CVD за NIS2 и DORA: карта на доказателствата по ISO 27001
В 08:17 във вторник пощенската кутия за сигурност получава съобщение от независим изследовател. Темата е спокойна, почти учтива: „Потенциално превземане на акаунт във вашия клиентски портал.“ Съдържанието е по-притеснително. Изследователят твърди, че верижна уязвимост във вашето SaaS приложение позволява на един тенант да получи достъп до фактурните записи на друг тенант. Прикачено е proof-of-concept доказателство, криптирано с публикувания ви PGP ключ.
За Мария, новия CISO във FinanTechSaaS, моментът не би могъл да бъде по-неподходящ. Компанията ѝ току-що е подписала голям договор с водеща банка в ЕС. Екипът на клиента за надлежна проверка вече е поискал „Политика за координирано разкриване на уязвимости“ и доказателства за внедряване, с изрични препратки към NIS2 и DORA. Компанията има имейл адрес security@, но той се наблюдава от един разработчик. Няма формален регистър за приемане, няма дефиниран SLA за валидиране, няма път за ескалация към ръководството и няма одитна следа.
Три часовника започват да тиктакат едновременно.
Първият е оперативен. Реална ли е уязвимостта? Експлоатируема ли е в продукционна среда? Злоупотребява ли вече някой с нея?
Вторият е регулаторен. Ако клиентски данни са експонирани, започва оценка за нарушение по GDPR. Ако предоставянето на услуги е засегнато за съществен или важен субект съгласно NIS2, може да бъдат задействани праговете за докладване на инциденти. Ако компанията е финансов субект или доставчик на ИКТ услуги, подпомагащ финансови услуги, правилата на DORA за управление, класификация, ескалация и комуникация с клиенти при инциденти може да станат приложими.
Третият е доказателствен. Шест месеца по-късно одитор по ISO/IEC 27001:2022, надзорен орган във финансовия сектор, екип за клиентско уверение или комитет по вътрешен одит може да попита: „Покажете ни как беше обработена тази уязвимост.“
Именно при този въпрос много организации установяват, че координираното разкриване на уязвимости не е просто пощенска кутия за сигурност. То е система за управление. Необходими са собственост върху политиката, публичен канал за докладване, работен процес за триаж, SLA за отстраняване, ескалация към доставчици, логика за решение относно инцидент, преглед от гледна точка на защитата на личните данни, докладване към ръководството и защитими доказателства.
Clarysec разглежда CVD като интегриран модел на контрол, а не като самостоятелна входяща кутия. В Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint обработването на уязвимости е във фазата „Контроли в действие“, стъпка 19: „Технологични контроли I“, където указанието е ясно: организациите не следва пасивно да архивират констатациите за уязвимости, а трябва да ги триажират, възлагат и проследяват до приключване. Същият стандарт важи и за външни разкривания. Ако някой ви съобщи как вашата услуга може да откаже, истинският въпрос става: можете ли да докажете, че сте получили, оценили, приоритизирали, отстранили, комуникирали и извлекли поуки от това?
Защо CVD вече е въпрос на ниво управителен съвет съгласно NIS2 и DORA
В продължение на години организациите с висока култура на сигурност приканваха етични хакери да докладват уязвимости, защото това беше добра практика. Съгласно NIS2 и DORA тази практика вече е част от регулираната цифрова устойчивост.
NIS2 се прилага за много средни и големи субекти в сектори с висока критичност и други критични сектори, включително доставчици на цифрова инфраструктура, доставчици на услуги за облачни изчисления, доставчици на услуги на центрове за данни, доставчици на управлявани услуги, доставчици на управлявани услуги за сигурност и определени цифрови доставчици като онлайн пазари, търсачки и платформи за социални мрежи. Тя може да се прилага независимо от размера и за категории като доставчици на удостоверителни услуги, доставчици на DNS услуги, регистри на TLD и доставчици на обществени електронни съобщителни мрежи или услуги.
NIS2 Article 21 изисква съществените и важните субекти да внедрят подходящи и пропорционални технически, оперативни и организационни мерки за управление на риска за киберсигурността чрез подход, обхващащ всички заплахи. Една от минималните области е сигурността при придобиване, разработване и поддръжка на мрежови и информационни системи, включително обработване и разкриване на уязвимости. Същият базов набор обхваща и обработване на инциденти, сигурност на веригата на доставки, непрекъсваемост на дейността, контрол на достъпа, управление на активите, обучение, криптография и процедури за оценка на ефективността на контролите.
NIS2 Article 20 също изрично въвежда отчетност на ръководството. Управителните органи трябва да одобряват мерките за управление на риска за киберсигурността, да упражняват надзор върху внедряването и да преминават обучение. За CVD програма това означава, че управителният съвет или висшето ръководство трябва да разбира канала за докладване, екипа за реагиране при уязвимости, сроковете за валидиране, очакванията за отстраняване, зависимостите от доставчици и тригерите за докладване на инциденти.
