NIST CSF 2.0 Govern za MSP-ove i ISO 27001
Sarah, novoimenovana direktorica informacijske sigurnosti (CISO) u brzorastućem fintech MSP-u, pred sobom je imala niz okvira i rok koji nije mogla pomaknuti. NIST CSF 2.0. ISO 27001:2022. NIS2. DORA. GDPR. Rizik dobavljača. Odgovornost upravljačkog tijela. Dubinska provjera dobavljača za korporativnog klijenta.
Okidač je bio poznat: proračunska tablica velikog klijenta iz sektora financijskih usluga. Nabava je tražila dokaze o modelu upravljanja kibernetičkom sigurnošću, apetitu za rizik, programu sigurnosti dobavljača, mapiranju pravnih i regulatornih obveza, procesu eskalacije incidenata i usklađenosti s ISO 27001:2022.
CEO nije željela predavanje o usklađenosti. Željela je jednostavan odgovor na teško pitanje: „Kako upravljačkom tijelu, klijentima i regulatorima dokazujemo da upravljamo kibernetičkim rizikom?”
To je problem upravljanja s kojim se suočavaju mnogi MSP-ovi. Upitnik klijenta rijetko je samo upitnik klijenta. Često je riječ o pet razgovora o usklađenosti sabijenih u jedan zahtjev. NIST CSF 2.0, ISO/IEC 27001:2022, GDPR, NIS2, očekivanja dobavljača potaknuta DORA-om, otpornost oblaka, nadzor upravljačkog tijela i ugovorne obveze skriveni su u istom zahtjevu za dokazima.
Mnogi MSP-ovi odgovaraju izradom odvojenih artefakata: NIST tablica, mapa za ISO certifikaciju, GDPR evidencija, registara rizika dobavljača i planova odgovora na incidente koji međusobno nisu povezani. Šest mjeseci poslije nitko ne zna koji je dokument mjerodavan.
Clarysecov pristup je drukčiji. Koristite funkciju NIST CSF 2.0 Govern kao izvršni upravljački sloj, zatim je mapirajte na politike ISO 27001:2022, obradu rizika, Izjavu o primjenjivosti, nadzor nad dobavljačima, preispitivanje uprave i revizijske dokaze. Rezultat nije više posla oko usklađenosti. To je jedan operativni model koji na pitanja revizora, klijenata, regulatora i rukovodstva odgovara istim skupom dokaza.
Zašto je funkcija NIST CSF 2.0 Govern važna za MSP-ove
NIST CSF 2.0 podiže upravljanje u zasebnu funkciju, uz Identify, Protect, Detect, Respond i Recover. Ta je promjena važna jer većina sigurnosnih neuspjeha u MSP-ovima nije uzrokovana nedostatkom još jednog alata. Uzrokuju ih nejasna odgovornost, slabe odluke o riziku, nedokumentirane iznimke, nedosljedan nadzor nad dobavljačima i politike koje su jednom odobrene, ali nikada nisu provedene u praksi.
Funkcija NIST CSF 2.0 Govern mijenja pitanje s „koje kontrole imamo?” na „tko je odgovoran, koje se obveze primjenjuju, kako se rizici prioritiziraju i kako se pregledava učinkovitost?”
Za MSP-ove ishodi Govern daju praktičan mandat:
- Razumjeti pravne, regulatorne, ugovorne, privatnosne i građanskopravne obveze te njima upravljati.
- Uspostaviti apetit za rizik, toleranciju na rizik, bodovanje rizika, prioritizaciju i opcije odgovora na rizik.
- Definirati uloge, odgovornosti, ovlasti, putove eskalacije i resurse za kibernetičku sigurnost.
- Uspostaviti, komunicirati, provoditi, pregledavati i ažurirati politike kibernetičke sigurnosti.
- Pregledavati strategiju kibernetičke sigurnosti, učinkovitost i odgovornost rukovodstva.
- Upravljati kibernetičkim rizikom dobavljača i trećih strana od dubinske provjere dobavljača do izlaznog postupka.
Zato je NIST CSF 2.0 Govern tako dobro polazište za ISO 27001:2022. NIST rukovodstvu daje jezik upravljanja. ISO 27001:2022 daje revizijski provjerljiv sustav upravljanja.
Točke 4 do 10 norme ISO 27001:2022 zahtijevaju da organizacije razumiju kontekst, definiraju zainteresirane strane, uspostave opseg ISMS-a, pokažu vodstvo, planiraju procjenu rizika i obradu rizika, podupru dokumentirane informacije, provode kontrole, vrednuju učinkovitost, provode unutarnje revizije i preispitivanja uprave te kontinuirano poboljšavaju. Prilog A zatim daje referentni skup kontrola, uključujući politike, odgovornosti rukovodstva, pravne obveze, privatnost, odnose s dobavljačima, usluge u oblaku, upravljanje incidentima i IKT spremnost za neprekidnost poslovanja.
