NIST CSF 2.0 Govern funkció KKV-k számára és ISO 27001
Sarah, egy gyorsan növekvő FinTech KKV frissen kinevezett információbiztonsági vezetője (CISO), keretrendszerekkel teleírt táblával és nem halasztható határidővel szembesült. NIST CSF 2.0. ISO 27001:2022. NIS2. DORA. GDPR. Beszállítói kockázat. Igazgatósági elszámoltathatóság. Nagyvállalati ügyfél-átvilágítás.
A kiváltó ok ismerős volt: egy táblázat egy jelentős pénzügyi szolgáltatási ügyféltől. A beszerzés bizonyítékot kért a kiberbiztonsági irányítási modellről, a kockázatvállalási hajlandóságról, a beszállítói biztonsági programról, a jogi és szabályozói kötelezettségek leképezéséről, az incidenseszkalációs folyamatról és az ISO 27001:2022-vel való összhangról.
A vezérigazgató nem megfelelőségi előadást akart. Egyszerű választ akart egy nehéz kérdésre: „Hogyan bizonyítjuk az igazgatóságnak, az ügyfeleinknek és a szabályozóinknak, hogy kézben tartjuk a kiberkockázatot?”
Sok KKV pontosan ezzel az irányítási problémával szembesül. Egy ügyfélkérdőív ritkán csak ügyfélkérdőív. Gyakran öt megfelelési beszélgetés sűrűsödik egyetlen kérésbe. A NIST CSF 2.0, az ISO/IEC 27001:2022, a GDPR, a NIS2, a DORA által meghatározott beszállítói elvárások, a felhőreziliencia, az igazgatósági felügyelet és a szerződéses vállalások mind ugyanabban a bizonyítékkérésben jelennek meg.
Sok KKV különálló dokumentumok létrehozásával reagál: egy NIST-táblázattal, egy ISO tanúsítási mappával, egy GDPR-követővel, egy beszállítói kockázati nyilvántartással és egy egymáshoz nem kapcsolódó incidensreagálási tervvel. Hat hónappal később senki sem tudja, melyik dokumentum a mérvadó.
A Clarysec megközelítése más. A NIST CSF 2.0 Govern funkciót felsővezetői irányítási rétegként kell használni, majd le kell képezni ISO 27001:2022 szabályzatokra, kockázatkezelésre, az alkalmazhatósági nyilatkozatra, beszállítói felügyeletre, vezetőségi átvizsgálásra és auditbizonyítékokra. Az eredmény nem több megfelelési munka, hanem egyetlen működési modell, amely ugyanazzal a bizonyítékkészlettel tud választ adni auditoroknak, ügyfeleknek, szabályozóknak és a vezetésnek.
Miért fontos a NIST CSF 2.0 Govern funkció a KKV-k számára
A NIST CSF 2.0 az irányítást önálló funkcióvá emeli az Identify, Protect, Detect, Respond és Recover funkciók mellett. Ez a változás azért fontos, mert a KKV-k biztonsági hibáinak többségét nem egy újabb eszköz hiánya okozza. A problémák oka jellemzően a tisztázatlan elszámoltathatóság, a gyenge kockázati döntéshozatal, a dokumentálatlan kivételek, a következetlen beszállítói felügyelet és azok a szabályzatok, amelyeket egyszer jóváhagytak, de soha nem ültettek át a működésbe.
A NIST CSF 2.0 Govern funkció a „milyen kontrolljaink vannak?” kérdésről arra helyezi át a hangsúlyt, hogy „ki elszámoltatható, milyen kötelezettségek vonatkoznak ránk, hogyan priorizáljuk a kockázatokat, és hogyan történik a teljesítmény felülvizsgálata?”
A KKV-k számára a Govern eredmények gyakorlati mandátumot adnak:
- A jogi, szabályozói, szerződéses, adatvédelmi, valamint magánszférára és alapjogokra vonatkozó kötelezettségek megértése és kezelése.
- A kockázatvállalási hajlandóság, a kockázattűrés, a kockázati pontozás, a priorizálás és a kockázati válaszlehetőségek kialakítása.
- A kiberbiztonsági szerepkörök, felelősségek, hatáskörök, eszkalációs útvonalak és erőforrások meghatározása.
- A kiberbiztonsági szabályzatok kialakítása, kommunikálása, betartatása, felülvizsgálata és frissítése.
- A kiberbiztonsági stratégia, teljesítmény és vezetői elszámoltathatóság felülvizsgálata.
- A beszállítói és harmadik félhez kapcsolódó kiberbiztonsági kockázatok irányítása az átvilágítástól a kiléptetésig.
Ezért olyan erős belépési pont a NIST CSF 2.0 Govern funkció az ISO 27001:2022-höz. A NIST biztosítja a vezetői irányítás nyelvét. Az ISO 27001:2022 biztosítja az auditálható irányítási rendszert.
Az ISO 27001:2022 4–10. pontjai előírják, hogy a szervezetek értsék a környezetüket, határozzák meg az érdekelt feleket, jelöljék ki az IBIR alkalmazási területét, mutassák be a vezetői szerepvállalást, tervezzék meg a kockázatértékelést és a kockázatkezelést, támogassák a dokumentált információk kezelését, működtessék a kontrollokat, értékeljék a teljesítményt, végezzenek belső auditokat és vezetőségi átvizsgálásokat, valamint folyamatosan fejlesszenek. Az A melléklet ehhez kontrollhivatkozási készletet ad, többek között szabályzatokkal, vezetői felelősségekkel, jogi kötelezettségekkel, adatvédelemmel, beszállítói kapcsolatokkal, felhőszolgáltatásokkal, incidenskezeléssel és az üzletmenet-folytonosság IKT-felkészültségével.
