Dokazi o kibernetičkoj higijeni prema NIS2 mapirani na ISO 27001
Ponedjeljak je, 08:40. Sarah, CISO brzorastućeg B2B SaaS pružatelja, uključuje se u poziv rukovodstva očekujući rutinski pregled otvorenih radnji povezanih s rizicima. Umjesto toga, glavni pravni savjetnik otvara sastanak znatno izravnijim pitanjem:
„Ako nas nacionalno nadležno tijelo sutra zatraži dokaz kibernetičke higijene i osposobljavanja o kibernetičkoj sigurnosti prema NIS2 Article 21, što točno šaljemo?”
Direktor HR-a kaže da je svaki zaposlenik završio godišnje obnovno osposobljavanje za podizanje svijesti. Voditelj SOC-a kaže da se rezultati simulacija phishinga poboljšavaju. Voditelj IT operacija kaže da je MFA proveden, da se sigurnosne kopije testiraju i da se zakrpavanje prati. Rukovoditelj usklađenosti kaže da revizijski dosje ISO/IEC 27001:2022 sadržava zapise o osposobljavanju, ali projektni tim za DORA ima vlastite dokaze o osposobljavanju za otpornost, dok mapa za GDPR sadržava zasebne dnevnike osposobljavanja za podizanje svijesti o privatnosti.
Svi su nešto napravili. Nitko nije siguran da dokazi pričaju jednu koherentnu priču.
To je stvarni problem NIS2 Article 21 za ključne i važne subjekte. Zahtjev nije samo „osposobiti korisnike”. Article 21 zahtijeva primjerene i razmjerne tehničke, operativne i organizacijske mjere za upravljanje kibernetičkim rizikom. Minimalni skup kontrola uključuje kibernetičku higijenu i osposobljavanje o kibernetičkoj sigurnosti, ali i postupanje s incidentima, kontinuitet poslovanja, sigurnost opskrbnog lanca, postupanje s ranjivostima, kriptografiju, sigurnost ljudskih resursa, kontrolu pristupa, upravljanje imovinom, MFA ili kontinuiranu autentikaciju, sigurne komunikacije i postupke za procjenu učinkovitosti.
Kibernetička higijena nije kampanja podizanja svijesti. To je svakodnevna operativna disciplina koja povezuje ljude, kontrole, dokaze i odgovornost uprave.
Za CISO-e, rukovoditelje usklađenosti, MSP-ove, SaaS pružatelje, operatore oblaka i pružatelje digitalnih usluga praktičan odgovor nije izrada zasebnog „NIS2 projekta osposobljavanja”. Snažniji je pristup izgraditi jedinstven revizijski spreman lanac dokaza unutar ISMS-a prema ISO/IEC 27001:2022, podržan kontrolnim praksama ISO/IEC 27002:2022, upravljan rizicima prema ISO/IEC 27005:2022 i unakrsno povezan s očekivanjima NIS2, DORA, GDPR, osiguranja u stilu NIST-a i upravljanja prema COBIT 2019.
Zašto NIS2 Article 21 pretvara osposobljavanje u dokaz za upravu
NIS2 se primjenjuje na brojne srednje i velike subjekte u sektorima iz Priloga I i Priloga II koji pružaju usluge ili obavljaju djelatnosti u Uniji. Za tehnološka društva opseg može biti širi nego što mnoga rukovodstva očekuju. Prilog I obuhvaća digitalnu infrastrukturu, uključujući pružatelje usluga računalstva u oblaku, pružatelje usluga podatkovnih centara, pružatelje mreža za isporuku sadržaja, pružatelje usluga povjerenja, DNS service providers i TLD registre. Prilog I također obuhvaća upravljanje IKT uslugama u B2B okruženju, uključujući pružatelje upravljanih usluga i pružatelje upravljanih sigurnosnih usluga. Prilog II uključuje digitalne pružatelje kao što su internetska tržišta, internetske tražilice i platforme društvenih mreža.
Neki subjekti mogu biti obuhvaćeni neovisno o veličini, uključujući određene DNS service providers i TLD registre. Nacionalne odluke o kritičnosti također mogu obuhvatiti manje pružatelje ako bi prekid mogao utjecati na javnu sigurnost, sistemski rizik ili ključne usluge.
Article 21(1) zahtijeva da ključni i važni subjekti provedu primjerene i razmjerne tehničke, operativne i organizacijske mjere za upravljanje rizicima za mrežne i informacijske sustave koji se upotrebljavaju za operacije ili pružanje usluga te za sprječavanje ili minimiziranje utjecaja incidenata. Article 21(2) navodi minimalne mjere, uključujući politike za analizu rizika i sigurnost informacijskih sustava, postupanje s incidentima, kontinuitet poslovanja, sigurnost opskrbnog lanca, sigurnu nabavu i održavanje, procjenu učinkovitosti, osnovne prakse kibernetičke higijene i osposobljavanje o kibernetičkoj sigurnosti, kriptografiju, sigurnost ljudskih resursa, kontrolu pristupa, upravljanje imovinom te MFA ili kontinuiranu autentikaciju kada je primjereno.
Article 20 povećava ulog. Upravljačka tijela moraju odobriti mjere upravljanja kibernetičkim rizicima, nadzirati njihovu provedbu i mogu se smatrati odgovornima za povrede. Članovi upravljačkih tijela moraju pohađati osposobljavanje, a subjekte se potiče da slično redovito osposobljavanje pruže zaposlenicima kako bi mogli prepoznati rizike i procijeniti prakse upravljanja kibernetičkim rizicima te njihov utjecaj na usluge.
Article 34 dodaje financijski pritisak. Povrede Article 21 ili Article 23 mogu dovesti do upravnih novčanih kazni u iznosu od najmanje 10.000.000 EUR ili 2% ukupnog godišnjeg svjetskog prometa za ključne subjekte, odnosno najmanje 7.000.000 EUR ili 1,4% za važne subjekte, ovisno o tome koji je iznos viši.
