Одиторски доказателства по ISO 27001 за NIS2 и DORA
Вторник е, 08:17, а директорът по информационна сигурност на бързо растяща финтех SaaS компания има три чакащи съобщения.
Първото е от голям банков клиент: „Моля, изпратете последния си доклад от вътрешен одит, протоколите от прегледа от ръководството, статуса на коригиращите действия, процедурата за докладване на инциденти, регистъра на доставчиците и доказателства за надзор от управителния орган.“
Второто е от финансовия директор: „Попадаме ли в обхвата на NIS2 или DORA и с какви доказателства вече разполагаме?“
Третото е от изпълнителния директор: „Можем ли да кажем, че сме готови за одит?“
Неудобният отговор в много организации не е, че нищо не се прави. По-лошо е. Дейности по сигурността се извършват навсякъде, но доказателствата липсват. Има контроли, но няма одитна следа. Има тикети, но няма ясна връзка с рисковете. Има актуализации към ръководството, но няма формални резултати от преглед от ръководството. Има разговори с доставчици, но няма защитим регистър на доставчиците, преглед на договорите или стратегия за изход.
Именно в тази празнина вътрешният одит и прегледът от ръководството по ISO/IEC 27001:2022 стават нещо повече от дейности за сертификация. Те се превръщат в оперативен ритъм за NIS2, DORA, GDPR, потвърждение пред клиенти, киберзастраховане и отчетност на управителния орган.
Екипите в SaaS, облачни услуги, MSP, MSSP и финтех рядко се провалят поради липса на дейности по сигурността. Те се провалят, защото дейностите са разпръснати в Slack, Jira, електронни таблици, портали на доставчици, тикети в SOC, файлове по обществени поръчки и презентации за управителния орган. Регулаторът, външният одитор или корпоративният клиент не очакват героично обяснение. Те очакват обективни доказателства.
Практическото решение не е да се изпълняват отделни одитни програми за всяка рамка. Решението е СУИС по ISO 27001 да се използва като централен механизъм за доказателства, а след това тези доказателства да се маркират спрямо NIS2, DORA, GDPR и договорните изисквания. При правилно изпълнение един цикъл на вътрешен одит и един преглед от ръководството могат да отговорят на много въпроси за съответствие.
От умора от рамки към единен модел на доказателства в СУИС
Много директори по информационна сигурност се сблъскват с вариант на проблема на Мария. Мария ръководи сигурността в B2B SaaS компания с клиенти от финансовия сектор. Нейният екип е преминал сертификационен одит по ISO/IEC 27001:2022 преди шест месеца. СУИС се развива, политиките се спазват, а собствениците на контроли разбират своите отговорности. След това изпълнителният директор препраща две статии — едната за Директивата NIS2, а другата за DORA — с кратък въпрос: „Покрити ли сме?“
Отговорът зависи от обхвата, услугите, клиентите и юридическите лица. Но оперативният отговор е ясен: ако Мария третира NIS2 и DORA като отделни проекти за съответствие, тя ще създаде дублирана работа, несъгласувани доказателства и нарастваща одитна умора. Ако ги третира като изисквания на заинтересовани страни в рамките на СУИС, тя може да използва ISO 27001, за да ги включи, тества и докаже готовност.
ISO/IEC 27001:2022 е проектиран точно за това. Клауза 4 изисква организацията да разбира своя контекст и изискванията на заинтересованите страни, включително правни, регулаторни, договорни и произтичащи от зависимости задължения. Клауза 5 изисква лидерство и интеграция в бизнес процесите. Клауза 6 изисква оценка на риска и третиране на риска. Клауза 9 изисква оценяване на резултатността чрез мониторинг, вътрешен одит и преглед от ръководството. Клауза 10 изисква подобрение и коригиращо действие.
NIS2 и DORA се вписват естествено в тази структура.
NIS2 изисква от съществените и важните субекти да прилагат подходящи и пропорционални технически, оперативни и организационни мерки за управление на риска за киберсигурността. Тя също възлага отговорност на управителните органи да одобряват тези мерки, да упражняват надзор върху прилагането им и да могат да носят отговорност за нарушения. Минималните ѝ мерки обхващат анализ на риска, обработване на инциденти, непрекъсваемост на дейността, сигурност на веригата на доставки, сигурна разработка, обработване на уязвимости, оценка на ефективността, обучение, криптография, сигурност в областта на човешките ресурси, контрол на достъпа, управление на активите и, когато е приложимо, многофакторно удостоверяване или непрекъсната автентикация.
DORA се прилага от 17 януари 2025 г. и създава секторен режим за цифрова оперативна устойчивост за финансови субекти. Тя изисква отговорност на управителния орган за управление на ИКТ риска, документирана рамка за управление на ИКТ риска, стратегия за цифрова оперативна устойчивост, планове за непрекъсваемост и възстановяване на ИКТ, тестване на устойчивостта, управление на инциденти, свързани с ИКТ, и управление на риска от ИКТ трети страни. За SaaS и доставчици на облачни услуги, обслужващи финансови субекти, DORA може да се прояви чрез договорни задължения, клиентски одити и очаквания за управление на риска от ИКТ трети страни, дори когато самият доставчик не е финансов субект.
