Τεκμήρια TOMs για το GDPR Article 32 με ISO 27001, NIS2 και DORA

Το email φτάνει στα εισερχόμενα του CISO με το γνώριμο βάρος μιας συμφωνίας που μπορεί να επηρεάσει καθοριστικά το τρίμηνο της εταιρείας.

Ένας μεγάλος υποψήφιος εταιρικός πελάτης ζητά τεκμήρια για «τεχνικά και οργανωτικά μέτρα του GDPR Article 32, χαρτογραφημένα σε ISO 27001:2022, NIS2 και DORA όπου εφαρμόζεται». Ταυτόχρονα, το Νομικό Τμήμα έχει ενημερώσει το Διοικητικό Συμβούλιο για την ευθύνη της διοίκησης βάσει NIS2 και τις απαιτήσεις λειτουργικής ανθεκτικότητας του DORA. Η οδηγία του Διοικητικού Συμβουλίου ακούγεται απλή: αποδείξτε τη συμμόρφωση, αποφύγετε τη διπλή εργασία και μην το μετατρέψετε σε τρία ξεχωριστά έργα.

Η εταιρεία διαθέτει δικλίδες ελέγχου. Το MFA είναι ενεργοποιημένο. Τα αντίγραφα ασφαλείας εκτελούνται. Οι προγραμματιστές διενεργούν ανασκόπηση κώδικα. Η ομάδα ιδιωτικότητας τηρεί αρχεία δραστηριοτήτων επεξεργασίας. Η ομάδα υποδομής εκτελεί σαρώσεις ευπαθειών. Οι προμηθευτές αξιολογούνται κατά τη διαδικασία προμηθειών. Όταν όμως ο υποψήφιος πελάτης ζητά τεκμήρια, η απάντηση κατακερματίζεται.

Η αναφορά του παρόχου ταυτότητας βρίσκεται σε ένα σημείο. Τα αρχεία καταγραφής αντιγράφων ασφαλείας βρίσκονται αλλού. Το Μητρώο Κινδύνων δεν έχει επικαιροποιηθεί από την τελευταία έκδοση προϊόντος. Τα τεκμήρια ασφάλειας προμηθευτών βρίσκονται σε email του τμήματος προμηθειών. Υπάρχουν σημειώσεις από ασκήσεις επιτραπέζιων σεναρίων για διαχείριση περιστατικών, αλλά κανείς δεν μπορεί να αποδείξει ότι τα διδάγματα που αντλήθηκαν ενσωματώθηκαν ξανά στην αντιμετώπιση κινδύνων. Το Διοικητικό Συμβούλιο ενέκρινε δαπάνες ασφάλειας, αλλά η έγκριση δεν συνδέεται με κίνδυνο ΤΠΕ ή με τεκμηριωμένη απόφαση δικλίδας ελέγχου.

Αυτό είναι το πραγματικό πρόβλημα με τα τεχνικά και οργανωτικά μέτρα του GDPR Article 32, που συνήθως αποκαλούνται TOMs. Οι περισσότεροι οργανισμοί δεν αποτυγχάνουν επειδή δεν έχουν δικλίδες ελέγχου. Αποτυγχάνουν επειδή δεν μπορούν να αποδείξουν ότι οι δικλίδες είναι βάσει κινδύνου, έχουν εγκριθεί, έχουν υλοποιηθεί, παρακολουθούνται και βελτιώνονται.

Η αρχή της λογοδοσίας του GDPR καθιστά αυτή την προσδοκία ρητή. Το GDPR Article 5 απαιτεί τα δεδομένα προσωπικού χαρακτήρα να προστατεύονται με κατάλληλη ασφάλεια έναντι μη εξουσιοδοτημένης ή παράνομης επεξεργασίας και τυχαίας απώλειας, καταστροφής ή βλάβης. Το Article 5(2) καθιστά τον υπεύθυνο επεξεργασίας υπεύθυνο για την απόδειξη της συμμόρφωσης. Οι ορισμοί του GDPR έχουν επίσης σημασία. Τα δεδομένα προσωπικού χαρακτήρα έχουν ευρύ πεδίο, η επεξεργασία καλύπτει σχεδόν κάθε πράξη επί δεδομένων, η ψευδωνυμοποίηση είναι αναγνωρισμένη δικλίδα ασφάλειας και η παραβίαση δεδομένων προσωπικού χαρακτήρα περιλαμβάνει τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, μη εξουσιοδοτημένη γνωστοποίηση ή πρόσβαση.

Επομένως, ένας φάκελος τεκμηρίων για το Article 32 δεν μπορεί να είναι φάκελος με τυχαία στιγμιότυπα οθόνης. Πρέπει να είναι ένα ζωντανό σύστημα δικλίδων ελέγχου.

Η προσέγγιση της Clarysec είναι να μετατρέπει τα TOMs του GDPR Article 32 σε έναν ιχνηλάσιμο μηχανισμό τεκμηρίων, βασισμένο στο ISO/IEC 27001:2022 ISO/IEC 27001:2022, ενισχυμένο από τη διαχείριση κινδύνων του ISO/IEC 27005:2022 και διασταυρωμένο με τις υποχρεώσεις NIS2 και DORA όπου αυτές εφαρμόζονται. Ο στόχος δεν είναι η γραφειοκρατία για χάρη της γραφειοκρατίας. Ο στόχος είναι ο οργανισμός να διαθέτει ετοιμότητα ελέγχου πριν ένας πελάτης, ελεγκτής, ρυθμιστική αρχή ή μέλος του Διοικητικού Συμβουλίου θέσει τη δύσκολη ερώτηση.

Γιατί τα TOMs του GDPR Article 32 αποτυγχάνουν στην πράξη

Το Article 32 συχνά παρερμηνεύεται ως κατάλογος εργαλείων ασφάλειας: κρυπτογράφηση, αντίγραφα ασφαλείας, καταγραφή, έλεγχος πρόσβασης και διαχείριση περιστατικών. Τα μέτρα αυτά έχουν σημασία, αλλά είναι τεκμηριώσιμα μόνο όταν είναι ανάλογα προς τον κίνδυνο και συνδέονται με τον κύκλο ζωής των δεδομένων προσωπικού χαρακτήρα.

