Архитектура Zero Trust през 2026 г.: доказателства, готови за одит

Одитът на Zero Trust в понеделник сутрин, който никой не беше планирал
В 08:12 ч. в понеделник CISO на европейска SaaS финтех компания получава три съобщения в рамките на пет минути.
Първото е от банков клиент: „Моля, предоставете пакета с доказателства за вашата архитектура Zero Trust за нашия годишен преглед на доставчици трети страни на ИКТ услуги.“
Второто е от правния отдел: „Възможно е да бъдем класифицирани като важен субект по NIS2 в една държава членка, а някои клиенти питат дали DORA се прилага към нас като доставчик на ИКТ услуги.“
Третото е от ръководителя на инженерния екип: „Имаме MFA, SSO, EDR, мрежови политики в Kubernetes и SIEM предупреждения. Това Zero Trust ли е?“
Тук много организации зациклят. Те имат инструменти за сигурност, но нямат оперативен модел за съответствие по Zero Trust. Могат да покажат екранни снимки от MFA, но не могат да обяснят как идентичността, състоянието на устройството, минимално необходимият достъп, сегментацията, мониторингът, докладването на инциденти, мерките за защита на поверителността и зависимостите от доставчици работят заедно. Могат да покажат контроли, но не и проследимост.
През 2026 г. архитектурата Zero Trust, базирана на NIST SP 800-207, трябва да бъде повече от „никога не се доверявай, винаги проверявай“. За CISO, мениджъри по съответствието, одитори и собственици на бизнес практичният въпрос е по-конкретен:
Как да превърнем Zero Trust в доказателства, които удовлетворяват ISO/IEC 27001:2022, очакванията на NIS2 за киберхигиена, управлението на ИКТ риска по DORA, сигурността на обработването по GDPR Article 32, клиентската надлежна проверка и надзора от управителния орган?
Отговорът не е още един инструмент. Отговорът е риск-базиран модел за доказателства, който свързва политика, контроли, техническо внедряване, мониторинг и управленска отчетност.
Zero Trust през 2026 г.: от стратегия за сигурност към доказателства за съответствие
NIST SP 800-207 дефинира Zero Trust като набор от принципи за проектиране и експлоатация на защитени системи, при които доверието никога не се приема по подразбиране. Достъпът се предоставя въз основа на идентичност, контекст, политика, състояние на актива и непрекъсната оценка.
Седемте принципа на NIST за Zero Trust са особено полезни, защото превръщат неясен лозунг за сигурност в нещо, което може да бъде съпоставено, тествано и одитирано:
- Всички източници на данни и изчислителни услуги се считат за ресурси.
- Всички комуникации са защитени независимо от мрежовото местоположение.
- Достъпът до отделни корпоративни ресурси се предоставя за всяка сесия поотделно.
- Достъпът до ресурси се определя от динамична политика, включително атрибути на идентичност, устройство, приложение и поведение.
- Предприятието наблюдава и измерва целостта и позицията по риска за сигурността на всички притежавани и свързани активи.
- Автентикацията и оторизацията за всички ресурси са динамични и се прилагат строго преди разрешаване на достъп.
- Предприятието събира информация за активи, инфраструктура и комуникации и я използва за подобряване на позицията по риска за сигурността.
За съвременен SaaS доставчик, дигитална банка, доставчик на управлявани услуги или платформа, изградена за облачна среда, тези принципи се превръщат в практически области на контрол:
- Идентичността се проверява и управлява.
- Устройствата се оценяват преди предоставяне на достъп.
- Привилегированият достъп се минимизира и преглежда.
- Мрежовите пътища се сегментират и контролират.
- Приложенията, приложно-програмните интерфейси (API) и хранилищата за данни прилагат оторизация.
- Журналите и телеметрията поддържат непрекъснат мониторинг.
- Инцидентите задействат ограничаване, докладване и възстановяване.
- Доказателствата доказват, че контролите работят, а не само че са проектирани.
Именно в последната точка започва съответствието.
ISO/IEC 27001:2022 изисква организациите да определят контекста, заинтересованите страни, приложимите правни и договорни изисквания, обхвата, интерфейсите и зависимостите. Стандартът изисква също оценка на риска, третиране на риска, Декларация за приложимост, отчетност на ръководството, вътрешен одит, преглед от ръководството и непрекъснато подобрение.