GDPR добавя слоя на отчетност. Когато лични данни се обработват в обхвата на GDPR, организациите трябва да могат да докажат съответствие с принципите за защита на данните и с подходящите технически и организационни мерки.
ISO 27001 не е магически сертификат за съответствие с тези задължения. Той е системата за управление, която може да ги организира, доказва и подобрява.
Въпросът за обхвата: какво доказвате и пред кого?
Преди да се изгради пакет от доказателства за готовност за одит, ръководството трябва да отговори на основен въпрос: кои задължения са в обхват?
За SaaS и облачни бизнеси обхватът на NIS2 може да бъде по-широк от очакваното. NIS2 се прилага за публични или частни субекти в посочени сектори, които покриват праговете за размер, както и за определени субекти с висок ефект независимо от размера им. Релевантните сектори може да включват цифрова инфраструктура, доставчици на облачни изчисления, доставчици на центрове за данни, мрежи за доставка на съдържание, доставчици на удостоверителни услуги, доставчици на обществени електронни съобщителни услуги и B2B доставчици на управление на ИКТ услуги, като доставчици на управлявани услуги и доставчици на управлявани услуги по сигурност. SaaS доставчиците трябва внимателно да оценят как се предоставят услугите, кои сектори поддържат и дали дават възможност за администриране при поискване и широк отдалечен достъп до мащабируеми споделени изчислителни ресурси.
За финтех и доставчици на услуги за финансовия сектор DORA трябва да се анализира отделно. DORA пряко обхваща широк кръг финансови субекти, включително кредитни институции, платежни институции, доставчици на услуги по предоставяне на информация за сметки, институции за електронни пари, инвестиционни посредници, доставчици на услуги за криптоактиви, места за търговия, управляващи фондове, застрахователни и презастрахователни предприятия и доставчици на услуги за колективно финансиране. Доставчиците на ИКТ услуги от трети страни също са част от екосистемата на DORA, тъй като финансовите субекти трябва да управляват своите ИКТ зависимости, да поддържат регистри на договорните споразумения и да включват специфични договорни разпоредби за ИКТ услуги, поддържащи критични или важни функции.
NIS2 и DORA също взаимодействат. Когато специфичен за сектора правен акт на ЕС налага еквивалентни изисквания за управление на риска за киберсигурността или за уведомяване за инциденти, съответните разпоредби на NIS2 може да не се прилагат за тези субекти в тези области. DORA е специфичният секторен режим за оперативна устойчивост за финансови субекти. Това не прави NIS2 ирелевантна за всички съпътстващи доставчици. Това означава, че моделът на доказателства трябва да разграничава дали организацията е финансов субект, пряко подчинен на DORA, доставчик на ИКТ услуги от трета страна, който поддържа финансови субекти, SaaS доставчик в обхвата на NIS2, или група с множество юридически лица и линии на услуги.
Този анализ на обхвата трябва да бъде част от контекста на СУИС и регистъра на заинтересованите страни. Без него планът за одит ще тества грешните неща.
Една одитна следа, много въпроси за съответствие
Честа грешка е създаването на отделни пакети с доказателства за ISO 27001, NIS2, DORA, GDPR, киберзастраховане и клиентски одити. Този подход създава дублиране и противоречиви отговори. По-добрият подход е един модел на доказателства с няколко перспективи.
В центъра е СУИС. Около него са разположени пет семейства доказателства.
| Семейство доказателства | Какво доказва | Типични записи |
|---|---|---|
| Доказателства за управление | Ръководството е одобрило, осигурило ресурси и прегледало СУИС | Политика за информационна сигурност, роли, план за одит, протоколи от преглед от ръководството, докладване към управителния орган |
| Доказателства за риск | Рисковете са идентифицирани, оценени, възложени на собственици и третирани | Критерии за риск, регистър на риска, план за третиране, Декларация за приложимост, одобрения на остатъчен риск |
| Доказателства за контроли | Контролите функционират според замисъла | Прегледи на правата за достъп, тестове за резервни копия, предупреждения от мониторинг, доклади за уязвимости, надлежна проверка на доставчиците, записи за сигурна разработка |
| Доказателства за уверение | Независими или вътрешни проверки са открили пропуски и са потвърдили съответствие | План за вътрешен одит, контролен списък за одит, одитен доклад, регистър на несъответствията, регистър на CAPA |
| Доказателства за подобрение | Констатациите са довели до корекция, анализ на първопричините и непрекъснато подобрение | Планове за коригиращи действия, извлечени поуки, решения на ръководството, актуализирани политики, записи от повторно тестване |
Тази структура е съгласувана със Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint. В етапа Audit, Review & Improvement, Step 25 се фокусира върху програмата за вътрешен одит, Step 26 — върху изпълнението на одита, Step 28 — върху прегледа от ръководството, а Step 29 — върху непрекъснатото подобрение.
