Auditui tinkamas ISO 27001 rizikos vertinimas NIS2 ir DORA kontekste
Kava ant Saros stalo buvo atšalusi.
Būdama sparčiai augančios fintech įmonės informacijos saugumo vadovė (CISO), ji buvo pripratusi prie spaudimo. Įmonė ką tik laimėjo svarbų bankinį partnerį, o deramo patikrinimo klausimynas jos ekrane turėjo būti tik formalumas. Pirmieji klausimai buvo pažįstami: pateikite ISO/IEC 27001:2022 Taikomumo pareiškimą, pasidalykite naujausiu rizikų registru, paaiškinkite rizikos vertinimo metodiką.
Tada klausimynas pasikeitė.
Parodykite, kaip jūsų rizikos valdymo programa apima DORA. Paaiškinkite pasirengimą NIS2 direktyvai, įskaitant vadovybės atskaitomybę ir tiekimo grandinės rizikos priemones. Pateikite įrodymus, kad kritiniai IRT tiekėjai yra vertinami, stebimi ir įtraukti į reagavimo į incidentus bei veiklos tęstinumo planus.
Iki pirmadienio ryto tas pats klausimas jau buvo valdybos rizikos komiteto darbotvarkėje. ISO 27001 sertifikavimo auditas – po aštuonių savaičių. DORA spaudimas iš finansų sektoriaus klientų. NIS2 klasifikavimo klausimai dėl debesijoje veikiančios paslaugų linijos, plečiamos į ES. Pirkimų skyrius teigė, kad tiekėjų peržiūros atliekamos, tačiau įrodymai išskaidyti el. laiškuose, sutarčių aplankuose ir tiekėjų skaičiuoklėje. Teisės funkcija nurodė, kad reglamentavimo susiejimas dar rengiamas. Inžinerijos komanda teigė, kad rizikų registras beveik baigtas.
Valdyba uždavė vienintelį svarbų klausimą:
Ar galime įrodyti, kad mūsų rizikos vertinimas ir rizikos tvarkymo planas yra pakankami?
Tai ir yra tikroji SaaS, fintech, valdomų paslaugų, debesijos ir skaitmeninių platformų įmonių problema. Ne tai, ar rizikų registras egzistuoja. Ne tai, ar Annex A kontrolės priemonės nukopijuotos į skaičiuoklę. Esminis klausimas – ar organizacija audito ir klientų spaudimo sąlygomis gali įrodyti, kad jos ISO 27001 rizikos vertinimo procesas yra pakartojamas, grindžiamas rizika, patvirtintas rizikos savininkų, susietas su tvarkymo veiksmais, susietas su teisiniais įpareigojimais ir realiai veikia operacinėje veikloje.
Tinkamai atliktas vienas ISO 27001 rizikos vertinimas ir vienas rizikos tvarkymo planas gali padėti pagrįsti ISO/IEC 27001:2022 sertifikavimą, NIS2 Article 21 kibernetinio saugumo rizikos valdymo priemones, DORA IRT rizikos valdymo reikalavimus, GDPR atskaitomybę, tiekėjų patikinimą, pasirengimą incidentams ir ataskaitų teikimą valdybai.
Prastai atliktas jis tampa skaičiuokle, kurią auditoriai išardys per trisdešimt minučių.
Šiame vadove parodoma, kaip Clarysec kuria auditui tinkamus ISO 27001 rizikos vertinimo ir rizikos tvarkymo įrodymus, naudodama Zenith Blueprint: auditoriaus 30 žingsnių veiksmų planą, Clarysec politikas ir Zenith Controls: kryžminės atitikties vadovą.
Kodėl ISO 27001 rizikos vertinimas tapo atitikties centru
ES reguliacinė aplinka artėja prie paprasto principo: kibernetinio saugumo rizika turi būti valdoma, dokumentuojama, testuojama ir turėti aiškų savininką.
ISO/IEC 27001:2022 jau veikia būtent taip. Clauses 4.1 to 4.4 reikalauja, kad organizacija prieš vertindama riziką suprastų savo kontekstą, suinteresuotąsias šalis, ISVS taikymo sritį ir procesų sąveikas. Clauses 6.1.2 and 6.1.3 reikalauja apibrėžto informacijos saugumo rizikos vertinimo ir rizikos tvarkymo proceso. Clauses 8.2 and 8.3 reikalauja, kad organizacija atliktų rizikos vertinimus ir įgyvendintų rizikos tvarkymo planą, išsaugodama dokumentuotą informaciją.
NIS2 ir DORA tą pačią rizika grindžiamą logiką padaro skubesnę.
NIS2 Article 20 reikalauja, kad esminių ir svarbių subjektų valdymo organai patvirtintų kibernetinio saugumo rizikos valdymo priemones, prižiūrėtų jų įgyvendinimą ir dalyvautų kibernetinio saugumo mokymuose. Article 21 reikalauja tinkamų ir proporcingų techninių, operacinių ir organizacinių priemonių tinklų ir informacinių sistemų rizikai valdyti. Šios priemonės apima rizikos analizę, incidentų valdymą, veiklos tęstinumą, tiekimo grandinės saugumą, saugų kūrimą, pažeidžiamumų tvarkymą, veiksmingumo vertinimą, kibernetinę higieną, kriptografiją, žmogiškųjų išteklių saugumą, prieigos kontrolę, turto valdymą ir, kai tinkama, daugiaveiksnį autentifikavimą arba saugią komunikaciją.
