Vieningas veiklos atsparumas: ISO 27001:2022, DORA ir NIS2 sujungimas naudojant Clarysec Blueprint
2 val. nakties krizė, iš naujo apibrėžusi atsparumą
2:00 val. nakties. Esate didelės rizikos finansų įstaigos, pavadinkime ją FinSecure, CISO. Telefoną užplūsta įspėjimai: išpirkos reikalaujanti programinė įranga paralyžiuoja pagrindines bankines sistemas, tiekėjų taikomųjų programų sąsajos tampa nepasiekiamos, o klientų kanalai pradeda strigti. Arba kitu atveju jūsų pagrindinis debesijos paslaugų teikėjas patiria katastrofinį sutrikimą, sukeliantį grandininius kritinių sistemų veiklos sutrikimus. Abiem atvejais kruopščiai parengti veiklos tęstinumo planai pasiekia savo ribas. Kitą dieną valdyba klausia ne tik apie atitikties sertifikatus. Ji reikalauja atkūrimo realiuoju laiku, priklausomybių matomumo ir įrodymų, kad DORA ir NIS2 auditams esate pasirengę jau dabar.
Tai yra momentas, kai veiklos atsparumas iš dokumentų rinkinio tampa išlikimo sąlyga, o Clarysec vieninga sistema, Zenith Controls ir įgyvendinami veiksmų planai tampa būtini.
Nuo atkūrimo po katastrofos iki suprojektuoto atsparumo: kodėl senasis požiūris nebeveikia
Per daug organizacijų atsparumą vis dar tapatina su atsarginių kopijų juostomis arba dulkėtu atkūrimo po katastrofos planu. Šių reliktų nepakanka esant naujam reguliavimo spaudimui: Skaitmeninės veiklos atsparumo aktui (DORA), taikomam finansų subjektams, NIS2 direktyvai, taikomai visiems esminiams ir svarbiems subjektams, ir atnaujintam ISO/IEC 27001:2022 informacijos saugumo valdymo standartui.
Kas pasikeitė?
- DORA reikalauja patikrinto IRT tęstinumo, griežtų tiekėjų kontrolės priemonių ir valdybos lygmens atskaitomybės.
- NIS2 išplečia reguliavimo aprėptį sektoriuose ir reikalauja proaktyvaus rizikos bei pažeidžiamumų valdymo, tiekimo grandinės saugumo ir pranešimų protokolų.
- ISO 27001:2022 išlieka pasauliniu ISVS etalonu, tačiau dabar turi būti ne tik dokumentuotas, bet ir realiai taikomas verslo procesuose bei partnerių aplinkoje.
Šiandien atsparumas nėra reaktyvus atkūrimas. Tai gebėjimas atlaikyti sukrėtimus, išlaikyti esmines funkcijas ir prisitaikyti, kartu įrodant priežiūros institucijoms ir suinteresuotosioms šalims, kad tai galite padaryti net tada, kai jūsų ekosistema skyla.
Kontrolės priemonių ašis: ISO 27001:2022, DORA ir NIS2 susiejimas
Šiuolaikinėse atsparumo programose ekosistemą laiko dvi ISO/IEC 27001:2022 A priedo kontrolės priemonės:
| Kontrolės priemonės numeris | Kontrolės priemonės pavadinimas | Aprašymas / pagrindinės savybės | Kryžmiškai susieti reguliavimo reikalavimai | Palaikantys standartai |
|---|---|---|---|---|
| 5.29 | Informacijos saugumas sutrikimų metu | Palaiko saugumo lygį krizės metu (konfidencialumas, vientisumas, komunikacija) | DORA 14 str., NIS2 21 str. | ISO 22301:2019, ISO 27035:2023 |
| 5.30 | IRT parengtis veiklos tęstinumui | Užtikrina IRT atkuriamumą, sistemų dubliavimą ir scenarijais pagrįstą testavimą | DORA 11 ir 12 str., NIS2 21 str. | ISO 22313:2020, ISO 27031:2021, ISO 27019 |
Šios kontrolės priemonės yra ir kertinis elementas, ir vartai: jas įgyvendindami operaciniu lygmeniu tiesiogiai aprėpiate DORA ir NIS2 reikalavimus ir sukuriate pagrindą, kuris palaiko kitus tarpsektorinius reguliavimo reikalavimus ar vidaus audito programas.
