Felhőalapú auditbizonyíték ISO 27001, NIS2 és DORA megfeleléshez

Mariának, egy gyorsan növekvő pénzügyi elemző vállalat CISO-jának hat hete maradt addig, amíg három határidő egyszerre be nem ért. Az ISO 27001:2022 felügyeleti audit már be volt ütemezve. A NIS2 fontos szervezetként új vezetői elszámoltathatósági szintre emelte a vállalatot. A DORA pedig hamarosan próbára tette, hogy a fintech működés képes-e igazolni a digitális operatív rezilienciát. Mindeközben egy nagyvállalati ügyfél visszatartotta a szerződéskötést, amíg Maria csapata át nem megy egy részletes biztonsági bizonyossági felülvizsgálaton.

A vállalat nem volt nem biztonságos. Éles munkaterheléseket futtatott AWS-ben és Azure-ban, Microsoft 365-öt és több kritikus SaaS-platformot használt, kikényszerítette az MFA-t, biztonsági mentést készített az adatokról, sérülékenységvizsgálatokat végzett és felhőnaplókat gyűjtött. A probléma a bizonyítás volt.

A bizonyítékok Slack-képernyőképekben, fejlesztői wikioldalakon, felhőkonzol-exportokban, beszerzési mappákban, jogi szerződésekben és platformgazdák szóbeli biztosítékaiban szóródtak szét. Amikor egy auditor azt kérdezte: „Mutassa meg, hogyan tartják kontroll alatt a felhőkörnyezetüket”, egy felhőszolgáltató megfelelőségi oldalára mutató link nem lett volna elég. A szolgáltató tanúsítványai a szolgáltató kontrolljait igazolták. Nem igazolták Maria szervezetének oldalát a megosztott felelősségi modellben.

Itt bukik el sok felhőbiztonsági auditbizonyíték-program. Nem azért, mert hiányoznak a kontrollok, hanem azért, mert a szervezet nem tudja strukturáltan és visszakövethetően bizonyítani, mely felelősségek tartoznak a szolgáltatóhoz, melyek az ügyfélhez, hogyan vannak konfigurálva a SaaS- és IaaS-kontrollok, hogyan érvényesítik a beszállítói vállalásokat, és hogyan őrzik meg a bizonyítékokat auditorok, hatóságok és ügyfelek számára.

A felhőmegfelelés már nem technikai melléklet. Egy NIS2 hatálya alá tartozó SaaS-szolgáltatónál, egy DORA hatálya alá tartozó pénzügyi szervezetnél, vagy bármely ISO 27001:2022 szervezetnél, amely IaaS-, PaaS- és SaaS-szolgáltatásokat használ, a felhőirányítás az IBIR alkalmazási területének, a kockázatkezelési tervnek, a beszállítói életciklusnak, az incidenskezelési folyamatnak, az adatvédelmi elszámoltathatóságnak és a vezetőségi átvizsgálásnak a része.

A gyakorlati cél egyszerű: olyan, hatósági felülvizsgálatra kész felhőbizonyíték-architektúrát kell kialakítani, amely ISO 27001:2022, NIS2, DORA, GDPR, ügyfélbizonyossági és belső auditkérdésekre is válaszol anélkül, hogy minden keretrendszerhez újra kellene építeni a bizonyítékokat.

A felhő mindig hatályon belül van, akkor is, ha az infrastruktúra kiszervezett

Az első auditcsapda az a feltételezés, hogy a kiszervezett infrastruktúra kívül esik az IBIR-en. Nem esik kívül. A kiszervezés megváltoztatja a kontrollhatárt, de nem szünteti meg az elszámoltathatóságot.

Az ISO/IEC 27001:2022 előírja, hogy a szervezet határozza meg a kontextusát, az érdekelt feleket, az IBIR alkalmazási területét, az interfészeket, a függőségeket és a folyamatokat. Egy felhőközpontú üzleti működésben az identitásszolgáltató, a felhőtárhely-fiók, a CRM, az e-mail platform, az adattárház, a CI/CD folyamatlánc, a jegykezelő eszköz és a biztonsági mentési szolgáltatás gyakran alapvető üzleti infrastruktúra.

A Clarysec Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint az IBIR-alapok és vezetői szerepvállalás szakasz 2. lépésében, az érdekelt felek igényei és az IBIR alkalmazási területe kapcsán rögzíti:

„Ha az IT-infrastruktúrát felhőszolgáltatóhoz szervezi ki, ez nem zárja ki azt az alkalmazási területből; ellenkezőleg, a kapcsolat kezelését és a felhőeszközöket is az alkalmazási terület részévé kell tenni, mert a felhőben tárolt adatok biztonságáért a szervezet felel.”

Ez a megállapítás audit-horgonypont. Az alkalmazási területnek nem azt kell mondania, hogy „az AWS kizárt, mert az Amazon kezeli”. Azt kell kimondania, hogy az AWS-en hosztolt szolgáltatásokhoz kapcsolódó információs vagyon és folyamatok hatályon belül vannak, beleértve a felhőbiztonsági kontrollok, az identitás, a naplózás, a titkosítás, a biztonsági mentés, a beszállítói bizonyosság és az incidensreagálás kezelését.

Az ISO 27001:2022 esetében ez támogatja a 4.1–4.4 pontokat a kontextusra, az érdekelt felekre, az alkalmazási területre és az IBIR-folyamatokra vonatkozóan. A NIS2 esetében támogatja az Article 21 elvárásait a kockázatelemzésre, az incidenskezelésre, az üzletmenet-folytonosságra, az ellátási lánc biztonságára, a biztonságos beszerzésre és karbantartásra, a hozzáférés-szabályozásra, az eszközkezelésre, a kriptográfiára, a kontrollhatékonyságra és adott esetben az MFA-ra vonatkozóan. A DORA esetében azt az alapelvet támasztja alá, hogy a pénzügyi szervezetek az IKT-kockázatért akkor is felelősek maradnak, ha az IKT-szolgáltatásokat kiszervezik.

