Už ugniasienės ribų: kodėl auditui pasirengusiai atitikčiai būtina tikra valdymo sistema, susieta su ISO 27001, NIS2 ir DORA
Audito katastrofa: kodėl ugniasienės neišgelbės jūsų atitikties
Išankstinio audito ataskaita smogia skaudžiai — nesvarbu, ar tai Fortune 500 finansų įmonė, ar finansinių technologijų rinkos keitėja, problema visur ta pati. FinCorp Innovations vyriausioji informacijos saugumo pareigūnė (CISO) Sarah žvelgė į gausybę raudonai pažymėtų pastabų, nors į kibernetinį saugumą buvo investuota septynženklė suma: naujos kartos ugniasienės, aukščiausios klasės galinių įrenginių sauga ir visiems naudotojams įdiegta daugiafaktorė autentifikacija (MFA). Technologijos veikė nepriekaištingai. Tačiau kai jos ISO/IEC 27001:2022 auditorius pateikė išvadą, tapo aišku: vien technologijų nepakanka.
Nurodytos reikšmingos neatitiktys:
- Nėra įrodomo aukščiausiosios vadovybės įsipareigojimo.
- Ad hoc rizikos vertinimas nesusietas su verslo kontekstu.
- Tiekėjų saugumas valdomas neformaliais el. laiškais, be rizikos vertinimo ar sutarčių peržiūros.
Sarah „saugi tvirtovė“ audito neišlaikė ne todėl, kad jai trūko technologijų, o todėl, kad trūko holistinės, strateginės valdymo sistemos įrodymų. Tas pats scenarijus kartojasi reguliuojamuose sektoriuose pagal NIS2 ir DORA. Tai ne techninis trūkumas, o visos organizacijos valdysenos nesėkmė. Ugniasienės nėra susietos su strateginėmis gairėmis, tiekėjų rizikos valdymu ar įgyta patirtimi. Atitikties sistemos reikalauja daugiau.
Kodėl IT valdoma atitiktis žlunga: verslo rizikos išnarpliojimas
Daugelis organizacijų patenka į klaidingo saugumo jausmo spąstus, kai atitiktį laiko IT projektu: programinė įranga įdiegta, naudotojai apmokyti, žurnalai siunčiami į SIEM. Vis dėlto ISO/IEC 27001:2022, NIS2 ir DORA reikalauja valdymo sistemos požiūrio įrodymų:
- Valdybos ir vykdomosios vadovybės dalyvavimo priimant saugumo sprendimus.
- Dokumentuotų, su verslu suderintų rizikos vertinimų.
- Sistemingos tiekėjų valdysenos, sutarčių valdymo ir deramo patikrinimo.
- Struktūruotų nuolatinio tobulinimo ciklų, kuriuose įgyta patirtis taikoma visoje organizacijoje.
Ilgametė Clarysec audito patirtis tai patvirtina: atitiktis nėra ugniasienė. Sėkmingas auditas priklauso nuo visos organizacijos atsakomybės, dokumentuotų procesų, tarpfunkcinio įsitraukimo ir nuolatinio tobulinimo.
“Vadovybės įsipareigojimas ir informacijos saugumo integravimas į organizacijos procesus yra esminiai atitikčiai. Dokumentuotas valdymo sistemos požiūris, pagrįstas įgyvendinimo ir nuolatinio tobulinimo įrodymais, skiria brandžias organizacijas nuo formalių „varnelių žymėjimo“ atitikties pastangų.”
(Zenith Controls: kryžminės atitikties vadovas, ISVS 5 skyriaus kontekstas)
Valdymo sistema ir techninis projektas
ISVS (informacijos saugumo valdymo sistema) nėra projektas — tai tęstinė, cikliška disciplina, susieta su strategija, rizika ir tobulinimu. Ji prasideda nuo valdysenos, taikymo srities apibrėžimo ir vadovybės suderinimo, o ne serverinėje.
- IT projektas: vienkartinis kontrolinis sąrašas (įdiegti ugniasienę, atnaujinti programinę įrangą).
- ISVS: vadovybės lygmens sistema (apibrėžti kontekstą, nustatyti tikslus, priskirti vaidmenis, peržiūrėti ir tobulinti).
