⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →
SL EN BG CS DA DE EL ES ET FI FR GA HR HU IT LT LV MT NL PL PT RO SK SV
NIS2 DORA GDPR NIST COBIT 2019

Obveščevalni podatki o grožnjah po ISO 27001 za NIS2 in DORA

Igor Petreski
15 min read
#Upravljanje tveganj #Presoja #ISMS #Odziv na incidente #Upravljanje dobaviteljev #Beleženje in spremljanje
Delovni tok obveščevalnih podatkov o grožnjah po ISO 27001 za dokazila o skladnosti z NIS2 in DORA

Ob 07:42 v torek zjutraj vodja informacijske varnosti evropskega fintech podjetja še pred kavo prejme štiri sporočila.

Prvo je opozorilo nacionalnega CERT, da se ranljivost oddaljenega dostopa aktivno izkorišča. Drugo je varnostni bilten dobavitelja, ki potrjuje, da se prizadeta komponenta uporablja v upravljani storitvi prenosa datotek. Tretje je obvestilo upravljanega zaznavanja in odzivanja, ki označuje nenavaden odhodni promet iz neprodukcijskega podomrežja. Četrto je od finančnega direktorja: »Ali to vpliva na naš paket pripravljenosti na DORA in ali moramo kogarkoli obvestiti po NIS2?«

To je problem obveščevalnih podatkov o grožnjah v letu 2026. Ne gre za zbiranje dodatnih virov. Gre za dokazovanje, da so relevantni obveščevalni podatki o kibernetskih grožnjah prejeti, preverjeni, usmerjeni, obravnavani in pretvorjeni v dokazila o tveganjih, zaznavanju, ranljivostih, incidentih, dobaviteljih in nadzoru organa upravljanja.

Številne organizacije so že naročene na varnostna obvestila dobaviteljev, opozorila CISA, posodobitve ENISA, obvestila nacionalnih CERT, biltene ISAC, varnostna obvestila ponudnikov storitev v oblaku, vire CVE, poročila MDR, baze podatkov o izkoristljivosti in spremljanje temnega spleta. Kljub temu ekipe ob dejanskem varnostnem obvestilu še vedno delujejo v naglici. SOC napiše pravilo za zaznavanje. Infrastrukturna ekipa pregleduje evidence sredstev, ki morda niso ažurne. Funkcija skladnosti sprašuje, ali dogodek vpliva na NIS2 ali DORA. Vodstvo želi jasen odgovor, še preden organizacija sploh ve, ali je ranljiva komponenta v produkciji.

Težava ni pomanjkanje podatkov. Težava je pomanjkanje preverljivega operativnega modela.

Vir obveščevalnih podatkov o grožnjah, ki ga nihče ne uporablja, ni kontrola. Obvestilo o ranljivosti, ki ne spremeni prioritete popravka, ni dokazilo. Obvestilo dobavitelja, ki nikoli ne doseže registra tveganj, ni varnost dobavne verige. Opozorilo CSIRT, ki ne posodobi spremljanja, triaže incidentov ali poročanja vodstvu, je zgolj šum v nabiralniku.

Pristop Clarysec je preprost: obveščevalni podatki o grožnjah morajo postati operativni sistem za odločitve o tveganjih. Vgrajeni morajo biti v obseg ISMS, oceno tveganja, Izjavo o uporabnosti, priročnike za odzivanje na incidente, triažo ranljivosti, beleženje in spremljanje, upravljanje dobaviteljev, poročanje vodstvu in paket revizijskih dokazil.

Zakaj so obveščevalni podatki o grožnjah zdaj kontrola na ravni organa upravljanja

NIS2 je spremenil ton upravljanja kibernetske varnosti. V področje uporabe vključuje številne ponudnike SaaS, ponudnike storitev v oblaku, ponudnike upravljanih storitev, ponudnike upravljanih varnostnih storitev, organizacije digitalne infrastrukture in ponudnike digitalnih storitev kot bistvene ali pomembne subjekte, odvisno od sektorja, velikosti in določitve države članice.

NIS2 Article 21 zahteva ustrezne in sorazmerne tehnične, operativne in organizacijske ukrepe za upravljanje tveganj. Ti vključujejo analizo tveganja, obravnavanje incidentov, neprekinjeno poslovanje, varnost dobavne verige, varnost pri nabavi, razvoju in vzdrževanju, vključno z obravnavo in razkritjem ranljivosti, oceno učinkovitosti, osnovno kibernetsko higieno in usposabljanje, kriptografijo, varnost človeških virov, nadzor dostopa, upravljanje sredstev ter MFA ali neprekinjeno avtentikacijo, kjer je to ustrezno.

NIS2 Article 20 od organov upravljanja zahteva tudi odobritev ukrepov za upravljanje tveganj kibernetske varnosti, nadzor nad izvajanjem in usposabljanje. Za bistvene subjekte lahko najvišja upravna globa znaša najmanj 10 milijonov EUR ali 2 odstotka svetovnega letnega prometa, kar je višje. Za pomembne subjekte lahko znaša najmanj 7 milijonov EUR ali 1,4 odstotka.

Pri obveščevalnih podatkih o grožnjah vprašanje na ravni organa upravljanja postane: kako vemo, da nastajajoče grožnje spreminjajo naše kontrole, preden postanejo incidenti?

DORA za finančne subjekte in relevantne zunanje ponudnike IKT dodaja še eno plast. Uporablja se od 17. januarja 2025 in zahteva zanesljiv, celovit in dobro dokumentiran okvir za upravljanje tveganj IKT, integriran v celotni sistem upravljanja tveganj. Okvir DORA od organizacij pričakuje, da identificirajo in razvrstijo poslovne funkcije in sredstva, podprte z IKT, zagotavljajo zaščito in preprečevanje, zaznavajo anomalne dejavnosti, se odzivajo in obnavljajo delovanje, upravljajo varnostne kopije in obnovitev, se učijo iz incidentov IKT, komunicirajo v krizah in upravljajo tveganja IKT tretjih oseb.