Για μια εταιρεία SaaS που επεξεργάζεται δεδομένα εργαζομένων πελατών, η δήλωση «χρησιμοποιούμε κρυπτογράφηση» δεν αρκεί. Ένας ελεγκτής μπορεί να ρωτήσει ποια δεδομένα προστατεύει η κρυπτογράφηση, πού απαιτείται κρυπτογράφηση, πώς γίνεται η διαχείριση των κλειδιών, αν τα αντίγραφα ασφαλείας είναι κρυπτογραφημένα, αν τα δεδομένα παραγωγής αποκρύπτονται κατά τις δοκιμές, ποιος μπορεί να παρακάμψει τις δικλίδες ελέγχου και πώς εγκρίνονται οι εξαιρέσεις.

Η εταιρική Πολιτική Προστασίας Δεδομένων και Ιδιωτικότητας της Clarysec αποτυπώνει την επιχειρησιακή αρχή:

«Να εφαρμόζονται τεχνικά και οργανωτικά μέτρα (TOMs) που προστατεύουν την εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα των δεδομένων προσωπικού χαρακτήρα (PII) καθ’ όλη τη διάρκεια του κύκλου ζωής τους.»

Πηγή: Πολιτική Προστασίας Δεδομένων και Ιδιωτικότητας, Στόχοι, ρήτρα πολιτικής 3.3. Πολιτική Προστασίας Δεδομένων και Ιδιωτικότητας

Η φράση «καθ’ όλη τη διάρκεια του κύκλου ζωής τους» είναι το σημείο όπου πολλά προγράμματα TOMs αποδυναμώνονται. Τα δεδομένα προσωπικού χαρακτήρα μπορεί να προστατεύονται στο περιβάλλον παραγωγής, αλλά να αντιγράφονται σε συστήματα ανάλυσης, αρχεία καταγραφής, εξαγωγές υποστήριξης, περιβάλλοντα δοκιμών, αντίγραφα ασφαλείας, πλατφόρμες προμηθευτών και συσκευές εργαζομένων. Κάθε τοποθεσία δημιουργεί κίνδυνο ασφάλειας και ιδιωτικότητας.

Το GDPR Article 6 απαιτεί νομική βάση για την επεξεργασία, όπως συγκατάθεση, σύμβαση, νομική υποχρέωση, ζωτικά συμφέροντα, δημόσιο καθήκον ή έννομα συμφέροντα. Όταν τα δεδομένα επαναχρησιμοποιούνται για περαιτέρω σκοπό, πρέπει να εξετάζονται η συμβατότητα και οι δικλίδες ασφάλειας, όπως η κρυπτογράφηση ή η ψευδωνυμοποίηση. Για δεδομένα υψηλότερου κινδύνου, το βάρος τεκμηρίωσης αυξάνεται. Το GDPR Article 9 θέτει αυστηρούς περιορισμούς σε ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα, όπως δεδομένα υγείας, βιομετρικά δεδομένα που χρησιμοποιούνται για ταυτοποίηση και άλλες ευαίσθητες πληροφορίες. Το Article 10 περιορίζει τα δεδομένα που αφορούν ποινικές καταδίκες και αδικήματα.

Για τις ΜΜΕ, η Clarysec διατυπώνει την αντιμετώπιση κινδύνων με πρακτικό τρόπο:

«Οι δικλίδες ελέγχου πρέπει να εφαρμόζονται για τη μείωση των αναγνωρισμένων κινδύνων, συμπεριλαμβανομένων της κρυπτογράφησης, της ανωνυμοποίησης, της ασφαλούς διάθεσης και των περιορισμών πρόσβασης»

Πηγή: Πολιτική Προστασίας Δεδομένων και Ιδιωτικότητας για ΜΜΕ, Αντιμετώπιση κινδύνων και εξαιρέσεις, ρήτρα πολιτικής 7.2.1. Πολιτική Προστασίας Δεδομένων και Ιδιωτικότητας - ΜΜΕ

Αυτό αποτελεί ισχυρή βασική γραμμή TOMs. Για να υπάρχει ετοιμότητα ελέγχου, κάθε δικλίδα ελέγχου πρέπει επίσης να συνδέεται με κίνδυνο, ιδιοκτήτη, απαίτηση πολιτικής, τεκμήριο και ρυθμό ανασκόπησης.

Το ISO 27001:2022 είναι η ραχοκοκαλιά των τεκμηρίων για το Article 32

Το ISO 27001:2022 λειτουργεί αποτελεσματικά για το GDPR Article 32, επειδή αντιμετωπίζει την ασφάλεια ως σύστημα διαχείρισης και όχι ως ασύνδετη λίστα δικλίδων ελέγχου. Απαιτεί Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών, δηλαδή ISMS, σχεδιασμένο να διατηρεί την εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα μέσω διαχείρισης κινδύνων.

Το πρώτο κρίσιμο βήμα είναι το πεδίο εφαρμογής. Οι ρήτρες 4.1 έως 4.4 του ISO 27001:2022 απαιτούν από τον οργανισμό να κατανοεί εσωτερικά και εξωτερικά ζητήματα, να προσδιορίζει τα ενδιαφερόμενα μέρη και τις απαιτήσεις τους, να καθορίζει ποιες απαιτήσεις θα καλύπτονται από το ISMS και να ορίζει το πεδίο εφαρμογής του ISMS, συμπεριλαμβανομένων των διεπαφών και των εξαρτήσεων με εξωτερικούς οργανισμούς. Για τα TOMs του Article 32, το πεδίο εφαρμογής του ISMS πρέπει να αντικατοπτρίζει την επεξεργασία δεδομένων προσωπικού χαρακτήρα, τις υποχρεώσεις έναντι πελατών, τους εκτελούντες την επεξεργασία, τους υπεργολάβους επεξεργασίας, τις πλατφόρμες νέφους, την τηλεργασία, τις λειτουργίες υποστήριξης και τα περιβάλλοντα προϊόντος.

Το δεύτερο βήμα είναι η ηγεσία. Οι ρήτρες 5.1 έως 5.3 απαιτούν δέσμευση της Ανώτατης Διοίκησης, Πολιτική Ασφάλειας Πληροφοριών, πόρους, ρόλους και αρμοδιότητες και αναφορά απόδοσης. Αυτό έχει σημασία επειδή το GDPR Article 32, το NIS2 και το DORA βασίζονται όλα στη διακυβέρνηση. Μια δικλίδα ελέγχου χωρίς ιδιοκτησία, χρηματοδότηση ή ανασκόπηση αποτελεί αδύναμο τεκμήριο.

