Skaneerimistest tõendusmaterjalini: ISO 27001:2022, NIS2, DORA

On esmaspäev kell 08:16. Internetile avatud rakendusserveri juhtpaneelile on äsja ilmunud kriitiline koodi kaugkäivitamise haavatavus. Taristumeeskond ütleb, et tarnija paik on olemas. Rakenduse omanik hoiatab, et server toetab tulukriitilist klienditöövoogu. Õigusosakond küsib, kas ärakasutamine võib käivitada NIS2, DORA või GDPR teavitamiskohustuse. Infoturbejuht Maria avab auditikalendri ja näeb tegelikku probleemi: ISO 27001:2022 järelevalveaudit algab järgmisel nädalal, NIS2 valmisoleku ülevaatus on juba käimas ning suur fintech-klient on küsinud DORA tõendusmaterjali.

Skanner näitab punast. Piletitahvel näitab tegevust. Arvutustabel näitab pingutust. Kuid ükski neist ei tõenda automaatselt kontrollimeetme toimimist.

See on lünk, mille paljud organisatsioonid avastavad liiga hilja. Haavatavuste skaneerimine ei ole sama mis haavatavuste halduse auditivalmidus. Skaneerimine ütleb, et midagi võib olla valesti. Audititõendus tõendab, et organisatsioon teadis, mis tal on, hindas riski, määras omaniku, tegutses poliitika kohaselt, kontrollis muudatust, dokumenteeris erandid, verifitseeris tulemused ja vaatas tulemuse läbi.

ISO/IEC 27001:2022, NIS2 ja DORA puhul on see tõendusahel sama oluline kui tehniline parandus. Skanner alustab loo. Varade register, haavatavuste register, pilet, riskiotsus, muudatuse kirje, paigalogi, valideerimise tõendusmaterjal, erandi heakskiit ja juhtkonnapoolne ülevaatus viivad selle lõpule.

Clarysec lähenemine on lihtne: ära käsitle haavatavuste haldust igakuise tehnilise rituaalina. Käsitle seda juhitud tõendusmaterjali töövoona.

Miks skaneerimisaruanded audititõendusena läbi kukuvad

Haavatavuste skaneerimine on ajahetke tehniline tähelepanek. See võib tuvastada CVE, puuduva paiga, toetuseta teegi, avatud teenuse või nõrga konfiguratsiooni. See on kasulik, kuid mittetäielik.

Audiitor küsib teistsuguseid küsimusi:

• Kas mõjutatud vara oli kohaldamisalas?
• Kes omab vara ja äriteenust?
• Kas haavatavust hinnati kokkupuute, ärakasutatavuse, ärimõju ja andmete tundlikkuse alusel?
• Kas parandustegevused viidi lõpule määratud tähtaja jooksul?
• Kui parandustegevused viibisid, kes aktsepteeris jääkriski?
• Kas paik juurutati kontrollitud muudatuste juhtimise kaudu?
• Kas parandus verifitseeriti kordusskaneerimise või tehnilise valideerimisega?
• Kas tõendusmaterjal säilitati ja juhtkond vaatas selle läbi?

Skanneri ekspordifailide kaust vastab neile küsimustele harva. ISO 27001:2022 auditis kontrollib audiitor, kas ISMS toimib kavandatult. NIS2 alusel peavad juhtorganid küberriskide juhtimise meetmed heaks kiitma ja nende üle järelevalvet tegema. DORA alusel vajavad finantsüksused dokumenteeritud IKT-riski juhtimise raamistikku, intsidendi elutsüklit, tegevuskerksuse testimist ja IKT kolmandatest isikutest teenuseosutajate riskikontrolle. GDPR puhul muutub küsimus selleks, kas asjakohased tehnilised ja korralduslikud meetmed kaitsesid isikuandmeid ning kas vastutust saab tõendada.

ISO/IEC 27001:2022 punktid 4.1 kuni 4.4 nõuavad, et organisatsioon mõistaks oma konteksti, huvitatud osapooli, nõudeid ja ISMS-i kohaldamisala. Haavatavuste ja paikade haldust ei saa kujundada eraldiseisvalt. See peab kajastama kliendilepinguid, regulaatoreid, pilvesõltuvusi, sisseostetud IKT-teenuseid, andmekaitsekohustusi ja kriitilisi teenuseid.

