GDPR Article 32 TOM-ide tõendusmaterjal koos ISO, NIS2 ja DORA vastendusega
E-kiri jõuab infoturbejuhi postkasti tuttava raskusega: tehing võib muuta kogu ettevõtte kvartalit.
Suur äriklient soovib tõendusmaterjali „GDPR Article 32 tehniliste ja korralduslike meetmete kohta, vastendatuna ISO 27001:2022, NIS2 ja DORA-ga, kus see on kohaldatav“. Samal ajal on õigusosakond tutvustanud juhatusele NIS2 juhtkonna vastutust ja DORA operatsioonilise toimepidevuse ootusi. Juhatuse suunis kõlab lihtsalt: tõendage vastavust, vältige topelttööd ja ärge tehke sellest kolme eraldi projekti.
Ettevõttel on kontrollimeetmed olemas. MFA on lubatud. Varukoopiad toimivad. Arendajad teevad koodi ülevaatusi. Privaatsustiim peab töötlemistoimingute registreid. Taristumeeskond skannib haavatavusi. Tarnijaid hinnatakse hankemenetluse käigus. Kuid kui potentsiaalne klient küsib tõendusmaterjali, laguneb vastus osadeks.
Identiteedipakkuja aruanne asub ühes kohas. Varunduslogid on teises. Riskiregistrit ei ole pärast viimast tooteväljalaset ajakohastatud. Tarnijate turbe tõendusmaterjal on hankemeilides. Intsidentidele reageerimise lauaõppuse märkmed on olemas, kuid keegi ei suuda tõendada, et õppetunnid viidi tagasi riskikäsitlusse. Juhatus kiitis turbekulud heaks, kuid heakskiit ei ole seotud IKT-riskiga ega dokumenteeritud kontrollimeetme otsusega.
See on GDPR Article 32 tehniliste ja korralduslike meetmete ehk TOM-ide tegelik probleem. Enamik organisatsioone ei kuku läbi seetõttu, et neil puuduvad kontrollimeetmed. Nad kukuvad läbi seetõttu, et nad ei suuda näidata, et kontrollimeetmed on riskipõhised, heaks kiidetud, rakendatud, seiratud ja täiustatud.
GDPR vastutuspõhimõte teeb selle ootuse sõnaselgeks. GDPR Article 5 nõuab, et isikuandmeid kaitstaks sobiva turvalisusega volitamata või ebaseadusliku töötlemise ning juhusliku kaotsimineku, hävimise või kahjustumise eest. Article 5(2) paneb vastutavale töötlejale kohustuse tõendada vastavust. Olulised on ka GDPR määratlused. Isikuandmete mõiste on lai, töötlemine hõlmab peaaegu iga andmetega tehtavat toimingut, pseudonüümimine on tunnustatud kaitsemeede ning isikuandmetega seotud rikkumine hõlmab juhuslikku või ebaseaduslikku hävimist, kaotsiminekut, muutmist, loata avalikustamist või juurdepääsu.
Seetõttu ei saa Article 32 tõendusfail olla juhuslike ekraanitõmmiste kaust. See peab olema toimiv kontrollisüsteem.
Clarysec käsitleb GDPR Article 32 TOM-e jälgitava tõendusmootorina, mis põhineb ISO/IEC 27001:2022 standardil ISO/IEC 27001:2022, mida tugevdab ISO/IEC 27005:2022 riskijuhtimine ning mis on kohaldatavuse korral ristviidatud NIS2 ja DORA kohustustega. Eesmärk ei ole paberitöö paberitöö pärast. Eesmärk on teha organisatsioon auditivalmiks enne, kui klient, audiitor, järelevalveasutus või juhatuse liige esitab keerulise küsimuse.
Miks GDPR Article 32 TOM-id praktikas ebaõnnestuvad
Article 32 mõistetakse sageli valesti kui turbetööriistade loetelu: krüptimine, varukoopiad, logimine, juurdepääsukontroll ja intsidentidele reageerimine. Need meetmed on olulised, kuid neid saab kaitsta ainult siis, kui need vastavad riskile ja on seotud isikuandmete elutsükliga.
SaaS-ettevõtte puhul, mis töötleb klientide töötajate andmeid, ei piisa väitest „me kasutame krüptimist“. Audiitor võib küsida, milliseid andmeid krüptimine kaitseb, kus krüptimine on nõutav, kuidas võtmeid hallatakse, kas varukoopiad on krüpteeritud, kas tootmisandmed on testimisel maskeeritud, kes saab kontrollimeetmetest mööda minna ja kuidas erandid heaks kiidetakse.
Clarysec ettevõtte Andmekaitse ja privaatsuspoliitika sõnastab tööpõhimõtte järgmiselt:
„Rakendada tehnilised ja korralduslikud meetmed (TOM-id), mis kaitsevad isikuandmete (PII) konfidentsiaalsust, terviklust ja käideldavust kogu nende elutsükli jooksul.“
Allikas: Andmekaitse ja privaatsuspoliitika, eesmärgid, poliitika punkt 3.3. Andmekaitse ja privaatsuspoliitika
Väljend „kogu nende elutsükli jooksul“ on koht, kus paljud TOM-programmid nõrgaks jäävad. Isikuandmed võivad olla tootmiskeskkonnas kaitstud, kuid neid kopeeritakse analüütikasüsteemidesse, logidesse, tugiteenuse eksportidesse, testkeskkondadesse, varukoopiatesse, tarnijaplatvormidele ja töötajate seadmetesse. Iga asukoht loob turbe- ja privaatsusriski.