Zato „proveli smo godišnje osposobljavanje za podizanje svijesti” nije dovoljno. Regulator, ISO revizor, procjenitelj sigurnosti klijenta ili kibernetički osiguratelj očekivat će dokaze da je osposobljavanje temeljeno na ulogama, utemeljeno na riziku, ažurno, mjerljivo, povezano s incidentima i razumljivo upravi.
Clarysecova korporativna Politika podizanja svijesti i osposobljavanja o informacijskoj sigurnosti, točka 5.1.1.3, zahtijeva da osposobljavanje:
Obuhvati teme kao što su phishing, higijena lozinki, prijavljivanje incidenata i upravljanje incidentima, fizička sigurnost te zaštita i minimizacija podataka
Ista politika, točka 8.3.1.1, utvrđuje liniju dokaza koju revizori obično prvo traže:
Zapisi o dodjeli, potvrdi upoznatosti i završetku osposobljavanja
Za MSP, Clarysecova Politika podizanja svijesti i osposobljavanja o informacijskoj sigurnosti – SME, točka 8.4.1, još je izravnija u pogledu revizibilnosti:
Zapisi o osposobljavanju podliježu internoj reviziji i vanjskom pregledu. Zapisi moraju biti točni, potpuni i dokazivi na zahtjev (npr. za ISO certifikaciju, GDPR reviziju ili provjeru osiguratelja).
Ta rečenica obuhvaća razliku između podizanja svijesti kao HR aktivnosti i podizanja svijesti kao kontrole usklađenosti. Ako su zapisi nepotpuni, neprovjerljivi ili nisu povezani s rizikom uloge, kontrola može operativno postojati, ali pasti na reviziji.
Koristite ISO/IEC 27001:2022 kao okosnicu dokaza
ISO/IEC 27001:2022 prirodna je okosnica za NIS2 Article 21 jer organizaciju prisiljava da definira opseg, zainteresirane strane, rizike, kontrole, ciljeve, dokaze, internu reviziju, preispitivanje od strane uprave i kontinuirano poboljšavanje.
Točke 4.1 do 4.4 zahtijevaju da organizacija razumije unutarnja i vanjska pitanja, utvrdi zainteresirane strane i njihove zahtjeve, definira opseg ISMS-a, razmotri sučelja i ovisnosti s aktivnostima koje obavljaju druge organizacije te održava ISMS kao međusobno povezan skup procesa. Za SaaS pružatelja ili MSP-a opseg ISMS-a treba izričito uključiti obveze prema NIS2, ugovorne obveze prema klijentima, ovisnosti o pružateljima usluga u oblaku, pokrivenost vanjskog SOC-a, uloge u obradi podataka i obveze dostupnosti usluga.
Točke 5.1 do 5.3 uvode odgovornost rukovodstva. Najviše rukovodstvo mora uskladiti politiku informacijske sigurnosti i ciljeve sa strateškim usmjerenjem, integrirati zahtjeve ISMS-a u poslovne procese, osigurati resurse, dodijeliti odgovornosti i osigurati izvješćivanje o učinkovitosti. To se izravno poklapa s NIS2 Article 20, gdje upravljačka tijela odobravaju i nadziru mjere upravljanja kibernetičkim rizicima.
Točke 6.1.1 do 6.1.3 i 6.2 pretvaraju pravna očekivanja u obradu rizika. Organizacija mora planirati radnje za rizike i prilike, provoditi ponovljiv proces procjene rizika informacijske sigurnosti, odrediti vlasnike rizika, odabrati opcije obrade, usporediti kontrole s Prilogom A, izraditi Izjavu o primjenjivosti, formulirati plan obrade, pribaviti odobrenje vlasnika rizika i postaviti mjerljive sigurnosne ciljeve.
Tu NIS2 Article 21 postaje upravljiv. Ne trebate nepovezan NIS2 program podizanja svijesti. Trebate mapiranu priču o rizicima i kontrolama.
| Područje zahtjeva NIS2 | Mehanizam dokaza prema ISO/IEC 27001:2022 | Praktični dokazi |
|---|---|---|
| Odobrenje i nadzor uprave | Točke 5.1, 5.3, 9.3 | Zapisnici uprave, paket za preispitivanje od strane uprave, dodjele uloga, odobrenja proračuna |
| Kibernetička higijena i osposobljavanje | Točka 7.2, točka 7.3, kontrole osoblja i tehnološke kontrole iz Priloga A | Plan osposobljavanja, izvozi iz LMS-a, matrica uloga, rezultati phishinga, potvrde upoznatosti s politikom |
| Analiza rizika i sigurnosna politika | Točke 6.1.2, 6.1.3, 6.2 | Procjena rizika, plan obrade rizika, Izjava o primjenjivosti, sigurnosni ciljevi |
| Procjena učinkovitosti | Točke 9.1, 9.2, 10.2 | KPI-jevi, rezultati interne revizije, korektivne radnje, rezultati testiranja kontrola |
| Postupanje s incidentima i spremnost za prijavljivanje | Kontrole upravljanja incidentima iz Priloga A | Operativne upute za incidente, zapisi o eskalaciji, izvješća stolnih vježbi, zapisi o očuvanju dokaza |
| Ovisnost o opskrbnom lancu i oblaku | Kontrole dobavljača i usluga u oblaku iz Priloga A | Registar dobavljača, dubinska analiza dobavljača, ugovori, planovi izlaska, pregledi usluga |
| Pristup, upravljanje imovinom i MFA | Kontrole pristupa, imovine i identiteta iz Priloga A | Popis imovine, pregledi pristupa, MFA izvješća, dokazi o privilegiranom pristupu |
Točke 8.1 do 8.3, 9.1 do 9.3 i 10.1 do 10.2 zatvaraju operativni krug. One zahtijevaju planiranu operativnu kontrolu, ponovno procjenjivanje rizika, provedbu planova obrade, praćenje i mjerenje, internu reviziju, preispitivanje od strane uprave, kontinuirano poboljšavanje i korektivne radnje. ISO/IEC 27001:2022 postaje pokretač dokaza za NIS2 Article 21, a ne samo certifikacijska oznaka.
