NIS2 ja DORA pidev vastavusseire
Reede pärastlõuna küsimus, millele iga infoturbejuht peab nüüd vastama
Reedel kell 16.40 saab pilvekeskkonnas töötava makseplatvormi infoturbejuht kümne minuti jooksul kolm sõnumit.
Esimene tuleb finantsjuhilt: „Meie panganduspartner soovib ajakohastatud tõendusmaterjali selle kohta, et täidame DORA ootusi IKT kolmandate isikute riski ja intsidentidest teatamise osas.“
Teine tuleb peajuristilt: „Meie hallatav turbeteenus võib riikliku NIS2 rakendamise alusel kohaldamisalasse sattuda. Kas suudame tõendada juhtkonna järelevalvet ja kontrollimeetmete tõhusust?“
Kolmas tuleb arendusjuhilt: „Paikasime kriitilise haavatavuse, kuid tööjärjes on 38 tähtaja ületanud keskmise tasemega leidu. Kas peame eskaleerima?“
See on hetk, mil iga-aastane vastavusmudel kokku kukub.
Poliitika PDF, enne eelmist auditit viimati uuendatud riskiregister ja ekraanitõmmiste kaust ei ole NIS2 ja DORA jaoks piisavad. Need regulatiivsed raamistikud eeldavad toimivat juhtimist, juhtkonna järelevalvet, intsidendi töövooge, tarnijate nähtavust, kerksuse testimist, parandusmeetmeid ja kontrollimeetmete tõhususe tõendamist.
Paljude infoturbejuhtide jaoks ei ole surve teoreetiline. NIS2 ülevõtmine ELi liikmesriikides on muutnud küberturvalisuse tehnilisest programmist juhtkonna vastutuse küsimuseks. DORA kohaldub alates 17. jaanuarist 2025 ning annab finantsüksustele sektoripõhise digitaalse tegevuskerksuse reeglistiku IKT-riski, intsidentidest teatamise, testimise ja kolmandate isikute riski jaoks. Pilveteenuste, SaaS-i, hallatavate teenuste, hallatavate turbeteenuste, andmekeskuste, sisuedastuse, usaldusteenuste ja avalike elektrooniliste sideteenuste pakkujatel võivad samuti tekkida otsesed või kaudsed kohustused sõltuvalt kohaldamisalast, suurusest, sektorist, riiklikust liigitusest ja kliendilepingutest.
Praktiline küsimus ei ole enam: „Kas meil on kontrollimeede?“
Küsimus on: „Kes kontrollimeedet omab, milline mõõdik tõendab selle toimimist, kui sageli kogume tõendusmaterjali ja mis juhtub siis, kui mõõdik ebaõnnestub?“
See on NIS2 ja DORA pideva vastavusseire tuum. Clarysec juurutustes kasutame ISO/IEC 27001:2022 juhtimissüsteemi selgroona, ISO/IEC 27002:2022 kontrollimeetmete keelena, Zenith Blueprint: audiitori 30-sammuline teekaart juurutusjärjestusena ning Zenith Controls: ristvastavuse juhend ristvastavuse kompassina, mis seob ISO/IEC 27001:2022 tõendusmaterjali NIS2, DORA, GDPR, NIST CSF 2.0, COBIT 2019 ja auditiootustega.
Miks muudavad NIS2 ja DORA perioodilise vastavuse ebapiisavaks
NIS2 ja DORA erinevad õigusliku ülesehituse, järelevalvemudeli ja kohaldamisala poolest, kuid tekitavad sama operatiivse surve. Küberturvalisust ja IKT kerksust tuleb juhtida pidevalt.
NIS2 nõuab, et olulised ja tähtsad üksused rakendaksid sobivaid ja proportsionaalseid tehnilisi, operatiivseid ja korralduslikke meetmeid kõiki ohte hõlmava lähenemisviisi alusel. Need meetmed hõlmavad riskianalüüsi, infosüsteemide turbepoliitikaid, intsidentide käsitlemist, talitluspidevust, kriisijuhtimist, tarneahela turvet, turvalist hankimist ja arendust, haavatavuste käsitlemist, tõhususe hindamist, küberhügieeni, koolitust, krüptograafiat, personaliturvet, juurdepääsukontrolli, varahaldust ning vajaduse korral mitmefaktorilist autentimist. Juhtorganid peavad küberturbe riskijuhtimise meetmed heaks kiitma, nende rakendamist jälgima ja saama koolitust.
DORA teeb selle finantsüksuste jaoks veelgi selgemaks. See nõuab IKT-riski sisemist juhtimist ja kontrollikorraldust, dokumenteeritud IKT-riski juhtimise raamistikku, juhtorgani vastutust, IKT-ga seotud intsidentide haldust ja teatamist, digitaalse tegevuskerksuse testimist, IKT kolmandate isikute riski juhtimist, auditi järeltegevusi, koolitust ja teabevahetuse korraldust. DORA sätestab samuti selgelt, et finantsüksused jäävad vastavuse eest vastutavaks ka siis, kui nad kasutavad kolmandast isikust IKT-teenuse osutajaid.
See loob uue vastavusreaalsuse. Infoturbejuht ei saa oodata auditikuuni, et avastada, et:
- privilegeeritud juurdepääsu ülevaatused jäid kahe kvartali jooksul tegemata;
- tarnija väljumisplaanid dokumenteeriti, kuid neid ei testitud;
- intsidentide tõsiduse kriteeriumid ei vasta regulatiivsetele teatamislävenditele;
- varukoopiad on seadistatud, kuid taastamise tõendusmaterjal puudub;
- juhtkond ei vaadanud tähtaja ületanud riskikäsitlusi läbi;
- pilvelepingutes puuduvad auditeerimisõigused, alltöövõtjate nähtavus või rikkumisest teavitamise klauslid.