GDPR Article 6 nõuab töötlemiseks õiguslikku alust, sealhulgas nõusolekut, lepingut, juriidilist kohustust, elulisi huve, avaliku ülesande täitmist või õigustatud huvi. Kui andmeid taaskasutatakse muul eesmärgil, tuleb hinnata ühilduvust ja kaitsemeetmeid, näiteks krüptimist või pseudonüümimist. Kõrgema riskiga andmete puhul suureneb tõendamiskoormus. GDPR Article 9 seab ranged piirangud isikuandmete eriliikidele, näiteks terviseandmetele, tuvastamiseks kasutatavatele biomeetrilistele andmetele ja muule tundlikule teabele. Article 10 piirab süüdimõistvate kohtuotsuste ja süütegudega seotud andmete töötlemist.
VKE-de jaoks väljendab Clarysec riskikäsitlust praktilises sõnastuses:
„Kontrollimeetmed tuleb rakendada tuvastatud riskide vähendamiseks, sealhulgas krüptimine, anonüümimine, turvaline kõrvaldamine ja juurdepääsupiirangud.“
Allikas: Andmekaitse ja privaatsuspoliitika VKE-dele, riskikäsitlus ja erandid, poliitika punkt 7.2.1. Andmekaitse ja privaatsuspoliitika - VKE
See on tugev TOM-ide alus. Auditivalmiduse saavutamiseks peab iga kontrollimeede olema seotud ka riski, omaniku, poliitikanõude, tõendusobjekti ja läbivaatamise sagedusega.
ISO 27001:2022 on Article 32 tõendusmaterjali selgroog
ISO 27001:2022 sobib GDPR Article 32 jaoks hästi, sest käsitleb turvet juhtimissüsteemina, mitte eraldiseisva kontrollnimekirjana. See nõuab infoturbe juhtimissüsteemi ehk ISMS-i, mis on loodud konfidentsiaalsuse, tervikluse ja käideldavuse säilitamiseks riskijuhtimise kaudu.
Esimene kriitiline samm on kohaldamisala. ISO 27001:2022 punktid 4.1 kuni 4.4 nõuavad, et organisatsioon mõistaks sisemisi ja väliseid asjaolusid, tuvastaks huvitatud osapooled ja nõuded, määraks, milliseid nõudeid ISMS käsitleb, ning defineeriks ISMS-i kohaldamisala, sealhulgas liidesed ja sõltuvused väliste organisatsioonidega. Article 32 TOM-ide puhul peaks ISMS-i kohaldamisala kajastama isikuandmete töötlemist, kliendikohustusi, volitatud töötlejaid, alltöötlejaid, pilveplatvorme, kaugtööd, tugifunktsioone ja tootekeskkondi.
Teine samm on juhtimine. Punktid 5.1 kuni 5.3 nõuavad tippjuhtkonna pühendumust, infoturbepoliitikat, ressursse, rolle ja vastutusi ning tulemusaruandlust. See on oluline, sest GDPR Article 32, NIS2 ja DORA tuginevad kõik juhtimisele. Kontrollimeede ilma omandi, rahastuse või läbivaatamiseta on nõrk tõendusmaterjal.
Clarysec ettevõtte Infoturbepoliitika teeb selle sõnaselgeks:
„ISMS peab hõlmama määratletud kohaldamisala piire, riskihindamise metoodikat, mõõdetavaid eesmärke ja dokumenteeritud kontrollimeetmeid, mis on põhjendatud kohaldatavusdeklaratsioonis (SoA).“
Allikas: Infoturbepoliitika, poliitika rakendamise nõuded, poliitika punkt 6.1.2. Infoturbepoliitika
Sama poliitika määratleb tõendusmaterjali ootuse:
„Kõik rakendatud kontrollimeetmed peavad olema auditiks sobivad, toetatud dokumenteeritud protseduuridega ja säilitatud toimimistõenditega.“
Allikas: Infoturbepoliitika, poliitika rakendamise nõuded, poliitika punkt 6.6.1.
ISO 27001:2022 punktid 6.1.1 kuni 6.1.3 nõuavad seejärel riskihindamist, riskikäsitlust, kohaldatavusdeklaratsiooni, jääkriski heakskiitmist ja riskiomaniku vastutust. Punkt 6.2 nõuab mõõdetavaid eesmärke. Punktid 7.5, 9.1, 9.2, 9.3 ja 10.2 nõuavad dokumenteeritud teavet, seiret, siseauditit, juhtkonnapoolset läbivaatust ja parandusmeetmeid.
