Folyamatos megfelelőség-monitorozás NIS2- és DORA-követelményekhez
A péntek délutáni kérdés, amelyre ma már minden információbiztonsági vezetőnek válaszolnia kell
Pénteken 16:40-kor egy felhőalapú fizetési platform információbiztonsági vezetője tíz percen belül három üzenetet kap.
Az elsőt a pénzügyi vezető küldi: „Banki partnerünk friss bizonyítékot kér arra, hogy megfelelünk a DORA IKT-szolgáltató harmadik felek kockázatára és az incidensjelentésre vonatkozó elvárásainak.”
A második a jogi igazgatótól érkezik: „Menedzselt biztonsági szolgáltatásunk miatt a nemzeti NIS2-végrehajtási szabályok alapján hatály alá kerülhetünk. Tudjuk igazolni a vezetői felügyeletet és a kontrollhatékonyságot?”
A harmadik a mérnöki vezetőtől jön: „Telepítettük a kritikus sérülékenység javítását, de a feladatlistában 38 lejárt határidejű, közepes súlyosságú megállapítás látszik. Eszkalálnunk kell?”
Ez az a pillanat, amikor az éves megfelelési modell összeomlik.
Egy szabályzat-PDF, egy előző audit előtt utoljára frissített kockázati nyilvántartás és egy képernyőképeket tartalmazó mappa nem elegendő a NIS2 és a DORA követelményeihez. Ezek a rezsimek élő irányítást, vezetői felügyeletet, incidenskezelési munkafolyamatokat, beszállítói átláthatóságot, rezilienciatesztelést, helyesbítő intézkedéseket és igazolható kontrollhatékonyságot várnak el.
Sok információbiztonsági vezető számára a nyomás nem elméleti. A NIS2 átültetése az EU-tagállamokban a kiberbiztonságot műszaki programból vezetői elszámoltathatósági kérdéssé tette. A DORA 2025. január 17-től alkalmazandó, és a pénzügyi szervezetek számára ágazatspecifikus digitális működési reziliencia-szabályrendszert ad az IKT-kockázatra, az incidensjelentésre, a tesztelésre és az IKT-szolgáltató harmadik felek kockázatára. A felhő-, SaaS-, menedzselt szolgáltatási, menedzselt biztonsági, adatközpont-, tartalomkézbesítési, bizalmi szolgáltatási és nyilvános elektronikus hírközlési szolgáltatókra a hatálytól, mérettől, ágazattól, nemzeti besorolástól és ügyfélszerződésektől függően közvetlen vagy közvetett kötelezettségek is vonatkozhatnak.
A gyakorlati kérdés már nem az, hogy „vannak-e kontrolljaink?”
Hanem az, hogy „ki a kontrollgazda, melyik mutató igazolja, hogy a kontroll működik, milyen gyakran gyűjtünk bizonyítékot, és mi történik, ha a mutató nem teljesül?”
Ez a NIS2 és DORA szerinti folyamatos megfelelőség-monitorozás lényege. A Clarysec bevezetéseiben az ISO/IEC 27001:2022 szabványt használjuk az irányítási rendszer gerinceként, az ISO/IEC 27002:2022 szabványt kontrollnyelvként, a Zenith Blueprint: auditoroknak készült 30 lépéses ütemterv megoldást bevezetési sorrendként, a Zenith Controls: keresztmegfelelési útmutató megoldást pedig olyan keresztmegfelelési iránytűként, amely az ISO/IEC 27001:2022 szerinti bizonyítékokat összekapcsolja a NIS2, DORA, GDPR, NIST CSF 2.0, COBIT 2019 és audit elvárásokkal.
Miért teszi a NIS2 és a DORA elégtelenné az időszakos megfelelést
A NIS2 és a DORA jogi szerkezete, felügyeleti modellje és hatálya eltér, de ugyanazt az operatív nyomást teremti meg: a kiberbiztonságot és az IKT-rezilienciát folyamatosan kell irányítani.
A NIS2 előírja, hogy az alapvető és fontos szervezetek megfelelő és arányos műszaki, operatív és szervezeti intézkedéseket alkalmazzanak minden veszélyre kiterjedő megközelítéssel. Ezek az intézkedések magukban foglalják a kockázatelemzést, az információs rendszerek biztonsági szabályzatait, az incidenskezelést, az üzletmenet-folytonosságot, a válságkezelést, az ellátási lánc biztonságát, a biztonságos beszerzést és fejlesztést, a sérülékenységkezelést, az eredményesség értékelését, a kiberhigiéniát, a képzést, a kriptográfiát, a HR-biztonságot, a hozzáférés-szabályozást, az eszközkezelést és adott esetben a többtényezős hitelesítést. A vezető testületeknek jóvá kell hagyniuk a kiberbiztonsági kockázatkezelési intézkedéseket, felügyelniük kell azok végrehajtását, és képzésben kell részesülniük.
A DORA ezt a pénzügyi szervezetek esetében még egyértelműbbé teszi. Belső irányítási és kontrollrendszert ír elő az IKT-kockázatra, dokumentált IKT-kockázatkezelési keretrendszert, vezető testületi felelősséget, IKT-vonatkozású incidenskezelést és jelentéstételt, digitális működési rezilienciatesztelést, IKT-szolgáltató harmadik felek kockázatkezelését, audit utókövetést, képzést és kommunikációs rendet. A DORA azt is egyértelművé teszi, hogy a pénzügyi szervezetek akkor is felelősek maradnak a megfelelésért, ha harmadik fél IKT-szolgáltatókat vesznek igénybe.
Ez új megfelelési valóságot teremt. Egy információbiztonsági vezető nem várhat az audit hónapjáig, hogy akkor derüljön ki:
- az emelt jogosultságú hozzáférések felülvizsgálata két negyedéven át elmaradt;
- a beszállítói kilépési terveket dokumentálták, de soha nem tesztelték;
- az incidens-súlyossági kritériumok nem illeszkednek a szabályozói jelentési küszöbértékekhez;
- a biztonsági mentések konfigurálva vannak, de hiányzik a helyreállítási bizonyíték;
- a vezetés soha nem vizsgálta felül a lejárt határidejű kockázatkezelési feladatokat;
- a felhőszerződésekből hiányoznak az auditálási jogok, az alvállalkozói átláthatóság vagy az incidensbejelentési záradékok.
