Auditkész ISO 27001 kockázatértékelés NIS2 és DORA környezetben
Sarah asztalán kihűlt a kávé.
Egy gyorsan növekvő fintech vállalat információbiztonsági vezetőjeként hozzászokott a nyomáshoz. A vállalat éppen megnyert egy jelentős banki partnert, és a képernyőjén látható due diligence kérdőívnek puszta formalitásnak kellett volna lennie. Az első kérdések ismerősek voltak: adja meg az ISO/IEC 27001:2022 alkalmazhatósági nyilatkozatot, ossza meg a legfrissebb kockázati nyilvántartást, ismertesse a kockázatértékelési módszertant.
Aztán a kérdőív irányt váltott.
Mutassa be, hogyan kezeli a kockázatkezelési program a DORA követelményeit. Ismertesse a NIS2 irányelvre való felkészültséget, beleértve a vezetői elszámoltathatóságot és az ellátási lánchoz kapcsolódó kockázatkezelési intézkedéseket. Adjon bizonyítékot arra, hogy a kritikus IKT-beszállítókat értékelik, nyomon követik, és bevonják az incidensreagálási, valamint üzletmenet-folytonossági tervek hatálya alá.
Hétfő reggelre ugyanez a kérdés már az igazgatóság kockázati bizottságának napirendjén szerepelt. ISO 27001 tanúsítási audit nyolc hét múlva. DORA-nyomás a pénzügyi szektorbeli ügyfelek részéről. NIS2 besorolási kérdések egy EU-ban bővülő, felhőben üzemeltetett szolgáltatási üzletág kapcsán. A beszerzés szerint léteztek beszállítói felülvizsgálatok, de a bizonyítékok e-mailekben, szerződésmappákban és egy beszállítói táblázatban voltak szétszórva. A jogi terület szerint a szabályozási leképezés még folyamatban volt. A mérnökség szerint a kockázati nyilvántartás nagyrészt elkészült.
Az igazgatóság feltette az egyetlen igazán fontos kérdést:
Tudjuk bizonyítani, hogy a kockázatértékelésünk és a kockázatkezelési tervünk megfelelő?
Ez a valódi probléma a SaaS-, fintech-, menedzselt szolgáltatási, felhő- és digitális platformvállalatok számára. Nem az, hogy létezik-e kockázati nyilvántartás. Nem az, hogy az Annex A kontrollokat bemásolták-e egy táblázatba. A kérdés az, hogy a szervezet audit- és ügyfélnyomás alatt igazolni tudja-e, hogy ISO 27001 kockázatértékelési folyamata ismételhető, kockázatalapú, a kockázatgazdák által jóváhagyott, kockázatkezelési intézkedésekhez kapcsolódik, jogi kötelezettségekre van leképezve, és operatív szinten működik.
Megfelelően végrehajtva egyetlen ISO 27001 kockázatértékelés és egyetlen kockázatkezelési terv támogathatja az ISO/IEC 27001:2022 tanúsítást, a NIS2 Article 21 szerinti kiberbiztonsági kockázatkezelési intézkedéseket, a DORA IKT-kockázatkezelési követelményeit, a GDPR szerinti elszámoltathatóságot, a beszállítói bizonyosságot, az incidenskezelési felkészültséget és az igazgatósági jelentéstételt.
Rosszul végrehajtva olyan táblázattá válik, amelyet az auditorok harminc perc alatt szétszednek.
Ez az útmutató bemutatja, hogyan épít a Clarysec auditkész ISO 27001 kockázatértékelési és kockázatkezelési bizonyítékokat a Zenith Blueprint: egy auditor 30 lépéses ütemterve, a Clarysec szabályzatai és a Zenith Controls: a keresztmegfelelési útmutató használatával.
Miért vált az ISO 27001 kockázatértékelés megfelelési központtá?
Az EU szabályozási környezete egy egyszerű elv köré rendeződik: a kiberbiztonsági kockázatot irányítani, dokumentálni, tesztelni és felelőshöz rendelni kell.
Az ISO/IEC 27001:2022 eleve így működik. A 4.1–4.4 pontok előírják, hogy a szervezet a kockázatértékelés előtt értse meg a kontextusát, az érdekelt feleket, az IBIR alkalmazási területét és a folyamatok kölcsönhatásait. A 6.1.2 és 6.1.3 pontok meghatározott információbiztonsági kockázatértékelési és kockázatkezelési folyamatot követelnek meg. A 8.2 és 8.3 pontok előírják, hogy a szervezet kockázatértékeléseket végezzen, és végrehajtsa a kockázatkezelési tervet, miközben megőrzi a dokumentált információkat.
A NIS2 és a DORA ugyanezt a kockázatalapú logikát teszi sürgetőbbé.
A NIS2 Article 20 előírja, hogy az alapvető és fontos szervezetek vezető testületei hagyják jóvá a kiberbiztonsági kockázatkezelési intézkedéseket, felügyeljék azok végrehajtását, és vegyenek részt kiberbiztonsági képzésen. Az Article 21 megfelelő és arányos technikai, operatív és szervezeti intézkedéseket ír elő a hálózati és információs rendszereket érintő kockázatok kezelésére. Ezek az intézkedések magukban foglalják a kockázatelemzést, az incidenskezelést, az üzletmenet-folytonosságot, az ellátási lánc biztonságát, a biztonságos fejlesztést, a sérülékenységkezelést, az eredményességértékelést, a kiberhigiéniát, a kriptográfiát, a HR-biztonságot, a hozzáférés-szabályozást, az eszközkezelést, valamint adott esetben a többtényezős hitelesítést vagy a biztonságos kommunikációt.