GDPR Article 32 jaoks loob see kaitstava struktuuri.
| GDPR Article 32 tõendusmaterjali küsimus | ISO 27001:2022 tõendusmaterjali vastus |
|---|---|
| Kuidas otsustasite, millised TOM-id on sobivad? | Riskihindamise kriteeriumid, riskiregister, tõenäosuse ja mõju hindamine, riski käsitlemise plaan |
| Millised kontrollimeetmed kohalduvad ja miks? | Kohaldatavusdeklaratsioon koos kaasamise ja välistamise põhjendustega |
| Kes kiitis jääkriski heaks? | Riskiomaniku heakskiit ja juhtkonna kinnitus |
| Kas kontrollimeetmed toimivad? | Logid, piletid, läbivaatuse kirjed, testitulemused, seirearuanded |
| Kas kontrollimeetmeid vaadatakse läbi? | Siseauditi aruanded, juhtkonnapoolse läbivaatuse protokollid, parandusmeetmete logi |
| Kas isikuandmetega seotud riske arvestatakse? | Andmekaitseriskide kirjed, privaatsusnõuded kohaldamisalas, DPIA või samaväärne hindamine, kui kohaldatav |
ISO/IEC 27005:2022 tugevdab seda struktuuri. See soovitab organisatsioonidel tuvastada nõuded ISO 27001:2022 Annex A-st, õigusaktidest, lepingutest, sektoristandarditest, sisereeglitest ja olemasolevatest kontrollimeetmetest ning suunata need riskihindamisse ja riskikäsitlusse. Samuti nõuab see riskikriteeriume ja vastuvõtukriteeriume, mis arvestavad õiguslikke, regulatiivseid, operatiivseid, tarnija-, tehnoloogia- ja inimtegureid, sealhulgas privaatsust.
Clarysec Riskijuhtimise poliitika on sellega otseselt kooskõlas:
„Ametlikku riskijuhtimise protsessi tuleb hoida kooskõlas ISO/IEC 27005 ja ISO 31000-ga, hõlmates riskide tuvastamist, analüüsi, hindamist, käsitlemist, seiret ja kommunikatsiooni.“
Allikas: Riskijuhtimise poliitika, juhtimisnõuded, poliitika punkt 5.1. Riskijuhtimise poliitika
VKE-de puhul muutub sama nõue lihtsaks ja rakendatavaks:
„Iga riskikirje peab sisaldama: kirjeldust, tõenäosust, mõju, skoori, omanikku ja riski käsitlemise plaani.“
Allikas: Riskijuhtimise poliitika VKE-dele, juhtimisnõuded, poliitika punkt 5.1.2. Riskijuhtimise poliitika - VKE
See lause on kiire auditivalmiduse test. Kui riskil puudub omanik või riski käsitlemise plaan, ei ole see veel tõendusvalmis risk.
Clarysec sild: risk, SoA, kontrollimeetmed ja regulatsioonid
Clarysec Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint käsitleb vastavust jälgitavuse tööna. Riskijuhtimise etapis keskendub Step 13 riskikäsitluse kavandamisele ja kohaldatavusdeklaratsioonile. See selgitab, et organisatsioonid peaksid vastendama kontrollimeetmed riskidega, lisama Annex A kontrolliviited riskikäsitluse kirjetele, ristviitama välistele regulatsioonidele ja hankima juhtkonna heakskiidu.
Zenith Blueprint ütleb SoA rolli kohta otse:
„SoA on sisuliselt silladokument: see seob teie riskihindamise/riskikäsitluse tegelike kontrollimeetmetega, mis teil on. Selle täitmisel kontrollite ühtlasi üle, kas mõni kontrollimeede jäi vahele.“
Allikas: Zenith Blueprint: An Auditor’s 30-Step Roadmap, riskijuhtimise etapp, Step 13: Risk Treatment Planning and Statement of Applicability (SoA). Zenith Blueprint
Zenith Blueprint Step 14 lisab regulatiivse ristviitamise kihi. See soovitab organisatsioonidel dokumenteerida, kuidas GDPR, NIS2 ja DORA nõuded on kaetud poliitikate ja kontrollimeetmetega. GDPR puhul rõhutab see isikuandmete kaitset riskihindamistes ja riskikäsitluses, sealhulgas krüptimist tehnilise meetmena ning rikkumisele reageerimist kontrollikeskkonna osana. NIS2 puhul tõstab see esile riskihindamist, võrguturvet, juurdepääsukontrolli, intsidentide käsitlemist ja talitluspidevust. DORA puhul viitab see IKT-riski juhtimisele, intsidentidele reageerimisele, aruandlusele ja IKT kolmandate osapoolte järelevalvele.
See on Clarysec meetodi tuum: üks ISMS, üks riskiregister, üks SoA, üks tõendite kogu, mitu vastavustulemust.