A régi projektalapú modell pánikciklusokat hoz létre. A csapatok audit előtt kapkodnak, képernyőképeket gyűjtenek, frissítik a szabályzatok dátumait, és remélik, hogy a bizonyítékok koherens történetet mondanak el. A NIS2 és a DORA éppen úgy készült, hogy ez a megközelítés megbukjon. Az elszámoltathatóságra, az arányosságra, a rezilienciára és a működés bizonyítékaira összpontosítanak.
Az ISO/IEC 27001:2022 ehhez a problémához működési rendszert ad. Pontjai előírják, hogy a szervezetek értsék meg a környezetet, az érdekelt feleket, a jogi és szerződéses követelményeket, a hatályt, a vezetői szerepvállalást, a szerepköröket, a kockázatértékelést, a kockázatkezelést, az alkalmazhatósági nyilatkozatot, a működéstervezést, a teljesítményértékelést, a belső auditot, a vezetőségi felülvizsgálatot, a meg nem felelések kezelését és a folyamatos fejlesztést. Ez a struktúra ideális arra, hogy a NIS2, DORA, GDPR, ügyféloldali bizonyossági követelmények és belső kockázatok egyetlen folyamatos monitorozási modellbe kerüljenek.
A folyamatos megfelelés nem több irányítópultot jelent. Irányított bizonyítékgyűjtési ütemezést jelent.
A megfelelési motor felépítése ISO/IEC 27001:2022 alapokon
Sok szervezet félreérti az ISO/IEC 27001:2022 szabványt, és kizárólag tanúsítási keretrendszerként tekint rá. A gyakorlatban ez kockázatkezelési rendszer, amely ismételhetővé, mérhetővé és auditálhatóvá teszi a biztonsági irányítást.
Ez azért fontos, mert a NIS2 és a DORA nem elszigetelt ellenőrzőlisták. Olyan működési modellre van szükségük, amely képes befogadni a jogi követelményeket, kontrollokká alakítani azokat, gazdát rendelni hozzájuk, nyomon követni a teljesítményt, és hiányosságok esetén fejlesztést indítani.
Az ISO/IEC 27001:2022 alapvető pontjai ezt a modellt adják:
| ISO/IEC 27001:2022 pont | A folyamatos megfelelés célja | NIS2 és DORA érték |
|---|---|---|
| 4.1 A szervezet és környezetének megértése | Meghatározza a kiberbiztonságot és a rezilienciát befolyásoló belső és külső tényezőket | Rögzíti a szabályozói kitettséget, az üzleti függőségeket, a fenyegetettségi környezetet és a működési kontextust |
| 4.2 Az érdekelt felek igényeinek és elvárásainak megértése | Azonosítja a szabályozókat, ügyfeleket, partnereket, beszállítókat és jogi kötelezettségeket | Beemeli a NIS2, DORA, GDPR, szerződések és felügyeleti elvárások követelményeit az IBIR-be |
| 4.3 Az IBIR alkalmazási területének meghatározása | Meghatározza a szolgáltatásokat, helyszíneket, technológiákat, beszállítókat és üzleti határokat | Megakadályozza, hogy szabályozott IKT-szolgáltatások és kritikus függőségek kimaradjanak a monitorozásból |
| 5.1 Vezetői szerepvállalás és elkötelezettség | Felső vezetői elszámoltathatóságot és az üzleti folyamatokba való integrációt követel meg | Támogatja a vezető testületi elszámoltathatóságot a NIS2 és DORA alatt |
| 5.3 Szervezeti szerepkörök, felelősségek és hatáskörök | Kijelöli az IBIR-felelősségeket és hatásköröket | Elszámoltatható kontrollgazdai felelősséget és eszkalációs útvonalakat hoz létre |
| 6.1.3 Információbiztonsági kockázatkezelés | Kontrollokat választ ki és létrehozza az alkalmazhatósági nyilatkozatot | A kötelezettségeket egységes kontrollkeretrendszerré alakítja |
| 9.1 Monitorozás, mérés, elemzés és értékelés | Előírja az IBIR teljesítményének és hatékonyságának monitorozását | Támogatja a KPI-, KRI- és bizonyítékgyűjtési ütemezés kialakítását |
| 9.2 Belső audit | Vizsgálja, hogy az IBIR megfelel-e és hatékonyan van-e bevezetve | Támogatja a független bizonyosságot és a szabályozói megfelelés igazolhatóságát |
| 9.3 Vezetőségi felülvizsgálat | A teljesítményre, kockázatra, auditra és fejlesztésre vonatkozó információkat a vezetés elé viszi | Támogatja az igazgatósági szintű felügyeletet és döntéshozatalt |
| 10.1 Folyamatos fejlesztés | Megköveteli az alkalmasság, megfelelőség és hatékonyság folyamatos javítását | A megállapításokat helyesbítő intézkedéssé és rezilienciafejlesztéssé alakítja |
Egy FinTech, SaaS-szolgáltató, menedzselt biztonsági szolgáltató vagy pénzügyi szervezetek IKT-beszállítója számára ez a struktúra megelőzi a párhuzamos megfelelési projekteket. Egyetlen IBIR egyszer leképezheti a kötelezettségeket a kontrollokra, majd a bizonyítékokat újra felhasználhatja NIS2, DORA, GDPR, NIST CSF 2.0, COBIT 2019, ISO/IEC 27001:2022 tanúsítás és ügyféloldali bizonyossági felülvizsgálatok során.
Kezdje kontrollgazdai felelősséggel, ne eszközökkel
A folyamatos megfelelés első hibamintája az eszközvezérelt bevezetés. Egy vállalat GRC-platformot vásárol, több száz követelményt importál, mindent a „Biztonság” csapathoz rendel, és ezt folyamatos monitorozásnak nevezi. Hat hónappal később az irányítópult piros, a mérnökség vitatja a sérülékenységi bizonyítékokat, a jogi terület szerint a beszállítói dokumentumok hiányosak, a vezetés pedig nem látja tisztán a maradványkockázatot.
