NIST CSF 2.0 Govern VKE-dele ja ISO 27001
Sarah, kiiresti kasvava FinTech-valdkonna VKE äsja ametisse nimetatud infoturbejuht, seisis tahvli ees, mis oli täis raamistikke, ja tähtaja ees, mida ei saanud edasi lükata. NIST CSF 2.0. ISO 27001:2022. NIS2. DORA. GDPR. Tarnijarisk. Juhatuse vastutus. Suurkliendi hoolsuskontroll.
Ajend oli tuttav: suure finantsteenuste kliendi saadetud tabel. Hankeüksus soovis tõendusmaterjali küberturbe juhtimismudeli, riskivalmiduse, tarnijate turbeprogrammi, õiguslike ja regulatiivsete kohustuste kaardistamise, intsidendi eskaleerimise protsessi ning ISO 27001:2022 vastavuse kohta.
Tegevjuht ei soovinud vastavusteemalist loengut. Ta vajas lihtsat vastust keerulisele küsimusele: „Kuidas tõendame juhatusele, klientidele ja regulaatoritele, et meil on küberrisk kontrolli all?“
See on juhtimisprobleem, millega paljud VKE-d silmitsi seisavad. Kliendi küsimustik ei ole harva ainult kliendi küsimustik. Sageli on see viis vastavusteemalist arutelu koondatuna ühte päringusse. NIST CSF 2.0, ISO/IEC 27001:2022, GDPR, NIS2, DORA-st tulenevad tarnijaootused, pilvekeskkonna vastupidavus, juhatuse järelevalve ja lepingulised kohustused peituvad kõik sama tõendusmaterjali päringu sees.
Paljud VKE-d vastavad sellele eraldi artefaktide loomisega: NIST-i tabel, ISO sertifitseerimise kaust, GDPR-i jälgimisfail, tarnijariski register ja intsidentidele reageerimise plaan, mis omavahel ei seostu. Kuus kuud hiljem ei tea keegi, milline dokument on autoriteetne.
Clarysec’i lähenemine on teistsugune. Kasutage NIST CSF 2.0 Govern-funktsiooni tippjuhtkonna juhtimiskihina ning seostage see seejärel ISO 27001:2022 poliitikate, riskikäsitluse, kohaldatavusavalduse, tarnijate järelevalve, juhtkonnapoolse ülevaatuse ja auditi tõendusmaterjaliga. Tulemus ei ole rohkem vastavustööd. See on üks toimemudel, mis võimaldab vastata audiitoritele, klientidele, regulaatoritele ja juhtkonnale sama tõendusmaterjali kogumiga.
Miks NIST CSF 2.0 Govern-funktsioon on VKE-de jaoks oluline
NIST CSF 2.0 tõstab juhtimise eraldi funktsiooniks Identify, Protect, Detect, Respond ja Recover kõrval. See muudatus on oluline, sest enamik VKE-de turbetõrkeid ei tulene veel ühe tööriista puudumisest. Need tulenevad ebaselgest vastutusest, nõrkadest riskiotsustest, dokumenteerimata eranditest, ebaühtlasest tarnijate järelevalvest ja poliitikatest, mis kiideti kord heaks, kuid mida ei viidud kunagi toimivasse praktikasse.
NIST CSF 2.0 Govern-funktsioon muudab küsimuse „millised kontrollimeetmed meil on?“ küsimuseks „kes vastutab, millised kohustused kehtivad, kuidas riske prioriseeritakse ja kuidas toimivust üle vaadatakse?“
VKE-de jaoks annavad Govern-tulemused praktilise mandaadi:
- Mõista ja hallata õiguslikke, regulatiivseid, lepingulisi, privaatsuse ja kodanikuvabadustega seotud kohustusi.
- Kehtestada riskivalmidus, riskitaluvus, riskiskoorimine, prioriseerimine ja riskile reageerimise valikud.
- Määratleda küberturbe rollid, vastutused, volitused, eskaleerimisteed ja ressursid.
- Kehtestada, kommunikeerida, rakendada, üle vaadata ja ajakohastada küberturbe poliitikaid.
- Vaadata üle küberturbe strateegia, toimivus ja juhtkonna vastutus.
- Juhtida tarnijate ja kolmandate osapoolte küberturberiski alates hoolsuskontrollist kuni väljumiseni.
Seetõttu on NIST CSF 2.0 Govern nii tugev lähtepunkt ISO 27001:2022 jaoks. NIST annab tippjuhtidele juhtimiskeele. ISO 27001:2022 annab auditikõlbliku juhtimissüsteemi.
ISO 27001:2022 punktid 4 kuni 10 nõuavad, et organisatsioonid mõistaksid konteksti, määratleksid huvitatud osapooled, kehtestaksid ISMS-i kohaldamisala, tõendaksid juhtimist, kavandaksid riskihindamise ja riskikäsitluse, toetaksid dokumenteeritud teavet, rakendaksid kontrollimeetmeid, hindaksid toimivust, viiksid läbi siseauditeid ja juhtkonnapoolseid ülevaatusi ning täiustaksid pidevalt. Lisa A annab seejärel kontrollimeetmete viitekomplekti, sh poliitikad, juhtkonna vastutused, õiguslikud kohustused, privaatsus, tarnijasuhted, pilveteenused, intsidendihaldus ja IKT valmisolek talitluspidevuseks.