Auditoriai ieško ne tik techninių kontrolės priemonių, bet ir kiekvieno proceso „kodėl“: vadovybės įsipareigojimo, integracijos su verslo strategija ir dokumentuotų, nuolat tobulinamų sistemų.
Nesėkmių istorijos: realūs audito žlugimo atvejai
Pažvelkime, kaip audito nesėkmė atrodo praktiškai.
FinCorp Innovations atvejo analizė
| Audito išvada | Kodėl tai nepavyko |
|---|---|
| Nėra dokumentuotų aukščiausiosios vadovybės ISVS peržiūrų | Auditoriai tikisi vykdomosios vadovybės / valdybos įsitraukimo; vien IT taikymo srities nepakanka |
| Rizikos vertinimai apsiribojo pažeidžiamumais | Privaloma įtraukti tiekėjų, personalo valdymo, procesų ir teisines rizikas, ne tik technines |
| Tiekėjų sutartyse trūko saugumo deramo patikrinimo | Tiekėjų saugumas pagal ISO/IEC 27036 yra visos organizacijos atsakomybė |
| Nėra korekcinių veiksmų stebėsenos įrodymų | ISO/IEC 27001 10 skyrius reikalauja įrodomo tobulinimo |
| Nėra ISVS veiksmingumo matavimo | Audito metu tikimasi nuolatinės peržiūros, o ne statinio projekto |
Nepaisant techninio brandumo, verslo valdomų valdymo sistemos elementų — atsakomybės, valdysenos ir tobulinimo — stoka užkirto kelią sertifikavimui.
„Už IT ribų“ mandato išaiškinimas: kaip šiuolaikiniai standartai plečia taikymo sritį
NIS2, DORA ir ISO 27001 nėra techniniai kontroliniai sąrašai. Jie įtvirtina skaitmeninio atsparumo veiklos modelius, apimančius visas verslo kryptis:
- Vykdomosios vadovybės įsipareigojimas: integracija su strateginiais tikslais ir valdybos priežiūra.
- Rizikos valdymas: formalizuotos metodikos verslo, tiekėjų, teisinei ir atitikties rizikai valdyti.
- Tiekėjų valdysena: sistemingas tiekėjų įtraukimas, deramas patikrinimas ir sutartinės saugumo nuostatos.
- Nuolatinis tobulinimas: aktyvus įgytos patirties taikymas, korekciniai veiksmai, peržiūros po incidentų.
Clarysec Zenith Controls suvienija šią taikymo sritį, kryžmiškai susiedamos ją su ISO/IEC 27014 (valdysena), ISO/IEC 27005 (rizika) ir ISO/IEC 27036 (tiekėjų valdymas), taip užtikrindamos auditorių reikalaujamą visos organizacijos discipliną.
Nuo projekto prie sistemos: Zenith Blueprint 30 žingsnių veiksmų planas
Clarysec „Zenith Blueprint: auditoriaus 30 žingsnių ISVS veiksmų planas“ užpildo valdymo spragą ir pateikia nuoseklią, praktinę darbo eigą organizacijoms, pasirengusioms peržengti technologinių silosų ribas.
Veiksmų plano akcentai
Pradžia nuo viršaus:
- Vykdomosios vadovybės rėmimas ir strateginis suderinimas.
- Taikymo srities ir konteksto apibrėžimas.
- Aiškus vaidmenų priskyrimas už IT ribų.
Visos organizacijos integracija:
- Integruoti tiekėjai, personalo valdymas, pirkimai, teisė ir rizikos valdymas.
- Bendradarbiavimas tarp padalinių.
Procesas ir tobulinimas:
- Suplanuotos peržiūros, dokumentuoti korekciniai veiksmai, nuolatinio tobulinimo ciklai.