Az ISO/IEC 27001:2022 ezt úgy előzi meg, hogy megköveteli a felelősségek és hatáskörök kijelölését és kommunikálását. A NIS2 és a DORA ugyanezt az elvárást erősíti meg a vezetői elszámoltathatóságon, a meghatározott szerepkörökön és a felügyeleten keresztül.
A Clarysec Irányítási szerepkörök és felelősségek szabályzata – KKV így rendelkezik:
Minden biztonsági felelősséggel rendelkező szerepkört központi nyilvántartásban kell rögzíteni, és írásban tudomásul kell vetetni.
Ez a pont fontosabb, mint a legtöbb irányítópult. Ha a biztonsági mentések tesztelésének, a sérülékenységek javításának, a beszállítói átvilágításnak, az incidensek besorolásának és az emelt jogosultságú hozzáférések felülvizsgálatának nincs név szerint kijelölt felelőse, akkor nincs megbízható bizonyítékgyűjtési ütemezés.
Az Információbiztonsági szabályzat ezt vállalati környezetekben operatívvá teszi:
Auditokhoz és kontrollfelülvizsgálatokhoz auditbizonyítékot kell gyűjteni és megőrizni.
A kontrollgazdáktól azt is megköveteli, hogy:
Jelentsék a kontrollteljesítményt, valamint az esetleges hiányosságokat vagy problémákat az IBIR-vezetőnek.
A Zenith Controls megoldásban ez a téma közvetlenül leképeződik az ISO/IEC 27002:2022 5.2 Információbiztonsági szerepkörök és felelősségek, 5.35 Az információbiztonság független felülvizsgálata, valamint 5.36 Megfelelés az információbiztonsági szabályzatoknak, szabályoknak és szabványoknak kontrollokra.
| A Zenith Controls által hivatkozott ISO/IEC 27002:2022 kontroll | Folyamatos megfelelési szerep | Miért fontos a NIS2 és a DORA szempontjából |
|---|---|---|
| 5.2 Információbiztonsági szerepkörök és felelősségek | Elszámoltatható gazdákat jelöl ki a kontrollokhoz, bizonyítékokhoz, KPI-khez, KRI-khez és eszkalációhoz | Támogatja a vezetői felügyeletet, a szerepköri egyértelműséget és az operatív elszámoltathatóságot |
| 5.35 Az információbiztonság független felülvizsgálata | Ellenőrzi, hogy a monitorozás objektív, teljes körű és hatékony-e | Támogatja a NIS2 szerinti hatékonyságértékelést és a DORA audit elvárásait |
| 5.36 Megfelelés az információbiztonsági szabályzatoknak, szabályoknak és szabványoknak | Ellenőrzi, hogy a szabályzatokat, szabványokat és kötelezettségeket betartják-e | A jogi és szerződéses kötelezettségeket mérhető megfelelőségi ellenőrzésekké alakítja |
A Zenith Blueprint gyakorlati kiindulópontot ad az IBIR-alapok és vezetői szerepvállalás fázisában, a 4. lépésben: szerepkörök és felelősségek az IBIR-ben. Formális kinevezést, munkaköri leírások frissítését, KPI-összehangolást, szervezetszintű kommunikációt és részlegszintű felelősségkijelölést javasol.
Egy tipikus kinevezési feljegyzés így szólhat:
„Azonnali hatállyal információbiztonsági felelőssé nevezzük ki, az IBIR felügyeletéért és koordinálásáért viselt felelősséggel, ideértve a kockázatkezelést, a kontrollok bevezetését és a megfelelés monitorozását.”
Ez a kinevezés nem bürokrácia. Auditbizonyíték az ISO/IEC 27001:2022 szerinti vezetői szerepvállalásra és szerepkör-hozzárendelésre. Támogatja továbbá a NIS2 szerinti vezetői felügyeletet és a DORA szerinti irányítást. A szabályozók, tanúsító auditorok és banki ügyfelek látni akarják, hogy a felelősség nem hallgatólagos. Kijelölt, tudomásul vett, erőforrásokkal támogatott és monitorozott.
Egy gyakorlati kontrollgazdai nyilvántartásnak az alábbi mezőket kell tartalmaznia:
| Mező | Példa | Auditérték |
|---|---|---|
| Kontrollterület | Incidenskezelés | Megmutatja a kontrolllefedettséget és a hatályt |
| Szabályozói hajtóerők | NIS2 Article 23, DORA Articles 17 to 19 | Összekapcsolja a bizonyítékot a kötelezettségekkel |
| ISO/IEC 27002:2022 hivatkozás | 5.24 to 5.30 | Az operatív kontrollt az IBIR-hez kapcsolja |
| Gazda | Biztonsági üzemeltetési vezető | Megteremti az elszámoltathatóságot |
| Helyettes gazda | SOC-vezető | Csökkenti a kulcsszemély-függőséget |
| KPI | A magas súlyosságú riasztások 95 százaléka SLA-n belül elsődlegesen kivizsgálva | Igazolja a teljesítményelvárást |
| KRI | Bármely 4 óránál régebbi, elsődleges kivizsgálás nélküli kritikus riasztás | Meghatározza a kockázati eszkalációt |
| Bizonyítékgyűjtési ütemezés | Heti irányítópult, havi felülvizsgálat, negyedéves teszt | Folyamatossá teszi a megfelelést |
| Bizonyíték helye | GRC bizonyítéktár | Lehetővé teszi az audit során történő visszakeresést |
| Eszkalációs útvonal | IBIR-vezető, kockázati bizottság, vezető testület | Összekapcsolja az üzemeltetést az irányítással |
Ez a nyilvántartás lesz a híd a szabályzat és a bizonyíték között.
Olyan KPI-k és KRI-k meghatározása, amelyek igazolják a kontrollhatékonyságot
Ha a gazdák megvannak, tudniuk kell, mit jelent a „jó” működés. A folyamatos megfelelőség-monitorozás értelmes mutatókra épül, nem általános szándékokra.
