⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →

Zdieľanie spravodajských informácií o hrozbách podľa ISO 27001 v roku 2026

Igor Petreski
14 min read
Pracovný tok zdieľania spravodajských informácií o hrozbách podľa ISO 27001 pre DORA NIS2 a GDPR

V utorok ráno o 07:40 dostane Maria, CISO rýchlo rastúcej európskej platobnej platformy, upozornenie s vysokou mierou dôveryhodnosti od ISAC pre finančné služby. Kampaň zameraná na krádež prihlasovacích údajov cieli na poskytovateľov platieb, ktorí používajú konkrétnu integráciu poskytovateľa identity. Bezpečnostné upozornenie obsahuje domény riadenia a velenia, podozrivé názvy OAuth aplikácií, reťazce user-agent, pozorované taktiky a odporúčanie rotovať tajomstvá pre dotknutých tenantov.

V priebehu niekoľkých minút začne organizácia klásť otázky, ktoré v roku 2026 definujú zdieľanie spravodajských informácií o kybernetických hrozbách.

SOC chce okamžite vložiť indikátory do SIEM. Právne oddelenie sa pýta, či spoločnosť môže zdieľať vlastnú telemetriu späť s ISAC. DPO sa pýta, či IP adresy, používateľské mená, výňatky z ticketov, autentifikačné logy alebo údaje o koncových bodoch obsahujú osobné údaje. COO chce vedieť, či je potrebné varovať zákazníkov. CEO, čerstvo po školení manažmentu k NIS2, prepošle upozornenie s dvomi slovami: „Náš plán?“

Potom manažér súladu položí najdôležitejšiu otázku: „Ak sa nás dozorný orgán opýta budúci mesiac, vieme preukázať, že naše zdieľanie spravodajských informácií o kybernetických hrozbách bolo zákonné, schválené, užitočné a riadené?“

Toto je nová realita. DORA sa posunula od termínu implementácie k dohľadu zo strany regulátorov. NIS2 sa posunula od projektov pripravenosti k prevádzkovej spolupráci. GDPR sa naďalej uplatňuje, aj keď údaje predstavujú bezpečnostnú telemetriu. Zdieľanie spravodajských informácií o hrozbách už nie je neformálna výmena správ v Slacku medzi bezpečnostnými tímami. Je to riadená činnosť zahŕňajúca dôvernosť, minimalizáciu osobných údajov, schvaľovanie zverejnenia, záznamy, očakávania regulátorov a auditné dôkazy.

Pre CISO, manažérov súladu, audítorov a vlastníkov organizácie nie je otázkou, či sa zapojiť do dohôd o zdieľaní spravodajských informácií o kybernetických hrozbách. Skutočnou otázkou je, ako zdieľať dostatočne rýchlo, aby to pomohlo obrane, a zároveň zabrániť nezákonnému zverejneniu, porušeniu dôvernosti voči zákazníkom, úniku konkurenčne citlivých informácií, neriadenému zverejneniu zraniteľností a slabým dôkazom.

ISO/IEC 27001:2022 je riadiacou kostrou, ktorá to umožňuje. Nie ako certifikát na stene, ale ako systém manažérstva, ktorý mení zdieľanie spravodajských informácií o kybernetických hrozbách na opakovateľný, obhájiteľný a z hľadiska GDPR bezpečný prevádzkový model.

Prečo sa zdieľanie spravodajských informácií o kybernetických hrozbách v roku 2026 zmenilo

Prvá vlna príprav na DORA a NIS2 sa zameriavala na rozsah, lehoty nahlasovania incidentov, riziko IKT tretích strán, zodpovednosť predstavenstva a analýzy medzier. Táto práca bola nevyhnutná, regulátori a zákazníci sa však teraz pýtajú viac prevádzkových otázok:

  • V ktorých ISAC, CERT, CSIRT, dodávateľských fórach alebo dôveryhodných komunitách sa zúčastňujete?
  • Kto je oprávnený zastupovať organizáciu navonok?
  • Ako rozhodujete, čo možno zdieľať?
  • Ako bránite zverejneniu osobných údajov, tajomstiev klientov, podrobností o zraniteľnostiach a citlivej architektúry?
  • Ako vstupy spravodajských informácií o hrozbách aktualizujú pravidlá monitorovania, priority záplatovania, register rizík, playbooky incidentov, preskúmania dodávateľov a testy odolnosti?
  • Kde sú dôkazy?

DORA je pri finančných subjektoch obzvlášť priama. Digitálnu prevádzkovú odolnosť chápe ako systém riadenia rizík IKT vlastnený predstavenstvom, nie ako IT kontrolný zoznam. DORA sa uplatňuje od 17. januára 2025, takže v roku 2026 sa mnohé finančné subjekty posudzujú podľa toho, či ich procesy fungujú v praxi.

DORA Article 45 umožňuje zdieľanie informácií a spravodajských informácií o kybernetických hrozbách medzi finančnými subjektmi, ak je účelom posilnenie digitálnej prevádzkovej odolnosti. Zdieľanie má prebiehať v dôveryhodných komunitách a na základe dohôd, ktoré chránia citlivé informácie organizácie, osobné údaje, dôvernosť, duševné vlastníctvo a hranice práva hospodárskej súťaže. Zjednodušene povedané, DORA neznamená „zdieľajte všetko“. Znamená „zdieľajte bezpečne, premyslene a za riadených podmienok“.