Zenith Controls: The Cross-Compliance Guide Zenith Controls toetab seda, aidates organisatsioonidel kasutada ISO/IEC 27002:2022 ISO/IEC 27002:2022 kontrolliteemasid ristvastavuse ankrutena. GDPR Article 32 puhul on kõige olulisemad ankrud sageli Privacy and Protection of PII, kontroll 5.34; Independent Review of Information Security, kontroll 5.35; ja Use of Cryptography, kontroll 8.24.
| ISO/IEC 27002:2022 kontrolliankur Zenith Controls-is | Miks see on Article 32 TOM-ide jaoks oluline | Tõendusmaterjali näited |
|---|---|---|
| 5.34 Privacy and Protection of PII | Seob infoturbe kontrollimeetmed isikuandmete käitlemise ja privaatsuskohustustega | Andmeregister, privaatsusriski hindamine, säilitamisgraafik, DPA kirjed, juurdepääsuõiguste ülevaatused |
| 5.35 Independent Review of Information Security | Tõendab objektiivset kindlust, auditeeritavust ja täiustamist | Siseauditi aruanne, välishindamine, parandusmeetmete logi, juhtkonnapoolne läbivaatus |
| 8.24 Use of Cryptography | Kaitseb edastatavate, puhkeolekus olevate ja varukoopiates asuvate andmete konfidentsiaalsust ja terviklust | Krüpteerimisstandard, võtmehalduse kirjed, ketta krüpteerimise tõendusmaterjal, TLS-konfiguratsioon, varukoopiate krüptimine |
NIS2 muudab TOM-id juhatuse tasandi küberturbe küsimuseks
Paljud organisatsioonid käsitlevad GDPR TOM-e privaatsustiimi vastutusena. NIS2 muudab arutelu.
NIS2 kohaldub paljudele loetletud sektorites tegutsevatele keskmistele ja suurtele üksustele ning teatud juhtudel ka suurusest sõltumata. Hõlmatud digitaalsed ja tehnoloogiasektorid hõlmavad pilveteenuse osutajaid, andmekeskusteenuse osutajaid, sisuedastusvõrke, DNS-teenuse osutajaid, TLD registripidajaid, usaldusteenuse osutajaid, avalike elektroonilise side teenuste osutajaid, hallatud teenuse osutajaid, hallatud turvateenuse osutajaid, veebipõhiseid kauplemiskohti, otsingumootoreid ja sotsiaalvõrgustiku platvorme. SaaS-i ja tehnoloogia VKE-de kohaldatavus sõltub sektorist, suurusest, liikmesriigi määratlusest ning süsteemsest või piiriülesest mõjust.
NIS2 Article 20 paneb küberturbe vastutuse juhtorganitele. Nad peavad heaks kiitma küberturbe riskijuhtimise meetmed, jälgima nende rakendamist ja läbima koolituse. Elutähtsaid üksusi võib karistada haldustrahviga vähemalt 10 miljonit eurot või vähemalt 2 protsenti üleilmsest aastakäibest. Olulisi üksusi võib karistada trahviga vähemalt 7 miljonit eurot või vähemalt 1,4 protsenti.
NIS2 Article 21 on Article 32 TOM-ide jaoks otseselt asjakohane, sest nõuab sobivaid ja proportsionaalseid tehnilisi, operatiivseid ja korralduslikke meetmeid. Need meetmed peavad arvestama tehnika taset, Euroopa ja rahvusvahelisi standardeid, kulusid, kokkupuudet, suurust, tõenäosust, raskusastet ning ühiskondlikku või majanduslikku mõju. Nõutud valdkonnad hõlmavad riskianalüüsi, turbepoliitikaid, intsidentide käsitlemist, talitluspidevust, tarneahela turvet, turvalist hankimist ja arendust, haavatavuste käsitlemist, tõhususe hindamist, küberhügieeni, koolitust, krüptograafiat, personaliturvet, juurdepääsukontrolli, varahaldust, MFA-d või pidevat autentimist ning asjakohasel juhul turvalist sidet.
NIS2 Article 23 lisab etapiviisilise intsidentidest teavitamise: varajane hoiatus 24 tunni jooksul, intsidenditeavitus 72 tunni jooksul, nõudmisel vaheuuendused ning lõpparuanne hiljemalt üks kuu pärast 72-tunnist teavitust. Kui isikuandmetega seotud rikkumine kvalifitseerub ka NIS2 oluliseks intsidendiks, peab tõendusfail toetama nii privaatsuse kui ka küberturbe aruandlusotsuseid.
DORA tõstab finantssektori toimepidevuse ja IKT-teenuseosutajate lati kõrgemale
DORA kohaldub alates 17. jaanuarist 2025 ja loob finantssektori reeglistiku digitaalse operatsioonilise toimepidevuse jaoks. See hõlmab IKT-riski juhtimist, olulistest IKT-ga seotud intsidentidest teatamist, operatsioonilise toimepidevuse testimist, küberohtude ja haavatavuste teabe jagamist, IKT kolmandate osapoolte riski, IKT-teenuseosutajate lepingulisi nõudeid, kriitiliste IKT kolmandast osapoolest teenuseosutajate järelevalvet ja järelevalvemenetlusi.
Finantsüksuste puhul, mis on tuvastatud ka riiklike NIS2 reeglite alusel, toimib DORA sektoripõhise liidu õigusaktina kattuvate küberturbe riskijuhtimise ja intsidentidest teavitamise kohustuste osas. Praktikas peaksid hõlmatud finantsüksused nendes kattuvates valdkondades eelistama DORA-t, säilitades vajaduse korral koordineerimise NIS2 pädevate asutuste ja CSIRT-idega.