Clarysecova Enterprise Politika informacijske sigurnosti Politika informacijske sigurnosti navodi:
Organizacija mora održavati formalni model upravljanja za nadzor nad ISMS-om, usklađen s točkama 5.1 i 9.3 norme ISO/IEC 27001.
Taj zahtjev iz točke 5.1 Politike informacijske sigurnosti praktičan je most između odgovornosti NIST GV i očekivanja vodstva prema ISO 27001:2022. Upravljanje nije godišnja prezentacija. To je formalni model koji povezuje odluke, politike, uloge, rizike, kontrole, dokaze i pregled.
Temeljno mapiranje: NIST CSF 2.0 Govern na dokaze prema ISO 27001:2022
Najbrži način da NIST CSF 2.0 postane koristan jest pretvoriti ishode Govern u vlasništvo nad politikama i revizijske dokaze. Tablica u nastavku prikazuje strukturu koju Clarysec koristi s MSP-ovima koji se pripremaju za certifikaciju prema ISO 27001:2022, dubinsku provjeru dobavljača za korporativne klijente, spremnost za NIS2, dokazivanje sigurnosti prema zahtjevima klijenata u kontekstu DORA-e i odgovornost prema GDPR-u.
| Područje NIST CSF 2.0 Govern | Upravljačko pitanje za MSP | Usklađenost s ISO 27001:2022 | Clarysec uporište u politici | Dokazi koje očekuju revizori i klijenti |
|---|---|---|---|---|
| GV.OC, organizacijski kontekst | Poznajemo li svoje pravne, regulatorne, ugovorne, privatnosne i poslovne obveze? | Točke 4.1 do 4.4, Prilog A 5.31 i 5.34 | Politika pravne i regulatorne usklađenosti | Registar usklađenosti, opseg ISMS-a, registar zainteresiranih strana, mapa obveza prema klijentima, registar privatnosti |
| GV.RM, strategija upravljanja rizicima | Kako definiramo, bodujemo, prioritiziramo, prihvaćamo i obrađujemo kibernetičke rizike? | Točke 6.1.1 do 6.1.3, 8.2 i 8.3 | Politika upravljanja rizicima | Metodologija rizika, registar rizika, plan obrade rizika, odobrenja vlasnika rizika, SoA mapiranje |
| GV.RR, uloge i odgovornosti | Tko je vlasnik odluka o kibernetičkoj sigurnosti, iznimaka, resursa i izvješćivanja? | Točke 5.1 do 5.3, Prilog A 5.2 i 5.4 | Politika uloga i odgovornosti u upravljanju za MSP-ove | RACI, opisi uloga, zapisnici sastanaka, odobrenja iznimaka, zapisi o osposobljavanju |
| GV.PO, politika | Jesu li politike odobrene, komunicirane, provedene, pregledane i ažurirane? | Točke 5.2, 7.5 i 9.3, Prilog A 5.1 | Politika informacijske sigurnosti | Registar politika, zapisi o odobrenju, povijest verzija, potvrde zaposlenika, zapisnici pregleda politika |
| GV.OV, nadzor | Pregledavaju li se i prilagođavaju strategija i učinkovitost kibernetičke sigurnosti? | Točke 9.1, 9.2, 9.3, 10.1 i 10.2 | Politika praćenja revizije i usklađenosti | Nadzorna ploča KPI-jeva, plan unutarnje revizije, izlazni rezultati preispitivanja uprave, korektivne radnje |
| GV.SC, rizik opskrbnog lanca | Jesu li dobavljači poznati, prioritizirani, procijenjeni, ugovoreni, nadzirani i uredno isključeni iz uporabe? | Prilog A 5.19 do 5.23 i 5.30 | Politika sigurnosti trećih strana i dobavljača za MSP-ove | Popis dobavljača, zapisi dubinske provjere dobavljača, ugovorne odredbe, zapisi pregleda, planovi izlaska, kontakti za incidente |
Ovo je mapiranje namjerno usmjereno na dokaze. Od MSP-a ne traži izradu 40 dokumenata. Postavlja pet operativnih pitanja:
- Koja se odluka donosi?
- Tko je njezin vlasnik?
- Koja je politika uređuje?
- Koja je točka ISO 27001:2022 ili kontrola iz Priloga A podupire?
- Koji dokaz potvrđuje da se dogodila?
Politika uloga i odgovornosti u upravljanju za MSP-ove Politika uloga i odgovornosti u upravljanju za MSP-ove - MSP tu sljedivost čini izričitom:
Sve značajne sigurnosne odluke, iznimke i eskalacije moraju biti zabilježene i sljedive.
Ovaj citat dolazi iz točke 5.5 Politike uloga i odgovornosti u upravljanju za MSP-ove. Pretvara NIST GV.RR iz načela upravljanja u revizijski provjerljivo operativno pravilo.