A „javítsuk a javításkezelést” nem KPI. A „vizsgáljuk felül rendszeresen a beszállítókat” nem bizonyíték. A „tartsuk fenn a rezilienciát” nem mérhető kontroll.
A Clarysec egyértelműen elkülöníti a két mutatótípust:
- A KPI, azaz kulcsfontosságú teljesítménymutató azt méri, hogy a folyamat az elvárások szerint működik-e.
- A KRI, azaz kulcsfontosságú kockázati mutató növekvő kockázatot vagy eszkalációt igénylő küszöbérték-túllépést jelez.
A vállalati Kockázatkezelési szabályzat így rendelkezik:
Kritikus kockázatokhoz KRI-ket (kulcsfontosságú kockázati mutatókat) és biztonsági mérőszámokat kell meghatározni, és azokat havonta monitorozni kell.
Eszkalációs logikát is előír:
Az eszkalációs kiváltó okokat be kell építeni a monitorozási logikába (például ha a maradványkockázat több mint egy szinttel nő, vagy a kockázatkezelési határidők elmaradnak).
Kisebb szervezetek számára a Clarysec Kockázatkezelési szabályzat – KKV arányos megközelítést alkalmaz:
A kockázatcsökkentés előrehaladását negyedévente felül kell vizsgálni.
Könnyített mérőszámokat is megenged:
Informális mutatók is nyomon követhetők (például nyitott kockázatok száma, lejárt határidejű intézkedések, új incidensek).
Ez az arányosság fontos. Egy multinacionális banknak és egy 60 fős FinTech beszállítónak nincs szüksége azonos telemetriára, de mindkettőnek szüksége van kijelölt gazdákra, ismételhető mérésre, eszkalációs küszöbértékekre és a helyesbítő intézkedések bizonyítékára.
Egy gyakorlati KPI- és KRI-modell NIS2 és DORA esetén így néz ki:
| Terület | Kontrollgazda | KPI | KRI vagy eszkalációs kiváltó ok | Bizonyítékgyűjtési ütemezés |
|---|---|---|---|---|
| Sérülékenységkezelés | Infrastruktúra- vagy DevOps-vezető | Kritikus sérülékenységek javítása jóváhagyott SLA-n belül | Bármely internet felől elérhető kritikus sérülékenység SLA-n kívül | Heti operatív felülvizsgálat, havi IBIR-jelentés |
| Incidenskezelés | SOC-vezető | Az incidensek 100 százaléka súlyosság és szolgáltatáshatás szerint besorolva | Potenciális NIS2 szerinti jelentős incidens vagy DORA szerinti jelentős IKT-vonatkozású incidens nincs eszkalálva a munkafolyamatban | Incidens alatt naponta, havi trendfelülvizsgálat |
| Beszállítói kockázat | Beszerzés és biztonság | A kritikus IKT-beszállítók 100 százaléka kockázatértékelve a beléptetés előtt | Kritikus beszállító aktuális kellő gondossági vizsgálat, auditálási jog, incidenszáradék vagy kilépési terv nélkül | Havi nyilvántartás-ellenőrzés, negyedéves beszállítói felülvizsgálat |
| Biztonsági mentés és helyreállítás | Informatikai üzemeltetés | Helyreállítási tesztek elvégezve kritikus szolgáltatásokra a meghatározott intervallumon belül | Sikertelen helyreállítási teszt kritikus vagy fontos funkcióra | Havi biztonsági mentési bizonyíték, negyedéves helyreállítási teszt |
| Hozzáférés-szabályozás | IAM-gazda | Emelt jogosultságú hozzáférések felülvizsgálva a cikluson belül | Gazdátlan adminisztrátori fiók vagy elmaradt emelt jogosultságú hozzáférés-felülvizsgálat | Heti kivételvizsgálat, havi tanúsítás |
| Biztonságtudatosság | HR vagy biztonságtudatossági felelős | Kötelező képzés elvégezve a meghatározott határidőn belül | Ismétlődő adathalászati szimulációs hiba a jóváhagyott küszöbérték felett | Havi képzési jelentés, negyedéves tudatossági felülvizsgálat |
| Megfelelőség-monitorozás | IBIR-vezető | Magas kockázatú bizonyítékelemek határidőre begyűjtve | Bizonyíték több mint 10 munkanappal lejárt | Havi megfelelőségi irányítópult, negyedéves vezetőségi felülvizsgálat |
Ezek a mutatók nemcsak az ISO/IEC 27001:2022 tanúsítást támogatják. Támogatják a NIS2 kiberbiztonsági kockázatkezelési intézkedéseit, a NIS2 incidensjelentési felkészültséget, a DORA IKT-kockázatkezelést, a DORA harmadikfél-kockázatkezelést, a GDPR szerinti elszámoltathatóságot, a NIST CSF 2.0 irányítási eredményeit és a COBIT jellegű teljesítménykezelést is.
Bizonyítékgyűjtési ütemezés kialakítása még az audit előtt
Sok szervezet esetlegesen gyűjt bizonyítékot. Egy képernyőkép megjelenik egy Teams-csatornában. Egy Jira-jegyet e-mailben hivatkoznak. Egy beszállítói kérdőív a beszerzésnél van tárolva. Egy biztonsági mentési tesztet szóban írnak le. Az audit hetében az IBIR-vezető forenzikus nyomozóvá válik.
A folyamatos megfelelés tervezett ütemezést és tiszta bizonyítékhigiéniát igényel.
A Clarysec Audit- és megfelelésfelügyeleti szabályzat – KKV így rendelkezik:
Minden auditnak meghatározott hatállyal, célkitűzésekkel, felelős személyekkel és előírt bizonyítékokkal kell rendelkeznie.
Azt is kimondja:
A bizonyítékokat legalább két évig, illetve tanúsítási vagy ügyfélmegállapodások alapján előírt esetben ennél hosszabb ideig kell megőrizni.
