ISO 27001 SoA NIS2 ja DORA valmisoleku tõendamiseks
On esmaspäev kell 08.30 ja kiiresti kasvava B2B finantstehnoloogia SaaS-teenusepakkuja infoturbejuht Elena avab juhatuse päringu, millele on märgitud „kiireloomuline“. Ettevõte on äsja saavutanud ISO/IEC 27001:2022 sertifitseerimise, kuid suur EL-i pangandussektori potentsiaalne klient esitab tavapärasest turbeküsimustikust märksa nõudlikumaid küsimusi.
Nad ei küsi üksnes seda, kas ettevõte krüpteerib andmeid, kasutab MFA-d või omab penetratsioonitestimise aruannet. Nad tahavad teada, kas SaaS-platvorm toetab nende DORA kohustusi, kas teenusepakkuja võib IKT-teenuse või digitaalse taristu sõltuvuse tõttu kuuluda NIS2 kohaldamisalasse ning kas ISO 27001 kohaldatavusdeklaratsioon suudab põhjendada iga kaasatud kontrollimeedet, iga välistatud kontrollimeedet ja iga tõendusmaterjali.
Juhatus küsib küsimuse, mida iga infoturbejuht, vastavusjuht ja SaaS-i asutaja kuuleb üha sagedamini:
Kas meie ISO 27001 SoA suudab tõendada NIS2 ja DORA valmisolekut?
Elena teab, et vale vastus oleks käivitada kolm eraldi vastavusprogrammi: üks ISO 27001 jaoks, teine NIS2 jaoks ja kolmas DORA jaoks. See looks dubleeritud tõendusmaterjali, vastuolulised kontrollimeetmete omanikud ja pideva kiirustamise enne iga kliendihindamist. Parem vastus on kasutada olemasolevat ISMS-i vastavuse juhtimise operatsioonisüsteemina ning kohaldatavusdeklaratsiooni ehk SoA-d peamise jälgitavusdokumendina.
SoA ei ole pelgalt ISO sertifitseerimiseks mõeldud tabel. EL-i küberturbe ja tegevuskerksuse keskkonnas on see koht, kus organisatsioon tõendab, miks kontrollimeetmed on olemas, miks välistused on kaitstavad, kes iga kontrollimeetme eest vastutab, milline tõendusmaterjal rakendamist toetab ning kuidas kontrollimeetmete kogum katab NIS2, DORA, GDPR, kliendilepingud ja sisemise riskikäsitluse.
Clarysec’i Enterprise Infoturbepoliitika Infoturbepoliitika sätestab:
ISMS peab hõlmama määratletud kohaldamisala piire, riskihindamise metoodikat, mõõdetavaid eesmärke ja dokumenteeritud kontrollimeetmeid, mis on põhjendatud kohaldatavusdeklaratsioonis (SoA).
See nõue, mis pärineb Infoturbepoliitika punktist 6.1.2, on auditivalmis lähenemise alus. SoA peab toimima sillana kohustuste, riskide, kontrollimeetmete, tõendusmaterjali ja juhtimisotsuste vahel.
Miks NIS2 ja DORA muutsid mõiste „kohaldatav“ tähendust
Traditsiooniline ISO/IEC 27001:2022 SoA algab sageli lihtsa küsimusega: „Millised Lisa A kontrollimeetmed kohalduvad meie riski käsitlemise plaanile?“ See on endiselt õige, kuid SaaS-i, pilve, hallatud teenuste, fintech’i, finantstehnoloogia ja kriitilise tarneahela teenusepakkujate jaoks ei ole see enam piisav.
NIS2 tõstab küberturbe riskijuhtimise baastaset EL-i oluliste ja tähtsate üksuste lõikes. See hõlmab sektoreid, nagu digitaalne taristu, pilveteenuse osutajad, andmekeskusteenuse osutajad, sisuedastusvõrgud, hallatud teenuse osutajad, hallatud turvateenuse osutajad, pangandus ja finantsturu taristud. Liikmesriigid peavad tuvastama olulised ja tähtsad üksused ning domeeninimede registreerimisteenuse osutajad. Paljud tehnoloogiateenuse pakkujad, kes varem käsitlesid küberturbe regulatsiooni kliendi probleemina, on nüüd kas otseselt kohaldamisalas või puutuvad sellega kokku edasikanduvate lepinguliste nõuete kaudu.
NIS2 Article 21 nõuab asjakohaseid ja proportsionaalseid tehnilisi, operatiivseid ja korralduslikke meetmeid riskianalüüsi, turbepoliitikate, intsidentide käsitlemise, talitluspidevuse, tarneahela turbe, turvalise hankimise ja arenduse, kontrollimeetmete tõhususe hindamise, küberhügieeni, koolituse, krüptograafia, personaliturbe, juurdepääsukontrolli, varahalduse ning vajaduse korral autentimise lõikes. NIS2 Article 23 lisab etapiviisilised intsidentidest teatamise ootused, sealhulgas varajase hoiatuse, teate, vahearuanded ja oluliste intsidentide lõpparuande.
DORA ehk Digital Operational Resilience Act kohaldub alates 17. jaanuarist 2025 ning keskendub finantssektori üksustele ja nende IKT-riski ökosüsteemile. See hõlmab IKT-riski juhtimist, IKT-ga seotud intsidentidest teatamist, teatud üksuste operatiivsetest või turvalisusega seotud makseintsidentidest teatamist, digitaalse tegevuskerksuse testimist, küberohuteabe jagamist, IKT kolmanda osapoole riskijuhtimist, lepingulisi kokkuleppeid ja kriitiliste kolmandast isikust IKT-teenuseosutajate järelevalvet.