Prevedite kibernetičku higijenu u sidra ISO kontrola
„Kibernetička higijena” namjerno je širok pojam. Za revizore se mora prevesti u konkretne, provjerljive kontrole. Clarysec obično započinje dokaze o kibernetičkoj higijeni prema NIS2 Article 21 s tri praktična sidra kontrola iz ISO/IEC 27002:2022, tumačena kroz Zenith Controls: vodič za unakrsnu usklađenost.
Prvo sidro je kontrola ISO/IEC 27002:2022 6.3, podizanje svijesti, edukacija i osposobljavanje o informacijskoj sigurnosti. U Zenith Controls, 6.3 se tretira kao preventivna kontrola koja podupire povjerljivost, cjelovitost i dostupnost. Njezina operativna sposobnost je sigurnost ljudskih resursa, a njezin koncept kibernetičke sigurnosti je zaštita. Time se podizanje svijesti postavlja kao zaštitna kontrola, a ne kao komunikacijska aktivnost.
Zenith Controls također pokazuje kako 6.3 ovisi o drugim kontrolama i kako ih pojačava. Povezuje se s 5.2 uloge i odgovornosti u informacijskoj sigurnosti jer osposobljavanje mora odražavati dodijeljene odgovornosti. Povezuje se sa 6.8 prijavljivanje događaja informacijske sigurnosti jer osoblje ne može prijaviti ono što ne prepoznaje. Povezuje se s 8.16 aktivnosti praćenja jer SOC analitičari i operativno osoblje trebaju osposobljavanje za prepoznavanje anomalija i pridržavanje protokola odgovora. Povezuje se s 5.36 usklađenost s politikama, pravilima i standardima informacijske sigurnosti jer politike funkcioniraju samo kada ih ljudi razumiju.
Kako Zenith Controls navodi za kontrolu ISO/IEC 27002:2022 6.3:
Usklađenost ovisi o svijesti. 6.3 osigurava da su zaposlenici upoznati sa sigurnosnim politikama i da razumiju svoju osobnu odgovornost u njihovu poštivanju. Redovita edukacija i osposobljavanje ublažavaju rizik nenamjernih kršenja politika zbog neznanja.
Drugo sidro je kontrola ISO/IEC 27002:2022 5.10, prihvatljiva uporaba informacija i druge povezane imovine. Kibernetička higijena ovisi o tome razumiju li ljudi što smiju raditi s krajnjim uređajima, diskovima u oblaku, SaaS alatima, platformama za suradnju, prijenosnim medijima, produkcijskim podacima, testnim podacima i alatima omogućenima umjetnom inteligencijom. Zenith Controls mapira 5.10 kao preventivnu kontrolu u upravljanju imovinom i zaštiti informacija. U praksi dokaz o prihvatljivoj uporabi nije samo potpisana politika. Uključuje dokaz da politika pokriva stvarno okruženje imovine, da uvođenje u posao uključuje potvrdu upoznatosti, da praćenje podržava provedbu i da se iznimke obrađuju.
Treće sidro je kontrola ISO/IEC 27002:2022 5.36, usklađenost s politikama, pravilima i standardima informacijske sigurnosti. To je revizijski most. Zenith Controls mapira 5.36 kao preventivnu kontrolu upravljanja i osiguranja. Povezuje se s 5.1 politike informacijske sigurnosti, 6.4 disciplinski postupak, 5.35 neovisni pregled informacijske sigurnosti, 5.2 uloge i odgovornosti, 5.25 procjena i odluka o događajima informacijske sigurnosti, 8.15 zapisivanje događaja, 8.16 aktivnosti praćenja i 5.33 zaštita zapisa.
Za NIS2 Article 21 to je ključno. Regulatori i revizori ne pitaju samo postoji li politika. Pitaju prati li se pridržavanje, otkrivaju li se povrede, štite li se dokazi, provode li se korektivne radnje i vidi li uprava rezultate.
Izradite paket dokaza o kibernetičkoj higijeni i osposobljavanju prema NIS2
Zamislite srednje velikog SaaS pružatelja koji se priprema i za spremnost prema NIS2 i za nadzornu reviziju ISO/IEC 27001:2022. Organizacija ima 310 zaposlenika, uključujući razvojne inženjere, SRE timove, agente korisničke podrške, prodajno osoblje, izvođače i izvršne rukovoditelje. Pruža usluge tijeka rada u oblaku klijentima iz EU-a i oslanja se na velikog pružatelja usluga u oblaku, dvije platforme identiteta, vanjskog MDR pružatelja i nekoliko podugovorenih alata za podršku.
Rukovoditelj usklađenosti ima izvoze osposobljavanja iz LMS-a, ali oni nisu mapirani na NIS2 Article 21, ISO kontrole, poslovne uloge ili scenarije rizika. Praktični sprint za otklanjanje nedostataka daje Paket dokaza o kibernetičkoj higijeni i osposobljavanju sa šest sastavnica.
| Sastavnica dokaza | Što dokazuje | Vlasnik | Revizijski test |
|---|---|---|---|
| Matrica osposobljavanja temeljena na ulogama | Osposobljavanje je usklađeno s odgovornostima i izloženošću riziku | Voditelj ISMS-a i HR | Uzorkovati uloge i provjeriti jesu li dodijeljeni obvezni moduli |
| Godišnji plan osposobljavanja | Kompetencija i svijest planiraju se, nisu ad hoc | Voditelj ISMS-a | Provjeriti datume, teme, publiku, odobrenje i ciljeve završetka |
| Izvoz završetaka iz LMS-a | Osoblje je završilo dodijeljeno osposobljavanje | HR ili People Ops | Uskladiti popis zaposlenika s izvješćem o završetku, novim zaposlenicima i odlascima |
| Izvješće o simulaciji phishinga | Mjeri se učinkovitost podizanja svijesti | Sigurnosne operacije | Pregledati rezultate kampanje, ponavljajuće klikere i korektivno osposobljavanje |
| Dnevnik potvrda upoznatosti s politikom | Osoblje je prihvatilo pravila i odgovornosti | HR i usklađenost | Potvrditi upoznatost s politikama sigurnosti, prihvatljive uporabe i prijavljivanja incidenata |
| Sažetak preispitivanja od strane uprave | Rukovodstvo nadzire trendove i korektivne radnje | CISO i izvršni sponzor | Provjeriti uključuju li zapisnici metrike, iznimke, rizike i odluke |
Ključ je sljedivost.
