Cloudové auditní důkazy pro ISO 27001, NIS2 a DORA
Maria, ředitelka informační bezpečnosti v rychle rostoucí společnosti zaměřené na finanční analytiku, měla šest týdnů do okamžiku, kdy se měly potkat tři termíny. Dozorový audit ISO 27001:2022 už byl naplánován. NIS2 posunula společnost jako důležitý subjekt na novou úroveň odpovědnosti vedení. DORA měla prověřit, zda její fintechové provozní činnosti dokážou doložit digitální provozní odolnost. Zároveň významný podnikový klient pozastavil uzavření smlouvy, dokud její tým neprojde podrobným přezkumem bezpečnostního ujištění.
Společnost nebyla nezabezpečená. Provozovala produkční pracovní zátěže v AWS a Azure, používala Microsoft 365 a několik kritických platforem SaaS, vynucovala MFA, zálohovala data, skenovala zranitelnosti a shromažďovala cloudové logy. Problémem byly důkazy.
Důkazy byly rozptýlené ve snímcích obrazovky ze Slacku, vývojářských wiki stránkách, exportech z cloudových konzolí, složkách nákupu, právních smlouvách a ústních ujištěních vlastníků platforem. Když se auditor zeptal: „Ukažte mi, jak řídíte své cloudové prostředí,“ odkaz na stránku poskytovatele cloudových služeb o souladu by nestačil. Certifikáty poskytovatele dokládaly opatření poskytovatele. Nedokládaly Mariinu část modelu sdílené odpovědnosti.
Právě zde mnoho programů auditních důkazů cloudové bezpečnosti selhává. Ne proto, že by opatření chyběla, ale proto, že organizace nedokáže strukturovaným a dohledatelným způsobem doložit, které odpovědnosti náleží poskytovateli, které zákazníkovi, jak jsou nakonfigurována opatření SaaS a IaaS, jak jsou vynucovány závazky dodavatelů a jak jsou důkazy uchovávány pro auditory, regulační orgány a zákazníky.
Cloudový soulad už není technickou přílohou. Pro poskytovatele SaaS podléhajícího NIS2, finanční subjekt podléhající DORA nebo jakoukoli organizaci s ISO 27001:2022 využívající IaaS, PaaS a SaaS je správa cloudu součástí rozsahu ISMS, plánu ošetření rizik, životního cyklu dodavatelů, procesu řízení incidentů, odpovědnosti za ochranu soukromí a přezkoumání vedením.
Praktický cíl je jednoduchý: vybudovat jednotnou architekturu cloudových důkazů připravenou pro regulační orgány, která zodpoví otázky ISO 27001:2022, NIS2, DORA, GDPR, zákaznického ujištění i interního auditu bez nutnosti znovu vytvářet důkazy pro každý rámec.
Cloud je vždy v rozsahu, i když je infrastruktura outsourcovaná
První auditní pastí je předpoklad, že outsourcovaná infrastruktura je mimo ISMS. Není. Outsourcing mění hranici opatření, nikoli odpovědnost.
ISO/IEC 27001:2022 vyžaduje, aby organizace definovala svůj kontext, zainteresované strany, rozsah ISMS, rozhraní, závislosti a procesy. V primárně cloudové organizaci jsou poskytovatel identity, účet cloudového hostingu, CRM, e-mailová platforma, datový sklad, CI/CD pipeline, nástroj pro správu tiketů a zálohovací služba často klíčovou podnikatelskou infrastrukturou.
Clarysec Zenith Blueprint: 30krokový plán auditora Zenith Blueprint tento bod zdůrazňuje ve fázi Základy ISMS a vedení, krok 2, Potřeby zainteresovaných stran a rozsah ISMS:
„Pokud outsourcujete svou IT infrastrukturu poskytovateli cloudových služeb, nevyřazuje ji to z rozsahu; naopak do rozsahu zahrnete řízení tohoto vztahu a cloudová aktiva (protože bezpečnost vašich dat v cloudu je vaší odpovědností).“
Toto tvrzení je auditní kotvou. Váš rozsah by neměl říkat: „AWS je vyloučeno, protože jej spravuje Amazon.“ Měl by říkat, že informační aktiva a procesy související se službami hostovanými v AWS jsou v rozsahu, včetně řízení cloudových bezpečnostních opatření, identity, protokolování, šifrování, zálohování, ujištění dodavatelů a reakce na incidenty.
Pro ISO 27001:2022 to podporuje kapitoly 4.1 až 4.4 týkající se kontextu, zainteresovaných stran, rozsahu a procesů ISMS. Pro NIS2 to podporuje očekávání Article 21 v oblasti analýzy rizik, zvládání incidentů, kontinuity činností, zabezpečení dodavatelského řetězce, bezpečného pořizování a údržby, řízení přístupu, správy aktiv, kryptografie, účinnosti kontrol a MFA tam, kde je to vhodné. Pro DORA to podporuje zásadu, že finanční subjekty zůstávají odpovědné za rizika v oblasti ICT i tehdy, když jsou ICT služby outsourcovány.
Otázka nezní, zda je váš poskytovatel cloudových služeb bezpečný. Otázka zní, zda řídíte své používání poskytovatele, správně konfigurujete svou stranu, monitorujete službu, spravujete závazky dodavatele a uchováváte důkazy.
Sdílená odpovědnost se musí promítnout do sdílených důkazů
Poskytovatelé cloudových služeb vysvětlují sdílenou odpovědnost. Auditoři ověřují, zda jste ji uvedli do praxe.
V IaaS poskytovatel obvykle zabezpečuje fyzické prostory, základní infrastrukturu a hypervizor. Zákazník řídí identitu, konfiguraci pracovních zátěží, hardening operačních systémů, zabezpečení aplikací, klasifikaci dat, nastavení šifrování, síťová pravidla, protokolování, zálohy, záplatování a reakci na incidenty.
