NIS2 küberhügieeni tõendusmaterjal vastendatuna ISO 27001-ga
On esmaspäev, kell 08.40. Sarah, kiiresti kasvava B2B SaaS-teenusepakkuja infoturbejuht, liitub juhtkonna kõnega, oodates tavapärast avatud riskimaandustegevuste ülevaatust. Selle asemel alustab peajurist palju teravama küsimusega:
„Kui riiklik pädev asutus palub meil homme tõendada NIS2 Article 21 küberhügieeni ja küberturvalisuse koolitust, mida me täpselt saadame?“
HR-direktor ütleb, et kõik töötajad läbisid iga-aastase teadlikkuse koolituse. SOC-i juht ütleb, et andmepüügi simulatsioonide tulemused paranevad. IT-käituse juht ütleb, et MFA on jõustatud, varukoopiaid testitakse ja paikamist jälgitakse. Vastavusjuht ütleb, et ISO/IEC 27001:2022 auditifail sisaldab koolituskirjeid, kuid DORA projektitiimil on oma tegevuskerksuse koolituse tõendusmaterjal ning GDPR kaustas on eraldi privaatsusteadlikkuse logid.
Kõik on tööd teinud. Keegi ei ole kindel, et tõendusmaterjal räägib ühtset lugu.
See ongi tegelik NIS2 Article 21 probleem elutähtsate ja oluliste üksuste jaoks. Nõue ei piirdu lihtsalt kasutajate koolitamisega. Article 21 nõuab asjakohaseid ja proportsionaalseid tehnilisi, operatiivseid ja organisatsioonilisi meetmeid küberriski juhtimiseks. Selle minimaalne kontrollimeetmete kogum hõlmab küberhügieeni ja küberturvalisuse koolitust, kuid ka intsidentide käsitlemist, talitluspidevust, tarneahela turvalisust, haavatavuste käsitlemist, krüptograafiat, personaliturvet, juurdepääsukontrolli, varahaldust, MFA-d või pidevat autentimist, turvalist sidet ning protseduure tõhususe hindamiseks.
Küberhügieen ei ole teadlikkuse tõstmise kampaania. See on igapäevane tegevusdistsipliin, mis seob inimesed, kontrollimeetmed, tõendusmaterjali ja juhtkonna vastutuse.
Infoturbejuhtide, vastavusjuhtide, MSP-de, SaaS-teenusepakkujate, pilveoperaatorite ja digitaalsete teenuste osutajate jaoks ei ole praktiline vastus eraldi „NIS2 koolitusprojekti“ loomine. Tugevam lähenemine on luua ISO/IEC 27001:2022 ISMS-i sees üks auditeerimisvalmis tõendusmaterjali ahel, mida toetavad ISO/IEC 27002:2022 kontrollimeetmete praktikad, mille riske juhitakse ISO/IEC 27005:2022 alusel ning mis on ristviidatud NIS2, DORA, GDPR, NIST-laadse kindluse andmise ja COBIT 2019 juhtimisootustega.
Miks NIS2 Article 21 muudab koolituse juhtorgani tõendusmaterjaliks
NIS2 kohaldub paljudele keskmistele ja suurtele üksustele Annex I ja Annex II sektorites, mis osutavad teenuseid või tegutsevad liidus. Tehnoloogiaettevõtete puhul võib kohaldamisala olla laiem, kui paljud juhtkonnad eeldavad. Annex I hõlmab digitaalset taristut, sealhulgas pilveteenuse pakkujaid, andmekeskusteenuse pakkujaid, sisuedastusvõrgu pakkujaid, usaldusteenuse pakkujaid, DNS-teenuse pakkujaid ja TLD registreid. Annex I hõlmab ka B2B IKT-teenuste haldust, sealhulgas hallatud teenuse pakkujaid ja hallatud turbeteenuse pakkujaid. Annex II hõlmab digiteenuse pakkujaid, näiteks veebipõhiseid kauplemiskohti, veebipõhiseid otsingumootoreid ja sotsiaalvõrgustiku teenuse platvorme.
Mõned üksused võivad kuuluda kohaldamisalasse sõltumata suurusest, sealhulgas teatud DNS-teenuse pakkujad ja TLD registrid. Riiklikud kriitilisuse otsused võivad tuua kohaldamisalasse ka väiksemad teenusepakkujad, kui häire võiks mõjutada avalikku turvalisust, süsteemset riski või elutähtsaid teenuseid.
Article 21(1) nõuab, et elutähtsad ja olulised üksused rakendaksid asjakohaseid ja proportsionaalseid tehnilisi, operatiivseid ja organisatsioonilisi meetmeid, et juhtida riske võrgu- ja infosüsteemidele, mida kasutatakse tegevuseks või teenuste osutamiseks, ning ennetada või minimeerida intsidendi mõju. Article 21(2) loetleb miinimummeetmed, sealhulgas riskianalüüsi ja infosüsteemide turvalisuse poliitikad, intsidentide käsitlemise, talitluspidevuse, tarneahela turvalisuse, turvalise hankimise ja hoolduse, tõhususe hindamise, küberhügieeni põhitegevused ja küberturvalisuse koolituse, krüptograafia, personaliturbe, juurdepääsukontrolli, varahalduse ning vajaduse korral MFA või pideva autentimise.
Article 20 tõstab panuseid. Juhtorganid peavad küberriskide juhtimise meetmed heaks kiitma ja tegema rakendamise üle järelevalvet ning neid võib rikkumiste eest vastutusele võtta. Juhtorganite liikmed peavad läbima koolituse ning üksustel soovitatakse pakkuda töötajatele sarnast regulaarset koolitust, et nad oskaksid riske tuvastada ning hinnata küberturvalisuse riskijuhtimise praktikaid ja nende mõju teenustele.
Article 34 lisab rahalise surve. Article 21 või Article 23 rikkumised võivad kaasa tuua haldustrahvid, mis ulatuvad elutähtsate üksuste puhul vähemalt 10 000 000 euroni või 2%-ni ülemaailmsest aastakäibest ning oluliste üksuste puhul vähemalt 7 000 000 euroni või 1,4%-ni, olenevalt sellest, kumb on suurem.