Clarysec’i Enterprise Infoturbepoliitika Infoturbepoliitika sätestab:
Organisatsioon peab ISMS-i järelevalveks hoidma ametlikku juhtimismudelit, mis on kooskõlas ISO/IEC 27001 punktidega 5.1 ja 9.3.
See Infoturbepoliitika punkti 5.1 nõue on praktiline sild NIST GV vastutuse ja ISO 27001:2022 juhtimisootuste vahel. Juhtimine ei ole iga-aastane esitlus. See on ametlik mudel, mis seob otsused, poliitikad, rollid, riskid, kontrollimeetmed, tõendusmaterjali ja ülevaatuse.
Põhiseos: NIST CSF 2.0 Govern ja ISO 27001:2022 tõendusmaterjal
Kiireim viis muuta NIST CSF 2.0 kasulikuks on teisendada Govern-tulemused poliitikate omamiseks ja auditi tõendusmaterjaliks. Allolev tabel on struktuur, mida Clarysec kasutab VKE-dega, kes valmistuvad ISO 27001:2022 sertifitseerimiseks, suurkliendi hoolsuskontrolliks, NIS2 valmisolekuks, DORA kliendikinnituseks ja GDPR vastutuse tõendamiseks.
| NIST CSF 2.0 Govern valdkond | VKE juhtimisküsimus | ISO 27001:2022 seos | Clarysec’i poliitikaankur | Tõendusmaterjal, mida audiitorid ja kliendid ootavad |
|---|---|---|---|---|
| GV.OC, organisatsiooni kontekst | Kas me teame oma õiguslikke, regulatiivseid, lepingulisi, privaatsus- ja ärikohustusi? | Punktid 4.1 kuni 4.4, lisa A 5.31 ja 5.34 | Õigusnormidele vastavuse poliitika | Vastavusregister, ISMS-i kohaldamisala, huvitatud osapoolte register, kliendikohustuste kaart, privaatsusregister |
| GV.RM, riskijuhtimise strateegia | Kuidas me küberriske määratleme, skoorime, prioriseerime, aktsepteerime ja käsitleme? | Punktid 6.1.1 kuni 6.1.3, 8.2 ja 8.3 | Riskijuhtimise poliitika | Riskimetoodika, riskiregister, riskikäsitluse plaan, riskiomaniku kinnitused, SoA vastendus |
| GV.RR, rollid ja vastutused | Kes vastutab küberturbe otsuste, erandite, ressursside ja aruandluse eest? | Punktid 5.1 kuni 5.3, lisa A 5.2 ja 5.4 | VKE juhtimisrollide ja vastutuste poliitika | RACI, rollikirjeldused, koosoleku protokollid, erandite kinnitused, koolituskirjed |
| GV.PO, poliitika | Kas poliitikad on heaks kiidetud, kommunikeeritud, rakendatud, üle vaadatud ja ajakohastatud? | Punktid 5.2, 7.5 ja 9.3, lisa A 5.1 | Infoturbepoliitika | Poliitikaregister, kinnituskirjed, versiooniajalugu, töötajate kinnitused, poliitika ülevaatuse protokollid |
| GV.OV, järelevalve | Kas küberturbe strateegiat ja toimivust vaadatakse üle ning kohandatakse? | Punktid 9.1, 9.2, 9.3, 10.1 ja 10.2 | Auditi ja vastavusseire poliitika | KPI juhtpaneel, siseauditi plaan, juhtkonnapoolse ülevaatuse väljundid, parandusmeetmed |
| GV.SC, tarneahela risk | Kas tarnijad on teada, prioriseeritud, hinnatud, lepingutega hõlmatud, seiratud ja väljumisprotsessiga kaetud? | Lisa A 5.19 kuni 5.23 ja 5.30 | Kolmandate osapoolte ja tarnijate turbepoliitika | Tarnijate register, hoolsuskontrolli kirjed, lepingutingimused, ülevaatuse logid, väljumisplaanid, intsidentide kontaktid |
See vastendus on teadlikult tõendusmaterjali-keskne. See ei nõua VKE-lt 40 dokumendi loomist. See esitab viis operatiivset küsimust:
- Milline otsus tehakse?
- Kes seda omab?
- Milline poliitika seda reguleerib?
- Milline ISO 27001:2022 punkt või lisa A kontrollimeede seda toetab?
- Milline tõendusmaterjal tõendab, et see toimus?
VKE juhtimisrollide ja vastutuste poliitika VKE juhtimisrollide ja vastutuste poliitika muudab selle jälgitavuse selgesõnaliseks:
Kõik olulised turbeotsused, erandid ja eskaleerimised tuleb kirjendada ning need peavad olema jälgitavad.