Zero Trust се вписва естествено в тази структура, когато се третира като система от контроли. Той не трябва да стои извън СУИС като инженерна инициатива. Трябва да бъде част от оценката на риска, избора на контроли, управлението на политики, управлението на доставчици, защитата на поверителността, реагирането при инциденти и докладването към управителния орган.
Регулаторният натиск зад доказателствата за Zero Trust
Натискът за доказателства за Zero Trust обикновено произтича от припокриващи се задължения, а не от един-единствен стандарт.
NIS2 може да се прилага за публични или частни субекти в секторите по Annex I или Annex II, които отговарят на праговете за размер и дейност, както и за определени по-малки, но критични субекти. Annex I включва доставчици на cloud computing услуги, доставчици на центрове за данни, доставчици на мрежи за доставка на съдържание, доставчици на удостоверителни услуги, доставчици на управлявани услуги, доставчици на управлявани услуги за сигурност, банки и субекти от инфраструктурата на финансовите пазари. Annex II включва цифрови доставчици като онлайн пазари, търсачки и платформи за социални мрежи.
NIS2 Article 20 превръща киберсигурността в отговорност на управителния орган. Управителният орган трябва да одобрява мерките за управление на риска в киберсигурността, да надзирава внедряването им и да получава обучение по киберсигурност. Article 21 изисква подходящи и пропорционални технически, оперативни и организационни мерки, обхващащи анализ на риска, обработване на инциденти, непрекъсваемост на дейността, сигурност на веригата на доставки, сигурна разработка, обработване на уязвимости, оценка на ефективността, киберхигиена, обучение, криптография, сигурност на човешките ресурси, контрол на достъпа, управление на активите и, когато е приложимо, MFA или непрекъсната автентикация. Article 23 въвежда поетапно докладване на значими инциденти, включително ранно предупреждение в срок до 24 часа, уведомление в срок до 72 часа и окончателен доклад.
DORA се прилага от 17 януари 2025 г. и създава единен режим за цифрова оперативна устойчивост за финансовите субекти. Той обхваща управление на ИКТ риска, докладване на съществени инциденти, свързани с ИКТ, тестване на оперативната устойчивост, споделяне на информация за заплахи и ИКТ риск от трети страни. DORA Articles 5 и 6 изискват управление и документирана рамка за управление на ИКТ риска. Article 9 разглежда защитата и превенцията, включително политики, процедури, протоколи и инструменти за защита на ИКТ системите. Article 17 изисква процес за управление на инциденти, свързани с ИКТ.
GDPR се прилага за обработване в контекста на установяване в ЕС, както и за администратори или обработващи извън ЕС, които предлагат стоки или услуги на лица в ЕС или наблюдават тяхното поведение. GDPR Article 5 изисква отчетност. Article 32 изисква подходящи технически и организационни мерки за осигуряване на ниво на сигурност, съответстващо на риска. Article 33 изисква уведомяване за нарушение на сигурността на личните данни до надзорния орган без ненужно забавяне и, когато е осъществимо, в срок до 72 часа след узнаване за нарушението.
Моделът за доказателства за Zero Trust помага, защото един и същ контрол може да подпомогне няколко рамки. MFA може да подпомогне контрола на достъпа по ISO/IEC 27001:2022, мерките за автентикация по NIS2, изискванията за защита по DORA и сигурността на обработването по GDPR. Но само ако организацията може да докаже обхват, собственост, внедряване, мониторинг и преглед.
Съпоставяне на принципите на NIST Zero Trust с контролите на ISO/IEC 27001:2022
Контролите от Annex A на ISO/IEC 27001:2022, подкрепени от указанията за внедряване в ISO/IEC 27002:2022, предоставят одитния език, от който повечето организации се нуждаят. Таблицата по-долу превежда принципите на NIST Zero Trust в области на ISO контрол, които одиторите разпознават.