ISO/IEC 27001:2022 punktid 6.1.1 kuni 6.1.3 nõuavad riskihindamist, riskikäsitlust, kontrollimeetmete valikut, kohaldatavusdeklaratsiooni ja riskiomaniku heakskiitu jääkriskile. See tähendab, et haavatavuste tõendusmaterjal peab olema seotud riskiregistri, riskikäsitlusplaani ja SoA-ga.

ISO/IEC 27005:2022 tugevdab seda mudelit, suunates organisatsioone koondama Annex A nõuded, sektoripõhised kohustused, regulatsioonid, lepingud, sisereeglid ja olemasolevad kontrollimeetmed riskihindamise lähtealuseks. Samuti rõhutab see tõenäosuse, tagajärje, õiguslike kohustuste, tarnijasuhete, privaatsusmõju ja kolmandate osapoolte mõju kriteeriume. Praktikas ei ole haavatavus üksnes CVSS-number. See on riskisündmus, mis on seotud varade, kohustuste, sidusrühmade ja äriliste tagajärgedega.

Paikamistõendite taga olev regulatiivne surve

Tänapäevane küberturvalisuse regulatsioon talub üha vähem mitteametlikku paikamist.

NIS2 kohaldub paljudele keskmise suurusega ja suurtele üksustele suure kriitilisusega ja kriitilistes sektorites ning võib teatud üksustele kohalduda ka suurusest sõltumata. Selle kohaldamisala hõlmab digitaalset taristut pakkuvaid teenuseosutajaid, näiteks pilveteenuseid, andmekeskuse teenuseid, sisuedastusvõrke, avalike elektroonilise side teenuste osutajaid, usaldusteenuseid, DNS- ja TLD-teenuseid, samuti IKT-teenuste halduse pakkujaid, nagu hallatud teenusepakkujad ja hallatud turvateenuse pakkujad. See hõlmab ka olulisi digiteenuse pakkujaid, näiteks veebipõhiseid kauplemiskohti, veebipõhiseid otsingumootoreid ja sotsiaalvõrgustiku platvorme.

NIS2 Article 20 muudab küberturvalisuse juhtorgani vastutuseks. Article 21 nõuab asjakohaseid ja proportsionaalseid tehnilisi, tegevuslikke ja korralduslikke meetmeid, sealhulgas riskianalüüsi, intsidentide käsitlemist, talitluspidevust, tarneahela turvet, turvalist hankimist, turvalist arendust, turvalist hooldust, haavatavuste käsitlemist ja avalikustamist, tõhususe hindamist, küberhügieeni, juurdepääsukontrolli, varahaldust ja autentimist. Article 23 loob olulistest intsidentidest etapiviisilise teavitamise protsessi, sealhulgas varajase hoiatuse 24 tunni jooksul, teavituse 72 tunni jooksul ja vajaduse korral lõpparuande ühe kuu jooksul.

DORA loob finantsüksustele alates 17. jaanuarist 2025 vahetult kohaldatava digitaalse tegevuskerksuse reeglistiku. See hõlmab IKT-riski juhtimist, olulistest IKT-intsidentidest teatamist, digitaalse tegevuskerksuse testimist, küberohtude teabe jagamist, IKT kolmandatest isikutest teenuseosutajate riskijuhtimist ning kriitiliste IKT kolmandast isikust teenuseosutajate järelevalvet. Articles 5 ja 6 panevad IKT-riskide juhtimise juhtorgani vastutusalasse ning nõuavad dokumenteeritud, integreeritud ja korrapäraselt läbivaadatavat IKT-riski juhtimise raamistikku. Article 8 tugevdab vajadust tuvastada IKT-toega ärifunktsioonid, teabevarad, IKT-varad ja sõltuvused. Articles 17 kuni 20 nõuavad IKT-ga seotud intsidentide tuvastamist, registreerimist, klassifitseerimist, eskaleerimist, aruandlust, kommunikatsiooni, parandusmeetmeid ja õppetundide rakendamist. Articles 28 kuni 30 nõuavad IKT kolmandatest isikutest teenuseosutajate riskide juhtimist registrite, taustakontrolli, lepinguliste kaitsemeetmete, auditeerimisõiguste, väljumisplaneerimise ja järelevalve kaudu.

