Sigurne polazne konfiguracije za NIS2 i DORA
Pogrešna konfiguracija u petak poslijepodne koja je postala problem upravnog odbora
U petak u 16:40, voditelj inženjeringa jedne fintech platforme odobrio je promjenu vatrozida koja je izgledala rutinski. Otvoreno je privremeno pravilo radi otklanjanja poteškoća u integraciji s pružateljem analitike plaćanja. U zahtjevu je pisalo: „ukloniti nakon testiranja”. Test je prošao. Pravilo je ostalo.
Tri tjedna kasnije, vanjsko skeniranje otkrilo je administrativno sučelje dostupno s interneta. Poslužitelj je bio zakrpan. MFA je bio uveden za uobičajene korisnike. Skener ranjivosti nije označio kritični CVE. No sustav i dalje nije bio siguran jer je njegova konfiguracija odstupila od odobrenog sigurnosno očvrsnutog stanja organizacije.
Do ponedjeljka ujutro CISO je istodobno vodio četiri razgovora:
- Regulator je želio znati je li operativna otpornost bila narušena.
- Službenik za zaštitu podataka želio je znati jesu li osobni podaci bili izloženi.
- Upravni odbor želio je znati zašto se „privremene” promjene ne otkrivaju.
- Interni revizor za ISO/IEC 27001:2022 želio je revizijske dokaze da su sigurne polazne konfiguracije definirane, odobrene, implementirane i nadzirane.
Upravo tu mnogi sigurnosni programi otkrivaju neugodnu istinu. Sigurna konfiguracija nije samo tehnički kontrolni popis za sigurnosno očvršćivanje. U 2026. sigurne polazne konfiguracije pitanje su upravljanja, kibernetičke higijene, IKT rizika, revizijskih dokaza i odgovornosti upravnog odbora.
Druga inačica istog problema pojavljuje se u mnogim reguliranim organizacijama. Maria, CISO rastućeg B2B procesora plaćanja, ima iskusne inženjere, zakrpane sustave i dobre prakse za oblak. Međutim, procjena spremnosti za NIS2 i DORA ističe jedan crveni nalaz: nedostatak formaliziranih sigurnih polaznih konfiguracija. Njezin tim zna kako sigurnosno očvrsnuti poslužitelje, ali velik dio tog znanja nalazi se u glavama inženjera, a ne u odobrenim standardima, automatiziranim provjerama ili paketima dokaza.
Taj nedostatak više nije moguće opravdati. NIS2 zahtijeva da upravljačka tijela odobre i nadziru mjere upravljanja rizicima kibernetičke sigurnosti. DORA zahtijeva dokumentirani okvir za upravljanje IKT rizicima i otporne IKT operacije. GDPR zahtijeva odgovarajuće tehničke i organizacijske mjere. ISO/IEC 27001:2022 zahtijeva odabir kontrola temeljen na riziku, implementaciju, praćenje, reviziju i kontinuirano poboljšanje.
Sigurne polazne konfiguracije povezuju sve te obveze u jedan praktičan sustav kontrola: definirati polaznu konfiguraciju, dodijeliti vlasništvo, provoditi je pri uspostavi resursa, upravljati iznimkama, otkrivati konfiguracijska odstupanja, dokazivati provedbu i poboljšavati nakon revizija ili incidenata.
Kako Clarysecov Zenith Blueprint: revizorov plan puta u 30 koraka navodi u fazi Kontrole u praksi, 19. korak, Tehnološke kontrole I:
„Mnoge povrede ne nastaju zbog nedostataka softvera, nego zbog loših konfiguracijskih odluka. Zadane lozinke ostaju nepromijenjene, nesigurne usluge ostaju omogućene, nepotrebni portovi ostaju otvoreni ili su sustavi izloženi internetu bez opravdanja.”
Ta rečenica sažima zašto su sigurne polazne konfiguracije sada temeljna kontrola otpornosti. One definiraju što znači sigurno prije nego što to zatraži revizor, regulator, klijent ili napadač.
Što sigurna polazna konfiguracija zapravo jest
Sigurna polazna konfiguracija odobreni je, dokumentirani i ponovljivi skup sigurnosnih postavki za određenu vrstu sustava. Može se primjenjivati na Windows poslužitelje, Linux hostove, mrežne uređaje, SaaS okruženja, pohranu u oblaku, Kubernetes klastere, baze podataka, vatrozide, krajnje uređaje, platforme identiteta, IoT uređaje i operativnu tehnologiju.
Dobra polazna konfiguracija odgovara na praktična pitanja:
- Koje su usluge zadano onemogućene?
- Koji portovi smiju biti izloženi prema van?
- Koje su postavke autentifikacije i MFA obvezne?
- Koje postavke zapisivanja događaja moraju biti omogućene?
- Koje su postavke šifriranja potrebne?
- Koja su administrativna sučelja ograničena?
- Koji resursi u oblaku smiju biti javni i uz čije odobrenje?
- Koja odstupanja zahtijevaju prihvaćanje rizika?
- Koliko često provjeravamo konfiguracijska odstupanja?
- Koji dokazi potvrđuju da polazna konfiguracija djeluje?