NIS2 vytvára podobný tlak mimo finančného sektora. Uplatňuje sa na mnohé základné a dôležité subjekty vo vysoko kritických a ďalších kritických sektoroch vrátane digitálnej infraštruktúry, poskytovateľov riadených služieb, poskytovateľov riadených bezpečnostných služieb, poskytovateľov cloudových služieb, poskytovateľov dátových centier, online trhovísk, vyhľadávačov, platforiem sociálnych sietí, bankovníctva a infraštruktúr finančných trhov. NIS2 Article 20 ukladá riadiacim orgánom zodpovednosť za schvaľovanie opatrení riadenia rizík kybernetickej bezpečnosti, dohľad nad ich implementáciou a absolvovanie školenia. Article 21 vyžaduje primerané a proporcionálne technické, prevádzkové a organizačné opatrenia vrátane analýzy rizík, riešenia incidentov, kontinuity činností, bezpečnosti dodávateľského reťazca, riadenia zraniteľností, hodnotenia účinnosti, kybernetickej hygieny, školení, kryptografie, personálnej bezpečnosti, riadenia prístupu, správy aktív, MFA a bezpečnej komunikácie. Article 23 vyžaduje postupné hlásenie významných incidentov vrátane 24-hodinového včasného varovania, 72-hodinovej notifikácie incidentu a záverečnej správy najneskôr jeden mesiac po notifikácii incidentu.

GDPR pridáva obmedzenie ochrany súkromia. Osobné údaje zahŕňajú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby. Bezpečnostné logy, IP adresy, používateľské mená, e-mailové adresy, názvy koncových bodov, autentifikačné udalosti, podporné tickety, vzorky malvéru, snímky obrazovky a poznámky z vyšetrovania podvodov sa môžu stať osobnými údajmi. GDPR vyžaduje zákonné, spravodlivé, transparentné, účelovo obmedzené, minimalizované, presné, časovo obmedzené a bezpečné spracúvanie. Vyžaduje aj preukázateľnú zodpovednosť, teda schopnosť organizácie preukázať súlad.

Výsledkom je problém správy a riadenia. Zdieľanie spravodajských informácií o hrozbách musí byť dostatočne rýchle, aby zlepšilo obranu, dostatočne riadené, aby uspokojilo dozorné orgány, a dostatočne disciplinované, aby sa predišlo porušeniam ochrany súkromia a dôvernosti.

ISO 27001 ako centrum súladu pre zdieľanie spravodajských informácií o hrozbách

ISO/IEC 27001:2022 sa na túto výzvu hodí, pretože začína kontextom, zainteresovanými stranami, rozsahom, rizikom, vedením, prevádzkovým riadením, monitorovaním, vnútorným auditom, preskúmaním manažmentom a neustálym zlepšovaním.

Kapitoly 4.1 až 4.4 vyžadujú, aby organizácie rozumeli interným a externým otázkam, identifikovali zainteresované strany a ich požiadavky, definovali rozsah ISMS a udržiavali systém manažérstva. Pri organizácii podľa DORA alebo NIS2 môžu medzi zainteresované strany patriť príslušné orgány, CSIRT, zákazníci, poskytovatelia IKT, ISAC, sektorové skupiny, sprostredkovatelia spracúvania údajov, prevádzkovatelia, poisťovne, vnútorný audit a členovia predstavenstva.

Kapitoly 5.1 až 5.3 vyžadujú záväzok vedenia, smerovanie politikou, zodpovednosť za konanie, zdroje a priradené zodpovednosti. Je to dôležité, pretože zdieľanie spravodajských informácií o hrozbách zlyháva, keď zostane na neformálnom technickom uvážení. Ak analytik SOC, právny zástupca, DPO, CISO, vedúci PR a vlastník organizácie uplatňujú rozdielne predpoklady, organizácia bude buď zdieľať priveľa, zastaví sa, alebo zareaguje neskoro.

Kapitoly 6.1.1 až 6.1.3 premieňajú regulačnú otázku na posúdenie rizík, ošetrenie rizík, výber kontrol, rozhodnutia vo vyhlásení o uplatniteľnosti, plány ošetrenia rizík a akceptáciu zvyškového rizika. Typické riziká zdieľania spravodajských informácií o hrozbách zahŕňajú:

  • Osobné údaje zdieľané bez právneho základu alebo minimalizácie.
  • Dôverné informácie zákazníka zverejnené na fóre.
  • Podrobnosti o zraniteľnosti zverejnené pred dostupnosťou zmierňujúceho opatrenia.
  • Indikátory prijaté, ale nikdy nepremietnuté do prevádzky.
  • Účasť v ISAC nepremietnutá do reakcie na incidenty, logovania, riadenia zraniteľností alebo dodávateľského rizika.
  • Chýbajúce dôkazy o tom, kto schválil zverejnenie a prečo.
  • Riziko podľa práva hospodárskej súťaže vyplývajúce zo zdieľania komerčne citlivých trhových informácií.
  • Nekonzistentná regulačná a zákaznícka komunikácia počas významného incidentu.

Kapitola 8.1 následne vyžaduje implementáciu a riadenie plánovaných procesov s dokumentovanými informáciami postačujúcimi na preukázanie, že procesy fungovali podľa plánu. Kapitoly 9 a 10 vyžadujú monitorovanie, meranie, vnútorný audit, preskúmanie manažmentom, riešenie nezhôd, nápravné opatrenia a neustále zlepšovanie. Stručne povedané, ISO/IEC 27001:2022 mení zdieľanie spravodajských informácií o kybernetických hrozbách na prevádzkový model vhodný na audit.

Dve kontroly ISO, vďaka ktorým zdieľanie funguje

Clarysec Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint rieši túto tému ako súčasť fázy Controls in Action, krok 22: organizačné opatrenia. Kľúčové sú dve kontroly ISO/IEC 27002:2022: 5.6, Kontakt so skupinami so špecifickým záujmom, a 5.7, Informácie o hrozbách.

Zenith Blueprint jasne uvádza, že účasť v ISAC nie je symbolické sieťovanie:

Účasť v takýchto skupinách nie je symbolické gesto. Je to strategická investícia do spravodajstva, spolupráce a zdieľanej odolnosti.

Pri kontrole 5.6 môžu skupiny so špecifickým záujmom zahŕňať národné alebo sektorovo špecifické siete spravodajských informácií o kybernetických hrozbách, ISAC, regulačné fóra, skupiny bezpečnostných upozornení dodávateľov, open-source komunity a akademické pracovné skupiny. Externé zdieľanie však musí byť zámerné, zákonné a schválené. Zenith Blueprint dopĺňa očakávanie zrelosti:

Zrelé implementácie ISMS považujú účasť v SIG za riadenú činnosť, nie za neformálnu výhodu.