DORA panašų spaudimą taiko finansų subjektams. Articles 5 and 6 reikalauja, kad valdymo organas apibrėžtų, patvirtintų, prižiūrėtų IRT rizikos valdymo tvarką ir liktų už ją atsakingas. DORA tikisi dokumentuotos IRT rizikos valdymo sistemos, integruotos į bendrą rizikos valdymą ir palaikomos politikomis, procedūromis, protokolais, priemonėmis, vidaus auditu, taisomaisiais veiksmais, veiklos tęstinumu, testavimu, incidentų valdymu ir IRT trečiųjų šalių valdysena.
Praktinė išvada neišvengiama: rizikų registras nebėra techninės komandos darbalapis. Tai valdysenos įrodymas.
Clarysec įmonės Rizikos valdymo politika šį lūkestį įtvirtina aiškiai:
Formalus rizikos valdymo procesas turi būti palaikomas pagal ISO/IEC 27005 ir ISO 31000, apimant rizikų identifikavimą, analizę, vertinimą, tvarkymą, stebėseną ir komunikaciją.
Iš įmonės Rizikos valdymo politikos skyriaus „Valdysenos reikalavimai“, politikos nuostata 5.1.
Ta pati politika apibrėžia auditui tinkamą rezultatą:
Palaikyti centralizuotą, pagal versijų kontrolę valdomą rizikų registrą ir rizikos tvarkymo planą, atspindinčius esamą rizikos būseną, kontrolės priemonių aprėptį ir rizikos mažinimo pažangą.
Iš įmonės Rizikos valdymo politikos skyriaus „Tikslai“, politikos nuostata 3.3.
Ši formuluotė – „esamą rizikos būseną, kontrolės priemonių aprėptį ir rizikos mažinimo pažangą“ – skiria statinę atitikties bylą nuo įrodymais pagrindžiamos rizikos programos.
Pradėkite nuo taikymo srities, įpareigojimų ir rizikos kriterijų
Daugelis silpnų ISO 27001 rizikos vertinimų pradedami nuo kontrolės priemonių kontrolinio sąrašo. Tai neteisinga seka.
ISO 27001 reikalauja, kad organizacija prieš pasirinkdama kontrolės priemones nustatytų kontekstą, suinteresuotųjų šalių reikalavimus, ISVS taikymo sritį, vadovybės atsakomybes ir rizikos planavimą. ISO/IEC 27005:2022 tai sustiprina rekomenduodamas organizacijoms prieš rizikos vertinimą nustatyti pagrindinius suinteresuotųjų šalių reikalavimus. Šie reikalavimai gali kilti iš ISO standartų, sektoriaus reglamentų, nacionalinių teisės aktų, klientų sutarčių, vidaus politikų, ankstesnių rizikos tvarkymo veiklų ir tiekėjų įsipareigojimų.
ES rinkai veikiančiai SaaS arba fintech įmonei rizikos procesas turi prasidėti nuo atitikties ir įpareigojimų apskaitos.
| Reikalavimo šaltinis | Kodėl tai veikia ISO 27001 rizikos vertinimą | Įrodymų artefaktas |
|---|---|---|
| ISO/IEC 27001:2022 Clauses 4, 5, 6, 8, 9, and 10 | Apibrėžia kontekstą, lyderystę, rizikos vertinimą, rizikos tvarkymą, operacinę kontrolę, veiklos vertinimą ir tobulinimą | ISVS taikymo sritis, rizikos metodika, rizikų registras, rizikos tvarkymo planas, SoA, vadovybės peržiūros įrašai |
| NIS2 Articles 20, 21, and 23 | Papildo vadovybės atskaitomybe, visų pavojų kibernetinio saugumo priemonėmis ir incidentų pranešimo lūkesčiais | Valdybos patvirtinimas, Article 21 susiejimas, incidentų pranešimo veiksmų planas, veiklos tęstinumo įrodymai |
| DORA Articles 5, 6, 11, 12, 17, 18, 19, 24, 28, and 30 | Reikalauja IRT rizikos valdysenos, veiklos tęstinumo, atsarginių kopijų kūrimo ir atkūrimo, incidentų gyvavimo ciklo, testavimo ir IRT trečiųjų šalių rizikos kontrolės priemonių | IRT rizikos sistema, BCP testai, incidentų registras, atsparumo testų įrašai, IRT tiekėjų registras |
| GDPR Articles 3, 4, 5, 6, 9, 10, 25, 32, 33, and 34 | Reikalauja atskaitomybės, teisėto tvarkymo, duomenų apsaugos pagal projektavimą, tinkamo saugumo ir pažeidimo vertinimo | Duomenų apskaita, teisinio pagrindo susiejimas, privatumo rizikos įrašai, DPIA nuorodos, pažeidimo vertinimo įrašai |
| Tiekėjų ir klientų sutartys | Komercinius įsipareigojimus paverčia rizikos kriterijais, kontrolės priemonėmis, įrodymais ir terminais | Sutarčių registras, deramo patikrinimo įrašai, audito teisės, SLA, pasitraukimo sąlygos |
MVĮ atveju Clarysec Teisinės ir reglamentavimo atitikties politika – MVĮ nustato pradinį tašką:
Generalinis vadovas turi palaikyti paprastą, struktūruotą Atitikties registrą, kuriame nurodoma:
Iš MVĮ Teisinės ir reglamentavimo atitikties politikos skyriaus „Valdysenos reikalavimai“, politikos nuostata 5.1.1.