A kérdés nem az, hogy a felhőszolgáltató biztonságos-e. A kérdés az, hogy a szervezet irányítja-e a szolgáltató használatát, helyesen konfigurálja-e a saját oldalát, felügyeli-e a szolgáltatást, kezeli-e a beszállítói vállalásokat és megőrzi-e a bizonyítékokat.

A megosztott felelősségből megosztott bizonyítéknak kell lennie

A felhőszolgáltatók elmagyarázzák a megosztott felelősséget. Az auditorok azt vizsgálják, hogy a szervezet ezt működésbe ültette-e.

IaaS esetén a szolgáltató általában a fizikai létesítményeket, az alapinfrastruktúrát és a hypervisort védi. Az ügyfél kontrollálja az identitást, a munkaterhelések konfigurációját, az operációs rendszer megerősítését, az alkalmazásbiztonságot, az adatosztályozást, a titkosítási beállításokat, a hálózati szabályokat, a naplózást, a biztonsági mentéseket, a javítások telepítését és az incidensreagálást.

SaaS esetén a szolgáltató kontrollálja a platformüzemeltetés nagy részét, de az ügyfél továbbra is felel a bérlői környezet konfigurációjáért, a felhasználókért, az adminisztrátori szerepkörökért, az integrációkért, az adatmegosztásért, a megőrzésért, a naplózási opciókért és az eszkalációs eljárásokért.

A Clarysec Zenith Controls: The Cross-Compliance Guide Zenith Controls az ISO/IEC 27002:2022 5.23 kontrollját, a felhőszolgáltatások használatának információbiztonságát központi felhőirányítási kontrollként kezeli, amely megelőző szándékkal védi a bizalmasságot, sértetlenséget és rendelkezésre állást. A felhőszolgáltatásokat összekapcsolja a beszállítói kapcsolatokkal, a biztonságos információátvitellel, az eszköznyilvántartással, az adatszivárgás-megelőzéssel, a végpont- és hálózatbiztonsággal, valamint a biztonságos fejlesztési gyakorlattal.

A Zenith Controls egyik kulcsértelmezése szerint:

„A felhőszolgáltatók (CSP-k) kritikus beszállítóként működnek, ezért a beszállítók kiválasztására, szerződéskötésére és kockázatkezelésére vonatkozó valamennyi 5.19 szerinti kontroll alkalmazandó. Az 5.23 azonban továbbmegy, mert olyan felhőspecifikus kockázatokat kezel, mint a több-bérlős működés, az adatok helyének átláthatósága és a megosztott felelősségi modellek.”

Ez a különbségtétel kritikus. A beszállítói tanúsítványok önmagukban nem teljesítik az Annex A.5.23 követelményét. Ügyféloldali bizonyítékra van szükség, amely igazolja, hogy a felhőszolgáltatás irányított, konfigurált, felügyelt és felülvizsgált.

Ez a különbség a felhőkontrollok megléte és az auditra felkészített felhőkontrollok között.

Kezdjen olyan Felhőszolgáltatási Nyilvántartással, amelyet az auditorok is használni tudnak

A felhőalapú auditra való felkészültség leggyorsabban egy teljes Felhőszolgáltatási Nyilvántartás létrehozásával javítható. Ez nem lehet egyszerű beszerzési lista vagy pénzügyi export. Össze kell kapcsolnia a felhőszolgáltatásokat az adatokkal, tulajdonosokkal, régiókkal, hozzáféréssel, szerződésekkel, kritikussággal, szabályozási relevanciával és bizonyítékokkal.

A Clarysec KKV-k számára készült Felhőszolgáltatások használatára vonatkozó szabályzat-sme Felhőszolgáltatások használatára vonatkozó szabályzat-sme tömör és auditbarát alapvonalat ad az 5.3 pontban:

„A Felhőszolgáltatási Nyilvántartást az IT-szolgáltatónak vagy az ügyvezetőnek fenn kell tartania. A nyilvántartásnak tartalmaznia kell: 5.3.1 Minden jóváhagyott felhőszolgáltatás nevét és célját 5.3.2 A felelős személyt vagy csapatot (alkalmazástulajdonos) 5.3.3 A tárolt vagy kezelt adatok típusait 5.3.4 Az országot vagy régiót, ahol az adatok tárolása történik 5.3.5 A felhasználói hozzáférési jogosultságokat és adminisztratív fiókokat 5.3.6 A szerződéses adatokat, megújítási dátumokat és támogatási kapcsolattartókat”

Nagyvállalati környezetekben a Clarysec Felhőszolgáltatások használatára vonatkozó szabályzat Felhőszolgáltatások használatára vonatkozó szabályzat szélesebb körű kötelező elvárást határoz meg:

„Ez a szabályzat meghatározza a szervezet kötelező követelményeit a felhőszolgáltatások biztonságos, megfelelő és felelős használatára az Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) és Software-as-a-Service (SaaS) szolgáltatási modellekben.”

A Felhőszolgáltatások használatára vonatkozó szabályzat a CISO tulajdonában álló központi nyilvántartást és jóváhagyott alapkonfigurációkat ír elő a felhőkörnyezetekre. Ez a nyilvántartás egyszerre több kötelezettség bizonyítási alapjává válik.

