Pilveauditi tõendusmaterjal ISO 27001, NIS2 ja DORA jaoks

Marial, kiiresti kasvava finantsanalüütika ettevõtte infoturbejuhil, oli kuus nädalat hetkeni, mil kolm tähtaega langesid kokku. Tema ISO 27001:2022 järelevalveaudit oli juba kavandatud. NIS2 oli viinud ettevõtte olulise üksusena uuele juhtkonna vastutuse tasemele. DORA pidi peagi kontrollima, kas tema fintech-tegevused suudavad tõendada digitaalse tegevuskerksuse strateegiat. Samal ajal oli suure ettevõttekliendiga sõlmitav leping ootel, kuni tema meeskond läbib üksikasjaliku infoturbealase kindlustandva ülevaatuse.

Ettevõte ei olnud ebaturvaline. Tootmiskeskkonna töökoormused töötasid AWS-is ja Azure’is, kasutusel olid Microsoft 365 ja mitu kriitilist SaaS-platvormi, MFA oli rakendatud, andmeid varundati, haavatavusi skanniti ja pilvelogisid koguti. Probleem oli tõendamises.

Tõendusmaterjal oli laiali Slacki ekraanitõmmistes, arendajate wiki-lehtedel, pilvekonsooli ekspordifailides, hankekaustades, õiguslikes lepingutes ja platvormiomanike suulistes kinnitustes. Kui audiitor küsis: „Näidake, kuidas te oma pilvekeskkonda kontrollite“, ei piisanud lingist pilveteenuse pakkuja vastavuslehele. Pakkuja sertifikaadid tõendasid pakkuja kontrollimeetmeid. Need ei tõendanud Maria osa jagatud vastutuse mudelis.

Just siin ebaõnnestuvad paljud pilveturbe audititõendusmaterjali programmid. Mitte seetõttu, et kontrollimeetmeid ei oleks, vaid seetõttu, et organisatsioon ei suuda struktureeritud ja jälgitaval viisil tõendada, millised vastutused kuuluvad teenusepakkujale, millised kliendile, kuidas SaaS-i ja IaaS-i kontrollimeetmed on konfigureeritud, kuidas tarnijate kohustusi rakendatakse ning kuidas tõendusmaterjali säilitatakse audiitorite, regulaatorite ja klientide jaoks.

Pilve vastavus ei ole enam tehniline lisa. NIS2 alla kuuluva SaaS-teenuse pakkuja, DORA alla kuuluva finantsüksuse või iga ISO 27001:2022 organisatsiooni jaoks, kes kasutab IaaS-i, PaaS-i ja SaaS-i, on pilvejuhtimine osa ISMS-i kohaldamisalast, riskikäsitluskavast, tarnija elutsüklist, intsidendiprotsessist, privaatsusvastutusest ja juhtkonnapoolsest ülevaatusest.

Praktiline eesmärk on lihtne: luua üks regulaatorile sobiv pilvetõendusmaterjali arhitektuur, mis vastab ISO 27001:2022, NIS2, DORA, GDPR, kliendipoolse kindlustunde ja siseauditi küsimustele ilma iga raamistiku jaoks tõendusmaterjali uuesti koostamata.

Pilv on alati kohaldamisalas, ka siis, kui taristu on allhankes

Esimene auditilõks on eeldus, et allhankena kasutatav taristu jääb ISMS-ist välja. Ei jää. Allhange muudab kontrollipiiri, kuid ei eemalda vastutust.

ISO/IEC 27001:2022 nõuab, et organisatsioon määratleks oma konteksti, huvitatud osapooled, ISMS-i kohaldamisala, liidesed, sõltuvused ja protsessid. Pilvepõhises ettevõttes on identiteedipakkuja, pilvemajutuse konto, CRM, e-posti platvorm, andmeladu, CI/CD torustik, piletihaldussüsteem ja varundusteenus sageli põhiline äritaristu.

Clarysec Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint rõhutab seda ISMS Foundation & Leadership etapis, sammus 2, Stakeholder Needs and ISMS Scope:

„Kui tellite oma IT-taristu pilveteenuse pakkujalt, ei välista see seda kohaldamisalast; pigem hõlmate kohaldamisalasse selle suhte haldamise ja pilvevarad, sest teie andmete turvalisus pilves on teie vastutus.“

See väide on auditi ankur. Teie kohaldamisala ei tohi öelda: „AWS on välistatud, sest Amazon haldab seda.“ See peab ütlema, et AWS-is majutatud teenustega seotud teabevarad ja protsessid kuuluvad kohaldamisalasse, sealhulgas pilveturbe kontrollimeetmete, identiteedi, logimise, krüptimise, varundamise, tarnijapoolse kindlustunde ja intsidentidele reageerimise haldamine.

ISO 27001:2022 puhul toetab see punkte 4.1 kuni 4.4, mis käsitlevad konteksti, huvitatud osapooli, kohaldamisala ja ISMS-i protsesse. NIS2 puhul toetab see Article 21 ootusi riskianalüüsi, intsidentide käsitlemise, talitluspidevuse, tarneahela turbe, turvalise hankimise ja hoolduse, juurdepääsukontrolli, varahalduse, krüptograafia, kontrollimeetmete tõhususe ja vajaduse korral MFA suhtes. DORA puhul toetab see põhimõtet, et finantsüksused jäävad IKT-riski eest vastutavaks ka siis, kui IKT-teenused on allhankes.

