Η λειτουργία Govern του NIST CSF 2.0 για ΜΜΕ και ISO 27001

Η Sarah, η νεοδιορισμένη Υπεύθυνη Ασφάλειας Πληροφοριών μιας ταχέως αναπτυσσόμενης FinTech ΜΜΕ, είχε έναν πίνακα γεμάτο πλαίσια και μια προθεσμία που δεν μπορούσε να μετακινηθεί. NIST CSF 2.0. ISO 27001:2022. NIS2. DORA. GDPR. Κίνδυνος προμηθευτών. Λογοδοσία Διοικητικού Συμβουλίου. Δέουσα επιμέλεια από εταιρικό πελάτη.

Το έναυσμα ήταν γνώριμο: ένα υπολογιστικό φύλλο από μεγάλο πελάτη χρηματοοικονομικών υπηρεσιών. Το τμήμα προμηθειών ζητούσε τεκμήρια για το μοντέλο διακυβέρνησης κυβερνοασφάλειας, τη διάθεση ανάληψης κινδύνου, το πρόγραμμα ασφάλειας προμηθευτών, την αντιστοίχιση νομικών και κανονιστικών υποχρεώσεων, τη διαδικασία κλιμάκωσης περιστατικών και την ευθυγράμμιση με το ISO 27001:2022.

Η Διευθύνουσα Σύμβουλος δεν ήθελε διάλεξη περί συμμόρφωσης. Ήθελε μια απλή απάντηση σε μια δύσκολη ερώτηση: «Πώς αποδεικνύουμε στο Διοικητικό Συμβούλιο, στους πελάτες και στις ρυθμιστικές αρχές ότι ελέγχουμε τον κυβερνοκίνδυνο;»

Αυτό είναι το πρόβλημα διακυβέρνησης που αντιμετωπίζουν πολλές ΜΜΕ. Ένα ερωτηματολόγιο πελάτη σπάνια είναι απλώς ένα ερωτηματολόγιο πελάτη. Συχνά είναι πέντε συζητήσεις συμμόρφωσης συμπιεσμένες σε ένα αίτημα. NIST CSF 2.0, ISO/IEC 27001:2022, GDPR, NIS2, προσδοκίες προμηθευτών που απορρέουν από το DORA, ανθεκτικότητα σε περιβάλλον νέφους, εποπτεία Διοικητικού Συμβουλίου και συμβατικές δεσμεύσεις κρύβονται όλα μέσα στο ίδιο αίτημα τεκμηρίων.

Πολλές ΜΜΕ απαντούν δημιουργώντας ξεχωριστά παραδοτέα: ένα υπολογιστικό φύλλο NIST, έναν φάκελο πιστοποίησης ISO, έναν μηχανισμό παρακολούθησης GDPR, ένα Μητρώο Κινδύνων προμηθευτών και ένα Σχέδιο Αντιμετώπισης Περιστατικών που δεν συνδέονται μεταξύ τους. Έξι μήνες αργότερα, κανείς δεν γνωρίζει ποιο έγγραφο είναι η έγκυρη πηγή.

Η προσέγγιση της Clarysec είναι διαφορετική. Χρησιμοποιήστε τη λειτουργία Govern του NIST CSF 2.0 ως επίπεδο εκτελεστικής διακυβέρνησης και στη συνέχεια αντιστοιχίστε την σε πολιτικές ISO 27001:2022, αντιμετώπιση κινδύνων, Δήλωση Εφαρμοσιμότητας, εποπτεία προμηθευτών, ανασκόπηση από τη διοίκηση και τεκμήρια ελέγχου. Το αποτέλεσμα δεν είναι περισσότερη εργασία συμμόρφωσης. Είναι ένα ενιαίο λειτουργικό μοντέλο που μπορεί να απαντά σε ελεγκτές, πελάτες, ρυθμιστικές αρχές και διοίκηση με το ίδιο σύνολο τεκμηρίων.

Γιατί η λειτουργία Govern του NIST CSF 2.0 έχει σημασία για τις ΜΜΕ

Το NIST CSF 2.0 αναβαθμίζει τη διακυβέρνηση σε αυτοτελή λειτουργία, μαζί με τις Identify, Protect, Detect, Respond και Recover. Η αλλαγή αυτή είναι σημαντική, επειδή οι περισσότερες αστοχίες ασφάλειας στις ΜΜΕ δεν προκαλούνται από την απουσία ακόμη ενός εργαλείου. Προκαλούνται από ασαφή λογοδοσία, αδύναμες αποφάσεις κινδύνου, μη τεκμηριωμένες εξαιρέσεις, ασυνεπή εποπτεία προμηθευτών και πολιτικές που εγκρίθηκαν μία φορά αλλά δεν εφαρμόστηκαν ποτέ στην πράξη.