Pagrindinės fazės
| Fazė | Žingsniai | Dėmesio sritis |
|---|---|---|
| 1 | 1-5 | Aukščiausiosios vadovybės palaikymas, ISVS taikymo sritis, kontekstas, vaidmenys, rizikos metodika |
| 2 | 6-10 | Rizikos valdymas, turto identifikavimas, rizikos analizė, tvarkymas ir suderinimas |
| 3 | 11-20 | Tiekėjų / trečiųjų šalių vertinimas, visos organizacijos informuotumas, sutarčių saugumas |
| 4 | 21-26 | Operacijų integravimas, nuolatinė stebėsena, veiklos rodikliai |
| 5 | 27-30 | Formalios vadovybės peržiūros, įgyta patirtis, organizacinis tobulinimas |
Auditoriui matomas rezultatas: ne tik IT proceso įrodymai, bet ir visos sistemos atsakomybė, atskaitomybė, dokumentuotas tobulinimas ir atsekamumas iki verslo vertės.
Valdymo sistema praktikoje: kontrolės priemonės, kurios laužo IT silosą
Auditoriai vertina, kaip atskiros kontrolės priemonės integruojamos į platesnę sistemą. Skirtumą aiškiai parodo dvi kritinės kontrolės priemonės.
1. Informacijos saugumo vaidmenys ir atsakomybės (ISO/IEC 27002:2022 Control 5.1)
Kontrolės reikalavimas:
Aiškūs saugumo vaidmenys ir atsakomybės priskiriami visoje organizacijoje — nuo valdybos iki operacinio personalo.
Kontekstas ir audito lūkestis:
- Apima personalo valdymą, teisę, riziką, pirkimus, ne tik IT.
- Reikalauja dokumentacijos (vaidmenų aprašų, periodinių peržiūrų, RACI schemų).
- Suderinama su valdysenos sistemomis: ISO/IEC 27014, COBIT 2019, NIS2, DORA.
Tipiniai auditoriaus kontroliniai punktai:
- Dokumentuoti vadovybės vaidmenys.
- Tarpfunkcinės integracijos įrodymai.
- Atsekamumas nuo valdybos nurodymų iki operacinio vykdymo.
2. Tiekėjų santykių saugumas (ISO/IEC 27002:2022 Control 5.19)
Kontrolės reikalavimas:
Valdyti tiekėjų / trečiųjų šalių prieigą, įtraukimą, sutartis ir nuolatinę stebėseną.
Kryžminis atitikties susiejimas:
- ISO/IEC 27036: tiekėjų gyvavimo ciklo valdymas (patikra, įtraukimas, nutraukimas).
- NIS2: tiekimo grandinės rizika įtraukta į valdyseną.
- DORA: išorinių paslaugų ir IRT rizika kaip operacinio atsparumo prioritetas.
- GDPR: duomenų tvarkytojų sutartys su apibrėžtomis informacijos saugumo ir pranešimų apie pažeidimus nuostatomis.
| Sistema | Auditoriaus perspektyva |
|---|---|
| ISO/IEC 27001 | Vertina tiekėjų deramą patikrinimą, sutarties sąlygas, stebėsenos procesus |
| NIS2 | Rizikos valdymas tiekimo grandinės poveikiui, ne tik techninėms integracijoms |
| DORA | Trečiųjų šalių / išorinių paslaugų rizika, valdybos lygmens peržiūra |
| COBIT 2019 | Kontrolės stebėsena ir tiekėjo veiklos rezultatai |
| GDPR | Duomenų tvarkymo sutartys, pranešimo apie pažeidimus darbo eiga |
Šios kontrolės priemonės reikalauja aktyvios atsakomybės ir verslo vadovavimo. Kontrolinio sąrašo nepakanka — auditoriai ieško sisteminio įsitraukimo.
Kryžmiškai suderintos kontrolės priemonės: Clarysec kompasas kelių sistemų suderinimui
Clarysec Zenith Controls leidžia susieti kontrolės priemones tarp standartų ir atskleidžia visos organizacijos discipliną, kuri palaiko patikimą atitiktį.