See tsitaat pärineb VKE juhtimisrollide ja vastutuste poliitika punktist 5.5. See muudab NIST GV.RR juhtimispõhimõttest auditikõlblikuks toimereegliks.
Alustage CSF Govern-profiiliga, mitte kontrollimeetmete tabeliga
NIST CSF 2.0 organisatsiooniprofiilid aitavad organisatsioonidel kirjeldada küberturbe praeguseid ja sihttulemusi. VKE-de jaoks on profiil koht, kus juhtimine muutub hallatavaks.
Praktiline Govern-profiili töötuba peab vastama viiele küsimusele:
- Mis on kohaldamisalas: kogu ettevõte, SaaS-platvorm, reguleeritud toode või kliendikeskkond?
- Millised kohustused profiili juhivad: kliendilepingud, GDPR, kokkupuude NIS2-ga, DORA-st tulenevad kliendiootused, ISO 27001:2022 sertifitseerimine või investorite hoolsuskontroll?
- Mida praegune tõendusmaterjal tõendab, mitte mida inimesed usuvad olemas olevat?
- Milline sihtseisund on realistlik järgmise 90 päeva ja järgmise 12 kuu jooksul?
- Millised riskid, poliitikad, tarnijad ja SoA kirjed peavad muutuma?
Zenith Blueprint: audiitori 30-sammuline teekaart Zenith Blueprint toetab seda ISMS Foundation & Leadership etapis, sammus 6 „Dokumenteeritud teave ja ISMS-i teegi loomine“. See soovitab valmistada SoA ette varakult ning kasutada seda kontrollimeetmete teegina:
✓ Täiendavad kontrollimeetmed: kas väljaspool lisa A-d on kontrollimeetmeid, mida võiksite kaasata? ISO 27001 lubab lisada SoA-sse muid kontrollimeetmeid. Näiteks võib teil olla soov lisada vastavus NIST CSF-ile või konkreetsed privaatsuskontrollid standardist ISO 27701. Üldiselt on lisa A terviklik, kuid võite lisada kõik unikaalsed kontrollimeetmed, mida plaanite
✓ Kasutage tabelit (SoA Builder): praktiline lähenemine on valmistada SoA tabel ette juba praegu. Oleme koostanud malli SoA_Builder.xlsx, mis loetleb kõik lisa A kontrollimeetmed koos veergudega kohaldatavuse, rakendamise staatuse ja märkuste jaoks.
VKE jaoks on see oluline. Te ei pea suruma NIST CSF 2.0 ISO lisa A-sse nii, nagu oleksid need kaks identsed. Saate lisada CSF Govern-tulemused oma SoA teeki täiendavate juhtimisnõuetena, seostada need ISO 27001:2022 punktide ja lisa A kontrollimeetmetega ning kasutada neid juhtkonnapoolse ülevaatuse, tarnijate juhtimise, riskiaruandluse ja vastavusseire parandamiseks.
Looge Govern-tõendusmaterjali register
Govern-tõendusmaterjali register on praktiline tööriist, mis teisendab raamistikud tõenduseks. See peab siduma iga NIST-i tulemuse ISO viite, poliitika omaniku, tõendusmaterjali elemendi, ülevaatuse sageduse, puudujäägi ja tegevusega.
| Väli | Näidiskirje |
|---|---|
| CSF-i tulemus | GV.OC-03 |
| Juhtimisküsimus | Kas õiguslikke, regulatiivseid, lepingulisi, privaatsuse ja kodanikuvabadustega seotud kohustusi mõistetakse ja hallatakse? |
| ISO 27001:2022 viide | Punktid 4.2, 4.3 ja 6.1.3, lisa A 5.31 ja 5.34 |
| Clarysec’i poliitika | Õigusnormidele vastavuse poliitika |
| Tõendusmaterjali omanik | Vastavusjuht |
| Tõendusmaterjal | Vastavusregister v1.4, kliendikohustuste kaart, GDPR töötlemisregister |
| Ülevaatuse sagedus | Kord kvartalis ning uue turu, kliendi või tootemuudatuse korral |
| Puudujääk | DORA kliendi edasi kanduvad lepinguklauslid ei ole tarnijalepingutega seostatud |
| Tegevus | Ajakohastada tarnijalepingu malli ja SoA märkusi |
| Tähtaeg | 30 päeva |
Clarysec’i Enterprise Õigusnormidele vastavuse poliitika Õigusnormidele vastavuse poliitika annab juhtiva nõude:
Kõik õiguslikud ja regulatiivsed kohustused tuleb seostada konkreetsete poliitikate, kontrollimeetmete ja omanikega infoturbe juhtimissüsteemis (ISMS).
See on Õigusnormidele vastavuse poliitika punkt 6.2.1. VKE-de jaoks lisab VKE õigusnormidele vastavuse poliitika VKE õigusnormidele vastavuse poliitika praktilise ristvastenduse nõude:
Kui regulatsioon kehtib mitmes valdkonnas (nt GDPR kehtib säilitamisele, turbele ja privaatsusele), tuleb see vastavusregistris ja koolitusmaterjalides selgelt kaardistada.
