NIST CSF 2.0 Govern за МСП и ISO 27001
Сара, новоназначеният CISO на бързо растящо FinTech МСП, имаше бяла дъска, изпълнена с рамки, и срок, който не можеше да бъде отложен. NIST CSF 2.0. ISO 27001:2022. NIS2. DORA. GDPR. Риск при доставчици. Отчетност пред управителния съвет. Надлежна проверка от корпоративни клиенти.
Поводът беше познат: електронна таблица от голям клиент в сектора на финансовите услуги. Отделът „Закупуване“ изискваше доказателства за модел на управление на киберсигурността, апетит за риск, програма за сигурност на доставчиците, съпоставяне на правни и регулаторни задължения, процес за ескалация на инциденти и съответствие с ISO 27001:2022.
Главният изпълнителен директор не искаше лекция по съответствие. Тя искаше ясен отговор на труден въпрос: „Как да докажем на нашия управителен съвет, клиентите и регулаторите, че управляваме киберриска?“
Това е управленският проблем, пред който са изправени много МСП. Клиентският въпросник рядко е само клиентски въпросник. Често той представлява пет разговора за съответствие, компресирани в едно искане. NIST CSF 2.0, ISO/IEC 27001:2022, GDPR, NIS2, очаквания към доставчиците, произтичащи от DORA, устойчивост на облачни услуги, надзор от управителния съвет и договорни ангажименти — всички те са скрити в едно и също искане за доказателства.
Много МСП реагират, като създават отделни артефакти: таблица за NIST, папка за сертификация по ISO, тракер за GDPR, Регистър на риска при доставчици и План за реагиране при инциденти, които не са свързани помежду си. Шест месеца по-късно никой не знае кой документ е официалният източник.
Подходът на Clarysec е различен. Използвайте функцията Govern на NIST CSF 2.0 като управленски слой за висшето ръководство, след което я съпоставете с политики по ISO 27001:2022, третиране на риска, Декларация за приложимост, надзор върху доставчици, преглед от ръководството и одитни доказателства. Резултатът не е повече работа по съответствието. Това е един оперативен модел, който позволява да отговаряте на одитори, клиенти, регулатори и ръководство с един и същ набор от доказателства.
Защо функцията Govern на NIST CSF 2.0 е важна за МСП
NIST CSF 2.0 издига управлението в самостоятелна функция наред с Identify, Protect, Detect, Respond и Recover. Тази промяна е важна, защото повечето провали в сигурността при МСП не са причинени от липсата на още един инструмент. Те са причинени от неясна отчетност, слаби решения за риска, недокументирани изключения, непоследователен надзор върху доставчици и политики, които са били одобрени веднъж, но никога не са въведени в оперативна употреба.
Функцията Govern на NIST CSF 2.0 променя въпроса от „какви контроли имаме?“ към „кой носи отчетност, кои задължения се прилагат, как се приоритизират рисковете и как се преглежда изпълнението?“
За МСП резултатите от Govern дават практичен мандат:
- Разбиране и управление на правни, регулаторни, договорни, свързани с поверителността и гражданските свободи задължения.
- Установяване на апетит за риск, толеранс към риск, оценяване на риска, приоритизация и възможности за реакция на риска.
- Дефиниране на роли, отговорности, правомощия, пътища за ескалация и ресурсно осигуряване в киберсигурността.
- Установяване, комуникиране, прилагане, преглед и актуализация на политики за киберсигурност.
- Преглед на стратегията, изпълнението и управленската отчетност в киберсигурността.
- Управление на киберриска при доставчици и трети страни — от надлежната проверка до прекратяване на взаимоотношението.
Ето защо NIST CSF 2.0 Govern е толкова силна входна точка към ISO 27001:2022. NIST дава на ръководителите езика на управлението. ISO 27001:2022 предоставя одитируемата система за управление.
Клаузи 4 до 10 на ISO 27001:2022 изискват организациите да разбират контекста, да дефинират заинтересованите страни, да установят обхвата на ISMS, да демонстрират лидерство, да планират оценка на риска и третиране на риска, да поддържат документирана информация, да прилагат контроли, да оценяват изпълнението, да провеждат вътрешни одити и прегледи от ръководството и да постигат непрекъснато подобрение. След това Приложение A предоставя референтния набор от контроли, включително политики, управленски отговорности, правни задължения, поверителност, взаимоотношения с доставчици, облачни услуги, управление на инциденти и готовност на ИКТ за непрекъсваемост на дейността.