Finantssektori üksuste puhul, kes on NIS2 alusel samuti olulised või tähtsad üksused, toimib DORA valdkonnaspetsiifilise raamistikuna samaväärsete IKT-riski juhtimise ja intsidentidest teatamise kohustuste jaoks. Kuid SaaS-teenusepakkujate, pilveteenuse osutajate, MSP-de ja MDR-teenusepakkujate jaoks, kes teenindavad finantskliente, jõuavad DORA ootused praktikas kohale hangete, lepingute, auditeerimisõiguste, intsidentide toe kohustuste, väljumisplaanide, alltöövõtjate läbipaistvuse ja toimepidevust tõendava materjali kaudu.
See muudab SoA käsitlust. Küsimus ei ole enam: „Kas Lisa A sisaldab seda kontrollimeedet?“ Parem küsimus on:
Kas suudame tõendada, et kontrollimeetmete valik on riskipõhine, kohustusi arvestav, proportsionaalne, omanikuga kaetud, rakendatud, seiratud, tõendatud ja heaks kiidetud?
ISO 27001 on NIS2 ja DORA universaalne tõlk
ISO/IEC 27001:2022 väärtus seisneb selles, et see on juhtimissüsteemi standard, mitte kitsas kontrollnimekiri. See nõuab, et ISMS oleks integreeritud organisatsiooni protsessidesse ja kohandatud organisatsiooni vajadustele. Seetõttu toimib see tõhusa universaalse tõlgina kattuvate vastavusnõuete vahel.
Punktid 4.1 kuni 4.4 nõuavad, et organisatsioon mõistaks oma konteksti, tuvastaks huvitatud pooled, määraks kindlaks asjakohased nõuded ja määratleks ISMS-i kohaldamisala. Elena ettevõtte sarnase FinTech SaaS-teenusepakkuja puhul võivad sellised huvitatud poolte nõuded hõlmata EL-i kliente, DORA-st mõjutatud finantskliente, NIS2 sektoripõhist kokkupuudet, GDPR-i vastutava töötleja ja volitatud töötleja kohustusi, sisseostetud pilvesõltuvusi, tarnijaliideseid ja juhatuse ootusi.
Punktid 6.1.1 kuni 6.1.3 nõuavad riskide ja võimaluste planeerimist, korratavat infoturbe riskihindamise protsessi, riski käsitlemise protsessi, võrdlust Lisa A-ga ning kohaldatavusdeklaratsiooni, mis tuvastab kaasatud kontrollimeetmed, rakendamise staatuse ja välistuste põhjendused.
Siin muutub SoA kontrollimeetmete otsuste registriks. Kontrollimeede võib olla kaasatud seetõttu, et see käsitleb riski, täidab õiguslikku nõuet, täidab kliendilepingut, toetab ärieesmärki või esindab infoturbe baashügieeni. Kontrollimeetme võib välistada ainult pärast seda, kui organisatsioon on seda teadlikult hinnanud, leidnud, et see ei ole ISMS-i kohaldamisala suhtes asjakohane, dokumenteerinud põhjenduse ja saanud asjakohase heakskiidu.
Clarysec’i Enterprise Riskijuhtimise poliitika Riskijuhtimise poliitika sätestab:
Kohaldatavusdeklaratsioon (SoA) peab kajastama kõiki käsitlusotsuseid ja seda tuleb ajakohastada iga kord, kui kontrollide katvus muutub.
See nõue, mis pärineb Riskijuhtimise poliitika punktist 5.4, on NIS2 ja DORA valmisoleku seisukohalt kriitiline. Uus reguleeritud klient, uus pilvesõltuvus, uus intsidentidest teatamise kohustus või uus tarnija kontsentratsioonirisk võib muuta kontrollimeetmete kohaldatavust.
Alusta vastavusregistrist, mitte kontrollimeetmete loendist
Nõrk SoA algab Lisa A-st ja küsib: „Millised kontrollimeetmed meil juba on?“ Tugev SoA algab organisatsiooni tegelikust toimimismudelist ja küsib: „Milliseid kohustusi, teenuseid, riske, andmeid, tarnijaid ja kliente peab ISMS katma?“
ISO/IEC 27005:2022 toetab seda lähenemist, rõhutades huvitatud poolte nõudeid, riskikriteeriume ning vajadust arvestada standardite, sisereeglite, seaduste, regulatsioonide, lepingute ja olemasolevate kontrollimeetmetega. Samuti rõhutab see, et mittekohaldatavust või mittevastavust tuleb selgitada ja põhjendada.
Clarysec’i SME Õigusnormidele vastavuse poliitika Õigusnormidele vastavuse poliitika - SME kirjeldab sama tööpõhimõtet:
GM peab pidama lihtsat ja struktureeritud vastavusregistrit, milles loetletakse:
See nõue pärineb Õigusnormidele vastavuse poliitika - SME punktist 5.1.1. Väiksema organisatsiooni puhul võib register olla lihtne. Ettevõtte tasemel peab see olema detailsem. Loogika on sama: kohustused peavad olema nähtavad enne, kui neid saab vastendada.
Clarysec’i Enterprise Õigusnormidele vastavuse poliitika Õigusnormidele vastavuse poliitika on selgesõnaline:
Kõik õiguslikud ja regulatiivsed kohustused tuleb infoturbe juhtimissüsteemis (ISMS) vastendada konkreetsete poliitikate, kontrollimeetmete ja omanikega.