Η εταιρική Πολιτική Ασφάλειας Πληροφοριών της Clarysec το καθιστά σαφές:

«Το ISMS πρέπει να περιλαμβάνει καθορισμένα όρια πεδίου εφαρμογής, μεθοδολογία εκτίμησης κινδύνων, μετρήσιμους στόχους και τεκμηριωμένες δικλίδες ελέγχου που αιτιολογούνται στη Δήλωση Εφαρμοσιμότητας (SoA).»

Πηγή: Πολιτική Ασφάλειας Πληροφοριών, Απαιτήσεις εφαρμογής της πολιτικής, ρήτρα πολιτικής 6.1.2. Πολιτική Ασφάλειας Πληροφοριών

Η ίδια πολιτική ορίζει την προσδοκία για τεκμήρια:

«Όλες οι υλοποιημένες δικλίδες ελέγχου πρέπει να είναι ελέγξιμες, να υποστηρίζονται από τεκμηριωμένες διαδικασίες και από διατηρούμενα τεκμήρια λειτουργίας.»

Πηγή: Πολιτική Ασφάλειας Πληροφοριών, Απαιτήσεις εφαρμογής της πολιτικής, ρήτρα πολιτικής 6.6.1.

Οι ρήτρες 6.1.1 έως 6.1.3 του ISO 27001:2022 απαιτούν στη συνέχεια αξιολόγηση κινδύνων, αντιμετώπιση κινδύνων, Δήλωση Εφαρμοσιμότητας, έγκριση υπολειπόμενου κινδύνου και λογοδοσία του Ιδιοκτήτη κινδύνου. Η ρήτρα 6.2 απαιτεί μετρήσιμους στόχους. Οι ρήτρες 7.5, 9.1, 9.2, 9.3 και 10.2 απαιτούν τεκμηριωμένες πληροφορίες, παρακολούθηση, εσωτερικό έλεγχο, ανασκόπηση από τη διοίκηση και διορθωτικές ενέργειες.

Για το GDPR Article 32, αυτό δημιουργεί μια τεκμηριώσιμη δομή.

Το ISO/IEC 27005:2022 ενισχύει αυτή τη δομή. Συνιστά στους οργανισμούς να εντοπίζουν απαιτήσεις από το Παράρτημα A του ISO 27001:2022, κανονισμούς, συμβάσεις, κλαδικά πρότυπα, εσωτερικούς κανόνες και υφιστάμενες δικλίδες ελέγχου και στη συνέχεια να τις ενσωματώνουν στην αξιολόγηση και στην αντιμετώπιση κινδύνων. Απαιτεί επίσης κριτήρια κινδύνου και κριτήρια αποδοχής που λαμβάνουν υπόψη νομικούς, κανονιστικούς, επιχειρησιακούς, προμηθευτικούς, τεχνολογικούς και ανθρώπινους παράγοντες, συμπεριλαμβανομένης της ιδιωτικότητας.

Η Πολιτική Διαχείρισης Κινδύνων της Clarysec ευθυγραμμίζεται άμεσα:

«Πρέπει να διατηρείται επίσημη διαδικασία διαχείρισης κινδύνων σύμφωνα με τα ISO/IEC 27005 και ISO 31000, η οποία καλύπτει την αναγνώριση κινδύνων, την ανάλυση, την αξιολόγηση κινδύνων, την αντιμετώπιση, την παρακολούθηση και την επικοινωνία.»

Πηγή: Πολιτική Διαχείρισης Κινδύνων, Απαιτήσεις διακυβέρνησης, ρήτρα πολιτικής 5.1. Πολιτική Διαχείρισης Κινδύνων

Για τις ΜΜΕ, η ίδια απαίτηση γίνεται απλή και άμεσα εφαρμόσιμη:

«Κάθε καταχώριση κινδύνου πρέπει να περιλαμβάνει: περιγραφή, πιθανότητα, αντίκτυπο, βαθμολογία, ιδιοκτήτη και σχέδιο αντιμετώπισης.»

Πηγή: Πολιτική Διαχείρισης Κινδύνων για ΜΜΕ, Απαιτήσεις διακυβέρνησης, ρήτρα πολιτικής 5.1.2. Πολιτική Διαχείρισης Κινδύνων - ΜΜΕ

Η πρόταση αυτή είναι ένας γρήγορος έλεγχος ετοιμότητας. Αν ένας κίνδυνος δεν έχει ιδιοκτήτη ή σχέδιο αντιμετώπισης, δεν είναι ακόμη έτοιμος ως τεκμήριο.

Η γέφυρα της Clarysec: κίνδυνος, SoA, δικλίδες ελέγχου και κανονισμοί

Το Zenith Blueprint: An Auditor’s 30-Step Roadmap της Clarysec Zenith Blueprint αντιμετωπίζει τη συμμόρφωση ως εργασία ιχνηλασιμότητας. Στη φάση Διαχείρισης Κινδύνων, το Βήμα 13 εστιάζει στον σχεδιασμό αντιμετώπισης κινδύνων και στη Δήλωση Εφαρμοσιμότητας. Εξηγεί ότι οι οργανισμοί πρέπει να χαρτογραφούν δικλίδες ελέγχου σε κινδύνους, να προσθέτουν αναφορές δικλίδων του Παραρτήματος A στις καταχωρίσεις αντιμετώπισης κινδύνων, να διασταυρώνουν εξωτερικούς κανονισμούς και να λαμβάνουν έγκριση της διοίκησης.

Το Zenith Blueprint είναι σαφές ως προς τον ρόλο της SoA:

«Η SoA λειτουργεί ουσιαστικά ως έγγραφο-γέφυρα: συνδέει την αξιολόγηση/αντιμετώπιση κινδύνων με τις πραγματικές δικλίδες ελέγχου που διαθέτετε. Με την ολοκλήρωσή της, ελέγχετε επίσης αν παραλείψατε κάποιες δικλίδες ελέγχου.»