A DORA hasonló nyomást gyakorol a pénzügyi szervezetekre. Az Articles 5 és 6 előírja, hogy a vezető testület határozza meg, hagyja jóvá és felügyelje az IKT-kockázatkezelési intézkedéseket, és maradjon felelős azokért. A DORA dokumentált, az átfogó kockázatkezelésbe integrált IKT-kockázatkezelési keretrendszert vár el, amelyet szabályzatok, eljárások, protokollok, eszközök, belső audit, helyesbítő intézkedések, folytonosság, tesztelés, incidenskezelés és IKT harmadik felek irányítása támogat.
A következtetés gyakorlati és megkerülhetetlen: a kockázati nyilvántartás már nem a technikai csapat munkalapja. Irányítási bizonyíték.
A Clarysec vállalati Kockázatkezelési szabályzata ezt az elvárást egyértelművé teszi:
Formális kockázatkezelési folyamatot kell fenntartani az ISO/IEC 27005 és ISO 31000 szerint, amely kiterjed a kockázatazonosításra, -elemzésre, -értékelésre, -kezelésre, nyomon követésre és kommunikációra.
A vállalati Kockázatkezelési szabályzat „Irányítási követelmények” szakaszának 5.1 szabályzati pontjából.
Ugyanez a szabályzat meghatározza az auditkész eredményt:
Központi, verziókezelt kockázati nyilvántartást és kockázatkezelési tervet kell fenntartani, amely tükrözi az aktuális kockázati státuszt, a kontrolllefedettséget és a kockázatcsökkentés előrehaladását.
A vállalati Kockázatkezelési szabályzat „Célkitűzések” szakaszának 3.3 szabályzati pontjából.
Az „aktuális kockázati státusz, kontrolllefedettség és kockázatcsökkentési előrehaladás” kifejezés jelenti a különbséget egy statikus megfelelési fájl és egy igazolható kockázati program között.
Kezdje a hatállyal, a kötelezettségekkel és a kockázati kritériumokkal
Sok gyenge ISO 27001 kockázatértékelés kontroll-ellenőrzőlistával indul. Ez fordított sorrend.
Az ISO 27001 előírja, hogy a szervezet a kontrollok kiválasztása előtt határozza meg a kontextust, az érdekelt felek követelményeit, az IBIR alkalmazási területét, a vezetői felelősségeket és a kockázattervezést. Az ISO/IEC 27005:2022 ezt azzal erősíti meg, hogy javasolja az érdekelt felek alapvető követelményeinek azonosítását a kockázatértékelés előtt. Ezek a követelmények származhatnak ISO-szabványokból, ágazati szabályozásokból, nemzeti jogszabályokból, ügyfélszerződésekből, belső szabályzatokból, korábbi kockázatkezelési tevékenységekből és beszállítói kötelezettségekből.
Egy EU-piacon működő SaaS- vagy fintech vállalat esetében a kockázati folyamatnak megfelelési és kötelezettség-nyilvántartással kell kezdődnie.
| Követelményforrás | Miért érinti az ISO 27001 kockázatértékelést | Bizonyítékartefaktum |
|---|---|---|
| ISO/IEC 27001:2022 4., 5., 6., 8., 9. és 10. pont | Meghatározza a kontextust, a vezetést, a kockázatértékelést, a kockázatkezelést, az operatív kontrollt, a teljesítményértékelést és a fejlesztést | IBIR alkalmazási területe, kockázati módszertan, kockázati nyilvántartás, kockázatkezelési terv, SoA, vezetőségi felülvizsgálati bejegyzések |
| NIS2 Articles 20, 21 és 23 | Kiegészíti a rendszert vezetői elszámoltathatósággal, összveszély-alapú kiberbiztonsági intézkedésekkel és incidensjelentési elvárásokkal | Igazgatósági jóváhagyás, Article 21 leképezés, incidensjelentési forgatókönyv, folytonossági bizonyítékok |
| DORA Articles 5, 6, 11, 12, 17, 18, 19, 24, 28 és 30 | IKT-kockázatirányítást, folytonosságot, biztonsági mentést és helyreállítást, incidens-életciklust, tesztelést és IKT harmadik felekhez kapcsolódó kockázati kontrollokat követel meg | IKT-kockázati keretrendszer, BCP-tesztek, incidensnyilvántartás, rezilienciatesztelési nyilvántartások, IKT-beszállítói nyilvántartás |
| GDPR Articles 3, 4, 5, 6, 9, 10, 25, 32, 33 és 34 | Elszámoltathatóságot, jogszerű adatkezelést, beépített adatvédelmet, megfelelő biztonságot és incidens-hatásvizsgálatot követel meg | Adatkezelési nyilvántartás, jogalap-leképezés, adatvédelmi kockázati bejegyzések, DPIA-hivatkozások, incidens-hatásvizsgálati bejegyzések |
| Beszállítói és ügyfélszerződések | Az üzleti vállalásokat kockázati kritériumokká, kontrollokká, bizonyítékokká és határidőkké alakítja | Szerződésnyilvántartás, due diligence nyilvántartások, auditjog, SLA-k, kilépési záradékok |
KKV-k esetében a Clarysec Jogi és szabályozói megfelelési szabályzat - KKV adja meg a kiindulópontot:
Az ügyvezetőnek egyszerű, strukturált megfelelési nyilvántartást kell fenntartania, amely felsorolja:
A KKV Jogi és szabályozói megfelelési szabályzat „Irányítási követelmények” szakaszának 5.1.1 szabályzati pontjából.
