⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →

Partajarea informațiilor despre amenințări cu ISO 27001 în 2026

Igor Petreski
14 min read
flux de lucru ISO 27001 pentru partajarea informațiilor despre amenințări pentru DORA NIS2 și GDPR

La ora 07:40, într-o dimineață de marți, Maria, CISO-ul unei platforme europene de plăți aflate în creștere rapidă, primește un buletin cu grad ridicat de încredere de la un ISAC din sectorul serviciilor financiare. O campanie de furt de credențiale vizează furnizori de plăți care utilizează o integrare specifică cu un furnizor de identitate. Avizul include domenii de comandă și control, nume suspecte de aplicații OAuth, șiruri user-agent, tactici observate și o recomandare de rotire a secretelor pentru tenant-urile afectate.

În câteva minute, organizația începe să formuleze întrebările care definesc partajarea informațiilor despre amenințările cibernetice în 2026.

SOC-ul dorește să introducă imediat indicatorii în SIEM. Juridicul întreabă dacă societatea poate partaja propria telemetrie înapoi către ISAC. DPO-ul întreabă dacă adresele IP, numele de utilizator, extrasele din tichete, jurnalele de autentificare sau detaliile despre puncte terminale includ date cu caracter personal. COO-ul dorește să știe dacă trebuie avertizați clienții. CEO-ul, proaspăt ieșit din instruirea de management NIS2, redirecționează alerta cu două cuvinte: „Planul nostru?”

Apoi, responsabilul cu conformitatea adresează întrebarea esențială: „Dacă autoritatea de supraveghere întreabă luna viitoare, putem demonstra că partajarea informațiilor despre amenințările cibernetice a fost legală, aprobată, utilă și controlată?”

Aceasta este noua realitate. DORA a trecut de la termen-limită de implementare la examinare supravegheată. NIS2 a trecut de la proiecte de pregătire la cooperare operațională. GDPR continuă să se aplice, chiar și atunci când datele sunt telemetrie de securitate. Partajarea informațiilor despre amenințări nu mai este un schimb informal pe Slack între echipe de securitate. Este o activitate guvernată, care implică confidențialitate, minimizarea datelor cu caracter personal, aprobări de divulgare, înregistrări, așteptări ale autorităților de reglementare și dovezi de audit.

Pentru CISO, manageri de conformitate, auditori și responsabili de business, problema nu este dacă trebuie să participe la aranjamente de partajare a informațiilor despre amenințările cibernetice. Problema reală este cum să partajeze suficient de rapid pentru a sprijini echipele de apărare, prevenind în același timp divulgarea nelegală, încălcările confidențialității clienților, scurgerile concurențiale, publicarea necontrolată a vulnerabilităților și dovezile insuficiente.

ISO/IEC 27001:2022 este coloana vertebrală de guvernanță care face posibil acest lucru. Nu ca certificat pe perete, ci ca sistem de management care transformă partajarea informațiilor despre amenințările cibernetice într-un model operațional repetabil, defensabil și compatibil cu GDPR.

De ce s-a schimbat partajarea informațiilor despre amenințările cibernetice în 2026

Primul val de pregătire pentru DORA și NIS2 s-a concentrat pe domeniul de aplicare, termenele de raportare a incidentelor, riscul asociat terților TIC, responsabilitatea consiliului de administrație și evaluările decalajelor. Această activitate a fost necesară, însă autoritățile de reglementare și clienții pun acum întrebări mai operaționale:

  • La ce ISAC-uri, CERT-uri, CSIRT-uri, forumuri ale furnizorilor sau comunități de încredere participați?
  • Cine este autorizat să reprezinte organizația în exterior?
  • Cum decideți ce poate fi partajat?
  • Cum preveniți divulgarea datelor cu caracter personal, secretelor clienților, detaliilor despre vulnerabilități și arhitecturii sensibile?
  • Cum actualizează informațiile despre amenințări regulile de monitorizare, prioritățile de aplicare a patch-urilor, registrele de riscuri, playbook-urile de incidente, revizuirile furnizorilor și testele de reziliență?
  • Unde sunt dovezile?

DORA este deosebit de directă pentru entitățile financiare. Tratează reziliența operațională digitală ca pe un sistem de management al riscurilor TIC deținut de consiliul de administrație, nu ca pe o listă de verificare IT. DORA se aplică de la 17 ianuarie 2025, astfel că, în 2026, multe entități financiare sunt evaluate în funcție de măsura în care procesele lor funcționează în practică.

DORA Article 45 permite partajarea informațiilor și a informațiilor despre amenințările cibernetice între entități financiare atunci când scopul este îmbunătățirea rezilienței operaționale digitale. Partajarea trebuie să aibă loc în comunități de încredere și în baza unor aranjamente care protejează informațiile de afaceri sensibile, datele cu caracter personal, confidențialitatea, proprietatea intelectuală și limitele impuse de dreptul concurenței. Pe scurt, DORA nu înseamnă „partajați totul”. Înseamnă „partajați în siguranță, deliberat și în condiții controlate”.