Seetõttu ei piisa väitest „me tegime iga-aastase teadlikkuse koolituse“. Regulaator, ISO audiitor, kliendi turbehindaja või küberkindlustaja eeldab tõendusmaterjali, et koolitus on rollipõhine, riskipõhine, ajakohane, mõõdetud, intsidentidega seotud ja juhtkonnale mõistetav.
Clarysec’i ettevõtte Infoturbe teadlikkuse ja koolituse poliitika, punkt 5.1.1.3, nõuab, et koolitus:
Hõlmaks teemasid nagu andmepüük, paroolihügieen, intsidentidest teavitamine ja intsidendihaldus, füüsiline turve ning andmekaitse ja andmete minimeerimine
Sama poliitika punkt 8.3.1.1 määratleb tõendusmaterjali rea, mida audiitorid tavaliselt esimesena küsivad:
Koolituse määramise, kinnitamise ja läbimise kirjed
VKE-de jaoks on Clarysec’i Infoturbe teadlikkuse ja koolituse poliitika - VKE, punkt 8.4.1, auditeeritavuse suhtes veelgi otsesem:
Koolituskirjed kuuluvad siseauditi ja välise läbivaatuse alla. Kirjed peavad olema täpsed, täielikud ja taotluse korral tõendatavad (nt ISO sertifitseerimise, GDPR auditi või kindlustuse valideerimise jaoks).
See lause võtab kokku erinevuse teadlikkuse kui HR-tegevuse ja teadlikkuse kui vastavuskontrolli vahel. Kui kirjed on puudulikud, kontrollimatud või rolliriskiga sidumata, võib kontrollimeede operatiivselt olemas olla, kuid auditis läbi kukkuda.
Kasuta ISO/IEC 27001:2022 tõendusmaterjali selgroona
ISO/IEC 27001:2022 on NIS2 Article 21 jaoks loomulik selgroog, sest see sunnib organisatsiooni määratlema kohaldamisala, huvitatud osapooled, riskid, kontrollimeetmed, eesmärgid, tõendusmaterjali, siseauditi, juhtkonna läbivaatuse ja pideva täiustamise.
Punktid 4.1 kuni 4.4 nõuavad, et organisatsioon mõistaks sisemisi ja väliseid küsimusi, määraks huvitatud osapooled ja nende nõuded, määratleks ISMS-i kohaldamisala, arvestaks teiste organisatsioonide tegevusega seotud liideseid ja sõltuvusi ning hoiaks ISMS-i toimimas omavahel seotud protsesside kogumina. SaaS-teenusepakkuja või MSP puhul peaks ISMS-i kohaldamisala selgelt hõlmama NIS2 kohustusi, klientide lepingulisi kohustusi, pilveteenuse pakkuja sõltuvusi, sisseostetud SOC-i katvust, andmetöötlusrolle ja teenuse käideldavuse kohustusi.
Punktid 5.1 kuni 5.3 toovad sisse juhtimisvastutuse. Tippjuhtkond peab viima infoturbepoliitika ja eesmärgid kooskõlla strateegilise suunaga, integreerima ISMS-i nõuded äriprotsessidesse, tagama ressursid, määrama vastutused ning tagama tulemuslikkuse aruandluse. See on otseses kooskõlas NIS2 Article 20-ga, mille kohaselt juhtorganid kinnitavad küberturvalisuse riskijuhtimise meetmed ja teevad nende üle järelevalvet.
Punktid 6.1.1 kuni 6.1.3 ja 6.2 muudavad õiguslikud ootused riskikäsitluseks. Organisatsioon peab kavandama tegevused riskide ja võimaluste käsitlemiseks, kasutama korratavat infoturbe riskihindamise protsessi, määrama riskiomanikud, valima käsitlusvariandid, võrdlema kontrollimeetmeid lisaga A, koostama kohaldatavusdeklaratsiooni (SoA), sõnastama riski käsitlemise plaani, saama riskiomaniku heakskiidu ning seadma mõõdetavad turbe-eesmärgid.
Siin muutub NIS2 Article 21 hallatavaks. Sa ei vaja eraldiseisvat NIS2 teadlikkuse programmi. Sul on vaja vastendatud riski- ja kontrollimeetmete lugu.
| NIS2 nõudevaldkond | ISO/IEC 27001:2022 tõendusmaterjali mehhanism | Praktiline tõendusmaterjal |
|---|---|---|
| Juhtkonna heakskiit ja järelevalve | Punktid 5.1, 5.3, 9.3 | Juhtorgani protokollid, juhtkonna läbivaatuse pakett, rollimäärangud, eelarve kinnitused |
| Küberhügieen ja koolitus | Punkt 7.2, punkt 7.3, lisa A inimeste ja tehnoloogia kontrollimeetmed | Koolitusplaan, LMS-i väljavõtted, rollimaatriks, andmepüügi tulemused, poliitikaga tutvumise kinnitused |
| Riskianalüüs ja turbepoliitika | Punktid 6.1.2, 6.1.3, 6.2 | Riskihindamine, riski käsitlemise plaan, kohaldatavusdeklaratsioon, turbe-eesmärgid |
| Tõhususe hindamine | Punktid 9.1, 9.2, 10.2 | KPI-d, siseauditi tulemused, parandusmeetmed, kontrollimeetmete testimise tulemused |
| Intsidentide käsitlemine ja teavitamisvalmidus | Lisa A intsidendihalduse kontrollimeetmed | Intsidentide tööjuhised, eskalatsioonilogid, lauaõppuste aruanded, tõendusmaterjali säilitamise kirjed |
| Tarneahela ja pilvesõltuvus | Lisa A tarnija- ja pilveteenuste kontrollimeetmed | Tarnijaregister, taustakontroll, lepingud, väljumisplaanid, teenuste läbivaatused |
| Juurdepääs, varahaldus ja MFA | Lisa A juurdepääsu, varade ja identiteedi kontrollimeetmed | Varade register, juurdepääsuõiguste ülevaatused, MFA aruanded, privilegeeritud juurdepääsu tõendusmaterjal |
Punktid 8.1 kuni 8.3, 9.1 kuni 9.3 ja 10.1 kuni 10.2 lõpetavad tegevustsükli. Need nõuavad kavandatud tegevusohjet, riski kordushindamist, käsitlusplaanide rakendamist, seiret ja mõõtmist, siseauditit, juhtkonna läbivaatust, pidevat täiustamist ning parandusmeetmeid. ISO/IEC 27001:2022 muutub NIS2 Article 21 tõendusmaterjali mootoriks, mitte pelgalt sertifitseerimismärgiks.