DORA-ga hõlmatud finantsüksuste puhul asendab DORA üldjuhul samaväärsed NIS2 riskijuhtimise ja teavitamiskohustused. Kuid NIS2 jääb oluliseks ökosüsteemi koordineerimise ja DORA kohaldamisalast välja jäävate üksuste jaoks. Finantskliente teenindavate SaaS-, MSP- ja MSSP-pakkujate jaoks on praktiline tegelikkus otsene: kliendid võivad nõuda teie haavatavuste tõendusmaterjali, et täita oma DORA kohustusi.

GDPR lisab veel ühe kihi. Articles 2 ja 3 võivad kohalduda EL-is asutatud organisatsioonidele ning väljaspool EL-i asuvatele organisatsioonidele, mis pakuvad kaupu või teenuseid EL-is asuvatele inimestele või jälgivad nende käitumist. Article 5 nõuab isikuandmete kaitset ja vastutust vastavuse eest. Article 4 määratleb isikuandmetega seotud rikkumise turbeintsidendina, mis põhjustab isikuandmete juhusliku või ebaseadusliku kaotsimineku, hävitamise, muutmise, loata avalikustamise või neile juurdepääsu. Andmebaasi, identiteediplatvormi või kliendiportaali hilinenud paikamine võib muutuda privaatsusega seotud vastutuse küsimuseks.

Poliitikast tõendamiseni

Esimene samm on reeglite määratlemine. Tugev haavatavuste ja paikade halduse poliitika ei ole ainult auditidokument. See on kontrollimeetme toimimise põhikord.

Ettevõttekeskkondade jaoks seob Haavatavuste ja paikade halduse poliitika tehnilise paikamise selgelt ristvastavusega:

See poliitika toetab vastavust ISO/IEC 27001 Annex A kontrollimeetmele 8.8 ja ISO/IEC 27002 juhistele ning käsitleb regulatiivseid nõudeid DORA Article 8, NIS2 Article 21, GDPR Article 32 ning COBIT 2019 DSS- ja APO-valdkondade alusel.

Jaotisest „Eesmärk“.

Sama poliitika seab kõige olulisemale tõendusartefaktile juhtimise ootuse:

Turbeoperatsioonide meeskond peab pidama keskset haavatavuste halduse registrit ning infoturbejuht või volitatud isik peab selle kord kuus läbi vaatama.

Jaotisest „Juhtimisnõuded“, poliitikapunkt 5.1.

See määratleb ka skaneerimise sageduse:

Kõiki süsteeme tuleb skaneerida vähemalt kord kuus; kõrge riskiga või väliselt avatud varasid tuleb skaneerida kord nädalas.

Jaotisest „Poliitika rakendamise nõuded“, poliitikapunkt 6.1.1.

Samuti takistab see kiireloomulisel paikamisel muutumast kontrollimata tehniliseks tegevuseks:

Kõik parandustegevused tuleb koordineerida muudatuste juhtimise protsessi kaudu (vastavalt P5 - Muudatuste halduse poliitika), et tagada stabiilsus ja auditijälje säilimine.

Jaotisest „Juhtimisnõuded“, poliitikapunkt 5.5.

VKE-de puhul saab samu tõendusmaterjali põhimõtteid rakendada lihtsamalt. Haavatavuste ja paikade halduse poliitika VKE-dele sätestab:

Hoida täpseid kirjeid rakendatud paikade, lahendamata probleemide ja erandite kohta, et tagada auditivalmidus

Jaotisest „Eesmärgid“, poliitikapunkt 3.4.

Seejärel määratleb see paigalogi audititõendusena:

Paigalogi tuleb pidada ning see tuleb auditite ja intsidentidele reageerimise tegevuste käigus läbi vaadata

Jaotisest „Juhtimisnõuded“, poliitikapunkt 5.4.1.

Ning täpsustab minimaalse sisu:

Logid peavad sisaldama seadme nime, rakendatud uuendust, paikamise kuupäeva ja iga viivituse põhjust

Jaotisest „Juhtimisnõuded“, poliitikapunkt 5.4.2.

Kiireloomulise internetile avatud kokkupuute korral seab VKE-poliitika mõõdetava nõude:

Kriitilised paigad tuleb rakendada 3 päeva jooksul alates väljalaskest, eriti internetile avatud süsteemide puhul

Dokumendist Haavatavuste ja paikade halduse poliitika VKE-dele, jaotis „Poliitika rakendamise nõuded“, poliitikapunkt 6.1.1.