Počnite s NIS2 Article 21(2)(g), osnovnim praksama kibernetičke higijene i osposobljavanjem o kibernetičkoj sigurnosti. Povežite ga s točkama ISO/IEC 27001:2022 7.2 i 7.3 za kompetenciju i svijest, točkama 9.1 i 9.2 za praćenje i reviziju te kontrolama iz Priloga A, uključujući podizanje svijesti, prihvatljivu uporabu, upravljanje ranjivostima, upravljanje konfiguracijom, sigurnosne kopije, zapisivanje događaja, praćenje, kriptografiju, kontrolu pristupa i upravljanje incidentima. Zatim povežite dokaze s registrom rizika.
| Skupina uloga | Rizik kibernetičke higijene prema NIS2 | Obvezno osposobljavanje | Dokazi |
|---|---|---|---|
| Svi zaposlenici | Phishing, slabe lozinke, loše prijavljivanje incidenata, neprimjereno postupanje s podacima | Osnovno osposobljavanje o sigurnosnoj svijesti, higijena lozinki, MFA, zaštita podataka, prijavljivanje incidenata | Završetak u LMS-u, rezultat kviza, potvrda upoznatosti s politikom |
| Izvršni rukovoditelji | Prihvaćanje rizika, pravna odgovornost, krizne odluke, nadzor izvješćivanja | Upravljačke dužnosti, odgovornosti uprave prema NIS2, eskalacija incidenata, apetit za rizik | Sudjelovanje u radionici za rukovodstvo, materijali za upravu, dnevnik odluka |
| Razvojni inženjeri | Ranjivosti, nesiguran kod, izloženost tajnih vrijednosti, nesigurni testni podaci | Sigurno kodiranje, upravljanje ovisnostima, objava ranjivosti, minimizacija podataka | Zapis o osposobljavanju, kontrolni popis sigurnog SDLC-a, uzorci pregleda koda |
| SRE i IT operacije | Pogrešna konfiguracija, kašnjenje zakrpa, neuspjela sigurnosna kopija, praznine u zapisivanju događaja | Upravljanje zakrpama, sigurna konfiguracija, vraćanje iz sigurnosne kopije, praćenje, odgovor na incidente | Izvješće o zakrpama, test sigurnosne kopije, dokaz SIEM upozorenja, izvješće stolne vježbe |
| Korisnička podrška | Socijalni inženjering, neovlašteno otkrivanje, povreda privatnosti | Provjera identiteta, postupanje s podacima, eskalacija, prijavljivanje povrede | Pregled pristupa CRM-u, zapis o osposobljavanju, QA uzorak podrške |
| Izvođači s pristupom | Nejasne obveze, neupravljani pristup, curenje podataka | Sažeto sigurnosno uvođenje, prihvatljiva uporaba, put prijavljivanja | Potvrda izvođača, odobrenje pristupa, dokazi izlaznog procesa |
Korporativna Politika podizanja svijesti i osposobljavanja o informacijskoj sigurnosti podržava ovu strukturu. Točka 5.1.2.4 izričito uključuje teme osposobljavanja za izvršne rukovoditelje:
Izvršni rukovoditelji (npr. upravljanje, prihvaćanje rizika, pravne obveze)
Ta je rečenica važna prema NIS2 Article 20 jer osposobljavanje uprave nije opcionalno. Ako uprava odobrava mjere upravljanja rizicima, ali ne može objasniti prihvaćanje rizika, pragove incidenata ili rutine nadzora, lanac dokaza se prekida.
Clarysecova Politika informacijske sigurnosti – SME, točka 6.4.1, pokazuje kako kibernetička higijena postaje svakodnevno kontrolno ponašanje:
Obvezne sigurnosne kontrole moraju se dosljedno primjenjivati, uključujući redovite sigurnosne kopije, ažuriranja antivirusnog softvera, snažne lozinke i sigurno zbrinjavanje osjetljivih dokumenata.
To je sažet SME izraz praktične kibernetičke higijene. Revizor će i dalje tražiti dokaze, poput izvješća o poslovima sigurnosnog kopiranja, obuhvata EDR-a, konfiguracije lozinki ili MFA-a i dnevničkih zapisa sigurnog zbrinjavanja, ali politika uspostavlja očekivano ponašanje.
Mapirajte NIS2 Article 21 na revizijske dokaze
Revizori testiraju rad kontrole, a ne slogane. Slijedit će zlatnu nit od pravnog zahtjeva do opsega ISMS-a, procjene rizika, Izjave o primjenjivosti, politike, postupka, dokaza i preispitivanja od strane uprave.