| Принцип на NIST SP 800-207 Zero Trust | Основен принцип на Zero Trust | Релевантни контроли от ISO/IEC 27001:2022 Annex A |
|---|---|---|
| Всички източници на данни и изчислителни услуги са ресурси | Идентифициране на активи и данни | A.5.9 Инвентар на информацията и други свързани активи, A.5.10 Допустима употреба на информация и други свързани активи, A.5.12 Класификация на информацията |
| Всички комуникации са защитени независимо от мрежовото местоположение | Сигурни комуникации и криптирани канали | A.8.20 Мрежова сигурност, A.8.22 Разделяне на мрежи, A.8.24 Използване на криптография |
| Достъпът се предоставя за всяка сесия поотделно | Автентикация и оторизация на ниво сесия | A.5.17 Информация за удостоверяване, A.8.5 Сигурна автентикация |
| Достъпът се определя от динамична политика | Контекстно ориентиран и минимално необходим достъп | A.5.15 Контрол на достъпа, A.5.18 Права за достъп, A.8.3 Ограничаване на достъпа до информация |
| Целостта на активите и позицията по риска за сигурността се наблюдават | Проверка на състоянието на крайни точки и работни натоварвания | A.8.1 Потребителски крайни устройства, A.8.8 Управление на технически уязвимости |
| Автентикацията и оторизацията са динамични и се прилагат строго | Жизнен цикъл на идентичността и управление на привилегирован достъп | A.5.16 Управление на идентичности, A.8.2 Права за привилегирован достъп, A.8.5 Сигурна автентикация |
| Информацията се събира за подобряване на позицията по риска за сигурността | Непрекъснат мониторинг, регистриране и подобрение | A.8.15 Регистриране, A.8.16 Дейности по мониторинг, A.8.23 Уеб филтриране |
Това съпоставяне не е само упражнение по техническо проектиране. То се превръща в структура за регистъра на риска, Декларацията за приложимост, пакета с доказателства и дневния ред за преглед от ръководството.
Например рисков сценарий като „компрометиран акаунт на разработчик променя продукционен код и получава достъп до клиентски данни“ следва да се съпостави с управление на идентичности, MFA, привилегирован достъп, мрежово разделяне, регистриране, мониторинг, сигурна разработка, управление на промените и реагиране при инциденти. Този единствен сценарий може да подпомогне ISO/IEC 27001:2022, NIS2 Article 21, управление на ИКТ риска по DORA и GDPR Article 32.
Стекът от контроли Zero Trust на Clarysec
Clarysec изгражда Zero Trust около пет домейна на доказателства: идентичност, устройство, мрежа, приложение и данни, с мониторинг и управление във всички пет.
Основата е контролът на достъпа и управлението на идентичности. В Zenith Controls: The Cross-Compliance Guide контрол 5.15 от ISO/IEC 27002:2022, Контрол на достъпа, е класифициран като превантивен контрол, поддържащ поверителност, цялостност и наличност, съгласуван с концепцията за киберсигурност Protect и способността за управление на идентичността и достъпа. Контрол 5.16, Управление на идентичности, също е превантивен и е свързан със същите свойства CIA и способността IAM. Контрол 8.16, Дейности по мониторинг, е класифициран като откриващ и коригиращ, като подпомага Detect и Respond чрез управление на събития по информационна сигурност.
Тази комбинация е съществена. Zero Trust не е само контрол на достъпа. Той е контрол на достъпа плюс жизнен цикъл на идентичността плюс състояние на устройството плюс мрежово разделяне плюс мониторинг плюс реагиране.
Клаузите в политиките на Clarysec превръщат този модел в приложимо управление.
От Корпоративна политика за контрол на достъпа, раздел „Цели“, клауза 3.4:
Да се подкрепят принципите Zero Trust чрез отказ на достъп по подразбиране, освен ако достъпът не е изрично одобрен и обоснован.
От Корпоративна политика за управление на потребителски акаунти и привилегии, раздел „Изисквания за внедряване на политиката“, клауза 6.2.1:
На всички потребители трябва да бъде присвоено минималното ниво на достъп, необходимо за изпълнение на служебните им функции.
От Корпоративна политика за мрежова сигурност, раздел „Изисквания за управление“, клауза 5.2:
Целият трафик между зоните трябва да се контролира чрез защитни стени или софтуерно дефинирани периметрови решения с изрични конфигурации за отказ по подразбиране.
От Корпоративна политика за регистриране и мониторинг, раздел „Цели“, клауза 3.4:
Да се установят централизирани системи за регистриране и предупреждение (напр. SIEM), които агрегират, корелират и ескалират подозрителна дейност почти в реално време.
От Корпоративна политика за информационна сигурност, раздел „Изисквания за внедряване на политиката“, клауза 6.6.1:
Всички внедрени контроли трябва да бъдат одитируеми, подкрепени от документирани процедури и съхранени доказателства за функционирането им.