DORA създава секторен режим за финансовите субекти от 17 януари 2025 г. Той обхваща управление на ИКТ риска, докладване на инциденти, свързани с ИКТ, тестване на цифровата оперативна устойчивост, споделяне на информация, риск от трети страни в областта на ИКТ, договорни изисквания, надзор върху критични доставчици от трети страни в областта на ИКТ и надзорно сътрудничество. За финансовите субекти, попадащи в обхвата на DORA, DORA като цяло има предимство пред NIS2 по отношение на управлението на ИКТ риска и докладването на инциденти, тъй като е секторно специфичен правен акт на Съюза. Практическото изискване обаче остава същото: финансовите субекти и доставчиците на ИКТ услуги, които ги обслужват, трябва да поддържат структуриран, документиран и проверим процес за идентифициране, анализиране, класифициране, ескалиране, отстраняване и извличане на поуки от слабости в ИКТ.
Доклад за уязвимост може да започне като техническа констатация, да се превърне в събитие по сигурността, да ескалира в инцидент, да задейства оценка за нарушение на сигурността на личните данни по GDPR, да изисква действие от доставчик и по-късно да се появи в Декларация за приложимост по ISO/IEC 27001:2022. Затова CVD трябва да бъде проектиран като единен оперативен модел за сигурност, съответствие, инженеринг, правни въпроси, защита на личните данни, снабдяване и управление.
Основата в ISO 27001: от разкриване до доказателства за ISMS
ISO/IEC 27001:2022 предоставя на CISO и ръководителите по съответствието системата за управление, която прави CVD одитируем.
Клаузи 4.1 до 4.4 изискват организацията да разбира вътрешните и външните обстоятелства, изискванията на заинтересованите страни, границите на ISMS и зависимостите с други организации. Именно тук NIS2, DORA, GDPR, клиентските договори, задълженията към доставчици и ангажиментите за разкриване на уязвимости влизат в ISMS.
Клаузи 5.1 до 5.3 създават отчетност на ръководството. Висшето ръководство трябва да съгласува информационната сигурност със стратегическата посока, да осигури ресурси, да възложи отговорности и да гарантира, че ISMS постига планираните резултати. За CVD това означава назначаване на екип за реагиране при уязвимости, дефиниране на правомощия за приемане на остатъчен риск и ескалиране на уязвимости с високо въздействие към ръководството.
Клаузи 6.1.1 до 6.1.3 предоставят механизма за риск. Организацията трябва да дефинира критерии за риск, да оценява рисковете за информационната сигурност, да възлага собственици на риска, да избира опции за третиране на риска, да сравнява контролите с Приложение A, да изготви Декларация за приложимост и да получи одобрение за остатъчния риск. Клаузи 8.1 до 8.3 след това изискват оперативен контрол, планирани промени, контрол върху процеси, предоставяни отвън, оценки на риска през планирани интервали или след значителни промени и доказателства за резултатите от третирането.
В Zenith Blueprint, фазата „Управление на риска“, стъпка 13, Декларацията за приложимост е описана като нещо повече от таблица за съответствие:
„SoA на практика е свързващ документ: тя свързва вашата оценка/третиране на риска с реалните контроли, с които разполагате.“
Източник: Zenith Blueprint: An Auditor’s 30-Step Roadmap, фаза „Управление на риска“, стъпка 13: „Планиране на третирането на риска и Декларация за приложимост (SoA)“ Zenith Blueprint
За координирано разкриване на уязвимости SoA трябва да свързва регулаторни задължения, бизнес риск, контроли от Приложение A, клаузи на политики и оперативни доказателства.
| Източник на изискването | Практически въпрос | Доказателствен артефакт |
|---|---|---|
| NIS2 Article 21 | Обработваме и разкриваме ли уязвимости като част от сигурната разработка и поддръжка? | CVD политика, журнал за приемане, записи от триаж, билети за отстраняване, докладване към ръководството |
| DORA Articles 17 to 20 | Можем ли да класифицираме, управляваме, ескалираме, уведомяваме и комуникираме инциденти, свързани с ИКТ, и значими киберзаплахи? | Таксономия на инциденти, критерии за тежест, журнал за ескалация, решение за регулаторно докладване, запис за комуникация с клиенти |
| ISO/IEC 27001:2022 | Оценени, третирани, картографирани към Приложение A и прегледани ли са рисковете? | Регистър на риска, план за третиране, SoA, доказателства от вътрешен одит, протоколи от преглед от ръководството |
| GDPR | Включваше ли слабостта лични данни и изискваше ли оценка или уведомяване за нарушение? | Оценка на въздействието върху личните данни, меморандум за решение относно нарушение, решения за комуникация със субекти на данни и орган |
Целта не е да се създават паралелни силози за съответствие. CVD политиката трябва да бъде контролиран процес в ISMS, който едновременно подпомага сертификация по ISO/IEC 27001:2022, съответствие с NIS2, готовност по DORA, клиентско уверение и операции по сигурността.