Корпоративната Политика за информационна сигурност на Clarysec Политика за информационна сигурност посочва:
Организацията трябва да поддържа формален модел на управление за надзор върху ISMS, съгласуван с клаузи 5.1 и 9.3 на ISO/IEC 27001.
Това изискване от клауза 5.1 на Политика за информационна сигурност е практическата връзка между отчетността по NIST GV и очакванията на ISO 27001:2022 към лидерството. Управлението не е годишна презентация. То е формален модел, който свързва решения, политики, роли, рискове, контроли, доказателства и преглед.
Основното съпоставяне: NIST CSF 2.0 Govern към доказателства по ISO 27001:2022
Най-бързият начин NIST CSF 2.0 да стане полезен е резултатите от Govern да се преобразуват в собственост върху политики и одитни доказателства. Таблицата по-долу е структурата, която Clarysec използва с МСП, подготвящи се за сертификация по ISO 27001:2022, надлежна проверка от корпоративни клиенти, готовност за NIS2, клиентско потвърждение по DORA и отчетност по GDPR.
| Област на NIST CSF 2.0 Govern | Управленски въпрос за МСП | Съответствие с ISO 27001:2022 | Референтна политика на Clarysec | Доказателства, очаквани от одитори и клиенти |
|---|---|---|---|---|
| GV.OC, организационен контекст | Познаваме ли нашите правни, регулаторни, договорни, свързани с поверителността и бизнес задължения? | Клаузи 4.1 до 4.4, Приложение A 5.31 и 5.34 | Политика за правно и регулаторно съответствие | Регистър на съответствието, обхват на ISMS, регистър на заинтересованите страни, карта на клиентските задължения, регистър за поверителност |
| GV.RM, стратегия за управление на риска | Как дефинираме, оценяваме, приоритизираме, приемаме и третираме киберрисковете? | Клаузи 6.1.1 до 6.1.3, 8.2 и 8.3 | Политика за управление на риска | Методология за риска, Регистър на риска, План за третиране на риска, одобрения от собственици на риска, съпоставяне със SoA |
| GV.RR, роли и отговорности | Кой отговаря за решенията, изключенията, ресурсите и докладването в областта на киберсигурността? | Клаузи 5.1 до 5.3, Приложение A 5.2 и 5.4 | Политика за роли и отговорности в управлението за МСП | RACI, описания на роли, протоколи от срещи, одобрения на изключения, записи за обучение |
| GV.PO, политика | Одобрени, комуникирани, прилагани, преглеждани и актуализирани ли са политиките? | Клаузи 5.2, 7.5 и 9.3, Приложение A 5.1 | Политика за информационна сигурност | Регистър на политиките, записи за одобрение, история на версиите, потвърждения от служители, протоколи от преглед на политики |
| GV.OV, надзор | Преглеждат ли се и коригират ли се стратегията и изпълнението в киберсигурността? | Клаузи 9.1, 9.2, 9.3, 10.1 и 10.2 | Политика за одит и мониторинг на съответствието | KPI табло, план за вътрешен одит, резултати от преглед от ръководството, коригиращи действия |
| GV.SC, риск във веригата на доставки | Известни, приоритизирани, оценени, договорно уредени, наблюдавани и прекратявани контролирано ли са доставчиците? | Приложение A 5.19 до 5.23 и 5.30 | Политика за сигурност на трети страни и доставчици за МСП | Инвентар на доставчиците, записи от надлежна проверка, договорни клаузи, журнали от прегледи, планове за изход, контакти при инциденти |
Това съпоставяне умишлено започва от доказателствата. То не изисква от МСП да създаде 40 документа. То задава пет оперативни въпроса:
- Какво решение се взема?
- Кой отговаря за него?
- Коя политика го регулира?
- Коя клауза на ISO 27001:2022 или контрол от Приложение A го подкрепя?
- Какво доказателство потвърждава, че се е случило?
Политика за роли и отговорности в управлението за МСП Политика за роли и отговорности в управлението за МСП прави тази проследимост изрична:
Всички съществени решения, изключения и ескалации, свързани със сигурността, трябва да бъдат записани и проследими.
Този цитат е от клауза 5.5 на Политика за роли и отговорности в управлението за МСП. Той превръща NIST GV.RR от управленски принцип в одитируемо оперативно правило.