Vana projektipõhine mudel tekitab paanikatsükleid. Meeskonnad kiirustavad enne auditit, koguvad ekraanitõmmiseid, uuendavad poliitikate kuupäevi ja loodavad, et tõendusmaterjal räägib sidusa loo. NIS2 ja DORA on loodud nii, et see lähenemine läbi kukuks. Need keskenduvad vastutusele, proportsionaalsusele, kerksusele ja toimimise tõendusmaterjalile.
ISO/IEC 27001:2022 annab selle probleemi lahendamiseks tegevusraamistiku. Selle punktid nõuavad, et organisatsioon mõistaks konteksti, huvitatud pooli, õiguslikke ja lepingulisi nõudeid, kohaldamisala, juhtimist, rolle, riskihindamist, riskikäsitlust, kohaldatavusdeklaratsiooni (SoA), tegevuse planeerimist, tulemuslikkuse hindamist, siseauditit, juhtkonnapoolset läbivaatust, mittevastavuste käsitlemist ja pidevat täiustamist. See struktuur sobib ideaalselt NIS2, DORA, GDPR-i, klientidele kindluse andmise ja sisemise riski ühendamiseks üheks pideva seire mudeliks.
Pidev vastavus ei tähenda rohkem juhtpaneele. See tähendab juhitud tõendusmaterjali kogumise rütmi.
Ehita vastavuse mootor ISO/IEC 27001:2022 peale
Paljud organisatsioonid käsitlevad ISO/IEC 27001:2022 ekslikult üksnes sertifitseerimisraamistikuna. Praktikas on see riskijuhtimissüsteem, mis muudab turbejuhtimise korratavaks, mõõdetavaks ja auditeeritavaks.
See on oluline, sest NIS2 ja DORA ei ole eraldiseisvad kontrollnimekirjad. Need nõuavad tegevusmudelit, mis suudab õiguslikud nõuded vastu võtta, tõlkida need kontrollimeetmeteks, määrata vastutuse, jälgida toimivust ja puuduste ilmnemisel täiustuda.
ISO/IEC 27001:2022 põhipunktid annavad selle mudeli:
| ISO/IEC 27001:2022 punkt | Pideva vastavuse eesmärk | Väärtus NIS2 ja DORA jaoks |
|---|---|---|
| 4.1 Organisatsiooni ja selle konteksti mõistmine | Määratleb sisemised ja välised tegurid, mis mõjutavad küberturvalisust ja kerksust | Hõlmab regulatiivset kokkupuudet, ärisõltuvusi, ohukeskkonda ja tegevuskonteksti |
| 4.2 Huvitatud poolte vajaduste ja ootuste mõistmine | Tuvastab regulaatorid, kliendid, partnerid, tarnijad ja õiguslikud kohustused | Toob NIS2, DORA, GDPR-i, lepingud ja järelevalve ootused ISMS-i |
| 4.3 ISMS-i kohaldamisala määramine | Määratleb teenused, asukohad, tehnoloogiad, tarnijad ja äritegevuse piirid | Väldib reguleeritud IKT-teenuste ja kriitiliste sõltuvuste jäämist seirest välja |
| 5.1 Juhtimine ja pühendumus | Nõuab tippjuhtkonna vastutust ja lõimimist äriprotsessidesse | Toetab juhtorgani vastutust NIS2 ja DORA alusel |
| 5.3 Organisatsioonilised rollid, vastutused ja volitused | Määrab ISMS-i vastutused ja volitused | Loob vastutava kontrollimeetmete omamise ja eskaleerimisteed |
| 6.1.3 Infoturbe riskikäsitlus | Valib kontrollimeetmed ja koostab kohaldatavusdeklaratsiooni (SoA) | Muudab kohustused ühtseks kontrolliraamistikuks |
| 9.1 Seire, mõõtmine, analüüs ja hindamine | Nõuab ISMS-i toimivuse ja tõhususe seiret | Toetab KPI-de, KRI-de ja tõendusmaterjali kogumise rütmi kavandamist |
| 9.2 Siseaudit | Testib, kas ISMS vastab nõuetele ja on tõhusalt rakendatud | Toetab sõltumatut kindlust ja regulatiivset kaitstavust |
| 9.3 Juhtkonnapoolne läbivaatus | Toob juhtkonnani toimivuse, riski, auditi ja täiustamise teabe | Toetab juhatuse tasandi järelevalvet ja otsuseid |
| 10.1 Pidev täiustamine | Nõuab sobivuse, piisavuse ja tõhususe pidevat täiustamist | Muudab leiud parandusmeetmeteks ja kerksuse parandamiseks |
FinTech, SaaS-i pakkuja, hallatava turbeteenuse pakkuja või finantsüksustele IKT-tarnija puhul aitab see struktuur vältida dubleerivaid vastavusprojekte. Üks ISMS saab kohustused kontrollimeetmetega üks kord vastendada ning seejärel taaskasutada tõendusmaterjali NIS2, DORA, GDPR-i, NIST CSF 2.0, COBIT 2019, ISO/IEC 27001:2022 sertifitseerimise ja klientidele kindluse andmise ülevaatuste jaoks.
Alusta kontrollimeetmete omamisest, mitte tööriistadest
Pideva vastavuse esimene ebaõnnestumismuster on tööriistapõhine juurutamine. Ettevõte ostab GRC-platvormi, impordib sadu nõudeid, määrab kõik „turbe“ vastutuseks ja nimetab seda pidevaks seireks. Kuus kuud hiljem on juhtpaneel punane, arendus vaidleb haavatavuste tõendusmaterjali üle, õigusosakond ütleb, et tarnijadokumendid on puudulikud, ja juhtkond ei näe jääkriski selgelt.
