NIST-pohjaisen tietoturvapoikkeamien hallinnan kartoitus vuoden 2026 auditointeja varten
On tiistai klo 07.42. Nopeasti kasvavan fintech-alustan tietoturvajohtaja Anya näkee ensimmäisen hälytyksen: ylläpitäjätilillä havaitaan mahdotonta matkustamista. Sitä seuraa epäonnistuneiden kirjautumisten sarja ja sen jälkeen onnistunut istunto hallinnoimattomalta laitteelta. Viisi minuuttia myöhemmin asiakastuki ilmoittaa, etteivät käyttäjät pääse käyttämään keskeistä SaaS-työnkulkua. Klo 08.10 pilvipohjainen hallintanäkymä näyttää poikkeavia API-kutsuja tallennussäilöön, joka saattaa sisältää henkilötietoja.
Tietoturvatiimi toimii nopeasti. SIEM hälyttää, pilviympäristön asiantuntija peruuttaa istunnon ja palveluomistaja käynnistää käyttöoikeuksien palauttamisen. Todellinen kriisi ei kuitenkaan ole pelkästään tekninen. Se on hallinnollinen.
Anyan on vastattava kolmeen kysymykseen ennen ensimmäisen tunnin päättymistä.
Ensinnäkin: onko kyseessä tietoturvapoikkeama, henkilötietojen tietoturvaloukkaus, NIS2:n mukainen merkittävä poikkeama vai DORA:n mukainen merkittävä ICT:hen liittyvä poikkeama?
Toiseksi: kenelle on ilmoitettava, mihin mennessä ja millä todentavalla aineistolla?
Kolmanneksi: pystyykö organisaatio osoittamaan, että sen tietoturvapoikkeamiin reagoinnin prosessi toteutui suunnitellulla tavalla?
Tässä hetkessä moni organisaatio huomaa eron tietoturvapoikkeamiin reagointisuunnitelman ja tietoturvapoikkeamien hallintajärjestelmän välillä. NIST SP 800-61:n mukainen tietoturvapoikkeamiin reagointi ja NIST CSF 2.0 eivät ole enää vain SOC-pelikirjojen aiheita. Vuonna 2026 ne kytkeytyvät suoraan hallituksen osoitusvelvollisuuteen, ISO/IEC 27001:2022 -auditointeihin, NIS2:n vaiheittaiseen raportointiin, DORA:n digitaaliseen häiriönsietokykyyn, GDPR:n henkilötietojen tietoturvaloukkauksia koskeviin päätöksiin ja toimittajien vastuutettavuuteen.
Vahvimmat ohjelmat eivät luo erillisiä reagointipolkuja jokaiselle viitekehykselle. Ne käyttävät NIST CSF 2.0:aa toiminnan karttana, ISO/IEC 27001:2022 -standardia hallintajärjestelmän selkärankana ja yhtä näyttömallia, joka voi samanaikaisesti tukea NIS2:ta, DORA:a ja GDPR:ää. Tämä on Clarysecin lähestymistapa: politiikkaperusteiset päätökset, pöytäharjoituksissa testatut työnkulut, viranomaisvalmiit todentavan aineiston paketit ja viitekehysten välinen kartoitus Zenith Blueprint: auditoijan 30 vaiheen tiekartta- ja Zenith Controls: vaatimustenmukaisuuksien välinen opas -materiaalien avulla.
Vuoden 2026 ongelma: yksi poikkeama, monta vastuumallia
Anyan kohtaama poikkeama ei ole yksi vaatimustenmukaisuusongelma. Se on useita päällekkäisiä päätöspolkuja.
Jos organisaatio tarjoaa pilvipalveluja, SaaS-palveluja, hallinnoituja palveluja, hallinnoituja tietoturvapalveluja, DNS-palveluja, datakeskuspalveluja, luottamuspalveluja tai muita digitaalisen infrastruktuurin palveluja, NIS2 voi soveltua. Luokittelu keskeiseksi tai tärkeäksi toimijaksi riippuu toimialasta, koosta ja kansallisesta täytäntöönpanosta, mutta suunta on selvä: poikkeamien käsittely on nyt säännelty johdon vastuualue.
Jos organisaatio on finanssialan toimija, DORA voi olla ensisijainen digitaalisen häiriönsietokyvyn sääntökirja. DORA:a sovelletaan 17. tammikuuta 2025 alkaen, ja se kattaa ICT-riskien hallinnan, merkittävien ICT:hen liittyvien poikkeamien raportoinnin, digitaalisen häiriönsietokyvyn testauksen, tiedonjaon, ICT-kolmansien osapuolten riskit ja kriittisten ICT-kolmansien osapuolten palveluntarjoajien valvonnan. Niiden finanssialan toimijoiden osalta, joihin sovelletaan myös NIS2:ta, DORA toimii toimialakohtaisena viitekehyksenä päällekkäisille ICT-riskiä ja poikkeamien raportointia koskeville velvoitteille.
Jos henkilötietoihin on päästy käsiksi, niitä on muutettu, kadotettu, tuhottu tai luovutettu, GDPR:stä tulee osa tietoturvapoikkeamiin reagoinnin päätöspuuta. GDPR määrittelee henkilötietojen tietoturvaloukkauksen tietoturvaloukkaukseksi, jonka seurauksena henkilötietoja tuhoutuu, häviää, muuttuu, luovutetaan luvattomasti tai niihin päästään luvattomasti käsiksi joko vahingossa tai lainvastaisesti. GDPR edellyttää myös osoitusvelvollisuutta, mikä tarkoittaa, että rekisterinpitäjän on pystyttävä osoittamaan käsittelyperiaatteiden, mukaan lukien eheyden ja luottamuksellisuuden, noudattaminen.
Jos yritys on sertifioitu ISO/IEC 27001:2022 -standardin mukaisesti tai valmistautuu sertifiointiin, poikkeamasta tulee ISMS-näyttöä. Auditoijat tarkastelevat soveltamisalaa, lakisääteisiä velvoitteita, rooleja, riskien käsittelyä, hallintakeinojen valintaa, operatiivista toteutusta, dokumentoitua tietoa, opittuja asioita ja jatkuvaa parantamista. ISO/IEC 27001:2022:n lausekkeet 4.1–4.4 edellyttävät, että ISMS heijastaa toimintaympäristöä, sidosryhmiä, velvoitteita, soveltamisalaa ja prosessien vuorovaikutuksia. Lausekkeet 5.1–5.3 edellyttävät johtajuutta, osoitusvelvollisuutta ja määritettyjä vastuita. Lausekkeet 6.1.1–6.1.3 edellyttävät tietoturvariskien arviointia, riskien käsittelyä ja soveltuvuuslausuntoa. Lausekkeet 8.1–8.3 edellyttävät hallittua toimintaa, näyttöä siitä, että prosessit toteutuivat suunnitellusti, ulkoistettujen prosessien ohjausta ja käsittelytoimien toteutusta.