Küsimus ei ole selles, kas teie pilveteenuse pakkuja on turvaline. Küsimus on selles, kas juhite oma teenusepakkuja kasutamist, konfigureerite oma vastutusala õigesti, seirate teenust, haldate tarnija kohustusi ja säilitate tõendusmaterjali.

Jagatud vastutus peab muutuma jagatud tõendusmaterjaliks

Pilveteenuse pakkujad selgitavad jagatud vastutust. Audiitorid kontrollivad, kas olete selle rakendanud.

IaaS-is turvab teenusepakkuja tavaliselt füüsilised rajatised, põhilise taristu ja hüperviisori. Klient kontrollib identiteeti, töökoormuse konfiguratsiooni, operatsioonisüsteemi kõvendamist, rakendusturvet, andmete klassifitseerimist, krüptimisseadeid, võrgureegleid, logimist, varukoopiaid, paikamist ja intsidentidele reageerimist.

SaaS-is kontrollib teenusepakkuja enamikku platvormi toiminguid, kuid klient kontrollib endiselt rentniku konfiguratsiooni, kasutajaid, administraatorirolle, integratsioone, andmete jagamist, säilitamist, logimisvalikuid ja eskaleerimisprotseduure.

Clarysec Zenith Controls: The Cross-Compliance Guide Zenith Controls käsitleb ISO/IEC 27002:2022 kontrollimeedet 5.23, Information security for use of cloud services, keskse pilvejuhtimise kontrollimeetmena, millel on konfidentsiaalsuse, tervikluse ja käideldavuse lõikes ennetav eesmärk. See seob pilveteenused tarnijasuhete, turvalise teabeedastuse, varade registri, andmelekkekaitse, lõppseadmete ja võrguturbe ning turvalise arenduse tavadega.

Zenith Controls oluline tõlgendus ütleb:

„Pilveteenuse pakkujad (CSP-d) toimivad kriitiliste tarnijatena ning seetõttu kehtivad kõik 5.19 all tarnijate valikut, lepinguid ja riskijuhtimist puudutavad kontrollimeetmed. 5.23 läheb siiski kaugemale, käsitledes pilvespetsiifilisi riske, nagu mitme rentniku mudel, andmete asukoha läbipaistvus ja jagatud vastutuse mudelid.“

See eristus on kriitiline. Tarnija sertifikaadid üksi ei täida lisa A.5.23 nõudeid. Teil on vaja kliendipoolset tõendusmaterjali, mis tõendab, et pilveteenus on juhitud, konfigureeritud, seiratud ja läbi vaadatud.

See on erinevus pilvekontrollide olemasolu ja auditiks valmis pilvekontrollide vahel.

Alusta pilveteenuste registrist, mida audiitorid saavad kasutada

Kiireim viis pilveauditi valmisolekut parandada on luua täielik pilveteenuste register. See ei tohi olla hankeloend ega finantsekspordi koopia. See peab siduma pilveteenused andmete, omanike, regioonide, juurdepääsu, lepingute, kriitilisuse, regulatiivse asjakohasuse ja tõendusmaterjaliga.

Clarysec VKE-dele mõeldud Cloud Usage Policy-sme Cloud Usage Policy-sme annab punktis 5.3 kompaktse ja auditiks sobiva lähtealuse:

„IT-teenusepakkuja või tegevjuht peab pidama pilveteenuste registrit. Selles tuleb kajastada: 5.3.1 iga heakskiidetud pilveteenuse nimi ja eesmärk 5.3.2 vastutav isik või meeskond (rakenduse omanik) 5.3.3 salvestatavate või töödeldavate andmete liigid 5.3.4 riik või regioon, kus andmeid hoitakse 5.3.5 kasutajate juurdepääsuõigused ja halduskontod 5.3.6 lepingu üksikasjad, uuendamise kuupäevad ja toe kontaktid“

Ettevõttekeskkondade jaoks kehtestab Clarysec Cloud Usage Policy Cloud Usage Policy laiema mandaadi:

„See poliitika kehtestab organisatsiooni kohustuslikud nõuded pilveteenuste turvaliseks, nõuetele vastavaks ja vastutustundlikuks kasutamiseks Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) ja Software-as-a-Service (SaaS) teenusemudelites.“

Cloud Usage Policy nõuab keskset registrit, mille omanik on infoturbejuht, ning pilvekeskkondade heakskiidetud lähteseadistusi. Sellest registrist saab korraga mitme kohustuse tõendusmaterjali alus.