Vállalati szervezetek esetében az Audit- és megfelelésfelügyeleti szabályzat automatizálási elvárásokat is hozzáad:
Automatizált eszközöket kell bevezetni a konfigurációs megfelelés, a sérülékenységkezelés, a javításkezelési állapot és az emelt jogosultságú hozzáférés monitorozására.
Az automatizálást célzottan kell alkalmazni. A magas kockázatú és nagy gyakoriságú kontrollok nem függhetnek manuális képernyőképektől. A legjobb bizonyítékmodell automatizált telemetriát, gazdai tanúsításokat, kivételnaplókat, jegykezelési bejegyzéseket, teszteredményeket és vezetőségi felülvizsgálati jegyzőkönyveket kombinál.
| Ütemezés | Bizonyítéktípus | Példák | Felülvizsgálati közönség |
|---|---|---|---|
| Valós idejű vagy eseményvezérelt | Biztonsági üzemeltetési bizonyíték | SIEM-riasztások, incidensbesorolás, sérülékenységészlelés, jelentős incidens eszkalációja | SOC, incidensmenedzser, kontrollgazda |
| Heti | Operatív kontrollbizonyíték | Kritikus sérülékenységi állapot, emelt jogosultságú hozzáférési kivételek, biztonsági mentési feladathibák, konfigurációs sodródás | Kontrollgazdák, IBIR-vezető |
| Havi | KPI- és KRI-bizonyíték | Kockázati mutatók, lejárt határidejű intézkedések, javítási SLA-teljesítmény, beszállítói nyilvántartás változásai | IBIR-vezető, kockázatgazda |
| Negyedéves | Irányítási és bizonyossági bizonyíték | Kockázatkezelés előrehaladása, beszállítói felülvizsgálatok, hozzáférés-újraminősítés, rezilienciatesztelési eredmények | Kockázati bizottság, vezető testület |
| Éves vagy tervezett ciklus | Független felülvizsgálati bizonyíték | Belső audit, kontrolltesztelési terv, vezetőségi felülvizsgálat, szabályzatfelülvizsgálat | Felső vezetés, auditorok |
A névadási konvenció is fontos. A bizonyíték legyen rendkívüli erőfeszítés nélkül visszakereshető. Például:
- heti sérülékenységi jelentés:
YYYY-MM-DD_Vulnerability-SLA_ControlOwner - havi emelt jogosultságú hozzáférés-felülvizsgálat:
YYYY-MM_IAM-Privileged-Review_Attestation - negyedéves beszállítói felülvizsgálat:
YYYY-QX_Critical-Supplier-Review - incidenscsomag:
INC-YYYY-###_Timeline-Classification-RCA-CAPA
Itt válik a szabályzat operatív működéssé. A bizonyítékmegőrzés nem archiválási feladat. A kontroll része.
Egy bizonyítékelem leképezése több kötelezettségre
A folyamatos megfelelés akkor válik igazán erőssé, ha egy bizonyítékelem több keretrendszernek is megfelel. Ezért központi elem a Zenith Controls a Clarysec keresztmegfelelési megközelítésében.
Vegyük az incidenskezelést. A NIS2 alapján a jelentős incidensek szakaszos jelentéstételt igényelnek, beleértve a tudomásszerzéstől számított 24 órán belüli korai figyelmeztetést, a 72 órán belüli bejelentést és az egy hónapon belüli zárójelentést, a nemzeti végrehajtástól és az incidens tényeitől függően. A DORA előírja a pénzügyi szervezeteknek a jelentős IKT-vonatkozású incidensek kezelését, besorolását, eszkalálását és jelentését előírt folyamatok és sablonok alapján. A GDPR előírja az adatkezelőknek, hogy értékeljék és kezeljék a személyesadat-sértéseket, ha a személyes adatok bizalmassága, sértetlensége vagy rendelkezésre állása érintett.
Egyetlen incidensbizonyíték-csomag mindhármat támogathatja, ha tartalmazza:
- az incidens-idővonalat és a tudomásszerzés időpontját;
- a besorolási indoklást;
- az érintett szolgáltatásokat és joghatóságokat;
- az ügyfél-, tranzakció- vagy felhasználói hatást;
- a személyes adatokra gyakorolt hatás értékelését;
- a gyökérokot;
- a kockázatcsökkentő és helyreállítási intézkedéseket;
- a kommunikációt és bejelentéseket;
- a vezetői eszkaláció nyilvántartását;
- a helyesbítő intézkedés bejegyzését.
Ugyanez a keresztmegfelelési logika alkalmazható a beszállítói kockázatra. A NIS2 ellátási lánc biztonságot, valamint a közvetlen beszállítói és szolgáltatói kapcsolatok figyelembevételét írja elő. A DORA IKT-szolgáltató harmadik felekre vonatkozó kockázati stratégiát, nyilvántartásokat, szerződéskötés előtti kellő gondosságot, szerződéses záradékokat, auditálási jogokat, szolgáltatási szinteket, kilépési stratégiákat és koncentrációs kockázat nyomon követését követeli meg. A NIST CSF 2.0 az ellátási lánc kockázatát életciklus-alapú irányítási fegyelemként kezeli. Az ISO/IEC 27001:2022 ezeket a követelményeket a hatályhoz, az érdekelt felek követelményeihez, a kockázatkezeléshez és a külsőleg biztosított folyamatok operatív szabályozásához kapcsolja.