V SaaS poskytovatel řídí většinu provozu platformy, ale zákazník stále řídí konfiguraci tenantu, uživatele, administrátorské role, integrace, sdílení dat, uchovávání, možnosti protokolování a eskalační postupy.
Clarysec Zenith Controls: průvodce napříč compliance Zenith Controls pojímá opatření ISO/IEC 27002:2022 5.23, bezpečnost informací při používání cloudových služeb, jako centrální opatření správy cloudu s preventivním účelem napříč důvěrností, integritou a dostupností. Propojuje cloudové služby se vztahy s dodavateli, bezpečným přenosem informací, evidencí aktiv, prevencí úniku dat, zabezpečením koncových bodů a sítí a postupy bezpečného vývoje.
Klíčová interpretace Zenith Controls uvádí:
„Poskytovatelé cloudových služeb (CSP) fungují jako kritičtí dodavatelé, a proto se uplatní všechna opatření týkající se výběru dodavatelů, uzavírání smluv a řízení rizik podle 5.19. Opatření 5.23 však jde dále tím, že řeší rizika specifická pro cloud, jako je multitenance, transparentnost umístění dat a modely sdílené odpovědnosti.“
Toto rozlišení je zásadní. Samotné certifikáty dodavatelů přílohu A.5.23 nenaplní. Potřebujete důkazy na straně zákazníka, které dokládají, že cloudová služba je řízena, nakonfigurována, monitorována a přezkoumávána.
| Oblast důkazů | Co chce auditor vidět | Typický důkaz |
|---|---|---|
| Evidence cloudu | Schválené služby SaaS, PaaS a IaaS jsou známy | Registr cloudových služeb, seznam vlastníků, typy dat, regiony, smlouvy |
| Sdílená odpovědnost | Odpovědnosti poskytovatele a zákazníka jsou zdokumentovány | Matice odpovědností, dokumentace poskytovatele, mapování interních opatření |
| Výchozí konfigurace | Nastavení řízená zákazníkem odpovídají schválenému výchozímu stavu | Výstupy CSPM, exporty bezpečnostního skóre, kontroly politik Terraform, snímky obrazovky |
| Identita a přístup | Administrátorský a uživatelský přístup je řízen a přezkoumáván | Zprávy MFA, konfigurace SSO, přezkum privilegovaných rolí, vzorky offboardingu |
| Protokolování a monitorování | Relevantní cloudové logy jsou povoleny, uchovávány a přezkoumávány | Integrace SIEM, pravidla upozornění, nastavení uchovávání logů, tikety incidentů |
| Závazky dodavatelů | Smlouvy obsahují vymahatelné bezpečnostní doložky | DPA, SLA, práva na audit, oznamování porušení zabezpečení, podmínky subdodavatelů |
| Kontinuita a ukončení | Kritické služby lze obnovit nebo převést | Testy záloh, plán ukončení, důkazy obnovy, přezkum rizika koncentrace |
| Připravenost na incidenty | Cloudové incidenty lze detekovat, klasifikovat a hlásit | Playbooky, eskalační důkazy, pracovní postup oznámení regulačnímu orgánu |
To je rozdíl mezi tím, že cloudová opatření existují, a tím, že jsou připravena na audit.
Začněte Registrem cloudových služeb, který auditoři skutečně použijí
Nejrychlejší způsob, jak zlepšit auditní připravenost cloudu, je vytvořit úplný Registr cloudových služeb. Nemá jít o nákupní seznam ani export z financí. Musí propojit cloudové služby s daty, vlastníky, regiony, přístupem, smlouvami, kritičností, regulační relevancí a důkazy.
SME dokument Clarysec Politika používání cloudových služeb-sme Politika používání cloudových služeb-sme poskytuje stručný a auditně použitelný výchozí rámec v kapitole 5.3:
„Registr cloudových služeb musí udržovat poskytovatel IT služeb nebo generální ředitel. Musí zaznamenávat: 5.3.1 Název a účel každé schválené cloudové služby 5.3.2 Odpovědnou osobu nebo tým (vlastník aplikace) 5.3.3 Typy ukládaných nebo zpracovávaných dat 5.3.4 Zemi nebo region, kde jsou data uložena 5.3.5 Uživatelská přístupová oprávnění a administrátorské účty 5.3.6 Údaje o smlouvě, data obnovy a kontakty podpory“
Pro podniková prostředí stanoví Clarysec Politika používání cloudových služeb Politika používání cloudových služeb širší mandát:
„Tato politika stanoví povinné požadavky organizace na bezpečné, compliantní a odpovědné používání cloudových služeb napříč modely Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) a Software-as-a-Service (SaaS).“
Politika používání cloudových služeb vyžaduje centralizovaný registr ve vlastnictví ředitele informační bezpečnosti a schválené výchozí konfigurace pro cloudová prostředí. Tento registr se stává důkazním základem pro několik povinností zároveň.
Pro ISO 27001:2022 podporuje evidenci aktiv, řízení používání cloudu, vztahy s dodavateli, řízení přístupu, právní a smluvní požadavky, ošetření rizik a dokumentované informace. Pro NIS2 podporuje zabezpečení dodavatelského řetězce, správu aktiv, analýzu rizik, zvládání incidentů a kontinuitu. Pro DORA podporuje mapování ICT aktiv a závislostí, registry třetích stran v oblasti ICT, mapování kritických nebo důležitých funkcí a analýzu rizika koncentrace. Pro GDPR identifikuje, zda jsou zpracovávány osobní údaje, kde jsou umístěny, který poskytovatel vystupuje jako zpracovatel a jaké podmínky přenosu nebo zpracování údajů se uplatní.
