⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →
HR EN BG CS DA DE EL ES ET FI FR GA HU IT LT LV MT NL PL PT RO SK SL SV
NIS2 DORA GDPR NIST COBIT 2019

Sigurno upravljanje udaljenim pristupom i VPN-om za NIS2 i DORA

Igor Petreski
15 min read
#Upravljanje rizicima #Revizija #ISMS #Kontrola pristupa #Upravljanje dobavljačima #Zapisivanje događaja i praćenje #Odgovor na incidente #Zaštita podataka
Dijagram upravljanja sigurnim udaljenim pristupom za usklađenost s ISO 27001, NIS2, DORA i GDPR

U 07:42 u ponedjeljak ujutro Maria, CISO brzorastućeg pružatelja fintech SaaS usluga, prima tri poruke prije prve kave.

Prva dolazi iz SOC-a: VPN korisnički račun koji pripada inženjeru podrške autentificirao se iz države u kojoj organizacija nema zaposlenika. Druga dolazi iz prodaje: klijent iz sektora financijskih usluga traži dokaze da je sav privilegirani udaljeni pristup zaštićen MFA-om, evidentiran, segmentiran i pregledan u okviru IKT kontrola rizika usklađenih s DORA. Treća dolazi iz pravnog odjela: isti događaj može uključivati pristup osobnim podacima, pa službenik za zaštitu podataka (DPO) želi razumjeti jesu li dokazi za GDPR Article 32 dovoljno potpuni za dokazivanje odgovarajućih tehničkih i organizacijskih mjera.

Još se ništa nije urušilo. Nema ransomware poruke. Nema potvrđenog iznošenja podataka. Nema prekida usluge za klijente.

Ali Maria zna neugodnu istinu. Ako je upravljanje udaljenim pristupom slabo, svaki razgovor o usklađenosti postaje obramben. VPN prijava postaje pitanje kibernetičke higijene prema NIS2. Račun ugovornog izvođača postaje pitanje IKT rizika treće strane prema DORA. Sesija udaljene radne površine u klijentskom okruženju postaje pitanje sigurnosti obrade prema GDPR. Nedostajući dnevnički zapis postaje revizijski nalaz.

Izvješće vanjske revizije koje već stoji na njezinu stolu dodatno pogoršava situaciju. Revizori nisu pronašli sofisticirani zero-day napad. Pronašli su zajedničke račune ugovornih izvođača, nedosljednu višefaktorsku autentifikaciju, naslijeđene VPN grupe, iznimke kojima se ne upravlja i gigabajte dnevničkih zapisa koji su bili previše šumni da bi poduprli istragu. Tehnički dug pretvorio se u regulatornu izloženost.

U 2026. siguran udaljeni pristup i upravljanje VPN-om nisu uska tema mrežne sigurnosti. To je kontrolni sustav na razini uprave koji povezuje identitet, sigurnost krajnjih uređaja, pristup dobavljača, upravljanje ranjivostima, zapisivanje događaja, odgovor na incidente, odgovornost za privatnost i operativnu otpornost.

Problem udaljenog pristupa se promijenio

Prije nekoliko godina upravljanje udaljenim pristupom često je značilo jednostavan odgovor: „imamo VPN”. Taj odgovor više ne prolazi ozbiljnu provjeru.

Moderno okruženje udaljenog pristupa može uključivati korporativne VPN koncentratore, pristupnike za Zero Trust Network Access, posredničke sustave za upravljanje privilegiranim pristupom, bastion poslužitelje za administraciju oblaka, infrastrukturu udaljene radne površine, tunele za održavanje dobavljača, pristup pružatelja upravljanih usluga, hitne račune, SaaS administratorske portale, pristup razvojnih inženjera produkciji, mobilne uređaje, kućne mreže, javni Wi-Fi i iznimke za BYOD.

Svaki od tih putova može postati regulatorna dokazna točka.

NIS2 Article 21 očekuje odgovarajuće i razmjerne tehničke, operativne i organizacijske mjere. One uključuju analizu rizika i politike sigurnosti informacijskih sustava, postupanje s incidentima, neprekidnost poslovanja, sigurnost opskrbnog lanca, sigurnu nabavu i održavanje, postupanje s ranjivostima, politike za procjenu učinkovitosti kibernetičke sigurnosti, kibernetičku higijenu, osposobljavanje iz kibernetičke sigurnosti, kriptografiju i šifriranje gdje je primjenjivo, sigurnost ljudskih resursa, politike kontrole pristupa, upravljanje imovinom, višefaktorsku ili kontinuiranu autentifikaciju gdje je prikladno, sigurne komunikacije i sigurne hitne komunikacije.

DORA zahtijeva da financijski subjekti održavaju dokumentirane okvire za upravljanje IKT rizicima, procese za IKT incidente, testiranje digitalne operativne otpornosti i upravljanje IKT rizicima trećih strana. DORA Article 5 odgovornost za definiranje, odobravanje i nadzor upravljanja IKT rizicima, kao i odgovornost za njega, dodjeljuje upravljačkom tijelu. Article 28 zahtijeva da se IKT rizikom trećih strana upravlja kao sastavnim dijelom tog okvira.

GDPR Article 32 zahtijeva odgovarajuće tehničke i organizacijske mjere za sigurnost obrade, uključujući povjerljivost, cjelovitost, dostupnost, otpornost, mogućnost obnove, testiranje i sposobnost dokazivanja da su osobni podaci zaštićeni od neovlaštenog pristupa, gubitka, izmjene ili otkrivanja.