За МСП същият управленски замисъл може да бъде реализиран с по-лека документация на политиките. Политика за управление на потребителски акаунти и привилегии - МСП, раздел „Цели“, клауза 3.2 гласи:
Да се прилага принципът на минималните привилегии, като се гарантира, че на потребителите се предоставя само минималното ниво на достъп, необходимо за изпълнение на задълженията им.
Политика за контрол на достъпа - МСП, раздел „Изисквания за управление“, клауза 5.4.3 добавя:
Привилегированите акаунти трябва да използват многофакторна автентикация (MFA), когато се поддържа.
Политика за мрежова сигурност - МСП, раздел „Изисквания за внедряване на политиката“, клауза 6.2.3 гласи:
Трафикът между сегментите трябва да се филтрира, а достъпът между сегментите трябва да следва принципа на минималните привилегии.
Политика за регистриране и мониторинг - МСП, раздел „Цел“, клауза 1.3 обяснява:
Регистрирането и мониторингът подпомагат откриването на заплахи, регулаторното съответствие, докладването и управлението на инциденти и форензичния анализ.
За Zero Trust, движен от изискванията за поверителност, Политика за защита на данните и поверителност - МСП, раздел „Изисквания за управление“, клауза 5.3.2 гласи:
Потребителският достъп до лични данни трябва да бъде ограничен до роли с документирана служебна необходимост.
Тези клаузи създават одитни опорни точки. Одиторът може да тества дали достъпът се отказва по подразбиране, привилегиите са минимизирани, трафикът между зоните се контролира, журналите са централизирани и доказателствата се съхраняват.
Карта на доказателствата за Zero Trust по различни рамки
Силният модел за доказателства за Zero Trust трябва да избягва разпокъсани екранни снимки. Доказателствата трябва да показват управление, дизайн, внедряване, мониторинг и преглед.
| Способност на Zero Trust | Доказателства по ISO/IEC 27001:2022 и ISO/IEC 27002:2022 | Доказателства по NIS2 | Доказателства по DORA | Доказателства по GDPR |
|---|---|---|---|---|
| Проверка на идентичността и жизнен цикъл | Обхват на СУИС, регистър на риска, записи в SoA за A.5.15 и A.5.16, записи за постъпващи, преместващи се и напускащи служители | Мерки по Article 21 за сигурност на човешките ресурси, контрол на достъпа и управление на активите | Управление на ИКТ активи и потребителски достъп в рамката за ИКТ риск | Достъп, ограничен до оторизирани роли, записи за отчетност на администратора |
| MFA и непрекъсната автентикация | Политика за контрол на достъпа, процедура за привилегирован достъп, отчети за прилагане на MFA | Мерки по Article 21 за MFA или непрекъсната автентикация, когато е приложимо | Контроли, поддържащи сигурен достъп до ИКТ системи и критични функции | Доказателства по Article 32 за сигурност на обработването при достъп до лични данни |
| Състояние на устройството и доверие към крайната точка | Инвентар на активите, базова конфигурация на крайните точки, покритие на EDR, одобрения на изключения | Киберхигиена, обработване на уязвимости и политики за сигурни системи | Инвентар на ИКТ активите, тестване на устойчивостта, мониторинг на ИКТ системите | Защита срещу неоторизирано или незаконосъобразно обработване от компрометирани крайни точки |
| Мрежова сегментация и микросегментация | Мрежови схеми, правила на защитната стена, резултати от тестове на сегментацията, записи за промени | Мерки за предотвратяване или минимизиране на въздействието на инциденти и подкрепа на непрекъсваемостта на дейността | Референтна архитектура, толеранс към въздействие, тестване на критични системи | Изолация на данни, минимизиране на обхвата на нарушение |
| Минимални привилегии за приложения и API | RBAC или ABAC матрици, cloud IAM политики, обхвати на токени, прегледи на API достъпа | Сигурно придобиване, разработка и поддръжка, обработване на уязвимости | Съпоставяне на функции, поддържани от ИКТ, и документация за зависимости | Ограничаване на целите, достъп до лични данни въз основа на служебна необходимост |
| Непрекъснат мониторинг и откриване | SIEM сценарии за употреба, триаж на предупреждения, процедура за мониторинг, записи за инциденти | Готовност за обработване на инциденти и докладване на значими инциденти | Класификация на инциденти, управленска ескалация и жизнен цикъл на докладването | Откриване на нарушения на сигурността на личните данни и доказателства за отчетност |
| Доверие към доставчици и облачни услуги | Споразумения с доставчици, план за изход от облачни услуги, мониторинг на доставчици, съпоставяне на споделената отговорност | Сигурност на веригата на доставки за преки доставчици и доставчици на услуги | Стратегия за ИКТ риск от трети страни, регистър на ИКТ договорите, права на одит и планове за изход | Надлежна проверка на обработващи, договорни предпазни мерки и контроли за сигурност |
Тази таблица е ядрото на програма Zero Trust, готова за управителния орган. Тя показва как една контролна среда може да подкрепи множество изисквания за уверение, без да се създават отделни пакети с доказателства за всяка рамка.
