Доказателства за киберхигиена по NIS2, съпоставени с ISO 27001
Понеделник е, 08:40 ч. Сара, CISO на бързо растящ B2B SaaS доставчик, се включва в срещата на ръководството с очакване за рутинен преглед на отворените действия по риска. Вместо това главният юрисконсулт започва с по-остър въпрос:
„Ако националният компетентен орган утре поиска да докажем киберхигиената и обучението по киберсигурност по NIS2 Article 21, какво точно изпращаме?“
Директорът „Човешки ресурси“ казва, че всеки служител е завършил ежегодното обучение за осведоменост. Мениджърът на SOC казва, че фишинг симулациите се подобряват. Ръководителят на ИТ операциите казва, че MFA се прилага, резервните копия се тестват, а прилагането на корекции се проследява. Мениджърът по съответствието казва, че одитното досие по ISO/IEC 27001:2022 съдържа записи за обучения, но проектният екип по DORA поддържа свои доказателства за обучение по устойчивост, а папката за GDPR съдържа отделни журнали за осведоменост относно поверителността.
Всички са свършили работа. Никой не е сигурен, че доказателствата разказват една последователна история.
Това е реалният проблем с NIS2 Article 21 за съществените и важните субекти. Изискването не е просто „обучете потребителите“. Article 21 изисква подходящи и пропорционални технически, оперативни и организационни мерки за управление на киберрисковете. Минималният набор от контроли включва киберхигиена и обучение по киберсигурност, но също така управление на инциденти, непрекъснатост на дейността, сигурност на веригата на доставки, управление на уязвимости, криптография, сигурност на човешките ресурси, контрол на достъпа, управление на активи, MFA или непрекъсната автентикация, сигурни комуникации и процедури за оценка на ефективността.
Киберхигиената не е кампания за осведоменост. Тя е ежедневната оперативна дисциплина, която свързва хора, контроли, доказателства и управленска отчетност.
За CISO, мениджъри по съответствието, MSP, SaaS доставчици, оператори на облачни услуги и доставчици на цифрови услуги практичният отговор не е да се създава отделен „проект за обучение по NIS2“. По-силният подход е да се изгради единна, готова за одит верига от доказателства в рамките на СУИС по ISO/IEC 27001:2022, подкрепена от практиките за контроли по ISO/IEC 27002:2022, управлявана спрямо риска чрез ISO/IEC 27005:2022 и кръстосано съпоставена с очакванията на NIS2, DORA, GDPR, уверение в стил NIST и управление съгласно COBIT 2019.
Защо NIS2 Article 21 превръща обучението в доказателство за управителния орган
NIS2 се прилага за много средни и големи субекти в секторите по Annex I и Annex II, които предоставят услуги или извършват дейности в Съюза. За технологичните компании обхватът може да е по-широк, отколкото много ръководни екипи очакват. Annex I обхваща цифрова инфраструктура, включително доставчици на услуги за облачни изчисления, доставчици на услуги за центрове за данни, доставчици на мрежи за доставка на съдържание, доставчици на удостоверителни услуги, доставчици на DNS услуги и регистри на TLD. Annex I обхваща и B2B управление на ИКТ услуги, включително доставчици на управлявани услуги и доставчици на управлявани услуги по сигурността. Annex II включва цифрови доставчици като онлайн пазари, онлайн търсачки и платформи за социални мрежи.
Някои субекти могат да попаднат в обхвата независимо от размера си, включително определени доставчици на DNS услуги и регистри на TLD. Национални решения относно критичността също могат да включат по-малки доставчици в обхвата, когато прекъсване би могло да засегне обществената безопасност, системния риск или съществени услуги.
Article 21(1) изисква съществените и важните субекти да прилагат подходящи и пропорционални технически, оперативни и организационни мерки за управление на рисковете за мрежовите и информационните системи, използвани за операции или предоставяне на услуги, както и за предотвратяване или минимизиране на въздействието на инциденти. Article 21(2) изброява минималните мерки, включително политики за анализ на риска и сигурност на информационните системи, управление на инциденти, непрекъснатост на дейността, сигурност на веригата на доставки, сигурно придобиване и поддръжка, оценка на ефективността, базови практики за киберхигиена и обучение по киберсигурност, криптография, сигурност на човешките ресурси, контрол на достъпа, управление на активи и MFA или непрекъсната автентикация, когато е приложимо.
Article 20 повишава залога. Управителните органи трябва да одобряват мерките за управление на риска за киберсигурността, да надзирават внедряването им и могат да носят отговорност за нарушения. Членовете на управителните органи трябва да преминават обучение, а субектите се насърчават да предоставят подобно редовно обучение на служителите, за да могат да идентифицират рискове и да оценяват практиките за управление на риска за киберсигурността и тяхното въздействие върху услугите.
Article 34 добавя финансов натиск. Нарушения на Article 21 или Article 23 могат да доведат до административни глоби, достигащи най-малко EUR 10,000,000 или 2% от общия годишен световен оборот за съществени субекти и най-малко EUR 7,000,000 или 1.4% за важни субекти, като се прилага по-високата стойност.