To znamená viesť register skupín a fór, do ktorých sa organizácia zapojila, určovať oficiálnych účastníkov, zachytávať zápisnice alebo súhrny a integrovať poznatky do interných preskúmaní alebo aktualizácií kontrol.

Kontrola 5.7 premieňa externé informácie na činnosť. Zenith Blueprint uvádza:

Organizácia sa nedokáže brániť proti tomu, čomu nerozumie.

Zároveň varuje pred zamieňaním zdrojov informácií o záplatách so spravodajskými informáciami o hrozbách. Skutočné spravodajské informácie zahŕňajú profilovanie pôvodcov hrozieb, taktiky, techniky a postupy, indikátory kompromitácie, sektorové varovania, kontext zraniteľností a strategický dopad na organizáciu. Užitočné spravodajské informácie kombinujú interné monitorovanie, externé partnerstvá, vzťahy s CERT alebo ISAC, komerčné zdroje a open-source zdroje, ale iba vtedy, keď ich niekto preskúma, stanoví priority a prevedie ich do činnosti.

Clarysec Zenith Controls: The Cross-Compliance Guide Zenith Controls posilňuje hodnotu naprieč rámcami súladu. Mapuje kontrolu 5.6 ako preventívnu a nápravnú, podporujúcu dôvernosť, integritu a dostupnosť, pričom správa a riadenie sú primárnou prevádzkovou schopnosťou. Prepája 5.6 s 5.7 Informácie o hrozbách, 5.5 Kontakt s orgánmi, 5.31 Právne, štatutárne, regulačné a zmluvné požiadavky a 8.8 Riadenie technických zraniteľností. Kontrolu 5.7 mapuje ako preventívnu, detekčnú a nápravnú, prepojenú na Identify, Detect a Respond, s prevádzkovou schopnosťou v oblasti riadenia hrozieb a zraniteľností.

Odkaz je jednoduchý: zrelý program zdieľania spravodajských informácií o kybernetických hrozbách má dve časti. Po prvé, riadené vzťahy. Po druhé, riadené použitie toho, čo sa prijíma a zdieľa.

Praktický prevádzkový model riadeného zdieľania

Obhájiteľný prevádzkový model na rok 2026 má odpovedať na šesť otázok ešte pred zdieľaním prvého indikátora.

Otázka správy a riadeniaPraktická odpoveďDôkazy, ktoré audítori očakávajú
Kto sa môže zúčastniť?Menovite určené roly, schválené fóra, náhradné kontakty, hranice právomocíRegister SIG a ISAC, záznamy o menovaní, opisy rolí
Čo možno prijímať?Správy o hrozbách, IOC, TTP, bezpečnostné upozornenia na zraniteľnosti, sektorové upozorneniaLog príjmu, klasifikácia zdroja, pravidlá nakladania
Čo možno zdieľať?Sanitizované indikátory, vzory bez prisúdenia konkrétnemu subjektu, schválené bezpečnostné upozornenia, fakty pripravené pre regulátoraZáznam o schválení zverejnenia, preskúmanie minimalizácie, schválenie právnym oddelením alebo DPO
Ako sa spravodajské informácie používajú?Pravidlá SIEM, blokovania EDR, prioritizácia zraniteľností, aktualizácie registra rizík, zmeny playbookovTickety zmien, detekčné pravidlá, aktualizácie rizík, zápisnice zo stretnutí
Ako je chránené súkromie?Minimalizácia údajov, pseudonymizácia, redigovanie, kontrola právneho základu, limity uchovávaniaDPIA alebo preskúmanie ochrany súkromia, šablóna zdieľania, log uchovávania
Ako sa preskúmava účinnosť?Metriky, stolové cvičenia, auditné zistenia, preskúmanie manažmentomKPI, poučenia z incidentov, správa z vnútorného auditu, nápravné opatrenia

Clarysec to zvyčajne implementuje ako ľahký, ale formálny pracovný tok:

  1. Prijať a klasifikovať spravodajské informácie.
  2. Overiť relevantnosť pre aktíva, dodávateľov, služby, geografické oblasti a zákazníkov.
  3. Premeniť spravodajské informácie na činnosť, napríklad pravidlá monitorovania, tickety zraniteľností, upozornenia používateľov, dotazy dodávateľom alebo aktualizácie rizík.
  4. Rozhodnúť, či je odchádzajúce zdieľanie nevyhnutné, zákonné, bezpečné a povolené pravidlami členstva.
  5. Uplatniť redigovanie, agregáciu, pseudonymizáciu alebo anonymizáciu.
  6. Získať požadované schválenia.
  7. Zdieľať prostredníctvom schváleného kanála.
  8. Zaznamenať, čo bolo zdieľané, s kým, prečo, kedy a pod koho právomocou.
  9. Preskúmať výsledky a aktualizovať kontroly.

Tým sa predchádza dvom klasickým zlyhaniam: bezpečnostný tím prijme užitočné spravodajské informácie, ale nič sa nezmení, alebo bezpečnostný tím zdieľa užitočné spravodajské informácie, ale vytvorí právnu, zmluvnú alebo súkromnoprávnu expozíciu.

DORA Article 45: riadené zdieľanie bez straty dôvernosti

Pre finančné subjekty má byť DORA Article 45 premietnutý do interného štandardu zdieľania spravodajských informácií o kybernetických hrozbách. Praktický výklad zahŕňa päť podmienok.

Po prvé, účelom musí byť odolnosť. Zdieľanie má pomáhať predchádzať kybernetickým hrozbám, detegovať ich, reagovať na ne alebo sa z nich zotaviť. Nesmie skĺznuť k cenotvorbe, zoznamom zákazníkov, trhovej stratégii ani komerčne citlivým informáciám.

