Dokazi za tehničke i organizacijske mjere (TOM) prema GDPR Article 32 uz ISO, NIS2 i DORA
E-poruka stiže u pretinac CISO-a s poznatom težinom posla koji bi mogao obilježiti cijelo tromjesečje organizacije.
Veliki potencijalni klijent iz enterprise segmenta traži dokaze o „tehničkim i organizacijskim mjerama prema GDPR Article 32, mapiranima na ISO 27001:2022, NIS2 i DORA gdje je primjenjivo”. Istodobno je pravni tim izvijestio upravu o odgovornosti rukovodstva prema NIS2 i očekivanjima operativne otpornosti prema DORA. Uputa uprave zvuči jednostavno: dokazati usklađenost, izbjeći dvostruki rad i ne pretvoriti ovo u tri odvojena projekta.
Organizacija ima kontrole. MFA je omogućena. Sigurnosne kopije se izrađuju. Razvojni inženjeri provode pregled koda. Tim za privatnost održava evidenciju aktivnosti obrade. Infrastrukturni tim provodi skeniranja ranjivosti. Dobavljači se provjeravaju tijekom nabave. No kada potencijalni klijent zatraži dokaze, odgovor se raspada na nepovezane dijelove.
Izvješće pružatelja identiteta nalazi se na jednom mjestu. Dnevnici sigurnosnih kopija na drugom. Registar rizika nije ažuriran od posljednjeg izdanja proizvoda. Dokazi o sigurnosti dobavljača nalaze se u e-pošti nabave. Postoje bilješke sa stolne vježbe odgovora na incidente, ali nitko ne može dokazati da su naučene lekcije vraćene u obradu rizika. Uprava je odobrila ulaganje u sigurnost, ali odobrenje nije povezano s IKT rizikom ni dokumentiranom odlukom o kontroli.
To je stvarni problem tehničkih i organizacijskih mjera prema GDPR Article 32, često nazivanih TOM. Većina organizacija ne pada zato što nema kontrole. Pada zato što ne može dokazati da su kontrole utemeljene na riziku, odobrene, implementirane, praćene i poboljšavane.
Načelo odgovornosti prema GDPR-u izričito postavlja to očekivanje. GDPR Article 5 zahtijeva da se osobni podaci štite odgovarajućom sigurnošću od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja. Article 5(2) čini voditelja obrade odgovornim za dokazivanje usklađenosti. Važne su i definicije iz GDPR-a. Osobni podaci širok su pojam, obrada obuhvaća gotovo svaku radnju nad podacima, pseudonimizacija je priznata zaštitna mjera, a povreda osobnih podataka uključuje slučajno ili nezakonito uništenje, gubitak, izmjenu, neovlašteno otkrivanje ili pristup.
Datoteka dokaza za Article 32 stoga ne može biti mapa nasumičnih snimki zaslona. Mora biti živ sustav kontrola.
Clarysecov pristup pretvara tehničke i organizacijske mjere prema GDPR Article 32 u sljediv mehanizam dokazivanja izgrađen na ISO/IEC 27001:2022 ISO/IEC 27001:2022, ojačan upravljanjem rizicima prema ISO/IEC 27005:2022 i povezan s obvezama NIS2 i DORA gdje se primjenjuju. Cilj nije dokumentacija sama sebi svrhom. Cilj je osigurati da organizacija bude spremna za reviziju prije nego što klijent, revizor, regulator ili član uprave postavi teško pitanje.
Zašto tehničke i organizacijske mjere prema GDPR Article 32 ne funkcioniraju u praksi
Article 32 često se pogrešno razumije kao popis sigurnosnih alata: šifriranje, sigurnosne kopije, evidentiranje događaja, kontrola pristupa i odgovor na incidente. Te su mjere važne, ali ih je moguće opravdati samo kada su primjerene riziku i povezane sa životnim ciklusom osobnih podataka.
Za SaaS organizaciju koja obrađuje podatke o zaposlenicima klijenata, izjava „koristimo šifriranje” nije dovoljna. Revizor može pitati koje podatke šifriranje štiti, gdje je šifriranje obvezno, kako se upravlja ključevima, jesu li sigurnosne kopije šifrirane, jesu li produkcijski podaci maskirani u testiranju, tko može zaobići kontrole i kako se odobravaju iznimke.
Clarysecova korporativna Politika zaštite podataka i privatnosti sažima operativno načelo:
„Implementirati tehničke i organizacijske mjere (TOM) koje štite povjerljivost, cjelovitost i dostupnost osobnih podataka (PII) tijekom njihova životnog ciklusa.”
Izvor: Politika zaštite podataka i privatnosti, Ciljevi, točka politike 3.3. Politika zaštite podataka i privatnosti
Izraz „tijekom njihova životnog ciklusa” mjesto je na kojem mnogi TOM programi postaju slabi. Osobni podaci mogu biti zaštićeni u produkciji, ali kopirani u analitičke sustave, dnevnike, izvoze za podršku, testna okruženja, sigurnosne kopije, platforme dobavljača i uređaje zaposlenika. Svaka lokacija stvara sigurnosni rizik i rizik za privatnost.