| Područje NIS2 Article 21 | Mapiranje na ISO/IEC 27001:2022 ili ISO/IEC 27002:2022 | Clarysec referenca | Primarni revizijski dokazi |
|---|---|---|---|
| Osposobljavanje o kibernetičkoj sigurnosti | Točka 7.2, točka 7.3, A.6.3 podizanje svijesti, edukacija i osposobljavanje o informacijskoj sigurnosti | Politika podizanja svijesti i osposobljavanja o informacijskoj sigurnosti | Politika osposobljavanja, godišnji plan, zapisi iz LMS-a, rezultati phishinga, kontrolni popis za uvođenje, zapisnici osposobljavanja uprave |
| Prihvatljivo ponašanje kibernetičke higijene | A.5.10 prihvatljiva uporaba informacija i druge povezane imovine | Politika informacijske sigurnosti – SME | Potvrda prihvatljive uporabe, zapisi o uvođenju, zapisi o iznimkama, dokazi praćenja |
| Higijena ranjivosti i zakrpa | A.8.8 upravljanje tehničkim ranjivostima | Zenith Blueprint Step 19 | Skeniranja ranjivosti, izvješća o zakrpama, zadaci otklanjanja nedostataka, zapisi prihvaćanja rizika |
| Sigurna konfiguracija | A.8.9 upravljanje konfiguracijom | Zenith Blueprint Step 19 | Sigurne polazne osnove, pregledi konfiguracije, odobrenja promjena, izvješća o odstupanju konfiguracije |
| Otpornost i oporavak | A.8.13 sigurnosno kopiranje informacija | Politika informacijske sigurnosti – SME | Zapisi dnevnika sigurnosnog kopiranja, testovi vraćanja, pregledi neuspjelih sigurnosnih kopija, dokazi oporavka |
| Otkrivanje i odgovor | A.8.15 zapisivanje događaja, A.8.16 aktivnosti praćenja, A.6.8 prijavljivanje događaja informacijske sigurnosti | Zenith Controls | SIEM upozorenja, postupci praćenja, osposobljavanje za prijavljivanje incidenata, rezultati stolnih vježbi |
| Kriptografska zaštita | A.8.24 uporaba kriptografije | ISO/IEC 27001:2022 Prilog A | Standardi šifriranja, dokazi upravljanja ključevima, TLS konfiguracija, izvješća o šifriranju pohrane |
| Cjelovitost dokaza | A.5.33 zaštita zapisa | Zenith Controls | Kontrolirane revizijske mape, vremenske oznake izvoza, pravila zadržavanja, evidencija pristupa |
Regulator možda neće koristiti ISO terminologiju, ali put dokaza ostaje isti. Pokažite da je zahtjev identificiran, procijenjen prema riziku, obrađen, proveden, praćen, prijavljen upravi i poboljšan.
Koristite Zenith Blueprint za prijelaz s plana na dokaze
Zenith Blueprint: revizorova 30-koračna mapa puta daje timovima praktičan put od namjere do dokaza. U fazi temelja i vodstva ISMS-a, Step 5, komunikacija, svijest i kompetencija, Blueprint upućuje organizacije da identificiraju potrebne kompetencije, procijene postojeće kompetencije, osiguraju osposobljavanje za zatvaranje praznina, održavaju zapise o kompetencijama i tretiraju kompetenciju kao kontinuiranu.
Akcijska stavka iz Blueprinta namjerno je operativna:
Provedite brzu analizu potreba za osposobljavanjem. Navedite ključne ISMS uloge (iz Step 4) i za svaku zapišite poznato osposobljavanje ili certifikaciju koju imaju te koje bi dodatno osposobljavanje moglo biti korisno. Također navedite opće teme sigurnosne svijesti potrebne svim zaposlenicima. Na temelju toga izradite jednostavan Plan osposobljavanja za sljedeću godinu – npr. „Q1: sigurnosna svijest za sve osoblje; Q2: napredno osposobljavanje za odgovor na incidente za IT; Q3: osposobljavanje za internog revizora ISO 27001 za dva člana tima; …”.
U fazi Controls in Action, Step 15, People Controls I, Zenith Blueprint preporučuje obvezno godišnje osposobljavanje za sve zaposlenike, module specifične za ulogu, sigurnosno uvođenje novih zaposlenika unutar prvog tjedna, simulirane phishing kampanje, biltene, timske brifinge, dokaze o sudjelovanju, ciljane sigurnosne biltene nakon novih prijetnji i osposobljavanje za izvođače ili treće strane s pristupom.
Step 16, People Controls II, upozorava da će revizori testirati provedbu, a ne samo dokumentaciju. Za rad na daljinu revizori mogu tražiti Politiku rada na daljinu, dokaze o VPN-u ili šifriranju krajnjih uređaja, provedbu MDM-a, ograničenja BYOD-a i zapise o osposobljavanju koji pokazuju mjere opreza pri radu na daljinu. Ako je hibridni rad dio operativnog modela, dokazi o osposobljavanju prema NIS2 trebaju uključivati sigurnu uporabu Wi-Fi mreže, zaključavanje uređaja, odobrenu pohranu, MFA i prijavljivanje sumnjivih aktivnosti iz kućnih okruženja.
Step 19, Technological Controls I, povezuje kibernetičku higijenu s tehničkim slojem kontrola. Zenith Blueprint preporučuje pregled izvješća o zakrpama, skeniranja ranjivosti, sigurnih polaznih osnova, obuhvata EDR-a, dnevnika zlonamjernog softvera, DLP upozorenja, vraćanja sigurnosnih kopija, dokaza redundancije, poboljšanja zapisivanja događaja i sinkronizacije vremena. Article 21(2)(g) ne može se procjenjivati izolirano. Osposobljena radna snaga i dalje treba zakrpane krajnje uređaje, nadzirane dnevničke zapise, testirane sigurnosne kopije i sigurne konfiguracije.
Učinite plan osposobljavanja temeljenim na riziku uz ISO/IEC 27005:2022
Česta slabost u reviziji jest generički plan osposobljavanja koji izgleda jednako za razvojne inženjere, financije, podršku, izvršne rukovoditelje i izvođače. ISO/IEC 27005:2022 pomaže izbjeći tu slabost tako što osposobljavanje postavlja kao dio obrade rizika.
Točka 6.2 preporučuje identificiranje osnovnih zahtjeva relevantnih zainteresiranih strana i statusa usklađenosti, uključujući ISO/IEC 27001:2022 Prilog A, druge ISMS standarde, sektorske zahtjeve, nacionalne i međunarodne propise, interna sigurnosna pravila, ugovorne sigurnosne kontrole i kontrole već provedene kroz prethodnu obradu rizika. Time se podržava jedan registar zahtjeva umjesto zasebnih proračunskih tablica za NIS2, ISO, DORA, GDPR, klijente i osiguranje.