Po druhé, komunita musí byť dôveryhodná. To znamená jasné pravidlá členstva, povinnosti zachovávať dôvernosť, bezpečné komunikačné kanály, riadenie prístupu a obmedzenia ďalšieho zverejnenia. ISO/IEC 27010:2015 podporuje bezpečnú výmenu informácií v komunitách dôvery vrátane pravidiel dôvernosti, reciprocity a dôveryhodných komunikačných kanálov. ISO/IEC 27032:2023 podporuje zdieľanie informácií o kybernetickej bezpečnosti a situačné povedomie. ISO/IEC 27035-2:2023 prepája zdieľanie informácií s plánovaním reakcie na incidenty vrátane účasti v CERT a odvetvových skupinách.

Po tretie, citlivé informácie musia byť chránené. Patria sem obchodné tajomstvá, diagramy architektúry, podrobnosti o zraniteľnostiach, prihlasovacie údaje, identifikátory zákazníkov a osobné údaje. Clarysec MSP Politika klasifikácie a označovania údajov Politika klasifikácie a označovania údajov - MSP uvádza:

Externé zdieľanie musí byť výslovne autorizované a zaznamenané.

Táto veta je princípom kontroly za pracovným tokom podľa DORA Article 45. Organizácia musí vedieť, aká klasifikácia sa uplatňuje, kto schválil uvoľnenie a kde je záznam uložený.

Po štvrté, osobné údaje musia byť minimalizované. Podniková Politika ochrany údajov a súkromia Politika ochrany údajov a súkromia uvádza:

Zbierať a spracúvať možno iba údaje nevyhnutné na konkrétny, legitímny účel organizácie.

Ekvivalent pre MSP, Politika ochrany údajov a súkromia - MSP Politika ochrany údajov a súkromia - MSP, uvádza:

Zbierať a uchovávať sa musia iba minimálne nevyhnutné osobné údaje

Je to dôležité, pretože spravodajské informácie o hrozbách často zvádzajú tímy kopírovať surové logy do externých kanálov. Namiesto toho majú zdieľať iba to, čo príjemca potrebuje, napríklad škodlivú doménu, hash, rozsah časových pečiatok, všeobecný vzor alebo pseudonymizovanú referenciu prípadu.

Po piate, organizácia musí uchovávať dôkazy. DORA je postavená na dokumentovanom riadení rizík IKT, klasifikácii incidentov, hlásení, testovaní, správe a riadení tretích strán a zodpovednosti manažmentu. Ak zdieľanie ovplyvní reakciu na incident, scenár testu odolnosti alebo rozhodnutie o dodávateľskom riziku, musí to byť viditeľné v záznamoch ISMS.

Spolupráca podľa NIS2: od právneho rozsahu k prevádzkovým vzťahom

NIS2 rozširuje diskusiu mimo finančných subjektov. Uplatňuje sa podľa sektora, veľkosti a kritickosti a môže sa vzťahovať aj bez ohľadu na veľkosť na určité subjekty, napríklad poskytovateľov dôveryhodných služieb, poskytovateľov služieb DNS, registre TLD, kritické subjekty a služby registrácie doménových mien.

Pri zdieľaní spravodajských informácií o hrozbách je kľúčovou lekciou správa a riadenie. Article 20 ukladá riadiacim orgánom zodpovednosť za schvaľovanie opatrení riadenia rizík kybernetickej bezpečnosti a dohľad nad nimi. Article 21 vyžaduje primerané a proporcionálne technické, prevádzkové a organizačné opatrenia. Article 23 vyžaduje postupné hlásenie významných incidentov.

Zdieľanie spravodajských informácií o hrozbách sa pretína so všetkými týmito oblasťami. Ak bezpečnostné upozornenie ISAC naznačuje, že sa zneužíva spravovaná služba dodávateľa, stávajú sa relevantnými očakávania Article 21 týkajúce sa dodávateľského reťazca. Ak spravodajské informácie naznačujú prebiehajúci významný incident, môžu sa spustiť pracovné toky hlásenia podľa Article 23 a komunikácie so zákazníkmi. Ak významná kybernetická hrozba môže ovplyvniť príjemcov služieb, organizácia potrebuje riadený proces varovania.

Zenith Blueprint sa tomu venuje vo fáze ISMS Foundation and Leadership, krok 5, Communication, Awareness, and Competence. Odporúča plánovanie externej komunikácie, ktoré identifikuje zákazníkov, regulátorov, partnerov a verejnosť a následne definuje, čo sa komunikuje, kedy, kým a s akým schválením. Uvádza praktický príklad postupu komunikácie pri incidente, v ktorom CISO pripraví oznámenie, právne oddelenie ho preskúma a CEO ho pred odoslaním schváli.

MSP Politika reakcie na incidenty Politika reakcie na incidenty - MSP uvádza:

Generálny manažér (GM) zodpovedá za autorizáciu všetkých rozhodnutí o eskalácii incidentov, regulačných notifikácií a externej komunikácie.

Pre väčšie organizácie podniková Politika reakcie na incidenty Politika reakcie na incidenty stanovuje dôkazový základ:

Všetky incidenty musia byť zaznamenané v systéme riadenia bezpečnostných incidentov (SIMS), vrátane:

Ak sa spravodajské informácie o hrozbách zmenia na incident, varovanie zákazníka, notifikáciu regulátora alebo externé bezpečnostné upozornenie, nesmú zostať iba v doručenej pošte a chatových vláknach. Patria do systému riadenia incidentov s klasifikáciou, činnosťami, schváleniami, dôkazmi a poučeniami.

Zverejňovanie v súlade s GDPR: zdieľať spravodajské informácie, nie zbytočné osobné údaje

GDPR umožňuje bezpečnostné operácie, ale nevytvára voľný priestor pre neriadené zdieľanie telemetrie. Mnohé artefakty spravodajských informácií o hrozbách môžu obsahovať osobné údaje:

  • IP adresy spojené s aktivitou používateľa.
  • E-mailové adresy použité pri pokusoch o phishing.
  • Používateľské mená, názvy zariadení, identifikátory koncových bodov alebo identifikátory tenantov zákazníka.
  • Autentifikačné logy.
  • Podporné tickety.
  • Snímky obrazovky.
  • Poznámky z vyšetrovania podvodov.
  • Vzorky malvéru obsahujúce dokumenty alebo osobné súbory.
  • Správy o zraniteľnostiach, ktoré obsahujú sprístupnenie údajov zákazníkov.