GDPR Article 32 tõendusmaterjali jaoks on DORA oluline kahel põhjusel. Esiteks võivad fintech-ettevõtted olla finantsüksustena otseselt kohaldamisalas, sealhulgas krediidiasutused, makseasutused, kontoteabe teenuse pakkujad, e-raha asutused, investeerimisühingud, krüptovara teenusepakkujad, kauplemiskohad ja ühisrahastusteenuse pakkujad. Teiseks võivad finantskliendid käsitada SaaS-i, pilve-, andme-, tarkvara- ja hallatud teenuse pakkujaid IKT kolmandast osapoolest teenuseosutajatena, sest DORA määratleb IKT-teenused laialt.
DORA Article 5 nõuab IKT-riski juhtimiseks juhtimist ja sisekontrolle, kus juhtorgan määratleb, kinnitab, jälgib ja jääb vastutavaks IKT-riskikorralduse eest. Article 6 nõuab dokumenteeritud IKT-riski juhtimise raamistikku, sealhulgas strateegiaid, poliitikaid, protseduure, IKT-protokolle ja tööriistu teabe ja IKT-varade kaitsmiseks. Article 17 nõuab IKT-ga seotud intsidendihalduse protsessi, mis hõlmab tuvastamist, haldust, teavitamist, registreerimist, algpõhjuse analüüsi, varajase hoiatuse indikaatoreid, klassifitseerimist, rolle, kommunikatsiooni, eskaleerimist ja reageerimist. Article 19 nõuab olulistest IKT-ga seotud intsidentidest pädevatele asutustele teatamist.
DORA Articles 28 ja 30 muudavad IKT kolmandate osapoolte riski reguleeritud kontrollivaldkonnaks. Finantsüksused jäävad IKT-teenuste kasutamisel vastutavaks vastavuse eest. Nad vajavad kolmandate osapoolte riski strateegiat, lepinguregistreid, kriitilisuse hindamisi, taustakontrolli, kontsentratsiooniriski ülevaatust, auditi- ja kontrolliõigusi, lõpetamise aluseid, väljumisstrateegiaid ning lepingulisi sätteid, mis käsitlevad andmete asukohti, käideldavust, autentsust, terviklust, konfidentsiaalsust, intsidendiabi, taastet, teenustasemeid ja koostööd ametiasutustega.
Article 32 jaoks tähendab see, et tarnijad on TOM-ide faili osa. Töötlemise turvalisust ei saa tõendada, kui kriitilised volitatud töötlejad, pilveplatvormid, analüütikapakkujad, tugivahendid ja IKT-teenuseosutajad ei ole kontrollitud.
Praktiline ühe nädala Article 32 tõendusmaterjali koostamine
Tugev tõendusfail algab ühest selgest riskistsenaariumist.
Kasutage seda näidet: „Loata juurdepääs kliendi isikuandmetele tootmisrakenduses.“
Looge või ajakohastage riskikirje. Lisage kirjeldus, tõenäosus, mõju, skoor, omanik ja riski käsitlemise plaan. Määrake omanikuks arendusjuht, turbejuht või samaväärne vastutav roll. Hinnake tõenäosust juurdepääsumudeli, avatud ründepinna, teadaolevate haavatavuste ja varasemate intsidentide põhjal. Hinnake mõju isikuandmete mahu, tundlikkuse, kliendilepingute, GDPR tagajärgede ning võimaliku NIS2 või DORA teenusemõju põhjal.
Valige käsitlused, näiteks MFA privilegeeritud juurdepääsuks, rollipõhine juurdepääsukontroll, kvartalipõhised juurdepääsuõiguste ülevaatused, krüptimine puhkeolekus, TLS, haavatavuse skannimine, logimine, teavitused, turvaline varundus, intsidentidele reageerimise protseduurid ja andmete maskeerimine tootmisvälistes keskkondades.
Seejärel vastendage risk SoA-ga. Lisage ISO/IEC 27002:2022 viited, näiteks 5.34 Privacy and Protection of PII, 8.24 Use of Cryptography, 5.15 Access Control, 5.18 Access Rights, 8.13 Information Backup, 8.15 Logging, 8.16 Monitoring Activities, 8.8 Management of Technical Vulnerabilities, 8.25 Secure Development Life Cycle ja 8.10 Information Deletion, kui need kohalduvad. Lisage märkused, mis näitavad, kuidas need kontrollimeetmed toetavad GDPR Article 32, NIS2 Article 21 ja asjakohasel juhul DORA IKT-riski juhtimist.
Regulatiivse vastenduse puhul hoidke kontrollimeetmete nimetused täpsed ja vältige kunstliku samaväärsuse pealesurumist.