Najčešći je neuspjeh postupanje s polaznim konfiguracijama kao s inženjerskim preferencijama, a ne kao s upravljanim kontrolama. Kontrolni popis Linux administratora, wiki stranica arhitekta oblaka i konvencija mrežnog inženjera za vatrozide mogu biti korisni, ali ne postaju revizijski provjerljivi dok nisu odobreni, mapirani na rizik, dosljedno primijenjeni i praćeni.
Zato je ISO/IEC 27001:2022 toliko koristan oslonac. Točke 4.1 do 4.3 zahtijevaju da organizacije razumiju unutarnje i vanjske okolnosti, zainteresirane strane i opseg ISMS-a, uključujući pravne, regulatorne, ugovorne zahtjeve i zahtjeve trećih strana. Točke 6.1.2 i 6.1.3 zahtijevaju procjenu rizika informacijske sigurnosti, obradu rizika, odabir kontrola, Izjavu o primjenjivosti i odobrenje vlasnika rizika. Točke 8.2 i 8.3 zahtijevaju ponavljanje procjena rizika i obrade rizika u planiranim intervalima ili nakon značajnih promjena.
Prilog A zatim tehničko očekivanje konkretizira kroz A.8.9 Upravljanje konfiguracijom, uz potporu popisa imovine, upravljanja ranjivostima, upravljanja promjenama, zapisivanja događaja, praćenja, kontrole pristupa, kriptografije, korištenja usluga u oblaku i dokumentiranih operativnih postupaka.
Rezultat je jednostavna, ali snažna upravljačka izjava: ako organizacija ne može pokazati što sigurno znači za svaku glavnu vrstu sustava, ne može uvjerljivo dokazati kibernetičku higijenu prema NIS2, kontrolu IKT rizika prema DORA, odgovornost prema GDPR-u ili djelotvornost kontrola prema ISO/IEC 27001:2022.
Zašto NIS2, DORA i GDPR čine polazne konfiguracije neizbježnima
NIS2, DORA i GDPR koriste različit jezik, ali vode prema istom operativnom zahtjevu: sustavi moraju biti sigurno konfigurirani, kontinuirano nadzirani i upravljani kroz odgovorno upravljanje rizicima.
NIS2 Article 20 zahtijeva da upravljačka tijela ključnih i važnih subjekata odobre mjere upravljanja rizicima kibernetičke sigurnosti, nadziru implementaciju i pohađaju osposobljavanje iz kibernetičke sigurnosti. Article 21 zahtijeva odgovarajuće i razmjerne tehničke, operativne i organizacijske mjere. Sigurne polazne konfiguracije podupiru Article 21(2)(a) politike o analizi rizika i sigurnosti informacijskih sustava, Article 21(2)(e) sigurnost pri nabavi, razvoju i održavanju mrežnih i informacijskih sustava, uključujući postupanje s ranjivostima, Article 21(2)(f) politike i postupke za procjenu učinkovitosti, Article 21(2)(g) osnovnu kibernetičku higijenu i osposobljavanje iz kibernetičke sigurnosti, Article 21(2)(h) kriptografiju, Article 21(2)(i) kontrolu pristupa i upravljanje imovinom te Article 21(2)(j) višefaktorsku autentifikaciju i sigurne komunikacije.
DORA se primjenjuje od 17. siječnja 2025. i djeluje kao sektorski pravilnik operativne otpornosti za obuhvaćene financijske subjekte. Articles 5 i 6 zahtijevaju upravljanje i dokumentirani okvir za upravljanje IKT rizicima. Article 8 zahtijeva identifikaciju IKT imovine, informacijske imovine, poslovnih funkcija koje podržava IKT i ovisnosti. Article 9 zahtijeva mjere zaštite i prevencije, uključujući sigurnosne politike, postupke, protokole i alate za IKT sustave, siguran prijenos podataka, kontrolu pristupa, snažnu autentifikaciju, zaštitu kriptografskih ključeva, upravljanje promjenama, zakrpavanje i ažuriranja. Articles 10 do 14 proširuju model na otkrivanje, odgovor, oporavak, sigurnosne kopije, vraćanje podataka, učenje i komunikaciju.
GDPR dodaje perspektivu privatnosti. Articles 5 i 32 zahtijevaju cjelovitost, povjerljivost, sigurnost obrade i odgovornost kroz odgovarajuće tehničke i organizacijske mjere. Javni spremnici u oblaku, previše izložene baze podataka, nesigurne zadane postavke i prekomjerni administrativni pristup nisu samo slabosti infrastrukture. Mogu postati neuspjesi u zaštiti osobnih podataka.
Jedinstveni program sigurnih polaznih konfiguracija može poduprijeti sva tri režima bez stvaranja dupliciranih tokova dokaza.