Egy gyakorlati bizonyítékmátrix segít a kontrollgazdáknak megérteni, miért fontos a bizonyíték:
| Bizonyítékelem | NIS2 érték | DORA érték | ISO/IEC 27001:2022 érték | GDPR érték |
|---|---|---|---|---|
| Incidensbesorolási nyilvántartás | Támogatja a jelentős incidens értékelését | Támogatja a jelentős IKT-vonatkozású incidens besorolását | Támogatja az incidenskontroll működését és monitorozását | Támogatja az adatsértési triage elszámoltathatóságát |
| Beszállítói nyilvántartás | Támogatja az ellátási lánc biztonságát | Támogatja az IKT-szolgáltató harmadik felek nyilvántartását | Támogatja a külsőleg biztosított folyamatok szabályozását | Támogatja az adatfeldolgozók és al-adatfeldolgozók felügyeletét |
| Sérülékenységi SLA-jelentés | Támogatja a kiberbiztonsági kockázatkezelési intézkedéseket | Támogatja az IKT-védelmet és -észlelést | Támogatja a kockázatkezelést és a sérülékenységkezelést | Támogatja a megfelelő biztonsági intézkedéseket |
| Helyreállítási tesztjelentés | Támogatja az üzletmenet-folytonossági és válságkezelési felkészültséget | Támogatja az operatív rezilienciát és helyreállítást | Támogatja a biztonsági mentési és folytonossági felkészültséget | Támogatja az adatkezelés rendelkezésre állását és rezilienciáját |
| Vezetőségi felülvizsgálati jegyzőkönyv | Támogatja a vezetői felügyeletet | Támogatja a vezető testületi felelősséget | Támogatja a vezetői szerepvállalást, a teljesítmény-felülvizsgálatot és a fejlesztést | Támogatja az elszámoltathatósági bizonyítékot |
Ez a megközelítés megelőzi a párhuzamos megfelelési munkát. A szervezet egy erős bizonyítékkészletet gyűjt, majd több kötelezettségre képezi le.
A Clarysec monitorozási modellje: kötelezettségtől gazdán át bizonyítékig
Egy robusztus monitorozási modell egyszerű sorrendet követ.
Először meg kell határozni a kötelezettséget. A DORA például előírja, hogy az IKT-szolgáltató harmadik felek kockázatát az IKT-kockázatkezelés részeként kell kezelni, nyilvántartásokkal, kellő gondossággal, szerződéses követelményekkel, auditálási jogokkal és kilépési stratégiákkal a kritikus vagy fontos funkciók esetében. A NIS2 ellátási lánc biztonságot és megfelelő helyesbítő intézkedést követel meg.
Másodszor a kötelezettséget ISO/IEC 27001:2022 szerinti IBIR-követelményekké kell alakítani. Ez magában foglalja az érdekelt felek követelményeit, a hatályt, a kockázatértékelést, a kockázatkezelést, az alkalmazhatósági nyilatkozatot, az operatív kontrollt, a monitorozást, a belső auditot, a vezetőségi felülvizsgálatot és a fejlesztést.
Harmadszor ki kell választani az operatív kontrollokat. A Zenith Controls szerint a folyamatos megfelelés alapvető irányítási kontrolljai közé tartoznak az ISO/IEC 27002:2022 5.2, 5.35 és 5.36 kontrolljai. A támogató kontrollok gyakran magukban foglalják az 5.19 Információbiztonság beszállítói kapcsolatokban, 5.21 Információbiztonság kezelése az IKT ellátási láncban, 5.22 Beszállítói szolgáltatások monitorozása, felülvizsgálata és változáskezelése, 5.23 Információbiztonság felhőszolgáltatások használatához, 5.24 Információbiztonsági incidenskezelés tervezése és előkészítése, 5.26 Reagálás információbiztonsági incidensekre, 5.30 IKT-felkészültség az üzletmenet-folytonosságra, 5.31 Jogi, törvényi, szabályozói és szerződéses követelmények, 8.8 Műszaki sérülékenységek kezelése, 8.13 Információmentés, 8.15 Naplózás, 8.16 Monitorozási tevékenységek és 8.9 Konfigurációkezelés kontrollokat.
Negyedszer ki kell jelölni a gazdát és az ütemezést. A beszállítói kockázat érintheti a beszerzést, a jogi területet, a biztonságot és az üzleti szolgáltatásgazdát, de egyetlen elszámoltatható gazdának kell fenntartania a nyilvántartást és jelentenie a kivételeket.
Ötödször meg kell határozni a KPI-ket, KRI-ket és bizonyítékokat. A beszállítói KPI-k közé tartozhat a kellő gondossági vizsgálaton átesett kritikus IKT-beszállítók aránya, a jóváhagyott szerződéses záradékokkal rendelkező beszállítók aránya, a tesztelt kilépési tervvel nem rendelkezők száma és a lejárt határidejű beszállítói felülvizsgálatok száma. A KRI-k közé tartozhatnak a megoldatlan magas kockázatú beszállítói megállapítások, a kockázattűrés feletti koncentrációs kockázat vagy a kritikus vagy fontos funkciót támogató szolgáltatás auditálási jogának hiánya.
Hatodszor jelenteni és eszkalálni kell. A havi IBIR-irányítópultoknak nem pusztán zöld állapotot kell mutatniuk. Azonosítaniuk kell a lejárt határidejű bizonyítékokat, a kockázatmozgást, az elmulasztott kockázatkezelési határidőket és a szükséges vezetői döntéseket.
Hetedszer auditálni és fejleszteni kell. A bizonyítékhiányosságokból helyesbítő intézkedések lesznek, nem kifogások.
Ez összhangban áll a Zenith Blueprint Audit, felülvizsgálat és fejlesztés fázisával. A 25. lépés, Belső audit program, azt javasolja, hogy az auditciklus során a releváns IBIR-folyamatok és kontrollok lefedésre kerüljenek, éves teljes hatókörű audittal és szükség szerint kisebb negyedéves szúrópróbaszerű ellenőrzésekkel a magas kockázatú területeken. A 28. lépés, Vezetőségi felülvizsgálat, olyan bemeneteket ír elő, mint a követelmények változásai, a monitorozási és mérési eredmények, audit eredmények, incidensek, meg nem felelések, fejlesztési lehetőségek és erőforrásigények. A 29. lépés, Folyamatos fejlesztés, a CAPA-naplót használja a probléma leírásának, gyökérokának, helyesbítő intézkedésének, felelős gazdájának, tervezett határidejének és státuszának rögzítésére.
Ez a folyamatos megfelelés a gyakorlatban.
Gyakorlati forgatókönyv: kritikus sérülékenység egy nyilvános API-n
02:15-kor SIEM-riasztás érkezik. Egy sérülékenységvizsgálat kritikus távoli kódfuttatási sérülékenységet azonosított egy szabályozott fizetési szolgáltatást támogató, nyilvánosan elérhető API-átjárón.