NIS2 creează o presiune similară în afara sectorului financiar. Se aplică multor entități esențiale și importante din sectoare cu nivel ridicat de criticitate și din alte sectoare critice, inclusiv infrastructură digitală, furnizori de servicii administrate, furnizori de servicii de securitate administrate, furnizori de cloud computing, furnizori de centre de date, piețe online, motoare de căutare, platforme de rețele sociale, bănci și infrastructuri ale piețelor financiare. NIS2 Article 20 face organele de conducere responsabile pentru aprobarea măsurilor de management al riscurilor de securitate cibernetică, supravegherea implementării și participarea la instruire. Article 21 impune măsuri tehnice, operaționale și organizatorice adecvate și proporționale, inclusiv analiza riscului, gestionarea incidentelor, continuitatea activității, securitatea lanțului de aprovizionare, gestionarea vulnerabilităților, evaluarea eficacității, igiena cibernetică, instruirea, criptografia, securitatea resurselor umane, controlul accesului, politica de management al activelor, autentificarea multifactor și comunicațiile securizate. Article 23 impune raportare etapizată pentru incidente semnificative, inclusiv o avertizare timpurie în 24 de ore, o notificare a incidentului în 72 de ore și un raport final în cel mult o lună de la notificarea incidentului.

GDPR adaugă constrângerea privind protecția datelor cu caracter personal. Datele cu caracter personal includ orice informații referitoare la o persoană fizică identificată sau identificabilă. Jurnalele de securitate, adresele IP, numele de utilizator, adresele de e-mail, numele punctelor terminale, evenimentele de autentificare, tichetele de suport, eșantioanele de malware, capturile de ecran și notele de investigație a fraudei pot deveni toate date cu caracter personal. GDPR impune prelucrare legală, echitabilă, transparentă, limitată la scop, minimizată, exactă, limitată ca stocare și securizată. De asemenea, impune responsabilitate, ceea ce înseamnă că organizația trebuie să demonstreze conformitatea.

Rezultatul este o problemă de guvernanță. Partajarea informațiilor despre amenințări trebuie să fie suficient de rapidă pentru a îmbunătăți apărarea, suficient de controlată pentru a satisface autoritățile de supraveghere și suficient de disciplinată pentru a evita încălcările confidențialității și ale protecției datelor.

ISO 27001 ca hub de conformitate pentru partajarea informațiilor despre amenințări

ISO/IEC 27001:2022 este potrivit pentru această provocare deoarece pornește de la context, părți interesate, domeniu de aplicare, risc, leadership, control operațional, monitorizare, audit intern, revizuire de management și îmbunătățire continuă.

Clauzele 4.1–4.4 impun organizațiilor să înțeleagă aspectele interne și externe, să identifice părțile interesate și cerințele acestora, să definească domeniul de aplicare al SMSI și să mențină sistemul de management. Pentru o organizație DORA sau NIS2, părțile interesate pot include autorități competente, CSIRT-uri, clienți, furnizori TIC, ISAC-uri, grupuri sectoriale, persoane împuternicite, operatori, asigurători, auditul intern și consiliul de administrație.

Clauzele 5.1–5.3 impun angajamentul conducerii, direcția politicilor, responsabilitatea, resursele și responsabilitățile atribuite. Acest lucru contează deoarece partajarea informațiilor despre amenințări eșuează atunci când este lăsată la discreția tehnică informală. Dacă analistul SOC, consilierul juridic, DPO-ul, CISO-ul, responsabilul de PR și proprietarul de business aplică ipoteze diferite, organizația va partaja excesiv, va bloca procesul sau va răspunde prea târziu.

Clauzele 6.1.1–6.1.3 transformă problema de reglementare în evaluarea riscurilor, tratarea riscurilor, selectarea controalelor, decizii privind Declarația de aplicabilitate, planuri de tratare și acceptarea riscului rezidual. Riscurile tipice ale partajării informațiilor despre amenințări includ:

  • Date cu caracter personal partajate fără temei juridic sau fără minimizare.
  • Informații confidențiale ale clienților divulgate într-un forum.
  • Detalii despre vulnerabilități publicate înainte ca atenuarea să fie disponibilă.
  • Indicatori consumați, dar niciodată operaționalizați.
  • Participare la ISAC care nu se reflectă în răspunsul la incidente, jurnalizare, managementul vulnerabilităților sau riscul asociat furnizorilor.
  • Lipsa dovezilor care arată cine a aprobat divulgarea și de ce.
  • Risc din perspectiva dreptului concurenței rezultat din partajarea de informații comerciale sensibile de piață.
  • Comunicări de reglementare și către clienți inconsecvente în timpul unui incident semnificativ.

Clauza 8.1 impune apoi implementarea și controlul proceselor planificate, cu informații documentate suficiente pentru a demonstra că procesele au funcționat conform planificării. Clauzele 9 și 10 impun monitorizare, măsurare, audit intern, revizuire de management, gestionarea neconformităților, acțiune corectivă și îmbunătățire continuă. Pe scurt, ISO/IEC 27001:2022 transformă partajarea informațiilor despre amenințările cibernetice într-un model operațional verificabil prin audit.

Cele două controale ISO care fac partajarea funcțională

Zenith Blueprint: foaia de parcurs în 30 de pași a auditorului de la Clarysec Zenith Blueprint tratează acest subiect ca parte a fazei Controls in Action, pasul 22: controale organizaționale. Două controale ISO/IEC 27002:2022 sunt centrale: 5.6, contactul cu grupurile de interes special, și 5.7, informații despre amenințări.

Zenith Blueprint precizează clar că participarea la ISAC nu este networking simbolic:

Participarea la astfel de grupuri nu este un gest simbolic. Este o investiție strategică în informații, colaborare și reziliență comună.