| Područje zahtjeva | Doprinos sigurne konfiguracije | Tipični dokazi |
|---|---|---|
| Obrada rizika prema ISO/IEC 27001:2022 | Dokazuje odabrane i implementirane kontrole za sigurna stanja sustava | Plan obrade rizika, Izjava o primjenjivosti, odobrena polazna konfiguracija |
| Kibernetička higijena prema NIS2 | Pokazuje sigurne zadane postavke, kontroliranu izloženost i procjenu učinkovitosti | Registar polaznih konfiguracija, izvješća o konfiguracijskim odstupanjima, izvješćivanje upravi |
| Upravljanje IKT rizicima prema DORA | Povezuje zaštitu IKT imovine, kontrolu promjena, zakrpavanje i praćenje | Mapiranje IKT imovine, zahtjevi za promjenu, izvješća o usklađenosti konfiguracije |
| Odgovornost prema GDPR-u | Dokazuje odgovarajuće mjere za sustave koji obrađuju osobne podatke | Mapiranje podatkovnih sustava, postavke šifriranja, pregledi pristupa |
| Dokazivanje sigurnosti prema zahtjevima klijenata | Pruža ponovljive dokaze za upitnike dubinske analize dobavljača | Paket dokaza, snimke zaslona, izvozi, registar iznimaka |
Clarysecov model polaznih konfiguracija: politika, postupak i dokazi platforme
Clarysec sigurnu konfiguraciju tretira kao ponovljiv sustav kontrola, a ne kao jednokratni projekt sigurnosnog očvršćivanja. Polazna konfiguracija mora biti odobrena politikom, prevedena u postupke, implementirana kroz tehničke kontrole i potvrđena dokazima.
Politika informacijske sigurnosti postavlja to očekivanje na razini organizacije:
„Organizacija mora održavati minimalnu osnovu kontrola izvedenu iz ISO/IEC 27001 Annex A, dopunjenu, gdje je primjereno, kontrolama iz ISO/IEC 27002, NIST SP 800-53 i COBIT 2019.”
Iz odjeljka „Obrada rizika i iznimke”, točka politike 7.2.1.
Ova točka sprječava da sigurnosno očvršćivanje konfiguracije postane zbirka osobnih preferencija. Ona minimalnu osnovu kontrola veže uz priznate okvire.
Za okruženja u oblaku, Politika korištenja usluga u oblaku sužava zahtjev:
„Sva okruženja u oblaku moraju biti usklađena s dokumentiranom polaznom konfiguracijom koju je odobrio arhitekt sigurnosti oblaka.”
Iz odjeljka „Zahtjevi za implementaciju politike”, točka politike 6.3.1.
Politika praćenja revizije i usklađenosti zatim pretvara polaznu konfiguraciju u nadziranu kontrolu:
„Automatizirani alati moraju se uvesti za praćenje usklađenosti konfiguracije, upravljanja ranjivostima, statusa zakrpa i privilegiranog pristupa.”
Iz odjeljka „Zahtjevi za implementaciju politike”, točka politike 6.4.1.
Konfiguracija je također nerazdvojiva od upravljanja ranjivostima i zakrpama. Politika upravljanja ranjivostima i zakrpama navodi:
„Otklanjanje ranjivosti mora biti usklađeno s polaznom konfiguracijom i standardima sigurnosnog očvršćivanja sustava.”
Iz odjeljka „Zahtjevi za implementaciju politike”, točka politike 6.4.1.
Ta je točka važna. Sustav može biti zakrpan, a i dalje ostati nesiguran ako je SMBv1 omogućen, administrativna sučelja su izložena, zapisivanje događaja je onemogućeno ili su slabe postavke autentifikacije još uvijek na snazi. U Zenith Controls: vodič za međusobnu usklađenost, upravljanje konfiguracijom tretira se kao preventivna kontrola koja štiti povjerljivost, cjelovitost i dostupnost, uz operativnu sposobnost u području sigurne konfiguracije. Zenith Controls također objašnjava ovisnost između upravljanja konfiguracijom i upravljanja ranjivostima:
„Upravljanje ranjivostima ovisi o poznatim konfiguracijama. Bez definirane polazne konfiguracije nije moguće osigurati dosljednu primjenu zakrpa.”
To je dokazna logika koju revizori i regulatori sve češće očekuju: sustav kontrola, a ne izolirani tehnički zadaci.
Mapiranje ISO/IEC 27001:2022 A.8.9 na potporne kontrole
Kontrola A.8.9 Upravljanje konfiguracijom iz Priloga A standarda ISO/IEC 27001:2022 temeljni je oslonac, ali ne treba je tretirati kao mali samostalni dokument. Ona ovisi o široj obitelji kontrola.
| Kontrola iz Priloga A standarda ISO/IEC 27001:2022 | Zašto je važna za sigurne polazne konfiguracije |
|---|---|
| A.5.9 Popis informacijske i druge povezane imovine | Svaka poznata imovina treba dodijeljenu polaznu konfiguraciju. Nepoznata imovina stvara nepoznat konfiguracijski rizik. |
| A.8.8 Upravljanje tehničkim ranjivostima | Skeniranje i zakrpavanje ovise o poznatim konfiguracijama i očekivanim stanjima sustava. |
| A.8.32 Upravljanje promjenama | Polazne konfiguracije definiraju odobrena stanja, dok upravljanje promjenama kontrolira odobreno kretanje između stanja. |
| A.8.1 Korisnički krajnji uređaji | Izrade krajnjih uređaja trebaju sigurnosno očvrsnute postavke, šifriranje, sigurnosne agente i ograničene usluge. |
| A.8.2 Prava privilegiranog pristupa | Samo ovlašteni administratori smiju mijenjati konfiguracije, a zadani računi moraju biti uklonjeni ili zaštićeni. |
| A.8.5 Sigurna autentifikacija | Pravila za lozinke, zaključavanje, MFA i sesije često su dio polaznih postavki. |
| A.8.15 Zapisivanje događaja | Sigurnosni, administrativni i konfiguracijski događaji moraju se bilježiti radi dokaza i istrage. |
| A.8.16 Aktivnosti praćenja | Otkrivanje konfiguracijskih odstupanja i sumnjivih konfiguracijskih promjena zahtijeva aktivni nadzor. |
| A.5.37 Dokumentirani operativni postupci | Postupci izrade, konfiguracijski kontrolni popisi i koraci pregleda čine provedbu polaznih konfiguracija ponovljivom. |
| A.5.36 Usklađenost s politikama, pravilima i standardima informacijske sigurnosti | Provjere usklađenosti dokazuju da sustavi i dalje odgovaraju odobrenim polaznim konfiguracijama. |
Zbog tog odnosa među kontrolama Clarysec preporučuje upravljanje sigurnom konfiguracijom kao sposobnošću ISMS-a, s vlasnicima, dokazima, metrikama i izvješćivanjem upravi.
