Riadenie DNS v roku 2026: kontrolné opatrenia registrátora pripravené na audit

V pondelok ráno o 07:42 dostane CISO fintech scale-upu správu, ktorú nechce vidieť nikto. Zákazníci sa nevedia dostať na platobný portál, helpdesk je zahltený, e-mail nefunguje a tím SOC nezistil žiadny malvér, výpadok firewallu ani incident u cloudového poskytovateľa.

Koreňová príčina je menej nápadná, a preto ešte nepríjemnejšia. K účtu registrátora sa pristúpilo pomocou neaktuálnych administrátorských prihlasovacích údajov, ktoré zdieľali viacerí bývalí pracovníci IT. Útočník zmenil autoritatívne menné servery, upravil MX záznamy, vypol DNSSEC a presmeroval prevádzku dostatočne dlho na to, aby získal prihlasovacie údaje a narušil partnerské rozhrania API. Platobný portál nebol napadnutý v tradičnom zmysle. Napadnutý bol dôveryhodný základ spoločnosti: jej doména.

O 09:30 sa prevádzková kríza mení na krízu súladu. Predstavenstvo sa pýta, či bol zapnutý registry lock. Právne oddelenie sa pýta, či došlo k sprístupneniu osobných údajov. Zodpovedná osoba sa pýta, či ide o porušenie ochrany osobných údajov podľa GDPR. Regulačný orgán chce vedieť, či bola ovplyvnená kritická alebo dôležitá funkcia. Audítor zákazníka žiada ticket zmeny, ktorým bola úprava DNS schválená.

Odpoveďou je v príliš mnohých organizáciách tabuľkový prehľad, zdieľaná poštová schránka a konzola registrátora, ktorú nikto šesť mesiacov nepreskúmal.

Riadenie DNS a registrátora domén v roku 2026 už nie je okrajovou témou infraštruktúry. Je súčasťou odolnosti voči ransomvéru, prevencie phishingu, dostupnosti cloudu, riadenia dodávateľských rizík, reakcie na incidenty, kontinuity činností a súladu založeného na dôkazoch. Ak je možné prevziať kontrolu nad vašou doménou, vaša platforma SaaS môže zmiznúť. Ak je možné meniť vaše DNS záznamy bez schválenia, bezpečnosť elektronickej pošty, SSO, certifikáty TLS, koncové body API a dôvera zákazníkov môžu byť narušené v priebehu minút.

Prečo riadenie DNS a registrátora patrí do ISMS

Doménové meno nie je len aktívom značky. Je to logické aktívum, závislosť autentifikácie, závislosť smerovania a často služba spravovaná dodávateľom. Prepája poskytovateľov identít, autentifikáciu e-mailov, validáciu certifikátov TLS, cloudové koncové body, zákaznícke portály, rozhrania API, služby CDN, monitorovacie sondy a incidentnú komunikáciu.

Clarysec Politika správy aktív pre MSP Politika správy aktív pre MSP to vo svojom rozsahu uvádza explicitne:

Digitálne prihlasovacie údaje a služby: doménové mená, digitálne certifikáty, kľúče API, e-mailové účty, cloudové prihlasovacie údaje

Zo sekcie „Rozsah“, ustanovenie politiky 2.2.4.

Tá istá politika vyžaduje viac než len uvedenie doménového mena:

Vlastníctvo, účel, prístupové oprávnenia a termíny obnovenia musia byť zdokumentované.

Zo sekcie „Požiadavky na implementáciu politiky“, ustanovenie politiky 6.6.2.

Pre podnikové prostredia zahŕňa Clarysec Politika správy aktív Politika správy aktív do rozsahu aj logické aktíva:

Logické aktíva: doménové mená, licencie, používateľské účty, referenčné konfigurácie

Zo sekcie „Rozsah“, ustanovenie politiky 2.2.5.