Pentru controlul 5.6, grupurile de interes special pot include rețele naționale sau sectoriale de informații despre amenințările cibernetice, ISAC-uri, forumuri de reglementare, grupuri de avize de securitate ale furnizorilor, comunități open-source și grupuri de lucru academice. Însă partajarea externă trebuie să fie intenționată, legală și aprobată. Zenith Blueprint adaugă așteptarea de maturitate:

Implementările SMSI mature tratează participarea la SIG ca activitate guvernată, nu ca beneficiu informal.

Aceasta înseamnă menținerea unui registru al grupurilor și forumurilor la care organizația a aderat, desemnarea participanților oficiali, captarea proceselor-verbale sau a rezumatelor și integrarea observațiilor în revizuirile interne sau în actualizările controalelor.

Controlul 5.7 transformă informațiile externe în acțiune. Zenith Blueprint afirmă:

O organizație nu se poate apăra împotriva a ceea ce nu înțelege.

De asemenea, avertizează împotriva confundării fluxurilor de patch-uri cu informațiile despre amenințări. Informațiile reale includ profilarea actorilor de amenințare, tactici, tehnici și proceduri, indicatori de compromitere, avertismente sectoriale, contextul vulnerabilităților și impactul strategic asupra organizației. Informațiile utile combină monitorizarea internă, parteneriatele externe, relațiile cu CERT sau ISAC, fluxurile comerciale și sursele open-source, dar numai atunci când cineva le revizuiește, le prioritizează și le traduce în acțiune.

Zenith Controls: ghidul de conformitate transversală de la Clarysec Zenith Controls consolidează valoarea transversală pentru conformitate. Mapează controlul 5.6 ca preventiv și corectiv, susținând confidențialitatea, integritatea și disponibilitatea, cu guvernanța ca principală capabilitate operațională. Leagă 5.6 de 5.7 Informații despre amenințări, 5.5 Contactul cu autoritățile, 5.31 Cerințe legale, statutare, de reglementare și contractuale și 8.8 Managementul vulnerabilităților tehnice. Mapează 5.7 ca preventiv, de detectare și corectiv, legat de Identify, Detect și Respond, cu capabilitate operațională în managementul amenințărilor și vulnerabilităților.

Mesajul este simplu: un program matur de partajare a informațiilor despre amenințările cibernetice are două componente. Prima: relații controlate. A doua: utilizarea controlată a ceea ce se primește și se partajează.

Un model operațional practic pentru partajare guvernată

Un model operațional defensabil pentru 2026 trebuie să răspundă la șase întrebări înainte ca primul indicator să fie partajat.

Întrebare de guvernanțăRăspuns practicDovezi așteptate de auditori
Cine poate participa?Roluri nominalizate, forumuri aprobate, contacte alternative, limite de autoritateRegistru SIG și ISAC, înregistrări de desemnare, descrieri de rol
Ce poate fi primit?Rapoarte despre amenințări, IOC-uri, TTP-uri, avize privind vulnerabilitățile, alerte sectorialeJurnal de preluare, clasificarea sursei, reguli de gestionare
Ce poate fi partajat?Indicatori sanitizați, tipare neatribuibile, avize aprobate, fapte pregătite pentru autoritățiÎnregistrare de aprobare a divulgării, revizuire de minimizare, aprobare juridică sau DPO
Cum sunt utilizate informațiile?Reguli SIEM, blocări EDR, prioritizarea vulnerabilităților, actualizări ale registrului de riscuri, modificări ale playbook-urilorTichete de schimbare, reguli de detecție, actualizări ale riscurilor, procese-verbale de ședință
Cum este protejată confidențialitatea?Minimizarea datelor, pseudonimizare, redactare, verificarea temeiului juridic, limite de retențieDPIA sau revizuire privind confidențialitatea, șablon de partajare, jurnal de retenție
Cum este revizuită eficacitatea?Metrici, exerciții de tip tabletop, constatări de audit, revizuire de managementKPI-uri, lecții învățate din incidente, raport de audit intern, acțiuni corective

Clarysec implementează de regulă acest lucru ca un flux de lucru ușor, dar formal:

  1. Preluarea și clasificarea informațiilor.
  2. Validarea relevanței pentru active, furnizori, servicii, geografii și clienți.
  3. Transformarea informațiilor în acțiune, cum ar fi reguli de monitorizare, tichete de vulnerabilitate, alerte pentru utilizatori, întrebări către furnizori sau actualizări ale riscurilor.
  4. Decizia dacă partajarea către exterior este necesară, legală, sigură și permisă de regulile de membru.
  5. Aplicarea redactării, agregării, pseudonimizării sau anonimizării.
  6. Obținerea aprobărilor necesare.
  7. Partajarea printr-un canal aprobat.
  8. Înregistrarea a ceea ce a fost partajat, cu cine, de ce, când și sub autoritatea cui.
  9. Revizuirea rezultatelor și actualizarea controalelor.

Acest lucru previne cele două eșecuri clasice: echipa de securitate primește informații utile, dar nu se schimbă nimic, sau echipa de securitate partajează informații utile, dar creează expunere juridică, contractuală sau privind protecția datelor.

DORA Article 45: partajare controlată fără pierderea confidențialității

Pentru entitățile financiare, DORA Article 45 trebuie transpus într-un standard intern de partajare a informațiilor despre amenințările cibernetice. O interpretare practică include cinci condiții.

În primul rând, scopul trebuie să fie reziliența. Partajarea trebuie să ajute la prevenirea, detectarea, răspunsul la sau recuperarea din amenințări cibernetice. Nu trebuie să devieze către prețuri, liste de clienți, strategie de piață sau informații comerciale sensibile.

