Обхват на СУИС по ISO 27001 за NIS2, DORA и GDPR
Мария, директор по информационна сигурност в бързо развиваща се европейска финтех компания, смяташе, че надзорният одит по ISO 27001 е под контрол.
Сертификатът беше нов. Декларацията за приложимост изглеждаше зряла. Декларацията за обхвата покриваше „корпоративната система за управление на информационната сигурност, която поддържа операциите на SaaS платформата“. Продукционната облачна среда беше документирана. Процедурата за реагиране при инциденти съществуваше. Регистърът на рисковете имаше собственици, дати и оценки на остатъчния риск.
Тогава одиторът зададе един прост въпрос:
„Кои части от тази SaaS платформа попадат и в обхвата на регистрацията по NIS2, кои външно възложени услуги поддържат критични или важни функции по DORA за вашите финансови клиенти и къде точно се обработват лични данни по GDPR?“
В залата настъпи тишина.
Правният отдел отвори таблица с регулаторни задължения. Продуктовият екип отвори архитектурна схема. Длъжностното лице по защита на данните (DPO) отвори регистъра на дейностите по обработване (RoPA). Закупуването отвори регистъра на доставчиците. Операциите отвориха плана за аварийно възстановяване. Нито един от тези документи не съвпадаше с останалите.
Обхватът на СУИС казваше „SaaS платформа“. Оценката по NIS2 беше идентифицирала услуги на цифрова инфраструктура в няколко държави членки. Договорите с клиенти описваха платформата като поддържаща регулирани финансови операции. Записите по GDPR включваха данни за идентичност, телеметрия, IP адреси, платежни метаданни, заявки за поддръжка и аналитични услуги от подизпълнители. Планът за аварийно възстановяване покриваше продукционната среда, но не и платформата за клиентска поддръжка, използвана за комуникации при нарушения. Надлежната проверка на доставчиците покриваше хостинг доставчика, но не и управляваната услуга за откриване, свързана с продукционните журнали.
Това е проблемът с определянето на обхвата на СУИС през 2026 г. Сертификацията по ISO 27001 остава ценна, но тесният „минимален обхват за сертификация“ може да се превърне в източник на отговорност, когато надзорните органи, клиентите и одиторите очакват същата система за управление да обясни основните услуги по NIS2, критичните или важните функции по DORA и границите на обработване по GDPR.
За ISO/IEC 27001:2022, NIS2, DORA и GDPR слабият обхват не е административен дефект. Той е първото домино. Ако обхватът е погрешен, оценката на риска е непълна, Декларацията за приложимост (SoA) е подвеждаща, контролите за доставчици пропускат критични доставчици, сроковете за докладване на инциденти стават несигурни, а отчетността за поверителността се фрагментира между екипите.
Защо обхватът на СУИС по ISO 27001 вече е регулаторна граница
ISO/IEC 27001:2022 клауза 4.3 изисква организацията да определи границите и приложимостта на СУИС, като вземе предвид вътрешни и външни фактори, изисквания на заинтересованите страни, както и интерфейси и зависимости с други организации ISO/IEC 27001:2022.
Тази формулировка има по-голямо значение през 2026 г., отколкото в предходни сертификационни цикли. NIS2, DORA, GDPR, възлагането на облачни услуги, клиентските договори, груповите технологични услуги и доставчиците на управлявани услуги не са странични бележки. Те са входни данни за определяне на границата на СУИС.
NIS2 повишава значението на управлението за съществени и важни субекти. Тя изисква органите за управление да одобряват мерките за управление на риска за киберсигурността, да упражняват надзор върху внедряването и да преминават обучение. NIS2 Article 21 изисква подходящи и пропорционални технически, оперативни и организационни мерки, включително анализ на риска, управление на инциденти, непрекъсваемост на дейността, сигурност на веригата на доставки, сигурно придобиване и разработка, оценка на ефективността, киберхигиена, криптография, сигурност на човешките ресурси, контрол на достъпа, управление на активи и многофакторна автентикация, когато е приложимо.