Toto je východiskový bod správy a riadenia. Inventár DNS a registrátora má dokumentovať:

• doménové meno, register, registrátora, poskytovateľa hostingu DNS a autoritatívne menné servery,
• vlastníka za organizáciu, technického vlastníka, vlastníka bezpečnosti a núdzového schvaľovateľa,
• účel, napríklad produkčný portál, API, e-mail, SSO, marketing, testovacie prostredie alebo obrannú registráciu,
• hodnotenie kritickosti a mapovanie závislostí na služby organizácie,
• stav DNSSEC, stav DS záznamu, vlastníctvo kľúčov a proces rotácie kľúčov,
• stav registry lock a registrar lock,
• MFA a model privilegovaného prístupu pre účty registrátora a poskytovateľa DNS,
• dátum obnovenia, stav automatického obnovenia, vlastníka platieb a upozorňovanie na expiráciu,
• požiadavky na riadenie zmien pri úpravách zóny a zmenách delegácie,
• logovanie, upozorňovanie, monitorovanie a uchovávanie dôkazov.

Preto má byť riadenie domén zahrnuté do rozsahu ISMS a posúdenia rizík podľa ISO/IEC 27001:2022. ISO/IEC 27001:2022 vyžaduje, aby organizácie určili kontext, požiadavky zainteresovaných strán, zákonné a zmluvné povinnosti, rozhrania a závislosti s externými organizáciami. DNS závisí od registrátorov, registrov, poskytovateľov hostingu DNS, cloudových poskytovateľov, certifikačných autorít, poskytovateľov riadených služieb a niekedy aj marketingových agentúr. Ak sú tieto rozhrania vylúčené z ISMS, auditná stopa bude neúplná.

Model hrozieb DNS v roku 2026

Najškodlivejšie zlyhania DNS bývajú často jednoduché:

1. Doména expiruje, pretože nebolo jasné vlastníctvo obnovenia.
2. Bývalá agentúra má stále prístup k účtu registrátora.
3. DNSSEC je zapnutý, ale DS záznamy sú po migrácii poskytovateľa DNS nesprávne.
4. Zástupný záznam smeruje prevádzku na opustenú cloudovú službu.
5. TXT záznam sa zmení tak, aby overil tenant služby SaaS alebo požiadavku na certifikát pod kontrolou útočníka.
6. MX záznamy sa upravia počas phishingovej kampane alebo kampane na zachytávanie e-mailov.
7. CNAME na platformu tretej strany sa stane zraniteľným voči prevzatiu.
8. Registry lock existuje pre primárnu doménu, ale nie pre zákaznícky orientované domény s národnou koncovkou.
9. SOC monitoruje koncové body, ale nikto nemonitoruje zmeny zóny DNS.

Technické ochranné opatrenia sú dobre známe. DNSSEC pomáha chrániť integritu údajov DNS a autentifikáciu pôvodu. Registry lock zabezpečuje, že vysoko rizikové zmeny na úrovni registra vyžadujú dodatočné overenie mimo hlavného komunikačného kanála. Registrar lock znižuje riziko neoprávneného prevodu. MFA a revízia prístupových práv privilegovaných používateľov znižujú pravdepodobnosť prevzatia účtu. Riadenie zmien predchádza náhodnému narušeniu. Monitorovanie deteguje neoprávnené alebo neočakávané zmeny.

Výzva v oblasti súladu je iná: viete preukázať, že tieto ochranné opatrenia existujú, majú vlastníka, sú preskúmavané a fungujú počas incidentu?

Práve pri tejto otázke dôkazov mnohé organizácie zlyhávajú.

Mapovanie riadenia DNS na ISO/IEC 27001:2022 a ISO/IEC 27002:2022

ISO/IEC 27001:2022 poskytuje štruktúru systému manažérstva na premenu opatrení DNS na opakovateľné a auditovateľné procesy. Príloha A ISO/IEC 27001:2022 a usmernenia ku kontrolným opatreniam v ISO/IEC 27002:2022 poskytujú jazyk kontrol, ktorý audítori očakávajú.

Clarysec Zenith Blueprint: 30-kroková cestovná mapa audítora Zenith Blueprint považuje sieťové služby za explicitné objekty auditu. Vo fáze Kontroly v praxi, krok 20, usmerňuje tímy, aby overili bezpečnosť sieťových služieb:

Uveďte všetky interné a externé sieťové služby (DNS, VPN, SMTP, DHCP, brány API, atď.).