Tõlgi küberhügieen ISO kontrollimeetmete ankruteks
„Küberhügieen“ on meelega lai mõiste. Audiitorite jaoks tuleb see muuta konkreetseteks ja testitavateks kontrollimeetmeteks. Clarysec alustab NIS2 Article 21 küberhügieeni tõendusmaterjali tavaliselt kolme praktilise kontrollimeetme ankruga standardist ISO/IEC 27002:2022, mida tõlgendatakse Zenith Controls: The Cross-Compliance Guide kaudu.
Esimene ankur on ISO/IEC 27002:2022 kontrollimeede 6.3, infoturbe teadlikkus, haridus ja koolitus. Zenith Controls käsitleb 6.3 ennetava kontrollimeetmena, mis toetab konfidentsiaalsust, terviklust ja käideldavust. Selle operatiivne võimekus on personaliturve ja selle küberturvalisuse kontseptsioon on kaitse. See raamib teadlikkuse kaitsekontrollina, mitte kommunikatsiooniharjutusena.
Zenith Controls näitab ka, kuidas 6.3 sõltub teistest kontrollimeetmetest ja tugevdab neid. See seostub 5.2 infoturbe rollide ja vastutustega, sest koolitus peab kajastama määratud vastutusi. See seostub 6.8 infoturbesündmustest teatamisega, sest töötajad ei saa teatada sellest, mida nad ära ei tunne. See seostub 8.16 seiretegevustega, sest SOC-i analüütikud ja käituspersonal vajavad koolitust anomaaliate äratundmiseks ja reageerimisprotokollide järgimiseks. See seostub 5.36 vastavusega infoturbe poliitikatele, reeglitele ja standarditele, sest poliitikad toimivad ainult siis, kui inimesed neist aru saavad.
Nagu Zenith Controls ütleb ISO/IEC 27002:2022 kontrollimeetme 6.3 kohta:
Vastavus sõltub teadlikkusest. 6.3 tagab, et töötajad on turbepoliitikatest teadlikud ja mõistavad oma isiklikku vastutust nende järgimisel. Regulaarne haridus ja koolitus maandavad teadmatusest tulenevate tahtmatute poliitikarikkumiste riski.
Teine ankur on ISO/IEC 27002:2022 kontrollimeede 5.10, teabe ja muu seotud vara lubatud kasutus. Küberhügieen sõltub sellest, kas inimesed mõistavad, mida nad võivad teha lõppseadmete, pilveketaste, SaaS-tööriistade, koostööplatvormide, eemaldatavate andmekandjate, tootmisandmete, testandmete ja tehisintellekti toega tööriistadega. Zenith Controls vastendab 5.10 ennetava kontrollimeetmena varahalduse ja teabekaitse lõikes. Praktikas ei ole lubatud kasutuse tõendusmaterjal ainult allkirjastatud poliitika. See hõlmab tõendeid, et poliitika katab tegeliku varade kogumi, tööle asumine sisaldab kinnitust, seire toetab rakendamist ning erandeid käsitletakse.
Kolmas ankur on ISO/IEC 27002:2022 kontrollimeede 5.36, vastavus infoturbe poliitikatele, reeglitele ja standarditele. See on auditiga seostamise sild. Zenith Controls vastendab 5.36 ennetava juhtimise ja kindluse kontrollimeetmena. See seostub 5.1 infoturbepoliitikatega, 6.4 distsiplinaarmenetlusega, 5.35 infoturbe sõltumatu läbivaatusega, 5.2 rollide ja vastutustega, 5.25 infoturbesündmuste hindamise ja otsustamisega, 8.15 logimisega, 8.16 seiretegevustega ning 5.33 kirjete kaitsega.
NIS2 Article 21 jaoks on see kriitiline. Regulaatorid ja audiitorid ei küsi ainult seda, kas poliitika on olemas. Nad küsivad, kas järgimist seiratakse, rikkumised tuvastatakse, tõendusmaterjal on kaitstud, parandusmeetmeid rakendatakse ja juhtkond näeb tulemusi.
Koosta NIS2 küberhügieeni ja koolituse tõendusmaterjali pakett
Vaatame keskmise suurusega SaaS-teenusepakkujat, kes valmistub nii NIS2 valmisolekuks kui ka ISO/IEC 27001:2022 järelevalveauditiks. Organisatsioonis on 310 töötajat, sealhulgas arendajad, SRE-d, klienditoe töötajad, müügipersonal, töövõtjad ja tippjuhid. Ettevõte osutab EL-i klientidele pilvepõhiseid töövooteenuseid ning sõltub hüperskaala pilveteenuse pakkujast, kahest identiteediplatvormist, sisseostetud MDR-teenusepakkujast ja mitmest alltöövõtuna kasutatavast tugivahendist.
Vastavusjuhil on LMS-ist koolituste väljavõtted, kuid need ei ole seotud NIS2 Article 21, ISO kontrollimeetmete, äriliste rollide ega riskistsenaariumidega. Praktiline parandusmeetmete sprint loob kuuest komponendist koosneva küberhügieeni ja koolituse tõendusmaterjali paketi.