Az ISO 27001:2022 esetében támogatja az eszköznyilvántartást, a felhőhasználati irányítást, a beszállítói kapcsolatokat, a hozzáférés-szabályozást, a jogi és szerződéses követelményeket, a kockázatkezelést és a dokumentált információt. A NIS2 esetében támogatja az ellátási lánc biztonságát, az eszközkezelést, a kockázatelemzést, az incidenskezelést és a folytonosságot. A DORA esetében támogatja az IKT-eszközök és függőségek feltérképezését, az IKT-harmadikfél nyilvántartásokat, a kritikus vagy fontos funkciók leképezését és a koncentrációs kockázat elemzését. A GDPR esetében azonosítja, hogy történik-e személyes adatok kezelése, hol találhatók az adatok, mely szolgáltató jár el adatfeldolgozóként, és milyen adattovábbítási vagy adatkezelési feltételek alkalmazandók.

Ha a nyilvántartás nem azonosítja az adatkategóriákat és régiókat, az adatvédelmi és reziliencia-bizonyíték hiányos lesz. Ha nem azonosítja az alkalmazástulajdonosokat, a hozzáférés-felülvizsgálatok gazdátlanok maradnak. Ha nem azonosítja a szerződéseket és megújítási dátumokat, a beszállítói biztonsági záradékok nem tesztelhetők.

Tegye az ISO 27001:2022-t a felhőbizonyíték gerincévé

Az ISO 27001:2022 a felhőbizonyíték legjobb gerince, mert összekapcsolja az üzleti kontextust, a kockázatot, a kontrollokat, az operatív bizonyítást, a felügyeletet és a fejlesztést.

A felhő szempontjából releváns fő ISO 27001:2022 követelmények:

• A 4.1–4.4 pontok a kontextusra, az érdekelt felekre, az IBIR alkalmazási területére, az interfészekre, a függőségekre és a folyamatokra.
• Az 5.1–5.3 pontok a vezetői szerepvállalásra, szabályzatra, szerepkörökre, felelősségekre és elszámoltathatóságra.
• A 6.1.1–6.1.3 pontok a kockázatértékelésre, a kockázatkezelésre, az Annex A összevetésre, az alkalmazhatósági nyilatkozatra és a maradványkockázat elfogadására.
• A 7.5 pont a kontrollált dokumentált információra.
• A 8.1–8.3 pontok a működéstervezésre, a kockázatértékelés végrehajtására és a kockázatkezelés végrehajtására.
• A 9.1–9.3 pontok a megfigyelésre, mérésre, belső auditra és vezetőségi átvizsgálásra.
• A 10. pont a nemmegfelelőségre, a helyesbítő intézkedésre és a folyamatos fejlesztésre.

Az Annex A kontrolljai közül a felhőbizonyíték szempontjából a legnagyobb súlyt az alábbiak hordozzák: A.5.19 információbiztonság a beszállítói kapcsolatokban, A.5.20 információbiztonság kezelése a beszállítói megállapodásokban, A.5.21 információbiztonság kezelése az IKT-ellátási láncban, A.5.22 beszállítói szolgáltatások megfigyelése, felülvizsgálata és változáskezelése, A.5.23 felhőszolgáltatások használatának információbiztonsága, A.5.24–A.5.27 incidenskezelés, A.5.29 információbiztonság zavarok idején, A.5.30 IKT-felkészültség az üzletmenet-folytonosságra, A.5.31 jogi, jogszabályi, szabályozási és szerződéses követelmények, A.5.34 a magánszféra és a PII védelme, A.5.36 megfelelés az információbiztonsági szabályzatoknak, szabályoknak és szabványoknak, A.8.8 műszaki sérülékenységek kezelése, A.8.9 konfigurációkezelés, A.8.13 információk biztonsági mentése, A.8.15 naplózás, A.8.16 megfigyelési tevékenységek, A.8.24 kriptográfia használata, A.8.25 biztonságos fejlesztési életciklus, A.8.29 biztonsági tesztelés fejlesztés és átvétel során, valamint A.8.32 változáskezelés.

A Zenith Blueprint a Kontrollok működésben szakasz 23. lépésében auditorkompatibilis nyelven magyarázza a felhőszolgáltatásokat:

„A felhőszolgáltatásokra való áttérés alapvetően megváltoztatja a bizalmi modellt. Már nem Ön kontrollálja a szervert, a hálózati peremet vagy a hypervisort. Gyakran azt sem tudja pontosan, fizikailag hol találhatók az adatok. Amit kontrollálni tud, és amit ez a kontroll kikényszerít, az a kapcsolat irányítása, a használt szolgáltatások átláthatósága és azok a biztonsági elvárások, amelyeket a szolgáltatóival szemben támaszt.”

Egy erős A.5.23 szerinti alkalmazhatósági nyilatkozati bejegyzés nem állhat meg annyinál, hogy „Alkalmazandó, a felhőszolgáltató tanúsított”. Ki kell fejtenie, miért alkalmazandó a kontroll, mely kockázatokat kezeli, hogyan van megvalósítva, és hol található a bizonyíték.

Adjon hozzá bizonyítékhely oszlopot az SoA-hoz vagy a kontrollkövetőhöz. Az auditoroknak nem kellene e-mailekben, jegykezelő rendszerekben és megosztott meghajtókon keresniük a bizonyítékokat.

Használjon egyetlen bizonyítékmodellt ISO 27001:2022, NIS2 és DORA megfeleléshez

A NIS2 és a DORA egyaránt dokumentált, kockázatalapú, vezetés által irányított kiberbiztonságot követel meg. Az átfedés jelentős, de a felügyeleti nyomás eltérő.