Need punktid muudavad tehnilise töö tõendusmaterjaliks. Poliitika määratleb ootused. Register salvestab leiud. Pilet määrab töö. Muudatuse kirje kontrollib juurutust. Paigalogi tõendab tegevust. Riskiregister kajastab erandeid. Läbivaatamise protokollid tõendavad järelevalvet.

Clarysec tõendusmaterjalipõhine mudel

Clarysec tõendusmaterjalipõhine mudel algab ühest põhimõttest: iga haavatavuse leid peab olema jälgitav avastamisest otsuseni.

Dokumendis Zenith Blueprint: audiitori 30-sammuline teekaart käsitleb etapi „Kontrollimeetmed tegevuses“ samm 19 „Tehnilised kontrollimeetmed I“ haavatavuste haldust korduva kontrollimeetmena, mitte teoreetilise nõudena:

Haavatavuste haldamine on tänapäevase küberhügieeni üks kriitilisemaid valdkondi. Kuigi tulemüürid ja viirusetõrjevahendid pakuvad kaitset, võivad need osutuda ebapiisavaks, kui paikamata süsteemid või väärkonfigureeritud teenused jäävad avatuks.

Sama samm selgitab, et organisatsioonid peaksid kasutama korrapäraseid paikamisgraafikuid, haavatavuste skannereid, esmast hindamist, määramist, parandustegevuste jälgimist, kompenseerivaid kontrollimeetmeid ja jääkriski aktsepteerimist. Kõige olulisem on, et see raamib auditi mõtteviisi õigesti:

Kontrollimeede ei tähenda täiuslikkust, vaid korraldatud, läbipaistvat ja vastutust võimaldavat protsessi.

Audiitorite jaoks on see erinevus oluline. Küpsel organisatsioonil võib olla avatud haavatavusi ja ta võib siiski tõendada kontrolli, kui olemas on riskipõhine prioriseerimine, dokumenteeritud omanikud, heakskiidetud erandid, kompenseerivad kontrollimeetmed ja verifitseeritud parandustegevused.

Zenith Blueprint hoiatab ka, et audiitorid kontrollivad seda valdkonda põhjalikult:

See on audiitorite jaoks kõrge prioriteediga kontrollimeede ning nad lähevad siin tavaliselt süvitsi. Ole valmis selgitama, kui sageli süsteeme paigatakse, millist protsessi järgitakse nullpäeva-haavatavuse avalikustamisel ja milliseid süsteeme on kõige raskem paigata.

Seetõttu ei tohiks infoturbejuht minna auditile ainult skanneri juhtpaneeliga. Tõenduspakett peab näitama juhtimist, protsessi, teostust, kontrollimist ja täiustamist.

ISO 27002 kontrollimeetmete vastendamine audititõendusega

Zenith Controls: ristvastavuse juhend toimib ristvastavuse kompassina, vastendades ISO/IEC 27002:2022 kontrollimeetmeid ja näidates, kuidas need seostuvad auditi ootustega. Haavatavuste ja paikade halduses moodustavad kolm ISO/IEC 27002:2022 kontrollimeedet toimiva kolmnurga.

ISO/IEC 27002:2022 kontrollimeede 8.8, tehniliste haavatavuste haldus, on keskne kontrollimeede. See on ennetav, toetab konfidentsiaalsust, terviklust ja käideldavust, on kooskõlas küberjulgeoleku Identify ja Protect mõistetega ning seostub ohtude ja haavatavuste haldusega.

ISO/IEC 27002:2022 kontrollimeede 8.32, muudatuste juhtimine, on samuti ennetav. See seob paikamise kontrollitud juurutuse, testimise, heakskiitmise, tagasipööramise ja auditeeritavusega.

ISO/IEC 27002:2022 kontrollimeede 5.36, vastavus infoturbe poliitikatele, reeglitele ja standarditele, tagab, et protsess ei ole vabatahtlik ega sõltu üksikisikute kangelaslikkusest. See seob haavatavuste halduse poliitika järgimise, kindluse andmise ja järelevalvega.

See vastendus väldib levinud audititõrget. Turvameeskond ütleb: „Me paikasime selle.“ Operatsioonid ütlevad: „Me juurutasime selle.“ Vastavusfunktsioon ütleb: „Me ei saa järjekorda tõendada.“ Vastendatud tõendusahel annab kõigile kolmele meeskonnale sama loo.