V modeli Clarysec každé rozhodnutie o odchádzajúcom zdieľaní prechádza filtrom ochrany súkromia a dôvernosti.

FilterRozhodovacia otázkaTypické kontrolné opatrenie
ÚčelJe zdieľanie nevyhnutné na kybernetickú obranu, právne hlásenie alebo koordinované zmiernenie?Zaznamenať účel do logu zdieľania
Právny základExistuje zdokumentovaný právny základ alebo zákonná povinnosť?Doplniť preskúmanie právnym oddelením alebo DPO pri osobných údajoch
MinimalizáciaDá sa rovnaký výsledok dosiahnuť s menším počtom polí?Odstrániť používateľské mená, e-maily, poznámky v ticketoch, názvy zákazníkov
PseudonymizáciaMožno identifikátory nahradiť ID prípadov alebo tokenmi?Mapovanie uchovávať interne s obmedzeným prístupom
DôvernosťOdhaľuje obsah architektúru, podrobnosti o zraniteľnostiach alebo tajomstvá klientov?Klasifikovať ako dôverné alebo vysoko dôverné a obmedziť zdieľanie
UchovávanieAko dlho sa musí uchovávať zdieľaný záznam a dôkazy schválenia?Uplatniť pravidlo uchovávania a preskúmanie výmazu

V Zenith Controls je kontrola ISO/IEC 27002:2022 5.34, Ochrana súkromia a ochrana PII, mapovaná ako preventívna a prepojená na klasifikáciu, inventarizáciu aktív, maskovanie údajov, cloudovú bezpečnosť, prenos informácií, riadenie prístupu, správu identít a preskúmanie projektu alebo zmeny. Mapuje sa aj na GDPR Articles 25 and 32 prostredníctvom ochrany súkromia už od návrhu, bezpečnosti spracúvania, šifrovania, pseudonymizácie, riadenia prístupu a preukázateľnej správy a riadenia. Podporné normy zahŕňajú ISO/IEC 27701:2021 pre riadenie informácií o ochrane súkromia, ISO/IEC 27018:2019 pre ochranu PII v prostrediach verejného cloudu spracovateľa a ISO/IEC 29100:2011 pre zásady ochrany súkromia.

Pri zdieľaní spravodajských informácií o hrozbách sa DPO a bezpečnostný tím nemajú prvýkrát stretnúť počas krízy. Majú vopred schváliť vzory, šablóny, pravidlá redigovania a prahové hodnoty eskalácie.

Praktický príklad: upozornenie ISAC sa mení na odolnosť založenú na dôkazoch

Vráťme sa k Mariinej platobnej platforme. Bezpečnostné upozornenie ISAC obsahuje škodlivé domény, podozrivé názvy OAuth aplikácií, reťazce user-agent a poznámku, že viacerí členovia pozorovali pokusy o prevzatie účtov proti používateľom finančných operácií. Spoločnosť zároveň vo vlastných logoch nájde tri podozrivé pokusy o prihlásenie.

Takto by Clarysec prevádzkovo spracoval reakciu pomocou ISO/IEC 27001:2022, Zenith Blueprint, Zenith Controls a balíka politík.

KrokČinnosťVlastníkDôkaz alebo väzba na kontrolu
1. Zaznamenať príjemZaznamenať zdroj, dátum, dôveryhodnosť, aktíva, dotknutú technológiu a obmedzenia nakladaniaAnalytik SOCLog príjmu spravodajských informácií o hrozbách, kontrola ISO/IEC 27002:2022 5.7
2. KlasifikovaťOznačiť bezpečnostné upozornenie ako Dôverné alebo Vysoko dôverné, ak obsahuje citlivé údaje členovVedúci bezpečnostiZáznam klasifikácie údajov, pravidlo autorizácie externého zdieľania
3. Overiť relevantnosťSkontrolovať produkčné použitie integrácie identity, vystavených používateľov, OAuth granty, DNS, proxy, EDR a SIEM logySOC a platformový tímPoznámky z triáže, dôkazy monitorovania, preskúmanie zraniteľností
4. Premeniť na činnosťPridať detekcie, preskúmať granty, rotovať tajomstvá podľa potreby, osloviť dodávateľa, aktualizovať register rizíkSOC, engineering, vlastník rizikaTickety pravidiel SIEM, záznamy zmien, eskalácia dodávateľovi
5. Preskúmať odchádzajúce zdieľanieZúžiť surové zistenia na časové okno, vzor, škodlivú doménu a dotknutý typ rolyCISO, právne oddelenie, DPOSchválenie zverejnenia, posúdenie minimalizácie
6. Zdieľať bezpečneOdoslať iba schválené spravodajské informácie cez šifrovaný kanál ISACCISO alebo delegovaná osobaLog zdieľania, záznam kanála, časová pečiatka schválenia
7. ZlepšiťReportovať metriky a poučenia pri preskúmaní ISMSCISO a GRCZápisnica z preskúmania manažmentom, nápravné opatrenia

Odchádzajúca správa pôvodne obsahuje časové pečiatky, zdrojové IP adresy, cieľové používateľské mená, identifikátory tenantov zákazníkov a snímky obrazovky. Po preskúmaní DPO a právnym oddelením sa zredukuje na:

  • Časové okno v UTC.
  • Vzor útoku.
  • Pozorovanú škodlivú doménu.
  • Všeobecný typ dotknutej roly, napríklad používatelia finančných operácií.
  • Žiadne používateľské mená.
  • Žiadne identifikátory tenantov zákazníkov.
  • Žiadne snímky obrazovky.
  • Žiadne názvy zákazníkov.
  • Žiadne surové logy, pokiaľ nie sú vyžiadané cez riadený kanál.