DORA zahteva tudi upravljanje, razvrščanje in poročanje incidentov, povezanih z IKT. Articles 17, 18, and 19 obravnavajo procese upravljanja incidentov, razvrščanje incidentov, povezanih z IKT, in kibernetskih groženj ter poročanje o večjih incidentih, povezanih z IKT. Article 10 se osredotoča na zaznavanje anomalnih dejavnosti. Articles 6 to 11 opisujejo okvir za upravljanje tveganj IKT ter pričakovanja glede identifikacije, zaščite, preprečevanja, zaznavanja, odziva in obnovitve.

Preprosto povedano, DORA pričakuje odpornost, ki upošteva grožnje. Ne statične odpornosti. Ne odpornosti, ki temelji na letni politiki. Odpornost, ki upošteva grožnje.

ISO/IEC 27001:2022 zagotavlja mehanizem sistema upravljanja, ki povezuje ta pričakovanja. Klavzule 4.1 do 4.4 zahtevajo, da organizacija razume svoj notranji in zunanji kontekst, zainteresirane strani, pravne in regulativne obveznosti, obseg ISMS, odvisnosti in medsebojno povezane procese. Klavzule 6.1.1 do 6.1.3 zahtevajo ponovljiv proces ocene tveganja in obravnave tveganja, izbiro kontrol, primerjavo s Prilogo A, Izjavo o uporabnosti, načrtovanje obravnave tveganja in odobritev preostalega tveganja s strani lastnika tveganja.

Obveščevalni podatki o grožnjah sodijo tja — ne kot ločena nadzorna plošča, temveč kot vhodni podatek za kontekst, tveganja, izbiro kontrol, obravnavo tveganja, spremljanje, pregled vodstva in nenehno izboljševanje.

Past skladnosti: viri obveščevalnih podatkov o grožnjah brez sledljivosti odločitev

Najpogostejši vzorec odpovedi je varljivo preprost: organizacija prejema obveščevalne podatke o grožnjah, vendar ne more dokazati, kako spreminjajo odločitve.

Šibka dokazna veriga običajno izgleda tako:

Prejeti signalŠibek odzivPomislek presojevalca
Opozorilo CERT o aktivnem izkoriščanjuPosredovano v IT nabiralnikNi dokazil o oceni tveganja, lastništvu ali ukrepanju
Bilten dobavitelja o kritičnem popravkuDodano na seznam nerešenih zahtevkovNi prednostnega razvrščanja na podlagi kritičnosti sredstva ali dejavnosti izkoriščanja
MDR zazna sumljive ukazne vrsticeZaprto kot lažno pozitivnoNi dokumentiranih meril triaže ali učne zanke
Obvestilo dobavitelja o kompromitirani odvisnostiArhivirano v mapi nabaveNi posodobitve tveganja dobavitelja ali pregleda kompenzacijskih kontrol
Opozorilo ISAC o sektorski kampanjiOmenjeno na sestanku SOCNi posodobitve spremljanja, ozaveščanja ali priročnika za odzivanje na incidente

Tu Clarysecova metoda implementacije organizacijam pomaga preiti od »prejemamo obveščevalne podatke« k »obveščevalne podatke operativno uporabljamo«.

V Zenith Blueprint: 30-stopenjski načrt presojevalca Zenith Blueprint faza Kontrole v praksi izrecno pretvori obveščevalne podatke o grožnjah v preverljivo prakso. Korak 22, Organizacijski ukrepi, določa:

Vzpostavite dokumentiran seznam virov obveščevalnih podatkov o grožnjah (5.7), od dobaviteljev, ISAC ali odprtih virov, ter določite, kako se obveščevalni podatki preverjajo in integrirajo v odločanje. Opredelite, kdo prejema posodobitve o grožnjah in kako se uporabljajo (npr. določanje prioritet popravkov, usposabljanje za ozaveščanje). Pripravite kratko četrtletno poročilo o trendih groženj za ključne zainteresirane strani.

To navodilo je most med podatki o grožnjah in dokazili o skladnosti. Register obveščevalnih podatkov o grožnjah ni zgolj seznam virov. Dokazuje relevantnost, lastništvo, preverjanje, usmerjanje, integracijo in poslovno uporabo.

Kontrolna logika ISO 27001: veriga obveščevalnih podatkov o grožnjah

Kontrola 5.7 standarda ISO/IEC 27002:2022, obveščevalni podatki o grožnjah, zahteva, da organizacije zbirajo in analizirajo informacije, povezane z grožnjami informacijski varnosti, ter jih uporabljajo za pripravo obveščevalnih podatkov o grožnjah. V Zenith Controls: vodnik za medokvirno skladnost Zenith Controls je kontrola 5.7 razvrščena kot preventivna, odkrivalna in korektivna. Podpira zaupnost, celovitost in razpoložljivost, je usklajena s koncepti kibernetske varnosti Identify, Detect in Respond ter je umeščena v upravljanje groženj in ranljivosti kot operativna zmogljivost.

Ta razvrstitev je pomembna. Obveščevalni podatki o grožnjah preprečujejo tako, da usmerjajo utrjevanje, nameščanje popravkov, usposabljanje in kontrole dobaviteljev. Zaznavajo tako, da oblikujejo spremljanje, pravila SIEM in naloge lova na grožnje. Korektivno delujejo tako, da izboljšujejo odziv na incidente, pridobljene izkušnje in obravnavo tveganja.