GDPR Article 6 zahtijeva pravnu osnovu za obradu, uključujući privolu, ugovor, pravnu obvezu, životno važne interese, zadaću od javnog interesa ili legitimne interese. Kada se podaci ponovno koriste za daljnju svrhu, moraju se razmotriti usklađenost svrha i zaštitne mjere poput šifriranja ili pseudonimizacije. Za podatke višeg rizika teret dokazivanja raste. GDPR Article 9 strogo ograničava posebne kategorije osobnih podataka, kao što su zdravstveni podaci, biometrijski podaci koji se koriste za identifikaciju i druge osjetljive informacije. Article 10 ograničava podatke o kaznenim osudama i kažnjivim djelima.
Za SME, Clarysec izražava obradu rizika praktičnim jezikom:
„Kontrole se moraju implementirati radi smanjenja identificiranih rizika, uključujući šifriranje, anonimizaciju, sigurno zbrinjavanje i ograničenja pristupa.”
Izvor: Politika zaštite podataka i privatnosti za SME, Obrada rizika i iznimke, točka politike 7.2.1. Politika zaštite podataka i privatnosti - SME
To je snažno polazište za TOM. Da bi postala spremna za reviziju, svaka kontrola mora biti povezana s rizikom, vlasnikom, zahtjevom politike, dokaznom stavkom i učestalošću pregleda.
ISO 27001:2022 temelj je za dokaze prema Article 32
ISO 27001:2022 dobro odgovara za GDPR Article 32 jer sigurnost tretira kao sustav upravljanja, a ne kao nepovezan kontrolni popis. Zahtijeva sustav upravljanja informacijskom sigurnošću (ISMS) oblikovan za očuvanje povjerljivosti, cjelovitosti i dostupnosti kroz upravljanje rizicima.
Prvi ključni korak je opseg. Točke 4.1 do 4.4 norme ISO 27001:2022 zahtijevaju da organizacija razumije unutarnja i vanjska pitanja, utvrdi zainteresirane strane i zahtjeve, odredi koji će zahtjevi biti obuhvaćeni ISMS-om te definira opseg ISMS-a, uključujući sučelja i ovisnosti s vanjskim organizacijama. Za tehničke i organizacijske mjere prema Article 32 opseg ISMS-a treba odražavati obradu osobnih podataka, obveze prema klijentima, izvršitelje obrade, podizvršitelje obrade, platforme u oblaku, rad na daljinu, funkcije podrške i produkcijska okruženja.
Drugi korak je vodstvo. Točke 5.1 do 5.3 zahtijevaju predanost najvišeg rukovodstva, Politiku informacijske sigurnosti, resurse, uloge i odgovornosti te izvješćivanje o učinkovitosti. To je važno jer se GDPR Article 32, NIS2 i DORA oslanjaju na upravljanje. Kontrola bez vlasništva, financiranja ili pregleda slab je dokaz.
Clarysecova korporativna Politika informacijske sigurnosti to izričito navodi:
„ISMS mora uključivati definirane granice opsega, metodologiju procjene rizika, mjerljive ciljeve i dokumentirane kontrole opravdane u Izjavi o primjenjivosti (SoA).”
Izvor: Politika informacijske sigurnosti, Zahtjevi za implementaciju politike, točka politike 6.1.2. Politika informacijske sigurnosti
Ista politika postavlja očekivanje u pogledu dokaza:
„Sve implementirane kontrole moraju biti provjerljive u reviziji, podržane dokumentiranim postupcima i zadržanim dokazima o radu.”
Izvor: Politika informacijske sigurnosti, Zahtjevi za implementaciju politike, točka politike 6.6.1.
Točke 6.1.1 do 6.1.3 norme ISO 27001:2022 zatim zahtijevaju procjenu rizika, obradu rizika, Izjavu o primjenjivosti, odobrenje preostalog rizika i odgovornost vlasnika rizika. Točka 6.2 zahtijeva mjerljive ciljeve. Točke 7.5, 9.1, 9.2, 9.3 i 10.2 zahtijevaju dokumentirane informacije, praćenje, internu reviziju, preispitivanje uprave i korektivne radnje.