A Clarysec vállalati Információbiztonsági szabályzata Információbiztonsági szabályzat kimondja:
A szervezetnek formális irányítási modellt kell fenntartania az IBIR felügyeletére, az ISO/IEC 27001 5.1 és 9.3 pontjaival összhangban.
Ez a követelmény az Információbiztonsági szabályzat 5.1. pontjából származik, és gyakorlati hidat képez a NIST GV szerinti elszámoltathatóság és az ISO 27001:2022 vezetői elvárásai között. Az irányítás nem éves prezentáció. Olyan formális modell, amely összekapcsolja a döntéseket, szabályzatokat, szerepköröket, kockázatokat, kontrollokat, bizonyítékokat és felülvizsgálatot.
Az alapvető leképezés: NIST CSF 2.0 Govern az ISO 27001:2022 bizonyítékokra
A NIST CSF 2.0 gyakorlati hasznosításának leggyorsabb módja, ha a Govern eredményeket szabályzattulajdonosi felelősséggé és auditbizonyítékká alakítjuk. Az alábbi struktúrát használja a Clarysec azokkal a KKV-kkal, amelyek ISO 27001:2022 tanúsításra, nagyvállalati ügyfél-átvilágításra, NIS2-felkészültségre, DORA szerinti ügyfélbizonyosságra és GDPR szerinti elszámoltathatóságra készülnek.
| NIST CSF 2.0 Govern terület | KKV irányítási kérdés | ISO 27001:2022 összhang | Clarysec szabályzati támpont | Auditorok és ügyfelek által elvárt bizonyíték |
|---|---|---|---|---|
| GV.OC, szervezeti kontextus | Ismerjük a jogi, szabályozói, szerződéses, adatvédelmi és üzleti kötelezettségeinket? | 4.1–4.4. pont, A melléklet 5.31 és 5.34 | Jogi és szabályozói megfelelési szabályzat | Megfelelési nyilvántartás, IBIR alkalmazási területe, érdekelt felek nyilvántartása, ügyfélkötelezettség-térkép, adatvédelmi nyilvántartás |
| GV.RM, kockázatkezelési stratégia | Hogyan határozzuk meg, pontozzuk, priorizáljuk, fogadjuk el és kezeljük a kiberkockázatokat? | 6.1.1–6.1.3., 8.2 és 8.3. pont | Kockázatkezelési szabályzat | Kockázati módszertan, kockázati nyilvántartás, kockázatkezelési terv, kockázatgazdai jóváhagyások, SoA-leképezés |
| GV.RR, szerepkörök és felelősségek | Ki felel a kiberbiztonsági döntésekért, kivételekért, erőforrásokért és jelentéstételért? | 5.1–5.3. pont, A melléklet 5.2 és 5.4 | Irányítási szerepkörök és felelősségek szabályzata – KKV | RACI, szerepkörleírások, értekezleti jegyzőkönyvek, kivétel-jóváhagyások, képzési nyilvántartások |
| GV.PO, szabályzat | Jóváhagyták, kommunikálták, betartatták, felülvizsgálták és frissítették a szabályzatokat? | 5.2, 7.5 és 9.3. pont, A melléklet 5.1 | Információbiztonsági szabályzat | Szabályzatnyilvántartás, jóváhagyási bejegyzések, verzióelőzmények, munkavállalói tudomásulvételek, szabályzat-felülvizsgálati jegyzőkönyvek |
| GV.OV, felügyelet | Felülvizsgálják és szükség szerint módosítják a kiberbiztonsági stratégiát és teljesítményt? | 9.1, 9.2, 9.3, 10.1 és 10.2. pont | Audit- és megfelelésfelügyeleti szabályzat | KPI-irányítópult, belső auditterv, vezetőségi átvizsgálási kimenetek, helyesbítő intézkedések |
| GV.SC, ellátási lánc kockázata | Ismertek, priorizáltak, értékeltek, szerződésben szabályozottak, felügyeltek és kiléptetettek a beszállítók? | A melléklet 5.19–5.23 és 5.30 | Harmadik fél és beszállítói biztonsági szabályzat – KKV | Beszállítói nyilvántartás, átvilágítási nyilvántartások, szerződéses záradékok, felülvizsgálati naplók, kilépési tervek, incidenskapcsolatok |
Ez a leképezés szándékosan bizonyítékközpontú. Nem azt kéri a KKV-tól, hogy 40 dokumentumot hozzon létre. Öt működési kérdést tesz fel:
- Milyen döntés születik?
- Ki a felelőse?
- Melyik szabályzat irányítja?
- Melyik ISO 27001:2022 pont vagy A melléklet szerinti kontroll támogatja?
- Milyen bizonyíték igazolja, hogy megtörtént?
Az Irányítási szerepkörök és felelősségek szabályzata – KKV Irányítási szerepkörök és felelősségek szabályzata – KKV ezt a visszakövethetőséget egyértelművé teszi:
Minden jelentős biztonsági döntést, kivételt és eszkalációt rögzíteni kell, és visszakövethetővé kell tenni.
Ez az idézet az Irányítási szerepkörök és felelősségek szabályzata – KKV 5.5. pontjából származik. A NIST GV.RR-t irányítási alapelvből auditálható működési szabállyá alakítja.