DORA променя разговора за обхвата при финансовите субекти. Тя се прилага от 17 януари 2025 г. и установява единни изисквания за управление на ИКТ риска, докладване на инциденти, свързани с ИКТ, тестване на цифровата оперативна устойчивост, споделяне на информация и управление на ИКТ риска от трети страни. DORA Article 6 изисква документирана рамка за управление на ИКТ риска. DORA Article 8 изисква идентификация, класификация и документиране на бизнес функции, информационни активи и ИКТ активи, поддържани от ИКТ, включително зависимости. DORA Article 28 изисква управление на ИКТ риска от трети страни.
GDPR добавя оста на личните данни. Той се прилага за автоматизирано или структурирано обработване на лични данни, включително обработване от организации, установени в ЕС, и определени администратори или обработващи извън ЕС, които предлагат стоки или услуги на лица в Съюза или наблюдават тяхното поведение. GDPR Article 30 изисква записи на дейностите по обработване, Article 32 изисква сигурност на обработването, а Article 33 определя очакванията за уведомяване при нарушения.
Следователно защитимият обхват на СУИС не се описва около отдели. Той се описва около регулирани услуги, критични или важни функции, обработване на лични данни, поддържащи активи и зависимости от трети страни.
Грешката: ISO 27001, NIS2, DORA и GDPR се третират като отделни програми
В много организации се наблюдава често срещан модел:
- Екипът по сигурността изготвя обхвата по ISO 27001.
- Правният отдел оценява приложимостта на NIS2.
- Функцията по управление на риска или съответствие управлява задълженията по DORA.
- Екипът по поверителност поддържа записите по GDPR за дейностите по обработване.
- Закупуването отговаря за списъка на доставчиците.
- Операциите отговарят за непрекъсваемостта на дейността и аварийното възстановяване.
Всеки екип може да върши разумна работа. Проблемът е, че регулираната реалност преминава през всички тях.
Облачно хоствана услуга за клиентска идентичност може едновременно да поддържа предоставяне на услуги по NIS2, регулирани клиентски операции по DORA и обработване на лични данни по GDPR. Доставчик на управлявано откриване може да бъде доставчик на услуги за сигурност, зависимост за реагиране при инциденти, обработващ или подизпълнител по обработване на данни от журнали и ключов източник на информация за решения за регулаторно уведомяване. Платформа за поддръжка може да се счита за „непродукционна“, като същевременно обработва комуникации при нарушения на сигурността на личните данни и искания от клиенти за потвърждение на контролите.
СУИС е най-подходящото място за интегриране на тези задължения, защото ISO 27001 поставя един дисциплиниран въпрос: какво е вътре в границата, какво е извън нея и защо?
Zenith Blueprint: 30-стъпкова пътна карта на одитора на Clarysec Zenith Blueprint разглежда това във фазата ISMS Foundation & Leadership, стъпка 2: нужди на заинтересованите страни и обхват на СУИС:
„След като контекстът е разбран и изискванията на заинтересованите страни са идентифицирани, клауза 4.3 изисква да определите границите и приложимостта на СУИС, за да установите нейния обхват. Обхватът на СУИС е ключово определение, което задава какво е включено във вашата програма за управление на сигурността и какво не е.“
Zenith Blueprint подчертава и въпрос, който много декларации за обхват все още пропускат:
„Ако възложите своята ИТ инфраструктура на облачен доставчик, това не я изключва от обхвата; напротив, включвате управлението на това взаимоотношение и облачните активи като част от обхвата.“
Възлагането прехвърля изпълнението. То не заличава отчетността.
Моделът с четири граници за обхвата на ISO 27001 през 2026 г.
За организации, засегнати от NIS2, DORA и GDPR, Clarysec препоръчва обхватът на СУИС по ISO 27001 да се определя чрез четири свързани граници.