See on Õigusnormidele vastavuse poliitika punkt 6.2.1. See on juhtimise selgroog, kui ISO 27001 kohaldatavusdeklaratsiooni kasutatakse NIS2 ja DORA vastavusvalmiduse jaoks.
| Registri väli | Näidiskirje | Miks see on SoA jaoks oluline |
|---|---|---|
| Kohustuse allikas | NIS2 Article 21 | Suunab riskianalüüsi, intsidentide käsitlemise, talitluspidevuse, tarnijate turbe, krüptograafia, juurdepääsukontrolli, varahalduse ja koolituse kontrollimeetmete kaasamist |
| Kohaldatavuse põhjendus | SaaS-teenusepakkuja, kes toetab EL-i finantssektori ja oluliste sektorite kliente | Näitab, miks NIS2-ga arvestatakse isegi siis, kui lõplik õiguslik staatus sõltub liikmesriigi määratlusest |
| Kontrollimeetme omanik | Turbeoperatsioonide juht | Toetab vastutust ja tõendusmaterjali omamist |
| Vastendatud ISO/IEC 27001:2022 kontrollimeede | A.5.24 kuni A.5.28 intsidendihalduse kontrollimeetmed | Seob õigusliku kohustuse Lisa A kontrollimeetmete valikuga |
| Tõendusmaterjali allikas | Intsidentidele reageerimise plaan, piletinäidised, intsidendijärgne ülevaatus, aruandlusõppus | Muudab auditi valimipõhise kontrolli lihtsamaks |
| SoA otsus | Kohaldatav | Loob jälgitavuse kohustuse, riski, kontrollimeetme ja tõendusmaterjali vahel |
Koosta riskikriteeriumid, mis kajastavad toimepidevust, privaatsust, tarnijaid ja regulatsiooni
Paljud SoA põhjendused ebaõnnestuvad, sest riskiskoorimise mudel on liiga kitsas. See mõõdab tehnilist tõenäosust ja mõju, kuid ei hõlma regulatiivset kokkupuudet, teenuse kriitilisust, kliendikahju, tarnijasõltuvust, privaatsusmõju ega süsteemset tegevushäiret.
NIS2 ei käsitle üksnes konfidentsiaalsust. See keskendub teenustele ja teenusesaajatele avalduva intsidentide mõju ennetamisele ja minimeerimisele. DORA määratleb kriitilised või olulised funktsioonid selle järgi, kas katkestus kahjustaks oluliselt finantstulemusi, teenuse järjepidevust või regulatiivset vastavust. GDPR lisab vastutuse tõendatavuse, tervikluse, konfidentsiaalsuse, rikkumisvalmiduse ja andmesubjekti kahju.
Clarysec’i SME Riskijuhtimise poliitika Riskijuhtimise poliitika - SME annab praktilise miinimumi:
Iga riskikirje peab sisaldama kirjeldust, tõenäosust, mõju, skoori, omanikku ja riski käsitlemise plaani.
See on Riskijuhtimise poliitika - SME punkt 5.1.2. NIS2 ja DORA valmisoleku jaoks laiendab Clarysec seda miinimumi väljadega, nagu kohustuse allikas, mõjutatud teenus, andmekategooria, tarnijasõltuvus, ärivastutaja, regulatiivne mõju, jääkrisk, käsitlusstaatus ja tõendusmaterjali allikas.
| Riski ID | Riskistsenaarium | Kohustuse ajend | Käsitluse kontrollimeetmed | SoA põhjendus |
|---|---|---|---|---|
| R-021 | Pilveplatvormi katkestus takistab klientidel ligipääsu reguleeritud pettuseanalüütika juhtpaneelidele | NIS2 Article 21, DORA kliendisõltuvus, lepinguline SLA | A.5.29, A.5.30, A.8.13, A.8.15, A.8.16 | Kohaldatav, sest teenuse järjepidevus, varundus, logimine, seire ja IKT-valmisolek vähendavad tegevushäiret ning toetavad kliendi toimepidevuskohustusi |
| R-034 | EL-i isikuandmeid puudutavat turbeintsidenti ei tuvastata, eskaleerita ega teatata nõutud tähtaegade jooksul | GDPR vastutuse tõendatavus, NIS2 Article 23, DORA intsidenditoe kohustused | A.5.24 kuni A.5.28, A.8.15, A.8.16 | Kohaldatav, sest etapiviisiline intsidentide käsitlemine, tõendite kogumine, õppetundide rakendamine, logimine ja seire toetavad regulatiivseid ja klienditeavituse töövooge |
| R-047 | Kriitilise alltöövõtja nõrkus mõjutab finantsklientidele turvalise teenuse osutamist | NIS2 Article 21 tarneahela turve, DORA IKT kolmanda osapoole risk | A.5.19 kuni A.5.23, A.5.31, A.5.36 | Kohaldatav, sest tarnijarisk, lepingulised nõuded, pilveteenuste juhtimine, vastavuskohustused ja poliitika järgimine on vajalikud IKT-sõltuvuste kindluse tagamiseks |
Pane tähele sõnastust. Tugev põhjendus ei ütle üksnes „rakendatud“. See selgitab, miks kontrollimeede on kohaldatav organisatsiooni äri-, regulatiivses ja riskikontekstis.