CSF Govern profillal kezdjen, ne kontrolltáblázattal
A NIST CSF 2.0 szervezeti profilok segítenek a szervezeteknek leírni a jelenlegi és célként kitűzött kiberbiztonsági eredményeket. KKV-k esetében a profil az a pont, ahol az irányítás kezelhetővé válik.
Egy gyakorlati Govern profil workshopnak öt kérdésre kell választ adnia:
- Mi tartozik a hatályba: az egész vállalat, egy SaaS-platform, egy szabályozott termék vagy egy ügyfélkörnyezet?
- Mely kötelezettségek határozzák meg a profilt: ügyfélszerződések, GDPR, NIS2-kitettség, DORA által vezérelt ügyfélelvárások, ISO 27001:2022 tanúsítás vagy befektetői átvilágítás?
- Mit bizonyítanak a jelenlegi bizonyítékok, nem pedig mit gondolnak az érintettek létezőnek?
- Milyen célállapot reális a következő 90 napban és a következő 12 hónapban?
- Mely kockázatoknak, szabályzatoknak, beszállítóknak és SoA-bejegyzéseknek kell változniuk?
A Zenith Blueprint: Egy auditor 30 lépéses ütemterve Zenith Blueprint ezt az IBIR Foundation & Leadership szakasz 6. lépésében, a „Dokumentált információk és az IBIR-könyvtár kialakítása” részben támogatja. Javasolja a SoA korai elkészítését és kontrollkönyvtárként való használatát:
✓ További kontrollok: Vannak-e olyan kontrollok az A mellékleten kívül, amelyeket be kíván vonni? Az ISO 27001 lehetővé teszi más kontrollok hozzáadását a SoA-hoz. Például előfordulhat, hogy be kívánja vonni a NIST CSF-nek való megfelelést vagy az ISO 27701 egyes adatvédelmi kontrolljait. Az A melléklet általában átfogó, de nyugodtan egészítsen ki bármilyen egyedi kontrollt, amelyet tervez
✓ Táblázat használata (SoA Builder): Gyakorlati megközelítés, ha már most elkészíti a SoA- táblázatot. Elkészítettünk egy SoA_Builder.xlsx sablont, amely felsorolja az összes A melléklet szerinti kontrollt az alkalmazhatóságra, a bevezetési állapotra és a megjegyzésekre vonatkozó oszlopokkal.
Ez a KKV-k számára fontos. Nem kell a NIST CSF 2.0-t úgy beleszorítani az ISO A mellékletébe, mintha a kettő azonos lenne. A CSF Govern eredményeket további irányítási követelményként felveheti a SoA-könyvtárba, leképezheti őket ISO 27001:2022 pontokra és A melléklet szerinti kontrollokra, és felhasználhatja őket a vezetőségi átvizsgálás, a beszállítói irányítás, a kockázati jelentéstétel és a megfelelés nyomon követésének javítására.
Govern bizonyítéknyilvántartás kialakítása
A Govern bizonyítéknyilvántartás az a gyakorlati eszköz, amely a keretrendszereket bizonyítékká alakítja. Minden NIST-eredményt össze kell kapcsolnia egy ISO-hivatkozással, szabályzatgazdával, bizonyítékelemmel, felülvizsgálati gyakorisággal, hiányossággal és intézkedéssel.
| Mező | Példabejegyzés |
|---|---|
| CSF-eredmény | GV.OC-03 |
| Irányítási kérdés | Értjük és kezeljük a jogi, szabályozói, szerződéses, adatvédelmi, valamint magánszférára és alapjogokra vonatkozó kötelezettségeket? |
| ISO 27001:2022 hivatkozás | 4.2, 4.3 és 6.1.3. pont, A melléklet 5.31 és 5.34 |
| Clarysec szabályzat | Jogi és szabályozói megfelelési szabályzat |
| Bizonyíték felelőse | Megfelelőségi vezető |
| Bizonyíték | Megfelelési nyilvántartás v1.4, ügyfélkötelezettség-térkép, GDPR adatkezelési nyilvántartás |
| Felülvizsgálati gyakoriság | Negyedévente, valamint új piac, ügyfél- vagy termékváltozás esetén |
| Hiányosság | A DORA szerinti ügyfél által továbbhárított záradékok nincsenek leképezve a beszállítói szerződésekre |
| Intézkedés | Beszállítói szerződéssablon és SoA-megjegyzések frissítése |
| Határidő | 30 nap |
A Clarysec vállalati Jogi és szabályozói megfelelési szabályzata Jogi és szabályozói megfelelési szabályzat megadja az irányadó követelményt:
Minden jogi és szabályozói kötelezettséget konkrét szabályzatokhoz, kontrollokhoz és felelősökhöz kell rendelni az információbiztonság-irányítási rendszeren (IBIR) belül.
Ez a Jogi és szabályozói megfelelési szabályzat 6.2.1. pontja. KKV-k esetében a Jogi és szabályozói megfelelési szabályzat – KKV Jogi és szabályozói megfelelési szabályzat – KKV gyakorlati keresztleképezési követelményt ad hozzá:
Ha egy jogszabály több területre is vonatkozik (pl. a GDPR a megőrzésre, a biztonságra és az adatvédelemre), ezt egyértelműen le kell képezni a megfelelési nyilvántartásban és a képzési anyagokban.