Šira usporedna matrica pomaže isti program polaznih konfiguracija prevesti u druge okvire.
| Okvir | Relevantni zahtjev ili kontrola | Dokazi sigurne konfiguracije |
|---|---|---|
| NIS2 | Article 21 mjere upravljanja rizicima kibernetičke sigurnosti, uključujući kibernetičku higijenu, sigurno održavanje, postupanje s ranjivostima, procjenu učinkovitosti, kontrolu pristupa i upravljanje imovinom | Standardi polaznih konfiguracija, izvješća o konfiguracijskim odstupanjima, zapisi o iznimkama, nadzor uprave |
| DORA | Articles 6, 8 i 9 o upravljanju IKT rizicima, identifikaciji IKT imovine, zaštiti i prevenciji | Registar IKT polaznih konfiguracija, mapiranje imovine na polazne konfiguracije, dokazi o promjenama i zakrpama |
| GDPR | Articles 5 i 32 o cjelovitosti, povjerljivosti, sigurnosti obrade i odgovornosti | Postavke šifriranja, postavke pristupa, sigurna konfiguracija oblaka, zapisi pregleda |
| NIST SP 800-53 Rev. 5 | CM-2 Baseline Configuration, CM-3 Configuration Change Control, CM-6 Configuration Settings, CM-7 Least Functionality, RA-5 Vulnerability Monitoring and Scanning, SI-4 System Monitoring | Polazne konfiguracije, zapisi promjena, rezultati skeniranja ranjivosti, rezultati praćenja |
| COBIT 2019 | APO13 Managed Security, BAI06 Managed IT Changes, BAI10 Managed Configuration, DSS05 Managed Security Services, MEA03 Managed Compliance With External Requirements | Metrike upravljanja, odobrene promjene, konfiguracijski zapisi, izvješćivanje o usklađenosti |
Praktična struktura polazne konfiguracije koju možete implementirati ovaj mjesec
Najčešća je pogreška pokušati napisati savršen standard sigurnosnog očvršćivanja od 80 stranica prije provedbe bilo čega. Započnite s minimalnom, ali revizijski provjerljivom polaznom konfiguracijom za svaku glavnu tehnološku obitelj, a zatim je razvijajte kroz automatizaciju i pregled.
| Sastavnica polazne konfiguracije | Primjer zahtjeva | Dokazi koje treba čuvati |
|---|---|---|
| Opseg | Windows poslužitelji, Linux poslužitelji, krajnji uređaji, vatrozidi, pohrana u oblaku, okruženje identiteta i baze podataka | Registar polaznih konfiguracija s kategorijama imovine |
| Vlasništvo | Svaka polazna konfiguracija ima tehničkog vlasnika, vlasnika rizika i tijelo za odobrenje | RACI ili matrica vlasništva nad kontrolama |
| Odobrena izrada | Sigurnosno očvrsnuta slika, predložak infrastrukture kao koda, GPO, MDM profil ili ručni kontrolni popis izrade | Izvoz predloška, snimka zaslona, potvrda promjene u repozitoriju ili kontrolni popis |
| Mrežna izloženost | Samo odobreni portovi i usluge izloženi su prema van | Izvoz pravila vatrozida, izvješće sigurnosne grupe u oblaku |
| Autentifikacija | MFA za administratorski pristup, bez zadanih računa, sigurne postavke lozinki i zaključavanja | Snimka zaslona politike identiteta, pregled administratorskog pristupa |
| Zapisivanje događaja | Omogućeni zapisi dnevnika za sigurnosne, administratorske, autentifikacijske i konfiguracijske promjene | SIEM nadzorna ploča, popis izvora dnevničkih zapisa |
| Šifriranje | Šifriranje podataka u mirovanju i u prijenosu omogućeno je gdje je potrebno | Snimka zaslona konfiguracije, zapis o upravljanju ključevima |
| Kontrola promjena | Promjene polazne konfiguracije i iznimke zahtijevaju zahtjev, odobrenje, testiranje i plan povrata | Zahtjev za promjenu i povijest odobrenja |
| Praćenje konfiguracijskih odstupanja | Automatizirane ili zakazane provjere uspoređuju stvarne postavke s odobrenom polaznom konfiguracijom | Izvješće o usklađenosti konfiguracije |
| Učestalost pregleda | Polazne konfiguracije pregledavaju se najmanje jednom godišnje te nakon većih incidenata, arhitekturnih promjena ili regulatornih promjena | Zapisnici pregleda, ažurirana povijest verzija |
Za polaznu konfiguraciju pohrane u oblaku prva verzija može uključivati javni pristup zadano onemogućen, šifriranje podataka u mirovanju omogućeno, zapisivanje pristupa omogućeno, administrativni pristup ograničen na odobrene grupe, MFA obvezan za privilegirani pristup konzoli, verzioniranje omogućeno gdje to zahtijevaju ciljevi oporavka, replikaciju ograničenu na odobrene regije i promjene samo kroz odobrene CI/CD cjevovode infrastrukture kao koda.