A NIS2 számos alapvető és fontos szervezetre vonatkozik az EU-ban, beleértve a digitális infrastruktúra-szolgáltatókat, menedzselt szolgáltatókat, menedzselt biztonsági szolgáltatókat, bankokat, pénzügyi piaci infrastruktúrákat és digitális szolgáltatókat. Az Article 21 megfelelő és arányos technikai, operatív és szervezeti intézkedéseket ír elő, ideértve a kockázatelemzést, az incidenskezelést, az üzletmenet-folytonosságot, az ellátási lánc biztonságát, a biztonságos beszerzést és karbantartást, a sérülékenységek kezelését, a kontrollhatékonyság értékelését, a kiberhigiéniát, a képzést, a kriptográfiát, a hozzáférés-szabályozást, az eszközkezelést, valamint adott esetben az MFA-t vagy a biztonságos kommunikációt.

A felhőbiztonsági auditbizonyíték szempontjából a NIS2 azt kérdezi, hogy a felhő- és beszállítói kockázatokat a szolgáltatásnyújtási kockázat részeként kezelik-e. Emellett strukturált jelentéstételt ír elő a jelentős incidensekre, beleértve a 24 órán belüli korai figyelmeztetést, a 72 órán belüli incidensbejelentést és az egy hónapon belüli zárójelentést.

A DORA 2025. január 17-től számos EU-s pénzügyi szervezetre alkalmazandó, és egységes követelményeket teremt az IKT-kockázatkezelésre, a jelentős IKT-incidensek jelentésére, a digitális operatív reziliencia tesztelésére, az információmegosztásra és az IKT-harmadikfél kockázatra. Azon pénzügyi szervezetek esetében, amelyek a NIS2 alapján is azonosítottak, a DORA minősül az átfedő operatív kötelezettségekre vonatkozó ágazatspecifikus uniós jogi aktusnak.

Felhő esetében a DORA közvetlen. A pénzügyi szervezetek az IKT-kockázatért akkor is felelősek maradnak, ha a szolgáltatásokat kiszervezik. IKT-harmadikfél stratégiákra, szerződésnyilvántartásokra, szerződéskötés előtti értékelésekre, kellő gondosságra, auditálási és hozzáférési jogokra, megszüntetési triggerpontokra, koncentrációs kockázatelemzésre, alvállalkozói kontrollokra és tesztelt kilépési stratégiákra van szükségük.

A Zenith Controls az ISO/IEC 27002:2022 5.23 kontrollját az EU NIS2 Article 21-hez és a DORA Articles 28 to 31-hez képezi le. Támogató szabványként hivatkozik többek között az ISO/IEC 27017-re a felhőbiztonsági szerepkörökhöz és megfigyeléshez, az ISO/IEC 27018-ra a PII védelméhez nyilvános felhőben, az ISO/IEC 27701-re a felhőbeli adatfeldolgozói kapcsolatok adatvédelmi irányításához, az ISO/IEC 27036-4-re a felhőszolgáltatások megfigyeléséhez és beszállítói megállapodásaihoz, valamint az ISO/IEC 27005-re a felhőkockázat-értékeléshez.

A gyakorlati következtetés egyszerű. Ne építsen külön bizonyítékcsomagokat ISO 27001:2022, NIS2, DORA és GDPR szerint. Építsen egyetlen felhőbizonyíték-architektúrát keretrendszer-specifikus leképezésekkel.

A beszállítói szerződések kontrollbizonyítékok, nem jogi archívumok

A felhőalapú auditbizonyíték gyakran a szerződéses rétegnél szakad meg. A biztonsági területnél van beszállítói kérdőív. A jogi területnél van a főszolgáltatási szerződés. A beszerzésnél van a megújítási dátum. A DPO-nál van a DPA. Senkinek nincs egységes képe arról, hogy a megállapodás tartalmazza-e az ISO 27001:2022, NIS2, DORA és GDPR által elvárt biztonsági záradékokat.

A Clarysec KKV-k számára készült Harmadik fél és beszállítói biztonsági szabályzat-sme Harmadik fél és beszállítói biztonsági szabályzat-sme az 5.3 pontban kimondja:

„A szerződéseknek kötelező záradékokat kell tartalmazniuk az alábbiakra: 5.3.1 Titoktartás és a bizalmas információk ki nem adása 5.3.2 Információbiztonsági kötelezettségek 5.3.3 Adatsértési értesítési határidők (pl. 24–72 órán belül) 5.3.4 Auditálási jog vagy megfelelőségi bizonyítékok rendelkezésre állása 5.3.5 További alvállalkozásba adás korlátozása jóváhagyás nélkül 5.3.6 Megszüntetési feltételek, beleértve az adatok biztonságos visszaadását vagy megsemmisítését”

Az auditkövetkezetesség érdekében ezeket a záradékokat szerződés-felülvizsgálati mátrixba kell átültetni. Az ISO 27001:2022 Annex A.5.20 elvárja, hogy a beszállítókkal a biztonsági követelményekről megállapodjanak. A GDPR Article 28 olyan adatfeldolgozói feltételeket ír elő, amelyek kiterjednek a titoktartásra, a biztonsági intézkedésekre, a közreműködésre, az al-adatfeldolgozókra, az adatok törlésére vagy visszaadására és az audittámogatásra. A DORA Article 30 részletes szerződéses rendelkezéseket követel meg az IKT-harmadikfél szolgáltatókra, beleértve a szolgáltatásleírást, az adatok helyét, a biztonságot, az incidensnél nyújtott segítséget, a hatóságokkal való együttműködést, az auditálási jogokat, a hozzáférési jogokat, a megszüntetési és átállási rendelkezéseket. A NIS2 ellátási lánc biztonsága is kikényszeríthető beszállítói együttműködést igényel.