Počnite s CSF Govern profilom, a ne s tablicom kontrola
Organizacijski profili NIST CSF 2.0 pomažu organizacijama opisati trenutačne i ciljne ishode kibernetičke sigurnosti. Za MSP-ove je profil mjesto na kojem upravljanje postaje izvedivo.
Praktična radionica za Govern profil treba odgovoriti na pet pitanja:
- Što je u opsegu: cijelo društvo, SaaS platforma, regulirani proizvod ili okruženje klijenta?
- Koje obveze pokreću profil: ugovori s klijentima, GDPR, izloženost prema NIS2, očekivanja klijenata potaknuta DORA-om, certifikacija prema ISO 27001:2022 ili dubinska provjera dobavljača za investitore?
- Što trenutačni dokazi potvrđuju, a ne što ljudi vjeruju da postoji?
- Koje je ciljno stanje realno za sljedećih 90 dana i sljedećih 12 mjeseci?
- Koji se rizici, politike, dobavljači i SoA unosi moraju promijeniti?
Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint to podupire u fazi ISMS Foundation & Leadership, korak 6, „Documented Information and Building the ISMS Library”. Preporučuje ranu pripremu SoA i njezinu uporabu kao knjižnice kontrola:
✓ Dodatne kontrole: postoje li kontrole izvan Priloga A koje biste mogli uključiti? ISO 27001 dopušta dodavanje drugih kontrola u SoA. Na primjer, možda želite uključiti usklađenost s NIST CSF ili posebne kontrole privatnosti iz ISO 27701. Općenito, Prilog A je sveobuhvatan, ali slobodno dodajte sve jedinstvene kontrole koje planirate
✓ Koristite proračunsku tablicu (SoA Builder): praktičan pristup je pripremiti SoA tablicu sada. Pripremili smo predložak SoA_Builder.xlsx koji navodi sve kontrole iz Priloga A sa stupcima za primjenjivost, status implementacije i napomene.
Za MSP to je važno. Ne morate prisilno uklapati NIST CSF 2.0 u ISO Prilog A kao da su ta dva okvira identična. Ishode CSF Govern možete uključiti kao dodatne upravljačke zahtjeve u svoju SoA knjižnicu, mapirati ih na točke ISO 27001:2022 i kontrole iz Priloga A te ih koristiti za poboljšanje preispitivanja uprave, upravljanja dobavljačima, izvješćivanja o rizicima i praćenja usklađenosti.
Izradite Govern registar dokaza
Govern registar dokaza praktičan je alat koji okvire pretvara u dokaz. Treba povezati svaki NIST ishod s ISO referencom, vlasnikom politike, dokaznom stavkom, učestalošću pregleda, nedostatkom i radnjom.
| Polje | Primjer unosa |
|---|---|
| CSF ishod | GV.OC-03 |
| Upravljačko pitanje | Jesu li pravne, regulatorne, ugovorne, privatnosne i građanskopravne obveze razumljive i upravljane? |
| Referenca ISO 27001:2022 | Točke 4.2, 4.3 i 6.1.3, Prilog A 5.31 i 5.34 |
| Clarysec politika | Politika pravne i regulatorne usklađenosti |
| Vlasnik dokaza | Voditelj usklađenosti |
| Dokaz | Registar usklađenosti v1.4, mapa obveza prema klijentima, GDPR registar obrade |
| Učestalost pregleda | Tromjesečno i pri promjeni novog tržišta, klijenta ili proizvoda |
| Nedostatak | DORA odredbe koje klijent prenosi dalje nisu mapirane na ugovore s dobavljačima |
| Radnja | Ažurirati predložak ugovora s dobavljačima i SoA napomene |
| Krajnji rok | 30 dana |
Clarysecova Enterprise Politika pravne i regulatorne usklađenosti Politika pravne i regulatorne usklađenosti daje upravljački zahtjev:
Sve pravne i regulatorne obveze moraju biti mapirane na određene politike, kontrole i vlasnike unutar sustava upravljanja informacijskom sigurnošću (ISMS).
To je točka 6.2.1 Politike pravne i regulatorne usklađenosti. Za MSP-ove Politika pravne i regulatorne usklađenosti za MSP-ove Politika pravne i regulatorne usklađenosti za MSP-ove - MSP dodaje praktičan zahtjev za međusobno mapiranje:
Kada se propis primjenjuje na više područja (npr. GDPR se primjenjuje na zadržavanje, sigurnost i privatnost), to mora biti jasno mapirano u Registru usklađenosti i materijalima za osposobljavanje.
Ovaj citat dolazi iz točke 5.2.2 Politike pravne i regulatorne usklađenosti za MSP-ove. Zajedno, te točke pretvaraju GV.OC-03 u upravljan, pregledljiv proces spreman za reviziju.
