⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →
LT EN BG CS DA DE EL ES ET FI FR GA HR HU IT LV MT NL PL PT RO SK SL SV
NIS2 DORA GDPR NIST COBIT 2019

Nuolatinė NIS2 ir DORA atitikties stebėsena

Igor Petreski
14 min read
#Rizikos valdymas #Auditas #ISVS #Tiekėjų valdymas #Reagavimas į incidentus #Žurnalų valdymas ir stebėsena
NIS2 ir DORA nuolatinės atitikties stebėsenos schema

Penktadienio popietės klausimas, į kurį dabar turi atsakyti kiekvienas CISO

Penktadienį 16:40 debesijos aplinkoje veikiančios mokėjimų platformos CISO per dešimt minučių gauna tris pranešimus.

Pirmasis – iš finansų direktoriaus: „Mūsų banko partneris prašo atnaujintų įrodymų, kad atitinkame DORA lūkesčius dėl IRT trečiųjų šalių rizikos ir pranešimo apie incidentus.“

Antrasis – iš vyriausiojo teisininko: „Mūsų valdoma saugumo paslauga gali patekti į nacionalinio NIS2 įgyvendinimo taikymo sritį. Ar galime pagrįsti vadovybės priežiūrą ir kontrolės priemonių veiksmingumą?“

Trečiasis – iš inžinerijos vadovo: „Kritinį pažeidžiamumą pataisėme, bet darbų sąraše yra 38 vėluojančios vidutinio sunkumo išvados. Ar turime eskaluoti?“

Tai akimirka, kai metinė atitiktis subliūkšta.

Politikos PDF, rizikų registras, paskutinį kartą atnaujintas prieš ankstesnį auditą, ir ekrano kopijų aplankas NIS2 ir DORA kontekste nebėra pakankami. Šie režimai reikalauja veikiančios valdysenos, vadovybės priežiūros, incidentų valdymo darbo eigų, tiekėjų matomumo, atsparumo testavimo, korekcinių veiksmų ir įrodomo kontrolės priemonių veiksmingumo.

Daugeliui CISO šis spaudimas nėra teorinis. NIS2 perkėlimas į ES valstybių narių teisę kibernetinį saugumą iš techninės programos pavertė vadovybės atskaitomybės klausimu. DORA taikomas nuo 2025 m. sausio 17 d. ir finansų subjektams nustato sektoriui skirtą veiklos atsparumo taisyklių rinkinį IRT rizikai, pranešimui apie incidentus, testavimui ir trečiųjų šalių rizikai. Debesijos, SaaS, valdomų paslaugų, valdomo saugumo, duomenų centrų, turinio pristatymo, patikimumo užtikrinimo paslaugų ir viešųjų elektroninių ryšių teikėjams taip pat gali būti taikomi tiesioginiai ar netiesioginiai įpareigojimai, priklausomai nuo taikymo srities, dydžio, sektoriaus, nacionalinės klasifikacijos ir klientų sutarčių.

Praktinis klausimas nebėra: „Ar turime kontrolę?“

Klausimas yra: „Kas yra kontrolės priemonės savininkas, koks rodiklis įrodo, kad ji veikia, kaip dažnai renkame įrodymus ir kas vyksta, kai rodiklis nesuveikia?“

Tai yra nuolatinės NIS2 ir DORA atitikties stebėsenos esmė. Clarysec diegimuose ISO/IEC 27001:2022 naudojame kaip valdymo sistemos pagrindą, ISO/IEC 27002:2022 – kaip kontrolės priemonių kalbą, Zenith Blueprint: auditoriaus 30 žingsnių veiksmų planą – kaip įgyvendinimo seką, o Zenith Controls: kryžminės atitikties vadovą – kaip kryžminės atitikties kompasą, kuris susieja ISO/IEC 27001:2022 įrodymus su NIS2, DORA, GDPR, NIST CSF 2.0, COBIT 2019 ir audito lūkesčiais.

Kodėl dėl NIS2 ir DORA periodinės atitikties nebepakanka

NIS2 ir DORA skiriasi teisine struktūra, priežiūros modeliu ir taikymo sritimi, tačiau sukuria tą patį veiklos spaudimą. Kibernetinis saugumas ir IRT atsparumas turi būti valdomi nuolat.