Točke 6.4.1 do 6.4.3 objašnjavaju da kriteriji prihvaćanja i procjene rizika trebaju uzeti u obzir pravne i regulatorne aspekte, operativne aktivnosti, odnose s dobavljačima, tehnološka i financijska ograničenja, privatnost, reputacijsku štetu, ugovorne povrede, povrede razina usluge i utjecaje na treće strane. Phishing incident koji utječe na interni sustav biltena razlikuje se od kompromitacije vjerodajnica koja utječe na upravljanu sigurnosnu uslugu, platformu korisničke podrške, integraciju plaćanja ili DNS operaciju.
Točke 7.1 do 7.2.2 zahtijevaju dosljednu, ponovljivu procjenu rizika, uključujući rizike povjerljivosti, cjelovitosti i dostupnosti te imenovane vlasnike rizika. Točke 8.2 do 8.6 zatim usmjeravaju odabir obrade, određivanje kontrola, usporedbu s Prilogom A, dokumentiranje Izjave o primjenjivosti i detalje plana obrade.
Osposobljavanje je jedna obrada, ali ne i jedina. Ako ponovljene simulacije phishinga pokažu da su korisnici u financijama ranjivi na prijevaru s računima, plan obrade može uključivati obnovno osposobljavanje, snažniji radni tok odobravanja plaćanja, uvjetni pristup, praćenje pravila poštanskog sandučića i vježbe scenarija prijevare za izvršne rukovoditelje.
Točke 9.1, 9.2, 10.4.2, 10.5.1 i 10.5.2 naglašavaju planirano preispitivanje, dokumentirane metode, praćenje učinkovitosti i ažuriranja kada se promijene nove ranjivosti, imovina, uporaba tehnologije, zakoni, incidenti ili apetit za rizik. To dokazuje da organizacija ne zamrzava plan osposobljavanja jednom godišnje.
Ponovno upotrijebite iste dokaze za NIS2, DORA, GDPR, NIST i COBIT
Najjači paket dokaza za NIS2 trebao bi podržavati više razgovora o osiguranju.
NIS2 Article 4 priznaje da sektorski posebni pravni akti Unije mogu zamijeniti odgovarajuće NIS2 obveze upravljanja rizicima i izvješćivanja kada su barem jednako učinkoviti. Recital 28 identificira DORA kao sektorski posebni režim za financijske subjekte u opsegu. Za obuhvaćene financijske subjekte, DORA pravila o upravljanju IKT rizicima, upravljanju incidentima, testiranju otpornosti, razmjeni informacija i IKT riziku trećih strana primjenjuju se umjesto odgovarajućih odredbi NIS2. NIS2 ostaje vrlo relevantan za subjekte izvan DORA te za treće strane pružatelje IKT usluga kao što su pružatelji usluga u oblaku, MSP-ovi i MSSP-ovi.
DORA pojačava istu logiku sustava upravljanja. Articles 4 to 6 zahtijevaju razmjerno upravljanje IKT rizicima, odgovornost upravljačkog tijela, jasne IKT uloge, strategiju digitalne operativne otpornosti, planove IKT revizije, proračune i resurse za podizanje svijesti ili osposobljavanje. Articles 8 to 13 zahtijevaju identifikaciju imovine i ovisnosti, zaštitu i prevenciju, kontrole pristupa, snažnu autentifikaciju, sigurnosne kopije, kontinuitet, odgovor i oporavak, učenje nakon incidenta, izvješćivanje višeg IKT rukovodstva te obvezno osposobljavanje o IKT sigurnosnoj svijesti i digitalnoj operativnoj otpornosti. Articles 17 to 23 zahtijevaju strukturirano upravljanje incidentima, klasifikaciju, eskalaciju i komunikaciju s klijentima. Articles 24 to 30 povezuju testiranje s upravljanjem dobavljačima, dubinskom analizom dobavljača, ugovorima, pravima na reviziju i izlaznim strategijama.
GDPR dodaje sloj odgovornosti za privatnost. Article 5 zahtijeva cjelovitost i povjerljivost putem odgovarajućih tehničkih i organizacijskih mjera, a Article 5(2) zahtijeva da voditelji obrade dokažu usklađenost. Article 6 zahtijeva pravnu osnovu za obradu, dok Articles 9 and 10 nameću strože zaštitne mjere za posebne kategorije podataka i podatke povezane s kaznenim djelima. Za SaaS pružatelja, dokazi o osposobljavanju trebaju uključivati privatnost, minimizaciju podataka, sigurno otkrivanje podataka, eskalaciju povrede i postupanje s podacima klijenata specifično za ulogu.
Pregledi u stilu NIST-a i revizijski pogledi prema COBIT 2019 često se pojavljuju pri dokazivanju sigurnosti prema zahtjevima klijenata, internoj reviziji i izvješćivanju uprave. Procjenitelj u stilu NIST-a obično će pitati jesu li podizanje svijesti i osposobljavanje utemeljeni na riziku, temeljeni na ulogama, mjerljivi i povezani s odgovorom na incidente, identitetom, upravljanjem imovinom i kontinuiranim praćenjem. Revizor u stilu COBIT 2019 ili ISACA usredotočit će se na upravljanje, odgovornost, pokazatelje uspješnosti, nadzor uprave, vlasništvo nad procesima i usklađenost s ciljevima organizacije.