Η λειτουργία Govern του NIST CSF 2.0 αλλάζει το ερώτημα από «ποιους ελέγχους διαθέτουμε;» σε «ποιος είναι υπόλογος, ποιες υποχρεώσεις ισχύουν, πώς ιεραρχούνται οι κίνδυνοι και πώς ανασκοπείται η επίδοση;»

Για τις ΜΜΕ, τα αποτελέσματα Govern παρέχουν μια πρακτική εντολή:

• Κατανόηση και διαχείριση νομικών, ρυθμιστικών, συμβατικών υποχρεώσεων, υποχρεώσεων ιδιωτικότητας και υποχρεώσεων που αφορούν πολιτικές ελευθερίες.
• Καθορισμός διάθεσης ανάληψης κινδύνου, ορίων ανοχής κινδύνου, βαθμολόγησης κινδύνου, ιεράρχησης και επιλογών απόκρισης στον κίνδυνο.
• Ορισμός ρόλων, αρμοδιοτήτων, εξουσιών, διαδρομών κλιμάκωσης και πόρων κυβερνοασφάλειας.
• Θέσπιση, κοινοποίηση, εφαρμογή, ανασκόπηση και επικαιροποίηση πολιτικών κυβερνοασφάλειας.
• Ανασκόπηση της στρατηγικής κυβερνοασφάλειας, της επίδοσης και της λογοδοσίας της διοίκησης.
• Διακυβέρνηση του κινδύνου κυβερνοασφάλειας προμηθευτών και τρίτων μερών, από τη δέουσα επιμέλεια έως την αποχώρηση.

Γι’ αυτό η λειτουργία Govern του NIST CSF 2.0 αποτελεί τόσο ισχυρό σημείο εισόδου για το ISO 27001:2022. Το NIST δίνει στα ανώτατα στελέχη τη γλώσσα της διακυβέρνησης. Το ISO 27001:2022 παρέχει το επαληθεύσιμο σε έλεγχο σύστημα διαχείρισης.

Οι ρήτρες 4 έως 10 του ISO 27001:2022 απαιτούν από τους οργανισμούς να κατανοούν το πλαίσιο λειτουργίας, να ορίζουν τα ενδιαφερόμενα μέρη, να καθορίζουν το πεδίο εφαρμογής του ISMS, να αποδεικνύουν ηγεσία, να σχεδιάζουν αξιολόγηση και αντιμετώπιση κινδύνων, να υποστηρίζουν τεκμηριωμένες πληροφορίες, να λειτουργούν ελέγχους, να αξιολογούν την επίδοση, να διενεργούν εσωτερικούς ελέγχους και ανασκοπήσεις από τη διοίκηση και να βελτιώνονται συνεχώς. Στη συνέχεια, το Παράρτημα A παρέχει το σύνολο αναφοράς των ελέγχων, συμπεριλαμβανομένων πολιτικών, αρμοδιοτήτων της διοίκησης, νομικών υποχρεώσεων, ιδιωτικότητας, σχέσεων με προμηθευτές, υπηρεσιών νέφους, διαχείρισης περιστατικών και ετοιμότητας ΤΠΕ για επιχειρησιακή συνέχεια.

Η εταιρική Πολιτική Ασφάλειας Πληροφοριών της Clarysec Πολιτική Ασφάλειας Πληροφοριών αναφέρει:

Ο οργανισμός πρέπει να διατηρεί επίσημο μοντέλο διακυβέρνησης για την εποπτεία του ISMS, ευθυγραμμισμένο με τις ρήτρες 5.1 και 9.3 του ISO/IEC 27001.

Η απαίτηση αυτή, από τη ρήτρα 5.1 της Πολιτικής Ασφάλειας Πληροφοριών, είναι η πρακτική γέφυρα μεταξύ της λογοδοσίας NIST GV και των προσδοκιών ηγεσίας του ISO 27001:2022. Η διακυβέρνηση δεν είναι ετήσια παρουσίαση. Είναι ένα επίσημο μοντέλο που συνδέει αποφάσεις, πολιτικές, ρόλους, κινδύνους, ελέγχους, τεκμήρια και ανασκόπηση.

Η βασική αντιστοίχιση: από το NIST CSF 2.0 Govern σε τεκμήρια ISO 27001:2022

Ο ταχύτερος τρόπος να γίνει χρήσιμο το NIST CSF 2.0 είναι η μετατροπή των αποτελεσμάτων Govern σε ιδιοκτησία πολιτικών και τεκμήρια ελέγχου. Ο παρακάτω πίνακας είναι η δομή που χρησιμοποιεί η Clarysec με ΜΜΕ που προετοιμάζονται για πιστοποίηση ISO 27001:2022, δέουσα επιμέλεια από εταιρικούς πελάτες, ετοιμότητα NIS2, διασφάλιση πελατών DORA και λογοδοσία GDPR.

Αυτή η αντιστοίχιση είναι σκόπιμα προσανατολισμένη στα τεκμήρια. Δεν ζητά από τη ΜΜΕ να δημιουργήσει 40 έγγραφα. Θέτει πέντε επιχειρησιακά ερωτήματα:

1. Ποια απόφαση λαμβάνεται;
2. Ποιος έχει την ιδιοκτησία της;
3. Ποια πολιτική τη διέπει;
4. Ποια ρήτρα ISO 27001:2022 ή ποιος έλεγχος του Παραρτήματος A την υποστηρίζει;
5. Ποια τεκμήρια αποδεικνύουν ότι πραγματοποιήθηκε;

Η Πολιτική Ρόλων και Αρμοδιοτήτων Διακυβέρνησης για ΜΜΕ Πολιτική Ρόλων και Αρμοδιοτήτων Διακυβέρνησης για ΜΜΕ καθιστά ρητή αυτή την ιχνηλασιμότητα:

Όλες οι σημαντικές αποφάσεις ασφάλειας, εξαιρέσεις και κλιμακώσεις πρέπει να καταγράφονται και να είναι ιχνηλάσιμες.