Ez az idézet a Jogi és szabályozói megfelelési szabályzat – KKV 5.2.2. pontjából származik. Ezek a pontok együtt a GV.OC-03-at kezelt, felülvizsgálható, auditkész folyamattá alakítják.
A kockázati pontozás összekapcsolása a kockázatkezeléssel és a SoA-val
A NIST GV.RM kockázati célokat, kockázatvállalási hajlandóságot, kockázattűrést, szabványosított kockázatszámítást, válaszlehetőségeket és kommunikációs útvonalakat követel meg. Az ISO 27001:2022 ezt kockázatértékelésen, kockázatkezelésen, kockázatgazdai jóváhagyáson, maradványkockázat-elfogadáson és az alkalmazhatósági nyilatkozaton keresztül teszi működőképessé.
A Kockázatkezelési szabályzat – KKV Kockázatkezelési szabályzat – KKV szándékosan konkrét:
Minden kockázati bejegyzésnek tartalmaznia kell: a leírást, a bekövetkezési valószínűséget, a hatást, a pontszámot, a felelőst és a kezelési tervet.
Ez a Kockázatkezelési szabályzat – KKV 5.1.2. pontjából származik. A vállalati Kockázatkezelési szabályzat Kockázatkezelési szabályzat megerősíti a SoA-kapcsolatot:
Az alkalmazhatósági nyilatkozatnak (SoA) tükröznie kell minden kezelési döntést, és frissíteni kell, amikor a kontrolllefedettség módosul.
Ez a Kockázatkezelési szabályzat 5.4. pontja.
Vegyünk egy valós KKV-kockázatot: jogosulatlan hozzáférés éles ügyféladatokhoz a felhőadminisztrációs fiókokban következetlenül betartatott MFA miatt.
Egy erős Govern-leképezés tartalmazná:
- A NIST GV.RM-et a szabványosított kockázati dokumentációhoz és priorizáláshoz.
- A NIST GV.RR-t a szerepkör-tulajdonosi felelősséghez és a hozzáférés-szabályozás betartatásához szükséges hatáskörhöz.
- A NIST GV.PO-t a szabályzat betartatásához és felülvizsgálatához.
- Az ISO 27001:2022 6.1.2, 6.1.3, 8.2 és 8.3. pontját.
- Az A melléklet szerinti kontrollokat a hozzáférés-szabályozás, identitáskezelés, hitelesítési információk, naplózás, felügyelet, konfiguráció és felhőszolgáltatások területén.
- Bizonyítékokat, például kockázati nyilvántartási bejegyzést, MFA-konfiguráció exportját, kivétel-jóváhagyást, felhő IAM-felülvizsgálatot, vezetőségi átvizsgálási döntést és frissített SoA-megjegyzést.
A Zenith Blueprint kockázatkezelési szakaszának 13. lépése, a „Kockázatkezelési tervezés és alkalmazhatósági nyilatkozat” így magyarázza az összefüggést:
✓ Biztosítsa az összhangot a kockázati nyilvántartással: minden kockázatcsökkentő kontrollnak, amelyet a kockázatkezelési tervbe írt, meg kell felelnie egy „Alkalmazható” jelölésű A melléklet szerinti kontrollnak. Fordítva is igaz: ha egy kontroll alkalmazhatóként van megjelölve, akkor lennie kell egy kockázatnak vagy követelménynek, amely indokolja.
Ez a különbség aközött, hogy „használunk MFA-t”, illetve aközött, hogy „irányított, kockázatalapú, ISO 27001:2022-vel összhangban álló indokunk van az MFA-ra, bizonyítékkal, felelőssel és felülvizsgálati gyakorisággal.”
Beszállítói kockázat irányítása túlméretezett program nélkül
A NIST GV.SC a Govern funkció egyik leghasznosabb része a KKV-k számára, mert a modern KKV-k erősen támaszkodnak beszállítókra: felhőszolgáltatókra, fizetési feldolgozókra, HR-platformokra, helpdesk-rendszerekre, kódtárakra, CI/CD eszközökre, monitorozási eszközökre és menedzselt biztonsági szolgáltatásokra.
Az ISO 27001:2022 A melléklete ezt beszállítói és felhőkontrollokkal támogatja, ideértve az 5.19 Információbiztonság a beszállítói kapcsolatokban, az 5.20 Információbiztonság kezelése a beszállítói megállapodásokban, az 5.21 Információbiztonság kezelése az IKT ellátási láncban, az 5.22 Beszállítói szolgáltatások monitorozása, felülvizsgálata és változáskezelése, az 5.23 Információbiztonság felhőszolgáltatások használata esetén, valamint az 5.30 IKT-felkészültség az üzletmenet-folytonossághoz kontrollokat.
A Harmadik fél és beszállítói biztonsági szabályzat – KKV Harmadik fél és beszállítói biztonsági szabályzat – KKV egyértelművé teszi a bizonyítékkövetelményt:
Ezeket a felülvizsgálatokat dokumentálni kell, és a beszállító nyilvántartásával együtt meg kell őrizni. Az utókövetési intézkedéseket egyértelműen nyomon kell követni.
Ez a Harmadik fél és beszállítói biztonsági szabályzat – KKV 6.3.2. pontja.