Problem CISO-a nije radi li VPN. Pravo je pitanje može li organizacija dokazati da se udaljenim pristupom upravlja, da je procijenjen prema riziku, odobren, sigurnosno očvrsnut, praćen, pregledan, testiran i integriran u odgovor na incidente.

Tu ISO/IEC 27001:2022 postaje koristan. Ne tretira VPN kao samostalan uređaj. Smješta udaljeni pristup unutar ISMS-a: opseg, zainteresirane strane, procjena rizika, odabir kontrola, operativno planiranje, upravljanje dobavljačima, interna revizija, preispitivanje od strane uprave i kontinuirano poboljšanje.

Počnite s opsegom ISMS-a, a ne s pravilom vatrozida

Kada Clarysec pregledava upravljanje udaljenim pristupom, ne počinjemo traženjem snimke zaslona VPN konfiguracije. Počinjemo s granicom ISMS-a.

ISO/IEC 27001:2022 zahtijeva da organizacija definira svoj kontekst, zainteresirane strane, zahtjeve i opseg ISMS-a, uključujući sučelja i ovisnosti s drugim organizacijama. Za udaljeni pristup opseg mora izričito uključivati osobe, sustave, dobavljače i mrežne usluge koje omogućuju rad na daljinu.

Organizacija iz područja SaaS-a ili financijske tehnologije treba identificirati:

  • zaposlenike koji na daljinu pristupaju produkcijskim sustavima
  • ugovorne izvođače i razvojne inženjere s pravima udaljene administracije
  • MSP-ove, MSSP-ove i druge dobavljače s operativnim pristupom
  • osoblje korisničke podrške koje pristupa podacima tenant okruženja
  • korisnike iz financija, HR-a i pravnih poslova koji na daljinu pristupaju osobnim podacima
  • konzole u oblaku i API-je za udaljeno upravljanje
  • VPN, ZTNA, pružatelja identiteta i platforme za upravljanje krajnjim uređajima
  • dnevničke zapise, SIEM integracije i lokacije zadržavanja
  • iznimke udaljenog pristupa i postupke za hitni pristup
  • rubne uređaje kojima upravljaju dobavljači i alate za udaljenu podršku

To je više od uredne dokumentacije. Opseg NIS2 može obuhvatiti pružatelje usluga u oblaku, podatkovne centre, MSP-ove, MSSP-ove, pružatelje elektroničkih komunikacija, pružatelje digitalne infrastrukture i pružatelje usluga upravljanja IKT-om, ovisno o veličini, sektoru i imenovanju. DORA se primjenjuje na financijske subjekte i djeluje kao sektorski poseban režim IKT rizika za te subjekte. GDPR se može primjenjivati na organizacije u EU i izvan EU kada se obrada odnosi na pojedince u EU, poslovne nastane u EU, usluge ponuđene pojedincima u Uniji ili praćenje ponašanja.

Ako vaš opseg ISMS-a zanemaruje udaljeni pristup trećih strana, udaljenu administraciju, VPN infrastrukturu ili povezivost kojom upravljaju dobavljači, vaš skup kontrola može biti nepotpun prije nego što revizor uopće započne uzorkovanje.

Izgradite skup kontrola za udaljeni pristup

Snažan program udaljenog pristupa treba izgraditi kao skup međusobno povezanih kontrola, a ne kao jednu politiku. U Clarysec implementacijama temeljne ISO/IEC 27002:2022 kontrole obično uključuju:

  • 6.7 Rad na daljinu
  • 5.15 Kontrola pristupa
  • 5.16 Upravljanje identitetom
  • 5.17 Autentifikacijske informacije
  • 5.18 Prava pristupa
  • 8.5 Sigurna autentifikacija
  • 8.1 Korisnički krajnji uređaji
  • 8.8 Upravljanje tehničkim ranjivostima
  • 8.9 Upravljanje konfiguracijom
  • 8.15 Zapisivanje događaja
  • 8.16 Aktivnosti praćenja
  • 8.20 Sigurnost mreže
  • 8.22 Razdvajanje mreža
  • 5.19 Informacijska sigurnost u odnosima s dobavljačima
  • 5.20 Uređivanje informacijske sigurnosti u ugovorima s dobavljačima
  • 5.21 Upravljanje informacijskom sigurnošću u IKT opskrbnom lancu
  • 5.22 Praćenje, pregled i upravljanje promjenama usluga dobavljača
  • 5.23 Informacijska sigurnost pri korištenju usluga u oblaku
  • 5.24 Planiranje i priprema upravljanja incidentima informacijske sigurnosti
  • 5.26 Odgovor na incidente informacijske sigurnosti
  • 5.28 Prikupljanje dokaza
  • 5.30 IKT spremnost za neprekidnost poslovanja

Zenith Controls: vodič za međusobnu usklađenost mapira Rad na daljinu 6.7 kao preventivnu kontrolu koja podržava povjerljivost, cjelovitost i dostupnost, uz operativne poveznice s upravljanjem imovinom, zaštitom informacija, fizičkom sigurnošću te sigurnošću sustava i mreže. Također povezuje Rad na daljinu sa Sigurnošću imovine izvan prostorija 7.9, Korisničkim krajnjim uređajima 8.1, Podizanjem svijesti, edukacijom i osposobljavanjem o informacijskoj sigurnosti 6.3, Prijenosom informacija 5.14, Sigurnošću mreže 8.20, Razdvajanjem mreža 8.22, Čistim radnim stolom i zaključanim zaslonom 7.7 te IKT spremnošću za neprekidnost poslovanja 5.30.