NIS2 reikalauja, kad esminiai ir svarbūs subjektai taikytų tinkamas ir proporcingas technines, operacines ir organizacines priemones, vadovaudamiesi visų pavojų požiūriu. Šios priemonės apima rizikos analizę, informacinių sistemų saugumo politikas, incidentų valdymą, veiklos tęstinumą, krizių valdymą, tiekimo grandinės saugumą, saugų įsigijimą ir kūrimą, pažeidžiamumų tvarkymą, veiksmingumo vertinimą, kibernetinę higieną, mokymus, kriptografiją, žmogiškųjų išteklių saugumą, prieigos kontrolę, turto valdymą ir kelių veiksnių autentifikavimą, kai tai tinkama. Valdymo organai turi patvirtinti kibernetinio saugumo rizikos valdymo priemones, prižiūrėti jų įgyvendinimą ir dalyvauti mokymuose.

DORA finansų subjektams tai nustato dar aiškiau. Jis reikalauja vidaus valdysenos ir kontrolės tvarkos IRT rizikai valdyti, dokumentuotos IRT rizikos valdymo sistemos, valdymo organo atsakomybės, su IRT susijusių incidentų valdymo ir pranešimo apie juos, skaitmeninio veiklos atsparumo testavimo, IRT trečiųjų šalių rizikos valdymo, audito išvadų įgyvendinimo, mokymų ir komunikacijos tvarkos. DORA taip pat aiškiai nustato, kad finansų subjektai išlieka atsakingi už atitiktį, kai naudojasi IRT trečiųjų šalių paslaugų teikėjais.

Tai sukuria naują atitikties realybę. CISO negali laukti audito mėnesio, kad sužinotų, jog:

  • privilegijuotos prieigos peržiūros praleistos du ketvirčius;
  • tiekėjų pasitraukimo planai dokumentuoti, bet niekada netestuoti;
  • incidentų sunkumo kriterijai nesusieti su reglamentavimo pranešimų slenksčiais;
  • atsarginės kopijos sukonfigūruotos, bet trūksta atkūrimo įrodymų;
  • vadovybė niekada neperžiūrėjo vėluojančių rizikos tvarkymo veiksmų;
  • debesijos sutartyse trūksta audito teisių, subtiekėjų matomumo arba incidentų pranešimo sąlygų.

Senasis projektinis modelis sukuria panikos ciklus. Komandos prieš auditą skuba, renka ekrano kopijas, atnaujina politikų datas ir tikisi, kad įrodymai papasakos nuoseklią istoriją. NIS2 ir DORA sukurti taip, kad toks požiūris neveiktų. Jie orientuoti į atskaitomybę, proporcingumą, atsparumą ir veikimo įrodymus.

ISO/IEC 27001:2022 suteikia šiai problemai veiklos valdymo sistemą. Jo skyriai reikalauja, kad organizacijos suprastų kontekstą, suinteresuotąsias šalis, teisinius ir sutartinius reikalavimus, taikymo sritį, lyderystę, vaidmenis, rizikos vertinimą, rizikos tvarkymą, Taikomumo pareiškimą, veiklos planavimą, veiklos vertinimą, vidaus auditą, vadovybės peržiūrą, neatitikčių tvarkymą ir nuolatinį tobulinimą. Ši struktūra idealiai tinka sujungti NIS2, DORA, GDPR, klientų patikinimą ir vidaus riziką į vieną nuolatinės stebėsenos modelį.

Nuolatinė atitiktis nėra daugiau valdymo skydelių. Tai valdoma įrodymų rinkimo periodika.

Kurkite atitikties mechanizmą ant ISO/IEC 27001:2022 pagrindo

Daugelis organizacijų ISO/IEC 27001:2022 klaidingai supranta tik kaip sertifikavimo sistemą. Praktikoje tai yra rizikos valdymo sistema, leidžianti saugumo valdyseną padaryti kartojamą, išmatuojamą ir audituojamą.

Tai svarbu, nes NIS2 ir DORA nėra izoliuoti kontroliniai sąrašai. Jiems reikia veiklos modelio, kuris gali priimti teisinius reikalavimus, paversti juos kontrolės priemonėmis, priskirti savininkus, stebėti veikimą ir tobulėti, kai nustatomos spragos.