Vastenda NIS2 ja DORA valdkonnad ISO 27001:2022 kontrollimeetmetega
Kui vastavusregister ja riskikriteeriumid on paigas, on praktiline töö vastendada regulatiivsed valdkonnad Lisa A kontrollimeetmetega. See vastendus ei tõenda iseenesest vastavust, kuid annab audiitoritele ja klientidele selge indeksi tõendusmaterjali testimiseks.
| Regulatiivse nõude valdkond | NIS2 viide | DORA viide | ISO/IEC 27001:2022 kontrollimeetmete näited |
|---|---|---|---|
| Juhtimine ja juhtkonna vastutus | Article 20 | Article 5 | A.5.1, A.5.2, A.5.31, A.5.35, A.5.36 |
| Riskijuhtimise raamistik | Article 21(1) | Article 6 | ISO 27001 punktid 6.1.1 kuni 6.1.3, A.5.7, A.5.31, A.5.36 |
| Intsidentide käsitlemine ja teavitamine | Article 23 | Articles 17 to 19 | A.5.24, A.5.25, A.5.26, A.5.27, A.5.28, A.8.15, A.8.16 |
| Talitluspidevus ja toimepidevus | Article 21(2)(c) | Articles 11 and 12 | A.5.29, A.5.30, A.8.13, A.8.14, A.8.15, A.8.16 |
| Tarneahel ja kolmanda osapoole risk | Article 21(2)(d), Article 21(3) | Articles 28 to 30 | A.5.19, A.5.20, A.5.21, A.5.22, A.5.23 |
| Turvaline hankimine ja arendus | Article 21(2)(e) | Article 9 | A.8.25, A.8.26, A.8.27, A.8.28, A.8.29, A.8.32 |
| Testimine ja kontrollimeetmete tõhusus | Article 21(2)(f) | Articles 24 to 27 | A.5.35, A.5.36, A.8.8, A.8.29, A.8.34 |
| Juurdepääsukontroll ja varahaldus | Article 21(2)(i) | Article 9(4)(d) | A.5.9, A.5.15, A.5.16, A.5.17, A.5.18, A.8.2, A.8.3 |
| Krüptograafia ja krüptimine | Article 21(2)(h) | Article 9(4)(d) | A.8.24 |
Elena jaoks muutis see vastendus juhatuse arutelu. Selle asemel et esitada NIS2 ja DORA eraldi projektidena, sai ta näidata kattuvust: juhtimine, riskijuhtimine, intsidendid, talitluspidevus, tarnijad, testimine, juurdepääsukontroll ja krüptograafia.
Kolm ISO kontrollimeedet, millest sõltub iga NIS2 ja DORA SoA
Teoses Zenith Controls: The Cross-Compliance Guide Zenith Controls käsitleb Clarysec kolme ISO/IEC 27002:2022 kontrollimeedet NIS2 ja DORA auditivalmis SoA juhtimise kesksete elementidena. Need on ISO kontrollimeetmed, mida Zenith Controls juhendis on rikastatud ristvastavuse atribuutidega.
| ISO/IEC 27002:2022 kontrollimeede | Kontrollimeetme nimetus | Zenith Controls atribuudid | Miks see on SoA juhtimise jaoks oluline |
|---|---|---|---|
| 5.31 | Õiguslikud, seadusest tulenevad, regulatiivsed ja lepingulised nõuded | Ennetav, CIA, tuvasta, õigus ja vastavus, juhtimine, ökosüsteem, kaitse | Määrab kohustuste baastaseme, mis suunab kontrollimeetmete kaasamist ja omanike määramist |
| 5.35 | Infoturbe sõltumatu läbivaatamine | Ennetav ja korrigeeriv, CIA, tuvasta ja kaitse, infoturbe kindluse andmine, juhtimine, ökosüsteem | Annab kindluse, et SoA otsused ja rakendamise tõendusmaterjal peavad vastu sõltumatule läbivaatamisele |
| 5.36 | Infoturbe poliitikate, reeglite ja standardite järgimine | Ennetav, CIA, tuvasta ja kaitse, õigus ja vastavus, infoturbe kindluse andmine, juhtimine, ökosüsteem | Seob SoA operatiivse kooskõla, poliitika järgimise ja seirega |
Need kontrollimeetmed ei ole eraldiseisvad. Need seostuvad otseselt tarnijasuhete kontrollimeetmetega A.5.19 kuni A.5.23, intsidendihalduse kontrollimeetmetega A.5.24 kuni A.5.28, talitluspidevuse kontrollimeetmetega A.5.29 ja A.5.30, privaatsuse kontrollimeetmega A.5.34, haavatavuste haldusega A.8.8, konfiguratsioonihaldusega A.8.9, teabe varundusega A.8.13, logimisega A.8.15, seiretegevustega A.8.16, krüptograafiaga A.8.24, turvalise arenduse kontrollimeetmetega A.8.25 kuni A.8.29 ning muudatuste juhtimisega A.8.32.
Zenith Controls väärtus seisneb selles, et see aitab meeskondadel vältida SoA käsitlemist ühe standardi artefaktina. Kontroll 5.31 toetab õiguslikku ja lepingulist vastendust. Kontroll 5.35 toetab siseauditit, sõltumatut läbivaatamist ja juhtkonna kindlust. Kontroll 5.36 toetab operatiivset vastavust poliitikatele, protseduuridele, standarditele ja kontrollinõuetele.
Kasuta Zenith Blueprinti SoA koostamiseks, testimiseks ja kaitsmiseks
Teoses Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint paigutab Clarysec SoA koostamise riskijuhtimise etappi, samm 13: riski käsitlemise planeerimine ja kohaldatavusdeklaratsioon. Blueprint juhendab organisatsioone kasutama „Risk Register and SoA Builder.xlsx“ mallis olevat SoA lehte, otsustama, kas iga 93 Lisa A kontrollimeedet on kohaldatav, ning tuginema otsuses riskikäsitlusele, õiguslikele ja lepingulistele nõuetele, kohaldamisala asjakohasusele ja organisatsiooni kontekstile.