See tsitaat pärineb VKE õigusnormidele vastavuse poliitika punktist 5.2.2. Koos muudavad need punktid GV.OC-03 hallatavaks, ülevaadatavaks ja auditiks valmis protsessiks.
Siduge riskiskoorimine riskikäsitluse ja SoA-ga
NIST GV.RM nõuab riskieesmärke, riskivalmidust, riskitaluvust, standardiseeritud riskide arvutamist, reageerimisvõimalusi ja kommunikatsiooniliine. ISO 27001:2022 muudab selle toimivaks riskihindamise, riskikäsitluse, riskiomaniku kinnituse, jääkriski aktsepteerimise ja kohaldatavusavalduse kaudu.
VKE riskijuhtimise poliitika VKE riskijuhtimise poliitika on teadlikult konkreetne:
Iga riskikirje peab sisaldama järgmist: kirjeldus, tõenäosus, mõju, skoor, omanik ja riski käsitlemise plaan.
See pärineb VKE riskijuhtimise poliitika punktist 5.1.2. Enterprise Riskijuhtimise poliitika Riskijuhtimise poliitika tugevdab SoA seost:
Kohaldatavusavaldus (SoA) peab kajastama kõiki käsitlusotsuseid ja seda tuleb ajakohastada alati, kui kontrollide katvust muudetakse.
See on Riskijuhtimise poliitika punkt 5.4.
Võtame tegeliku VKE riski: loata juurdepääs tootmiskeskkonna kliendiandmetele, mis tuleneb MFA ebaühtlasest rakendamisest pilvehalduskontodel.
Tugev Govern-vastendus hõlmaks järgmist:
- NIST GV.RM standardiseeritud riskidokumentatsiooni ja prioriseerimise jaoks.
- NIST GV.RR rollivastutuse ja juurdepääsukontrolli rakendamise volituse jaoks.
- NIST GV.PO poliitika rakendamise ja ülevaatuse jaoks.
- ISO 27001:2022 punktid 6.1.2, 6.1.3, 8.2 ja 8.3.
- Lisa A kontrollimeetmed juurdepääsukontrolli, identiteedihalduse, autentimisteabe, logimise, seire, konfiguratsiooni ja pilveteenuste jaoks.
- Tõendusmaterjal, nagu riskiregistri kirje, MFA konfiguratsiooni eksport, erandi kinnitus, pilve IAM-i ülevaatus, juhtkonnapoolse ülevaatuse otsus ja ajakohastatud SoA märkus.
Zenith Blueprint, riskijuhtimise etapp, samm 13 „Riskikäsitluse planeerimine ja kohaldatavusavaldus“, selgitab seost:
✓ Tagage kooskõla oma riskiregistriga: iga leevendav kontrollimeede, mille kirjutasite riski käsitlemise plaani, peaks vastama lisa A kontrollimeetmele, mis on märgitud „kohaldatavaks“. Vastupidi, kui kontrollimeede on märgitud kohaldatavaks, peaks teil olema kas risk või nõue, mis seda tingib.
See on erinevus väite „me kasutame MFA-d“ ja tõendi „meil on MFA jaoks juhitud, riskipõhine, ISO 27001:2022-ga kooskõlas põhjus koos tõendusmaterjali, omaniku ja ülevaatuse sagedusega“ vahel.
Juhtige tarnijariski ilma programmi üle ehitamata
NIST GV.SC on VKE-de jaoks Govern-funktsiooni üks kasulikumaid osi, sest tänapäevased VKE-d sõltuvad tugevalt tarnijatest: pilveteenuse pakkujad, maksetöötlejad, HR-platvormid, kasutajatoe süsteemid, koodirepositooriumid, CI/CD tööriistad, seirevahendid ja hallatud turbeteenused.
ISO 27001:2022 lisa A toetab seda tarnija- ja pilvekontrollide kaudu, sh 5.19 infoturve tarnijasuhetes, 5.20 infoturbe käsitlemine tarnijalepingutes, 5.21 infoturbe juhtimine IKT tarneahelas, 5.22 tarnijate teenuste seire, ülevaatus ja muudatuste juhtimine, 5.23 infoturve pilveteenuste kasutamisel ning 5.30 IKT valmisolek talitluspidevuseks.
VKE kolmandate osapoolte ja tarnijate turbepoliitika VKE kolmandate osapoolte ja tarnijate turbepoliitika teeb tõendusmaterjali nõude selgeks:
Need läbivaatamised tuleb dokumenteerida ja säilitada tarnija kirjega. Järeltegevusi tuleb selgelt jälgida.
See on VKE kolmandate osapoolte ja tarnijate turbepoliitika punkt 6.3.2.
