CRA 2026: досие за продуктова сигурност с ISO 27001
Производител на свързани устройства свиква своя директор по информационна сигурност (CISO), Мария, на среща в петък следобед. Търговският екип току-що е осигурил споразумение за дистрибуция в Европа. Правният отдел пита дали компанията може да поддържа съответствие с Акта за киберустойчивост. Инженерният екип твърди, че сигурната разработка е „до голяма степен покрита“, защото има преглед на изходния код, SAST и прилагане на корекции. Отделът по снабдяване казва, че доставчиците са „обхванати от NDA“. Продуктовите екипи поддържат зависимости на фърмуера в един инструмент, инвентари на облачни приложно-програмни интерфейси (API) в друг и тикети за уязвимости в Jira. Функцията по съответствие разполага с доказателства за сертификация по ISO/IEC 27001:2022, но те са организирани около корпоративната СУИС, а не около всеки продукт, пуснат на пазара на ЕС.
След това идва неудобният въпрос: „Ако орган на ЕС, клиент, нотифициран орган или голям дистрибутор поиска досието за продуктова сигурност през 2026 г., можем ли да го предоставим в рамките на една седмица?“
За много доставчици на софтуер, производители на интелигентни устройства и доставчици на свързани услуги честният отговор е „не“. Не защото им липсват контроли за сигурност, а защото доказателствата за продуктовата сигурност са разпръснати. Записите за сигурна разработка са при инженерните екипи. SBOM се генерират за всяка компилация, но не се управляват. Координираното оповестяване на уязвимости съществува като уеб страница, но невинаги е свързано с триаж, корекции, съобщения за сигурност и мониторинг след пускане на пазара. Сигурността на доставчиците е скрита в договорите за снабдяване. Докладването на инциденти е в обхвата на операциите по сигурността, докато документацията за съответствие е в обхвата на продуктовото съответствие.
Актът на ЕС за киберустойчивост променя оперативния модел. Продуктовата киберсигурност вече не е само добра практика или договорно обещание. Тя се превръща в задължение за доказване през целия жизнен цикъл. Организациите трябва да могат да покажат как изискванията за киберсигурност са вградени в дизайна, разработката, пускането, обработването на уязвимости, актуализациите и мониторинга след пускане на продукта на пазара.
Тук ISO/IEC 27001:2022 се превръща в мощен инструмент, ако се използва правилно. Сам по себе си стандартът не е схема за продуктова сертификация, но неговите контроли за СУИС, риск, активи, доставчици, сигурна разработка, уязвимости и инциденти могат да предоставят основата на досие за продуктова сигурност по CRA. Целта не е да се създаде още един силоз за съответствие. Целта е съществуващата СУИС да се превърне в система за доказателства на продуктово ниво.
Както Clarysec формулира това в Zenith Blueprint: 30-стъпкова пътна карта за одитори, фаза 2, стъпка 8, архитектура на доказателствата:
„Доказателствата не трябва да се събират в края на одитния цикъл. Те трябва да бъдат проектирани в самия контрол, да имат определен собственик, да се маркират с времеви маркер от процеса и да могат да се използват повторно за всяко задължение, което задава същия въпрос на различен език.“
Това изречение обобщава същността на готовността по CRA. Въпросът не е само „Имаме ли сигурна разработка?“. Въпросът е „Можем ли да докажем сигурна разработка, познаване на компонентите, обработване на уязвимости и мониторинг след пускане на пазара за този продукт, тази версия, това издание и този пазар?“
Досието за продуктова сигурност по CRA е жива система от доказателства
Досието за продуктова сигурност по CRA не трябва да се разглежда като статичен PDF, създаден веднъж преди пускане и след това забравен. То трябва да бъде структурирано досие, което разказва историята на сигурността на продукта от концепцията до края на поддръжката.
Полезното досие обяснява:
- Какво представлява продуктът и за каква употреба е предназначен.
- Какъв софтуер, фърмуер, облачни услуги и зависимости от трети страни включва.
- Кои рискове за киберсигурността са оценени.
- Кои изисквания за сигурност са приложени.
- Как е извършена сигурната разработка.
- Как се приемат, триажират, отстраняват и оповестяват уязвимостите.
- Как се доставят сигурните актуализации.
- Как се контролират доставчиците и open-source компонентите.
- Как се ескалират инциденти и активно експлоатирани уязвимости.
- Как се наблюдава продуктът след пускането му на пазара.
За CISO това е предизвикателство, свързано с доказателства в СУИС. За мениджъра по продуктово съответствие това е техническа документация. За инженерните екипи това е DevSecOps и управление на изданията. За висшето ръководство това е достъп до пазара и контрол върху отговорността.