Liiketoiminnan ongelma ei ole viitekehysten puute. Ongelma on yhden toimintamallin puute: mallin, joka muuttaa viitekehykset oikea-aikaisiksi päätöksiksi ja luotettavaksi näytöksi.
Käytä NIST CSF 2.0:aa yhteisenä kielenä
NIST CSF 2.0 on hyödyllinen, koska se antaa johdolle, tietoturvalle, lakiasioille, tietosuojalle, operatiivisille toiminnoille ja toimittajille yhteisen kielen kyberturvallisuuden tuloksille. Sen GOVERN-toiminto on erityisen tärkeä tietoturvapoikkeamiin reagoinnissa, koska se pakottaa organisaatiot käsittelemään valvonnan, politiikat, riskistrategian, roolit ja toimitusketjuriskit ennen kriisin alkamista.
Tietoturvapoikkeamiin reagoinnissa CSF 2.0 yhdistää hallinnon operatiiviseen elinkaareen: IDENTIFY, PROTECT, DETECT, RESPOND ja RECOVER. Tämä rakenne auttaa muuttamaan hälyisän poikkeaman hallituksi todentavan aineiston virraksi.
| Tietoturvapoikkeamiin reagoinnin kysymys | CSF 2.0:n tulosalue | Tuotettu vaatimustenmukaisuusnäyttö |
|---|---|---|
| Kuka omistaa päätöksen? | GOVERN, mukaan lukien GV.RR, GV.OV ja GV.PO | RACI, poikkeaman johtajan kirjaus, johdon päivitykset, hallitukselle tehtävät ilmoitukset |
| Mihin omaisuuseriin ja palveluihin vaikutus kohdistuu? | IDENTIFY, mukaan lukien omaisuus- ja riskinäkyvyys | omaisuusluettelo, palvelukartta, tietoaineistorekisteri, kriittisten toimittajien luettelo |
| Mitkä kontrollit epäonnistuivat tai toimivat? | PROTECT, mukaan lukien pääsy, tietoturva, konfiguraatio ja varmuuskopiot | MFA-lokit, etuoikeutettujen käyttöoikeuksien tallenteet, varmuuskopiointitallenteet, peruskonfiguraatiot |
| Miten tapahtuma havaittiin? | DETECT, mukaan lukien DE.CM ja DE.AE | SIEM-hälytykset, EDR-hälytykset, pilvilokit, korrelaatiomuistiinpanot, poikkeaman ilmoituskirjaus |
| Miten se käsiteltiin? | RESPOND, mukaan lukien RS.MA, RS.AN, RS.CO ja RS.MI | poikkeamatiketti, vakavuusluokitus, aikajana, päätösloki, rajaamistoimet |
| Miten palvelu palautettiin? | RECOVER, mukaan lukien RC.RP ja RC.CO | palautuksen toteutus, varmuuskopioiden validointi, näyttö palautetusta palvelusta, viestintä, sulkemisraportti |
CSF 2.0:n organisaatioprofiilit tekevät tästä käytännöllistä. Nykytilaprofiili näyttää organisaation todellisen tietoturvapoikkeamiin reagointikyvykkyyden, mukaan lukien puutteet, epäselvyydet ja kiertomenettelyt. Tavoitetilaprofiili määrittää halutun tilan, kuten vakavuusluokituksen tunnin kuluessa, dokumentoidut ilmoituspäätökset, todistusaineiston säilyttämisen, kolmansien osapuolten koordinoinnin ja viranomaisvalmiit raportointipaketit.
Anyan fintech-ympäristössä nykytilaprofiili osoitti tutun mallin: vahvat työkalut, heikko päätöksenteon hallinto. Tavoitetilaprofiili keskittyi konkreettisiin CSF 2.0 -tuloksiin, kuten:
- RS.MA-01, tietoturvapoikkeamiin reagointisuunnitelma toteutetaan yhteistyössä asiaankuuluvien kolmansien osapuolten kanssa, kun poikkeama on ilmoitettu.
- RS.MA-02, poikkeamaraportit luokitellaan ja validoidaan.
- RS.MA-03, poikkeamat luokitellaan ja priorisoidaan.
- RS.MA-04, poikkeamat eskaloidaan tai nostetaan ylemmälle tasolle tarpeen mukaan.
- RS.AN-03, tehdään analyysi sen määrittämiseksi, mitä poikkeaman aikana tapahtui ja mikä on juurisyy.
- RS.AN-06, tutkinnan aikana tehdyt toimet kirjataan, ja tallenteiden eheys ja alkuperä säilytetään.
- RS.AN-07, poikkeamatiedot ja metatiedot kerätään, ja niiden eheys ja alkuperä säilytetään.
- RS.CO-02, sisäisille ja ulkoisille sidosryhmille ilmoitetaan poikkeamista.
- RS.MI-01, poikkeamat rajataan.
- RS.MI-02, poikkeamat poistetaan.
- RC.RP-03, varmuuskopioiden ja muiden palautuksessa käytettävien omaisuuserien eheys tarkistetaan ennen niiden käyttöä palautuksessa.
Pelkkä viitekehys ei ole auditoitava ohjelma. Tulosten on toimittava hallintajärjestelmän sisällä, ja tässä ISO/IEC 27001:2022 tarjoaa selkärangan.
Ankkuroi tietoturvapoikkeamiin reagointi ISO/IEC 27001:2022 -standardiin
NIST antaa käytännön kielen poikkeamien käsittelyyn. ISO/IEC 27001:2022 antaa auditoijien odottaman toiminnallisen kurinalaisuuden. ISMS muuttaa tietoturvapoikkeamiin reagoinnin pelikirjojen kokoelmasta hallituksi prosessiksi, jolla on soveltamisala, omistajuus, riskien käsittely, suorituskyvyn arviointi ja parantaminen.