Затова „проведохме ежегодно обучение за осведоменост“ не е достатъчно. Регулатор, ISO одитор, клиентски оценител по сигурността или киберзастраховател ще очаква доказателства, че обучението е ролево базирано, основано на риска, актуално, измервано, свързано с инциденти и разбирано от ръководството.
Корпоративната Политика за осведоменост и обучение по информационна сигурност на Clarysec, клауза 5.1.1.3, изисква обучението да:
Обхваща теми като фишинг, хигиена на паролите, докладване и управление на инциденти, физическа сигурност и защита и минимизиране на данните
Същата политика, клауза 8.3.1.1, идентифицира доказателствената линия, която одиторите обикновено изискват първо:
Записи за възлагане, потвърждение и завършване на обучение
За МСП Политика за осведоменост и обучение по информационна сигурност — МСП на Clarysec, клауза 8.4.1, е още по-пряка относно одитируемостта:
Записите за обучение подлежат на вътрешен одит и външен преглед. Записите трябва да бъдат точни, пълни и доказуеми при поискване (напр. за ISO сертификация, GDPR одит или валидиране за застрахователни цели).
Това изречение улавя разликата между осведомеността като ЧР дейност и осведомеността като контрол за съответствие. Ако записите са непълни, непроверими или не са свързани с риска по роли, контролът може да съществува оперативно, но да се провали при одит.
Използвайте ISO/IEC 27001:2022 като гръбнак на доказателствата
ISO/IEC 27001:2022 е естествената основа за NIS2 Article 21, защото задължава организацията да дефинира обхват, заинтересовани страни, рискове, контроли, цели, доказателства, вътрешен одит, преглед от ръководството и непрекъснато подобрение.
Клаузи 4.1 до 4.4 изискват организацията да разбира вътрешните и външните фактори, да определя заинтересованите страни и техните изисквания, да дефинира обхвата на СУИС, да отчита интерфейсите и зависимостите с дейности, извършвани от други организации, и да поддържа СУИС като взаимодействащ набор от процеси. За SaaS доставчик или MSP обхватът на СУИС трябва изрично да включва задълженията по NIS2, договорните задължения към клиенти, зависимостите от доставчици на облачни услуги, покритието на външно възложен SOC, ролите при обработване на данни и ангажиментите за наличност на услугите.
Клаузи 5.1 до 5.3 въвеждат управленска отчетност. Висшето ръководство трябва да съгласува политиката и целите за информационна сигурност със стратегическата посока, да интегрира изискванията на СУИС в бизнес процесите, да осигурява ресурси, да възлага отговорности и да гарантира докладване на резултатността. Това съответства пряко на NIS2 Article 20, където управителните органи одобряват и надзирават мерките за управление на риска за киберсигурността.
Клаузи 6.1.1 до 6.1.3 и 6.2 превръщат правните очаквания в третиране на риска. Организацията трябва да планира действия за рискове и възможности, да управлява повторяем процес за оценка на риска за информационната сигурност, да определя собственици на риска, да избира варианти за третиране, да сравнява контролите с Annex A, да създаде Декларация за приложимост, да формулира план за третиране, да получи одобрение от собственика на риска и да зададе измерими цели за сигурност.
Тук NIS2 Article 21 става управляем. Не ви е нужна отделна програма за осведоменост по NIS2. Нужна ви е съпоставена история за риска и контролите.
| Област на изискване по NIS2 | Механизъм за доказателства по ISO/IEC 27001:2022 | Практически доказателства |
|---|---|---|
| Одобрение и надзор от ръководството | Клаузи 5.1, 5.3, 9.3 | Протоколи на управителния орган, пакет за преглед от ръководството, възложени роли, бюджетни одобрения |
| Киберхигиена и обучение | Клауза 7.2, клауза 7.3, контроли за персонала и технологични контроли от Annex A | План за обучение, експорти от LMS, матрица на ролите, резултати от фишинг, потвърждения за запознаване с политики |
| Анализ на риска и политика за сигурност | Клаузи 6.1.2, 6.1.3, 6.2 | Оценка на риска, план за третиране на риска, Декларация за приложимост, цели за сигурност |
| Оценка на ефективността | Клаузи 9.1, 9.2, 10.2 | KPI, резултати от вътрешен одит, коригиращи действия, резултати от тестване на контролите |
| Готовност за управление и докладване на инциденти | Контроли за управление на инциденти от Annex A | Наръчници за инциденти, журнали за ескалация, доклади от сценарийни настолни упражнения, записи за запазване на доказателства |
| Верига на доставки и зависимост от облачни услуги | Контроли за доставчици и облачни услуги от Annex A | Регистър на доставчиците, надлежна проверка, договори, планове за изход, прегледи на услуги |
| Достъп, управление на активи и MFA | Контроли за достъп, активи и идентичност от Annex A | Инвентар на активите, прегледи на правата за достъп, отчети за MFA, доказателства за привилегирован достъп |
Клаузи 8.1 до 8.3, 9.1 до 9.3 и 10.1 до 10.2 затварят оперативния цикъл. Те изискват планиран оперативен контрол, повторна оценка на риска, изпълнение на планове за третиране, мониторинг и измерване, вътрешен одит, преглед от ръководството, непрекъснато подобрение и коригиращо действие. ISO/IEC 27001:2022 се превръща в двигател за доказателства по NIS2 Article 21, а не само в сертификационен знак.