Tõendusahel, mida audiitorid ootavad

Kaitstav haavatavuste halduse tõendusahel koosneb seitsmest etapist.

Praktiline erinevus väidete „me teeme skaneerimisi“ ja „me oleme auditiks valmis“ vahel on järjepidevus. Kui haavatavust ei saa jälgida avastamisest sulgemiseni, on kontrollimeede nõrk. Kui erandid on olemas, kuid keegi pole neid heaks kiitnud, on protsess nõrk. Kui paigad mööduvad muudatuste juhtimisest, on auditijälg nõrk. Kui kriitilised haavatavused jäävad avatuks ilma kompenseerivate kontrollimeetmeteta, on juhtimine nõrk.

Auditi ja vastavusseire poliitika toetab automatiseerimist selle mudeli osana:

Tuleb rakendada automatiseeritud tööriistu konfiguratsiooni vastavuse, haavatavuste halduse, paikade staatuse ja privilegeeritud juurdepääsu seireks.

Jaotisest „Poliitika rakendamise nõuded“, poliitikapunkt 6.4.1.

VKE-de jaoks määratleb Auditi ja vastavusseire poliitika VKE-dele tehniliste kontrollimeetmete kontrollimise praktiliselt:

Tehniliste kontrollimeetmete kontrollimine (nt varundamise staatus, juurdepääsukontrolli konfiguratsioon, paikade kirjed)

Jaotisest „Poliitika rakendamise nõuded“, poliitikapunkt 6.1.1.2.

Väikesed organisatsioonid ei vaja auditivalmiduseks ettevõtteklassi tööriistu. Nad vajavad järjepidevat tõendusmaterjali. Lihtsustatud register, piletitahvel, paigalogi ja igakuine ülevaatus võivad olla piisavad, kui need on täielikud, ajakohased ja riskiga seotud.

Näide: üks kriitiline leid täielikult auditivalmis

Maria iganädalane väline skaneerimine tuvastab internetile avatud makse-API lüüsis CVE-2026-12345. Skanner hindab selle kriitiliseks. Teenus töötleb kliendi identiteedi- ja tehingu metaandmeid, seega võivad esineda GDPR ja DORA mõjud. Lüüs kuulub platvormitehnika meeskonnale, kuid paik nõuab lühikest katkestust.

Auditivalmis töövoog on järgmine.

1. Loo haavatavuste registri kanne

Turvameeskond registreerib leiu keskregistris:

• Leiu ID: VULN-2026-0142
• Allikas: iganädalane väline skaneerimine
• Avastamise kuupäev ja kellaaeg
• Vara: api-gw-prod-01
• Omanik: platvormitehnika
• Kokkupuude: internetile avatud
• Andmekontekst: kliendi identiteedi- ja tehingu metaandmed
• Tõsidus: kriitiline
• SLA: 72 tundi või poliitika alusel rangem
• Pilet: SEC-4821
• Muudatuse kirje: CHG-10988
• Staatus: parandustegevused kavandatud

2. Tee esmane hindamine äri- ja regulatiivses kontekstis

Meeskond kontrollib ärakasutuse kättesaadavust, ründepinda, autentimisnõudeid, ärimõju ja andmete tundlikkust. Kuna süsteem on internetile avatud ja toetab klienditöövooge, jääb haavatavus kriitiliseks. Riskiomanik on platvormijuht ning infoturbejuhti teavitatakse võimalike NIS2, DORA ja GDPR mõjude tõttu.

ISO/IEC 27005:2022 punktid 7.1 kuni 7.4 toetavad riskide tuvastamist, omandit, tagajärge, tõenäosust ja prioriseerimist. Punktid 8.2 kuni 8.6 toetavad käsitlusviisi valikut, kontrollimeetmete määramist, SoA seost, käsitlusplaani koostamist ja jääkriski heakskiitu.

3. Ava kontrollitud erakorraline muudatus

Paik ajastatakse samale õhtule. Muudatuse kirje sisaldab tarnija viidet, mõjutatud teenuseid, testiplaani, tagasipööramise plaani, hooldusakent, kliendikommunikatsiooni otsust, heakskiite ja juurutusjärgse valideerimise nõuet.