Egy karcsú KKV beszállítói modell három szintet használhat:
| Beszállítói szint | Kritériumok | Minimális bizonyíték | Felülvizsgálati gyakoriság |
|---|---|---|---|
| Kritikus | Támogatja az éles működést, az ügyféladatokat, a hitelesítést, a biztonsági megfigyelést, a fizetési folyamatot vagy a szabályozott szolgáltatásnyújtást | Átvilágítási kérdőív, szerződéses biztonsági záradékok, SLA, incidenskapcsolat, kilépési terv, kockázati felülvizsgálat | Évente és lényeges változás esetén |
| Fontos | Támogatja a szervezet működését vagy a belső érzékeny információkat, de nem közvetlenül a kritikus szolgáltatásnyújtást | Biztonsági összefoglaló, adatfeldolgozási feltételek, hozzáférési felülvizsgálat, hiányosság esetén kockázatelfogadás | 18 havonta |
| Standard | Alacsony kockázatú eszközök érzékeny adatok vagy kritikus függőség nélkül | Üzleti felelős jóváhagyása, alapvető adat- és hozzáférés-ellenőrzés | Beléptetéskor és megújításkor |
Ez az egyszerű modell támogatja a NIST GV.SC-t, az ISO 27001:2022 beszállítói kontrolljait, az ügyfél-átvilágítást és a pénzügyi ügyfelek DORA által vezérelt szerződéses elvárásait.
A beszállítók kiléptetése külön figyelmet érdemel. A NIST GV.SC a teljes beszállítói életciklusra kiterjedő irányítást vár el, beleértve a kapcsolat lezárását is. A bizonyítékoknak tartalmazniuk kell az adatok visszaadását vagy törlését, a hozzáférések eltávolítását, a szolgáltatás-átmeneti tervezést, a megőrzött szerződéses nyilvántartásokat és a maradványkockázat felülvizsgálatát.
A Zenith Controls használata több keretrendszer szerinti megfeleléshez, nem külön kontrollkészletként
A Clarysec Zenith Controls: több keretrendszer szerinti megfelelési útmutatója Zenith Controls az ISO/IEC 27002:2022 kontrolltémák több keretrendszerre és auditnézőpontra történő leképezését támogatja. Ezek nem különálló „Zenith kontrollok”. Ezek ISO/IEC 27002:2022 kontrollok, amelyeket a Zenith Controls több keretrendszer szerinti megfelelési felhasználásra elemez.
A NIST CSF 2.0 Govern esetében három ISO/IEC 27002:2022 kontrollterület különösen fontos:
| ISO/IEC 27002:2022 kontrollterület a Zenith Controls-ban | NIST CSF 2.0 Govern kapcsolat | Gyakorlati KKV-értelmezés |
|---|---|---|
| 5.1 Információbiztonsági szabályzatok | GV.PO | A szabályzatokat jóvá kell hagyni, kommunikálni kell, be kell tartatni, felül kell vizsgálni és frissíteni kell, amikor a fenyegetések, a technológia, a jogszabályok vagy az üzleti célok változnak |
| 5.4 Vezetői felelősségek | GV.RR és GV.OV | A biztonsági felelősségeket vezetői és operatív szinten is ki kell jelölni, erőforrásokkal, jelentéstétellel és felülvizsgálattal együtt |
| 5.31 Jogi, jogszabályi, szabályozói és szerződéses követelmények | GV.OC-03 | A kötelezettségeket azonosítani kell, kontrollokhoz és felelősökhöz kell rendelni, változásukat nyomon kell követni, és bizonyítékkal kell alátámasztani |
A Zenith Blueprint „Kontrollok működésben” szakaszának 22. lépése, a „Szervezeti kontrollok” megadja a működési modellt:
Az információbiztonsági irányítás formalizálása
Gondoskodjon arról, hogy az információbiztonsági szabályzatok (5.1) véglegesítettek, jóváhagyottak és verziókezeltek legyenek. Jelöljön ki név szerinti felelősöket minden szabályzati területre (pl. hozzáférés, titkosítás, biztonsági mentés), és dokumentálja a szerepköröket és felelősségeket az IBIR-en belül (5.2). Tekintse át a feladatkörök szétválasztását (5.3) magas kockázatú területeken, például a pénzügyben, a rendszergazdai tevékenységekben és a változáskezelésben. Készítsen egyszerű irányítási térképet arról, hogy ki hagy jóvá, ki hajt végre, és ki felügyeli a biztonsági szabályzatot.
Ez az irányítási térkép az egyik legnagyobb értékű dokumentum, amelyet egy KKV létrehozhat. Választ ad a NIST GV.RR-re, az ISO 27001:2022 vezetői követelményeire, a NIS2 vezetői elszámoltathatósági elvárásaira és az ügyfelek azon kérdéseire, hogy ki felel a kiberkockázatért.
Egy irányítási modell NIS2, DORA, GDPR, NIST és ISO célokra
A Govern funkció akkor válik igazán értékessé, amikor egy KKV egymást átfedő követelményekkel szembesül.
A NIS2 előírja, hogy a hatálya alá tartozó alapvető és fontos szervezetek megfelelő és arányos kiberbiztonsági kockázatkezelési intézkedéseket alkalmazzanak. A vezető testületekre felelősséget telepít a kiberbiztonsági kockázatkezelési intézkedések jóváhagyásáért, a végrehajtás felügyeletéért és a képzésen való részvételért is. A NIST GV.RR támogatja a vezetői elszámoltathatóságot. A GV.RM támogatja a kockázatalapú intézkedéseket. A GV.SC támogatja az ellátási lánc biztonságát. A GV.PO támogatja a szabályzatokat. A GV.OV támogatja a teljesítmény-felülvizsgálatot.