Za polaznu konfiguraciju Windows Server 2022 koja podržava obradu plaćanja prva verzija može uključivati SMBv1 onemogućen, nebitne usluge onemogućene, RDP ograničen na sigurnosno očvrsnuti bastion poslužitelj, Windows Defender Firewall omogućen s pravilima zadanog odbijanja, lokalne administratorske račune pod kontrolom, dnevnike događaja proslijeđene u SIEM, zaštitu krajnjih uređaja omogućenu i administrativne promjene povezane s odobrenim zahtjevima.
Za svaku polaznu konfiguraciju izradite mali paket dokaza:
- Odobreni dokument polazne konfiguracije.
- Snimku zaslona ili izvezenu politiku koja pokazuje primijenjenu konfiguraciju.
- Popis imovine obuhvaćene polaznom konfiguracijom.
- Zahtjev za promjenu koji pokazuje kako se ažuriranja odobravaju.
- Izvješće o usklađenosti konfiguracije ili zapis ručnog pregleda.
To je izravno usklađeno sa Zenith Blueprint, faza Kontrole u praksi, 19. korak, gdje Clarysec savjetuje organizacijama da uspostave konfiguracijske kontrolne popise za glavne vrste sustava, dosljedno primjenjuju postavke pri uspostavi resursa kroz automatizaciju gdje je moguće, a zatim redovito revidiraju implementirane sustave. Blueprint također daje praktičnu revizijsku metodu:
„Odaberite nekoliko reprezentativnih sustava (npr. jedan poslužitelj, jedan preklopnik, jedno krajnje korisničko računalo) i provjerite odgovara li njihova konfiguracija vašoj sigurnoj polaznoj konfiguraciji. Dokumentirajte odstupanja i korektivne radnje.”
Za MSP-ove, taj pristup reprezentativnog uzorkovanja često je najbrži put od neformalnog sigurnosnog očvršćivanja do dokaza spremnih za reviziju.
Primjeri sigurnosnog očvršćivanja za MSP-ove koji brzo smanjuju rizik
Sigurna konfiguracija nije samo pitanje poslovnog oblaka u velikim organizacijama. MSP-ovi često ostvaruju najveće smanjenje rizika kroz nekoliko jasnih pravila polazne konfiguracije.
Politika sigurnosti mreže – MSP navodi:
„Samo nužni portovi (npr. HTTPS, VPN) smiju biti izloženi javnom internetu; svi ostali moraju biti zatvoreni ili filtrirani”
Iz odjeljka „Zahtjevi za implementaciju politike”, točka politike 6.1.3.
Također zahtijeva disciplinu promjena:
„Sve promjene mrežnih konfiguracija (pravila vatrozida, ACL-ovi preklopnika, tablice usmjeravanja) moraju slijediti dokumentirani proces upravljanja promjenama”
Iz odjeljka „Zahtjevi za implementaciju politike”, točka politike 6.9.1.
I uspostavlja učestalost pregleda:
„Pružatelj IT podrške mora provoditi godišnji pregled pravila vatrozida, mrežne arhitekture i bežičnih konfiguracija”
Iz odjeljka „Zahtjevi upravljanja”, točka politike 5.6.1.
Polazne konfiguracije krajnjih uređaja zahtijevaju jednaku pozornost. Clarysecova Zaštita krajnjih uređaja – politika zaštite od zlonamjernog softvera – MSP navodi:
„Uređaji moraju onemogućiti zastarjele protokole (npr. SMBv1) koje zlonamjerni softver može iskoristiti”
Iz odjeljka „Zahtjevi za implementaciju politike”, točka politike 6.2.1.3.
Za IoT i OT okruženja nesigurne zadane postavke ostaju česta izloženost. Politika sigurnosti za Internet stvari (IoT) i operativnu tehnologiju (OT) – MSP navodi:
„Zadane ili tvrdo kodirane lozinke moraju se promijeniti prije aktivacije uređaja”
Iz odjeljka „Zahtjevi upravljanja”, točka politike 5.3.2.
Te točke politike nisu apstraktne izjave. One su zahtjevi polazne konfiguracije koji se mogu testirati, dokazati i pratiti. Za MSP koji se priprema za dubinsku analizu dobavljača od strane klijenata, NIS2 preglede dobavljača, kibernetičko osiguranje ili certifikaciju ISO/IEC 27001:2022, one stvaraju neposrednu vrijednost.
Postupanje s iznimkama: kontrola koja odvaja zrelost od papirologije
Svaka polazna konfiguracija imat će iznimke. Naslijeđena aplikacija može zahtijevati stari protokol. Uređaj dobavljača možda ne podržava poželjnu postavku šifriranja. Privremeno otvaranje vatrozida može biti potrebno za migraciju. Pitanje nije postoje li iznimke. Pitanje je upravlja li se njima.
