⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →

Valmisolek ELi kübersolidaarsuse määruseks ISO 27001 toel

Igor Petreski
14 min read
ELi kübersolidaarsuse määruse ja ISO 27001 tõendusmaterjali kaardistuse skeem

03:17 intsident, mis muudab ELi koostöö sinu auditiprobleemiks

Teisipäeva hommikul kell 03:17 vaatab InnovateCloudi infoturbejuht Maria ekraani, mis on täis teavitusi. Tema ettevõte on keskmise suurusega Euroopa SaaS-teenusepakkuja, kes teenindab logistikakliente Saksamaal, Prantsusmaal ja Poolas. Esimene teavitus viitab kahtlasele privilegeeritud juurdepääsule tootmiskeskkonna tenant’is. Kümme minutit hiljem teatab hallatud turvateenuse pakkuja sarnasest tegevusest, mis mõjutab veel kahte klienti. Kella 04:00-ks näeb SOC API-päringuid taristust, mida on varem seostatud lunavararünde ettevalmistamisega.

InnovateCloud ei olnud algne sihtmärk. Paistab, et löögi all on oluline taristuteenuse osutaja. Mõju on aga nüüd Maria probleem.

Üks mõjutatud klient on Saksamaa pank, kes nõuab vastuseid DORA alusel. Teine on energiasektori kriitiline tarnija, kes on juba riiklike NIS2 nõuete järgi klassifitseeritud. Keskkond võib sisaldada isikuandmeid, kuid andmete väljaviimine ei ole veel kinnitatud. Turbemeeskond soovib ohu kohe ohjeldada. Õigusosakond tahab teada, kas NIS2 24-tunnise varajase hoiatuse tähtaeg on alanud. Andmekaitsespetsialist küsib, kas GDPR-i kohane rikkumisest teavitamine võib olla vajalik. Juhatus tahab teada, kas katkestus võib levida liikmesriikide üleselt.

  1. aastal ei ole see enam ainult sisemine kriis.

ELi kübersolidaarsuse määrus muudab suuremahuliste ja piiriüleste küberintsidentide toimimiskeskkonda. See kehtestab ELi tasandi tuvastus-, valmisoleku- ja reageerimismehhanismid, sealhulgas Euroopa küberturvalisuse hoiatussüsteemi, küberturvalisuse hädaolukorra mehhanismi ja ELi küberturvalisuse reservi. Isegi kui organisatsioon ei taotle reservilt kunagi otseselt abi, võivad tema tõendusmaterjal, asutuste kontaktid, tarnijalepingud, intsidendi ajajooned ja kliendisuhtlus saada osaks laiemast Euroopa reageerimisahelast.

Lünk ilmneb kiiresti. Paljudel organisatsioonidel on tööriistad, piletid ja poliitikad, kuid puudub tõendusmaterjal, mis peaks vastu järelevalve- ja auditikontrollile. Nad võivad öelda: „võtsime järelevalveasutusega ühendust“, kuid ei suuda tõendada, kes oli selleks volitatud, milline lävend kontakti algatas, mida edastati, kas logid säilitati, kas tarnijal oli lepinguline kohustus abistada või kas lõpparuannet saab taastada samaaegsete otsuste põhjal.

Lahendus ei ole järjekordne eraldiseisev „kübersolidaarsuse määruse kaust“. Lahendus on ISO/IEC 27001:2022 infoturbe juhtimissüsteem, mis loob tõendusmaterjali ühe korra ja kasutab seda uuesti NIS2, DORA, GDPR, NIST CSF 2.0 ja COBIT 2019 ootuste täitmiseks.

See tõendusmaterjal tekib enne intsidenti.

Miks ELi kübersolidaarsuse määrus tõstab tõendusmaterjali standardit

Kübersolidaarsuse määrus on mõeldud ELi tasandi kübertuvastuseks, valmisolekuks ja kriisireageerimiseks. Selle praktiline mõju infoturbejuhtidele, audiitoritele ja vastavusjuhtidele on selge: suuremahuliste intsidentide koordineerimine nõuab tõendusmaterjali, mis on kiirem, korrektsem, järjepidevam ja usaldusväärsete sidusrühmadega hõlpsamini jagatav.

Kui piiriülene mõju on võimalik, võib organisatsioonil olla vaja koordineerida tegevust riiklike CSIRT-idega, pädevate asutustega, sektorijärelevalve asutustega, andmekaitseasutustega, finantsjärelevalve asutustega, õiguskaitseasutustega, klientidega, volitatud töötlejatega, tarnijatega ja väliste intsidentidele reageerijatega. ELi küberturvalisuse reserv lisab veel ühe mõõtme, sest eelnevalt hinnatud erasektori teenuseosutajad võivad toetada valmisolekut, reageerimist ja taastet. See muudab tarnijajuhtimise, õigusliku volituse, andmete käitlemise ja tõendusmaterjali säilitamise veelgi olulisemaks.

Eraõiguslikud üksused on selle tegelikkuse keskmes. Pilveteenuse pakkujad, andmekeskused, hallatud teenusepakkujad, hallatud turvateenuse pakkujad, digitaristu operaatorid, finantstehnoloogia ettevõtted ja SaaS-platvormid hoiavad sageli telemeetriat, logisid, kliendimõju andmeid ja tehnilisi fakte, mida asutused vajavad suure intsidendi mõistmiseks.

NIS2 osutab juba samas suunas. See kohaldub paljudele keskmise suurusega ja suurtele üksustele I ja II lisa sektorites, kes osutavad teenuseid või tegutsevad ELis. See hõlmab ka teatavaid üksusi sõltumata suurusest, sealhulgas usaldusteenuse pakkujaid, DNS-teenuse pakkujaid, tippdomeenide registreid ja domeeninimede registreerimisteenuse pakkujaid. I lisa hõlmab digitaristut, näiteks pilveteenuseid, andmekeskusteenuseid, sisuedastusvõrke, DNS-teenuse pakkujaid, usaldusteenuse pakkujaid ja TLD registreid. See hõlmab ka B2B IKT teenusehalduse teenuseid, sealhulgas hallatud teenusepakkujaid ja hallatud turvateenuse pakkujaid. II lisa hõlmab digitaalseid teenuseosutajaid, näiteks veebipõhiseid turuplatse, veebipõhiseid otsingumootoreid ja sotsiaalvõrgustiku teenuste platvorme.

