previzibile. Problema este că organizațiile le descoperă adesea în timpul auditului, nu în timpul testării interne.

Constatare frecventăDe ce conteazăRemediere practică Clarysec
Sistemele critice nu trimit jurnale către SIEMAcoperirea monitorizării este incompletă, iar cronologiile incidentelor sunt nefiabileUtilizați Zenith Blueprint Pasul 19 pentru a crea un inventar al surselor de jurnale și un plan de înrolare SIEM
Jurnalele sunt păstrate pe perioade inconsistenteInvestigațiile de reglementare și cele privind incidentele pot necesita dovezi mai vechiAplicați baza de referință privind retenția din Politica de jurnalizare și monitorizare și documentați excepțiile
Nu există dovezi privind revizuirea zilnică sau regulatăJurnalizarea există, dar operarea monitorizării nu este dovedităUtilizați aprobarea raportului zilnic, revizuirea tichetelor și metrici ale cozii SOC
Alertele nu sunt legate de tichetele de incidentEscaladarea și clasificarea nu pot fi demonstrateMapați alertele la triajul controlului 5.25 și la fluxul de răspuns la incidente
Jurnalele furnizorilor nu sunt disponibileIncidentele cloud sau externalizate nu pot fi investigate corespunzătorAdăugați cerințe de jurnalizare pentru furnizori în contracte și în revizuirile monitorizării furnizorilor
Derivă a timpului între sistemeCorelarea evenimentelor și reconstrucția criminalistică devin nefiabileValidați configurația NTP și includeți sincronizarea ceasului în cerințele de bază securizate
Prea multe date cu caracter personal în jurnaleRiscurile de minimizare GDPR și de control al accesului crescRevizuiți conținutul jurnalelor, mascați câmpurile sensibile și restricționați accesul la jurnale
Managementul nu primește metriciAșteptările de leadership ale NIS2, DORA și ISO sunt slab susținuteRaportați acoperirea detectării, finalizarea revizuirilor, promptitudinea escaladărilor și lacunele deschise

Pentru organizațiile cu resurse limitate, abordarea politicii pentru IMM-uri este realistă. Nu impune un SOC complet din prima zi. Impune programe de revizuire definite, retenție de 12 luni cu excepția cazului în care este necesară o perioadă mai lungă, stocare protejată la scriere, acces restricționat și escaladarea alertelor cu prioritate ridicată. Aceasta creează o bază defensabilă, în timp ce organizația se maturizează către SIEM centralizat, corelare automatizată și detecție administrată.

Metrici care fac jurnalizarea credibilă pentru leadership

Consiliile de administrație și directorii executivi nu au nevoie de evenimente SIEM brute. Au nevoie de asigurare relevantă pentru risc. Deoarece NIS2 Article 20 și cerințele de guvernanță DORA plasează responsabilitatea asupra organelor de conducere, metricile de jurnalizare și monitorizare trebuie să apară în raportarea de guvernanță a securității.

Metrici utile includ:

  • Procentul activelor critice care transmit jurnale către SIEM sau către colectorul de jurnale.
  • Procentul evenimentelor de acces privilegiat acoperite de alertare.
  • Numărul de alerte cu prioritate ridicată revizuite în termenul SLA.
  • Timpul mediu de la generarea alertei până la revizuirea de către analist.
  • Timpul mediu de la detectare până la escaladare.
  • Numărul de evenimente clasificate în cadrul procesului de răspuns la incidente.
  • Numărul de evenimente care necesită revizuire DPO sau juridică.
  • Conformitatea retenției jurnalelor pe categorii de sisteme.
  • Numărul de platforme ale furnizorilor cu acces contractual la jurnale.
  • Numărul de sisteme care nu trec verificările de sincronizare a ceasului.
  • Acțiuni deschise de remediere privind jurnalizarea și monitorizarea, pe nivel de risc.

Aceste metrici susțin clauza 6.2 din ISO/IEC 27001:2022 privind obiectivele măsurabile de securitate a informației. De asemenea, consolidează supravegherea de către leadership în NIS2 și DORA și responsabilitatea GDPR.

Construirea pachetului de dovezi pentru jurnalizare și monitorizare în 2026

Un pachet solid de dovezi pentru 2026 trebuie asamblat înainte de audit sau incident. Clarysec recomandă, de regulă, un folder structurat sau un obiect de dovezi GRC cu următoarele secțiuni:

  1. Guvernanță și domeniu de aplicare: domeniul de aplicare al SMSI, părți interesate, aplicabilitate reglementară, aprobarea managementului și atribuiri de roluri.
  2. Politici: Politica de jurnalizare și monitorizare, Politica de răspuns la incidente, Politica de audit și monitorizare a conformității, cerințe de retenție și cerințe de escaladare.
  3. Risc și SoA: evaluarea riscurilor, plan de tratament, justificarea Declarației de aplicabilitate pentru A.8.15, A.8.16, A.8.17 și controalele conexe.
  4. Arhitectură: diagramă SIEM sau a colectorului de jurnale, inventar al surselor de jurnale, setări de jurnalizare cloud și dependențe de jurnale ale furnizorilor.
  5. Operarea controalelor: înregistrări ale revizuirilor, alerte, tichete, jurnale de escaladare, dovezi de închidere și excepții.
  6. Legătura cu incidentul: fișă de clasificare a evenimentului, registru al incidentelor, înregistrarea evaluării DPO și jurnalul deciziilor de raportare.
  7. Integritate și retenție: controale de acces, criptare, protecție la scriere, setări de arhivă, controale de ștergere și dovezi de retenție.
  8. Sincronizarea timpului: configurație NTP, cerințe de bază securizate, monitorizarea derivei ceasului și abordarea de normalizare UTC.
  9. Dovezi ale furnizorilor: clauze contractuale, rapoarte de asigurare ale furnizorilor, disponibilitatea jurnalelor de audit cloud și proceduri de cooperare în caz de incident.
  10. Îmbunătățire: constatări de audit intern, registru de urmărire a remedierii, rezultate ale exercițiilor de tip tabletop, înregistrări de reglare a alertelor și rapoarte către management.

Scopul nu este să copleșiți auditorii cu volum. Scopul este să demonstrați că jurnalizarea și monitorizarea funcționează ca un proces controlat, de la guvernanță la detectare, evaluare, escaladare, raportare și îmbunătățire.

Transformați jurnalele în dovezi de conformitate defensabile

Echipa Mariei nu și-a rezolvat problema cumpărând încă un tablou de bord. A rezolvat-o transformând jurnalizarea și monitorizarea într-un motor de dovezi. Politicile au definit cerințele. Regulile SIEM și jurnalele cloud au furnizat semnale. Fluxurile de incidente au capturat deciziile. Sincronizarea ceasului a făcut cronologia credibilă. Raportarea către management a făcut riscul vizibil.

Acesta este standardul de care organizațiile au nevoie pentru ISO/IEC 27001:2022, NIS2, DORA și GDPR în 2026.

Începeți cu un test practic: luați o alertă reală din ultimele 30 de zile și demonstrați, de la un capăt la altul, cum a fost jurnalizată, detectată, revizuită, escaladată, clasificată, păstrată și raportată.

Dacă răspunsul nu este sigur, Clarysec vă poate ajuta să închideți lacuna.

Utilizați Zenith Blueprint: foaia de parcurs în 30 de pași a auditorului Zenith Blueprint pentru a implementa Pasul 19 pentru jurnalizare, monitorizare și sincronizarea ceasului, precum și Pasul 16 pentru mecanismele de raportare a incidentelor. Utilizați Zenith Controls: ghidul de conformitate transversală Zenith Controls pentru a mapa Anexa A.8.15, A.8.16, A.8.17 și controlul ISO/IEC 27002:2022 5.25 în perspectivele NIS2, DORA, GDPR, NIST CSF 2.0 și COBIT 2019.

Apoi operaționalizați cerințele prin Politica de jurnalizare și monitorizare a Clarysec Politica de jurnalizare și monitorizare, Politica de jurnalizare și monitorizare pentru IMM-uri Politica de jurnalizare și monitorizare - IMM, Politica de răspuns la incidente Politica de răspuns la incidente, Politica de răspuns la incidente pentru IMM-uri Politica de răspuns la incidente - IMM și Politica de audit și monitorizare a conformității Politica de audit și monitorizare a conformității.

Jurnalele nu sunt dovezi până când nu sunt guvernate, protejate, revizuite și conectate la decizii. Organizațiile care pot demonstra acest lanț vor trece auditurile mai rapid, vor răspunde mai bine la incidente și vor oferi leadershipului încredere când va sosi următoarea alertă de la 02:17.

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles

Registre de contacte de reglementare NIS2 și DORA pentru ISO 27001

Registre de contacte de reglementare NIS2 și DORA pentru ISO 27001

Un registru al contactelor de reglementare nu mai este o simplă activitate administrativă. Pentru NIS2, DORA, GDPR și ISO/IEC 27001:2022, acesta reprezintă dovezi operaționale că organizația poate notifica autoritatea, supraveghetorul, furnizorul sau executivul potrivit înainte de expirarea termenului aplicabil.

SoA ISO 27001 pentru pregătirea NIS2 și DORA

SoA ISO 27001 pentru pregătirea NIS2 și DORA

Aflați cum să utilizați Declarația de aplicabilitate ISO 27001 ca punte pregătită pentru audit între NIS2, DORA, GDPR, tratamentul riscurilor, furnizori, răspunsul la incidente și dovezi.

DLP în 2026: ISO 27001 pentru GDPR, NIS2 și DORA

DLP în 2026: ISO 27001 pentru GDPR, NIS2 și DORA

Prevenirea pierderii datelor nu mai este o simplă configurare izolată a unui instrument. În 2026, CISO au nevoie de un program DLP guvernat prin politici și susținut de dovezi, care conectează clasificarea datelor, transferul securizat, jurnalizarea, răspunsul la incidente, guvernanța furnizorilor și controalele ISO/IEC 27001:2022 la GDPR Article 32, NIS2 și DORA.