Povežite bodovanje rizika s obradom rizika i SoA
NIST GV.RM zahtijeva ciljeve rizika, apetit za rizik, toleranciju na rizik, standardizirani izračun rizika, opcije odgovora i komunikacijske linije. ISO 27001:2022 to provodi kroz procjenu rizika, obradu rizika, odobrenje vlasnika rizika, prihvaćanje preostalog rizika i Izjavu o primjenjivosti.
Politika upravljanja rizicima za MSP-ove Politika upravljanja rizicima za MSP-ove - MSP namjerno je konkretna:
Svaki unos rizika mora sadržavati: opis, vjerojatnost, utjecaj, ocjenu, vlasnika i plan obrade rizika.
To dolazi iz točke 5.1.2 Politike upravljanja rizicima za MSP-ove. Enterprise Politika upravljanja rizicima Politika upravljanja rizicima dodatno učvršćuje vezu sa SoA:
Izjava o primjenjivosti (SoA) mora odražavati sve odluke o obradi rizika i mora se ažurirati kad god se promijeni obuhvat kontrola.
To je točka 5.4 Politike upravljanja rizicima.
Razmotrite stvarni rizik za MSP: neovlašteni pristup produkcijskim podacima klijenata zbog nedosljedne provedbe MFA-a na računima za administraciju oblaka.
Snažno Govern mapiranje uključivalo bi:
- NIST GV.RM za standardizirano dokumentiranje i prioritizaciju rizika.
- NIST GV.RR za vlasništvo nad ulogama i ovlast za provedbu kontrole pristupa.
- NIST GV.PO za provedbu i pregled politike.
- Točke ISO 27001:2022 6.1.2, 6.1.3, 8.2 i 8.3.
- Kontrole iz Priloga A za kontrolu pristupa, upravljanje identitetom, autentifikacijske informacije, zapisivanje događaja, praćenje, konfiguraciju i usluge u oblaku.
- Dokaze kao što su unos u registar rizika, izvoz MFA konfiguracije, odobrenje iznimke, pregled cloud IAM-a, odluka preispitivanja uprave i ažurirana SoA napomena.
Zenith Blueprint, faza upravljanja rizicima, korak 13, „Risk Treatment Planning and Statement of Applicability”, objašnjava povezanost:
✓ Osigurajte usklađenost sa svojim registrom rizika: svaka ublažavajuća kontrola koju ste naveli u Planu obrade rizika treba odgovarati kontroli iz Priloga A označenoj kao „Primjenjiva”. Suprotno tome, ako je kontrola označena kao primjenjiva, trebali biste imati ili rizik ili zahtjev koji je pokreće.
To je razlika između izjave „koristimo MFA” i dokaza „imamo upravljan, na riziku temeljen razlog za MFA usklađen s ISO 27001:2022, s dokazom, vlasnikom i učestalošću pregleda”.
Upravljajte rizikom dobavljača bez prekomjerne izgradnje programa
NIST GV.SC jedan je od najkorisnijih dijelova funkcije Govern za MSP-ove jer suvremeni MSP-ovi snažno ovise o dobavljačima: pružateljima usluga u oblaku, procesorima plaćanja, HR platformama, helpdesk sustavima, repozitorijima koda, CI/CD alatima, alatima za praćenje i upravljanim sigurnosnim uslugama.
ISO 27001:2022 Prilog A to podupire kroz kontrole dobavljača i oblaka, uključujući 5.19 Informacijska sigurnost u odnosima s dobavljačima, 5.20 Uređivanje informacijske sigurnosti u ugovorima s dobavljačima, 5.21 Upravljanje informacijskom sigurnošću u IKT opskrbnom lancu, 5.22 Praćenje, pregled i upravljanje promjenama usluga dobavljača, 5.23 Informacijska sigurnost za korištenje usluga u oblaku i 5.30 IKT spremnost za neprekidnost poslovanja.
Politika sigurnosti trećih strana i dobavljača za MSP-ove Politika sigurnosti trećih strana i dobavljača za MSP-ove - MSP jasno utvrđuje zahtjev za dokazima:
Ti pregledi moraju biti dokumentirani i zadržani uz zapis dobavljača. Naknadne radnje moraju se jasno pratiti.
To je točka 6.3.2 Politike sigurnosti trećih strana i dobavljača za MSP-ove.