Ak sa aktivita stane incidentom, uplatnia sa kontroly Politiky reakcie na incidenty. Ak sa zhromažďujú forenzné artefakty, uplatňuje sa Politika zhromažďovania dôkazov a forenznej analýzy - MSP Politika zhromažďovania dôkazov a forenznej analýzy - MSP:

Každá položka digitálneho dôkazu musí byť zaznamenaná s:

Politika interne pokračuje požiadavkami na metadáta dôkazov, ale auditný princíp je jasný: každý artefakt použitý na vyšetrovanie, zdieľanie, regulačné hlásenie alebo komunikáciu so zákazníkom potrebuje sledovateľnosť.

Zverejňovanie zraniteľností nie je to isté ako zdieľanie spravodajských informácií o hrozbách

Častou chybou je považovať zverejňovanie zraniteľností, notifikáciu incidentov a zdieľanie spravodajských informácií o hrozbách za rovnaký proces. Prekrývajú sa, ale nie sú totožné.

Zdieľanie spravodajských informácií o hrozbách môže zahŕňať indikátory, taktiky, sektorové varovania, správanie protivníka, zmierňujúce opatrenia alebo pozorované pokusy. Koordinované zverejňovanie zraniteľností sa týka konkrétnej slabiny v produkte alebo službe, často s nahlasovateľom, harmonogramom opravy, bezpečnostným upozornením a rozhodnutím o verejnom zverejnení. Notifikácia incidentu zahŕňa regulačné alebo zmluvné hlásenie o udalosti, ktorá ovplyvňuje služby, údaje alebo zákazníkov.

Clarysec tieto pracovné toky oddeľuje, pričom ich udržiava prepojené cez ISMS. Podniková Politika koordinovaného zverejňovania zraniteľností Politika koordinovaného zverejňovania zraniteľností uvádza:

Koordinácia a zverejnenie: Organizácia musí koordinovať verejné zverejnenie s nahlasovateľom. Štandardne sa nesmú zverejniť žiadne podrobnosti o zraniteľnosti, kým nie je dostupná oprava alebo zmierňujúce opatrenie, alebo kým nie je aspoň rozpracované. Pri kritických problémoch, pri ktorých opravu nemožno dodať rýchlo, môže organizácia vydať bezpečnostné upozornenie s usmernením k náhradnému postupu na varovanie používateľov, po konzultácii s príslušnými orgánmi, ak sa vyžaduje. Od nahlasovateľa sa očakáva, že sa zdrží verejného zverejnenia, kým organizácia neposkytne súhlas alebo nezverejní bezpečnostné upozornenie. Organizácia sa spravidla usiluje zverejniť bezpečnostné upozornenie do 90 dní od prijatia hlásenia alebo v inom vzájomne dohodnutom časovom rámci, v súlade s odvetvovou praxou, vrátane uvedenia nahlasovateľa, ak na to bol poskytnutý súhlas.

Tá istá politika tiež uvádza:

Dôvernosť: Až do verejného zverejnenia sa všetky informácie týkajúce sa nahlásenej zraniteľnosti musia považovať za Vysoko dôverné. Podrobnosti sa interne zdieľajú iba na základe zásady potreby vedieť s personálom potrebným na overenie alebo nápravu problému. Totožnosť nahlasovateľa sa na jeho žiadosť zachová ako dôverná. Všetka komunikácia s nahlasovateľom má byť šifrovaná, vrátane použitia PGP kľúča organizácie, aby sa chránili citlivé podrobnosti o zraniteľnosti.

To je zásadné pre DORA Article 45 a spoluprácu podľa NIS2. Dôveryhodná komunita môže byť správnym miestom na zdieľanie zmierňujúcich opatrení alebo indikátorov na vysokej úrovni, ale nie nevyhnutne podrobností exploitov, údajov konkrétneho zákazníka alebo informácií o nezaplátanej zraniteľnosti.

Externá komunikácia vyžaduje rovnakú disciplínu. Podniková Politika sociálnych médií a externej komunikácie Politika sociálnych médií a externej komunikácie priraďuje zodpovednosť za preskúmanie obsahu, aby sa zabezpečil súlad so zákonmi upravujúcimi dôvernosť, zverejňovanie dôverných interných informácií, duševné vlastníctvo a ohováranie. Je to dôležité, keď sa technické bezpečnostné upozornenie mení na verejné vyhlásenie, oznámenie zákazníkom, aktualizáciu webovej stránky alebo správu smerujúcu regulátorovi.

Mapovanie naprieč rámcami súladu: jeden pracovný tok, mnoho povinností

Silný pracovný tok zdieľania spravodajských informácií o kybernetických hrozbách má spĺňať viacero rámcov bez vytvárania duplicitných procesov.

RámecČo očakávaAko to mapuje Clarysec
ISO/IEC 27001:2022Kontext, vedenie, ošetrenie rizík, prevádzkové riadenie, dokumentované dôkazy, monitorovanie, audit, neustále zlepšovanieRozsah ISMS, register rizík, vyhlásenie o uplatniteľnosti, komunikačný plán, vnútorný audit, preskúmanie manažmentom
Kontroly ISO/IEC 27002:2022 5.6 a 5.7Riadený kontakt so skupinami so špecifickým záujmom a použiteľné informácie o hrozbáchRegister SIG, príjem informácií o hrozbách, analytický pracovný tok, aktualizácie detekcie, schválenia zdieľania
DORA Article 45Dôveryhodné zdieľanie spravodajských informácií o kybernetických hrozbách, ktoré chráni dôvernosť, osobné údaje, obchodné tajomstvo, IP a hranice hospodárskej súťažeSchválené komunity, podmienky zverejnenia, preskúmanie právnym oddelením a DPO, bezpečné kanály, dôkazové logy
NIS2 Articles 20, 21, and 23Dohľad predstavenstva, opatrenia riadenia rizík kybernetickej bezpečnosti, spolupráca, riešenie incidentov, bezpečnosť dodávateľského reťazca, riadenie zraniteľností, postupné hlásenieReportovanie predstavenstvu, komunikácia pri incidentoch, eskalácia dodávateľovi, zoznam kontaktov CSIRT, aktualizácie rizík riadené hrozbami
GDPR Articles 5, 6, 25, and 32Zákonné, minimalizované, účelovo obmedzené, bezpečné a preukázateľne zodpovedné spracúvanie osobných údajovFilter ochrany súkromia, redigovanie, pseudonymizácia, pravidlá uchovávania, preskúmanie DPO, log zdieľania
NIST CSF 2.0Výstupy GOVERN, IDENTIFY, PROTECT, DETECT, RESPOND a RECOVER so zákonnými povinnosťami a komunikačnými kanálmiOrganizačný profil, súčasný a cieľový stav, zlepšenia detekcie a reakcie, komunikácia s externými zainteresovanými stranami
COBIT 2019Monitorovať externé požiadavky, riadiť bezpečnostné hrozby, hodnotiť účinnosť kontrol, riadiť ochranu súkromiaMonitorovanie súladu, metriky hrozieb, reportovanie správy a riadenia, zosúladenie programu ochrany súkromia

