ISO 27001 SoA για ετοιμότητα έναντι NIS2 και DORA

Είναι 08:30 ένα πρωινό Δευτέρας και η Elena, CISO ενός ταχέως αναπτυσσόμενου παρόχου B2B FinTech SaaS, ανοίγει ένα επείγον αίτημα του Διοικητικού Συμβουλίου. Η εταιρεία μόλις απέκτησε πιστοποίηση ISO/IEC 27001:2022, όμως ένας σημαντικός υποψήφιος τραπεζικός πελάτης στην ΕΕ θέτει δυσκολότερα ερωτήματα από το συνηθισμένο ερωτηματολόγιο ασφάλειας.

Δεν ρωτά μόνο αν η εταιρεία κρυπτογραφεί δεδομένα, χρησιμοποιεί MFA ή διαθέτει αναφορά δοκιμών διείσδυσης. Θέλει να γνωρίζει αν η πλατφόρμα SaaS υποστηρίζει τις υποχρεώσεις του βάσει DORA, αν ο πάροχος μπορεί να εμπίπτει στο πεδίο εφαρμογής του NIS2 ως υπηρεσία ΤΠΕ ή ως εξάρτηση ψηφιακής υποδομής, και αν η Δήλωση Εφαρμοσιμότητας ISO 27001 μπορεί να αιτιολογήσει κάθε ενταγμένη δικλίδα ελέγχου, κάθε εξαιρούμενη δικλίδα ελέγχου και κάθε τεκμήριο.

Το Διοικητικό Συμβούλιο θέτει το ερώτημα που ακούνε όλο και συχνότερα κάθε CISO, Διευθυντής Συμμόρφωσης και ιδρυτής SaaS:

Μπορεί το ISO 27001 SoA μας να αποδείξει ετοιμότητα έναντι NIS2 και DORA;

Η Elena γνωρίζει ότι η λανθασμένη απάντηση θα ήταν να ξεκινήσει τρία ξεχωριστά προγράμματα συμμόρφωσης: ένα για ISO 27001, ένα για NIS2 και ένα για DORA. Αυτό θα δημιουργούσε διπλά τεκμήρια, αντικρουόμενους ιδιοκτήτες δικλίδων ελέγχου και συνεχή πίεση πριν από κάθε αξιολόγηση πελάτη. Η καλύτερη απάντηση είναι να χρησιμοποιηθεί το υφιστάμενο ISMS ως λειτουργικό σύστημα συμμόρφωσης, με τη Δήλωση Εφαρμοσιμότητας, ή SoA, ως κύριο έγγραφο ιχνηλασιμότητας.

Το SoA δεν είναι απλώς ένα υπολογιστικό φύλλο για την πιστοποίηση ISO. Σε ένα ευρωπαϊκό περιβάλλον κυβερνοασφάλειας και ψηφιακής επιχειρησιακής ανθεκτικότητας, είναι το σημείο όπου ένας οργανισμός αποδεικνύει γιατί υπάρχουν οι δικλίδες ελέγχου, γιατί οι εξαιρέσεις είναι τεκμηριωμένες, ποιος έχει την ευθύνη κάθε δικλίδας, ποια τεκμήρια υποστηρίζουν την υλοποίηση και πώς το σύνολο δικλίδων καλύπτει NIS2, DORA, GDPR, συμβάσεις πελατών και εσωτερική αντιμετώπιση κινδύνων.

Η enterprise Πολιτική Ασφάλειας Πληροφοριών της Clarysec Πολιτική Ασφάλειας Πληροφοριών αναφέρει:

Το ISMS πρέπει να περιλαμβάνει καθορισμένα όρια πεδίου εφαρμογής, μεθοδολογία εκτίμησης κινδύνου, μετρήσιμους στόχους και τεκμηριωμένες δικλίδες ελέγχου που αιτιολογούνται στη Δήλωση Εφαρμοσιμότητας (SoA).

Η απαίτηση αυτή, από τη ρήτρα πολιτικής 6.1.2 της Πολιτικής Ασφάλειας Πληροφοριών, αποτελεί τη βάση για μια προσέγγιση έτοιμη για έλεγχο. Το SoA πρέπει να γίνει η γέφυρα μεταξύ υποχρεώσεων, κινδύνων, δικλίδων ελέγχου, τεκμηρίων και αποφάσεων της διοίκησης.

Γιατί το NIS2 και το DORA άλλαξαν την έννοια του «εφαρμόσιμου»

Ένα παραδοσιακό ISO/IEC 27001:2022 SoA συχνά ξεκινά με ένα απλό ερώτημα: «Ποιες δικλίδες ελέγχου του Παραρτήματος A εφαρμόζονται στο Σχέδιο Αντιμετώπισης Κινδύνων μας;» Αυτό εξακολουθεί να είναι σωστό, αλλά δεν αρκεί πλέον για παρόχους SaaS, υπηρεσιών νέφους, διαχειριζόμενων υπηρεσιών, fintech, χρηματοοικονομικής τεχνολογίας και κρίσιμης εφοδιαστικής αλυσίδας.