ISO/IEC 27001:2022 väldib seda, nõudes vastutuste ja volituste määramist ning teavitamist. NIS2 ja DORA tugevdavad sama ootust juhtkonna vastutuse, määratletud rollide ja järelevalve kaudu.
Clarysec Juhtimisrollide ja vastutuste poliitika - SME sätestab:
Iga turbevastutusega roll tuleb registreerida keskses logis ja kirjalikult kinnitada.
See punkt on olulisem kui enamik juhtpaneele. Kui varunduse testimisel, haavatavuste kõrvaldamisel, tarnija hoolsuskontrollil, intsidendi klassifitseerimisel ja privilegeeritud juurdepääsu ülevaatamisel ei ole nimelisi omanikke, puudub usaldusväärne tõendusmaterjali kogumise rütm.
Infoturbepoliitika muudab selle ettevõttekeskkondades operatiivseks:
Kogu ja säilita audititõendusmaterjal auditite ja kontrollimeetmete ülevaatuste jaoks.
Samuti nõuab see kontrollimeetmete omanikelt:
Teavita ISMS-i juhti kontrollimeetmete toimivusest ning puudustest või probleemidest.
Zenith Controls seob selle teema otse ISO/IEC 27002:2022 kontrollimeetmega 5.2 Infoturbe rollid ja vastutused, 5.35 Infoturbe sõltumatu läbivaatus ning 5.36 Vastavus infoturbe poliitikatele, reeglitele ja standarditele.
| ISO/IEC 27002:2022 kontrollimeede, millele Zenith Controls viitab | Roll pidevas vastavuses | Miks see on NIS2 ja DORA jaoks oluline |
|---|---|---|
| 5.2 Infoturbe rollid ja vastutused | Määrab kontrollimeetmetele, tõendusmaterjalile, KPI-dele, KRI-dele ja eskaleerimisele vastutavad omanikud | Toetab juhtkonna järelevalvet, rolliselgust ja operatiivset vastutust |
| 5.35 Infoturbe sõltumatu läbivaatus | Testib, kas seire on objektiivne, täielik ja tõhus | Toetab NIS2 tõhususe hindamist ja DORA auditiootusi |
| 5.36 Vastavus infoturbe poliitikatele, reeglitele ja standarditele | Kontrollib, et poliitikaid, standardeid ja kohustusi järgitakse | Muudab õiguslikud ja lepingulised kohustused mõõdetavateks vastavuskontrollideks |
Zenith Blueprint annab praktilise alguspunkti ISMS-i aluste ja juhtimise faasis, sammus 4: rollid ja vastutused ISMS-is. See soovitab ametlikku määramist, ametijuhendite uuendamist, KPI-dega sidumist, organisatsiooniülest teavitamist ja osakonnatasandi vastutust.
Tüüpiline määramiskanne võib öelda:
„Alates viivitamatult määratakse teid infoturbeametnikuks, kelle vastutus on ISMS-i järelevalve ja koordineerimine, sealhulgas riskijuhtimine, kontrollimeetmete rakendamine ja vastavusseire.“
See määramine ei ole bürokraatia. See on audititõendus ISO/IEC 27001:2022 juhtimise ja rollimäärangu kohta. Samuti toetab see NIS2 juhtkonna järelevalvet ja DORA juhtimist. Regulaatorid, sertifitseerimisaudiitorid ja panganduskliendid soovivad näha, et vastutus ei ole eelduslik. See on määratud, kinnitatud, ressurssidega kaetud ja jälgitav.
Praktiline kontrollimeetmete omamise register peaks sisaldama järgmisi välju:
| Väli | Näide | Auditiväärtus |
|---|---|---|
| Kontrollivaldkond | Intsidentide käsitlemine | Näitab kontrollimeetmete katvust ja kohaldamisala |
| Regulatiivsed ajendid | NIS2 Article 23, DORA Articles 17 to 19 | Seob tõendusmaterjali kohustustega |
| ISO/IEC 27002:2022 viide | 5.24 to 5.30 | Seob operatiivse kontrollimeetme ISMS-iga |
| Omanik | Turbeoperatsioonide juht | Kehtestab vastutuse |
| Asendusomanik | SOC Manager | Vähendab võtmeisikust sõltuvust |
| KPI | 95 protsenti kõrge tõsidusega teavitustest hinnatakse SLA raames | Tõendab toimivusootust |
| KRI | Iga üle 4 tunni hindamata kriitiline teavitus | Määratleb riskide eskaleerimise |
| Tõendusmaterjali kogumise rütm | Iganädalane juhtpaneel, igakuine läbivaatus, kvartaalne test | Muudab vastavuse pidevaks |
| Tõendusmaterjali asukoht | GRC tõendusmaterjali teek | Võimaldab auditi jaoks kiiret väljavõtmist |
| Eskaleerimistee | ISMS-i juht, riskikomitee, juhtorgan | Seob operatsioonid juhtimisega |
Sellest registrist saab sild poliitika ja tõendusmaterjali vahel.
Määra KPI-d ja KRI-d, mis tõendavad kontrollimeetmete tõhusust
Kui omanikud on olemas, peavad nad teadma, milline näeb välja „hea“. Pidev vastavusseire tugineb sisukatele näitajatele, mitte üldistele kavatsustele.
„Parandame paikamist“ ei ole KPI. „Vaatame tarnijaid regulaarselt üle“ ei ole tõendusmaterjal. „Hoiame kerksust“ ei ole mõõdetav kontrollimeede.