Pamatiniai ISO/IEC 27001:2022 skyriai suteikia šį modelį:

ISO/IEC 27001:2022 skyriusNuolatinės atitikties paskirtisNIS2 ir DORA vertė
4.1 Organizacijos ir jos konteksto supratimasApibrėžia vidinius ir išorinius veiksnius, darančius įtaką kibernetiniam saugumui ir atsparumuiFiksuoja reguliacinę aprėptį, veiklos priklausomybes, grėsmių aplinką ir veiklos kontekstą
4.2 Suinteresuotųjų šalių poreikių ir lūkesčių supratimasIdentifikuoja reguliuotojus, klientus, partnerius, tiekėjus ir teisines prievolesĮtraukia NIS2, DORA, GDPR, sutartis ir priežiūros lūkesčius į ISVS
4.3 ISVS taikymo srities nustatymasApibrėžia paslaugas, vietas, technologijas, tiekėjus ir veiklos ribasNeleidžia reglamentuojamoms IRT paslaugoms ir kritinėms priklausomybėms likti už stebėsenos ribų
5.1 Lyderystė ir įsipareigojimasReikalauja aukščiausiosios vadovybės atskaitomybės ir integravimo į verslo procesusPalaiko valdymo organo atskaitomybę pagal NIS2 ir DORA
5.3 Organizaciniai vaidmenys, atsakomybės ir įgaliojimaiPriskiria ISVS atsakomybes ir įgaliojimusSukuria atsakingą kontrolės priemonių savininkų modelį ir eskalavimo kelius
6.1.3 Informacijos saugumo rizikos tvarkymasParenka kontrolės priemones ir parengia Taikomumo pareiškimąPaverčia įpareigojimus vieninga kontrolės priemonių sistema
9.1 Stebėsena, matavimas, analizė ir vertinimasReikalauja ISVS veikimo ir veiksmingumo stebėsenosPalaiko KPI, KRI ir įrodymų periodiškumo projektavimą
9.2 Vidaus auditasTikrina, ar ISVS atitinka reikalavimus ir yra veiksmingai įgyvendintaPalaiko nepriklausomą patikinimą ir reglamentavimo požiūriu pagrįstą poziciją
9.3 Vadovybės peržiūraPateikia vadovybei veiklos, rizikos, audito ir tobulinimo informacijąPalaiko valdybos lygmens priežiūrą ir sprendimus
10.1 Nuolatinis tobulinimasReikalauja nuolat gerinti tinkamumą, pakankamumą ir veiksmingumąPaverčia išvadas korekciniais veiksmais ir atsparumo gerinimu

FinTech, SaaS teikėjui, valdomo saugumo paslaugų teikėjui ar IRT tiekėjui finansų subjektams ši struktūra padeda išvengti dubliuojamų atitikties projektų. Viena ISVS gali vieną kartą susieti įpareigojimus su kontrolės priemonėmis, o tada pakartotinai naudoti įrodymus NIS2, DORA, GDPR, NIST CSF 2.0, COBIT 2019, ISO/IEC 27001:2022 sertifikavimui ir klientų patikinimo peržiūroms.

Pradėkite nuo kontrolės priemonių savininkų, ne nuo įrankių

Pirmasis nuolatinės atitikties nesėkmės modelis – įrankiais grindžiamas diegimas. Įmonė įsigyja GRC platformą, importuoja šimtus reikalavimų, viską priskiria „Saugumui“ ir pavadina tai nuolatine stebėsena. Po šešių mėnesių valdymo skydelis raudonas, inžinerija ginčija pažeidžiamumų įrodymus, teisės komanda sako, kad tiekėjų dokumentai neišsamūs, o vadovybė aiškiai nemato liekamosios rizikos.

ISO/IEC 27001:2022 to išvengia reikalaudamas, kad atsakomybės ir įgaliojimai būtų priskirti ir komunikuojami. NIS2 ir DORA sustiprina tą patį lūkestį per vadovybės atskaitomybę, apibrėžtus vaidmenis ir priežiūrą.

Clarysec Valdysenos vaidmenų ir atsakomybių politika - SME nustato:

Kiekvienas vaidmuo, turintis saugumo atsakomybę, turi būti įrašytas centriniame registre ir patvirtintas raštu.

Ši nuostata svarbesnė už daugumą valdymo skydelių. Jei atsarginių kopijų testavimas, pažeidžiamumų šalinimas, tiekėjų deramas patikrinimas, incidentų klasifikavimas ir privilegijuotos prieigos peržiūra neturi įvardytų savininkų, patikimos įrodymų rinkimo periodikos nėra.

Informacijos saugumo politika tai padaro veiksminga įmonių aplinkose:

Rinkti ir saugoti audito įrodymus auditams ir kontrolės peržiūroms.