Ez az egyszerű nyilvántartás hidat képez a megfelelés és a kockázatkezelés között. Ha azt rögzíti, hogy a GDPR alkalmazandó, mert EU-s személyes adatokat kezelnek, a NIS2 alkalmazandó lehet, mert a szervezet digitális vagy menedzselt szolgáltatásokat nyújt, vagy a DORA releváns a pénzügyi szektorbeli ügyfelek miatt, akkor ezeknek a kötelezettségeknek hatniuk kell a kockázati kritériumokra és a kockázatkezelési prioritásokra.
A Zenith Blueprint a Kockázatkezelési fázis 10. lépésében, „Kockázati kritériumok és hatásmátrix kialakítása” alatt közvetlenül fogalmaz:
Az elfogadási kritériumokban vegye figyelembe a jogi/szabályozási követelményeket is. Egyes kockázatok jogszabályok miatt a valószínűségtől függetlenül elfogadhatatlanok lehetnek.
A Zenith Blueprint Kockázatkezelési fázisának 10. lépéséből.
Gyakorlati szabályt is ad a workshopokhoz:
„Minden olyan kockázat, amely az alkalmazandó jogszabályoknak való meg nem feleléshez vezethet (GDPR stb.), nem fogadható el, és azt csökkenteni kell.”
A Zenith Blueprint Kockázatkezelési fázisának 10. lépéséből.
Sarah fintech vállalatánál ez megváltoztatja a pontozási modellt. Egy beszállítói API-sérülékenység valószínűsége lehet alacsony, de ha a kihasználása DORA szerinti jelentős IKT-vonatkozású incidenst, NIS2 szerinti jelentős incidenst, GDPR szerinti incidens-hatásvizsgálatot, ügyfél-SLA megsértését vagy igazgatósági szintű eszkalációt válthat ki, akkor a hatás magas vagy kritikus. A megfelelési kitettség a kockázati logika részévé válik, nem külön táblázattá.
Építsen olyan kockázati nyilvántartást, amelyet az auditorok tesztelni tudnak
Az auditorok nem csak azt kérdezik meg, melyek a legfontosabb kockázatok. Azt tesztelik, hogy a módszer meghatározott, ismételhető, visszakövethető és ténylegesen követett-e.
Ezeket fogják kérdezni:
- Hogyan azonosították ezeket a kockázatokat?
- Mely eszközök, szolgáltatások, beszállítók, adattípusok és folyamatok voltak hatályban?
- Milyen kritériumokat használtak a valószínűséghez és a hatáshoz?
- Ki az egyes kockázatok gazdája?
- Mely meglévő kontrollok csökkentik a kockázatot?
- Miért ezt a kockázatkezelési döntést választották?
- Hol található a bizonyíték arra, hogy a kockázatkezelés megtörtént?
- Ki hagyta jóvá a maradványkockázatot?
- Mikor értékelik újra a kockázatot?
A Clarysec Kockázatkezelési szabályzat - KKV rögzíti a minimális, auditkész kockázati bejegyzést:
Minden kockázati bejegyzésnek tartalmaznia kell: leírás, valószínűség, hatás, pontszám, tulajdonos és kockázatkezelési terv.
A KKV Kockázatkezelési szabályzat „Irányítási követelmények” szakaszának 5.1.2 szabályzati pontjából.
Vállalati programok esetében a Zenith Blueprint Kockázatkezelési fázisának 11. lépése, „A kockázati nyilvántartás kialakítása és dokumentálása” kibővíti a struktúrát. Olyan oszlopokat javasol, mint kockázatazonosító, eszköz, fenyegetés, sérülékenység, kockázatleírás, valószínűség, hatás, kockázati szint, meglévő kontrollok, kockázatgazda, kockázatkezelési döntés, kockázatkezelési terv vagy kontrollok, valamint státusz.
Egy erős kockázati bejegyzés így néz ki:
| Mező | Példabejegyzés |
|---|---|
| Kockázatazonosító | R-042 |
| Eszköz vagy folyamat | Ügyféladatok kezelése harmadik fél fizetési API-n és éles adatbázison keresztül |
| Fenyegetés | Kritikus sérülékenység kihasználása beszállítói API-ban vagy támogató felhőalapú adatbázis-szolgáltatásban |
| Sérülékenység | Korlátozott átláthatóság a beszállítói sérülékenységkezelésben, hiányos helyreállítási tesztelés és tesztelt beszállítói incidensforgatókönyv hiánya |
| Kockázatleírás | Egy beszállító vagy felhőszolgáltatás kompromittálódása pénzügyi adatok kitettségét, szolgáltatáskimaradást, szabályozott jelentéstételt és ügyfélszerződések megszegését okozhatja |
| Meglévő kontrollok | SSO, szerepköralapú hozzáférés, beszállítói szerződés, éles naplózás, napi biztonsági mentések, negyedéves hozzáférési felülvizsgálat |
| Valószínűség | Közepes |
| Hatás | Kritikus |
| Kockázati szint | Kritikus |
| Kockázatgazda | CTO és platformmérnökségi vezető |
| Kockázatkezelési döntés | Csökkentés |
| Szabályozási leképezés | ISO 27001 Annex A beszállítói, felhő-, incidens-, naplózási, hozzáférési, folytonossági, biztonsági mentési és jogi megfelelési kontrollok; NIS2 Articles 20, 21 és 23; DORA Articles 5, 6, 11, 12, 17, 18, 19, 24, 28 és 30; GDPR Articles 32, 33 és 34 |
| Bizonyítékok | Beszállítói due diligence, auditjog iránti kérelem, helyreállítási tesztjelentés, SIEM monitorozási szabály, incidens asztali gyakorlat, frissített SoA, vezetőségi felülvizsgálati jegyzőkönyvek |
Ez lényegileg más, mint a „Harmadik fél kockázat, magas, csökkentés” bejegyzés. Az auditkész változat összekapcsolja az eszközt, fenyegetést, sérülékenységet, következményt, meglévő kontrollokat, tulajdonost, szabályozást, bizonyítékokat és irányítást.