În al doilea rând, comunitatea trebuie să fie de încredere. Aceasta înseamnă reguli clare de membru, obligații de confidențialitate, canale securizate, controlul accesului și limite privind divulgarea ulterioară. ISO/IEC 27010:2015 susține schimbul securizat de informații în comunități de încredere, inclusiv reguli de confidențialitate, reciprocitate și canale de comunicare de încredere. ISO/IEC 27032:2023 susține partajarea informațiilor de securitate cibernetică și conștientizarea situațională. ISO/IEC 27035-2:2023 leagă partajarea informațiilor de planificarea răspunsului la incidente, inclusiv participarea la CERT-uri și grupuri din industrie.

În al treilea rând, informațiile sensibile trebuie protejate. Acestea includ secrete de afaceri, diagrame de arhitectură, detalii despre vulnerabilități, credențiale, identificatori ai clienților și date cu caracter personal. Politica SME Politica de clasificare și etichetare a datelor de la Clarysec Politica de clasificare și etichetare a datelor - SME prevede:

Partajarea externă trebuie autorizată explicit și jurnalizată.

Această frază este principiul de control din spatele unui flux de lucru DORA Article 45. Organizația trebuie să știe ce clasificare se aplică, cine a aprobat publicarea și unde este păstrată înregistrarea.

În al patrulea rând, datele cu caracter personal trebuie minimizate. Politica enterprise Politica de protecție a datelor și confidențialitate Politica de protecție a datelor și confidențialitate prevede:

Pot fi colectate și prelucrate numai datele necesare pentru un scop de afaceri specific și legitim.

Echivalentul SME, Data Protection and Privacy Policy-sme Politica de protecție a datelor și confidențialitate - SME, prevede:

Trebuie colectate și păstrate numai datele cu caracter personal minime necesare.

Acest lucru contează deoarece informațiile despre amenințări tentează adesea echipele să copieze jurnale brute în canale externe. În schimb, acestea trebuie să partajeze numai ceea ce este necesar destinatarului, cum ar fi un domeniu malițios, un hash, un interval de marcaje temporale, un tipar general sau o referință de caz pseudonimizată.

În al cincilea rând, organizația trebuie să păstreze dovezi. DORA este construit în jurul managementului documentat al riscurilor TIC, clasificării incidentelor, raportării, testării, guvernanței terților și responsabilității managementului. Dacă partajarea influențează răspunsul la incidente, un scenariu de testare a rezilienței sau o decizie privind riscul asociat furnizorilor, acest lucru trebuie să fie vizibil în înregistrările SMSI.

NIS2 extinde discuția dincolo de entitățile financiare. Se aplică în funcție de sector, dimensiune și criticitate și se poate aplica, de asemenea, indiferent de dimensiune, anumitor entități, cum ar fi furnizorii de servicii de încredere, furnizorii de servicii DNS, registrele TLD, entitățile critice și serviciile de înregistrare a numelor de domeniu.

Pentru partajarea informațiilor despre amenințări, lecția-cheie este guvernanța. Article 20 face organele de conducere responsabile pentru aprobarea și supravegherea măsurilor de management al riscurilor de securitate cibernetică. Article 21 impune măsuri tehnice, operaționale și organizatorice adecvate și proporționale. Article 23 impune raportare etapizată pentru incidente semnificative.

Partajarea informațiilor despre amenințări se intersectează cu toate acestea. Dacă un aviz ISAC indică exploatarea serviciului administrat al unui furnizor, devin relevante așteptările Article 21 privind lanțul de aprovizionare. Dacă informațiile indică un incident semnificativ în desfășurare, pot fi declanșate fluxurile de raportare Article 23 și de comunicare către clienți. Dacă o amenințare cibernetică semnificativă poate afecta destinatarii serviciilor, organizația are nevoie de un proces controlat de avertizare.

Zenith Blueprint abordează acest aspect în faza ISMS Foundation and Leadership, pasul 5, Comunicare, conștientizare și competență. Recomandă planificarea comunicării externe care identifică clienții, autoritățile de reglementare, partenerii și publicul, apoi definește ce se comunică, când, de către cine și cu ce aprobare. Oferă exemplul practic al unei proceduri de comunicare privind incidentele în care CISO-ul redactează o notificare, Juridicul o revizuiește, iar CEO-ul o aprobă înainte de trimitere.

Politica SME Politica de răspuns la incidente Politica de răspuns la incidente - SME prevede:

Directorul General (GM) este responsabil pentru autorizarea tuturor deciziilor de escaladare a incidentelor, notificărilor de reglementare și comunicărilor externe.

Pentru organizații mai mari, politica enterprise Politica de răspuns la incidente Politica de răspuns la incidente stabilește baza de dovezi:

Toate incidentele trebuie înregistrate în Sistemul de gestionare a incidentelor de securitate (SIMS), inclusiv:

Atunci când informațiile despre amenințări devin incident, avertizare către clienți, notificare către autoritatea de reglementare sau aviz extern, acestea nu trebuie să existe doar în inboxuri și fire de chat. Ele aparțin sistemului de gestionare a incidentelor, împreună cu clasificarea, acțiunile, aprobările, dovezile și lecțiile învățate.