Ji taip pat reikalauja, kad kontrolės priemonių savininkai:

Teiktų ISVS vadovui ataskaitas apie kontrolės priemonės veiksmingumą ir visas spragas ar problemas.

Zenith Controls ši tema tiesiogiai siejama su ISO/IEC 27002:2022 kontrolėmis 5.2 Informacijos saugumo vaidmenys ir atsakomybės, 5.35 Nepriklausoma informacijos saugumo peržiūra ir 5.36 Informacijos saugumo politikų, taisyklių ir standartų laikymasis.

ISO/IEC 27002:2022 kontrolė, nurodyta Zenith ControlsNuolatinės atitikties vaidmuoKodėl tai svarbu NIS2 ir DORA
5.2 Informacijos saugumo vaidmenys ir atsakomybėsPriskiria atsakingus savininkus kontrolės priemonėms, įrodymams, KPI, KRI ir eskalavimuiPalaiko vadovybės priežiūrą, vaidmenų aiškumą ir veiklos atskaitomybę
5.35 Nepriklausoma informacijos saugumo peržiūraTikrina, ar stebėsena objektyvi, išsami ir veiksmingaPalaiko NIS2 veiksmingumo vertinimą ir DORA audito lūkesčius
5.36 Informacijos saugumo politikų, taisyklių ir standartų laikymasisTikrina, ar laikomasi politikų, standartų ir įpareigojimųTeisinius ir sutartinius įpareigojimus paverčia išmatuojamomis atitikties patikromis

Zenith Blueprint pateikia praktinį pradžios tašką ISVS pagrindo ir lyderystės etape, 4 žingsnyje: ISVS vaidmenys ir atsakomybės. Jame rekomenduojamas formalus paskyrimas, pareigybių aprašymų atnaujinimas, KPI suderinimas, komunikacija visoje organizacijoje ir atsakomybė padalinių lygmeniu.

Tipinis paskyrimo įrašas gali skambėti taip:

„Nuo šiol esate paskiriamas informacijos saugumo pareigūnu, atsakingu už ISVS priežiūrą ir koordinavimą, įskaitant rizikos valdymą, kontrolės priemonių įgyvendinimą ir atitikties stebėseną.“

Šis paskyrimas nėra biurokratija. Tai audito įrodymas ISO/IEC 27001:2022 lyderystei ir vaidmens priskyrimui. Jis taip pat palaiko NIS2 vadovybės priežiūrą ir DORA valdyseną. Reguliuotojai, sertifikavimo auditoriai ir bankiniai klientai nori matyti, kad atsakomybė nėra numanoma. Ji priskirta, patvirtinta, aprūpinta ištekliais ir stebima.

Praktiniame kontrolės priemonių savininkų registre turėtų būti šie laukai:

LaukasPavyzdysAudito vertė
Kontrolės sritisIncidentų valdymasParodo kontrolės aprėptį ir taikymo sritį
Reglamentavimo pagrindaiNIS2 Article 23, DORA Articles 17 to 19Susieja įrodymus su įpareigojimais
ISO/IEC 27002:2022 nuoroda5.24 to 5.30Susieja veiklos kontrolės priemonę su ISVS
SavininkasSaugumo operacijų vadovasNustato atskaitomybę
Pavaduojantis savininkasSOC vadovasMažina priklausomybę nuo vieno asmens
KPI95 procentai didelio sunkumo įspėjimų apdoroti pirminio vertinimo metu per SLAĮrodo veikimo lūkestį
KRIBet koks neapdorotas kritinis įspėjimas, senesnis nei 4 valandosApibrėžia rizikos eskalavimą
Įrodymų periodiškumasSavaitinis valdymo skydelis, mėnesinė peržiūra, ketvirtinis testasPaverčia atitiktį nuolatine
Įrodymų vietaGRC įrodymų bibliotekaLeidžia greitai pateikti įrodymus auditui
Eskalavimo keliasISVS vadovas, Rizikos komitetas, Valdymo organasSusieja operacijas su valdysena

Šis registras tampa tiltu tarp politikos ir įrodymo.

Apibrėžkite KPI ir KRI, kurie įrodo kontrolės priemonių veiksmingumą

Kai savininkai jau yra, jie turi žinoti, kaip atrodo „gerai“. Nuolatinė atitikties stebėsena remiasi prasmingais rodikliais, o ne bendromis intencijomis.