Започнете с профил CSF Govern, а не с таблица с контроли
Организационните профили в NIST CSF 2.0 помагат на организациите да опишат текущите и целевите резултати в киберсигурността. За МСП профилът е мястото, където управлението става управляемо.
Практическият семинар за профил Govern трябва да отговори на пет въпроса:
- Какво е в обхвата: цялата компания, SaaS платформа, регулиран продукт или клиентска среда?
- Кои задължения движат профила: клиентски договори, GDPR, експозиция към NIS2, клиентски очаквания, произтичащи от DORA, сертификация по ISO 27001:2022 или надлежна проверка от инвеститор?
- Какво доказват текущите доказателства, а не какво хората вярват, че съществува?
- Какво целево състояние е реалистично за следващите 90 дни и следващите 12 месеца?
- Кои рискове, политики, доставчици и записи в SoA трябва да се променят?
Zenith Blueprint: 30-стъпкова пътна карта за одитора Zenith Blueprint подпомага това във фазата „основа и лидерство на ISMS“, стъпка 6, „Документирана информация и изграждане на библиотеката на ISMS“. Той препоръчва SoA да се подготви рано и да се използва като библиотека с контроли:
✓ Допълнителни контроли: Има ли контроли извън Приложение A, които може да включите? ISO 27001 позволява добавяне на други контроли в SoA. Например може да искате да включите съответствие с NIST CSF или специфични контроли за поверителност от ISO 27701. Като цяло Приложение A е изчерпателно, но можете да добавите всички уникални контроли, които планирате
✓ Използвайте електронна таблица (SoA Builder): Практичен подход е да подготвите SoA таблицата още сега. Подготвили сме шаблон SoA_Builder.xlsx, който изброява всички контроли от Приложение A с колони за приложимост, статус на внедряване и бележки.
За МСП това е важно. Не е необходимо да насилвате NIST CSF 2.0 да се побере в ISO Приложение A, сякаш двете са идентични. Можете да включите резултатите от CSF Govern като допълнителни управленски изисквания във вашата библиотека SoA, да ги съпоставите с клаузи на ISO 27001:2022 и контроли от Приложение A и да ги използвате за подобряване на прегледа от ръководството, управлението на доставчици, докладването на риска и мониторинга на съответствието.
Изградете регистър на доказателствата за Govern
Регистърът на доказателствата за Govern е практичният инструмент, който превръща рамките в доказуеми факти. Той трябва да свързва всеки резултат по NIST с ISO референция, собственик на политика, елемент на доказателство, честота на преглед, пропуск и действие.
| Поле | Примерен запис |
|---|---|
| Резултат от CSF | GV.OC-03 |
| Управленски въпрос | Разбрани и управлявани ли са правните, регулаторните, договорните, свързаните с поверителността и гражданските свободи задължения? |
| Референция към ISO 27001:2022 | Клаузи 4.2, 4.3 и 6.1.3, Приложение A 5.31 и 5.34 |
| Политика на Clarysec | Политика за правно и регулаторно съответствие |
| Собственик на доказателството | Мениджър по съответствието |
| Доказателство | Регистър на съответствието v1.4, карта на клиентските задължения, регистър на дейностите по обработване по GDPR |
| Честота на преглед | На тримесечна база и при промени, свързани с нов пазар, клиент или продукт |
| Пропуск | Клаузите по DORA, прехвърляни от клиенти надолу по веригата, не са съпоставени с договорите с доставчици |
| Действие | Актуализиране на шаблона за договор с доставчици и бележките в SoA |
| Краен срок | 30 дни |
Корпоративната Политика за правно и регулаторно съответствие на Clarysec Политика за правно и регулаторно съответствие задава управленското изискване:
Всички правни и регулаторни задължения трябва да бъдат съпоставени с конкретни политики, контроли и собственици в рамките на Система за управление на информационната сигурност (ISMS).
Това е клауза 6.2.1 от Политика за правно и регулаторно съответствие. За МСП Политика за правно и регулаторно съответствие за МСП Политика за правно и регулаторно съответствие за МСП добавя практическо изискване за кръстосано съпоставяне:
Когато дадена регулация се прилага в няколко области (например GDPR се прилага към съхранение, сигурност и поверителност), това трябва да бъде ясно съпоставено в Регистъра на съответствието и материалите за обучение.
Този цитат е от клауза 5.2.2 на Политика за правно и регулаторно съответствие за МСП. Заедно тези клаузи превръщат GV.OC-03 в управляван, прегледен и готов за одит процес.