„Tiekėjų saugumas yra organizacijos valdymo veikla, apimanti rizikų identifikavimą, deramą patikrinimą, sutarčių struktūravimą ir nuolatinį užtikrinimą; ji susieta su ISO/IEC 27001:2022 (8 skyriumi), ISO/IEC 27036, NIS2 Article 21, DORA Article 28, COBIT 2019 DSS02 ir NIST SP 800-161.“
(Zenith Controls: Tiekėjų ir trečiųjų šalių saugumo skyrius)
Kryžminė lentelė: tiekėjų saugumas skirtingose sistemose
| ISO/IEC 27002:2022 | NIS2 | DORA | GDPR | COBIT 2019 | Ko klausia auditoriai |
|---|---|---|---|---|---|
| 5.19 Tiekėjų saugumas | Article 21 Tiekimo grandinės saugumas | Article 28 IRT trečiųjų šalių rizika | Article 28 Duomenų tvarkytojų sutartys | DSS02 Trečiųjų šalių paslaugos | Tiekėjų rizikos valdymo, stebėsenos, valdybos peržiūros ir sutartinių saugumo nuostatų įrodymai |
Politikos pagrindas: tikros politikos holistinei atitikčiai
Dokumentacija yra valdymo sistemos pagrindas; politikos turi peržengti IT ribas.
Clarysec politikos integruoja kryžminės atitikties geriausiąją praktiką:
“Tiekėjams ir trečiosioms šalims iki pasitelkimo turi būti atliekamos saugumo patikros ir rizikos vertinimai; privalomos sutartinės nuostatos, užtikrinančios saugumą ir teisinių bei reguliavimo įpareigojimų laikymąsi, o veiklos rezultatai nuolat stebimi. Kai nustatomos rizikos arba veiklos rezultatų problemos, vykdomi korekciniai veiksmai ir tobulinimai.”
(3.2 skyrius, Tiekėjų vertinimas, Trečiųjų šalių ir tiekėjų saugumo politika)
Šios politikos įtvirtina rizikos valdymą, tiekėjų įtraukimą, teisinį parengimą ir nuolatinę peržiūrą, suteikdamos auditoriams tvirtus visos organizacijos įsitraukimo įrodymus, reikalingus bet kokiam vertinimui išlaikyti.
Praktinis scenarijus: auditui pasirengusio tiekėjų saugumo kūrimas
Kaip techninė komanda gali išaugti į valdymo sistemą?
Žingsnis po žingsnio:
- Politikos suderinimas: aktyvuokite Clarysec „Trečiųjų šalių ir tiekėjų saugumo politiką“, kad padaliniai sutartų dėl vaidmenų ir minimalių sutarties sąlygų.
- Rizika grindžiamas vertinimas: naudokite Zenith Blueprint veiksmų planą tiekėjų patikrai, įtraukimo dokumentacijai ir periodiniam pakartotiniam vertinimui susisteminti.
- Kontrolės priemonių susiejimas: taikykite Zenith Controls kryžmines lenteles NIS2, DORA, GDPR reikalavimams, duomenų tvarkytojų sutarčių turiniui ir tiekimo grandinės atsparumo įrodymams susieti.
- Valdybos peržiūros integravimas: įtraukite tiekėjų riziką į ISVS vadovybės peržiūras kartu su aukščiausiosios vadovybės veiksmų sekimu, tobulinimo registru ir nuolatiniu pasirengimu auditui.
Galutinis rezultatas:
Auditorius nebemato IT kontrolinių sąrašų. Jis mato dokumentuotą, verslo valdomą procesą, integruotą į pirkimus, teisę, personalo valdymą ir valdybos priežiūrą.
Ko auditoriai iš tikrųjų nori: kelių standartų perspektyva
Skirtingų standartų auditoriai ieško sisteminių įrodymų:
| Auditoriaus sritis | Dėmesys ir ieškomi įrodymai |
|---|---|
| ISO/IEC 27001 | Organizacijos kontekstas (4 skyrius), aukščiausiosios vadovybės įsipareigojimas (5 skyrius), dokumentuotos politikos, organizacijos rizikų registrai, nuolatinis tobulinimas |
| NIS2 | Tiekimo grandinės ir verslo rizikos integravimas, valdysenos sąsajos, išorės partnerių valdymas |
| DORA | Operacinis atsparumas, išorinių paslaugų / IRT rizika, reagavimas į incidentus ir valdybos lygmens peržiūra |
| ISACA/COBIT 2019 | IT ir verslo suderinimas, kontrolės priemonių integracija, valdybos atskaitomybė, veiklos rezultatų matavimas |
“Vadovybės atskaitomybė už tiekėjų riziką turi būti įrodoma valdybos posėdžių protokolais, aiškiais tiekėjų peržiūros įrašais ir įgytos patirties / korekcinių veiksmų įrodymais iš realių incidentų ar tiekėjų problemų.”