Zenith Controls prav tako preslika kontrolo 5.7 ISO/IEC 27002:2022 na podporne kontrole:

Razmerje kontrol ISO/IEC 27002:2022Zakaj je to pomembno v praksi
5.6 Stik s posebnimi interesnimi skupinamiISAC, CERT, strokovni forumi in sektorske skupnosti so viri obveščevalnih podatkov, ne zgolj priložnosti za mreženje
8.7 Zaščita pred zlonamerno programsko opremoKazalniki kompromitacije, zlonamerni URL-ji, zgoščene vrednosti, infrastruktura za ukazovanje in nadzor ter vzorci napadov posodabljajo zaščito končnih točk in e-pošte
8.8 Upravljanje tehničnih ranljivostiObveščevalni podatki o izkoriščanju v realnem okolju spreminjajo prioriteto ranljivosti in nujnost popravkov
8.15 BeleženjeDnevniki zagotavljajo dejanski zapis, potreben za iskanje kazalnikov in rekonstrukcijo dejavnosti
8.16 Spremljanje dejavnostiObveščevalni podatki o grožnjah povedo SOC, kaj mora spremljati, spremljanje pa ustvarja notranje obveščevalne podatke
5.25 Ocena in odločitev o dogodkih informacijske varnostiTriaža, podprta z obveščevalnimi podatki, pomaga odločiti, ali je dogodek varnostni incident

Povezava z ranljivostmi je posebej pomembna. Zenith Controls kontrolo 8.8, Upravljanje tehničnih ranljivosti, obravnava kot preventivno in neposredno povezano s kontrolo 5.7, ker obveščevalni podatki o grožnjah iz realnega okolja pokažejo, katere ranljivosti se aktivno izkoriščajo. Kontrolo 8.8 povezuje tudi s kontrolo 8.16, Spremljanje dejavnosti, ker morajo opaženi poskusi izkoriščanja povečati nujnost nameščanja popravkov.

To ustvari praktično verigo obveščevalnih podatkov o grožnjah:

  1. Prispejo zunanji ali notranji obveščevalni podatki.
  2. Relevantnost se preveri glede na sredstva, dobavitelje, geografijo, sektor, poslovne storitve in podatke.
  3. Tveganje se posodobi.
  4. Prioritete popravkov in konfiguracije se spremenijo.
  5. Logika zaznavanja se prilagodi.
  6. Pregledajo se priročniki za odzivanje na incidente in pragovi razvrščanja.
  7. Preverijo se odvisnosti od dobaviteljev in storitev v oblaku.
  8. Vodstvo prejme poročanje o trendih.
  9. Dokazila se ohranijo za presojevalce, regulatorje in stranke.

Politike, ki obveščevalne podatke pretvorijo v odgovorno ravnanje

Politike so mesto, kjer kontrolna logika postane odgovornost na podlagi vlog. Clarysecovi nabori politik za MSP in podjetja vključujejo povezave z obveščevalnimi podatki o grožnjah v upravljanju tveganj, zaščiti končnih točk, upravljanju ranljivosti, beleženju, spremljanju in revizijskih dokazilih.

Za MSP Politika zaščite končnih točk pred zlonamerno programsko opremo Politika zaščite končnih točk pred zlonamerno programsko opremo - MSP v klavzuli 5.4.1 Zahteve upravljanja določa neposredno pričakovanje:

Ponudnik IT-podpore mora spremljati verodostojne vire obveščevalnih podatkov o grožnjah (npr. CISA, ENISA, večji ponudniki antivirusne programske opreme) in zagotoviti, da zaznavni podpisi ostanejo ažurni

Vrednost te klavzule je dodelitev odgovornosti. Obveščevalni podatki o grožnjah niso »nekdo v IT naj preverja opozorila«. Gre za izrecno obveznost ponudnika.

Politika upravljanja ranljivosti in popravkov Politika upravljanja ranljivosti in popravkov - MSP isti model utrjuje v klavzuli 4.2.1 Vloge in odgovornosti:

Spremlja sisteme glede ranljivosti in razpoložljivih popravkov z uporabo opozoril dobaviteljev, obvestil obveščevalnih podatkov o grožnjah in obvestil operacijskega sistema

V klavzuli 6.2.1.3 Zahteve za izvajanje politike opredeljuje tudi vrsto vira, ki mora sprožiti ukrepanje:

Zaupanja vredna obvestila o grožnjah (npr. CISA, ENISA, opozorila nacionalnega CERT)

Za podjetja Politika upravljanja ranljivosti in popravkov Politika upravljanja ranljivosti in popravkov v klavzuli 4.5.1 Vloge in odgovornosti določa:

Spremljajte obvestila o grožnjah (npr. CVE, CISA KEV, bilteni dobaviteljev) in eskalirajte kritične ranljivosti.

Zahteva po eskalaciji je ključna. Ranljivost postane nujna, ko se združijo izkoristljivost, izpostavljenost, poslovna kritičnost, občutljivost podatkov in aktivnost groženj.

Politika upravljanja tveganj Politika upravljanja tveganj vgrajuje obveščevalne podatke o grožnjah v analizo. Klavzula 6.2.2 Zahteve za izvajanje politike določa:

Analiza mora upoštevati učinkovitost obstoječih kontrol, relevantne obveščevalne podatke o grožnjah, kritičnost sredstev in resnost ranljivosti.

Ta klavzula je jedro obveščevalnih podatkov o grožnjah, pripravljenih za presojo. Dokazuje, da analiza tveganj ni teoretična.