Грешката е тези дейности да се третират като отделни работни потоци. По-добрият модел е да се изгради досие с доказателства на продуктово ниво, което се съпоставя с контролите по ISO/IEC 27001:2022 и ISO/IEC 27002:2022, а след това същите доказателства се съпоставят кръстосано с NIS2, DORA, GDPR, NIST и COBIT 2019, когато е приложимо.
Clarysec описва това в Zenith Controls: ръководство за кръстосано съответствие като верига „контрол – доказателство – одитор“:
„Досието с доказателства за кръстосано съответствие трябва да съпоставя всяко задължение с действащия контрол, повтаряемия обект на доказателство, отговорния собственик и одитната перспектива, чрез която то ще бъде оспорено.“
Точно тази дисциплина е необходима за подготовката по CRA. Досието за продуктова сигурност не е просто папка. То е преводният слой между продуктовото инженерство, управлението на сигурността, оценяването на съответствието и увереността за клиентите.
Първо изградете гръбнака на продуктовите доказателства
Досието се нуждае от последователна структура, преди екипите да започнат да качват записи. Без ясна основа доказателствата се превръщат в купчина екранни снимки, експорти и PDF файлове с политики, които никой одитор не може да проследи.
За работни срещи за готовност по CRA Clarysec обикновено препоръчва следната структура на досие за продуктова сигурност за организации, които вече поддържат СУИС по ISO/IEC 27001:2022.
| Раздел на досието за продуктова сигурност | Основни доказателства | Теми на контролите по ISO/IEC 27001:2022 и ISO/IEC 27002:2022 | Типичен собственик |
|---|---|---|---|
| Дефиниция на продукта и предназначение | Описание на продукта, архитектура, поток на данните, модел на разгръщане | A.5.9 Инвентар на информацията и другите свързани активи, A.5.8 Информационна сигурност в управлението на проекти, оценка на риска | Собственик на продукта |
| Инвентар на компонентите и зависимостите | SBOM, спецификация на материалите за фърмуера, карта на облачните зависимости | A.5.9 Инвентар, A.8.9 Управление на конфигурацията, A.8.8 Управление на техническите уязвимости | Ръководител на инженерния екип |
| Доказателства за сигурна разработка | Моделиране на заплахите, прегледи на сигурния дизайн, записи от преглед на изходния код, резултати от тестове за сигурност | A.8.25 Жизнен цикъл на сигурна разработка, A.8.27 Сигурна системна архитектура и инженерни принципи, A.8.28 Сигурно програмиране, A.8.29 Тестване на сигурността при разработка и приемане | Инженерен екип и AppSec |
| Обработване на уязвимости и CVD | Политика за оповестяване, записи за приемане, журнали за триаж, SLA за корекции, шаблони за съобщения | A.8.8 Управление на техническите уязвимости, A.5.24 Планиране и подготовка за управление на инциденти по информационна сигурност, A.5.26 Реагиране при инциденти по информационна сигурност | Операции по сигурността |
| Доказателства за доставчици и open-source компоненти | Оценки на доставчици, договорни клаузи, преглед на OSS, произход на компонентите | A.5.19 Информационна сигурност във взаимоотношенията с доставчици, A.5.20 Адресиране на информационната сигурност в споразуменията с доставчици, A.5.21 Управление на информационната сигурност във веригата за доставки на ИКТ | Снабдяване и правен отдел |
| Доказателства за сигурни актуализации и издания | Одобрения за издания, записи за подписване, планове за връщане към предишно състояние, бележки за корекции | A.8.32 Управление на промените, A.8.24 Използване на криптография, A.8.9 Управление на конфигурацията | Мениджър на изданията |
| Мониторинг след пускане на пазара | Потоци с данни за уязвимости, телеметрия, клиентски доклади, прегледи на инциденти, периодичен преглед на риска | A.8.15 Регистриране, A.8.16 Дейности по мониторинг, A.5.25 Оценка и решение за събития по информационна сигурност, непрекъснато подобрение | CISO и екип по продуктова сигурност |
| Пакет за съответствие и одит | Съпоставяне на контролите, одобрение от ръководството, индекс на съхраняваните доказателства | Управление на СУИС, A.5.28 Събиране на доказателства, вътрешен одит, преглед от ръководството | Мениджър по съответствието |
Тази таблица не замества правните задължения за техническа документация. Тя дава на бизнеса оперативен модел за доказването им.