| Граница | Ключов въпрос за обхвата | Типични доказателства | Регулаторна релевантност |
|---|---|---|---|
| Граница на услугите | Кои услуги се предоставят на клиенти, граждани, пациенти, финансови субекти или други регулирани заинтересовани страни? | Каталог на услугите, оценка на приложимостта на NIS2, клиентски договори, архитектурни схеми | Класификация като съществен или важен субект по NIS2 и анализ на въздействието върху услугите |
| Граница на функциите | Кои бизнес процеси или ИКТ услуги поддържат критични или важни функции? | BIA, картиране на критични функции по DORA, стратегия за устойчивост, записи за RTO и RPO | Управление на ИКТ риска по DORA, тестване на оперативната устойчивост и риск от трети страни |
| Граница на обработването | Къде се събират, съхраняват, използват, прехвърлят, журнализират, поддържат или изтриват лични данни? | RoPA, карти на потоците от данни, DPIA, списък на обработващите, график на сроковете за съхранение | Отчетност по GDPR, сигурност на обработването и реагиране при нарушения |
| Граница на зависимостите | Кои доставчици, облачни услуги, подизпълнители и вътрешни споделени услуги поддържат горното? | Регистър на доставчиците, договори, облачен инвентар, планове за изход, записи от мониторинг | Сигурност на веригата на доставки по NIS2, ИКТ риск от трети страни по DORA и контроли за доставчици по ISO 27001 |
Слаба декларация за обхват казва само „SaaS платформата“. По-силна декларация посочва кои бизнес услуги, системи, среди, локации, дейности по обработване на данни, групи персонал, отношения с доставчици и процеси за управление са включени.
По-защитима версия може да гласи:
„СУИС обхваща управлението, управлението на риска, експлоатацията и непрекъснатото подобрение на информационната сигурност за SaaS платформата на дружеството за платежна аналитика в ЕС, включително продукционни и непродукционни облачни среди, услуги за клиентска идентичност, административни интерфейси, операции по поддръжка, платформи за журнализиране и мониторинг, реагиране при инциденти, непрекъсваемост на дейността, управление на доставчици и всички дейности по обработване на лични данни, поддържащи услугата. СУИС включва управлението на външно възложен облачен хостинг, управлявано откриване и инструменти за клиентска поддръжка, използвани за предоставяне на услуги, устойчивост, мониторинг на системи за сигурност или комуникации, свързани с GDPR.“
Този обхват не е просто по-дълъг. Той е по-подходящ за одитиране, защото свързва услуги, активи, обработване и зависимости.
Как политиките на Clarysec превръщат обхвата в език на управлението
Обхватът не трябва да живее в самостоятелен документ. Той трябва да е съгласуван с политиката за информационна сигурност, правното и регулаторното съответствие, управлението на риска, поверителността, управлението на доставчици, критериите за одит и планирането на непрекъсваемостта.
Корпоративната Политика за информационна сигурност Политика за информационна сигурност предотвратява неясноти около изключенията:
„Всички изключения или ограничения на този обхват трябва да бъдат документирани в Декларацията за обхвата на СУИС и обосновани с формално одобрение от висшето ръководство.“
Тази клауза е важна, когато бизнес звено твърди, че клиентската поддръжка е извън платформата, въпреки че служителите по поддръжка имат достъп до клиентски идентификатори и обработват комуникации при нарушения. Изключване е възможно само ако е документирано, обосновано и одобрено.
Корпоративната Политика за правно и регулаторно съответствие Политика за правно и регулаторно съответствие прави правното картиране оперативно:
„Всички правни и регулаторни задължения трябва да бъдат съпоставени с конкретни политики, контроли и собственици в рамките на системата за управление на информационната сигурност (СУИС).“
Това е мостът между правната приложимост и Декларацията за приложимост. NIS2 Article 21 не трябва да остава в правно становище. ИКТ задълженията към трети страни по DORA не трябва да остават само в указанията за закупуване. Задълженията по GDPR Article 30 и Article 32 не трябва да стоят само в регистъра за поверителност. Те се нуждаят от картографирани собственици, контроли и доказателства.
Корпоративната Политика за управление на риска Политика за управление на риска разширява обхвата към трети страни:
„Тази политика се прилага за всички организационни звена, бизнес процеси, системи, персонал и ангажименти с трети страни, участващи в боравенето, разработването, съхранението или управлението на информационни активи.“
Тази формулировка е съгласувана със сигурността на веригата на доставки по NIS2, ИКТ риска от трети страни по DORA и отчетността на администратор или обработващ по GDPR.
Корпоративната Политика за защита на данните и поверителност Политика за защита на данните и поверителност обвързва обхвата на поверителността с обработването:
„Тази политика се прилага за всички организационни звена, персонал и системи, участващи в обработването на информация, позволяваща идентифициране на физическо лице (PII), включително:“
Принципът е решаващ. Ако система обработва PII, тя не може да бъде невидима за СУИС само защото е „само поддръжка“, „непродукционна“ или „собственост на маркетинга“.