Kontrolės priemonės praktikoje
- 5.29: neužtenka turėti scenarijų — informacijos saugumas turi išlikti nepažeistas net tada, kai krizės spaudžiama organizacija atlieka skubius pakeitimus.
- 5.30: reikia pereiti nuo atsarginių kopijų prie koordinuoto tęstinumo; perjungimas į atsarginę aplinką turi būti testuojamas, tiekėjų priklausomybės — inventorizuotos, o atkūrimas — suderintas su apibrėžtais atkūrimo laiko ir atkūrimo taško tikslais (RTO/RPO).
Iš Zenith Controls:
„Tęstinumas, atkūrimas ir tyrimas po sutrikimo yra pagrindinės savybės; kontrolės priemonės turi integruoti vidines komandas ir tiekėjų tinklus, o ne veikti izoliuotai.“
Clarysec 30 žingsnių Blueprint: kontrolės priemonių pavertimas krizei parengta valdysena
Kontrolės priemonių žinojimas yra tik pradžia. Jų įgyvendinimas taip, kad kita krizė netaptų paskutine, yra sritis, kurioje išsiskiria Clarysec Zenith Blueprint: 30 žingsnių auditoriaus veiksmų planas.
Pavyzdinis veiksmų planas (sutrumpintos pagrindinės fazės)
| Fazė | Pavyzdinis žingsnis | Auditoriaus dėmesys |
|---|---|---|
| Pagrindas | Turto ir priklausomybių atvaizdavimas | Inventorizacija, poveikis verslo procesams |
| Programos rengimas | Tiekėjų rizikos / tęstinumo planai | Išsamus patikrinimas, reagavimo procedūros, testavimo žurnalai |
| Nuolatinis auditas | Scenarijų aptarimo pratybos ir kontrolės priemonių validavimas | Reguliarios BCP pratybos, skirtingų reguliavimo režimų artefaktai |
| Nuolatinis tobulinimas | Peržiūros po incidento ir politikos atnaujinimai | Dokumentacija, atnaujinimo ciklai, ataskaitos valdybai |
Kritiniai Blueprint momentai sutrikimo metu:
- 8 žingsnis: Reagavimo į incidentus aktyvavimas — eskaluokite pagal iš anksto nustatytus vaidmenis ir komunikacijos paleidiklius.
- 11 žingsnis: Tiekėjų koordinavimas — inicijuokite pranešimų grandinę ir patvirtinkite poveikį trečiosioms šalims.
- 14 žingsnis: Veiklos tęstinumo perjungimas — aktyvuokite alternatyvias vietas ir užtikrinkite prieinamumą pagal RTO/RPO.
Įrodyta vertė:
Clarysec vykdytose simuliacijose organizacijoms, naudojusioms Blueprint, vidutinis atkūrimo laikas sumažėjo nuo 36 valandų iki mažiau nei 7 valandų, paverčiant atsparumą išmatuojama verslo verte.
Techninis susiejimas: vieninga sistema, vieningas auditas
Clarysec Zenith Controls: kelių atitikties režimų vadovas sukurtas taip, kad kiekviena jūsų įgyvendinama kontrolės priemonė būtų susieta su tiksliais reguliavimo lūkesčiais ir panaikintų neapibrėžtumą audito metu, kuris apsunkina net brandžias ISVS programas.