Clarysec eristab kahte tüüpi näitajaid selgelt:
- KPI ehk võtmetulemusnäitaja mõõdab, kas protsess toimib ootuspäraselt.
- KRI ehk võtmeriskinäitaja osutab kasvavale riskile või lävendi ületamisele, mis nõuab eskaleerimist.
Ettevõtte Riskijuhtimise poliitika sätestab:
Kriitiliste riskide jaoks tuleb määratleda KRI-d (võtmeriskinäitajad) ja turbemõõdikud ning neid tuleb jälgida kord kuus.
See nõuab ka eskaleerimisloogikat:
Eskaleerimise päästikud tuleb lisada seireloogikasse (nt kui jääkrisk suureneb rohkem kui ühe taseme võrra või käsitlustähtajad jäävad täitmata).
Väiksemate organisatsioonide jaoks kasutab Clarysec Riskijuhtimise poliitika - SME proportsionaalset lähenemist:
Riskide maandamise edenemine tuleb läbi vaadata kord kvartalis.
See lubab ka lihtsustatud mõõdikuid:
Jälgida võib mitteametlikke mõõdikuid (nt avatud riskide arv, tähtaja ületanud tegevused, uued intsidendid).
See proportsionaalsus on oluline. Rahvusvaheline pank ja 60 töötajaga FinTech-tarnija ei vaja identset telemeetriat, kuid mõlemad vajavad määratud vastutust, korratavat mõõtmist, eskaleerimislävendeid ja parandusmeetmete tõendusmaterjali.
Praktiline KPI- ja KRI-mudel NIS2 ja DORA jaoks näeb välja nii:
| Valdkond | Kontrollimeetme omanik | KPI | KRI või eskaleerimise päästik | Tõendusmaterjali kogumise rütm |
|---|---|---|---|---|
| Haavatavuste haldus | Taristu või DevOpsi juht | Kriitilised haavatavused kõrvaldatakse heakskiidetud SLA jooksul | Iga internetile avatud kriitiline haavatavus väljaspool SLA-d | Iganädalane operatiivne ülevaatus, igakuine ISMS-i aruanne |
| Intsidendihaldus | SOC Manager | 100 protsenti intsidentidest klassifitseeritakse tõsiduse ja teenusemõju alusel | Potentsiaalne NIS2 oluline intsident või DORA suur IKT-ga seotud intsident ei ole töövoos eskaleeritud | Iga päev intsidendi ajal, igakuine trendide ülevaatus |
| Tarnijarisk | Hange ja turbevaldkond | 100 protsenti kriitilistest IKT-tarnijatest on enne kaasamist riskihinnatud | Kriitiline tarnija ilma kehtiva hoolsuskontrolli, auditeerimisõiguse, intsidendiklausli või väljumisplaanita | Igakuine registrikontroll, kvartaalne tarnija ülevaatus |
| Varundamine ja taaste | IT-operatsioonid | Kriitiliste teenuste taastetestid on tehtud määratud intervalli jooksul | Kriitilise või olulise funktsiooni taastetest ebaõnnestub | Igakuine varundamise tõendusmaterjal, kvartaalne taastetest |
| Juurdepääsukontroll | IAM-i omanik | Privilegeeritud juurdepääs vaadatakse tsükli jooksul üle | Omanikuta administraatorikonto või tegemata privilegeeritud juurdepääsu ülevaatus | Iganädalane erandiskannimine, igakuine kinnitus |
| Turvateadlikkus | HR või turbeteadlikkuse omanik | Nõutav koolitus läbitakse määratud tähtaja jooksul | Korduv andmepüügi simulatsiooni ebaõnnestumine ületab heakskiidetud lävendi | Igakuine koolitusaruanne, kvartaalne teadlikkuse ülevaatus |
| Vastavusseire | ISMS-i juht | Kõrge riskiga tõendusmaterjali üksused kogutakse tähtajaks | Tõendusmaterjal on rohkem kui 10 tööpäeva hilinenud | Igakuine vastavuse juhtpaneel, kvartaalne juhtkonnapoolne läbivaatus |
Need mõõdikud toetavad rohkemat kui ISO/IEC 27001:2022 sertifitseerimine. Need toetavad ka NIS2 küberturbe riskijuhtimise meetmeid, NIS2 intsidenditeavituse valmisolekut, DORA IKT-riski juhtimist, DORA kolmandate isikute riski, GDPR-i aruandekohustust, NIST CSF 2.0 juhtimistulemusi ja COBIT-stiilis tulemusjuhtimist.
Kehtesta tõendusmaterjali kogumise rütm enne, kui audit seda küsib
Paljud organisatsioonid koguvad tõendusmaterjali juhuslikult. Ekraanitõmmis ilmub Teamsi kanalisse. Jira pilet lingitakse e-kirjas. Tarnija küsimustikku hoitakse hankes. Varundustesti kirjeldatakse suuliselt. Auditnädalal muutub ISMS-i juht kohtuekspertiisi uurijaks.
Pidev vastavus nõuab kavandatud rütmi ja korras tõendusmaterjali haldust.
Clarysec Audit ja vastavusseire poliitika - SME sätestab:
Igal auditil peab olema määratletud kohaldamisala, eesmärgid, vastutav personal ja nõutav tõendusmaterjal.
See ütleb ka:
Tõendusmaterjali tuleb säilitada vähemalt kaks aastat või kauem, kui seda nõuavad sertifitseerimis- või kliendilepingud.
Ettevõtte organisatsioonide puhul lisab Audit ja vastavusseire poliitika automatiseerimise ootused:
Automaatseid tööriistu tuleb kasutada konfiguratsiooni vastavuse, haavatavuste halduse, paikamise staatuse ja privilegeeritud juurdepääsu seireks.