Насоката в Step 25 на Blueprint е умишлено практична:
„Разработете график, който посочва кога ще се провеждат одитите и какво ще обхващат.“
„Използвайте шаблона за план за вътрешен одит, ако е предоставен; това може да бъде прост документ или електронна таблица, в която са посочени датите на одитите, обхватът и назначените одитори.“
От Zenith Blueprint, етап Audit, Review & Improvement, Step 25: Internal Audit Program Zenith Blueprint
Този прост план за одит става силен, когато е риск-базиран и маркиран спрямо задълженията по NIS2, DORA и GDPR.
Контроли по ISO 27001, които са основа за готовност за одит
За готовност за одит три контрола по ISO/IEC 27002:2022 са особено важни, когато се тълкуват чрез Zenith Controls: The Cross-Compliance Guide Zenith Controls:
- 5.4 Отговорности на ръководството
- 5.35 Независим преглед на информационната сигурност
- 5.36 Съответствие с политики, правила и стандарти за информационна сигурност
Това не са отделни „Zenith контроли“. Това са контроли по ISO/IEC 27002:2022, които Zenith Controls помага да се съпоставят, одитират и тълкуват между рамки.
Контрол 5.4 проверява дали отговорностите за информационна сигурност са възложени и разбрани. Контрол 5.35 проверява дали информационната сигурност се преглежда независимо. Контрол 5.36 проверява дали организацията спазва своите политики, правила и стандарти.
Zenith Controls класифицира контрол 5.35 през перспектива на уверението:
Контрол 5.35 на ISO/IEC 27002:2022, „Independent Review of Information Security“, се разглежда в Zenith Controls като „Preventive, Corrective“, като подкрепя поверителността, целостта и наличността чрез концепциите за киберсигурност „Identify“ и „Protect“, с оперативна способност в „Information Security Assurance“. Zenith Controls
Това е важно, защото вътрешният одит е едновременно превантивен и коригиращ. Той предотвратява слепи петна чрез тестване на СУИС преди външен контрол и коригира слабости чрез документирани действия.
По-широкото съпоставяне започва с изискванията на NIS2 и DORA и след това идентифицира доказателствата по ISO 27001, които могат да ги докажат.
| Регулаторна тема | Доказателства по ISO/IEC 27001:2022 и ISO/IEC 27002:2022 | Практически фокус на одита |
|---|---|---|
| Отчетност на ръководството | Клаузи 5, 9.3 и контроли 5.2, 5.4, 5.35, 5.36 | Одобрения от ръководството, протоколи от прегледи, възлагане на роли, решения по CAPA |
| Анализ на риска и политики за сигурност | Клаузи 4, 6.1, 6.2 и контроли 5.1, 5.7, 5.9, 5.31 | Критерии за риск, регистър на риска, одобрения на политики, правни и договорни изисквания |
| Обработване на инциденти | Контроли 5.24, 5.25, 5.26, 5.27, 5.28 | Класификация, ескалация, записи за реагиране, извлечени поуки, форензично запазване на доказателства |
| Непрекъсваемост на дейността и възстановяване | Контроли 5.29, 5.30, 8.13 | Планове за непрекъсваемост, готовност на ИКТ, тестове за възстановяване от резервни копия, показатели за възстановяване |
| Риск, свързан с доставчици и облачни услуги | Контроли 5.19, 5.20, 5.21, 5.22, 5.23 | Надлежна проверка на доставчиците, договори, мониторинг, планове за изход от облачни услуги, риск от концентрация |
| Сигурна разработка и уязвимости | Контроли 8.8, 8.25, 8.26, 8.27, 8.28, 8.29 | SLA за уязвимости, записи за сигурен SDLC, одобрения на промени, тестване на сигурността |
| Достъп, човешки ресурси и обучение | Контроли 5.15, 5.16, 5.17, 5.18, 6.1, 6.2, 6.3, 6.5, 6.6, 6.7 | Прегледи на правата за достъп, извадки за постъпващи, преместващи се и напускащи служители, записи за осведоменост, контроли за дистанционна работа |
| Регистриране, мониторинг и криптография | Контроли 8.15, 8.16, 8.17, 8.24 | Съхранение на логове, преглед на предупреждения, синхронизация на времето, стандарти за шифроване |
| Поверителност и правно съответствие | Контроли 5.31, 5.34, 5.36 | Правен регистър, контроли за поверителност, доказателства за обработващи лични данни, прегледи на съответствието |
Съпоставянето на контролите е полезно само когато доказателствата са силни. Ако записът е слаб, никое съпоставяне няма да го спаси. Ако записът е пълен, същите доказателства могат да отговорят на въпроси в стила на ISO, NIS2, DORA, GDPR, NIST Cybersecurity Framework 2.0 и COBIT 2019.