A NIS2 incidensirányítása szakaszos jelentéstételi elvárásokat is bevezet, ideértve a 24 órán belüli korai figyelmeztetést, a 72 órán belüli incidensbejelentést és a jelentős incidensekről szóló, egy hónapon belüli zárójelentést. Ezeknek a határidőknek meg kell jelenniük az incidensreagálási eljárásokban, az eszkalációs útvonalakban, a kommunikációs tervekben és a vezetői jelentéstételben.
A DORA 2025. január 17-től alkalmazandó az EU pénzügyi szervezeteire, de sok KKV ügyfélszerződéseken keresztül érzi a hatását. A pénzügyi ügyfelek DORA-követelményeket háríthatnak tovább IKT-szolgáltatókra, szoftverszállítókra, menedzselt szolgáltatókra és felhőfüggő beszállítókra. A DORA az IKT-kockázatkezelésre, a vezető testület felelősségére, az incidensjelentésre, a rezilienciatesztelésre, a harmadik félhez kapcsolódó IKT-kockázatra, a szerződéses követelményekre és a felügyeletre fókuszál.
A GDPR elszámoltathatóságot ír elő a személyes adatok kezeléséhez. A KKV-knak érteniük kell, hogy adatkezelők, adatfeldolgozók vagy mindkettők-e, milyen személyes adatokat kezelnek, mely rendszerek és beszállítók érintettek, milyen jogalapok alkalmazandók, és mely incidensforgatókönyvek válhatnak személyesadat-sértéssé.
A Zenith Blueprint kockázatkezelési szakaszának 14. lépése javasolja a DORA-, NIS2- és GDPR-követelmények kereszthivatkozását az ISO 27001:2022 kontrollkészletbe:
Minden jogszabály esetében, ha alkalmazandó, létrehozhat egy egyszerű leképezési táblázatot (például egy jelentés mellékleteként), amely felsorolja a jogszabály fő biztonsági követelményeit és az azoknak megfelelő kontrollokat/szabályzatokat az IBIR-ben. Ez nem kötelező az ISO 27001 szerint, de hasznos belső gyakorlat annak biztosítására, hogy semmi ne maradjon ki.
Egy gyakorlati több keretrendszer szerinti megfelelési térkép így nézhet ki:
| Irányítási követelmény | NIST CSF 2.0 Govern | ISO 27001:2022 támpont | NIS2, DORA, GDPR relevancia | Elsődleges bizonyíték |
|---|---|---|---|---|
| Vezetői elszámoltathatóság | GV.RR és GV.OV | 5.1, 5.3 és 9.3. pont, A melléklet 5.4 | NIS2 vezető testületi felügyelet, DORA vezető testületi felelősség | Irányítási térkép, RACI, vezetőségi átvizsgálási jegyzőkönyvek |
| Jogi és szerződéses kötelezettségek | GV.OC-03 | 4.2, 4.3 és 6.1.3. pont, A melléklet 5.31 és 5.34 | GDPR elszámoltathatóság, NIS2 jogi hatály, DORA szerződéses továbbhárítások | Megfelelési nyilvántartás, ügyfélkötelezettség-térkép, adatvédelmi nyilvántartás |
| Kockázatalapú biztonsági intézkedések | GV.RM | 6.1.2, 6.1.3, 8.2 és 8.3. pont | NIS2 kockázati intézkedések, DORA IKT-kockázatkezelési keretrendszer, GDPR adatkezelés biztonsága | Kockázati nyilvántartás, kockázatkezelési terv, SoA |
| Beszállítói irányítás | GV.SC | A melléklet 5.19–5.23 és 5.30 | NIS2 ellátási lánc biztonsága, DORA harmadik félhez kapcsolódó IKT-kockázat, GDPR adatfeldolgozók | Beszállítói nyilvántartás, átvilágítás, szerződések, felülvizsgálati naplók |
| Szabályzatirányítás | GV.PO | 5.2. pont és A melléklet 5.1 | Minden keretrendszer dokumentált, jóváhagyott és kommunikált szabályokat vár el | Szabályzatnyilvántartás, verzióelőzmények, tudomásulvételek |
| Audit és fejlesztés | GV.OV | 9.1, 9.2, 9.3, 10.1 és 10.2. pont | DORA tesztelés és helyesbítő intézkedés, NIS2 eredményesség, GDPR elszámoltathatóság | Belső auditjelentések, KPI-k, helyesbítő intézkedések |
Az érték a hatékonyságban rejlik. Egy jól működtetett ISO 27001:2022 IBIR, amelyet a NIST CSF 2.0 Govern irányít, egyszerre több keretrendszerhez képes újrahasznosítható bizonyítékot előállítani.
Az auditor nézőpontja: annak igazolása, hogy az irányítás valódi
Egy polcon lévő szabályzat nem irányítás. Az auditorok és értékelők az aranyszálat keresik: felső szintű szabályzat, meghatározott folyamat, működési nyilvántartás, vezetőségi átvizsgálás és fejlesztési intézkedés.