A folyamatos monitorozási modellnek értekezletre várás nélkül kell reagálnia.
Először az eszköznyilvántartás kritikusnak minősíti az átjárót. Elindul a sérülékenységkezelési KPI órája. Növekszik a nem javított kritikus sérülékenységekre vonatkozó KRI. Ha az eszköz internet felől elérhető és az exploit aktív, az eszkalációs küszöbérték azonnal aktiválódik.
Másodszor a jegy az ügyeletes DevOps-csapathoz kerül. A DevOps-vezető sérülékenységkezelési kontrollgazdaként automatikus értesítést kap. A SOC-vezető nyomon követi, hogy vannak-e kihasználásra utaló indikátorok. Az IBIR-vezető monitorozza, hogy teljesülnek-e az incidenskritériumok.
Harmadszor a bizonyíték a munkafolyamat melléktermékeként gyűlik össze. A SIEM-riasztás, a sérülékenységvizsgálat, az eszközbesorolás, a jegy időbélyegei, a reagálási chat, a javítási bejegyzés, az ellenőrző vizsgálat és a lezárási jóváhagyás bekerül a bizonyítékcsomagba.
Negyedszer a csapat értékeli, hogy az esemény pusztán sérülékenység, biztonsági esemény vagy incidens-e. Ha szolgáltatáshatás, kompromittálódásra utaló indikátorok, ügyfélhatás vagy személyes adatok kitettsége fennáll, az incidenskezelési munkafolyamat elindítja a NIS2, DORA, GDPR és szerződéses jelentéstételi értékeléseket.
Ötödször a vezetés tömör jelentést kap. Ha a sérülékenységet négy órán belül javították, a bizonyíték támogatja a kontrollhatékonyságot. Ha az SLA nem teljesült, a CAPA-napló rögzíti a gyökérokot, a helyesbítő intézkedést, a gazdát, a tervezett határidőt és a státuszt.
Ez az egyetlen esemény hasznos bizonyítékot hoz létre a sérülékenységkezeléshez, az incidenskezelési felkészültséghez, a monitorozáshoz, a kritikus eszközökhöz való hozzáféréshez, a vezetőségi felülvizsgálathoz és a folyamatos fejlesztéshez.
Hogyan tesztelik az auditorok és szabályozók ugyanazt a monitorozási modellt
Egy érett folyamatos megfelelési programnak különböző auditnézőpontokat is ki kell állnia. A bizonyíték nem változik, de a kérdések igen.
| Auditori nézőpont | Várható auditkérdés | Elvárt bizonyíték |
|---|---|---|
| ISO/IEC 27001:2022 auditor | Ki vannak jelölve a szerepkörök, kezelik a kockázatokat, működnek a kontrollok, és megőrzik a bizonyítékokat? | Hatály, érdekelt felek követelményei, kockázati nyilvántartás, alkalmazhatósági nyilatkozat, gazdai nyilvántartás, monitorozási eredmények, belső audit, vezetőségi felülvizsgálat, CAPA-napló |
| NIS2 szabályozó vagy értékelő | A vezetés jóváhagyta és felügyelte a megfelelő kiberbiztonsági kockázatkezelési intézkedéseket? | Vezetőségi jegyzőkönyvek, kockázatjóváhagyások, incidenskezelési munkafolyamat, beszállítói kontrollok, folytonossági bizonyítékok, képzési nyilvántartások, helyesbítő intézkedések |
| DORA illetékes hatóság vagy belső audit | Az IKT-kockázati keretrendszer összekapcsolja az irányítást, rezilienciát, tesztelést, incidensjelentést, harmadikfél-kockázatot és audit utókövetést? | IKT-kockázati keretrendszer, rezilienciastratégia, incidensbesorolási nyilvántartások, teszteredmények, beszállítói nyilvántartás, szerződéses bizonyítékok, auditjelentések |
| NIST CSF 2.0 értékelő | A szervezet rendelkezik irányítási eredményekkel, priorizált hiányosságokkal, mérhető teljesítménnyel és felülvizsgálati ciklusokkal? | Jelenlegi és célprofilok, kockázati intézkedési terv, irányítási mutatók, ellátási lánc felügyelete, operatív KPI-jelentések |
| COBIT 2019 vagy ISACA auditor | Az irányítási célkitűzések, irányítási gyakorlatok, folyamattulajdonosi felelősség, mutatók és bizonyossági tevékenységek meghatározottak és hatékonyak? | RACI, folyamatleírások, teljesítménymutatók, kivételjelentések, kontrolltesztelés, vezetői felügyeleti nyilvántartások |
Az ISO/IEC 27002:2022 5.35 Az információbiztonság független felülvizsgálata kontroll esetében egy ISO/IEC 27001:2022 auditor a belső audittervre, hatályra, kompetenciára, megállapításokra és helyesbítő intézkedésekre összpontosít. Egy NIS2 vagy DORA szabályozó arra figyel, hogy a vezetés megértette-e a megállapításokat, finanszírozta-e a javító intézkedéseket és csökkentette-e a rendszerszintű kockázatot. Egy NIST CSF 2.0 értékelő a felülvizsgálatot a GOVERN funkcióhoz térképezheti, ideértve a felügyeletet és a teljesítmény igazítását.
Ugyanaz a bizonyítékkészlet mindegyiküket kiszolgálja, ha teljes, aktuális és kapcsolódik a gazdai felelősséghez.
Gyakori hibák, amelyek gyengítik a folyamatos megfelelést
Az első hiba az, ha a NIS2-t és a DORA-t külön projektként kezelik. Ez párhuzamos nyilvántartásokat, egymásnak ellentmondó mutatókat és túlterhelt kontrollgazdákat eredményez. Használja az ISO/IEC 27001:2022 szabványt IBIR-gerincként, és a kötelezettségeket egyetlen kontrollkönyvtáron keresztül térképezze fel.
A második hiba az, ha a kontrollokat emberek helyett csapatokhoz rendelik. Az „IT felel a biztonsági mentésekért” nem elég. Név szerint kijelölt gazdának kell tanúsítania, kivételeket jelentenie és kockázatot eszkalálnia.