Доказателства по политики, които Clarysec очаква организациите да съхраняват
Политиките на Clarysec превръщат теорията на СУИС в очаквания за доказателства.
За МСП Политика за одит и мониторинг на съответствието за МСП Политика за одит и мониторинг на съответствието за МСП изисква одобрение от ръководството и одитна дисциплина:
„Управителят трябва да одобри годишен план за одит.“
От Политика за одит и мониторинг на съответствието за МСП, изисквания за управление, клауза 5.1.1 Политика за одит и мониторинг на съответствието за МСП
Тя определя и минимална честота:
„Вътрешни одити или прегледи на съответствието трябва да се извършват най-малко ежегодно.“
От Политика за одит и мониторинг на съответствието за МСП, изисквания за управление, клауза 5.2.1
И свързва констатациите с корекция и преглед от ръководството:
„Управителят трябва да одобри план за коригиращо действие и да проследява неговото внедряване.“
От Политика за одит и мониторинг на съответствието за МСП, изисквания за управление, клауза 5.4.2
„Одитните констатации и актуализациите на статуса трябва да бъдат включени в процеса на преглед от ръководството на СУИС.“
От Политика за одит и мониторинг на съответствието за МСП, изисквания за управление, клауза 5.4.3
Съхранението на доказателства също е изрично:
„Доказателствата трябва да се съхраняват най-малко две години или по-дълго, когато това се изисква от сертификация или клиентски споразумения.“
От Политика за одит и мониторинг на съответствието за МСП, изисквания за прилагане на политиката, клауза 6.2.4
За по-големи организации Политика за одит и мониторинг на съответствието Политика за одит и мониторинг на съответствието, посочвана в някои материали на Clarysec и като P33 Политика за одит и мониторинг на съответствието, разширява структурата:
„Риск-базиран план за одит трябва да се разработва и одобрява ежегодно, като се вземат предвид:“
От Политика за одит и мониторинг на съответствието, изисквания за управление, клауза 5.2 Политика за одит и мониторинг на съответствието
„Организацията трябва да поддържа одитен регистър, съдържащ:“
От Политика за одит и мониторинг на съответствието, изисквания за управление, клауза 5.4
„Вътрешните одити трябва да се извършват по документирана процедура, включваща:“
От Политика за одит и мониторинг на съответствието, изисквания за прилагане на политиката, клауза 6.1.1
„Всички констатации трябва да водят до документирана CAPA, която включва:“
От Политика за одит и мониторинг на съответствието, изисквания за прилагане на политиката, клауза 6.2.1
Прегледът от ръководството е закрепен в Политика за информационна сигурност Политика за информационна сигурност, посочвана в някои материали на Clarysec и като P01 Политика за информационна сигурност:
„Дейностите по прегледа от ръководството (съгласно ISO/IEC 27001, клауза 9.3) трябва да се провеждат най-малко ежегодно и да включват:“
От Политика за информационна сигурност, изисквания за управление, клауза 5.3 Политика за информационна сигурност
Тези изисквания създават веригата от доказателства, която одиторите очакват: одобрен план, дефинирана процедура, одитен регистър, констатации, CAPA, съхранение и преглед от ръководството.
Изграждане на пакет от доказателства за готовност за одит
Пакетът от доказателства за готовност за одит не е огромна папка, създадена два дни преди одита. Това е жива структура, поддържана през цялата година.
| Елемент на доказателствата | Цел по ISO 27001 | Релевантност за NIS2 и DORA |
|---|---|---|
| Обхват на СУИС и регистър на заинтересованите страни | Показва, че правните, договорните и произтичащите от зависимости изисквания са идентифицирани | Подкрепя обхвата на субекта по NIS2, анализа на ролята по DORA и отчетността по GDPR |
| Критерии за риск и регистър на риска | Показва последователна оценка на риска и собственост | Подкрепя мерките за управление на риска по NIS2 и рамката за ИКТ риск по DORA |
| Декларация за приложимост | Показва избраните контроли, обосновката и статуса на внедряване | Създава консолидиран базов набор от контроли за кръстосано съответствие |
| Годишен план за вътрешен одит | Показва планирано уверение | Подкрепя надзора от ръководството и планирането на ИКТ одити по DORA |
| Контролен списък за вътрешен одит | Показва критериите за одит и метода за извадково тестване | Демонстрира как са тествани изискванията на NIS2, DORA и GDPR |
| Одитен доклад и регистър на констатациите | Показва обективни доказателства и несъответствия | Подкрепя оценката на ефективността и регулаторното уверение |
| Регистър на CAPA | Показва първопричина, собственик, краен срок и приключване | Подкрепя коригиращи мерки по NIS2 и ремедиация по DORA |
| Пакет за преглед от ръководството | Показва преглед от ръководството на резултатността, инцидентите, риска и ресурсите | Подкрепя отчетността на управителния орган по NIS2 и DORA |
| Регистър на доставчиците и договорни доказателства | Показва контрол на риска от трети страни | Подкрепя сигурността на веригата на доставки по NIS2 и управлението на риска от ИКТ трети страни по DORA |
| Записи за докладване на инциденти и извлечени поуки | Показва реагиране и подобрение | Подкрепя поетапното докладване по NIS2 и управлението на инциденти по DORA |
Пакетът от доказателства трябва да бъде съпоставен с клаузите на ISO/IEC 27001:2022 и контролите от Annex A, но и маркиран по регулаторна релевантност. Например запис от одит на доставчик може да подкрепя контролите за доставчици от Annex A, сигурността на веригата на доставки по NIS2 и управлението на риска от ИКТ трети страни по DORA. Запис от настолно упражнение за инцидент може да подкрепя управлението на инциденти по ISO 27001, готовността за поетапно уведомяване по NIS2 и управлението на значим ИКТ-свързан инцидент по DORA.