Politika beleženja in spremljanja Politika beleženja in spremljanja obveščevalne podatke pretvori v zaznavanje. Njena klavzula 1.2 Namen določa:

Revizijsko beleženje, spremljanje in zaznavanje groženj so ključni za zaznavanje anomalij, odziv na grožnje, forenzični pregled, pripravljenost na revizijo in pravno skladnost. Ta politika zagotavlja, da so vsi sistemsko ustvarjeni dogodki ustrezno zabeleženi, hranjeni in korelirani s časovno usklajeno točnostjo.

Nazadnje Politika spremljanja presoje in skladnosti Politika spremljanja presoje in skladnosti pojasnjuje, zakaj je disciplina dokazil pomembna. Klavzula 3.4 Cilji zahteva, da organizacija ustvarja dokazila:

Ustvariti zagovorljiva dokazila in revizijsko sled za podporo regulatornim poizvedbam, pravnim postopkom ali zahtevam naročnikov za zagotavljanje zaupanja.

Ko NIS2, DORA, stranka ali presojevalec ISO vpraša, kaj ste vedeli, kdaj ste to vedeli, kdo je odločil in kaj se je spremenilo, je ta dokazna sled razlika med zrelim zagotavljanjem zaupanja in obrambnim odzivanjem v naglici.

Vzpostavite register obveščevalnih podatkov o grožnjah

Zrel register ima dve plasti: upravljanje virov in sledenje dogodkom. Upravljanje virov določa, čemu organizacija zaupa, kdo je lastnik, kako se vir preverja in kateri ukrep lahko sproži.

Ime viraVrstaPostopek preverjanjaIntegracijska točkaLastnik
CISA KEV CatalogOperativniNavzkrižno preverjanje z evidenco sredstev in izpostavljenostjoSproži prednostno obravnavo nujnega popravkaupravljanje ranljivosti
Obvestila ENISAStrateškiPregled lastnika tveganja ali odbora za tveganjaPosodobitev scenarijev tveganj in seznanitve vodstvavodja informacijske varnosti
Sektorski ISACTaktičniAnaliza IOC glede relevantnosti za tehnološki skladPosodobitev SIEM, EDR in nalog lova na grožnjevodja SOC
Bilteni ponudnika storitev v oblakuOperativniPreverjanje prizadetih storitev in regijEskalacija k ekipi za oblačni inženiringvodja DevOps
Obvestila dobaviteljev o popravkihOperativniPotrditev produkta, različice in obsega uvedbeDodajanje v cikel popravkov ali nujno sprememboIT operacije
Obvestila MDRTaktični in operativniTriaža glede na dnevnike, sredstva in znana izhodiščaOdprtje primera zaznavanja, preiskave ali incidentavarnostne operacije
Varnostna obvestila dobaviteljevOperativniPreslikava na pogodbene storitve in tokove podatkovPosodobitev tveganja dobavitelja in kompenzacijskih kontrollastnik dobavitelja

Sledenje dogodkom zajame, kako je konkretno obvestilo postalo dokazilo. Če se vrnemo k torkovemu jutranjemu scenariju prenosa datotek, mora vnos v register zajeti dovolj informacij za podporo odločitvam o tveganju, odzivu in skladnosti.

PoljePrimer vnosa
Datum in čas prejema2026-05-26 07:42 UTC
VirOpozorilo nacionalnega CERT, bilten dobavitelja, obvestilo MDR
Vrsta viraVladno obvestilo, obvestilo dobavitelja, notranje zaznavanje
Prizadeta tehnologijaUpravljana storitev prenosa datotek, razpon različic, odvisne knjižnice
Lastnik poslovnega procesaVodja operacij platforme
Lastnik tveganjavodja informacijske varnosti
Povezava s sredstviZunanji prehod za prenos datotek, delovni tok poročanja strankam
Začetna resnostVisoka, do potrditve izpostavljenosti
Zahtevani ukrepiPreverjanje izpostavljenosti, stanje popravkov, pregled zaznavanja, potrditev dobavitelja
Relevantnost skladnostiNIS2 Article 21, NIS2 Article 23, če so izpolnjena merila za pomemben incident, življenjski cikel tveganj IKT in incidentov po DORA, če je relevantno
Lokacija dokazilZahtevek, posodobitev registra tveganj, sprememba SIEM, opomba za vodstvo

To ni birokracija. To je dejanski zapis, ki dokazuje, da ima organizacija opredeljen proces sprejema, preverjanja, triaže, eskalacije in dokazovanja.

Od varnostnega obvestila do revizijskih dokazil: praktični delovni tok

Delovni tok obveščevalnih podatkov o grožnjah mora hitro odgovoriti na šest vprašanj: ali smo izpostavljeni, kako resno je, kaj se mora spremeniti, kdo je lastnik, ali moramo poročati in katera dokazila moramo ohraniti?

1. Preverite izpostavljenost in poslovni vpliv

Klavzule 4.1 do 4.4 standarda ISO/IEC 27001:2022 zahtevajo, da ISMS odraža dejanski kontekst, obveznosti in odvisnosti organizacije. Prva naloga ni slepo nameščanje popravkov. Prva naloga je preverjanje izpostavljenosti.

Vprašajte:

  • Ali uporabljamo prizadeto tehnologijo?
  • Ali je dostopna iz interneta?
  • Ali jo uporablja kritična poslovna storitev?
  • Ali obdeluje osebne podatke?
  • Ali jo upravlja dobavitelj ali ponudnik upravljanih storitev?
  • Ali je relevantna za kritično ali pomembno funkcijo po DORA?
  • Ali je relevantna za storitve v obsegu NIS2?
  • Ali obstajajo pogodbene obveznosti obveščanja strank?
  • Ali so dnevniki na voljo, popolni in časovno usklajeni?