Keskeisin liitteen A hallintakeinoryhmä on:
| ISO/IEC 27001:2022 liitteen A hallintakeino | Hallintakeinon nimi | Tietoturvapoikkeamiin reagoinnin tarkoitus |
|---|---|---|
| A.5.24 | Tietoturvapoikkeamien hallinnan suunnittelu ja valmistelu | Määrittää suunnitelman, roolit, eskaloinnin ja viestintämallin |
| A.5.25 | Tietoturvatapahtumien arviointi ja päätöksenteko | Määrittää triagen, luokittelun ja päätöskriteerit |
| A.5.26 | Tietoturvapoikkeamiin reagointi | Ohjaa rajaamista, poistamista, palautumista ja viestintää |
| A.5.27 | Tietoturvapoikkeamista oppiminen | Muuttaa opitut asiat korjaaviksi toimenpiteiksi ja parannuksiksi |
| A.5.28 | Todistusaineiston kerääminen | Säilyttää todistusaineiston luotettavuuden, alkuperän ja oikeudellisen käytettävyyden |
Clarysecin Zenith Controls -opas kartoittaa nämä ISO/IEC 27002:2022 -hallintakeinoviittaukset muihin standardeihin, auditointiodotuksiin ja niihin liittyviin vaatimustenmukaisuusvelvoitteisiin. Se ei ole erillinen kontrolliviitekehys. Se on vaatimustenmukaisuuksien välinen opas, joka auttaa organisaatioita ymmärtämään, miten samat kontrollitoimet tukevat useita varmennustarpeita.
Zenith Blueprintin Controls in Action -vaiheen vaihe 23 tekee tietoturvapoikkeamiin reagoinnin rungosta operatiivisen:
Varmista, että käytössä on ajantasainen tietoturvapoikkeamiin reagointisuunnitelma (5.24), joka kattaa valmistelun, eskaloinnin, reagoinnin ja viestinnän. Määritä, mikä muodostaa raportoitavan tietoturvatapahtuman (5.25) ja miten päätöksentekoprosessi käynnistetään ja dokumentoidaan. Valitse äskettäinen tapahtuma tai järjestä pöytäharjoitus suunnitelman validoimiseksi. Kirjaa ja lokita kaikki päätökset, roolit ja viestintä (5.26) sekä päivitä suunnitelma opittujen asioiden perusteella (5.27). Varmista, että käytössä on menettelyt forensisen todistusaineiston säilyttämiseksi (5.28), mukaan lukien lokien tilannevedokset, varmuuskopiot ja vaikutuksen kohteena olevien järjestelmien turvallinen eristäminen.
Tämä kappale on käytännön silta NIST:n mukaisesta poikkeamien käsittelystä auditointinäyttöön. Valmistele kyvykkyys, luokittele tapahtuma, reagoi hallitusti, opi lopputuloksesta ja säilytä todistusaineisto.
Sisällytä raportoitavuus ensimmäiseen tuntiin
Tietoturvapoikkeamiin reagointiohjelmat epäonnistuvat usein ensimmäisen tunnin aikana, eivät siksi, että analyytikoilta puuttuisi osaamista, vaan siksi, ettei organisaatio ole määrittänyt, kuka päättää, milloin vakavuus määritetään, mitä todistusaineistoa säilytetään ja milloin oikeudelliset laukaisijat tarkistetaan.
Pk-yrityksille Clarysecin Incident Response Policy-sme asettaa selkeän hallintoa koskevan odotuksen:
Toimitusjohtajan on IT-palveluntarjoajan antamien tietojen perusteella luokiteltava kaikki poikkeamat vakavuuden mukaan tunnin kuluessa ilmoituksesta.
Tämä on vahva vaatimus. Se ei tarkoita, että kaikki tosiseikat tunnetaan tunnin kuluessa. Se tarkoittaa, että organisaation on dokumentoitava alustava vakavuus, kirjattava epävarmuus ja käynnistettävä eskalointi, kun tosiseikat ovat vielä kehittymässä.
Sama politiikka edellyttää myös, että oikeudelliset määräajat suunnitellaan osaksi prosessia:
Reagointiaikataulut, mukaan lukien tietojen palauttaminen ja ilmoitusvelvoitteet, on dokumentoitava ja sovitettava yhteen lakisääteisten vaatimusten kanssa, kuten GDPR:n 72 tunnin henkilötietojen tietoturvaloukkausta koskevan ilmoitusvaatimuksen kanssa.
Yritysympäristöissä Clarysecin Incident Response Policy ankkuroi muodollisemman reagointimallin:
Organisaation on ylläpidettävä keskitettyä ja tasoihin jäsennettyä tietoturvapoikkeamiin reagoinnin viitekehystä, joka on yhdenmukainen ISO/IEC 27035:n kanssa ja koostuu seuraavista määritellyistä reagointivaiheista:
Yrityspolitiikka sisällyttää myös sääntelyjen väliset aikaviittaukset lausekkeeseen 6.4.1:
GDPR Article 33 (72 tunnin ilmoitus valvontaviranomaiselle)
NIS2 Article 23 (ilmoitus 24 tunnin kuluessa poikkeamasta tietoiseksi tulemisesta)
DORA Article 17 (merkittävien ICT:hen liittyvien poikkeamien raportointi)
Tämä erottaa teknisen pelikirjan hallintovalmiista tietoturvapoikkeamiin reagoinnin viitekehyksestä. Oikeudellisia ja sääntelyyn perustuvia raportointipolkuja ei improvisoida kriisin aikana. Ne käynnistyvät ennalta määritettyjen luokittelu- ja päätöspisteiden perusteella.
Kartoita NIS2-raportointi poikkeamatyönkulkuun
NIS2 edellyttää, että keskeiset ja tärkeät toimijat ilmoittavat ilman aiheetonta viivytystä CSIRT-yksikölle tai toimivaltaiselle viranomaiselle merkittävistä poikkeamista, jotka vaikuttavat palvelujen tarjoamiseen. Merkittävä poikkeama kattaa poikkeaman, joka on aiheuttanut tai voi aiheuttaa vakavan operatiivisen häiriön tai taloudellisen tappion, tai poikkeaman, joka on vaikuttanut tai voi vaikuttaa muihin aiheuttamalla huomattavaa aineellista tai aineetonta vahinkoa.