Корпоративната Политика за непрекъсваемост на дейността и аварийно възстановяване Политика за непрекъсваемост на дейността и аварийно възстановяване свързва обхвата с резултатите от BIA:
„Тази политика се прилага за всички организационни звена, информационни системи, бизнес процеси, персонал и услуги от трети страни, класифицирани като критични или съществени въз основа на резултатите от анализа на въздействието върху бизнеса (BIA).“
Тази клауза естествено съответства на критичните или важни функции по DORA и непрекъсваемостта на услугите по NIS2.
За по-малки организации политиките за МСП на Clarysec запазват формулировките кратки, като съхраняват същата логика. Политиката за одит и мониторинг на съответствието за МСП Политика за одит и мониторинг на съответствието за МСП определя одитното покритие като:
„Всички контроли и системи в обхвата на системата за управление на информационната сигурност (СУИС)“
Политиката за защита на данните и поверителност за МСП Политика за защита на данните и поверителност за МСП определя обхвата на поверителността като:
„Всяка система, приложение или локация, в която се съхраняват или предават лични данни“
Политиката за управление на риска за МСП Политика за управление на риска за МСП запазва видимостта върху външно възложените услуги:
„Цялата информация, услуги и активи, управлявани вътрешно или чрез трети страни“
Кратки клаузи като тези са силни, защото не позволяват сертификационната граница да изключи регулирани данни, облачни услуги или активи, управлявани от доставчици.
Инвентарът на активите е мястото, където обхватът става реален
Декларацията за обхват е достоверна само ако може да бъде проследена до активи, собственици, доставчици, потоци от данни и доказателства.
Zenith Blueprint, във фазата за управление на риска, стъпка 9: идентифициране на активи, заплахи и уязвимости, инструктира организациите да изброят активите в обхвата на СУИС и да запишат собственик, местоположение и класификация. Той дава практически пример:
„Клиентска база данни – собственост на ИТ отдел – хоствана в AWS – съдържа лични и финансови данни (висока чувствителност).“
Същата стъпка добавя напомняне за обхвата, което е пряко релевантно за NIS2 и GDPR:
„Уверете се, че активите с лични данни са маркирани (за релевантност по GDPR), а активите на критични услуги са отбелязани (за потенциална приложимост на NIS2, ако сте в регулиран сектор).“
Zenith Controls: Ръководство за кръстосано съответствие на Clarysec Zenith Controls третира ISO/IEC 27002:2022 контрол 5.9, инвентар на информацията и други свързани активи, като базов контрол за кръстосано съответствие. Неговите атрибути класифицират контрола като превантивен, поддържащ поверителност, цялостност и наличност, съгласуван с концепцията Identify за киберсигурност, оперативната способност за управление на активи и областите управление, екосистема и защита.
Zenith Controls обяснява ясно релевантността за GDPR и NIS2:
„Без точен и актуален инвентар на активите организациите не могат да оценят или внедрят подходящи защити.“
За NIS2 инвентарът на активите поддържа идентифицирането на критични системи и компоненти, които осигуряват основни или важни услуги. За DORA DORA Article 8 поставя идентифицирането на ИКТ активи и информационни активи в центъра на оперативната устойчивост. За GDPR инвентарът на активите поддържа картиране на потоците от данни, качеството на RoPA и реагирането при нарушения.
Поддържащите ISO стандарти затвърждават същата логика. ISO/IEC 27005:2024 укрепва идентифицирането на активи при оценката на риска за информационната сигурност. ISO 22301:2019 подпомага идентифицирането на ресурсите, необходими за непрекъсваемост на дейността. ISO/IEC 19770-1:2017 подпомага зрелостта на управлението на ИТ активи. ISO/IEC 27017:2015 и ISO/IEC 27018:2019 подпомагат специфични за облака контроли и защитата на PII в публични облаци. ISO/IEC 27701:2019 разширява управлението на информацията за поверителност. ISO/IEC 29100:2011 допринася с принципи за поверителност като прозрачност, минимизиране и предпазни мерки за сигурност.
Практическо упражнение за определяне на обхвата за SaaS и финтех екипи
Започнете с една регулирана услуга, а не с цялото дружество. Например: „SaaS за платежна аналитика в ЕС за финансови институции“.