ISO 27001:2022 puhul toetab see varade registrit, pilveteenuste kasutamise juhtimist, tarnijasuhteid, juurdepääsukontrolli, õiguslikke ja lepingulisi nõudeid, riskikäsitlust ja dokumenteeritud teavet. NIS2 puhul toetab see tarneahela turvet, varahaldust, riskianalüüsi, intsidentide käsitlemist ja talitluspidevust. DORA puhul toetab see IKT-varade ja sõltuvuste kaardistamist, IKT kolmandate osapoolte registreid, kriitilise või olulise funktsiooni kaardistamist ja kontsentratsiooniriski analüüsi. GDPR puhul tuvastab see, kas isikuandmeid töödeldakse, kus need asuvad, milline teenusepakkuja tegutseb volitatud töötlejana ning millised edastus- või andmetöötlustingimused kohalduvad.

Kui register ei tuvasta andmekategooriaid ja regioone, jääb andmekaitse ja kerksuse tõendusmaterjal puudulikuks. Kui see ei tuvasta rakenduste omanikke, jäävad juurdepääsuõiguste läbivaatused omanikuta. Kui see ei tuvasta lepinguid ja uuendamiskuupäevi, ei saa tarnijate turbeklausleid testida.

Muuda ISO 27001:2022 pilvetõendusmaterjali selgrooks

ISO 27001:2022 on pilvetõendusmaterjali jaoks parim selgroog, sest see seob ärikonteksti, riski, kontrollimeetmed, tegevusliku tõendusmaterjali, seire ja täiustamise.

Peamised pilvega seotud ISO 27001:2022 nõuded on järgmised:

• Punktid 4.1 kuni 4.4 konteksti, huvitatud osapoolte, ISMS-i kohaldamisala, liideste, sõltuvuste ja protsesside kohta.
• Punktid 5.1 kuni 5.3 juhtimise, poliitika, rollide, vastutuste ja vastutavuse kohta.
• Punktid 6.1.1 kuni 6.1.3 riskihindamise, riskikäsitluse, lisa A võrdluse, kohaldatavusdeklaratsiooni ja jääkriski aktsepteerimise kohta.
• Punkt 7.5 kontrollitud dokumenteeritud teabe kohta.
• Punktid 8.1 kuni 8.3 tegevuse planeerimise, riskihindamise läbiviimise ja riskikäsitluse elluviimise kohta.
• Punktid 9.1 kuni 9.3 seire, mõõtmise, siseauditi ja juhtkonna läbivaatuse kohta.
• Punkt 10 mittevastavuse, parandusmeetmete ja pideva täiustamise kohta.

Lisa A kontrollimeetmed, millel on pilvetõendusmaterjali seisukohast suurim kaal, hõlmavad A.5.19 infoturvet tarnijasuhetes, A.5.20 infoturbe käsitlemist tarnijalepingutes, A.5.21 infoturbe haldamist IKT tarneahelas, A.5.22 tarnijate teenuste seiret, läbivaatamist ja muudatuste juhtimist, A.5.23 infoturvet pilveteenuste kasutamisel, A.5.24 kuni A.5.27 intsidendihaldust, A.5.29 infoturvet häireolukorras, A.5.30 IKT valmisolekut talitluspidevuseks, A.5.31 õiguslikke, seadusest tulenevaid, regulatiivseid ja lepingulisi nõudeid, A.5.34 privaatsust ja PII kaitset, A.5.36 vastavust infoturbe poliitikatele, reeglitele ja standarditele, A.8.8 tehniliste haavatavuste haldust, A.8.9 konfiguratsioonihaldust, A.8.13 teabe varundamist, A.8.15 logimist, A.8.16 seiretegevusi, A.8.24 krüptograafia kasutamist, A.8.25 turvalist arenduse elutsüklit, A.8.29 turbetestimist arenduses ja vastuvõtmisel ning A.8.32 muudatuste juhtimist.

Zenith Blueprint selgitab Controls in Action etapis, sammus 23, pilveteenuseid audiitoritele mõistetavas keeles:

„Üleminek pilveteenustele toob usaldusmudelisse põhjalikud muutused. Te ei kontrolli enam serverit, võrguperimeetrit ega hüperviisorit. Sageli ei tea te isegi, kus andmed füüsiliselt asuvad. Mida te kontrollite ja mida see kontrollimeede rakendab, on selle suhte juhtimine, nähtavus kasutatavate teenuste üle ning turbeootused, mida te oma teenusepakkujatele seate.“

Tugev kohaldatavusdeklaratsiooni kirje A.5.23 kohta ei tohi öelda ainult „Kohaldub, pilveteenuse pakkuja on sertifitseeritud“. See peab selgitama, miks kontrollimeede kohaldub, milliseid riske see käsitleb, kuidas see on rakendatud ja kus tõendusmaterjali hoitakse.

Lisa SoA-sse või kontrollimeetmete jälgijasse tõendusmaterjali asukoha veerg. Audiitorid ei pea tõendusmaterjali leidmiseks e-posti, piletihaldussüsteeme ja ühiskettaid läbi otsima.

Kasuta ISO 27001:2022, NIS2 ja DORA jaoks üht tõendusmudelit

NIS2 ja DORA nõuavad mõlemad dokumenteeritud, riskipõhist ja juhtkonna juhitud küberturvalisust. Kattuvus on märkimisväärne, kuid järelevalvesurve on erinev.