Če so lahko prizadeti osebni podatki, v analizo vstopi tudi odgovornost po GDPR. GDPR zahteva ustrezno varnost obdelave in dokazljivo odgovornost, vključno z zmožnostjo oceniti, ali je prišlo do kršitve varnosti osebnih podatkov in ali je potrebno obvestilo.

2. Posodobite register tveganj

Politika upravljanja tveganj Politika upravljanja tveganj - MSP v klavzuli 5.1.3 Zahteve upravljanja določa preprosto časovno pravilo:

Tveganja je treba pregledati četrtletno in posodobiti ob pomembnih dogodkih.

Verodostojno obvestilo o aktivnem izkoriščanju je pomemben dogodek. Posodobitev ne sme čakati na naslednji četrtletni pregled.

Element tveganjaPosodobljena ocena
GrožnjaAktivno izkoriščanje ranljivosti upravljane storitve prenosa datotek
RanljivostPrizadeta različica, izpostavljen vmesnik, šibka konfiguracija, manjkajoči popravek
SredstvoPlatforma za izmenjavo podatkov s strankami
PosledicaPrekinitev storitve, nepooblaščen dostop do podatkov, regulatorno poročanje, vpliv na zaupanje strank
VerjetnostPovečana zaradi aktivnega izkoriščanja v realnem okolju
Obstoječe kontroleMFA, WAF, zaščita končnih točk, spremljanje SIEM, varnostno kopiranje, SLA dobavitelja
Vrzeli v kontrolahPopravek ni potrjen, zaznavanje ni prilagojeno, dokazila dobavitelja še niso prejeta
ObravnavaNujni popravek, začasna omrežna omejitev, lov na IOC, potrdilo dobavitelja, ocena vpliva na stranke
Lastnik preostalega tveganjavodja informacijske varnosti in lastnik operacij platforme

To se neposredno povezuje s klavzulami 6.1.1–6.1.3 standarda ISO/IEC 27001:2022. Organizacija identificira tveganje, analizira verjetnost in posledice, določi prioritete obravnave, izbere kontrole, vzdržuje Izjavo o uporabnosti, pripravi načrt obravnave tveganja in pridobi odobritev preostalega tveganja.

3. Prednostno obravnavajte ranljivosti z uporabo obveščevalnih podatkov o izkoriščanju

Zenith Blueprint, faza Kontrole v praksi, Korak 19, Tehnološki nadzorni ukrepi I, pojasnjuje, zakaj je upravljanje ranljivosti osrednji del kibernetske higiene:

Upravljanje ranljivosti je eno najkritičnejših področij sodobne kibernetske higiene. Čeprav požarni zidovi in antivirusna programska oprema zagotavljajo zaščito, jih lahko izničijo neposodobljeni sistemi ali napačno konfigurirane storitve, ki ostanejo izpostavljene. Za izpolnitev te kontrole morajo organizacije uvesti strukturiran in ponovljiv proces za prepoznavanje, ocenjevanje in odpravljanje ranljivosti.

CVSS sam po sebi ne zadostuje. Ranljivost s srednjo oceno, ki se aktivno izkorišča na sistemu, dostopnem iz interneta, je lahko nujnejša od ranljivosti z visoko oceno, skrite v segmentiranem laboratoriju.

DejavnikVprašanjeDokazila
Aktivnost izkoriščanjaAli zaupanja vredni viri opažajo ali poročajo o izkoriščanju?Opozorilo CERT, sklic CISA KEV, bilten dobavitelja, poročilo MDR
IzpostavljenostAli je sredstvo dostopno iz interneta ali dosegljivo dobaviteljem?Evidenca sredstev, profil tveganja na področju varnosti v oblaku, omrežno skeniranje
Poslovna kritičnostAli podpira bistvene storitve ali kritične funkcije?Analiza vpliva na poslovanje, preslikava funkcij DORA
Občutljivost podatkovAli obdeluje osebne podatke, regulirane finančne podatke ali zaupne podatke strank?Evidenca popisa podatkov, DPIA, evidence dejavnosti obdelave
Kompenzacijske kontroleAli lahko WAF, pravila požarnega zidu, segmentacija, EDR ali onemogočenje funkcije zmanjšajo tveganje?Zahtevek za spremembo, pravilo požarnega zidu, politika EDR
Operativno tveganjeAli bi nujno nameščanje popravkov lahko motilo izvajanje kritične storitve?Ocena spremembe, načrt povrnitve, načrt neprekinjenega poslovanja

To ustvari zagovorljivo odločitev. Podpira tudi NIS2 Article 21(2)(e) za obravnavo ranljivosti, NIS2 Article 21(2)(g) za kibernetsko higieno in pričakovanja DORA glede upravljanja tveganj IKT.

4. Pretvorite obveščevalne podatke v spremljanje in zaznavanje

Obveščevalni podatki o grožnjah morajo doseči beleženje in spremljanje. Politika beleženja in spremljanja Politika beleženja in spremljanja - MSP v klavzuli 6.2.1 Zahteve za izvajanje politike določa:

Varnostna orodja (npr. antivirusna programska oprema, požarni zidovi, VPN) morajo biti konfigurirana za ustvarjanje opozoril za opredeljene scenarije groženj, vključno z:

Izsek jasno določa namen kontrole: opredeljeni scenariji groženj morajo voditi opozarjanje.

Zenith Blueprint, faza Kontrole v praksi, Korak 19, opisuje spremljanje dejavnosti tako:

Če je beleženje dejanje zapisovanja, kaj se dogaja v vašem okolju, je spremljanje dejanje opazovanja, razumevanja in odzivanja na te dogodke. Ta kontrola pomeni aktivno opazovanje omrežij, sistemov in aplikacij za zaznavanje nenavadne dejavnosti, ne samo naknadno, temveč v realnem času ali čim bližje realnemu času, kjer je to mogoče.