Toks paprastas registras yra tiltas tarp atitikties ir rizikos valdymo. Jei jame nurodyta, kad GDPR taikomas dėl tvarkomų ES asmens duomenų, kad NIS2 gali būti taikoma, nes organizacija teikia skaitmenines arba valdomas paslaugas, arba kad DORA aktuali per finansų sektoriaus klientus, šie įpareigojimai turi daryti įtaką rizikos kriterijams ir rizikos tvarkymo prioritetams.
Zenith Blueprint apie tai Rizikos valdymo fazės 10 žingsnyje „Rizikos kriterijų ir poveikio matricos nustatymas“ kalba tiesiogiai:
Priėmimo kriterijuose taip pat įvertinkite teisinius ir reglamentavimo reikalavimus. Kai kurios rizikos gali būti nepriimtinos neatsižvelgiant į tikimybę dėl teisės aktų.
Iš Zenith Blueprint, Rizikos valdymo fazė, 10 žingsnis.
Jame taip pat pateikiama praktinė taisyklė dirbtuvėms:
„Bet kuri rizika, galinti lemti taikomų teisės aktų (GDPR ir kt.) nesilaikymą, nėra priimtina ir turi būti mažinama.“
Iš Zenith Blueprint, Rizikos valdymo fazė, 10 žingsnis.
Saros fintech įmonei tai keičia balų modelį. Tiekėjo API pažeidžiamumo tikimybė gali būti maža, tačiau jei jo išnaudojimas galėtų sukelti DORA reikšmingą su IRT susijusį incidentą, NIS2 reikšmingą incidentą, GDPR pažeidimo vertinimą, kliento SLA nevykdymą arba valdybos lygmens eskalavimą, poveikis yra didelis arba kritinis. Atitikties ekspozicija tampa rizikos logikos dalimi, o ne atskira skaičiuokle.
Sukurkite rizikų registrą, kurį auditoriai gali patikrinti
Auditoriai klausia ne tik, kokios yra jūsų svarbiausios rizikos. Jie tikrina, ar metodas apibrėžtas, pakartojamas, atsekamas ir taikomas.
Jie klaus:
- Kaip identifikavote šias rizikas?
- Kuris turtas, paslaugos, tiekėjai, duomenų tipai ir procesai buvo taikymo srityje?
- Kokie kriterijai taikyti tikimybei ir poveikiui?
- Kas yra kiekvienos rizikos savininkas?
- Kokios esamos kontrolės priemonės mažina riziką?
- Kodėl pasirinktas konkretus rizikos tvarkymo sprendimas?
- Kur yra įrodymai, kad rizikos tvarkymas buvo įgyvendintas?
- Kas patvirtino liekamąją riziką?
- Kada rizika bus vertinama pakartotinai?
Clarysec Rizikos valdymo politika – MVĮ apibrėžia minimalią auditui tinkamą rizikos įrašo sudėtį:
Kiekviename rizikos įraše turi būti: aprašymas, tikimybė, poveikis, balas, savininkas ir rizikos tvarkymo planas.
Iš MVĮ Rizikos valdymo politikos skyriaus „Valdysenos reikalavimai“, politikos nuostata 5.1.2.
Įmonių programoms Zenith Blueprint Rizikos valdymo fazės 11 žingsnyje „Rizikų registro kūrimas ir dokumentavimas“ išplečia struktūrą. Jame rekomenduojami tokie stulpeliai kaip rizikos ID, turtas, grėsmė, pažeidžiamumas, rizikos aprašymas, tikimybė, poveikis, rizikos lygis, esamos kontrolės priemonės, rizikos savininkas, rizikos tvarkymo sprendimas, rizikos tvarkymo planas arba kontrolės priemonės ir būsena.
Stiprus rizikos įrašas atrodo taip:
| Laukas | Pavyzdinis įrašas |
|---|---|
| Rizikos ID | R-042 |
| Turtas arba procesas | Klientų duomenų tvarkymas per trečiosios šalies mokėjimų API ir produkcinę duomenų bazę |
| Grėsmė | Kritinio tiekėjo API arba palaikančios debesijos duomenų bazės paslaugos pažeidžiamumo išnaudojimas |
| Pažeidžiamumas | Ribotas matomumas į tiekėjo pažeidžiamumų valdymą, nebaigtas atkūrimo testavimas ir netestuotas tiekėjo pažeidimo veiksmų planas |
| Rizikos aprašymas | Tiekėjo arba debesijos paslaugos kompromitavimas galėtų atskleisti finansinius duomenis, sutrikdyti paslaugą, sukelti pranešimą priežiūros institucijai ir pažeisti klientų sutartis |
| Esamos kontrolės priemonės | SSO, vaidmenimis grindžiama prieiga, tiekėjo sutartis, produkcinės aplinkos žurnalavimas, kasdienės atsarginės kopijos, ketvirtinė prieigos peržiūra |
| Tikimybė | Vidutinė |
| Poveikis | Kritinis |
| Rizikos lygis | Kritinis |
| Rizikos savininkas | CTO ir platformos inžinerijos vadovas |
| Rizikos tvarkymo sprendimas | Mažinti |
| Reglamentavimo susiejimas | ISO 27001 Annex A tiekėjų, debesijos, incidentų, žurnalavimo, prieigos, veiklos tęstinumo, atsarginių kopijų ir teisinės atitikties kontrolės priemonės; NIS2 Articles 20, 21, and 23; DORA Articles 5, 6, 11, 12, 17, 18, 19, 24, 28, and 30; GDPR Articles 32, 33, and 34 |
| Įrodymai | Tiekėjo deramas patikrinimas, audito teisės prašymas, atkūrimo testo ataskaita, SIEM stebėsenos taisyklė, incidento stalo pratybos, atnaujintas SoA, vadovybės peržiūros protokolas |
Tai iš esmės skiriasi nuo „Trečiosios šalies rizika, aukšta, mažinti“. Auditui tinkama versija susieja turtą, grėsmę, pažeidžiamumą, pasekmę, esamas kontrolės priemones, savininką, reglamentavimą, įrodymus ir valdyseną.