NIS2 kohaldub paljudele EL-i elutähtsatele ja olulistele üksustele, sealhulgas digitaristu pakkujatele, hallatud teenusepakkujatele, hallatud turbeteenuste pakkujatele, pangandusele, finantsturu taristutele ja digiteenuse pakkujatele. Article 21 nõuab asjakohaseid ja proportsionaalseid tehnilisi, tegevuslikke ja organisatsioonilisi meetmeid, sealhulgas riskianalüüsi, intsidentide käsitlemist, talitluspidevust, tarneahela turvet, turvalist hankimist ja hooldust, haavatavuste käsitlemist, kontrollimeetmete tõhususe hindamist, küberhügieeni, koolitust, krüptograafiat, juurdepääsukontrolli, varahaldust ning vajaduse korral MFA-d või turvalist sidet.

Pilveturbe audititõendusmaterjali puhul küsib NIS2, kas pilve- ja tarnijariske juhitakse teenuse osutamise riski osana. Samuti toob see kaasa struktureeritud olulistest intsidentidest teatamise, sealhulgas varajase hoiatuse 24 tunni jooksul, intsidenditeate 72 tunni jooksul ja lõpparuande ühe kuu jooksul.

DORA kohaldub alates 17. jaanuarist 2025 paljudele EL-i finantsüksustele ning loob ühtsed nõuded IKT-riski juhtimisele, olulistest IKT-intsidentidest teatamisele, digitaalse tegevuskerksuse testimisele, teabe jagamisele ja IKT kolmandate osapoolte riskile. Finantsüksuste puhul, mis on tuvastatud ka NIS2 alusel, käsitatakse DORA-t kattuvate tegevuslike kohustuste jaoks sektoripõhise liidu õigusaktina.

Pilve puhul on DORA otsekohene. Finantsüksused jäävad IKT-riski eest vastutavaks, kui teenused on allhankes. Neil on vaja IKT kolmandate osapoolte strateegiaid, lepinguregistreid, lepingueelseid hindamisi, hoolsuskontrolle, auditi- ja juurdepääsuõigusi, lõpetamise aluseid, kontsentratsiooniriski analüüsi, alltöövõtu kontrollimeetmeid ja testitud väljumisstrateegiaid.

Zenith Controls kaardistab ISO/IEC 27002:2022 kontrollimeetme 5.23 EU NIS2 Article 21 ning DORA Articles 28 to 31 suhtes. See viitab ka toetavatele standarditele, nagu ISO/IEC 27017 pilveturbe rollide ja seire jaoks, ISO/IEC 27018 PII kaitseks avalikus pilves, ISO/IEC 27701 privaatsushalduseks pilve volitatud töötlejate suhetes, ISO/IEC 27036-4 pilveteenuse seireks ja tarnijalepinguteks ning ISO/IEC 27005 pilveriskide hindamiseks.

Praktiline järeldus on lihtne. Ärge koostage ISO 27001:2022, NIS2, DORA ja GDPR jaoks eraldi tõenduspakette. Looge üks pilvetõendusmaterjali arhitektuur koos raamistikupõhiste kaardistustega.

Tarnijalepingud on kontrollimeetme tõendusmaterjal, mitte õigusarhiiv

Pilveauditi tõendusmaterjal katkeb sageli lepingukihis. Turbefunktsioonil on tarnija küsimustik. Õigusosakonnal on põhileping. Hankeüksusel on uuendamise kuupäev. DPO-l on DPA. Kellelgi ei ole ühtset vaadet sellele, kas leping sisaldab ISO 27001:2022, NIS2, DORA ja GDPR nõutavaid turbeklausleid.

Clarysec VKE-dele mõeldud Third-Party and Supplier Security Policy-sme Third-Party and Supplier Security Policy-sme sätestab punktis 5.3:

„Lepingud peavad sisaldama kohustuslikke klausleid, mis hõlmavad: 5.3.1 konfidentsiaalsust ja mitteavaldamist 5.3.2 infoturbekohustusi 5.3.3 andmekaitserikkumisest teavitamise tähtaegu (nt 24–72 tunni jooksul) 5.3.4 auditeerimisõigusi või vastavuse tõendusmaterjali kättesaadavust 5.3.5 piiranguid edasisele alltöövõtule ilma heakskiiduta 5.3.6 lõpetamistingimusi, sealhulgas andmete turvalist tagastamist või hävitamist“

Auditijärjepidevuse tagamiseks teisendage need klauslid lepingu läbivaatamise maatriksiks. ISO 27001:2022 lisa A.5.20 eeldab, et turbenõuded lepitakse tarnijatega kokku. GDPR Article 28 nõuab volitatud töötleja tingimusi, mis hõlmavad konfidentsiaalsust, turvameetmeid, abi, alltöötlejaid, andmete kustutamist või tagastamist ning auditituge. DORA Article 30 nõuab IKT kolmanda osapoole teenusepakkujatega seotud üksikasjalikke lepingusätteid, sealhulgas teenusekirjeldusi, andmete asukohta, turvet, intsidendiabi, koostööd asutustega, auditeerimisõigusi, juurdepääsuõigusi, lõpetamist ja üleminekukorraldust. NIS2 tarneahela turve vajab samuti jõustatavat tarnijate koostööd.