Свържете оценяването на риска с третирането на риска и SoA
NIST GV.RM изисква цели за риска, апетит за риск, толеранс към риск, стандартизирано изчисляване на риска, възможности за реакция и комуникационни линии. ISO 27001:2022 превръща това в оперативна практика чрез оценка на риска, третиране на риска, одобрение от собственик на риска, приемане на остатъчния риск и Декларация за приложимост.
Политика за управление на риска за МСП Политика за управление на риска за МСП е умишлено конкретна:
Всеки запис за риск трябва да включва: описание, вероятност, въздействие, оценка, собственик и план за третиране.
Това идва от клауза 5.1.2 на Политика за управление на риска за МСП. Корпоративната Политика за управление на риска Политика за управление на риска затвърждава връзката със SoA:
Декларация за приложимост (SoA) трябва да отразява всички решения за третиране и да се актуализира при всяка промяна в покритието на контролите.
Това е клауза 5.4 на Политика за управление на риска.
Да разгледаме реален риск за МСП: неоторизиран достъп до продукционни клиентски данни поради непоследователно прилагане на MFA за облачни административни акаунти.
Силното съпоставяне по Govern би включвало:
- NIST GV.RM за стандартизирана документация и приоритизация на риска.
- NIST GV.RR за собственост върху ролите и правомощия за прилагане на контрол на достъпа.
- NIST GV.PO за прилагане и преглед на политиката.
- Клаузи 6.1.2, 6.1.3, 8.2 и 8.3 на ISO 27001:2022.
- Контроли от Приложение A за контрол на достъпа, управление на идентичности, информация за удостоверяване, регистриране, мониторинг, конфигурация и облачни услуги.
- Доказателства като запис в Регистъра на риска, експорт на MFA конфигурация, одобрение на изключение, преглед на облачна IAM, решение от преглед от ръководството и актуализирана бележка в SoA.
Zenith Blueprint, фаза „Управление на риска“, стъпка 13, „Планиране на третиране на риска и Декларация за приложимост“, обяснява връзката:
✓ Осигурете съответствие с вашия Регистър на риска: всеки компенсиращ контрол, който сте записали в Плана за третиране на риска, трябва да съответства на контрол от Приложение A, отбелязан като „Приложим“. Обратно, ако даден контрол е отбелязан като приложим, трябва да имате или риск, или изискване, което го обосновава.
Това е разликата между твърдението „използваме MFA“ и доказването на „имаме управлявана, риск-базирана и съгласувана с ISO 27001:2022 причина за MFA, с доказателства, собственик и честота на преглед“.
Управлявайте риска при доставчици, без да изграждате прекомерна програма
NIST GV.SC е една от най-полезните части на функцията Govern за МСП, защото съвременните МСП зависят силно от доставчици: доставчици на облачни услуги, платежни оператори, HR платформи, системи за обслужване на заявки, хранилища за код, CI/CD инструменти, инструменти за мониторинг и управлявани услуги за сигурност.
ISO 27001:2022 Приложение A подкрепя това чрез контроли за доставчици и облачни услуги, включително 5.19 Информационна сигурност във взаимоотношенията с доставчици, 5.20 Адресиране на информационната сигурност в споразумения с доставчици, 5.21 Управление на информационната сигурност във веригата на доставки на ИКТ, 5.22 Мониторинг, преглед и управление на промените в услугите на доставчици, 5.23 Информационна сигурност при използване на облачни услуги и 5.30 Готовност на ИКТ за непрекъсваемост на дейността.
Политика за сигурност на трети страни и доставчици за МСП Политика за сигурност на трети страни и доставчици за МСП прави изискването за доказателства ясно:
Тези прегледи трябва да бъдат документирани и съхранявани със записа на доставчика. Последващите действия трябва да бъдат ясно проследявани.
Това е клауза 6.3.2 на Политика за сигурност на трети страни и доставчици за МСП.