✓ Pri každej potvrďte, že používa bezpečné protokoly (napr. DNSSEC, TLS 1.2+, SSH namiesto Telnet). ✓ Preskúmajte, ako je riadený prístup ku každej službe (napr. povolené zoznamy IP adries, autentifikácia, certifikáty). ✓ Ak sú spravované tretími stranami (napr. DNS, SD-WAN, hostovaná VPN), preskúmajte bezpečnostné doložky v SLA alebo v zmluve s dodávateľom. Aktualizujte register služieb a zaznamenajte, kde ležia bezpečnostné zodpovednosti, či interne alebo externe.

Z fázy Kontroly v praxi, krok 20: Kontrolné opatrenia 8.18 až 8.26.

To poskytuje praktickú auditnú cestu: považujte DNS za externú sieťovú službu, zdokumentujte, ako je zabezpečená, a zaznamenajte, či zodpovednosť leží interne, u registrátora, u poskytovateľa DNS alebo u poskytovateľa riadených služieb.

Clarysec Zenith Controls: Sprievodca naprieč rámcami súladu Zenith Controls je užitočný, pretože riadenie DNS sa zriedka mapuje iba na jeden rámec. Rovnaké rozhodnutie o DNSSEC alebo registry lock podporuje dôkazy pre ISO/IEC 27001:2022, NIS2, DORA, GDPR, NIST CSF 2.0 a COBIT 2019.

Pre monitorovanie dodávateľov mapuje Zenith Controls kontrolné opatrenie ISO/IEC 27002:2022 5.22, Monitorovanie, preskúmanie a riadenie zmien služieb dodávateľov, ako preventívne opatrenie podporujúce dôvernosť, integritu a dostupnosť. Pri DNS to znamená, že registrátor a poskytovateľ DNS nie sú dodávatelia typu „nastaviť a zabudnúť“. Ich bezpečnostný stav, zmeny služieb, výpadky, ďalší sprostredkovatelia a notifikačné postupy sa musia preskúmavať.

Pre DNSSEC a kryptografickú integritu mapuje Zenith Controls kontrolné opatrenie ISO/IEC 27002:2022 8.24, Používanie kryptografie, ako preventívne opatrenie zosúladené s bezpečnou konfiguráciou. DNSSEC nie je šifrovanie DNS prevádzky, ale poskytuje kryptografické uistenie o integrite údajov DNS a autentifikácii pôvodu.

Pre úpravy DNS zón mapuje Zenith Controls kontrolné opatrenie ISO/IEC 27002:2022 8.32, Riadenie zmien, ako preventívne opatrenie podporujúce dôvernosť, integritu a dostupnosť. Zmena DNS je konfiguračná zmena. Aktualizácia DS záznamu, zmena MX záznamu, migrácia CNAME, aktualizácia SPF alebo DMARC, prechod CDN alebo zmena delegácie menných serverov má mať ticket, posúdenie rizík, schválenie, výsledok testu a plán návratu do pôvodného stavu.

DNSSEC, registry lock a správa kľúčov pre kritické domény

Nie každá doména má rovnaké riziko. Obranná doména používaná iba na prevenciu vydávania sa za inú osobu môže potrebovať monitorovanie a disciplínu obnovenia. Primárna doména zákazníckeho portálu vyžaduje najsilnejšie dostupné kontrolné opatrenia.

Pre kritické domény Clarysec štandardne odporúča túto referenčnú úroveň:

• DNSSEC je zapnutý a validovaný tam, kde ho podporuje register, registrátor a poskytovateľ DNS,
• DS záznamy sa preskúmajú po každej migrácii poskytovateľa DNS,
• je zdokumentovaný proces rotácie KSK a ZSK, ak sú kľúče spravované zákazníkom,
• registry lock je zapnutý pre primárne produkčné domény, domény identity, API, platieb a e-mailu,
• registrar lock je zapnutý pre všetky domény, ak nie je zdokumentovaná dočasná výnimka,
• MFA je vynucovaná pre všetkých používateľov registrátora a poskytovateľa DNS,
• privilegovaní používatelia sú obmedzení, pomenovaní, schválení a preskúmavaní,
• prístup cez núdzové účty je zdokumentovaný a otestovaný,
• monitorovanie zóny upozorňuje na zmeny NS, DS, DNSKEY, MX, TXT, A, AAAA, CNAME, CAA a zástupných záznamov,
• externé monitorovanie prebieha z viacerých resolverov a regiónov,
• dôkazy sa uchovávajú v úložisku ISMS.