A különböző értékelők eltérően vizsgálják ezt a szálat.
| Auditori nézőpont | Mire fókuszálnak | Jól működő bizonyíték |
|---|---|---|
| ISO 27001:2022 auditor | Beépült-e az irányítás az IBIR-be, visszakövethető-e a kockázatkezelés, indokoltak-e a SoA-döntések, és kontrollált-e a dokumentált információ | IBIR alkalmazási területe, szabályzatnyilvántartás, kockázati nyilvántartás, SoA, vezetőségi átvizsgálási jegyzőkönyvek, belső auditjelentések, helyesbítő intézkedések |
| NIST CSF 2.0 értékelő | Léteznek-e aktuális és célprofilok, priorizáltak-e a hiányosságok, és a Govern eredmények kapcsolódnak-e az üzleti kockázathoz és felügyelethez | CSF-profil, hiányosságelemzés, POA&M, kockázatvállalási hajlandósági nyilatkozat, vezetői irányítópult, beszállítói célprofil |
| COBIT 2019 vagy ISACA-stílusú auditor | Meghatározottak-e az irányítási célkitűzések, döntési jogok, teljesítménymutatók, kontrolltulajdonosi felelősség és bizonyossági tevékenységek | Irányítási térkép, RACI, KPI- és KRI-irányítópult, kontrollgazdai igazolások, auditterv, problémakövetés |
| GDPR-értékelő | Azonosították-e az adatvédelmi kötelezettségeket, leképezték-e az adatkezelést, megfelelőek-e a biztonsági védelmi intézkedések, és rendelkezésre áll-e elszámoltathatósági bizonyíték | Adatkezelési nyilvántartás, jogalap-leképezés, szükség esetén DPIA, adatsértés-kezelési folyamat, beszállítói adatfeldolgozási feltételek |
| Ügyfélbiztonsági értékelő | Tudja-e a KKV indokolatlan késedelem nélkül bizonyítani az operatív biztonságot, a beszállítói kontrollt, az incidenskezelési felkészültséget és a vezetői elszámoltathatóságot | Bizonyítékcsomag, szabályzatok, beszállítói felülvizsgálatok, incidens asztali gyakorlatok eredményei, hozzáférés-felülvizsgálatok, biztonsági mentési tesztek, biztonsági ütemterv |
A Clarysec vállalati Irányítási szerepkörök és felelősségek szabályzata Irányítási szerepkörök és felelősségek szabályzata kimondja:
Az irányításnak támogatnia kell az integrációt más területekkel (pl. kockázatkezelés, jogi ügyek, IT, HR), és az IBIR-döntéseknek visszakövethetőnek kell lenniük a forrásukig (pl. auditnyilvántartások, felülvizsgálati naplók, értekezleti jegyzőkönyvek).
Ez az Irányítási szerepkörök és felelősségek szabályzata 5.5. pontja. Megragadja a több keretrendszer szerinti megfelelés lényegét: az irányítási döntéseknek visszakövethetőknek kell lenniük.
Az Audit- és megfelelésfelügyeleti szabályzat – KKV Audit- és megfelelésfelügyeleti szabályzat – KKV kritikus bizonyítékkezelési fegyelmet ad hozzá:
A metaadatokat (pl. ki gyűjtötte, mikor és melyik rendszerből) dokumentálni kell.
Ez az idézet az Audit- és megfelelésfelügyeleti szabályzat – KKV 6.2.3. pontjából származik. A bizonyítékok metaadatai gyakran azok, amelyek megkülönböztetik a képernyőképekkel teli mappát az auditminőségű bizonyítéktól.
A vállalati Audit- és megfelelésfelügyeleti szabályzat Audit- és megfelelésfelügyeleti szabályzat programszintű követelményt ad hozzá:
A szervezetnek strukturált, az IBIR-be integrált audit- és megfelelésfelügyeleti programot kell fenntartania, amely kiterjed:
Ez az Audit- és megfelelésfelügyeleti szabályzat 5.1. pontja. Az irányítási következmény közvetlen: az audit nem éves kapkodás. Az IBIR működésének része.
Gyakori KKV-hibák a NIST Govern ISO 27001:2022-re történő leképezésekor
Az első hiba a túlzott dokumentálás felelősök kijelölése nélkül. A KKV szabályzatokat ír, de nem jelöl ki felelősöket a kockázatkezeléshez, a beszállítói felülvizsgálatokhoz, a kivétel-jóváhagyásokhoz vagy a vezetői jelentéstételhez.
A második hiba a jogi kötelezettségek IBIR-től különálló kezelése. A NIST GV.OC-03 megköveteli a kötelezettségek megértését és kezelését. Az ISO 27001:2022 megköveteli, hogy az érdekelt felek releváns követelményeit, valamint a jogi, szabályozói és szerződéses kötelezettségeket figyelembe vegyék az IBIR-ben.
A harmadik hiba a gyenge SoA-indoklás. A SoA nem csupán az alkalmazható kontrollok listája. Ez az indokolási állomány arra, hogy a kontrollokat miért vonták be, miért zárták ki vagy hogyan vezették be.
A negyedik hiba a beszállítói életciklus bizonyítékainak hiánya. A beszállítói irányítás magában foglalja a beléptetést, a szerződéseket, a megfigyelést, az incidenseket, a változásokat és a kiléptetést.
Az ötödik hiba a célprofil frissítésének elmulasztása. A CSF-profilnak változnia kell, amikor a szervezet új földrajzi piacra lép, jelentős ügyfelet szerez, kritikus beszállítót von be, szabályozott terméket indít, módosítja a felhőarchitektúrát, vagy incidenst szenved el.