Το NIS2 ανεβάζει το ελάχιστο επίπεδο διαχείρισης κινδύνων κυβερνοασφάλειας για βασικές και σημαντικές οντότητες στην ΕΕ. Καλύπτει τομείς όπως ψηφιακή υποδομή, παρόχους υπηρεσιών υπολογιστικού νέφους, παρόχους υπηρεσιών κέντρων δεδομένων, δίκτυα διανομής περιεχομένου, παρόχους διαχειριζόμενων υπηρεσιών, παρόχους διαχειριζόμενων υπηρεσιών ασφάλειας, τραπεζικές υπηρεσίες και υποδομές χρηματοπιστωτικών αγορών. Τα κράτη μέλη πρέπει να προσδιορίζουν βασικές και σημαντικές οντότητες και παρόχους υπηρεσιών καταχώρισης ονομάτων domain, ενώ πολλοί πάροχοι τεχνολογίας που προηγουμένως αντιμετώπιζαν τη ρύθμιση της κυβερνοασφάλειας ως ζήτημα πελάτη βρίσκονται πλέον είτε άμεσα εντός πεδίου εφαρμογής είτε εκτίθενται μέσω συμβατικών απαιτήσεων μετακύλισης.

Το NIS2 Article 21 απαιτεί κατάλληλα και αναλογικά τεχνικά, επιχειρησιακά και οργανωτικά μέτρα για ανάλυση κινδύνου, πολιτικές ασφάλειας, χειρισμό περιστατικών, επιχειρησιακή συνέχεια, ασφάλεια εφοδιαστικής αλυσίδας, ασφαλή προμήθεια και ανάπτυξη, αξιολόγηση αποτελεσματικότητας δικλίδων ελέγχου, κυβερνοϋγιεινή, εκπαίδευση, κρυπτογραφία, ασφάλεια ανθρώπινου δυναμικού, έλεγχο πρόσβασης, διαχείριση περιουσιακών στοιχείων και αυθεντικοποίηση όπου απαιτείται. Το NIS2 Article 23 προσθέτει προσδοκίες σταδιακής αναφοράς περιστατικών, συμπεριλαμβανομένης έγκαιρης προειδοποίησης, γνωστοποίησης, ενημερώσεων και τελικής αναφοράς για σημαντικά περιστατικά.

Το DORA, ο Digital Operational Resilience Act, εφαρμόζεται από τις 17 Ιανουαρίου 2025 και εστιάζει στις χρηματοοικονομικές οντότητες και στο οικοσύστημα κινδύνων ΤΠΕ τους. Καλύπτει τη διαχείριση κινδύνων ΤΠΕ, την αναφορά περιστατικών που σχετίζονται με ΤΠΕ, την αναφορά λειτουργικών περιστατικών ή περιστατικών ασφάλειας πληρωμών για ορισμένες οντότητες, τις δοκιμές ψηφιακής επιχειρησιακής ανθεκτικότητας, την ανταλλαγή πληροφοριών για κυβερνοαπειλές, τη διαχείριση κινδύνων ΤΠΕ τρίτων μερών, τις συμβατικές ρυθμίσεις και την εποπτεία κρίσιμων τρίτων παρόχων υπηρεσιών ΤΠΕ.

Για χρηματοοικονομικές οντότητες που είναι επίσης βασικές ή σημαντικές οντότητες βάσει NIS2, το DORA λειτουργεί ως τομεακό καθεστώς για ισοδύναμες υποχρεώσεις διαχείρισης κινδύνων ΤΠΕ και αναφοράς περιστατικών. Για παρόχους SaaS, παρόχους υπηρεσιών νέφους, MSPs και παρόχους MDR που εξυπηρετούν χρηματοοικονομικούς πελάτες, όμως, η πρακτική πραγματικότητα είναι ότι οι προσδοκίες DORA μεταφέρονται μέσω προμηθειών, συμβάσεων, δικαιωμάτων ελέγχου, υποχρεώσεων υποστήριξης περιστατικών, σχεδιασμού εξόδου, διαφάνειας υπεργολάβων και τεκμηρίων ανθεκτικότητας.

Αυτό αλλάζει τη συζήτηση για το SoA. Το ερώτημα δεν είναι πλέον: «Περιλαμβάνει το Παράρτημα A αυτή τη δικλίδα ελέγχου;» Το ορθότερο ερώτημα είναι:

Μπορούμε να αποδείξουμε ότι η επιλογή δικλίδων ελέγχου βασίζεται στον κίνδυνο, λαμβάνει υπόψη τις υποχρεώσεις, είναι αναλογική, έχει ιδιοκτήτη, έχει υλοποιηθεί, παρακολουθείται, τεκμηριώνεται και έχει εγκριθεί;

Το ISO 27001 είναι ο καθολικός μεταφραστής για NIS2 και DORA

Το ISO/IEC 27001:2022 έχει αξία επειδή είναι πρότυπο συστήματος διαχείρισης και όχι στενός κατάλογος ελέγχου. Απαιτεί το ISMS να ενσωματώνεται στις οργανωτικές διαδικασίες και να κλιμακώνεται σύμφωνα με τις ανάγκες του οργανισμού. Αυτό το καθιστά αποτελεσματικό καθολικό μεταφραστή για επικαλυπτόμενες απαιτήσεις συμμόρφωσης.

Οι ρήτρες 4.1 έως 4.4 απαιτούν από τον οργανισμό να κατανοεί το πλαίσιό του, να προσδιορίζει τα ενδιαφερόμενα μέρη, να καθορίζει τις σχετικές απαιτήσεις και να ορίζει το πεδίο εφαρμογής του ISMS. Για έναν πάροχο FinTech SaaS όπως η εταιρεία της Elena, οι απαιτήσεις των ενδιαφερόμενων μερών μπορεί να περιλαμβάνουν πελάτες της ΕΕ, χρηματοοικονομικούς πελάτες που επηρεάζονται από το DORA, έκθεση σε τομείς NIS2, υποχρεώσεις υπευθύνου επεξεργασίας και εκτελούντος την επεξεργασία βάσει GDPR, εξαρτήσεις από εξωτερικά ανατεθειμένες υπηρεσίες νέφους, διεπαφές προμηθευτών και προσδοκίες του Διοικητικού Συμβουλίου.