Zenith Controls kaardistab ISO/IEC 27002:2022 kontrollimeetme 5.20 tarnijalepingutega ning märgib seoseid 5.19 tarnijasuhete, 5.14 teabeedastuse, 5.22 tarnijate seire, 5.11 varade tagastamise ja 5.36 vastavusega.

Võtmepunkt on rakendamine. Kui pilveleping annab juurdepääsu SOC 2 aruannetele, võivad audiitorid küsida, kas te hankisite aruande, vaatasite erandid läbi, jälgisite parandusmeetmeid ja hindasite riski uuesti. Kui leping näeb ette rikkumisest teavitamise, võivad nad küsida, kas teie intsidendi tööjuhis sisaldab tarnija kontaktteed ja regulatiivseid otsustuspunkte. Kui alltöövõtjate muudatused nõuavad heakskiitu või teadet, võivad nad küsida, kas alltöötlejate teavitused vaadatakse enne aktsepteerimist läbi.

Leping ilma läbivaatamise tõendusmaterjalita on arhiiv. Leping, mis on seotud tarnijariskide, seirekirjete ja intsidenditöövoogudega, on kontrollimeede.

SaaS-i logimine ja konfiguratsioon on sagedased auditi pimealad

Pilveauditi leiud tulevad sageli SaaS-ist, mitte IaaS-ist. Taristumeeskondadel on tavaliselt tehnilised omanikud, logimistorustikud, lähtetaseme kontrollimeetmed ja muudatuste kirjed. SaaS-platvormid on killustatud müügi, HR-i, finantsi, kliendiedu, turunduse ja operatsioonide vahel. Igaüks neist võib töödelda tundlikke või reguleeritud andmeid.

Clarysec Logging and Monitoring Policy-sme Logging and Monitoring Policy-sme käsitleb seda otse punktis 5.5:

„5.5 Pilveteenused ja kolmandate osapoolte logimine 5.5.1 Platvormide puhul, kus logimine ei ole otsese IT-kontrolli all (nt SaaS-i e-post), kehtivad järgmised nõuded: 5.5.1.1 logimine peab olema võimaluse korral lubatud ja konfigureeritud 5.5.1.2 teavitused tuleb suunata IT-tugiteenuse osutajale 5.5.1.3 lepingud peavad nõudma teenusepakkujatelt logide säilitamist vähemalt 12 kuud ja nende kättesaadavaks tegemist taotluse korral“

Ettevõtete puhul lisab Cloud Usage Policy:

„Pilveteenused tuleb integreerida organisatsiooni SIEM-i pidevaks seireks.“

See nõue muudab SaaS-i „äritööriistast“ „seiratavaks infosüsteemiks“. Tõendusmaterjal peab hõlmama logimisseadete eksporti, SIEM-i ühenduse tõendust, teavitusreegleid, triaaži pileteid, säilitamisseadeid ja haldusjuurdepääsu läbivaatusi.

Kriitilise SaaS-i puhul valmistage ette tõendusmaterjal administraatorikonto loomise, kahtlaste sisselogimiste, massiliste allalaadimiste, avaliku jagamise, MFA keelamise, API-tokenite loomise, väliste külaliste tegevuse ja õiguste eskaleerimise kohta. IaaS-i puhul valmistage ette CloudTrail või samaväärne juhtimistasandi logimine, salvestusruumi juurdepääsulogid, IAM-i muudatused, vajaduse korral voologid, CSPM-i leiud, haavatavuse skannimised, paikamistõendid, krüptimisseaded, varundusolek, võrguturberühmade läbivaatused ja muudatuste piletid.

Zenith Controls auditi metoodika kontrollimeetme 5.23 kohta märgib, et ISO/IEC 27007 stiilis audit võib kontrollida AWS S3 bucket’i õigusi, krüptimist, IAM-i poliitikaid ja CloudTrail logimist. COBIT-keskne audiitor võib üle vaadata teavituste konfiguratsioonid, DLP kontrollimeetmed, Microsoft 365 Secure Score’i kasutamise ja muudatuste juhtimise logid. NIST SP 800-53A vaatenurk võib testida kontohaldust ja seiret, sealhulgas seda, kas pilve töökoormusi paigatakse, skannitakse ja seiratakse sama rangelt kui sisemisi süsteeme.

Erinevad audiitorid räägivad eri dialekte. Teie tõendusmaterjal peab olema sama.

Koosta regulaatorile sobiv tõenduspakett ühe SaaS- ja ühe IaaS-teenuse kohta

Praktiline töövoog algab ühest kriitilisest SaaS-platvormist ja ühest kriitilisest IaaS-keskkonnast. Näiteks Microsoft 365 koostööks ja AWS tootmiskeskkonna majutuseks.