Paverskite rizikos tvarkymą įrodymų planu
Rizikos tvarkymo planas turi atsakyti į keturis operacinius klausimus:
- Ką darysime?
- Kas už tai atsako?
- Kada tai bus atlikta?
- Kaip įrodysime, kad rizika sumažėjo?
ISO/IEC 27001:2022 Clause 6.1.3 reikalauja, kad organizacija pasirinktų rizikos tvarkymo parinktis, nustatytų būtinas kontrolės priemones, palygintų jas su Annex A, kad išvengtų praleidimų, parengtų Taikomumo pareiškimą, suformuluotų rizikos tvarkymo planą ir gautų rizikos savininko patvirtinimą dėl plano ir liekamųjų rizikų. Clause 8.3 tada reikalauja įgyvendinti rizikos tvarkymo planą ir saugoti dokumentuotą informaciją apie rezultatus.
Įmonės Rizikos valdymo politika tai sukonkretina:
Rizikos pareigūnas turi užtikrinti, kad rizikos tvarkymo priemonės būtų realistiškos, terminuotos ir susietos su ISO/IEC 27001 Annex A kontrolės priemonėmis.
Iš įmonės Rizikos valdymo politikos skyriaus „Politikos įgyvendinimo reikalavimai“, politikos nuostata 6.4.2.
MVĮ politika taip pat paaiškina, kad rizikos priėmimas nėra trumpasis kelias:
Priimti: pagrįsti, kodėl papildomų veiksmų nereikia, ir įrašyti liekamąją riziką.
Iš MVĮ Rizikos valdymo politikos skyriaus „Politikos įgyvendinimo reikalavimai“, politikos nuostata 6.1.1.
Priėmimas turi būti pagrįstas kriterijais, patvirtintas tinkamo savininko ir stebimas. Pagal NIS2 ir DORA nepatvirtinta liekamoji rizika gali tapti valdysenos nesėkme.
Išsamus rizikos tvarkymo planas turi apimti šiuos laukus:
| Rizikos tvarkymo laukas | Audito paskirtis |
|---|---|
| Rizikos ID | Susieja rizikos tvarkymą su įvertinta rizika |
| Rizikos tvarkymo parinktis | Parodo pagrindimą: mažinti, vengti, perduoti arba priimti |
| Pasirinktos kontrolės priemonės | Susieja riziką su Annex A, politikomis ir techninėmis apsaugos priemonėmis |
| Reglamentavimo veiksnys | Parodo NIS2, DORA, GDPR, sutarties arba kliento aktualumą |
| Veiksmo savininkas | Įrodo atskaitomybę |
| Įvykdymo terminas | Padaro rizikos tvarkymą terminuotą |
| Įgyvendinimo įrodymai | Parodo, kad veiksmas atliktas |
| Veiksmingumo matas | Parodo, ar tikimybė arba poveikis sumažėjo |
| Liekamoji rizika | Parodo likusią ekspoziciją |
| Rizikos savininko patvirtinimas | Įrodo priėmimą ir valdyseną |
Saros R-042 atveju rizikos tvarkymo planas tampa kryžminės atitikties veiksmų sąrašu.
| Rizikos ID | Rizikos tvarkymo veiksmas | ISO/IEC 27001:2022 Annex A nuoroda | NIS2 aktualumas | DORA aktualumas | Savininkas | Įrodymai |
|---|---|---|---|---|---|---|
| R-042 | Pasinaudoti tiekėjo audito teisėmis ir paprašyti pažeidžiamumų valdymo įrodymų | 5.19, 5.20, 5.21, 5.22, 5.31 | Article 21(2)(d) tiekimo grandinės saugumas | Articles 28 and 30 IRT trečiųjų šalių rizika ir sutartys | CTO ir pirkimų vadovas | Audito prašymas, tiekėjo atsakymas, sutarties peržiūra |
| R-042 | Įdiegti išplėstinę anomalios API ir privilegijuotos veiklos stebėseną | 8.15, 8.16, 5.16, 5.17, 5.18 | Article 21(2)(i) prieigos kontrolė ir turto valdymas | Articles 6 and 17 IRT rizika ir incidentų valdymas | SOC vadovas | SIEM taisyklė, perspėjimo testas, prieigos peržiūra |
| R-042 | Patikrinti atsarginių kopijų atkūrimą ir apibrėžti paslaugos lygmens RTO ir RPO | 5.30, 8.13, 8.14 | Article 21(2)(c) veiklos tęstinumas ir atsarginės kopijos | Articles 11 and 12 reagavimas, atkūrimas, atsarginės kopijos ir atkūrimas | Platformos inžinerijos vadovas | Atkūrimo ataskaita, RTO ir RPO patvirtinimas |
| R-042 | Surengti tiekėjo duomenų saugumo pažeidimo stalo pratybas | 5.24, 5.26, 5.27, 5.29 | Articles 21(2)(b) and 23 incidentų valdymas ir pranešimas | Articles 17, 18, 19, and 24 incidentų valdymas, klasifikavimas, pranešimas ir testavimas | CISO | Stalo pratybų įrašas, įgyta patirtis, taisomųjų veiksmų sekimo priemonė |
| R-042 | Atnaujinti SoA ir patvirtinti liekamąją riziką | 5.4, 5.31, 5.35 | Article 20 vadovybės atskaitomybė | Articles 5 and 6 valdysena ir IRT rizikos sistema | CISO ir rizikos savininkas | Atnaujintas SoA, patvirtinimo įrašas, vadovybės peržiūros protokolas |
Šis planas veiksmingas todėl, kad sukuria tiesioginę liniją nuo vieno rizikos scenarijaus iki ISO 27001 kontrolės priemonių, NIS2 įpareigojimų, DORA straipsnių, savininkų ir įrodymų.