| Tõendusmaterjali komponent | Mida see tõendab | Omanik | Audititest |
|---|---|---|---|
| Rollipõhine koolitusmaatriks | Koolitus vastab vastutustele ja riskikokkupuutele | ISMS-i juht ja HR | Vali rollide valim ja kontrolli, kas nõutud moodulid määrati |
| Iga-aastane koolitusplaan | Kompetents ja teadlikkus on kavandatud, mitte vajaduspõhised | ISMS-i juht | Kontrolli kuupäevi, teemasid, sihtrühma, heakskiitu ja läbimise sihttasemeid |
| LMS-i läbimise väljavõte | Personal läbis määratud koolituse | HR või personalitoimingud | Võrdle töötajate loendit läbimisaruandega, tööleasujate ja lahkujatega |
| Andmepüügi simulatsiooni aruanne | Teadlikkuse tõhusust mõõdetakse | Turbeoperatsioonid | Vaata läbi kampaania tulemused, korduvad klikkijad ja parandusõpe |
| Poliitikaga tutvumise kinnituste logi | Personal aktsepteeris reeglid ja vastutused | HR ja vastavus | Kinnita turbe-, lubatud kasutuse ja intsidentidest teatamise poliitikate kinnitus |
| Juhtkonna läbivaatuse kokkuvõte | Juhtkond teeb suundumuste ja parandusmeetmete üle järelevalvet | CISO ja täitevponsor | Kontrolli, et protokollid sisaldaksid mõõdikuid, erandeid, riske ja otsuseid |
Võti on jälgitavus.
Alusta NIS2 Article 21(2)(g)-st: küberhügieeni põhitegevused ja küberturvalisuse koolitus. Seo see ISO/IEC 27001:2022 punktidega 7.2 ja 7.3 kompetentsi ja teadlikkuse kohta, punktidega 9.1 ja 9.2 seire ja auditi kohta ning lisa A kontrollimeetmetega, sealhulgas teadlikkus, lubatud kasutus, haavatavuste haldus, konfiguratsioonihaldus, varukoopiad, logimine, seire, krüptograafia, juurdepääsukontroll ja intsidendihaldus. Seejärel seo tõendusmaterjal riskiregistriga.
| Rollirühm | NIS2 küberhügieeni risk | Nõutav koolitus | Tõendusmaterjal |
|---|---|---|---|
| Kõik töötajad | Andmepüük, nõrgad paroolid, puudulik intsidentidest teatamine, andmete väärkäitlemine | Turvateadlikkuse baaskoolitus, paroolihügieen, MFA, andmekaitse, intsidentidest teavitamine | LMS-i läbimine, viktoriini skoor, poliitikaga tutvumise kinnitus |
| Tippjuhid | Riski aktsepteerimine, õiguslik vastutus, kriisiotsused, aruandluse järelevalve | Juhtimiskohustused, NIS2 juhtkonna vastutused, intsidendi eskaleerimine, riskivalmidus | Tippjuhtide töötoa osalemine, juhtorgani pakett, otsuste logi |
| Arendajad | Haavatavused, ebaturvaline kood, saladuste avalikustumine, ebaturvalised testandmed | Turvaline programmeerimine, sõltuvuste haldus, haavatavuste avalikustamine, andmete minimaalsus | Koolituskirje, turvalise SDLC kontrollnimekiri, koodi läbivaatuse näidised |
| SRE ja IT-käitus | Väärkonfiguratsioonid, paikamise viivitus, varunduse tõrge, logimislüngad | Paigahaldus, turvaline seadistamine, varukoopia taastamine, seire, intsidentidele reageerimine | Paikamisaruanne, varundustest, SIEM-i teavituse tõendusmaterjal, lauaõppuse aruanne |
| Klienditugi | Sotsiaalne manipulatsioon, loata avalikustamine, privaatsusrikkumine | Identiteedi kontroll, andmete käitlemine, eskaleerimine, rikkumisest teavitamine | CRM-i juurdepääsuõiguste ülevaatus, koolituskirje, toe QA näidis |
| Juurdepääsuga töövõtjad | Ebaselged kohustused, haldamata juurdepääs, andmeleke | Lühendatud turbe sisseelamine, lubatud kasutus, teavituskanal | Töövõtja kinnitus, juurdepääsu heakskiit, lahkumisprotsessi tõendusmaterjal |
Ettevõtte Infoturbe teadlikkuse ja koolituse poliitika toetab seda struktuuri. Punkt 5.1.2.4 hõlmab selgelt tippjuhtide koolitusteemasid:
Tippjuhid (nt juhtimine, riski aktsepteerimine, õiguslikud kohustused)
See rida on NIS2 Article 20 alusel oluline, sest juhtkonna koolitus ei ole valikuline. Kui juhtorgan kinnitab riskijuhtimismeetmed, kuid ei suuda selgitada riski aktsepteerimist, intsidendilävendeid või järelevalverutiine, katkeb tõendusmaterjali ahel.
Clarysec’i Infoturbe poliitika - VKE, punkt 6.4.1, näitab, kuidas küberhügieen muutub igapäevaseks kontrollikäitumiseks:
Kohustuslikke turbekontrolle tuleb rakendada järjepidevalt, sealhulgas regulaarseid varukoopiaid, viirusetõrje uuendusi, tugevaid paroole ja tundlike dokumentide turvalist kõrvaldamist.
See on VKE-dele sobiv lühike sõnastus praktilisest küberhügieenist. Audiitor soovib siiski tõendusmaterjali, näiteks varundustööde aruandeid, EDR-i katvust, parooli- või MFA konfiguratsiooni ning turvalise kõrvaldamise logisid, kuid poliitika kehtestab eeldatava käitumise.
Kaardista NIS2 Article 21 auditi tõendusmaterjaliga
Audiitorid testivad kontrollimeetme toimimist, mitte loosungeid. Nad järgivad kuldset niiti õigusnõudest ISMS-i kohaldamisala, riskihindamise, kohaldatavusdeklaratsiooni, poliitika, protseduuri, tõendusmaterjali ja juhtkonna läbivaatuseni.