Οι ρήτρες 6.1.1 έως 6.1.3 απαιτούν σχεδιασμό για κινδύνους και ευκαιρίες, επαναλήψιμη διαδικασία αξιολόγησης κινδύνου ασφάλειας πληροφοριών, διαδικασία αντιμετώπισης κινδύνων, σύγκριση με το Παράρτημα A και Δήλωση Εφαρμοσιμότητας που προσδιορίζει τις ενταγμένες δικλίδες ελέγχου, την κατάσταση υλοποίησης και τις αιτιολογήσεις εξαιρέσεων.

Εδώ το SoA γίνεται αρχείο αποφάσεων για τις δικλίδες ελέγχου. Μια δικλίδα ελέγχου μπορεί να ενταχθεί επειδή αντιμετωπίζει έναν κίνδυνο, ικανοποιεί νομική απαίτηση, εκπληρώνει σύμβαση πελάτη, υποστηρίζει επιχειρησιακό στόχο ή αντιπροσωπεύει βασική υγιεινή ασφάλειας. Μια δικλίδα ελέγχου μπορεί να εξαιρεθεί μόνο αφού ο οργανισμός την αξιολογήσει συνειδητά, κρίνει ότι δεν σχετίζεται με το πεδίο εφαρμογής του ISMS, τεκμηριώσει την αιτιολόγηση και λάβει την κατάλληλη έγκριση.

Η enterprise Πολιτική Διαχείρισης Κινδύνων της Clarysec Πολιτική Διαχείρισης Κινδύνων αναφέρει:

Η Δήλωση Εφαρμοσιμότητας (SoA) πρέπει να αποτυπώνει όλες τις αποφάσεις αντιμετώπισης κινδύνων και να επικαιροποιείται κάθε φορά που τροποποιείται η κάλυψη δικλίδων ελέγχου.

Η απαίτηση αυτή, από τη ρήτρα πολιτικής 5.4 της Πολιτικής Διαχείρισης Κινδύνων, είναι κρίσιμη για ετοιμότητα έναντι NIS2 και DORA. Ένας νέος ρυθμιζόμενος πελάτης, μια νέα εξάρτηση από υπηρεσία νέφους, μια νέα υποχρέωση αναφοράς περιστατικών ή ένας νέος κίνδυνος συγκέντρωσης προμηθευτή μπορούν να αλλάξουν την εφαρμοσιμότητα δικλίδων ελέγχου.

Ξεκινήστε από το Μητρώο Συμμόρφωσης, όχι από τον κατάλογο δικλίδων ελέγχου

Ένα αδύναμο SoA ξεκινά από το Παράρτημα A και ρωτά: «Ποιες δικλίδες ελέγχου έχουμε ήδη;» Ένα ισχυρό SoA ξεκινά από την επιχειρησιακή πραγματικότητα του οργανισμού και ρωτά: «Ποιες υποχρεώσεις, υπηρεσίες, κίνδυνοι, δεδομένα, προμηθευτές και πελάτες πρέπει να καλύπτει το ISMS;»

Το ISO/IEC 27005:2022 υποστηρίζει αυτή την προσέγγιση δίνοντας έμφαση στις απαιτήσεις των ενδιαφερόμενων μερών, στα κριτήρια κινδύνου και στην ανάγκη να λαμβάνονται υπόψη πρότυπα, εσωτερικοί κανόνες, νόμοι, κανονισμοί, συμβάσεις και υφιστάμενες δικλίδες ελέγχου. Τονίζει επίσης ότι η μη εφαρμοσιμότητα ή η μη συμμόρφωση πρέπει να εξηγείται και να αιτιολογείται.

Η SME Πολιτική Νομικής και Κανονιστικής Συμμόρφωσης-sme της Clarysec Πολιτική Νομικής και Κανονιστικής Συμμόρφωσης-sme - SME αποτυπώνει την ίδια επιχειρησιακή αρχή:

Ο Γενικός Διευθυντής πρέπει να τηρεί ένα απλό, δομημένο Μητρώο Συμμόρφωσης στο οποίο καταγράφονται:

Η απαίτηση αυτή προέρχεται από τη ρήτρα 5.1.1 της Πολιτικής Νομικής και Κανονιστικής Συμμόρφωσης-sme. Για έναν μικρότερο οργανισμό, το μητρώο μπορεί να είναι απλό. Για μια επιχείρηση, πρέπει να είναι πιο λεπτομερές. Η λογική είναι ίδια: οι υποχρεώσεις πρέπει να είναι ορατές πριν χαρτογραφηθούν.

Η enterprise Πολιτική Νομικής και Κανονιστικής Συμμόρφωσης της Clarysec Πολιτική Νομικής και Κανονιστικής Συμμόρφωσης είναι σαφής:

Όλες οι νομικές και κανονιστικές υποχρεώσεις πρέπει να χαρτογραφούνται σε συγκεκριμένες πολιτικές, δικλίδες ελέγχου και ιδιοκτήτες εντός του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών (ISMS).