Taj odnos je važan. Zahtjev za VPN bez upravljanja krajnjim uređajima ne štiti od ukradenog prijenosnog računala. MFA bez zapisivanja događaja ne podržava istragu. Pristup dobavljača bez segmentacije povećava opseg utjecaja. Rad na daljinu bez prijavljivanja incidenata odgađa ograničavanje.

Rizik udaljenog pristupaFokus kontrole ISO/IEC 27002:2022Dokazi koje revizori očekuju
Ukradene vjerodajnice koriste se putem VPN-a8.5 Sigurna autentifikacija, 5.15 Kontrola pristupa, 5.17 Autentifikacijske informacijeKonfiguracija MFA, pravila uvjetnog pristupa, upozorenja o neuspjelim prijavama, dnevnički zapisi autentifikacije
Bivši ugovorni izvođač zadržava pristup5.18 Prava pristupa, 5.16 Upravljanje identitetom, kontrole dobavljača 5.19 do 5.23Zapisi o zapošljavanju, promjeni uloge i prestanku angažmana, evidencije izlaznog procesa dobavljača, dokazi pregleda pristupa
Kompromitirano prijenosno računalo povezuje se na daljinu8.1 Korisnički krajnji uređaji, 6.7 Rad na daljinu, 8.8 Upravljanje tehničkim ranjivostimaUsklađenost MDM-a, status EDR-a, dokazi šifriranja, izvješća o zakrpama
VPN rubni uređaj nije zakrpan8.8 Upravljanje tehničkim ranjivostima, 8.9 Upravljanje konfiguracijom, 8.20 Sigurnost mrežeEvidencija imovine, rezultati skeniranja, SLA za zakrpe, odobrenje iznimke
Dobavljač koristi zajednički udaljeni račun5.15 Kontrola pristupa, 5.16 Upravljanje identitetom, 8.5 Sigurna autentifikacijaJedinstveni korisnički ID-jevi, imenovani računi dobavljača, MFA dnevnički zapisi, ugovorni zahtjevi
Sumnjivu udaljenu sesiju nije moguće rekonstruirati8.15 Zapisivanje događaja, 8.16 Aktivnosti praćenja, 5.24 Planiranje i priprema upravljanja incidentima informacijske sigurnostiVPN dnevnički zapisi, izvorne IP adrese, trajanje sesije, SIEM upozorenja, vremenski slijed incidenta

Skup kontrola mijenja razgovor. Umjesto rasprave o tome je li „VPN usklađen”, organizacija stvara sljediv model: rizik udaljenog pristupa, ISO kontrola, zahtjev politike, tehnička provedba, vlasnik dokaza i ritam pregleda.

Pretvorite namjeru politike u revizijske dokaze

Revizori rijetko prihvaćaju „obično koristimo MFA” kao dokaz. Traže formalno odobrene zahtjeve, implementirane kontrole i zapise koji dokazuju njihovo djelovanje.

Clarysecov skup alata za politike timovima daje precizan tekst koji mogu preuzeti i prilagoditi. Politika sigurnosti mreže za mala i srednja poduzeća u točki 5.5.1 navodi:

„VPN pristup mora zahtijevati višefaktorsku autentifikaciju (MFA) i biti ograničen na imenovano osoblje”

Ista politika za mala i srednja poduzeća pretvara zapisivanje događaja u zahtjev zadržavanja u točki 6.3.3:

„Pristup putem VPN-a mora se zapisivati, a trajanja sesija i izvorne IP adrese moraju se čuvati najmanje 6 mjeseci”

Za ponašanje pri radu na daljinu, Politika rada na daljinu za mala i srednja poduzeća u točki 5.2.3 navodi:

„Javni Wi-Fi smije se koristiti samo kada je aktivan siguran tunel (VPN).”

Za poslovna okruženja, Politika rada na daljinu još je izravnija. Točka 5.2.1.1 zahtijeva od osoblja da:

„Koristi VPN ili infrastrukturu udaljene radne površine odobrenu od društva”

Točka 5.2.1.2 zahtijeva od organizacija da:

„Zahtijevaju višefaktorsku autentifikaciju (MFA) za sve pokušaje prijave”

Politika sigurnosti mreže usklađuje tehničku polaznu osnovu u točki 6.3.1:

„Sav udaljeni pristup mora biti šifriran, primjerice putem IPsec ili SSL VPN-a, i zahtijevati višefaktorsku autentifikaciju (MFA).”

Politika kontrole pristupa u točki 5.6.1 navodi:

„Događaji pristupa moraju se zapisivati i zadržavati u skladu s Politikom zapisivanja događaja i praćenja.”

Za dobavljače, Politika sigurnosti trećih strana i dobavljača u točki 6.3.2 zahtijeva:

„Sav pristup trećih strana mora se zapisivati i pratiti te, gdje je izvedivo, segmentirati putem bastion poslužitelja, VPN-ova ili Zero Trust pristupnika.”