Базова политика: какво трябва да съдържа вашата CVD политика
Първият видим контрол е публичният канал за разкриване. Изследователите, клиентите, доставчиците и партньорите трябва да знаят къде да докладват уязвимости и как да защитят чувствителните доказателства.
Политика за координирано разкриване на уязвимости на Clarysec Политика за координирано разкриване на уязвимости предоставя корпоративната основа:
„Публични канали за разкриване: Организацията трябва да поддържа ясен канал за докладване на уязвимости, като например отделен имейл адрес за контакт по сигурността (например security@company.com) или уеб формуляр. Тази информация трябва да бъде публикувана на страницата за сигурност на уебсайта на компанията заедно с публичния PGP ключ на организацията, за да се осигури подаване в криптиран вид.“
Източник: Политика за координирано разкриване на уязвимости, изисквания за внедряване, клауза 6.1
Тази клауза решава често срещан одитен проблем. Много организации твърдят, че приемат доклади, но маршрутът за докладване е скрит, некриптиран или е собственост на неправилния екип. Зрелият канал е публичен, сигурен, наблюдаван и възложен на отговорна функция.
Следващият контрол е дисциплината при реагиране. Критичен доклад, последван от мълчание, създава риск от разкриване, репутационен ущърб и риск от експлоатация. Политика за координирано разкриване на уязвимости задава конкретно очакване за потвърждение и валидиране:
„Триаж и потвърждение: При получаване на доклад VRT трябва да го регистрира и да изпрати потвърждение до докладващото лице в рамките на 2 работни дни, като присвои референтен номер за проследяване. VRT трябва да извърши предварителна оценка на тежестта, например чрез CVSS точкова оценка, и да валидира проблема, включително със съдействие от ИТ и екипите за разработка, когато е необходимо, в целеви срок от 5 работни дни. Критичните уязвимости, като тези, които позволяват отдалечено изпълнение на код или съществено нарушение на сигурността на данните, трябва да бъдат обработвани приоритетно.“
Източник: Политика за координирано разкриване на уязвимости, изисквания за внедряване, клауза 6.4
Тази формулировка създава непосредствени доказателствени точки: час на получаване, час на потвърждение, референтен номер за проследяване, предварителна тежест, резултат от валидиране и решение за ускорено обработване.
За МСП Clarysec използва същата логика с пропорционално внедряване. Политика за изискванията за сигурност на приложенията за МСП Политика за изискванията за сигурност на приложенията - МСП изисква организациите да:
„посочат задължения за разкриване на уязвимости, срокове за реагиране и прилагане на корекции.“
Източник: Политика за изискванията за сигурност на приложенията за МСП, управленски изисквания, клауза 5.3.2
Не е необходим голям екип по сигурността на продукта, за да има отчетност. Необходими са изрични задължения, реалистични срокове, определени собственици и доказателства, че процесът функционира.
Работен процес за приемане на CVD: от имейл на изследовател до запис за решение
Добър работен процес за приемане е достатъчно прост, за да работи под натиск, и достатъчно пълен, за да удовлетвори одитор. Той трябва да започва с отделен канал като security@[company], уеб формуляр или публикуван файл security.txt. Маршрутът за подаване трябва да позволява криптирани доказателства, засегнат продукт или крайна точка, стъпки за възпроизвеждане, данни за контакт с докладващото лице, предпочитан момент за разкриване и всякакви индикации за експониране на данни или активна експлоатация.
След получаване екипът за реагиране при уязвимости трябва да създаде запис в GRC платформа, платформа за билети, система за управление на уязвимостите или контролиран регистър. Инструментът е по-малко важен от последователността и качеството на доказателствата.
| Поле при приемане | Защо е важно |
|---|---|
| Идентификатор за проследяване | Създава проследимост от доклада до приключването |
| Дата и час на получаване | Подпомага SLA за реагиране и анализа на регулаторните срокове |
| Идентичност и контакт на докладващото лице | Позволява потвърждение, уточняване и координирано разкриване |
| Засегнат актив или услуга | Свързва доклада с инвентара на активите и бизнес собствеността |
| Собственик на продукта и собственик на риска | Възлага отчетност |
| Предварителна тежест | Подпомага триажа и приоритизацията |
| Индикатор за експониране на данни | Задейства оценка по GDPR и оценка за инцидент |
| Индикатор за въздействие върху услуга | Подпомага класификация по NIS2 и DORA |
| Участие на доставчик | Задейства уведомяване на доставчик и договорна ескалация |
| Краен срок за отстраняване | Свързва тежестта със SLA за третиране |
| Местоположение на доказателствата | Подпомага одит и форензичен преглед |
| Приключване и извлечени поуки | Захранва непрекъснатото подобрение |
След това работният процес трябва да премине през седем оперативни стъпки.