Lihtne VKE tarnijamudel võib kasutada kolme taset:
| Tarnija tase | Kriteeriumid | Minimaalne tõendusmaterjal | Ülevaatuse sagedus |
|---|---|---|---|
| Kriitiline | Toetab tootmiskeskkonda, kliendiandmeid, autentimist, turbeseiret, maksevoogu või reguleeritud teenuse osutamist | Hoolsuskontrolli küsimustik, lepingu turbetingimused, SLA, intsidendi kontakt, väljumisplaan, riski ülevaatus | Igal aastal ja olulise muudatuse korral |
| Oluline | Toetab organisatsiooni tegevust või sisemist tundlikku teavet, kuid mitte otsest kriitilise teenuse osutamist | Turbekokkuvõte, andmetöötluse tingimused, juurdepääsuõiguste ülevaatus, riski aktsepteerimine puudujääkide korral | Iga 18 kuu järel |
| Standardne | Madala riskiga tööriistad ilma tundlike andmete või kriitilise sõltuvuseta | Ettevõtte omaniku kinnitus, põhiline andmete ja juurdepääsu kontroll | Kasutuselevõtul ja uuendamisel |
See lihtne mudel toetab NIST GV.SC-d, ISO 27001:2022 tarnijakontrolle, kliendi hoolsuskontrolli ning DORA-st tulenevaid lepingulisi ootusi finantssektori klientidelt.
Tarnija väljumisprotsess väärib eraldi tähelepanu. NIST GV.SC eeldab juhtimist kogu tarnija elutsükli ulatuses, sh suhte lõpus. Tõendusmaterjal peab hõlmama andmete tagastamist või kustutamist, juurdepääsu eemaldamist, teenuse ülemineku planeerimist, säilitatavaid lepingukirjeid ja jääkriski ülevaatust.
Kasutage Zenith Controls’i ristvastenduseks, mitte eraldi kontrollikomplektina
Clarysec’i Zenith Controls: ristvastavuse juhend Zenith Controls on ristvastavuse juhend ISO/IEC 27002:2022 kontrolliteemade seostamiseks mitme raamistiku ja auditi vaatenurgaga. Need ei ole eraldi „Zenith-kontrollid“. Need on ISO/IEC 27002:2022 kontrollimeetmed, mida analüüsitakse Zenith Controls sees ristvastavuse kasutuseks.
NIST CSF 2.0 Govern jaoks on eriti olulised kolm ISO/IEC 27002:2022 kontrollivaldkonda:
| ISO/IEC 27002:2022 kontrollivaldkond Zenith Controls’is | NIST CSF 2.0 Govern seos | Praktiline tõlgendus VKE-le |
|---|---|---|
| 5.1 Infoturbe poliitikad | GV.PO | Poliitikad peavad olema heaks kiidetud, kommunikeeritud, rakendatud, üle vaadatud ja ajakohastatud, kui ohud, tehnoloogia, õigus või ärieesmärgid muutuvad |
| 5.4 Juhtkonna vastutused | GV.RR ja GV.OV | Turbevastutused tuleb määrata juhtimis- ja operatiivtasandil koos ressursside, aruandluse ja ülevaatusega |
| 5.31 Õiguslikud, seadusest tulenevad, regulatiivsed ja lepingulised nõuded | GV.OC-03 | Kohustused tuleb tuvastada, seostada kontrollimeetmete ja omanikega, seirata muudatuste suhtes ning tõendada |
Zenith Blueprint, kontrollimeetmete rakendamise etapp, samm 22 „Organisatsioonilised kontrollimeetmed“, annab toimemudeli:
Vormistage infoturbe juhtimine
Veenduge, et teie infoturbe poliitikad (5.1) on lõplikud, heaks kiidetud ja versioonihaldusega kajastatud. Määrake igale poliitikavaldkonnale nimelised omanikud (nt juurdepääs, krüptimine, varundamine) ning dokumenteerige rollid ja vastutused kogu ISMS-is (5.2). Vaadake üle ülesannete lahusus (5.3) kõrge riskiga valdkondades, nagu finantsid, süsteemihaldus ja muudatuste kontroll. Koostage lihtne juhtimiskaart, mis näitab, kes kinnitab, kes rakendab ja kes seirab turbepoliitikat.
See juhtimiskaart on üks väärtuslikumaid artefakte, mille VKE saab luua. See vastab NIST GV.RR-ile, ISO 27001:2022 juhtimisnõuetele, NIS2 juhtkonna vastutuse ootustele ja klientide küsimustele selle kohta, kes omab küberriski.
Üks juhtimismudel NIS2, DORA, GDPR, NIST ja ISO jaoks
Govern-funktsioon muutub kõige väärtuslikumaks siis, kui VKE seisab silmitsi kattuvate nõuetega.
NIS2 nõuab kohaldamisalasse kuuluvatelt olulistelt ja tähtsatelt üksustelt asjakohaste ja proportsionaalsete küberturbe riskijuhtimise meetmete rakendamist. Samuti paneb see juhtorganitele vastutuse küberturbe riskijuhtimise meetmete heakskiitmise, rakendamise järelevalve ja koolitusel osalemise eest. NIST GV.RR toetab juhtkonna vastutust. GV.RM toetab riskipõhiseid meetmeid. GV.SC toetab tarneahela turvet. GV.PO toetab poliitikaid. GV.OV toetab toimivuse ülevaatust.