| Revizijski pogled okvira | Što revizora zanima | Dokazi za pripremu |
|---|---|---|
| NIS2 Article 21 | Razmjerne mjere kibernetičkog rizika, kibernetička higijena, osposobljavanje, nadzor uprave | Mapiranje Article 21, odobrenje uprave, plan osposobljavanja, KPI-jevi kibernetičke higijene, dokazi spremnosti za incidente |
| ISO/IEC 27001:2022 | Opseg ISMS-a, obrada rizika, kompetencija, svijest, praćenje, interna revizija, poboljšanje | Opseg, registar rizika, SoA, matrica kompetencija, zapisi o osposobljavanju, izvješće revizije, korektivne radnje |
| DORA | Životni ciklus IKT rizika, osposobljavanje za otpornost, testiranje, klasifikacija incidenata, IKT rizik trećih strana | Okvir IKT rizika, osposobljavanje za otpornost, rezultati testiranja, postupak za incidente, registar dobavljača |
| GDPR | Odgovornost, zaštita podataka, svijest o povredi privatnosti, povjerljivost, minimizacija | Osposobljavanje o privatnosti, mapa uloga obrade, dokazi eskalacije povrede, postupci postupanja s podacima |
| Pregled u stilu NIST-a | Svijest temeljena na ulogama, mjerljiv rad kontrola, praćenje, odgovor | Matrica uloga, metrike simulacija, dokazi pristupa, dokazi zapisivanja događaja, rezultati stolnih vježbi |
| Pregled prema COBIT 2019 ili ISACA | Upravljanje, vlasništvo nad procesima, učinkovitost, osiguranje kontrola, izvješćivanje uprave | RACI, nadzorna ploča KPI-jeva, zapisnici preispitivanja od strane uprave, program interne revizije, praćenje otklanjanja nedostataka |
Praktična korist je jednostavna: jedan paket dokaza, više revizijskih narativa.
Kako će revizori testirati istu kontrolu
Revizor ISO/IEC 27001:2022 počet će od ISMS-a. Pitat će jesu li utvrđeni zahtjevi za kompetenciju i svijest, razumije li osoblje svoje odgovornosti, zadržavaju li se zapisi, testiraju li interne revizije proces i razmatra li preispitivanje od strane uprave učinkovitost i poboljšanje. Mogu uzorkovati zaposlenike i pitati ih kako prijaviti incident, kako se koristi MFA, koja su pravila prihvatljive uporabe ili što učiniti nakon primitka sumnjive e-pošte.
Nadzorni pregled prema NIS2 bit će više usmjeren na ishode i rizik za uslugu. Pregledavatelj može pitati kako kibernetička higijena smanjuje rizik za pružanje usluge, kako je uprava odobrila mjere, kako je osposobljavanje prilagođeno ključnim uslugama, kako je obuhvaćeno osoblje trećih strana, kako se procjenjuje učinkovitost i kako bi organizacija komunicirala značajne kibernetičke prijetnje ili incidente prema Article 23. Budući da Article 23 uključuje rano upozorenje u roku od 24 sata i obavijest o incidentu u roku od 72 sata za značajne incidente, osposobljavanje mora uključivati prepoznavanje i brzinu eskalacije.
DORA revizor za financijski subjekt povezat će svijest s digitalnom operativnom otpornošću. Može pitati jesu li osposobljavanje o IKT sigurnosnoj svijesti i otpornosti obvezni, dopiru li izvješća višeg IKT rukovodstva do upravljačkog tijela, razumiju li se kriteriji klasifikacije incidenata, jesu li krizne komunikacije uvježbane i sudjeluju li pružatelji usluga trećih strana u osposobljavanju kada je to ugovorno relevantno.
GDPR revizor ili procjenitelj privatnosti usredotočit će se na to razumije li osoblje osobne podatke, uloge obrade, povjerljivost, identifikaciju povrede, eskalaciju povrede, minimizaciju podataka i sigurno otkrivanje podataka. Očekivat će da se osposobljavanje razlikuje za podršku, HR, razvojne inženjere i administratore jer te uloge stvaraju različite rizike privatnosti.
Interni revizor prema COBIT 2019 ili ISACA pitat će tko je vlasnik procesa, koje ciljeve proces podržava, kako se mjeri učinkovitost, koje iznimke postoje, prate li se korektivne radnje i prima li uprava smisleno izvješćivanje umjesto ispraznih metrika.
Uobičajeni nalazi spremnosti osposobljavanja prema NIS2
Najčešći nalaz je nepotpuna pokrivenost populacije. Izvješće LMS-a pokazuje 94% završetka, ali nedostajućih 6% uključuje privilegirane administratore, izvođače ili nove zaposlenike. Revizori neće prihvatiti postotak bez razumijevanja tko nedostaje i zašto.
Drugi nalaz je nedostatak osjetljivosti na ulogu. Svi dobivaju isti godišnji modul, ali razvojni inženjeri nisu osposobljeni za sigurno kodiranje, agenti podrške nisu osposobljeni za provjeru identiteta, a izvršni rukovoditelji nisu osposobljeni za upravljačke dužnosti ili krizne odluke. NIS2 Article 20 i Article 21 to otežavaju obraniti.
Treći nalaz su slabi dokazi učinkovitosti. Završetak nije isto što i razumijevanje ili promjena ponašanja. Revizori sve češće očekuju rezultate kvizova, trendove phishinga, trendove prijavljivanja incidenata, naučene lekcije iz stolnih vježbi, smanjenje ponovljenih neuspjeha i korektivne radnje.
Četvrti nalaz je nepovezana tehnička higijena. Osposobljavanje kaže „prijavite sumnjivu aktivnost”, ali ne postoji testirani kanal za prijavu. Osposobljavanje kaže „koristite MFA”, ali servisni računi zaobilaze MFA. Osposobljavanje kaže „zaštitite podatke”, ali se produkcijski podaci pojavljuju u testnim okruženjima. Article 21 očekuje sustav kontrola, a ne slogane.
Peti nalaz je slaba cjelovitost zapisa. Dokazi se pohranjuju u uredljivoj proračunskoj tablici bez vlasnika, vremenske oznake izvoza, kontrole pristupa ili usklađivanja s HR zapisima. Odnosi kontrola ISO/IEC 27002:2022 u Zenith Controls s razlogom upućuju natrag na zaštitu zapisa. Dokazi moraju biti vjerodostojni.