Za scenarij prenosa datotek mora SOC ali ponudnik IT:

  • Dodati ali preveriti IOC iz obvestila CERT in varnostnega obvestila dobavitelja.
  • Preiskati dnevnike za znane poti izkoriščanja, sumljiva nalaganja, kazalnike spletnih lupin, nenavadno izvajanje procesov in nepričakovane odhodne povezave.
  • Potrditi, da se dnevniki avtentikacije, administratorske dejavnosti, dostopa do datotek, API in omrežja hranijo.
  • Prilagoditi opozorila SIEM za vzorec izkoriščanja.
  • Ustvariti opombo primera, ki pojasni, kaj je bilo preiskano, kaj je bilo ugotovljeno in kdo je pregledal rezultate.
  • Eskalirati v razvrščanje incidenta, če kazalniki pokažejo kompromitacijo, izpostavljenost podatkov ali vpliv na storitev.

Tu poročanje o incidentih postane praktično. NIS2 Article 23 zahteva postopno poročanje o pomembnih incidentih, vključno z zgodnjim opozorilom v 24 urah, obvestilom v 72 urah, vmesnimi posodobitvami na zahtevo in končnim poročilom najpozneje en mesec po obvestilu. DORA od finančnih subjektov zahteva, da zaznavajo, upravljajo, razvrščajo in poročajo o večjih incidentih, povezanih z IKT, po postopnem procesu, določenem v uredbi in povezanih tehničnih standardih.

Obveščevalni podatki o grožnjah pomagajo določiti, ali je organizacija še v odzivu na ranljivost, oceni varnostnega dogodka ali reguliranem poročanju o incidentu.

En delovni tok, več obveznosti skladnosti

Obveščevalni podatki o grožnjah so idealen integriran delovni tok skladnosti, ker ista dokazila podpirajo več ureditev.

Okvir ali predpisKaj pričakujeDokazila obveščevalnih podatkov o grožnjah
ISO/IEC 27001:2022ISMS, ki upošteva kontekst, ocena tveganja, izbira kontrol, načrtovanje obravnave, nenehno izboljševanjeObseg ISMS, register tveganj, Izjava o uporabnosti, načrt obravnave tveganja, vhodi za pregled vodstva
ISO/IEC 27002:2022Obveščevalni podatki o grožnjah, upravljanje ranljivosti, beleženje, spremljanje, ocena incidentov, zaščita pred zlonamerno programsko opremoRegister obveščevalnih podatkov o grožnjah, posodobitve IOC, pravila SIEM, zahtevki za popravke, zapiski triaže incidentov
NIS2Upravljanje tveganj, obravnavanje incidentov, kibernetska higiena, obravnava ranljivosti, varnost dobavne verige, nadzor upravljanjaDokazila za Article 20 in 21, seznanitve vodstva, delovni tok CSIRT, nadaljnje ukrepanje po obvestilih dobaviteljev
DORAOkvir tveganj IKT, zaznavanje, neprekinjenost, življenjski cikel incidentov, testiranje odpornosti, tveganje IKT tretjih osebRazvrščanje sredstev IKT, primeri zaznavanja, zapisi razvrščanja incidentov, vhodi za testiranje odpornosti, evidence dobaviteljev IKT
GDPRVarnost obdelave, odgovornost, podpora zaznavanju in obveščanju o kršitvahOcena vpliva na podatke, dnevniki dostopa, dokazila spremljanja, zapis ocene kršitve
NIST CSF 2.0Rezultati Govern, Identify, Protect, Detect, Respond, RecoverTrenutni profil, ciljni profil, prednostni akcijski načrt, komunikacija o tveganjih
COBIT 2019 revizijski pogledUpravljanje tveganj, kontrol, uspešnosti, zagotavljanja zaupanja in odgovornostiLastništvo kontrol, kazalniki vodstva, dokazila zagotavljanja zaupanja, sledenje odpravi ugotovitev

NIST CSF 2.0 je posebej uporaben za komunikacijo z izvršnim vodstvom. Njegove ključne funkcije Govern, Identify, Protect, Detect, Respond in Recover tehnične obveščevalne podatke pretvorijo v zgodbo, razumljivo organu upravljanja:

  • Govern: viri obveščevalnih podatkov o grožnjah, lastniki in linije poročanja so opredeljeni.
  • Identify: prizadeta sredstva, dobavitelji, poslovne storitve in podatki so preslikani.
  • Protect: popravki, utrjevanje, segmentacija in podpisi končnih točk so posodobljeni.
  • Detect: pravila spremljanja, IOC in naloge lova na grožnje so uvedeni.
  • Respond: priročniki za odzivanje na incidente, pravila triaže in pragovi obveščanja so pregledani.
  • Recover: varnostne kopije, prioritete obnovitve in pridobljene izkušnje so preverjene.

To surove obveščevalne podatke o kibernetskih grožnjah pretvori v upravljanje tveganj.

Pogled presojevalca: kaj bo zahteval

Močan proces obveščevalnih podatkov o grožnjah mora prestati različne sloge presoje. Presojevalec ISO, pregledovalec NIS2, nadzorni organ DORA, ocenjevalec NIST CSF, presojevalec, usmerjen v COBIT 2019, strokovnjak ISACA ali pregledovalec zasebnosti lahko uporabljajo različen jezik, vendar se vsi osredotočijo na dokazila.