Πηγή: Zenith Blueprint: An Auditor’s 30-Step Roadmap, φάση Διαχείρισης Κινδύνων, Βήμα 13: Σχεδιασμός αντιμετώπισης κινδύνων και Δήλωση Εφαρμοσιμότητας (SoA). Zenith Blueprint

Το Βήμα 14 του Zenith Blueprint προσθέτει το επίπεδο διασταύρωσης με κανονιστικές απαιτήσεις. Συνιστά στους οργανισμούς να τεκμηριώνουν πώς οι απαιτήσεις GDPR, NIS2 και DORA καλύπτονται από πολιτικές και δικλίδες ελέγχου. Για το GDPR, δίνει έμφαση στην προστασία δεδομένων προσωπικού χαρακτήρα στις αξιολογήσεις και αντιμετωπίσεις κινδύνων, συμπεριλαμβανομένης της κρυπτογράφησης ως τεχνικού μέτρου και της απόκρισης σε παραβιάσεις ως μέρους του περιβάλλοντος δικλίδων ελέγχου. Για το NIS2, αναδεικνύει την αξιολόγηση κινδύνων, την ασφάλεια δικτύου, τον έλεγχο πρόσβασης, τη διαχείριση περιστατικών και την επιχειρησιακή συνέχεια. Για το DORA, παραπέμπει στη διαχείριση κινδύνων ΤΠΕ, στη διαχείριση περιστατικών, στην αναφορά και στην εποπτεία τρίτων παρόχων ΤΠΕ.

Αυτός είναι ο πυρήνας της μεθόδου Clarysec: ένα ISMS, ένα Μητρώο Κινδύνων, μία SoA, μία βιβλιοθήκη τεκμηρίων, πολλαπλά αποτελέσματα συμμόρφωσης.

Το Zenith Controls: The Cross-Compliance Guide Zenith Controls το υποστηρίζει βοηθώντας τους οργανισμούς να χρησιμοποιούν τα θέματα δικλίδων ελέγχου του ISO/IEC 27002:2022 ISO/IEC 27002:2022 ως άγκυρες διασταυρούμενης συμμόρφωσης. Για το GDPR Article 32, οι σημαντικότερες άγκυρες συχνά περιλαμβάνουν την Ιδιωτικότητα και Προστασία PII, δικλίδα 5.34· την Ανεξάρτητη Ανασκόπηση της Ασφάλειας Πληροφοριών, δικλίδα 5.35· και τη Χρήση Κρυπτογραφίας, δικλίδα 8.24.

Το NIS2 μετατρέπει τα TOMs σε ζήτημα κυβερνοασφάλειας σε επίπεδο Διοικητικού Συμβουλίου

Πολλοί οργανισμοί αντιμετωπίζουν τα TOMs του GDPR ως ευθύνη της ομάδας ιδιωτικότητας. Το NIS2 αλλάζει τη συζήτηση.

Το NIS2 εφαρμόζεται σε πολλές μεσαίες και μεγάλες οντότητες σε καταγεγραμμένους τομείς και, σε ορισμένες περιπτώσεις, ανεξάρτητα από το μέγεθος. Οι καλυπτόμενοι ψηφιακοί και τεχνολογικοί τομείς περιλαμβάνουν παρόχους υπηρεσιών υπολογιστικού νέφους, παρόχους κέντρων δεδομένων, δίκτυα παράδοσης περιεχομένου, παρόχους υπηρεσιών DNS, μητρώα TLD, παρόχους υπηρεσιών εμπιστοσύνης, παρόχους δημόσιων ηλεκτρονικών επικοινωνιών, παρόχους διαχειριζόμενων υπηρεσιών (MSPs), παρόχους διαχειριζόμενων υπηρεσιών ασφάλειας, ηλεκτρονικές αγορές, μηχανές αναζήτησης και πλατφόρμες κοινωνικής δικτύωσης. Η εφαρμογή σε ΜΜΕ SaaS και τεχνολογίας εξαρτάται από τον τομέα, το μέγεθος, τον χαρακτηρισμό από το κράτος μέλος και τον συστημικό ή διασυνοριακό αντίκτυπο.

Το NIS2 Article 20 αναθέτει την ευθύνη κυβερνοασφάλειας στα όργανα διοίκησης. Πρέπει να εγκρίνουν μέτρα διαχείρισης κινδύνων κυβερνοασφάλειας, να εποπτεύουν την υλοποίηση και να εκπαιδεύονται. Οι ουσιώδεις οντότητες μπορεί να αντιμετωπίσουν διοικητικά πρόστιμα τουλάχιστον 10 εκατομμυρίων ευρώ ή τουλάχιστον 2% του παγκόσμιου ετήσιου κύκλου εργασιών. Οι σημαντικές οντότητες μπορεί να αντιμετωπίσουν πρόστιμα τουλάχιστον 7 εκατομμυρίων ευρώ ή τουλάχιστον 1,4%.

Το NIS2 Article 21 είναι άμεσα σχετικό με τα TOMs του Article 32, επειδή απαιτεί κατάλληλα και αναλογικά τεχνικά, επιχειρησιακά και οργανωτικά μέτρα. Τα μέτρα αυτά πρέπει να λαμβάνουν υπόψη την τελευταία λέξη της τεχνολογίας, ευρωπαϊκά και διεθνή πρότυπα, κόστος, έκθεση, μέγεθος, πιθανότητα, σοβαρότητα και κοινωνικό ή οικονομικό αντίκτυπο. Οι απαιτούμενοι τομείς περιλαμβάνουν ανάλυση κινδύνων, πολιτικές ασφάλειας, διαχείριση περιστατικών, επιχειρησιακή συνέχεια, ασφάλεια εφοδιαστικής αλυσίδας, ασφαλή προμήθεια και ανάπτυξη, χειρισμό ευπαθειών, αξιολόγηση αποτελεσματικότητας, κυβερνοϋγιεινή, εκπαίδευση, κρυπτογραφία, ασφάλεια ανθρώπινου δυναμικού, έλεγχο πρόσβασης, διαχείριση περιουσιακών στοιχείων, MFA ή συνεχή αυθεντικοποίηση και ασφαλείς επικοινωνίες όπου ενδείκνυται.