DORA lisab finantssektorile teise kihi. Alates 17. jaanuarist 2025 kohaldub see laiale finantsüksuste ringile, sealhulgas krediidiasutustele, makseasutustele, e-raha asutustele, investeerimisühingutele, krüptovarateenuse osutajatele, kauplemiskohtadele, kindlustus- ja edasikindlustusandjatele, krediidireitinguagentuuridele, ühisrahastusteenuse osutajatele ja teistele. Samuti loob see olulised ootused IKT kolmandast isikust teenusepakkujatele, sest finantsüksused jäävad allhanke korras tellitud IKT-teenuste eest vastutavaks.

Finantstehnoloogia intsident 2026. aastal võib seetõttu liikuda DORA järelevalvekanalite kaudu, samal ajal kui seda finantstehnoloogia ettevõtet toetav SaaS-teenusepakkuja või MSSP võib kuuluda NIS2 alla. Sama tehniline sündmus võib eri osalistele kaasa tuua erinevad teavitamiskohustused, tõendusmaterjali ootused ja lepingulised kohustused.

ISO/IEC 27001:2022 annab organisatsioonidele selle keerukuse juhtimiseks toimimissüsteemi. Punktid 4.1 kuni 4.4 nõuavad, et organisatsioon määratleks ISMS-i oma ärikontekstis, tuvastaks huvitatud osapooled ning nende õiguslikud, regulatiivsed ja lepingulised nõuded, määratleks piirid ja sõltuvused ning kehtestaks juhtimissüsteemi. Punktid 5.1 kuni 5.3 panevad juhtkonnale vastutuse poliitika, ressursside, integreerimise ja rollide määramise eest. Punktid 6.1.1 kuni 6.1.3 nõuavad korratavat riskihindamist, riskikäsitlust ja kohaldatavusdeklaratsiooni. Punkt 8.1 nõuab tegevuse ohjet, sealhulgas väliselt osutatavate protsesside, toodete ja teenuste kontrolli.

See on kübersolidaarsuse määruseks valmisoleku tuum: tõendada, et kriisireageerimine on juhitud, testitud ja auditeeritav, mitte improviseeritud.

Clarysec tõendusmudel: üks intsident, mitu kohustust

Piiriülene intsident ei oota, kuni õigusmeeskonnad selle klassifitseerivad. Tõendusmaterjal tuleb koguda alates esimesest teavitusest ja seejärel suunata õigetele aruandlus- ja koordineerimisteedele.

Clarysec lähenemine ühendab kolm vara:

  1. Zenith Blueprint: audiitori 30-sammuline teekaart Zenith Blueprint, mis muudab ISO/IEC 27001:2022 rakendamise järjestatud ja auditivalmiks teekonnaks.
  2. Zenith Controls: vastavuse ristjuhend Zenith Controls, mis kaardistab ISO/IEC 27002:2022 kontrollimeetmed seotud kontrollimeetmete, atribuutide, operatiivvõimekuste, turbevaldkondade ja raamistikülese tõendusmaterjali ootustega.
  3. Clarysec poliitikamallid intsidentidele reageerimiseks, tõendite kogumiseks, tarnijate turbeks, logimiseks, seireks ja talitluspidevuseks, kohandatuna nii ettevõtete kui ka VKE-de keskkondadele.

Zenith Blueprinti etapis „Kontrollimeetmed praktikas“ käsitleb samm 22 ISO/IEC 27002:2022 kontrollimeedet 5.5, kontakt asutustega. Seal öeldakse:

Kontrollimeede 5.5 tagab, et organisatsioon on valmis vajaduse korral suhtlema väliste asutustega mitte reaktiivselt ega paanikas, vaid eelnevalt määratletud, struktureeritud ja hästi mõistetud kanalite kaudu.

Sama jaotis esitab küsimuse, millele iga infoturbejuht peab enne kriisi vastama:

Kui teie organisatsioon satuks küberrünnaku sihtmärgiks, oleks seotud andmekaitserikkumisega või oleks uurimise all, kes võtaks asutustega ühendust? Kuidas nad teaksid, mida öelda? Millistel tingimustel selline kontakt algatataks?

See ei ole halduslik paberitöö. Kübersolidaarsuse määruse keskkonnas on see vahe rahuliku varajase hoiatuse ja eri jurisdiktsioonides vastuoluliste sõnumite vahel.

Zenith Controls käsitleb ISO/IEC 27002:2022 kontrollimeedet 5.5, kontakt asutustega, ennetava ja korrigeeriva meetmena, mis on seotud konfidentsiaalsuse, tervikluse ja käideldavusega ning kooskõlas tuvastamise, kaitsmise, reageerimise ja taastamise kontseptsioonidega. See seob 5.5 intsidendihalduse planeerimise ja ettevalmistuse, sündmustest teatamise, ohuteabe, erihuvirühmade ja intsidentidele reageerimisega.

Sama juhend käsitleb ISO/IEC 27002:2022 kontrollimeedet 5.24, infoturbeintsidentide halduse planeerimine ja ettevalmistus, korrigeeriva kontrollimeetmena, mis on seotud reageerimise ja taastamise tegevustega. Seosed sündmuste hindamise, intsidentidele reageerimise, õppetundide analüüsi, logimise, seire, häireolukorra aegse turbe ja talitluspidevusega näitavad, mida audiitorid sageli testivad: kas plaan seob tuvastamise, klassifitseerimise, eskaleerimise, tõendusmaterjali, taaste ja õppimise.

Tõendusmaterjali käitlemisel on eriti oluline ISO/IEC 27002:2022 kontrollimeede 5.28, tõendite kogumine. Zenith Controls seob selle intsidentidele reageerimise, logimise, seire ja sündmustest teatamisega. Tõsise piiriülese intsidendi korral on see koht, kus tehnilisest uurimisest saab kaitstav uurimine.

Kübersolidaarsuse määruseks valmisoleku kaardistamine ISO 27001 tõendusmaterjaliga

ELi kübersolidaarsuse määrus loob valmisoleku ja koordineerimise keskkonna. ISO/IEC 27001:2022 annab tõendusmaterjali mootori. NIS2, DORA ja GDPR määratlevad paljud konkreetsed aruandluse, juhtimise ja kaitse ootused.