Divulgare compatibilă cu GDPR: partajarea informațiilor, nu a datelor cu caracter personal inutile

GDPR permite operațiunile de securitate, dar nu creează o zonă liberă pentru partajarea necontrolată a telemetriei. Multe artefacte de informații despre amenințări pot conține date cu caracter personal:

  • Adrese IP asociate activității utilizatorilor.
  • Adrese de e-mail utilizate în tentative de phishing.
  • Nume de utilizator, nume de dispozitive, identificatori de puncte terminale sau identificatori ai tenant-urilor clienților.
  • Jurnale de autentificare.
  • Tichete de suport.
  • Capturi de ecran.
  • Note de investigație a fraudei.
  • Eșantioane de malware care conțin documente sau fișiere personale.
  • Rapoarte de vulnerabilitate care includ expunerea datelor clienților.

În modelul Clarysec, fiecare decizie de partajare către exterior trece printr-un filtru de confidențialitate și protecția datelor.

FiltruÎntrebare de decizieAcțiune tipică de control
ScopEste partajarea necesară pentru apărare cibernetică, raportare legală sau atenuare coordonată?Înregistrați scopul în jurnalul de partajare
Temei juridicExistă un temei juridic documentat sau o obligație legală?Adăugați revizuire juridică sau DPO pentru datele cu caracter personal
MinimizarePoate fi obținut același rezultat cu mai puține câmpuri?Eliminați nume de utilizator, e-mailuri, note din tichete, nume de clienți
PseudonimizarePot fi înlocuiți identificatorii cu ID-uri de caz sau token-uri?Păstrați maparea intern, cu acces restricționat
ConfidențialitateConținutul dezvăluie arhitectură, detalii despre vulnerabilități sau secrete ale clienților?Clasificați ca confidențial sau strict confidențial și restricționați partajarea
RetențieCât timp trebuie păstrate înregistrarea partajată și dovezile de aprobare?Aplicați regula de retenție și revizuirea ștergerii

În Zenith Controls, controlul ISO/IEC 27002:2022 5.34, Confidențialitatea și protecția PII, este mapat ca preventiv și conectat la clasificare, inventarul activelor, mascarea datelor, securitatea cloud, transferul de informații, controlul accesului, managementul identității și revizuirea proiectului sau a schimbării. De asemenea, este mapat la GDPR Articles 25 și 32 prin protecția datelor încă din faza de proiectare, securitatea prelucrării, criptare, pseudonimizare, controlul accesului și guvernanță demonstrabilă. Standardele suport includ ISO/IEC 27701:2021 pentru managementul informațiilor privind confidențialitatea, ISO/IEC 27018:2019 pentru protecția PII în medii de persoană împuternicită în cloud public și ISO/IEC 29100:2011 pentru principiile de confidențialitate.

Pentru partajarea informațiilor despre amenințări, DPO-ul și echipa de securitate nu trebuie să se întâlnească pentru prima dată în timpul unei crize. Acestea trebuie să preaprobe tipare, șabloane, reguli de redactare și praguri de escaladare.

Exemplu practic: o alertă ISAC devine reziliență bazată pe dovezi

Revenim la platforma de plăți a Mariei. Avizul ISAC include domenii malițioase, nume suspecte de aplicații OAuth, șiruri user-agent și o notă conform căreia mai mulți membri au observat tentative de preluare a conturilor împotriva utilizatorilor din operațiuni financiare. Compania găsește, de asemenea, trei tentative suspecte de autentificare în propriile jurnale.

Iată cum ar operaționaliza Clarysec răspunsul utilizând ISO/IEC 27001:2022, Zenith Blueprint, Zenith Controls și setul de politici.

PasAcțiuneProprietarDovadă sau legătură cu controlul
1. Înregistrați preluareaÎnregistrați sursa, data, nivelul de încredere, activele, tehnologia afectată și restricțiile de gestionareAnalist SOCJurnal de preluare a informațiilor despre amenințări, control ISO/IEC 27002:2022 5.7
2. ClasificațiEtichetați avizul ca Confidențial sau Strict confidențial dacă include detalii sensibile despre membriResponsabil cu securitateaÎnregistrare de clasificare a datelor, regulă de autorizare a partajării externe
3. Validați relevanțaVerificați utilizarea în producție a integrării de identitate, utilizatorii expuși, acordările OAuth, DNS, proxy, EDR și jurnalele SIEMSOC și echipa platformeiNote de triaj, dovezi de monitorizare, revizuire a vulnerabilității
4. Transformați în acțiuneAdăugați detecții, revizuiți acordările, rotiți secretele dacă este necesar, interogați furnizorul, actualizați registrul de riscuriSOC, inginerie, proprietar de riscTichete pentru reguli SIEM, înregistrări de schimbare, escaladare către furnizor
5. Revizuiți partajarea către exteriorReduceți constatările brute la o fereastră temporală, un tipar, un domeniu malițios și un tip de rol afectatCISO, Juridic, DPOAprobare de divulgare, evaluare de minimizare
6. Partajați în siguranțăTrimiteți numai informațiile aprobate prin canalul criptat al ISACCISO sau delegatJurnal de partajare, înregistrarea canalului, marcaj temporal al aprobării
7. ÎmbunătățițiRaportați metricile și lecțiile învățate în cadrul revizuirii SMSICISO și GRCProcese-verbale ale revizuirii de management, acțiuni corective

Mesajul transmis către exterior include inițial marcaje temporale, adrese IP sursă, nume de utilizator țintă, ID-uri ale tenant-urilor clienților și capturi de ecran. După revizuirea DPO și juridică, acesta este redus la:

  • Fereastră temporală în UTC.
  • Tipar de atac.
  • Domeniu malițios observat.
  • Tip general de rol afectat, cum ar fi utilizatorii din operațiuni financiare.
  • Fără nume de utilizator.
  • Fără ID-uri ale tenant-urilor clienților.
  • Fără capturi de ecran.
  • Fără nume de clienți.
  • Fără jurnale brute, cu excepția cazului în care sunt solicitate printr-un canal controlat.