„Gerinti pataisų diegimą“ nėra KPI. „Reguliariai peržiūrėti tiekėjus“ nėra įrodymas. „Palaikyti atsparumą“ nėra išmatuojama kontrolės priemonė.

Clarysec aiškiai atskiria du rodiklių tipus:

  • KPI, pagrindinis veiklos rodiklis, matuoja, ar procesas veikia taip, kaip tikimasi.
  • KRI, pagrindinis rizikos rodiklis, signalizuoja apie didėjančią riziką arba slenksčio pažeidimą, kuriam reikalingas eskalavimas.

Įmonių Rizikos valdymo politika nustato:

Kritinėms rizikoms turi būti apibrėžti KRI (pagrindiniai rizikos rodikliai) ir saugumo metrikos, kurie stebimi kas mėnesį.

Ji taip pat reikalauja eskalavimo logikos:

Eskalavimo paleidikliai turi būti įtraukti į stebėsenos logiką (pvz., kai liekamoji rizika padidėja daugiau nei vienu lygiu arba praleidžiami rizikos tvarkymo terminai).

Mažesnėms organizacijoms Clarysec Rizikos valdymo politika - SME taiko proporcingą požiūrį:

Rizikos mažinimo pažanga turi būti peržiūrima kas ketvirtį.

Ji taip pat leidžia naudoti paprastas metrikas:

Gali būti sekamos neformalios metrikos (pvz., atvirų rizikų skaičius, vėluojantys veiksmai, nauji incidentai).

Proporcingumas yra svarbus. Tarptautiniam bankui ir 60 darbuotojų FinTech tiekėjui nereikia identiškos telemetrijos, tačiau abiem reikia priskirtų savininkų, kartojamo matavimo, eskalavimo slenksčių ir korekcinių veiksmų įrodymų.

Praktinis NIS2 ir DORA KPI ir KRI modelis atrodo taip:

SritisKontrolės priemonės savininkasKPIKRI arba eskalavimo paleidiklisĮrodymų periodiškumas
Pažeidžiamumų valdymasInfrastruktūros arba DevOps vadovasKritiniai pažeidžiamumai pašalinti per patvirtintą SLABet koks į internetą nukreiptas kritinis pažeidžiamumas už SLA ribųSavaitinė veiklos peržiūra, mėnesinė ISVS ataskaita
Incidentų valdymasSOC vadovas100 procentų incidentų klasifikuoti pagal sunkumą ir poveikį paslaugaiGalimas reikšmingas NIS2 incidentas arba didelis su IRT susijęs DORA incidentas neeskaluotas pagal darbo eigąKasdien incidento metu, mėnesinė tendencijų peržiūra
Tiekėjų rizikaPirkimai ir saugumas100 procentų kritinių IRT tiekėjų įvertinti pagal riziką prieš įtraukimąKritinis tiekėjas be galiojančio deramo patikrinimo, audito teisės, incidento sąlygos arba pasitraukimo planoMėnesinė registro patikra, ketvirtinė tiekėjo peržiūra
Atsarginės kopijos ir atkūrimasIT operacijosKritinių paslaugų atkūrimo testai atlikti per apibrėžtą intervaląNepavykęs kritinės arba svarbios funkcijos atkūrimo testasMėnesiniai atsarginių kopijų įrodymai, ketvirtinis atkūrimo testas
Prieigos kontrolėIAM savininkasPrivilegijuota prieiga peržiūrėta per cikląAdministratoriaus paskyra be savininko arba praleista privilegijuotos prieigos peržiūraSavaitinis išimčių skenavimas, mėnesinis patvirtinimas
Saugumo sąmoningumasHR arba saugumo sąmoningumo savininkasPrivalomi mokymai baigti per nustatytą terminąPasikartojantis phishing simuliacijos nesėkmių rodiklis virš patvirtinto slenksčioMėnesinė mokymų ataskaita, ketvirtinė sąmoningumo peržiūra
Atitikties stebėsenaISVS vadovasDidelės rizikos įrodymų elementai surinkti iki terminoĮrodymai vėluoja daugiau nei 10 darbo dienųMėnesinis atitikties valdymo skydelis, ketvirtinė vadovybės peržiūra

Šie rodikliai palaiko daugiau nei ISO/IEC 27001:2022 sertifikavimą. Jie taip pat palaiko NIS2 kibernetinio saugumo rizikos valdymo priemones, NIS2 pasirengimą pranešti apie incidentus, DORA IRT rizikos valdymą, DORA trečiųjų šalių riziką, GDPR atskaitomybę, NIST CSF 2.0 valdysenos rezultatus ir COBIT tipo veiklos valdymą.