След това изградете карта от услугата към активите и обработването.
| Елемент на обхвата | Примерен запис | Защо принадлежи към обхвата |
|---|---|---|
| Регулирана услуга | SaaS за платежна аналитика в ЕС | Може да поддържа класификация като цифрова услуга по NIS2 и регулаторни задължения на клиенти |
| Критична или важна функция | Табло за мониторинг на транзакции за регулирани финансови клиенти | Може да бъде третирано от клиентите като поддържащо критични или важни функции по DORA |
| Обработване на лични данни | Потребителска идентичност, данни за контакт с клиенти, IP адреси, заявки за поддръжка, одитни журнали | GDPR се прилага за автоматизирано или структурирано обработване на лични данни |
| Основни активи | Продукционен облачен tenant, клъстер от бази данни, API шлюз, IAM, CI/CD конвейер, набор от инструменти за мониторинг | Необходими за оценката на риска по ISO 27001, управлението на активи по NIS2 и видимостта върху ИКТ по DORA |
| Ключови доставчици | Облачен доставчик, доставчик на управлявано откриване, SaaS за клиентска поддръжка, имейл услуга, доставчик на резервни копия | Необходими за сигурността на веригата на доставки по NIS2 и ИКТ риска от трети страни по DORA |
| Зависимости за непрекъсваемост | Хранилище за резервни копия, регион за аварийно възстановяване, комуникации за поддръжка, конферентна връзка за инциденти | Необходими за устойчивостта по DORA и непрекъсваемостта на дейността по NIS2 |
| Собственици на доказателства | Директор по информационна сигурност, DPO, ръководител „Инженеринг“, ръководител „Закупуване“, собственик на услугата | Необходими за отчетност при одит и преглед от ръководството |
По-подробен пример за актив може да изглежда така.
| Име или описание на актива | Собственик | Поддържана бизнес услуга | Регулаторна релевантност | В обхвата на СУИС? | Обосновка |
|---|---|---|---|---|---|
| Услуга за клиентска автентикация | Ръководител „Платформа“ | Потребителско вписване и многофакторна автентикация (MFA) | DORA, GDPR, NIS2 | Да | Критична за достъпа до платформата и обработва лични данни |
| Предпродукционна база данни | DevOps екип | Предпродукционно тестване | GDPR | Да | Обработва псевдонимизирани лични данни и може да повлияе на сигурността на продукционната среда |
| API за плащания от трета страна | Ръководител „Продукт“ | Основна обработка на плащания | DORA, GDPR | Да, управление на доставчика | Поддържа предоставяне на критична услуга и обработва лични или финансови данни |
| Вътрешна wiki система | ИТ мениджър | Вътрешна документация | ISO 27001 | Да | Съдържа конфигурационни данни, процедури и документация по сигурността |
| Изолирана мрежа за НИРД | Ръководител „НИРД“ | Бъдещи изследвания | Към момента не е приложимо | Не | Изолирана система, без продукционни данни, без PII, без критична функция; изключението е формално одобрено |
След това използвайте Zenith Blueprint стъпка 13: планиране на третиране на риска и Декларация за приложимост. Ръководството инструктира потребителите да изградят SoA чрез шаблона, който изброява всички контроли от Annex A, и да решат приложимостта въз основа на третиране на риска, правни или договорни изисквания, релевантност към обхвата и организационен контекст. То посочва:
„За всеки контрол (ред) в листа SoA решете дали той е приложим за вашата СУИС.“
За примера по-горе SoA трябва да разгледа контроли за сигурност на доставчиците, облачни услуги, управление на инциденти, непрекъсваемост, правни и регулаторни изисквания, поверителност, управление на уязвимости, резервни копия, журнализиране, мониторинг, криптография, сигурна разработка, тестване на сигурността и управление на промените.
Практическият работен поток е:
- Създайте раздел „Картографиране на обхвата на СУИС“ в регистъра на рисковете и SoA Builder.
- Добавете по един ред за всяка регулирана услуга или продуктова линия.
- Свържете всяка услуга с активи, типове данни, доставчици, локации и бизнес собственици.
- Отбележете релевантност по NIS2, релевантност по DORA и релевантност на обработването по GDPR.
- Добавете рискови сценарии за недостъпна услуга, нарушение на сигурността на личните данни, отказ на доставчик, неправилна конфигурация на облака, критична уязвимост и неуспешно докладване на инцидент.