Alakítsa a kockázatkezelést bizonyítéktervvé
A kockázatkezelési tervnek négy operatív kérdésre kell válaszolnia:
- Mit fogunk tenni?
- Ki a felelőse?
- Mikorra készül el?
- Hogyan bizonyítjuk, hogy csökkentette a kockázatot?
Az ISO/IEC 27001:2022 6.1.3 pontja előírja, hogy a szervezet válassza ki a kockázatkezelési lehetőségeket, határozza meg a szükséges kontrollokat, vesse össze azokat az Annex A-val a kihagyások elkerülése érdekében, készítsen alkalmazhatósági nyilatkozatot, fogalmazzon meg kockázatkezelési tervet, és szerezze be a kockázatgazda jóváhagyását a tervhez és a maradványkockázatokhoz. A 8.3 pont ezt követően előírja a kockázatkezelési terv végrehajtását és az eredményekre vonatkozó dokumentált információk megőrzését.
A vállalati Kockázatkezelési szabályzat ezt gyakorlativá teszi:
A kockázatkezelési felelősnek biztosítania kell, hogy a kockázatkezelések reálisak, időkorlátosak és az ISO/IEC 27001 Annex A kontrollokhoz leképezettek legyenek.
A vállalati Kockázatkezelési szabályzat „A szabályzat végrehajtásának követelményei” szakaszának 6.4.2 szabályzati pontjából.
A KKV-szabályzat azt is egyértelművé teszi, hogy az elfogadás nem kerülőút:
Elfogadás: Indokolja meg, miért nincs szükség további intézkedésre, és rögzítse a maradványkockázatot.
A KKV Kockázatkezelési szabályzat „A szabályzat végrehajtásának követelményei” szakaszának 6.1.1 szabályzati pontjából.
Az elfogadást a kritériumokhoz képest kell indokolni, a megfelelő tulajdonosnak kell jóváhagynia, és nyomon kell követni. NIS2 és DORA környezetben a jóvá nem hagyott maradványkockázat irányítási hibává válhat.
Egy teljes kockázatkezelési tervnek ezeket a mezőket kell tartalmaznia:
| Kockázatkezelési mező | Auditcél |
|---|---|
| Kockázatazonosító | Visszakapcsolja a kezelést az értékelt kockázathoz |
| Kockázatkezelési lehetőség | Megmutatja az indoklást: csökkentés, elkerülés, átruházás vagy elfogadás |
| Kiválasztott kontrollok | Összekapcsolja a kockázatot az Annex A-val, a szabályzatokkal és a technikai védelmi intézkedésekkel |
| Szabályozási hajtóerő | Megmutatja a NIS2, DORA, GDPR, szerződéses vagy ügyfélrelevanciát |
| Intézkedés felelőse | Bizonyítja az elszámoltathatóságot |
| Határidő | Időkorlátossá teszi a kockázatkezelést |
| Végrehajtási bizonyíték | Megmutatja, hogy az intézkedés lezárult |
| Eredményességi mutató | Megmutatja, hogy csökkent-e a valószínűség vagy a hatás |
| Maradványkockázat | Megmutatja a fennmaradó kitettséget |
| Kockázatgazdai jóváhagyás | Bizonyítja az elfogadást és az irányítást |
Sarah R-042 kockázata esetében a kockázatkezelési terv keresztmegfelelési intézkedéslistává válik.
| Kockázatazonosító | Kockázatkezelési intézkedés | ISO/IEC 27001:2022 Annex A hivatkozás | NIS2 relevancia | DORA relevancia | Tulajdonos | Bizonyíték |
|---|---|---|---|---|---|---|
| R-042 | Beszállítói auditjog gyakorlása és sérülékenységkezelési bizonyítékok bekérése | 5.19, 5.20, 5.21, 5.22, 5.31 | Article 21(2)(d) ellátási lánc biztonsága | Articles 28 és 30 IKT harmadik felekkel kapcsolatos kockázatok és szerződések | CTO és beszerzési vezető | Auditkérelem, beszállítói válasz, szerződésfelülvizsgálat |
| R-042 | Fokozott monitorozás bevezetése rendellenes API- és emelt jogosultságú tevékenységre | 8.15, 8.16, 5.16, 5.17, 5.18 | Article 21(2)(i) hozzáférés-szabályozás és eszközkezelés | Articles 6 és 17 IKT-kockázat és incidenskezelés | SOC Manager | SIEM-szabály, riasztási teszt, hozzáférési felülvizsgálat |
| R-042 | Biztonsági mentésből történő helyreállítás tesztelése, valamint szolgáltatásszintű RTO és RPO meghatározása | 5.30, 8.13, 8.14 | Article 21(2)(c) üzletmenet-folytonosság és biztonsági mentés | Articles 11 és 12 reagálás, helyreállítás, biztonsági mentés és visszaállítás | Platformmérnökségi vezető | Helyreállítási jelentés, RTO- és RPO-jóváhagyás |
| R-042 | Beszállítói adatsértési asztali gyakorlat lebonyolítása | 5.24, 5.26, 5.27, 5.29 | Articles 21(2)(b) és 23 incidenskezelés és jelentéstétel | Articles 17, 18, 19 és 24 incidenskezelés, besorolás, jelentéstétel és tesztelés | CISO | Asztali gyakorlat nyilvántartása, tanulságok, helyesbítő intézkedések nyomon követése |
| R-042 | SoA és maradványkockázat-jóváhagyás frissítése | 5.4, 5.31, 5.35 | Article 20 vezetői elszámoltathatóság | Articles 5 és 6 irányítás és IKT-kockázati keretrendszer | CISO és kockázatgazda | Frissített SoA, jóváhagyási bejegyzés, vezetőségi felülvizsgálati jegyzőkönyvek |
Ez a terv azért erős, mert közvetlen kapcsolatot hoz létre egy kockázati forgatókönyvtől az ISO 27001 kontrollokig, a NIS2 kötelezettségekig, a DORA cikkekig, a felelősökig és a bizonyítékokig.