Το απόσπασμα αυτό προέρχεται από τη ρήτρα 5.5 της Πολιτικής Ρόλων και Αρμοδιοτήτων Διακυβέρνησης για ΜΜΕ. Μετατρέπει το NIST GV.RR από αρχή διακυβέρνησης σε επαληθεύσιμο σε έλεγχο επιχειρησιακό κανόνα.

Ξεκινήστε με προφίλ CSF Govern, όχι με υπολογιστικό φύλλο ελέγχων

Τα οργανωσιακά προφίλ του NIST CSF 2.0 βοηθούν τους οργανισμούς να περιγράψουν τα τρέχοντα και τα στοχευόμενα αποτελέσματα κυβερνοασφάλειας. Για τις ΜΜΕ, το προφίλ είναι το σημείο όπου η διακυβέρνηση γίνεται διαχειρίσιμη.

Ένα πρακτικό εργαστήριο προφίλ Govern πρέπει να απαντά σε πέντε ερωτήματα:

1. Τι περιλαμβάνεται στο πεδίο εφαρμογής: ολόκληρη η εταιρεία, μια πλατφόρμα SaaS, ένα ρυθμιζόμενο προϊόν ή ένα περιβάλλον πελάτη;
2. Ποιες υποχρεώσεις καθοδηγούν το προφίλ: συμβάσεις πελατών, GDPR, έκθεση σε NIS2, προσδοκίες πελατών που απορρέουν από το DORA, πιστοποίηση ISO 27001:2022 ή δέουσα επιμέλεια επενδυτών;
3. Τι αποδεικνύουν τα υφιστάμενα τεκμήρια, όχι τι πιστεύουν οι άνθρωποι ότι υπάρχει;
4. Ποια στοχευόμενη κατάσταση είναι ρεαλιστική για τις επόμενες 90 ημέρες και τους επόμενους 12 μήνες;
5. Ποιοι κίνδυνοι, πολιτικές, προμηθευτές και καταχωρίσεις SoA πρέπει να αλλάξουν;

Το Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint το υποστηρίζει αυτό στη φάση ISMS Foundation & Leadership, Βήμα 6, «Τεκμηριωμένες πληροφορίες και δημιουργία της βιβλιοθήκης ISMS». Συνιστά την έγκαιρη προετοιμασία της SoA και τη χρήση της ως βιβλιοθήκης ελέγχων:

✓ Πρόσθετοι έλεγχοι: Υπάρχουν έλεγχοι εκτός του Παραρτήματος A που θα μπορούσατε να συμπεριλάβετε; Το ISO 27001 επιτρέπει την προσθήκη άλλων ελέγχων στη SoA. Για παράδειγμα, ίσως θέλετε να συμπεριλάβετε συμμόρφωση με το NIST CSF ή ειδικούς ελέγχους ιδιωτικότητας από το ISO 27701. Γενικά, το Παράρτημα A είναι πλήρες, αλλά μπορείτε να προσθέσετε οποιουσδήποτε μοναδικούς ελέγχους σχεδιάζετε

✓ Χρησιμοποιήστε υπολογιστικό φύλλο (SoA Builder): Μια πρακτική προσέγγιση είναι να προετοιμάσετε τώρα το υπολογιστικό φύλλο SoA. Έχουμε ετοιμάσει ένα πρότυπο SoA_Builder.xlsx που παραθέτει όλους τους ελέγχους του Παραρτήματος A με στήλες για εφαρμοσιμότητα, κατάσταση υλοποίησης και σημειώσεις.

Για μια ΜΜΕ, αυτό έχει σημασία. Δεν χρειάζεται να πιέσετε το NIST CSF 2.0 να χωρέσει στο Παράρτημα A του ISO σαν να ήταν τα δύο πανομοιότυπα. Μπορείτε να συμπεριλάβετε τα αποτελέσματα CSF Govern ως πρόσθετες απαιτήσεις διακυβέρνησης στη βιβλιοθήκη SoA, να τα αντιστοιχίσετε σε ρήτρες ISO 27001:2022 και ελέγχους του Παραρτήματος A και να τα χρησιμοποιήσετε για τη βελτίωση της ανασκόπησης από τη διοίκηση, της διακυβέρνησης προμηθευτών, της αναφοράς κινδύνων και της παρακολούθησης συμμόρφωσης.

Δημιουργήστε μητρώο τεκμηρίων Govern

Ένα μητρώο τεκμηρίων Govern είναι το πρακτικό εργαλείο που μετατρέπει τα πλαίσια σε απόδειξη. Πρέπει να συνδέει κάθε αποτέλεσμα NIST με αναφορά ISO, ιδιοκτήτη πολιτικής, στοιχείο τεκμηρίου, περιοδικότητα ανασκόπησης, κενό και ενέργεια.

Η εταιρική Πολιτική Νομικής και Κανονιστικής Συμμόρφωσης της Clarysec Πολιτική Νομικής και Κανονιστικής Συμμόρφωσης παρέχει τη σχετική απαίτηση διακυβέρνησης:

Όλες οι νομικές και κανονιστικές υποχρεώσεις πρέπει να αντιστοιχίζονται σε συγκεκριμένες πολιτικές, ελέγχους και ιδιοκτήτες εντός του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών (ISMS).