2026. aasta stsenaariumi nõueISO/IEC 27001:2022 tõendusmaterjali ankurSeotud operatiivne tõendusmaterjalClarysec tugi
Tuvastada, kas organisatsioon, kliendid või tarnijad kuuluvad NIS2, DORA või GDPR kohaldamisalassePunktid 4.1, 4.2 ja 4.3 konteksti, huvitatud osapoolte ja ISMS-i kohaldamisala kohtaVastavusregister, teenuste kaart, liikmesriikide jalajälg, kliendisektorid, andmetöötlusrollidZenith Blueprinti kohaldamisala sammud ja vastavusregistri mallid
Otsustada, kas intsidendil on piiriülene mõjuLisa A kontrollimeetmed A.5.24 kuni A.5.28 ja punkt 8.1 tegevuse ohje kohtaIntsidendi klassifitseerimise kirje, mõjuhinnang, mõjutatud riigid, mõjutatud teenused, kompromiteerimise indikaatoridIntsidentidele reageerimise poliitika ja tõendite kogumise töövoog
Teavitada asutusi nõutud tähtaegade jooksulA.5.5 kontakt asutustega, A.5.31 õiguslikud, seadusest tulenevad, regulatiivsed ja lepingulised nõuded, A.5.24 planeerimineAsutuste kontaktmaatriks, otsuselogi, teavituste mustandid, esitamise ajatemplidZenith Blueprint samm 22 ja Intsidentidele reageerimise poliitika
Koordineerida tegevust MSSP, pilveteenuse pakkuja või reservilaadse reageerijagaA.5.19 kuni A.5.23 tarnija- ja pilvekontrollid, punkt 8.1 väliste protsesside kontrollTarnijaregister, lepinguklauslid, intsidenditoe kohustused, auditeerimisõigused, teenuse asukohadKolmandate osapoolte ja tarnijate turbepoliitika
Säilitada forensiline tõendusmaterjal asutuste ja intsidendijärgse õppimise jaoksA.5.28 tõendite kogumine, A.8.15 logimine, A.8.16 seiretegevusedTõendite käitlemisahel, logiekspordid, hetktõmmised, forensilised kujutised, juurdepääsukirjedTõendite kogumise ja forensika poliitika, Logimis- ja seirepoliitika - VKE
Säilitada häire ajal olulised teenusedA.5.29 infoturve häire ajal, A.5.30 IKT valmisolek talitluspidevuseks, A.8.13 teabe varundamineÄrimõju analüüs (BIA), taaste-eesmärgid, varundustestid, alternatiivsed sidekanalid, kriisirollidTalitluspidevuse ja katastroofitaaste poliitika

Pange tähele, mida siin ei ole: eraldi vastavussilo. Sama tõendusmaterjal, mis toetab ISO/IEC 27001:2022 sertifitseerimist, saab toetada NIS2 juhtkonna vastutust, DORA IKT-riski juhtimist, GDPR-i turbevastutust, NIST CSF-i kommunikatsioonitulemusi ja COBIT 2019 kindlustusootusi.

NIS2: aruandluse kell hakkab tiksuma teadlikuks saamisel

NIS2 on 2026. aasta valmisoleku keskne osa, sest see määratleb etapiviisilise intsidentidest teatamise töövoo.

Article 23 nõuab, et olulised ja tähtsad üksused teavitaksid oma CSIRT-i või pädevat asutust ilma põhjendamatu viivituseta olulistest intsidentidest, mis mõjutavad teenuse osutamist. Varajane hoiatus tuleb esitada ilma põhjendamatu viivituseta ja hiljemalt 24 tunni jooksul pärast olulisest intsidendist teadlikuks saamist. See peaks vajaduse korral näitama, kas kahtlustatakse pahatahtlikku või õigusvastast tegevust ja kas piiriülene mõju on võimalik.

Intsidenditeade järgneb ilma põhjendamatu viivituseta ja hiljemalt 72 tunni jooksul pärast teadlikuks saamist, ajakohastades varajast hoiatust ning esitades esialgse hinnangu raskusastmele, mõjule ja kättesaadavatele kompromiteerimise indikaatoritele. Lõpparuanne tuleb esitada ühe kuu jooksul pärast intsidenditeadet ning selles tuleb käsitleda raskusastet, mõju, tõenäolist ohu tüüpi või algpõhjust, maandamismeetmeid ja piiriülest mõju.

Seetõttu ei saa intsidentidele reageerimine alata tühja dokumendiga.

Ettevõtte Intsidentidele reageerimise poliitika Intsidentidele reageerimise poliitika ütleb:

NIS2 Article 23 (teavitamine 24 tunni jooksul pärast intsidendist teadlikuks saamist)

VKE Intsidentidele reageerimise poliitika - VKE Intsidentidele reageerimise poliitika - VKE toob sama ajastusloogika praktilisse juhtimisse:

„Reageerimise tähtajad, sealhulgas andmete taaste ja teavitamiskohustused, tuleb dokumenteerida ja viia kooskõlla õigusnõuetega, näiteks GDPR-i 72-tunnise isikuandmetega seotud rikkumisest teavitamise nõudega.“

Allikas: Intsidentidele reageerimise poliitika - VKE, jaotis „Juhtimisnõuded“, punkt 5.3.2.

See toob intsidendiprotsessi ka mitme regulatiivse režiimi hindamise:

„Kui kaasatud on kliendiandmed, peab tegevjuht hindama õiguslikke teavitamiskohustusi GDPR, NIS2 või DORA kohaldatavuse alusel.“

Allikas: Intsidentidele reageerimise poliitika - VKE, jaotis „Riskikäsitlus ja erandid“, punkt 7.4.1.

Kübersolidaarsuse määruse stsenaariumis muutub lause „piiriülene mõju on võimalik“ operatiivselt oluliseks. Varajane hoiatus ei pruugi sisaldada kõiki fakte, kuid organisatsioon peab suutma näidata, miks ta olemasoleva tõendusmaterjali põhjal piiriülest mõju kahtlustas või ei kahtlustanud.