A Zenith Controls az ISO/IEC 27002:2022 5.20 kontrollját a beszállítói megállapodásokhoz képezi le, és jelzi a kapcsolatot az 5.19 beszállítói kapcsolatokkal, az 5.14 információátvitellel, az 5.22 beszállítói megfigyeléssel, az 5.11 eszközvisszaszolgáltatással és az 5.36 megfeleléssel.

A kulcs az operatív megvalósítás. Ha egy felhőszerződés hozzáférést biztosít SOC 2 jelentésekhez, az auditorok megkérdezhetik, hogy a szervezet beszerezte-e a jelentést, felülvizsgálta-e a kivételeket, nyomon követte-e a helyesbítő intézkedéseket és újraértékelte-e a kockázatot. Ha a szerződés incidensbejelentést ígér, megkérdezhetik, hogy az incidenskezelési forgatókönyv tartalmazza-e a beszállítói kapcsolattartási útvonalat és a szabályozási döntési pontokat. Ha az alvállalkozói változások jóváhagyást vagy értesítést igényelnek, megkérdezhetik, hogy az al-adatfeldolgozói értesítéseket elfogadás előtt felülvizsgálják-e.

A felülvizsgálati bizonyíték nélküli szerződés archívum. A beszállítói kockázathoz, megfigyelési nyilvántartásokhoz és incidensmunkafolyamatokhoz kapcsolt szerződés kontroll.

A SaaS-naplózás és -konfiguráció gyakori auditvakfolt

A felhővel kapcsolatos megállapítások gyakran SaaS-ból, nem IaaS-ból erednek. Az infrastruktúra-csapatoknak általában vannak mérnöki tulajdonosaik, naplózási folyamatláncaik, alapkonfigurációs kontrolljaik és változásnyilvántartásaik. A SaaS-platformok az értékesítés, HR, pénzügy, ügyfélsiker, marketing és üzemeltetés között széttagoltak. Mindegyik kezelhet érzékeny vagy szabályozott adatokat.

A Clarysec Naplózási és felügyeleti szabályzat-sme Naplózási és felügyeleti szabályzat-sme ezt közvetlenül kezeli az 5.5 pontban:

„5.5 Felhőszolgáltatások és harmadik felek naplózása 5.5.1 Azokra a platformokra, ahol a naplózás nincs közvetlen IT-kontroll alatt (pl. SaaS e-mail), az alábbi követelmények alkalmazandók: 5.5.1.1 A naplózást engedélyezni és konfigurálni kell, ahol elérhető 5.5.1.2 A riasztásokat az IT-támogatási szolgáltatóhoz kell irányítani 5.5.1.3 A szerződéseknek elő kell írniuk, hogy a szolgáltatók legalább 12 hónapig őrizzék meg a naplókat, és kérésre biztosítsanak hozzáférést”

Nagyvállalati környezetben a Felhőszolgáltatások használatára vonatkozó szabályzat hozzáteszi:

„A felhőszolgáltatásokat folyamatos felügyelet céljából integrálni kell a szervezet SIEM rendszerébe.”

Ez a követelmény a SaaS-t „üzleti eszközből” „felügyelt információs rendszerré” emeli. A bizonyítékoknak tartalmazniuk kell a naplózási beállítások exportjait, a SIEM-konnektor bizonyítékát, a riasztási szabályokat, az elsődleges besorolási jegyeket, a megőrzési beállításokat és az adminisztratív hozzáférés-felülvizsgálatokat.

Kritikus SaaS esetén készítsen bizonyítékot adminisztrátori fiók létrehozására, gyanús bejelentkezésekre, tömeges letöltésekre, nyilvános megosztásra, MFA letiltására, API-token létrehozására, külső vendégtevékenységre és jogosultságkiterjesztésre. IaaS esetén készítse elő a CloudTrail vagy azzal egyenértékű vezérlősík-naplózást, a tárolóhozzáférési naplókat, az IAM-módosításokat, ahol indokolt a forgalmi naplókat, a CSPM-megállapításokat, a sérülékenységvizsgálatokat, a javítási bizonyítékokat, a titkosítási beállításokat, a biztonsági mentési állapotot, a hálózati biztonsági csoportok felülvizsgálatait és a változtatási jegyeket.

A Zenith Controls 5.23 kontrollra vonatkozó auditmódszertana jelzi, hogy egy ISO/IEC 27007-stílusú audit vizsgálhatja az AWS S3 bucket jogosultságait, a titkosítást, az IAM-szabályokat és a CloudTrail-naplózást. Egy COBIT-orientált auditor áttekintheti a riasztási konfigurációkat, a DLP-kontrollokat, a Microsoft 365 Secure Score használatát és a változáskezelési naplókat. Egy NIST SP 800-53A szemléletű vizsgálat tesztelheti a fiókkezelést és a megfigyelést, ideértve azt is, hogy a felhőbeli munkaterheléseket ugyanolyan szigorral javítják, vizsgálják és felügyelik-e, mint a belső rendszereket.

A különböző auditorok különböző nyelvet beszélnek. A bizonyítéknak ugyanannak kell lennie.

Építsen hatósági felülvizsgálatra kész bizonyítékcsomagot egy SaaS- és egy IaaS-szolgáltatáshoz

A gyakorlati munkafolyamat egy kritikus SaaS-platformmal és egy kritikus IaaS-környezettel kezdődik. Például a Microsoft 365-tel az együttműködéshez és az AWS-sel az éles hosztoláshoz.

