Auditivalmis ISO 27001 riskihindamine NIS2 ja DORA jaoks
Kohv Sarah’ laual oli jahtunud.
Kiiresti kasvava fintech-ettevõtte CISO-na oli ta survega harjunud. Ettevõte oli äsja võitnud olulise panganduspartneri ning tema ekraanil olev hoolsuskontrolli küsimustik oleks pidanud olema formaalsus. Esimesed küsimused olid tuttavad: esitage ISO/IEC 27001:2022 kohaldatavusdeklaratsioon, jagage viimast riskiregistrit, selgitage riskihindamise metoodikat.
Siis muutus küsimustiku fookus.
Tõendage, kuidas teie riskijuhtimisprogramm käsitleb DORA nõudeid. Selgitage valmisolekut NIS2 direktiiviks, sealhulgas juhtorgani vastutust ning tarneahela riskimeetmeid. Esitage tõendusmaterjal, et kriitilisi IKT-tarnijaid hinnatakse, seiratakse ning need on kaetud intsidentidele reageerimise ja talitluspidevuse plaanidega.
Esmaspäeva hommikuks oli sama teema juhatuse riskikomitee päevakorras. ISO 27001 sertifitseerimisaudit kaheksa nädala pärast. DORA surve finantssektori klientidelt. NIS2 klassifitseerimisküsimused pilvekeskkonnas majutatud teenuseliini kohta, mis laienes EL-i. Hankeosakond ütles, et tarnijate läbivaatamised on olemas, kuid tõendusmaterjal paikneb e-kirjades, lepingukaustades ja tarnijate tabelis. Õigusosakond ütles, et regulatiivne vastendus on alles koostamisel. Arendusmeeskond ütles, et riskiregister on peaaegu valmis.
Juhatus esitas ainsa küsimuse, mis tegelikult luges:
Kas suudame tõendada, et meie riskihindamine ja riskikäsitlusplaan on piisavad?
See on SaaS-i, fintech-ettevõtete, hallatud teenuste, pilve- ja digiplatvormiettevõtete tegelik probleem. Mitte see, kas riskiregister on olemas. Mitte see, kas lisa A kontrollimeetmed on tabelisse kopeeritud. Küsimus on selles, kas organisatsioon suudab auditi ja klientide surve all tõendada, et tema ISO 27001 riskihindamise protsess on korratav, riskipõhine, riskiomanike poolt heaks kiidetud, seotud käsitlustegevustega, vastendatud õiguslike kohustustega ning operatiivselt toimiv.
Hästi tehtuna saab üks ISO 27001 riskihindamine ja üks riskikäsitlusplaan toetada ISO/IEC 27001:2022 sertifitseerimist, NIS2 Article 21 küberturvalisuse riskijuhtimismeetmeid, DORA IKT-riskijuhtimise nõudeid, GDPR-i vastutust, tarnijakinnitust, intsidentideks valmisolekut ja juhatuse aruandlust.
Halvasti tehtuna muutub see tabeliks, mille audiitorid võtavad kolmekümne minutiga koost lahti.
See juhend näitab, kuidas Clarysec koostab auditivalmis ISO 27001 riskihindamise ja riskikäsitluse tõendusmaterjali, kasutades Zenith Blueprint: audiitori 30-sammuline tegevuskava, Claryseci poliitikaid ja Zenith Controls: vastavusraamistikeülene juhend.
Miks ISO 27001 riskihindamine on nüüd vastavuse sõlmpunkt
EL-i regulatiivne maastik koondub lihtsa põhimõtte ümber: küberturvalisuse riski tuleb juhtida, dokumenteerida, testida ja selgelt omistada vastutavale omanikule.
ISO/IEC 27001:2022 toimib juba sellisel viisil. Punktid 4.1 kuni 4.4 nõuavad, et organisatsioon mõistaks enne riski hindamist oma konteksti, huvitatud osapooli, ISMS-i kohaldamisala ja protsesside koostoimeid. Punktid 6.1.2 ja 6.1.3 nõuavad määratletud infoturbe riskihindamise ja riskikäsitluse protsessi. Punktid 8.2 ja 8.3 nõuavad, et organisatsioon teeks riskihindamisi ja rakendaks käsitlusplaani, säilitades samal ajal dokumenteeritud teabe.
NIS2 ja DORA muudavad sama riskipõhise loogika kiireloomulisemaks.
NIS2 Article 20 nõuab, et oluliste ja tähtsate üksuste juhtorganid kinnitaksid küberturvalisuse riskijuhtimismeetmed, teostaksid järelevalvet nende rakendamise üle ja läbiksid küberturvalisuse koolituse. Article 21 nõuab asjakohaseid ja proportsionaalseid tehnilisi, operatiivseid ja organisatsioonilisi meetmeid võrkude ja infosüsteemidega seotud riskide juhtimiseks. Need meetmed hõlmavad riskianalüüsi, intsidentide käsitlemist, talitluspidevust, tarneahela turvet, turvalist arendust, haavatavuste käsitlemist, tõhususe hindamist, küberhügieeni, krüptograafiat, personaliturvet, juurdepääsukontrolli, varahaldust ning vajaduse korral mitmefaktorilist autentimist või turvalist sidet.