Pavyzdys: ISO 27001 sujungimas su DORA ir NIS2
| ISO kontrolės priemonė | DORA reikalavimas | NIS2 straipsnis | Blueprint įrodymai |
|---|---|---|---|
| 5.30 | 11 str. (plano testavimas), 12 str. (trečiųjų šalių rizika) | 21 str. (tęstinumas) | Testavimo žurnalai, tiekėjų išsamus patikrinimas, perjungimo į atsarginę aplinką dokumentacija |
| 5.29 | 14 str. (saugi komunikacija) | 21 str. | Komunikacijos žurnalai, saugumo reagavimo veiksmų planai |
| 8.14 (dubliavimas) | 11 str. | 21 str. | Dubliuotos infrastruktūros pratybos, validavimo testai |
Kontrolės priemonių sąsajos yra būtinos. Pavyzdžiui, techninis dubliavimas (8.14) suteikia atsparumą tik tada, kai jis derinamas su patikrintomis atkūrimo procedūromis (5.30) ir palaikomu saugumu po sutrikimo (5.29).
Politikos ir reagavimo planų pagrindai: nuo įmonės iki MVĮ
Politikos turi pereiti nuo formalaus teisinio dokumento prie gyvos valdysenos. Clarysec šią spragą užpildo įmonės lygio, auditui parengtais šablonais bet kokio dydžio organizacijoms.
Įmonė: veiklos tęstinumo ir atkūrimo po katastrofos politika
Visoms kritinėms IRT sistemoms turi būti parengti, testuojami ir prižiūrimi tęstinumo bei atkūrimo po katastrofos planai. RTO ir RPO nustatomi atliekant verslo poveikio analizę (BIA) ir turi būti reguliariai testuojami.
(2.3–2.5 skyriai, sąlyga: BCP integracija)
Veiklos tęstinumo ir atkūrimo po katastrofos politika
MVĮ: supaprastinta vaidmenimis pagrįsta politika
MVĮ vadovai ir savininkai nustato esmines funkcijas, minimalius paslaugų lygius ir bent du kartus per metus testuoja atkūrimo planus.
(Sąlyga: veiklos tęstinumo testavimas)
Veiklos tęstinumo ir atkūrimo po katastrofos politika MVĮ
Politikos ramsčiai:
- Integruokite IRT tęstinumą, tiekėjų valdymą ir reagavimą į incidentus kaip tarpusavyje susijusius privalomus reikalavimus.
- Nustatykite testavimo periodiškumą, eskalavimo procedūras ir tiekėjų informavimo reikalavimus.
- Saugokite įrodymų žurnalus, parengtus DORA, NIS2, ISO ar sektoriaus auditams.
„Audito artefaktai turi būti prieinami ir susieti su visais aktualiais standartais, o ne paslėpti izoliuotose sistemose ar ad hoc dokumentuose.“
Audito perspektyva: kaip skirtingos sistemos vertina atsparumą
Tvirtą programą tikrina auditoriai, tačiau ne visi vadovaujasi tuo pačiu veiksmų planu. Štai ko galite tikėtis:
| Audito sistema | Reikalaujami įrodymai | Tikrinamos kontrolės priemonės |
|---|---|---|
| ISO/IEC 27001:2022 | Tęstinumo testai, žurnalai, susiejimo matrica | 5.29, 5.30, susijusios kontrolės priemonės |
| DORA | Atkūrimo terminai, valdybos komunikacija, tiekėjų informavimo grandinės | Tiekėjų rizika, pranešimai, atsparumas |
| NIS2 | Pažeidžiamumų skenavimas, rizikos matricos, tiekėjų patvirtinimai | Tęstinumas, trečiųjų šalių žurnalai, proaktyvumas |
| COBIT 2019 | KPI duomenys, valdysenos integracija | BIA, EGIT, procesų ir vertės susiejimas |
| NIST CSF/800-53 | Reagavimo į incidentus veiksmų planai, poveikio analizė | Atkūrimas, aptikimas ir reagavimas, įrodymų grandinė |
Svarbi rekomendacija:
Susiejimas su keliomis sistemomis, įdiegtas Zenith Controls, parengia jus bet kurio auditoriaus klausimams ir pagrindžia, kad turite gyvą, vieningą atsparumo programą, o ne tik kontrolinį sąrašą.