Zreo zapis iznimke uključuje:
- Zahtjev polazne konfiguracije koji se krši.
- Poslovno opravdanje.
- Pogođenu imovinu i vlasnika.
- Procjenu rizika.
- Kompenzacijske kontrole.
- Tijelo za odobrenje.
- Datum isteka.
- Zahtjev praćenja.
- Plan korektivnih radnji.
Tu obrada rizika prema ISO/IEC 27001:2022 i razmjernost prema DORA djeluju zajedno. ISO/IEC 27001:2022 zahtijeva da se odluke o kontrolama obrazlože kroz procjenu rizika, obradu rizika, Izjavu o primjenjivosti i odobrenje vlasnika rizika. DORA dopušta razmjernu implementaciju na temelju veličine, profila rizika te prirode, opsega i složenosti usluga, ali i dalje očekuje dokumentirano upravljanje IKT rizicima, praćenje, neprekidnost poslovanja, testiranje i podizanje svijesti.
Razmjernost nije dopuštenje za preskakanje polaznih konfiguracija. Ona je zahtjev da se one odmjere i provedu promišljeno.
Za mikro ili manji financijski subjekt u pojednostavljenom okviru za IKT rizike, polazna konfiguracija može biti sažeta i podržana ručnim uzorkovanjem. Za veći financijski subjekt ista domena vjerojatno će zahtijevati automatizirane konfiguracijske provjere, uključenost interne revizije, godišnje testiranje i izvješćivanje upravljačkom tijelu.
Politika upravljanja promjenama također podsjeća organizacije da prate:
„Konfiguracijsko odstupanje ili neovlaštenu izmjenu nakon odobrenih promjena”
Iz odjeljka „Provedba i usklađenost”, točka politike 8.1.2.3.
Ta formulacija povezuje kontrolu promjena s otkrivanjem konfiguracijskih odstupanja. Promjena može biti odobrena, a i dalje stvoriti rizik ako se implementirano stanje razlikuje od odobrenog stanja ili ako privremena postavka ostane nakon zatvaranja termina promjene.
Izgradnja jednog revizijskog traga za mnoge obveze usklađenosti
Sigurna polazna konfiguracija ne bi smjela stvarati pet odvojenih tokova rada za usklađenost. Clarysecov model koristi jedan revizijski trag mapiran na više obveza.
| Artefakt dokaza | Primjena za ISO/IEC 27001:2022 | Primjena za NIS2 | Primjena za DORA | Primjena za GDPR | Primjena za NIST i COBIT 2019 |
|---|---|---|---|---|---|
| Standard polazne konfiguracije | Podupire odabir kontrola iz Priloga A i obradu rizika | Dokazuje kibernetičku higijenu i sigurno održavanje | Podupire okvir IKT rizika i sigurne IKT operacije | Pokazuje odgovarajuće tehničke mjere | Podupire konfiguracijske postavke i ciljeve upravljanja |
| Mapiranje imovine na polazne konfiguracije | Podupire popis imovine i opseg | Pokazuje da su sustavi koji se koriste za pružanje usluga kontrolirani | Podupire identifikaciju IKT imovine i ovisnosti | Identificira sustave koji obrađuju osobne podatke | Podupire popise imovine i upravljanje komponentama |
| Zahtjevi za promjenu | Pokazuje kontroliranu implementaciju i odstupanja | Pokazuje operativnu kontrolu temeljenu na riziku | Podupire upravljanje promjenama, zakrpavanje i ažuriranja | Pokazuje odgovornost za promjene koje utječu na osobne podatke | Podupire kontrolu promjena i revizijske tragove |
| Izvješća o konfiguracijskim odstupanjima | Pokazuje praćenje i vrednovanje učinkovitosti | Pokazuje procjenu tehničkih mjera | Pokazuje kontinuirano praćenje i kontrolu | Pokazuje stalnu zaštitu podataka | Podupire kontinuirano praćenje i usklađenost |
| Registar iznimaka | Pokazuje odobrenje preostalog rizika od strane vlasnika rizika | Pokazuje razmjerno upravljanje rizicima | Pokazuje prihvaćanje IKT rizika i praćenje korektivnih radnji | Pokazuje odgovornost i zaštitne mjere | Podupire odgovor na rizik i nadzor uprave |
| Zapisnici pregleda | Podupire preispitivanje od strane uprave i kontinuirano poboljšanje | Podupire nadzor uprave prema Article 20 | Podupire odgovornost upravljačkog tijela | Podupire pregled i ažuriranje mjera | Podupire izvješćivanje o upravljanju i metrike |
Ključ je sljedivost. Zenith Blueprint, faza Revizija, pregled i poboljšanje, 24. korak, upućuje organizacije da ažuriraju Izjavu o primjenjivosti i križno je provjere s planom obrade rizika. Ako je kontrola primjenjiva, trebate obrazloženje. To obrazloženje treba povezivati rizik, pravnu obvezu, ugovorni zahtjev ili poslovnu potrebu.