DORA avaldab finantsüksustele sarnast survet. Articles 5 ja 6 nõuavad, et juhtorgan määratleks, kinnitaks, jälgiks ja jääks vastutavaks IKT-riskijuhtimise korralduse eest. DORA eeldab dokumenteeritud IKT-riskijuhtimise raamistikku, mis on integreeritud üldisesse riskijuhtimisse ning mida toetavad poliitikad, protseduurid, protokollid, tööriistad, siseaudit, parandusmeetmed, talitluspidevus, testimine, intsidendihaldus ja IKT kolmandate osapoolte juhtimine.
Järeldus on praktiline ja vältimatu: riskiregister ei ole enam tehnilise meeskonna tööleht. See on juhtimise tõendusmaterjal.
Claryseci ettevõttetaseme Riskijuhtimise poliitika sõnastab selle ootuse selgelt:
Tuleb hoida ametlikku riskijuhtimise protsessi kooskõlas ISO/IEC 27005 ja ISO 31000 nõuetega, hõlmates riskide tuvastamist, analüüsi, hindamist, käsitlemist, seiret ja kommunikatsiooni.
Ettevõttetaseme riskijuhtimise poliitika jaotisest „Juhtimisnõuded“, poliitika punkt 5.1.
Sama poliitika määratleb auditivalmis tulemuse:
Säilitada keskne, versioonihaldusega riskiregister ja riskikäsitlusplaan, mis kajastavad praegust riskistaatust, kontrollimeetmete katvust ja maandamismeetmete edenemist.
Ettevõttetaseme riskijuhtimise poliitika jaotisest „Eesmärgid“, poliitika punkt 3.3.
See fraas — „praegune riskistaatus, kontrollimeetmete katvus ja maandamismeetmete edenemine“ — eristab staatilist vastavusfaili kaitstavast riskiprogrammist.
Alusta kohaldamisalast, kohustustest ja riskikriteeriumidest
Paljud nõrgad ISO 27001 riskihindamised algavad kontrollnimekirjast. See on vale järjekord.
ISO 27001 nõuab, et organisatsioon määratleks enne kontrollimeetmete valimist konteksti, huvitatud osapoolte nõuded, ISMS-i kohaldamisala, juhtimiskohustused ja riskide planeerimise. ISO/IEC 27005:2022 tugevdab seda lähenemist, soovitades organisatsioonidel enne riski hindamist tuvastada huvitatud osapoolte põhinõuded. Need nõuded võivad tuleneda ISO standarditest, valdkondlikest regulatsioonidest, riiklikest seadustest, kliendilepingutest, sisepoliitikatest, varasematest riskikäsitluse tegevustest ja tarnijakohustustest.
EL-i suunal tegutseva SaaS-i või fintech-ettevõtte puhul peab riskiprotsess algama vastavus- ja kohustuste registrist.
| Nõude allikas | Miks see mõjutab ISO 27001 riskihindamist | Tõendusmaterjali artefakt |
|---|---|---|
| ISO/IEC 27001:2022 punktid 4, 5, 6, 8, 9 ja 10 | Määratleb konteksti, juhtimise, riskihindamise, riskikäsitluse, tegevuse ohje, tulemuslikkuse hindamise ja täiustamise | ISMS-i kohaldamisala, riskimetoodika, riskiregister, käsitlusplaan, SoA, juhtkonna läbivaatamise kirjed |
| NIS2 Articles 20, 21 ja 23 | Lisab juhtorgani vastutuse, kõiki ohte hõlmavad küberturvalisuse meetmed ja ootused intsidentidest teatamisele | Juhatuse heakskiit, Article 21 vastendus, intsidentidest teatamise tööjuhis, talitluspidevuse tõendusmaterjal |
| DORA Articles 5, 6, 11, 12, 17, 18, 19, 24, 28 ja 30 | Nõuab IKT-riskide juhtimist, talitluspidevust, varundamist ja taastamist, intsidendi elutsüklit, testimist ning IKT kolmandate osapoolte riskide kontrollimeetmeid | IKT-riskiraamistik, talitluspidevuse plaani testid, intsidentide register, toimepidevuse testimise kirjed, IKT-tarnijate register |
| GDPR Articles 3, 4, 5, 6, 9, 10, 25, 32, 33 ja 34 | Nõuab vastutust, seaduslikku töötlemist, lõimitud andmekaitset, asjakohast turvalisust ja rikkumise hindamist | Andmeregister, õigusliku aluse vastendus, privaatsusriskide kirjed, DPIA lingid, rikkumise hindamise kirjed |
| Tarnija- ja kliendilepingud | Muudab ärilised lubadused riskikriteeriumideks, kontrollimeetmeteks, tõendusmaterjaliks ja tähtaegadeks | Lepinguregister, hoolsuskontrolli kirjed, auditeerimisõigused, SLA-d, väljumisklauslid |
VKE-de jaoks määrab Claryseci õigusnormidele vastavuse poliitika – VKE lähtepunkti:
Peadirektor peab pidama lihtsat ja struktureeritud vastavusregistrit, milles on loetletud:
VKE õigusnormidele vastavuse poliitika jaotisest „Juhtimisnõuded“, poliitika punkt 5.1.1.