Dacă activitatea devine incident, controalele din Politica de răspuns la incidente preiau procesul. Dacă sunt colectate artefacte criminalistice, se aplică Evidence Collection and Forensics Policy-sme Politica privind colectarea dovezilor și activitățile criminalistice - SME:

Fiecare element de probă digitală trebuie jurnalizat cu:

Politica continuă intern cu cerințele privind metadatele probelor, însă principiul de audit este clar: fiecare artefact utilizat pentru investigație, partajare, raportare către autoritatea de reglementare sau comunicare către clienți necesită trasabilitate.

Divulgarea vulnerabilităților nu este același lucru cu partajarea informațiilor despre amenințări

O greșeală frecventă este tratarea divulgării vulnerabilităților, notificării incidentelor și partajării informațiilor despre amenințări ca același proces. Se suprapun, dar nu sunt identice.

Partajarea informațiilor despre amenințări poate implica indicatori, tactici, avertismente sectoriale, comportamentul adversarilor, măsuri de atenuare sau tentative observate. Divulgarea coordonată a vulnerabilităților implică un punct slab specific într-un produs sau serviciu, adesea cu un raportor, un calendar de remediere, un aviz și o decizie de divulgare publică. Notificarea incidentelor implică raportare de reglementare sau contractuală despre un eveniment care afectează servicii, date sau clienți.

Clarysec separă aceste fluxuri de lucru, menținându-le totodată conectate prin SMSI. Politica enterprise Politica privind divulgarea coordonată a vulnerabilităților Politica privind divulgarea coordonată a vulnerabilităților prevede:

Coordonare și divulgare: Organizația trebuie să coordoneze divulgarea publică împreună cu raportorul. În mod implicit, niciun detaliu despre vulnerabilitate nu trebuie făcut public până când o remediere sau o măsură de atenuare este disponibilă sau cel puțin în curs. Pentru probleme critice pentru care o remediere nu poate fi livrată rapid, organizația poate emite un aviz de securitate cu îndrumări privind soluții alternative pentru a avertiza utilizatorii, în consultare cu autoritățile relevante acolo unde este necesar. Raportorul este așteptat să se abțină de la divulgare publică până când organizația oferă autorizare sau publică un aviz. Ca regulă generală, organizația urmărește să publice un aviz în termen de 90 de zile de la primirea raportului sau într-un alt termen convenit de comun acord, în linie cu practicile din industrie, inclusiv menționarea raportorului atunci când consimțământul a fost acordat.

Aceeași politică prevede, de asemenea:

Confidențialitate: Până la divulgarea publică, toate informațiile referitoare la o vulnerabilitate raportată trebuie tratate ca Strict confidențial. Detaliile trebuie partajate intern numai pe baza principiului necesității de a cunoaște cu personalul necesar pentru validarea sau remedierea problemei. Identitatea raportorului trebuie păstrată confidențială atunci când se solicită acest lucru. Toate comunicările cu raportorul trebuie criptate, inclusiv prin utilizarea cheii PGP a organizației, pentru a proteja detaliile sensibile despre vulnerabilitate.

Acest lucru este esențial pentru DORA Article 45 și cooperarea NIS2. O comunitate de încredere poate fi locul potrivit pentru partajarea măsurilor de atenuare sau a indicatorilor de nivel înalt, dar nu neapărat pentru detalii de exploit, date specifice clienților sau informații despre vulnerabilități nepatch-uite.

Comunicările externe necesită aceeași disciplină. Politica enterprise Politica privind rețelele sociale și comunicările externe Politica privind rețelele sociale și comunicările externe atribuie responsabilitatea de revizuire a conținutului pentru a asigura conformitatea cu legile care reglementează confidențialitatea, divulgările privilegiate, proprietatea intelectuală și defăimarea. Acest lucru contează atunci când un aviz tehnic devine declarație publică, notificare către clienți, actualizare de site web sau mesaj adresat autorității de reglementare.

Maparea conformității transversale: un flux de lucru, multe obligații

Un flux de lucru solid de partajare a informațiilor despre amenințările cibernetice trebuie să satisfacă mai multe cadre fără a crea procese duplicate.