Samm 1: ajakohasta pilveteenuste register

Microsoft 365 puhul registreerige eesmärk, omanik, andmetüübid, regioon, administraatorikontod, leping, DPA, toe kontakt, uuendamise kuupäev ja kriitilisus. AWS-i puhul registreerige tootmiskonto, regioonid, andmekategooriad, töökoormused, konto omanik, root-konto staatus, toe pakett, lepingutingimused ja seotud äriteenused.

Kasutage Cloud Usage Policy-sme välju miinimumandmestikuna. Lisage kriitilisus, regulatiivne asjakohasus ja tõendusmaterjali asukoht.

Samm 2: dokumenteeri jagatud vastutus

Microsoft 365 puhul hõlmavad kliendi vastutused kasutaja elutsüklit, MFA-d, tingimuslikku juurdepääsu, külaliste jagamist, säilitamismärgiseid, kasutusel olevat DLP-d, logimist ja intsidendi eskaleerimist. AWS-i puhul hõlmavad kliendi vastutused IAM-i, võrgureegleid, töökoormuse kõvendamist, krüptimiskonfiguratsiooni, varundamist, logimist, paikamist ja rakendusturvet.

Lisage teenusepakkuja jagatud vastutuse dokumentatsioon ning kaardistage iga kliendi vastutus kontrollimeetme omaniku ja tõendusallikaga.

Samm 3: kogu konfiguratsiooni tõendusmaterjal

Microsoft 365 puhul eksportige või jäädvustage ekraanitõmmistena MFA ja tingimusliku juurdepääsu poliitikad, administraatorirollid, välise jagamise seaded, auditilogimine, säilitamiskonfiguratsioon ja turbeskoori tegevused. AWS-i puhul eksportige IAM-i paroolipoliitika, privilegeeritud MFA staatus, CloudTrail konfiguratsioon, S3 avaliku juurdepääsu blokeering, krüptimise olek, turberühmade läbivaatus, varundustööd ja haavatavuste skannimise staatus.

Cloud Usage Policy nõuab, et pilvekeskkonnad vastaksid dokumenteeritud lähteseadistusele, mille on heaks kiitnud pilveturbe arhitekt. Teie tõenduspakett peab sisaldama nii lähteseadistust kui ka vastavuse tõendusmaterjali.

Samm 4: seo tarnija ja privaatsuse tõendusmaterjal

Lisage leping, DPA, alltöötlejate loend, rikkumisest teavitamise tingimused, auditi kindlustandvad aruanded ja andmete asukoha tõendusmaterjal. Kui töödeldakse isikuandmeid, registreerige, kas teenusepakkuja tegutseb volitatud töötlejana, kuidas käsitletakse kustutamist, kuidas toetatakse andmesubjekti taotlusi ja millised edastuse kaitsemeetmed kohalduvad.

DORA puhul tuvastage, kas pilveteenus toetab kriitilist või olulist funktsiooni. Kui jah, siduge tõendusmaterjal IKT kolmanda osapoole registri, hoolsuskontrolli toimiku, auditeerimisõiguste, väljumisplaani ja kontsentratsiooniriski ülevaatusega.

Samm 5: ühenda logimine intsidentidele reageerimisega

Näidake, et logid on lubatud, suunatud, läbi vaadatud ja kasutatud. Lisage SIEM-i juhtpaneelid, teavitusreeglid ja vähemalt üks suletud teavituspilet. Seejärel kaardistage töövoog NIS2 ja DORA teatamisotsuste punktidega.

NIS2 puhul peab intsidendiprotsess toetama oluliste intsidentide korral 24-tunnist varajast hoiatust, 72-tunnist intsidenditeadet ja ühe kuu jooksul esitatavat lõpparuannet. DORA puhul peab IKT intsidendiprotsess klassifitseerima intsidendid mõjutatud klientide, tehingute, kestuse, katkestuse, geograafilise ulatuse, andmemõju, teenuse kriitilisuse ja majandusliku mõju alusel.

Samm 6: säilita tõendusmaterjali distsiplineeritult

Clarysec Audit and Compliance Monitoring Policy-sme Audit and Compliance Monitoring Policy-sme punkt 6.2 määratleb praktilise tõendusmaterjali käsitlemise distsipliini:

„6.2 Tõendusmaterjali kogumine ja dokumenteerimine 6.2.1 Kõik tõendusmaterjal tuleb hoida keskses auditikaustas. 6.2.2 Failinimed peavad selgelt viitama auditi teemale ja kuupäevale. 6.2.3 Metaandmed (nt kes kogus, millal ja millisest süsteemist) tuleb dokumenteerida. 6.2.4 Tõendusmaterjali tuleb säilitada vähemalt kaks aastat või kauem, kui seda nõuavad sertifitseerimis- või kliendilepingud.“

Ettevõtetele mõeldud Audit and Compliance Monitoring Policy Audit and Compliance Monitoring Policy sõnastab eesmärgi järgmiselt:

„Luua kaitstav tõendusmaterjal ja auditijälg regulatiivsete päringute, kohtumenetluste või klientidele kindluse andmise taotluste toetamiseks.“

Ekraanitõmmis nimega „screenshot1.png“ on nõrk tõendusmaterjal. Fail nimega „AWS-Prod-CloudTrail-Enabled-2026-05-10-CollectedBy-JSmith.png“ on tugevam, sest see kirjeldab süsteemi, kontrollimeedet, kuupäeva ja kogujat. Metaandmed on olulised, sest audiitorid peavad usaldama, millal tõendusmaterjal koguti, kes selle kogus ja millisest süsteemist see pärineb.