Automatiseerimine peab olema sihitud. Kõrge riskiga ja suure sagedusega kontrollimeetmed ei tohiks sõltuda käsitsi tehtud ekraanitõmmistest. Parim tõendusmudel ühendab automaatse telemeetria, omanike kinnitused, erandilogid, piletihaldussüsteemi kirjed, testitulemused ja juhtkonnapoolse läbivaatuse protokollid.
| Rütm | Tõendusmaterjali tüüp | Näited | Läbivaatajad |
|---|---|---|---|
| Reaalajas või sündmuspõhiselt | Turbeoperatsioonide tõendusmaterjal | SIEM-i teavitused, intsidendi klassifitseerimine, haavatavuse tuvastamine, suure intsidendi eskaleerimine | SOC, intsidendihaldur, kontrollimeetme omanik |
| Iga nädal | Operatiivsete kontrollimeetmete tõendusmaterjal | Kriitiliste haavatavuste staatus, privilegeeritud juurdepääsu erandid, varundustööde rikked, konfiguratsiooni triiv | Kontrollimeetmete omanikud, ISMS-i juht |
| Iga kuu | KPI- ja KRI-tõendusmaterjal | Riskimõõdikud, tähtaja ületanud tegevused, paikamise SLA toimivus, tarnijaregistri muudatused | ISMS-i juht, riskiomanik |
| Iga kvartal | Juhtimise ja kindlustandva tegevuse tõendusmaterjal | Riskikäsitluse edenemine, tarnijate ülevaatused, juurdepääsuõiguste kordussertifitseerimine, kerksuse testimise tulemused | Riskikomitee, juhtorgan |
| Kord aastas või kavandatud tsüklis | Sõltumatu läbivaatuse tõendusmaterjal | Siseaudit, kontrollimeetmete testimisplaan, juhtkonnapoolne läbivaatus, poliitika läbivaatus | Tippjuhtkond, audiitorid |
Oluline on ka nimetamistava. Tõendusmaterjal peab olema leitav ilma kangelaslike pingutusteta. Näiteks:
- iganädalane haavatavuste aruanne:
YYYY-MM-DD_Vulnerability-SLA_ControlOwner - igakuine privilegeeritud juurdepääsu ülevaatus:
YYYY-MM_IAM-Privileged-Review_Attestation - kvartaalne tarnija ülevaatus:
YYYY-QX_Critical-Supplier-Review - intsidendipakett:
INC-YYYY-###_Timeline-Classification-RCA-CAPA
Siin muutub poliitika operatiivseks. Tõendusmaterjali säilitamine ei ole arhiivitöö. See on osa kontrollimeetmest.
Vasta üks tõendusmaterjali üksus mitmele kohustusele
Pidev vastavus muutub mõjusaks siis, kui üks tõendusmaterjali üksus katab mitu raamistikku. Seetõttu on Zenith Controls Clarysec ristvastavuse lähenemises keskne.
Võtame näiteks intsidentide käsitlemise. NIS2 alusel nõuavad olulised intsidendid etapiviisilist teavitamist, sealhulgas varajast hoiatust 24 tunni jooksul teadlikuks saamisest, teavitust 72 tunni jooksul ja lõpparuannet ühe kuu jooksul, sõltuvalt riiklikust rakendamisest ja intsidendi asjaoludest. DORA nõuab, et finantsüksused haldaksid, klassifitseeriksid, eskaleeriksid ja teataksid suurtest IKT-ga seotud intsidentidest nõutud protsesside ja mallide abil. GDPR nõuab, et vastutavad töötlejad hindaksid ja käsitleksid isikuandmetega seotud rikkumisi, kui mõjutatud on isikuandmete konfidentsiaalsus, terviklus või käideldavus.
Üks intsidendi tõenduspakett saab toetada kõiki kolme, kui see sisaldab:
- intsidendi ajajoont ja teadlikuks saamise aega;
- klassifitseerimise põhjendust;
- mõjutatud teenuseid ja jurisdiktsioone;
- kliendi-, tehingu- või kasutajamõju;
- isikuandmete mõju hindamist;
- algpõhjust;
- maandamis- ja taastetegevusi;
- teabevahetust ja teavitusi;
- juhtkonnale eskaleerimise kirjet;
- parandusmeetme kirjet.
Sama ristvastavuse loogika kehtib tarnijariski kohta. NIS2 nõuab tarneahela turvet ning tähelepanu otsestele tarnija- ja teenuseosutaja suhetele. DORA nõuab IKT kolmandate isikute riski strateegiat, registreid, lepingueelset hoolsuskontrolli, lepinguklausleid, auditeerimisõigusi, teenustasemeid, väljumisstrateegiaid ja kontsentratsiooniriski seiret. NIST CSF 2.0 käsitleb tarneahela riski elutsüklipõhise juhtimisdistsipliinina. ISO/IEC 27001:2022 seob need nõuded kohaldamisala, huvitatud poolte nõuete, riskikäsitluse ja väljastpoolt osutatavate protsesside operatiivse kontrolliga.