Sažet model upravljanja dobavljačima za MSP može koristiti tri razine:
| Razina dobavljača | Kriteriji | Minimalni dokazi | Učestalost pregleda |
|---|---|---|---|
| Kritičan | Podržava produkcijsko okruženje, podatke klijenata, autentifikaciju, praćenje sigurnosti, tijek plaćanja ili pružanje regulirane usluge | Upitnik za dubinsku provjeru dobavljača, sigurnosne odredbe ugovora, SLA, kontakt za incidente, plan izlaska, pregled rizika | Godišnje i pri značajnoj promjeni |
| Važan | Podržava poslovne operacije ili interne osjetljive informacije, ali ne izravno pružanje kritične usluge | Sažetak sigurnosti, uvjeti obrade podataka, pregled pristupa, prihvaćanje rizika ako postoje nedostaci | Svakih 18 mjeseci |
| Standardan | Alati niskog rizika bez osjetljivih podataka ili kritične ovisnosti | Odobrenje vlasnika poslovanja, osnovna provjera podataka i pristupa | Pri uvođenju i obnovi |
Ovaj jednostavan model podupire NIST GV.SC, kontrole dobavljača prema ISO 27001:2022, dubinsku provjeru dobavljača za klijente i ugovorna očekivanja financijskih klijenata potaknuta DORA-om.
Izlazni postupak za dobavljača zaslužuje posebnu pozornost. NIST GV.SC očekuje upravljanje kroz cijeli životni ciklus dobavljača, uključujući završetak odnosa. Dokazi trebaju uključivati povrat ili brisanje podataka, uklanjanje pristupa, planiranje prijelaza usluge, zadržane ugovorne zapise i pregled preostalog rizika.
Koristite Zenith Controls za međusobnu usklađenost, a ne kao zaseban skup kontrola
Clarysecov Zenith Controls: The Cross-Compliance Guide Zenith Controls vodič je za međusobnu usklađenost pri mapiranju kontrolnih tema ISO/IEC 27002:2022 na više okvira i revizijskih perspektiva. To nisu zasebne „Zenith kontrole”. To su kontrole ISO/IEC 27002:2022 analizirane unutar Zenith Controls za potrebe međusobne usklađenosti.
Za NIST CSF 2.0 Govern posebno su važna tri područja kontrola ISO/IEC 27002:2022:
| Područje kontrole ISO/IEC 27002:2022 u Zenith Controls | Povezanost s NIST CSF 2.0 Govern | Praktično tumačenje za MSP |
|---|---|---|
| 5.1 Politike informacijske sigurnosti | GV.PO | Politike moraju biti odobrene, komunicirane, provedene, pregledane i ažurirane kada se promijene prijetnje, tehnologija, zakon ili poslovni ciljevi |
| 5.4 Odgovornosti rukovodstva | GV.RR i GV.OV | Sigurnosne odgovornosti moraju biti dodijeljene na razini vodstva i operativnoj razini, uz resurse, izvješćivanje i pregled |
| 5.31 Pravni, zakonski, regulatorni i ugovorni zahtjevi | GV.OC-03 | Obveze moraju biti identificirane, mapirane na kontrole i vlasnike, praćene radi promjena i dokazive |
Zenith Blueprint, faza Controls in Action, korak 22, „Organizational controls”, daje operativni model:
Formalizirajte upravljanje informacijskom sigurnošću
Osigurajte da su vaše politike informacijske sigurnosti (5.1) dovršene, odobrene i pod verzijskom kontrolom. Dodijelite imenovane vlasnike za svaku domenu politike (npr. pristup, šifriranje, sigurnosno kopiranje) i dokumentirajte uloge i odgovornosti kroz ISMS (5.2). Pregledajte razdvajanje dužnosti (5.3) u područjima visokog rizika kao što su financije, administracija sustava i kontrola promjena. Izradite jednostavnu mapu upravljanja koja pokazuje tko odobrava, tko provodi i tko prati sigurnosnu politiku.
Ta mapa upravljanja jedan je od najvrjednijih artefakata koje MSP može izraditi. Odgovara na NIST GV.RR, zahtjeve vodstva prema ISO 27001:2022, očekivanja NIS2 o odgovornosti rukovodstva i pitanja klijenata o tome tko je vlasnik kibernetičkog rizika.
Jedan model upravljanja za NIS2, DORA, GDPR, NIST i ISO
Funkcija Govern najvrjednija je kada se MSP suočava s preklapajućim zahtjevima.
NIS2 zahtijeva od bitnih i važnih subjekata u opsegu da usvoje odgovarajuće i razmjerne mjere upravljanja rizicima kibernetičke sigurnosti. Također odgovornost stavlja na upravljačka tijela, koja moraju odobriti mjere upravljanja rizicima kibernetičke sigurnosti, nadzirati provedbu i pohađati osposobljavanje. NIST GV.RR podupire odgovornost rukovodstva. GV.RM podupire mjere temeljene na riziku. GV.SC podupire sigurnost opskrbnog lanca. GV.PO podupire politike. GV.OV podupire pregled učinkovitosti.
Upravljanje incidentima prema NIS2 također uvodi očekivanja faznog izvješćivanja, uključujući rano upozorenje unutar 24 sata, obavijest o incidentu unutar 72 sata i završno izvješće unutar jednog mjeseca za značajne incidente. Ti rokovi trebaju biti odraženi u postupcima odgovora na incidente, putovima eskalacije, komunikacijskim planovima i izvješćivanju rukovodstva.