Kuidas audiitorid testivad sama pilvekontrolli

Tugevaimad pilvetõendusmaterjali paketid on loodud mitme auditivaate jaoks. ISO 27001:2022 audiitorid kontrollivad, kas kontrollimeede on ISMS-is, riskihindamises, riskikäsitluses ja SoA-s. NIST-kesksed hindajad testivad tehnilist rakendust. COBIT 2019 audiitorid testivad juhtimist, tarnija toimivust ja protsessiintegratsiooni. Privaatsusaudiitorid keskenduvad volitatud töötleja kohustustele, andmete asukohale, rikkumiseks valmisolekule ja andmesubjekti õigustele. DORA järelevalveülevaatused keskenduvad IKT kolmandate osapoolte riskile ja kerksusele.

Zenith Controls hõlmab neid auditimetoodika erinevusi pilveteenuste, tarnijalepingute ja tarnijate seire puhul. 5.22, tarnijate teenuste seire, läbivaatamine ja muudatuste juhtimine, puhul rõhutab see, et audiitorid võivad kontrollida kvartaalsete tarnijate läbivaatuste protokolle, KPI-aruandeid, SOC-aruannete hindamisi, muudatuste logisid, riskihindamisi, tarnijaintsidente ja probleemide jälgimist. 5.20, infoturbe käsitlemine tarnijalepingutes, puhul rõhutab see lepingute valimkontrolli konfidentsiaalsuse, turbekohustuste, rikkumisest teavitamise, auditeerimisõiguste, alltöövõtja heakskiidu ja lõpetamistingimuste osas.

Ristvastavuse kontrollimeetmed, mis kannavad pilveauditi koormust

Regulaatorile sobiv pilvetõendusmaterjali mudel tugineb väikesele hulgale suure mõjuga kontrollimeetmetele. Need kontrollimeetmed kannavad suure osa vastavuskoormusest ISO 27001:2022, NIS2, DORA, GDPR, NIST ja COBIT 2019 lõikes.

NIST SP 800-53 Rev.5 lisab tehnilist sügavust kontohalduse, väliste süsteemiteenuste, pideva seire, süsteemiseire ja perimeetrikaitse kaudu. COBIT 2019 lisab juhtimissügavust tarnijasuhete halduse, tarnijariski, andmevahetuse, võrguturbe ja muudatusteks valmisoleku kaudu.

Toetavad ISO standardid täpsustavad tõendusmudelit. ISO/IEC 27017 annab pilvespetsiifilisi juhiseid jagatud rollide, virtuaalmasinate konfiguratsiooni ja kliendi tegevuse seire kohta. ISO/IEC 27018 keskendub PII kaitsele avalikus pilves. ISO/IEC 27701 laiendab privaatsuskohustused volitatud töötleja ja vastutava töötleja toimingutele. ISO/IEC 27036-4 toetab pilvetarnijate lepinguid ja seiret. ISO/IEC 27005 toetab pilveriskide hindamist.

Juhtkonna läbivaatus peab nägema pilveriski, mitte ainult pilve tööaega

Üks enim tähelepanuta jäetud auditiartefakte on juhtkonna läbivaatus. ISO 27001:2022 eeldab, et juhtkonna läbivaatus arvestab muudatusi, huvitatud osapoolte vajadusi, toimivustrende, auditi tulemusi, riskikäsitluse staatust ja parendusvõimalusi. NIS2 nõuab, et juhtorganid kinnitaksid küberturvalisuse riskijuhtimise meetmed ja teeksid järelevalvet nende rakendamise üle. DORA nõuab, et juhtorgan määratleks, kinnitaks, jälgiks ja jääks vastutavaks IKT-riski juhtimise eest.

Kvartaalne pilveturbe ja tarnijate juhtpaneel peab näitama järgmist:

• Heakskiidetud pilveteenuste arv.
• Kriitilised pilveteenused ja omanikud.
• Isikuandmeid töötlevad teenused.
• Kriitilisi või olulisi funktsioone toetavad teenused.
• Avatud kõrge riskiga pilve väärkonfiguratsioonid.
• MFA ja privilegeeritud juurdepääsu läbivaatuse staatus.
• Logimise katvus kriitiliste SaaS- ja IaaS-platvormide puhul.
• Saadud ja läbi vaadatud tarnijapoolse kindlustunde aruanded.
• Lepinguerandid ja aktsepteeritud riskid.
• Pilveintsidendid, napilt välditud intsidendid ja õppetunnid.
• Varunduse ja taastamise testitulemused.
• Kontsentratsiooniriski ja väljumisplaani staatus.

Sellest juhtpaneelist saab tõendusmaterjal ISO 27001:2022 juhtimise ja toimivuse hindamise, NIS2 juhtimise ning DORA juhtkonna vastutuse jaoks.