В Zenith Blueprint фаза 1, стъпка 3 се фокусира върху дефинирането на обхвата и границите. За CRA тази стъпка става продуктово специфична. Дефинирайте продуктовото семейство, софтуерните версии, допусканията за разгръщане, потребителските роли, свързаните услуги, каналите за актуализация и периода на поддръжка. Ако обхватът на СУИС е „корпоративна SaaS платформа и платформа за управление на устройства“, досието по CRA все пак трябва да отговори на по-тесния въпрос: „Кой продукт с цифрови елементи се пуска на пазара на ЕС и какво е включено в този продукт?“
Съпоставете сигурната разработка със записи на продуктово ниво
Сърцевината на досието за продуктова сигурност са доказателствата за security by design. ISO/IEC 27001:2022 предоставя системата за управление. ISO/IEC 27002:2022 предоставя насоки за внедряване чрез контроли като A.8.25 Жизнен цикъл на сигурна разработка, A.8.27 Сигурна системна архитектура и инженерни принципи, A.8.28 Сигурно програмиране и A.8.29 Тестване на сигурността при разработка и приемане.
Важната промяна е преминаването от общи твърдения за сигурна разработка към записи, специфични за изданието. „Извършваме преглед на изходния код“ не е достатъчно. Досието трябва да показва кое издание е прегледано, кои рискове са разгледани, кои тестове за сигурност са преминати, кои уязвимости са приети или отстранени и кой е одобрил изданието.
Enterprise Политика за сигурна разработка на Clarysec е проектирана да наложи тази следа от доказателства. В клауза 6.1, Изисквания към жизнения цикъл на сигурна разработка, се посочва:
„Всяко издание на продукт или услуга трябва да поддържа документирани доказателства за изискванията за сигурност, прегледа на дизайна, дейностите по сигурно програмиране, тестването на сигурността, решенията за отстраняване на уязвимости и одобрението за пускане преди разгръщане в продукционна среда.“
Тази клауза е полезна за CRA, защото превръща сигурната разработка в повторяем модел на доказателства. Одиторът не трябва да прави косвен извод, че сигурна разработка е имало. Той може да провери записа за изданието.
За интелигентен термостат, медицинско IoT устройство, индустриален сензор или SaaS-свързан продукт доказателствата за сигурна разработка трябва да включват:
- Изисквания за сигурност на продукта, съпоставени с идентифицираните рискове.
- Модел на заплахите или анализ на сценарии за злоупотреба за продукта и свързаните услуги.
- Преглед на архитектурата, включително граници на доверие и външни интерфейси.
- Стандарт за сигурно програмиране и доказателство за потвърждение или обучение от разработчиците.
- SAST, DAST, анализ на състава на софтуера, сканиране за тайни и анализ на фърмуера, когато е приложимо.
- Тикети за отстраняване на констатации с висок риск.
- Записи за приемане на риска с одобрение от бизнеса и функцията по сигурност.
- Контролен списък за release gate, показващ, че критериите за сигурност са изпълнени.
- Доказателства за криптографско подписване и целостта на актуализациите.
- Допускания за периода на поддръжка и края на жизнения цикъл.
Други стандарти подпомагат укрепването на метода. ISO/IEC 27005 подкрепя рисковия подход зад тези записи. ISO/IEC 27017 е полезен, когато облачни услуги са част от продуктовата екосистема. ISO/IEC 27035 подпомага обработването на инциденти. ISO/IEC 29147 и ISO/IEC 30111 са особено релевантни за оповестяването и обработването на уязвимости. ISO/IEC 27036 подпомага сигурността на доставчиците, което е важно, когато продуктът включва външно възложен софтуер, вградени модули, управлявани облачни услуги или библиотеки от трети страни.
В Zenith Controls доказателствата за сигурна разработка по CRA обикновено се съпоставят около теми на контролите по ISO/IEC 27002:2022 като информационна сигурност в управлението на проекти, жизнен цикъл на сигурна разработка, сигурно програмиране, тестване на сигурността, управление на промените и управление на техническите уязвимости. Ръководството също ги свързва с инвентара на активите и контролите за доставчици, защото никой процес за сигурна разработка не е завършен, ако организацията не може да идентифицира компонентите, които доставя.
Третирайте SBOM като регулирано продуктово доказателство
Software Bill of Materials често се третира като технически артефакт. За готовност по CRA той трябва да се третира като продуктово доказателство.
Полезният SBOM показва кои компоненти са в продукта, кои версии се използват, откъде произхождат, кои лицензи се прилагат, кои уязвимости ги засягат и кои издания ги съдържат. За фърмуер и вградени продукти това може да включва пакети на операционната система, bootloader-и, библиотеки, драйвери, контейнери, модули от трети страни и облачни зависимости, необходими за работата на продукта.