Priverskite Taikomumo pareiškimą dirbti daugiau
Taikomumo pareiškimas dažnai traktuojamas kaip sertifikavimo artefaktas. Jis turi būti daugiau nei tai.
ISO/IEC 27001:2022 Clause 6.1.3 reikalauja, kad SoA apimtų būtinas kontrolės priemones, įtraukimo pagrindimą, įgyvendinimo būseną ir neįtraukimo pagrindimą. ISO/IEC 27005:2022 gairės sustiprina poreikį palyginti pasirinktas kontrolės priemones su ISO/IEC 27001 Annex A, kad būtų išvengta praleidimų.
Auditui tinkamoje programoje SoA tampa tiltu tarp rizikos tvarkymo ir kryžminės atitikties įrodymų. Jei rizikos tvarkymo planas reikalauja MFA, žurnalavimo, tiekėjų stebėsenos, atsarginių kopijų atkūrimo, saugaus kūrimo, incidentų eskalavimo arba pasitraukimo iš debesijos planavimo, SoA turi parodyti, kad atitinkamos Annex A kontrolės priemonės yra įtrauktos, pagrįstos, įgyvendintos arba suplanuotos ir patvirtintos įrodymais.
Tai taip pat padeda išvengti dažnos audito nesėkmės: rizikų registras sako viena, rizikos tvarkymo planas – kita, o SoA tyli. Kai šie artefaktai nesutampa, auditoriai greitai praranda pasitikėjimą.
ISO 27001 rizikos tvarkymo susiejimas su NIS2, DORA ir GDPR
ISO 27001 nepakeičia NIS2, DORA ar GDPR. Jis suteikia struktūruotą mechanizmą šiems reikalavimams pagrįsti įrodymais.
Svarbiausia – susiejimą įtraukti į rizikos procesą, o ne pridėti vėliau.
| ISO 27001 rizikos tvarkymo įrodymai | NIS2 aktualumas | DORA aktualumas | GDPR aktualumas |
|---|---|---|---|
| Rizikos kriterijai su reglamentavimo poveikio balais | Palaiko Article 21 proporcingas kibernetinio saugumo rizikos valdymo priemones | Palaiko Articles 4, 5, and 6 proporcingumą, valdyseną ir IRT rizikos sistemą | Palaiko atskaitomybę ir tinkamą saugumą |
| Rizikų registras su savininkais ir KVP poveikiu | Palaiko Article 20 vadovybės priežiūrą ir Article 21 rizikos analizę | Palaiko dokumentuotą IRT rizikos valdymą ir savininkystę | Palaiko asmens duomenų rizikos supratimo įrodymą |
| Rizikos tvarkymo planas, susietas su Annex A | Palaiko Article 21 priemones incidentų, veiklos tęstinumo, tiekėjų, prieigos, pažeidžiamumų ir saugaus kūrimo srityse | Palaiko IRT kontrolės priemones, incidentų valdymą, veiklos tęstinumą, testavimą ir trečiųjų šalių atsparumą | Palaiko technines ir organizacines priemones pagal Article 32 |
| Tiekėjų rizikos įrašai ir sutarčių kontrolės priemonės | Palaiko Article 21(2)(d) tiekimo grandinės saugumą | Palaiko Articles 28 and 30 IRT trečiųjų šalių rizikos ir sutarčių reikalavimus | Palaiko tvarkytojų ir duomenų perdavimo apsaugos priemones, kai taikoma |
| Incidentų scenarijai ir pranešimo veiksmų planai | Palaiko Article 23 reikšmingų incidentų pranešimo darbo eigą | Palaiko Articles 17, 18, and 19 incidentų valdymą, klasifikavimą ir pranešimą | Palaiko Articles 33 and 34 pranešimo apie pažeidimą vertinimą |
| BCP, atsarginių kopijų ir atkūrimo rizikos tvarkymo priemonės | Palaiko Article 21(2)(c) veiklos tęstinumą, atsargines kopijas, atkūrimą po katastrofos ir krizių valdymą | Palaiko Articles 11 and 12 reagavimą, atkūrimą, atsargines kopijas ir atkūrimą | Palaiko prieinamumą ir atsparumą, kai susiję asmens duomenys |
| Kontrolės veiksmingumo peržiūros | Palaiko Article 21(2)(f) veiksmingumo vertinimą | Palaiko Article 24 testavimo ir taisomųjų veiksmų lūkesčius | Palaiko nuolatinę atskaitomybę |
Šis susiejimas ypač svarbus ten, kur reglamentai persidengia. DORA daugeliui finansų subjektų yra sektoriui būdingas IRT atsparumo režimas, o NIS2 gali išlikti tiesiogiai aktuali tam tikriems paslaugų teikėjams, koordinavimui arba subjektams, nepatenkantiems į DORA taikymo sritį. Fintech įmonei DORA gali būti pagrindinė IRT atsparumo sistema, o valdomų paslaugų teikėjas, aptarnaujantis tą fintech įmonę, gali tiesiogiai susidurti su NIS2 įpareigojimais.