See lihtne register on sild vastavuse ja riskijuhtimise vahel. Kui selles on kirjas, et GDPR kohaldub, sest töödeldakse EL-i isikuandmeid, NIS2 võib kohalduda, sest organisatsioon osutab digitaalseid või hallatud teenuseid, või DORA on asjakohane finantssektori klientide tõttu, peavad need kohustused mõjutama riskikriteeriume ja käsitlusprioriteete.
Zenith Blueprint ütleb seda riskijuhtimise faasi 10. sammus „Riskikriteeriumide ja mõjumaatriksi kehtestamine“ otse:
Arvesta vastuvõtukriteeriumides ka õiguslike/regulatiivsete nõuetega. Mõned riskid võivad olla seaduste tõttu vastuvõetamatud olenemata tõenäosusest.
Zenith Blueprintist, riskijuhtimise faas, 10. samm.
See annab töötubade jaoks ka praktilise reegli:
„Iga risk, mis võib viia kohaldatavate seaduste (GDPR jne) rikkumiseni, ei ole vastuvõetav ja tuleb maandada.“
Zenith Blueprintist, riskijuhtimise faas, 10. samm.
Sarah’ fintech-ettevõtte jaoks muudab see skoorimismudelit. Tarnija API haavatavuse tõenäosus võib olla madal, kuid kui selle ärakasutamine võib käivitada DORA olulise IKT-ga seotud intsidendi, NIS2 olulise intsidendi, GDPR-i rikkumise hindamise, kliendi SLA rikkumise või juhatuse tasandi eskaleerimise, on mõju kõrge või kriitiline. Regulatiivne kokkupuude muutub riskiloogika osaks, mitte eraldi tabeliks.
Koosta riskiregister, mida audiitorid saavad testida
Audiitorid ei küsi ainult, millised on teie peamised riskid. Nad kontrollivad, kas meetod on määratletud, korratav, jälgitav ja tegelikult järgitud.
Nad küsivad:
- Kuidas need riskid tuvastati?
- Millised varad, teenused, tarnijad, andmetüübid ja protsessid olid kohaldamisalas?
- Milliseid kriteeriume kasutati tõenäosuse ja mõju hindamiseks?
- Kes on iga riski omanik?
- Millised olemasolevad kontrollimeetmed riski vähendavad?
- Miks valiti just see käsitlusotsus?
- Kus on tõendusmaterjal, et käsitlus toimus?
- Kes kinnitas jääkriski?
- Millal risk uuesti hinnatakse?
Claryseci riskijuhtimise poliitika – VKE kirjeldab minimaalset auditivalmis riskikirjet:
Iga riskikirje peab sisaldama kirjeldust, tõenäosust, mõju, skoori, omanikku ja riskikäsitlusplaani.
VKE riskijuhtimise poliitika jaotisest „Juhtimisnõuded“, poliitika punkt 5.1.2.
Ettevõttetaseme programmide puhul laiendab Zenith Blueprint riskijuhtimise faasi 11. sammus „Riskiregistri koostamine ja dokumenteerimine“ struktuuri. See soovitab veerge nagu riski ID, vara, oht, haavatavus, riski kirjeldus, tõenäosus, mõju, riskitase, olemasolevad kontrollimeetmed, riskiomanik, käsitlusotsus, riskikäsitlusplaan või kontrollimeetmed ning staatus.
Tugev riskikirje näeb välja selline:
| Väli | Näidiskirje |
|---|---|
| Riski ID | R-042 |
| Vara või protsess | Kliendiandmete töötlemine kolmanda osapoole makse-API ja tootmisandmebaasi kaudu |
| Oht | Kriitilise haavatavuse ärakasutamine tarnija API-s või seda toetavas pilveandmebaasi teenuses |
| Haavatavus | Piiratud nähtavus tarnija haavatavuste halduses, mittetäielik taastamistestimine ja testimata tarnija rikkumise tööjuhis |
| Riski kirjeldus | Tarnija või pilveteenuse kompromiteerimine võib avalikustada finantsandmeid, häirida teenust, käivitada regulatiivse teavitamise ja rikkuda kliendilepinguid |
| Olemasolevad kontrollimeetmed | SSO, rollipõhine juurdepääs, tarnijaleping, tootmiskeskkonna logimine, igapäevased varukoopiad, kvartaalne juurdepääsuõiguste läbivaatamine |
| Tõenäosus | Keskmine |
| Mõju | Kriitiline |
| Riskitase | Kriitiline |
| Riskiomanik | CTO ja platvormitehnoloogia juht |
| Käsitlusotsus | Maandada |
| Regulatiivne vastendus | ISO 27001 lisa A tarnija-, pilve-, intsidendi-, logimis-, juurdepääsu-, talitluspidevuse-, varundus- ja õigusliku vastavuse kontrollimeetmed; NIS2 Articles 20, 21 ja 23; DORA Articles 5, 6, 11, 12, 17, 18, 19, 24, 28 ja 30; GDPR Articles 32, 33 ja 34 |
| Tõendusmaterjal | Tarnija hoolsuskontroll, auditeerimisõiguste taotlus, taastamistesti aruanne, SIEM-i seirereegel, intsidendi lauaõppus, ajakohastatud SoA, juhtkonna läbivaatamise protokollid |
See erineb sisuliselt kirjeldusest „Kolmanda osapoole risk, kõrge, maandada“. Auditivalmis versioon seob vara, ohu, haavatavuse, tagajärje, olemasolevad kontrollimeetmed, omaniku, regulatsiooni, tõendusmaterjali ja juhtimise.