Raportointimalli on vaiheittainen.
| NIS2-vaihe | Ajoitus | Prosessin tuottama näyttö |
|---|---|---|
| Varhaisvaroitus | 24 tunnin kuluessa tietoiseksi tulemisesta | poikkeaman ilmoitus, epäilty haitallinen toiminta, rajat ylittävän vaikutuksen tarkistus, alustava näkymä vaikutuksen kohteena olevaan palveluun |
| Poikkeamailmoitus | 72 tunnin kuluessa | vakavuusarviointi, vaikutusanalyysi, vaarantumisen indikaattorit saatavilla olevin osin, epävarmuusloki |
| Väliraportit | Pyynnöstä | tilapäivitykset, rajaamistoimet, palautumisen tila, viranomaisviestintä |
| Loppuraportti | Yhden kuukauden kuluessa poikkeamailmoituksesta | vakavuus ja vaikutus, todennäköinen uhka tai juurisyy, lieventämistoimenpiteet, rajat ylittävä vaikutus |
| Käynnissä olevan poikkeaman etenemisraportti | Jos poikkeama on vielä käynnissä loppuraportin määrähetkellä | etenemisraportti ja sen jälkeen loppuraportti yhden kuukauden kuluessa käsittelystä |
NIS2 Article 21 edellyttää myös asianmukaisia ja oikeasuhteisia teknisiä, operatiivisia ja organisatorisia toimenpiteitä. Vaadittu perustaso sisältää riskianalyysin, poikkeamien käsittelyn, liiketoiminnan jatkuvuuden, toimitusketjun tietoturvan, turvallisen kehittämisen, haavoittuvuuksien käsittelyn, tehokkuuden arvioinnin, kyberhygienian ja koulutuksen, kryptografian, henkilöstöturvallisuuden, pääsynhallinnan, omaisuudenhallinnan sekä tarvittaessa monivaiheisen todennuksen ja turvallisen viestinnän.
NIS2 Article 20 tuo hallintoelimet vastuun osoitettavuuden ketjuun. Niiden on hyväksyttävä kyberturvallisuuden riskienhallintatoimenpiteet ja valvottava niiden toteutusta. Tietoturvapoikkeamiin reagoinnissa tämä tarkoittaa, että hallituksen pöytäkirjat, johdon hyväksynnät, koulutussuoritustiedot ja eskalointinäyttö eivät ole valinnaisia hallinnollisia artefakteja. Ne ovat osa sääntelyyn liittyvää puolustettavuutta.
Seuraamukset lisäävät kiireellisyyttä. Article 21:n tai Article 23:n rikkomuksista keskeisille toimijoille on voitava määrätä enimmäissakko, joka on vähintään 10 miljoonaa euroa tai 2 prosenttia maailmanlaajuisesta vuotuisesta kokonaisliikevaihdosta sen mukaan, kumpi on suurempi. Tärkeille toimijoille on voitava määrätä enimmäissakko, joka on vähintään 7 miljoonaa euroa tai 1,4 prosenttia maailmanlaajuisesta vuotuisesta kokonaisliikevaihdosta sen mukaan, kumpi on suurempi.
Käytännön opetus on yksinkertainen: jos tietoisuusaikaa, vakavuuskriteerejä, eskalointia ja raportointipäätöksiä ei kirjata, kyse ei ole enää pelkästään tietoturvapoikkeamiin reagoinnin kypsyydestä. Siitä tulee sääntelynäytön ongelma.
Käsittele DORA-poikkeamien hallintaa digitaalisena häiriönsietokykynä
DORA muuttaa finanssialan toimijoiden keskustelua, koska poikkeamien hallinta on osa digitaalista häiriönsietokykyä eikä vain tietoturvaoperaatioita.
Article 5 edellyttää, että hallintoelin määrittää, hyväksyy ja valvoo ICT-riskien hallinnan viitekehystä ja pysyy siitä vastuussa. Article 6 laajentaa tämän viitekehyksen rakenteelliseksi ICT-riskien hallintajärjestelmäksi. Article 17 edellyttää, että finanssialan toimijat määrittävät, perustavat ja toteuttavat ICT:hen liittyvien poikkeamien hallintaprosessin ICT:hen liittyvien poikkeamien havaitsemiseksi, hallitsemiseksi ja ilmoittamiseksi. Prosessin on kirjattava ICT:hen liittyvät poikkeamat ja merkittävät kyberuhkat, tunnistettava ja käsiteltävä juurisyyt, käytettävä varhaisvaroitusindikaattoreita, luokiteltava poikkeamat vaikutuksen kohteena olevien palvelujen prioriteetin, vakavuuden ja kriittisyyden mukaan, osoitettava roolit ja vastuut, luotava viestintä ja eskalointi, ilmoitettava asiakkaille ja medialle tarvittaessa, raportoitava vähintään merkittävät poikkeamat ylemmälle johdolle, tiedotettava hallintoelintä sekä ylläpidettävä reagointimenettelyjä vaikutusten lieventämiseksi ja turvallisen toiminnan palauttamiseksi.
Article 18 edellyttää luokittelua kriteerien perusteella, kuten vaikutuksen kohteena olevat asiakkaat tai vastapuolet, tapahtumat, mainevaikutus, kesto ja käyttökatko, maantieteellinen levinneisyys, saatavuuteen, aitouteen, eheyteen tai luottamuksellisuuteen vaikuttavat tietojen menetykset, vaikutuksen kohteena olevien palvelujen kriittisyys ja taloudellinen vaikutus. Article 19 edellyttää merkittävien ICT:hen liittyvien poikkeamien raportointia toimivaltaiselle viranomaiselle, sallii merkittävien kyberuhkien vapaaehtoisen ilmoittamisen ja edellyttää asiakkaiden ilmoittamista ilman aiheetonta viivytystä, kun merkittävä ICT:hen liittyvä poikkeama vaikuttaa asiakkaiden taloudellisiin etuihin.
Anyan fintech-ympäristössä tämä tarkoittaa, että poikkeamatallenne tarvitsee enemmän kuin SOC-aikajanan. Se tarvitsee:
- Vaikutuksen kohteena olevan palvelun ja kriittisyyden.
- Vaikutuksen kohteena olevat asiakkaat, vastapuolet tai tapahtumat.
- Käyttökatkon keston ja maantieteellisen levinneisyyden.
- Tietojen menetyksen tai eheyden vaikutuksen.
- Taloudellisen vaikutuksen.
- Hallintoelimen näkyvyyden.
- Asiakasilmoitusta koskevan päätöksen.
- Juurisyyn sulkemisen.
- Turvallisen toiminnan palauttamisen.
- Toimittajan osallistumisen ja sopimusperusteisen näytön.
DORA laajentaa poikkeaman myös toimittajahallintaan. Articles 28–30 edellyttävät, että finanssialan toimijat hallitsevat ICT-kolmansien osapuolten riskejä, ylläpitävät rekisteriä ICT-palveluja koskevista sopimusjärjestelyistä, arvioivat keskittymäriskiä, suorittavat due diligence -arvioinnin, varmistavat sopimusperusteiset suojatoimet, määrittävät auditointi- ja tarkastusoikeudet, ylläpitävät päättämisoikeuksia ja testaavat exit-strategioita kriittisille tai tärkeille toiminnoille. Jos poikkeamaan liittyy pilvipalveluntarjoaja, hallinnoitu palveluntarjoaja tai SaaS-integraatio, DORA-näytön on osoitettava toimittajan roolit, lokien säilytysvelvoitteet, poikkeamatuki, palautusvelvoitteet ja yhteistyö valvontaviranomaisten kanssa.