See toetab otseselt ISO/IEC 27002:2022 kontrollimeedet 8.32 ning ettevõtte poliitika nõuet koordineerida parandustegevused muudatuste juhtimise kaudu.

4. Rakenda paik ja uuenda paigalogi

Paigalogi salvestab seadme nime, rakendatud uuenduse, paikamise kuupäeva ja vajaduse korral viivituse põhjuse. Kui paikamine oleks viibinud, dokumenteeriks meeskond kompenseerivad kontrollimeetmed, näiteks veebirakenduse tulemüüri reeglid, ajutised juurdepääsupiirangud, suurendatud logimise, isoleerimise või tõhustatud seire.

5. Verifitseeri ja sulge

Turvameeskond skaneerib API lüüsi uuesti. Haavatavust enam ei kuvata. Piletit uuendatakse puhta skaneerimistulemuse, paigaversiooni, juurutamise ajatempli ja muudatuse kirje lingiga. Haavatavuste registri staatuseks muudetakse „Suletud, verifitseeritud“.

6. Vaata läbi aruandlusmõju

Kui ärakasutamist ja teenusekatkestust ei olnud, ei pruugi NIS2 või DORA intsidenditeavitus käivituda. Kui leitakse kompromiteerimise indikaatorid, peab intsidendiprotsess mõju ja eskalatsiooni klassifitseerima. NIS2 alusel võib oluline intsident nõuda varajast hoiatust ja etapiviisilist aruandlust. DORA alusel nõuab oluline IKT-ga seotud intsident klassifitseerimist ja aruandlust kohaldatava pädeva asutuse protsessi kaudu.

7. Suuna õppetunnid juhtkonna ülevaatusse

Kuu lõpus märgib infoturbejuhi ülevaatus, et haavatavus tuvastati iganädalase välise skaneerimisega, kõrvaldati SLA piires, verifitseeriti kordusskaneerimisega ja suleti ilma intsidendita. Kui sarnased probleemid korduvad, võib riskikäsitlusplaan sisaldada turvalise konfiguratsiooni lähtealuseid, automatiseeritud paikade juurutamist, tarnija eskaleerimist või rakenduse moderniseerimist.

Kui audiitor küsib CVE-2026-12345 kohta, saab Maria esitada e-kirjade ja ekraanipiltide asemel kureeritud paketi.

See on auditivalmis. Mitte seetõttu, et organisatsioonil polnud haavatavusi, vaid seetõttu, et tal oli kontroll.

Üks tõendusmaterjali komplekt, mitu kohustust

Hästi kavandatud haavatavuste ja paikade halduse programm võib täita mitme raamistiku nõudeid ilma tööd dubleerimata.

ISO 27001:2022 puhul toetab tõendusmaterjal riskipõhist ISMS-i, Annex A kontrollimeetmete rakendamist, kohaldatavusdeklaratsiooni, riskikäsitlusplaane, siseauditit ja pidevat täiustamist. Kui ISO/IEC 27002:2022 kontrollimeede 8.8 on SoA-s kohaldatav, peaks organisatsioon suutma näidata õiguslikku, regulatiivset, riski- või ärilist põhjendust. See põhjendus hõlmab sageli NIS2 Article 21, DORA IKT-riski kohustusi, GDPR vastutust, kliendilepinguid ja digitaalse tegevuskerksuse vajadusi.

NIS2 puhul aitab sama tõendusmaterjal näidata Article 21 meetmeid, sealhulgas riskianalüüsi, haavatavuste käsitlemist, intsidentide käsitlemist, talitluspidevust, tarneahela turvet, küberhügieeni, juurdepääsukontrolli ja tõhususe hindamist. Article 20 on tõendatav infoturbejuhi ülevaatuse, juhatuse aruandluse, juhtkonna heakskiidu ja küberturvalisuse koolituse kaudu. Article 23 muutub asjakohaseks, kui ärakasutamine põhjustab või võib põhjustada tõsise tegevushäire, rahalise kahju või kahju teistele.