Politika upravljanja ranjivostima i zakrpama za mala i srednja poduzeća u točki 6.5.1 navodi:

„Sustavi koji obrađuju osobne podatke, pružaju udaljeni pristup ili su izloženi prema van moraju imati prioritet za skeniranje i ažuriranja”

Te točke postaju snažne kada se povežu s operativnim dokazima. Politika kaže da je MFA obvezan. Pružatelj identiteta dokazuje provedbu. VPN dnevnički zapis dokazuje uporabu. SIEM upozorenje dokazuje praćenje. Pregled pristupa dokazuje trajnu poslovnu potrebu. Izvješće o ranjivostima dokazuje da je usluga udaljenog pristupa prioritizirana. Operativne upute za incident dokazuju spremnost odgovora.

To je razlika između posjedovanja politike i djelovanja kontrole.

Pet pitanja na koja svaki CISO treba odgovoriti

Clarysecov model upravljanja udaljenim pristupom temelji se na pet pitanja koja vrijede za ISO 27001 revizije, spremnost za NIS2, DORA preglede IKT rizika i pakete dokaza za GDPR Article 32.

1. Tko se smije povezati na daljinu?

Udaljeni pristup mora biti ograničen na ovlaštene korisnike, uloge i dobavljače. ISO/IEC 27002:2022 Kontrola pristupa 5.15, Upravljanje identitetom 5.16 i Prava pristupa 5.18 definiraju temelj upravljanja.

Zenith Controls mapira Kontrolu pristupa 5.15 kao preventivnu kontrolu usmjerenu na upravljanje identitetom i pristupom. Povezuje kontrolu s Upravljanjem identitetom, Pravima pristupa, Autentifikacijskim informacijama, Korisničkim krajnjim uređajima, Sigurnom autentifikacijom i usklađenošću s politikama. U praksi je politika pristupa vjerodostojna samo ako su identiteti jedinstveni, upravljani kroz životni ciklus, autentificirani i pregledani.

Dobar zapis o udaljenom pristupu treba odgovoriti na sljedeće:

  • Koja osoba ili dobavljač ima pristup?
  • Kojim sustavima može pristupiti?
  • Koja uloga ili ugovor opravdava pristup?
  • Tko ga je odobrio?
  • Je li MFA proveden?
  • Kada je pristup zadnji put pregledan?
  • Kada privremeni pristup istječe?
  • Koji izvor dnevničkih zapisa dokazuje uporabu?

To također podržava ishode NIST Cybersecurity Framework 2.0 PR.AA za upravljanje identitetom, autentifikaciju, autorizaciju, načelo najmanjih ovlasti i razdvajanje dužnosti.

2. Koje se sigurnosno stanje uređaja i mreže zahtijeva?

Udaljeni pristup treba ovisiti o povjerenju u uređaj, a ne samo o korisničkim vjerodajnicama. Valjana lozinka i MFA odobrenje s neupravljanog, zaraženog ili nezakrpana uređaja i dalje predstavljaju visok rizik.

Zenith Blueprint: revizorov plan u 30 koraka objašnjava to u fazi Kontrole u praksi, korak 16, Kontrole osoblja II:

„Radnici na daljinu moraju koristiti samo uređaje odobrene od društva, koje je konfigurirao IT, uz enkripciju cijelog diska, aktivnu zaštitu krajnjih točaka, automatsko zakrpavanje i provedena vremenska ograničenja zaključavanja zaslona.”

Isti korak naglašava da udaljeni pristup treba prolaziti kroz korporativni VPN, idealno zaštićen MFA-om, te da BYOD treba biti zabranjen ili dopušten samo pod strogim uvjetima kao što su upis u MDM, kontejnerizacija i udaljeno brisanje podataka.

Tu se susreću Korisnički krajnji uređaji 8.1, Rad na daljinu 6.7, Upravljanje tehničkim ranjivostima 8.8, Upravljanje konfiguracijom 8.9 i Sigurnost mreže 8.20.

Za GDPR Article 32 sigurnosno stanje uređaja važno je jer su udaljeni krajnji uređaji dio tehničkih i organizacijskih mjera koje štite osobne podatke. Za DORA, sigurnosno stanje krajnjih uređaja podržava upravljanje IKT rizicima i operativnu otpornost. Za NIS2 podržava kibernetičku higijenu, kontrolu pristupa, upravljanje imovinom i postupanje s ranjivostima.

3. Kako je sesija zaštićena?

Sigurna sesija udaljenog pristupa treba koristiti šifrirani prijenos, snažnu autentifikaciju, segmentaciju i kontrolirane administrativne putove.

Zenith Blueprint, faza Upravljanje rizicima, korak 14, Politike obrade rizika i regulatorne međureference, postavlja očekivanje za udaljeni pristup:

„Sav udaljeni pristup internim sustavima mora koristiti siguran VPN ili ekvivalentnu šifriranu vezu. Višefaktorska autentifikacija (MFA) obvezna je za udaljenu prijavu u mreže društva.”

Korak 20, Kontrole 8.18 do 8.26, upućuje organizacije da provjere sigurnost mrežnih usluga navođenjem svih internih i vanjskih mrežnih usluga kao što su DNS, VPN, SMTP, DHCP i API pristupnici, potvrđivanjem sigurnih protokola, pregledom kontrola pristupa i provjerom sigurnosnih klauzula za treće strane kada se uslugama upravlja izvana.