Използване на Zenith Blueprint за създаване на проследимост
Zenith Blueprint: An Auditor’s 30-Step Roadmap на Clarysec е създаден, за да предотврати превръщането на Zero Trust в недокументирана инженерна философия. В етапа „Управление на риска“, стъпка 13, „Планиране на третиране на риска и Декларация за приложимост“, се обяснява:
SoA на практика е свързващ документ: тя свързва вашата оценка/третиране на риска с
реалните контроли, с които разполагате. Като я попълните, допълнително проверявате дали не сте пропуснали контроли.
Същата стъпка препоръчва съпоставяне на контроли с рискове, добавяне на препратки към контролите от Annex A в записите за третиране на риска и кръстосано съпоставяне с регулации като GDPR, NIS2 или DORA, когато контролите се внедряват за изпълнение на тези задължения.
За Zero Trust това е липсващият мост. Ако одитор попита защо сте внедрили условен достъп, отговорът не трябва да бъде „защото Zero Trust го изисква“. По-добрият отговор е:
- Рисковият сценарий е неоторизиран достъп до клиентски данни чрез компрометирани удостоверителни данни.
- Собственикът на риска е CTO или ръководителят на инженерния екип.
- Третирането включва SSO, MFA, условен достъп, валидиране на състоянието на крайните точки, минимално необходим достъп, сегментация и мониторинг.
- SoA съпоставя третирането с контрол на достъпа, управление на идентичности, регистриране, мониторинг, криптография, управление на уязвимостите и управление на облачни услуги.
- Същото третиране подкрепя NIS2 Article 21, управление на ИКТ риска по DORA и GDPR Article 32.
- Доказателствата включват клаузи в политики, прегледи на правата за достъп, SIEM предупреждения, отчети за състоянието от EDR, правила на защитната стена, IAM експорти, упражнения за инциденти и протоколи от прегледи от ръководството.
Така архитектурата Zero Trust става готова за одит.
Доверие към крайни точки, API и мрежово разделяне на практика
Zero Trust често се проваля, защото организациите се фокусират върху идентичността, като пренебрегват контекста на устройството, работното натоварване, данните и мрежата.
Zenith Blueprint стъпка 19, Технологични контролни мерки I, ясно обяснява изискването за състоянието на крайните точки:
Достъпът до информация чрез крайни точки трябва да бъде контекстно ориентиран. Например устройството
покрива ли минималните стандарти за сигурност преди достъп до ресурсите на компанията? Преминало ли е наскоро
сканиране за зловреден софтуер? Свързва ли се от необичайно местоположение или мрежа? При интеграция с принципите Zero
Trust състоянието на крайната точка може да участва в условния достъп, като отказва вход, докато
устройството не докаже, че е безопасно.
Това превръща устройството в част от решението за оторизация. Валидна парола от неуправляван лаптоп не трябва да се третира по същия начин като валидно вписване от съответстваща, криптирана и наблюдавана корпоративна крайна точка.
Същата стъпка подчертава, че ограниченията на достъпа се прилагат към приложения, услуги и приложно-програмни интерфейси (API), а не само към потребители:
Ограниченията на достъпа трябва да се прилагат и към приложения, услуги и API, а не само към хора.
Например един микросървис може да се нуждае само от достъп за четене до таблица в база данни, а не от пълни CRUD
права. Инструмент за архивиране може да се нуждае от достъп само до конкретни облачни хранилища, а не до всички ресурси на наемателя.