Rizikų registras turi gebėti parodyti abi šios priklausomybės puses.
Naudokite Zenith Controls kaip kryžminės atitikties kompasą
Clarysec naudoja Zenith Controls kaip kryžminės atitikties vadovą, kad išvengtų dažnos nesėkmės, kai ISO kontrolės priemonės, reglamentavimo straipsniai ir audito klausimai gyvena atskiruose pasauliuose. Tai nesukuria atskiros kontrolės priemonių sistemos. Jis susieja ISO/IEC 27001:2022 ir ISO/IEC 27002:2022 kontrolės sritis su kitais standartais, audito lūkesčiais ir atitikties perspektyvomis.
ISO 27001 rizikos vertinimui ir rizikos tvarkymui ypač svarbios šios nuorodos:
| ISO/IEC 27001:2022 Annex A nuoroda, naudojama Zenith Controls | Kodėl tai svarbu rizikos vertinimui ir rizikos tvarkymui | Zenith Controls fiksuojami atributai |
|---|---|---|
| 5.4 Vadovybės atsakomybės | Susieja rizikos tvarkymo savininkystę su valdysena, vaidmenų aiškumu ir atskaitomybe | Prevencinė kontrolės priemonė, palaiko konfidencialumą, vientisumą ir prieinamumą, susieta su Identify, Governance, Governance and Ecosystem |
| 5.31 Teisiniai, įstatyminiai, reglamentavimo ir sutartiniai reikalavimai | Susieja atitikties registrą su rizikos kriterijais, rizikos tvarkymo sprendimais ir SoA įtraukimu | Prevencinė kontrolės priemonė, palaiko konfidencialumą, vientisumą ir prieinamumą, susieta su Identify, Legal and Compliance, Governance, Ecosystem ir Protection |
| 5.35 Nepriklausoma informacijos saugumo peržiūra | Susieja vidaus auditą, išorinį auditą ir vadovybės patikinimą su rizikos tvarkymo veiksmingumu | Prevencinė ir korekcinė kontrolės priemonė, palaiko konfidencialumą, vientisumą ir prieinamumą, susieta su Identify and Protect, Information Security Assurance, Governance and Ecosystem |
Kryžminės atitikties pamoka paprasta. Jei teisiniai įpareigojimai nėra rizikos vertinimo metode, jūsų balų skyrimas yra neišsamus. Jei balų skyrimas neišsamus, rizikos tvarkymo prioritetai gali būti klaidingi. Jei prioritetai klaidingi, SoA ir ataskaitų teikimas valdybai tampa nepatikimi.
Zenith Blueprint tą pačią mintį pateikia Rizikos valdymo fazės 14 žingsnyje „Rizikos tvarkymo politikos ir reglamentavimo kryžminės nuorodos“. Jame organizacijoms rekomenduojama sukurti susiejimo lentelę, kurioje būtų išvardyti pagrindiniai reglamentavimo saugumo reikalavimai ir atitinkamos ISVS kontrolės priemonės arba politikos. Tai nėra privaloma ISO 27001 sertifikavimui, tačiau labai naudinga įrodant, kad saugumas valdomas teisinių ir sutartinių įsipareigojimų kontekste.
Ko klaus skirtingi auditoriai
Sertifikavimo auditorius, NIS2 vertintojas, į DORA orientuotas klientas, GDPR vertintojas, NIST vertintojas arba COBIT specialistas gali nagrinėti tuos pačius įrodymus, tačiau klausti skirtingų klausimų.
| Auditoriaus perspektyva | Tipinis audito klausimas | Tikėtini įrodymai |
|---|---|---|
| ISO 27001 auditorius | Ar rizikos vertinimo metodas apibrėžtas, pakartojamas, taikomas ir susietas su rizikos tvarkymu bei SoA? | Rizikos metodika, kriterijai, registras, SoA, rizikos tvarkymo planas, liekamosios rizikos patvirtinimai |
| Į NIS2 orientuotas vertintojas | Ar kibernetinio saugumo priemonės apima Article 21 sritis ir vadovybės atskaitomybę? | Valdybos patvirtinimai, Article 21 susiejimas, incidentų veiksmų planas, veiklos tęstinumo įrodymai, tiekėjų rizikos įrodymai |
| Į DORA orientuotas vertintojas | Ar IRT rizikos valdymas dokumentuotas, valdomas, testuojamas ir išplėstas IRT trečiosioms šalims? | IRT rizikos sistema, incidentų klasifikavimo procesas, BCP testai, atsparumo testavimas, IRT tiekėjų registras |
| GDPR vertintojas | Ar organizacija gali įrodyti tinkamą saugumą ir atskaitomybę dėl asmens duomenų rizikų? | Duomenų apskaita, teisinio pagrindo susiejimas, pažeidimo vertinimo procedūra, privatumo rizikos tvarkymo įrodymai |
| Į NIST orientuotas vertintojas | Ar rizikos identifikuojamos, nuo jų apsaugoma, jos aptinkamos, į jas reaguojama ir po jų atkuriama veikla per išmatuojamas kontrolės priemones? | Rizikos scenarijai, turto apskaita, kontrolės priemonių įgyvendinimas, stebėsena, reagavimo ir atkūrimo įrašai |
| COBIT arba ISACA auditorius | Ar rizikos valdysena suderinta su įmonės tikslais, vaidmenimis, veiklos rodikliais, patikinimu ir vadovybės ataskaitomis? | Valdysenos protokolai, RACI, KRI, vidaus audito išvados, taisomųjų veiksmų sekimas, valdymo skydai |
Todėl įrodymų architektūra yra svarbi. Tas pats rizikos įrašas turi būti atsekamas nuo verslo tikslo iki turto, grėsmės, pažeidžiamumo, kontrolės priemonės, savininko, reglamentavimo veiksnio, rizikos tvarkymo veiksmo, testo rezultato ir vadovybės sprendimo.