Pokud registr neidentifikuje kategorie dat a regiony, důkazy k ochraně soukromí a odolnosti budou neúplné. Pokud neidentifikuje vlastníky aplikací, přezkum přístupových práv zůstane bez vlastníka. Pokud neidentifikuje smlouvy a data obnovy, bezpečnostní doložky dodavatelů nelze testovat.
Udělejte z ISO 27001:2022 páteř cloudových důkazů
ISO 27001:2022 je nejlepší páteří cloudových důkazů, protože propojuje obchodní kontext, rizika, opatření, provozní důkazy, monitorování a zlepšování.
Klíčové požadavky ISO 27001:2022 relevantní pro cloud zahrnují:
- Kapitoly 4.1 až 4.4 pro kontext, zainteresované strany, rozsah ISMS, rozhraní, závislosti a procesy.
- Kapitoly 5.1 až 5.3 pro vedení, politiku, role, odpovědnosti a pravomoci.
- Kapitoly 6.1.1 až 6.1.3 pro posouzení rizik, ošetření rizik, porovnání s přílohou A, Prohlášení o použitelnosti a přijetí zbytkového rizika.
- Kapitolu 7.5 pro řízené dokumentované informace.
- Kapitoly 8.1 až 8.3 pro operativní plánování a řízení, provádění posouzení rizik a provádění ošetření rizik.
- Kapitoly 9.1 až 9.3 pro monitorování, měření, interní audit a přezkoumání vedením.
- Kapitolu 10 pro neshody, nápravná opatření a neustálé zlepšování.
Opatření přílohy A s největší vahou pro cloudové důkazy zahrnují A.5.19 bezpečnost informací ve vztazích s dodavateli, A.5.20 řešení bezpečnosti informací ve smlouvách s dodavateli, A.5.21 řízení bezpečnosti informací v dodavatelském řetězci ICT, A.5.22 monitorování, přezkum a řízení změn služeb dodavatelů, A.5.23 bezpečnost informací při používání cloudových služeb, A.5.24 až A.5.27 řízení incidentů, A.5.29 bezpečnost informací při narušení, A.5.30 připravenost ICT pro kontinuitu činností, A.5.31 právní, zákonné, regulační a smluvní požadavky, A.5.34 ochrana soukromí a ochrana PII, A.5.36 soulad s politikami, pravidly a normami pro bezpečnost informací, A.8.8 řízení technických zranitelností, A.8.9 řízení konfigurace, A.8.13 zálohování informací, A.8.15 protokolování, A.8.16 monitorovací činnosti, A.8.24 používání kryptografie, A.8.25 životní cyklus bezpečného vývoje, A.8.29 bezpečnostní testování při vývoji a akceptaci a A.8.32 řízení změn.
V Zenith Blueprint fáze Opatření v praxi, krok 23, vysvětluje cloudové služby jazykem, který auditoři dobře přijímají:
„Přechod ke cloudovým službám přináší zásadní změny v modelu důvěry. Už neřídíte server, síťový perimetr ani hypervizor. Často ani nevíte, kde data fyzicky sídlí. To, co řídíte, a co toto opatření vynucuje, je správa tohoto vztahu, viditelnost toho, co používáte, a bezpečnostní očekávání, která kladete na své poskytovatele.“
Silný záznam v Prohlášení o použitelnosti pro A.5.23 by neměl říkat pouze „Použitelné, cloudový poskytovatel certifikován“. Měl by vysvětlit, proč se opatření uplatní, která rizika ošetřuje, jak je implementováno a kde jsou uloženy důkazy.
| Pole SoA | Příklad obsahu pro A.5.23 |
|---|---|
| Použitelnost | Použitelné, protože služby kritické pro podnikání běží na platformách SaaS a IaaS |
| Odůvodnění | Cloudové služby zpracovávají zákaznická data, údaje zaměstnanců a produkční pracovní zátěže |
| Ošetřovaná rizika | Chybná konfigurace, neoprávněný přístup, únik dat, selhání poskytovatele, změna regionu, mezery v protokolování |
| Stav implementace | Registr cloudových služeb je udržován, výchozí konfigurace jsou schváleny, MFA je vynucena, logy jsou integrovány, přezkumy dodavatelů jsou prováděny |
| Důkazy | Registr cloudových služeb, konfigurační výstupy, přezkum přístupových práv, řídicí panely SIEM, smlouva s dodavatelem, přezkum zprávy SOC, test zálohy |
| Regulační mapování | NIS2 Article 21, DORA Articles 28 to 30, GDPR Articles 28 and 32, zákaznické smlouvy |
| Vlastník | ředitel informační bezpečnosti pro správu a řízení, architekt cloudové bezpečnosti pro výchozí stav, vlastníci aplikací pro opatření na úrovni služeb |
Přidejte do SoA nebo nástroje pro sledování opatření sloupec s umístěním důkazů. Auditoři by neměli muset hledat důkazy v e-mailu, systémech pro správu tiketů a sdílených discích.
Použijte jeden model důkazů pro ISO 27001:2022, NIS2 a DORA
NIS2 i DORA vyžadují dokumentovanou, rizikově orientovanou kybernetickou bezpečnost řízenou vedením. Překryv je značný, ale dohledový tlak je odlišný.
NIS2 se vztahuje na mnoho základních a důležitých subjektů v EU, včetně poskytovatelů digitální infrastruktury, poskytovatelů řízených služeb, poskytovatelů řízených bezpečnostních služeb, bankovnictví, infrastruktur finančních trhů a digitálních poskytovatelů. Article 21 vyžaduje vhodná a přiměřená technická, provozní a organizační opatření, včetně analýzy rizik, zvládání incidentů, kontinuity činností, zabezpečení dodavatelského řetězce, bezpečného pořizování a údržby, zvládání zranitelností, posouzení účinnosti kontrol, kybernetické hygieny, školení, kryptografie, řízení přístupu, správy aktiv a MFA nebo zabezpečené komunikace tam, kde je to vhodné.