Használja hatékonyabban az alkalmazhatósági nyilatkozatot
Az alkalmazhatósági nyilatkozatot gyakran tanúsítási artefaktumként kezelik. Ennél többnek kell lennie.
Az ISO/IEC 27001:2022 6.1.3 pontja előírja, hogy a SoA tartalmazza a szükséges kontrollokat, a bevonás indoklását, a bevezetési státuszt és a kizárások indoklását. Az ISO/IEC 27005:2022 útmutatása megerősíti, hogy a kiválasztott kontrollokat össze kell vetni az ISO/IEC 27001 Annex A kontrolljaival a kihagyások elkerülése érdekében.
Egy auditkész programban a SoA hidat képez a kockázatkezelés és a keresztmegfelelési bizonyítékok között. Ha egy kockázatkezelési terv MFA-t, naplózást, beszállítói monitorozást, biztonsági mentésből történő helyreállítást, biztonságos fejlesztést, incidenseszkalációt vagy felhőszolgáltatásból való kilépési tervezést követel meg, a SoA-nak meg kell mutatnia, hogy a releváns Annex A kontrollok szerepelnek, indokoltak, bevezetettek vagy tervezettek, és bizonyítékkal alátámasztottak.
Ez segít elkerülni egy gyakori auditmegállapítást is: a kockázati nyilvántartás mást mond, a kockázatkezelési terv mást, a SoA pedig hallgat. Amikor ezek az artefaktumok ellentmondanak egymásnak, az auditorok gyorsan elveszítik a bizalmukat.
Az ISO 27001 kockázatkezelés leképezése NIS2, DORA és GDPR szerint
Az ISO 27001 nem helyettesíti a NIS2, DORA vagy GDPR követelményeit. Strukturált mechanizmust ad a hozzájuk szükséges bizonyítékok előállításához.
A kulcs az, hogy a leképezést a kockázati folyamatba kell beépíteni, nem utólag ráilleszteni.
| ISO 27001 kockázatkezelési bizonyíték | NIS2 relevancia | DORA relevancia | GDPR relevancia |
|---|---|---|---|
| Kockázati kritériumok szabályozási hatáspontozással | Támogatja az Article 21 szerinti arányos kiberbiztonsági kockázatkezelési intézkedéseket | Támogatja az Articles 4, 5 és 6 szerinti arányosságot, irányítást és IKT-kockázati keretrendszert | Támogatja az elszámoltathatóságot és a megfelelő biztonságot |
| Kockázati nyilvántartás tulajdonosokkal és CIA-hatással | Támogatja az Article 20 szerinti vezetői felügyeletet és az Article 21 szerinti kockázatelemzést | Támogatja a dokumentált IKT-kockázatkezelést és tulajdonosi felelősséget | Támogatja a személyes adatokkal kapcsolatos kockázattudatosság igazolását |
| Annex A szerint leképezett kockázatkezelési terv | Támogatja az Article 21 szerinti intézkedéseket az incidens, folytonosság, beszállító, hozzáférés, sérülékenység és biztonságos fejlesztés területén | Támogatja az IKT-kontrollokat, incidenskezelést, folytonosságot, tesztelést és harmadik felekkel kapcsolatos rezilienciát | Támogatja az Article 32 szerinti technikai és szervezeti intézkedéseket |
| Beszállítói kockázati bejegyzések és szerződéses kontrollok | Támogatja az Article 21(2)(d) szerinti ellátási lánc biztonságát | Támogatja az Articles 28 és 30 szerinti IKT harmadik felekkel kapcsolatos kockázati és szerződéses követelményeket | Támogatja az adatfeldolgozói és adattovábbítási védelmi intézkedéseket, ahol alkalmazandó |
| Incidensforgatókönyvek és jelentéstételi forgatókönyvek | Támogatja az Article 23 szerinti jelentős incidens jelentéstételi munkafolyamatát | Támogatja az Articles 17, 18 és 19 szerinti incidenskezelést, besorolást és jelentéstételt | Támogatja az Articles 33 és 34 szerinti incidensbejelentési értékelést |
| BCP-, biztonsági mentési és helyreállítási kockázatkezelések | Támogatja az Article 21(2)(c) szerinti folytonosságot, biztonsági mentést, katasztrófa utáni helyreállítást és válságkezelést | Támogatja az Articles 11 és 12 szerinti reagálást, helyreállítást, biztonsági mentést és visszaállítást | Támogatja a rendelkezésre állást és rezilienciát, ahol személyes adatok érintettek |
| Kontrollhatékonysági felülvizsgálatok | Támogatja az Article 21(2)(f) szerinti eredményességértékelést | Támogatja az Article 24 szerinti tesztelési és helyesbítő intézkedési elvárásokat | Támogatja a folyamatos elszámoltathatóságot |
Ez a leképezés különösen fontos ott, ahol a szabályozások átfedik egymást. A DORA sok pénzügyi szervezet számára az ágazatspecifikus IKT-reziliencia rendszer, miközben a NIS2 bizonyos szolgáltatók, koordinációs helyzetek vagy a DORA hatályán kívüli szervezetek esetében közvetlenül releváns maradhat. Egy fintech számára a DORA lehet az elsődleges IKT-reziliencia keretrendszer, míg az őt támogató menedzselt szolgáltató közvetlen NIS2 kötelezettségekkel szembesülhet.