| NIS2 Article 21 valdkond | ISO/IEC 27001:2022 või ISO/IEC 27002:2022 vastendus | Clarysec’i viide | Peamine auditi tõendusmaterjal |
|---|---|---|---|
| Küberturvalisuse koolitus | Punkt 7.2, punkt 7.3, A.6.3 infoturbe teadlikkus, haridus ja koolitus | Infoturbe teadlikkuse ja koolituse poliitika | Koolituspoliitika, iga-aastane plaan, LMS-i kirjed, andmepüügi tulemused, sisseelamise kontrollnimekiri, juhtorgani koolituse protokollid |
| Lubatud küberhügieenikäitumine | A.5.10 teabe ja muu seotud vara lubatud kasutus | Infoturbe poliitika - VKE | Lubatud kasutuse kinnitus, sisseelamise kirjed, erandikirjed, seire tõendusmaterjal |
| Haavatavuste ja paikamise hügieen | A.8.8 tehniliste haavatavuste haldus | Zenith Blueprint samm 19 | Haavatavuste skannimised, paikamisaruanded, parandusmeetmete piletid, riski aktsepteerimise kirjed |
| Turvaline seadistamine | A.8.9 konfiguratsioonihaldus | Zenith Blueprint samm 19 | Turvalised lähtealused, konfiguratsiooniülevaatused, muudatuste heakskiidud, triiviaruanded |
| Toimepidevus ja taastamine | A.8.13 teabe varundamine | Infoturbe poliitika - VKE | Varunduslogid, taastamistestid, varundustõrgete ülevaatused, taastamise tõendusmaterjal |
| Tuvastamine ja reageerimine | A.8.15 logimine, A.8.16 seiretegevused, A.6.8 infoturbesündmustest teatamine | Zenith Controls | SIEM-i teavitused, seireprotseduurid, intsidentidest teatamise koolitus, lauaõppuste tulemused |
| Krüptograafiline kaitse | A.8.24 krüptograafia kasutamine | ISO/IEC 27001:2022 lisa A | Krüptimisstandardid, võtmehalduse tõendusmaterjal, TLS-i konfiguratsioon, andmekandjate krüptimise aruanded |
| Tõendusmaterjali terviklus | A.5.33 kirjete kaitse | Zenith Controls | Hallatud auditikaustad, ekspordi ajatemplid, säilitamisreeglid, juurdepääsulogid |
Regulaator ei pruugi kasutada ISO terminoloogiat, kuid tõendusmaterjali rada jääb samaks. Näita, et nõue on tuvastatud, riskihinnatud, käsitletud, rakendatud, seiratud, juhtkonnale raporteeritud ja täiustatud.
Kasuta Zenith Blueprinti, et liikuda plaanist tõendusmaterjalini
Zenith Blueprint: An Auditor’s 30-Step Roadmap annab tiimidele praktilise tee kavatsusest tõendusmaterjalini. ISMS-i vundamendi ja juhtimise etapis, 5. samm „Kommunikatsioon, teadlikkus ja kompetents“, juhendab Blueprint organisatsioone tuvastama nõutavad kompetentsid, hindama olemasolevaid kompetentse, pakkuma koolitust puudujääkide katmiseks, säilitama kompetentsikirjeid ning käsitlema kompetentsi pideva tegevusena.
Blueprinti tegevuspunkt on teadlikult operatiivne:
Tee kiire koolitusvajaduse analüüs. Loetle peamised ISMS-i rollid (4. sammust) ning kirjuta igaühe kohta üles teadaolev koolitus või sertifikaat ja milline täiendav koolitus võiks olla kasulik. Loetle ka üldised turvateadlikkuse teemad, mida vajavad kõik töötajad. Selle põhjal koosta järgmiseks aastaks lihtne koolitusplaan – nt „Q1: turvateadlikkus kõigile töötajatele; Q2: edasijõudnute intsidentidele reageerimise koolitus IT-le; Q3: ISO 27001 siseaudiitori koolitus kahele tiimiliikmele; …“.
Kontrollimeetmete rakendamise etapis, 15. samm „Inimressursside kontrollid I“, soovitab Zenith Blueprint kohustuslikku iga-aastast koolitust kõigile töötajatele, rollipõhiseid mooduleid, uue töötaja turbealast sisseelamist esimese nädala jooksul, simuleeritud õngitsuskampaaniaid, uudiskirju, meeskonnabriifinguid, osalemise tõendusmaterjali, sihipäraseid turvateateid pärast esilekerkivaid ohte ning koolitust juurdepääsuga töövõtjatele või kolmandatele osapooltele.
samm „Inimressursside kontrollid II“ hoiatab, et audiitorid testivad rakendamist, mitte ainult dokumentatsiooni. Kaugtöö puhul võivad audiitorid küsida kaugtööpoliitikat, VPN-i või lõppseadme krüptimise tõendusmaterjali, MDM-i rakendamist, BYOD-piiranguid ning koolituskirjeid, mis näitavad kaugtöö ettevaatusabinõude käsitlemist. Kui hübriidtöö on tegevusmudeli osa, peaks NIS2 koolituse tõendusmaterjal hõlmama turvalist Wi-Fi kasutust, seadmete lukustamist, heaks kiidetud salvestuskohti, MFA-d ja kodukeskkonnast kahtlasest tegevusest teatamist.
samm „Tehnoloogilised kontrollimeetmed I“ seob küberhügieeni tehnilise kontrollikihiga. Zenith Blueprint soovitab läbi vaadata paikamisaruanded, haavatavuste skannimised, turvalised lähtealused, EDR-i katvuse, pahavaralogid, DLP teavitused, varukoopiate taastamised, dubleerimise tõendusmaterjali, logimise parendused ja aja sünkroniseerimise. Article 21(2)(g) ei saa hinnata eraldi. Koolitatud tööjõud vajab endiselt paigatud lõppseadmeid, seiratud logisid, testitud varukoopiaid ja turvalisi konfiguratsioone.
Muuda koolitusplaan ISO/IEC 27005:2022 abil riskipõhiseks
Levinud auditi nõrkus on üldine koolitusplaan, mis näeb arendajate, finantstöötajate, klienditoe, tippjuhtide ja töövõtjate jaoks välja ühesugune. ISO/IEC 27005:2022 aitab seda nõrkust vältida, muutes koolituse riskikäsitluse osaks.
Punkt 6.2 soovitab tuvastada asjakohaste huvitatud osapoolte põhinõuded ja vastavuse staatuse, sealhulgas ISO/IEC 27001:2022 lisa A, muud ISMS-i standardid, sektoripõhised nõuded, riiklikud ja rahvusvahelised regulatsioonid, sisemised turbereeglid, lepingulised turbekontrollid ning varasema riskikäsitluse kaudu juba rakendatud kontrollimeetmed. See toetab ühtset nõuete registrit eraldi NIS2, ISO, DORA, GDPR, kliendi- ja kindlustustabelite asemel.