Проблемът е, че много организации генерират SBOM, но не ги управляват. Пайплайн за компилация може да създаде SPDX или CycloneDX файл, но никой не валидира пълнотата. Инструментите за сигурност може да маркират уязвимости, но резултатите не са свързани с продуктови версии. Снабдяването може да одобри доставчик, но списъкът с компонентите на този доставчик не е съгласуван с пуснатия продукт.
Enterprise Политика за управление на активите на Clarysec адресира този пропуск в управлението в клауза 5.2, Инвентар на информацията и свързаните активи:
„Информационните активи и свързаните технологични компоненти трябва да бъдат идентифицирани, да им бъде определен собственик, да бъдат класифицирани, когато е приложимо, и да се поддържат в инвентар, който подпомага оценката на риска, управлението на уязвимостите, контрола на промените и доказателствата за одит.“
За CRA тази клауза става продуктово специфична. SBOM е част от инвентара на свързаните технологични компоненти. Той се нуждае от собственик, правило за съхранение, процес за валидиране и връзка с управлението на уязвимостите.
Практическото правило за SBOM доказателства е просто: всяка пусната версия на продукта трябва да има одобрен инвентар на компонентите, който може да бъде съпоставен с артефакта на изданието. Ако организацията не може да свърже SBOM с точния образ на фърмуера, пакет на приложение, digest на контейнер или SaaS издание, SBOM е слабо доказателство.
| Проверка | Доказателства за събиране | Критерии за преминаване |
|---|---|---|
| Връзка с изданието | Идентификатор на изданието, хеш на компилацията, версия на фърмуера, digest на контейнер или идентификатор на пакет | SBOM ясно се съпоставя с пуснатия артефакт |
| Пълнота на компонентите | SBOM файл, доклад от сканиране на зависимости, ръчни изключения | Преките и транзитивните зависимости са обхванати или изключенията са обосновани |
| Статус на уязвимостите | SCA доклад, тикети за уязвимости, приемания на риск | Известните експлоатируеми или високорискови констатации имат отстраняване или одобрено изключение |
| Връзка с доставчика | Декларации за компоненти от доставчици, удостоверения от трети страни, условия за поддръжка | Критичните доставени компоненти имат доказателства от доставчика |
| Лиценз и произход | Сканиране на лицензи, запис от хранилище за изходен код, одобрен източник на пакети | Произходът и използването на компонентите са документирани |
| Съхранение и достъп | Път до хранилището за доказателства, собственик, правило за съхранение | Функцията по съответствие може да извлече SBOM и свързаните записи в определен срок |
Ако повече от два реда не преминават проверката, проблемът обикновено не е в SBOM инструмента. Проблемът е в управлението. Досието за продуктова сигурност трябва да регистрира коригиращо действие в СУИС, защото слабостта на доказателствата по CRA е и проблем с ефективността на контролите по ISO/IEC 27001:2022.
Свържете CVD с обработването на уязвимости и управлението на изданията
Координираното оповестяване на уязвимости е една от най-видимите области на готовност по CRA, защото външни изследователи, клиенти и органи могат да го тестват директно. Публикуването на страница за оповестяване на уязвимости или security.txt файл е полезно, но това е само входната врата. Досието за продуктова сигурност трябва да докаже, че бек офисът работи.
Защитимият набор от доказателства за CVD и обработване на уязвимости трябва да включва:
- Публичен канал за оповестяване и инструкции за подаване.
- Процес за потвърждение към изследователя.
- Критерии за триаж, включително оценка на степента на сериозност и експлоатируемостта.
- Анализ на въздействието върху продукта.
- Собственост върху отстраняването и целеви срокове.
- Шаблони за клиентски съобщения и комуникация за актуализации.
- Доказателства за сигурна разработка и тестване на корекции.
- Записи за координирано публикуване, когато е приложимо.
- Извлечени поуки и анализ на повтарящи се тенденции при уязвимостите.
Клауза 6.3, Приемане, триаж и отстраняване на уязвимости, от Enterprise Политика за управление на уязвимости на Clarysec гласи:
„Докладваните уязвимости трябва да се журнализират, да се оценяват спрямо засегнатите активи и продукти, да се приоритизират според риска и експлоатируемостта, да се възлагат на отговорен собственик и да се проследяват през отстраняване, проверка, комуникация и приключване.“
Тази клауза свързва CVD със SBOM, инвентара на активите, инженерните тикети, управлението на изданията и мониторинга след пускане на пазара. Това е и клаузата, която одиторите естествено ще тестват: покажете записа за приемане, покажете засегнатите продукти, покажете триажа, покажете корекцията, покажете комуникацията с клиента, покажете приключването.