Praktiline tõendusmaatriks aitab kontrollimeetmete omanikel mõista, miks tõendusmaterjal on oluline:
| Tõendusmaterjali üksus | NIS2 väärtus | DORA väärtus | ISO/IEC 27001:2022 väärtus | GDPR väärtus |
|---|---|---|---|---|
| Intsidendi klassifitseerimise kirje | Toetab olulise intsidendi hindamist | Toetab suure IKT-ga seotud intsidendi klassifitseerimist | Toetab intsidendikontrolli toimimist ja seiret | Toetab rikkumise esmase hindamise aruandekohustust |
| Tarnijaregister | Toetab tarneahela turvet | Toetab IKT kolmandate isikute registrit | Toetab väljastpoolt osutatavate protsesside kontrolli | Toetab volitatud töötlejate ja alltöötlejate järelevalvet |
| Haavatavuste SLA aruanne | Toetab küberturbe riskijuhtimise meetmeid | Toetab IKT kaitset ja tuvastamist | Toetab riskikäsitlust ja haavatavuste haldust | Toetab asjakohaseid turvameetmeid |
| Taastetesti aruanne | Toetab talitluspidevust ja kriisivalmidust | Toetab digitaalset tegevuskerksust ja taastet | Toetab varundamise ja talitluspidevuse valmisolekut | Toetab töötlemise käideldavust ja kerksust |
| Juhtkonna läbivaatuse protokoll | Toetab juhtkonna järelevalvet | Toetab juhtorgani vastutust | Toetab juhtimist, tulemuslikkuse läbivaatust ja täiustamist | Toetab aruandekohustuse tõendusmaterjali |
See lähenemine väldib dubleerivat vastavustööd. Organisatsioon kogub ühe tugeva tõendusmaterjali kogumi ja vastendab selle mitme kohustusega.
Clarysec seiremudel: kohustusest omanikuni ja tõenduseni
Tugev seiremudel järgib lihtsat järjestust.
Esiteks määratle kohustus. Näiteks nõuab DORA, et IKT kolmandate isikute riski juhitaks IKT-riski juhtimise osana koos registrite, hoolsuskontrolli, lepinguliste nõuete, auditeerimisõiguste ja kriitiliste või oluliste funktsioonide väljumisstrateegiatega. NIS2 nõuab tarneahela turvet ja asjakohaseid parandusmeetmeid.
Teiseks tõlgi kohustus ISO/IEC 27001:2022 ISMS-i nõueteks. See hõlmab huvitatud poolte nõudeid, kohaldamisala, riskihindamist, riskikäsitlust, kohaldatavusdeklaratsiooni (SoA), operatiivset kontrolli, seiret, siseauditit, juhtkonnapoolset läbivaatust ja täiustamist.
Kolmandaks vali operatiivsed kontrollimeetmed. Zenith Controls raamistikus hõlmavad pideva vastavuse põhijuhtimise kontrollimeetmed ISO/IEC 27002:2022 kontrollimeetmeid 5.2, 5.35 ja 5.36. Toetavad kontrollimeetmed hõlmavad sageli 5.19 infoturve tarnijasuhetes, 5.21 infoturbe haldamine IKT tarneahelas, 5.22 tarnijateenuste seire, läbivaatamine ja muudatuste haldus, 5.23 infoturve pilveteenuste kasutamisel, 5.24 infoturbeintsidentide halduse planeerimine ja ettevalmistus, 5.26 reageerimine infoturbeintsidentidele, 5.30 IKT valmisolek talitluspidevuseks, 5.31 õiguslikud, seadusjärgsed, regulatiivsed ja lepingulised nõuded, 8.8 tehniliste haavatavuste haldus, 8.13 teabe varundamine, 8.15 logimine, 8.16 seiretegevused ja 8.9 konfiguratsioonihaldus.
Neljandaks määra omanik ja rütm. Tarnijarisk võib hõlmata hanget, õigust, turvet ja äriteenuse omanikku, kuid üks vastutav omanik peab registrit pidama ja eranditest aru andma.
Viiendaks määratle KPI-d, KRI-d ja tõendusmaterjal. Tarnija KPI-d võivad hõlmata kriitiliste IKT-tarnijate osakaalu, kelle hoolsuskontroll on tehtud, heakskiidetud lepinguklauslitega tarnijate osakaalu, testitud väljumisplaanideta tarnijate arvu ja tähtaja ületanud tarnijaülevaatuste arvu. KRI-d võivad hõlmata lahendamata kõrge riskiga tarnijaleide, riskitaluvust ületavat kontsentratsiooniriski või auditeerimisõiguste puudumist teenuse puhul, mis toetab kriitilist või olulist funktsiooni.
Kuuendaks raporteeri ja eskaleeri. Igakuised ISMS-i juhtpaneelid ei peaks näitama pelgalt rohelist staatust. Need peavad tuvastama hilinenud tõendusmaterjali, riski muutumise, täitmata käsitlustähtajad ja juhtkonna otsuseid nõudvad küsimused.
Seitsmendaks auditeeri ja täiusta. Tõendusmaterjali puudujäägid muutuvad parandusmeetmeteks, mitte vabandusteks.
See on kooskõlas Zenith Blueprint auditi, läbivaatuse ja täiustamise faasiga. Samm 25, siseauditi programm, soovitab katta asjakohased ISMS-i protsessid ja kontrollimeetmed auditi tsükli jooksul, koos iga-aastase täismahulise auditiga ning vajaduse korral väiksemate kvartaalsete pisteliste kontrollidega kõrge riskiga valdkondades. Samm 28, juhtkonnapoolne läbivaatus, nõuab sisendeid nagu nõuete muutused, seire- ja mõõtmistulemused, auditi tulemused, intsidendid, mittevastavused, parendusvõimalused ja ressursivajadused. Samm 29, pidev täiustamine, kasutab CAPA logi, et talletada probleemi kirjeldus, algpõhjus, parandusmeede, vastutav omanik, sihtkuupäev ja staatus.
See on pidev vastavus praktikas.