Integroi GDPR:n henkilötietojen tietoturvaloukkausten osoitusvelvollisuus varhaisessa vaiheessa
GDPR soveltuu henkilötietojen automaattiseen käsittelyyn sekä muuhun kuin automaattiseen käsittelyyn, joka muodostaa osan rekisteristä. Se voi soveltua EU:hun sijoittautuneisiin organisaatioihin sekä EU:n ulkopuolisiin rekisterinpitäjiin tai henkilötietojen käsittelijöihin, jotka tarjoavat tavaroita tai palveluja unionissa oleville henkilöille tai seuraavat heidän käyttäytymistään.
Tietoturvapoikkeamiin reagoinnin aikana GDPR-analyysin on alettava heti, kun henkilötietojen osallisuus on mahdollinen. Teknisen juurisyyn odottaminen on liian myöhäistä, jos 72 tunnin kello on jo käynnissä.
Reagointitiimin on vastattava seuraaviin kysymyksiin:
- Mitä henkilötietoryhmiä voi olla osallisena?
- Mihin järjestelmiin, sovelluksiin ja käsittelytoimiin vaikutus kohdistuu?
- Toimiiko organisaatio rekisterinpitäjänä, henkilötietojen käsittelijänä vai molempina?
- Onko henkilötietoihin päästy käsiksi, onko niitä muutettu, tuhottu, kadotettu tai luovutettu?
- Ovatko salaus-, tokenisointi- tai pseudonymisointisuojatoimet olleet tehokkaita?
- Mikä on todennäköinen riski luonnollisille henkilöille?
- Kuka teki ilmoituspäätöksen ja milloin?
- Mitä viestintää lähetettiin rekisterinpitäjille, henkilötietojen käsittelijöille, valvontaviranomaisille tai rekisteröidyille?
- Jos ilmoitusta ei tehty, mikä oli dokumentoitu perustelu?
GDPR Article 5:n osoitusvelvollisuus on keskeinen. Rekisterinpitäjän on pystyttävä osoittamaan sellaisten periaatteiden noudattaminen kuin lainmukaisuus, kohtuullisuus, läpinäkyvyys, käyttötarkoitussidonnaisuus, tietojen minimointi, säilytyksen rajoittaminen, eheys ja luottamuksellisuus. Tämä tarkoittaa, että loukkausrekisteri, päätösloki, tekninen näyttö ja viestintähistoria ovat osa tietosuojan kontrollijärjestelmää eivätkä jälkikäteen korjaavien toimien yhteydessä tehtäviä sivuhuomioita.
Säilytä todistusaineisto ennen kuin palautus tuhoaa sen
Toistuva tietoturvapoikkeamiin reagoinnin epäonnistuminen on palautus, joka tuhoaa todistusaineiston. Järjestelmiä käynnistetään uudelleen. Haittaohjelmia poistetaan. Lokit ylikirjoittuvat. Tilejä muutetaan ennen tilannevedosten ottamista. Saatavuuden näkökulmasta tiimi voi kokea onnistuneensa. Auditoinnin, viranomaisen, vakuuttajan tai oikeudellisen näkökulman kannalta organisaatio on voinut menettää kykynsä osoittaa, mitä tapahtui.
Clarysecin Evidence Collection and Forensics Policy toteaa:
Hallussapitoketjulokin on seurattava kaikkea fyysistä tai digitaalista todistusaineistoa sen hankintahetkestä arkistointiin tai siirtoon asti, ja lokin on dokumentoitava:
Pk-yrityksille Evidence Collection and Forensics Policy-sme aloittaa todistusaineistolokin vaatimuksen selkeästi:
Jokainen digitaalisen todistusaineiston kohde on kirjattava seuraavilla tiedoilla:
Zenith Blueprintin Controls in Action -vaiheen vaihe 23 selittää ISO/IEC 27002:2022 -hallintakeinon 5.28 taustalla olevan periaatteen:
Kun tietoturvapoikkeama tapahtuu, yksi reagoinnin kriittisimmistä mutta usein sivuutetuista osa-alueista on todistusaineisto. Ei lokit, ei kuvakaappaukset, ei irralliset kertomukset, vaan asianmukaisesti säilytetty, hallussapitoketjua kunnioittava ja peukaloinnin paljastava todistusaineisto. Hallintakeino 5.28 tunnistaa, että poikkeaman jälkiselvittelyssä se, mitä pystyt osoittamaan, on yhtä tärkeää kuin se, mitä todellisuudessa tapahtui.
Viranomaisvalmiin todentavan aineiston paketin Anyan poikkeamasta tulisi sisältää:
| Todentavan aineiston kohde | Miksi sillä on merkitystä | Omistaja |
|---|---|---|
| Poikkeaman ilmoituskirjaus | Osoittaa tietoisuusajan ja käynnistää ajoitusanalyysin | poikkeaman johtaja |
| Vakavuusluokitus | Tukee eskalointia, priorisointia ja raportointipäätöksiä | tietoturvavastaava tai IT-palveluntarjoaja |
| Omaisuus- ja tietoaineistorekisterin ote | Tunnistaa vaikutuksen kohteena olevat palvelut, järjestelmät, tiedot ja kriittisyyden | IT-omistaja ja tietosuojavastaava |
| Aikaleimoilla varustetut lokiviennit | Tukee havaitsemista, aikajanaa ja juurisyyanalyysiä | SOC tai IT-palveluntarjoaja |
| Pilven auditointijäljen tilannevedos | Osoittaa API-toiminnan, identiteettitoiminnan ja tallennustoimet | pilviympäristön ylläpitäjä |
| Hallussapitoketjuloki | Säilyttää todistusaineiston luotettavuuden ja jäljitettävyyden | forensiikasta vastaava henkilö |
| Johdon ilmoitus | Osoittaa eskaloinnin ja hallinnon näkyvyyden | tietoturvajohtaja tai toimitusjohtaja |
| Viranomaispäätösloki | Osoittaa, miksi ilmoitus vaadittiin tai miksi sitä ei vaadittu | lakiasiat, DPO ja tietoturvajohtaja |
| Toimittajaviestinnän tallenne | Osoittaa kolmannen osapuolen yhteistyön ja sopimusperusteisen reagoinnin | toimittajahallinnasta vastaava henkilö |
| Asiakasviestinnän tallenne | Tukee NIS2-, DORA-, GDPR- ja sopimusvelvoitteita | viestinnästä vastaava henkilö |
| Opittujen asioiden tallenne | Tukee ISO/IEC 27001:2022:n jatkuvaa parantamista | ISMS-päällikkö |
Lokien säilytys on määritettävä nimenomaisesti. Clarysecin Logging and Monitoring Policy-sme toteaa:
Poikkeamiin liittyvät tietoturvalokit on säilytettävä vähintään 3 vuotta poikkeaman päivämäärästä.