VPN nije samo uređaj. To je mrežna usluga s izborom protokola, ograničenjima pristupa, certifikatima, putovima kroz vatrozid, ovisnostima o trećim stranama, zahtjevima zakrpavanja i dnevničkim zapisima.

4. Kako se pristup prati i istražuje?

Upravljanje udaljenim pristupom mora uključivati zapisivanje događaja i praćenje. NIS2 Article 23 postavlja postupna očekivanja izvješćivanja za značajne incidente, uključujući rano upozorenje u roku od 24 sata, obavijest o incidentu u roku od 72 sata i završno izvješće u roku od mjesec dana. DORA zahtijeva da financijski subjekti otkrivaju, upravljaju, klasificiraju, eskaliraju i prijavljuju velike IKT incidente, uključujući analizu temeljnog uzroka i komunikaciju kada su pogođeni financijski interesi klijenata. Analiza povrede prema GDPR ovisi o razumijevanju jesu li osobni podaci bili pristupljeni, izmijenjeni, otkriveni, izgubljeni ili na drugi način kompromitirani.

Bez dnevničkih zapisa udaljenog pristupa organizacija ne može pouzdano odgovoriti na prvo pitanje regulatora: što se dogodilo?

Snažno zapisivanje događaja treba obuhvatiti identitet korisnika, rezultat autentifikacije, izvornu IP adresu, geolokaciju gdje je prikladno, identitet uređaja, ciljnu uslugu, privilegiranu radnju, trajanje sesije, neuspjele pokušaje, administrativne promjene i korelaciju s događajima krajnjih uređaja i identiteta.

5. Kako se rješavaju iznimke i ranjivosti?

Infrastruktura udaljenog pristupa ima visoku vrijednost. VPN pristupnici, ZTNA uređaji, pružatelji identiteta, bastion poslužitelji i usluge udaljene radne površine trebaju biti među imovinom kojom se najstrože upravlja u programu upravljanja ranjivostima.

Zreo postupak iznimki treba uključivati vlasnika imovine, pogođenu uslugu udaljenog pristupa, ozbiljnost ranjivosti, mogućnost iskorištavanja, izloženost podataka, privremene kompenzacijske kontrole, odobrenje vlasnika rizika, datum isteka, dokaze ponovnog testiranja te poveznicu na registar rizika i plan obrade rizika.

Za ISO/IEC 27001:2022 to podržava obradu rizika, operativnu kontrolu i kontinuirano poboljšanje. Za DORA podržava upravljanje IKT rizicima, testiranje i korektivne radnje. Za NIS2 podržava postupanje s ranjivostima i korektivne radnje bez nepotrebnog odgađanja. Za GDPR pomaže dokazati da je sigurnost obrade bila temeljena na riziku, a ne ad hoc.

Udaljeni pristup dobavljača skrivena je revizijska zamka

Mnogi propusti u udaljenom pristupu nisu propusti zaposlenika. To su propusti u upravljanju dobavljačima.

MSP ima stari VPN račun. Dobavljač softvera koristi zajedničke vjerodajnice. Partner za podršku povezuje se putem udaljene radne površine radi otklanjanja problema koji utječe na klijenta. Pružatelj usluga u oblaku upravlja pristupnikom udaljenog pristupa. Ugovorni izvođač zadržava pristup nakon zatvaranja projekta.

DORA je ovdje osobito stroga. Article 28 zahtijeva da financijski subjekti upravljaju IKT rizikom trećih strana kao dijelom okvira upravljanja IKT rizicima i ostanu u potpunosti odgovorni čak i kada su IKT usluge povjerene vanjskim pružateljima. Očekuje registre IKT ugovornih aranžmana, dubinsku analizu dobavljača, standarde informacijske sigurnosti, prava na reviziju i inspekciju, prava raskida, analizu rizika koncentracije i izlazne strategije za kritične ili važne funkcije. Article 30 propisuje ugovorne odredbe kao što su zaštita podataka, razine usluge, lokacije obrade, pristup podacima i njihov oporavak, pomoć tijekom incidenata, suradnja s nadležnim tijelima, sigurnosne mjere, prava na reviziju i izlazna podrška.

NIS2 Article 21 također uključuje sigurnost opskrbnog lanca te odnose s dobavljačima i pružateljima usluga, uz pozornost na ranjivosti specifične za dobavljače i prakse kibernetičke sigurnosti dobavljača.

NIST CSF 2.0 GV.SC pruža praktičan operativni model: strategiju rizika opskrbnog lanca, uloge, kritičnost dobavljača, ugovorne zahtjeve, dubinsku analizu dobavljača, praćenje, sudjelovanje u incidentima i aktivnosti nakon završetka odnosa.

Za Clarysecove klijente praktično je pravilo jednostavno: udaljeni pristup trećih strana mora se tretirati kao privilegirani pristup osim ako se ne dokaže suprotno. Mora biti imenovan, odobren, vremenski ograničen, zaštićen MFA-om, evidentiran, praćen i segmentiran.

Mapiranje međusobne usklađenosti: jedan kontrolni sustav, više obveza

Upravljanje udaljenim pristupom jedan je od najsnažnijih primjera međusobne usklađenosti. Isti dokazi mogu zadovoljiti više obveza ako su pravilno oblikovani.