NIS2 intsidendihaldus toob kaasa ka etapiviisilised teatamisootused, sh varajase hoiatuse 24 tunni jooksul, intsidenditeavituse 72 tunni jooksul ja lõpparuande ühe kuu jooksul oluliste intsidentide korral. Need tähtajad peavad kajastuma intsidentidele reageerimise protseduurides, eskaleerimisteedes, kommunikatsiooniplaanides ja juhtkonnale esitatavas aruandluses.
DORA kohaldub alates 17. jaanuarist 2025 EL-i finantsüksustele, kuid paljud VKE-d tunnetavad selle mõju kliendilepingute kaudu. Finantskliendid võivad kanda DORA nõuded edasi IKT-teenuseosutajatele, tarkvaratarnijatele, hallatud teenuse pakkujatele ja pilvest sõltuvatele tarnijatele. DORA keskendub IKT-riski juhtimisele, juhtorgani vastutusele, intsidentidest teatamisele, vastupidavuse testimisele, kolmandate osapoolte IKT-riskile, lepingulistele nõuetele ja järelevalvele.
GDPR lisab vastutuse isikuandmete töötlemise eest. VKE-d peavad mõistma, kas nad on vastutavad töötlejad, volitatud töötlejad või mõlemad, milliseid isikuandmeid nad töötlevad, millised süsteemid ja tarnijad on kaasatud, millised õiguslikud alused kehtivad ning millised intsidendistsenaariumid võivad kujuneda isikuandmetega seotud rikkumiseks.
Zenith Blueprint, riskijuhtimise etapp, samm 14, soovitab seostada DORA, NIS2 ja GDPR nõuded ISO 27001:2022 kontrollikomplektiga:
Iga regulatsiooni kohta, kui see on kohaldatav, võite luua lihtsa vastendustabeli (näiteks aruande lisana), mis loetleb regulatsiooni peamised turbenõuded ja neile vastavad kontrollimeetmed/poliitikad teie ISMS-is. See ei ole ISO 27001 järgi kohustuslik, kuid see on kasulik sisemine harjutus, et veenduda, et midagi ei jää kahe silma vahele.
Praktiline ristvastavuse kaart võib välja näha järgmiselt:
| Juhtimisnõue | NIST CSF 2.0 Govern | ISO 27001:2022 ankur | NIS2, DORA, GDPR seos | Peamine tõendusmaterjal |
|---|---|---|---|---|
| Juhtkonna vastutus | GV.RR ja GV.OV | Punktid 5.1, 5.3 ja 9.3, lisa A 5.4 | NIS2 juhtorgani järelevalve, DORA juhtorgani vastutus | Juhtimiskaart, RACI, juhtkonnapoolse ülevaatuse protokollid |
| Õiguslikud ja lepingulised kohustused | GV.OC-03 | Punktid 4.2, 4.3 ja 6.1.3, lisa A 5.31 ja 5.34 | GDPR vastutus, NIS2 õiguslik kohaldamisala, DORA edasi kanduvad lepingunõuded | Vastavusregister, kliendikohustuste kaart, privaatsusregister |
| Riskipõhised turbemeetmed | GV.RM | Punktid 6.1.2, 6.1.3, 8.2 ja 8.3 | NIS2 riskimeetmed, DORA IKT-riski raamistik, GDPR töötlemise turvalisus | Riskiregister, riskikäsitluse plaan, SoA |
| Tarnijate juhtimine | GV.SC | Lisa A 5.19 kuni 5.23 ja 5.30 | NIS2 tarneahela turve, DORA kolmandate osapoolte IKT-risk, GDPR volitatud töötlejad | Tarnijate register, hoolsuskontroll, lepingud, ülevaatuse logid |
| Poliitikate juhtimine | GV.PO | Punkt 5.2 ja lisa A 5.1 | Kõik raamistikud eeldavad dokumenteeritud, heakskiidetud ja kommunikeeritud reegleid | Poliitikaregister, versiooniajalugu, kinnitused |
| Audit ja täiustamine | GV.OV | Punktid 9.1, 9.2, 9.3, 10.1 ja 10.2 | DORA testimine ja parandusmeetmed, NIS2 tõhusus, GDPR vastutus | Siseauditi aruanded, KPI-d, parandusmeetmed |
Väärtus seisneb tõhususes. Üks hästi toimiv ISO 27001:2022 ISMS, mida juhib NIST CSF 2.0 Govern, saab genereerida taaskasutatavat tõendusmaterjali mitme raamistiku jaoks korraga.
Audiitori vaade: kuidas tõendada, et juhtimine on päriselt toimiv
Riiulil olev poliitika ei ole juhtimine. Audiitorid ja hindajad otsivad läbivat seost: kõrgetasemeline poliitika, määratletud protsess, operatiivne kirje, juhtkonnapoolne ülevaatus ja parendustegevus.