CadruCe așteaptăCum îl mapează Clarysec
ISO/IEC 27001:2022Context, leadership, tratarea riscurilor, control operațional, dovezi documentate, monitorizare, audit, îmbunătățire continuăDomeniul de aplicare al SMSI, registrul de riscuri, Declarație de aplicabilitate, plan de comunicare, audit intern, revizuire de management
Controale ISO/IEC 27002:2022 5.6 și 5.7Contact guvernat cu grupuri de interes special și informații acționabile despre amenințăriRegistru SIG, preluarea amenințărilor, flux de analiză, actualizări de detecție, aprobări de partajare
DORA Article 45Partajare de încredere a informațiilor despre amenințările cibernetice, care protejează confidențialitatea, datele cu caracter personal, secretul comercial, IP și limitele concurențialeComunități aprobate, condiții de divulgare, revizuire juridică și DPO, canale securizate, jurnale de dovezi
NIS2 Articles 20, 21 și 23Supravegherea consiliului, măsuri de management al riscurilor de securitate cibernetică, cooperare, gestionarea incidentelor, securitatea lanțului de aprovizionare, gestionarea vulnerabilităților, raportare etapizatăRaportare către consiliu, comunicări privind incidentele, escaladare către furnizori, listă de contacte CSIRT, actualizări de risc determinate de amenințări
GDPR Articles 5, 6, 25 și 32Prelucrare legală, minimizată, limitată la scop, securizată și responsabilă a datelor cu caracter personalFiltru de confidențialitate, redactare, pseudonimizare, reguli de retenție, revizuire DPO, jurnal de partajare
NIST CSF 2.0Rezultate GOVERN, IDENTIFY, PROTECT, DETECT, RESPOND și RECOVER, cu obligații legale și canale de comunicareProfil organizațional, stare curentă și stare-țintă, îmbunătățiri ale detecției și răspunsului, comunicare cu părți interesate externe
COBIT 2019Monitorizarea cerințelor externe, gestionarea amenințărilor de securitate, evaluarea eficacității controalelor, gestionarea confidențialitățiiMonitorizarea conformității, metrici privind amenințările, raportare de guvernanță, alinierea programului de confidențialitate

NIST CSF 2.0 este util ca strat neutru de organizare deoarece funcția sa GOVERN abordează părțile interesate, obligațiile legale, dependențele, apetitul la risc, rolurile, politicile și supravegherea. Funcțiile DETECT și RESPOND așteaptă monitorizare, integrarea informațiilor despre amenințări, declararea incidentului, păstrarea dovezilor, notificarea și comunicarea externă.

COBIT 2019 adaugă responsabilitatea managementului. Practici precum DSS05.04 Manage security threats, APO12 Manage risk, MEA03 Managed compliance with external requirements și APO13 Managed security ajută auditorii să testeze dacă informațiile îmbunătățesc performanța controalelor și raportarea de guvernanță.

Cum vor testa auditorii programul de partajare

Un auditor ISO/IEC 27001:2022 va începe cu sistemul de management. Va întreba cum au fost identificate cerințele legale, de reglementare, contractuale și ale părților interesate în temeiul clauzelor 4.1 și 4.2. Va verifica dacă partajarea informațiilor despre amenințări este în domeniul de aplicare, dacă riscurile au fost evaluate, dacă controalele 5.6, 5.7, 5.31, 5.34, 5.24, 5.28, 8.8, 8.15 și 8.16 sunt incluse sau justificate în Declarația de aplicabilitate și dacă dovezile arată că procesul a funcționat conform planificării.

Un auditor sau supraveghetor axat pe DORA va căuta guvernanță, responsabilitatea consiliului, integrarea riscurilor TIC, clasificarea incidentelor, testarea rezilienței, implicații privind terții și condițiile Article 45. Va întreba dacă participarea la aranjamente de partajare a informațiilor este documentată, dacă datele sensibile și cele cu caracter personal sunt protejate, dacă informațiile actualizează cadrul de management al riscurilor TIC și dacă influențează scenariile de testare.

Un revizor orientat spre NIS2 se va concentra pe supravegherea consiliului, măsurile Article 21, gestionarea incidentelor, dependențele față de furnizori, gestionarea vulnerabilităților, comunicările către clienți sau destinatarii serviciilor și cooperarea cu CSIRT-uri sau autorități competente. Va testa dacă informațiile despre amenințări sunt conectate la evaluarea incidentelor semnificative și la raportarea etapizată.

Un auditor de confidențialitate se va concentra pe principiile GDPR. Va întreba dacă datele partajate au fost date cu caracter personal, ce temei juridic s-a aplicat, dacă minimizarea a fost realizată, dacă pseudonimizarea sau redactarea a fost posibilă, dacă retenția a fost controlată și dacă organizația poate demonstra responsabilitatea.

Dovezile bune includ:

  • Registru ISAC sau SIG aprobat.
  • Participanți și adjuncți nominalizați.
  • Condiții de membru și obligații de confidențialitate.
  • Jurnal de preluare a informațiilor despre amenințări.
  • Evaluări de triaj și relevanță.
  • Tichete de inginerie a detecției.
  • Schimbări în prioritizarea vulnerabilităților.
  • Escaladări ale riscului asociat furnizorilor.
  • Înregistrări de aprobare a divulgării.
  • Note de revizuire DPO sau privind confidențialitatea.
  • Mesaje transmise către exterior redactate.
  • Înregistrări ale incidentelor în SIMS.
  • Jurnale ale lanțului de custodie a dovezilor.
  • Procese-verbale ale revizuirilor de management.
  • Constatări de audit intern și acțiuni corective.

Capcane frecvente pe care Clarysec le observă în teren

Cel mai frecvent eșec este participarea informală. Un inginer de securitate se alătură unui forum privat, primește informații utile și partajează observații interne fără autorizare formală. Intenția este bună, dar pista de audit este slabă, iar riscul de confidențialitate este ridicat.

Al doilea eșec este consumul pasiv. Organizația se abonează la fluxuri, participă la apeluri ISAC și redirecționează avize, dar nimeni nu poate arăta cum informațiile au modificat controalele. Informațiile despre amenințări trebuie să actualizeze logica de detecție, prioritățile de aplicare a patch-urilor, playbook-urile, registrele de riscuri, revizuirile furnizorilor, campaniile de conștientizare sau testele de reziliență.