Лек модел за доставчици при МСП може да използва три нива:
| Ниво на доставчик | Критерии | Минимални доказателства | Честота на преглед |
|---|---|---|---|
| Критичен | Поддържа продукционна среда, клиентски данни, автентикация, мониторинг на сигурността, платежен поток или предоставяне на регулирана услуга | Въпросник за надлежна проверка, договорни клаузи за сигурност, SLA, контакт при инцидент, план за изход, преглед на риска | Ежегодно и при съществена промяна |
| Важен | Поддържа операции на организацията или вътрешна чувствителна информация, но не пряко предоставяне на критична услуга | Обобщение на сигурността, условия за обработване на данни, преглед на достъпа, приемане на риска при наличие на пропуски | На всеки 18 месеца |
| Стандартен | Инструменти с нисък риск, без чувствителни данни или критична зависимост | Одобрение от собственик на бизнеса, базова проверка на данните и достъпа | При въвеждане и подновяване |
Този прост модел подкрепя NIST GV.SC, контролите за доставчици по ISO 27001:2022, клиентската надлежна проверка и договорните очаквания, произтичащи от DORA, от страна на финансови клиенти.
Прекратяването на взаимоотношения с доставчици заслужава специално внимание. NIST GV.SC очаква управление през целия жизнен цикъл на доставчика, включително края на взаимоотношението. Доказателствата трябва да включват връщане или изтриване на данни, премахване на достъп, планиране на преход на услугата, съхранени договорни записи и преглед на остатъчния риск.
Използвайте Zenith Controls за кръстосано съответствие, не като отделен набор от контроли
Zenith Controls: ръководство за кръстосано съответствие на Clarysec Zenith Controls е ръководство за кръстосано съответствие за съпоставяне на теми от контроли по ISO/IEC 27002:2022 към множество рамки и одитни перспективи. Това не са отделни „контроли Zenith“. Те са контроли по ISO/IEC 27002:2022, анализирани в Zenith Controls за целите на кръстосаното съответствие.
За NIST CSF 2.0 Govern три области на контроли по ISO/IEC 27002:2022 са особено важни:
| Област на контрол по ISO/IEC 27002:2022 в Zenith Controls | Връзка с NIST CSF 2.0 Govern | Практическо тълкуване за МСП |
|---|---|---|
| 5.1 Политики за информационна сигурност | GV.PO | Политиките трябва да бъдат одобрени, комуникирани, прилагани, преглеждани и актуализирани, когато се променят заплахи, технологии, законодателство или бизнес цели |
| 5.4 Управленски отговорности | GV.RR и GV.OV | Отговорностите за сигурността трябва да бъдат възложени на ръководно и оперативно ниво, с ресурси, докладване и преглед |
| 5.31 Правни, законови, регулаторни и договорни изисквания | GV.OC-03 | Задълженията трябва да бъдат идентифицирани, съпоставени с контроли и собственици, наблюдавани за промяна и доказани |
Zenith Blueprint, фаза „Контроли в действие“, стъпка 22, „Организационни контроли“, дава оперативния модел:
Формализирайте управлението на информационната сигурност
Уверете се, че вашите политики за информационна сигурност (5.1) са финализирани, одобрени и под управление на версиите. Назначете поименно определени собственици за всяка област на политики (например достъп, шифроване, резервни копия) и документирайте ролите и отговорностите в рамките на ISMS (5.2). Прегледайте разделението на задълженията (5.3) в области с висок риск като финанси, системна администрация и контрол на промените. Създайте проста карта на управлението, която показва кой одобрява, кой внедрява и кой наблюдава политиката за сигурност.
Тази карта на управлението е един от артефактите с най-висока стойност, които едно МСП може да създаде. Тя отговаря на NIST GV.RR, изискванията на ISO 27001:2022 за лидерство, очакванията на NIS2 за управленска отчетност и клиентските въпроси за това кой отговаря за киберриска.
Един модел на управление за NIS2, DORA, GDPR, NIST и ISO
Функцията Govern става най-ценна, когато МСП се сблъсква с припокриващи се изисквания.
NIS2 изисква попадащите в обхвата съществени и важни субекти да приемат подходящи и пропорционални мерки за управление на риска в киберсигурността. Тя също така възлага на управителните органи отговорност да одобряват мерките за управление на риска в киберсигурността, да надзирават внедряването им и да преминават обучение. NIST GV.RR подкрепя управленската отчетност. GV.RM подкрепя риск-базирани мерки. GV.SC подкрепя сигурността на веригата на доставки. GV.PO подкрепя политиките. GV.OV подкрепя прегледа на изпълнението.
Управлението на инциденти по NIS2 въвежда и поетапни очаквания за докладване, включително ранно предупреждение в рамките на 24 часа, уведомление за инцидент в рамките на 72 часа и окончателен доклад в рамките на един месец за значими инциденти. Тези срокове трябва да бъдат отразени в процедури за реагиране при инциденти, пътища за ескалация, комуникационни планове и докладване към ръководството.