NIST CSF 2.0 je užitočný ako neutrálny organizačný rámec, pretože jeho funkcia GOVERN rieši zainteresované strany, zákonné povinnosti, závislosti, apetít na riziko, roly, politiky a dohľad. Funkcie DETECT a RESPOND očakávajú monitorovanie, integráciu spravodajských informácií o hrozbách, vyhlásenie incidentu, uchovanie dôkazov, notifikáciu a externú komunikáciu.

COBIT 2019 pridáva zodpovednosť manažmentu. Praktiky ako DSS05.04 Manage security threats, APO12 Manage risk, MEA03 Managed compliance with external requirements a APO13 Managed security pomáhajú audítorom testovať, či spravodajské informácie zlepšujú výkon kontrol a reportovanie správy a riadenia.

Ako budú audítori testovať váš program zdieľania

Audítor ISO/IEC 27001:2022 začne systémom manažérstva. Bude sa pýtať, ako boli podľa kapitol 4.1 a 4.2 identifikované právne, regulačné, zmluvné požiadavky a požiadavky zainteresovaných strán. Skontroluje, či je zdieľanie spravodajských informácií o hrozbách v rozsahu, či boli posúdené riziká, či sú kontroly 5.6, 5.7, 5.31, 5.34, 5.24, 5.28, 8.8, 8.15 a 8.16 zahrnuté alebo odôvodnené vo vyhlásení o uplatniteľnosti a či dôkazy ukazujú, že proces fungoval podľa plánu.

Audítor alebo dohľadový orgán zameraný na DORA bude hľadať správu a riadenie, zodpovednosť predstavenstva, integráciu rizík IKT, klasifikáciu incidentov, testovanie odolnosti, dopady na tretie strany a podmienky Article 45. Bude sa pýtať, či je účasť v dohodách o zdieľaní informácií zdokumentovaná, či sú chránené citlivé a osobné údaje, či spravodajské informácie aktualizujú rámec riadenia rizík IKT a či ovplyvňujú testovacie scenáre.

Posudzovateľ orientovaný na NIS2 sa zameria na dohľad predstavenstva, opatrenia Article 21, riešenie incidentov, závislosti od dodávateľov, riadenie zraniteľností, komunikáciu so zákazníkmi alebo príjemcami služieb a spoluprácu s CSIRT alebo príslušnými orgánmi. Otestuje, či sú spravodajské informácie o hrozbách prepojené s posúdením významného incidentu a postupným hlásením.

Audítor ochrany súkromia sa zameria na princípy GDPR. Bude sa pýtať, či zdieľané údaje boli osobnými údajmi, aký právny základ sa uplatnil, či bola vykonaná minimalizácia, či bola možná pseudonymizácia alebo redigovanie, či bolo riadené uchovávanie a či organizácia vie preukázať zodpovednosť za konanie.

Dobré dôkazy zahŕňajú:

  • Schválený register ISAC alebo SIG.
  • Menovite určených účastníkov a zástupcov.
  • Podmienky členstva a povinnosti zachovávať dôvernosť.
  • Log príjmu spravodajských informácií o hrozbách.
  • Posúdenia triáže a relevantnosti.
  • Tickety detekčného inžinierstva.
  • Zmeny prioritizácie zraniteľností.
  • Eskalácie dodávateľského rizika.
  • Záznamy o schválení zverejnenia.
  • Poznámky DPO alebo preskúmania ochrany súkromia.
  • Redigované odchádzajúce správy.
  • Záznamy incidentov v SIMS.
  • Logy reťazca zverenia dôkazov.
  • Zápisnice z preskúmania manažmentom.
  • Zistenia vnútorného auditu a nápravné opatrenia.

Bežné úskalia, ktoré Clarysec vidí v praxi

Najčastejším zlyhaním je neformálna účasť. Bezpečnostný inžinier sa pridá do súkromného fóra, dostane užitočné spravodajské informácie a zdieľa interné pozorovania bez formálnej autorizácie. Úmysel je dobrý, ale auditná stopa je slabá a riziko dôvernosti vysoké.

Druhým zlyhaním je pasívna spotreba. Organizácia si predpláca zdroje, zúčastňuje sa hovorov ISAC a preposiela bezpečnostné upozornenia, ale nikto nevie ukázať, ako spravodajské informácie zmenili kontroly. Spravodajské informácie o hrozbách musia aktualizovať detekčnú logiku, priority záplatovania, playbooky, registre rizík, preskúmania dodávateľov, kampane zvyšovania povedomia alebo testy odolnosti.

Tretím zlyhaním je zdieľanie surových logov. Tímy externe odosielajú snímky obrazovky, exporty SIEM, e-mailové hlavičky alebo zachytené pakety bez minimalizácie. To môže odhaliť osobné údaje, identifikátory zákazníkov, interné názvy hostiteľov, tokeny alebo dôvernú architektúru.

Štvrtým zlyhaním je zamieňanie public relations s regulovanou komunikáciou. Príspevok na LinkedIn o trende útokov nie je to isté ako varovanie zákazníkov, notifikácia regulátora, aktualizácia pre CSIRT alebo koordinované bezpečnostné upozornenie. Clarysec oddeľuje tieto kanály, priraďuje vlastníkov schvaľovania a vyžaduje záznamy.