Как да се извърши интегрираният вътрешен одит
Step 26 на Zenith Blueprint поставя акцент върху обективните доказателства:
„Извършете одита, като събирате обективни доказателства за всеки елемент от контролния си списък.“
„Интервюирайте релевантния персонал.“
„Прегледайте документацията.“
„Наблюдавайте практиките.“
„Извършвайте извадково тестване и проверки по извадка.“
От Zenith Blueprint, етап Audit, Review & Improvement, Step 26: Audit Execution Zenith Blueprint
Точно това изисква готовността за NIS2 и DORA. Регулаторите и клиентите няма да приемат „вярваме, че това работи“. Те ще попитат откъде знаете.
Добре проведен одит тества четири измерения на доказателствата.
| Измерение на доказателствата | Примерен одитен тест | Добри доказателства |
|---|---|---|
| Проектиране | Дефинира ли политиката или процесът изискването? | Одобрена политика, процедура, стандарт, работен процес |
| Внедряване | Разгърнат ли е процесът? | Тикети, конфигурации, записи за завършено обучение, записи за доставчици |
| Оперативна ефективност | Работил ли е във времето? | Извадки за няколко месеца, предупреждения, журнали от прегледи, резултати от тестове |
| Управленска ескалация | Видяло ли е ръководството резултатите и предприело ли е действия? | Одобрение на CAPA, протоколи от преглед от ръководството, бюджетно решение |
Да разгледаме симулирано ransomware събитие на staging сървър. Одиторът тества дали процесът за реагиране при инциденти може да изпълни изискванията на ISO 27001, очакванията за поетапно докладване по NIS2 и клиентските задължения по DORA.
| Събрани доказателства | Релевантност за ISO 27001 | Релевантност за NIS2 | Релевантност за DORA |
|---|---|---|---|
| Регистър на инцидента с първоначална класификация и времеви маркер | Контрол 5.26 реагиране при инциденти по информационна сигурност | Установява момента на узнаване за сроковете за докладване | Подкрепя идентифицирането и журнализирането на ИКТ-свързани инциденти |
| Ескалация към CSIRT и правен консултант | Контрол 5.25 оценка и решение относно събития по информационна сигурност | Подкрепя вземането на решение за уведомяване за значим инцидент | Подкрепя вътрешната комуникация и процедурите за ескалация |
| Проект на шаблон за ранно предупреждение | Контрол 5.24 планиране и подготовка за управление на инциденти | Подкрепя способността да се изпълни очакването за ранно предупреждение в рамките на 24 часа | Може да подкрепи готовността за договорна комуникация |
| Запис на решение за възстановяване от резервно копие | Контроли 5.29, 5.30 и 8.13 | Подкрепя доказателства за непрекъсваемост на дейността и аварийно възстановяване | Подкрепя очакванията за реагиране, възстановяване и възстановяване от резервни копия |
| Запис на комуникация с клиент | Контроли 5.20 и 5.22 споразумения с доставчици и мониторинг на услугите на доставчици | Може да подкрепи договорна комуникация и комуникация по веригата на доставки | Подкрепя задълженията на финансовите клиенти за риск от трети страни |
NIS2 има структура за поетапно докладване на значими инциденти, включително ранно предупреждение в рамките на 24 часа от узнаването, уведомление за инцидент в рамките на 72 часа и окончателен доклад в рамките на един месец от уведомлението за инцидента. DORA има собствена рамка за класификация и докладване на ИКТ-свързани инциденти за финансови субекти. Вътрешният одит трябва да провери дали наръчниците за реагиране улавят времето на узнаване, критериите за степен на сериозност, засегнатите услуги, индикаторите за компрометиране, мерките за смекчаване, първопричината, задълженията за уведомяване на клиенти и данните за окончателно докладване.
Превръщане на една одитна констатация в доказателства за NIS2 и DORA
Реалистична констатация за доставчик показва как трябва да протича доказателствената верига.