Αυτή είναι η ρήτρα πολιτικής 6.2.1 της Πολιτικής Νομικής και Κανονιστικής Συμμόρφωσης. Αποτελεί τη ραχοκοκαλιά διακυβέρνησης για τη χρήση Δήλωσης Εφαρμοσιμότητας ISO 27001 ως μέσου ετοιμότητας συμμόρφωσης με NIS2 και DORA.

Δημιουργήστε κριτήρια κινδύνου που αποτυπώνουν ανθεκτικότητα, ιδιωτικότητα, προμηθευτές και κανονιστικές υποχρεώσεις

Πολλές αιτιολογήσεις SoA αποτυγχάνουν επειδή το μοντέλο βαθμολόγησης κινδύνου είναι υπερβολικά στενό. Μετρά τεχνική πιθανότητα και αντίκτυπο, αλλά δεν αποτυπώνει κανονιστική έκθεση, κρισιμότητα υπηρεσίας, ζημία πελάτη, εξάρτηση από προμηθευτή, αντίκτυπο στην ιδιωτικότητα ή συστημική λειτουργική διαταραχή.

Το NIS2 δεν αφορά μόνο την εμπιστευτικότητα. Εστιάζει στην πρόληψη και ελαχιστοποίηση του αντικτύπου περιστατικών στις υπηρεσίες και στους αποδέκτες υπηρεσιών. Το DORA ορίζει κρίσιμες ή σημαντικές λειτουργίες βάσει του αν μια διακοπή θα έβλαπτε ουσιωδώς τη χρηματοοικονομική απόδοση, τη συνέχεια υπηρεσιών ή την κανονιστική συμμόρφωση. Το GDPR προσθέτει λογοδοσία, ακεραιότητα, εμπιστευτικότητα, ετοιμότητα για παραβίαση και βλάβη υποκειμένων δεδομένων.

Η SME Πολιτική Διαχείρισης Κινδύνων-sme της Clarysec Πολιτική Διαχείρισης Κινδύνων-sme - SME δίνει ένα πρακτικό ελάχιστο:

Κάθε καταχώριση κινδύνου πρέπει να περιλαμβάνει: περιγραφή, πιθανότητα, αντίκτυπο, βαθμολογία, ιδιοκτήτη και σχέδιο αντιμετώπισης.

Αυτή είναι η ρήτρα 5.1.2 της Πολιτικής Διαχείρισης Κινδύνων-sme. Για ετοιμότητα έναντι NIS2 και DORA, η Clarysec επεκτείνει αυτό το ελάχιστο με πεδία όπως πηγή υποχρέωσης, επηρεαζόμενη υπηρεσία, κατηγορία δεδομένων, εξάρτηση από προμηθευτή, επιχειρησιακός ιδιοκτήτης, κανονιστικός αντίκτυπος, υπολειπόμενος κίνδυνος, κατάσταση αντιμετώπισης και πηγή τεκμηρίων.

Προσέξτε τη διατύπωση. Μια ισχυρή αιτιολόγηση δεν λέει απλώς «υλοποιήθηκε». Εξηγεί γιατί η δικλίδα ελέγχου είναι εφαρμόσιμη στο επιχειρησιακό, κανονιστικό και κινδυνοκεντρικό πλαίσιο του οργανισμού.

Χαρτογραφήστε τους τομείς NIS2 και DORA σε δικλίδες ελέγχου ISO 27001:2022

Αφού καθοριστούν το Μητρώο Συμμόρφωσης και τα κριτήρια κινδύνου, η πρακτική εργασία είναι η χαρτογράφηση κανονιστικών τομέων σε δικλίδες ελέγχου του Παραρτήματος A. Η χαρτογράφηση αυτή δεν αποδεικνύει από μόνη της συμμόρφωση, αλλά παρέχει σε ελεγκτές και πελάτες σαφές ευρετήριο για τη δοκιμή τεκμηρίων.

Για την Elena, αυτή η χαρτογράφηση άλλαξε τη συζήτηση με το Διοικητικό Συμβούλιο. Αντί να παρουσιάσει το NIS2 και το DORA ως ξεχωριστά έργα, μπορούσε να δείξει την επικάλυψη: διακυβέρνηση, διαχείριση κινδύνων, περιστατικά, συνέχεια, προμηθευτές, δοκιμές, έλεγχος πρόσβασης και κρυπτογραφία.

Οι τρεις δικλίδες ελέγχου ISO από τις οποίες εξαρτάται κάθε SoA για NIS2 και DORA

Στο Zenith Controls: The Cross-Compliance Guide Zenith Controls, η Clarysec αντιμετωπίζει τρεις δικλίδες ελέγχου ISO/IEC 27002:2022 ως κεντρικές για διακυβέρνηση SoA έτοιμη για έλεγχο για NIS2 και DORA. Πρόκειται για δικλίδες ISO, εμπλουτισμένες με χαρακτηριστικά διασταυρούμενης συμμόρφωσης στον οδηγό Zenith Controls.

Οι δικλίδες αυτές δεν είναι απομονωμένες. Συνδέονται άμεσα με τις δικλίδες σχέσεων με προμηθευτές A.5.19 έως A.5.23, τις δικλίδες διαχείρισης περιστατικών A.5.24 έως A.5.28, τις δικλίδες συνέχειας A.5.29 και A.5.30, τη δικλίδα ιδιωτικότητας A.5.34, τη διαχείριση ευπαθειών A.8.8, τη διαχείριση ρυθμίσεων A.8.9, τα αντίγραφα ασφαλείας πληροφοριών A.8.13, την καταγραφή A.8.15, τις δραστηριότητες παρακολούθησης A.8.16, την κρυπτογραφία A.8.24, τις δικλίδες ασφαλούς ανάπτυξης A.8.25 έως A.8.29 και τη διαχείριση αλλαγών A.8.32.