Praktiline stsenaarium: kriitiline haavatavus avalikus API-s
Kell 02.15 käivitub SIEM-i teavitus. Haavatavuse skannimine on tuvastanud kriitilise kaugkoodi käivitamise haavatavuse avalikus API-lüüsis, mis toetab reguleeritud makseteenust.
Pideva seire mudel peab reageerima ilma koosolekut ootamata.
Esiteks klassifitseerib varade register lüüsi kriitiliseks. Haavatavuste halduse KPI kell käivitub. Paikamata kriitiliste haavatavuste KRI suureneb. Kui vara on internetile avatud ja aktiivselt ärakasutatav, käivitub eskaleerimislävend viivitamata.
Teiseks suunatakse pilet valves olevale DevOpsi meeskonnale. DevOpsi juht kui haavatavuste halduse kontrollimeetme omanik saab automaatse teavituse. SOC Manager jälgib, kas esineb ärakasutuse indikaatoreid. ISMS-i juht jälgib, kas intsidendi kriteeriumid on täidetud.
Kolmandaks kogutakse tõendusmaterjal töövoo kõrvalsaadusena. SIEM-i teavitus, haavatavuse skannimine, vara klassifikatsioon, pileti ajatemplid, reageerimisvestlus, paikamiskirje, valideerimisskannimine ja sulgemise heakskiit lisatakse tõenduspaketti.
Neljandaks hindab meeskond, kas sündmus on üksnes haavatavus, turbesündmus või intsident. Kui esineb teenusemõju, kompromiteerimise indikaatoreid, kliendimõju või isikuandmete avalikustumist, käivitab intsidendi töövoog NIS2, DORA, GDPR-i ja lepinguliste teavitamiskohustuste hindamise.
Viiendaks saab juhtkond lühikese aruande. Kui haavatavus kõrvaldati nelja tunni jooksul, toetab tõendusmaterjal kontrollimeetme tõhusust. Kui SLA jäi täitmata, registreerib CAPA logi algpõhjuse, parandusmeetme, omaniku, sihtkuupäeva ja staatuse.
See üks sündmus loob kasulikku tõendusmaterjali haavatavuste halduse, intsidentide valmisoleku, seire, kriitilistele varadele juurdepääsu, juhtkonnapoolse läbivaatuse ja pideva täiustamise jaoks.
Kuidas audiitorid ja regulaatorid testivad sama seiremudelit
Küps pideva vastavuse programm peab vastu pidama eri auditi vaatenurkadele. Tõendusmaterjal ei muutu, kuid küsimused muutuvad.
| Audiitori vaatenurk | Tõenäoline auditiküsimus | Oodatav tõendusmaterjal |
|---|---|---|
| ISO/IEC 27001:2022 audiitor | Kas rollid on määratud, riskid käsitletud, kontrollimeetmed toimivad ja tõendusmaterjal säilitatud? | Kohaldamisala, huvitatud poolte nõuded, riskiregister, kohaldatavusdeklaratsioon (SoA), omanike register, seiretulemused, siseaudit, juhtkonnapoolne läbivaatus, CAPA logi |
| NIS2 regulaator või hindaja | Kas juhtkond on asjakohased küberturbe riskijuhtimise meetmed heaks kiitnud ja nende üle järelevalvet teinud? | Juhtkonna protokollid, riskide heakskiidud, intsidendi töövoog, tarnijakontrollid, talitluspidevuse tõendusmaterjal, koolituskirjed, parandusmeetmed |
| DORA pädev asutus või siseaudit | Kas IKT-riski raamistik seob juhtimise, kerksuse, testimise, intsidentidest teatamise, kolmanda isiku riski ja auditi järeltegevused? | IKT-riski raamistik, kerksusstrateegia, intsidendi klassifitseerimise kirjed, testitulemused, tarnijaregister, lepinguline tõendusmaterjal, auditiaruanded |
| NIST CSF 2.0 hindaja | Kas organisatsioonil on juhtimistulemused, prioriseeritud puudujäägid, mõõdetav toimivus ja läbivaatustsüklid? | Praegused ja sihtprofiilid, riskide tegevuskava, juhtimismõõdikud, tarneahela järelevalve, operatiivsed KPI-aruanded |
| COBIT 2019 või ISACA audiitor | Kas juhtimiseesmärgid, juhtimispraktikad, protsessiomandus, mõõdikud ja kindlustandvad tegevused on määratletud ning tõhusad? | RACI, protsessikirjeldused, toimivusmõõdikud, erandiaruanded, kontrollimeetmete testimine, juhtkonna järelevalve kirjed |
ISO/IEC 27002:2022 kontrollimeetme 5.35 Infoturbe sõltumatu läbivaatus puhul keskendub ISO/IEC 27001:2022 audiitor siseauditi plaanile, kohaldamisalale, pädevusele, leidudele ja parandusmeetmetele. NIS2 või DORA regulaator keskendub sellele, kas juhtkond mõistis leide, rahastas puuduste kõrvaldamist ja vähendas süsteemset riski. NIST CSF 2.0 hindaja võib vastendada läbivaatuse GOVERN-funktsiooniga, sealhulgas järelevalve ja toimivuse korrigeerimisega.
Sama tõendusmaterjali kogum teenib neid kõiki, kui see on täielik, ajakohane ja seotud omanikuga.
Levinud vead, mis nõrgestavad pidevat vastavust
Esimene viga on käsitleda NIS2 ja DORA nõudeid eraldi projektidena. See loob dubleerivad registrid, vastuolulised mõõdikud ja ülekoormatud kontrollimeetmete omanikud. Kasuta ISO/IEC 27001:2022 ISMS-i selgroona ja vastenda kohustused läbi ühe kontrolliteegi.