Το NIS2 Article 23 προσθέτει κλιμακωτή αναφορά περιστατικών: προειδοποίηση εντός 24 ωρών, κοινοποίηση περιστατικού εντός 72 ωρών, ενδιάμεσες ενημερώσεις όταν ζητούνται και τελική αναφορά το αργότερο έναν μήνα μετά την κοινοποίηση των 72 ωρών. Αν μια παραβίαση δεδομένων προσωπικού χαρακτήρα χαρακτηρίζεται επίσης ως σημαντικό περιστατικό NIS2, ο φάκελος τεκμηρίων πρέπει να υποστηρίζει τόσο τις αποφάσεις αναφοράς ιδιωτικότητας όσο και κυβερνοασφάλειας.

Το DORA αυξάνει τις απαιτήσεις για χρηματοοικονομική ανθεκτικότητα και παρόχους ΤΠΕ

Το DORA εφαρμόζεται από τις 17 Ιανουαρίου 2025 και δημιουργεί ένα κανονιστικό πλαίσιο χρηματοοικονομικού τομέα για την ψηφιακή επιχειρησιακή ανθεκτικότητα. Καλύπτει διαχείριση κινδύνων ΤΠΕ, αναφορά μείζονων περιστατικών σχετιζόμενων με ΤΠΕ, δοκιμές λειτουργικής ανθεκτικότητας, ανταλλαγή πληροφοριών για κυβερνοαπειλές και ευπάθειες, κίνδυνο τρίτων παρόχων ΤΠΕ, συμβατικές απαιτήσεις για παρόχους ΤΠΕ, εποπτεία κρίσιμων τρίτων παρόχων υπηρεσιών ΤΠΕ και εποπτικό έλεγχο.

Για χρηματοοικονομικές οντότητες που έχουν επίσης χαρακτηριστεί βάσει εθνικών κανόνων NIS2, το DORA λειτουργεί ως το ειδικό ανά τομέα ενωσιακό νομικό πλαίσιο για αλληλεπικαλυπτόμενες υποχρεώσεις διαχείρισης κινδύνων κυβερνοασφάλειας και αναφοράς περιστατικών. Στην πράξη, οι καλυπτόμενες χρηματοοικονομικές οντότητες πρέπει να δίνουν προτεραιότητα στο DORA για αυτά τα αλληλεπικαλυπτόμενα πεδία, διατηρώντας παράλληλα συντονισμό με τις αρμόδιες αρχές NIS2 και τις CSIRTs όπου απαιτείται.

Για τα τεκμήρια του GDPR Article 32, το DORA έχει σημασία με δύο τρόπους. Πρώτον, οι εταιρείες fintech μπορεί να εμπίπτουν άμεσα στο πεδίο εφαρμογής ως χρηματοοικονομικές οντότητες, συμπεριλαμβανομένων πιστωτικών ιδρυμάτων, ιδρυμάτων πληρωμών, παρόχων υπηρεσιών πληροφοριών λογαριασμού, ιδρυμάτων ηλεκτρονικού χρήματος, επιχειρήσεων επενδύσεων, παρόχων υπηρεσιών κρυπτοστοιχείων, τόπων διαπραγμάτευσης και παρόχων υπηρεσιών συμμετοχικής χρηματοδότησης. Δεύτερον, πάροχοι SaaS, υπηρεσιών νέφους, δεδομένων, λογισμικού και διαχειριζόμενων υπηρεσιών μπορεί να αντιμετωπίζονται από χρηματοοικονομικούς πελάτες ως τρίτοι πάροχοι υπηρεσιών ΤΠΕ, επειδή το DORA ορίζει ευρέως τις υπηρεσίες ΤΠΕ.

Το DORA Article 5 απαιτεί διακυβέρνηση και εσωτερικές δικλίδες ελέγχου για τη διαχείριση κινδύνων ΤΠΕ, με το όργανο διοίκησης να ορίζει, να εγκρίνει, να εποπτεύει και να παραμένει υπεύθυνο για τις ρυθμίσεις κινδύνων ΤΠΕ. Το Article 6 απαιτεί τεκμηριωμένο πλαίσιο διαχείρισης κινδύνων ΤΠΕ, συμπεριλαμβανομένων στρατηγικών, πολιτικών, διαδικασιών, πρωτοκόλλων ΤΠΕ και εργαλείων για την προστασία πληροφοριών και περιουσιακών στοιχείων ΤΠΕ. Το Article 17 απαιτεί διαδικασία διαχείρισης περιστατικών σχετιζόμενων με ΤΠΕ, η οποία καλύπτει ανίχνευση, διαχείριση, κοινοποίηση, καταγραφή, ανάλυση βασικής αιτίας, δείκτες έγκαιρης προειδοποίησης, ταξινόμηση, ρόλους, επικοινωνίες, κλιμάκωση και απόκριση. Το Article 19 απαιτεί την αναφορά μείζονων περιστατικών σχετιζόμενων με ΤΠΕ στις αρμόδιες αρχές.

Τα DORA Articles 28 και 30 καθιστούν τον κίνδυνο τρίτων παρόχων ΤΠΕ ρυθμιζόμενο τομέα ελέγχου. Οι χρηματοοικονομικές οντότητες παραμένουν υπεύθυνες για τη συμμόρφωση όταν χρησιμοποιούν υπηρεσίες ΤΠΕ. Χρειάζονται στρατηγική κινδύνου τρίτων, συμβατικά μητρώα, αξιολογήσεις κρισιμότητας, δέουσα επιμέλεια, ανασκόπηση κινδύνου συγκέντρωσης, δικαιώματα ελέγχου και επιθεώρησης, εναύσματα καταγγελίας, στρατηγικές εξόδου και συμβατικές προβλέψεις που καλύπτουν τοποθεσίες δεδομένων, διαθεσιμότητα, αυθεντικότητα, ακεραιότητα, εμπιστευτικότητα, υποστήριξη σε περιστατικά, ανάκαμψη, επίπεδα υπηρεσιών και συνεργασία με αρχές.

Για το Article 32, αυτό σημαίνει ότι οι προμηθευτές αποτελούν μέρος του φακέλου TOMs. Δεν μπορείτε να αποδείξετε την ασφάλεια της επεξεργασίας εάν οι κρίσιμοι εκτελούντες την επεξεργασία, οι πλατφόρμες νέφους, οι πάροχοι ανάλυσης, τα εργαλεία υποστήριξης και οι πάροχοι ΤΠΕ δεν ελέγχονται.