Η αξία του Zenith Controls είναι ότι βοηθά τις ομάδες να αποφεύγουν την αντιμετώπιση του SoA ως τεχνουργήματος ενός μόνο προτύπου. Η δικλίδα 5.31 υποστηρίζει τη νομική και συμβατική χαρτογράφηση. Η δικλίδα 5.35 υποστηρίζει τον εσωτερικό έλεγχο, την ανεξάρτητη ανασκόπηση και τη διασφάλιση της διοίκησης. Η δικλίδα 5.36 υποστηρίζει την επιχειρησιακή συμμόρφωση με πολιτικές, διαδικασίες, πρότυπα και απαιτήσεις δικλίδων ελέγχου.

Χρησιμοποιήστε το Zenith Blueprint για να δημιουργήσετε, να δοκιμάσετε και να υποστηρίξετε το SoA

Στο Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint, η Clarysec τοποθετεί τη δημιουργία του SoA στη φάση Διαχείρισης Κινδύνων, Step 13: Σχεδιασμός Αντιμετώπισης Κινδύνων και Δήλωση Εφαρμοσιμότητας. Το Blueprint καθοδηγεί τους οργανισμούς να χρησιμοποιούν το φύλλο SoA στο πρότυπο “Risk Register and SoA Builder.xlsx”, να αποφασίζουν αν καθεμία από τις 93 δικλίδες ελέγχου του Παραρτήματος A είναι εφαρμόσιμη και να βασίζουν την απόφαση στην αντιμετώπιση κινδύνων, στις νομικές και συμβατικές απαιτήσεις, στη συνάφεια με το πεδίο εφαρμογής και στο οργανωτικό πλαίσιο.

Το Blueprint αναφέρει:

Το SoA είναι ουσιαστικά ένα έγγραφο γεφύρωσης: συνδέει την αξιολόγηση/αντιμετώπιση κινδύνων με τις πραγματικές δικλίδες ελέγχου που διαθέτετε.

Η πρόταση αυτή αποτυπώνει το λειτουργικό μοντέλο. Το SoA γεφυρώνει υποχρεώσεις, κινδύνους, πολιτικές, δικλίδες ελέγχου, τεκμήρια και συμπεράσματα ελέγχου.

Το Zenith Blueprint καθοδηγεί επίσης τις ομάδες να παραπέμπουν σε κανονισμούς στις σημειώσεις του SoA όπου απαιτείται. Αν μια δικλίδα ελέγχου υλοποιείται για GDPR, NIS2 ή DORA, αυτό πρέπει να εμφανίζεται στο Μητρώο Κινδύνων ή στις σημειώσεις του SoA. Αργότερα, στο Step 24, το Blueprint ζητά από τους οργανισμούς να επικαιροποιήσουν το SoA μετά την υλοποίηση και να το διασταυρώσουν με το Σχέδιο Αντιμετώπισης Κινδύνων. Στο Step 30, Προετοιμασία Πιστοποίησης, Τελική Ανασκόπηση και Δοκιμαστικός Έλεγχος, το Blueprint καθοδηγεί τις ομάδες να επιβεβαιώσουν ότι κάθε εφαρμόσιμη δικλίδα ελέγχου του Παραρτήματος A διαθέτει τεκμήρια, όπως πολιτική, διαδικασία, αναφορά, σχέδιο ή αρχείο υλοποίησης.

Η ακολουθία αυτή καθιστά το SoA ζωντανό εργαλείο συμμόρφωσης:

1. Το Step 13 το δημιουργεί από την αντιμετώπιση κινδύνων και τις υποχρεώσεις.
2. Το Step 24 το ελέγχει έναντι της πραγματικής υλοποίησης.
3. Το Step 30 το υποστηρίζει μέσω τελικής ανασκόπησης τεκμηρίων και δοκιμαστικού ελέγχου.

Πώς να γράφετε αιτιολογήσεις ένταξης που μπορούν να ακολουθήσουν οι ελεγκτές

Μια δικλίδα ελέγχου πρέπει να εντάσσεται όταν υπάρχει τουλάχιστον ένας τεκμηριωμένος οδηγός: αντιμετώπιση κινδύνου, νομική απαίτηση, συμβατική απαίτηση, συνάφεια με το πεδίο εφαρμογής, βασική υγιεινή ασφάλειας, προσδοκία διασφάλισης πελάτη ή στόχος ανθεκτικότητας εγκεκριμένος από τη διοίκηση.

Ένας χρήσιμος τύπος είναι:

Εφαρμόσιμο επειδή [κίνδυνος ή υποχρέωση] επηρεάζει [υπηρεσία, περιουσιακό στοιχείο, δεδομένα ή διαδικασία], και αυτή η δικλίδα ελέγχου παρέχει [προληπτικό, ανιχνευτικό, διορθωτικό αποτέλεσμα ή αποτέλεσμα ανθεκτικότητας], τεκμηριωμένο από [πολιτική, αρχείο, δοκιμή, αναφορά ή έξοδο συστήματος].

Για έναν πάροχο fintech SaaS, μία γραμμή SoA θα μπορούσε να έχει την εξής μορφή:

Αυτό είναι έτοιμο για έλεγχο επειδή συνδέει τη δικλίδα ελέγχου με πλαίσιο, κίνδυνο, υποχρέωση, υλοποίηση, ιδιοκτησία και τεκμήρια.