Teine viga on määrata kontrollimeetmed meeskondadele, mitte inimestele. „IT vastutab varukoopiate eest“ ei ole piisav. Nimeline omanik peab kinnitama, eranditest aru andma ja riski eskaleerima.
Kolmas viga on koguda tõendusmaterjali ilma tõhusust hindamata. Varunduse edukuse ekraanitõmmis ei tõenda taastatavust. Taastetest tõendab. Tarnija küsimustik ei tõenda kolmanda isiku kerksust. Lepinguklauslid, auditeerimisõigused, rikkumisest teavitamise tingimused, toimivusaruanded ja väljumisplaanid loovad tugevama tõendusmaterjali.
Neljas viga on mõõta tegevust riski asemel. Haavatavuste loendamine on kasulik. Tähtaja ületanud kriitiliste haavatavuste jälgimine internetile avatud süsteemides on parem. Tarnijate loendamine on kasulik. Kriitiliste tarnijate jälgimine, kellel puuduvad väljumisplaanid, on parem.
Viies viga on nõrk parandusmeetmete distsipliin. Zenith Blueprint samm 29 on selge: leidudel peab olema probleemi kirjeldus, algpõhjus, parandusmeede, vastutav omanik, sihtkuupäev ja staatus. Kui CAPA logi ei vaadata läbi, muutub pidev vastavus teadaolevate nõrkuste pidevaks kuhjumiseks.
Mida peaks juhtkond iga kuu nägema
NIS2 ja DORA alusel ei vaja juhtorganid töötlemata skanneriekspordi faile. Nad vajavad otsustamiseks sobivat vaadet küber- ja IKT-riskile.
Igakuine juhatuse või juhtkonna juhtpaneel peaks sisaldama:
- peamisi küber- ja IKT-riske koos jääkriski muutusega;
- tähtaja ületanud riskikäsitlusi ja täitmata tähtaegu;
- olulisi intsidente, suure IKT-ga seotud intsidendi kandidaate ja õppetunde;
- kriitiliste tarnijariskide erandeid;
- kriitiliste varade haavatavuste SLA toimivust;
- varundus- ja taastetestide staatust;
- privilegeeritud juurdepääsu läbivaatuse erandeid;
- vastavuse tõendusmaterjali valmimismäära;
- auditileide ja CAPA staatust;
- nõutavaid ressursiotsuseid.
See toetab otseselt ISO/IEC 27001:2022 juhtkonnapoolset läbivaatust ning NIS2 ja DORA juhtimisootusi. Samuti on see kooskõlas NIST CSF 2.0-ga, kus tippjuhid määravad prioriteedid, vastutuse, ressursid ja riskivalmiduse ning juhid tõlgivad need prioriteedid sihtprofiilideks ja tegevuskavadeks.
Ehita sel nädalal oma NIS2 ja DORA tõendusmaterjali rütm
Alustamiseks ei pea kogu maailma ära lahendama. Kasulik esimene nädal võib olla lihtne.
päev: loo kontrollimeetmete omanike register viie valdkonna jaoks: juhtimine ja riskijuhtimine, intsidendihaldus ja teatamine, haavatavuste ja paikade haldus, tarnija- ja pilverisk ning talitluspidevus ja taaste.
päev: määra iga valdkonna jaoks üks KPI ja üks KRI. Hoia need konkreetsed, mõõdetavad ja riskivalmidusega seotud.
päev: vastenda iga tõendusmaterjali üksus NIS2, DORA, ISO/IEC 27001:2022, GDPR-i ja klientidele kindluse andmise väärtusega.
päev: määra tõendusmaterjali kogumise rütm, säilitamiskoht, nimetamistava, säilitamisreegel ja läbivaataja.
päev: vii läbi lauaõppuse eskaleerimine. Kasuta pilveteenuse katkestuse või kriitilise haavatavuse stsenaariumi. Kinnita klassifitseerimine, regulatiivse teavitamise hindamine, kliendisuhtlus, tõendusmaterjali säilitamine ja CAPA loomine.
Kui sinu organisatsioon juhib NIS2 ja DORA nõudeid endiselt tabelite, iga-aastaste töötubade ja hajutatud tõendusmaterjali kaustade abil, on aeg liikuda seiratava tegevusrütmi juurde.
Alusta kolmest tegevusest:
- Loo kontrollimeetmete omanike register oma kõrgeima riskiga valdkondade jaoks.
- Määra iga kontrollimeetme kohta üks KPI, üks KRI, üks tõendusmaterjali üksus ja üks kogumisrütm.
- Vii läbi 30-minutiline tõendusmaterjali ülevaatus ja ava CAPA üksused kõige puuduva kohta.
Clarysec aitab üleminekut kiirendada Zenith Blueprint abil juurutusjärjestuse jaoks, Zenith Controls abil ristvastavuse vastendamiseks ning Clarysec poliitikateegiga, sealhulgas Infoturbepoliitika, Riskijuhtimise poliitika, Audit ja vastavusseire poliitika, Juhtimisrollide ja vastutuste poliitika - SME, Riskijuhtimise poliitika - SME ja Audit ja vastavusseire poliitika - SME.
Eesmärk ei ole rohkem vastavusdokumente. Eesmärk on vastata reede pärastlõuna küsimusele kindlalt:
„Jah, me teame, kes kontrollimeedet omab, me teame KPI-d, meil on tõendusmaterjal, me teame erandeid ja juhtkond on riski läbi vaadanud.“
Contact Clarysec pideva vastavusseire mudeli loomiseks, mis on auditivalmis, juhatuse jaoks valmis ja piisavalt kerksusvõimeline NIS2, DORA ning järgmise regulatsiooni jaoks.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