Podniková Politika kryptografických kontrol Clarysec Politika kryptografických kontrol poskytuje riadiacu väzbu pre kľúče DNSSEC:

Musí sa viesť centralizovaný register správy kľúčov, v ktorom sa zaznamenávajú všetky kryptografické kľúče, ich stav životného cyklu, priradení správcovia a kontexty používania.

Zo sekcie „Požiadavky na správu a riadenie“, ustanovenie politiky 5.2.

Ak vaša organizácia priamo spravuje kľúče DNSSEC alebo riadi publikovanie DS u registrátora, register správy kľúčov má dokumentovať zverenie kľúčov, stav životného cyklu, dátumy rotácie a schvaľovaciu právomoc. Ak kľúče DNSSEC spravuje poskytovateľ DNS, záznam o dodávateľovi má túto zodpovednosť vysvetliť a obsahovať dôkaz uistenia.

Správa prístupu k registrátorovi: MFA, zásada najnižších oprávnení a núdzové riadenie

Účty registrátora sa často vytvoria v ranom období života spoločnosti a potom sa na ne zabudne, keď spoločnosť dospieva. Zakladatelia, agentúry, vývojári, finanční používatelia a poskytovatelia riadených služieb môžu mať historický prístup. Ide o závažnú slabinu kontrol.

Clarysec Politika správy používateľských účtov a oprávnení pre MSP Politika správy používateľských účtov a oprávnení pre MSP uvádza:

Zvýšené alebo administrátorské oprávnenia vyžadujú dodatočné schválenie generálnym manažérom alebo vedúcim IT a musia byť zdokumentované, časovo obmedzené a podliehať pravidelnému preskúmaniu.

Zo sekcie „Požiadavky na implementáciu politiky“, ustanovenie politiky 6.2.2.

Uplatnite to priamo na prístup k registrátorovi a poskytovateľovi DNS:

• žiadne zdieľané administrátorské účty registrátora,
• MFA pre každého používateľa, ideálne odolná voči phishingu tam, kde je podporovaná,
• pomenované núdzové kontakty so zdokumentovanou právomocou,
• oddelenie fakturačných používateľov od technických administrátorov tam, kde je to možné,
• okamžité odobratie prístupu bývalým zamestnancom, agentúram a dodávateľom,
• štvrťročná revízia privilegovaného prístupu pre kritické domény,
• výnimky zaznamenané s dátumom skončenia platnosti,
• otestované postupy núdzového odomknutia a obnovy, ktoré nevytvárajú nebezpečné produkčné zmeny.

Dôkaz o registry lock má obsahovať snímky obrazovky alebo vyhlásenia registrátora preukazujúce zapnutý stav, oprávnené kontakty, proces odomknutia a dátum posledného preskúmania.

Riadenie zmien zóny: malé úpravy DNS, veľký dopad na organizáciu

Zmeny DNS pôsobia zdanlivo malé. TXT záznam môže overiť vlastníctvo platformy SaaS. CNAME môže presmerovať zákazníkov do nového prostredia. MX záznam môže presmerovať poštu. CAA záznam môže ovplyvniť vydávanie certifikátov. Nesprávny DS záznam môže spôsobiť zlyhanie validácie podpísanej domény.

Clarysec Politika riadenia zmien pre MSP Politika riadenia zmien pre MSP uvádza:

Všetky zmeny musia byť predložené ako žiadosť o zmenu (e-mail, formulár alebo ticket v helpdesku).

Zo sekcie „Požiadavky na správu a riadenie“, ustanovenie politiky 5.1.1.