Za GDPR Article 32 to stvara dokazivu strukturu.
| Pitanje o dokazima za GDPR Article 32 | Odgovor kroz dokaze prema ISO 27001:2022 |
|---|---|
| Kako ste odlučili koje su tehničke i organizacijske mjere primjerene? | Kriteriji procjene rizika, registar rizika, bodovanje vjerojatnosti i utjecaja, plan obrade rizika |
| Koje se kontrole primjenjuju i zašto? | Izjava o primjenjivosti s obrazloženjima uključivanja i isključivanja |
| Tko je odobrio preostali rizik? | Odobrenje vlasnika rizika i potvrda uprave |
| Rade li kontrole? | Dnevnici, tiketi, zapisi pregleda, rezultati testiranja, izvješća o praćenju |
| Pregledavaju li se kontrole? | Izvješća interne revizije, zapisnici s preispitivanja uprave, zapisnik korektivnih radnji |
| Razmatraju li se rizici za osobne podatke? | Stavke rizika zaštite podataka, zahtjevi privatnosti u opsegu, DPIA ili ekvivalentna procjena gdje je primjenjivo |
ISO/IEC 27005:2022 jača ovu strukturu. Preporučuje organizacijama da identificiraju zahtjeve iz Annex A norme ISO 27001:2022, propisa, ugovora, sektorskih standarda, internih pravila i postojećih kontrola te ih uključe u procjenu i obradu rizika. Također zahtijeva kriterije rizika i kriterije prihvata koji uzimaju u obzir pravne, regulatorne, operativne, dobavljačke, tehnološke i ljudske čimbenike, uključujući privatnost.
Clarysecova Politika upravljanja rizicima izravno je usklađena:
„Formalni proces upravljanja rizicima mora se održavati u skladu s ISO/IEC 27005 i ISO 31000, obuhvaćajući identifikaciju rizika, analizu, vrednovanje, obradu, praćenje i komunikaciju.”
Izvor: Politika upravljanja rizicima, Zahtjevi upravljanja, točka politike 5.1. Politika upravljanja rizicima
Za SME isti zahtjev postaje jednostavan i provediv:
„Svaki zapis rizika mora uključivati: opis, vjerojatnost, utjecaj, ocjenu, vlasnika i plan obrade.”
Izvor: Politika upravljanja rizicima za SME, Zahtjevi upravljanja, točka politike 5.1.2. Politika upravljanja rizicima - SME
Ta je rečenica brzi test spremnosti za reviziju. Ako rizik nema vlasnika ili plan obrade, još nije spreman za dokazivanje.
Clarysecov most: rizik, SoA, kontrole i regulativa
Clarysecov Zenith Blueprint: revizijski plan u 30 koraka Zenith Blueprint tretira usklađenost kao rad na sljedivosti. U fazi Upravljanje rizicima, korak 13 usmjeren je na planiranje obrade rizika i Izjavu o primjenjivosti. Objašnjava da organizacije trebaju mapirati kontrole na rizike, dodati reference na kontrole iz Annex A u zapise obrade rizika, unakrsno povezati vanjsku regulativu i pribaviti odobrenje uprave.
Zenith Blueprint izravno opisuje ulogu SoA:
„SoA je zapravo povezni dokument: povezuje vašu procjenu/obradu rizika sa stvarnim kontrolama koje imate. Njegovim popunjavanjem ujedno provjeravate jeste li propustili neku kontrolu.”
Izvor: Zenith Blueprint: revizijski plan u 30 koraka, faza Upravljanje rizicima, korak 13: Planiranje obrade rizika i Izjava o primjenjivosti (SoA). Zenith Blueprint
Korak 14 u Zenith Blueprint dodaje sloj unakrsnog povezivanja s regulativom. Preporučuje organizacijama da dokumentiraju kako su zahtjevi GDPR-a, NIS2 i DORA pokriveni politikama i kontrolama. Za GDPR naglašava zaštitu osobnih podataka u procjenama i obradama rizika, uključujući šifriranje kao tehničku mjeru i odgovor na povredu kao dio kontrolnog okruženja. Za NIS2 ističe procjenu rizika, mrežnu sigurnost, kontrolu pristupa, postupanje s incidentima i neprekidnost poslovanja. Za DORA upućuje na upravljanje IKT rizicima, odgovor na incidente, izvješćivanje i nadzor nad IKT trećim stranama.
To je jezgra Clarysecove metode: jedan ISMS, jedan registar rizika, jedna SoA, jedna knjižnica dokaza, više ishoda usklađenosti.
Zenith Controls: vodič za unakrsnu usklađenost Zenith Controls podržava to pomažući organizacijama da teme kontrola iz ISO/IEC 27002:2022 ISO/IEC 27002:2022 koriste kao sidrišta za unakrsnu usklađenost. Za GDPR Article 32 najvažnija sidrišta često uključuju Privacy and Protection of PII, kontrola 5.34; Independent Review of Information Security, kontrola 5.35; i Use of Cryptography, kontrola 8.24.
| Sidrište kontrole ISO/IEC 27002:2022 u Zenith Controls | Zašto je važno za tehničke i organizacijske mjere prema Article 32 | Primjeri dokaza |
|---|---|---|
| 5.34 Privacy and Protection of PII | Povezuje kontrole informacijske sigurnosti s postupanjem s osobnim podacima i obvezama privatnosti | Popis podataka, procjena rizika privatnosti, raspored zadržavanja, zapisi DPA-a, pregledi pristupa |
| 5.35 Independent Review of Information Security | Dokazuje objektivno osiguranje, provjerljivost u reviziji i poboljšanje | Izvješće interne revizije, vanjska procjena, zapisnik korektivnih radnji, preispitivanje uprave |
| 8.24 Use of Cryptography | Štiti povjerljivost i cjelovitost podataka u prijenosu, u mirovanju i u sigurnosnim kopijama | Standard šifriranja, zapisi upravljanja ključevima, dokazi šifriranja diska, TLS konfiguracija, šifriranje sigurnosnih kopija |
NIS2 pretvara TOM u pitanje kibernetičke sigurnosti na razini uprave
Mnoge organizacije TOM prema GDPR-u tretiraju kao odgovornost tima za privatnost. NIS2 mijenja taj razgovor.