Αυτή είναι η ρήτρα 6.2.1 της Πολιτικής Νομικής και Κανονιστικής Συμμόρφωσης. Για τις ΜΜΕ, η Πολιτική Νομικής και Κανονιστικής Συμμόρφωσης για ΜΜΕ Πολιτική Νομικής και Κανονιστικής Συμμόρφωσης για ΜΜΕ προσθέτει μια πρακτική απαίτηση διασταυρούμενης αντιστοίχισης:

Όταν ένας κανονισμός εφαρμόζεται σε πολλαπλές περιοχές (π.χ. το GDPR εφαρμόζεται στη διατήρηση, την ασφάλεια και την ιδιωτικότητα), αυτό πρέπει να αντιστοιχίζεται με σαφήνεια στο Μητρώο Συμμόρφωσης και στο εκπαιδευτικό υλικό.

Το απόσπασμα αυτό προέρχεται από τη ρήτρα 5.2.2 της Πολιτικής Νομικής και Κανονιστικής Συμμόρφωσης για ΜΜΕ. Μαζί, οι ρήτρες αυτές μετατρέπουν το GV.OC-03 σε διαχειριζόμενη, ανασκοπήσιμη και έτοιμη για έλεγχο διαδικασία.

Συνδέστε τη βαθμολόγηση κινδύνου με την αντιμετώπιση κινδύνων και τη SoA

Το NIST GV.RM απαιτεί στόχους κινδύνου, διάθεση ανάληψης κινδύνου, όρια ανοχής κινδύνου, τυποποιημένο υπολογισμό κινδύνου, επιλογές απόκρισης και γραμμές επικοινωνίας. Το ISO 27001:2022 το εφαρμόζει στην πράξη μέσω αξιολόγησης κινδύνων, αντιμετώπισης κινδύνων, έγκρισης από ιδιοκτήτη κινδύνου, αποδοχής υπολειπόμενου κινδύνου και Δήλωσης Εφαρμοσιμότητας.

Η Πολιτική Διαχείρισης Κινδύνων για ΜΜΕ Πολιτική Διαχείρισης Κινδύνων για ΜΜΕ είναι σκόπιμα συγκεκριμένη:

Κάθε καταχώριση κινδύνου πρέπει να περιλαμβάνει: περιγραφή, πιθανότητα, αντίκτυπο, βαθμολογία, ιδιοκτήτη και σχέδιο αντιμετώπισης κινδύνων.

Αυτό προέρχεται από τη ρήτρα 5.1.2 της Πολιτικής Διαχείρισης Κινδύνων για ΜΜΕ. Η εταιρική Πολιτική Διαχείρισης Κινδύνων Πολιτική Διαχείρισης Κινδύνων ενισχύει τη σύνδεση με τη SoA:

Η Δήλωση Εφαρμοσιμότητας (SoA) πρέπει να αποτυπώνει όλες τις αποφάσεις αντιμετώπισης κινδύνων και να επικαιροποιείται κάθε φορά που τροποποιείται η κάλυψη ελέγχων.

Αυτή είναι η ρήτρα 5.4 της Πολιτικής Διαχείρισης Κινδύνων.

Εξετάστε έναν πραγματικό κίνδυνο για ΜΜΕ: μη εξουσιοδοτημένη πρόσβαση σε δεδομένα παραγωγής πελατών λόγω ασυνεπούς εφαρμογής MFA σε λογαριασμούς διαχείρισης νέφους.

Μια ισχυρή αντιστοίχιση Govern θα περιλάμβανε:

• NIST GV.RM για τυποποιημένη τεκμηρίωση και ιεράρχηση κινδύνων.
• NIST GV.RR για ιδιοκτησία ρόλων και αρμοδιότητα εφαρμογής ελέγχου πρόσβασης.
• NIST GV.PO για εφαρμογή και ανασκόπηση πολιτικής.
• Ρήτρες ISO 27001:2022 6.1.2, 6.1.3, 8.2 και 8.3.
• Ελέγχους του Παραρτήματος A για έλεγχο πρόσβασης, διαχείριση ταυτοτήτων, πληροφορίες αυθεντικοποίησης, καταγραφή, παρακολούθηση, διαμόρφωση και υπηρεσίες νέφους.
• Τεκμήρια όπως καταχώριση στο Μητρώο Κινδύνων, εξαγωγή ρυθμίσεων MFA, έγκριση εξαίρεσης, ανασκόπηση IAM νέφους, απόφαση ανασκόπησης από τη διοίκηση και επικαιροποιημένη σημείωση SoA.

Το Zenith Blueprint, στη φάση διαχείρισης κινδύνων, Βήμα 13, «Σχεδιασμός αντιμετώπισης κινδύνων και Δήλωση Εφαρμοσιμότητας», εξηγεί τη σύνδεση:

✓ Διασφαλίστε την ευθυγράμμιση με το Μητρώο Κινδύνων σας: κάθε μετριαστικός έλεγχος που καταγράψατε στο Σχέδιο Αντιμετώπισης Κινδύνων πρέπει να αντιστοιχεί σε έναν έλεγχο του Παραρτήματος A που έχει επισημανθεί ως «Εφαρμόσιμος». Αντίστροφα, εάν ένας έλεγχος έχει επισημανθεί ως εφαρμόσιμος, πρέπει να υπάρχει είτε κίνδυνος είτε απαίτηση που τον οδηγεί.

Αυτή είναι η διαφορά ανάμεσα στο να λέμε «χρησιμοποιούμε MFA» και στο να αποδεικνύουμε «έχουμε έναν λόγο για το MFA που τελεί υπό διακυβέρνηση, βασίζεται στον κίνδυνο και ευθυγραμμίζεται με το ISO 27001:2022, με τεκμήρια, ιδιοκτήτη και περιοδικότητα ανασκόπησης».