Intsidendikirje peab sisaldama järgmist:

  • Millal organisatsioon sai teadlikuks.
  • Kes kuulutas sündmuse võimalikuks intsidendiks.
  • Millised teenused, riigid, kliendid või sektorid võisid olla mõjutatud.
  • Kas kahtlustati pahatahtlikku või õigusvastast tegevust.
  • Millised kompromiteerimise indikaatorid olid kättesaadavad.
  • Millist asutusega kontakteerumise teed kasutati.
  • Kas kliendisuhtlus oli vajalik.
  • Milline tõendusmaterjal säilitati enne olulisi parandusmeetmeid.

Parim aeg nende väljade kujundamiseks on enne 03:17.

DORA: kui klient on reguleeritud, kuid logid on tarnija käes

DORA muudab tarnijavestlust. Finantsüksused peavad haldama IKT kolmanda osapoole riski osana oma IKT-riski juhtimise raamistikust. IKT-teenuste allhange ei vii regulatiivset vastutust finantsüksuselt ära.

DORA nõuab IKT kolmanda osapoole riski strateegiaid, IKT-teenuslepingute registreid, taustakontrolli, auditi- ja kontrolliplaane, lõpetamisõigusi ning testitud väljumisstrateegiaid kriitiliste või oluliste IKT-teenuste jaoks. Article 30 nõuab lepingulist selgust, sealhulgas teenuse kirjeldusi, asukohti, andmete käitlemist, konfidentsiaalsust, terviklust, käideldavust, teenustasemeid, abi IKT-intsidentide ajal, koostööd asutustega ja lõpetamisõigusi. Kriitiliste või oluliste funktsioonide puhul kehtivad rangemad tingimused.

Naaseme Maria intsidendi juurde. Saksamaa pank on DORA alusel reguleeritud. InnovateCloud pakub SaaS-teenuseid. MSSP tuvastab kahtlase tegevuse. Pilvetaristu pakkujal on osa peamistest auditilogidest. Alltöövõtja käitab osa telemeetriatorustikust. Pank jääb vastutavaks, kuid ei saa ilma tarnija tõendusmaterjalita intsidenti usaldusväärselt klassifitseerida ega sellest aru anda.

Clarysec käsitleb seda tarnijate klassifitseerimise ja lepingulise tõendusmaterjali kaudu. Ettevõtte Kolmandate osapoolte ja tarnijate turbepoliitika Kolmandate osapoolte ja tarnijate turbepoliitika nõuab:

Tarnijatega sõlmitud lepingud peavad sisaldama:

VKE Kolmandate osapoolte ja tarnijate turbepoliitika - VKE Kolmandate osapoolte ja tarnijate turbepoliitika - VKE kasutab sama vastavusloogikat kergemas toimimismudelis:

Lepingud peavad sisaldama kohustuslikke klausleid, mis hõlmavad:

Väärtus seisneb nende sõnade taga olevas lisas: intsidendist teavitamise kohustused, logidele juurdepääs, auditeerimisõigused, konfidentsiaalsus, andmete asukoht, alltöövõtjate kontrollimeetmed, koostöö asutustega, taastetugi ja väljumiskohustused.

Zenith Blueprinti etapi „Kontrollimeetmed praktikas“ samm 23 annab rakendamise tee:

Koostage täielik loend praegustest tarnijatest ja teenuseosutajatest (5.19) ning klassifitseerige nad süsteemidele, andmetele või tegevuskontrollile juurdepääsu alusel. Iga klassifitseeritud tarnija puhul kontrollige, et turbeootused oleksid selgelt lepingutesse sisse kirjutatud (5.20), sealhulgas konfidentsiaalsus, juurdepääs, intsidendist teatamine ja vastavuskohustused.

See jätkub allavoolu riskiga:

Iga kriitilise tarnija puhul tuvastage, kas nad kasutavad alltöövõtjaid (alltöötlejaid), kes võivad pääseda juurde teie andmetele või süsteemidele. Dokumenteerige, kuidas teie infoturbenõuded nendele osapooltele edasi antakse, kas tarnija lepingutingimuste või teie enda otseklauslite kaudu.

See on ka küberturvalisuse reserviks valmisolek. Kui väline reageerimisteenuse osutaja siseneb hädaolukorras teie keskkonda, peate teadma õiguslikku alust, juurdepääsu ulatust, tõendusmaterjali reegleid, andmekäitluskohustusi, asutustega koordineerimise teed ja väljumistingimusi. DORA teeb selle finantsüksuste jaoks selgesõnaliseks. NIS2 muudab selle asjakohaseks olulistele ja tähtsatele üksustele. ISO/IEC 27001:2022 muudab selle auditeeritavaks.

GDPR: rikkumise küsimus küberkriisi sees

Mitte iga küberturvalisuse intsident ei ole isikuandmetega seotud rikkumine, kuid iga tõsise intsidendi puhul tuleb seda võimalust hinnata.

GDPR kohaldub töötlemisele ELis asuva tegevuskoha kontekstis ning ka ELi-välistele vastutavatele töötlejatele või volitatud töötlejatele, kes pakuvad kaupu või teenuseid ELis asuvatele isikutele või jälgivad nende käitumist ELis. See määratleb isikuandmed, töötlemise, vastutava töötleja, volitatud töötleja ja isikuandmetega seotud rikkumise. Selle põhimõtete hulka kuuluvad terviklus, konfidentsiaalsus ja vastutus, mis tähendab, et vastutavad töötlejad peavad suutma vastavust tõendada.

03:17 intsidendi ajal peab Maria meeskond küsima:

  • Kas isikuandmetele pääseti juurde, neid avalikustati, muudeti, kaotati või hävitati?
  • Kas InnovateCloud on mõjutatud andmete puhul vastutav töötleja, volitatud töötleja või mõlemad?
  • Kas kaasatud on isikuandmete eriliigid?
  • Millised kliendid või isikud on mõjutatud?
  • Kas logid on ulatuse hindamiseks piisavad?
  • Kas GDPR-i teavitamiskohustused jooksevad paralleelselt NIS2 või DORA kohustustega?