Punktid 6.4.1 kuni 6.4.3 selgitavad, et riski aktsepteerimise ja hindamise kriteeriumid peaksid arvestama õiguslikke ja regulatiivseid aspekte, tegevusprotsesse, tarnijasuhteid, tehnoloogilisi ja finantspiiranguid, privaatsust, mainekahju, lepingurikkumisi, teenustaseme rikkumisi ning mõju kolmandatele osapooltele. Andmepüügi intsident, mis mõjutab sisemist uudiskirjasüsteemi, erineb konto kompromiteerimisest, mis mõjutab hallatud turbeteenust, klienditoe platvormi, makseliidesega integratsiooni või DNS-toimingut.
Punktid 7.1 kuni 7.2.2 nõuavad järjepidevat ja korratavat riskihindamist, sealhulgas konfidentsiaalsuse, tervikluse ja käideldavuse riske ning nimelisi riskiomanikke. Punktid 8.2 kuni 8.6 juhivad seejärel käsitlusvariandi valikut, kontrollimeetmete määramist, võrdlust lisaga A, kohaldatavusdeklaratsiooni dokumenteerimist ja käsitlusplaani üksikasju.
Koolitus on üks käsitlusmeede, kuid mitte ainus. Kui korduvad andmepüügi simulatsioonid näitavad, et finantskasutajad on haavatavad arvepettuse suhtes, võib käsitlusplaan hõlmata korduskoolitust, tugevamat maksete kinnitamise töövoogu, tingimuslikku juurdepääsu, postkastireeglite seiret ja tippjuhtidele suunatud pettusestsenaariumide õppusi.
Punktid 9.1, 9.2, 10.4.2, 10.5.1 ja 10.5.2 rõhutavad kavandatud kordushindamist, dokumenteeritud meetodeid, tõhususe seiret ning uuendusi uute haavatavuste, varade, tehnoloogia kasutuse, seaduste, intsidentide või riskivalmiduse muutumisel. See tõendab, et organisatsioon ei külmuta oma koolitusplaani kord aastas.
Kasuta sama tõendusmaterjali NIS2, DORA, GDPR, NIST ja COBIT jaoks
Tugevaim NIS2 tõendusmaterjali pakett peaks toetama mitut kindluse andmise vestlust.
NIS2 Article 4 tunnistab, et sektoripõhised liidu õigusaktid võivad asendada vastavad NIS2 riskijuhtimise ja aruandluse kohustused, kui nende mõju on vähemalt samaväärne. Põhjendus 28 määratleb DORA kohaldamisalasse kuuluvate finantsüksuste sektoripõhise režiimina. Hõlmatud finantsüksuste puhul kohaldatakse DORA IKT-riski juhtimist, intsidendihaldust, tegevuskerksuse testimist, teabejagamist ja IKT kolmanda osapoole riski reegleid vastavate NIS2 sätete asemel. NIS2 jääb väga oluliseks DORA-st väljaspool olevatele üksustele ning IKT kolmandate osapoolte teenuseosutajatele, näiteks pilveteenuse pakkujatele, MSP-dele ja MSSP-dele.
DORA tugevdab sama juhtimissüsteemi loogikat. Articles 4 kuni 6 nõuavad proportsionaalset IKT-riski juhtimist, juhtorgani vastutust, selgeid IKT-rolle, digitaalse tegevuskerksuse strateegiat, IKT auditiplaane, eelarveid ning teadlikkuse või koolituse ressursse. Articles 8 kuni 13 nõuavad varade ja sõltuvuste tuvastamist, kaitset ja ennetust, juurdepääsukontrolle, tugevat autentimist, varukoopiaid, talitluspidevust, reageerimist ja taastamist, intsidendijärgset õppimist, kõrgema taseme IKT-aruandlust ning kohustuslikku IKT-turbeteadlikkuse ja digitaalse tegevuskerksuse koolitust. Articles 17 kuni 23 nõuavad struktureeritud intsidendihaldust, klassifitseerimist, eskaleerimist ja kliendikommunikatsiooni. Articles 24 kuni 30 seovad testimise tarnijajuhtimise, taustakontrolli, lepingute, auditeerimisõiguste ja väljumisstrateegiatega.
GDPR lisab privaatsuse vastutuse kihi. Article 5 nõuab terviklust ja konfidentsiaalsust asjakohaste tehniliste ja korralduslike meetmete kaudu ning Article 5(2) nõuab, et vastutavad töötlejad tõendaksid vastavust. Article 6 nõuab töötlemiseks õiguslikku alust, samal ajal kui Articles 9 ja 10 seavad rangemad kaitsemeetmed eriliiki andmete ja süüteoasjadega seotud andmete jaoks. SaaS-teenusepakkuja puhul peaks koolituse tõendusmaterjal hõlmama privaatsust, andmete minimaalsust, turvalist avalikustamist, rikkumise eskaleerimist ja kliendiandmete rollipõhist käitlemist.
NIST-laadsed ja COBIT 2019 auditi vaatenurgad esinevad sageli kliendikindluse, siseauditi ja juhtorgani aruandluse puhul. NIST-laadne hindaja küsib tavaliselt, kas teadlikkus ja koolitus on riskipõhised, rollipõhised, mõõdetud ning seotud intsidentidele reageerimise, identiteedi, varahalduse ja pideva seirega. COBIT 2019 või ISACA-stiilis audiitor keskendub valitsemisele, vastutusele, tulemusmõõdikutele, juhtkonna järelevalvele, protsessiomanikele ja kooskõlale ettevõtte eesmärkidega.