Pogled presojevalcaVerjetno revizijsko vprašanjeDokazila, ki odgovorijo nanj
Presojevalec ISO/IEC 27001:2022Kako zunanji in notranji kontekst vplivata na tveganja in kontrole ISMS?Register obveščevalnih podatkov o grožnjah, metodologija tveganj, posodobljen register tveganj, utemeljitev Izjave o uporabnosti
Pregledovalec kontrol ISO/IEC 27002:2022Kako so povezane kontrole 5.7, 8.8, 8.16, 8.15, 8.7 in 5.25?Seznam virov, triaža ranljivosti, prilagoditve SIEM, posodobitve podpisov zlonamerne programske opreme, zapisi ocene dogodkov
Pregledovalec NIS2Kako izpolnjujete nadzor vodstva, kibernetsko higieno, obravnavo ranljivosti, obravnavanje incidentov in varnost dobavne verige?Preslikava Article 20 in 21, seznanitve vodstva, postopek poročanja CSIRT, delovni tok obvestil dobaviteljev
Nadzorni organ DORAKako obveščevalni podatki o grožnjah posodabljajo tveganje IKT, zaznavanje, testiranje odpornosti in razvrščanje incidentov?Okvir tveganj IKT, preslikava kritičnih funkcij, primeri zaznavanja, zapisi razvrščanja incidentov, obseg testiranja odpornosti
Ocenjevalec NIST CSFKakšni so vaš trenutni profil, ciljni profil in prednostni akcijski načrt?Profil CSF, ocena vrzeli, akcijski načrt, dnevnik stalnih posodobitev
Presojevalec COBIT 2019 ali ISACAKdo je lastnik kontrole, kako se meri uspešnost in kako se odpravljajo izjeme?RACI, KPI, KRI, register izjem, zahtevki za odpravo pomanjkljivosti, odobritev vodstva
Presojevalec GDPR ali pregledovalec zasebnostiKako sta spremljanje in upravljanje ranljivosti zaščitila osebne podatke in podprla oceno kršitve?Zemljevid dejavnosti obdelave podatkov, dnevniki, ocena kršitve, dokazila o tehničnih in organizacijskih ukrepih

Zenith Controls zagotavlja medokvirno razlago skladnosti za te razprave. Pri kontroli 8.16, Spremljanje dejavnosti, vodnik povezuje spremljanje z varnostjo in odgovornostjo za kršitve po GDPR, obravnavanjem in poročanjem incidentov po NIS2 ter pričakovanji DORA glede zaznavanja in odziva. Pri kontroli 8.8, Upravljanje tehničnih ranljivosti, povezuje obravnavo ranljivosti z varnostjo obdelave po GDPR, NIS2 Article 21(2)(e) in proaktivnim upravljanjem tveganj IKT po DORA.

To je konvergenca dokazil, ki jo presojevalci želijo videti.

Poročanje vodstvu: četrtletna seznanitev o trendih groženj

Register obveščevalnih podatkov o grožnjah ne sme obstati v SOC. Zenith Blueprint priporoča kratko četrtletno seznanitev o trendih groženj za ključne zainteresirane strani. Clarysec priporoča enostransko poročilo vodstvu s petimi razdelki:

  1. Trije najpomembnejši relevantni trendi groženj glede na poslovni vpliv.
  2. Najbolj izpostavljene tehnologije ali dobavitelji.
  3. Kritične ranljivosti, ki so bile popravljene, ublažene ali sprejete.
  4. Izvedene izboljšave zaznavanja in odzivanja.
  5. Odločitve, ki jih mora sprejeti vodstvo.

Močna seznanitev vodstva ne našteva 400 CVE. Pojasni premik tveganja. Na primer:

  • Izsiljevalska programska oprema, usmerjena na ponudnike upravljanih storitev, je povečala prioriteto pregleda dobaviteljev.
  • Izkoriščanje platform za prenos datotek je sprožilo nujno nameščanje popravkov in kompenzacijsko pravilo požarnega zidu.
  • Napadi na identitete v oblaku so povzročili pregled izjem MFA in utrjevanje pogojnega dostopa.
  • Obveščevalni podatki sektorskega ISAC so vodili do novih simulacij spletnega ribarjenja za finančne in podporne ekipe.
  • Preslikava kritičnih funkcij DORA je razkrila eno vrzel v spremljanju delovnega toka tretje osebe.

Ta seznanitev podpira odgovornost vodstva po NIS2, upravljanje tveganj IKT po DORA, pregled vodstva po ISO/IEC 27001:2022 in zagotavljanje zaupanja naročnikov.

Pogosti vzorci odpovedi

Programi obveščevalnih podatkov o grožnjah so na predstavitvah pogosto videti zreli, pri presoji pa šibki. Najpogostejši vzorci odpovedi so:

  • Preveč virov in brez meril preverjanja.
  • Brez povezave med obveščevalnimi podatki in evidenco sredstev.
  • Brez dokumentirane posodobitve tveganj po pomembnih varnostnih obvestilih.
  • Prioriteta popravkov temelji samo na resnosti iz skenerja.
  • Obvestila dobaviteljev se obravnavajo zunaj ISMS.
  • Pravila SOC se posodabljajo brez zapisov o spremembah.
  • Pragovi za incidente niso usklajeni z delovnimi tokovi poročanja po NIS2 ali DORA.
  • Poročanje organu upravljanja se osredotoča na obseg opozoril namesto na poslovno tveganje.
  • Ni dokazil, da so pridobljene izkušnje spremenile kontrole.
  • Ni lastnika za vzdrževanje registra obveščevalnih podatkov o grožnjah.

Rešitev ni nakup dodatnega vira. Rešitev je integracija kontrol.

10-točkovni kontrolni seznam pripravljenosti za 2026

Ta kontrolni seznam uporabite kot praktični notranji pregled.