Piatym zlyhaním je ignorovanie dodávateľov. Mnohé spravodajské upozornenia sa týkajú softvéru tretích strán, cloudových platforiem, poskytovateľov riadených služieb alebo integrácií identít. Podľa DORA, NIS2, NIST CSF, COBIT 2019 a dodávateľských kontrol ISO/IEC 27002:2022 musia spravodajské informácie o hrozbách vstupovať do riadenia dodávateľského rizika.

Vybudujte si balík pre zdieľanie spravodajských informácií o hrozbách na rok 2026

Väčšina organizácií nepotrebuje ťažkopádnu samostatnú byrokraciu. Potrebuje kompaktný balík správy a riadenia, ktorý funguje počas skutočného incidentu. Clarysec odporúča:

  • Postup zdieľania spravodajských informácií o hrozbách.
  • Register schválených komunít na zdieľanie.
  • Formulár príjmu a triáže spravodajských informácií o hrozbách.
  • Formulár schválenia odchádzajúceho zverejnenia.
  • Kontrolný zoznam preskúmania ochrany súkromia a dôvernosti.
  • Matica externej komunikácie.
  • Šablóna súhrnu stretnutia ISAC.
  • Pravidlá väzby medzi dôkazmi a incidentmi.
  • Informačný panel metrík.
  • Plán testovania vnútorného auditu.

Postup má odkazovať na kapitoly ISO/IEC 27001:2022 týkajúce sa riadenia rizík, komunikácie, prevádzkového riadenia, hodnotenia výkonnosti, vnútorného auditu a neustáleho zlepšovania. Má sa mapovať na kontroly ISO/IEC 27002:2022 5.6, 5.7, 5.31, 5.34, 5.24, 5.28, 8.8, 8.15, 8.16 a relevantné kontroly dodávateľov. Má tiež odkazovať na DORA Article 45, spoluprácu podľa NIS2, povinnosti komunikácie pri incidentoch a princípy GDPR.

Najdôležitejšie je, aby bol použiteľný pod tlakom. Ak proces vyžaduje stretnutie 12 osôb pred zdieľaním škodlivej domény s dôveryhodným ISAC, zlyhá. Ak umožňuje vkladať surové zákaznícke logy do komunitného portálu, zlyhá tiež. Cieľom je riadená rýchlosť.

Premeňte zdieľanie spravodajských informácií o hrozbách na odolnosť založenú na dôkazoch

Zdieľanie spravodajských informácií o kybernetických hrozbách v roku 2026 nie je len odznakom bezpečnostnej zrelosti. Pre finančné subjekty je viazané na DORA Article 45 a digitálnu prevádzkovú odolnosť. Pre základné a dôležité subjekty podporuje spoluprácu podľa NIS2, riešenie incidentov, reakciu na zraniteľnosti, bezpečnosť dodávateľov a varovanie príjemcov služieb. Pre každú organizáciu spracúvajúcu osobné údaje EÚ musí byť bezpečné z hľadiska GDPR už od návrhu.

Clarysec pomáha organizáciám vybudovať tento prevádzkový model bez spomaľovania obrancov. Prepájame Zenith Blueprint Zenith Blueprint, balík politík a Zenith Controls Zenith Controls do funkčného procesu ISMS: schválené komunity, jasné roly, zverejňovanie bezpečné z hľadiska ochrany súkromia, väzba na incidenty, dôkazové záznamy, pripravenosť na audit a mapovanie naprieč rámcami.

Ak sa vaša organizácia zúčastňuje v ISAC, prijíma kybernetické bezpečnostné upozornenia, zdieľa indikátory s partnermi, hlási orgánom alebo rieši zverejňovanie zraniteľností, teraz je čas formalizovať pracovný tok. Začnite hodinovým preskúmaním súčasných dohôd o zdieľaní a následne ich namapujte na ISO/IEC 27001:2022, DORA Article 45, NIS2 a GDPR.

Clarysec vám pomôže vybudovať register, ustanovenia politík, schvaľovacie šablóny, model auditných dôkazov a balík reportovania manažmentu potrebný na to, aby bolo zdieľanie spravodajských informácií o kybernetických hrozbách rýchle, zákonné a obhájiteľné.

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles

ENISA EUVD 2026: ISO 27001 pre NIS2 a CRA

ENISA EUVD 2026: ISO 27001 pre NIS2 a CRA

ENISA EUVD zmení spôsob, akým organizácie v EÚ využívajú spravodajstvo o hrozbách a zraniteľnostiach, riadia CVD, koordinujú dodávateľov a dokladajú rozhodnutia o oznamovaní podľa NIS2, DORA, GDPR a CRA. Táto príručka ukazuje, ako ISO/IEC 27001:2022, politiky Clarysec, Zenith Blueprint a Zenith Controls premieňajú upozornenia na zraniteľnosti na auditovateľný prevádzkový model.

Bezpečný vzdialený prístup a riadenie VPN pre NIS2 a DORA

Bezpečný vzdialený prístup a riadenie VPN pre NIS2 a DORA

Vzdialený prístup už nie je úzka IT téma. V roku 2026 musia VPN, MFA, prístup dodávateľov, bezpečnostný stav koncových bodov, logovanie a dôkazy o záplatovaní spĺňať očakávania audítorov ISO 27001, zodpovednosť manažmentu podľa NIS2, pravidlá DORA pre riziká IKT a bezpečnostné povinnosti podľa GDPR Article 32.

CVD pre NIS2 a DORA: dôkazová mapa ISO 27001

CVD pre NIS2 a DORA: dôkazová mapa ISO 27001

Praktická príručka pre CISO ku koordinovanému zverejňovaniu zraniteľností podľa NIS2, DORA, GDPR a ISO/IEC 27001:2022 vrátane znenia politiky, pracovného toku príjmu hlásení, eskalácie dodávateľom, auditných dôkazov a mapovania kontrol.