| Raamistiku vaatenurk | Mis audiitorile oluline on | Ettevalmistatav tõendusmaterjal |
|---|---|---|
| NIS2 Article 21 | Proportsionaalsed küberriskimeetmed, küberhügieen, koolitus, juhtkonna järelevalve | Article 21 vastendus, juhtorgani heakskiit, koolitusplaan, küberhügieeni KPI-d, intsidendivalmiduse tõendusmaterjal |
| ISO/IEC 27001:2022 | ISMS-i kohaldamisala, riskikäsitlus, kompetents, teadlikkus, seire, siseaudit, täiustamine | Kohaldamisala, riskiregister, SoA, kompetentsimaatriks, koolituskirjed, auditiaruanne, parandusmeetmed |
| DORA | IKT-riski elutsükkel, tegevuskerksuse koolitus, testimine, intsidendi klassifitseerimine, IKT kolmanda osapoole risk | IKT-riskiraamistik, tegevuskerksuse koolitus, testitulemused, intsidendiprotseduur, tarnijaregister |
| GDPR | Vastutus, andmekaitse, privaatsusrikkumise teadlikkus, konfidentsiaalsus, andmete minimaalsus | Privaatsuskoolitus, töötlemisrollide kaart, rikkumise eskaleerimise tõendusmaterjal, andmekäitlusprotseduurid |
| NIST-laadne ülevaatus | Rollipõhine teadlikkus, mõõdetav kontrollimeetme toimimine, seire, reageerimine | Rollimaatriks, simulatsioonimõõdikud, juurdepääsu tõendusmaterjal, logimise tõendusmaterjal, lauaõppuste tulemused |
| COBIT 2019 või ISACA ülevaatus | Valitsemine, protsessi omamine, tulemuslikkus, kontrollide tagamine, juhtkonna aruandlus | RACI, KPI juhtpaneel, juhtkonna läbivaatuse protokollid, siseauditi programm, parandusmeetmete jälgimine |
Praktiline kasu on lihtne: üks tõendusmaterjali pakett, mitu auditinarratiivi.
Kuidas audiitorid sama kontrollimeedet testivad
ISO/IEC 27001:2022 audiitor alustab ISMS-ist. Ta küsib, kas kompetentsi- ja teadlikkusnõuded on määratud, kas personal mõistab oma vastutusi, kas kirjeid säilitatakse, kas siseauditid testivad protsessi ning kas juhtkonna läbivaatus arvestab tulemuslikkust ja täiustamist. Audiitor võib võtta töötajate valimi ja küsida, kuidas intsidenti teavitada, kuidas MFA-d kasutatakse, millised on lubatud kasutuse reeglid või mida teha kahtlase e-kirja saamisel.
NIS2 järelevalveline läbivaatus keskendub rohkem tulemustele ja teenuseriskile. Läbivaataja võib küsida, kuidas küberhügieen vähendab teenuse osutamise riski, kuidas juhtkond meetmed heaks kiitis, kuidas koolitus on kohandatud elutähtsatele teenustele, kuidas kaetakse kolmandate osapoolte personal, kuidas hinnatakse tõhusust ning kuidas organisatsioon edastaks olulisi küberohte või intsidente Article 23 alusel. Kuna Article 23 hõlmab oluliste intsidentide puhul varajast hoiatust 24 tunni jooksul ja intsidenditeavitust 72 tunni jooksul, peab koolitus sisaldama äratundmist ja eskaleerimise kiirust.
Finantsüksuse DORA audiitor seob teadlikkuse digitaalse tegevuskerksusega. Ta võib küsida, kas IKT-turbeteadlikkuse ja tegevuskerksuse koolitus on kohustuslik, kas kõrgema taseme IKT-aruandlus jõuab juhtorganini, kas intsidendi klassifitseerimise kriteeriumid on mõistetud, kas kriisikommunikatsiooni on harjutatud ning kas kolmandate osapoolte teenuseosutajad osalevad koolituses, kui see on lepinguliselt asjakohane.
GDPR audiitor või privaatsuse hindaja keskendub sellele, kas personal mõistab isikuandmeid, töötlemisrolle, konfidentsiaalsust, rikkumise tuvastamist, rikkumise eskaleerimist, andmete minimaalsust ja turvalist avalikustamist. Ta eeldab, et koolitus erineb klienditoe, HR-i, arendajate ja administraatorite puhul, sest need rollid loovad erinevaid privaatsusriske.
COBIT 2019 või ISACA siseaudiitor küsib, kes protsessi omab, milliseid eesmärke see toetab, kuidas tulemuslikkust mõõdetakse, millised erandid eksisteerivad, kas parandusmeetmeid jälgitakse ning kas juhtkond saab sisulist aruandlust, mitte edevusmõõdikuid.
Levinud NIS2 koolitusvalmiduse leiud
Kõige sagedasem leid on ebatäielik populatsiooni katvus. LMS-i aruanne näitab 94% läbimist, kuid puuduv 6% sisaldab privilegeeritud administraatoreid, töövõtjaid või uusi töötajaid. Audiitorid ei aktsepteeri protsenti, teadmata, kes on puudu ja miks.
Teine leid on rollitundlikkuse puudumine. Kõik saavad sama iga-aastase mooduli, kuid arendajaid ei koolitata turvalises programmeerimises, klienditoe töötajaid identiteedi kontrollis ning tippjuhte juhtimiskohustustes või kriisiotsustes. NIS2 Article 20 ja Article 21 muudavad selle raskesti kaitstavaks.
Kolmas leid on nõrk tõhususe tõendusmaterjal. Läbimine ei ole sama mis arusaamine või käitumise muutus. Audiitorid ootavad üha sagedamini viktoriinide skoore, andmepüügi trende, intsidentidest teatamise trende, lauaõppuste õppetunde, korduvate eksimuste vähenemist ja parandusmeetmeid.
Neljas leid on tehnilise hügieeni lahutatus. Koolitus ütleb „teata kahtlasest tegevusest“, kuid testitud teavituskanalit ei ole. Koolitus ütleb „kasuta MFA-d“, kuid teenusekontod mööduvad MFA-st. Koolitus ütleb „kaitse andmeid“, kuid tootmisandmed ilmuvad testkeskkondadesse. Article 21 ootab kontrollisüsteemi, mitte loosungeid.
Viies leid on halb kirjete terviklus. Tõendusmaterjali hoitakse muudetavas arvutustabelis, millel puudub omanik, ekspordi ajatempel, juurdepääsukontroll või võrdlus HR-kirjetega. ISO/IEC 27002:2022 kontrollimeetmete seosed Zenith Controls-is viitavad põhjusega kirjete kaitsele. Tõendusmaterjal peab olema usaldusväärne.