Тези указания са критични за среди, изградени за облака. Обхватите на API, служебните акаунти, идентичностите на работни натоварвания, ролите в Kubernetes и cloud IAM политиките трябва да следват минимално необходимия достъп. Човешкият достъп е само една част от повърхността на контрол.
Стъпка 20 от Zenith Blueprint разглежда разделянето на мрежите:
Разделянето е един от най-старите и най-ефективни принципи в киберсигурността: ограничи
разпространението, намали риска и овладей щетите. Контрол 8.22 се фокусира върху мрежовото
разделяне — практиката да се разделят системи, услуги и потребители в различни логически или
физически зони, за да се предотврати неоторизиран достъп и да се ограничи страничното придвижване при
компрометиране.
Това е критично за устойчивостта по DORA и NIS2. Мрежата Zero Trust трябва да приема, че един акаунт, работно натоварване или крайна точка може да бъде компрометирана. Сегментацията не позволява локално събитие да се превърне в системен инцидент.
10-дневен пакет с доказателства за Zero Trust
Представете си SaaS финтех компания, която предоставя анализи за предотвратяване на измами на банки. Тя обработва лични данни, използва облачна инфраструктура, разчита на управляван Kubernetes, интегрира се с клиентски API и използва доставчик на идентичност от трета страна. Клиент иска доказателства за Zero Trust, а компанията разполага с десет работни дни.
Практически доказателствен спринт по Clarysec би изглеждал така.
| Срок | Действие | Резултат като доказателство |
|---|---|---|
| Ден 1 до 2 | Определяне на обхвата на Zero Trust за продукционни облачни акаунти, доставчик на идентичност, CI/CD, администраторски работни станции, клиентски API шлюз, склад за данни, SIEM, EDR и критични доставчици | Декларация за обхвата, карта на зависимостите, схема на границите |
| Ден 3 | Изграждане на проследимост риск-контрол чрез Zenith Blueprint стъпка 13 | Записи в регистъра на риска, план за третиране, съпоставяне в SoA |
| Ден 4 до 5 | Прилагане на клаузи от корпоративни политики или политики за МСП и документиране на изключения | Одобрени политики, регистър на изключенията, записи за приемане на риска |
| Ден 6 до 7 | Събиране на технически доказателства | Отчети за MFA, политики за условен достъп, записи от PAM, табла за крайни точки, правила на защитната стена, мрежови политики в Kubernetes, IAM експорти, SIEM сценарии за употреба |
| Ден 8 | Добавяне на доказателства за поверителност и защита на данните | Матрица роли-данни, записи за обработване, доказателства за криптиране, правила за съхранение, процедура за ескалация при нарушение |
| Ден 9 | Добавяне на наслагвания за NIS2 и DORA | Съпоставяне към Article 21, готовност за докладване на инциденти, карта на ИКТ функциите, регистър на доставчиците, доказателства за план за изход |
| Ден 10 | Създаване на резюме за ръководството | Наратив, готов за управителния орган, обобщение на остатъчния риск, пътна карта за подобрения |
Целта не е да се твърди, че организацията е постигнала съвършен Zero Trust за десет дни. Целта е да се създаде защитима доказателствена верига за най-важните рискове и да се докаже, че програмата се управлява, измерва и подобрява.
Как различните одитори ще тестват Zero Trust
Честа грешка е да се подготви една техническа история и да се предположи, че всеки одитор ще задава едни и същи въпроси. Няма да е така.
Одитор по ISO/IEC 27001:2022 ще търси системата за управление. Той ще попита дали рисковете по Zero Trust са включени в оценката на риска, дали третирането е одобрено, дали SoA е пълна, дали политиките са контролирани документи, дали се извършват прегледи на правата за достъп, дали вътрешните одити тестват контролите и дали прегледите от ръководството проследяват резултатността.
Проверяващ по DORA ще попита дали контролите Zero Trust са част от документираната рамка за управление на ИКТ риска. Той ще очаква инвентари на активи и зависимости, съпоставяне на критични или важни функции, класификация на инциденти, ескалация към управителния орган, тестване, договорни изисквания към трети страни, права на одит, стратегии за изход и проследяване на коригиращите действия.
Оценител по NIS2 ще се фокусира върху отчетността на управителния орган, мерките за управление на риска в киберсигурността по Article 21 и готовността за докладване на инциденти по Article 23. Той също ще очаква доказателства, че сигурността на веригата на доставки, непрекъсваемостта на дейността, обработването на уязвимости, контролът на достъпа и киберхигиената се управляват.