Tiekėjų saugumas: silpnoji grandis arba jūsų konkurencinis pranašumas
Galite turėti nepriekaištingas vidines kontrolės priemones ir vis tiek patirti nesėkmę, jei tiekėjai nėra pasirengę krizei. Clarysec įtvirtina privalomą tiekėjų saugumo lygį per politikas ir susietas kontrolės priemones.
Sąlygos pavyzdys:
Visi tiekėjai, tvarkantys kritinius duomenis ar teikiantys kritines paslaugas, turi atitikti minimalius saugumo reikalavimus, suderintus su ISO 27001:2022 8.2, įskaitant periodinius auditus ir incidentų pranešimo protokolus. (Sąlyga: tiekėjų patikinimas)
Trečiųjų šalių ir tiekėjų saugumo politika
Naudojant Blueprint ir Zenith Controls, tiekėjų įtraukimas, patikinimas ir pratybos yra visiškai dokumentuojami, todėl organizacija tampa stipri audito požiūriu ir atitinkanti DORA bei NIS2 reikalavimus.
Verslo poveikio analizė: veiklos atsparumo pagrindas
Joks atsparumas neįmanomas be įgyvendinamos verslo poveikio analizės (BIA). Clarysec BIA politikoje nustatytas kiekybiškai įvertintas, reguliariai atnaujinamas turto kritiškumo, prastovos tolerancijos ir tiekėjų tarpusavio priklausomybių vertinimas.
| BIA būtinas elementas | Reguliavimo reikalavimai | Clarysec įgyvendinimas |
|---|---|---|
| Turto kritiškumas | ISO 27001:2022 | Zenith Blueprint 1 žingsnis, turto registras |
| Prastovos tolerancija | DORA, NIS2 | RTO/RPO rodikliai BCP politikoje |
| Tiekėjų atvaizdavimas | Visi | Tiekėjų apskaita, susiejimo matrica |
| Atkūrimo tikslai | ISO 22301:2019 | Politikos sąlygos, peržiūra po incidento |
MVĮ: Clarysec BIA politikoje pateikiamos lengvai naudojamos skaičiuoklės, įgyvendinami veiksmai ir aiškia kalba parengtos gairės Veiklos tęstinumo ir atkūrimo po katastrofos politika - MVĮ.
Praktinis scenarijus: atsparumas scenarijų aptarimo pratybose
Įsivaizduokite Maria iš FinSecure, kuri po 2 val. nakties incidento iš naujo paleidžia savo programą. Ji organizuoja scenarijų aptarimo pratybas, orientuotas į pagrindinio mokėjimų API paslaugų teikėjo nepasiekiamumą.
1. Politikos pagrindas:
Ji apibrėžia scenarijų pagal Clarysec veiklos tęstinumo politikos reikalavimus, nustatydama įgaliojimus ir privalomus tikslus.
2. Išmatuojamas testavimas (naudojant Zenith Controls):
- Ar komanda gali atkurti kritinę paslaugą perjungdama į atsarginę aplinką per RTO, pvz., per 15 minučių?
- Ar avariniai prisijungimo duomenys pasiekiami ir saugiai kontroliuojami net krizės metu?
- Ar komunikacija su klientais ir vidinė komunikacija yra aiški, iš anksto patvirtinta ir atitinka reikalavimus?
3. Bandymo vykdymas:
Procesas atskleidžia spragas, pavyzdžiui, nepasiekiamus prisijungimo duomenis, kai du atsakingi darbuotojai yra išvykę, ir poreikį patobulinti komunikacijos su klientais šablonus.
4. Rezultatas:
Problemos registruojamos, politikos atnaujinamos, vaidmenys patikslinami, o nuolatinis tobulinimas vyksta praktikoje. Tai yra atsparumo kultūra, o ne vien dokumentacija.