Pokretač usklađenostiOčekivanje za udaljeni pristupDokazi koje treba održavati
ISO/IEC 27001:2022Odabir kontrola temeljen na riziku, upravljanje pravima pristupa, kontrola dobavljača, operativni dokazi i kontinuirano poboljšanjeProcjena rizika, Izjava o primjenjivosti, politike, pregledi pristupa, dnevnički zapisi, nalazi interne revizije
NIS2Kibernetička higijena, kontrola pristupa, upravljanje imovinom, MFA gdje je prikladno, postupanje s incidentima, neprekidnost poslovanja i sigurnost opskrbnog lancaMFA zapisi, osposobljavanje o kibernetičkoj higijeni, kontrole pristupa dobavljača, izvješća o incidentima, korektivne radnje
DORAUpravljanje IKT rizicima, snažna autentifikacija, životni ciklus incidenta, testiranje otpornosti, IKT rizik trećih strana i odgovornost upravljačkog tijelaIKT registar rizika, testiranje udaljenog pristupa, klasifikacije incidenata, registri dobavljača, planovi izlaska, prava na reviziju
GDPR Article 32Odgovarajuća sigurnost obrade, povjerljivost, cjelovitost, dostupnost, otpornost, testiranje i odgovornostEvidencije pristupa, dokazi šifriranja, provedba MFA, zapisi procjene povrede, rezultati testiranja
NIST CSF 2.0Ishodi za Govern, Identify, Protect, Detect, Respond i RecoverTrenutačni i ciljni profili, popis imovine, PR.AA kontrole identiteta, DE.CM praćenje, RS.AN analiza
COBIT 2019 i ISACA assuranceCiljevi upravljanja, upravljačke prakse, dizajn kontrola i operativna djelotvornostRACI, vlasništvo nad procesom, metrike učinkovitosti kontrola, revizijski trag, praćenje korektivnih radnji

Detaljnije mapiranje ISO kontrola pokazuje zašto upravljanje udaljenim pristupom nosi tako veliku vrijednost za usklađenost.

ISO/IEC 27002:2022 kontrolaUsklađenost s NIS2Usklađenost s DORADokazi za GDPR Article 32
6.7 Rad na daljinuPodržava Article 21 kibernetičku higijenu, kontrolu pristupa i sigurne radne praksePodržava IKT politike i postupke za rad na daljinu i operativnu otpornostDokazuje organizacijske mjere za osoblje koje obrađuje osobne podatke izvan ureda
8.5 Sigurna autentifikacijaPodržava Article 21(2)(j) o višefaktorskoj ili kontinuiranoj autentifikaciji gdje je prikladnoPodržava očekivanja snažne autentifikacije u okviru mjera IKT zaštite i prevencijeDokazuje tehničku mjeru za smanjenje neovlaštenog pristupa osobnim podacima
8.20 Sigurnost mrežePodržava sigurne komunikacije, šifriranje i zaštitu mrežnih uslugaPodržava zaštitu od upada, zlouporabe i neovlaštenog IKT pristupaPrikazuje zaštitu podataka u prijenosu i kontrolirane mrežne putove
8.22 Razdvajanje mrežaPodržava ograničavanje utjecaja i provedbu granica kontrole pristupaPodržava otpornost i ograničavanje za kritične ili važne funkcijeSmanjuje izloženost osobnih podataka ograničavanjem dostupnih sustava
Kontrole dobavljača 5.19 do 5.23Podržava Article 21(2)(d) sigurnost opskrbnog lancaPodržava Articles 28 i 30 IKT rizik trećih strana i ugovorno upravljanjePodržava odgovornost izvršitelja obrade i dobavljača za siguran pristup
8.15 Zapisivanje događaja i 8.16 Aktivnosti praćenjaPodržava postupanje s incidentima i procjenu učinkovitostiPodržava otkrivanje, klasifikaciju, eskalaciju i prijavljivanje IKT incidenataPodržava procjenu povrede i forenzičke dokaze
8.8 Upravljanje tehničkim ranjivostimaPodržava sigurno održavanje i postupanje s ranjivostimaPodržava smanjenje IKT rizika, testiranje i korektivne radnjePokazuje zaštitu sustava koji obrađuju osobne podatke temeljenu na riziku

NIS2 također uvodi izričitu odgovornost uprave. Article 20 zahtijeva da upravljačka tijela ključnih i važnih subjekata odobravaju mjere upravljanja rizicima kibernetičke sigurnosti, nadziru provedbu i sudjeluju u osposobljavanju. DORA Article 5 slično zahtijeva da upravljačko tijelo financijskih subjekata definira, odobrava, nadzire i ostane odgovorno za aranžmane upravljanja IKT rizicima.

Uprava ne mora odobravati svako pravilo vatrozida. Ali treba odobriti profil rizika udaljenog pristupa: MFA je obvezan, pristup dobavljača se zapisuje, privilegirani pristup je segmentiran, infrastruktura udaljenog pristupa zakrpava se u definiranim rokovima, iznimke su vremenski ograničene, a kibernetički incidenti eskaliraju se kroz dogovorene kanale.

90-minutni sprint dokaza za udaljeni pristup

Praktičan način za otkrivanje praznina jest izraditi mali paket dokaza oko jednog pristupnog puta. Odaberite jedan primjer, primjerice „VPN pristup za inženjere produkcijske podrške”, a zatim provedite sljedeći sprint.