| ISO/IEC 27002:2022 kontroll | Kontrollimeetme nimetus | Miks kaasatud | Regulatiivne vastendus |
|---|---|---|---|
| 8.24 | Use of Cryptography | Kaitseb edastatavate, puhkeolekus olevate ja varukoopiates asuvate isikuandmete konfidentsiaalsust ja terviklust | GDPR Art. 32; NIS2 Art. 21(2)(h) |
| 5.20 | Addressing information security within supplier agreements | Tagab, et tarnijate turbega seotud kohustused on lepinguliselt määratletud ja jõustatavad | GDPR volitatud töötleja kontrollimeetmed; NIS2 Art. 21(2)(d); DORA Art. 28 ja Art. 30 |
| 5.24 | Information security incident management planning and preparation | Loob valmisoleku tuvastamiseks, eskaleerimiseks, hindamiseks ja aruandluseks | GDPR rikkumisega seotud vastutuse tõendamine; NIS2 Art. 23; DORA Art. 17 ja Art. 19 |
| 8.13 | Information Backup | Toetab käideldavust, taastamist ja toimepidevust häire või andmekao järel | GDPR Art. 32; NIS2 Art. 21(2)(c); DORA IKT talitluspidevuse ootused |
| 8.10 | Information Deletion | Toetab turvalist kõrvaldamist, säilitamisnõuete rakendamist ja andmete minimaalsust | GDPR säilitamise piirang ja Art. 32; kliendilepingute nõuded |
Nüüd koostage tõenduskaust. Clarysec VKE Audit ja vastavuse seire poliitika annab lihtsa reegli:
„Kõik tõendusmaterjal tuleb salvestada kesksesse auditikausta.“
Allikas: Audit ja vastavuse seire poliitika VKE-dele, poliitika rakendamise nõuded, poliitika punkt 6.2.1. Audit ja vastavuse seire poliitika - VKE
Selle ühe riskistsenaariumi puhul peaks kaust sisaldama järgmist.
| Tõendusobjekt | Mida säilitada | Miks see on oluline |
|---|---|---|
| Riskikirje | Riski kirjeldus, omanik, skoor, riski käsitlemise plaan ja jääkriski otsus | Tõendab TOM-ide riskipõhist valikut |
| SoA väljavõte | Kohaldatavad kontrollimeetmed ja GDPR, NIS2, DORA märkused | Näitab jälgitavust riskist kontrollimeetmeni |
| Juurdepääsuõiguste ülevaatus | Läbi vaadatud kasutajad, otsused, eemaldamised ja erandid | Tõendab juurdepääsukontrolli toimimist |
| MFA aruanne | Eksport, mis näitab privilegeeritud MFA rakendamist | Toetab autentimise tõendusmaterjali |
| Krüptimise tõendusmaterjal | Konfiguratsioonikirje, arhitektuurimärkus või võtmehalduse kirje | Toetab konfidentsiaalsust ja terviklust |
| Haavatavuste kirje | Viimane skannimine, parandusmeetmete piletid ja aktsepteeritud erandid | Toetab tehnilise riski vähendamist |
| Logimise tõendus | SIEM-i sündmuse näidis, teavituse reegel ja säilitamise seade | Toetab tuvastamist ja uurimist |
| Varundustest | Taastamistesti tulemus ja varundamise katvuse kirje | Toetab käideldavust ja toimepidevust |
| Intsidendiõppus | Lauaõppuse märkmed, testintsidendi logi või õppetundide kirje | Toetab reageerimisvalmidust |
| Juhtkonna heakskiit | Koosoleku protokoll, kinnitus või riski aktsepteerimise kirje | Toetab vastutust ja proportsionaalsust |
Juurdepääsu tõendusmaterjal ei tohiks piirduda ekraanitõmmistega. Juurdepääsukontrolli poliitika VKE-dele lisab kasuliku operatiivse nõude:
„IT-juht peab dokumenteerima läbivaatamise tulemused ja parandusmeetmed.“
Allikas: Juurdepääsukontrolli poliitika VKE-dele, juhtimisnõuded, poliitika punkt 5.5.3. Juurdepääsukontrolli poliitika - VKE
Varunduse tõendusmaterjal peab tõendama taastatavust, mitte ainult edukalt lõppenud töid. Varundamise ja taastamise poliitika VKE-dele sätestab:
„Taastamisteste tehakse vähemalt kord kvartalis ning tulemused dokumenteeritakse taastatavuse kontrollimiseks.“
Allikas: Varundamise ja taastamise poliitika VKE-dele, juhtimisnõuded, poliitika punkt 5.3.3. Varundamise ja taastamise poliitika - VKE
See annab tervikliku tõendusahela: regulatsioon loob nõude, risk selgitab, miks see on oluline, SoA valib kontrollimeetme, poliitika määratleb toimimise ja säilitatud tõendusmaterjal tõendab, et kontrollimeede töötab.
Kontrollimeetmed töös: poliitikast toimimistõenduseni
Zenith Blueprint Controls in Action etapi Step 19 keskendub tehnilisele kontrollile. See soovitab üle vaadata lõppseadmete turbe vastavuse, identiteedi- ja juurdepääsuhalduse, autentimiskonfiguratsioonid, lähtekoodi halduse turbe, mahu ja käideldavuse, haavatavuste ja paikade halduse, turvalised lähtealused, pahavarakaitse, kustutamise ja andmete minimaalsuse, maskeerimise ja testandmed, DLP, varundamise ja taastamise, liiasuse, logimise ja seire ning aja sünkroniseerimise.