- Изберете контроли в SoA въз основа на тези рискове и задължения.
- Документирайте изключения, компенсиращи контроли и приемане на риска.
- Получете одобрение от висшето ръководство за окончателните граници и изключения.
- Подайте окончателната граница към вътрешния одит, прегледа от ръководството и мониторинга на доставчиците.
Резултатът не е просто по-добра декларация за обхват. Това е защитима верига от регулирана услуга към актив, доставчик, данни, контрол, собственик и доказателства.
Картографиране на кръстосано съответствие: един обхват, много задължения
Добре определен обхват на СУИС по ISO 27001 се превръща в оперативния слой, в който очакванията на NIS2, DORA, GDPR, NIST CSF и COBIT могат да бъдат съгласувани.
| Контрол по ISO/IEC 27002:2022 | Основна стойност за определяне на обхвата | Релевантност по NIS2 | Релевантност по DORA | Релевантност по GDPR | Релевантност към NIST CSF и COBIT |
|---|---|---|---|---|---|
| 5.9 Инвентар на информацията и други свързани активи | Идентифицира активи, собственици, локации, класификация и зависимости на услугите | Поддържа управление на активи по Article 21 и идентифициране на системи, поддържащи услуги | Поддържа идентифициране на ИКТ активи, информационни активи и функции по Article 8 | Поддържа точността на RoPA, сигурността на обработването и разследването на нарушения | Картира се към NIST CSF ID.AM и COBIT 2019 BAI09 Manage Assets |
| 5.31 Правни, законови, регулаторни и договорни изисквания | Свързва задълженията с политики, контроли, собственици и доказателства | Поддържа управлението на задълженията по NIS2 и съответствието на веригата на доставки | Поддържа управление на ИКТ риска, докладване и задължения към трети страни | Поддържа отчетността и правното съответствие | Картира се към NIST CSF GOVERN и COBIT 2019 MEA03 Managed Compliance with External Requirements |
| 5.34 Поверителност и защита на PII | Гарантира видимост и защита на обработването на лични данни | Поддържа защитата на данни на получатели на услуги, когато е приложимо | Поддържа цялостност, сигурност и поверителност на данните в ИКТ услуги | Поддържа GDPR Article 32 и очакванията за защита на данните още при проектирането | Поддържа управление на поверителността и оперативно управление на поверителността |
За ISO/IEC 27002:2022 контрол 5.31, правни, законови, регулаторни и договорни изисквания, Zenith Controls свързва задълженията за съответствие с поверителност, защита на PII, съхранение на записи, независим преглед и съответствие с вътрешни политики. Той естествено се картира към отчетност по GDPR, съответствие на веригата на доставки по NIS2, управление на ИКТ риска и съответствие по DORA, управление по NIST CSF и мониторинг на външното съответствие по COBIT 2019.
За ISO/IEC 27002:2022 контрол 5.34, поверителност и защита на PII, Zenith Controls свързва поверителността с инвентар на активите, облачни услуги, класификация, прехвърляне на информация, контрол на достъпа, управление на идентичности и прегледи на проектни промени. Неговото картографиране към GDPR покрива сигурността на обработването и защитата на личните данни още при проектирането. Картографирането му към DORA поддържа цялостност, сигурност и поверителност на данните, включително лични данни, обработвани в ИКТ услуги.
Принципът е прост: не създавайте четири несвързани програми за съответствие. Създайте една СУИС с ясен обхват, която може да обясни как задълженията се изпълняват, доказват и одитират.
Обхват на докладването на инциденти: къде границите влияят върху регулаторните срокове
Неправилният обхват става болезнено видим по време на инциденти.
NIS2 Article 23 изисква поетапно докладване на значими инциденти, включително ранно предупреждение в рамките на 24 часа, уведомление за инцидент в рамките на 72 часа, междинни доклади при поискване и окончателен доклад в рамките на един месец. Може да се изисква и комуникация към засегнатите получатели.
DORA изисква финансовите субекти да откриват, управляват, класифицират и докладват съществени инциденти, свързани с ИКТ, чрез критерии като засегнати клиенти или контрагенти, продължителност, прекъсване на услугата, географски обхват, загуби на данни, критичност на засегнатите услуги и икономическо въздействие. Клиентите трябва да бъдат информирани без неоправдано забавяне, когато съществен ИКТ инцидент засяга техните финансови интереси.