Πώς να αιτιολογείτε εξαιρέσεις χωρίς να δημιουργείτε έκθεση σε έλεγχο

Οι εξαιρέσεις δεν είναι αποτυχίες. Οι ανεπαρκώς αιτιολογημένες εξαιρέσεις είναι αποτυχίες.

Το ISO/IEC 27001:2022 απαιτεί από το SoA να αιτιολογεί τις εξαιρούμενες δικλίδες ελέγχου του Παραρτήματος A. Το ISO/IEC 27005:2022 ενισχύει ότι η μη εφαρμοσιμότητα πρέπει να εξηγείται και να αιτιολογείται. Η enterprise Πολιτική Ασφάλειας Πληροφοριών της Clarysec αναφέρει:

Η βασική γραμμή μπορεί να προσαρμόζεται· ωστόσο, οι εξαιρέσεις πρέπει να τεκμηριώνονται με επίσημη έγκριση και αιτιολόγηση στο SoA.

Αυτή είναι η ρήτρα 7.2.2 της Πολιτικής Ασφάλειας Πληροφοριών.

Η Πολιτική Ασφάλειας Πληροφοριών-sme της Clarysec Πολιτική Ασφάλειας Πληροφοριών-sme - SME αναφέρει:

Κάθε απόκλιση από την παρούσα πολιτική πρέπει να τεκμηριώνεται, εξηγώντας με σαφήνεια γιατί είναι απαραίτητη η απόκλιση, ποια εναλλακτικά προστατευτικά μέτρα εφαρμόζονται και ποια ημερομηνία έχει οριστεί για επανεξέταση.

Η απαίτηση αυτή προέρχεται από τη ρήτρα 7.2.1 της Πολιτικής Ασφάλειας Πληροφοριών-sme.

Για NIS2 και DORA, οι εξαιρέσεις απαιτούν ιδιαίτερη προσοχή. Μια εταιρεία SaaS σπάνια πρέπει να εξαιρεί καταγραφή, παρακολούθηση, αντίγραφα ασφαλείας, διαχείριση περιστατικών, έλεγχο πρόσβασης, ασφάλεια προμηθευτών ή διαχείριση ευπαθειών. Ακόμη και όταν μια δικλίδα ελέγχου δεν συνδέεται με έναν συγκεκριμένο κίνδυνο, μπορεί να εξακολουθεί να είναι απαραίτητη ως βασική ασφάλεια, διασφάλιση πελάτη, συμβατική προσδοκία ή νομική υποχρέωση.

Η Πολιτική Διαχείρισης Κινδύνων-sme της Clarysec υπενθυμίζει επίσης στις ομάδες πώς πρέπει να αντιμετωπίζεται ο αποδεκτός κίνδυνος:

Αποδοχή: Αιτιολογήστε γιατί δεν απαιτείται περαιτέρω ενέργεια και καταγράψτε τον υπολειπόμενο κίνδυνο.

Η ρήτρα αυτή, 6.1.1 της Πολιτικής Διαχείρισης Κινδύνων-sme, είναι ακριβώς η νοοτροπία που απαιτείται για αποφάσεις εξαιρέσεων και υπολειπόμενου κινδύνου.

Αναφορά περιστατικών: αποδείξτε τη ροή εργασίας, όχι την ύπαρξη πολιτικής

Το NIS2 Article 23 απαιτεί σταδιακή αναφορά σημαντικών περιστατικών, συμπεριλαμβανομένης έγκαιρης προειδοποίησης εντός 24 ωρών από τη γνώση του περιστατικού, γνωστοποίησης εντός 72 ωρών, ενημερώσεων όπου ζητούνται και τελικής αναφοράς εντός ενός μήνα από τη γνωστοποίηση των 72 ωρών. Το DORA απαιτεί από τις χρηματοοικονομικές οντότητες να ανιχνεύουν, να διαχειρίζονται, να ταξινομούν, να κλιμακώνουν, να επικοινωνούν και να αναφέρουν μείζονα περιστατικά που σχετίζονται με ΤΠΕ, να ενημερώνουν επηρεαζόμενους πελάτες όπου απαιτείται, να εκτελούν ανάλυση βασικής αιτίας και να βελτιώνουν τις δικλίδες ελέγχου.

Ένας πάροχος SaaS μπορεί να μη χρειάζεται πάντα να αναφέρει απευθείας σε αρχή DORA, αλλά μπορεί να χρειάζεται να υποστηρίζει τα χρονοδιαγράμματα αναφοράς των χρηματοοικονομικών πελατών. Αυτό καθιστά τις δικλίδες περιστατικών ιδιαίτερα σχετικές στο SoA.

Ένα αδύναμο SoA λέει: «Υπάρχει πολιτική αντιμετώπισης περιστατικών.»

Ένα ισχυρό SoA λέει: «Εφαρμόσιμο επειδή ο οργανισμός πρέπει να ανιχνεύει, να αξιολογεί, να ταξινομεί, να κλιμακώνει, να επικοινωνεί, να διατηρεί τεκμήρια, να υποστηρίζει κανονιστικά χρονοδιαγράμματα αναφοράς, να ειδοποιεί επηρεαζόμενους πελάτες όπου απαιτείται συμβατικά και να αντλεί διδάγματα από περιστατικά που επηρεάζουν υπηρεσίες, δεδομένα ή ρυθμιζόμενους πελάτες.»