GDPR Article 32 TOM-ide puhul on Step 19 koht, kus abstraktne kontrollikeel muutub tõenduseks. Tugev tõendusfail peaks näitama, et:
- lõppseadmete krüptimine on lubatud ja seiratud;
- privilegeeritud kasutajatel on MFA;
- tööleasujate, ametikoha vahetajate ja lahkujate protsessid viiakse kokku HR-kirjetega;
- teenusekontod on dokumenteeritud ja piiratud;
- koodirepositooriumid on juurdepääsukontrolliga kaitstud ja saladuste skannimine on tehtud;
- haavatavuse skannimised tehakse ja viiakse parandusmeetmeteni;
- tootmisandmeid ei kopeerita kergekäeliselt testkeskkondadesse;
- turvalise kustutamise ja säilitamise poliitikaid rakendatakse;
- DLP-teavitused vaadatakse läbi;
- varukoopiate taastamistestid tõendavad taastatavust;
- logid on tsentraliseeritud, säilitatud ja läbivaadatavad;
- aja sünkroniseerimine toetab usaldusväärset intsidendi uurimist.
Võti on seos. Paigaaruanne ilma riski, poliitika ja SoA viiteta on IT-artefakt. Paigaaruanne, mis on seotud GDPR Article 32, NIS2 Article 21, DORA IKT-riski juhtimise ja ISO 27001:2022 riski käsitlemise plaaniga, on auditivalmis tõendusmaterjal.
Üks tõendusfail, mitu auditivaadet
Sama TOM-ide tõendusmaterjali loevad eri sidusrühmad erinevalt. Privaatsuse ülevaataja võib keskenduda isikuandmetele, vajalikkusele, proportsionaalsusele ja vastutusele. ISO 27001 audiitor võib keskenduda kohaldamisalale, riskikäsitlusele, SoA-le ja toimimistõenditele. NIS2 asutus võib keskenduda juhtkonna järelevalvele, Article 21 meetmetele ja Article 23 teavitamisvalmidusele. DORA järelevalveasutus või finantsklient võib keskenduda IKT-riskide juhtimisele, toimepidevuse testimisele ja kolmandate osapoolte sõltuvustele.
Clarysec kasutab selle tõlkimiseks ristvastavuse juhendina Zenith Controls-i.
| Sihtrühm | Mida nad küsivad | Kuidas tõendusmaterjal peaks vastama |
|---|---|---|
| GDPR privaatsuse ülevaataja | Kas TOM-id vastavad isikuandmete riskile ja kas vastutust saab tõendada? | Riskiregister, andmeregister, privaatsuskontrollid, säilitamise kirjed, juurdepääsupiirangud, krüptimise tõendusmaterjal ja rikkumise hindamise kirjed |
| ISO 27001:2022 audiitor | Kas ISMS on piiritletud, riskipõhine, rakendatud, seiratud ja täiustatud? | Kohaldamisala, riskimetoodika, SoA, siseaudit, juhtkonnapoolne läbivaatus ja parandusmeetmed |
| NIS2 ülevaataja | Kas küberturbe meetmed on heaks kiidetud, proportsionaalsed ja katavad Article 21 valdkonnad? | Juhatuse heakskiit, turbepoliitikad, intsidentide käsitlemine, talitluspidevus, tarnijarisk, koolitus, MFA ja haavatavuste haldus |
| DORA järelevalveasutus või finantsklient | Kas IKT-riski juhitakse, testitakse ja hoitakse toimepidevana, sealhulgas IKT kolmandate osapoolte riski? | IKT-riski raamistik, toimepidevuse strateegia, intsidendiprotsess, testimise tõendusmaterjal, tarnijaregister ja väljumisplaanid |
| NIST-põhine hindaja | Kas organisatsioon suudab korduvkasutatava tõendusmaterjaliga tuvastada, kaitsta, avastada, reageerida ja taastada? | Varade ja andmete register, kaitsekontrollid, seirekirjed, reageerimislogid ja taastamistestid |
| COBIT 2019 või ISACA audiitor | Kas juhtimine on vastutav, mõõdetav ja kooskõlas ettevõtte eesmärkidega? | Rollid, juhtimisaruandlus, riskivalmidus, tulemusmõõdikud, kindlustandvate tegevuste tulemused ja täiustamistegevused |
See väldib dubleeritud vastavustööd. GDPR, NIS2 ja DORA jaoks eraldi tõenduspakettide loomise asemel koostage üks kontrollimeetmete tõendusfail ja märgistage iga objekt kohustustega, mida see toetab.
Levinud puudujäägid Article 32 TOM-programmides
Kõige levinum puudujääk on kontrollimeetme orvuks jäämine. Ettevõttel on kontrollimeede, näiteks krüptimine, kuid ta ei suuda selgitada, millist riski see käsitleb, milline poliitika seda nõuab, kes seda omab või kuidas seda läbi vaadatakse.
Teine puudujääk on nõrk tarnijate tõendusmaterjal. GDPR-i alusel on volitatud töötlejad ja alltöötlejad olulised. NIS2 alusel on tarneahela turve osa küberturbe riskijuhtimisest. DORA alusel on IKT kolmandate osapoolte risk reguleeritud valdkond koos registrite, taustakontrolli, lepinguliste kaitsemeetmete, auditiõiguste ja väljumisplaneerimisega. Tarnijate tabel ei ole piisav, kui kriitilisi sõltuvusi ei hinnata riskipõhiselt ega kontrollita.