MinutaAktivnostIzlazni rezultat
0 do 10Definirajte pristupni putJedna rečenica koja opisuje tko se povezuje, odakle, prema čemu i zašto
10 do 25Mapirajte primjenjive politikeTočke iz Politike rada na daljinu, Politike sigurnosti mreže, Politike kontrole pristupa i Politike sigurnosti dobavljača, ako je relevantno
25 do 40Zabilježite tehničku provedbuSnimke zaslona ili izvozi koji dokazuju MFA, šifriranje, članstvo u grupi i uvjetni pristup
40 do 55Zabilježite dnevničke zapiseNedavna uspješna prijava, neuspjela prijava, izvorna IP adresa, trajanje sesije i primjer SIEM upozorenja
55 do 70Pregledajte ranjivosti i sigurnosno stanje uređajaStatus zakrpa VPN imovine, izvješće o usklađenosti krajnjih uređaja i otvorene iznimke
70 do 80Provjerite dokaze pregleda pristupaZadnji pregled pristupa, uklonjeni korisnici, odobrene iznimke i odobrenje vlasnika
80 do 90Izradite revizijski narativObjašnjenje na jednoj stranici koje mapira rizik, kontrolu, politiku, implementaciju i dokaze

Cilj nije papirologija. Cilj je povezati politiku s dokazom. Ako paket dokaza nije moguće dovršiti za jedan pristupni put, organizacija je pronašla stvarnu prazninu u upravljanju prije nego što je pronađe revizor ili regulator.

Ova vježba također se uklapa u metodu profila NIST CSF 2.0: odrediti opseg profila, prikupiti politike i zahtjeve, dokumentirati trenutačne i ciljne ishode, analizirati praznine, izraditi prioritizirani akcijski plan i provesti poboljšanja.

Kako će revizori testirati udaljeni pristup

Revizija udaljenog pristupa može izgledati različito ovisno o iskustvu revizora. Zenith Controls pomaže organizacijama u pripremi jer mapira odnose kontrola ISO/IEC 27002:2022 u prikaz međusobne usklađenosti, a ne u jedinstveni kontrolni popis.

Revizorska perspektivaVjerojatno pitanjeSnažan odgovor
ISO 27001Zašto ste odabrali te kontrole udaljenog pristupa?Procjena rizika, obrazloženje SoA, plan obrade rizika i mapiranje politika
NIST CSF 2.0Koje je vaše trenutačno i ciljno stanje?Profil, analiza praznina, prioritizirani akcijski plan i provedena poboljšanja
COBIT 2019Tko je odgovoran za upravljanje udaljenim pristupom?RACI, vlasnik procesa, preispitivanje od strane uprave i metrike kontrola
DORAKako upravljate udaljenim IKT pristupom trećih strana?Registar dobavljača, dubinska analiza dobavljača, ugovorne klauzule, prava na reviziju i plan izlaska
GDPRMožete li dokazati da je pristup osobnim podacima bio kontroliran?MFA, načelo najmanjih ovlasti, dnevnički zapisi, pregledi pristupa i zapisi procjene povrede

Organizacija spremna za reviziju ne prikuplja snimke zaslona u zadnji trenutak. Ona održava živ sustav dokaza.

Uobičajeni nalazi u 2026.

U procjenama Clarysec stalno vidi iste probleme s udaljenim pristupom:

  • MFA je omogućen za zaposlenike, ali ne i za dobavljače, hitne račune ili naslijeđene VPN profile
  • dnevnički zapisi udaljenog pristupa postoje, ali se ne zadržavaju dovoljno dugo, nisu centralizirani ili nisu povezani s identitetima
  • usklađenost krajnjih uređaja upravlja se odvojeno od VPN pristupa, pa se neupravljani uređaji i dalje mogu povezati
  • pregledi pristupa usmjereni su na poslovne aplikacije, ali zanemaruju VPN grupe, bastion ovlaštenja i administratorske uloge u oblaku
  • infrastruktura udaljenog pristupa nije na prioritetnom popisu ranjivosti
  • pristup dobavljača odobrava se neformalno i nije odražen u ugovorima
  • iznimke nemaju datum isteka, kompenzacijsku kontrolu ili odobrenje vlasnika rizika
  • hitni računi nisu testirani, praćeni ili pregledani
  • privilegirane sesije nisu segmentirane od općeg prometa udaljenog pristupa
  • operativne upute za odgovor na incidente ne uključuju prikupljanje dokaza udaljenog pristupa

Ti se nalazi mogu spriječiti. Obično proizlaze iz fragmentiranog vlasništva. Mrežni timovi upravljaju VPN-om. IAM upravlja MFA-om. IT upravlja uređajima. Nabava upravlja ugovorima s dobavljačima. Pravni odjel upravlja uvjetima obrade podataka. SOC upravlja upozorenjima. Funkcija usklađenosti upravlja revizijskim dokazima.

ISMS ih mora povezati.