Erinevad läbivaatajad testivad seda seost erinevalt.
| Audiitori vaatenurk | Millele keskendutakse | Hästi toimiv tõendusmaterjal |
|---|---|---|
| ISO 27001:2022 audiitor | Kas juhtimine on ISMS-i sisse põimitud, riskikäsitlus on jälgitav, SoA otsused on põhjendatud ja dokumenteeritud teave on kontrolli all | ISMS-i kohaldamisala, poliitikaregister, riskiregister, SoA, juhtkonnapoolse ülevaatuse protokollid, siseauditi aruanded, parandusmeetmed |
| NIST CSF 2.0 hindaja | Kas praegused ja sihtprofiilid on olemas, puudujäägid on prioriseeritud ning Govern-tulemused on seotud äririski ja järelevalvega | CSF-i profiil, puudujääkide analüüs, POA&M, riskivalmiduse avaldus, juhtkonna juhtpaneel, tarnija sihtprofiil |
| COBIT 2019 või ISACA-stiilis audiitor | Kas juhtimiseesmärgid, otsustusõigused, tulemusnäitajad, kontrollimeetmete omamine ja kindlustandvad tegevused on määratletud | Juhtimiskaart, RACI, KPI ja KRI juhtpaneel, kontrollimeetmete omanike kinnitused, auditiplaan, probleemide jälgimine |
| GDPR läbivaataja | Kas privaatsuskohustused on tuvastatud, töötlemine on kaardistatud, turvameetmed on asjakohased ja vastutuse tõendusmaterjal on olemas | Töötlemisregister, õigusliku aluse kaardistus, vajaduse korral DPIA, rikkumisele reageerimise protsess, tarnija andmetöötluse tingimused |
| Kliendi turbehindaja | Kas VKE suudab liigse viivituseta tõendada operatiivset turvet, tarnijakontrolli, intsidendivalmidust ja tippjuhtkonna vastutust | Tõendusmaterjali pakett, poliitikad, tarnijate ülevaatused, intsidendi lauaõppuse väljundid, juurdepääsuõiguste ülevaatused, taastamistestid, turbe teekaart |
Clarysec’i Enterprise Juhtimisrollide ja vastutuste poliitika Juhtimisrollide ja vastutuste poliitika sätestab:
Juhtimine peab toetama lõimumist teiste valdkondadega (nt risk, õigus, IT, HR) ning ISMS-i otsused peavad olema jälgitavad nende allikani (nt auditikirjed, läbivaatamise logid, koosoleku protokollid).
See on Juhtimisrollide ja vastutuste poliitika punkt 5.5. See võtab kokku ristvastavuse olemuse: juhtimisotsused peavad olema jälgitavad.
VKE auditi ja vastavusseire poliitika VKE auditi ja vastavusseire poliitika lisab kriitilise tõendusmaterjali distsipliini:
Metaandmed (nt kes selle kogus, millal ja millisest süsteemist) tuleb dokumenteerida.
See tsitaat pärineb VKE auditi ja vastavusseire poliitika punktist 6.2.3. Tõendusmaterjali metaandmed eristavad sageli ekraanipiltide kausta auditi jaoks sobivast tõendusmaterjalist.
Enterprise Auditi ja vastavusseire poliitika Auditi ja vastavusseire poliitika lisab programmi tasandi nõude:
Organisatsioon peab hoidma struktureeritud auditi ja vastavusseire programmi, mis on integreeritud ISMS-i ja hõlmab:
See on Auditi ja vastavusseire poliitika punkt 5.1. Juhtimisjäreldus on otsene: audit ei ole iga-aastane kiirustamine. See on osa ISMS-i toimimisest.
Levinud VKE vead NIST Govern’i seostamisel ISO 27001:2022-ga
Esimene viga on üledokumenteerimine ilma omanikuta. VKE kirjutab poliitikad, kuid ei määra omanikke riskikäsitlusele, tarnijate ülevaatustele, erandite kinnitustele ega juhtkonna aruandlusele.
Teine viga on õiguslike kohustuste käsitlemine ISMS-ist eraldi. NIST GV.OC-03 nõuab, et kohustusi mõistetaks ja hallataks. ISO 27001:2022 nõuab, et ISMS-is arvestataks asjakohaste huvitatud osapoolte nõudeid ning õiguslikke, regulatiivseid ja lepingulisi kohustusi.
Kolmas viga on nõrk SoA põhjendus. SoA ei ole ainult kohaldatavate kontrollimeetmete loetelu. See on loogikafail selle kohta, miks kontrollimeetmed on kaasatud, välistatud või rakendatud.
Neljas viga on tarnija elutsükli tõendusmaterjali puudumine. Tarnijate juhtimine hõlmab kaasamist, lepinguid, seiret, intsidente, muudatusi ja väljumisprotsessi.
Viies viga on Target Profile’i ajakohastamata jätmine. CSF Profile peab muutuma, kui ettevõte siseneb uude geograafilisse piirkonda, sõlmib lepingu suure kliendiga, võtab kasutusele kriitilise tarnija, käivitab reguleeritud toote, muudab pilvearhitektuuri või kogeb intsidenti.