NIS2 primjenjuje se na mnoge srednje i velike subjekte u navedenim sektorima, a u nekim slučajevima neovisno o veličini. Obuhvaćeni digitalni i tehnološki sektori uključuju pružatelje usluga računalstva u oblaku, pružatelje usluga podatkovnih centara, mreže za isporuku sadržaja, pružatelje DNS usluga, registre TLD-ova, pružatelje usluga povjerenja, pružatelje javnih elektroničkih komunikacija, pružatelje upravljanih usluga, pružatelje upravljanih sigurnosnih usluga, internetska tržišta, tražilice i platforme društvenih mreža. Primjenjivost na SaaS i tehnološke SME ovisi o sektoru, veličini, imenovanju države članice te sistemskom ili prekograničnom utjecaju.
NIS2 Article 20 stavlja odgovornost za kibernetičku sigurnost na upravljačka tijela. Ona moraju odobriti mjere upravljanja rizicima kibernetičke sigurnosti, nadzirati implementaciju i proći osposobljavanje. Ključni subjekti mogu se suočiti s administrativnim novčanim kaznama od najmanje 10 milijuna EUR ili najmanje 2 posto ukupnog godišnjeg svjetskog prometa. Važni subjekti mogu se suočiti s kaznama od najmanje 7 milijuna EUR ili najmanje 1,4 posto.
NIS2 Article 21 izravno je relevantan za tehničke i organizacijske mjere prema Article 32 jer zahtijeva odgovarajuće i razmjerne tehničke, operativne i organizacijske mjere. Te mjere moraju uzeti u obzir najnovija dostignuća, europske i međunarodne standarde, troškove, izloženost, veličinu, vjerojatnost, ozbiljnost te društveni ili gospodarski utjecaj. Zahtijevana područja uključuju analizu rizika, sigurnosne politike, postupanje s incidentima, neprekidnost poslovanja, sigurnost opskrbnog lanca, sigurnu nabavu i razvoj, postupanje s ranjivostima, procjenu djelotvornosti, kibernetičku higijenu, osposobljavanje, kriptografiju, sigurnost ljudskih resursa, kontrolu pristupa, upravljanje imovinom, MFA ili kontinuiranu autentikaciju te sigurne komunikacije gdje je primjereno.
NIS2 Article 23 dodaje stupnjevito prijavljivanje incidenata: rano upozorenje u roku od 24 sata, obavijest o incidentu u roku od 72 sata, međuinformacije na zahtjev i završno izvješće najkasnije mjesec dana nakon obavijesti u roku od 72 sata. Ako povreda osobnih podataka ujedno predstavlja značajan incident prema NIS2, vaša datoteka dokaza mora podržati i odluke o izvješćivanju u području privatnosti i kibernetičke sigurnosti.
DORA podiže zahtjeve za financijsku otpornost i pružatelje IKT usluga
DORA se primjenjuje od 17. siječnja 2025. i uspostavlja pravila za digitalnu operativnu otpornost u financijskom sektoru. Obuhvaća upravljanje IKT rizicima, izvješćivanje o većim incidentima povezanima s IKT-om, testiranje operativne otpornosti, razmjenu informacija o kibernetičkim prijetnjama i ranjivostima, rizik IKT trećih strana, ugovorne zahtjeve za pružatelje IKT usluga, nadzor kritičnih pružatelja IKT usluga trećih strana i superviziju.
Za financijske subjekte koji su ujedno identificirani prema nacionalnim pravilima NIS2, DORA djeluje kao sektorski poseban pravni akt Unije za preklapajuće obveze upravljanja rizicima kibernetičke sigurnosti i izvješćivanja o incidentima. U praksi bi obuhvaćeni financijski subjekti trebali dati prednost DORA u tim područjima preklapanja, uz održavanje koordinacije s nadležnim tijelima i CSIRT-ovima prema NIS2 gdje je relevantno.
Za dokaze prema GDPR Article 32, DORA je važna na dva načina. Prvo, fintech organizacije mogu biti izravno u opsegu kao financijski subjekti, uključujući kreditne institucije, institucije za platni promet, pružatelje usluga informiranja o računima, institucije za elektronički novac, investicijska društva, pružatelje usluga povezanih s kriptoimovinom, mjesta trgovanja i pružatelje usluga skupnog financiranja. Drugo, financijski klijenti mogu SaaS, cloud, podatkovne, softverske i pružatelje upravljanih usluga tretirati kao pružatelje IKT usluga trećih strana jer DORA široko definira IKT usluge.