Уведомяването за нарушение на сигурността на личните данни по GDPR зависи от това дали нарушението води до случайно или незаконосъобразно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни.
Ако платформата за поддръжка, средата за журнали, услугата за идентичност, каналът за уведомяване на клиенти или доставчикът на управлявано откриване са извън обхвата на СУИС, екипите за инциденти може да не знаят дали дадено събитие задейства NIS2, DORA, GDPR, договорно докладване към клиенти или всички тях. Тази несигурност изяжда времето за докладване.
Зрелият обхват включва зависимости, релевантни за инциденти: инструменти за откриване, хранилища за журнали, хранилища за форензични доказателства, канали за комуникация с клиенти, инструменти за поддръжка, среди за резервни копия, конферентни връзки за инциденти и доставчици, участващи в триаж или възстановяване.
Как одиторите и надзорните органи ще тестват обхвата на вашата СУИС
Силният обхват издържа на извадково тестване. Слабият обхват се срива, когато одиторите сравнят документите с реалността.
| Одитна перспектива | Какво ще тества одиторът | Типично изисквани доказателства |
|---|---|---|
| Одитор по ISO 27001 | Дали обхватът отчита контекста, изискванията на заинтересованите страни, интерфейсите, зависимостите и документираните изключения | Декларация за обхвата на СУИС, регистър на заинтересованите страни, правен регистър, инвентар на активите, SoA, одобрение от ръководството |
| Оценител, ориентиран към NIST | Дали активите, доставчиците, реакциите на риска, мониторингът и критериите за инциденти съответстват на заявената граница | Текущи и целеви профили, инвентар на активите, регистър на рисковете, план за действие, покритие на мониторинга, планове за инциденти |
| Одитор по COBIT 2019 | Дали управлението покрива външни задължения, критични услуги, мониторинг на съответствието и отчетност | Доклади до съвета, картографиране на съответствието, собственост върху услуги, информационни табла за риска, мониторинг в стил MEA03 |
| Одитор по ISACA ITAF | Дали доказателствата са достатъчни, подходящи и проследими от задълженията към контролите и резултатите | Проверени извадково активи, договори с доставчици, журнали, правен регистър, одитни следи, интервюта със собственици |
| Проверяващ по DORA | Дали ИКТ активите и услугите от трети страни, поддържащи критични или важни функции, са идентифицирани и тествани | ИКТ регистър, картиране на критични функции, договори, планове за изход, резултати от тестове, записи за инциденти |
| Одитор по поверителност | Дали обработването на лични данни е инвентаризирано, защитено и свързано с контроли | RoPA, DPIA, споразумения с обработващи, журнали за достъп, доказателства за съхранение, процедури при нарушения |
Zenith Controls предоставя полезни одитни очаквания за ISO/IEC 27002:2022 контрол 5.9. Одиторите в стил ISO/IEC 19011 изискват инвентара рано, за да определят обхвата на други оценки и да направят извадкови проверки на физически, софтуерни и облачни активи. Одиторите в стил ISO/IEC 27007 питат как и кога се актуализира инвентарът, като търсят връзки със закупуване, управление на промените и извеждане от употреба. Одиторите в стил NIST SP 800-53A проверяват дали детайлите в инвентара включват тип актив, собственик, местоположение, мрежов адрес, когато е приложимо, и статус, както и дали са включени облачни, виртуални и мобилни активи.
За контрол 5.31 Zenith Controls отбелязва, че сертификационните одитори очакват регистър на съответствието или списък на закони и договори, реферирани в SoA и плановете за третиране на риска. Одиторите по COBIT търсят собственици на съответствието, оценки и докладване към висшето ръководство. Одиторите по ISACA ITAF вземат извадки от доказателства, за да потвърдят, че организацията не само познава своите задължения, но активно гарантира тяхното изпълнение.
За контрол 5.34 одиторите преглеждат политики за поверителност, инвентари на данни, DPIA, журнали за обучения, доказателства за шифроване, контроли на достъпа, извадки от DSAR, доказателства за защита на личните данни още при проектиране и записи за инциденти, включващи PII. Декларация за обхват, която изключва система, обработваща лични данни, бързо ще бъде оспорена.