Blueprint sätestab:
SoA on sisuliselt silddokument: see seob sinu riskihindamise/riskikäsitluse tegelike kontrollimeetmetega, mis sul olemas on.
See lause võtab kokku toimimismudeli. SoA ühendab kohustused, riskid, poliitikad, kontrollimeetmed, tõendusmaterjali ja auditi järeldused.
Zenith Blueprint juhendab meeskondi vajaduse korral lisama SoA märkustesse ristviiteid regulatsioonidele. Kui kontrollimeede on rakendatud GDPR, NIS2 või DORA jaoks, peab see kajastuma riskiregistris või SoA märkustes. Hiljem, sammus 24, juhendab Blueprint organisatsioone ajakohastama SoA-d pärast rakendamist ja ristkontrollima seda riski käsitlemise plaaniga. Sammus 30, sertifitseerimiseks ettevalmistus, lõplik läbivaatamine ja prooviaudit, suunab Blueprint meeskondi kinnitama, et igal kohaldataval Lisa A kontrollimeetmel on tõendusmaterjal, näiteks poliitika, protseduur, aruanne, plaan või rakendamise kirje.
See järjestus muudab SoA elavaks vastavusinstrumendiks:
- Samm 13 loob selle riskikäsitlusest ja kohustustest.
- Samm 24 testib seda rakendamise tegelikkuse suhtes.
- Samm 30 kaitseb seda lõpliku tõendusmaterjali läbivaatamise ja prooviauditi kaudu.
Kuidas kirjutada kaasamise põhjendusi, mida audiitorid saavad jälgida
Kontrollimeede tuleb kaasata siis, kui olemas on vähemalt üks kaitstav ajend: riskikäsitlus, õiguslik nõue, lepinguline nõue, kohaldamisala asjakohasus, infoturbe baashügieen, kliendi kindluse ootused või juhtkonna heaks kiidetud toimepidevuse eesmärk.
Kasulik valem on:
Kohaldatav, sest [risk või kohustus] mõjutab [teenust, vara, andmeid või protsessi] ning see kontrollimeede annab [ennetava, tuvastava, korrigeeriva või toimepidevuse tulemuse], mida tõendab [poliitika, kirje, test, aruanne või süsteemiväljund].
| Kontrollimeetme valdkond | Nõrk põhjendus | Auditivalmis põhjendus |
|---|---|---|
| Intsidendihaldus | Rakendatud | Kohaldatav, sest NIS2 Article 23 ja DORA intsidendi elutsükli ootused nõuavad reguleeritud kliente mõjutavate intsidentide puhul tuvastamist, klassifitseerimist, eskaleerimist, aruandluse tuge, kommunikatsiooni, algpõhjuse analüüsi, tõendite kogumist ja õppetundide rakendamist |
| Tarnijate turve | Nõutav | Kohaldatav, sest pilvemajutus, tugiteenuse pakkujad ja MDR-teenused mõjutavad teenuse käideldavust ja andmete konfidentsiaalsust ning NIS2 Article 21 koos DORA IKT kolmanda osapoole riski ootustega nõuab hoolsuskontrolli, lepingulisi kaitsemeetmeid, seiret, alltöövõtjate läbivaatamist ja väljumisplaanimist |
| Krüptograafia | Kasutusel | Kohaldatav, sest kliendiandmed, autentimissaladused, varukoopiad ja reguleeritud finantsandmed vajavad NIS2, DORA, GDPR, kliendilepingute ja sisemise riskikäsitluse alusel konfidentsiaalsuse ja tervikluse kaitsemeetmeid |
| Sõltumatu läbivaatamine | Jah | Kohaldatav, sest juhtkond, kliendid ja audiitorid vajavad kindlust, et ISMS-i kontrollimeetmeid, SoA otsuseid, tõendusmaterjali ja regulatiivseid vastendusi vaadatakse perioodiliselt sõltumatult läbi |
Fintech SaaS-teenusepakkuja puhul võib üks SoA rida välja näha järgmiselt:
| SoA väli | Näidiskirje |
|---|---|
| Kontrollimeede | A.5.19 Infoturbe juhtimine tarnijasuhetes |
| Kohaldatavus | Jah |
| Põhjendus | Kohaldatav, sest pilvemajutus, tugiteenuste tööriistad ja MDR-teenused mõjutavad konfidentsiaalsust, käideldavust, intsidendi tuvastamist ja reguleeritud kliendi kindlust. Toetab NIS2 tarneahela ootusi, DORA IKT kolmanda osapoole riski ootusi finantsklientide jaoks, GDPR-i volitatud töötleja vastutuse tõendatavust ja lepingulisi auditinõudeid. |
| Rakendamise staatus | Rakendatud ja seiratud |
| Omanik | Tarnijahaldusjuht |
| Tõendusmaterjal | Tarnijaregister, hoolsuskontrolli kontrollnimekiri, lepingu turbeklauslid, iga-aastase läbivaatamise kirjed, SOC või kindluse aruanded, alltöövõtjate läbivaatamine, kriitiliste teenuseosutajate väljumisplaan |
| Seotud riskid | R-047, R-021, R-034 |
| Seotud poliitikad | Kolmandate osapoolte ja tarnijate turbepoliitika, Õigusnormidele vastavuse poliitika, Riskijuhtimise poliitika |
| Läbivaatamise sagedus | Iga-aastane ning tarnija muutumise, olulise intsidendi, uue reguleeritud kliendi või teenuse laiendamise korral |
See on auditivalmis, sest see seob kontrollimeetme konteksti, riski, kohustuse, rakendamise, omanduse ja tõendusmaterjaliga.