Преведете киберхигиената в опорни ISO контроли
„Киберхигиена“ е широк термин по замисъл. За одиторите той трябва да бъде преведен в конкретни, проверими контроли. Clarysec обикновено започва доказателствата за киберхигиена по NIS2 Article 21 с три практически опорни контрола от ISO/IEC 27002:2022, интерпретирани чрез Zenith Controls: Ръководство за кръстосано съответствие.
Първата опора е ISO/IEC 27002:2022 control 6.3, осведоменост, образование и обучение по информационна сигурност. В Zenith Controls 6.3 се разглежда като превантивен контрол, поддържащ поверителност, цялостност и наличност. Неговата оперативна способност е сигурност на човешките ресурси, а концепцията му за киберсигурност е защита. Това позиционира осведомеността като защитен контрол, а не като комуникационно упражнение.
Zenith Controls показва също как 6.3 зависи от други контроли и ги подсилва. Той се свързва с 5.2 роли и отговорности по информационна сигурност, защото обучението трябва да отразява възложените отговорности. Свързва се с 6.8 докладване на събития по информационна сигурност, защото персоналът не може да докладва нещо, което не разпознава. Свързва се с 8.16 дейности по мониторинг, защото SOC анализаторите и оперативният персонал се нуждаят от обучение, за да разпознават аномалии и да следват протоколи за реагиране. Свързва се с 5.36 съответствие с политики, правила и стандарти за информационна сигурност, защото политиките работят само когато хората ги разбират.
Както Zenith Controls посочва за ISO/IEC 27002:2022 control 6.3:
Съответствието зависи от осведомеността. 6.3 гарантира, че служителите са запознати с политиките за сигурност и разбират личната си отговорност за спазването им. Редовното образование и обучение намаляват риска от неумишлени нарушения на политиките поради незнание.
Втората опора е ISO/IEC 27002:2022 control 5.10, приемлива употреба на информация и други свързани активи. Киберхигиената зависи от това хората да разбират какво могат да правят с крайни точки, облачни дискове, SaaS инструменти, платформи за сътрудничество, преносими носители, продукционни данни, тестови данни и инструменти с AI функционалности. Zenith Controls съпоставя 5.10 като превантивен контрол в управлението на активи и защитата на информацията. На практика доказателствата за приемлива употреба не са само подписана политика. Те включват доказателство, че политиката покрива реалната съвкупност от активи, въвеждането в работата включва потвърждение за запознаване, мониторингът поддържа прилагането, а изключенията се управляват.
Третата опора е ISO/IEC 27002:2022 control 5.36, съответствие с политики, правила и стандарти за информационна сигурност. Това е одитният мост. Zenith Controls съпоставя 5.36 като превантивен контрол за управление и уверение. Той се свързва с 5.1 политики за информационна сигурност, 6.4 дисциплинарен процес, 5.35 независим преглед на информационната сигурност, 5.2 роли и отговорности, 5.25 оценка и решение относно събития по информационна сигурност, 8.15 регистриране, 8.16 дейности по мониторинг и 5.33 защита на записите.
За NIS2 Article 21 това е критично. Регулаторите и одиторите не питат само дали съществува политика. Те питат дали спазването се наблюдава, дали нарушенията се откриват, дали доказателствата са защитени, дали се извършват коригиращи действия и дали ръководството вижда резултатите.
Изградете пакет с доказателства за киберхигиена и обучение по NIS2
Да разгледаме среден SaaS доставчик, който се подготвя едновременно за готовност по NIS2 и за надзорен одит по ISO/IEC 27001:2022. Организацията има 310 служители, включително разработчици, SRE, служители по поддръжка, търговски персонал, изпълнители и висши ръководители. Тя предоставя облачно базирани услуги за работни процеси на клиенти в ЕС и разчита на хипермащабен доставчик на облачни услуги, две платформи за идентичност, външно възложен MDR доставчик и няколко подизпълнителски инструмента за поддръжка.
Мениджърът по съответствието разполага с експорти за обучения от LMS, но те не са съпоставени с NIS2 Article 21, ISO контролите, бизнес ролите или рисковите сценарии. Практически спринт за отстраняване на пропуски създава пакет с доказателства за киберхигиена и обучение с шест компонента.
| Компонент на доказателствата | Какво доказва | Собственик | Одитен тест |
|---|---|---|---|
| Матрица за ролево базирано обучение | Обучението е съобразено с отговорностите и рисковата експозиция | Мениджър на СУИС и ЧР | Извадкова проверка на роли и потвърждение, че са възложени изискваните модули |
| Годишен план за обучение | Компетентността и осведомеността са планирани, а не несистематични | Мениджър на СУИС | Проверка на дати, теми, аудитория, одобрение и целеви нива на завършване |
| Експорт за завършване от LMS | Персоналът е завършил възложеното обучение | ЧР или операции с персонала | Съпоставяне на списъка на служителите с отчета за завършване, постъпващи и напускащи служители |
| Доклад за фишинг симулации | Ефективността на осведомеността се измерва | Операции по сигурността | Преглед на резултатите от кампании, потребители с повторни кликове и коригиращо обучение |
| Журнал за потвърждение за запознаване с политики | Персоналът е приел правилата и отговорностите | ЧР и Съответствие | Потвърждение за запознаване с политиките за сигурност, приемлива употреба и докладване на инциденти |
| Обобщение от преглед от ръководството | Ръководството надзирава тенденции и коригиращи действия | CISO и изпълнителен спонсор | Проверка, че протоколите включват показатели, изключения, рискове и решения |
Ключът е проследимостта.