Muuda riskikäsitlus tõendusmaterjali plaaniks
Riskikäsitlusplaan peab vastama neljale operatiivsele küsimusele:
- Mida me teeme?
- Kes selle eest vastutab?
- Millal see valmis saab?
- Kuidas tõendame, et see vähendas riski?
ISO/IEC 27001:2022 punkt 6.1.3 nõuab, et organisatsioon valiks käsitlusvariandid, määraks vajalikud kontrollimeetmed, võrdleks neid lisa A-ga puuduste vältimiseks, koostaks kohaldatavusdeklaratsiooni, vormistaks käsitlusplaani ning hangiks riskiomaniku heakskiidu plaanile ja jääkriskidele. Punkt 8.3 nõuab seejärel käsitlusplaani rakendamist ja tulemusi puudutava dokumenteeritud teabe säilitamist.
Ettevõttetaseme riskijuhtimise poliitika muudab selle praktiliseks:
Riskijuht peab tagama, et käsitlused on realistlikud, ajaliselt piiritletud ja vastendatud ISO/IEC 27001 lisa A kontrollimeetmetega.
Ettevõttetaseme riskijuhtimise poliitika jaotisest „Poliitika rakendamise nõuded“, poliitika punkt 6.4.2.
VKE poliitika selgitab ka, et aktsepteerimine ei ole otsetee:
Aktsepteeri: põhjenda, miks täiendavat tegevust ei ole vaja, ja registreeri jääkrisk.
VKE riskijuhtimise poliitika jaotisest „Poliitika rakendamise nõuded“, poliitika punkt 6.1.1.
Aktsepteerimine peab olema kriteeriumide suhtes põhjendatud, õige omaniku poolt heaks kiidetud ja seiratud. NIS2 ja DORA kontekstis võib kinnitamata jääkrisk muutuda juhtimispuuduseks.
Täielik käsitlusplaan peab sisaldama järgmisi välju:
| Käsitlusväli | Auditi eesmärk |
|---|---|
| Riski ID | Seob käsitluse tagasi hinnatud riskiga |
| Käsitlusvariant | Näitab põhjendust: maandada, vältida, üle kanda või aktsepteerida |
| Valitud kontrollimeetmed | Seob riski lisa A, poliitikate ja tehniliste kaitsemeetmetega |
| Regulatiivne ajend | Näitab NIS2, DORA, GDPR-i, lepingu või kliendi asjakohasust |
| Tegevuse omanik | Tõendab vastutust |
| Tähtaeg | Muudab käsitluse ajaliselt piiritletuks |
| Rakendamise tõendusmaterjal | Näitab, et tegevus on lõpetatud |
| Tõhususe mõõdik | Näitab, kas tõenäosus või mõju vähenes |
| Jääkrisk | Näitab allesjäävat kokkupuudet |
| Riskiomaniku heakskiit | Tõendab aktsepteerimist ja juhtimist |
Sarah’ R-042 puhul muutub käsitlusplaan vastavusraamistikeüleseks tegevusloendiks.
| Riski ID | Käsitlustegevus | ISO/IEC 27001:2022 lisa A viide | NIS2 asjakohasus | DORA asjakohasus | Omanik | Tõendusmaterjal |
|---|---|---|---|---|---|---|
| R-042 | Kasutada tarnija auditeerimisõigusi ja küsida haavatavuste halduse tõendusmaterjali | 5.19, 5.20, 5.21, 5.22, 5.31 | Article 21(2)(d) tarneahela turve | Articles 28 ja 30 IKT kolmanda osapoole risk ja lepingud | CTO ja hankejuht | Auditi taotlus, tarnija vastus, lepingu läbivaatamine |
| R-042 | Rakendada tugevdatud seiret anomaalse API- ja privilegeeritud tegevuse jaoks | 8.15, 8.16, 5.16, 5.17, 5.18 | Article 21(2)(i) juurdepääsukontroll ja varahaldus | Articles 6 ja 17 IKT-risk ja intsidendihaldus | SOC-i juht | SIEM-i reegel, teavituse test, juurdepääsuõiguste läbivaatamine |
| R-042 | Testida varukoopiate taastamist ning määratleda teenustaseme RTO ja RPO | 5.30, 8.13, 8.14 | Article 21(2)(c) talitluspidevus ja varundamine | Articles 11 ja 12 reageerimine, taaste, varundamine ja taastamine | Platvormitehnoloogia juht | Taastamisaruanne, RTO ja RPO heakskiit |
| R-042 | Korraldada tarnija rikkumise lauaõppus | 5.24, 5.26, 5.27, 5.29 | Articles 21(2)(b) ja 23 intsidentide käsitlemine ja teavitamine | Articles 17, 18, 19 ja 24 intsidendihaldus, klassifitseerimine, aruandlus ja testimine | CISO | Lauaõppuse kirje, õppetunnid, parandusmeetmete jälgija |
| R-042 | Ajakohastada SoA ja kinnitada jääkrisk | 5.4, 5.31, 5.35 | Article 20 juhtorgani vastutus | Articles 5 ja 6 juhtimine ja IKT-riskiraamistik | CISO ja riskiomanik | Ajakohastatud SoA, heakskiidu kirje, juhtkonna läbivaatamise protokollid |
See plaan on mõjus, sest see loob otsese seose ühe riskistsenaariumi, ISO 27001 kontrollimeetmete, NIS2 kohustuste, DORA artiklite, omanike ja tõendusmaterjali vahel.