DORA puhul toetab haavatavuste ja paikade tõendusmaterjal IKT-riski juhtimise raamistikku, juhtorgani järelevalvet, tegevuskerksuse strateegiat, intsidentide tuvastamist ja klassifitseerimist, tegevuskerksuse testimist ning IKT kolmandatest isikutest teenuseosutajate järelevalvet. Kui IKT teenuseosutaja majutab või haldab mõjutatud süsteemi, nõuavad Articles 28 kuni 30 taustakontrolli, lepingulisi kaitsemeetmeid, auditeerimisõigusi, intsidendiabi ja väljumiskaalutlusi.

GDPR puhul toetab sama tõendusmaterjal Article 5 vastutust ja Article 32 alusel eeldatavat turbeolekut. Kui haavatavus põhjustab loata juurdepääsu isikuandmetele, nende muutmise, kaotsimineku või avalikustamise, muutuvad haavatavuse ajajoon, paikade kirjed, seirelogid ja rikkumise hindamise märkmed hädavajalikuks.

COBIT 2019 ja ISACA-laadse kindluse andmise puhul hinnatakse haavatavuste haldust operatsioonilise turbe, kontrollimeetmete seire, muudatuste võimaldamise ja juhtimise vastutuse kaudu. Zenith Blueprint ristvastavuse viited toovad esile COBIT 2019 DSS05.04 ja BAI09.02 ning ITAF-i kindluse andmise ootused haavatavuste halduse, paikamise ja turvalise muudatuste juhtimise suhtes.

Toetavad ISO standardid tugevdavad toimimismudelit. ISO/IEC 27005:2022 toetab riskihindamist ja riskikäsitlust. ISO/IEC 27035:2023 toetab intsidentidele reageerimist, kui haavatavusi kasutatakse ära. ISO/IEC 30111 toetab haavatavuste käsitlemise protsesse. ISO/IEC 29147 toetab haavatavuste avalikustamist ja turvateateid. ISO/IEC 27017 toetab pilvekeskkonna haavatavuste haldust. ISO 22301 toetab talitluspidevuse planeerimist olukorras, kus tehnilised haavatavused võivad häirida äriteenuseid.

Kuidas eri audiitorid sama protsessi testivad

Eri hindajad kasutavad erinevaid vaatenurki. Tõendusmaterjal võib olla sama, kuid küsimused muutuvad.

Poliitika ütleb, mis peab juhtuma. Operatiivne tõendusmaterjal näitab, mis tegelikult juhtus. Läbivaatamise kirjed näitavad, et juhtkond teadis, esitas väljakutseid ja tegutses.

Levinud põhjused, miks paikade haldus auditil läbi kukub

Enamik leide ei tulene skanneri puudumisest. Need tulenevad katkisest jälgitavusest.

Varade register on puudulik.
Kui skanner leiab varasid, mida CMDB-s või vararegistris ei ole, ei saa omandit ja ärimõju usaldusväärselt hinnata. See õõnestab ISO 27001:2022 kohaldamisala, riskihindamist ja riskikäsitlust.

Haavatavusi jälgitakse ainult skanneris.
Skanneri juhtpaneelid ei ole juhtimisregistrid. Neil puuduvad sageli riskiomaniku heakskiit, erandi põhjendus, muudatuse viited ja ärikontekst.

Kriitilistel leidudel puudub SLA tõendusmaterjal.
Poliitika võib öelda, et kriitilised haavatavused parandatakse kolme päeva jooksul. Auditi küsimus on, kas kirjed tõendavad, et see juhtus.

Erandid on mitteametlikud.
Pärandsüsteeme, katkestuspiiranguid ja tarnija viivitusi tuleb ette. Kuid väide „me ei saanud seda paigata“ peab muutuma dokumenteeritud erandiks koos kompenseerivate kontrollimeetmete, aegumiskuupäeva ja jääkriski heakskiiduga.

Erakorraline paikamine möödub muudatuste juhtimisest.
Erakorralised muudatused on ikkagi muudatused. Kui heakskiidu, testimise või tagasipööramise tõendusmaterjal puudub, võivad audiitorid järeldada, et parandustegevused tekitasid operatsioonilise riski.

Kolmandate osapoolte süsteemid on nähtamatud.
NIS2 ja DORA alusel on tarnija- ja IKT kolmandatest isikutest teenuseosutajate risk keskne. Kui teenuseosutaja paikab platvormi, vajad endiselt tõendusmaterjali, lepingulisi õigusi, teenuse aruandlust ja eskalatsiooniteid.