DORA се прилага от 17 януари 2025 г. за финансови субекти в ЕС, но много МСП усещат нейното въздействие чрез клиентски договори. Финансовите клиенти могат да прехвърлят изисквания на DORA надолу към доставчици на ИКТ, софтуерни доставчици, доставчици на управлявани услуги и доставчици, зависими от облачни услуги. DORA се фокусира върху управление на ИКТ риска, отговорност на управителния орган, докладване на инциденти, тестване на устойчивостта, ИКТ риск при трети страни, договорни изисквания и надзор.
GDPR добавя отчетност за обработването на лични данни. МСП трябва да разберат дали са администратори, обработващи лични данни, или и двете, какви лични данни обработват, кои системи и доставчици участват, какви правни основания се прилагат и кои сценарии за инциденти могат да се превърнат в нарушения на сигурността на личните данни.
Zenith Blueprint, фаза „Управление на риска“, стъпка 14, препоръчва кръстосано съпоставяне на изискванията на DORA, NIS2 и GDPR към набора от контроли по ISO 27001:2022:
За всяка регулация, ако е приложима, можете да създадете проста таблица за съпоставяне (може да бъде приложение към доклад), която изброява ключовите изисквания за сигурност на регулацията и съответните контроли/политики във вашия ISMS. Това не е задължително по ISO 27001, но е полезно вътрешно упражнение, за да се гарантира, че нищо не е пропуснато.
Практическа карта за кръстосано съответствие може да изглежда така:
| Управленско изискване | NIST CSF 2.0 Govern | Референтна точка по ISO 27001:2022 | Значение за NIS2, DORA, GDPR | Основни доказателства |
|---|---|---|---|---|
| Управленска отчетност | GV.RR и GV.OV | Клаузи 5.1, 5.3 и 9.3, Приложение A 5.4 | Надзор от управителен орган по NIS2, отговорност на управителния орган по DORA | Карта на управлението, RACI, протоколи от преглед от ръководството |
| Правни и договорни задължения | GV.OC-03 | Клаузи 4.2, 4.3 и 6.1.3, Приложение A 5.31 и 5.34 | Отчетност по GDPR, правен обхват по NIS2, договорни изисквания по DORA, прехвърляни надолу по веригата | Регистър на съответствието, карта на клиентските задължения, регистър за поверителност |
| Риск-базирани мерки за сигурност | GV.RM | Клаузи 6.1.2, 6.1.3, 8.2 и 8.3 | Мерки за риск по NIS2, рамка за управление на ИКТ риска по DORA, сигурност на обработването по GDPR | Регистър на риска, План за третиране на риска, SoA |
| Управление на доставчици | GV.SC | Приложение A 5.19 до 5.23 и 5.30 | Сигурност на веригата на доставки по NIS2, ИКТ риск от трети страни по DORA, обработващи лични данни по GDPR | Инвентар на доставчиците, надлежна проверка, договори, журнали от прегледи |
| Управление на политики | GV.PO | Клауза 5.2 и Приложение A 5.1 | Всички рамки очакват документирани, одобрени и комуникирани правила | Регистър на политиките, история на версиите, потвърждения |
| Одит и подобрение | GV.OV | Клаузи 9.1, 9.2, 9.3, 10.1 и 10.2 | Тестване и отстраняване по DORA, ефективност по NIS2, отчетност по GDPR | Доклади от вътрешен одит, KPI, коригиращи действия |
Стойността е в ефективността. Един добре управляван ISO 27001:2022 ISMS, насочван от NIST CSF 2.0 Govern, може да генерира доказателства за многократна употреба за няколко рамки едновременно.
Гледната точка на одитора: доказване, че управлението е реално
Политика на рафт не е управление. Одиторите и оценителите търсят „златна нишка“: политика на високо ниво, дефиниран процес, оперативен запис, преглед от ръководството и действие за подобрение.