DORA Article 5 zahtijeva upravljanje i interne kontrole za upravljanje IKT rizicima, pri čemu upravljačko tijelo definira, odobrava, nadzire i ostaje odgovorno za aranžmane IKT rizika. Article 6 zahtijeva dokumentirani okvir za upravljanje IKT rizicima, uključujući strategije, politike, postupke, IKT protokole i alate za zaštitu informacija i IKT imovine. Article 17 zahtijeva proces upravljanja incidentima povezanima s IKT-om koji obuhvaća otkrivanje, upravljanje, obavješćivanje, evidentiranje, temeljni uzrok, pokazatelje ranog upozoravanja, klasifikaciju, uloge, komunikacije, eskalaciju i odgovor. Article 19 zahtijeva prijavu većih incidenata povezanih s IKT-om nadležnim tijelima.
DORA Articles 28 i 30 čine rizik IKT trećih strana reguliranom kontrolnom domenom. Financijski subjekti ostaju odgovorni za usklađenost kada koriste IKT usluge. Potrebni su im strategija rizika trećih strana, ugovorni registri, procjene kritičnosti, dubinska analiza dobavljača, pregled rizika koncentracije, prava na reviziju i inspekciju, okidači za raskid, izlazne strategije i ugovorne odredbe koje pokrivaju lokacije podataka, dostupnost, autentičnost, cjelovitost, povjerljivost, pomoć pri incidentima, oporavak, razine usluge i suradnju s nadležnim tijelima.
Za Article 32 to znači da su dobavljači dio datoteke TOM. Ne možete dokazati sigurnost obrade ako kritični izvršitelji obrade, platforme u oblaku, pružatelji analitike, alati za podršku i pružatelji IKT usluga nisu nadzirani i kontrolirani.
Praktična izgradnja dokaza za Article 32 u jednom tjednu
Snažna datoteka dokaza počinje jednim jasnim scenarijem rizika.
Upotrijebite ovaj primjer: „Neovlašteni pristup osobnim podacima klijenata u produkcijskoj aplikaciji.”
Izradite ili osvježite zapis rizika. Uključite opis, vjerojatnost, utjecaj, ocjenu, vlasnika i plan obrade. Dodijelite vlasnika voditelju inženjeringa, voditelju sigurnosti ili ekvivalentnoj odgovornoj ulozi. Ocijenite vjerojatnost na temelju modela pristupa, izložene napadne površine, poznatih ranjivosti i prethodnih incidenata. Ocijenite utjecaj na temelju volumena osobnih podataka, osjetljivosti, ugovora s klijentima, posljedica prema GDPR-u i mogućeg utjecaja na uslugu prema NIS2 ili DORA.
Odaberite mjere obrade kao što su MFA za pristup s povišenim ovlastima, kontrola pristupa na temelju uloga (RBAC), tromjesečni pregledi pristupa, šifriranje podataka u mirovanju, TLS, skeniranja ranjivosti, evidentiranje događaja, upozoravanje, sigurna sigurnosna kopija, postupci odgovora na incidente i maskiranje podataka u neprodukcijskim okruženjima.
Zatim mapirajte rizik na SoA. Dodajte reference ISO/IEC 27002:2022 kao što su 5.34 Privacy and Protection of PII, 8.24 Use of Cryptography, 5.15 Access Control, 5.18 Access Rights, 8.13 Information Backup, 8.15 Logging, 8.16 Monitoring Activities, 8.8 Management of Technical Vulnerabilities, 8.25 Secure Development Life Cycle i 8.10 Information Deletion gdje je primjenjivo. Dodajte napomene koje prikazuju kako te kontrole podržavaju GDPR Article 32, NIS2 Article 21 i upravljanje IKT rizicima prema DORA gdje je relevantno.
Za regulatorno mapiranje zadržite točne nazive kontrola i izbjegavajte nametanje lažne ekvivalencije.
| Kontrola ISO/IEC 27002:2022 | Naziv kontrole | Zašto je uključena | Regulatorno mapiranje |
|---|---|---|---|
| 8.24 | Use of Cryptography | Štiti povjerljivost i cjelovitost osobnih podataka u prijenosu, u mirovanju i u sigurnosnim kopijama | GDPR Art. 32; NIS2 Art. 21(2)(h) |
| 5.20 | Addressing information security within supplier agreements | Osigurava da su sigurnosne obveze dobavljača ugovorno definirane i provedive | Kontrole izvršitelja obrade prema GDPR-u; NIS2 Art. 21(2)(d); DORA Art. 28 i Art. 30 |
| 5.24 | Information security incident management planning and preparation | Uspostavlja spremnost za otkrivanje, eskalaciju, procjenu i izvješćivanje | Odgovornost za povrede prema GDPR-u; NIS2 Art. 23; DORA Art. 17 i Art. 19 |
| 8.13 | Information Backup | Podržava dostupnost, povrat podataka i otpornost nakon prekida ili gubitka podataka | GDPR Art. 32; NIS2 Art. 21(2)(c); očekivanja DORA u pogledu IKT kontinuiteta |
| 8.10 | Information Deletion | Podržava sigurno zbrinjavanje, provedbu rokova zadržavanja i minimizaciju podataka | Ograničenje pohrane prema GDPR-u i Art. 32; ugovorni zahtjevi klijenata |
Sada izradite mapu dokaza. Clarysecova Politika praćenja revizije i usklađenosti za SME daje jednostavno pravilo:
„Svi dokazi moraju se pohraniti u centraliziranu mapu za reviziju.”