A kockázati nyilvántartásnak mindkét oldalt képesnek kell lennie megmutatni ebben a függőségi viszonyban.
Használja a Zenith Controls megoldást keresztmegfelelési iránytűként
A Clarysec a Zenith Controls megoldást keresztmegfelelési útmutatóként használja annak a gyakori hibának az elkerülésére, amikor az ISO-kontrollok, a szabályozási cikkek és az auditkérdések külön világokban élnek. Nem hoz létre külön kontrollkeretrendszert. Az ISO/IEC 27001:2022 és ISO/IEC 27002:2022 kontrollterületeit más szabványokhoz, auditelvárásokhoz és megfelelési nézőpontokhoz térképezi.
Az ISO 27001 kockázatértékelés és kockázatkezelés szempontjából ezek a hivatkozások különösen fontosak:
| A Zenith Controls által használt ISO/IEC 27001:2022 Annex A hivatkozás | Miért fontos a kockázatértékelés és kockázatkezelés szempontjából | A Zenith Controls által rögzített attribútumok |
|---|---|---|
| 5.4 Vezetői felelősségek | Összekapcsolja a kockázatkezelés tulajdonosi felelősségét az irányítással, a szerepköri egyértelműséggel és az elszámoltathatósággal | Megelőző kontroll, támogatja a bizalmasságot, sértetlenséget és rendelkezésre állást, leképezés: Identify, Governance, Governance and Ecosystem |
| 5.31 Jogi, jogszabályi, szabályozási és szerződéses követelmények | Összekapcsolja a megfelelési nyilvántartást a kockázati kritériumokkal, a kockázatkezelési döntésekkel és a SoA-bevonással | Megelőző kontroll, támogatja a bizalmasságot, sértetlenséget és rendelkezésre állást, leképezés: Identify, Legal and Compliance, Governance, Ecosystem és Protection |
| 5.35 Az információbiztonság független felülvizsgálata | Összekapcsolja a belső auditot, a külső auditot és a vezetői bizonyosságot a kockázatkezelés eredményességével | Megelőző és helyesbítő kontroll, támogatja a bizalmasságot, sértetlenséget és rendelkezésre állást, leképezés: Identify és Protect, Information Security Assurance, Governance and Ecosystem |
A keresztmegfelelési tanulság egyszerű. Ha a jogi kötelezettségek nincsenek benne a kockázatértékelési módszerben, a pontozás hiányos. Ha a pontozás hiányos, a kockázatkezelési prioritások tévesek lehetnek. Ha a prioritások tévesek, a SoA és az igazgatósági jelentéstétel megbízhatatlanná válik.
A Zenith Blueprint ugyanezt hangsúlyozza a Kockázatkezelési fázis 14. lépésében, „Kockázatkezelési szabályzatok és szabályozási kereszthivatkozások” alatt. Azt javasolja, hogy a szervezetek hozzanak létre leképezési táblát a kulcsfontosságú szabályozási biztonsági követelmények és az IBIR megfelelő kontrolljai vagy szabályzatai között. Ez nem kötelező az ISO 27001 tanúsításhoz, de rendkívül hasznos annak igazolására, hogy a biztonságot jogi és szerződéses kontextusban kezelik.
Mit fognak kérdezni a különböző auditorok?
Egy tanúsítási auditor, NIS2-fókuszú felülvizsgáló, DORA-orientált ügyfél, GDPR-felülvizsgáló, NIST-értékelő vagy COBIT-szakértő ugyanazokat a bizonyítékokat vizsgálhatja, de eltérő kérdéseket tesz fel.
| Auditori nézőpont | Tipikus auditkérdés | Elvárt bizonyítékok |
|---|---|---|
| ISO 27001 auditor | Meghatározott, ismételhető, alkalmazott, és a kockázatkezeléshez, valamint a SoA-hoz kapcsolt-e a kockázatértékelési módszer? | Kockázati módszertan, kritériumok, nyilvántartás, SoA, kockázatkezelési terv, maradványkockázati jóváhagyások |
| NIS2-orientált felülvizsgáló | Lefedik-e a kiberbiztonsági intézkedések az Article 21 területeit és a vezetői elszámoltathatóságot? | Igazgatósági jóváhagyások, Article 21 leképezés, incidensforgatókönyv, folytonossági bizonyíték, beszállítói kockázati bizonyíték |
| DORA-orientált felülvizsgáló | Dokumentált, irányított, tesztelt és IKT harmadik felekre is kiterjesztett-e az IKT-kockázatkezelés? | IKT-kockázati keretrendszer, incidensbesorolási folyamat, BCP-tesztek, rezilienciatesztelés, IKT-beszállítói nyilvántartás |
| GDPR-felülvizsgáló | Tudja-e a szervezet igazolni a személyes adatok kockázataihoz kapcsolódó megfelelő biztonságot és elszámoltathatóságot? | Adatkezelési nyilvántartás, jogalap-leképezés, incidens-hatásvizsgálati eljárás, adatvédelmi kockázatkezelési bizonyítékok |
| NIST-orientált értékelő | Azonosítják, védik, észlelik, kezelik és helyreállítják-e a kockázatokat mérhető kontrollokon keresztül? | Kockázati forgatókönyvek, eszköznyilvántartás, kontrollbevezetés, megfigyelés, reagálási és helyreállítási nyilvántartások |
| COBIT vagy ISACA auditor | Összhangban van-e a kockázatirányítás a vállalati célokkal, szerepkörökkel, teljesítménnyel, bizonyossággal és vezetői jelentéstétellel? | Irányítási jegyzőkönyvek, RACI, KRI-k, belső auditmegállapítások, helyesbítő intézkedések nyomon követése, vezetői irányítópultok |
Ezért fontos a bizonyítékarchitektúra. Ugyanannak a kockázati bejegyzésnek visszakövethetőnek kell lennie az üzleti célkitűzéstől az eszközig, fenyegetésig, sérülékenységig, kontrollig, tulajdonosig, szabályozási hajtóerőig, kockázatkezelési intézkedésig, teszteredményig és vezetői döntésig.