Πρακτική δημιουργία τεκμηρίων Article 32 σε μία εβδομάδα

Ένας ισχυρός φάκελος τεκμηρίων ξεκινά από ένα σαφές σενάριο κινδύνου.

Χρησιμοποιήστε αυτό το παράδειγμα: «Μη εξουσιοδοτημένη πρόσβαση σε δεδομένα προσωπικού χαρακτήρα πελατών στην εφαρμογή παραγωγής.»

Δημιουργήστε ή επικαιροποιήστε την καταχώριση κινδύνου. Συμπεριλάβετε περιγραφή, πιθανότητα, αντίκτυπο, βαθμολογία, ιδιοκτήτη και σχέδιο αντιμετώπισης. Αναθέστε την ιδιοκτησία στον Επικεφαλής Μηχανικής, στον Υπεύθυνο Ασφάλειας ή σε ισοδύναμο ρόλο λογοδοσίας. Βαθμολογήστε την πιθανότητα με βάση το μοντέλο πρόσβασης, την εκτεθειμένη επιφάνεια επίθεσης, τις γνωστές ευπάθειες και προηγούμενα περιστατικά. Βαθμολογήστε τον αντίκτυπο με βάση τον όγκο δεδομένων προσωπικού χαρακτήρα, την ευαισθησία, τις συμβάσεις πελατών, τις συνέπειες GDPR και τον πιθανό αντίκτυπο σε υπηρεσίες βάσει NIS2 ή DORA.

Επιλέξτε μέτρα αντιμετώπισης, όπως MFA για προνομιούχα πρόσβαση, Έλεγχος Πρόσβασης Βάσει Ρόλων (RBAC), τριμηνιαίες ανασκοπήσεις δικαιωμάτων πρόσβασης, κρυπτογράφηση σε αποθήκευση, TLS, σαρώσεις ευπαθειών, καταγραφή, ειδοποίηση, ασφαλή αντίγραφα ασφαλείας, διαδικασίες διαχείρισης περιστατικών και απόκρυψη δεδομένων σε περιβάλλοντα μη παραγωγικής λειτουργίας.

Στη συνέχεια, χαρτογραφήστε τον κίνδυνο στη SoA. Προσθέστε αναφορές ISO/IEC 27002:2022, όπως 5.34 Ιδιωτικότητα και Προστασία PII, 8.24 Χρήση Κρυπτογραφίας, 5.15 Έλεγχος Πρόσβασης, 5.18 Δικαιώματα πρόσβασης, 8.13 Αντίγραφα ασφαλείας πληροφοριών, 8.15 Καταγραφή, 8.16 Δραστηριότητες παρακολούθησης, 8.8 Διαχείριση Τεχνικών Ευπαθειών, 8.25 Ασφαλής Κύκλος Ζωής Ανάπτυξης και 8.10 Διαγραφή πληροφοριών όπου εφαρμόζεται. Προσθέστε σημειώσεις που δείχνουν πώς οι δικλίδες αυτές υποστηρίζουν το GDPR Article 32, το NIS2 Article 21 και τη διαχείριση κινδύνων ΤΠΕ του DORA όπου είναι σχετικό.

Για την κανονιστική χαρτογράφηση, διατηρήστε ακριβή τα ονόματα των δικλίδων ελέγχου και αποφύγετε την επιβολή ψευδούς ισοδυναμίας.

Τώρα δημιουργήστε τον φάκελο τεκμηρίων. Η Πολιτική Ελέγχου και Παρακολούθησης Συμμόρφωσης για ΜΜΕ της Clarysec δίνει έναν απλό κανόνα:

«Όλα τα τεκμήρια πρέπει να αποθηκεύονται σε κεντρικό φάκελο ελέγχου.»

Πηγή: Πολιτική Ελέγχου και Παρακολούθησης Συμμόρφωσης για ΜΜΕ, Απαιτήσεις εφαρμογής της πολιτικής, ρήτρα πολιτικής 6.2.1. Πολιτική Ελέγχου και Παρακολούθησης Συμμόρφωσης - ΜΜΕ

Για αυτό το ένα σενάριο κινδύνου, ο φάκελος πρέπει να περιέχει:

Τα τεκμήρια πρόσβασης δεν πρέπει να σταματούν σε στιγμιότυπα οθόνης. Η Πολιτική Ελέγχου Πρόσβασης για ΜΜΕ προσθέτει μια χρήσιμη επιχειρησιακή απαίτηση:

«Ο Υπεύθυνος Πληροφορικής πρέπει να τεκμηριώνει τα αποτελέσματα ανασκόπησης και τις διορθωτικές ενέργειες.»

Πηγή: Πολιτική Ελέγχου Πρόσβασης για ΜΜΕ, Απαιτήσεις διακυβέρνησης, ρήτρα πολιτικής 5.5.3. Πολιτική Ελέγχου Πρόσβασης - ΜΜΕ

Τα τεκμήρια αντιγράφων ασφαλείας πρέπει να αποδεικνύουν τη δυνατότητα ανάκτησης και όχι μόνο την επιτυχή εκτέλεση εργασιών. Η Πολιτική Αντιγράφων Ασφαλείας και Αποκατάστασης για ΜΜΕ αναφέρει:

«Οι δοκιμές επαναφοράς διενεργούνται τουλάχιστον ανά τρίμηνο και τα αποτελέσματα τεκμηριώνονται για την επαλήθευση της δυνατότητας ανάκτησης»

Πηγή: Πολιτική Αντιγράφων Ασφαλείας και Αποκατάστασης για ΜΜΕ, Απαιτήσεις διακυβέρνησης, ρήτρα πολιτικής 5.3.3. Πολιτική Αντιγράφων Ασφαλείας και Αποκατάστασης - ΜΜΕ

Έτσι δημιουργείται ένας πλήρης κύκλος τεκμηρίων: ο κανονισμός δημιουργεί την απαίτηση, ο κίνδυνος εξηγεί γιατί έχει σημασία, η SoA επιλέγει τη δικλίδα ελέγχου, η πολιτική ορίζει τη λειτουργία και τα διατηρούμενα τεκμήρια αποδεικνύουν ότι η δικλίδα λειτουργεί.