Keegi ei vaata trende läbi.
Korduvad haavatavused võivad viidata nõrgale konfiguratsioonihaldusele, puudulikele turvalise arenduse tavadele, toetuseta varadele või tarnija tõrkele. Igakuine ülevaatus muudab tehnilised andmed juhtimistegevuseks.

Clarysec haavatavuste auditipakett

Eelseisva ISO 27001:2022, NIS2 või DORA valmisoleku ülevaatuse jaoks aitab Clarysec organisatsioonidel koostada haavatavuste ja paikade halduse auditipaketi, mis sisaldab järgmist:

• Haavatavuste ja paikade halduse poliitika, sealhulgas kohaldamisala, rollid, skaneerimise sagedus, paikamise SLA-d ja erandireeglid
• Varade registri väljavõte, mis näitab kohaldamisalas olevaid süsteeme, omanikke, kriitilisust ja kokkupuudet
• Viimased sisemised ja välised haavatavuste skaneerimise aruanded
• Keskne haavatavuste halduse register avatud, suletud ja erandina käsitletud kannetega
• Paigalogi, mis näitab seadet, uuendust, paikamise kuupäeva ja viivituste põhjuseid
• Muudatuste kirjed valimisse võetud kriitiliste ja kõrgete haavatavuste kohta
• Tõendusmaterjal kordusskaneerimiste või valideerimise kohta pärast parandustegevusi
• Erandite ja jääkriski heakskiidud viibinud või paikamata süsteemide kohta
• Turvateadete seireprotsess tarnijate, teekide ja pilveteenuste jaoks
• Igakuised infoturbejuhi või juhtkonna läbivaatamise protokollid
• Ristvastendus ISO 27001:2022, NIS2, DORA, GDPR ja COBIT 2019 kohustustega
• Siseauditi või tehniliste kontrollimeetmete kontrollimise tulemused

Zenith Blueprint dokumendi etapis „Audit, läbivaatamine ja täiustamine“, samm 24, rõhutab Clarysec jälgitavust kohaldatavusdeklaratsiooni, riskiregistri ja riskikäsitlusplaani vahel:

Teie SoA peab olema kooskõlas riskiregistri ja riskikäsitlusplaaniga. Kontrollige üle, et iga kontrollimeede, mille valisite riski käsitlemiseks, oleks SoA-s märgitud „Kohaldatav“.

See on eriti oluline haavatavuste halduse puhul. Kui kontrollimeede 8.8 on kohaldatav, peab auditipakett tõendama mitte ainult seda, et skaneerimisi tehakse, vaid ka seda, et leide juhitakse riskikäsitluse ja pideva täiustamise kaudu.

30-päevane valmisolekusprint

Kui audit on lähedal, ära alusta kõige ümberkirjutamisest. Alusta tõendusmaterjali kiirest koostamisest.

See sprint ei kõrvalda kogu tehnilist võlga. See muudab auditivestlust. Segase skanneri ekspordifaili kaitsmise asemel saad näidata juhitud protsessi koos omanike, tähtaegade, tegevuste, otsuste ja järelevalvega.

Liigu skaneerimistest kaitstava tõendusmaterjalini

Haavatavuste ja paikade halduse auditivalmidus ei tähenda tõendamist, et teil pole haavatavusi. See tähendab tõendamist, et suudate neid leida, mõista, prioriseerida, parandada, erandeid kontrollida ja järelevalvet tõendada.

Clarysec Zenith Blueprint, Zenith Controls, Haavatavuste ja paikade halduse poliitika, Haavatavuste ja paikade halduse poliitika VKE-dele, Auditi ja vastavusseire poliitika ning Auditi ja vastavusseire poliitika VKE-dele annavad struktuuri selle tõendusmaterjali töövoo loomiseks.

Kui teie organisatsioon valmistub ISO 27001:2022 sertifitseerimiseks, NIS2 valmisolekuks, DORA digitaalseks tegevuskerksuseks, kliendi taustakontrolliks või siseauditiks, alustage ühest küsimusest:

Kas iga kriitiline haavatavus on skaneerimisest sulgemiseni jälgitav?

Kui vastus on ei, saab Clarysec aidata teil luua registri, poliitikakomplekti, ristvastavuse vastenduse, juhtkonna ülevaatuse paketi ja auditivalmis tõendusmaterjali töövoo, mis muudab tehnilise skaneerimise kaitstavaks juhtimiseks.