Pre podnikových klientov zvyšuje Clarysec Politika riadenia zmien Politika riadenia zmien očakávania voči dôkazom:

Všetky žiadosti o zmenu, preskúmania, schválenia a podporné dôkazy musia byť zaznamenané v centralizovanom systéme riadenia zmien.

Zo sekcie „Požiadavky na implementáciu politiky“, ustanovenie politiky 6.1.1.

Zenith Blueprint to posilňuje vo fáze Kontroly v praxi, krok 21:

Vyberte 2 až 3 nedávne systémové alebo konfiguračné zmeny a skontrolujte, či boli spracované prostredníctvom vášho formálneho pracovného toku riadenia zmien.

✓ Boli posúdené riziká? ✓ Boli zdokumentované schválenia? ✓ Bol zahrnutý plán návratu do pôvodného stavu?

Overte, že zmeny boli implementované podľa plánu a že všetky incidenty alebo neočakávané dopady boli zaznamenané. Preskúmajte logy, rozdiely v systéme riadenia verzií alebo auditné stopy z nástrojov ako ServiceNow, Jira alebo Git. Zachyťte tento proces v súhrnnom zázname zmien pre potreby auditu.

Z fázy Kontroly v praxi, krok 21: Kontrolné opatrenia 8.27 až 8.34.

Ticket zmeny špecifický pre DNS má obsahovať dotknutú doménu a zónu, typ záznamu, hodnoty pred zmenou a po zmene, dôvod organizácie, posúdenie rizík, implementačné okno, schvaľovateľa, vykonávateľa, overovateľa, kontroly propagácie DNS, validáciu DNSSEC, plán návratu do pôvodného stavu, monitorovanie po zmene a exportované dôkazy.

Auditný princíp je jednoduchý: zmeny DNS musia byť sledovateľné od žiadosti cez schválenie a implementáciu až po overenie.

Monitorovanie a logovanie: zistite zmenu DNS skôr než zákazníci

Silný program riadenia DNS predpokladá, že prevencia môže zlyhať. Monitorovanie musí detegovať neočakávanú zmenu dostatočne rýchlo na podporu reakcie na incidenty.

Clarysec Politika bezpečnosti sietí pre MSP Politika bezpečnosti sietí pre MSP je explicitná:

Logovanie DNS musí byť zapnuté na podporu proaktívneho vyhľadávania hrozieb a reakcie na incidenty

Zo sekcie „Požiadavky na implementáciu politiky“, ustanovenie politiky 6.6.3.

Podniková Politika logovania a monitorovania Politika logovania a monitorovania vychádza z rovnakého prevádzkového očakávania:

Všetky zahrnuté systémy musia generovať logy zachytávajúce:

Zo sekcie „Požiadavky na implementáciu politiky“, ustanovenie politiky 6.1.1.

Pre riadenie DNS a registrátora majú zahrnuté systémy zahŕňať portály registrátora, konzoly hostingu DNS, správu DNS cez API, CI/CD pipeline nasadzujúce DNS ako kód, upozornenia SIEM a externé monitorovacie nástroje.

Monitorovanie má byť integrované do reakcie na incidenty. Upozornenie DNS bez vlastníka, klasifikácie závažnosti alebo runbooku je iba šum.

NIS2, DORA a GDPR: riadenie DNS ako regulačný dôkaz

NIS2 Article 21 vyžaduje primerané a proporcionálne technické, prevádzkové a organizačné opatrenia na riadenie rizík pre sieťové a informačné systémy a minimalizáciu dopadu incidentov. Riadenie DNS sa prirodzene mapuje na správu aktív, riadenie prístupu, kryptografiu, bezpečnosť dodávateľského reťazca, riešenie incidentov, kontinuitu činností a posudzovanie účinnosti.

NIS2 Article 20 zároveň robí kybernetickú bezpečnosť zodpovednosťou riadiaceho orgánu. Predstavenstvá nemusia schvaľovať každý TXT záznam, ale majú rozumieť tomu, či sú kritické domény chránené pomocou DNSSEC, registry lock, MFA, monitorovania a otestovanej obnovy. Pre významné incidenty zavádza NIS2 Article 23 etapové oznamovanie vrátane včasného varovania do 24 hodín, oznámenia incidentu do 72 hodín a záverečnej správy najneskôr jeden mesiac po oznámení incidentu.