Διακυβερνήστε τον κίνδυνο προμηθευτών χωρίς υπερβολική πολυπλοκότητα στο πρόγραμμα

Το NIST GV.SC είναι ένα από τα πιο χρήσιμα μέρη της λειτουργίας Govern για τις ΜΜΕ, επειδή οι σύγχρονες ΜΜΕ εξαρτώνται σε μεγάλο βαθμό από προμηθευτές: παρόχους νέφους, επεξεργαστές πληρωμών, πλατφόρμες HR, συστήματα helpdesk, αποθετήρια κώδικα, εργαλεία CI/CD, εργαλεία παρακολούθησης και διαχειριζόμενες υπηρεσίες ασφάλειας.

Το Παράρτημα A του ISO 27001:2022 το υποστηρίζει μέσω ελέγχων προμηθευτών και νέφους, συμπεριλαμβανομένων των 5.19 Ασφάλεια πληροφοριών στις σχέσεις με προμηθευτές, 5.20 Αντιμετώπιση της ασφάλειας πληροφοριών σε συμφωνίες με προμηθευτές, 5.21 Διαχείριση της ασφάλειας πληροφοριών στην εφοδιαστική αλυσίδα ΤΠΕ, 5.22 Παρακολούθηση, ανασκόπηση και διαχείριση αλλαγών υπηρεσιών προμηθευτών, 5.23 Ασφάλεια πληροφοριών για τη χρήση υπηρεσιών νέφους και 5.30 Ετοιμότητα ΤΠΕ για επιχειρησιακή συνέχεια.

Η Πολιτική Ασφάλειας Τρίτων Μερών και Προμηθευτών για ΜΜΕ Πολιτική Ασφάλειας Τρίτων Μερών και Προμηθευτών για ΜΜΕ καθιστά σαφή την απαίτηση τεκμηρίων:

Αυτές οι ανασκοπήσεις πρέπει να τεκμηριώνονται και να διατηρούνται μαζί με το αρχείο του προμηθευτή. Οι επακόλουθες ενέργειες πρέπει να παρακολουθούνται με σαφήνεια.

Αυτή είναι η ρήτρα 6.3.2 της Πολιτικής Ασφάλειας Τρίτων Μερών και Προμηθευτών για ΜΜΕ.

Ένα λιτό μοντέλο προμηθευτών για ΜΜΕ μπορεί να χρησιμοποιεί τρεις βαθμίδες:

Αυτό το απλό μοντέλο υποστηρίζει το NIST GV.SC, τους ελέγχους προμηθευτών του ISO 27001:2022, τη δέουσα επιμέλεια πελατών και τις συμβατικές προσδοκίες που απορρέουν από το DORA από χρηματοοικονομικούς πελάτες.

Η αποχώρηση προμηθευτών αξίζει ιδιαίτερη προσοχή. Το NIST GV.SC αναμένει διακυβέρνηση σε όλο τον κύκλο ζωής του προμηθευτή, συμπεριλαμβανομένου του τέλους της σχέσης. Τα τεκμήρια πρέπει να περιλαμβάνουν επιστροφή ή διαγραφή δεδομένων, αφαίρεση πρόσβασης, σχεδιασμό μετάβασης υπηρεσίας, διατηρούμενα συμβατικά αρχεία και ανασκόπηση υπολειπόμενου κινδύνου.

Χρησιμοποιήστε το Zenith Controls για πολλαπλή συμμόρφωση, όχι ως ξεχωριστό σύνολο ελέγχων

Το Zenith Controls: The Cross-Compliance Guide της Clarysec Zenith Controls είναι ένας οδηγός πολλαπλής συμμόρφωσης για την αντιστοίχιση θεματικών ελέγχων ISO/IEC 27002:2022 σε πολλαπλά πλαίσια και οπτικές ελέγχου. Δεν πρόκειται για ξεχωριστούς «ελέγχους Zenith». Είναι έλεγχοι ISO/IEC 27002:2022 που αναλύονται μέσα στο Zenith Controls για χρήση σε σενάρια πολλαπλής συμμόρφωσης.

Για τη λειτουργία Govern του NIST CSF 2.0, τρεις περιοχές ελέγχων ISO/IEC 27002:2022 είναι ιδιαίτερα σημαντικές:

Το Zenith Blueprint, στη φάση Controls in Action, Βήμα 22, «Οργανωτικοί έλεγχοι», δίνει το λειτουργικό μοντέλο:

Τυποποιήστε τη διακυβέρνηση ασφάλειας πληροφοριών

Διασφαλίστε ότι οι πολιτικές ασφάλειας πληροφοριών (5.1) έχουν οριστικοποιηθεί, εγκριθεί και ελέγχονται ως προς την έκδοση. Αναθέστε ονομαστικούς ιδιοκτήτες για κάθε τομέα πολιτικής (π.χ. πρόσβαση, κρυπτογράφηση, αντίγραφα ασφαλείας) και τεκμηριώστε τους ρόλους και τις αρμοδιότητες σε όλο το ISMS (5.2). Ανασκοπήστε τον διαχωρισμό καθηκόντων (5.3) σε περιοχές υψηλού κινδύνου όπως τα οικονομικά, η διαχείριση συστημάτων και ο έλεγχος αλλαγών. Παράγετε έναν απλό χάρτη διακυβέρνησης που δείχνει ποιος εγκρίνει, ποιος υλοποιεί και ποιος παρακολουθεί την πολιτική ασφάλειας.