Ciljni operativni model za siguran udaljeni pristup

Zreo model sigurnog udaljenog pristupa i upravljanja VPN-om treba uključivati sljedeće operativne prakse:

  • održavati inventar svih metoda udaljenog pristupa, uključujući VPN, ZTNA, RDP, bastion poslužitelje, SaaS administratorske portale i tunele dobavljača
  • zahtijevati MFA za sav udaljeni pristup, uključujući dobavljače, administratore i hitne račune
  • provoditi usklađenost uređaja prije pristupa gdje je tehnički izvedivo
  • koristiti segmentaciju, bastion poslužitelje ili Zero Trust pristupnike za privilegirani pristup i pristup trećih strana
  • zapisivati izvornu IP adresu, identitet korisnika, rezultat autentifikacije, ciljni sustav i trajanje sesije
  • zadržavati dnevničke zapise prema politici, regulatornim i istražnim potrebama
  • prioritizirati sustave udaljenog pristupa za skeniranja ranjivosti i zakrpavanje
  • periodično pregledavati prava pristupa te pri promjeni uloge, prestanku radnog odnosa ili promjeni ugovora s dobavljačem
  • vremenski ograničiti hitni, privremeni i dobavljački pristup
  • uključiti udaljeni pristup u odgovor na incidente, procjenu povrede i krizne vježbe
  • testirati otpornost udaljenog pristupa i pričuvne pristupne putove gdje je to potrebno za neprekidnost poslovanja
  • integrirati udaljeni pristup dobavljača u ugovore, dubinsku analizu dobavljača, praćenje i planiranje izlaska
  • izvješćivati upravu o metrikama rizika udaljenog pristupa

Za Mariju to postaje praktičan akcijski plan. U prva dva tjedna koristi Zenith Blueprint za ažuriranje dokumenata upravljanja, usklađivanje politika s obvezama iz NIS2 i DORA te dobivanje odobrenja uprave. Tijekom sljedećeg mjeseca njezini IT i sigurnosni timovi provode MFA na svim profilima udaljenog pristupa, segmentiraju pristup ugovornih izvođača, podešavaju zapisivanje događaja i prioritiziraju VPN i ZTNA sustave za otklanjanje ranjivosti. Kontinuirano provodi tromjesečne preglede pristupa, testira prikupljanje dokaza o incidentima i izvješćuje upravu o metrikama rizika.

Rezultat nije samo urednija VPN konfiguracija. To je kontrolni sustav udaljenog pristupa koji može izdržati reviziju, podržati odgovor na incidente i smanjiti stvarni operativni rizik.

Izgradite paket dokaza za udaljeni pristup prije sljedećeg incidenta

VPN upozorenje u ponedjeljak ujutro ne mora postati kriza. Ali mora postati test upravljanja.

Možete li identificirati korisnika? Možete li dokazati MFA? Možete li potvrditi sigurnosno stanje uređaja? Možete li rekonstruirati sesiju? Možete li utvrditi jesu li osobni podaci bili dostupni? Možete li pokazati da je račun bio odobren i pregledan? Možete li dokazati da je VPN uređaj bio zakrpan? Možete li dokazati da se pristup dobavljača zapisuje i segmentira? Može li uprava vidjeti rizik?

Ako je odgovor „još ne”, Clarysec može pomoći.

Počnite s Zenith Blueprint: revizorov plan u 30 koraka kako biste strukturirali svoj plan implementacije ISO/IEC 27001:2022, posebno korak 14 za politike obrade rizika, korak 16 za kontrole rada na daljinu, korak 19 za sigurnu autentifikaciju i korak 20 za sigurnost mrežnih usluga. Upotrijebite Zenith Controls: vodič za međusobnu usklađenost za mapiranje Rada na daljinu, Kontrole pristupa, Sigurne autentifikacije, kontrola dobavljača, zapisivanja događaja i sigurnosti mreže na povezane ISO/IEC 27002:2022 kontrole i dokaze međusobne usklađenosti.

Zatim operacionalizirajte zahtjeve pomoću Clarysec politika kao što su Politika rada na daljinu, Politika sigurnosti mreže, Politika kontrole pristupa, Politika sigurnosti trećih strana i dobavljača i ekvivalenti spremni za mala i srednja poduzeća.

Vaša sljedeća revizija ne bi smjela biti prvi trenutak kada sastavljate dokaze o udaljenom pristupu. Izgradite ih sada, testirajte ih sada i učinite upravljanje sigurnim udaljenim pristupom jednim od najjačih dijelova svojeg programa usklađenosti. Kontaktirajte Clarysec za procjenu upravljanja udaljenim pristupom, preuzmite predloške politika ili rezervirajte demo kako biste vidjeli kako se vaše trenutačne kontrole mapiraju na ISO 27001, NIS2, DORA i GDPR Article 32.

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles

Klasifikacija ozbiljnosti incidenata za DORA, NIS2 i GDPR

Klasifikacija ozbiljnosti incidenata za DORA, NIS2 i GDPR

Praktični vodič za izradu jedinstvenog modela klasifikacije ozbiljnosti incidenata koji povezuje velike incidente povezane s IKT-om prema DORA, značajne incidente prema NIS2 i rizik povrede prema GDPR-u s dokazima prema ISO/IEC 27001:2022.

Registar regulatornih kontakata za NIS2 i DORA kao dokaz za ISO 27001

Registar regulatornih kontakata za NIS2 i DORA kao dokaz za ISO 27001

Registar regulatornih kontakata više nije administrativno vođenje evidencije. Za NIS2, DORA, GDPR i ISO/IEC 27001:2022 on je operativni dokaz da vaša organizacija može obavijestiti pravo nadležno tijelo, nadzorno tijelo, dobavljača ili izvršnog rukovoditelja prije isteka roka.