Различните проверяващи ще тестват тази нишка по различен начин.
| Одиторска перспектива | Върху какво ще се фокусират | Доказателства, които работят добре |
|---|---|---|
| Одитор по ISO 27001:2022 | Дали управлението е вградено в ISMS, дали третирането на риска е проследимо, дали решенията в SoA са обосновани и дали документираната информация е контролирана | Обхват на ISMS, Регистър на политиките, Регистър на риска, SoA, протоколи от преглед от ръководството, доклади от вътрешен одит, коригиращи действия |
| Оценител по NIST CSF 2.0 | Дали съществуват текущи и целеви профили, дали пропуските са приоритизирани и дали резултатите от Govern са свързани с бизнес риск и надзор | CSF профил, анализ на пропуските, План за действия и ключови етапи (POA&M), декларация за апетит за риск, табло за ръководството, целеви профил за доставчици |
| Одитор по COBIT 2019 или в стил ISACA | Дали са дефинирани управленски цели, права за вземане на решения, показатели за изпълнение, собственост върху контролите и дейности за уверение | Карта на управлението, RACI, табло за KPI и KRI, удостоверения от собственици на контроли, план за одит, проследяване на проблеми |
| Проверяващ по GDPR | Дали задълженията за поверителност са идентифицирани, обработването е картографирано, предпазните мерки за сигурност са подходящи и съществуват доказателства за отчетност | Регистър на дейностите по обработване, съпоставяне на правни основания, DPIA при необходимост, процес за реакция при нарушение, условия за обработване на данни от доставчици |
| Клиентски оценител на сигурността | Дали МСП може да докаже оперативна сигурност, контрол върху доставчиците, готовност за инциденти и отчетност на висшето ръководство без прекомерно забавяне | Пакет от доказателства, политики, прегледи на доставчици, резултати от симулационно упражнение за инцидент, прегледи на правата за достъп, тестове за резервни копия, пътна карта за сигурност |
Корпоративната Политика за роли и отговорности в управлението на Clarysec Политика за роли и отговорности в управлението посочва:
Управлението трябва да подкрепя интеграцията с други дисциплини (например риск, правни въпроси, ИТ, ЧР), а решенията в ISMS трябва да бъдат проследими до своя източник (например одитни записи, журнали от прегледи, протоколи от срещи).
Това е клауза 5.5 на Политика за роли и отговорности в управлението. Тя улавя същността на кръстосаното съответствие: управленските решения трябва да бъдат проследими.
Политика за одит и мониторинг на съответствието за МСП Политика за одит и мониторинг на съответствието за МСП добавя критична дисциплина за доказателствата:
Метаданните (например кой ги е събрал, кога и от коя система) трябва да бъдат документирани.
Този цитат е от клауза 6.2.3 на Политика за одит и мониторинг на съответствието за МСП. Метаданните на доказателствата често са това, което отличава папка със скрийншотове от доказателства с одитно качество.
Корпоративната Политика за одит и мониторинг на съответствието Политика за одит и мониторинг на съответствието добавя изискването на програмно ниво:
Организацията трябва да поддържа структурирана програма за одит и мониторинг на съответствието, интегрирана в ISMS, която обхваща:
Това е клауза 5.1 на Политика за одит и мониторинг на съответствието. Управленският извод е пряк: одитът не е ежегодно спешно събиране на документи. Той е част от операциите на ISMS.
Чести грешки на МСП при съпоставяне на NIST Govern към ISO 27001:2022
Първата грешка е свръхдокументиране без собственост. МСП пише политики, но не определя собственици за третиране на риска, прегледи на доставчици, одобрения на изключения или управленско докладване.
Втората грешка е третирането на правните задължения като отделни от ISMS. NIST GV.OC-03 изисква задълженията да бъдат разбрани и управлявани. ISO 27001:2022 изисква съответните изисквания на заинтересованите страни и правните, регулаторните и договорните задължения да бъдат взети предвид в ISMS.
Третата грешка е слаба аргументация в SoA. SoA не е само списък с приложими контроли. Тя е логическият файл за това защо контролите са включени, изключени или внедрени.
Четвъртата грешка е липсата на доказателства за жизнения цикъл на доставчиците. Управлението на доставчици включва въвеждане, договори, мониторинг, инциденти, промени и прекратяване на взаимоотношението.
Петата грешка е неактуализиране на целевия профил. CSF профилът трябва да се променя, когато бизнесът навлиза в нова география, подписва голям клиент, приема критичен доставчик, стартира регулиран продукт, променя облачната архитектура или претърпява инцидент.