Zenith Blueprintin Controls in Action -vaiheen vaihe 19 lisää operatiivisen totuuden:
Lokitus on minkä tahansa turvallisen IT-ympäristön elinehto. Ilman sitä poikkeamat jäävät näkymättömiksi, vastuun osoitettavuus heikkenee ja syy-seuraussuhteet katoavat jäljettömiin.
Tietoturvapoikkeamiin reagointi, lokitus, todistusaineiston kerääminen ja raportointi on siksi suunniteltava yhdeksi kytketyksi kontrollijärjestelmäksi.
Toteuta ensimmäiset 72 tuntia todentavan aineiston sprinttinä
Käytännön 72 tunnin todentavan aineiston sprintti auttaa tiimejä reagoimaan menettämättä auditoitavuutta.
Tunnit 0–1: ilmoita, luokittele ja säilytä
Avaa poikkeamatiketti Incident Response Policy -politiikan mukaisesti. Nimeä poikkeaman johtaja, tekninen vastuuhenkilö, viestintävastuuhenkilö, lakiasioiden tai tietosuojan vastuuhenkilö, toimittajakoordinaattori ja todistusaineiston omistaja.
Käytä Incident Response Policy-sme -politiikan yhden tunnin luokitteluvaatimusta tarkistuspisteenä myös suuremmissa organisaatioissa. Sovella tasoihin jäsennettyä viitekehystä yritystason reagointiin ja kirjaa epävarmuus, kun tosiseikat ovat puutteellisia.
Säilytä haihtuva todistusaineisto välittömästi: identiteettilokit, EDR-hälytykset, pilven auditointijäljet, etuoikeutettujen käyttöoikeuksien tallenteet, vaikutuksen kohteena olevien järjestelmien lokit, varmuuskopioinnin tila, konfiguraatiomuutokset ja asiaankuuluva tikettihistoria. Käynnistä hallussapitoketjuloki Evidence Collection and Forensics Policy -politiikan mukaisesti.
Päätöstuotokset:
- Poikkeaman ilmoitusaika.
- Alustava vakavuus.
- Epäillyt vaikutuksen kohteena olevat palvelut.
- Epäillyt vaikutuksen kohteena olevat tiedot.
- Alustava sääntelyseurantalista, mukaan lukien GDPR, NIS2, DORA ja sopimusvelvoitteet.
- Todistusaineiston puutteet ja nimetyt omistajat.
Tunnit 1–24: vaikutus ja varhaisvaroitusanalyysi
Muodosta ensimmäinen vaikutusnäkymä. Määritä, vaikuttiko tapahtuma palvelujen tarjoamiseen, aiheuttiko tai voisiko se aiheuttaa operatiivisen häiriön tai taloudellista tappiota, vaikuttiko se muihin tai aiheuttiko se aineellista tai aineetonta vahinkoa. Tämä tukee NIS2:n merkittävän poikkeaman analyysiä.
Finanssialan toimijoiden osalta luokittele DORA-kriteerien perusteella: vaikutuksen kohteena olevat asiakkaat, tapahtumat, maine, käyttökatko, maantieteellinen levinneisyys, tietojen menetys, kriittisyys ja taloudellinen vaikutus.
GDPR:n osalta määritä, oliko henkilötietoja osallisena ja onko luonnollisiin henkilöihin kohdistuva riski todennäköinen.
Päätöstuotokset:
- NIS2-varhaisvaroitusta koskeva päätös.
- DORA:n merkittävän poikkeaman seurantatila.
- GDPR:n henkilötietojen tietoturvaloukkauksen arviointitila.
- Asiakas-, loppuasiakas- tai rekisterinpitäjäilmoitusten seuranta.
- Hallintoelimen päivitys.
- Toimittajille osoitetut näyttöpyynnöt.
Tunnit 24–72: valmistele viranomaistasoinen ilmoitusnäyttö
Jos NIS2 soveltuu, valmistele 72 tunnin poikkeamailmoituksen päivitys alustavalla vakavuudella, vaikutuksella ja saatavilla olevilla vaarantumisen indikaattoreilla. Jos GDPR-ilmoitus vaaditaan, varmista, että valvontaviranomaiselle toimitettava paketti kuvaa tunnetut tiedot, tuntemattomaksi jäävät seikat, todennäköiset seuraukset sekä toteutetut tai ehdotetut toimenpiteet. Jos DORA soveltuu, valmistele vaadittu alku- tai väliraportti toimivaltaisen viranomaisen prosessin mukaisesti.
Päätöstuotokset:
- Päivitetty poikkeaman aikajana.
- Juurisyyhypoteesi.
- Rajaamis- ja poistamistoimet.
- Näyttö palvelun palauttamisesta.
- Viranomaisilmoituspaketti.
- Asiakas- tai loppuasiakasviestintä.
- Päivitetty todistusaineistoluettelo.
Tämä sprintti ei ole paperityötä paperityön vuoksi. Se estää reagointitiimiä uhraamasta todistusaineistoa toimintojen palauttamisen aikana.
Viitekehysten välinen kartoitus: yksi työnkulku, monta näytön käyttäjää
Kypsä tietoturvapoikkeamiin reagointiohjelma tuottaa näytön kerran ja käyttää sitä uudelleen eri viitekehyksissä.