По време на вътрешния одит одиторът проверява извадково пет критични доставчици. Един доставчик на облачно регистриране поддържа мониторинг за измами и предупреждения за сигурност за финтех платформата. Доставчикът е вписан в инвентара, но няма документиран план за изход, няма доказателства за годишен преглед на сигурността и няма потвърждение, че договорът включва съдействие при инциденти или права на одит.
Одиторът регистрира несъответствие спрямо изискванията за сигурност на доставчиците и изход от облачни услуги. Слаб отговор би гласял „липсва преглед на доставчика“. Силен отговор създава доказателствена верига за кръстосано съответствие:
- Запишете констатацията в одитния доклад, включително размера на извадката, името на доставчика, договорната референция и липсващите доказателства.
- Добавете запис в CAPA с първопричина, например „контролният списък за въвеждане на доставчици не включваше класификация по критичност или тригер за план за изход“.
- Определете собственик на доставчика и собственик на риска.
- Актуализирайте регистъра на доставчиците, за да отбележите услугата като поддържаща критична или важна функция.
- Извършете оценка на риска, обхващаща прекъсване на услугата, достъп до данни, риск от концентрация, зависимост при докладване на инциденти и договорни пропуски.
- Актуализирайте плана за третиране на риска и Декларацията за приложимост, когато е релевантно.
- Получете актуализиран договорен анекс или документирано приемане на риска.
- Създайте или тествайте план за изход.
- Повторно одитирайте доказателствата за доставчика след ремедиация.
- Докладвайте констатацията, риска и нуждите от ресурси в прегледа от ръководството.
Тази единна верига подкрепя множество задължения. NIS2 очаква сигурност на веригата на доставки и разглеждане на уязвимости на доставчици, практики за киберсигурност и процедури за сигурна разработка. DORA изисква финансовите субекти да управляват риска от ИКТ трети страни, да поддържат регистри на договорни споразумения, да оценяват доставчиците преди сключване на договор, да включват права за одит и проверки, когато е подходящо, да поддържат права за прекратяване и да документират стратегии за изход за ИКТ услуги, поддържащи критични или важни функции. GDPR може също да бъде релевантен, ако доставчикът обработва лични данни.
Одитният запис вече не е просто доказателство за съответствие. Той е доказателство за устойчивост.
Преглед от ръководството: където доказателствата се превръщат в отчетност
Вътрешният одит установява реалното състояние. Прегледът от ръководството решава какво да се направи.
Step 28 на Zenith Blueprint описва входния пакет за преглед от ръководството:
„ISO 27001 определя няколко задължителни входни данни за прегледа от ръководството. Подгответе кратък доклад или презентация, обхващащи тези точки.“
Blueprint изброява статус на предходни действия, промени във външни и вътрешни въпроси, резултатност и ефективност на СУИС, инциденти или несъответствия, възможности за подобрение и нужди от ресурси.
От Zenith Blueprint, етап Audit, Review & Improvement, Step 28: Management Review Zenith Blueprint
За NIS2 и DORA прегледът от ръководството е мястото, където отчетността на ниво управителен орган става видима. Прегледът не трябва да казва само „сигурността беше обсъдена“. Той трябва да показва, че ръководството е прегледало:
- Промени в NIS2, DORA, GDPR, клиентските и договорните изисквания.
- Промени в обхвата, включително нови държави, продукти, регулирани клиенти или ИКТ зависимости.
- Резултати от вътрешен одит, включително съществени и незначителни несъответствия.
- Статус на CAPA и просрочени действия.
- Цели и показатели за сигурност.
- Тенденции при инцидентите, предотвратени инциденти и извлечени поуки.
- Рискове от концентрация при доставчици и облачни услуги.
- Резултати от тестове за непрекъсваемост на дейността и резервни копия.
- Резултатност при уязвимости и прилагане на корекции.
- Нужди от ресурси, включително хора, инструменти, обучение и бюджет.
- Остатъчни рискове, изискващи формално приемане.
- Решения за подобрение и отговорни собственици.
Тук Мария може да превърне технически доклад в стратегическо уверение. Вместо да каже „открихме един пропуск в процеса за инциденти“, тя може да каже: „Одитът идентифицира едно незначително несъответствие в критериите ни за решение при докладване на инциденти по NIS2. CAPA актуализира процедурата, добавя матрица за вземане на решение и изисква tabletop exercise в рамките на 30 дни. Необходимо е одобрение от ръководството за правен преглед и време за обучение.“
Това е типът запис, който подкрепя управление, надзор и защитимо вземане на решения.
Коригиращо действие: разликата между констатация и зрялост
Вътрешен одит без коригиращо действие е само диагноза.