Vprašanje pripravljenostiDa ali ne
Ali vzdržujemo odobren register obveščevalnih podatkov o grožnjah z lastniki virov in pravili preverjanja?
Ali so obvestila CERT, CSIRT, ISAC, dobaviteljev, ponudnikov storitev v oblaku, MDR in dobaviteljev usmerjena k imenovanim vlogam?
Ali pomembna varnostna obvestila sprožijo pregled registra tveganj zunaj četrtletnega cikla?
Ali določanje prioritet ranljivosti vključuje dejavnost izkoriščanja, kritičnost sredstev, občutljivost podatkov in izpostavljenost?
Ali se IOC in scenariji groženj pretvorijo v pravila spremljanja ali naloge lova na grožnje?
Ali se preverja ažurnost podpisov končnih točk, zaznav v oblaku in dinamičnih virov obveščevalnih podatkov o grožnjah?
Ali se obvestila dobaviteljev ocenijo glede na tveganja dobavne verige in pogodbene obveznosti?
Ali so merila razvrščanja incidentov usklajena z delovnimi tokovi poročanja po NIS2 in DORA, kjer je to uporabno?
Ali vodstvo prejema četrtletno seznanitev o trendih groženj?
Ali lahko v enem delovnem dnevu pripravimo paket dokazil za presojevalca, regulatorja ali stranko?

Če je odgovor na katero koli vprašanje »ne«, organizacija nima zgolj težave z obveščevalnimi podatki o grožnjah. Ima težavo z integracijo ISMS.

Kako Clarysec pomaga obveščevalne podatke o grožnjah pretvoriti v dokazila

Clarysecova metoda je zasnovana za organizacije, ki hkrati potrebujejo praktično varnost in verodostojno skladnost.

Zenith Blueprint zagotavlja 30-stopenjsko pot implementacije, vključno s Korakom 22 za register obveščevalnih podatkov o grožnjah in Korakom 19 za upravljanje ranljivosti ter spremljanje dejavnosti. Clarysecove politike za podjetja in MSP ta pričakovanja pretvorijo v postopke na podlagi vlog za upravljanje tveganj, obravnavo ranljivosti, zaščito končnih točk, beleženje, spremljanje in revizijska dokazila. Zenith Controls nato zagotovi medokvirno razlago skladnosti in pokaže, kako se kontrole ISO/IEC 27002:2022 povezujejo z NIS2, DORA, GDPR, NIST CSF 2.0, COBIT 2019 in revizijskimi dokazili.

Za torkovega jutranjega vodjo informacijske varnosti je odgovor finančnemu direktorju jasen:

»Prejeli smo varnostno obvestilo, preverili izpostavljenost, posodobili register tveganj, prednostno obravnavali popravke na podlagi aktivnega izkoriščanja, prilagodili spremljanje, preverili odvisnost od dobavitelja, ocenili pragove poročanja o incidentih, seznanili vodstvo in ohranili dokazila. Ne ugibamo. Sledimo našemu ISMS.«

Tako morajo biti videti obveščevalni podatki o grožnjah po ISO 27001 za kibernetsko higieno NIS2 in dokazila o tveganjih IKT po DORA v letu 2026.

Naslednji koraki

Če vaša organizacija prejema obveščevalne podatke o grožnjah, vendar ne more dokazati, kako spreminjajo odločitve o tveganjih, kontrole, zaznavanje, odziv na incidente, upravljanje dobaviteljev in regulativna dokazila, ta teden začnite s tremi ukrepi:

  1. Vzpostavite ali osvežite svoj register obveščevalnih podatkov o grožnjah z uporabo Zenith Blueprint, faza Kontrole v praksi, Korak 22.
  2. Preslikajte svoj trenutni proces glede na kontrole ISO/IEC 27002:2022 5.7, 8.8, 8.15, 8.16, 8.7 in 5.25 z uporabo Zenith Controls.
  3. Uskladite svoje politike, zlasti Politiko upravljanja tveganj, Politiko upravljanja ranljivosti in popravkov, Politiko beleženja in spremljanja ter Politiko spremljanja presoje in skladnosti, da lahko vsako varnostno obvestilo postane zagovorljivo dokazilo.

Clarysec vam lahko pomaga pretvoriti vire obveščevalnih podatkov o grožnjah, varnostna obvestila, obvestila dobaviteljev, obveščevalne podatke o ranljivostih in signale zaznavanja v operativni model, usklajen z ISO/IEC 27001:2022, pripravljen na NIS2 in prilagojen DORA.

Prenesite orodja Clarysec, zahtevajte predstavitev postopka ali rezervirajte oceno pripravljenosti, da preverite, kako bi vaš trenutni proces obveščevalnih podatkov o grožnjah prestal presojo ISO, pregled NIS2, nadzorni organ DORA ali zahtevo stranke za zagotavljanje zaupanja.

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles

ENISA EUVD 2026: ISO 27001 za NIS2 in CRA

ENISA EUVD 2026: ISO 27001 za NIS2 in CRA

ENISA EUVD bo spremenila način, kako organizacije v EU uporabljajo obveščevalne podatke o ranljivostih, upravljajo CVD, usklajujejo dobavitelje ter dokazujejo odločitve o poročanju po NIS2, DORA, GDPR in CRA. Ta vodnik prikazuje, kako ISO/IEC 27001:2022, politike Clarysec, Zenith Blueprint in Zenith Controls pretvorijo opozorila o ranljivostih v preverljiv operativni model.

SBOM-i kot podlaga za zagotovila pri ISO 27001, NIS2 in DORA

SBOM-i kot podlaga za zagotovila pri ISO 27001, NIS2 in DORA

SBOM-i so danes ključna dokazila za zagotavljanje zaupanja v dobavno verigo programske opreme. Ta vodnik prikazuje, kako SBOM-e operativno vključiti v politike ISO 27001:2022, NIS2, DORA, GDPR, NIST CSF 2.0, COBIT 2019 in Clarysec.