Clarysec politikos sukurtos šiai architektūrai palaikyti. Įmonės Rizikos valdymo politika skyriuje „Pamatiniai standartai ir sistemos“ nurodo:
Article 5: reikalauja dokumentuotos IRT rizikos valdymo sistemos, kurią visiškai apima šios politikos struktūra, įskaitant SoA susiejimą ir KRI.
Tai paverčia politiką iš statinio dokumento audito įrodymu, rodančiu, kad IRT rizikos valdysena sąmoningai sukurta atsižvelgiant į DORA.
Dažnos išvados, kurios suardo rizikos programas
Kai Clarysec peržiūri ISO 27001 rizikos vertinimo ir rizikos tvarkymo įrodymus, tos pačios išvados kartojasi nuolat.
Pirma, rizikos kriterijai ignoruoja teisinį, reglamentavimo, sutartinį, tiekėjų ir privatumo poveikį. Tai lemia silpną balų skyrimą. Asmens duomenų saugumo pažeidimas arba kritinio tiekėjo nesėkmė gali būti įvertinta kaip vidutinė, nes tikimybė maža, nors GDPR, NIS2, DORA arba kliento poveikis turėtų ją padaryti aukštą arba kritinę.
Antra, rizikos savininkai yra bendriniai. „IT“ nėra rizikos savininkas. Rizikos savininkas turi būti vaidmuo arba asmuo, atsakingas už rizikos tvarkymo sprendimus, biudžetą, terminus ir liekamąją riziką.
Trečia, rizikos tvarkymo planai nėra terminuoti. „Pagerinti stebėseną“ nėra planas. „Iki birželio 30 d. įdiegti privilegijuotų sesijų įspėjimus SIEM produkcinės aplinkos administratoriaus paskyroms, savininkas – SOC vadovas, patikrinti simuliuotu administratoriaus prisijungimu ir pridėti įspėjimo įrodymus“ yra planas.
Ketvirta, SoA atsietas nuo rizikos tvarkymo. Jei rizikos tvarkymo planas reikalauja tiekėjų stebėsenos, atsarginių kopijų testavimo, incidentų eskalavimo, MFA arba žurnalavimo, SoA turi atspindėti atitinkamas kontrolės priemones ir jų įgyvendinimo būseną.
Penkta, liekamoji rizika nepatvirtinta. ISO 27001 reikalauja rizikos savininko patvirtinimo dėl rizikos tvarkymo plano ir liekamųjų rizikų. NIS2 ir DORA tai padaro dar svarbiau, nes vadovybės atskaitomybė yra aiškiai įtvirtinta.
Šešta, tiekėjų rizika traktuojama kaip pirkimų administravimas. Pagal NIS2 Article 21(2)(d) ir DORA Articles 28 and 30 tiekėjų ir IRT trečiųjų šalių rizika turi būti rizikos valdymo dalis, o ne izoliuotai saugomas metinis klausimynas.
Septinta, nėra veiksmingumo įrodymų. ISO 27001 Clause 6.1.1 reikalauja įvertinti suplanuotų veiksmų veiksmingumą. NIS2 Article 21(2)(f) apima veiksmingumo vertinimą. DORA tikisi testavimo ir taisomųjų veiksmų. Kontrolės priemonė, kuri egzistuoja, bet niekada netestuojama, yra silpnas įrodymas.
MVĮ Rizikos valdymo politika – MVĮ lūkestį suformuluoja tiesiai:
Generalinis vadovas ir rizikos koordinatorius turi užtikrinti, kad rizikos valdymo veiklos būtų tinkamos auditui. Rizikų registrui ir susijusiems veiksmams taikomas vidaus ir išorės auditas.
Iš MVĮ Rizikos valdymo politikos skyriaus „Įgyvendinimas ir atitiktis“, politikos nuostata 8.2.1.
Ataskaitų teikimas valdybai neperkraunant vadovų
NIS2, DORA ir ISO 27001 visi veda į vadovybės atskaitomybę, tačiau valdyboms nereikia kiekvienos rizikos eilutės. Joms reikia sprendimams naudingų ataskaitų.
Geras valdybos rizikos paketas turi parodyti:
- Aukštas ir kritines rizikas pagal sritis
- Pradelstus rizikos tvarkymo veiksmus
- Reglamentavimo rizikas, susijusias su NIS2, DORA, GDPR arba sutartimis
- Tiekėjų rizikas, veikiančias kritines arba svarbias paslaugas
- Incidentų ir vos neįvykusių incidentų tendencijas
- Liekamąsias rizikas, laukiančias priėmimo
- Kontrolės veiksmingumo testų rezultatus
- Esminius taikymo srities, tiekėjų, technologijų arba teisės pokyčius
- Vidaus audito išvadas ir korekcinius veiksmus
Clarysec paprastai rekomenduoja mėnesines operacines rizikos peržiūras ir ketvirtines vadovybės peržiūras. Mėnesinės peržiūros sutelktos į rizikos tvarkymo įgyvendinimą. Ketvirtinės peržiūros sutelktos į priėmimą, finansavimą, prioritetizavimą, reglamentavimo ekspoziciją ir strateginius rizikos sprendimus.