DORA se od 17. siječnja 2025. primjenjuje na financijske subjekte u EU-u, ali mnogi MSP-ovi osjećaju njezin učinak kroz ugovore s klijentima. Financijski klijenti mogu prenijeti zahtjeve DORA-e na IKT pružatelje, dobavljače softvera, pružatelje upravljanih usluga i dobavljače ovisne o oblaku. DORA je usmjerena na upravljanje IKT rizicima, odgovornost upravljačkog tijela, prijavljivanje incidenata, testiranje otpornosti, IKT rizik trećih strana, ugovorne zahtjeve i nadzor.
GDPR dodaje odgovornost za obradu osobnih podataka. MSP-ovi moraju razumjeti jesu li voditelji obrade, izvršitelji obrade ili oboje, koje osobne podatke obrađuju, koji su sustavi i dobavljači uključeni, koje se pravne osnove primjenjuju i koji scenariji incidenata mogu postati povrede osobnih podataka.
Zenith Blueprint, faza upravljanja rizicima, korak 14, preporučuje unakrsno povezivanje zahtjeva DORA, NIS2 i GDPR s kontrolnim skupom ISO 27001:2022:
Za svaki propis, ako je primjenjiv, možete izraditi jednostavnu tablicu mapiranja (može biti prilog izvješću) koja navodi ključne sigurnosne zahtjeve propisa i odgovarajuće kontrole/politike u vašem ISMS-u. To nije obvezno prema ISO 27001, ali je koristan interni postupak kako biste osigurali da ništa nije promaknulo.
Praktična mapa međusobne usklađenosti može izgledati ovako:
| Upravljački zahtjev | NIST CSF 2.0 Govern | ISO 27001:2022 uporište | Relevantnost za NIS2, DORA, GDPR | Primarni dokazi |
|---|---|---|---|---|
| Odgovornost rukovodstva | GV.RR i GV.OV | Točke 5.1, 5.3 i 9.3, Prilog A 5.4 | Nadzor upravljačkog tijela prema NIS2, odgovornost upravljačkog tijela prema DORA-i | Mapa upravljanja, RACI, zapisnici preispitivanja uprave |
| Pravne i ugovorne obveze | GV.OC-03 | Točke 4.2, 4.3 i 6.1.3, Prilog A 5.31 i 5.34 | Odgovornost prema GDPR-u, pravni opseg NIS2, ugovorni prijenosi zahtjeva prema DORA-i | Registar usklađenosti, mapa obveza prema klijentima, registar privatnosti |
| Sigurnosne mjere temeljene na riziku | GV.RM | Točke 6.1.2, 6.1.3, 8.2 i 8.3 | Mjere rizika prema NIS2, okvir IKT rizika prema DORA-i, sigurnost obrade prema GDPR-u | Registar rizika, plan obrade rizika, SoA |
| Upravljanje dobavljačima | GV.SC | Prilog A 5.19 do 5.23 i 5.30 | Sigurnost opskrbnog lanca prema NIS2, IKT rizik trećih strana prema DORA-i, izvršitelji obrade prema GDPR-u | Popis dobavljača, dubinska provjera dobavljača, ugovori, zapisi pregleda |
| Upravljanje politikama | GV.PO | Točka 5.2 i Prilog A 5.1 | Svi okviri očekuju dokumentirana, odobrena i komunicirana pravila | Registar politika, povijest verzija, potvrde upoznatosti |
| Revizija i poboljšanje | GV.OV | Točke 9.1, 9.2, 9.3, 10.1 i 10.2 | Testiranje i otklanjanje nedostataka prema DORA-i, učinkovitost prema NIS2, odgovornost prema GDPR-u | Izvješća unutarnje revizije, KPI-jevi, korektivne radnje |
Vrijednost je u učinkovitosti. Jedan dobro vođen ISMS prema ISO 27001:2022, usmjeren funkcijom NIST CSF 2.0 Govern, može istodobno generirati ponovno upotrebljive dokaze za više okvira.
Pogled revizora: dokazivanje da je upravljanje stvarno
Politika na polici nije upravljanje. Revizori i procjenitelji traže zlatnu nit: politika visoke razine, definirani proces, operativni zapis, preispitivanje uprave i radnja poboljšanja.