| Poikkeamatyönkulun osa | CSF 2.0 | ISO/IEC 27001:2022 ja liite A | NIS2 | DORA | GDPR |
|---|---|---|---|---|---|
| Hallinto ja omistajuus | GV.RR, GV.OV, GV.PO | Lausekkeet 5.1–5.3, A.5.24 | Article 20 johdon valvonta | Articles 5 ja 6 hallintoelimen vastuu | Article 5 osoitusvelvollisuus |
| Soveltamisala ja velvoitteet | GV.OC | Lausekkeet 4.1–4.4 | Keskeisen ja tärkeän toimijan soveltamisala | Finanssialan toimijan soveltamisala ja suhteellisuus | Aineellinen ja alueellinen soveltamisala |
| Riskien ja vakavuuden kriteerit | GV.RM, ID.RA, RS.MA-03 | Lausekkeet 6.1.1–6.1.3, A.5.25 | Merkittävän poikkeaman kriteerit | Article 18 luokittelu | Riski luonnollisille henkilöille |
| Havaitseminen ja valvonta | DE.CM, DE.AE | A.8.15 lokitus, A.8.16 valvonta, A.5.25 | Poikkeamien käsittely ja tehokkuuden arviointi | Varhaisvaroitusindikaattorit ja poikkeamatallenteet | Loukkauksen havaitseminen ja arviointi |
| Reagoinnin toteutus | RS.MA, RS.AN, RS.MI | A.5.26, A.5.28 | Article 23 raportointipolku | Articles 17 ja 19 poikkeamaprosessi ja raportointi | Article 33 ja Article 34 arviointi |
| Palautuminen | RC.RP, RC.CO | A.5.29 ICT-valmius liiketoiminnan jatkuvuutta varten, A.8.13 tietojen varmuuskopiointi | Palveluvaikutuksen minimointi | Turvallisen toiminnan palauttaminen | Lieventäminen ja viestintä |
| Opitut asiat | GV.OV, RS.IM | A.5.27 ja lauseke 10 parantaminen | Korjaavat toimenpiteet ilman aiheetonta viivytystä | Juurisyyn sulkeminen ja korjaavat toimenpiteet | Osoitusvelvollisuuden tallenteet |
ISO:n ja NIST:n reagointikartoitus on erityisen hyödyllinen auditoijille.
| ISO/IEC 27002:2022 -toiminto | NIST CSF 2.0 -alakategoria |
|---|---|
| Tietoturvapoikkeamiin reagointisuunnitelman toteutus kolmansien osapuolten kanssa | RS.MA-01 |
| Poikkeamaraporttien triage ja validointi | RS.MA-02 |
| Luokittelu ja priorisointi | RS.MA-03 |
| Eskalointi tarpeen mukaan | RS.MA-04 |
| Analyysi ja juurisyyn määrittäminen | RS.AN-03 |
| Tutkintatoimien kirjaaminen ja alkuperän säilyttäminen | RS.AN-06 |
| Poikkeamatietojen kerääminen ja eheyden säilyttäminen | RS.AN-07 |
| Poikkeaman laajuuden arviointi ja validointi | RS.AN-08 |
| Sisäisten ja ulkoisten sidosryhmien ilmoittaminen | RS.CO-02 |
| Rajaaminen ja poistaminen | RS.MI-01 ja RS.MI-02 |
| Palautussuunnitelman toteutus ja varmuuskopioiden eheyden tarkistus | RC.RP-01 ja RC.RP-03 |
Myös toimitusketjun hallinto on sisällytettävä. NIST CSF 2.0 GV.SC käsittelee toimitusketjuriskien prosesseja, toimittajien rooleja, kriittisyyden priorisointia, sopimusvaatimuksia, due diligence -arviointia, jatkuvaa seurantaa, toimittajien sisällyttämistä poikkeamasuunnitteluun ja suhteen päättämiseen liittyviä toimia. Tämä on suoraan yhdenmukaista NIS2:n toimitusketjun tietoturvan, DORA:n ICT-kolmansien osapuolten riskienhallinnan ja ISO/IEC 27001:2022:n toimittajakontrollien kanssa.
Miten eri auditoijat testaavat samaa poikkeamaa
ISO/IEC 27001:2022 -auditoija aloittaa ISMS:stä. Hän kysyy, kuuluuko poikkeamien hallinta soveltamisalaan, onko sidosryhmien velvoitteet dokumentoitu, onko poikkeamariskit arvioitu, sisältyvätkö A.5.24–A.5.28 soveltuvuuslausuntoon, toteutuiko prosessi suunnitellusti ja tuottiko poikkeama opittuja asioita, korjaavia toimenpiteitä ja jatkuvaa parantamista.
NIST-suuntautunut arvioija keskittyy CSF 2.0 -tuloksiin. Hän testaa hallinnon, omaisuusnäkyvyyden, valvonnan, poikkeaman ilmoittamisen, triagen, eskaloinnin, todistusaineiston eheyden, sidosryhmäviestinnän, rajaamisen, poistamisen, palautumisen ja profiilien päivitykset.
NIS2-valvontatarkastelu keskittyy johdon osoitusvelvollisuuteen, Article 21:n riskienhallintatoimenpiteisiin ja Article 23:n raportointiin. Keskeisiä ovat näyttö 24 tunnin varhaisvaroituspäätöksestä, 72 tunnin ilmoituksen sisällöstä, väliraporteista ja loppuraportista. Tarkastelija voi tutkia myös liiketoiminnan jatkuvuutta, toimitusketjun tietoturvaa, pääsynhallintaa, koulutusta, kryptografiaa ja tehokkuuden arviointia.
DORA-viranomainen keskittyy digitaaliseen häiriönsietokykyyn. Se odottaa poikkeamien luokittelukriteerejä, ICT:hen liittyvien poikkeamien ja merkittävien kyberuhkien tallenteita, varhaisvaroitusindikaattoreita, eskalointia ylemmälle johdolle, hallintoelimen näkyvyyttä, asiakasilmoitusta tilanteissa, joissa taloudelliset edut ovat vaikutuksen kohteena, juurisyyn sulkemista, turvallisen toiminnan palauttamista ja toimittajan näyttöä.
GDPR-valvontaviranomainen keskittyy henkilötietojen tietoturvaloukkauksen osoitusvelvollisuuteen. Se kysyy, milloin organisaatio tuli tietoiseksi, mihin henkilötietoihin vaikutus kohdistui, oliko organisaatio rekisterinpitäjä vai henkilötietojen käsittelijä, mikä riski luonnollisille henkilöille oli olemassa, mitä toimenpiteitä tehtiin, miksi ilmoitus tehtiin tai jätettiin tekemättä ja onko sisäinen loukkausrekisteri täydellinen.
COBIT- tai ISACA-tyyppinen auditoija testaa hallintotavoitteet, johtamiskäytännöt, omistajuuden, mittarit ja varmennusnäytön. Häntä kiinnostaa, onko tietoturvapoikkeamiin reagointi hallittu, mitattu, parannettu ja yhdenmukainen yrityksen tavoitteiden kanssa.
Sama poikkeama voi täyttää kaikki nämä tarkastelut, jos työnkulku suunnitellaan yhteisen näytön eikä siiloutuneiden vaatimustenmukaisuuskansioiden ympärille.
Testaa kartoitus määräaikavetoisella pöytäharjoituksella
Nopein tapa selvittää, toimiiko kartoitus, on raportointimääräaikoihin perustuva pöytäharjoitus.