Za sigurnu konfiguraciju, zapis SoA za A.8.9 trebao bi upućivati na standard sigurnih polaznih konfiguracija, obuhvaćene kategorije imovine, vlasnike polaznih konfiguracija, postupak upravljanja promjenama, metodu praćenja, postupak iznimaka, učestalost pregleda i obveze međusobne usklađenosti kao što su NIS2 Article 21, DORA Articles 6, 8 i 9, GDPR Article 32 i obveze prema klijentima.
Kako će revizori testirati sigurne polazne konfiguracije
Sigurna konfiguracija privlačna je revizorima jer obiluje dokazima. Može se testirati kroz dokumente, intervjue, uzorkovanje i tehnički pregled.
| Revizijska perspektiva | Što će revizor pitati | Dokazi koji funkcioniraju |
|---|---|---|
| ISMS revizor za ISO/IEC 27001:2022 | Je li upravljanje konfiguracijom u opsegu, procijenjeno prema riziku, odabrano u SoA, implementirano i praćeno? | Zapis SoA, plan obrade rizika, standard polazne konfiguracije, uzorak dokaza za sustav, rezultati interne revizije |
| Tehnički revizor | Odgovaraju li stvarni sustavi odobrenim polaznim konfiguracijama i ispravljaju li se odstupanja? | Izvozi konfiguracije, snimke zaslona, GPO izvozi, izvješća o konfiguracijskim odstupanjima, zapisi korektivnih radnji |
| NIST procjenitelj | Jesu li polazne konfiguracije dokumentirane, sigurne postavke provedene, popisi imovine održavani i odstupanja praćena? | Kontrolni popisi sigurnosnog očvršćivanja, CMDB, automatizirana izvješća o usklađenosti, rezultati benchmark skeniranja |
| Revizor za COBIT 2019 | Upravlja li se polaznim konfiguracijama, jesu li odobrene, praćene i prijavljene upravi? | Metrike upravljanja, izvješća upravi, zahtjevi za promjenu, registar iznimaka |
| Revizor usklađen s ISACA ITAF | Postoje li dostatni i primjereni dokazi da je kontrola osmišljena i da djeluje učinkovito? | Intervjui, obilasci, zapisi revizije konfiguracije, zapisi incidenata povezani s pogrešnom konfiguracijom |
Praktična su pitanja predvidljiva:
- Koristite li kontrolni popis sigurnosnog očvršćivanja pri instalaciji novih poslužitelja?
- Kako sprječavate pokretanje nesigurnih usluga kao što je Telnet na usmjerivačima?
- Jesu li resursi za pohranu u oblaku zadano privatni?
- Tko može odobriti odstupanje od polazne konfiguracije?
- Kako otkrivate konfiguracijska odstupanja nakon promjene?
- Možete li pokazati nedavni pregled konfiguracije?
- Možete li pokazati da je otkriveno odstupanje ispravljeno?
- Izrađuju li se sigurnosne kopije mrežnih i oblačnih konfiguracija i jesu li verzionirane?
- Jesu li postupci povrata dokumentirani i testirani?
Najzrelije organizacije održavaju paket dokaza o polaznim konfiguracijama za svaku glavnu kategoriju sustava. To skraćuje revizije, poboljšava odgovore na dubinsku analizu klijenata i pomaže upravi razumjeti stvarnu učinkovitost kontrola.
Pretvorite konfiguracijska odstupanja u metriku kibernetičke higijene na razini upravnog odbora
Upravnim odborima nije potrebno svako pravilo vatrozida. Potrebno im je znati poboljšava li se ili pogoršava kibernetička higijena.
Korisna nadzorna ploča sigurne konfiguracije uključuje:
- Postotak imovine mapirane na odobrenu polaznu konfiguraciju.
- Postotak imovine koja prolazi provjere polazne konfiguracije.
- Broj kritičnih odstupanja od polazne konfiguracije.
- Prosječnu starost otvorenih odstupanja.
- Broj isteklih iznimaka.
- Broj otkrivenih neovlaštenih konfiguracijskih promjena.
- Postotak konfiguracijskih promjena s povišenim ovlastima koje imaju odobrene zahtjeve.
- Iznimke javne izloženosti u oblaku.
- Status pregleda polaznih konfiguracija po tehnološkoj obitelji.
Te metrike podupiru vrednovanje uspješnosti prema ISO/IEC 27001:2022, nadzor uprave prema NIS2 i izvješćivanje o IKT rizicima prema DORA. Također se prirodno mapiraju na ishode upravljanja iz NIST CSF 2.0 i ciljeve praćenja i usklađenosti iz COBIT 2019.
Jednostavno pravilo za rukovodstvo pomaže: nijedan kritični sustav ne ide u produkcijski rad bez dokaza o polaznoj konfiguraciji. To se može provoditi kroz upravljanje promjenama, CI/CD kontrolne točke, provjere politika u oblaku, pregled infrastrukture kao koda, MDM usklađenost, provedbu GPO-a ili pregled mrežne konfiguracije. Razina zrelosti može varirati, ali logika kontrole ne smije.
90-dnevni operativni plan za sigurne polazne konfiguracije
Ako krećete od nule, ne pokušavajte riješiti svaki konfiguracijski problem odjednom. Upotrijebite plan od 90 dana.
Dani 1 do 30: definirajte minimalnu polaznu konfiguraciju
Identificirajte kritične kategorije imovine. Za svaku dodijelite tehničkog vlasnika, vlasnika rizika i tijelo za odobrenje. Izradite prvu polaznu konfiguraciju za postavke najvažnije za otpornost na ransomware, izloženost oblaka, privilegirani pristup, zapisivanje događaja, šifriranje i zaštitu podataka.