(Zenith Controls: audito metodikos apžvalga)
Clarysec priemonių rinkinys užtikrina, kad visi šie įrodymai būtų sistemingai generuojami ir susiejami su bet kuria sistema.
Atsparumas už IT ribų: veiklos tęstinumas ir mokymasis iš incidentų
IRT pasirengimas veiklos tęstinumui: kryžminės atitikties pavyzdys
Ko auditoriai tikisi iš tokių kontrolės priemonių kaip ISO/IEC 27002:2022 Control 5.30?
| Auditoriaus sritis | Dėmesio sritis | Palaikančios sistemos |
|---|---|---|
| ISO/IEC 27001 | Verslo poveikio analizė (BIA), atkūrimo laiko tikslai (RTO), atkūrimo po katastrofos testų įrodymai, įtraukimas į rizikos ir vadovybės peržiūras | ISO/IEC 22301, ISO/IEC 22313 |
| DORA | Reguliavimo reikalavimai RTO, atsparumo testams, kritinių paslaugų teikėjų įtraukimui, pažangiam įsiskverbimo testavimui | DORA Articles 11-14 |
| NIST | Branda reagavimo / atkūrimo funkcijose, proceso apibrėžimas, aktyvus matavimas | NIST CSF PR.IP, RS.RP, RC.RP |
| COBIT/ISACA | Valdybos atsakomybė, RACI schemos, KPI, valdysenos rodikliai | COBIT APO12, BAI04 |
Čia auditoriai reikalauja valdysenos grįžtamojo ryšio ciklo, susiejančio verslo reikalavimus su techninėmis kontrolės priemonėmis, patvirtintomis testavimu ir nuolatine peržiūra. Zenith Controls rodo, kad atsparumas yra procesų tinklas, o ne produktas.
Reagavimas į incidentus: sisteminis mokymasis ir incidento uždarymas
- Techninis požiūris: incidentas aptiktas, lokalizuotas, incidento įrašas uždarytas.
- Valdymo sistema:
- Planas: iš anksto apibrėžtas reagavimas, tarpfunkciniai vaidmenys, saugi komunikacija.
- Vertinimas: poveikis išmatuotas, verslo reikalavimai lemia eskalavimą.
- Reagavimas: koordinuoti veiksmai, įrodymų tvarkymas, suinteresuotųjų šalių informavimas (pagal NIS2 / DORA pareigas teikti ataskaitas).
- Peržiūra / mokymasis: paskesnioji peržiūra, pagrindinės priežasties pašalinimas, politikos / proceso atnaujinimai (nuolatinis tobulinimas).
Clarysec Blueprint ir susietos kontrolės priemonės šį ciklą paverčia operaciniu procesu, užtikrindamos, kad kiekvienas incidentas skatintų sisteminį tobulinimą ir audito sėkmę.
Spąstai ir dažnos klaidos: kur įvyksta audito nesėkmės ir kaip jas spręsti
| Spąstai | Audito nesėkmės forma | Clarysec sprendimas |
|---|---|---|
| ISVS „tik per IT“ | Valdymo sistemos taikymo sritis per siaura standartams | Zenith Blueprint 1 fazė visos organizacijos vaidmenims priskirti |
| Į IT orientuotos politikos | Neapima rizikos, tiekėjų, personalo valdymo ir teisės sričių, todėl nepraeina NIS2 / DORA / GDPR | Clarysec politikų paketas, susietas su Zenith Controls, visai aprėpčiai |
| Tiekėjų procese nėra saugumo patikros | Pirkimai praleidžia reguliavimo rizikas | Trečiųjų šalių ir tiekėjų saugumo politikos suderinimas, susietas įtraukimas / peržiūra |
| Praleistos arba prastos vadovybės peržiūros | Praleidžiami pagrindiniai valdymo sistemos punktai | Zenith Blueprint 5 fazė, formalios valdybos lygmens peržiūros ir tobulinimo registras |
| Tobulinimo veiksmai nematomi visoje organizacijoje | Reikalingi visos organizacijos korekciniai veiksmai | Dokumentuota, stebima tobulinimo metodika (Clarysec priemonių rinkinys) |
Kaip audito nesėkmę paversti sistemine sėkme: praktiniai transformacijos žingsniai
Jūsų tolesnis kelias:
- Pradėkite nuo valdybos: kiekviena kelionė prasideda nuo aiškios valdysenos, politikos įsipareigojimo, biudžeto palaikymo ir suderinimo su strategine kryptimi.