Pre regulované finančné subjekty sa DORA uplatňuje od 17. januára 2025 a funguje ako odvetvovo špecifický rámec odolnosti IKT tam, kde sa prekrýva s NIS2. DNS často podporuje kritické alebo dôležité funkcie, ako sú platobné aplikácie, mobilné bankovníctvo, obchodné portály, zákaznícka identita, systémy prevencie podvodov, brány API a integrácie tretích strán. Dôkazy podľa DORA majú pre scenáre zlyhania DNS a registrátora preukazovať mapovanie závislostí aktív IKT, klasifikáciu incidentov, testovanie odolnosti, riadenie rizík tretích strán a plánovanie obnovy.

Incident DNS nie je automaticky porušením ochrany osobných údajov podľa GDPR. Môže sa ním stať, ak sú používatelia presmerovaní na phishingovú stránku, sú získané prihlasovacie údaje, e-mail obsahujúci osobné údaje je presmerovaný, prevádzka na systémy spracúvajúce osobné údaje je zachytená alebo je významne ovplyvnená dostupnosť osobných údajov. GDPR Article 5 vyžaduje integritu, dôvernosť a zodpovednosť. Article 32 vyžaduje primerané bezpečnostné opatrenia pri spracúvaní. Riadenie DNS poskytuje dôkazy, že smerovanie domén a služby závislé od DNS sú chránené primeranými technickými a organizačnými opatreniami.

Vytvorte balík dôkazov DNS za jeden týždeň

Praktický plán nápravy riadenia DNS možno dokončiť rýchlo, ak je vedený dôkazmi.

Deň 1: Vytvorte register domén a služieb DNS

Začnite požiadavkou z Politiky správy aktív pre MSP na dokumentovanie vlastníctva, účelu, prístupových oprávnení a termínov obnovenia.

Deň 2: Preskúmajte prístupy a oprávnenia

Exportujte používateľov registrátora a poskytovateľa DNS. Odstráňte neaktuálne účty. Vynúťte MFA. Identifikujte administrátorov. Zaznamenajte dôkazy schválenia privilegovaných používateľov a zdokumentujte núdzový prístup.

Deň 3: Validujte DNSSEC a uzamknutie

Pre každú kritickú doménu overte validáciu reťazca DNSSEC, presnosť DS záznamu, viditeľnosť DNSKEY, registrar lock a registry lock. Ak DNSSEC spravuje poskytovateľ, zdokumentujte zodpovednosť poskytovateľa. Ak ho spravuje zákazník, pridajte kľúče DNSSEC a ich správcov do registra správy kľúčov.

Deň 4: Premeňte zmeny DNS na formálne záznamy zmien

Vyberte posledné tri zmeny DNS a otestujte ich podľa kritérií Zenith Blueprint kroku 21: posúdené riziko, zdokumentované schválenie, zahrnutý plán návratu do pôvodného stavu, implementácia podľa plánu a zaznamenaný neočakávaný dopad. Vytvorte súhrnný záznam zmien.

Deň 5: Prepojte monitorovanie s reakciou na incidenty

Potvrďte logy a upozornenia pre prihlásenie k registrátorovi, zmeny zóny, zmeny DNSSEC, zmeny NS, zmeny MX, zmeny TXT, zmeny CAA a notifikácie poskytovateľa. Odošlite testovacie upozornenia do SOC alebo vlastníkovi IT. Pripojte dôkazy do úložiska ISMS.

Deň 6: Preskúmajte povinnosti dodávateľov

Použite usmernenie Zenith Blueprint kroku 23 pre postupy zmien a monitorovania dodávateľov:

Zaveďte jednoduchý, škálovateľný postup na posudzovanie zmien služieb dodávateľov (5.21), ako je migrácia do cloudového prostredia, noví ďalší sprostredkovatelia alebo redizajn infraštruktúry. Definujte spúšťače, ktoré vyžadujú opätovné bezpečnostné posúdenie. Následne zaveďte pravidelnú kadenciu monitorovania dodávateľov (5.22), priraďte vlastníkov kritickým dodávateľom a zabezpečte, aby sa výkonnosť, súlad a riziká preskúmavali najmenej raz ročne.