Al treilea eșec este partajarea jurnalelor brute. Echipele trimit în exterior capturi de ecran, exporturi SIEM, antete de e-mail sau capturi de pachete fără minimizare. Acest lucru poate expune date cu caracter personal, identificatori ai clienților, nume interne de gazde, token-uri sau arhitectură confidențială.

Al patrulea eșec este confundarea relațiilor publice cu comunicarea reglementată. O postare LinkedIn despre o tendință de atac nu este același lucru cu o avertizare către clienți, o notificare către autoritatea de reglementare, o actualizare CSIRT sau un aviz coordonat. Clarysec separă aceste canale, atribuie proprietari de aprobare și impune înregistrări.

Al cincilea eșec este ignorarea furnizorilor. Multe alerte de informații privesc software de la terți, platforme cloud, furnizori de servicii administrate sau integrări de identitate. În temeiul DORA, NIS2, NIST CSF, COBIT 2019 și controalelor ISO/IEC 27002:2022 privind furnizorii, informațiile despre amenințări trebuie să alimenteze managementul riscului asociat furnizorilor.

Construiți pachetul de partajare a informațiilor despre amenințări pentru 2026

Majoritatea organizațiilor nu au nevoie de o birocrație independentă greoaie. Au nevoie de un pachet compact de guvernanță care funcționează în timpul unui incident real. Clarysec recomandă:

  • Procedură de partajare a informațiilor despre amenințări.
  • Registrul comunităților de partajare aprobate.
  • Formular de preluare și triaj al informațiilor despre amenințări.
  • Formular de aprobare a divulgării către exterior.
  • Listă de verificare pentru revizuirea confidențialității și a protecției datelor.
  • Matrice de comunicare externă.
  • Șablon de rezumat al ședinței ISAC.
  • Reguli de corelare între dovezi și incidente.
  • Tablou de bord cu metrici.
  • Plan de testare pentru auditul intern.

Procedura trebuie să facă trimitere la clauzele ISO/IEC 27001:2022 privind managementul riscurilor, comunicările, controlul operațional, evaluarea performanței, auditul intern și îmbunătățirea continuă. Trebuie mapată la controalele ISO/IEC 27002:2022 5.6, 5.7, 5.31, 5.34, 5.24, 5.28, 8.8, 8.15, 8.16 și la controalele relevante privind furnizorii. De asemenea, trebuie să facă trimitere la DORA Article 45, la obligațiile de cooperare NIS2 și de comunicare a incidentelor, precum și la principiile GDPR.

Cel mai important, trebuie să fie utilizabilă sub presiune. Dacă procesul impune o ședință cu 12 persoane înainte de partajarea unui domeniu malițios cu un ISAC de încredere, va eșua. Dacă permite lipirea jurnalelor brute ale clienților într-un portal comunitar, va eșua la fel. Ținta este viteza controlată.

Transformați partajarea informațiilor despre amenințări în reziliență bazată pe dovezi

Partajarea informațiilor despre amenințările cibernetice în 2026 nu este doar un indicator al maturității de securitate. Pentru entitățile financiare, este legată de DORA Article 45 și de reziliența operațională digitală. Pentru entitățile esențiale și importante, susține cooperarea NIS2, gestionarea incidentelor, răspunsul la vulnerabilități, securitatea furnizorilor și avertizarea destinatarilor serviciilor. Pentru orice organizație care prelucrează date cu caracter personal din UE, trebuie să fie compatibilă cu GDPR încă din faza de proiectare.

Clarysec ajută organizațiile să construiască acest model operațional fără a încetini echipele de apărare. Conectăm Zenith Blueprint Zenith Blueprint, setul de politici și Zenith Controls Zenith Controls într-un proces SMSI funcțional: comunități aprobate, roluri clare, divulgare sigură pentru confidențialitate, corelare cu incidentele, înregistrări de dovezi, pregătire pentru audit și mapare între cadre.

Dacă organizația dvs. participă la un ISAC, primește avize cibernetice, partajează indicatori cu organizații similare, raportează către autorități sau gestionează divulgări de vulnerabilități, acum este momentul să formalizați fluxul de lucru. Începeți cu o revizuire de o oră a aranjamentelor curente de partajare, apoi mapați-le la ISO/IEC 27001:2022, DORA Article 45, NIS2 și GDPR.

Clarysec vă poate ajuta să construiți registrul, clauzele de politică, șabloanele de aprobare, modelul de dovezi de audit și pachetul de raportare către management necesare pentru ca partajarea informațiilor despre amenințările cibernetice să fie rapidă, legală și defensabilă.

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles

Guvernanța accesului la distanță securizat și a VPN pentru NIS2 și DORA

Guvernanța accesului la distanță securizat și a VPN pentru NIS2 și DORA

Accesul la distanță nu mai este un subiect IT izolat. În 2026, VPN, MFA, accesul furnizorilor, profilul de securitate al dispozitivelor terminale, jurnalizarea și dovezile privind aplicarea patch-urilor trebuie să răspundă cerințelor auditorilor ISO 27001, responsabilității managementului conform NIS2, regulilor DORA privind riscul TIC și obligațiilor de securitate prevăzute de GDPR Article 32.

CVD pentru NIS2 și DORA: harta dovezilor ISO 27001

CVD pentru NIS2 și DORA: harta dovezilor ISO 27001

Un ghid practic pentru CISO privind divulgarea coordonată a vulnerabilităților în contextul NIS2, DORA, GDPR și ISO/IEC 27001:2022, cu formulări de politică, flux de preluare, escaladare către furnizori, dovezi de audit și maparea controalelor.