Въпросът към съвета: какво не може да бъде изключено?
Висшето ръководство често пита дали бизнес звено, локация, доставчик или система може да остане извън обхвата на СУИС. Понякога отговорът е „да“. Но не и ако изключването пречи на организацията да изпълни правни, регулаторни, договорни задължения или задължения за сигурност на услугата.
Използвайте този тест за изключване, преди да одобрите каквото и да е ограничение на границата:
- Поддържа ли звеното, системата или доставчикът услуга, регулирана по NIS2?
- Поддържа ли критична или важна функция по DORA за организацията или за нейните регулирани клиенти?
- Събира ли, съхранява ли, предава ли, журнализира ли, поддържа ли или изтрива ли лични данни?
- Осигурява ли мониторинг на системи за сигурност, идентичност, резервни копия, реагиране при инциденти или възстановяване за услуга в обхвата?
- Предоставя ли доказателства, необходими за класификация на инцидент или регулаторно уведомяване?
- Изисква ли клиентски договор тя да бъде покрита от СУИС?
- Би ли компрометирането ѝ засегнало поверителността, цялостността, наличността, правното съответствие или непрекъсваемостта на услугата в заявения обхват?
Ако отговорът е „да“, изключването изисква силни доказателства, компенсиращо управление, приемане на риска и формално одобрение от висшето ръководство. В много случаи то не трябва да бъде изключвано.
Съвременният обхват на СУИС по ISO 27001 трябва да включва:
- Покрити бизнес услуги и продуктови линии.
- Покрити правни субекти, организационни звена и локации.
- Клиентски сегменти и юрисдикции, които пораждат задължения.
- Критични или важни функции и съществени услуги, базирани на BIA.
- Информационни активи, ИКТ активи и облачни среди.
- Дейности по обработване на лични данни и хранилища на PII.
- Процеси за разработка, тестване, поддръжка, мониторинг и управление на инциденти.
- Доставчици и външно възложени услуги, поддържащи услуги в обхвата.
- Интерфейси и зависимости с дружества от групата или външни доставчици.
- Изрични изключения с обосновка, приемане на риска и одобрение от висшето ръководство.
Така обхватът по ISO 27001 се превръща в управленска позиция на ниво съвет, а не в сертификационен пряк път.
Направете обхвата на вашата СУИС готов за одит, преди одиторът да го определи вместо вас
Най-неподходящият момент да откриете проблем с обхвата е по време на сертификация, надзорен преглед, надлежна проверка от клиент или реален инцидент.
Тесният сертификат може да удовлетвори отметка в процеса на закупуване, но няма да издържи сериозна проверка, ако изключва услугите, ИКТ функциите, доставчиците и обработването на лични данни, които създават регулаторна експозиция. През 2026 г. организациите, които ще преминават одити с увереност, ще бъдат тези, които могат да покажат една съгласувана карта от регулирана услуга към актив, доставчик, лични данни, контрол, собственик и доказателства.
Започнете с три конкретни действия:
- Използвайте Zenith Blueprint Zenith Blueprint, фаза: ISMS Foundation & Leadership, стъпка 2, за да преработите обхвата на вашата СУИС около услуги, функции, обработване и зависимости.
- Използвайте Zenith Controls Zenith Controls, за да картографирате инвентара на активите, правните задължения и защитата на PII спрямо одитните очаквания по ISO 27001, NIS2, DORA, GDPR, NIST и COBIT 2019.
- Съгласувайте обхвата на политиките чрез Политиката за информационна сигурност на Clarysec Политика за информационна сигурност, Политика за правно и регулаторно съответствие Политика за правно и регулаторно съответствие, Политика за управление на риска Политика за управление на риска, Политика за защита на данните и поверителност Политика за защита на данните и поверителност и Политика за непрекъсваемост на дейността и аварийно възстановяване Политика за непрекъсваемост на дейността и аварийно възстановяване.
Ако текущият обхват на вашата СУИС все още звучи като етикет на отдел, изградете го отново като граница на съответствието. Изтеглете инструментариумите на Clarysec, картографирайте една регулирана услуга от край до край и превърнете обхвата си по ISO 27001 в доказателства, готови за одит по NIS2, DORA и GDPR.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