Različiti pregledavatelji tu će nit testirati na različite načine.
| Revizijska perspektiva | Na što će se usmjeriti | Dokazi koji dobro funkcioniraju |
|---|---|---|
| Revizor ISO 27001:2022 | Je li upravljanje ugrađeno u ISMS, je li obrada rizika sljediva, jesu li SoA odluke opravdane i jesu li dokumentirane informacije kontrolirane | Opseg ISMS-a, registar politika, registar rizika, SoA, zapisnici preispitivanja uprave, izvješća unutarnje revizije, korektivne radnje |
| Procjenitelj NIST CSF 2.0 | Postoje li trenutačni i ciljni profili, jesu li nedostaci prioritizirani i jesu li ishodi Govern povezani s poslovnim rizikom i nadzorom | CSF profil, analiza nedostataka, POA&M, izjava o apetitu za rizik, nadzorna ploča rukovodstva, ciljni profil dobavljača |
| Revizor prema COBIT 2019 ili ISACA pristupu | Jesu li definirani ciljevi upravljanja, prava odlučivanja, mjere učinkovitosti, vlasništvo nad kontrolama i aktivnosti osiguranja | Mapa upravljanja, RACI, nadzorna ploča KPI-jeva i KRI-jeva, potvrde vlasnika kontrola, plan revizije, praćenje otvorenih pitanja |
| GDPR pregledavatelj | Jesu li obveze privatnosti identificirane, je li obrada mapirana, jesu li sigurnosne zaštitne mjere primjerene i postoje li dokazi odgovornosti | Registar obrade, mapiranje pravne osnove, DPIA gdje je potrebno, proces odgovora na povredu, uvjeti obrade podataka za dobavljače |
| Procjenitelj sigurnosti klijenta | Može li MSP bez pretjeranog kašnjenja dokazati operativnu sigurnost, kontrolu dobavljača, spremnost za incidente i odgovornost rukovodstva | Paket dokaza, politike, pregledi dobavljača, rezultati stolne vježbe za incidente, pregledi pristupa, testovi sigurnosnih kopija, sigurnosni plan razvoja |
Clarysecova Enterprise Politika uloga i odgovornosti u upravljanju Politika uloga i odgovornosti u upravljanju navodi:
Upravljanje mora podupirati integraciju s drugim disciplinama (npr. rizik, pravni poslovi, IT, HR), a odluke ISMS-a moraju biti sljedive do svojeg izvora (npr. revizijski zapisi, zapisi pregleda, zapisnici sastanaka).
To je točka 5.5 Politike uloga i odgovornosti u upravljanju. Sažima bit međusobne usklađenosti: odluke upravljanja moraju biti sljedive.
Politika praćenja revizije i usklađenosti za MSP-ove Politika praćenja revizije i usklađenosti za MSP-ove - MSP dodaje ključnu disciplinu dokaza:
Metapodaci (npr. tko ih je prikupio, kada i iz kojeg sustava) moraju biti dokumentirani.
Ovaj citat dolazi iz točke 6.2.3 Politike praćenja revizije i usklađenosti za MSP-ove. Metapodaci dokaza često su ono što mapu snimki zaslona razlikuje od dokaza revizijske kvalitete.
Enterprise Politika praćenja revizije i usklađenosti Politika praćenja revizije i usklađenosti dodaje zahtjev na razini programa:
Organizacija mora održavati strukturirani program praćenja revizije i usklađenosti integriran u ISMS, koji obuhvaća:
To je točka 5.1 Politike praćenja revizije i usklađenosti. Upravljačka je implikacija izravna: revizija nije godišnja utrka u zadnji čas. Ona je dio operacija ISMS-a.
Česte pogreške MSP-ova pri mapiranju NIST Govern na ISO 27001:2022
Prva pogreška je prekomjerna dokumentacija bez vlasništva. MSP piše politike, ali ne dodjeljuje vlasnike za obradu rizika, preglede dobavljača, odobrenja iznimaka ili izvješćivanje rukovodstva.
Druga pogreška je tretiranje pravnih obveza kao nečega odvojenog od ISMS-a. NIST GV.OC-03 zahtijeva da se obveze razumiju i da se njima upravlja. ISO 27001:2022 zahtijeva da se relevantni zahtjevi zainteresiranih strana te pravne, regulatorne i ugovorne obveze razmotre u ISMS-u.
Treća pogreška je slabo obrazloženje SoA. SoA nije samo popis primjenjivih kontrola. To je logička datoteka koja obrazlaže zašto su kontrole uključene, isključene ili implementirane.
Četvrta pogreška su nedostatni dokazi o životnom ciklusu dobavljača. Upravljanje dobavljačima uključuje uvođenje dobavljača, ugovore, praćenje, incidente, promjene i izlazni postupak.
Peta pogreška je neažuriranje ciljnog profila. CSF profil treba se promijeniti kada poslovanje ulazi u novu geografsku regiju, potpisuje važnog klijenta, usvaja kritičnog dobavljača, pokreće regulirani proizvod, mijenja arhitekturu oblaka ili pretrpi incident.