Z fázy Kontroly v praxi, krok 23: organizačné opatrenia 5.19 až 5.37.

Podniková Politika bezpečnosti tretích strán a dodávateľov Clarysec Politika bezpečnosti tretích strán a dodávateľov poskytuje zmluvný základ:

Zmluvy s dodávateľmi musia obsahovať:

Zo sekcie „Požiadavky na správu a riadenie“, ustanovenie politiky 5.3.

Deň 7: Vykonajte stolové cvičenie

Simulujte neoprávnenú zmenu NS záznamu. Tím ju musí detegovať, klasifikovať, eskalovať, kontaktovať registrátora, v prípade potreby vyvolať postupy registry lock, obnoviť správnu delegáciu, validovať DNSSEC, informovať zainteresované strany, posúdiť dopad podľa GDPR a rozhodnúť, či sú splnené prahové hodnoty oznamovania podľa NIS2 alebo DORA. Zachyťte získané poznatky a aktualizujte postupy.

Auditné otázky, bežné zistenia a metriky pre predstavenstvo

Audit riadenia DNS sa zriedka vykonáva iba jednou optikou.

Najbežnejšie zistenia sú predvídateľné.

Predstavenstvá a manažérske tímy potrebujú metriky DNS v jazyku odolnosti. Užitočné ukazovatele zahŕňajú percento kritických domén so zapnutým a validovaným DNSSEC, percento s registry lock, počet administrátorov registrátora, percento privilegovaných používateľov preskúmaných v poslednom štvrťroku, počet zmien DNS implementovaných bez formálnych ticketov, priemerný čas do zistenia neoprávnenej zmeny DNS, priemerný čas do obnovenia správnej konfigurácie DNS, domény expirujúce do 90 dní, dokončené preskúmania dodávateľov a nevyriešené upozornenia z monitorovania DNS.

Premeňte DNS zo skrytého rizika na dôkazy pripravené na audit

Ak vaša organizácia za posledných šesť mesiacov nepreskúmala riadenie domén a DNS, predpokladajte odchýlky. Začnite kritickými produkčnými doménami a následne rozšírte rozsah na regionálne domény, obranné domény, testovacie domény, domény z akvizícií a domény spravované agentúrami alebo dcérskymi spoločnosťami.

Clarysec vám môže pomôcť prejsť od roztrúsených snímok obrazovky registrátora k štruktúrovanému balíku dôkazov pomocou:

• Zenith Blueprint: 30-kroková cestovná mapa audítora Zenith Blueprint na postupnú validáciu sieťových služieb, riadenia zmien, logovania, monitorovania a kontrol dodávateľov,
• Zenith Controls: Sprievodca naprieč rámcami súladu Zenith Controls na mapovanie DNSSEC, registry lock, monitorovania dodávateľov a riadenia zmien zón naprieč pohľadmi ISO/IEC 27001:2022, NIS2, DORA, GDPR, NIST a COBIT 2019,
• šablón politík Clarysec vrátane Politika správy aktív pre MSP, Politika riadenia zmien pre MSP, Politika správy používateľských účtov a oprávnení pre MSP, Politika bezpečnosti sietí pre MSP, Politika správy aktív, Politika riadenia zmien, Politika logovania a monitorovania, Politika kryptografických kontrol a Politika bezpečnosti tretích strán a dodávateľov.

Vaša doména je vstupnou bránou k vašej digitálnej organizácii. V roku 2026 budú audítori, regulačné orgány, zákazníci a predstavenstvá očakávať, že preukážete, že táto brána je uzamknutá, monitorovaná, obnoviteľná a riadená.

Stiahnite si toolkit Clarysec, vykonajte jednotýždňové cvičenie balíka dôkazov DNS alebo si objednajte posúdenie Clarysec, aby ste riadenie DNS a registrátora premenili na dôkazy pripravené na audit ešte pred vlastnou pondelkovou rannou krízou.