U auditních důkazů cloudové bezpečnosti se NIS2 ptá, zda jsou cloudová a dodavatelská rizika řízena jako součást rizika poskytování služby. Přináší také strukturované hlášení významných incidentů, včetně včasného varování do 24 hodin, oznámení incidentu do 72 hodin a závěrečné zprávy do jednoho měsíce.
DORA se od 17. ledna 2025 vztahuje na mnoho finančních subjektů v EU a vytváří jednotné požadavky na řízení rizik v oblasti ICT, hlášení významných ICT incidentů, testování digitální provozní odolnosti, sdílení informací a rizika třetích stran v oblasti ICT. Pro finanční subjekty, které jsou zároveň identifikovány podle NIS2, je DORA považována za odvětvový právní akt Unie pro překrývající se provozní povinnosti.
Pro cloud je DORA přímá. Finanční subjekty zůstávají odpovědné za rizika v oblasti ICT, když jsou služby outsourcovány. Potřebují strategie pro třetí strany v oblasti ICT, registry smluv, předkontraktační posouzení, náležitou péči, práva na audit a přístup, spouštěče ukončení, analýzu rizika koncentrace, kontroly subdodavatelů a otestované strategie ukončení.
Zenith Controls mapuje opatření ISO/IEC 27002:2022 5.23 na EU NIS2 Article 21 a DORA Articles 28 to 31. Odkazuje také na podpůrné normy, jako jsou ISO/IEC 27017 pro cloudové bezpečnostní role a monitorování, ISO/IEC 27018 pro ochranu PII ve veřejném cloudu, ISO/IEC 27701 pro řízení ochrany soukromí ve vztazích se zpracovateli v cloudu, ISO/IEC 27036-4 pro monitorování cloudových služeb a smlouvy s dodavateli a ISO/IEC 27005 pro posouzení cloudových rizik.
| Rámec | Relevantní kapitola nebo článek | Jak důkazy k A.5.23 pomáhají |
|---|---|---|
| ISO 27001:2022 | Kapitoly 4, 6, 8, 9 a příloha A.5.23 | Dokládá, že používání cloudu je zahrnuto do rozsahu, posouzeno z hlediska rizik, řízeno, monitorováno, auditováno a zlepšováno |
| NIS2 | Article 21 | Dokládá přiměřená opatření pro zabezpečení dodavatelského řetězce, řízení přístupu, kontinuitu, zvládání incidentů a správu aktiv |
| DORA | Articles 28 to 31 | Podporuje náležitou péči u třetích stran v oblasti ICT, smlouvy, monitorování, riziko koncentrace, plány ukončení a dohled |
| GDPR | Articles 28 and 32 | Podporuje řízení zpracovatelů, zabezpečení zpracování, připravenost na porušení zabezpečení a odpovědnost za ochranu soukromí v cloudu |
Praktický důsledek je jednoduchý. Nevytvářejte oddělené balíčky důkazů pro ISO 27001:2022, NIS2, DORA a GDPR. Vybudujte jednu architekturu cloudových důkazů s mapováním na konkrétní rámce.
Smlouvy s dodavateli jsou důkazem opatření, nikoli právním archivem
Cloudové auditní důkazy se často rozpadají na smluvní vrstvě. Bezpečnost má dodavatelský dotazník. Právní oddělení má hlavní smlouvu MSA. Nákup má datum obnovy. DPO má DPA. Nikdo nemá jednotný pohled na to, zda dohoda obsahuje bezpečnostní doložky požadované ISO 27001:2022, NIS2, DORA a GDPR.
SME dokument Clarysec Bezpečnostní politika dodavatelů a poskytovatelů služeb třetích stran-sme Bezpečnostní politika dodavatelů a poskytovatelů služeb třetích stran-sme uvádí v kapitole 5.3:
„Smlouvy musí obsahovat povinné doložky pokrývající: 5.3.1 Důvěrnost a mlčenlivost 5.3.2 Povinnosti v oblasti bezpečnosti informací 5.3.3 Lhůty pro oznamování porušení zabezpečení dat (např. do 24–72 hodin) 5.3.4 Práva na audit nebo dostupnost důkazů o souladu 5.3.5 Omezení dalšího subdodavatelství bez schválení 5.3.6 Podmínky ukončení, včetně bezpečného vrácení nebo zničení dat“
Pro auditní konzistenci převeďte tyto doložky do matice přezkumu smluv. ISO 27001:2022 příloha A.5.20 očekává, že bezpečnostní požadavky budou s dodavateli sjednány. GDPR Article 28 vyžaduje podmínky zpracovatele týkající se důvěrnosti, bezpečnostních opatření, součinnosti, dílčích zpracovatelů, výmazu nebo vrácení údajů a podpory auditu. DORA Article 30 vyžaduje podrobná smluvní ustanovení pro poskytovatele třetích stran v oblasti ICT, včetně popisů služeb, umístění dat, bezpečnosti, podpory při incidentech, spolupráce s orgány, práv na audit, přístupových práv, ukončení a přechodových ujednání. Zabezpečení dodavatelského řetězce podle NIS2 také vyžaduje vymahatelnou spolupráci dodavatelů.
Zenith Controls mapuje opatření ISO/IEC 27002:2022 5.20 na smlouvy s dodavateli a upozorňuje na vazby na 5.19 vztahy s dodavateli, 5.14 přenos informací, 5.22 monitorování dodavatelů, 5.11 vrácení aktiv a 5.36 soulad.
Klíčová je operacionalizace. Pokud cloudová smlouva umožňuje přístup ke zprávám SOC 2, auditoři se mohou ptát, zda jste zprávu získali, přezkoumali výjimky, sledovali nápravná opatření a znovu posoudili riziko. Pokud smlouva slibuje oznamování porušení zabezpečení, mohou se ptát, zda váš incidentní playbook obsahuje kontaktní cestu na dodavatele a rozhodovací body pro regulační oznámení. Pokud změny subdodavatelů vyžadují schválení nebo oznámení, mohou se ptát, zda jsou oznámení o dílčích zpracovatelích přezkoumána před akceptací.