Започнете с NIS2 Article 21(2)(g), базови практики за киберхигиена и обучение по киберсигурност. Свържете го с клаузи 7.2 и 7.3 от ISO/IEC 27001:2022 за компетентност и осведоменост, с клаузи 9.1 и 9.2 за мониторинг и одит и с контролите от Annex A, включително осведоменост, приемлива употреба, управление на уязвимостите, управление на конфигурацията, резервни копия, регистриране, мониторинг, криптография, контрол на достъпа и управление на инциденти. След това свържете доказателствата с регистъра на риска.
| Група роли | Риск за киберхигиената по NIS2 | Изисквано обучение | Доказателства |
|---|---|---|---|
| Всички служители | Фишинг, слаби пароли, слабо докладване на инциденти, неправилно боравене с данни | Базово обучение по информационна сигурност, хигиена на паролите, MFA, защита на данните, докладване на инциденти | Завършване в LMS, резултат от тест, потвърждение за запознаване с политика |
| Висши ръководители | Приемане на риска, правна отговорност, кризисни решения, надзор върху докладването | Управленски задължения, отговорности на ръководството по NIS2, ескалация на инциденти, апетит към риск | Присъствие на работна сесия за висшето ръководство, пакет за управителния орган, журнал на решенията |
| Разработчици | Уязвимости, несигурен код, експониране на тайни, небезопасни тестови данни | Сигурно програмиране, управление на зависимости, оповестяване на уязвимости, минимизиране на данните | Запис за обучение, контролен списък за сигурен SDLC, извадки от преглед на изходния код |
| SRE и ИТ операции | Неправилна конфигурация, забавено прилагане на корекции, неуспех на резервно копиране, пропуски в регистрирането | Управление на корекции, сигурна конфигурация, възстановяване от резервни копия, мониторинг, реагиране при инциденти | Отчет за корекции, тест на резервно копие, доказателства за SIEM предупреждения, доклад от сценарийно настолно упражнение |
| Клиентска поддръжка | Социално инженерство, неоторизирано разкриване, нарушение на поверителността | Проверка на идентичността, боравене с данни, ескалация, докладване на нарушение | Преглед на CRM достъпа, запис за обучение, извадка от QA на поддръжката |
| Изпълнители с достъп | Неясни задължения, неуправляван достъп, изтичане на данни | Съкратено въвеждане по сигурност, приемлива употреба, маршрут за докладване | Потвърждение от изпълнител, одобрение на достъп, доказателства за освобождаване |
Корпоративната Политика за осведоменост и обучение по информационна сигурност подкрепя тази структура. Клауза 5.1.2.4 изрично включва теми за обучение на висши ръководители:
Висши ръководители (напр. управление, приемане на риска, правни задължения)
Този ред е важен съгласно NIS2 Article 20, защото обучението на ръководството не е по избор. Ако управителният орган одобрява мерки за управление на риска, но не може да обясни приемането на риска, праговете за инциденти или процедурите за надзор, веригата от доказателства се прекъсва.
Политика за информационна сигурност — МСП на Clarysec, клауза 6.4.1, показва как киберхигиената се превръща в ежедневно контролно поведение:
Задължителните контроли за сигурност трябва да се прилагат последователно, включително редовни резервни копия, актуализации на антивирусен софтуер, силни пароли и сигурно унищожаване на чувствителни документи.
Това е кратък МСП израз на практическа киберхигиена. Одиторът все пак ще иска доказателства, като отчети за задачи за архивиране, покритие от EDR, конфигурация на пароли или MFA и журнали за сигурно унищожаване, но политиката установява очакваното поведение.
Съпоставете NIS2 Article 21 с одиторски доказателства
Одиторите тестват действието на контрола, а не лозунги. Те ще проследят златната нишка от правното изискване до обхвата на СУИС, оценката на риска, Декларацията за приложимост, политиката, процедурата, доказателствата и прегледа от ръководството.