Съществуващата ви Политика за управление на инциденти по информационна сигурност също трябва да бъде разширена, за да обхване продуктови уязвимости, които се превръщат в инциденти или изискват външно уведомяване. ISO/IEC 27002:2022 A.5.24 обхваща планиране и подготовка за управление на инциденти, A.5.25 обхваща оценка и решение за събития по информационна сигурност, A.5.26 обхваща реагиране при инциденти по информационна сигурност, а A.5.27 обхваща извличане на поуки от инциденти.
В Zenith Controls управлението на уязвимостите се разглежда едновременно като превантивно и коригиращо. Превантивната страна включва инвентар, сигурна разработка, мониторинг на доставчици и сигурна конфигурация. Коригиращата страна включва откриване, триаж, прилагане на корекции, комуникация и ескалация на инциденти. Това разграничение е важно, защото обработването на уязвимости след пускане на пазара е част от задължението през жизнения цикъл на продукта, а не последваща мисъл.
Доказателствата от доставчици са скритата слабост
Досието за продуктова сигурност често ще бъде оспорвано най-силно там, където производителят разчита на други. Това включва вградени модули, външно възложена разработка на фърмуер, white-label компоненти, облачен хостинг, мобилни SDK, платежни услуги, криптографски библиотеки и доставчици на управлявана поддръжка.
Често срещаният модел на неуспех е договорната абстракция. Производителят казва: „Нашият доставчик отговаря за това.“ При проверка на продуктовата сигурност това не е достатъчно. Организацията трябва да покаже, че рискът, свързан с доставчици, е идентифициран, изискванията за сигурност са комуникирани, доказателствата са събрани, уязвимостите са координирани и промените са контролирани.
Клауза 7.1, Изисквания за сигурност към доставчиците, от Enterprise Политика за сигурност на трети страни и доставчици на Clarysec гласи:
„Доставчиците, които разработват, експлоатират, обработват, поддържат или съществено влияят върху информационни системи, продукти или услуги, трябва да бъдат оценявани според риска и да подлежат на изисквания за сигурност, обхващащи достъп, управление на уязвимости, уведомяване при инциденти, подизпълнение, непрекъсваемост и предоставяне на доказателства.“
За CRA изразът „съществено влияят върху продукти“ е критичен. Ако компонент на доставчик може да въведе уязвимост, да наруши актуализациите, да изложи клиентски данни или да компрометира целостта на устройството, той трябва да бъде включен в досието за продуктова сигурност.
Същата политика може да подпомогне и договарянето на SBOM. Клауза 7.3 гласи:
„За всички софтуерни компоненти, библиотеки или операционни системи от трети страни, които ще бъдат интегрирани във фирмени ‘Продукти с цифрови елементи’, доставчикът трябва при поискване да предостави машинно четим Software Bill of Materials (SBOM) в стандартен формат като SPDX или CycloneDX. Това изискване трябва да бъде включено във всички договори за закупуване и с доставчици.“
Силен пакет от доказателства за доставчици трябва да включва класификация на доставчиците според въздействието върху продукта, изисквания за сигурност в договорите, доказателства за сигурна разработка от доставчици за критични компоненти, ангажименти на доставчици за оповестяване на уязвимости, SBOM или декларации за компоненти, когато е възможно, поддръжка за корекции и срокове за край на жизнения цикъл, записи от периодични прегледи и пътища за ескалация при уязвимости с произход от доставчици.
ISO/IEC 27002:2022 A.5.19, A.5.20 и A.5.21 предоставят ключовите теми за контрол на доставчиците. ISO/IEC 27036 добавя дълбочина към сигурността на взаимоотношенията с доставчици. В контекст на кръстосано съответствие NIS2 акцентира върху веригата на доставки и обработването на уязвимости. DORA акцентира върху ИКТ риска от трети страни за финансови субекти. GDPR става релевантен, когато продуктът или неговите облачни услуги обработват лични данни. COBIT 2019 рамкира управлението на доставчици като въпрос на корпоративно управление на технологиите, а не само като въпрос на операции по сигурността.
Мониторингът след пускане на пазара превръща доказателствата в операции
Най-зрелите организации за продуктова сигурност мислят отвъд пускането. Те питат: „Как ще разберем, че този продукт е станал рисков, след като вече е на терен?“
Мониторингът след пускане на пазара трябва да улавя сигнали от потоци за уязвимости, разузнаване за експлойти, клиентска поддръжка, телеметрия, bug bounty или доклади от изследователи, уведомления от доставчици, облачни журнали, записи за инциденти и данни за работата на терен. Той трябва да включва и периодичен преглед на продуктовия риск при промяна в средата на заплахите.