Step 29 на Zenith Blueprint указва на организациите да използват регистър на CAPA:
„Попълнете го с всеки проблем: описание на проблема, първопричина, коригиращо действие, отговорен собственик, целева дата за приключване, статус.“
От Zenith Blueprint, етап Audit, Review & Improvement, Step 29: Continual Improvement Zenith Blueprint
Той прави и важно разграничение:
„В одитни термини: корекцията отстранява симптома, коригиращото действие отстранява причината. И двете са важни.“
От Zenith Blueprint, етап Audit, Review & Improvement, Step 29: Continual Improvement
Ако липсват доказателства за възстановяване от резервно копие, корекцията може да бъде да се изпълни и документира тест за възстановяване тази седмица. Коригиращото действие е да се промени процедурата за архивиране така, че тестовете за възстановяване да се планират на тримесечна база, да се създават автоматично тикети, да се преглеждат от собственик на услугата и да се включват в показателите за преглед от ръководството.
Одиторите търсят именно тази зрялост. Одитор по ISO 27001 тества съответствието със СУИС и избраните контроли. Проверяващ по NIS2 пита дали мерките за управление на риска са ефективни и под надзор. Проверяващ по DORA търси интеграция на рамката за ИКТ риск, тестване на устойчивостта, управление на зависимости от трети страни и ремедиация. Оценител по NIST Cybersecurity Framework 2.0 може да попита дали резултатите по governance, identify, protect, detect, respond и recover функционират. Одитор по COBIT 2019 може да се фокусира върху управленски цели, собственост, показатели за изпълнение и уверение.
Същият CAPA запис може да удовлетвори тези перспективи, ако включва първопричина, собственик, въздействие върху риска, коригиращо действие, краен срок, доказателства за внедряване, преглед на ефективността и видимост за ръководството.
Множеството перспективи на одитора
Различните одитори четат едни и същи доказателства по различен начин. Zenith Controls помага тези въпроси да бъдат предвидени, като служи като ръководство за кръстосано съответствие за контролите по ISO/IEC 27002:2022 и свързани рамки.
| Одитна перспектива | Какво вероятно ще попита одиторът | Доказателства, които отговарят добре |
|---|---|---|
| Одитор по ISO 27001 | Планирана, внедрена, оценявана и подобрявана ли е СУИС съгласно изискванията на ISO/IEC 27001:2022? | Обхват, оценка на риска, Декларация за приложимост, план за вътрешен одит, одитен доклад, резултати от преглед от ръководството, CAPA |
| Проверяващ по NIS2 | Одобрило ли е ръководството подходящи мерки за управление на риска, упражнява ли надзор върху тях и може ли субектът да покаже ефективност и коригиращо действие? | Протоколи от управителен орган или преглед от ръководството, план за третиране на риска, наръчници за инциденти, прегледи на доставчици, записи за завършено обучение, показатели за ефективност |
| Проверяващ по DORA | Интегрирано ли е управлението на ИКТ риска в управлението, стратегията за устойчивост, тестването, риска от трети страни и ремедиацията? | Рамка за ИКТ риск, план за одит, доказателства от тестове за устойчивост, регистър на трети страни, съпоставяне на критични функции, записи за ремедиация |
| Проверяващ по GDPR | Може ли организацията да докаже отчетност за обработването и сигурността на личните данни? | Инвентар на данните, записи за правно основание, споразумения с обработващи лични данни, регистри за нарушения, контроли за достъп, доказателства за съхранение, мерки за сигурност |
| Оценител по NIST CSF 2.0 | Функционират ли ефективно резултатите по управление, риск, защита, откриване, реагиране и възстановяване? | Доказателства за контроли, съпоставени с резултати, регистри, мониторинг, записи за инциденти, тестове за възстановяване, действия за подобрение |
| Одитор по COBIT 2019 | Дефинирани и наблюдавани ли са целите на управление, собствеността, управлението на резултатността и дейностите за уверение? | RACI, политики, KPI, одитен регистър, управление на проблеми, докладване към ръководството, записи за решения |
Контрол 5.36 е добър пример. Одиторът по ISO 27001 може да се фокусира върху това дали прегледите на съответствието се извършват и водят до коригиращо действие. Проверяващият по NIS2 може да попита дали тези прегледи тестват правните мерки за киберсигурност, а не само вътрешните правила. Проверяващият по DORA може да се фокусира върху това дали прегледите на съответствието включват критични ИКТ доставчици и договорно прилагане.
Затова доказателствата трябва да бъдат проектирани за множество читатели още от самото начало.