Izvor: Politika praćenja revizije i usklađenosti za SME, Zahtjevi za implementaciju politike, točka politike 6.2.1. Politika praćenja revizije i usklađenosti - SME
Za ovaj jedan scenarij rizika mapa bi trebala sadržavati:
| Dokazna stavka | Što pohraniti | Zašto je važno |
|---|---|---|
| Zapis rizika | Opis rizika, vlasnik, ocjena, plan obrade i odluka o preostalom riziku | Dokazuje odabir TOM-a utemeljen na riziku |
| Izvadak SoA | Primjenjive kontrole i napomene za GDPR, NIS2, DORA | Pokazuje sljedivost od rizika do kontrole |
| Pregled pristupa | Pregledani korisnici, odluke, uklanjanja i iznimke | Dokazuje rad kontrole pristupa |
| MFA izvješće | Izvoz koji prikazuje provedbu MFA-a za pristup s povišenim ovlastima | Podržava dokaze o autentikaciji |
| Dokazi šifriranja | Konfiguracijski zapis, arhitektonska napomena ili zapis upravljanja ključevima | Podržava povjerljivost i cjelovitost |
| Zapis ranjivosti | Najnovije skeniranje, tiketi za otklanjanje i prihvaćene iznimke | Podržava smanjenje tehničkog rizika |
| Dokaz evidentiranja događaja | Uzorak SIEM događaja, pravilo upozorenja i postavka zadržavanja | Podržava otkrivanje i istragu |
| Test sigurnosne kopije | Rezultat testa povrata i zapis obuhvata sigurnosnog kopiranja | Podržava dostupnost i otpornost |
| Vježba incidenta | Bilješke stolne vježbe, testni zapis incidenta ili zapis naučenih lekcija | Podržava spremnost odgovora |
| Odobrenje uprave | Zapisnik sastanka, potvrda ili zapis prihvaćanja rizika | Podržava odgovornost i razmjernost |
Dokazi o pristupu ne smiju stati na snimkama zaslona. Politika kontrole pristupa za SME dodaje koristan operativni zahtjev:
„IT Manager mora dokumentirati rezultate pregleda i korektivne radnje.”
Izvor: Politika kontrole pristupa za SME, Zahtjevi upravljanja, točka politike 5.5.3. Politika kontrole pristupa - SME
Dokazi o sigurnosnim kopijama moraju dokazati mogućnost oporavka, a ne samo uspješno izvršene poslove. Politika sigurnosnog kopiranja i povrata podataka za SME navodi:
„Testovi povrata provode se najmanje tromjesečno, a rezultati se dokumentiraju radi provjere mogućnosti oporavka.”
Izvor: Politika sigurnosnog kopiranja i povrata podataka za SME, Zahtjevi upravljanja, točka politike 5.3.3. Politika sigurnosnog kopiranja i vraćanja podataka - SME
Time dobivate potpunu dokaznu petlju: regulativa stvara zahtjev, rizik objašnjava zašto je važan, SoA odabire kontrolu, politika definira rad, a zadržani dokazi potvrđuju da kontrola funkcionira.
Kontrole u praksi: pretvaranje politike u operativni dokaz
Faza Zenith Blueprint „Kontrole u praksi”, korak 19, usmjerena je na tehničku provjeru. Preporučuje pregled usklađenosti sigurnosti krajnjih točaka, upravljanje identitetom i pristupom, konfiguracije autentikacije, sigurnost upravljanja izvornim kodom, kapacitet i dostupnost, upravljanje ranjivostima i zakrpama, sigurne polazne konfiguracije, zaštitu od zlonamjernog softvera, brisanje i minimizaciju podataka, maskiranje i testne podatke, DLP, sigurnosno kopiranje i povrat podataka, redundanciju, evidentiranje događaja i praćenje te sinkronizaciju vremena.
Za tehničke i organizacijske mjere prema GDPR Article 32, korak 19 mjesto je na kojem apstraktni jezik kontrola postaje dokaz. Snažna datoteka dokaza trebala bi pokazati da:
- Šifriranje krajnjih uređaja omogućeno je i prati se.
- Korisnici s povišenim ovlastima imaju MFA.