Проверяващ по GDPR или одитор по поверителност ще попита дали достъпът до лични данни е необходим, документиран, ограничен, наблюдаван и съгласуван с целите на обработването. Той ще разгледа ролите на администратор и обработващ, откриването на нарушения на сигурността на личните данни, достъпа, базиран на роли, криптирането, псевдонимизацията, когато е приложима, съхранението и отчетността.
| Одиторска перспектива | Вероятен въпрос | Доказателство, което отговаря |
|---|---|---|
| Одитор по ISO/IEC 27001:2022 | Zero Trust риск-базиран ли е, одобрен ли е и отразен ли е в SoA? | Регистър на риска, SoA, план за третиране на риска, одобрения на политики, протоколи от прегледи от ръководството |
| Оценител по NIST CSF | Интегрирани ли са резултатите за управление, идентичност, защита, откриване, реагиране и възстановяване? | CSF профил, план за пропуски, IAM контроли, сценарии за употреба на регистриране, наръчници за реагиране, тестове за възстановяване |
| Проверяващ по DORA | Подпомага ли Zero Trust управлението на ИКТ риска и устойчивостта на критичните функции? | Инвентар на ИКТ активите, карта на зависимостите, програма за тестване, класификация на инциденти, регистър на доставчиците |
| Одитор по GDPR/поверителност | Ограничен ли е достъпът до лични данни и доказуемо защитен ли е? | Матрица роли-данни, прегледи на правата за достъп, доказателства за криптиране, процедури при нарушения, записи за обработване |
| Одитор по COBIT 2019/ISACA | Управляват ли се отговорностите, показателите и резултатността на контрола? | RACI, KPI, регистър на изключенията, одитни констатации, тракер за коригиращи действия |
Един и същ контрол може да удовлетвори няколко въпроса, но само ако доказателствата са организирани.
Риск от доставчици, облачни услуги и ИКТ трети страни
Zero Trust не спира до защитната стена, а в облачни среди може изобщо да няма традиционна периметрова граница. Доставчици на идентичност, облачни платформи, CI/CD инструменти, доставчици на управлявано откриване, платежни обработващи, API шлюзове и екипи за външна разработка стават част от тъканта на доверието.
NIS2 Article 21 изрично включва сигурност на веригата на доставки за преки доставчици и доставчици на услуги, включително уязвимости на доставчици, устойчивост на продукти и услуги, практики на доставчиците за киберсигурност и процедури за сигурна разработка.
DORA изисква ИКТ рискът от трети страни да се управлява като част от рамката за управление на ИКТ риска, с регистър на договорите за ИКТ услуги, надлежна проверка преди сключване на договор, оценка на критичността, риск от концентрация, договорни изисквания за сигурност, съдействие при инциденти, сътрудничество с органи, права на одит, права на прекратяване, стратегии за изход и планове за преход.
За Zero Trust практическото правило е просто: не се доверявайте на връзка с доставчик само защото е договорна. Изисквайте технически контроли и доказателства.
Интеграцията с клиентски API трябва да има токени с определен обхват, ограничения на честотата на заявките, мониторинг, ротация, собственост и отнемане. Доставчик на управлявани услуги трябва да използва MFA, именувани акаунти, минимално необходим достъп, регистриране на сесии и времево ограничен достъп. Отношението с доставчик на облачни услуги трябва да включва съпоставяне на споделената отговорност, конфигурация на криптиране, съхранение на журнали, тестване на резервни копия и планиране на изход.
Затова доказателствата за доставчици и облачни услуги принадлежат вътре в модела Zero Trust, а не в отделна папка за снабдяване.
Показатели, които доказват, че Zero Trust функционира
Управителните органи и одиторите не искат само архитектурни диаграми. Те искат доказателства за функциониране и тенденции за подобрение.
Полезните показатели за Zero Trust включват:
- Процент на привилегированите акаунти, защитени с MFA.
- Процент на потребителите, обхванати от условен достъп.
- Брой постоянни привилегировани акаунти спрямо акаунти с достъп точно навреме.
- Брой просрочени прегледи на правата за достъп.
- Процент на крайни точки, съответстващи на изискванията за състояние.
- Покритие на EDR върху критични активи.