Kuidas põhjendada välistusi auditiriski tekitamata
Välistused ei ole ebaõnnestumised. Halvasti põhjendatud välistused on ebaõnnestumised.
ISO/IEC 27001:2022 nõuab, et SoA põhjendaks välistatud Lisa A kontrollimeetmeid. ISO/IEC 27005:2022 rõhutab samuti, et mittekohaldatavust tuleb selgitada ja põhjendada. Clarysec’i Enterprise Infoturbepoliitika sätestab:
Baastaset võib kohandada; välistused tuleb siiski dokumenteerida koos ametliku heakskiidu ja põhjendusega SoA-s.
See on Infoturbepoliitika punkt 7.2.2.
Clarysec’i Infoturbepoliitika - SME Infoturbepoliitika - SME sätestab:
Iga kõrvalekalle sellest poliitikast tuleb dokumenteerida, selgitades selgelt, miks kõrvalekalle on vajalik, millised alternatiivsed kaitsemeetmed on rakendatud ja milline kuupäev on määratud kordushindamiseks.
See nõue pärineb Infoturbepoliitika - SME punktist 7.2.1.
| Kontrollimeetme valdkond | Välistamise põhjendus | Nõutavad kaitsemeetmed |
|---|---|---|
| Sisemise koodiarenduse turvalise arenduse kontrollimeetmed | Ei ole kohaldatav, sest ISMS-i kohaldamisala katab ainult edasimüüja teenust, kus puudub sisemine tarkvaraarendus, koodi muutmine ja CI/CD torustik | Tarnija kindluse tõendus, muudatuse heakskiit, haavatavuste vastuvõtt, kliendikommunikatsioon ja iga-aastane kordushindamine |
| Omanikule kuuluvate rajatiste füüsilise turbe seire | Ei ole kohaldatav, sest organisatsioonil ei ole ISMS-i kohaldamisalas oma andmekeskust, serveriruumi ega kontorirajatist ning kogu tootmiskeskkonna taristu töötab auditeeritud pilveteenuse osutajate juures | Pilvetarnija hoolsuskontroll, lepingulised kontrollimeetmed, juurdepääsuõiguste ülevaatused, jagatud vastutuse läbivaatamine ja teenuseosutaja kindluse aruannetest pärinev tõendusmaterjal |
| Teatud kohapealsete andmekandjate käitlemise tegevused | Ei ole kohaldatav, sest kohaldamisalasse kuuluvas teenuses ei kasutata teisaldatavaid andmekandjaid ega kohapealset salvestust | Lõppseadmete piirangud, vajaduse korral DLP seire, varade register ja perioodiline valideerimine |
NIS2 ja DORA puhul tuleb välistustesse suhtuda eriti ettevaatlikult. SaaS-ettevõte peaks harva välistama logimise, seire, varundused, intsidendihalduse, juurdepääsukontrolli, tarnijate turbe või haavatavuste halduse. Isegi kui kontrollimeede ei ole seotud ühe konkreetse riskiga, võib see olla vajalik infoturbe baastaseme, kliendi kindluse, lepingulise ootuse või õigusliku kohustuse tõttu.
Clarysec’i Riskijuhtimise poliitika - SME tuletab meeskondadele meelde ka seda, kuidas aktsepteeritud riski tuleb käsitleda:
Aktsepteeri: põhjenda, miks täiendavaid meetmeid ei ole vaja, ja registreeri jääkrisk.
See punkt, 6.1.1 Riskijuhtimise poliitika - SME dokumendis, on täpselt see mõtteviis, mida välistuste ja jääkriski otsuste puhul vaja on.
Intsidentidest teavitamine: tõenda töövoogu, mitte poliitika olemasolu
NIS2 Article 23 nõuab oluliste intsidentide etapiviisilist teavitamist, sealhulgas varajast hoiatust 24 tunni jooksul teadlikuks saamisest, teadet 72 tunni jooksul, taotluse korral vahearuandeid ja lõpparuannet ühe kuu jooksul pärast 72-tunnist teadet. DORA nõuab finantssektori üksustelt suurte IKT-ga seotud intsidentide tuvastamist, haldamist, klassifitseerimist, eskaleerimist, kommunikatsiooni ja teatamist, vajaduse korral mõjutatud klientide teavitamist, algpõhjuse analüüsi tegemist ning kontrollimeetmete täiustamist.
SaaS-teenusepakkuja ei pruugi alati DORA asutusele otse aru anda, kuid tal võib olla vaja toetada finantsklientide aruandlustähtaegu. See muudab intsidendikontrollid SoA-s väga asjakohaseks.
Nõrk SoA ütleb: „Intsidentidele reageerimise poliitika on olemas.“
Tugev SoA ütleb: „Kohaldatav, sest organisatsioon peab tuvastama, hindama, klassifitseerima, eskaleerima, suhtlema, säilitama tõendusmaterjali, toetama regulatiivseid aruandlustähtaegu, teavitama mõjutatud kliente lepinguliselt nõutud juhtudel ning õppima teenuseid, andmeid või reguleeritud kliente mõjutavatest intsidentidest.“
Tõendusmaterjal peab hõlmama järgmist:
- Intsidentidele reageerimise plaan ja eskaleerimismaatriks.
- Tõsiduse klassifitseerimise kriteeriumid.
- Klienditeavituse töövoog.
- Regulatiivse teavitamise otsustuspuu, kui see on kohaldatav.
- Intsidendipiletid ja ajajooned.
- Logid ja seireteavitused.
- Lauaõppuste kirjed.
- Intsidendijärgne ülevaatus ja parandusmeetmed.
- Tõendusmaterjali säilitamise protseduurid.