Smlouva bez důkazů o přezkumu je archiv. Smlouva propojená s dodavatelským rizikem, záznamy monitorování a incidentními pracovními postupy je opatření.
Protokolování a konfigurace SaaS jsou častá slepá místa auditu
Cloudová zjištění často pocházejí ze SaaS, nikoli z IaaS. Infrastrukturní týmy obvykle mají technické vlastníky, pipeline pro protokolování, výchozí sadu opatření a záznamy změn. Platformy SaaS jsou roztříštěné mezi prodej, HR, finance, zákaznický úspěch, marketing a provoz. Každá z nich může zpracovávat citlivá nebo regulovaná data.
Clarysec Politika protokolování a monitorování-sme Politika protokolování a monitorování-sme to řeší přímo v kapitole 5.5:
„5.5 Cloudové služby a protokolování třetích stran 5.5.1 Pro platformy, u nichž protokolování není pod přímou kontrolou IT (např. SaaS e-mail), platí následující požadavky: 5.5.1.1 Protokolování musí být povoleno a nakonfigurováno tam, kde je dostupné 5.5.1.2 Upozornění musí být směrována na poskytovatele IT podpory 5.5.1.3 Smlouvy musí vyžadovat, aby poskytovatelé uchovávali logy nejméně 12 měsíců a poskytli k nim přístup na vyžádání“
Pro podniková prostředí Politika používání cloudových služeb doplňuje:
„Cloudové služby musí být integrovány do SIEM organizace pro průběžné monitorování.“
Tento požadavek posouvá SaaS z „obchodního nástroje“ na „monitorovaný informační systém“. Důkazy mají zahrnovat exporty nastavení protokolování, důkaz o konektoru SIEM, pravidla upozornění, tikety k triáži, nastavení uchovávání a přezkum administrátorského přístupu.
Pro kritické SaaS připravte důkazy o vytváření administrátorských účtů, podezřelých přihlášeních, hromadných stahováních, veřejném sdílení, vypnutí MFA, vytváření API tokenů, aktivitě externích hostů a eskalaci oprávnění. Pro IaaS připravte CloudTrail nebo ekvivalentní protokolování řídicí roviny, logy přístupu k úložišti, změny IAM, flow logy tam, kde je to vhodné, zjištění CSPM, skeny zranitelností, důkazy o záplatách, nastavení šifrování, stav záloh, přezkumy síťových bezpečnostních skupin a změnové tikety.
Auditní metodika Zenith Controls pro opatření 5.23 uvádí, že audit ve stylu ISO/IEC 27007 může kontrolovat oprávnění bucketů AWS S3, šifrování, politiky IAM a protokolování CloudTrail. Auditor orientovaný na COBIT může přezkoumávat konfigurace upozornění, opatření DLP, používání Microsoft 365 Secure Score a logy řízení změn. Perspektiva NIST SP 800-53A může testovat správu účtů a monitorování, včetně toho, zda jsou cloudové pracovní zátěže záplatovány, skenovány a monitorovány se stejnou důsledností jako interní systémy.
Různí auditoři mluví různými dialekty. Vaše důkazy mají být stejné.
Vytvořte balíček důkazů připravený pro regulační orgány pro jednu službu SaaS a jednu službu IaaS
Praktický pracovní postup začíná jednou kritickou platformou SaaS a jedním kritickým prostředím IaaS. Například Microsoft 365 pro spolupráci a AWS pro produkční hosting.
Krok 1: Aktualizujte Registr cloudových služeb
Pro Microsoft 365 zaznamenejte účel, vlastníka, typy dat, region, administrátorské účty, smlouvu, DPA, kontakt podpory, datum obnovy a kritičnost. Pro AWS zaznamenejte produkční účet, regiony, kategorie dat, pracovní zátěže, vlastníka účtu, stav účtu root, plán podpory, smluvní podmínky a související obchodní služby.
Použijte pole z Politiky používání cloudových služeb-sme jako minimální datovou sadu. Přidejte kritičnost, regulační relevanci a umístění důkazů.
Krok 2: Zdokumentujte sdílenou odpovědnost
Pro Microsoft 365 odpovědnosti zákazníka zahrnují životní cyklus uživatelů, MFA, podmíněný přístup, sdílení s hosty, retenční štítky, DLP tam, kde se používá, protokolování a eskalaci incidentů. Pro AWS odpovědnosti zákazníka zahrnují IAM, síťová pravidla, hardening pracovních zátěží, konfiguraci šifrování, zálohování, protokolování, záplatování a zabezpečení aplikací.
Přiložte dokumentaci poskytovatele ke sdílené odpovědnosti a poté namapujte každou odpovědnost zákazníka na vlastníka kontroly a zdroj důkazů.
Krok 3: Zachyťte důkazy konfigurace
Pro Microsoft 365 exportujte nebo pořiďte snímky obrazovky politik MFA a podmíněného přístupu, administrátorských rolí, nastavení externího sdílení, auditního protokolování, konfigurace uchovávání a akcí bezpečnostního skóre. Pro AWS exportujte politiku hesel IAM, stav MFA u privilegovaných účtů, konfiguraci CloudTrail, blokování veřejného přístupu S3, stav šifrování, přezkum bezpečnostních skupin, zálohovací úlohy a stav skenu zranitelností.