| Област по NIS2 Article 21 | Съпоставяне с ISO/IEC 27001:2022 или ISO/IEC 27002:2022 | Референция на Clarysec | Основно одиторско доказателство |
|---|---|---|---|
| Обучение по киберсигурност | Клауза 7.2, клауза 7.3, A.6.3 осведоменост, образование и обучение по информационна сигурност | Политика за осведоменост и обучение по информационна сигурност | Политика за обучение, годишен план, записи от LMS, резултати от фишинг, контролен списък за въвеждане, протоколи от обучение на управителния орган |
| Приемливо поведение за киберхигиена | A.5.10 приемлива употреба на информация и други свързани активи | Политика за информационна сигурност — МСП | Потвърждение за приемлива употреба, записи от въвеждане, записи за изключения, доказателства от мониторинг |
| Хигиена на уязвимости и корекции | A.8.8 управление на технически уязвимости | Zenith Blueprint стъпка 19 | Сканирания за уязвимости, отчети за корекции, билети за отстраняване, записи за приемане на риска |
| Сигурна конфигурация | A.8.9 управление на конфигурацията | Zenith Blueprint стъпка 19 | Сигурни базови конфигурации, прегледи на конфигурации, одобрения на промени, отчети за отклонения |
| Устойчивост и възстановяване | A.8.13 резервно копиране на информация | Политика за информационна сигурност — МСП | Журнали за резервни копия, тестове за възстановяване, прегледи на неуспехи при архивиране, доказателства за възстановяване |
| Откриване и реагиране | A.8.15 регистриране, A.8.16 дейности по мониторинг, A.6.8 докладване на събития по информационна сигурност | Zenith Controls | SIEM предупреждения, процедури за мониторинг, обучение за докладване на инциденти, резултати от сценарийни настолни упражнения |
| Криптографска защита | A.8.24 използване на криптография | ISO/IEC 27001:2022 Annex A | Стандарти за криптиране, доказателства за управление на ключове, TLS конфигурация, отчети за криптиране при съхранение |
| Цялост на доказателствата | A.5.33 защита на записите | Zenith Controls | Контролирани одитни папки, времеви маркери на експорти, правила за срокове за съхранение, журнали за достъп |
Регулаторът може да не използва ISO терминология, но доказателственият път остава същият. Покажете, че изискването е идентифицирано, оценено по риск, третирано, внедрено, наблюдавано, докладвано на ръководството и подобрявано.
Използвайте Zenith Blueprint за преход от план към доказателства
Zenith Blueprint: 30-стъпкова пътна карта за одитора дава на екипите практичен маршрут от намерение до доказателства. В етапа „Основи и лидерство на СУИС“, стъпка 5, „Комуникация, осведоменост и компетентност“, Blueprint инструктира организациите да идентифицират изискваните компетентности, да оценят текущите компетентности, да осигурят обучение за запълване на пропуски, да поддържат записи за компетентност и да третират компетентността като постоянен процес.
Действието в Blueprint е умишлено оперативно:
Извършете бърз анализ на потребностите от обучение. Избройте ключовите си роли в СУИС (от стъпка 4) и за всяка запишете известно обучение или сертификация, които притежава, както и какво допълнително обучение би било полезно. Избройте също общите теми за осведоменост по сигурността, необходими за всички служители. На тази база изготвяйте прост план за обучение за следващата година – напр. „Q1: осведоменост по сигурността за целия персонал; Q2: разширено обучение за реагиране при инциденти за ИТ; Q3: обучение за вътрешен одитор по ISO 27001 за двама членове на екипа; …“.
В етапа „Контроли в действие“, стъпка 15, „Контроли за персонала I“, Zenith Blueprint препоръчва задължително ежегодно обучение за всички служители, ролево специфични модули, въвеждане по сигурност за новоназначени в рамките на първата седмица, симулирани фишинг кампании, информационни бюлетини, екипни инструктажи, доказателства за участие, целенасочени бюлетини по сигурността след нововъзникващи заплахи и обучение за изпълнители или трети страни с достъп.
Стъпка 16, „Контроли за персонала II“, предупреждава, че одиторите ще тестват внедряването, а не само документацията. При дистанционна работа одиторите могат да поискат Политика за дистанционна работа, доказателства за VPN или криптиране на крайни точки, внедряване на MDM, ограничения за BYOD и записи за обучение, показващи предпазни мерки при дистанционна работа. Ако хибридната работа е част от оперативния модел, доказателствата за обучение по NIS2 трябва да включват сигурно използване на Wi‑Fi, заключване на устройства, одобрено съхранение, MFA и докладване на подозрителна дейност от домашни среди.
Стъпка 19, „Технологични контроли I“, свързва киберхигиената с техническия слой на контролите. Zenith Blueprint препоръчва преглед на отчети за корекции, сканирания за уязвимости, сигурни базови конфигурации, EDR покритие, журнали за зловреден софтуер, DLP предупреждения, възстановявания от резервни копия, доказателства за резервираност, подобрения в регистрирането и синхронизация на времето. Article 21(2)(g) не може да се оценява изолирано. Обучената работна сила все пак се нуждае от крайни точки с приложени корекции, наблюдавани журнали, тествани резервни копия и сигурни конфигурации.
Направете плана за обучение базиран на риска чрез ISO/IEC 27005:2022
Честа одитна слабост е общ план за обучение, който изглежда еднакво за разработчици, финанси, поддръжка, висши ръководители и изпълнители. ISO/IEC 27005:2022 помага да се избегне тази слабост, като прави обучението част от третирането на риска.
Клауза 6.2 препоръчва идентифициране на основните изисквания на съответните заинтересовани страни и статуса на съответствие, включително ISO/IEC 27001:2022 Annex A, други стандарти за СУИС, специфични за сектора изисквания, национални и международни регулации, вътрешни правила за сигурност, договорни контроли за сигурност и контроли, вече внедрени чрез предходно третиране на риска. Това поддържа един регистър на изискванията вместо отделни таблици за NIS2, ISO, DORA, GDPR, клиенти и застрахователи.