Clarysec’i Enterprise Auditi ja vastavusseire poliitika Auditi ja vastavusseire poliitika selgitab, miks see on oluline:
Luua kaitstav tõendusmaterjal ja auditijälg regulatiivsete päringute, kohtumenetluste või klientidele kindluse andmise taotluste toetamiseks.
See eesmärk pärineb Auditi ja vastavusseire poliitika punktist 3.4.
Väiksemate organisatsioonide puhul peab ka tõendusmaterjali säilitamine olema selgesõnaline. Clarysec’i Auditi ja vastavusseire poliitika - SME Auditi ja vastavusseire poliitika - SME sätestab:
Tõendusmaterjali tuleb säilitada vähemalt kaks aastat või kauem, kui seda nõuavad sertifitseerimis- või kliendilepingud.
See on Auditi ja vastavusseire poliitika - SME punkt 6.2.4.
Üks SoA, mitu auditiarutelu
Parim SoA ei dubleeri raamistikke. See loob jälgitava kontrollimeetmete narratiivi, mida erinevad audiitorid mõistavad.
| Raamistik või vaade | Mida audiitor või hindaja küsib | Kuidas SoA aitab |
|---|---|---|
| ISO/IEC 27001:2022 | Miks see Lisa A kontrollimeede on kaasatud või välistatud, milline on rakendamise staatus ja kus on tõendusmaterjal? | Seob kontrollimeetmete otsused riskide, kohustuste, rakendamise staatuse, omanike ja tõendusmaterjaliga |
| NIS2 | Kuidas toimivad juhtimine, riskianalüüs, intsidentide käsitlemine, talitluspidevus, tarneahel, krüptimine, juurdepääsukontroll, varahaldus ja koolitus praktikas? | Vastendab Article 21 ja Article 23 ootused Lisa A kontrollimeetmete ja tegevuskirjetega |
| DORA | Kuidas on tõendatud IKT-risk, intsidendihaldus, toimepidevuse testimine, kolmandate osapoolte risk, lepingud, auditeerimisõigused, väljumisplaanid ja juhtkonna järelevalve? | Näitab, millised kontrollimeetmed toetavad finantssektori üksuse kohustusi või SaaS-tarnija kindlust |
| GDPR | Kas organisatsioon suudab tõendada terviklust, konfidentsiaalsust, vastutuse tõendatavust, rikkumisvalmidust, seadusliku töötlemise tuge ja volitatud töötleja kontrollimeetmeid? | Seob privaatsuskohustused juurdepääsukontrolli, krüptograafia, logimise, tarnijate, intsidentide, säilitamise ja tõendusmaterjali kontrollimeetmetega |
| NIST CSF 2.0 | Kuidas toetavad rakendatud kontrollimeetmed funktsioonide Govern, Identify, Protect, Detect, Respond ja Recover tulemusi? | Kasutab sama tõendusmaterjali baasi funktsionaalse küberturbe katvuse näitamiseks |
| COBIT 2019 ja ISACA audit | Kas juhtimiseesmärgid, kontrollimeetmete omandus, kindlustandvad tegevused, mõõdikud ja juhtkonna vastutus on määratletud? | Seob SoA otsused omanike, toimivuse läbivaatamise, sõltumatu läbivaatamise ja parandusmeetmetega |
ISO 27001 audiitor alustab tavaliselt punktide loogikast: kohaldamisala, huvitatud pooled, riskihindamine, riskikäsitlus, SoA, eesmärgid, siseaudit, juhtkonna ülevaatus ja täiustamine. NIS2-keskne läbivaataja keskendub proportsionaalsusele, juhtkonna vastutusele, koolitusele, tarneahelale, intsidentide tähtaegadele ja teenuse mõjule. DORA-keskne kliendihindaja keskendub IKT-riskile, kriitilistele või olulistele funktsioonidele, suurtele IKT-intsidentidele, toimepidevuse testimisele, lepinguklauslitele, auditeerimisõigustele, väljumisplaanidele, alltöövõtule ja kontsentratsiooniriskile. Privaatsuse läbivaataja keskendub GDPR-i vastutuse tõendatavusele ja rikkumisvalmidusele. COBIT 2019 või ISACA-stiilis audiitor testib juhtimist, mõõdikuid, omandust, kindlust andvaid tegevusi ja parandusmeetmeid.
Seetõttu ei saa SoA-d hallata ainult turvameeskond. See vajab õigus-, privaatsus-, hanke-, inseneeria-, operatsioonide-, HR- ja tippjuhtkonna osalust ning vastutust.
Levinud SoA puudused NIS2 ja DORA valmisolekuprojektides
Clarysec leiab valmisolekuprojektides korduvalt samu probleeme:
- SoA märgib kontrollimeetmed kohaldatavaks, kuid risk, kohustus või äriline põhjus ei ole registreeritud.
- NIS2 ja DORA on poliitikates mainitud, kuid neid ei ole vastendatud kontrollimeetmete, omanike ega tõendusmaterjaliga.
- Tarnijakontrollid on märgitud rakendatuks, kuid puudub tarnijaregister, kriitilisuse hinnang, lepinguline läbivaatamine või väljumisplaan.
- Intsidendikontrollid on olemas, kuid protsess ei toeta 24-tunniseid, 72-tunniseid, kliendi- või lõpparuandluse töövooge.
- Juhtkonna heakskiitu eeldatakse, kuid puudub kirje riski aktsepteerimise, SoA heakskiidu või jääkriski otsuse kohta.
- Välistused on kopeeritud mallist ega vasta tegelikule pilve-, kaugtöö-, SaaS-i või fintech’i toimimismudelile.