Pane kohaldatavusdeklaratsioon rohkem tööd tegema
Kohaldatavusdeklaratsiooni käsitletakse sageli sertifitseerimise artefaktina. See peab olema midagi enamat.
ISO/IEC 27001:2022 punkt 6.1.3 nõuab, et SoA sisaldaks vajalikke kontrollimeetmeid, kaasamise põhjendust, rakendamise staatust ja välistuste põhjendust. ISO/IEC 27005:2022 juhised rõhutavad vajadust võrrelda valitud kontrollimeetmeid ISO/IEC 27001 lisa A-ga, et vältida väljajätmisi.
Auditivalmis programmis muutub SoA sillaks riskikäsitluse ja vastavusraamistikeülese tõendusmaterjali vahel. Kui käsitlusplaan nõuab MFA-d, logimist, tarnijate seiret, varukoopiate taastamist, turvalist arendust, intsidendi eskaleerimist või pilveteenusest väljumise planeerimist, peab SoA näitama, et asjakohased lisa A kontrollimeetmed on kaasatud, põhjendatud, rakendatud või kavandatud ning tõendatud.
See aitab vältida ka sagedast auditi läbikukkumise põhjust: riskiregister ütleb üht, käsitlusplaan teist ja SoA vaikib. Kui need artefaktid on vastuolus, kaotavad audiitorid kiiresti usalduse.
ISO 27001 riskikäsitluse vastendamine NIS2, DORA ja GDPR-iga
ISO 27001 ei asenda NIS2, DORA ega GDPR-i nõudeid. See annab struktureeritud mehhanismi nende jaoks tõendusmaterjali loomiseks.
Võti on lisada vastendus riskiprotsessi, mitte kinnitada see hiljem külge.
| ISO 27001 riskikäsitluse tõendusmaterjal | NIS2 asjakohasus | DORA asjakohasus | GDPR asjakohasus |
|---|---|---|---|
| Regulatiivse mõju skoorimisega riskikriteeriumid | Toetab Article 21 proportsionaalseid küberturvalisuse riskijuhtimismeetmeid | Toetab Articles 4, 5 ja 6 proportsionaalsust, juhtimist ja IKT-riskiraamistikku | Toetab vastutust ja asjakohast turvalisust |
| Riskiregister omanike ja CIA mõjuga | Toetab Article 20 juhtorgani järelevalvet ja Article 21 riskianalüüsi | Toetab dokumenteeritud IKT-riskijuhtimist ja omanikuvastutust | Toetab isikuandmete riskiteadlikkuse tõendamist |
| Lisa A-ga vastendatud käsitlusplaan | Toetab Article 21 meetmeid intsidendi-, talitluspidevuse-, tarnija-, juurdepääsu-, haavatavuste- ja turvalise arenduse valdkondades | Toetab IKT kontrollimeetmeid, intsidendihaldust, talitluspidevust, testimist ja kolmandate osapoolte toimepidevust | Toetab Article 32 kohaseid tehnilisi ja korralduslikke meetmeid |
| Tarnijariskide kirjed ja lepingulised kontrollimeetmed | Toetab Article 21(2)(d) tarneahela turvet | Toetab Articles 28 ja 30 IKT kolmanda osapoole riski ja lepingunõudeid | Toetab vajaduse korral volitatud töötlejate ja andmeedastuste kaitsemeetmeid |
| Intsidendistsenaariumid ja teavitamise tööjuhised | Toetab Article 23 oluliste intsidentide teavitamise töövoogu | Toetab Articles 17, 18 ja 19 intsidendihaldust, klassifitseerimist ja aruandlust | Toetab Articles 33 ja 34 rikkumisest teavitamise hindamist |
| Talitluspidevuse, varundus- ja taastamiskäsitlused | Toetab Article 21(2)(c) talitluspidevust, varundamist, katastroofitaastet ja kriisijuhtimist | Toetab Articles 11 ja 12 reageerimist, taastet, varundamist ja taastamist | Toetab käideldavust ja vastupidavust, kui kaasatud on isikuandmed |
| Kontrollimeetmete tõhususe ülevaatused | Toetab Article 21(2)(f) tõhususe hindamist | Toetab Article 24 testimise ja parandusmeetmete ootusi | Toetab pidevat vastutust |
See vastendus on eriti oluline kohtades, kus regulatsioonid kattuvad. DORA on paljude finantsüksuste jaoks valdkonnapõhine IKT-toimepidevuse raamistik, samas kui NIS2 võib jääda otseselt asjakohaseks teatud teenuseosutajatele, koordineerimisele või DORA kohaldamisalast välja jäävatele üksustele. Fintech-ettevõte võib vajada DORA-t oma peamise IKT-toimepidevuse raamistikuna, samas kui seda fintech-ettevõtet toetaval hallatud teenuse osutajal võivad olla otsesed NIS2 kohustused.