Politika používání cloudových služeb vyžaduje, aby cloudová prostředí byla v souladu s dokumentovanou výchozí konfigurací schválenou architektem cloudové bezpečnosti. Váš balíček důkazů má obsahovat jak výchozí stav, tak důkaz souladu.
| Požadavek politiky | Provedená akce | Vygenerovaný auditní důkaz |
|---|---|---|
| MFA pro privilegovaný přístup | MFA vynucena u administrátorských účtů a přístupu ke konzoli | Export politiky MFA, vzorek privilegovaného účtu, přezkum nouzového účtu „break-glass“ |
| Protokolování aktivit | Cloudové auditní logy povoleny a směrovány do SIEM | Snímek obrazovky CloudTrail nebo auditního logu SaaS, důkaz příjmu do SIEM, nastavení uchovávání |
| Omezení přístupu | Uplatněny role podle zásady minimálních oprávnění a čtvrtletní přezkum přístupových práv | Export rolí IAM, přezkum administrátorských rolí, schválení vlastníkem dat |
| Bezpečná konfigurace | Cloudová nastavení změřena vůči schválenému výchozímu stavu | Výstup CSPM, export bezpečnostního skóre, Registr výjimek |
| Zálohování a obnova | Otestována obnova kritických pracovních zátěží nebo dat | Stav zálohovací úlohy, záznam testu obnovy, získané poznatky |
Krok 4: Propojte dodavatelské důkazy a důkazy k ochraně soukromí
Přiložte smlouvu, DPA, seznam dílčích zpracovatelů, podmínky oznamování porušení zabezpečení, auditní ujišťovací zprávy a důkazy o umístění dat. Pokud jsou zpracovávány osobní údaje, zaznamenejte, zda poskytovatel vystupuje jako zpracovatel, jak je řešen výmaz, jak funguje podpora žádostí subjektů údajů a jaká ochranná opatření pro přenos se uplatní.
Pro DORA určete, zda cloudová služba podporuje kritickou nebo důležitou funkci. Pokud ano, propojte důkazy s registrem třetích stran v oblasti ICT, dokumentací náležité péče, právy na audit, plánem ukončení a přezkumem rizika koncentrace.
Krok 5: Propojte protokolování s reakcí na incidenty
Ukažte, že logy jsou povoleny, směrovány, přezkoumávány a používány. Přiložte řídicí panely SIEM, pravidla upozornění a alespoň jeden uzavřený tiket k upozornění. Poté namapujte pracovní postup na rozhodovací body hlášení podle NIS2 a DORA.
Pro NIS2 musí proces incidentů podporovat včasné varování do 24 hodin, oznámení incidentu do 72 hodin a závěrečnou zprávu do jednoho měsíce u významných incidentů. Pro DORA by proces ICT incidentů měl klasifikovat incidenty podle dotčených klientů, transakcí, trvání, výpadku, geografického rozsahu, dopadu na data, kritičnosti služby a ekonomického dopadu.
Krok 6: Ukládejte důkazy disciplinovaně
Clarysec Politika monitorování auditu a souladu-sme Politika monitorování auditu a souladu-sme v kapitole 6.2 definuje praktickou disciplínu důkazů:
„6.2 Sběr důkazů a dokumentace 6.2.1 Veškeré důkazy musí být uloženy v centralizované auditní složce. 6.2.2 Názvy souborů musí jasně odkazovat na auditní téma a datum. 6.2.3 Metadata (např. kdo je shromáždil, kdy a z jakého systému) musí být zdokumentována. 6.2.4 Důkazy musí být uchovávány nejméně dva roky nebo déle, pokud to vyžadují certifikační nebo klientské dohody.“
Podniková Politika monitorování auditu a souladu Politika monitorování auditu a souladu uvádí cíl:
„Vytvářet obhajitelné důkazy a auditní stopu na podporu regulačních šetření, soudních řízení nebo požadavků zákazníků na doložení ujištění.“
Snímek obrazovky nazvaný „screenshot1.png“ je slabý důkaz. Soubor pojmenovaný „AWS-Prod-CloudTrail-Enabled-2026-05-10-CollectedBy-JSmith.png“ je silnější, protože popisuje systém, opatření, datum a osobu, která důkaz shromáždila. Metadata jsou důležitá, protože auditoři musí důvěřovat tomu, kdy byl důkaz shromážděn, kdo jej shromáždil a z jakého systému.
Jak auditoři testují stejné cloudové opatření
Nejsilnější balíčky cloudových důkazů jsou navrženy pro více auditních pohledů. Auditoři ISO 27001:2022 testují, zda je opatření v ISMS, posouzení rizik, ošetření rizik a SoA. Hodnotitelé orientovaní na NIST testují technickou implementaci. Auditoři COBIT 2019 testují správu a řízení, výkonnost dodavatelů a integraci procesů. Auditoři ochrany soukromí se zaměřují na povinnosti zpracovatelů, umístění dat, připravenost na porušení zabezpečení a práva subjektů údajů. Dohledové přezkumy DORA se zaměřují na riziko třetích stran v oblasti ICT a odolnost.