Kolmas puudujääk on intsidenditõendus. Organisatsioonidel on sageli intsidentidele reageerimise plaan, kuid puudub tõend, et klassifitseerimist, eskaleerimist, ametiasutustele teatamist ja kliendisuhtlust on testitud. NIS2 ja DORA tõstavad siin ootusi ning GDPR isikuandmetega seotud rikkumise hindamine tuleb integreerida samasse töövoogu.
Neljas puudujääk on varunduse tõendus. Edukas varundustöö ei tõenda taastatavust. Dokumenteeritud taastamistest tõendab.
Viies puudujääk on juhtkonnapoolne läbivaatus. Article 32 TOM-id peavad olema riskiga proportsionaalsed. Kui juhtkond ei vaata kunagi läbi riske, intsidente, tarnijaprobleeme, eelarvet, auditileide ja jääkriski, muutub proportsionaalsust keeruliseks tõendada.
Lõplik auditivalmis tööriistakomplekt
Zenith Blueprint Audit, Review and Improvement etapi Step 30 annab lõpliku valmisoleku kontrollnimekirja. See hõlmab ISMS-i kohaldamisala ja konteksti, allkirjastatud infoturbepoliitikat, riskihindamise ja -käsitluse dokumente, SoA-d, Annex A poliitikaid ja protseduure, koolituskirjeid, tegevuskirjeid, siseauditi aruannet, parandusmeetmete logi, juhtkonnapoolse läbivaatuse protokolle, pideva täiustamise tõendusmaterjali ja vastavuskohustuste kirjeid.
Clarysec ettevõtte Audit ja vastavuse seire poliitika määratleb selle distsipliini eesmärgi:
„Luua kaitstav tõendusmaterjal ja auditijälg regulatiivsete päringute, kohtumenetluste või klientidele kindluse andmise taotluste toetamiseks.“
Allikas: Audit ja vastavuse seire poliitika, eesmärgid, poliitika punkt 3.4. Audit ja vastavuse seire poliitika
Küps Article 32 TOM-ide tõendusfail peaks sisaldama järgmist.
| Tõenduskategooria | Minimaalne auditivalmis sisu |
|---|---|
| Juhtimine | ISMS-i kohaldamisala, poliitika heakskiit, rollid, eesmärgid, juhtkonnapoolse läbivaatuse protokollid |
| Risk | Riskimetoodika, riskiregister, käsitlusplaan, jääkriski heakskiidud |
| SoA | Kohaldatavad kontrollimeetmed, välistused, põhjendused ja regulatiivne vastendus |
| Privaatsus | Andmeregister, PII kontrollimeetmed, säilitamise tõendusmaterjal, DPIA või privaatsusriski hindamine, kui kohaldatav |
| Tehnilised kontrollimeetmed | MFA, juurdepääsuõiguste ülevaatused, krüptimine, haavatavuste haldus, logimine, seire ja turvalise arenduse tõendusmaterjal |
| Toimepidevus | Varundamise katvus, taastamistestid, talitluspidevuse plaanid, intsidendiõppused ja taastemõõdikud |
| Tarnijate kindlustase | Tarnijaregister, taustakontroll, lepinguklauslid, seire, auditiõigused ja väljumisplaneerimine |
| Täiustamine | Siseauditid, parandusmeetmed, õppetunnid ja kontrollimeetmete tõhususe ülevaatused |
Järgmised sammud: koosta Article 32 TOM-ide tõendusmaterjal Claryseciga
Kui peate tõendama GDPR Article 32 tehnilisi ja korralduslikke meetmeid, ärge alustage juhuslike ekraanitõmmiste kogumisest. Alustage jälgitavusest.
- Määratlege ISMS-i kohaldamisala ja isikuandmete töötlemise piirid.
- Tuvastage GDPR, NIS2, DORA, lepingulised ja kliendinõuded.
- Koostage riskikriteeriumid ISO/IEC 27005:2022 ja juhtkonna heaks kiidetud riskivalmiduse alusel.
- Looge või ajakohastage riskiregister.
- Vastendage iga käsitlus ISO 27001:2022 kontrollimeetmete ja SoA-ga.
- Kasutage Zenith Controls-i privaatsuse, krüptograafia, tarnijate, intsidentide ja sõltumatu läbivaatuse kontrollimeetmete ristviitamiseks eri vastavusootuste vahel.
- Järgige Zenith Blueprint Step 13 ja Step 14, et siduda riskid, kontrollimeetmed ja regulatiivsed kohustused.
- Kasutage Zenith Blueprint Step 19, et kontrollida tehniliste kontrollimeetmete toimimist.
- Kasutage Zenith Blueprint Step 30, et kokku panna lõplik auditivalmis tõendusfail.
- Säilitage kogu tõendusmaterjal keskselt, märgistage see riski ja kontrolliteema järgi ning hoidke parandusmeetmed nähtaval.
Clarysec aitab muuta GDPR Article 32 ebamäärasest vastavuskohustusest kaitstavaks riskipõhiseks tõendussüsteemiks, mis on kooskõlas ISO 27001:2022, NIS2 ja DORA-ga.
Alustage Zenith Blueprint-ist, tugevdage seda Clarysec poliitikatega ja kasutage Zenith Controls-i, et muuta iga TOM jälgitavaks, testitavaks ja auditivalmiks.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