Riskiregister peab suutma näidata selle sõltuvuse mõlemat poolt.
Kasuta Zenith Controls lahendust vastavusraamistikeülese kompassina
Clarysec kasutab Zenith Controls lahendust vastavusraamistikeülese juhendina, et vältida levinud puudust, kus ISO kontrollimeetmed, regulatiivsed artiklid ja auditiküsimused elavad eraldi maailmades. See ei loo eraldi kontrolliraamistikku. See vastendab ISO/IEC 27001:2022 ja ISO/IEC 27002:2022 kontrollivaldkonnad teiste standardite, auditiootuste ja vastavusvaadetega.
ISO 27001 riskihindamise ja riskikäsitluse jaoks on eriti olulised järgmised viited:
| ISO/IEC 27001:2022 lisa A viide, mida kasutatakse Zenith Controls lahenduses | Miks see on riskihindamise ja riskikäsitluse jaoks oluline | Zenith Controls lahenduses kajastatud atribuudid |
|---|---|---|
| 5.4 Juhtkonna vastutus | Seob riskikäsitluse omanikuvastutuse juhtimise, rolliselguse ja vastutusega | Ennetav kontrollimeede, toetab konfidentsiaalsust, terviklust ja käideldavust, vastendub valdkondadega Identify, Governance, Governance and Ecosystem |
| 5.31 Õiguslikud, seadusest tulenevad, regulatiivsed ja lepingulised nõuded | Seob vastavusregistri riskikriteeriumide, käsitlusotsuste ja SoA kaasamisega | Ennetav kontrollimeede, toetab konfidentsiaalsust, terviklust ja käideldavust, vastendub valdkondadega Identify, Legal and Compliance, Governance, Ecosystem ja Protection |
| 5.35 Infoturbe sõltumatu ülevaatus | Seob siseauditi, välisauditi ja juhtkonna kindluse käsitluse tõhususega | Ennetav ja korrigeeriv kontrollimeede, toetab konfidentsiaalsust, terviklust ja käideldavust, vastendub valdkondadega Identify ja Protect, Information Security Assurance, Governance and Ecosystem |
Vastavusraamistikeülene õppetund on lihtne. Kui õiguslikud kohustused ei ole riskihindamise meetodis, on skoorimine puudulik. Kui skoorimine on puudulik, võivad käsitlusprioriteedid olla valed. Kui prioriteedid on valed, muutuvad SoA ja juhatuse aruandlus ebausaldusväärseks.
Zenith Blueprint teeb sama mõtte selgeks riskijuhtimise faasi 14. sammus „Riskikäsitluse poliitikad ja regulatiivsed ristviited“. See soovitab organisatsioonidel koostada vastendustabeli, kus on loetletud peamised regulatiivsed turbenõuded ja vastavad kontrollimeetmed või poliitikad ISMS-is. See ei ole ISO 27001 sertifitseerimiseks kohustuslik, kuid on väga kasulik tõendamaks, et turvalisust juhitakse õiguslikus ja lepingulises kontekstis.
Mida eri audiitorid küsivad
Sertifitseerimisaudiitor, NIS2-le keskendunud hindaja, DORA-le orienteeritud klient, GDPR-i hindaja, NIST-i hindaja või COBIT-i praktik võib uurida sama tõendusmaterjali, kuid esitada erinevaid küsimusi.
| Audiitori vaade | Tüüpiline auditiküsimus | Eeldatav tõendusmaterjal |
|---|---|---|
| ISO 27001 audiitor | Kas riskihindamise meetod on määratletud, korratav, rakendatud ning seotud käsitluse ja SoA-ga? | Riskimetoodika, kriteeriumid, register, SoA, käsitlusplaan, jääkriski heakskiidud |
| NIS2-le orienteeritud hindaja | Kas küberturvalisuse meetmed katavad Article 21 valdkonnad ja juhtorgani vastutuse? | Juhatuse heakskiidud, Article 21 vastendus, intsidendi tööjuhis, talitluspidevuse tõendusmaterjal, tarnijariski tõendusmaterjal |
| DORA-le orienteeritud hindaja | Kas IKT-riskijuhtimine on dokumenteeritud, juhitud, testitud ja laiendatud IKT kolmandatele osapooltele? | IKT-riskiraamistik, intsidentide klassifitseerimise protsess, talitluspidevuse plaani testid, toimepidevuse testimine, IKT-tarnijate register |
| GDPR-i hindaja | Kas organisatsioon suudab tõendada asjakohast turvalisust ja vastutust isikuandmetega seotud riskide puhul? | Andmeregister, õigusliku aluse vastendus, rikkumise hindamise protseduur, privaatsusriskide käsitluse tõendusmaterjal |
| NIST-ile orienteeritud hindaja | Kas riskid on mõõdetavate kontrollimeetmete kaudu tuvastatud, nende eest kaitstud, tuvastatavad, neile reageeritakse ja neist taastutakse? | Riskistsenaariumid, varade register, kontrollimeetmete rakendamine, seire, reageerimise ja taaste kirjed |
| COBIT-i või ISACA audiitor | Kas riskijuhtimine on kooskõlas ettevõtte eesmärkide, rollide, toimivuse, kindluse ja juhtimisaruandlusega? | Juhtimise protokollid, RACI, KRI-d, siseauditi leiud, parandusmeetmete jälgimine, juhtkonna juhtpaneelid |
Seetõttu on tõendusmaterjali arhitektuur oluline. Sama riskikirje peab olema jälgitav ärieesmärgist vara, ohu, haavatavuse, kontrollimeetme, omaniku, regulatiivse ajendi, käsitlustegevuse, testitulemuse ja juhtimisotsuseni.