| Auditní pohled | Pravděpodobná auditní otázka | Důkazy k přípravě |
|---|---|---|
| ISO 27001:2022 | Proč je cloudové opatření použitelné a jak je implementováno v ISMS? | Prohlášení o rozsahu, Registr rizik, SoA, cloudová politika, registr, výchozí stav, záznamy interního auditu |
| Audit ISMS ve stylu ISO/IEC 27007 | Lze konfiguraci a dokumentaci ověřit prostřednictvím rozhovorů a vzorků? | Snímky obrazovky, exporty, validace pouze pro čtení, rozhovory s vlastníky cloudu a SaaS |
| NIST SP 800-53A | Jsou cloudové účty, monitorování a externí služby řízeny stejně jako interní systémy? | Přezkum IAM, záznamy životního cyklu účtů, logy SIEM, skeny zranitelností, požadavky na externí služby |
| COBIT 2019 | Jsou služby dodavatelů monitorovány, měněny a řízeny podle obchodního rizika? | Zápisy z přezkumů dodavatelů, KPI, KRI, zprávy SLA, záznamy změn, opětovná posouzení rizik |
| ISACA ITAF | Jsou důkazy dostatečné, spolehlivé a uchovávané tak, aby podporovaly závěry? | Centralizovaná složka důkazů, metadata, exporty ze zdrojů, tiketové stopy, schválení |
| Audit ochrany soukromí a GDPR | Jsou povinnosti zpracovatele a opatření pro osobní údaje v cloudu provozně uplatněny? | DPA, SCC tam, kde jsou potřeba, důkaz umístění dat, proces výmazu, přístup k logu porušení zabezpečení, testy obnovy |
| Dohledový přezkum DORA | Dokáže finanční subjekt doložit dohled nad třetími stranami v oblasti ICT a odolnost? | Registr smluv ICT, mapování kritických funkcí, strategie ukončení, přezkum rizika koncentrace, výsledky testování |
| Dotaz příslušného orgánu podle NIS2 | Dokáže subjekt prokázat přiměřená kyberbezpečnostní opatření a připravenost na hlášení incidentů? | Mapování Article 21, incidentní playbook, bezpečnostní důkazy dodavatelů, testy kontinuity, schválení vedením |
Zenith Controls zahrnuje tyto rozdíly auditních metodik pro cloudové služby, smlouvy s dodavateli a monitorování dodavatelů. U 5.22, Monitorování, přezkum a řízení změn služeb dodavatelů, zdůrazňuje, že auditoři mohou kontrolovat čtvrtletní zápisy z přezkumů dodavatelů, zprávy KPI, hodnocení zpráv SOC, logy změn, posouzení rizik, incidenty dodavatelů a sledování problémů. U 5.20, řešení bezpečnosti informací ve smlouvách s dodavateli, zdůrazňuje vzorkování smluv na důvěrnost, bezpečnostní povinnosti, oznamování porušení zabezpečení, práva na audit, schválení subdodavatelů a podmínky ukončení.
Opatření napříč compliance, která nesou hlavní zátěž cloudového auditu
Model cloudových důkazů připravený pro regulační orgány stojí na malém počtu opatření s vysokým dopadem. Tato opatření nesou velkou část zátěže souladu napříč ISO 27001:2022, NIS2, DORA, GDPR, NIST a COBIT 2019.
| Téma opatření | Kotva ISO 27001:2022 | Relevance pro NIS2 | Relevance pro DORA | Relevance pro GDPR |
|---|---|---|---|---|
| Správa cloudu | A.5.23 | Article 21 opatření pro cloudová a systémová rizika | Rámec rizik ICT a závislosti na třetích stranách | Zabezpečení cloudového zpracování a dohled nad zpracovateli |
| Smlouvy s dodavateli | A.5.20 | Zabezpečení dodavatelského řetězce a spolupráce | Article 30 smluvní ustanovení | Article 28 smlouva se zpracovatelem |
| Monitorování dodavatelů | A.5.22 | Průběžné řízení rizik | Průběžné monitorování třetích stran v oblasti ICT, KPI a KRI | Náležitá péče o zpracovatele a bezpečnostní přezkum |
| Protokolování a monitorování | A.8.15, A.8.16 | Detekce incidentů a účinnost kontrol | Detekce, klasifikace a hlášení ICT incidentů | Detekce porušení zabezpečení a odpovědnost |
| Řízení přístupu a MFA | A.5.15, A.5.16, A.5.17, A.5.18 | Řízení přístupu a MFA tam, kde je to vhodné | Ochranná a preventivní opatření | Důvěrnost a integrita osobních údajů |
| Zálohování a odolnost | A.8.13, A.5.29, A.5.30 | Kontinuita činností a krizové řízení | Kontinuita, obnova, zálohování a obnovení | Dostupnost a odolnost zpracování |
| Řízení incidentů | A.5.24, A.5.25, A.5.26, A.5.27 | Pracovní postup hlášení do 24 hodin, 72 hodin a závěrečné hlášení | Životní cyklus počátečního, průběžného a závěrečného hlášení | Posouzení a oznámení porušení zabezpečení osobních údajů |
| Právní povinnosti a ochrana soukromí | A.5.31, A.5.34 | Právní a regulační soulad | Odvětvové dohledové požadavky | Zákonné zpracování, odpovědnost a smlouvy podle Article 28 |
NIST SP 800-53 Rev.5 přidává technickou hloubku prostřednictvím správy účtů, služeb externích systémů, průběžného monitorování, monitorování systémů a ochrany perimetru. COBIT 2019 přidává hloubku správy a řízení prostřednictvím řízení vztahů s dodavateli, dodavatelského rizika, výměny dat, zabezpečení sítí a připravenosti na změny.
Podpůrné normy ISO zpřesňují model důkazů. ISO/IEC 27017 poskytuje cloudově specifické pokyny ke sdíleným rolím, konfiguraci virtuálních strojů a monitorování aktivit zákazníka. ISO/IEC 27018 se zaměřuje na ochranu PII ve veřejném cloudu. ISO/IEC 27701 rozšiřuje povinnosti ochrany soukromí do provozu zpracovatelů a správců. ISO/IEC 27036-4 podporuje smlouvy s cloudovými dodavateli a monitorování. ISO/IEC 27005 slouží pro posouzení cloudových rizik.
Přezkoumání vedením musí vidět cloudové riziko, nejen dostupnost cloudu
Jedním z nejvíce přehlížených auditních artefaktů je přezkoumání vedením. ISO 27001:2022 očekává, že přezkoumání vedením zohlední změny, potřeby zainteresovaných stran, trendy výkonnosti, výsledky auditů, stav ošetření rizik a příležitosti ke zlepšení. NIS2 vyžaduje, aby řídicí orgány schvalovaly opatření pro řízení kybernetických rizik a dohlížely na jejich implementaci. DORA vyžaduje, aby řídicí orgán definoval, schvaloval, dohlížel a nesl odpovědnost za řízení rizik v oblasti ICT.