Клауза 5.4, Мониторинг и преглед на сигурността, от Enterprise Политика за регистриране и мониторинг на Clarysec гласи:
„Събитията със значение за сигурността трябва да се събират, преглеждат, ескалират и съхраняват по начин, който подпомага своевременното откриване, разследване, реагиране при инциденти, докладване на съответствието и непрекъснатото подобрение.“
За свързани продукти това трябва да се тълкува внимателно. Мониторингът трябва да зачита поверителността, минимизирането на данните и правните ограничения, особено когато телеметрията включва лични данни или клиентски оперативни данни. Съпоставянето с GDPR е важно. Екипите по продуктова сигурност трябва да работят с екипите по поверителност, за да определят коя телеметрия е необходима за сигурността, как се минимизира, колко дълго се съхранява и как клиентите се информират.
Доказателствата за мониторинг след пускане на пазара трябва да включват план за мониторинг на продуктовата сигурност, източници на разузнаване за уязвимости, канали за приемане на клиентски доклади, канали за уведомления от доставчици, обхват на прегледа на телеметрия или журнали, протоколи от периодичен преглед на продуктовия риск, проследяване на внедряването на корекции, анализ на тенденциите при инциденти и входни данни за преглед от ръководството.
В Zenith Blueprint фаза 5, стъпка 30 се фокусира върху непрекъснатото подобрение и готовността за надзор. За CRA това е мястото, където досието за продуктова сигурност става живо досие. Всяко продуктово издание, уязвимост, промяна при доставчик и сигнал от терен трябва да актуализира записа с доказателства.
Едно досие с доказателства, много въпроси за съответствие
Добре проектираното досие за продуктова сигурност по CRA намалява дублирането, защото едни и същи доказателства отговарят на множество въпроси за съответствие. Езикът се променя, но контролната реалност често е сходна.
| Обект на доказателство | Релевантност за CRA | Тема по ISO/IEC 27001:2022 и ISO/IEC 27002:2022 | Релевантност за NIS2, DORA, GDPR, NIST и COBIT 2019 |
|---|---|---|---|
| Оценка на риска за продукта | Показва, че рисковете за сигурността са разгледани при дизайна и жизнения цикъл на продукта | Оценка на риска, A.5.8 Информационна сигурност в управлението на проекти, A.8.25 Жизнен цикъл на сигурна разработка | Управление на риска по NIS2, управление на ИКТ риска по DORA, NIST Govern and Identify, управление на риска по COBIT |
| SBOM и инвентар на компонентите | Показва познаване на софтуерните компоненти и експозицията към уязвимости | A.5.9 Инвентар, A.8.9 Управление на конфигурацията, A.8.8 Управление на техническите уязвимости | Верига на доставки по NIS2, осведоменост за ИКТ активи по DORA, NIST Управление на активите, управлявани активи по COBIT |
| Записи за сигурна разработка | Показва, че сигурността е вградена в дизайна и изданието | A.8.25 Жизнен цикъл на сигурна разработка, A.8.27 Сигурна архитектура, A.8.28 Сигурно програмиране, A.8.29 Тестване на сигурността | NIST Protect, управление на компилации и промени по COBIT, GDPR сигурност още при проектирането, когато са включени лични данни |
| CVD и тикети за уязвимости | Показва способност за приемане, оценка, отстраняване и комуникиране на уязвимости | A.8.8 Управление на техническите уязвимости, A.5.24 Планиране на инциденти, A.5.26 Реагиране при инциденти | Обработване на уязвимости по NIS2, процеси за инциденти и уязвимости по DORA, NIST Respond |
| Доказателства от доставчици | Показва, че зависимостите на продукта се управляват | A.5.19 Взаимоотношения с доставчици, A.5.20 Споразумения с доставчици, A.5.21 ИКТ верига на доставки | Сигурност на веригата на доставки по NIS2, ИКТ риск от трети страни по DORA, управление на доставчици по COBIT |
| Мониторинг след пускане на пазара | Показва текущ надзор върху продуктовата сигурност | A.8.15 Регистриране, A.8.16 Дейности по мониторинг, A.5.25 Оценка на събития, непрекъснато подобрение | Откриване на инциденти по NIS2, мониторинг по DORA, NIST Detect, подпомагане на откриването на нарушения по GDPR |
| Записи за докладване на инциденти | Показва готовност за ескалация и уведомяване | A.5.24 Планиране на инциденти, A.5.25 Оценка на събития, A.5.26 Реагиране при инциденти, A.5.27 Извличане на поуки от инциденти | Докладване по NIS2 и DORA, оценка на нарушения по GDPR, NIST Respond and Recover |
Zenith Controls е проектиран за такава повторна употреба. Той съпоставя темите на контролите по ISO/IEC 27002:2022 с атрибути като превантивна, откриваща и коригираща цел на контрола, концепции за киберсигурност, оперативни способности и свойства на сигурността. За CRA това помага на CISO да обясни защо един обект на доказателство, като преглед на сигурността на издание, подпомага сигурната разработка, третирането на риска, контрола на промените, управлението на уязвимостите и готовността за одит.