Käytä tätä skenaariota: etuoikeutetun insinöörin tili vaarantuu. Hyökkääjä käyttää tuotantotietokantaa, vie tuntemattoman määrän tietueita, muuttaa konfiguraatioasetusta, joka aiheuttaa osittaisen käyttökatkon EU-asiakkaille, ja käyttää kolmannen osapuolen integraation kautta myönnettyä API-tokenia.
Toteuta harjoitus neljässä kierroksessa.
Ensimmäinen kierros: havaitseminen ja ilmoittaminen. Pystyykö tiimi tunnistamaan hälytyksen lähteen, ilmoittamaan poikkeaman, luokittelemaan vakavuuden tunnin kuluessa, säilyttämään lokit ja osoittamaan roolit?
Toinen kierros: vaikutus. Pystyykö tiimi tunnistamaan vaikutuksen kohteena olevat palvelut, tiedot, asiakkaat, toimittajan osallistumisen, käyttökatkon, maantieteellisen levinneisyyden sekä sen, vaikuttaako poikkeama taloudellisiin etuihin tai henkilötietoihin?
Kolmas kierros: raportointi. Käynnistyvätkö NIS2-varhaisvaroitus, NIS2:n 72 tunnin ilmoitus, DORA-raportointi, GDPR-ilmoitus ja sopimusperusteiset asiakasilmoitukset? Pystyykö tiimi dokumentoimaan sekä ilmoitus- että ilmoittamatta jättämistä koskevat päätökset?
Neljäs kierros: palautuminen ja sulkeminen. Onko rajaaminen, poistaminen, palauttaminen, varmuuskopioiden validointi, viestintä, opitut asiat ja korjaavat toimenpiteet dokumentoitu?
Tuotoksen ei tulisi olla diasarja. Sen on oltava todentavan aineiston paketti: valmis poikkeamatiketti, aikajana, päätösloki, viestintäloki, luettelo säilytetystä todistusaineistosta, viranomaispäätösmatriisi, toimittajaviestinnän tallenne, palautuksen validointitallenne ja korjaavien toimenpiteiden suunnitelma.
Harjoitus ei pääty siihen, että ihmiset selittävät, mitä he tekisivät. Se päättyy vasta, kun he tuottavat tallenteet, joita auditoija pyytäisi.
Yleiset epäonnistumismallit, jotka on poistettava ennen seuraavaa hälytystä
Ensimmäinen epäonnistumismalli on määrittämätön tietoisuusaika. Jos kukaan ei kirjaa, milloin organisaatio tuli tietoiseksi poikkeamasta, NIS2-, DORA- ja GDPR-ajoitusanalyysistä tulee riskialtis.
Toinen on vakavuus ilman kriteerejä. Merkinnät kuten keskitaso tai korkea ovat heikkoja, ellei niitä kytketä palveluvaikutukseen, tietovaikutukseen, taloudelliseen vaikutukseen, asiakasvaikutukseen tai sääntelykynnysarvoihin.
Kolmas on tietosuojan lisääminen liian myöhään. GDPR-arvioinnin on alettava, kun henkilötietojen osallisuus on mahdollinen, ei vasta juurisyyn valmistuttua.
Neljäs on toimittajiin liittyvä epäselvyys. Jos mukana on pilvipalveluntarjoaja, hallinnoitu palveluntarjoaja tai SaaS-integraatio, sopimusten ja pelikirjojen on määritettävä, kuka säilyttää lokit, kuka viestii, kuka tukee forensiikkaa ja kuka avustaa viranomaispyynnöissä.
Viides on todistusaineiston tuhoutuminen palautuksen aikana. Uudelleenkäynnistykset, poistot ja konfiguraatiomuutokset voivat olla tarpeellisia, mutta ne on mahdollisuuksien mukaan koordinoitava todistusaineiston säilyttämisen kanssa.
Kuudes on opitut asiat ilman riskien käsittelyä. ISO/IEC 27001:2022 odottaa parantamista tarvittaessa. Opittujen asioiden kokous ilman kontrollimuutosta, omistajaa, määräpäivää tai riskin uudelleenarviointia on heikko näyttö.
Muuta tietoturvapoikkeamiin reagointi vaatimustenmukaisuuksien väliseksi näyttöjärjestelmäksi
NIST SP 800-61:n tietoturvapoikkeamiin reagoinnin odotuksiin ja vuoden 2026 auditointeihin valmistautumisen ei pitäisi alkaa uudesta erillisestä pelikirjasta. Sen tulisi alkaa päätöskartoituksesta.
Clarysec voi auttaa tiimiäsi:
- Rakentamaan NIST CSF 2.0 -pohjaisen tietoturvapoikkeamiin reagoinnin nykytilaprofiilin ja tavoitetilaprofiilin.
- Yhdenmukaistamaan tietoturvapoikkeamiin reagoinnin ISO/IEC 27001:2022 -lausekkeiden, riskien käsittelyn ja liitteen A hallintakeinojen kanssa.
- Upottamaan NIS2:n 24 tunnin, 72 tunnin ja yhden kuukauden näyttövaatimukset työnkulkuihin.
- Kartoittamaan DORA:n poikkeamaluokittelun, hallintoelimelle raportoinnin, asiakasilmoitukset ja ICT-toimittajan näytön.
- Integroimaan GDPR:n henkilötietojen tietoturvaloukkauksen analyysin ja osoitusvelvollisuuden tallenteet.
- Ottamaan Clarysecin Incident Response Policy-, Incident Response Policy-sme-, Evidence Collection and Forensics Policy-, Evidence Collection and Forensics Policy-sme-, Logging and Monitoring Policy-sme-, Zenith Blueprint- ja Zenith Controls -materiaalit käyttöön pöytäharjoituksissa testattuna toimintamallina.
Vuoden 2026 kysymys ei ole se, pystyykö tiimisi rajaamaan hyökkäyksen. Kysymys on se, pystyykö tiimisi luokittelemaan, eskaloimaan, raportoimaan, palautumaan ja osoittamaan reagoinnin NIST:n, ISO/IEC 27001:2022:n, NIS2:n, DORA:n ja GDPR:n näkökulmasta.
Clarysecin 30 vaiheen toteutusmalli ja vaatimustenmukaisuuksien välinen työkalupakki on rakennettu tekemään tämä mahdolliseksi ennen seuraavaa tiistaiaamun hälytystä. Lataa asiaankuuluvat Clarysec-politiikat, järjestä määräaikavetoinen pöytäharjoitus ja pyydä Clarysec-arviointi, jotta tietoturvapoikkeamiin reagointisuunnitelmastasi tulee auditointivalmis näyttöjärjestelmä.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