30 napos NIST CSF 2.0 Govern ütemterv KKV-k számára
Ha egy KKV-nak gyorsan kell előrelépnie, fókuszált 30 napos bevezetési tervvel érdemes kezdenie.
| Napok | Tevékenység | Kimenet |
|---|---|---|
| 1–3 | A CSF Govern alkalmazási területének meghatározása, valamint a meglévő szabályzatok, szerződések, kockázati nyilvántartások, beszállítói listák és auditbizonyítékok összegyűjtése | Hatályjegyzet és bizonyítékleltár |
| 4–7 | Govern bizonyítéknyilvántartás kialakítása GV.OC, GV.RM, GV.RR, GV.PO, GV.OV és GV.SC esetén | Aktuális profil és kezdeti hiányosságok |
| 8–12 | Kötelezettségek leképezése ISO 27001:2022 szabályzatokra, A melléklet szerinti kontrollterületekre és felelősökre | Megfelelési nyilvántartás és szabályzattulajdonosi térkép |
| 13–17 | Kockázati nyilvántartás és kockázatkezelési terv frissítése, majd SoA-bejegyzések összehangolása | Kockázati nyilvántartás, kezelési terv, SoA-frissítések |
| 18–22 | Beszállítói irányítás priorizálása, beleértve a kritikus beszállítók besorolását, a szerződéses hiányosságokat és a felülvizsgálati bizonyítékokat | Beszállítói kockázati nyilvántartás és intézkedéskövető |
| 23–26 | Auditbizonyíték-csomag előkészítése metaadatokkal, jóváhagyásokkal, felülvizsgálati naplókkal és vezetői döntésekkel | Bizonyítékcsomag és auditindex |
| 27–30 | Vezetőségi átvizsgálás megtartása és a célprofil ütemtervének jóváhagyása | Vezetőségi átvizsgálási jegyzőkönyvek, döntések, ütemterv |
Ez a terv elegendő irányítási bizonyítékot hoz létre a komoly ügyfél- és auditkérdések megválaszolásához, miközben megalapozza az ISO 27001:2022 tanúsítást, a NIS2-felkészültséget, a DORA szerinti ügyfélbizonyosságot és a GDPR szerinti elszámoltathatóságot.
Gyakorlati eredmény: egy irányítási történet, sok megfelelési felhasználás
Amikor Sarah visszatér az igazgatóság elé, már nincs öt egymástól független megfelelési munkafolyamata. Egyetlen irányítási története van.
A NIST CSF 2.0 Govern eredmények le vannak képezve ISO 27001:2022 szabályzatokra, felelősökre, kockázatokra, kontrollokra és bizonyítékokra. Az IBIR alkalmazási területe magában foglalja az ügyfél-, beszállítói, felhő-, jogi, szabályozói, adatvédelmi és szerződéses függőségeket. A kockázati nyilvántartás vezérli a kezelési döntéseket és a SoA alkalmazhatóságát. A szabályzatokat jóváhagyták, verziókezelik, felelőssel látták el, kommunikálták és felülvizsgálják. A beszállítói kockázatokat szintekbe sorolták, szerződésben szabályozták, felügyelik és nyomon követik. A GDPR adatkezelési kötelezettségei, a NIS2 elszámoltathatósági elvárásai és a DORA ügyféloldali továbbhárításai alkalmazandó esetben kereszthivatkozással szerepelnek. Az auditbizonyítékok metaadatokat, döntési nyilvántartásokat és vezetőségi átvizsgálási kimeneteket tartalmaznak.
Így néz ki az irányítás, amikor beépül a működésbe.
Következő lépés: építse fel KKV Govern bizonyítékcsomagját a Clarysec segítségével
Ha ISO 27001:2022-re készül, nagyvállalati ügyfél-átvilágításra válaszol, NIST CSF 2.0 Govern eredményeket képez le, vagy külön programok kiépítése nélkül próbálja összehangolni a NIS2-t, a DORA-t és a GDPR-t, kezdje az irányítási réteggel.
A Clarysec segíthet felépíteni:
- Egy NIST CSF 2.0 Govern aktuális és célprofilt.
- Egy ISO 27001:2022 szabályzat- és SoA-leképezést.
- Több keretrendszer szerinti megfelelési kötelezettségnyilvántartást a Zenith Controls Zenith Controls használatával.
- 30 lépéses IBIR-bevezetési ütemtervet a Zenith Blueprint Zenith Blueprint használatával.
- KKV-k számára használható szabályzati bizonyítékokat a Clarysec szabályzati eszköztárával, beleértve az Irányítási szerepkörök és felelősségek szabályzata – KKV Irányítási szerepkörök és felelősségek szabályzata – KKV, a Kockázatkezelési szabályzat – KKV Kockázatkezelési szabályzat – KKV, a Jogi és szabályozói megfelelési szabályzat – KKV Jogi és szabályozói megfelelési szabályzat – KKV, a Harmadik fél és beszállítói biztonsági szabályzat – KKV Harmadik fél és beszállítói biztonsági szabályzat – KKV, valamint az Audit- és megfelelésfelügyeleti szabályzat – KKV Audit- és megfelelésfelügyeleti szabályzat – KKV használatát.
A leggyorsabb út nem egy újabb táblázat. Hanem egy irányított, kockázatalapú, auditbizonyítékokra felkészített IBIR, amely lehetővé teszi, hogy KKV-ja magabiztosan válaszoljon egyetlen kérdésre:
Tudja bizonyítani, hogy a kiberbiztonság kezelt, felelőssel rendelkező, felülvizsgált és folyamatosan fejlesztett?
A Clarysec segítségével a válasz igen lesz.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