Τα τεκμήρια πρέπει να περιλαμβάνουν:

• Σχέδιο αντιμετώπισης περιστατικών και μήτρα κλιμάκωσης.
• Κριτήρια ταξινόμησης σοβαρότητας.
• Ροή εργασιών ειδοποίησης πελατών.
• Δέντρο αποφάσεων κανονιστικής ειδοποίησης όπου εφαρμόζεται.
• Αιτήματα περιστατικών και χρονογραμμές.
• Αρχεία καταγραφής και ειδοποιήσεις παρακολούθησης.
• Αρχεία ασκήσεων επιτραπέζιων σεναρίων.
• Ανασκόπηση μετά το περιστατικό και διορθωτικές ενέργειες.
• Διαδικασίες διατήρησης τεκμηρίων.

Η enterprise Πολιτική Ελέγχου και Παρακολούθησης Συμμόρφωσης της Clarysec Πολιτική Ελέγχου και Παρακολούθησης Συμμόρφωσης εξηγεί γιατί αυτό έχει σημασία:

Για την παραγωγή τεκμηριωμένων τεκμηρίων και διαδρομής ελέγχου προς υποστήριξη κανονιστικών ερευνών, νομικών διαδικασιών ή αιτημάτων διασφάλισης πελατών.

Ο στόχος αυτός προέρχεται από τη ρήτρα 3.4 της Πολιτικής Ελέγχου και Παρακολούθησης Συμμόρφωσης.

Για μικρότερους οργανισμούς, η διατήρηση τεκμηρίων πρέπει επίσης να είναι ρητή. Η Πολιτική Ελέγχου και Παρακολούθησης Συμμόρφωσης-sme της Clarysec Πολιτική Ελέγχου και Παρακολούθησης Συμμόρφωσης-sme - SME αναφέρει:

Τα τεκμήρια πρέπει να διατηρούνται για τουλάχιστον δύο έτη ή για μεγαλύτερο διάστημα όπου απαιτείται από πιστοποίηση ή συμφωνίες πελατών.

Αυτή είναι η ρήτρα 6.2.4 της Πολιτικής Ελέγχου και Παρακολούθησης Συμμόρφωσης-sme.

Ένα SoA, πολλαπλές συζητήσεις ελέγχου

Το καλύτερο SoA δεν αντιγράφει πλαίσια. Δημιουργεί μια ιχνηλάσιμη αφήγηση δικλίδων ελέγχου που μπορούν να κατανοήσουν διαφορετικοί ελεγκτές.

Ένας ελεγκτής ISO 27001 συνήθως ξεκινά από τη λογική των ρητρών: πεδίο εφαρμογής, ενδιαφερόμενα μέρη, αξιολόγηση κινδύνου, αντιμετώπιση κινδύνων, SoA, στόχοι, εσωτερικός έλεγχος, ανασκόπηση της διοίκησης και βελτίωση. Ένας αξιολογητής με προσανατολισμό στο NIS2 εστιάζει στην αναλογικότητα, τη λογοδοσία διοίκησης, την εκπαίδευση, την εφοδιαστική αλυσίδα, τα χρονοδιαγράμματα περιστατικών και τον αντίκτυπο στις υπηρεσίες. Ένας αξιολογητής πελάτη με προσανατολισμό στο DORA εστιάζει στον κίνδυνο ΤΠΕ, στις κρίσιμες ή σημαντικές λειτουργίες, στα μείζονα περιστατικά ΤΠΕ, στις δοκιμές ανθεκτικότητας, στις συμβατικές ρήτρες, στα δικαιώματα ελέγχου, στα σχέδια εξόδου, στην υπεργολαβική ανάθεση και στον κίνδυνο συγκέντρωσης. Ένας αξιολογητής ιδιωτικότητας εστιάζει στη λογοδοσία GDPR και στην ετοιμότητα για παραβίαση. Ένας ελεγκτής τύπου COBIT 2019 ή ISACA δοκιμάζει τη διακυβέρνηση, τις μετρικές, την ιδιοκτησία, τη διασφάλιση και τα διορθωτικά μέτρα.

Γι’ αυτό το SoA δεν μπορεί να συντηρείται μόνο από την ομάδα ασφάλειας. Χρειάζεται ιδιοκτησία από το νομικό τμήμα, την προστασία δεδομένων, τις προμήθειες, τη μηχανική, τις λειτουργίες, το HR και την εκτελεστική ηγεσία.

Συνήθεις αστοχίες SoA σε έργα ετοιμότητας NIS2 και DORA

Η Clarysec εντοπίζει επανειλημμένα τα ίδια ζητήματα σε έργα ετοιμότητας:

1. Το SoA χαρακτηρίζει δικλίδες ελέγχου ως εφαρμόσιμες, αλλά δεν καταγράφεται κίνδυνος, υποχρέωση ή επιχειρησιακός λόγος.
2. Το NIS2 και το DORA αναφέρονται σε πολιτικές, αλλά δεν χαρτογραφούνται σε δικλίδες ελέγχου, ιδιοκτήτες ή τεκμήρια.
3. Οι δικλίδες προμηθευτών χαρακτηρίζονται ως υλοποιημένες, αλλά δεν υπάρχει μητρώο προμηθευτών, βαθμολόγηση κρισιμότητας, συμβατική ανασκόπηση ή σχέδιο εξόδου.
4. Υπάρχουν δικλίδες περιστατικών, αλλά η διαδικασία δεν υποστηρίζει ροές εργασιών 24ωρης, 72ωρης, πελατειακής ή τελικής αναφοράς.
5. Η έγκριση της διοίκησης υπονοείται, αλλά δεν υπάρχει αρχείο αποδοχής κινδύνου, έγκρισης SoA ή απόφασης υπολειπόμενου κινδύνου.
6. Οι εξαιρέσεις αντιγράφονται από πρότυπο και δεν αντιστοιχούν στο πραγματικό λειτουργικό μοντέλο υπηρεσιών νέφους, απομακρυσμένης πρόσβασης, SaaS ή fintech.
7. Υπάρχουν τεκμήρια σε διάφορα εργαλεία, αλλά καμία διαδρομή ελέγχου δεν τα συνδέει με το SoA.
8. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα βάσει GDPR δεν συνδέεται με δικλίδες ασφάλειας, απόκριση σε παραβίαση, συμβάσεις προμηθευτών ή διατήρηση.
9. Ο Εσωτερικός Έλεγχος ελέγχει έγγραφα, αλλά δεν δοκιμάζει αν το SoA αποτυπώνει την πραγματική υλοποίηση.
10. Το SoA επικαιροποιείται μόνο πριν από την πιστοποίηση και όχι μετά από νέους πελάτες, προμηθευτές, περιστατικά, ευρήματα ελέγχου ή κανονιστικές αλλαγές.

Αυτά δεν είναι ζητήματα γραφειοκρατίας. Είναι ζητήματα διακυβέρνησης.

Πρακτικός κατάλογος ελέγχου για ISO 27001 SoA έτοιμο για έλεγχο

Χρησιμοποιήστε αυτόν τον κατάλογο ελέγχου πριν από έλεγχο πιστοποίησης ISO 27001, ανασκόπηση ετοιμότητας NIS2, αξιολόγηση πελάτη DORA, συνεδρίαση Διοικητικού Συμβουλίου ή διαδικασία δέουσας επιμέλειας επενδυτή.

Μετατρέψτε το SoA σε τεκμηριωμένη γέφυρα συμμόρφωσης

Η παρουσίαση της Elena στο Διοικητικό Συμβούλιο πέτυχε επειδή δεν παρουσίασε τρία ασύνδετα έργα συμμόρφωσης. Παρουσίασε ένα ελέγξιμο, τεκμηριωμένο λειτουργικό μοντέλο βασισμένο στο ISO/IEC 27001:2022, με το SoA ως γέφυρα μεταξύ κανονιστικών απαιτήσεων, κινδύνου, υλοποίησης δικλίδων ελέγχου, τεκμηρίων και εποπτείας της διοίκησης.

Το NIS2 και το DORA δεν καθιστούν το ISO 27001 παρωχημένο. Καθιστούν μια άρτια δομημένη Δήλωση Εφαρμοσιμότητας ISO 27001 πιο πολύτιμη. Το SoA μπορεί να γίνει το ενιαίο σημείο όπου ο οργανισμός σας εξηγεί γιατί υπάρχουν οι δικλίδες ελέγχου, γιατί οι εξαιρέσεις είναι τεκμηριωμένες, πώς διατηρούνται τα τεκμήρια, πώς ασκείται διακυβέρνηση στους προμηθευτές, πώς κλιμακώνονται τα περιστατικά και πώς η διοίκηση γνωρίζει ότι το ISMS λειτουργεί.

Η άμεση ενέργειά σας είναι απλή:

1. Ανοίξτε το τρέχον SoA σας.
2. Επιλέξτε πέντε δικλίδες ελέγχου που έχουν χαρακτηριστεί εφαρμόσιμες και ρωτήστε: «Ποιος κίνδυνος, ποια υποχρέωση ή ποια σύμβαση το αιτιολογεί;»
3. Επιλέξτε πέντε εξαιρέσεις και ρωτήστε: «Θα εξακολουθούσε αυτό να έχει νόημα για ελεγκτή NIS2, DORA, GDPR ή ISO/IEC 27001:2022;»
4. Ελέγξτε αν κάθε εφαρμόσιμη δικλίδα ελέγχου διαθέτει τρέχοντα τεκμήρια.
5. Επιβεβαιώστε ότι η διοίκηση έχει εγκρίνει τους υπολειπόμενους κινδύνους και τις αποφάσεις SoA.
6. Επικαιροποιείτε το Μητρώο Συμμόρφωσης, το Μητρώο Κινδύνων και το SoA κάθε φορά που αλλάζουν υπηρεσίες, προμηθευτές, πελάτες, κανονισμοί ή περιστατικά.

Η Clarysec βοηθά τους οργανισμούς να το επιτύχουν μέσω του Zenith Blueprint Zenith Blueprint, του Zenith Controls Zenith Controls, συνόλων πολιτικών για enterprise και SME, εργαλείων Μητρώου Κινδύνων, προτύπων SoA, προετοιμασίας ελέγχου και χαρτογράφησης διασταυρούμενης συμμόρφωσης για NIS2, DORA, GDPR, NIST CSF 2.0, COBIT 2019 και διασφάλιση πελατών.

Αν το SoA σας δεν μπορεί να απαντήσει γιατί, ποιος το έχει στην ιδιοκτησία του, ποια τεκμήρια το αποδεικνύουν και ποια υποχρέωση υποστηρίζει, δεν είναι ακόμη έτοιμο. Χρησιμοποιήστε τη Clarysec για να το μετατρέψετε σε γέφυρα συμμόρφωσης έτοιμη για έλεγχο πριν ένας ρυθμιστής, ελεγκτής ή πελάτης θέσει πρώτος τα ίδια ερωτήματα.