Seetõttu kuulub privaatsuse koordineerimine intsidendi eskaleerimisse, mitte hilisesse õiguslikku ülevaatusse pärast seda, kui süsteemid on uuesti üles ehitatud ja logid on roteerunud.

VKE Logimis- ja seirepoliitika - VKE Logimis- ja seirepoliitika - VKE ütleb:

Kõrge prioriteediga teavitused tuleb 24 tunni jooksul eskaleerida tegevjuhile ja andmekaitsekoordinaatorile

See klausel on lihtne, kuid lahendab tegeliku rikkemustri. Privaatsuse eest vastutavad juhid vajavad tõendusmaterjali ajal, mil see on veel piisavalt värske, et teha kindlaks, kas isikuandmetega seotud rikkumine toimus ja kas isikud on ohus.

Koosta 24 tunni piiriülese intsidendi tõendusmaterjali pakett

Praktiline valmisolekuharjutus peab simuleerima piiriülese intsidendi esimest 24 tundi. Eesmärk ei ole üle teavitada. Eesmärk on tõendada, et organisatsioon suudab faktid kokku panna, teha kaitstavaid otsuseid ja hoida kommunikatsiooni järjepidevana.

Stsenaarium

Teie MSSP tuvastab ebatavalisest piirkonnast pärit kahtlase privilegeeritud juurdepääsu teie tootmiskeskkonna tenant’ile. Sama lähtetaristu ilmub teavitustes, mis mõjutavad kahte klienti kahes liikmesriigis. Üks klient on finantsüksus. Mõjutatud keskkond sisaldab isikuandmeid, kuid andmete väljaviimine ei ole kinnitatud.

Samm 1: Ava intsidendi kirje

Loo intsidendipilet heakskiidetud klassifitseerimisväljadega. Lisa teadlikuks saamise aeg, tuvastusallikas, mõjutatud varad, mõjutatud teenused, potentsiaalselt mõjutatud riigid, kahtlustatav pahatahtlik tegevus, esialgne raskusaste ja intsidendijuht.

Seo see ISO/IEC 27002:2022 kontrollimeetmetega 5.24, 5.25 ja 5.26 ning ISO/IEC 27001:2022 lisa A kontrollimeetmetega A.5.24, A.5.25 ja A.5.26.

Samm 2: Käivita asutustega kontakteerimise otsustusvoog

Kasuta Zenith Blueprinti sammu 22 nõutud asutuste kontaktmaatriksit. Tuvasta, millised asutused võivad olla asjakohased: riiklik CSIRT, andmekaitseasutus, finantsjärelevalve asutus, õiguskaitseasutus ja sektorijärelevalve asutus.

Dokumenteeri otsus ja põhjendus. Kui NIS2 varajast hoiatust ei esitata, jäädvusta põhjus. Kui piiriülene mõju on võimalik, dokumenteeri seda järeldust toetav tõendusmaterjal.

Samm 3: Säilita tõendusmaterjal enne olulisi parandusmeetmeid

Ettevõtte Tõendite kogumise ja forensika poliitika Tõendite kogumise ja kohtuekspertiisi poliitika ütleb:

Kogu kogutud tõendusmaterjal tuleb unikaalselt tuvastada, märgistada ja salvestada turvalisse hoidlasse koos:

VKE Tõendite kogumise ja forensika poliitika - VKE Tõendite kogumise ja kohtuekspertiisi poliitika - VKE annab sama distsipliini lihtsamal kujul:

„Iga digitaalse tõendusmaterjali üksus tuleb logida koos:“

Allikas: Tõendite kogumise ja forensika poliitika - VKE, jaotis „Juhtimisnõuded“, punkt 5.2.1.

Lauaõppuse jaoks kogu näidistõendusmaterjali kirjed: SIEM-i teavituse eksport, identiteedipakkuja logid, privilegeeritud seansside kirjed, lõppseadme hetktõmmis, tulemüüri logid, pilve auditilogid, kliendimõju märkmed ja kommunikatsiooni kinnitused.

Samm 4: Aktiveeri tarnija abi

Kontrolli tarnijaregistrit. Tuvasta MSSP, pilveteenuse pakkuja ja kriitilised alltöövõtjad. Kinnita intsidenditoe klauslid, eskalatsioonikontaktid, logide säilitamise tähtajad, tõendusmaterjali vorming ja asutustega koostöö kohustused.

See toetab otseselt DORA IKT kolmanda osapoole riski nõudeid ja NIS2 tarneahela turbe ootusi.

Samm 5: Koosta kolm kommunikatsiooni

Koosta kolm kommunikatsiooni samast faktibaasist:

KommunikatsioonEesmärkVajalik tõendusmaterjal
NIS2-stiilis 24-tunnine varajane hoiatusTeavitada olulisest intsidendist teadlikuks saamisest ja võimalikust piiriülesest mõjustTeadlikuks saamise aeg, kahtlustatav pahatahtlik tegevus, mõjutatud teenused, liikmesriigid, esialgsed indikaatorid
DORA-stiilis finantskliendi eskalatsioonToetada finantsüksuse IKT-intsidendi klassifitseerimist ja kolmanda osapoole riski kohustusiTeenuse mõju, kriitilise funktsiooni sõltuvus, tarnija osalus, taastehinnang, logide kättesaadavus
GDPR-i rikkumise hindamise memoMäärata, kas isikuandmetega seotud rikkumisest teavitamine on nõutavAndmerollid, mõjutatud andmekategooriad, juurdepääsu tõendusmaterjal, andmete väljaviimise indikaatorid, risk isikutele

Samm 6: Sulge õppetundidega

Ajakohasta riskiregister, kohaldatavusdeklaratsioon, tarnijaregister ja intsidentidele reageerimise plaan. Kui harjutus paljastab puuduvad logid, ebaselged asutuste kontaktid või nõrgad tarnijaklauslid, ava parandusmeetmed.

Zenith Blueprinti etapi „Kontrollimeetmed praktikas“ samm 23 juhendab organisatsioone intsidendivõimekust valideerima järgmiselt:

Valige hiljutine sündmus või viige läbi lauaõppus, et valideerida oma plaan. Jäädvustage ja logige kõik otsused, rollid ja kommunikatsioonid (5.26) ning ajakohastage plaani õppetundide põhjal (5.27). Kinnitage, et olemas on protseduurid forensilise tõendusmaterjali säilitamiseks (5.28), sealhulgas logitõmmised, varukoopiad ja mõjutatud süsteemide turvaline isoleerimine.