Šis ritmas taip pat palaiko nuolatinį tobulinimą. Rizikos vertinimai turi būti atnaujinami įvykus incidentams, atsiradus pažeidžiamumams, įtraukus naują turtą, pasikeitus technologijoms, tiekėjams, teisės aktams, klientų įsipareigojimams arba rizikos apetitui.
Clarysec įgyvendinimo kelias
Vieninga rizikos programa leidžia išvengti atsietų ISO, NIS2, DORA, GDPR ir klientų patikinimo skaičiuoklių. Praktinis kelias yra toks:
- Patvirtinti ISVS taikymo sritį, paslaugas, turtą, tiekėjus, jurisdikcijas ir klientų įsipareigojimus.
- Sukurti arba atnaujinti atitikties registrą, kai tinkama naudojant Teisinės ir reglamentavimo atitikties politiką – MVĮ.
- Apibrėžti rizikos metodiką, priėmimo kriterijus, tikimybės skales, poveikio skales ir reglamentavimo poveikio taisykles.
- Sukurti rizikų registrą naudojant Zenith Blueprint Rizikos valdymo fazę ir Clarysec rizikų registro bei SoA kūrimo metodą.
- Identifikuoti turtu grindžiamas ir scenarijais grindžiamas rizikas, įskaitant tiekėjų, debesijos, privatumo, veiklos tęstinumo, incidentų, pažeidžiamumų, saugaus kūrimo ir prieigos scenarijus.
- Įvertinti rizikas balais pagal kriterijus, apimančius teisinį, reglamentavimo, sutartinį, operacinį, privatumo, tiekėjų ir finansinį poveikį.
- Pasirinkti rizikos tvarkymo parinktis: mažinti, vengti, perduoti arba priimti.
- Susieti būtinas kontrolės priemones su ISO/IEC 27001:2022 Annex A ir ISO/IEC 27002:2022 gairėmis.
- Sukurti arba atnaujinti Taikomumo pareiškimą.
- Susieti rizikos tvarkymo priemones su NIS2 Article 21, DORA IRT rizikos valdymo ir trečiųjų šalių lūkesčiais, GDPR atskaitomybe ir klientų sutartiniais įsipareigojimais.
- Surinkti įrodymus, patvirtinti kontrolės veiksmingumą ir gauti liekamosios rizikos patvirtinimą.
- Parengti audito paketą, suorganizuotą pagal riziką, kontrolės priemonę, reglamentą ir įrodymų artefaktą.
- Rezultatus įtraukti į vadovybės peržiūrą, vidaus auditą, korekcinius veiksmus ir nuolatinį tobulinimą.
Tai nėra dokumentacija dėl pačios dokumentacijos. Tai įrodymais pagrindžiamos kibernetinės valdysenos operacinė sistema.
Sukurkite auditui tinkamą rizikos tvarkymo paketą
Saros istorija baigėsi gerai, nes ji nustojo ISO 27001, NIS2 ir DORA traktuoti kaip atskirus atitikties projektus. Ji panaudojo ISO 27001 rizikos vertinimą kaip centrinį variklį, įtraukė reglamentavimo įpareigojimus į rizikos kriterijus, susiejo rizikos tvarkymo veiksmus su Annex A ir ES reikalavimais ir surinko įrodymus, kuriuos galėjo suprasti klientai, auditoriai ir valdyba.
Jūsų organizacija gali padaryti tą patį.
Naudokite Zenith Blueprint: auditoriaus 30 žingsnių veiksmų planą, kad apibrėžtumėte rizikos kriterijus, sukurtumėte rizikų registrą, parengtumėte rizikos tvarkymo planą ir susietumėte reglamentavimo reikalavimus.
Naudokite Zenith Controls: kryžminės atitikties vadovą, kad sujungtumėte ISO/IEC 27001:2022 Annex A kontrolės sritis su valdysenos, teisinės atitikties, patikinimo ir audito perspektyvomis.
Naudokite Clarysec Rizikos valdymo politiką, Rizikos valdymo politiką – MVĮ ir Teisinės ir reglamentavimo atitikties politiką – MVĮ, kad standartizuotumėte savininkystę, registrus, rizikos tvarkymo sprendimus ir auditui tinkamus įrodymus.
Greičiausias praktinis kitas žingsnis – paimti dešimt svarbiausių rizikų ir patikrinti jas pagal penkis klausimus:
- Ar matomas reglamentavimo poveikis?
- Ar rizikos tvarkymo planas yra terminuotas ir turi savininką?
- Ar kiekviena rizikos tvarkymo priemonė susieta su Annex A ir SoA?
- Ar NIS2, DORA, GDPR arba kliento aktualumas dokumentuotas ten, kur taikoma?
- Ar yra įrodymų, kad kontrolės priemonė veikia?
Jei atsakymas yra ne, Clarysec gali padėti paversti jūsų rizikų registrą įrodymais pagrindžiama, kryžminę atitiktį palaikančia rizikos tvarkymo programa, kuria gali pasitikėti auditoriai, reguliuotojai, klientai ir valdybos.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