Claryseci poliitikad on loodud seda arhitektuuri toetama. Ettevõttetaseme riskijuhtimise poliitika sätestab jaotises „Viitestandardid ja raamistikud“:
Article 5: nõuab dokumenteeritud IKT-riskijuhtimise raamistikku, mida selle poliitika struktuur täielikult katab, sealhulgas SoA vastendus ja KRI-d.
See muudab poliitika staatilisest dokumendist audititõendusmaterjaliks, mis näitab, et IKT-riskide juhtimine on DORA nõudeid silmas pidades teadlikult kavandatud.
Levinud leiud, mis riskiprogramme nõrgestavad
Kui Clarysec vaatab läbi ISO 27001 riskihindamise ja riskikäsitluse tõendusmaterjali, korduvad samad leiud.
Esiteks eiravad riskikriteeriumid õiguslikku, regulatiivset, lepingulist, tarnija- ja privaatsusmõju. See põhjustab nõrka skoorimist. Isikuandmete rikkumist või kriitilise tarnija tõrget võidakse hinnata keskmiseks, sest tõenäosus on madal, kuigi GDPR, NIS2, DORA või kliendimõju peab selle muutma kõrgeks või kriitiliseks.
Teiseks on riskiomanikud üldised. „IT“ ei ole riskiomanik. Riskiomanik peab olema roll või isik, kes vastutab käsitlusotsuste, eelarve, ajastuse ja jääkriski eest.
Kolmandaks ei ole käsitlusplaanid ajaliselt piiritletud. „Paranda seiret“ ei ole plaan. „Juurutada SIEM-is privilegeeritud seansside teavitused tootmiskeskkonna administraatorikontodele 30. juuniks, omanik SOC-i juht, testitud simuleeritud administraatori sisselogimisega ja lisatud teavituse tõendusmaterjal“ on plaan.
Neljandaks on SoA käsitlusest lahutatud. Kui käsitlusplaan nõuab tarnijate seiret, varunduse testimist, intsidendi eskaleerimist, MFA-d või logimist, peab SoA kajastama asjakohaseid kontrollimeetmeid ja rakendamise staatust.
Viiendaks ei ole jääkrisk heaks kiidetud. ISO 27001 nõuab, et riskiomanik kinnitaks käsitlusplaani ja jääkriskid. NIS2 ja DORA muudavad selle veelgi olulisemaks, sest juhtorgani vastutus on selgesõnaline.
Kuuendaks käsitletakse tarnijariski hankeprotsessi asjaajamisena. NIS2 Article 21(2)(d) ja DORA Articles 28 ja 30 kohaselt peab tarnija- ja IKT kolmandate osapoolte risk olema riskijuhtimise osa, mitte eraldi hoitav iga-aastane küsimustik.
Seitsmendaks puudub tõendusmaterjal tõhususe kohta. ISO 27001 punkt 6.1.1 nõuab, et kavandatud tegevuste tõhusust hinnataks. NIS2 sisaldab Article 21(2)(f) tõhususe hindamist. DORA eeldab testimist ja parandusmeetmeid. Kontrollimeede, mis on olemas, kuid mida kunagi ei testita, on nõrk tõendusmaterjal.
VKE riskijuhtimise poliitika – VKE sõnastab ootuse selgelt:
Peadirektor ja riskikoordinaator peavad tagama, et riskijuhtimise tegevused on auditivalmis. Riskiregister ja seotud tegevused kuuluvad sise- ja välisauditi kohaldamisalasse.
VKE riskijuhtimise poliitika jaotisest „Rakendamine ja vastavus“, poliitika punkt 8.2.1.
Juhatuse aruandlus ilma tippjuhte üle koormamata
NIS2, DORA ja ISO 27001 viitavad kõik juhtkonna vastutusele, kuid juhatus ei vaja iga riskirida. Nad vajavad otsustamiseks kasutatavat aruandlust.
Hea juhatuse riskipakett peab näitama:
- kõrgeid ja kriitilisi riske valdkondade kaupa;
- tähtaja ületanud käsitlustegevusi;
- NIS2, DORA, GDPR-i või lepingutega seotud regulatiivseid riske;
- tarnijariske, mis mõjutavad kriitilisi või olulisi teenuseid;
- intsidentide ja peaaegu juhtumite trende;
- aktsepteerimist ootavaid jääkriske;
- kontrollimeetmete tõhususe testide tulemusi;
- olulisi muudatusi kohaldamisalas, tarnijates, tehnoloogias või õiguses;
- siseauditi leide ja parandusmeetmeid.