Клаузи 6.4.1 до 6.4.3 обясняват, че критериите за приемане и оценка на риска трябва да отчитат правни и регулаторни аспекти, оперативни дейности, взаимоотношения с доставчици, технологични и финансови ограничения, поверителност, репутационна вреда, нарушения на договор, нарушения на ниво на обслужване и въздействия върху трети страни. Фишинг инцидент, засягащ вътрешна система за бюлетини, е различен от компрометиране на удостоверителни данни, засягащо управлявана услуга по сигурността, платформа за клиентска поддръжка, платежна интеграция или DNS операция.
Клаузи 7.1 до 7.2.2 изискват последователна, възпроизводима оценка на риска, включително рискове за поверителност, цялостност и наличност, както и именувани собственици на риска. След това клаузи 8.2 до 8.6 насочват избора на третиране, определянето на контроли, сравнение с Annex A, документиране на Декларацията за приложимост и детайлизиране на плана за третиране.
Обучението е едно третиране, но не е единственото. Ако повторни фишинг симулации показват, че потребители от финансовия отдел са уязвими към измами с фактури, планът за третиране може да включва опреснително обучение, по-силен работен процес за одобрение на плащания, условен достъп, мониторинг на правила за пощенски кутии и сценарийни упражнения за висши ръководители по измами.
Клаузи 9.1, 9.2, 10.4.2, 10.5.1 и 10.5.2 подчертават планирана повторна оценка, документирани методи, мониторинг на ефективността и актуализации при нови уязвимости, активи, използване на технологии, закони, инциденти или промени в апетита към риск. Това доказва, че организацията не замразява плана си за обучение веднъж годишно.
Използвайте едни и същи доказателства за NIS2, DORA, GDPR, NIST и COBIT
Най-силният пакет с доказателства по NIS2 трябва да поддържа множество разговори за уверение.
NIS2 Article 4 признава, че секторно специфични правни актове на Съюза могат да заменят съответните задължения по NIS2 за управление на риска и докладване, когато са поне еквивалентни по ефект. Recital 28 определя DORA като секторно специфичния режим за финансови субекти в обхвата. За обхванатите финансови субекти правилата на DORA за управление на ИКТ риска, управление на инциденти, тестване на устойчивостта, споделяне на информация и риск от ИКТ трети страни се прилагат вместо съответните разпоредби на NIS2. NIS2 остава силно релевантна за субекти извън DORA и за ИКТ доставчици от трети страни като доставчици на облачни услуги, MSP и MSSP.
DORA подсилва същата логика на система за управление. Articles 4 до 6 изискват пропорционално управление на ИКТ риска, отговорност на управителния орган, ясни ИКТ роли, стратегия за цифрова оперативна устойчивост, планове за ИКТ одит, бюджети и ресурси за осведоменост или обучение. Articles 8 до 13 изискват идентификация на активи и зависимости, защита и превенция, контроли на достъпа, силна автентикация, резервни копия, непрекъснатост, реагиране и възстановяване, обучение след инциденти, докладване по ИКТ към висшето ръководство и задължително обучение за осведоменост по ИКТ сигурност и цифрова оперативна устойчивост. Articles 17 до 23 изискват структурирано управление на инциденти, класификация, ескалация и комуникации с клиенти. Articles 24 до 30 свързват тестването с управлението на доставчици, надлежната проверка, договорите, правата на одит и стратегиите за изход.
GDPR добавя слоя на отчетност по поверителността. Article 5 изисква цялостност и поверителност чрез подходящи технически и организационни мерки, а Article 5(2) изисква администраторите да доказват съответствие. Article 6 изисква правно основание за обработване, докато Articles 9 и 10 налагат по-строги предпазни мерки за специални категории данни и данни, свързани с престъпления. За SaaS доставчик доказателствата за обучение трябва да включват поверителност, минимизиране на данните, сигурно разкриване, ескалация при нарушение и ролево специфично боравене с клиентски данни.
Одитните гледни точки в стил NIST и COBIT 2019 често се появяват при клиентско уверение, вътрешен одит и докладване към управителния орган. Оценител в стил NIST обикновено ще попита дали осведомеността и обучението са базирани на риска, ролево базирани, измервани и свързани с реагиране при инциденти, идентичност, управление на активи и непрекъснато наблюдение. Одитор в стил COBIT 2019 или ISACA ще се фокусира върху управлението, отчетността, показателите за изпълнение, управленския надзор, собствеността върху процесите и съгласуването с корпоративните цели.