30-дневна пътна карта за NIST CSF 2.0 Govern за МСП
Ако МСП трябва да напредне бързо, започнете с фокусиран 30-дневен план за внедряване.
| Дни | Дейност | Резултат |
|---|---|---|
| 1 до 3 | Дефиниране на обхвата на CSF Govern и събиране на съществуващи политики, договори, записи за риск, списъци с доставчици и одитни доказателства | Бележка за обхвата и инвентар на доказателствата |
| 4 до 7 | Изграждане на регистъра на доказателствата за Govern за GV.OC, GV.RM, GV.RR, GV.PO, GV.OV и GV.SC | Текущ профил и първоначални пропуски |
| 8 до 12 | Съпоставяне на задълженията с политики по ISO 27001:2022, области на контроли от Приложение A и собственици | Регистър на съответствието и карта на собствеността върху политиките |
| 13 до 17 | Актуализиране на Регистъра на риска и Плана за третиране на риска, след което съгласуване на записите в SoA | Регистър на риска, план за третиране, актуализации на SoA |
| 18 до 22 | Приоритизиране на управлението на доставчици, включително класификация на критични доставчици, договорни пропуски и доказателства от прегледи | Регистър на риска при доставчици и тракер на действията |
| 23 до 26 | Подготовка на пакет от одитни доказателства с метаданни, одобрения, журнали от прегледи и управленски решения | Пакет от доказателства и одитен индекс |
| 27 до 30 | Провеждане на преглед от ръководството и одобряване на пътната карта за целевия профил | Протоколи от преглед от ръководството, решения, пътна карта |
Този план създава достатъчно управленски доказателства, за да отговори на сериозни клиентски и одиторски въпроси, като същевременно изгражда основата за сертификация по ISO 27001:2022, готовност за NIS2, клиентско потвърждение по DORA и отчетност по GDPR.
Практическият резултат: една управленска история, много приложения за съответствие
Когато Сара се върне при управителния съвет, тя вече няма пет несвързани потока за съответствие. Тя има една управленска история.
Резултатите от NIST CSF 2.0 Govern са съпоставени с политики, собственици, рискове, контроли и доказателства по ISO 27001:2022. Обхватът на ISMS включва клиентски зависимости, зависимости от доставчици, облачни, правни, регулаторни, свързани с поверителността и договорни зависимости. Регистърът на риска насочва решенията за третиране и приложимостта в SoA. Политиките са одобрени, под управление на версиите, със собственици, комуникирани и преглеждани. Рисковете при доставчици са категоризирани по нива, договорно уредени, наблюдавани и проследявани. Задълженията за обработване по GDPR, очакванията за отчетност по NIS2 и клиентските изисквания, произтичащи от DORA и прехвърляни надолу по веригата, са кръстосано съпоставени, когато е приложимо. Одитните доказателства включват метаданни, записи на решения и резултати от преглед от ръководството.
Така изглежда управлението, когато е оперативно.
Следваща стъпка: изградете своя пакет от доказателства Govern за МСП с Clarysec
Ако се подготвяте за ISO 27001:2022, отговаряте на надлежна проверка от корпоративен клиент, съпоставяте резултати от NIST CSF 2.0 Govern или се опитвате да съгласувате NIS2, DORA и GDPR без изграждане на отделни програми, започнете от управленския слой.
Clarysec може да ви помогне да изградите:
- Текущ и целеви профил по NIST CSF 2.0 Govern.
- Съпоставяне на политики по ISO 27001:2022 и SoA.
- Регистър на задълженията за кръстосано съответствие чрез Zenith Controls Zenith Controls.
- 30-стъпкова пътна карта за внедряване на ISMS чрез Zenith Blueprint Zenith Blueprint.
- Доказателства по политики, готови за МСП, чрез инструментариума за политики на Clarysec, включително Политика за роли и отговорности в управлението за МСП Политика за роли и отговорности в управлението за МСП, Политика за управление на риска за МСП Политика за управление на риска за МСП, Политика за правно и регулаторно съответствие за МСП Политика за правно и регулаторно съответствие за МСП, Политика за сигурност на трети страни и доставчици за МСП Политика за сигурност на трети страни и доставчици за МСП и Политика за одит и мониторинг на съответствието за МСП Политика за одит и мониторинг на съответствието за МСП.
Най-бързият път не е още една електронна таблица. Това е управлявана, риск-базирана и доказуема ISMS, която позволява на вашето МСП уверено да отговори на един въпрос:
Можете ли да докажете, че киберсигурността се управлява, има собственици, преглежда се и непрекъснато се подобрява?
С Clarysec отговорът става „да“.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