Αυτός ο χάρτης διακυβέρνησης είναι ένα από τα τεκμήρια υψηλότερης αξίας που μπορεί να δημιουργήσει μια ΜΜΕ. Απαντά στο NIST GV.RR, στις απαιτήσεις ηγεσίας του ISO 27001:2022, στις προσδοκίες λογοδοσίας της διοίκησης στο NIS2 και στις ερωτήσεις πελατών σχετικά με το ποιος έχει την ιδιοκτησία του κυβερνοκινδύνου.

Ένα μοντέλο διακυβέρνησης για NIS2, DORA, GDPR, NIST και ISO

Η λειτουργία Govern αποκτά τη μεγαλύτερη αξία όταν μια ΜΜΕ αντιμετωπίζει επικαλυπτόμενες απαιτήσεις.

Το NIS2 απαιτεί από τις εντός πεδίου βασικές και σημαντικές οντότητες να υιοθετούν κατάλληλα και αναλογικά μέτρα διαχείρισης κινδύνων κυβερνοασφάλειας. Επίσης αναθέτει στα διοικητικά όργανα την ευθύνη να εγκρίνουν τα μέτρα διαχείρισης κινδύνων κυβερνοασφάλειας, να εποπτεύουν την υλοποίηση και να παρακολουθούν εκπαίδευση. Το NIST GV.RR υποστηρίζει τη λογοδοσία της διοίκησης. Το GV.RM υποστηρίζει μέτρα βάσει κινδύνου. Το GV.SC υποστηρίζει την ασφάλεια εφοδιαστικής αλυσίδας. Το GV.PO υποστηρίζει τις πολιτικές. Το GV.OV υποστηρίζει την ανασκόπηση επίδοσης.

Η διακυβέρνηση περιστατικών στο NIS2 εισάγει επίσης σταδιακές προσδοκίες αναφοράς, συμπεριλαμβανομένης της έγκαιρης προειδοποίησης εντός 24 ωρών, της ειδοποίησης περιστατικού εντός 72 ωρών και της τελικής αναφοράς εντός ενός μηνός για σημαντικά περιστατικά. Αυτά τα χρονοδιαγράμματα πρέπει να αποτυπώνονται στις διαδικασίες απόκρισης σε περιστατικά, στις διαδρομές κλιμάκωσης, στα σχέδια επικοινωνίας και στις αναφορές προς τη διοίκηση.

Το DORA εφαρμόζεται από τις 17 Ιανουαρίου 2025 σε χρηματοοικονομικές οντότητες της ΕΕ, αλλά πολλές ΜΜΕ αντιλαμβάνονται τον αντίκτυπό του μέσω συμβάσεων πελατών. Οι χρηματοοικονομικοί πελάτες μπορεί να μετακυλίουν απαιτήσεις DORA σε παρόχους ΤΠΕ, προμηθευτές λογισμικού, παρόχους διαχειριζόμενων υπηρεσιών και προμηθευτές που εξαρτώνται από υπηρεσίες νέφους. Το DORA επικεντρώνεται στη διαχείριση κινδύνων ΤΠΕ, στην ευθύνη του διοικητικού οργάνου, στην αναφορά περιστατικών, στις δοκιμές ανθεκτικότητας, στον κίνδυνο τρίτων παρόχων ΤΠΕ, στις συμβατικές απαιτήσεις και στην εποπτεία.

Το GDPR προσθέτει λογοδοσία για την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Οι ΜΜΕ πρέπει να κατανοούν αν είναι υπεύθυνοι επεξεργασίας, εκτελούντες την επεξεργασία ή και τα δύο, ποια δεδομένα προσωπικού χαρακτήρα επεξεργάζονται, ποια συστήματα και ποιοι προμηθευτές εμπλέκονται, ποιες νόμιμες βάσεις εφαρμόζονται και ποια σενάρια περιστατικών θα μπορούσαν να εξελιχθούν σε παραβιάσεις δεδομένων προσωπικού χαρακτήρα.

Το Zenith Blueprint, στη φάση διαχείρισης κινδύνων, Βήμα 14, συνιστά τη διασταύρωση των απαιτήσεων DORA, NIS2 και GDPR με το σύνολο ελέγχων ISO 27001:2022:

Για κάθε κανονισμό, εφόσον εφαρμόζεται, μπορείτε να δημιουργήσετε έναν απλό πίνακα αντιστοίχισης (θα μπορούσε να είναι παράρτημα σε μια αναφορά) που παραθέτει τις βασικές απαιτήσεις ασφάλειας του κανονισμού και τους αντίστοιχους ελέγχους/πολιτικές στο ISMS σας. Αυτό δεν είναι υποχρεωτικό στο ISO 27001, αλλά είναι μια χρήσιμη εσωτερική άσκηση για να διασφαλιστεί ότι δεν παραλείφθηκε κάτι.

Ένας πρακτικός χάρτης πολλαπλής συμμόρφωσης μπορεί να έχει την εξής μορφή:

Η αξία βρίσκεται στην αποδοτικότητα. Ένα καλά λειτουργούν ISO 27001:2022 ISMS, καθοδηγούμενο από τη λειτουργία Govern του NIST CSF 2.0, μπορεί να παράγει επαναχρησιμοποιήσιμα τεκμήρια για πολλά πλαίσια ταυτόχρονα.