- Procesi za nove zaposlenike, promjene radnog mjesta i odlaske usklađuju se s HR zapisima.
- Servisni računi dokumentirani su i ograničeni.
- Repozitoriji koda imaju kontrolu pristupa i provodi se skeniranje tajni.
- Skeniranja ranjivosti provode se i prate do otklanjanja.
- Produkcijski podaci ne kopiraju se neformalno u testna okruženja.
- Politike sigurnog brisanja i zadržavanja provode se.
- DLP upozorenja se pregledavaju.
- Testovi povrata sigurnosnih kopija dokazuju mogućnost oporavka.
- Dnevnici su centralizirani, zadržani i pregledljivi.
- Sinkronizacija vremena podržava pouzdanu istragu incidenata.
Ključ je povezivanje. Izvješće o zakrpama bez reference na rizik, politiku i SoA IT je artefakt. Izvješće o zakrpama povezano s GDPR Article 32, NIS2 Article 21, upravljanjem IKT rizicima prema DORA i planom obrade rizika prema ISO 27001:2022 dokaz je spreman za reviziju.
Jedna datoteka dokaza, više revizijskih pogleda
Iste dokaze TOM-a različiti će dionici čitati različito. Pregledavatelj privatnosti može se usredotočiti na osobne podatke, nužnost, razmjernost i odgovornost. Revizor ISO 27001 može se usredotočiti na opseg, obradu rizika, SoA i dokaze o radu. Tijelo nadležno za NIS2 može se usredotočiti na nadzor uprave, mjere iz Article 21 i spremnost za izvješćivanje prema Article 23. DORA nadzorno tijelo ili financijski klijent može se usredotočiti na upravljanje IKT rizicima, testiranje otpornosti i ovisnosti o trećim stranama.
Clarysec koristi Zenith Controls kao vodič za unakrsnu usklađenost za ovo prevođenje između zahtjeva.
| Publika | Što će pitati | Kako dokazi trebaju odgovoriti |
|---|---|---|
| Pregledavatelj privatnosti prema GDPR-u | Jesu li TOM primjerene riziku za osobne podatke i može li se dokazati odgovornost? | Registar rizika, popis podataka, kontrole privatnosti, zapisi zadržavanja, ograničenja pristupa, dokazi šifriranja i zapisi procjene povrede |
| Revizor ISO 27001:2022 | Je li ISMS opsežno definiran, utemeljen na riziku, implementiran, praćen i poboljšavan? | Opseg, metodologija rizika, SoA, interna revizija, preispitivanje uprave i korektivne radnje |
| Pregledavatelj NIS2 | Jesu li mjere kibernetičke sigurnosti odobrene, razmjerne i pokrivaju li područja iz Article 21? | Odobrenje uprave, sigurnosne politike, postupanje s incidentima, kontinuitet, rizik dobavljača, osposobljavanje, MFA i upravljanje ranjivostima |
| DORA nadzorno tijelo ili financijski klijent | Upravlja li se IKT rizikom, testira li se otpornost i je li rizik nadziran, uključujući rizik IKT trećih strana? | Okvir IKT rizika, strategija otpornosti, proces incidenta, dokazi testiranja, registar dobavljača i izlazni planovi |
| Procjenitelj usmjeren na NIST | Može li organizacija identificirati, zaštititi, otkriti, odgovoriti i oporaviti se korištenjem ponovljivih dokaza? | Popis imovine i podataka, zaštitne kontrole, zapisi praćenja, dnevnici odgovora i testovi oporavka |
| COBIT 2019 ili ISACA revizor | Je li upravljanje odgovorno, mjerljivo i usklađeno s ciljevima organizacije? | Uloge, izvješćivanje uprave, apetit za rizik, metrike učinkovitosti, rezultati osiguranja i radnje poboljšanja |
Time se sprječava dvostruki rad na usklađenosti. Umjesto izrade zasebnih paketa dokaza za GDPR, NIS2 i DORA, izradite jednu datoteku dokaza o kontrolama i označite svaku stavku prema obvezama koje podržava.
Česte praznine u programima TOM prema Article 32
Najčešća praznina je napuštena kontrola. Organizacija ima kontrolu, primjerice šifriranje, ali ne može objasniti koji rizik ona obrađuje, koja je politika zahtijeva, tko je njezin vlasnik ili kako se pregledava.
Druga praznina su slabi dokazi o dobavljačima. Prema GDPR-u, izvršitelji obrade i podizvršitelji obrade su važni. Prema NIS2, sigurnost opskrbnog lanca dio je upravljanja rizicima kibernetičke sigurnosti. Prema DORA, rizik IKT trećih strana regulirana je domena s registrima, dubinskom analizom dobavljača, ugovornim zaštitnim mjerama, pravima na reviziju i izlaznim planiranjem. Tablica dobavljača nije dovoljna ako kritične ovisnosti nisu procijenjene po riziku i kontrolirane.