Подгответе се за различни одитни перспективи
Досието за продуктова сигурност по CRA може да бъде оспорено от ISO одитор, екип за вътрешен одит, екип за клиентско уверение, преглеждащ съответствието на продукта, регулатор, оценител по NIST или COBIT одитор, обучен от ISACA. Всички те ще задават сходни въпроси през различна перспектива.
| Одитна перспектива | Какво ще попитат | Силни доказателства |
|---|---|---|
| Одитор по ISO/IEC 27001:2022 | Управлява ли се продуктовата сигурност в рамките на СУИС, процеса за управление на риска, модела на компетентност, оперативните контроли и цикъла на непрекъснато подобрение? | Обхват на СУИС, оценка на риска, Декларация за приложимост, записи за сигурна разработка, констатации от вътрешен одит, преглед от ръководството |
| Сертификационна перспектива по ISO/IEC 27006-1:2024 | Надеждни ли са доказателствата за одит, правилно ли са извадково тествани и свързани ли са със сертифицираната система за управление? | Индекс на доказателствата, логика на извадката, интервюта със собственици, съхранявани записи, проследяване на коригиращи действия |
| Оценител, ориентиран към NIST | Можете ли да покажете управление, идентифициране на активи, мерки за защита, откриване, реагиране и възстановяване за жизнения цикъл на продукта? | Регистър на риска за продукта, SBOM, план за мониторинг, работен поток за уязвимости, наръчници за инциденти |
| COBIT 2019 или ISACA одитор | Управлявани, измервани, притежавани и съгласувани ли са целите за продуктова сигурност с корпоративния риск и доставянето на стойност? | RACI, показатели, одобрения на политики, управление на доставчици, докладване към ръководството, приемане на риска |
| Преглеждащ съответствието на продукта | Показва ли техническото досие изисквания за киберсигурност, контроли на дизайна, обработване на уязвимости и мониторинг след пускане на пазара за продукта? | Индекс на досието за продуктова сигурност, архитектура, SBOM, доказателства от тестове, CVD записи, доказателства за актуализации |
| Оценител на клиентската сигурност | Можете ли да докажете, че продуктът се разработва и поддържа сигурно през жизнения му цикъл? | Обобщение на secure SDLC, обобщение от тестове за проникване, процес за оповестяване на уязвимости, политика за поддръжка на корекции, увереност относно доставчици |
Една и съща слаба точка ще бъде разкрита по различен начин. Ако SBOM се генерират, но не се съхраняват, ISO одиторът вижда проблем с контрола на записите и оперативния контрол. Оценителят по NIST вижда слабост в управлението на активи и уязвимости. COBIT одиторът вижда слабо управление на информационните активи. Преглеждащият продукта вижда недостатъчна техническа документация.
30-стъпкова пътна карта, адаптирана за готовност по CRA
Zenith Blueprint не позволява на екипите по съответствие да преминат директно към събиране на документи. За CRA 30-стъпковата пътна карта се превръща в програма за доказателства за продуктова сигурност.
Фаза 1 започва със съпоставяне на задълженията и обхвата. Идентифицирайте кои продукти, версии, компоненти, облачни услуги и процеси за поддръжка са в обхват. Потвърдете предназначението, категориите потребители, пазарите и периода на поддръжка на сигурността.
Фаза 2 изгражда архитектурата на доказателствата. Дефинирайте индекса на досието за продуктова сигурност, собствениците на доказателства, изискванията за съхранение, структурата на хранилището и работния процес по одобрение. Съгласувайте се с инженерните системи, вместо да налагате ръчно качване.
Фаза 3 внедрява оперативните контроли. Сигурната разработка, генерирането на SBOM, обработването на уязвимости, доказателствата от доставчици, release gates, сигурните актуализации и ескалацията на инциденти трябва да функционират като реални процеси.
Фаза 4 тества готовността за одит. Изберете продуктово издание и проведете симулиран одит. Може ли екипът да извлече SBOM? Може ли да докаже тестване на сигурността? Може ли да покаже как е триажирана уязвимост? Може ли да свърже доказателствата от доставчици с продуктови компоненти?