30-päevane NIST CSF 2.0 Govern teekaart VKE-dele
Kui VKE peab kiiresti liikuma, alustage fokuseeritud 30-päevase rakendusplaaniga.
| Päevad | Tegevus | Väljund |
|---|---|---|
| 1 kuni 3 | Määratlege CSF Govern kohaldamisala ja koguge olemasolevad poliitikad, lepingud, riskikirjed, tarnijate loendid ja auditi tõendusmaterjal | Kohaldamisala märkus ja tõendusmaterjali inventuur |
| 4 kuni 7 | Koostage Govern-tõendusmaterjali register GV.OC, GV.RM, GV.RR, GV.PO, GV.OV ja GV.SC jaoks | Praegune profiil ja esialgsed puudujäägid |
| 8 kuni 12 | Seostage kohustused ISO 27001:2022 poliitikate, lisa A kontrollivaldkondade ja omanikega | Vastavusregister ja poliitika omamise kaart |
| 13 kuni 17 | Ajakohastage riskiregister ja riskikäsitluse plaan ning joondage SoA kirjed | Riskiregister, käsitlusplaan, SoA uuendused |
| 18 kuni 22 | Prioriseerige tarnijate juhtimine, sh kriitiliste tarnijate klassifitseerimine, lepingulüngad ja ülevaatuse tõendusmaterjal | Tarnijariski register ja tegevuste jälgija |
| 23 kuni 26 | Valmistage ette auditi tõendusmaterjali pakett koos metaandmete, kinnituste, ülevaatuse logide ja juhtkonna otsustega | Tõendusmaterjali pakett ja auditi indeks |
| 27 kuni 30 | Viige läbi juhtkonnapoolne ülevaatus ja kinnitage Target Profile’i teekaart | Juhtkonnapoolse ülevaatuse protokollid, otsused, teekaart |
See plaan loob piisavalt juhtimise tõendusmaterjali, et vastata sisulistele kliendi- ja auditiküsimustele, rajades samal ajal aluse ISO 27001:2022 sertifitseerimisele, NIS2 valmisolekule, DORA kliendikinnitusele ja GDPR vastutuse tõendamisele.
Praktiline tulemus: üks juhtimislugu, mitu vastavuskasutust
Kui Sarah naaseb juhatuse ette, ei ole tal enam viit omavahel seostamata vastavustöövoogu. Tal on üks juhtimislugu.
NIST CSF 2.0 Govern-tulemused on seostatud ISO 27001:2022 poliitikate, omanike, riskide, kontrollimeetmete ja tõendusmaterjaliga. ISMS-i kohaldamisala hõlmab klientide, tarnijate, pilve, õiguslikke, regulatiivseid, privaatsuse ja lepingulisi sõltuvusi. Riskiregister juhib käsitlusotsuseid ja SoA kohaldatavust. Poliitikad on heaks kiidetud, versioonihaldusega kajastatud, omanikega kaetud, kommunikeeritud ja üle vaadatud. Tarnijariskid on tasemestatud, lepingutega kaetud, seiratud ja jälgitavad. GDPR-i töötlemiskohustused, NIS2 vastutuse ootused ja DORA kliendi edasi kanduvad nõuded on vajaduse korral ristviidatud. Auditi tõendusmaterjal sisaldab metaandmeid, otsusekirjeid ja juhtkonnapoolse ülevaatuse väljundeid.
Selline näeb juhtimine välja siis, kui see on toimiv.
Järgmine samm: looge oma VKE Govern-tõendusmaterjali pakett Clarysec’iga
Kui valmistute ISO 27001:2022-ks, vastate suurkliendi hoolsuskontrollile, kaardistate NIST CSF 2.0 Govern-tulemusi või püüate viia NIS2, DORA ja GDPR kooskõlla ilma eraldi programme ehitamata, alustage juhtimiskihist.
Clarysec saab aidata teil luua:
- NIST CSF 2.0 Govern Current Profile’i ja Target Profile’i.
- ISO 27001:2022 poliitika ja SoA vastenduse.
- Ristvastavuse kohustuste registri, kasutades Zenith Controls Zenith Controls.
- 30-sammulise ISMS-i rakendamise teekaardi, kasutades Zenith Blueprint Zenith Blueprint.
- VKE-dele sobiva poliitika tõendusmaterjali, kasutades Clarysec’i poliitikakomplekti, sh VKE juhtimisrollide ja vastutuste poliitika VKE juhtimisrollide ja vastutuste poliitika, VKE riskijuhtimise poliitika VKE riskijuhtimise poliitika, VKE õigusnormidele vastavuse poliitika VKE õigusnormidele vastavuse poliitika, VKE kolmandate osapoolte ja tarnijate turbepoliitika VKE kolmandate osapoolte ja tarnijate turbepoliitika ja VKE auditi ja vastavusseire poliitika VKE auditi ja vastavusseire poliitika.
Kiireim tee ei ole veel üks tabel. See on juhitud, riskipõhine ja tõendusmaterjaliga valmis ISMS, mis võimaldab teie VKE-l vastata ühele küsimusele kindlalt:
Kas suudate tõendada, et küberturvet hallatakse, sellel on omanik, seda vaadatakse üle ja seda täiustatakse pidevalt?
Clarysec’iga saab vastuseks jah.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