Δικλίδες ελέγχου στην πράξη: μετατροπή της πολιτικής σε λειτουργικό αποδεικτικό

Η φάση Δικλίδες ελέγχου στην πράξη του Zenith Blueprint, Βήμα 19, εστιάζει στην τεχνική επαλήθευση. Συνιστά την ανασκόπηση της συμμόρφωσης ασφάλειας τερματικών σημείων, της διαχείρισης ταυτοτήτων και πρόσβασης, των ρυθμίσεων αυθεντικοποίησης, της ασφάλειας ελέγχου εκδόσεων πηγαίου κώδικα, της χωρητικότητας και διαθεσιμότητας, της διαχείρισης ευπαθειών και διορθώσεων, των ασφαλών βασικών γραμμών, της προστασίας από κακόβουλο λογισμικό, της διαγραφής και ελαχιστοποίησης δεδομένων, της απόκρυψης και των δεδομένων δοκιμών, του DLP, των αντιγράφων ασφαλείας και αποκατάστασης, του πλεονασμού, της καταγραφής και παρακολούθησης και του συγχρονισμού χρόνου.

Για τα TOMs του GDPR Article 32, το Βήμα 19 είναι το σημείο όπου η αφηρημένη γλώσσα δικλίδων ελέγχου μετατρέπεται σε αποδεικτικά στοιχεία. Ένας ισχυρός φάκελος τεκμηρίων πρέπει να δείχνει ότι:

• Η κρυπτογράφηση τερματικών σημείων είναι ενεργοποιημένη και παρακολουθείται.
• Οι προνομιούχοι χρήστες διαθέτουν MFA.
• Οι διαδικασίες εισερχομένων, μετακινούμενων και αποχωρούντων χρηστών συμφωνούν με τα αρχεία HR.
• Οι λογαριασμοί υπηρεσίας είναι τεκμηριωμένοι και περιορισμένοι.
• Τα αποθετήρια κώδικα έχουν έλεγχο πρόσβασης και διενεργείται σάρωση μυστικών.
• Οι σαρώσεις ευπαθειών διενεργούνται και παρακολουθούνται έως την αποκατάσταση.
• Τα δεδομένα παραγωγής δεν αντιγράφονται ανεξέλεγκτα σε περιβάλλοντα δοκιμών.
• Εφαρμόζονται πολιτικές ασφαλούς διαγραφής και διατήρησης.
• Οι ειδοποιήσεις DLP ανασκοπούνται.
• Οι δοκιμές επαναφοράς αντιγράφων ασφαλείας αποδεικνύουν τη δυνατότητα ανάκτησης.
• Τα αρχεία καταγραφής κεντρικοποιούνται, διατηρούνται και είναι ανασκοπήσιμα.
• Ο συγχρονισμός χρόνου υποστηρίζει αξιόπιστη διερεύνηση περιστατικών.

Το κρίσιμο στοιχείο είναι η διασύνδεση. Μια αναφορά διορθώσεων χωρίς αναφορά σε κίνδυνο, πολιτική και SoA είναι τεχνικό τεκμήριο πληροφορικής. Μια αναφορά διορθώσεων συνδεδεμένη με το GDPR Article 32, το NIS2 Article 21, τη διαχείριση κινδύνων ΤΠΕ του DORA και ένα σχέδιο αντιμετώπισης κινδύνων του ISO 27001:2022 είναι τεκμήριο με ετοιμότητα ελέγχου.

Ένας φάκελος τεκμηρίων, πολλαπτικές οπτικές ελέγχου

Τα ίδια τεκμήρια TOMs θα διαβαστούν διαφορετικά από διαφορετικά ενδιαφερόμενα μέρη. Ένας ανασκοπητής ιδιωτικότητας μπορεί να εστιάσει στα δεδομένα προσωπικού χαρακτήρα, την αναγκαιότητα, την αναλογικότητα και τη λογοδοσία. Ένας ελεγκτής ISO 27001 μπορεί να εστιάσει στο πεδίο εφαρμογής, στην αντιμετώπιση κινδύνων, στη SoA και στα τεκμήρια λειτουργίας. Μια αρχή NIS2 μπορεί να εστιάσει στην εποπτεία από τη διοίκηση, στα μέτρα του Article 21 και στην ετοιμότητα αναφοράς του Article 23. Ένας επόπτης DORA ή χρηματοοικονομικός πελάτης μπορεί να εστιάσει στη διακυβέρνηση κινδύνων ΤΠΕ, στις δοκιμές ανθεκτικότητας και στις εξαρτήσεις από τρίτους.

Η Clarysec χρησιμοποιεί το Zenith Controls ως οδηγό διασταυρούμενης συμμόρφωσης για αυτή τη μετάφραση.

Αυτό αποτρέπει τη διπλή εργασία συμμόρφωσης. Αντί να δημιουργείτε ξεχωριστά πακέτα τεκμηρίων για GDPR, NIS2 και DORA, δημιουργήστε έναν ενιαίο φάκελο τεκμηρίων δικλίδων ελέγχου και επισημάνετε κάθε στοιχείο με τις υποχρεώσεις που υποστηρίζει.

Συνήθη κενά στα προγράμματα TOMs του Article 32

Το συνηθέστερο κενό είναι οι ορφανές δικλίδες ελέγχου. Μια εταιρεία διαθέτει μια δικλίδα, όπως κρυπτογράφηση, αλλά δεν μπορεί να εξηγήσει ποιον κίνδυνο αντιμετωπίζει, ποια πολιτική την απαιτεί, ποιος την κατέχει ή πώς ανασκοπείται.

Το δεύτερο κενό είναι τα αδύναμα τεκμήρια προμηθευτών. Στο GDPR, οι εκτελούντες την επεξεργασία και οι υπεργολάβοι επεξεργασίας έχουν σημασία. Στο NIS2, η ασφάλεια εφοδιαστικής αλυσίδας αποτελεί μέρος της διαχείρισης κινδύνων κυβερνοασφάλειας. Στο DORA, ο κίνδυνος τρίτων παρόχων ΤΠΕ είναι ρυθμιζόμενος τομέας με μητρώα, δέουσα επιμέλεια, συμβατικές δικλίδες ασφάλειας, δικαιώματα ελέγχου και σχεδιασμό εξόδου. Ένα υπολογιστικό φύλλο προμηθευτών δεν αρκεί αν οι κρίσιμες εξαρτήσεις δεν αξιολογούνται ως προς τον κίνδυνο και δεν ελέγχονται.