Nuolatinis tobulinimas: kaip atsparumą padaryti ilgalaikį
Atsparumas yra ciklas, o ne pažymėtas langelis. Kiekvienas testas, sutrikimas ar vos neįvykęs incidentas turi inicijuoti peržiūros ir tobulinimo ciklą.
Iš Zenith Controls:
„Nuolatinio tobulinimo artefaktai, įgyta patirtis ir atnaujinimo ciklai turi būti formaliai sekami būsimiems auditams ir ataskaitoms valdybai.“
Naudojant Clarysec Blueprint (28 žingsnis), peržiūros po incidento ir tobulinimo planai įtvirtinami kaip operaciniai reikalavimai, o ne vėlesnės papildomos veiklos.
Dažniausių klaidų įveikimas naudojant Clarysec sistemas
Clarysec praktinė patirtis pašalina tipinius atsparumo trūkumus:
| Iššūkis | Clarysec sprendimas |
|---|---|
| Izoliuoti BCP ir reagavimas į incidentus | Integruotas testavimas ir eskalavimas visose komandose |
| Silpna tiekėjų priežiūra | Zenith Controls susiejimo matricos ir tiekėjų įtraukimas, susieti su DORA/NIS2 |
| Įrodymų trūkumas auditui | Blueprint pagrįstas artefaktų ir testavimo žurnalų rinkimas, audito automatizavimas |
| Sustingęs atsparumo tobulinimas | Po incidento taikomi nuolatinio tobulinimo paleidikliai su audito pėdsakais |
Kelių atitikties režimų suderinimas: vienos pratybos, visi standartai
Clarysec Unified Framework aktyviai susieja kontrolės priemones ir įrodymus. Vienos gerai suplanuotos pratybos, parengtos naudojant Blueprint ir Zenith Controls, pagrindžia pasirengimą ISO 27001:2022, DORA, NIS2 ir sektoriui taikomiems reikalavimams. Tai reiškia:
- Mažiau dubliavimo, jokių kontrolės spragų ir gerokai didesnį audito efektyvumą.
- Tiekėjų atsparumas ir BIA nėra priedai — jie įausti į organizacijos veiklos modelį.
- Į valdybos ir priežiūros institucijų klausimus galima atsakyti vienu paspaudimu ir užtikrintai.
Pasirengimas atsparumui: jūsų kvietimas veikti
Rytojaus krizės išgyvenimas yra daugiau nei plano turėjimas; tai atsparumo demonstravimas, kuriuo gali pasitikėti priežiūros institucijos, valdybos, partneriai ir klientai.
Ženkite pirmą ryžtingą žingsnį:
- Įgyvendinkite tarpusavyje susijusias tęstinumo, reagavimo į incidentus ir tiekėjų saugumo politikas naudodami pirmaujančias Clarysec sistemas.
- Naudokite mūsų Blueprint programos rengimui, scenarijų aptarimo pratyboms, automatizuotam artefaktų rinkimui ir vieningiems auditams.
- Paverskite nuolatinį tobulinimą ir kelių atitikties režimų susiejimą savo atsparumo kultūros skiriamaisiais bruožais.
Pradėkite transformaciją dabar — sužinokite, kaip Clarysec Zenith Controls, Blueprint ir politikos paverčia veiklos atsparumą realybe. Užsisakykite proceso peržiūrą, suplanuokite atsparumo vertinimą arba paprašykite mūsų auditui parengtos automatizavimo platformos demonstracijos.
Clarysec: atsparumas pagal projektą, įrodytas krizės metu.
Nurodyti Clarysec įrankių rinkiniai ir politikos:
Zenith Controls
Zenith Blueprint
Veiklos tęstinumo ir atkūrimo po katastrofos politika
Veiklos tęstinumo ir atkūrimo po katastrofos politika MVĮ
Trečiųjų šalių ir tiekėjų saugumo politika
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