| Рамкова гледна точка | Какво интересува одитора | Доказателства за подготовка |
|---|---|---|
| NIS2 Article 21 | Пропорционални мерки за киберриск, киберхигиена, обучение, управленски надзор | Съпоставяне с Article 21, одобрение от управителния орган, план за обучение, KPI за киберхигиена, доказателства за готовност при инциденти |
| ISO/IEC 27001:2022 | Обхват на СУИС, третиране на риска, компетентност, осведоменост, мониторинг, вътрешен одит, подобрение | Обхват, регистър на риска, SoA, матрица на компетентностите, записи за обучение, одитен доклад, коригиращи действия |
| DORA | Жизнен цикъл на ИКТ риска, обучение по устойчивост, тестване, класификация на инциденти, ИКТ риск от трети страни | Рамка за ИКТ риск, обучение по устойчивост, резултати от тестване, процедура за инциденти, регистър на доставчиците |
| GDPR | Отчетност, защита на данните, осведоменост за нарушения на поверителността, поверителност, минимизиране | Обучение по поверителност, карта на ролите при обработване, доказателства за ескалация при нарушение, процедури за боравене с данни |
| Преглед в стил NIST | Ролево базирана осведоменост, измеримо действие на контролите, мониторинг, реагиране | Матрица на ролите, показатели от симулации, доказателства за достъп, доказателства за регистриране, резултати от сценарийни настолни упражнения |
| Преглед по COBIT 2019 или ISACA | Управление, собственост върху процесите, резултатност, уверение за контролите, управленско докладване | RACI, табло с KPI, протоколи от преглед от ръководството, програма за вътрешен одит, проследяване на коригиращи действия |
Практическата полза е проста: един пакет с доказателства, множество одитни наративи.
Как одиторите ще тестват един и същ контрол
Одитор по ISO/IEC 27001:2022 ще започне със СУИС. Той ще попита дали са определени изискванията за компетентност и осведоменост, дали персоналът разбира отговорностите си, дали записите се съхраняват, дали вътрешните одити тестват процеса и дали прегледът от ръководството разглежда резултатността и подобрението. Може да избере извадка от служители и да ги попита как да докладват инцидент, как се използва MFA, какви са правилата за приемлива употреба или какво да направят след получаване на подозрителен имейл.
Надзорен преглед по NIS2 ще бъде по-фокусиран върху резултата и риска за услугите. Преглеждащият може да попита как киберхигиената намалява риска за предоставянето на услуги, как ръководството е одобрило мерките, как обучението е адаптирано към съществените услуги, как е обхванат персоналът на трети страни, как се оценява ефективността и как организацията би съобщила значителни киберзаплахи или инциденти съгласно Article 23. Тъй като Article 23 включва ранно предупреждение в рамките на 24 часа и уведомление за инцидент в рамките на 72 часа при значителни инциденти, обучението трябва да включва разпознаване и бърза ескалация.
Одитор по DORA за финансов субект ще свърже осведомеността с цифровата оперативна устойчивост. Той може да попита дали осведомеността по ИКТ сигурност и обучението по устойчивост са задължителни, дали докладването по ИКТ към висшето ръководство достига до управителния орган, дали критериите за класификация на инциденти се разбират, дали кризисните комуникации са упражнявани и дали доставчиците от трети страни участват в обучение, когато това е договорно релевантно.
Одитор по GDPR или оценител по поверителност ще се фокусира върху това дали персоналът разбира лични данни, роли при обработване, поверителност, идентифициране на нарушения, ескалация при нарушения, минимизиране на данните и сигурно разкриване. Той ще очаква обучението да се различава за поддръжка, ЧР, разработчици и администратори, защото тези роли създават различни рискове за поверителността.
Вътрешен одитор по COBIT 2019 или ISACA ще попита кой притежава процеса, кои цели поддържа, как се измерва резултатността, какви изключения съществуват, дали коригиращите действия се проследяват и дали ръководството получава смислено докладване, а не фасадни показатели.
Чести констатации относно готовността на обучението по NIS2
Най-честата констатация е непълно покритие на популацията. Отчетът от LMS показва 94% завършване, но липсващите 6% включват привилегировани администратори, изпълнители или новоназначени. Одиторите няма да приемат процент, без да разберат кой липсва и защо.
Втората констатация е липса на чувствителност към ролите. Всички получават един и същ ежегоден модул, но разработчиците не са обучени по сигурно програмиране, служителите по поддръжка не са обучени по проверка на идентичността, а висшите ръководители не са обучени по управленски задължения или кризисни решения. NIS2 Article 20 и Article 21 правят това трудно защитимо.
Третата констатация е слаби доказателства за ефективност. Завършването не е равнозначно на разбиране или промяна на поведението. Одиторите все по-често очакват резултати от тестове, тенденции при фишинг, тенденции при докладване на инциденти, изводи от сценарийни настолни упражнения, намаляване на повторните неуспехи и коригиращи действия.
Четвъртата констатация е откъсната техническа хигиена. Обучението казва „докладвайте подозрителна дейност“, но няма тестван канал за докладване. Обучението казва „използвайте MFA“, но служебните акаунти заобикалят MFA. Обучението казва „защитавайте данните“, но продукционни данни се появяват в тестови среди. Article 21 очаква система от контроли, а не лозунги.
Петата констатация е слаба цялост на записите. Доказателствата се съхраняват в редактируема електронна таблица без собственик, времеви маркер на експорта, контрол на достъпа или съпоставяне със записите на ЧР. Взаимоотношенията между контролите по ISO/IEC 27002:2022 в Zenith Controls насочват обратно към защитата на записите с причина. Доказателствата трябва да бъдат надеждни.