A Clarysec szabályzatai ezt az architektúrát támogatják. A vállalati Kockázatkezelési szabályzat a „Hivatkozott szabványok és keretrendszerek” szakaszban így fogalmaz:
Article 5: Dokumentált IKT-kockázatkezelési keretrendszert ír elő, amelyet e szabályzat struktúrája teljes mértékben lefed, beleértve a SoA-leképezést és a KRI-ket.
Ez a szabályzatot statikus dokumentumból olyan auditbizonyítékká alakítja, amely megmutatja, hogy az IKT-kockázatirányítást tudatosan, a DORA figyelembevételével alakították ki.
Gyakori megállapítások, amelyek megbontják a kockázati programokat
Amikor a Clarysec ISO 27001 kockázatértékelési és kockázatkezelési bizonyítékokat vizsgál, ugyanazok a megállapítások ismétlődnek.
Először: a kockázati kritériumok figyelmen kívül hagyják a jogi, szabályozási, szerződéses, beszállítói és adatvédelmi hatást. Ez gyenge pontozást eredményez. Egy személyesadat-sértést vagy kritikus beszállítói hibát közepesre értékelhetnek, mert a valószínűsége alacsony, holott a GDPR, NIS2, DORA vagy ügyfélhatás miatt magasnak vagy kritikusnak kellene lennie.
Másodszor: a kockázatgazdák általánosak. Az „IT” nem kockázatgazda. A kockázatgazdának olyan szerepkörnek vagy személynek kell lennie, aki felelős a kockázatkezelési döntésekért, a költségvetésért, az ütemezésért és a maradványkockázatért.
Harmadszor: a kockázatkezelési tervek nem időkorlátosak. A „monitorozás javítása” nem terv. Az „éles adminisztrátori fiókok emelt jogosultságú munkameneteire vonatkozó riasztások bevezetése a SIEM-ben június 30-ig, a SOC Manager felelősségével, szimulált admin bejelentkezéssel tesztelve, csatolt riasztási bizonyítékkal” már terv.
Negyedszer: a SoA elszakad a kockázatkezeléstől. Ha a kockázatkezelési terv beszállítói monitorozást, biztonsági mentési tesztelést, incidenseszkalációt, MFA-t vagy naplózást ír elő, a SoA-nak tükröznie kell a releváns kontrollokat és bevezetési státuszukat.
Ötödször: a maradványkockázat nincs jóváhagyva. Az ISO 27001 megköveteli a kockázatgazda jóváhagyását a kockázatkezelési tervhez és a maradványkockázatokhoz. A NIS2 és a DORA ezt még fontosabbá teszi, mert a vezetői elszámoltathatóság kifejezett.
Hatodszor: a beszállítói kockázatot beszerzési adminisztrációként kezelik. A NIS2 Article 21(2)(d) és a DORA Articles 28 és 30 alapján a beszállítói és IKT harmadik felekhez kapcsolódó kockázatnak a kockázatkezelés részének kell lennie, nem elszigetelten tárolt éves kérdőívnek.
Hetedszer: nincs bizonyíték az eredményességre. Az ISO 27001 6.1.1 pontja előírja a tervezett intézkedések eredményességének értékelését. A NIS2 az Article 21(2)(f) alatt tartalmazza az eredményességértékelést. A DORA tesztelést és helyesbítő intézkedéseket vár el. Egy létező, de soha nem tesztelt kontroll gyenge bizonyíték.
A KKV Kockázatkezelési szabályzat - KKV világosan rögzíti az elvárást:
Az ügyvezetőnek és a kockázatkoordinátornak biztosítania kell, hogy a kockázatkezelési tevékenységek auditkészek legyenek. A kockázati nyilvántartás és a kapcsolódó intézkedések belső és külső audit tárgyát képezik.
A KKV Kockázatkezelési szabályzat „Betartatás és megfelelés” szakaszának 8.2.1 szabályzati pontjából.
Igazgatósági jelentéstétel a vezetők túlterhelése nélkül
A NIS2, a DORA és az ISO 27001 egyaránt a vezetői elszámoltathatóság felé mutat, de az igazgatóságnak nincs szüksége minden kockázati sorra. Döntéstámogató jelentésre van szüksége.
Egy jó igazgatósági kockázati csomagnak meg kell mutatnia:
- Magas és kritikus kockázatok területenként
- Késedelmes kockázatkezelési intézkedések
- NIS2, DORA, GDPR vagy szerződések által érintett szabályozási kockázatok
- Kritikus vagy fontos szolgáltatásokat érintő beszállítói kockázatok
- Incidens- és majdnem bekövetkezett esemény trendek
- Elfogadásra váró maradványkockázatok
- Kontrollhatékonysági teszteredmények
- Lényeges változások a hatályban, beszállítókban, technológiában vagy jogszabályokban
- Belső auditmegállapítások és helyesbítő intézkedések
A Clarysec jellemzően havi operatív kockázati felülvizsgálatokat és negyedéves vezetőségi felülvizsgálatokat javasol. A havi felülvizsgálatok a kockázatkezelés teljesítésére összpontosítanak. A negyedéves felülvizsgálatok az elfogadásra, finanszírozásra, priorizálásra, szabályozási kitettségre és stratégiai kockázati döntésekre fókuszálnak.