Čtvrtletní řídicí panel cloudové bezpečnosti a dodavatelů by měl ukazovat:
- Počet schválených cloudových služeb.
- Kritické cloudové služby a jejich vlastníky.
- Služby zpracovávající osobní údaje.
- Služby podporující kritické nebo důležité funkce.
- Otevřené vysoce rizikové chybné konfigurace cloudu.
- Stav MFA a přezkumu privilegovaných přístupů.
- Pokrytí protokolováním u kritických platforem SaaS a IaaS.
- Přijaté a přezkoumané zprávy ujištění dodavatelů.
- Smluvní výjimky a přijatá rizika.
- Cloudové incidenty, téměř vzniklé incidenty a získané poznatky.
- Výsledky testů zálohování a obnovy.
- Stav rizika koncentrace a plánu ukončení.
Tento řídicí panel se stává důkazem pro vedení a hodnocení výkonnosti podle ISO 27001:2022, správu a řízení podle NIS2 a odpovědnost vedení podle DORA.
Zenith Blueprint ve fázi Řízení rizik, krok 14, doporučuje při implementaci ošetření rizik a politik křížově odkazovat na regulační požadavky. Uvádí, že mapování klíčových regulačních požadavků na opatření ISMS je užitečné interní cvičení a „také udělá dojem na auditory/hodnotitele, protože neřídíte bezpečnost ve vakuu, ale vnímáte právní kontext.“
To je úroveň vyspělosti, kterou regulační orgány a podnikoví zákazníci očekávají.
Běžná zjištění cloudového auditu a jak se jim vyhnout
Při práci na auditní připravenosti cloudu se opakují předvídatelná zjištění:
- Registr cloudových služeb existuje, ale chybí v něm nástroje SaaS.
- Umístění dat není zaznamenáno nebo je opsáno z marketingových stránek namísto smluvních důkazů.
- MFA je vynucena pro zaměstnance, ale ne pro všechny administrátorské účty nebo nouzové účty „break-glass“.
- Cloudové logy jsou povoleny, ale nejsou přezkoumávány, uchovávány ani propojeny s reakcí na incidenty.
- Zprávy SOC dodavatelů jsou archivovány, ale nejsou posouzeny.
- Smluvní doložky existují u nových dodavatelů, ale ne u starších kritických služeb.
- Oznámení o dílčích zpracovatelích přicházejí e-mailem, ale nejsou posuzována z hlediska rizik.
- Zálohovací úlohy běží úspěšně, ale testy obnovy nejsou doloženy.
- Sdílenou odpovědnost technici chápou, ale pro auditory není zdokumentována.
- SoA označuje cloudová opatření jako použitelná, ale nepropojuje je se záznamy rizik, důkazy ani vlastníky.
Jde o problémy dohledatelnosti. Nápravou je propojit politiku, riziko, opatření, vlastníka, důkaz a přezkum.
Když Maria dorazila k auditnímu dni, už se nespoléhala na rozptýlené snímky obrazovky. Otevřela centrální řídicí panel zobrazující Registr cloudových služeb, posouzení rizik, záznamy SoA, důkazy výchozí konfigurace, soubory přezkumu dodavatelů, důkaz protokolování a přezkum rizika koncentrace podle DORA. Když se auditor zeptal, jak jsou cloudová rizika řízena, ukázala ISMS. Když se auditor zeptal, jak jsou služby bezpečně nakonfigurovány, ukázala výchozí stav a důkazy CSPM. Když se auditor zeptal na riziko třetích stran v oblasti ICT, ukázala přezkum smluv, monitorování dodavatelů a plánování ukončení.
Výsledkem nebylo dokonalé prostředí. Žádné cloudové prostředí není dokonalé. Rozdíl byl v tom, že rozhodnutí o rizicích byla zdokumentována, důkazy byly obhajitelné a odpovědnost byla viditelná.
Vytvořte svůj balíček cloudových důkazů dříve, než se auditor zeptá
Pokud se vaše organizace spoléhá na SaaS, IaaS nebo PaaS, váš příští audit nepřijme odpověď „řeší to poskytovatel“ jako dostatečnou. Musíte doložit sdílenou odpovědnost, konfiguraci na straně zákazníka, doložky dodavatelů, protokolování, připravenost na incidenty, odolnost a dohled vedení.
Začněte tento týden třemi praktickými kroky:
- Vytvořte nebo aktualizujte svůj Registr cloudových služeb pomocí Clarysec Politiky používání cloudových služeb Politika používání cloudových služeb nebo Politiky používání cloudových služeb-sme Politika používání cloudových služeb-sme.
- Namapujte svých pět nejvýznamnějších cloudových služeb na opatření ISO 27001:2022 přílohy A, NIS2 Article 21, povinnosti třetích stran v oblasti ICT podle DORA tam, kde se uplatní, a požadavky GDPR na zpracovatele.
- Vybudujte centralizovanou složku důkazů s využitím disciplíny uchovávání a metadat z Politiky monitorování auditu a souladu Politika monitorování auditu a souladu nebo Politiky monitorování auditu a souladu-sme Politika monitorování auditu a souladu-sme.
Poté použijte Zenith Blueprint Zenith Blueprint k zasazení práce do 30krokového plánu auditu ISMS a Zenith Controls Zenith Controls k ověření mapování napříč compliance, podpůrných norem ISO a očekávání auditní metodiky.
Clarysec vám může pomoci proměnit rozptýlené cloudové snímky obrazovky, dodavatelské soubory a nastavení SaaS v balíček důkazů připravený pro regulační orgány, který obstojí při certifikačních auditech ISO 27001:2022, dohledových otázkách podle NIS2, přezkumech třetích stran v oblasti ICT podle DORA a požadavcích podnikových zákazníků na ujištění.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