See lõik on auditivalmi harjutuse päevakord.

Logimine: erinevus koordineerimise ja spekulatsiooni vahel

Piiriüleste intsidentide koordineerimine ebaõnnestub siis, kui kõigil on arvamused, kuid kellelgi pole ajatempleid.

Zenith Blueprinti etapi „Kontrollimeetmed praktikas“ samm 19 ütleb selle selgelt:

Logimine on iga turvalise IT-keskkonna vereringe. Ilma selleta jäävad intsidendid nähtamatuks, vastutus hajub ning põhjus-tagajärg seosed kaovad jäljetult.

See jätkub:

Oma olemuselt on logimine seotud jälgitavusega. Kui midagi läheb valesti, olgu see ebaõnnestunud sisselogimiskatse, kriitiliste failide kustutamine või serveris töötav volitamata skript, annavad logid forensilise niidi, mis aitab lahti harutada, mis tegelikult juhtus.

NIS2 puhul toetavad logid 72-tunnist intsidenditeadet esialgse raskusastme, mõju ja kompromiteerimise indikaatoritega. DORA puhul toetavad logid olulise IKT-ga seotud intsidendi klassifitseerimist, algpõhjuse analüüsi, operatiivset mõju ja kolmandate osapoolte vastutust. GDPR-i puhul toetavad logid hinnangut, kas isikuandmetele pääseti juurde või need avalikustati. Kübersolidaarsuse määruse kontekstis toetavad logid ühist olukorrateadlikkust, ilma et reageerijad peaksid tuginema oletustele.

Logimise küsimusMiks see on 2026. aasta koordineerimisel oluline
Kas suudad tõendada, millal teadlikuks saamine algas?NIS2 ja sisemised eskalatsioonitähtajad sõltuvad teadlikuks saamise ajast
Kas suudad tuvastada mõjutatud teenused riigi ja kliendi lõikes?Piiriülese mõju hindamine sõltub teenusest ja geograafiast
Kas suudad logid säilitada enne, kui ohjeldamine süsteeme muudab?Tõendite kogumine ja algpõhjuse analüüs sõltuvad terviklusest
Kas suudad eristada kliendimõju fakte spekulatsioonist?Väline kommunikatsioon peab olema õigeaegne, kuid täpne
Kas suudad tarnijalogid piisavalt kiiresti kätte saada?DORA ja NIS2 tarnijavastutus eeldab lepingulist ja operatiivset juurdepääsu

Kui vastus mõnele küsimusele on „ei ole kindel“, kuulub probleem riskikäsitlusplaani.

Talitluspidevus ja turvalised kriisioperatsioonid

Kübersolidaarsuse määruse arutelu keskendub loomulikult intsidentidele reageerimisele, kuid vastupidavus tähendab ka kriitiliste teenuste turvalisena hoidmist häire ajal.

NIS2 Article 21 nõuab kõiki ohte hõlmavat lähenemist, mis katab intsidentide käsitlemise, talitluspidevuse, varunduse halduse, katastroofitaaste, kriisijuhtimise, tarneahela turbe, haavatavuste käsitlemise, tõhususe hindamise, küberhügieeni, krüptograafia, personaliturbe, juurdepääsukontrolli, varahalduse, mitmefaktorilise autentimise, turvalise side ja vajaduse korral turvatud hädaolukorra side.

DORA nõuab samamoodi juhtimist, IKT-riski juhtimist, intsidendihaldust, tegevuskerksuse testimist, kolmanda osapoole riski juhtimist, talitluspidevust ja taastet. Väiksematel üksustel võivad olla lihtsustatud nõuded, kuid neil on siiski vaja dokumenteeritud IKT-riski juhtimist, seiret, vastupidavaid süsteeme, intsidentide käsitlemist, kolmanda osapoole sõltuvuste tuvastamist, varukoopiaid, taastamist, testimist, intsidendijärgset õppimist ja koolitust.

Ettevõtte Talitluspidevuse ja katastroofitaaste poliitika Talitluspidevuse ja katastroofitaaste poliitika algab lihtsast nõudest:

Plaanid peavad hõlmama:

Selle fraasi taga on talitluspidevuse tõendusmaterjal, mida audiitorid ootavad: taasteprioriteedid, taasteaja eesmärgid, taastepunkti eesmärgid, varundusgraafikud, taastamistestid, kriisirollid, alternatiivsed sidekanalid, tarnijasõltuvused ja harjutusjärgsed parendustegevused.

ISO/IEC 27002:2022 kontrollimeetmed 5.29 ja 5.30 on siin kesksed. Kontrollimeede 5.29 käsitleb infoturvet häire ajal. Kontrollimeede 5.30 käsitleb IKT valmisolekut talitluspidevuseks. Zenith Controlsis on intsidendi planeerimine 5.24 all seotud häireolukorra turbe ja laiema talitluspidevuse planeerimisega. See on eriti asjakohane siis, kui tavapärased kanalid ei ole kättesaadavad, identiteedisüsteemid on halvenenud või kriisimeeskonnad peavad asutustega koordineerima turvatud hädaolukorra sidekanalite kaudu.

Vastavuse ristkaart: NIS2, DORA, GDPR, NIST CSF 2.0 ja COBIT 2019

Infoturbejuht ei vaja viit eraldi intsidendiprogrammi. Vaja on üht tõendusmudelit, mida saab vaadata viie vaatenurga kaudu.