Ez a ritmus a folyamatos fejlesztést is támogatja. A kockázatértékeléseket frissíteni kell, ha incidensek történnek, sérülékenységek jelennek meg, új eszközöket vezetnek be, változik a technológia, változnak a beszállítók, a jogszabályok, az ügyfélkötelezettségek vagy a kockázatvállalási hajlandóság.
A Clarysec bevezetési útja
Az egységes kockázati program elkerüli a széttagolt ISO, NIS2, DORA, GDPR és ügyfélbizonyossági táblázatokat. A gyakorlati út a következő:
- Erősítse meg az IBIR alkalmazási területét, a szolgáltatásokat, eszközöket, beszállítókat, joghatóságokat és ügyfélkötelezettségeket.
- Alakítsa ki vagy frissítse a megfelelési nyilvántartást a Jogi és szabályozói megfelelési szabályzat - KKV alapján, ahol alkalmazható.
- Határozza meg a kockázati módszertant, az elfogadási kritériumokat, a valószínűségi skálákat, a hatásskálákat és a szabályozási hatásra vonatkozó szabályokat.
- Építse fel a kockázati nyilvántartást a Zenith Blueprint Kockázatkezelési fázisa és a Clarysec kockázati nyilvántartás és SoA Builder megközelítése alapján.
- Azonosítsa az eszközalapú és forgatókönyv-alapú kockázatokat, beleértve a beszállítói, felhő-, adatvédelmi, folytonossági, incidens-, sérülékenységi, biztonságos fejlesztési és hozzáférési forgatókönyveket.
- Pontozza a kockázatokat olyan kritériumok alapján, amelyek tartalmazzák a jogi, szabályozási, szerződéses, operatív, adatvédelmi, beszállítói és pénzügyi hatást.
- Válassza ki a kockázatkezelési lehetőségeket: csökkentés, elkerülés, átruházás vagy elfogadás.
- Térképezze a szükséges kontrollokat az ISO/IEC 27001:2022 Annex A és az ISO/IEC 27002:2022 útmutatása szerint.
- Hozza létre vagy frissítse az alkalmazhatósági nyilatkozatot.
- Térképezze a kockázatkezeléseket a NIS2 Article 21, a DORA IKT-kockázatkezelési és harmadik felekre vonatkozó elvárásai, a GDPR elszámoltathatóság és az ügyfélszerződéses kötelezettségek szerint.
- Gyűjtse össze a bizonyítékokat, ellenőrizze a kontrollhatékonyságot, és szerezze be a maradványkockázat jóváhagyását.
- Készítsen auditcsomagot kockázat, kontroll, szabályozás és bizonyítékartefaktum szerint rendezve.
- Az eredményeket vezesse be a vezetőségi felülvizsgálatba, belső auditba, helyesbítő intézkedésbe és folyamatos fejlesztésbe.
Ez nem öncélú adminisztráció. Ez az igazolható kiberbiztonsági irányítás működési rendszere.
Építsen auditkész kockázatkezelési csomagot
Sarah története jól végződik, mert felhagyott azzal, hogy az ISO 27001, NIS2 és DORA megfelelést külön projektekként kezelje. Az ISO 27001 kockázatértékelést központi motorként használta, a szabályozási kötelezettségeket beépítette a kockázati kritériumokba, a kockázatkezelési intézkedéseket leképezte az Annex A és EU-követelmények szerint, és olyan bizonyítékokat gyűjtött, amelyeket az ügyfelek, auditorok és az igazgatóság is megértettek.
Az Ön szervezete is megteheti ugyanezt.
Használja a Zenith Blueprint: egy auditor 30 lépéses ütemterve útmutatót a kockázati kritériumok meghatározásához, a kockázati nyilvántartás kialakításához, a kockázatkezelési terv létrehozásához és a szabályozási követelmények kereszthivatkozásához.
Használja a Zenith Controls: a keresztmegfelelési útmutató megoldást az ISO/IEC 27001:2022 Annex A kontrollterületeinek összekapcsolásához az irányítási, jogi megfelelési, bizonyossági és auditori nézőpontokkal.
Használja a Clarysec Kockázatkezelési szabályzatát, Kockázatkezelési szabályzat - KKV és Jogi és szabályozói megfelelési szabályzat - KKV dokumentumait a tulajdonosi felelősség, a nyilvántartások, a kockázatkezelési döntések és az auditkész bizonyítékok egységesítéséhez.
A leggyorsabb gyakorlati következő lépés, hogy vegye a tíz legfontosabb kockázatát, és tesztelje őket öt kérdéssel:
- Látható-e a szabályozási hatás?
- Időkorlátos és felelőshöz rendelt-e a kockázatkezelési terv?
- Minden kockázatkezelés le van-e képezve az Annex A és a SoA szerint?
- Dokumentált-e a NIS2, DORA, GDPR vagy ügyfélrelevancia, ahol alkalmazandó?
- Van-e bizonyíték arra, hogy a kontroll működik?
Ha a válasz nem, a Clarysec segíthet a kockázati nyilvántartását olyan igazolható, keresztmegfelelési kockázatkezelési programmá alakítani, amelyben az auditorok, szabályozó hatóságok, ügyfelek és igazgatóságok is megbízhatnak.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