- Приемане: докладът се получава чрез публичния канал и се регистрира автоматично или ръчно.
- Потвърждение: VRT отговаря в рамките на 2 работни дни и присвоява референтен номер за проследяване.
- Валидиране: техническият екип възпроизвежда проблема, потвърждава засегнатите системи и извършва предварителна точкова оценка на тежестта.
- Оценка на събитието: VRT определя дали уязвимостта е само слабост, събитие по информационна сигурност или инцидент.
- Ескалация: проблеми с висока или критична тежест се изпращат към собственици на система, CISO, функцията по защита на личните данни, правния отдел, доставчици и ръководството според необходимостта.
- Отстраняване: отговорният екип прилага корекция, смекчаване, компенсиращ контрол или временно ограничение.
- Приключване: VRT проверява корекцията, комуникира с докладващото лице, актуализира файла с доказателства и записва извлечените поуки.
Clarysec картографира тази оперативна стъпка към контрол A.5.25 от ISO/IEC 27002:2022, „Оценка и решение по събития по информационна сигурност“, и контрол A.8.8, „Управление на технически уязвимости“, чрез Zenith Controls: The Cross-Compliance Guide Zenith Controls. За A.5.25 Zenith Controls обяснява, че оценката на събитията е триажната функция между необработените предупреждения от мониторинга и формалното обработване на инциденти, като използва журнали, прагове и критерии за решение, за да определи ескалацията. За A.8.8 Zenith Controls свързва техническото управление на уязвимости със защита от зловреден софтуер, управление на конфигурацията, управление на промените, сигурност на крайните точки, разузнаване за заплахи, мониторинг, сигурна разработка, оценка на събитията и реагиране при инциденти.
Един откъс от Zenith Controls е особено полезен, когато се подозира активна експлоатация:
„Разузнаването за заплахи информира кои уязвимости се експлоатират активно и насочва приоритизацията на прилагането на корекции.“
Източник: Zenith Controls: The Cross-Compliance Guide, контрол 8.8 от ISO/IEC 27002:2022, връзка с контрол 5.7 „Разузнаване за заплахи“ Zenith Controls
Това е важен управленски въпрос. Тежестта не е само CVSS. Уязвимост със средна оценка, активно експлоатирана срещу вашия сектор, може да изпревари теоретичен критичен проблем в неекспонирана тестова система.
Кога уязвимостта се превръща в инцидент
Не всеки доклад за уязвимост е инцидент. Липсваща заглавка за сигурност в тестова среда не е същото като експлоатирано заобикаляне на оторизация, което разкрива клиентски фактури. Но всеки достоверен доклад за уязвимост трябва да преминава през контролна точка за решение относно инцидент.
NIS2 Article 23 изисква съществените и важните субекти да уведомяват своя CSIRT или компетентен орган без неоправдано забавяне за инциденти, които оказват значително въздействие върху предоставянето на услуги. Значим инцидент е инцидент, който е причинил или е способен да причини сериозно оперативно прекъсване или финансови загуби, или който е засегнал или е способен да засегне други лица чрез причиняване на значителни материални или нематериални вреди. Последователността за докладване включва ранно предупреждение в рамките на 24 часа от узнаването, уведомление за инцидент в рамките на 72 часа, междинни доклади при поискване и окончателен доклад в рамките на един месец от 72-часовото уведомление.
DORA Articles 17 to 20 изискват финансовите субекти да откриват, управляват, записват, класифицират, ескалират, уведомяват и комуникират инциденти, свързани с ИКТ, и значими киберзаплахи. Съществените инциденти, свързани с ИКТ, трябва да бъдат ескалирани към висшето ръководство и управителния орган. Може да се изисква комуникация с клиенти, когато са засегнати финансови интереси.