Η οπτική του ελεγκτή: απόδειξη ότι η διακυβέρνηση είναι πραγματική

Μια πολιτική στο ράφι δεν είναι διακυβέρνηση. Οι ελεγκτές και οι αξιολογητές αναζητούν ένα ενιαίο νήμα: πολιτική υψηλού επιπέδου, καθορισμένη διαδικασία, επιχειρησιακό αρχείο, ανασκόπηση από τη διοίκηση και ενέργεια βελτίωσης.

Διαφορετικοί αξιολογητές θα εξετάσουν αυτό το νήμα με διαφορετικό τρόπο.

Η εταιρική Πολιτική Ρόλων και Αρμοδιοτήτων Διακυβέρνησης της Clarysec Πολιτική Ρόλων και Αρμοδιοτήτων Διακυβέρνησης αναφέρει:

Η διακυβέρνηση πρέπει να υποστηρίζει την ενσωμάτωση με άλλους κλάδους (π.χ. κίνδυνος, νομικά, ΤΠ, HR), και οι αποφάσεις ISMS πρέπει να είναι ιχνηλάσιμες ως προς την πηγή τους (π.χ. αρχεία ελέγχου, αρχεία ανασκόπησης, πρακτικά συνεδρίασης).

Αυτή είναι η ρήτρα 5.5 της Πολιτικής Ρόλων και Αρμοδιοτήτων Διακυβέρνησης. Αποτυπώνει την ουσία της πολλαπλής συμμόρφωσης: οι αποφάσεις διακυβέρνησης πρέπει να είναι ιχνηλάσιμες.

Η Πολιτική Ελέγχου και Παρακολούθησης Συμμόρφωσης για ΜΜΕ Πολιτική Ελέγχου και Παρακολούθησης Συμμόρφωσης για ΜΜΕ προσθέτει μια κρίσιμη πειθαρχία τεκμηρίων:

Τα μεταδεδομένα (π.χ. ποιος τα συνέλεξε, πότε και από ποιο σύστημα) πρέπει να τεκμηριώνονται.

Το απόσπασμα αυτό προέρχεται από τη ρήτρα 6.2.3 της Πολιτικής Ελέγχου και Παρακολούθησης Συμμόρφωσης για ΜΜΕ. Τα μεταδεδομένα τεκμηρίων είναι συχνά αυτό που διαχωρίζει έναν φάκελο με στιγμιότυπα οθόνης από τεκμήρια επιπέδου ελέγχου.

Η εταιρική Πολιτική Ελέγχου και Παρακολούθησης Συμμόρφωσης Πολιτική Ελέγχου και Παρακολούθησης Συμμόρφωσης προσθέτει την απαίτηση σε επίπεδο προγράμματος:

Ο οργανισμός πρέπει να διατηρεί δομημένο Πρόγραμμα Ελέγχων και Παρακολούθησης Συμμόρφωσης ενσωματωμένο στο ISMS, το οποίο καλύπτει:

Αυτή είναι η ρήτρα 5.1 της Πολιτικής Ελέγχου και Παρακολούθησης Συμμόρφωσης. Η συνέπεια για τη διακυβέρνηση είναι άμεση: ο έλεγχος δεν είναι ετήσιος πανικός. Είναι μέρος των λειτουργιών του ISMS.

Συνήθη λάθη ΜΜΕ κατά την αντιστοίχιση του NIST Govern στο ISO 27001:2022

Το πρώτο λάθος είναι η υπερτεκμηρίωση χωρίς ιδιοκτησία. Μια ΜΜΕ συντάσσει πολιτικές αλλά δεν αναθέτει ιδιοκτήτες για την αντιμετώπιση κινδύνων, τις ανασκοπήσεις προμηθευτών, τις εγκρίσεις εξαιρέσεων ή την αναφορά προς τη διοίκηση.

Το δεύτερο λάθος είναι η αντιμετώπιση των νομικών υποχρεώσεων ως κάτι ξεχωριστό από το ISMS. Το NIST GV.OC-03 απαιτεί οι υποχρεώσεις να είναι κατανοητές και διαχειριζόμενες. Το ISO 27001:2022 απαιτεί οι σχετικές απαιτήσεις των ενδιαφερόμενων μερών και οι νομικές, ρυθμιστικές και συμβατικές υποχρεώσεις να λαμβάνονται υπόψη στο ISMS.

Το τρίτο λάθος είναι η αδύναμη αιτιολόγηση της SoA. Η SoA δεν είναι μόνο ένας κατάλογος εφαρμόσιμων ελέγχων. Είναι το αρχείο τεκμηρίωσης της λογικής για την οποία οι έλεγχοι συμπεριλαμβάνονται, εξαιρούνται ή υλοποιούνται.

Το τέταρτο λάθος είναι η απουσία τεκμηρίων κύκλου ζωής προμηθευτή. Η διακυβέρνηση προμηθευτών περιλαμβάνει ένταξη, συμβάσεις, παρακολούθηση, περιστατικά, αλλαγές και αποχώρηση.

Το πέμπτο λάθος είναι η μη επικαιροποίηση του στοχευόμενου προφίλ. Ένα προφίλ CSF πρέπει να αλλάζει όταν η επιχείρηση εισέρχεται σε νέα γεωγραφική περιοχή, υπογράφει σημαντικό πελάτη, υιοθετεί κρίσιμο προμηθευτή, λανσάρει ρυθμιζόμενο προϊόν, αλλάζει αρχιτεκτονική νέφους ή υφίσταται περιστατικό.

Οδικός χάρτης 30 ημερών για τη λειτουργία Govern του NIST CSF 2.0 για ΜΜΕ

Εάν μια ΜΜΕ χρειάζεται να κινηθεί γρήγορα, ξεκινήστε με ένα εστιασμένο σχέδιο υλοποίησης 30 ημερών.