- Aktyvuokite Blueprint: naudokite Clarysec 30 žingsnių veiksmų planą savo valdymo sistemai sukurti etapais, su tarpfunkciniais etapais ir tobulinimo ciklais.
- Įdiekite susietas politikas: įgyvendinkite Clarysec organizacijos politikų biblioteką (įskaitant Informacijos saugumo politiką ir aukščiausiosios vadovybės įsipareigojimą bei Trečiųjų šalių ir tiekėjų saugumo politiką).
- Sukryžminkite kontrolės priemones: parenkite savo kontrolės priemones auditui pagal ISO, NIS2, DORA, GDPR ir COBIT; visam susiejimui naudokite Zenith Controls kryžminės atitikties vadovą.
- Skatinkite nuolatinį tobulinimą: planuokite vadovybės peržiūras, įgytos patirties sesijas ir palaikykite auditui parengtą tobulinimo registrą.
Rezultatas:
Atitiktis tampa verslo atsparumu. Auditai tampa tobulinimo katalizatoriais, o ne panikos priežastimi.
Kryžminės atitikties integravimas: visas valdymo sistemos žemėlapis
Clarysec Zenith Controls suteikia ne tik „atitiktį“, bet ir tikrą suderinimą: kiekvienos kontrolės priemonės atributus, kryžmiškai susietą palaikymą susijusiems standartams, žingsnis po žingsnio metodiką ir valdybos lygmens audito įrodymus.
Vien tiekėjų saugumui gaunate:
- Atributai: taikymo sritis, verslo funkcija, rizikos kontekstas.
- Palaikančios kontrolės priemonės: sąsajos su veiklos tęstinumu, personalo patikra ir rizikos valdymu.
- ISO / sistemų susiejimas: ryšiai su ISO/IEC 27005, 27014, 27036, NIS2, DORA, GDPR, COBIT 2019, NIST.
- Audito žingsniai: įrodymų saugojimas, peržiūros protokolai, tobulinimo ciklo paleidikliai.
Ši sisteminė integracija reiškia, kad auditams niekada nesirengiate fragmentiškai. Kiekvieną dieną veikiate atspariai — suderinę valdybą, verslą ir techninę funkciją.
Raginimas veikti: paverskite atitiktį iš ugniasienės į sisteminį pasirengimą auditui
Perimetru grindžiamos atitikties era baigėsi. ISO 27001, NIS2 ir DORA yra valdymo sistemos, o ne kontroliniai sąrašai. Sėkmė reiškia valdybos lygmens atsakomybę, susietas kontrolės priemones, dokumentuotą tobulinimą ir organizacijos politikų suderinimą visiems tiekėjams, personalui ir verslo procesams.
Pasirengę pereiti nuo techninio kontrolinio sąrašo prie tikros valdymo sistemos?
- Pradėkite brandos spragų vertinimą naudodami Clarysec priemonių rinkinį.
- Atsisiųskite Zenith Blueprint ir gaukite visą 30 žingsnių veiksmų planą.
- Susipažinkite su Zenith Controls ir susietomis, auditui parengtomis kontrolės priemonėmis.
- Aktyvuokite organizacijos politikas tvirtai atitikčiai pagal ISO, NIS2, DORA ir kitus reikalavimus.
Tegul kitas auditas tampa realaus verslo atsparumo pagrindu. Susisiekite su Clarysec dėl ISVS pasirengimo demonstracijos arba gaukite prieigą prie mūsų priemonių rinkinio, kad atitiktį paverstumėte iš nepavykusio kontrolinio sąrašo gyva valdymo sistema.
Papildomi ištekliai:
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