10-dnevni sprint za otklanjanje nedostataka i dokaze spremne za reviziju
Ako je vaša organizacija pod pritiskom, počnite fokusiranim sprintom.
| Dan | Radnja | Izlazni rezultat |
|---|---|---|
| Dan 1 | Potvrditi primjenjivost NIS2 i opseg usluga | Odluka o ključnom ili važnom subjektu, usluge u opsegu, potporne funkcije |
| Dan 2 | Izraditi registar zahtjeva | NIS2 Articles 20, 21, 23, ISO točke, kontrole iz Priloga A, GDPR, DORA, ugovori, zahtjevi osiguranja |
| Dan 3 | Izraditi matricu osposobljavanja temeljenu na ulogama | Osposobljavanje mapirano na obitelji poslova, privilegirani pristup, razvojne inženjere, podršku, izvođače, izvršne rukovoditelje |
| Dan 4 | Mapirati osposobljavanje na scenarije rizika | Phishing, kompromitacija vjerodajnica, curenje podataka, ransomware, pogrešna konfiguracija, kompromitacija dobavljača, povreda privatnosti |
| Dan 5 | Prikupiti dokaze | Izvozi iz LMS-a, potvrde upoznatosti, izvješća o phishingu, zapisi o uvođenju, zapisi o izvođačima, sudjelovanje izvršnih rukovoditelja |
| Dan 6 | Uskladiti dokaze | Populacija osposobljavanja provjerena prema HR zapisima, grupama identiteta, privilegiranim računima, popisima izvođača |
| Dan 7 | Testirati razumijevanje zaposlenika | Bilješke intervjua koje pokazuju da osoblje poznaje prijavljivanje incidenata, očekivanja za MFA, postupanje sa sumnjivom e-poštom, pravila za podatke |
| Dan 8 | Pregledati tehničke kontrole higijene | MFA, sigurnosne kopije, EDR, zakrpavanje, skeniranja ranjivosti, zapisivanje događaja, praćenje, dokazi sigurne konfiguracije |
| Dan 9 | Izraditi paket za preispitivanje od strane uprave | Završetak, iznimke, trendovi phishinga, otvorene radnje, uloge visokog rizika, incidenti, potrebe proračuna |
| Dan 10 | Ažurirati plan obrade rizika i SoA | Preostali rizik, vlasnici, rokovi, mjere učinkovitosti, ažuriranja Izjave o primjenjivosti |
Taj sprint daje dokazivu polaznu osnovu dokaza. Ne zamjenjuje kontinuirani rad ISMS-a, ali stvara strukturu koju regulatori i revizori očekuju.
Kako izgleda dobro stanje
Zreo program kibernetičke higijene i osposobljavanja prema NIS2 Article 21 ima pet obilježja.
Prvo, vidljiv je upravi. Uprava odobrava pristup, vidi smislene metrike, razumije preostali rizik i financira poboljšanje.
Drugo, temelji se na riziku. Osposobljavanje se razlikuje prema ulozi, kritičnosti usluge, razini pristupa, izloženosti podacima i odgovornosti za incidente.
Treće, vođeno je dokazima. Zapisi o završetku, potvrde upoznatosti, simulacije, stolne vježbe, izvješća o tehničkoj higijeni i korektivne radnje potpuni su, usklađeni i zaštićeni.
Četvrto, svjesno je unakrsne usklađenosti. Isti dokazi podržavaju NIS2, ISO/IEC 27001:2022, DORA, GDPR, osiguranje u stilu NIST-a i izvješćivanje o upravljanju prema COBIT 2019.
Peto, poboljšava se. Incidenti, nalazi revizije, pravne promjene, promjene dobavljača, nove tehnologije i nove prijetnje ažuriraju plan osposobljavanja.
Ta završna točka razlika je između predstave usklađenosti i operativne otpornosti.
Sljedeći koraci s Clarysec
Ako vaš rukovodeći tim pita: „Možemo li sutra dokazati kibernetičku higijenu i osposobljavanje o kibernetičkoj sigurnosti prema NIS2 Article 21?”, Clarysec vam može pomoći prijeći s raspršenih dokaza na ISMS paket dokaza spreman za reviziju.
Počnite s Zenith Blueprint kako biste strukturirali kompetenciju, svijest, kontrole osoblja, prakse rada na daljinu, upravljanje ranjivostima, sigurnosne kopije, zapisivanje događaja, praćenje i radnje tehničke higijene kroz 30-koračnu mapu puta.
Koristite Zenith Controls za unakrsno povezivanje očekivanja ISO/IEC 27002:2022 u pogledu svijesti, prihvatljive uporabe, usklađenosti, praćenja, zapisa i osiguranja u razgovorima o reviziji prema NIS2, ISO/IEC 27001:2022, DORA, GDPR, NIST i COBIT 2019.
Zatim provedite zahtjeve kroz Clarysecove Politiku podizanja svijesti i osposobljavanja o informacijskoj sigurnosti, Politiku podizanja svijesti i osposobljavanja o informacijskoj sigurnosti – SME i Politiku informacijske sigurnosti – SME.
Vaša neposredna radnja je jednostavna: ovaj tjedan izradite jednostraničnu mapu dokaza osposobljavanja prema NIS2 Article 21. Navedite uloge u opsegu, dodijeljeno osposobljavanje, dokaze završetka, potvrde upoznatosti s politikom, metrike phishinga, dokaze tehničke kibernetičke higijene, datum preispitivanja od strane uprave i korektivne radnje. Ako je bilo koja ćelija prazna, pronašli ste svoj sljedeći zadatak otklanjanja revizijskog nedostatka.
Za brži put preuzmite Clarysec predloške politika, upotrijebite mapu puta Zenith Blueprint i zakažite procjenu spremnosti dokaza za NIS2 kako biste svoje postojeće zapise o osposobljavanju, kontrole kibernetičke higijene i ISO/IEC 27001:2022 ISMS pretvorili u jedinstven dokaziv revizijski dosje.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