Фаза 5 вгражда надзора и подобрението. Мониторингът след пускане на пазара, анализът на тенденциите при уязвимости, прегледите на доставчици и входните данни за преглед от ръководството поддържат досието актуално.
| Четириседмичен спринт за готовност по CRA | Резултат |
|---|---|
| Изберете един водещ продукт за ЕС | Обхватът на продукта, версиите, услугите и периодът на поддръжка са дефинирани |
| Създайте индекс на досието за продуктова сигурност | Разделите с доказателства, собствениците и правилата за съхранение са документирани |
| Съпоставете контролите по ISO/IEC 27001:2022 с разделите на досието | Налично е съпоставяне „контрол – доказателство“ за одит |
| Прикачете едно скорошно издание като извадка от доказателства | Записите за сигурна разработка, тестване и одобрение на изданието са свързани |
| Генерирайте или валидирайте SBOM | Инвентарът на компонентите е свързан с артефакта на изданието |
| Проследете една уязвимост от откриване до приключване | Доказателствата за CVD, триаж, отстраняване, комуникация и приключване са тествани |
| Проследете един компонент на доставчик до договор и доказателства за сигурност | Доказателствата за сигурността на доставчика са свързани с продукта |
| Прегледайте сигналите от мониторинг след пускане на пазара за последното тримесечие | Разузнаването от терен и прегледът на риска са документирани |
| Регистрирайте пропуските като коригиращи действия в СУИС | Слабостите по CRA се превръщат в управлявани подобрения на контролите |
| Докладвайте статуса на готовност на ръководството | Висшите ръководители получават зрялост на доказателствата, а не неясна контролна активност |
Този спринт обикновено бързо разкрива истината. Организациите рядко се провалят, защото им липсват всички контроли. Те се провалят, защото контролите не са свързани на продуктово ниво.
Често срещани пропуски в готовността по CRA преди 2026 г.
При доставчици на софтуер, производители на устройства и доставчици на свързани услуги повтарящите се пропуски са последователни.
Първо, обхватът на СУИС е твърде корпоративен. Той обхваща организацията, но не достатъчно детайлно жизнения цикъл на продукта. Решението е да се създадат приложения и досиета с доказателства на продуктово ниво.
Второ, SBOM съществуват, но не са надеждни. Те се генерират от инструменти, но не се преглеждат, одобряват, съхраняват или свързват с решения за уязвимости. Решението е управление на SBOM, а не само производство на SBOM.
Трето, CVD е публично видимо, но не е оперативно зряло. Докладите пристигат, но критериите за триаж, целите за реакция, одобренията на съобщения и доказателствата за приключване са непоследователни. Решението е CVD да се интегрира с управление на уязвимостите, управление на инциденти и управление на изданията.
Четвърто, доказателствата от доставчици са твърде повърхностни. Критичните доставчици са одобрени търговски, но не са оценени за въздействие върху продуктовата сигурност. Решението е класификация на доставчиците според продуктовия риск и задължителни доказателства за критични компоненти.
Пето, мониторингът след пускане на пазара е реактивен. Екипите реагират на спешни уязвимости, но не провеждат периодични прегледи на продуктовия риск. Решението е планиран преглед на сигурността след пускане на пазара, свързан с докладването към ръководството.
Шесто, доказателствата за одит са прекалено ръчни. Екипите по съответствие преследват екранни снимки. Решението е evidence by design, като инженерните системи, работните потоци за тикети и хранилищата се използват като официални източници.
Изградете досието с доказателства, преди срокът да го изгради вместо вас
Актът за киберустойчивост възнаграждава организациите, които могат да докажат продуктовата сигурност като оперативна дисциплина. Той създава риск за организациите, които третират доказателствата като упражнение по съответствие в последния момент.
Започнете с един продукт. Изградете едно досие за продуктова сигурност. Съпоставете го с ISO/IEC 27001:2022 и ISO/IEC 27002:2022. Прикачете доказателства за сигурна разработка, SBOM, CVD записи, увереност относно доставчици и мониторинг след пускане на пазара. Проведете симулация на одит, преди някой външен да го направи вместо вас.
Clarysec може да ви помогне да ускорите този път чрез Zenith Blueprint, Zenith Controls, Enterprise Политика за сигурна разработка, Политика за управление на уязвимости, Политика за управление на активите, Политика за сигурност на трети страни и доставчици, Политика за регистриране и мониторинг и Политика за управление на инциденти по информационна сигурност.
Най-важният ви въпрос за CRA 2026 не е „Имаме ли контроли за сигурност?“
Той е „Можем ли да докажем продуктовата сигурност издание по издание, компонент по компонент, уязвимост по уязвимост, след като продуктът вече е на пазара?“
Изградете досието с доказателства сега, свържете го с вашата СУИС и направете всяко бъдещо продуктово издание готово за одит още при проектирането.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