10-дневен спринт за отстраняване на пропуски за готови за одит доказателства
Ако организацията ви е под натиск, започнете с фокусиран спринт.
| Ден | Действие | Резултат |
|---|---|---|
| Ден 1 | Потвърдете приложимостта на NIS2 и обхвата на услугите | Решение дали субектът е съществен или важен, услуги в обхвата, поддържащи функции |
| Ден 2 | Изградете регистъра на изискванията | NIS2 Articles 20, 21, 23, ISO клаузи, контроли от Annex A, GDPR, DORA, договори, застрахователни изисквания |
| Ден 3 | Създайте матрицата за ролево базирано обучение | Обучение, съпоставено с професионални групи, привилегирован достъп, разработчици, поддръжка, изпълнители, висши ръководители |
| Ден 4 | Съпоставете обучението с рискови сценарии | Фишинг, компрометиране на удостоверителни данни, изтичане на данни, рансъмуер, неправилна конфигурация, компрометиране на доставчик, нарушение на поверителността |
| Ден 5 | Съберете доказателства | Експорти от LMS, потвърждения, доклади за фишинг, записи от въвеждане, записи за изпълнители, присъствие на висши ръководители |
| Ден 6 | Съпоставете доказателствата | Популацията за обучение е проверена спрямо записи на ЧР, групи за идентичност, привилегировани акаунти, списъци с изпълнители |
| Ден 7 | Тествайте разбирането на служителите | Бележки от интервюта, показващи, че персоналът знае как да докладва инциденти, какви са очакванията за MFA, как да обработи подозрителен имейл и какви са правилата за данни |
| Ден 8 | Прегледайте техническите контроли за хигиена | MFA, резервни копия, EDR, прилагане на корекции, сканиране за уязвимости, регистриране, мониторинг, доказателства за сигурна конфигурация |
| Ден 9 | Подгответе пакета за преглед от ръководството | Завършване, изключения, фишинг тенденции, отворени действия, високорискови роли, инциденти, бюджетни нужди |
| Ден 10 | Актуализирайте плана за третиране на риска и SoA | Остатъчен риск, собственици, крайни срокове, мерки за ефективност, актуализации на Декларацията за приложимост |
Този спринт ви дава защитима доказателствена база. Той не заменя текущото функциониране на СУИС, но създава структурата, която регулаторите и одиторите очакват.
Как изглежда добрият резултат
Зряла програма за киберхигиена и обучение по NIS2 Article 21 има пет характеристики.
Първо, тя е видима за управителния орган. Ръководството одобрява подхода, вижда значими показатели, разбира остатъчния риск и финансира подобрение.
Второ, тя е базирана на риска. Обучението се различава според ролята, критичността на услугата, нивото на достъп, експозицията на данни и отговорността при инциденти.
Трето, тя е водена от доказателства. Записите за завършване, потвържденията, симулациите, сценарийните настолни упражнения, техническите отчети за хигиена и коригиращите действия са пълни, съпоставени и защитени.
Четвърто, тя отчита кръстосаното съответствие. Едни и същи доказателства поддържат NIS2, ISO/IEC 27001:2022, DORA, GDPR, уверение в стил NIST и управленско докладване по COBIT 2019.
Пето, тя се подобрява. Инциденти, одитни констатации, правни промени, промени при доставчици, нови технологии и нововъзникващи заплахи актуализират плана за обучение.
Тази последна точка е разликата между театър на съответствието и оперативна устойчивост.
Следващи стъпки с Clarysec
Ако вашият ръководен екип пита: „Можем ли утре да докажем киберхигиената и обучението по киберсигурност по NIS2 Article 21?“, Clarysec може да ви помогне да преминете от разпръснати доказателства към готов за одит пакет с доказателства по СУИС.
Започнете с Zenith Blueprint, за да структурирате компетентност, осведоменост, контроли за персонала, практики за дистанционна работа, управление на уязвимости, резервни копия, регистриране, мониторинг и действия за техническа хигиена в рамките на 30-стъпковата пътна карта.
Използвайте Zenith Controls, за да съпоставите кръстосано очакванията по ISO/IEC 27002:2022 за осведоменост, приемлива употреба, съответствие, мониторинг, записи и уверение в разговори за одит по NIS2, ISO/IEC 27001:2022, DORA, GDPR, NIST и COBIT 2019.
След това операционализирайте изискванията чрез Политика за осведоменост и обучение по информационна сигурност, Политика за осведоменост и обучение по информационна сигурност — МСП и Политика за информационна сигурност — МСП на Clarysec.
Непосредственото ви действие е просто: изградете едностранична карта на доказателствата за обучение по NIS2 Article 21 още тази седмица. Избройте ролите в обхвата, възложеното обучение, доказателствата за завършване, потвържденията за запознаване с политики, фишинг показателите, доказателствата за техническа киберхигиена, датата на преглед от ръководството и коригиращите действия. Ако някоя клетка е празна, сте открили следващата си задача за одитно отстраняване.
За по-бърз път изтеглете шаблоните за политики на Clarysec, използвайте пътната карта Zenith Blueprint и насрочете оценка на готовността на доказателствата по NIS2, за да превърнете текущите си записи за обучение, контролите за киберхигиена и СУИС по ISO/IEC 27001:2022 в едно защитимо одитно досие.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