- Tõendusmaterjal on tööriistades olemas, kuid puudub auditijälg, mis seoks tõendusmaterjali SoA-ga.
- GDPR-i isikuandmete töötlemine ei ole seotud turbekontrollide, rikkumisele reageerimise, tarnijalepingute ega säilitamisega.
- Siseaudit kontrollib dokumente, kuid ei testi, kas SoA kajastab tegelikku rakendamist.
- SoA-d ajakohastatakse ainult enne sertifitseerimist, mitte pärast uusi kliente, tarnijaid, intsidente, auditileide või regulatiivseid muudatusi.
Need ei ole paberitöö probleemid. Need on juhtimisprobleemid.
Praktiline kontrollnimekiri auditivalmis ISO 27001 SoA jaoks
Kasuta seda kontrollnimekirja enne ISO 27001 sertifitseerimisauditit, NIS2 valmisoleku läbivaatamist, DORA kliendihindamist, juhatuse koosolekut või investori taustakontrolli.
| Kontrollpunkt | Hea vastus |
|---|---|
| Kohaldamisala | ISMS-i kohaldamisala kajastab teenuseid, kliente, andmeid, tarnijaid, sisseostetud liideseid ja reguleeritud sõltuvusi |
| Huvitatud pooled | NIS2, DORA kliendid, GDPR-i rollid, regulaatorid, kliendid, tarnijad ja sisemised sidusrühmad on tuvastatud |
| Vastavusregister | Õiguslikud, regulatiivsed, lepingulised ja kliendikohustused on vastendatud poliitikate, kontrollimeetmete ja omanikega |
| Riskikriteeriumid | Õiguslikud, operatiivsed, privaatsus-, tarnija-, toimepidevus-, finants- ja mainega seotud mõjud on kaasatud |
| Riskiregister | Iga risk sisaldab kirjeldust, tõenäosust, mõju, skoori, omanikku, riski käsitlemise plaani ja jääkriski |
| SoA kaasamine | Igal kohaldataval kontrollimeetmel on põhjendus, mis on seotud riski, kohustuse, kohaldamisala, lepingu või infoturbe baastasemega |
| SoA välistamine | Igal välistatud kontrollimeetmel on konkreetne, heaks kiidetud ja tõenditel põhinev põhjendus ning läbivaatamise alus |
| Tõendusmaterjal | Igal kohaldataval kontrollimeetmel on poliitika, protseduuri, konfiguratsiooni, aruande, testi, pileti, logi, läbivaatamise või kirje tõendusmaterjal |
| Juhtkonna heakskiit | Riskiomanikud kiidavad heaks käsitlusplaanid ja jääkriskid ning juhtkond vaatab läbi ISMS-i toimivuse |
| Sõltumatu läbivaatamine | Siseaudit või sõltumatu läbivaatamine testib SoA täpsust, tõendusmaterjali kvaliteeti ja rakendamise tegelikkust |
| Ajakohastamise alused | SoA-d ajakohastatakse pärast teenusemuudatusi, tarnijamuudatusi, intsidente, uusi kliente, regulatsioonimuudatusi või auditileide |
Muuda SoA kaitstavaks vastavussillaks
Elena juhatuse ettekanne õnnestus, sest ta ei esitanud kolme omavahel seostamata vastavusprojekti. Ta esitas ühe kontrollitud ja tõenduspõhise toimimismudeli, mis põhineb ISO/IEC 27001:2022-l ning kus SoA on sild regulatsiooni, riski, kontrollimeetmete rakendamise, tõendusmaterjali ja juhtkonna järelevalve vahel.
NIS2 ja DORA ei muuda ISO 27001 standardit aegunuks. Need muudavad hästi üles ehitatud ISO 27001 kohaldatavusdeklaratsiooni väärtuslikumaks. SoA võib muutuda üheks kohaks, kus sinu organisatsioon selgitab, miks kontrollimeetmed on olemas, miks välistused on kaitstavad, kuidas tõendusmaterjali säilitatakse, kuidas tarnijaid juhitakse, kuidas intsidente eskaleeritakse ja kuidas juhtkond teab, et ISMS toimib.
Sinu vahetu tegevus on lihtne:
- Ava oma praegune SoA.
- Vali viis kohaldatavaks märgitud kontrollimeedet ja küsi: „Milline risk, kohustus või leping seda põhjendab?“
- Vali viis välistust ja küsi: „Kas see oleks endiselt mõistlik NIS2, DORA, GDPR või ISO/IEC 27001:2022 audiitori jaoks?“
- Kontrolli, kas igal kohaldataval kontrollimeetmel on ajakohane tõendusmaterjal.
- Kinnita, et juhtkond on heaks kiitnud jääkriskid ja SoA otsused.
- Ajakohasta vastavusregistrit, riskiregistrit ja SoA-d alati, kui teenused, tarnijad, kliendid, regulatsioonid või intsidendid muutuvad.
Clarysec aitab organisatsioonidel seda teha Zenith Blueprinti Zenith Blueprint, Zenith Controls Zenith Controls, ettevõtte ja SME poliitikakomplektide, riskiregistri tööriistade, SoA mallide, auditi ettevalmistuse ning NIS2, DORA, GDPR, NIST CSF 2.0, COBIT 2019 ja kliendikindluse ristvastenduse kaudu.
Kui sinu SoA ei suuda vastata, miks kontrollimeede on olemas, kes seda omab, milline tõendusmaterjal seda tõendab ja millist kohustust see toetab, ei ole see veel valmis. Kasuta Clarysec’i, et muuta see auditivalmis vastavussillaks enne, kui regulaator, audiitor või klient esitab samad küsimused esimesena.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