Clarysec soovitab tavaliselt igakuiseid operatiivseid riskide ülevaatusi ja kvartaalset juhtkonna läbivaatamist. Igakuised ülevaatused keskenduvad käsitlustegevuste elluviimisele. Kvartaalsed läbivaatamised keskenduvad aktsepteerimisele, rahastamisele, prioriseerimisele, regulatiivsele kokkupuutele ja strateegilistele riskiotsustele.
See rütm toetab ka pidevat täiustamist. Riskihindamisi tuleb ajakohastada, kui toimuvad intsidendid, ilmnevad haavatavused, lisanduvad uued varad, muutub tehnoloogia, vahetuvad tarnijad, muutub õigus, muutuvad kliendikohustused või muutub riskivalmidus.
Claryseci rakendustee
Ühtne riskiprogramm väldib lahutatud ISO, NIS2, DORA, GDPR-i ja kliendikinnituse tabeleid. Praktiline tee on järgmine:
- Kinnita ISMS-i kohaldamisala, teenused, varad, tarnijad, jurisdiktsioonid ja kliendikohustused.
- Koosta või ajakohasta vastavusregister, kasutades vajaduse korral õigusnormidele vastavuse poliitika – VKE juhiseid.
- Määratle riskimetoodika, vastuvõtukriteeriumid, tõenäosuse skaalad, mõju skaalad ja regulatiivse mõju reeglid.
- Koosta riskiregister, kasutades Zenith Blueprint riskijuhtimise faasi ning Claryseci riskiregistri ja SoA koostaja lähenemist.
- Tuvasta varapõhised ja stsenaariumipõhised riskid, sealhulgas tarnija-, pilve-, privaatsus-, talitluspidevuse-, intsidendi-, haavatavuse-, turvalise arenduse ja juurdepääsustsenaariumid.
- Skoori riske kriteeriumidega, mis hõlmavad õiguslikku, regulatiivset, lepingulist, operatiivset, privaatsus-, tarnija- ja finantsmõju.
- Vali käsitlusvariandid: maandada, vältida, üle kanda või aktsepteerida.
- Vastenda vajalikud kontrollimeetmed ISO/IEC 27001:2022 lisa A ja ISO/IEC 27002:2022 juhistega.
- Loo või ajakohasta kohaldatavusdeklaratsioon.
- Vastenda käsitlused NIS2 Article 21, DORA IKT-riskijuhtimise ja kolmandate osapoolte ootuste, GDPR-i vastutuse ning kliendi lepinguliste kohustustega.
- Kogu tõendusmaterjal, valideeri kontrollimeetmete tõhusus ja hangi jääkriski heakskiit.
- Valmista ette auditipakett, mis on korraldatud riski, kontrollimeetme, regulatsiooni ja tõendusmaterjali artefakti järgi.
- Suuna tulemused juhtkonna läbivaatamisse, siseauditi, parandusmeetmetesse ja pidevasse täiustamisse.
See ei ole paberitöö paberitöö pärast. See on kaitstava küberjuhtimise toimimissüsteem.
Koosta auditivalmis riskikäsitluse pakett
Sarah’ lugu lõpeb hästi, sest ta lõpetas ISO 27001, NIS2 ja DORA käsitlemise eraldi vastavusprojektidena. Ta kasutas ISO 27001 riskihindamist keskse mootorina, lõimis regulatiivsed kohustused riskikriteeriumidesse, vastendas käsitlustegevused lisa A ja EL-i nõuetega ning kogus tõendusmaterjali, millest kliendid, audiitorid ja juhatus aru said.
Teie organisatsioon saab teha sama.
Kasuta Zenith Blueprint: audiitori 30-sammuline tegevuskava, et määratleda riskikriteeriumid, koostada riskiregister, luua riskikäsitlusplaan ja ristviidata regulatiivseid nõudeid.
Kasuta Zenith Controls: vastavusraamistikeülene juhend, et seostada ISO/IEC 27001:2022 lisa A kontrollivaldkonnad juhtimise, õigusliku vastavuse, kindluse ja auditi vaadetega.
Kasuta Claryseci riskijuhtimise poliitikat, riskijuhtimise poliitikat – VKE ja õigusnormidele vastavuse poliitikat – VKE, et standardiseerida omanikuvastutus, registrid, käsitlusotsused ja auditivalmis tõendusmaterjal.
Kiireim praktiline järgmine samm on võtta oma kümme peamist riski ja testida neid viie küsimusega:
- Kas regulatiivne mõju on nähtav?
- Kas käsitlusplaan on ajaliselt piiritletud ja omanikuga?
- Kas iga käsitlus on vastendatud lisa A ja SoA-ga?
- Kas NIS2, DORA, GDPR-i või kliendi asjakohasus on vajaduse korral dokumenteeritud?
- Kas on tõendusmaterjali, et kontrollimeede toimib?
Kui vastus on ei, saab Clarysec aidata muuta teie riskiregistri kaitstavaks, vastavusraamistikeüleseks riskikäsitluse programmiks, mida audiitorid, regulaatorid, kliendid ja juhatused saavad usaldada.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