1. lépés: Frissítse a Felhőszolgáltatási Nyilvántartást

Microsoft 365 esetén rögzítse a célt, a tulajdonost, az adattípusokat, a régiót, az adminisztrátori fiókokat, a szerződést, a DPA-t, a támogatási kapcsolattartót, a megújítási dátumot és a kritikusságot. AWS esetén rögzítse az éles fiókot, a régiókat, az adatkategóriákat, a munkaterheléseket, a fióktulajdonost, a root fiók állapotát, a támogatási csomagot, a szerződéses feltételeket és a kapcsolódó üzleti szolgáltatásokat.

Használja a Felhőszolgáltatások használatára vonatkozó szabályzat-sme mezőit minimális adatkészletként. Egészítse ki kritikussággal, szabályozási relevanciával és bizonyítékhellyel.

2. lépés: Dokumentálja a megosztott felelősséget

Microsoft 365 esetén az ügyféloldali felelősségek közé tartozik a felhasználói életciklus, az MFA, a feltételes hozzáférés, a vendégmegosztás, a megőrzési címkék, a DLP ahol használják, a naplózás és az incidenseszkaláció. AWS esetén az ügyféloldali felelősségek közé tartozik az IAM, a hálózati szabályok, a munkaterhelések megerősítése, a titkosítási konfiguráció, a biztonsági mentés, a naplózás, a javítások telepítése és az alkalmazásbiztonság.

Csatolja a szolgáltató megosztott felelősségi dokumentációját, majd minden ügyféloldali felelősséget képezzen le kontrollgazdára és bizonyítékforrásra.

3. lépés: Rögzítse a konfigurációs bizonyítékot

Microsoft 365 esetén exportálja vagy képernyőképpel dokumentálja az MFA- és feltételes hozzáférési szabályokat, az adminisztrátori szerepköröket, a külső megosztási beállításokat, az auditnaplózást, a megőrzési konfigurációt és a security score intézkedéseket. AWS esetén exportálja az IAM-jelszószabályzatot, a kiemelt jogosultságú MFA állapotát, a CloudTrail-konfigurációt, az S3 nyilvános hozzáférés blokkolását, a titkosítási állapotot, a biztonsági csoportok felülvizsgálatát, a biztonsági mentési feladatokat és a sérülékenységvizsgálati állapotot.

A Felhőszolgáltatások használatára vonatkozó szabályzat előírja, hogy a felhőkörnyezetek feleljenek meg a felhőbiztonsági architekt által jóváhagyott dokumentált alapkonfigurációknak. A bizonyítékcsomagnak tartalmaznia kell mind az alapkonfigurációkat, mind az összhang igazolását.

4. lépés: Kapcsolja össze a beszállítói és adatvédelmi bizonyítékokat

Csatolja a szerződést, a DPA-t, az al-adatfeldolgozói listát, az incidensbejelentési feltételeket, az auditbizonyossági jelentéseket és az adatok helyére vonatkozó bizonyítékot. Ha személyes adatok kezelése történik, rögzítse, hogy a szolgáltató adatfeldolgozóként jár-e el, hogyan történik a törlés, hogyan működik az érintetti kérelmek támogatása, és mely adattovábbítási biztosítékok alkalmazandók.

DORA esetén azonosítsa, hogy a felhőszolgáltatás támogat-e kritikus vagy fontos funkciót. Ha igen, kapcsolja a bizonyítékot az IKT-harmadikfél nyilvántartáshoz, a kellő gondossági fájlhoz, az auditálási jogokhoz, a kilépési tervhez és a koncentrációs kockázat felülvizsgálatához.

5. lépés: Kapcsolja a naplózást az incidensreagáláshoz

Mutassa be, hogy a naplók engedélyezettek, irányítottak, felülvizsgáltak és használtak. Csatoljon SIEM-irányítópultokat, riasztási szabályokat és legalább egy lezárt riasztási jegyet. Ezután képezze le a munkafolyamatot a NIS2 és DORA jelentéstételi döntési pontjaira.

A NIS2 esetében az incidenskezelési folyamatnak támogatnia kell a jelentős incidensekre vonatkozó 24 órás korai figyelmeztetést, 72 órás incidensbejelentést és egy hónapon belüli zárójelentést. A DORA esetében az IKT-incidenskezelési folyamatnak az incidenseket az érintett ügyfelek, tranzakciók, időtartam, kiesési idő, földrajzi kiterjedés, adathatás, szolgáltatáskritikusság és gazdasági hatás alapján kell besorolnia.

6. lépés: Fegyelmezetten tárolja a bizonyítékokat

A Clarysec Audit- és megfelelésfelügyeleti szabályzat-sme Audit- és megfelelésfelügyeleti szabályzat-sme 6.2 pontja gyakorlati bizonyítékkezelési fegyelmet határoz meg:

„6.2 Bizonyítékgyűjtés és dokumentálás 6.2.1 Minden bizonyítékot központi auditmappában kell tárolni. 6.2.2 A fájlneveknek egyértelműen hivatkozniuk kell az audittémára és a dátumra. 6.2.3 A metaadatokat (pl. ki gyűjtötte, mikor és mely rendszerből) dokumentálni kell. 6.2.4 A bizonyítékokat legalább két évig, vagy tanúsítási vagy ügyfélmegállapodások által előírt hosszabb ideig meg kell őrizni.”

A nagyvállalati Audit- és megfelelésfelügyeleti szabályzat Audit- és megfelelésfelügyeleti szabályzat így határozza meg a célt:

„Igazolható bizonyítékok és auditnyom előállítása hatósági megkeresések, jogi eljárások vagy ügyfélbizonyossági igények támogatására.”

Egy „screenshot1.png” nevű képernyőkép gyenge bizonyíték. Az „AWS-Prod-CloudTrail-Enabled-2026-05-10-CollectedBy-JSmith.png” nevű fájl erősebb, mert leírja a rendszert, a kontrollt, a dátumot és a gyűjtőt. A metaadat számít, mert az auditoroknak bízniuk kell abban, mikor gyűjtötték a bizonyítékot, ki gyűjtötte és mely rendszerből.