| Въпрос за решение | Ако отговорът е да, задейства се |
|---|---|
| Има ли доказателства за експлоатация? | Работен процес за реагиране при инциденти и засилен мониторинг |
| Засегнати ли са или вероятно ли са засегнати лични данни? | Оценка за нарушение по GDPR и ескалация към функцията по защита на личните данни |
| Може ли проблемът да причини сериозно оперативно прекъсване или финансови загуби? | Оценка за значим инцидент по NIS2 |
| Засяга ли критична или важна функция на финансов субект? | Класификация като съществен инцидент, свързан с ИКТ, по DORA |
| Включва ли продукт на доставчик или облачна услуга? | Уведомяване на доставчик и договорна ескалация |
| Има ли активна експлоатация в реална среда? | Аварийна промяна, актуализация на разузнаването за заплахи, преценка за клиентско съобщение за сигурност |
За МСП културата на докладване трябва да бъде също толкова ясна. Политика за реагиране при инциденти за МСП на Clarysec Политика за реагиране при инциденти - МСП гласи:
„Персоналът трябва да докладва всяка подозрителна дейност или потвърден инцидент на incident@[company] или устно на управител (GM) или доставчика на ИТ услуги.“
Източник: Политика за реагиране при инциденти за МСП, изисквания за прилагане на политиката, клауза 6.2.1
В Zenith Blueprint, фаза „Контроли в действие“, стъпка 16: „Контроли, свързани с хора II“, принципът е още по-прост:
„При съмнение — докладвай.“
Източник: Zenith Blueprint: An Auditor’s 30-Step Roadmap, фаза „Контроли в действие“, стъпка 16: „Контроли, свързани с хора II“ (A.6.5 to A.6.8)
Тази фраза трябва да важи за разработчици, екипи за поддръжка, мениджъри на доставчици, ръководители по защита на личните данни, висши ръководители и външно възложени доставчици. Уязвимост, която може да засегне поверителност, цялостност, наличност, клиентско доверие, регулаторно докладване или финансови операции, трябва да бъде записана и оценена, а не неформално обработвана в чат.
Отстраняване, прилагане на корекции и компенсиращи контроли
След като уязвимостта бъде валидирана, тя трябва да бъде третирана. Третирането трябва да бъде основано на риска, подкрепено с доказателства и ограничено във времето.
Политика за координирано разкриване на уязвимости задава корпоративното очакване:
„План за отстраняване: За всички потвърдени уязвимости трябва да бъде разработен план за отстраняване или смекчаване. Прилагането на корекцията трябва да бъде приоритизирано според тежестта. Например критичните уязвимости трябва да бъдат отстранени или смекчени в рамките на 14 дни, когато това е приложимо, или по-рано, когато се установи активна експлоатация, докато проблемите с по-ниска тежест трябва да бъдат обработени в разумен срок. Когато пълното отстраняване се забави, трябва да бъдат внедрени компенсиращи контроли или временни мерки за смекчаване, като деактивиране на уязвима функционалност или засилване на мониторинга.“
Източник: Политика за координирано разкриване на уязвимости, изисквания за внедряване, клауза 6.6
За дисциплината при прилагане на корекции в МСП Политика за управление на уязвимости и корекции за МСП Политика за управление на уязвимости и корекции - МСП гласи:
„Критичните корекции трябва да бъдат приложени в рамките на 3 дни от публикуването им, особено за интернет-достъпни системи“
Източник: Политика за управление на уязвимости и корекции за МСП, изисквания за прилагане на политиката, клауза 6.1.1
Тези срокове не си противоречат. Корекция от доставчик за интернет-достъпна система може да изисква много бързо внедряване. Уязвимост в продукт, която изисква промени в кода, регресионно тестване, координация с клиенти и поетапно издание, може да изисква план за отстраняване с междинни смекчаващи мерки. Ключовото е решението да бъде документирано, да има собственик на риска и да бъде одобрено, когато остава остатъчен риск.
Практическият ход на случая изглежда така:
- Изследовател докладва заобикаляне на оторизация в API за клиентско фактуриране.
- VRT регистрира CVD-2026-014 с времеви маркер и потвърждава в рамките на 2 работни дни.
- Екипът по сигурността на продукта валидира дефекта за 24 часа и определя висока тежест поради достъп до данни между тенанти.
- Функцията по защита на личните данни извършва оценка за нарушение по GDPR, защото фактурните записи може да съдържат лични данни.
- Мениджърът по инциденти открива оценка на събитие съгласно контрол A.5.25 от ISO/IEC 27002:2022.
- Собственик на система деактивира уязвимата крайна точка чрез временен флаг за функционалност.
- Инженерингът създава спешна корекция съгласно контрол A.8.32 от ISO/IEC 27002:2022, „Управление на промените“.
- Добавят се правила за мониторинг за индикатори за експлоатация, свързани с A.8.15, „Журнализиране“, и A.8.16, „Дейности по мониторинг“.
- CISO информира висшето ръководство, защото проблемът е високорисков.
- VRT координира с изследователя повторното тестване и времето за разкриване.
- Собственикът на риска одобрява приключването само след проверочно тестване и преглед на въздействието върху клиентите.
- SoA, Регистърът на риска, билетът, журналите, уведомлението до ръководството и извлечените поуки се актуализират.
Това е разликата между „поправихме го“ и „можем да докажем, че го управлявахме“.