30-dnevni plan NIST CSF 2.0 Govern za MSP
Ako se MSP mora brzo pokrenuti, počnite s usmjerenim 30-dnevnim planom implementacije.
| Dani | Aktivnost | Izlazni rezultat |
|---|---|---|
| 1 do 3 | Definirati opseg CSF Govern i prikupiti postojeće politike, ugovore, zapise o rizicima, popise dobavljača i revizijske dokaze | Napomena o opsegu i inventar dokaza |
| 4 do 7 | Izraditi Govern registar dokaza za GV.OC, GV.RM, GV.RR, GV.PO, GV.OV i GV.SC | Trenutačni profil i početni nedostaci |
| 8 do 12 | Mapirati obveze na politike ISO 27001:2022, područja kontrola iz Priloga A i vlasnike | Registar usklađenosti i mapa vlasništva nad politikama |
| 13 do 17 | Ažurirati registar rizika i plan obrade rizika, zatim uskladiti SoA unose | Registar rizika, plan obrade rizika, ažuriranja SoA |
| 18 do 22 | Prioritizirati upravljanje dobavljačima, uključujući klasifikaciju kritičnih dobavljača, ugovorne nedostatke i dokaze pregleda | Registar rizika dobavljača i alat za praćenje radnji |
| 23 do 26 | Pripremiti paket revizijskih dokaza s metapodacima, odobrenjima, zapisima pregleda i odlukama uprave | Paket dokaza i revizijski indeks |
| 27 do 30 | Provesti preispitivanje uprave i odobriti plan ciljnog profila | Zapisnici preispitivanja uprave, odluke, plan razvoja |
Ovaj plan stvara dovoljno upravljačkih dokaza za odgovore na ozbiljna pitanja klijenata i revizije, uz izgradnju temelja za certifikaciju prema ISO 27001:2022, spremnost za NIS2, dokazivanje sigurnosti prema zahtjevima klijenata u kontekstu DORA-e i odgovornost prema GDPR-u.
Praktični rezultat: jedna priča upravljanja, više uporaba za usklađenost
Kada se Sarah vrati pred upravljačko tijelo, više nema pet nepovezanih tokova rada za usklađenost. Ima jednu priču upravljanja.
Ishodi NIST CSF 2.0 Govern mapirani su na politike ISO 27001:2022, vlasnike, rizike, kontrole i dokaze. Opseg ISMS-a uključuje ovisnosti o klijentima, dobavljačima, oblaku te pravnim, regulatornim, privatnosnim i ugovornim zahtjevima. Registar rizika pokreće odluke o obradi rizika i primjenjivost SoA. Politike su odobrene, pod verzijskom kontrolom, imaju vlasnike, komunicirane su i pregledavaju se. Rizici dobavljača razvrstani su po razinama, ugovoreni, nadzirani i prate se. Obveze obrade prema GDPR-u, očekivanja odgovornosti prema NIS2 i zahtjevi koje klijenti prenose dalje prema DORA-i unakrsno su povezani gdje je primjenjivo. Revizijski dokazi uključuju metapodatke, zapise odluka i izlazne rezultate preispitivanja uprave.
Tako izgleda upravljanje kada je operativno.
Sljedeći korak: izradite MSP Govern paket dokaza s Clarysecom
Ako se pripremate za ISO 27001:2022, odgovarate na dubinsku provjeru dobavljača za korporativnog klijenta, mapirate ishode NIST CSF 2.0 Govern ili pokušavate uskladiti NIS2, DORA i GDPR bez izgradnje odvojenih programa, počnite od upravljačkog sloja.
Clarysec vam može pomoći izraditi:
- Trenutačni i ciljni profil NIST CSF 2.0 Govern.
- Mapiranje politike ISO 27001:2022 i SoA.
- Registar obveza za međusobnu usklađenost koristeći Zenith Controls Zenith Controls.
- 30-koračni plan implementacije ISMS-a koristeći Zenith Blueprint Zenith Blueprint.
- Dokaze politika spremne za MSP koristeći Clarysecov skup politika, uključujući Politiku uloga i odgovornosti u upravljanju za MSP-ove Politika uloga i odgovornosti u upravljanju za MSP-ove - MSP, Politiku upravljanja rizicima za MSP-ove Politika upravljanja rizicima za MSP-ove - MSP, Politiku pravne i regulatorne usklađenosti za MSP-ove Politika pravne i regulatorne usklađenosti za MSP-ove - MSP, Politiku sigurnosti trećih strana i dobavljača za MSP-ove Politika sigurnosti trećih strana i dobavljača za MSP-ove - MSP i Politiku praćenja revizije i usklađenosti za MSP-ove Politika praćenja revizije i usklađenosti za MSP-ove - MSP.
Najbrži put nije još jedna proračunska tablica. To je upravljan, na riziku temeljen ISMS spreman za dokaze, koji vašem MSP-u omogućuje da pouzdano odgovori na jedno pitanje:
Možete li dokazati da se kibernetičkom sigurnošću upravlja, da ima vlasnike, da se pregledava i kontinuirano poboljšava?
Uz Clarysec, odgovor postaje da.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