Zenith Blueprint soovitab Risk Management etapis, sammus 14, riskikäsitluste ja poliitikate rakendamisel ristviidata regulatiivsetele nõuetele. See ütleb, et peamiste regulatiivsete nõuete kaardistamine ISMS-i kontrollimeetmetega on kasulik sisemine harjutus ja „jätab audiitoritele/hindajatele samuti hea mulje, et te ei halda turvet vaakumis, vaid olete õiguslikust kontekstist teadlik“.

See on küpsus, mida regulaatorid ja ettevõttekliendid ootavad.

Levinud pilveauditi leiud ja kuidas neid vältida

Pilveauditi valmisoleku töödes on korduvad leiud etteaimatavad:

1. Pilveteenuste register on olemas, kuid SaaS-tööriistad puuduvad.
2. Andmete asukohta ei registreerita või see kopeeritakse turunduslehtedelt, mitte lepingulisest tõendusmaterjalist.
3. MFA on rakendatud töötajatele, kuid mitte kõigile haldus- või break-glass kontodele.
4. Pilvelogid on lubatud, kuid neid ei vaadata läbi, ei säilitata või neid ei ühendata intsidentidele reageerimisega.
5. Tarnijate SOC-aruanded arhiveeritakse, kuid neid ei hinnata.
6. Lepinguklauslid on olemas uute tarnijate puhul, kuid mitte pärandkriitiliste teenuste puhul.
7. Alltöötlejate teavitused saabuvad e-postiga, kuid neid ei hinnata riskipõhiselt.
8. Varundustööd õnnestuvad, kuid taasteteste ei tõendata.
9. Insenerid mõistavad jagatud vastutust, kuid see ei ole audiitorite jaoks dokumenteeritud.
10. SoA märgib pilvekontrollid kohaldatavaks, kuid ei seo neid riskikirjete, tõendusmaterjali ega omanikega.

Need on jälgitavuse probleemid. Lahendus on siduda poliitika, risk, kontrollimeede, omanik, tõendusmaterjal ja läbivaatus.

Kui Maria auditipäevale jõudis, ei tuginenud ta enam laiali olevatele ekraanitõmmistele. Ta avas keskse juhtpaneeli, kus olid pilveteenuste register, riskihindamised, SoA kirjed, lähteseadistuse tõendusmaterjal, tarnijate läbivaatamise failid, logimise tõendus ja DORA kontsentratsiooniriski ülevaatus. Kui audiitor küsis, kuidas pilveriske juhitakse, näitas ta ISMS-i. Kui audiitor küsis, kuidas teenused on turvaliselt konfigureeritud, näitas ta lähteseadistust ja CSPM-i tõendusmaterjali. Kui audiitor küsis IKT kolmanda osapoole riski kohta, näitas ta lepingu läbivaatamist, tarnijate seiret ja väljumise planeerimist.

Tulemus ei olnud täiuslik keskkond. Ükski pilvekeskkond ei ole täiuslik. Erinevus oli selles, et riskiotsused olid dokumenteeritud, tõendusmaterjal oli kaitstav ja vastutus oli nähtav.

Koosta pilvetõendusmaterjali pakett enne, kui audiitor küsib

Kui teie organisatsioon tugineb SaaS-ile, IaaS-ile või PaaS-ile, ei aktsepteeri järgmine audit piisava vastusena väidet „teenusepakkuja tegeleb sellega“. Peate tõendama jagatud vastutust, kliendipoolset konfiguratsiooni, tarnijaklausleid, logimist, intsidentideks valmisolekut, kerksust ja juhtkonna järelevalvet.

Alustage sel nädalal kolme praktilise tegevusega:

1. Looge või värskendage oma pilveteenuste register, kasutades Clarysec Cloud Usage Policy Cloud Usage Policy või Cloud Usage Policy-sme Cloud Usage Policy-sme.
2. Kaardistage oma viis peamist pilveteenust ISO 27001:2022 lisa A kontrollimeetmetega, NIS2 Article 21 nõuetega, vajaduse korral DORA IKT kolmanda osapoole kohustustega ja GDPR volitatud töötleja nõuetega.
3. Looge keskne tõenduskaust, kasutades säilitamise ja metaandmete distsipliini Audit and Compliance Monitoring Policy Audit and Compliance Monitoring Policy või Audit and Compliance Monitoring Policy-sme Audit and Compliance Monitoring Policy-sme alusel.

Seejärel kasutage Zenith Blueprint Zenith Blueprint, et paigutada töö 30-sammulisse ISMS-i audititeekaarti, ning Zenith Controls Zenith Controls, et valideerida ristvastavuse kaardistused, toetavad ISO standardid ja auditimetoodika ootused.

Clarysec aitab teil muuta laiali olevad pilveekraanitõmmised, tarnijafailid ja SaaS-i seaded regulaatorile sobivaks tõenduspaketiks, mis peab vastu ISO 27001:2022 sertifitseerimisaudititele, NIS2 järelevalveküsimustele, DORA IKT kolmandate osapoolte ülevaatustele ja ettevõttekliendi kindlustunde nõuetele.