Зависимости от доставчици и облачни услуги: скритата точка на отказ
Много провали в CVD всъщност са прикрити провали на доставчици. Уязвимостта може да засяга SaaS компонент, облачна услуга, доставчик на управлявана сигурност, платежен шлюз, брокер за автентикация, библиотека с отворен код, екип за външна разработка или подизпълнител.
NIS2 Article 21 изисква сигурност на веригата на доставки, включително отношенията с преки доставчици и доставчици на услуги. Мерките за веригата на доставки трябва да отчитат уязвимости на доставчици, качество на продуктите, практики за киберсигурност и процедури за сигурна разработка.
DORA Articles 28 to 30 навлизат по-задълбочено за финансовите субекти. Те изискват рискът от трети страни в областта на ИКТ да се управлява като част от рамката за ИКТ риск, с регистри на договори за ИКТ услуги, разграничение между критични и важни функции, надлежна проверка преди сключване на договор, договорни изисквания за сигурност, съдействие при инциденти, сътрудничество с органи, права на одит, права за прекратяване и стратегии за изход. Финансовите субекти остават изцяло отговорни за съответствие с DORA дори когато използват доставчици от трети страни в областта на ИКТ.
Политика за сигурност на трети страни и доставчици за МСП на Clarysec Политика за сигурност на трети страни и доставчици - МСП включва просто правило за ескалация:
„Трябва незабавно да уведомява GM за всяко нарушение на сигурността, промяна или инцидент“
Източник: Политика за сигурност на трети страни и доставчици за МСП, роли и отговорности, клауза 4.4.3
За корпоративни договори с доставчици Zenith Blueprint, фаза „Контроли в действие“, стъпка 23, препоръчва включване на задължения за поверителност, отговорности за контрол на достъпа, технически и организационни мерки, срокове за докладване на инциденти, права на одит, контроли за подизпълнители и разпоредби при приключване на договора. В него се посочва:
„Важно е те да съществуват и да са разбрани и приети и от двете страни.“
Източник: Zenith Blueprint: An Auditor’s 30-Step Roadmap, фаза „Контроли в действие“, стъпка 23: „Организационни контроли“ (5.19 to 5.37)
Готовността на доставчиците за CVD трябва да отговаря на тези въпроси:
- Публикува ли доставчикът канал за докладване на уязвимости?
- Дефинирани ли са в договора срокове за уведомяване за уязвимости?
- Докладват ли се критичните уязвимости на доставчика без неоправдано забавяне?
- Свързани ли са слабостите, които засягат клиентите, със задължения за съдействие при инциденти?
- Може ли доставчикът да предостави доказателства за отстраняване или съобщения за сигурност?
- Прехвърлени ли са задълженията за уязвимости към подизпълнителите?
- Има ли стратегия за изход, ако отстраняването е недостатъчно?
Тук NIS2, DORA и ISO/IEC 27001:2022 се срещат. Управлението на уязвимости на доставчици не е отметка в процеса по снабдяване. То е част от оперативната устойчивост.
Картографиране на доказателства за ISO 27001, NIS2, DORA, GDPR и COBIT
Най-силните CVD програми поставят доказателствата на първо място. Те приемат, че всеки значим доклад може по-късно да бъде прегледан от вътрешен одит, сертификационни одитори, регулатори, клиенти, застрахователи или комитет по риска към съвета.
Политика за одит и мониторинг на съответствието за МСП на Clarysec Политика за одит и мониторинг на съответствието - МСП улавя детайл, който много екипи пропускат:
„Метаданните (напр. кой ги е събрал, кога и от коя система) трябва да бъдат документирани.“
Източник: Политика за одит и мониторинг на съответствието за МСП, изисквания за прилагане на политиката, клауза 6.2.3
Екранна снимка на коригиран сървър е слабо доказателство, ако никой не знае кой я е заснел, кога, от коя система и как тя се свързва с уязвимостта. Билет с времеви маркери, резултат от скенер, заявка за сливане, одобрение на промяна, журнали за внедряване, заявка за мониторинг, потвърждение от повторно тестване и метаданни е много по-силен.
| Етап от работния процес | Доказателства по ISO/IEC 27001:2022 и Приложение A | Доказателства по NIS2 и DORA |
|---|---|---|
| Публично приемане | Публикувана страница за сигурност, PGP ключ, одобрение на CVD политика | Готовност за обработване и разкриване на уязвимости |
| Получаване и потвърждение | Билет, времеви маркер, потвърждение към докладващото лице, идентификатор за проследяване | Доказва своевременно обработване и управление |
| Триаж | Оценка на тежестта, засегнат актив, собственик на риска, оценка на събитието | Подпомага класификацията на инциденти и решенията за докладване |
| Решение относно инцидент | Запис за оценка на инцидент, решение за ескалация, журнали | Анализ на значим инцидент по NIS2, класификация на съществен инцидент по DORA |
| Отстраняване | Билет за промяна, запис за корекция, заявка за сливане, резултат от тест | Доказателства за намаляване на риска и оперативна устойчивост |
| Ескалация към доставчик | Уведомление до доставчик, договорна клауза, запис за отговор | Доказателства за сигурност на веригата на доставки и риск от трети страни в ИКТ |
| Комуникация | Клиентско съобщение за сигурност, мемо до регулатор, решение по защита на личните данни | Доказателства за комуникация по NIS2, DORA и GDPR |
| Приключване | Повторно тестване, приемане на остатъчния риск, извлечени поуки | Непрекъснато подобрение и докладване към ръководството |
По-подробна матрица за проследимост помага при клиентска надлежна проверка и вътрешен одит.