Izradite registar polaznih konfiguracija i mapirajte ga na opseg ISMS-a, registar rizika i Izjavu o primjenjivosti. Ako podliježete NIS2, utvrdite jeste li ključni ili važni subjekt, ili očekuju li klijenti kibernetičku higijenu usklađenu s NIS2. Ako ste financijski subjekt prema DORA, utvrdite koja IKT imovina podržava kritične ili važne funkcije. Ako obrađujete osobne podatke, mapirajte sustave na aktivnosti obrade prema GDPR-u i kategorije podataka.
Dani 31 do 60: provedite i prikupite dokaze
Primijenite polaznu konfiguraciju na uzorak visokorizičnih sustava. Koristite automatizaciju gdje je moguće, ali ne čekajte savršene alate. Izvezite konfiguracije, snimite zaslone, spremite postavke politika i evidentirajte zahtjeve za promjenu.
Za svaku iznimku izradite zapis rizika s datumom isteka. Za svako odstupanje izradite zahtjev za korektivnu radnju.
Dani 61 do 90: pratite, izvijestite i poboljšajte
Provedite pregled konfiguracije. Uzmite uzorak jednog poslužitelja, jednog krajnjeg uređaja, jednog mrežnog uređaja i jednog okruženja u oblaku. Usporedite stvarne postavke s odobrenom polaznom konfiguracijom. Dokumentirajte odstupanja i korektivne radnje.
Izvijestite upravu o usklađenosti s polaznim konfiguracijama. Ažurirajte Izjavu o primjenjivosti i plan obrade rizika. Ponavljajuća odstupanja uključite u analizu temeljnog uzroka. Ako je pogrešna konfiguracija uzrokovala incident ili mu pridonijela, ažurirajte relevantnu polaznu konfiguraciju kao dio naučenih lekcija.
Time revizorima dajete nešto što se može testirati, regulatorima nešto razumljivo, a upravi nešto čime se može upravljati.
Završna misao: sigurna konfiguracija je kibernetička higijena s dokazima
NIS2 koristi jezik mjera upravljanja rizicima kibernetičke sigurnosti i osnovne kibernetičke higijene. DORA koristi jezik IKT rizika, otpornosti, praćenja, neprekidnosti poslovanja i testiranja. GDPR koristi jezik odgovarajućih mjera i odgovornosti. ISO/IEC 27001:2022 koristi jezik obrade rizika, kontrola, dokumentiranih informacija, vrednovanja uspješnosti i kontinuiranog poboljšanja.
Sigurne polazne konfiguracije povezuju sve te pojmove.
One pokazuju da se sustavi ne uvode s nesigurnim zadanim postavkama. Pokazuju da su promjene kontrolirane. Pokazuju da se konfiguracijska odstupanja otkrivaju. Pokazuju da se iznimke prihvaćaju kroz rizik. Pokazuju da dokazi postoje prije nego što ih revizor zatraži.
Najvažnije, smanjuju stvarni operativni rizik. Pravilo vatrozida u petak poslijepodne, javni spremnik u oblaku, zaboravljena postavka SMBv1, zadana IoT lozinka i administratorska konzola bez zapisivanja događaja nisu teorijski revizijski nalazi. To su praktične točke neuspjeha.
Clarysec pomaže organizacijama pretvoriti te točke neuspjeha u kontrolirane, praćene i revizijski provjerljive polazne konfiguracije.
Sljedeći koraci
Ako vaša organizacija treba dokazati sigurnu konfiguraciju za ISO/IEC 27001:2022, kibernetičku higijenu prema NIS2, upravljanje IKT rizicima prema DORA, odgovornost prema GDPR-u ili dokazivanje sigurnosti prema zahtjevima klijenata, započnite s Clarysecovim alatima:
- Upotrijebite Zenith Blueprint: revizorov plan puta u 30 koraka za implementaciju upravljanja konfiguracijom u fazi Kontrole u praksi, 19. korak, i njegovu provjeru kroz fazu Revizija, pregled i poboljšanje, 24. korak.
- Upotrijebite Zenith Controls: vodič za međusobnu usklađenost za mapiranje upravljanja konfiguracijom na potporne kontrole ISO/IEC 27001:2022, NIS2, DORA, GDPR, NIST SP 800-53, COBIT 2019 i revizijske metodologije.
- Upotrijebite Clarysec politike kao što su Politika informacijske sigurnosti, Politika korištenja usluga u oblaku, Politika praćenja revizije i usklađenosti, Politika upravljanja ranjivostima i zakrpama, Politika sigurnosti mreže – MSP, Zaštita krajnjih uređaja – politika zaštite od zlonamjernog softvera – MSP i Politika sigurnosti za Internet stvari (IoT) i operativnu tehnologiju (OT) – MSP za definiranje, provedbu i dokazivanje zahtjeva za polaznu konfiguraciju.
Sigurna polazna konfiguracija nije samo kontrolni popis za sigurnosno očvršćivanje. Ona je dokaz da vaša organizacija zna kako izgleda sigurno stanje, dosljedno ga primjenjuje i može ga dokazati kada je to važno.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