Hogyan tesztelik az auditorok ugyanazt a felhőkontrollt

A legerősebb felhőbizonyíték-csomagokat több auditnézőpontra tervezik. Az ISO 27001:2022 auditorok azt tesztelik, hogy a kontroll szerepel-e az IBIR-ben, a kockázatértékelésben, a kockázatkezelésben és az SoA-ban. A NIST-orientált értékelők a műszaki megvalósítást tesztelik. A COBIT 2019 auditorok az irányítást, a beszállítói teljesítményt és a folyamati integrációt vizsgálják. Az adatvédelmi auditorok az adatfeldolgozói kötelezettségekre, az adattárolás földrajzi helyére, az incidensekre való felkészültségre és az érintetti jogokra fókuszálnak. A DORA felügyeleti felülvizsgálatok az IKT-harmadikfél kockázatra és a rezilienciára összpontosítanak.

A Zenith Controls tartalmazza ezeket az auditmódszertani különbségeket a felhőszolgáltatások, beszállítói megállapodások és beszállítói megfigyelés kapcsán. Az 5.22, a beszállítói szolgáltatások megfigyelése, felülvizsgálata és változáskezelése esetében kiemeli, hogy az auditorok vizsgálhatják a negyedéves beszállítói felülvizsgálati jegyzőkönyveket, KPI-jelentéseket, SOC-jelentésértékeléseket, változásnaplókat, kockázatértékeléseket, beszállítói incidenseket és probléma-nyomonkövetést. Az 5.20, az információbiztonság kezelése a beszállítói megállapodásokban esetében kiemeli a szerződésmintavételt a titoktartásra, biztonsági kötelezettségekre, incidensbejelentésre, auditálási jogokra, alvállalkozói jóváhagyásra és megszüntetési feltételekre.

A felhőaudit terhét hordozó keresztmegfelelőségi kontrollok

A hatósági felülvizsgálatra kész felhőbizonyíték-modell néhány nagy hatású kontroll köré épül. Ezek a kontrollok viselik a megfelelési teher jelentős részét ISO 27001:2022, NIS2, DORA, GDPR, NIST és COBIT 2019 szerint.

A NIST SP 800-53 Rev.5 műszaki mélységet ad a fiókkezelésen, külső rendszerszolgáltatásokon, folyamatos monitorozáson, rendszerfelügyeleten és határvédelmen keresztül. A COBIT 2019 irányítási mélységet ad a beszállítói kapcsolatok kezelése, a beszállítói kockázat, az adatcsere, a hálózatbiztonság és a változásra való felkészültség területén.

A támogató ISO szabványok pontosítják a bizonyítékmodellt. Az ISO/IEC 27017 felhőspecifikus útmutatást ad a megosztott szerepkörökről, a virtuális gépek konfigurációjáról és az ügyféltevékenységek megfigyeléséről. Az ISO/IEC 27018 a PII védelmére fókuszál nyilvános felhőben. Az ISO/IEC 27701 kiterjeszti az adatvédelmi kötelezettségeket az adatfeldolgozói és adatkezelői működésre. Az ISO/IEC 27036-4 támogatja a felhőbeszállítói megállapodásokat és megfigyelést. Az ISO/IEC 27005 a felhőkockázat-értékelést támogatja.

A vezetőségi átvizsgálásnak felhőkockázatot kell látnia, nem csak felhőüzemidőt

Az egyik leggyakrabban elhanyagolt audit-artefaktum a vezetőségi átvizsgálás. Az ISO 27001:2022 elvárja, hogy a vezetőségi átvizsgálás figyelembe vegye a változásokat, az érdekelt felek igényeit, a teljesítménytrendeket, az audit eredményeket, a kockázatkezelés állapotát és a fejlesztési lehetőségeket. A NIS2 előírja, hogy a vezető testületek hagyják jóvá a kiberbiztonsági kockázatkezelési intézkedéseket és felügyeljék azok végrehajtását. A DORA előírja, hogy a vezető testület határozza meg, hagyja jóvá, felügyelje és vállalja az elszámoltathatóságot az IKT-kockázatkezelésért.

Egy negyedéves felhőbiztonsági és beszállítói irányítópultnak az alábbiakat kell mutatnia:

• Jóváhagyott felhőszolgáltatások száma.
• Kritikus felhőszolgáltatások és tulajdonosaik.
• Személyes adatokat kezelő szolgáltatások.
• Kritikus vagy fontos funkciókat támogató szolgáltatások.
• Nyitott, magas kockázatú felhőbeli hibás konfigurációk.
• MFA és kiemelt jogosultságú hozzáférés-felülvizsgálat állapota.
• Naplózási lefedettség kritikus SaaS- és IaaS-platformokra.
• Beérkezett és felülvizsgált beszállítói bizonyossági jelentések.
• Szerződéses kivételek és elfogadott kockázatok.
• Felhőincidensek, majdnem bekövetkezett események és levont tanulságok.
• Biztonsági mentési és helyreállítási teszteredmények.
• Koncentrációs kockázat és kilépési terv állapota.

Ez az irányítópult bizonyítékká válik az ISO 27001:2022 vezetői szerepvállalására és teljesítményértékelésére, a NIS2 irányítására és a DORA vezetői elszámoltathatóságára.