| Изискване | Политика или процес на Clarysec | Клауза на ISO/IEC 27001:2022 или контрол от Приложение A | Доказателства за одитора |
|---|---|---|---|
| NIS2 Article 21, обработване и разкриване на уязвимости | Политика за координирано разкриване на уязвимости, клаузи 6.1, 6.4, 6.6, 9.1 | A.8.8 Управление на технически уязвимости | Публичен канал за докладване, журнал на уязвимостите, запис за тежест, билет за отстраняване |
| NIS2 Article 20, отчетност на ръководството | Ескалация от CISO и преглед от ръководството | Клауза 5.3 Организационни роли, отговорности и правомощия | Имейли за ескалация, протоколи от срещи, доклади за просрочени критични уязвимости |
| DORA Articles 17 to 20, управление и докладване на инциденти, свързани с ИКТ | Контролна точка за решение относно инцидент и работен процес за класификация | A.5.24 Планиране и подготовка за управление на инциденти, A.5.25 Оценка и решение по събития по информационна сигурност, A.5.26 Реагиране при инциденти по информационна сигурност | Запис за класификация, хронология на инцидента, решение за уведомяване, комуникация с клиент |
| DORA Articles 28 to 30, риск от трети страни в областта на ИКТ | Процес за ескалация към доставчици и договорни клаузи | A.5.19 Информационна сигурност във взаимоотношенията с доставчици, A.5.20 Адресиране на информационната сигурност в споразуменията с доставчици, A.5.21 Управление на информационната сигурност във веригата на доставки на ИКТ | Уведомление до доставчик, извадка от договор, доказателства за отговор, декларация за отстраняване |
| Отчетност по GDPR и оценка за нарушение | Ескалация към функцията по защита на личните данни и преглед на въздействието върху личните данни | Клауза 6.1.2 Оценка на риска за информационната сигурност, A.5.34 Поверителност и защита на лично идентифицираща информация (PII) | Меморандум за оценка на нарушение, анализ на експонирането на данни, решение за уведомяване на орган |
| Сигурно инженерство и издание на корекция | Работен процес за инженерно отстраняване | A.8.25 Жизнен цикъл на сигурна разработка, A.8.32 Управление на промените | Заявка за сливане, резултати от тестове, журнали за внедряване, план за връщане към предишно състояние |
| Мониторинг за експлоатация | Откриване от SOC и актуализация на разузнаването за заплахи | A.5.7 Разузнаване за заплахи, A.8.15 Журнализиране, A.8.16 Дейности по мониторинг | Бележка от threat intel, правило за откриване, заявка към журнали, преглед на предупреждение |
Различните одитори ще тестват един и същ процес през различни призми.
Одитор по ISO/IEC 27001:2022 ще започне от ISMS. Той ще провери дали задълженията за разкриване на уязвимости са включени в изискванията на заинтересованите страни, дали рисковете се оценяват последователно, дали контролите присъстват в SoA, дали съществуват оперативни доказателства и дали ръководството преглежда тенденции и просрочени елементи.
Рецензент по DORA или финансови услуги ще се фокусира върху оперативната устойчивост. Той ще разгледа интеграцията на ИКТ риска, класификацията на инциденти, ескалацията към висшето ръководство, комуникацията с клиенти, зависимостите от трети страни, тестването и извлечените поуки. Ако уязвимостта засяга критична или важна функция, ще се очаква тясна връзка между техническия билет, бизнес въздействието, последиците за непрекъсваемостта и задълженията на доставчика.
Рецензент по GDPR ще се фокусира върху личните данни. Бяха ли включени лични данни? Имаше ли неоторизиран достъп, загуба, изменение или разкриване? Бяха ли ясни ролите на администратор и обработващ лични данни? Беше ли оценен прагът за нарушение? Бяха ли релевантни предпазни мерки като шифроване, контрол на достъпа, журнализиране и минимизиране?