A harmadik hiba az, ha a bizonyítékokat a hatékonyság értékelése nélkül gyűjtik. Egy sikeres biztonsági mentésről készült képernyőkép nem bizonyítja a helyreállíthatóságot. Egy helyreállítási teszt igen. Egy beszállítói kérdőív nem bizonyítja a harmadik fél rezilienciáját. A szerződéses záradékok, auditálási jogok, incidensbejelentési feltételek, teljesítményjelentések és kilépési tervezés erősebb bizonyítékot adnak.
A negyedik hiba az, ha a tevékenységet mérik a kockázat helyett. A sérülékenységek számolása hasznos. Az internet felől elérhető rendszereken lévő lejárt határidejű kritikus sérülékenységek követése jobb. A beszállítók számolása hasznos. A kilépési tervvel nem rendelkező kritikus beszállítók követése jobb.
Az ötödik hiba a gyenge helyesbítő intézkedési fegyelem. A Zenith Blueprint 29. lépése egyértelmű: a megállapításokhoz probléma-leírásra, gyökérokra, helyesbítő intézkedésre, felelős gazdára, tervezett határidőre és státuszra van szükség. Ha a CAPA-naplót nem vizsgálják felül, a folyamatos megfelelés ismert gyengeségek folyamatos felhalmozásává válik.
Mit kell a vezetésnek havonta látnia
A NIS2 és DORA alá tartozó vezető testületeknek nincs szükségük nyers sérülékenységvizsgálati exportokra. Döntésképes képet kell kapniuk a kiber- és IKT-kockázatról.
Egy havi igazgatósági vagy vezetőségi irányítópultnak tartalmaznia kell:
- a legfontosabb kiber- és IKT-kockázatokat, a maradványkockázat változásával;
- a lejárt határidejű kockázatkezelési feladatokat és elmulasztott határidőket;
- a jelentős incidenseket, a jelentős IKT-vonatkozású incidensjelölteket és a levont tanulságokat;
- a kritikus beszállítói kockázati kivételeket;
- a kritikus eszközökre vonatkozó sérülékenységi SLA-teljesítményt;
- a biztonsági mentési és helyreállítási tesztek állapotát;
- az emelt jogosultságú hozzáférés-felülvizsgálati kivételeket;
- a megfelelési bizonyítékok teljesítési arányát;
- az auditmegállapításokat és a CAPA-státuszt;
- a szükséges erőforrás-döntéseket.
Ez közvetlenül támogatja az ISO/IEC 27001:2022 szerinti vezetőségi felülvizsgálatot, valamint a NIS2 és DORA irányítási elvárásait. Összhangban áll a NIST CSF 2.0 megközelítésével is, ahol a felsővezetők prioritásokat, elszámoltathatóságot, erőforrásokat és kockázatvállalási hajlandóságot határoznak meg, míg a vezetők ezeket a prioritásokat célprofilokká és intézkedési tervekké alakítják.
Építse ki a NIS2 és DORA szerinti bizonyítékritmust ezen a héten
A kezdéshez nem kell az egész óceánt felforralni. Egy hasznos első hét lehet egyszerű.
nap: hozzon létre kontrollgazdai nyilvántartást öt területre: irányítás és kockázatkezelés, incidenskezelés és jelentéstétel, sérülékenység- és javításkezelés, beszállítói és felhőkockázat, valamint üzletmenet-folytonosság és helyreállítás.
nap: határozzon meg minden területhez egy KPI-t és egy KRI-t. Legyenek konkrétak, mérhetők és kapcsolódjanak a kockázatvállalási hajlandósághoz.
nap: képezzen le minden bizonyítékelemet NIS2, DORA, ISO/IEC 27001:2022, GDPR és ügyféloldali bizonyossági értékre.
nap: határozza meg a bizonyítékgyűjtési ütemezést, a tárolási helyet, a névadási konvenciót, a megőrzési szabályt és a felülvizsgálót.
nap: futtasson le asztali eszkalációs gyakorlatot. Használjon felhőszolgáltatási kiesés vagy kritikus sérülékenység forgatókönyvet. Erősítse meg a besorolást, a szabályozói jelentéstételi értékelést, az ügyfélkommunikációt, a bizonyítéktárolást és a CAPA létrehozását.
Ha a szervezete még mindig táblázatokkal, éves workshopokkal és szétszórt bizonyítékmappákkal kezeli a NIS2-t és a DORA-t, itt az idő áttérni egy monitorozott működési ritmusra.
Kezdje három intézkedéssel:
- Építsen kontrollgazdai nyilvántartást a legmagasabb kockázatú területeihez.
- Határozzon meg kontrollonként egy KPI-t, egy KRI-t, egy bizonyítékelemet és egy ütemezést.
- Tartson 30 perces bizonyítékfelülvizsgálatot, és nyisson CAPA-tételeket minden hiányosságra.
A Clarysec segíthet felgyorsítani az átállást a Zenith Blueprint bevezetési sorrendjével, a Zenith Controls keresztmegfelelési leképezésével és a Clarysec szabályzatkönyvtárával, beleértve az Információbiztonsági szabályzatot, a Kockázatkezelési szabályzatot, az Audit- és megfelelésfelügyeleti szabályzatot, az Irányítási szerepkörök és felelősségek szabályzata – KKV, a Kockázatkezelési szabályzat – KKV és az Audit- és megfelelésfelügyeleti szabályzat – KKV dokumentumokat.
A cél nem több megfelelési papírmunka. A cél az, hogy a péntek délutáni kérdésre magabiztosan lehessen válaszolni:
„Igen, tudjuk, ki a kontrollgazda, ismerjük a KPI-t, rendelkezünk a bizonyítékkal, ismerjük a kivételeket, és a vezetés felülvizsgálta a kockázatot.”
Vegye fel a kapcsolatot a Clarysec-kel egy olyan folyamatos megfelelőség-monitorozási modell kialakításához, amely auditra kész, igazgatóság elé vihető, és elég reziliens a NIS2, a DORA és a következő szabályozás követelményeihez.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