A Zenith Blueprint a kockázatkezelési szakasz 14. lépésében javasolja a szabályozási követelmények kereszthivatkozását a kockázatkezelési intézkedések és szabályzatok bevezetésekor. Kimondja, hogy a fő szabályozási követelmények IBIR-kontrollokhoz való leképezése hasznos belső gyakorlat, és „az auditorokra/értékelőkre is jó benyomást tesz, mert azt mutatja, hogy a biztonságot nem légüres térben kezelik, hanem tisztában vannak a jogi kontextussal.”

Ezt az érettséget várják el a hatóságok és a nagyvállalati ügyfelek.

Gyakori felhőaudit-megállapítások és megelőzésük

A felhőalapú auditra való felkészültségi munkák során a visszatérő megállapítások előre jelezhetők:

1. A Felhőszolgáltatási Nyilvántartás létezik, de SaaS-eszközök hiányoznak belőle.
2. Az adatok helye nincs rögzítve, vagy szerződéses bizonyíték helyett marketingoldalakról másolták.
3. Az MFA a munkavállalókra kikényszerített, de nem minden adminisztratív vagy vészhelyzeti adminisztrátori fiókra.
4. A felhőnaplók engedélyezettek, de nem felülvizsgáltak, nem megőrzöttek vagy nincsenek az incidensreagáláshoz kapcsolva.
5. A beszállítói SOC-jelentéseket archiválják, de nem értékelik.
6. Az új beszállítókra vannak szerződéses záradékok, de az örökölt kritikus szolgáltatásokra nincsenek.
7. Az al-adatfeldolgozói értesítések e-mailben érkeznek, de nem történik kockázatértékelés.
8. A biztonsági mentési feladatok sikeresen futnak, de a helyreállítási tesztek nincsenek bizonyítva.
9. A megosztott felelősséget a mérnökök értik, de az auditorok számára nincs dokumentálva.
10. Az SoA alkalmazandónak jelöli a felhőkontrollokat, de nem kapcsolja őket kockázati bejegyzésekhez, bizonyítékokhoz vagy tulajdonosokhoz.

Ezek visszakövethetőségi problémák. A megoldás a szabályzat, a kockázat, a kontroll, a tulajdonos, a bizonyíték és a felülvizsgálat összekapcsolása.

Amikor Maria elérkezett az audit napjához, már nem szétszórt képernyőképekre támaszkodott. Megnyitott egy központi irányítópultot, amely megmutatta a Felhőszolgáltatási Nyilvántartást, a kockázatértékeléseket, az SoA-bejegyzéseket, az alapkonfigurációs bizonyítékokat, a beszállítói felülvizsgálati fájlokat, a naplózási bizonyítékot és a DORA koncentrációs kockázat felülvizsgálatát. Amikor az auditor megkérdezte, hogyan irányítják a felhőkockázatokat, az IBIR-t mutatta meg. Amikor az auditor a szolgáltatások biztonságos konfigurációjára kérdezett rá, az alapkonfigurációt és a CSPM-bizonyítékot mutatta be. Amikor az IKT-harmadikfél kockázatról kérdezték, a szerződés-felülvizsgálatot, a beszállítói megfigyelést és a kilépési tervezést mutatta meg.

Az eredmény nem tökéletes környezet volt. Egyetlen felhőkörnyezet sem tökéletes. A különbség az volt, hogy a kockázati döntések dokumentáltak voltak, a bizonyítékok igazolhatók, az elszámoltathatóság pedig látható volt.

Építse fel a felhőbizonyíték-csomagot, mielőtt az auditor kéri

Ha a szervezete SaaS-, IaaS- vagy PaaS-szolgáltatásokra támaszkodik, a következő auditon az „ezt a szolgáltató kezeli” válasz már nem lesz elegendő. Bizonyítania kell a megosztott felelősséget, az ügyféloldali konfigurációt, a beszállítói záradékokat, a naplózást, az incidenskezelési felkészültséget, a rezilienciát és a vezetői felügyeletet.

Ezen a héten kezdje három gyakorlati lépéssel:

1. Hozza létre vagy frissítse a Felhőszolgáltatási Nyilvántartást a Clarysec Felhőszolgáltatások használatára vonatkozó szabályzat Felhőszolgáltatások használatára vonatkozó szabályzat vagy Felhőszolgáltatások használatára vonatkozó szabályzat-sme Felhőszolgáltatások használatára vonatkozó szabályzat-sme alapján.
2. Képezze le az öt legfontosabb felhőszolgáltatást az ISO 27001:2022 Annex A kontrollokra, a NIS2 Article 21-re, adott esetben a DORA IKT-harmadikfél kötelezettségekre és a GDPR adatfeldolgozói követelményekre.
3. Építsen központi bizonyítékmappát az Audit- és megfelelésfelügyeleti szabályzat Audit- és megfelelésfelügyeleti szabályzat vagy az Audit- és megfelelésfelügyeleti szabályzat-sme Audit- és megfelelésfelügyeleti szabályzat-sme megőrzési és metaadat-kezelési fegyelme alapján.

Ezután használja a Zenith Blueprint Zenith Blueprint útmutatót, hogy a munkát elhelyezze a 30 lépéses IBIR-audit ütemtervben, és a Zenith Controls Zenith Controls útmutatót a keresztmegfelelőségi leképezések, a támogató ISO szabványok és az auditmódszertani elvárások ellenőrzésére.

A Clarysec segíthet abban, hogy a szétszórt felhőképernyőképekből, beszállítói fájlokból és SaaS-beállításokból olyan, hatósági felülvizsgálatra kész bizonyítékcsomag készüljön, amely megállja a helyét az ISO 27001:2022 tanúsítási auditokon, a NIS2 felügyeleti kérdéseinél, a DORA IKT-harmadikfél felülvizsgálatokon és a nagyvállalati ügyfélbizonyossági igényeknél.