10-päevane parandusmeetmete sprint auditeerimisvalmis tõendusmaterjali jaoks
Kui organisatsioon on surve all, alusta fokusseeritud sprindiga.
| Päev | Tegevus | Väljund |
|---|---|---|
| Päev 1 | Kinnita NIS2 kohaldatavus ja teenuse kohaldamisala | Elutähtsa või olulise üksuse otsus, kohaldamisalasse kuuluvad teenused, tugifunktsioonid |
| Päev 2 | Koosta nõuete register | NIS2 Articles 20, 21, 23, ISO punktid, lisa A kontrollimeetmed, GDPR, DORA, lepingud, kindlustusnõuded |
| Päev 3 | Loo rollipõhine koolitusmaatriks | Koolitus seostatud ametiperede, privilegeeritud juurdepääsu, arendajate, toe, töövõtjate ja tippjuhtidega |
| Päev 4 | Seo koolitus riskistsenaariumidega | Andmepüük, konto kompromiteerimine, andmeleke, lunavara, väärkonfiguratsioonid, tarnija kompromiteerimine, privaatsusrikkumine |
| Päev 5 | Kogu tõendusmaterjal | LMS-i väljavõtted, kinnitused, andmepüügi aruanded, sisseelamise kirjed, töövõtjate kirjed, tippjuhtide osalemine |
| Päev 6 | Võrdle tõendusmaterjali | Koolituspopulatsioon kontrollitud HR-kirjete, identiteedirühmade, privilegeeritud kontode ja töövõtjate loendite vastu |
| Päev 7 | Testi töötajate arusaamist | Intervjuumärkmed, mis näitavad, et personal teab intsidentidest teatamist, MFA ootusi, kahtlase e-kirja käsitlemist ja andmereegleid |
| Päev 8 | Vaata üle tehnilise hügieeni kontrollimeetmed | MFA, varukoopiad, EDR, paikamine, haavatavuste skannimine, logimine, seire, turvalise konfiguratsiooni tõendusmaterjal |
| Päev 9 | Koosta juhtkonna läbivaatuse pakett | Läbimine, erandid, andmepüügi trendid, avatud tegevused, kõrge riskiga rollid, intsidendid, eelarvevajadused |
| Päev 10 | Uuenda riski käsitlemise plaani ja SoA-d | Jääkrisk, omanikud, tähtajad, tõhususmeetmed, kohaldatavusdeklaratsiooni uuendused |
See sprint annab kaitstava tõendusmaterjali baastaseme. See ei asenda ISMS-i pidevat toimimist, kuid loob struktuuri, mida regulaatorid ja audiitorid ootavad.
Milline näeb hea välja
Küpsel NIS2 Article 21 küberhügieeni ja koolituse programmil on viis tunnust.
Esiteks on see juhtorganile nähtav. Juhtkond kiidab lähenemise heaks, näeb sisukaid mõõdikuid, mõistab jääkriski ja rahastab täiustamist.
Teiseks on see riskipõhine. Koolitus erineb rolli, teenuse kriitilisuse, juurdepääsutaseme, andmekokkupuute ja intsidendivastutuse järgi.
Kolmandaks juhib seda tõendusmaterjal. Läbimiskirjed, kinnitused, simulatsioonid, lauaõppused, tehnilise hügieeni aruanded ja parandusmeetmed on täielikud, võrreldud ja kaitstud.
Neljandaks arvestab see mitme vastavusnõudega. Sama tõendusmaterjal toetab NIS2, ISO/IEC 27001:2022, DORA, GDPR, NIST-laadset kindluse andmist ja COBIT 2019 juhtimisaruandlust.
Viiendaks see paraneb. Intsidendid, auditileiud, õigusmuudatused, tarnijamuudatused, uued tehnoloogiad ja esilekerkivad ohud ajakohastavad koolitusplaani.
Viimane punkt eristab vastavusteatrit operatsioonilisest toimepidevusest.
Järgmised sammud Claryseciga
Kui sinu juhtkond küsib: „Kas me suudame homme tõendada NIS2 Article 21 küberhügieeni ja küberturvalisuse koolitust?“, saab Clarysec aidata liikuda hajusast tõendusmaterjalist auditeerimisvalmis ISMS-i tõendusmaterjali paketini.
Alusta Zenith Blueprint-ist, et struktureerida kompetentsi, teadlikkust, inimressursside kontrollimeetmeid, kaugtööpraktikaid, haavatavuste haldust, varukoopiaid, logimist, seiret ja tehnilise hügieeni tegevusi 30-sammulise teekaardi ulatuses.
Kasuta Zenith Controls-i, et ristviidata ISO/IEC 27002:2022 teadlikkuse, lubatud kasutuse, vastavuse, seire, kirjete ja kindluse ootused NIS2, ISO/IEC 27001:2022, DORA, GDPR, NIST ja COBIT 2019 auditivestlustes.
Seejärel vii nõuded operatiivsesse kasutusse Clarysec’i Infoturbe teadlikkuse ja koolituse poliitika, Infoturbe teadlikkuse ja koolituse poliitika - VKE ning Infoturbe poliitika - VKE kaudu.
Sinu vahetu tegevus on lihtne: koosta sel nädalal ühe lehekülje pikkune NIS2 Article 21 koolituse tõendusmaterjali kaart. Loetle kohaldamisalasse kuuluvad rollid, määratud koolitus, läbimise tõendusmaterjal, poliitikaga tutvumise kinnitused, andmepüügi mõõdikud, tehnilise küberhügieeni tõendusmaterjal, juhtkonna läbivaatuse kuupäev ja parandusmeetmed. Kui mõni lahter on tühi, oled leidnud järgmise auditi parandusülesande.
Kiiremaks teeks laadi alla Clarysec’i poliitikamallid, kasuta Zenith Blueprinti teekaarti ja lepi kokku NIS2 tõendusmaterjali valmisoleku hindamine, et muuta praegused koolituskirjed, küberhügieeni kontrollimeetmed ja ISO/IEC 27001:2022 ISMS üheks kaitstavaks auditifailiks.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