Το σχέδιο αυτό δημιουργεί επαρκή τεκμήρια διακυβέρνησης για την απάντηση σε σοβαρά ερωτήματα πελατών και ελέγχου, ενώ παράλληλα οικοδομεί τη βάση για πιστοποίηση ISO 27001:2022, ετοιμότητα NIS2, διασφάλιση πελατών DORA και λογοδοσία GDPR.

Το πρακτικό αποτέλεσμα: μία ιστορία διακυβέρνησης, πολλές χρήσεις συμμόρφωσης

Όταν η Sarah επιστρέφει στο Διοικητικό Συμβούλιο, δεν έχει πλέον πέντε ασύνδετες ροές εργασιών συμμόρφωσης. Έχει μία ιστορία διακυβέρνησης.

Τα αποτελέσματα NIST CSF 2.0 Govern έχουν αντιστοιχιστεί σε πολιτικές, ιδιοκτήτες, κινδύνους, ελέγχους και τεκμήρια ISO 27001:2022. Το πεδίο εφαρμογής του ISMS περιλαμβάνει εξαρτήσεις πελατών, προμηθευτών και νέφους, καθώς και νομικές, ρυθμιστικές, σχετικές με την ιδιωτικότητα και συμβατικές υποχρεώσεις. Το Μητρώο Κινδύνων καθοδηγεί τις αποφάσεις αντιμετώπισης και την εφαρμοσιμότητα της SoA. Οι πολιτικές είναι εγκεκριμένες, ελέγχονται ως προς την έκδοση, έχουν ιδιοκτήτη, κοινοποιούνται και ανασκοπούνται. Οι κίνδυνοι προμηθευτών διαβαθμίζονται, καλύπτονται συμβατικά, παρακολουθούνται και είναι ιχνηλάσιμοι. Οι υποχρεώσεις επεξεργασίας GDPR, οι προσδοκίες λογοδοσίας NIS2 και οι μετακυλίσεις απαιτήσεων DORA από πελάτες διασταυρώνονται όπου εφαρμόζεται. Τα τεκμήρια ελέγχου περιλαμβάνουν μεταδεδομένα, αρχεία αποφάσεων και αποτελέσματα ανασκόπησης από τη διοίκηση.

Έτσι φαίνεται η διακυβέρνηση όταν λειτουργεί στην πράξη.

Επόμενο βήμα: δημιουργήστε το πακέτο τεκμηρίων Govern για ΜΜΕ με την Clarysec

Εάν προετοιμάζεστε για ISO 27001:2022, απαντάτε σε δέουσα επιμέλεια εταιρικού πελάτη, αντιστοιχίζετε αποτελέσματα NIST CSF 2.0 Govern ή προσπαθείτε να ευθυγραμμίσετε NIS2, DORA και GDPR χωρίς να δημιουργήσετε ξεχωριστά προγράμματα, ξεκινήστε από το επίπεδο διακυβέρνησης.

Η Clarysec μπορεί να σας βοηθήσει να δημιουργήσετε:

• Ένα τρέχον και ένα στοχευόμενο προφίλ NIST CSF 2.0 Govern.
• Αντιστοίχιση πολιτικών ISO 27001:2022 και SoA.
• Ένα μητρώο υποχρεώσεων πολλαπλής συμμόρφωσης με χρήση του Zenith Controls Zenith Controls.
• Έναν οδικό χάρτη υλοποίησης ISMS 30 βημάτων με χρήση του Zenith Blueprint Zenith Blueprint.
• Τεκμήρια πολιτικών έτοιμα για ΜΜΕ με χρήση της εργαλειοθήκης πολιτικών της Clarysec, συμπεριλαμβανομένων της Πολιτικής Ρόλων και Αρμοδιοτήτων Διακυβέρνησης για ΜΜΕ Πολιτική Ρόλων και Αρμοδιοτήτων Διακυβέρνησης για ΜΜΕ, της Πολιτικής Διαχείρισης Κινδύνων για ΜΜΕ Πολιτική Διαχείρισης Κινδύνων για ΜΜΕ, της Πολιτικής Νομικής και Κανονιστικής Συμμόρφωσης για ΜΜΕ Πολιτική Νομικής και Κανονιστικής Συμμόρφωσης για ΜΜΕ, της Πολιτικής Ασφάλειας Τρίτων Μερών και Προμηθευτών για ΜΜΕ Πολιτική Ασφάλειας Τρίτων Μερών και Προμηθευτών για ΜΜΕ και της Πολιτικής Ελέγχου και Παρακολούθησης Συμμόρφωσης για ΜΜΕ Πολιτική Ελέγχου και Παρακολούθησης Συμμόρφωσης για ΜΜΕ.

Η ταχύτερη διαδρομή δεν είναι άλλο ένα υπολογιστικό φύλλο. Είναι ένα ISMS με διακυβέρνηση, βασισμένο στον κίνδυνο και έτοιμο ως προς τα τεκμήρια, που επιτρέπει στη ΜΜΕ σας να απαντά με βεβαιότητα σε μία ερώτηση:

Μπορείτε να αποδείξετε ότι η κυβερνοασφάλεια είναι διαχειριζόμενη, έχει σαφή ιδιοκτησία, ανασκοπείται και βελτιώνεται συνεχώς;

Με την Clarysec, η απάντηση γίνεται ναι.