- Брой отказани опити за достъп поради риск, свързан с устройство или местоположение.
- Средно време до откриване на подозрителна привилегирована дейност.
- Средно време за отнемане на достъп след прекратяване на правоотношение.
- Процент на правилата на защитната стена между зоните, прегледани през последното тримесечие.
- Брой критични доставчици с актуални доказателства за сигурност.
- Брой изключения от Zero Trust с просрочена дата за коригиращи действия.
- Процент на критични приложения, изпращащи журнали към SIEM.
- Резултати от симулации на инциденти при компрометиране на удостоверителни данни.
Тези показатели подкрепят непрекъснатото подобрение по ISO/IEC 27001:2022, оценката на ефективността по NIS2, очакванията на DORA за тестване и коригиращи действия и отчетността по GDPR.
Чести провали при доказателствата за Zero Trust
Най-честите провали не са причинени от липса на инструменти. Те са причинени от слаба проследимост.
Първо, организациите внедряват MFA, но не могат да докажат, че привилегированите акаунти са изцяло обхванати. Служебни акаунти, аварийни администраторски акаунти и локални администраторски акаунти често остават извън контрола.
Второ, прегледите на правата за достъп се извършват ръчно, но не са обвързани с бизнес роли, чувствителност на данните или собственици на риска. Доказателството показва, че някой е кликнал „прегледано“, а не че ненужният достъп е премахнат.
Трето, мрежовата сегментация съществува в диаграми, но не и в тествани правила. Одиторите ще попитат дали достъпът между сегментите е отказан по подразбиране и дали изключенията са одобрени.
Четвърто, журналите се събират, но не водят до действия. SIEM без дефинирани сценарии за употреба, триаж на предупреждения и процедури за реагиране не доказва непрекъснат мониторинг.
Пето, достъпът на доставчици не се управлява. Доставчиците може да използват споделени акаунти, постоянен VPN достъп или широки облачни роли без наблюдение на сесии.
Шесто, доказателствата за поверителност са отделени от доказателствата за сигурност. GDPR изисква доказуема защита на лични данни, затова контролите за идентичност и достъп трябва да се свързват с категории данни и цели на обработване.
Накрая, изключенията не са документирани. Zero Trust може да допуска изключения, ако те са оценени по риск, одобрени, ограничени във времето и наблюдавани. Той не може да допуска невидими изключения.
Изградете своя пакет с доказателства за Zero Trust с Clarysec
Архитектурата Zero Trust през 2026 г. не е лозунг. Тя е оперативен модел за съответствие, който свързва идентичности, устройства, приложения, мрежова сегментация, минимално необходим достъп, непрекъснат мониторинг, контрол върху доставчици и мерки за защита на поверителността в една одитируема система.
Ако се подготвяте за сертификация по ISO/IEC 27001:2022, отговаряте на клиентски запитвания по NIS2, съгласувате се с управлението на ИКТ риска по DORA или доказвате сигурност на обработването по GDPR Article 32, започнете с проследимост.
Използвайте Zenith Blueprint: An Auditor’s 30-Step Roadmap, за да съпоставите рисковете по Zero Trust с вашия регистър на риска, план за третиране на риска и SoA. Използвайте Zenith Controls: The Cross-Compliance Guide, за да съгласувате контрола на достъпа, управлението на идентичности и мониторинга с очакванията в различни рамки. Използвайте библиотеката с политики на Clarysec, включително Корпоративна политика за контрол на достъпа, Корпоративна политика за управление на потребителски акаунти и привилегии, Корпоративна политика за мрежова сигурност, Корпоративна политика за регистриране и мониторинг, Корпоративна политика за информационна сигурност и Политика за защита на данните и поверителност - МСП, за да превърнете архитектурата в приложимо управление.
Следващата практическа стъпка е да изберете един сценарий с висок риск, например компрометиран привилегирован достъп до клиентски данни, и да изградите пълна доказателствена верига Zero Trust около него. Ако можете да докажете този сценарий от край до край, разполагате с основата за мащабируема, одитируема и готова за регулаторни проверки програма Zero Trust.
Изтеглете пакетите с политики на Clarysec или насрочете стратегически разговор, за да видите как Zenith Blueprint и Zenith Controls могат да превърнат Zero Trust от одитен риск в предимство за съответствието.
Frequently Asked Questions
About the Author

Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council