Практически 30-дневен спринт за готовност за одит
Ако изпълнителният директор попита дали организацията може да бъде готова за одит за 30 дни, честният отговор е: можете да изградите надеждна доказателствена база, ако ръководството подкрепи спринта и обхватът е реалистичен.
| Дни | Дейност | Резултат |
|---|---|---|
| 1 до 3 | Потвърждаване на обхвата на СУИС, регулираните услуги, заинтересованите страни и задълженията | Декларация за обхвата, бележка за приложимост на NIS2, DORA и GDPR |
| 4 до 7 | Актуализиране на критериите за риск, регистъра на риска и ключовите собственици на риска | Актуализиран регистър на риска и приоритети за третиране |
| 8 до 10 | Изграждане на риск-базиран план за вътрешен одит | Одобрен план за одит и контролен списък за одит |
| 11 до 17 | Провеждане на одитни интервюта, извадково тестване и преглед на доказателства | Регистър на доказателствата, констатации, положителни наблюдения |
| 18 до 20 | Валидиране на констатациите със собствениците и класифициране на тежестта | Одитен доклад и регистър на несъответствията |
| 21 до 24 | Създаване на регистър на CAPA с първопричини, собственици и крайни срокове | Одобрен план за коригиращи действия |
| 25 до 27 | Подготовка на пакет за преглед от ръководството | Презентация или доклад за преглед с показатели, рискове, инциденти, ресурси |
| 28 до 30 | Провеждане на преглед от ръководството и записване на решенията | Протоколи, регистър на действията, приемания на риска, решения за ресурси |
Този спринт не замества дългосрочната зрялост. Той създава защитима оперативна базова линия. Истинската стойност идва, когато организацията повтаря цикъла на тримесечна или полугодишна база, а не само веднъж годишно.
Чести пропуски в доказателствата, които Clarysec установява
Едни и същи слабости се появяват при одити на SaaS, облачни и финтех организации:
- Планът за одит съществува, но не е риск-базиран.
- Контролният списък за одит тества клаузи на ISO, но игнорира NIS2, DORA, GDPR и клиентски задължения.
- Протоколи от преглед от ръководството съществуват, но не показват решения, разпределяне на ресурси или приемане на риска.
- CAPA записите изброяват действия, но не и първопричина.
- Констатациите се затварят без проверка на ефективността.
- Прегледи на доставчици се извършват, но критичните доставчици не се разграничават от нискорискови доставчици.
- Наръчници за инциденти съществуват, но никой не може да докаже, че работният поток за докладване в рамките на 24 или 72 часа би проработил.
- Задачи за архивиране са „зелени“, но тестовете за възстановяване не са доказани.
- Прегледи на правата за достъп са експортирани, но изключенията не се проследяват до приключване.
- Логовете се събират, но никой не може да покаже мониторинг, ескалация или реагиране.
- Доказателствата се съхраняват в лични папки вместо в контролирано хранилище.
- Изискванията за съхранение са неясни или несъгласувани с клиентските договори.
Тези пропуски могат да бъдат отстранени. Те изискват структурирана архитектура на доказателствата в СУИС, а не преследване на документи в последния момент.
Как изглежда доброто състояние за управителния орган
Когато директорът по информационна сигурност се върне при изпълнителния и финансовия директор, най-силният отговор не е „преминахме контролен списък за одит“. Той е:
„Имаме одобрен план за одит. Извършихме риск-базиран вътрешен одит. Идентифицирахме констатации с обективни доказателства. Одобрихме CAPA със собственици и крайни срокове. Ескалирахме съществените рискове, инциденти, зависимости от доставчици и нужди от ресурси в прегледа от ръководството. Съпоставихме доказателствата с ISO/IEC 27001:2022, NIS2, DORA и GDPR. Можем да покажем одитната следа.“
Този отговор променя разговора. Той дава на изпълнителния директор увереност пред клиентите. Дава на финансовия директор яснота относно регулаторната експозиция. Дава на управителния орган защитим запис за надзор. Дава на директора по информационна сигурност приоритизирана пътна карта вместо куп несвързани искания.
Най-важното е, че премества организацията от театър на съответствието към оперативна устойчивост.
Следващи стъпки с Clarysec
Следващият ви одит не трябва да бъде хаотично събиране на документи. Той трябва да бъде видимо доказателство, че вашата СУИС работи, ръководството е ангажирано и организацията е готова за ISO 27001, NIS2, DORA, GDPR и потвърждение пред клиенти.
Clarysec може да ви помогне да:
- Изградите риск-базиран план за вътрешен одит, използвайки Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint.
- Съпоставите одиторски доказателства чрез Zenith Controls: The Cross-Compliance Guide Zenith Controls.
- Внедрите одитно управление за МСП или корпоративна среда чрез Политика за одит и мониторинг на съответствието за МСП Политика за одит и мониторинг на съответствието за МСП или Политика за одит и мониторинг на съответствието Политика за одит и мониторинг на съответствието.
- Подготвите пакети за преглед от ръководството, съгласувани с Политика за информационна сигурност Политика за информационна сигурност и очакванията на ISO/IEC 27001:2022, клауза 9.3.
- Превърнете констатациите в CAPA записи, решения на ръководството и измеримо подобрение.
Изтеглете инструментариумите на Clarysec, резервирайте оценка на готовността или поискайте демонстрация, за да превърнете следващия си вътрешен одит в доказателства за ISO 27001, NIS2, DORA и отвъд тях, готови за управителния орган.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