RaamistikMida see soovib nähaAbistav ISO/IEC 27001:2022 tõendusmaterjal
NIS2Juhtkonna vastutus, riskijuhtimine, intsidentide käsitlemine, talitluspidevus, tarneahela turve, aruandlus ja koolitusISMS-i kohaldamisala, juhtkonna kirjed, riskihindamine, kohaldatavusdeklaratsioon, intsidendiplaan, asutuste maatriks, tarnijaregister, koolituslogid
DORAIKT juhtimine, tegevuskerksuse strateegia, olulise IKT-ga seotud intsidendi protsess, testimine, IKT kolmanda osapoole risk ja auditeeritavusIKT riskiregister, talitluspidevuse testid, intsidendi tõendusmaterjal, tarnijalepingud, väljumisplaanid, auditiaruanded
GDPRTurvalisus, konfidentsiaalsus, vastutus, rikkumise hindamine ja isikuandmete rollide selgusAndmekaardid, vastutava töötleja ja volitatud töötleja kirjed, juurdepääsulogid, rikkumise hindamise märkmed, krüptimiskontrollid, tõendusmaterjali säilitamine
NIST CSF 2.0Valitsemine, riskiprofiilid, tarneahela risk, tuvastamine, reageerimine, taaste ja kommunikatsioonPraegused ja sihtprofiilid, puudujääkide tegevuskava, seire tõendusmaterjal, reageerimise tööjuhised, taaste valideerimine
COBIT 2019 ja ISACA auditipraktikaValitsemiseesmärgid, juhtkonna vastutus, kontrollimeetmete ülesehitus, toimivuse seire ja kindluse andmineJuhatuse aruanded, RACI, kontrollimeetmete omamine, mõõdikud, siseauditi tulemused, parandusmeetmete jälgimine

NIST CSF 2.0 praeguse ja sihtprofiili meetod on eriti kasulik organisatsioonidele, kes ei ole veel piisavalt küpsed täielikult integreeritud GRC-platvormi jaoks. See julgustab organisatsioone määratlema profiili kohaldamisala, koguma sisendeid, nagu poliitikad, ettevõtte riskiprioriteedid, ärimõju analüüsid, nõuded, standardid, protseduurid, kaitsemeetmed ja rollid, seejärel analüüsima puudujääke ja looma prioriseeritud tegevuskava. See on lähedane praktilisele kübersolidaarsuse määruseks valmisoleku sprindile: praegune tõendusmaterjal, sihtkohustused, puudujääkide plaan, omanikud, kuupäevad ja auditijälg.

COBIT 2019 ja ISACA-stiilis audiitorid küsivad tavaliselt, kas valitsemiseesmärkidel on omanikud ning kas neid mõõdetakse ja jälgitakse. Neid ei rahulda vastus „SOC tegeleb sellega“. Nad küsivad, kuidas juhtorganid kiidavad riskimeetmed heaks, kuidas toimivusest aru antakse, kuidas kolmanda osapoole riski juhitakse, kuidas erandeid aktsepteeritakse ja kuidas parandusmeetmeid jälgitakse.

Kuidas audiitorid sama intsidenti testivad

Sama 03:17 intsident tekitab erinevaid auditiküsimusi sõltuvalt hindaja mandaadist.

ISO/IEC 27001:2022 audiitor alustab ISMS-ist. Ta küsib, kas intsidendiprotsess kuulub kohaldamisalasse, kas huvitatud osapoolte nõuded hõlmavad NIS2, DORA, GDPR-i ja lepinguid, kas riskihindamine arvestas piiriüleseid ja tarnijastsenaariume, kas lisa A kontrollimeetmed valiti kohaldatavusdeklaratsioonis ning kas tegevuskirjed tõendavad protsessi järgimist.

NIS2-le keskenduv asutus või hindaja keskendub juhtkonna vastutusele, Article 21 riskijuhtimismeetmetele ja Article 23 aruandlusele. Nad võivad küsida, millal organisatsioon sai teadlikuks, miks intsident oli või ei olnud oluline, kuidas piiriülest mõju hinnati, kas kliente teavitati ja kas parandusmeetmeid rakendati ilma põhjendamatu viivituseta.

DORA järelevalveasutus või siseauditi meeskond küsib, kas intsident mõjutas kriitilisi või olulisi funktsioone, kas IKT kolmandast isikust teenusepakkujad toetasid reageerimist, kas finantsüksus säilitas vastutuse, kas teaberegister oli täpne, kas intsident klassifitseeriti õigesti ja kas õppetunnid suunati tagasi tegevuskerksuse testimisse ja tarnijate järelevalvesse.

GDPR-i audiitor või andmekaitseasutus küsib, kas organisatsioonil oli piisavalt tõendusmaterjali, et otsustada, kas isikuandmetega seotud rikkumine toimus, kas vastutava töötleja ja volitatud töötleja rollid olid selged, kas andmesubjektid olid ohus, kas konfidentsiaalsuse ja tervikluse kontrollimeetmed olid asjakohased ning kas vastutuse kirjed olid säilitatud.

NIST CSF 2.0 hindaja tõlgib sündmuse valitsemise, tuvastamise, kaitsmise, avastamise, reageerimise ja taastamise tulemusteks. Ta otsib sidusrühmade ootusi, õiguslikke kohustusi, riskivalmidust, tarnijajuhtimist, logimist, seiret, reageerimise teostust, kommunikatsiooni ja taaste valideerimist.

COBIT 2019 või ISACA audiitor keskendub valitsemise ja juhtimissüsteemi tõhususele: omamine, otsustusõigused, mõõdikud, riski aktsepteerimine, protsessi toimivus, kindluse andmine ja pidev täiustamine.

Siin on Zenith Controls kasulik vastavuse ristkompassina. See ei nimeta ametlikke kontrollimeetmeid ümber ega loo paralleelset kontrolliraamistikku. See näitab, kuidas ISO/IEC 27002:2022 kontrollimeetmed nagu 5.5, 5.24 ja 5.28 seostuvad operatiivvõimekuste, seotud kontrollimeetmete ja auditile asjakohase tõendusmaterjaliga.

Kontrollimeetmete seosSünergia kübersolidaarsuse määruseks valmisolekuksISO/IEC 27002:2022 kontrollimeetmed
Planeerimisest reageerimiseniTugev intsidendiplaan tagab struktureeritud reageerimise, selged rollid ja juhitud kommunikatsiooni5.24 kuni 5.26
Reageerimisest aruandluseniReageerimisprotsess peab säilitama tõendusmaterjali kaitstaval viisil, et toetada regulatiivset aruandlust5.26 kuni 5.28
Reageerimisest asutusteniReageerimisplaan peab sisaldama eelnevalt määratletud käivitajaid ja kanaleid riiklike CSIRT-ide ja järelevalveasutustega kontakteerumiseks5.26 kuni 5.5
Asutustest ohuteabeniAsutustega suhtlemine võib anda ohuteavet, mis jõuab tagasi riskihindamisse5.5 kuni 5.7

Mida infoturbejuhid peaksid 2026. aasta valmisolekuks nüüd tegema

Kui valmistute ELi kübersolidaarsuse määruse toimimiskeskkonnaks, alustage tõendusmaterjalist, mitte loosungitest.