Одитор по COBIT 2019 или ISACA ще се фокусира върху управлението, отчетността, резултатността и увереността. Той ще търси дефинирана собственост, показатели, ескалация, цели на контролите, надзор от ръководството и проследяване на изключения. Просрочена критична уязвимост не е само технически проблем. Тя е управленски проблем, освен ако не е формално ескалирана и приета като риск.
Оценител, ориентиран към NIST, ще мисли в категориите Identify, Protect, Detect, Respond и Recover. Той ще очаква собственост върху активи, идентифициране на уязвимости, приоритизация, защитна промяна, откриване на експлоатация, координация на реагирането и валидиране на възстановяването.
Предимството на интегрирания CVD модел е, че една и съща доказателствена основа може да подкрепи всички тези прегледи.
Месечният контролен цикъл: показатели, които ръководството може да използва
CVD не приключва, когато билетът бъде затворен. Политика за координирано разкриване на уязвимости изисква текущ преглед на журналите:
„VRT трябва да поддържа журнал за разкриване на уязвимости, който проследява всеки доклад от получаването до приключването. Журналът трябва да се преглежда ежемесечно, за да се гарантира своевременно придвижване на отворените елементи. Просрочените елементи трябва да се ескалират.“
Източник: Политика за координирано разкриване на уязвимости, мониторинг и одит, клауза 9.1
Този месечен преглед превръща разкриването на уязвимости в управление, готово за управителен съвет. Ръководството не се нуждае от всеки технически детайл. То се нуждае от тенденция, експозиция, отчетност и просрочен риск.
| Показател | Стойност за ръководството |
|---|---|
| Получени външни доклади за уязвимости | Показва обем на докладване и ангажираност на изследователите |
| Процент потвърдени в рамките на SLA | Измерва дисциплината на процеса и доверието |
| Процент валидирани в целевия срок | Измерва капацитета за триаж |
| Отворени критични и високи уязвимости | Показва текущата експозиция |
| Средно време за отстраняване по тежест | Измерва ефективността на отстраняването |
| Просрочени елементи и статус на ескалацията | Показва качеството на управлението и приемането на риск |
| Доклади, включващи лични данни | Свързва CVD с експозицията по GDPR |
| Доклади, включващи доставчици | Свързва CVD с устойчивостта на веригата на доставки |
| Доклади, задействащи оценка за инцидент | Показва активността по решения от събитие към инцидент |
| Първопричини, повтарящи се в докладите | Захранва приоритетите за сигурна разработка и обучение |
В зряла реализация на Clarysec този месечен преглед на журналите захранва Регистъра на риска, Декларацията за приложимост, беклога за сигурна разработка, прегледите на доставчици, извлечените поуки от инциденти, плана за вътрешен одит и пакета за докладване към ръководството.
Изградете процеса преди да пристигне сериозният доклад
Най-лошият момент за проектиране на координирано разкриване на уязвимости е след като изследовател вече е публикувал вашата слабост или критичен банков клиент е спрял внедряването. NIS2, DORA, GDPR, ISO/IEC 27001:2022, очакванията за устойчивост в стил NIST и управлението по COBIT 2019 сочат в една и съща посока: разкриването на уязвимости трябва да бъде планирано, да има собственик, да се тества, да се доказва и да се подобрява.
Започнете с тези пет действия:
- Приемете или адаптирайте Политика за координирано разкриване на уязвимости.
- Изградете работния процес за приемане и триаж чрез Zenith Blueprint, особено стъпка 13 за проследимост на SoA, стъпка 16 за култура на докладване, стъпка 19 за техническо управление на уязвимости и стъпка 23 за споразумения с доставчици.
- Картографирайте работния процес чрез Zenith Controls, с фокус върху контролите A.8.8, A.5.24, A.5.25, A.5.26, A.5.27, A.5.28, A.8.15, A.8.16, A.8.25 и A.8.32 от ISO/IEC 27002:2022.
- Добавете клаузи, готови за МСП, от Политика за реагиране при инциденти за МСП, Политика за управление на уязвимости и корекции за МСП, Политика за сигурност на трети страни и доставчици за МСП, Политика за изискванията за сигурност на приложенията за МСП и Политика за одит и мониторинг на съответствието за МСП, когато пропорционалността е важна.
- Проведете настолно упражнение, което симулира доклад от изследовател, засягащ лични данни и компонент, хостван при доставчик, след което тествайте потвърждение, триаж, класификация на инцидент, прилагане на корекции, комуникация с клиенти, събиране на доказателства и ескалация към ръководството.
Clarysec може да ви помогне да превърнете това в работеща CVD политика, регистър за приемане, карта на доказателствата по ISO/IEC 27001:2022, дърво за решения по NIS2 и DORA, модел за ескалация към доставчици и контролен пакет, готов за одит. Целта е проста: когато пристигне следващият доклад за уязвимост, вашият екип не трябва да импровизира. Той трябва да действа уверено, с доказателства и контрол.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