Treća praznina su dokazi o incidentima. Organizacije često imaju Plan odgovora na incidente, ali nemaju dokaz da su klasifikacija, eskalacija, izvješćivanje nadležnim tijelima i komunikacija s klijentima testirani. NIS2 i DORA ovdje podižu očekivanja, a procjena povrede osobnih podataka prema GDPR-u mora biti integrirana u isti radni tok.
Četvrta praznina su dokazi o sigurnosnim kopijama. Uspješan posao sigurnosnog kopiranja ne dokazuje mogućnost oporavka. Dokumentirani test povrata to dokazuje.
Peta praznina je preispitivanje uprave. TOM prema Article 32 moraju biti razmjerne riziku. Ako uprava nikada ne pregledava rizike, incidente, pitanja dobavljača, proračun, nalaze revizije i preostali rizik, razmjernost postaje teško dokaziva.
Završni alatni skup spreman za reviziju
Faza Zenith Blueprint „Revizija, pregled i poboljšanje”, korak 30, pruža završni kontrolni popis spremnosti. Uključuje opseg i kontekst ISMS-a, potpisanu Politiku informacijske sigurnosti, dokumente procjene i obrade rizika, SoA, politike i postupke iz Annex A, zapise o osposobljavanju, operativne zapise, izvješće interne revizije, zapisnik korektivnih radnji, zapisnike preispitivanja uprave, dokaze kontinuiranog poboljšanja i zapise o obvezama usklađenosti.
Clarysecova korporativna Politika praćenja revizije i usklađenosti navodi svrhu ove discipline:
„Generirati dokazive dokaze i revizijski trag za potrebe regulatornih upita, pravnih postupaka ili zahtjeva klijenata za pružanje potvrda.”
Izvor: Politika praćenja revizije i usklađenosti, Ciljevi, točka politike 3.4. Politika praćenja revizije i usklađenosti
Zrela datoteka dokaza za TOM prema Article 32 trebala bi uključivati:
| Kategorija dokaza | Minimalni sadržaj spreman za reviziju |
|---|---|
| Upravljanje | Opseg ISMS-a, odobrenje politike, uloge, ciljevi, zapisnici preispitivanja uprave |
| Rizik | Metodologija rizika, registar rizika, plan obrade, odobrenja preostalog rizika |
| SoA | Primjenjive kontrole, isključenja, obrazloženja i regulatorno mapiranje |
| Privatnost | Popis podataka, kontrole PII, dokazi zadržavanja, DPIA ili procjena rizika privatnosti gdje je primjenjivo |
| Tehničke kontrole | MFA, pregledi pristupa, šifriranje, upravljanje ranjivostima, evidentiranje događaja, praćenje i dokazi sigurnog razvoja |
| Otpornost | Obuhvat sigurnosnog kopiranja, testovi povrata, planovi kontinuiteta, vježbe incidenta i metrike oporavka |
| Osiguranje dobavljača | Registar dobavljača, dubinska analiza dobavljača, ugovorne odredbe, praćenje, prava na reviziju i izlazno planiranje |
| Poboljšanje | Interne revizije, korektivne radnje, naučene lekcije i pregledi djelotvornosti kontrola |
Sljedeći koraci: izgradite dokaze za TOM prema Article 32 s Clarysec
Ako trebate dokazati tehničke i organizacijske mjere prema GDPR Article 32, nemojte početi prikupljanjem nasumičnih snimki zaslona. Počnite sa sljedivošću.
- Definirajte opseg ISMS-a i granice obrade osobnih podataka.
- Identificirajte GDPR, NIS2, DORA, ugovorne i klijentske zahtjeve.
- Izradite kriterije rizika koristeći ISO/IEC 27005:2022 i apetit za rizik koji je odobrila uprava.
- Izradite ili osvježite registar rizika.
- Mapirajte svaku obradu na kontrole ISO 27001:2022 i SoA.
- Upotrijebite Zenith Controls za unakrsno povezivanje kontrola privatnosti, kriptografije, dobavljača, incidenata i neovisnog pregleda kroz očekivanja usklađenosti.
- Slijedite Zenith Blueprint korak 13 i korak 14 kako biste povezali rizike, kontrole i regulatorne obveze.
- Upotrijebite Zenith Blueprint korak 19 za provjeru tehničkih kontrola u radu.
- Upotrijebite Zenith Blueprint korak 30 za sastavljanje završne datoteke dokaza spremne za reviziju.
- Sve dokaze pohranite centralno, označite ih prema riziku i temi kontrole te održavajte korektivne radnje vidljivima.
Clarysec vam može pomoći pretvoriti GDPR Article 32 iz nejasne obveze usklađenosti u dokaziv sustav dokaza utemeljen na riziku, usklađen s ISO 27001:2022, NIS2 i DORA.
Počnite s Zenith Blueprint, ojačajte ga Clarysec politikama i upotrijebite Zenith Controls kako bi svaka TOM bila sljediva, provjerljiva i spremna za reviziju.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