Το τρίτο κενό είναι τα τεκμήρια περιστατικών. Οι οργανισμοί συχνά διαθέτουν Σχέδιο Διαχείρισης Περιστατικών, αλλά όχι απόδειξη ότι έχουν δοκιμαστεί η ταξινόμηση, η κλιμάκωση, η αναφορά σε αρχές και η επικοινωνία με πελάτες. Το NIS2 και το DORA αυξάνουν τις προσδοκίες εδώ, και η αξιολόγηση παραβίασης δεδομένων προσωπικού χαρακτήρα βάσει GDPR πρέπει να ενσωματώνεται στην ίδια ροή εργασίας.

Το τέταρτο κενό είναι η απόδειξη αντιγράφων ασφαλείας. Μια επιτυχημένη εργασία αντιγράφου ασφαλείας δεν αποδεικνύει τη δυνατότητα ανάκτησης. Μια τεκμηριωμένη δοκιμή επαναφοράς την αποδεικνύει.

Το πέμπτο κενό είναι η ανασκόπηση από τη διοίκηση. Τα TOMs του Article 32 πρέπει να είναι αναλογικά προς τον κίνδυνο. Αν η διοίκηση δεν ανασκοπεί ποτέ κινδύνους, περιστατικά, ζητήματα προμηθευτών, προϋπολογισμό, ευρήματα ελέγχου και υπολειπόμενο κίνδυνο, η αναλογικότητα γίνεται δύσκολο να αποδειχθεί.

Το τελικό πακέτο με ετοιμότητα ελέγχου

Η φάση Έλεγχος, Ανασκόπηση και Βελτίωση του Zenith Blueprint, Βήμα 30, παρέχει την τελική λίστα ελέγχου ετοιμότητας. Περιλαμβάνει το πεδίο εφαρμογής και το πλαίσιο του ISMS, την υπογεγραμμένη Πολιτική Ασφάλειας Πληροφοριών, έγγραφα αξιολόγησης και αντιμετώπισης κινδύνων, SoA, πολιτικές και διαδικασίες του Παραρτήματος A, αρχεία εκπαίδευσης, επιχειρησιακά αρχεία, αναφορά εσωτερικού ελέγχου, αρχείο διορθωτικών ενεργειών, πρακτικά ανασκόπησης από τη διοίκηση, τεκμήρια συνεχούς βελτίωσης και αρχεία υποχρεώσεων συμμόρφωσης.

Η εταιρική Πολιτική Ελέγχου και Παρακολούθησης Συμμόρφωσης της Clarysec διατυπώνει τον σκοπό αυτής της πειθαρχίας:

«Να δημιουργούνται τεκμηριώσιμα τεκμήρια και διαδρομή ελέγχου προς υποστήριξη κανονιστικών αιτημάτων, δικαστικών διαδικασιών ή αιτημάτων διασφάλισης πελατών.»

Πηγή: Πολιτική Ελέγχου και Παρακολούθησης Συμμόρφωσης, Στόχοι, ρήτρα πολιτικής 3.4. Πολιτική Ελέγχου και Παρακολούθησης Συμμόρφωσης

Ένας ώριμος φάκελος τεκμηρίων TOMs για το Article 32 πρέπει να περιλαμβάνει:

Επόμενα βήματα: δημιουργήστε τεκμήρια TOMs για το Article 32 με την Clarysec

Αν πρέπει να αποδείξετε τεχνικά και οργανωτικά μέτρα του GDPR Article 32, μην ξεκινήσετε συλλέγοντας τυχαία στιγμιότυπα οθόνης. Ξεκινήστε με την ιχνηλασιμότητα.

1. Ορίστε το πεδίο εφαρμογής του ISMS και τα όρια επεξεργασίας δεδομένων προσωπικού χαρακτήρα.
2. Προσδιορίστε απαιτήσεις GDPR, NIS2, DORA, συμβατικές και πελατειακές απαιτήσεις.
3. Δημιουργήστε κριτήρια κινδύνου χρησιμοποιώντας το ISO/IEC 27005:2022 και τη διάθεση ανάληψης κινδύνου που έχει εγκριθεί από τη διοίκηση.
4. Δημιουργήστε ή επικαιροποιήστε το Μητρώο Κινδύνων.
5. Χαρτογραφήστε κάθε μέτρο αντιμετώπισης σε δικλίδες ελέγχου ISO 27001:2022 και στη SoA.
6. Χρησιμοποιήστε το Zenith Controls για να διασταυρώσετε δικλίδες ιδιωτικότητας, κρυπτογραφίας, προμηθευτών, περιστατικών και ανεξάρτητης ανασκόπησης σε όλες τις προσδοκίες συμμόρφωσης.
7. Ακολουθήστε το Zenith Blueprint Βήμα 13 και Βήμα 14 για να συνδέσετε κινδύνους, δικλίδες ελέγχου και κανονιστικές υποχρεώσεις.
8. Χρησιμοποιήστε το Zenith Blueprint Βήμα 19 για να επαληθεύσετε τις τεχνικές δικλίδες ελέγχου σε λειτουργία.
9. Χρησιμοποιήστε το Zenith Blueprint Βήμα 30 για να συγκροτήσετε τον τελικό φάκελο τεκμηρίων με ετοιμότητα ελέγχου.
10. Αποθηκεύστε όλα τα τεκμήρια κεντρικά, επισημάνετέ τα ανά κίνδυνο και θεματική δικλίδων ελέγχου και διατηρήστε ορατές τις διορθωτικές ενέργειες.

Η Clarysec μπορεί να σας βοηθήσει να μετατρέψετε το GDPR Article 32 από ασαφή υποχρέωση συμμόρφωσης σε τεκμηριώσιμο σύστημα τεκμηρίων βάσει κινδύνου, ευθυγραμμισμένο με ISO 27001:2022, NIS2 και DORA.

Ξεκινήστε με το Zenith Blueprint, ενισχύστε το με τις πολιτικές της Clarysec και χρησιμοποιήστε το Zenith Controls ώστε κάθε TOM να είναι ιχνηλάσιμο, δοκιμάσιμο και έτοιμο για έλεγχο.