Esiteks ajakohastage oma ISMS-i kontekst ja huvitatud osapoolte analüüs. Tuvastage, kas teie organisatsioon, kliendid või tarnijad kuuluvad NIS2, DORA või GDPR kohaldamisalasse. Lisage liikmesriikide jalajälg, sektoriklassifikatsioon, kriitilised kliendid, IKT-teenuste sõltuvused ja asutuste kontaktid.

Teiseks viige läbi piiriülese intsidendi lauaõppus. Kasutage stsenaariumi, mis hõlmab tarnijat, rohkem kui ühte liikmesriiki, võimalikku isikuandmete kokkupuudet ja reguleeritud finantsklienti. Piirake esimesed 24 tundi ajaliselt.

Kolmandaks vaadake läbi tarnijalepingud. Kinnitage teavitamiskohustused, logidele juurdepääs, forensiline tugi, koostöö asutustega, alltöövõtjatele nõuete edasiandmine, andmete asukoht, auditeerimisõigused, talitluspidevuse tugi ja lõpetamisõigused.

Neljandaks testige tõendite kogumist. Eksportige logid, säilitage hetktõmmised, märgistage tõendusmaterjal, registreerige tõendite käitlemisahel ja valideerige hoidla juurdepääs. Kui teie poliitika ütleb, et tõendusmaterjal on unikaalselt tuvastatud ja turvaliselt salvestatud, tõendage seda.

Viiendaks joondage intsidendikommunikatsioon. Teie NIS2 varajane hoiatus, DORA eskalatsioon, GDPR-i rikkumise hindamine ja klienditeade ei tohi üksteisele vastu rääkida. Neil võivad olla erinevad õiguslikud eesmärgid, kuid need peavad lähtuma samast faktibaasist.

Kuuendaks kaasake juhatus harjutusse. NIS2 ja DORA tõstavad mõlemad juhtkonna vastutust. ISO/IEC 27001:2022 juhtimisklauslid muudavad selle auditeeritavaks. Juhatus, kes ei ole kunagi näinud 24-tunnist küberteavituse tähtaega, ei ole piiriüleseks kriisiks valmis.

Järgmised sammud Claryseciga

ELi küberturvalisuse tulevik põhineb koostööl ja tõendatud usaldusel. Organisatsioonid, kes käsitlevad NIS2 ja DORA eraldiseisvate kontrollnimekirjadena, satuvad piiriüleste intsidentide ajal raskustesse. Organisatsioonid, kes ehitavad tõendusmaterjaliga toetatud ISO/IEC 27001:2022 toimimissüsteeme, suudavad järelevalveasutustele, klientidele, audiitoritele ja kriisireageerijatele kindlalt vastata.

Clarysec aitab infoturbejuhtidel, vastavusjuhtidel, audiitoritel ja ettevõtte omanikel muuta ELi küberregulatsiooni auditivalmiks operatiivseks tõendusmaterjaliks järgmiste vahenditega:

  • Zenith Blueprint: audiitori 30-sammuline teekaart struktureeritud ISO/IEC 27001:2022 rakendamiseks ja auditi järjestamiseks.
  • Zenith Controls: vastavuse ristjuhend intsidendi, asutuste, tarnijate, tõendusmaterjali, logimise ja talitluspidevuse kontrollimeetmete raamistiküleseks kaardistamiseks.
  • Clarysec poliitikamallid, sealhulgas Intsidentidele reageerimise poliitika, Tõendite kogumise ja forensika poliitika, Kolmandate osapoolte ja tarnijate turbepoliitika, Talitluspidevuse ja katastroofitaaste poliitika ning VKE versioonid juhtudel, kus proportsionaalsus on oluline.

Parim aeg piiriüleste intsidentide koordineerimiseks valmistuda on enne 03:17 teavitust. Paremuselt teine aeg on täna.

Alustage Clarysec valmisoleku ülevaatusega, laadige alla asjakohane poliitikapakett või taotlege ülevaadet, kuidas Zenith Blueprint ja Zenith Controls saavad aidata teie ISMS-il luua tõendusmaterjali, mida 2026. aasta küberkerksus nõuab.

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles

Turvaline muudatuste haldus NIS2 ja DORA nõuete täitmiseks

Turvaline muudatuste haldus NIS2 ja DORA nõuete täitmiseks

Praktiline ja stsenaariumipõhine juhend turvalise muudatuste halduse kohta, kasutades ISO/IEC 27001:2022, Clarysec poliitikaid, Zenith Blueprinti ja Zenith Controlsi, et toetada NIS2, DORA, GDPR, NIST CSF 2.0, COBIT 2019 ning audititõendusmaterjali 2026. aastal.

NIS2 OT-turve: vastendus ISO 27001 ja IEC 62443-ga

NIS2 OT-turve: vastendus ISO 27001 ja IEC 62443-ga

Praktiline, stsenaariumipõhine juhend infoturbejuhtidele ja kriitilise taristu meeskondadele, kes rakendavad NIS2 OT-turvet ning seovad ISO/IEC 27001:2022, ISO/IEC 27002:2022, IEC 62443, NIST CSF, GDPR, DORA ja Clarysec tõenduspraktikad.

ISO 27001 siseaudit NIS2 ja DORA nõuete toetamiseks

ISO 27001 siseaudit NIS2 ja DORA nõuete toetamiseks

Praktiline põhijuhend infoturbejuhtidele, vastavusjuhtidele ja audiitoritele, kes loovad ühtset ISO 27001:2022 siseauditi programmi, mis toetab NIS2, DORA, GDPR, NIST CSF ja COBIT kindlustandmist. Käsitleb kohaldamisala määratlemist, valimite moodustamist, auditileide, parandusmeetmeid, mitme raamistiku vastavuskaardistust ja 2026. aasta tõenduskalendrit.