Nustatykite įrodymų periodiškumą dar iki audito prašymo

Daugelis organizacijų įrodymus renka atsitiktinai. Ekrano kopija atsiranda Teams kanale. Jira užklausa susiejama el. laiške. Tiekėjo klausimynas saugomas pirkimuose. Atsarginės kopijos testas aprašomas žodžiu. Audito savaitę ISVS vadovas tampa skaitmeninės kriminalistikos tyrėju.

Nuolatinei atitikčiai reikia suplanuoto periodiškumo ir tvarkingos įrodymų higienos.

Clarysec Audito ir atitikties stebėsenos politika - SME nustato:

Kiekvienas auditas turi turėti apibrėžtą taikymo sritį, tikslus, atsakingą personalą ir reikalaujamus įrodymus.

Joje taip pat nurodyta:

Įrodymai turi būti saugomi bent dvejus metus arba ilgiau, kai to reikalauja sertifikavimo ar klientų susitarimai.

Įmonių organizacijoms Audito ir atitikties stebėsenos politika prideda automatizavimo lūkesčius:

Automatizuotos priemonės turi būti diegiamos konfigūracijos atitikčiai, pažeidžiamumų valdymui, pataisų būsenai ir privilegijuotai prieigai stebėti.

Automatizavimas turi būti tikslingas. Didelės rizikos ir dažnai vykdomos kontrolės priemonės neturėtų priklausyti nuo rankinių ekrano kopijų. Geriausias įrodymų modelis sujungia automatizuotą telemetriją, savininkų patvirtinimus, išimčių žurnalus, užklausų valdymo įrašus, testavimo rezultatus ir vadovybės peržiūros protokolus.

PeriodiškumasĮrodymų tipasPavyzdžiaiPeržiūros auditorija
Realusis laikas arba pagal įvykįSaugumo operacijų įrodymaiSIEM įspėjimai, incidentų klasifikavimas, pažeidžiamumų aptikimas, didelio incidento eskalavimasSOC, incidentų vadovas, kontrolės priemonės savininkas
Kas savaitęVeiklos kontrolės priemonių įrodymaiKritinių pažeidžiamumų būsena, privilegijuotos prieigos išimtys, atsarginių kopijų užduočių nesėkmės, konfigūracijos nukrypimasKontrolės priemonių savininkai, ISVS vadovas
Kas mėnesįKPI ir KRI įrodymaiRizikos metrikos, vėluojantys veiksmai, pataisų SLA veikimas, tiekėjų registro pakeitimaiISVS vadovas, rizikos savininkas
Kas ketvirtįValdysenos ir patikinimo įrodymaiRizikos tvarkymo pažanga, tiekėjų peržiūros, prieigos pakartotinis sertifikavimas, atsparumo testavimo rezultataiRizikos komitetas, valdymo organas
Kasmet arba pagal suplanuotą cikląNepriklausomos peržiūros įrodymaiVidaus auditas, kontrolės priemonių testavimo planas, vadovybės peržiūra, politikos peržiūraAukščiausioji vadovybė, auditoriai

Svarbi ir pavadinimų suteikimo tvarka. Įrodymus turi būti lengva rasti be herojiškų pastangų. Pavyzdžiui:

  • savaitinė pažeidžiamumų ataskaita: YYYY-MM-DD_Vulnerability-SLA_ControlOwner
  • mėnesinė privilegijuotos prieigos peržiūra: YYYY-MM_IAM-Privileged-Review_Attestation
  • ketvirtinė tiekėjų peržiūra: YYYY-QX_Critical-Supplier-Review
  • incidento paketas: INC-YYYY-###_Timeline-Classification-RCA-CAPA

Čia politika tampa veiklos praktika. Įrodymų saugojimas nėra archyvavimo užduotis. Tai kontrolės dalis.

Susiekite vieną įrodymų elementą su daugeliu įpareigojimų

Nuolatinė atitiktis tampa veiksminga, kai vienas įrodymų elementas tenkina kelių sistemų reikalavimus. Būtent todėl Zenith Controls yra pagrindinis Clarysec kryžminės atitikties požiūrio elementas.

Apsvarstykime incidentų valdymą. Pagal NIS2 reikšmingiems incidentams reikalingas etapinis pranešimas, įskaitant ankstyvąjį įspėjimą per 24 valandas nuo sužinojimo, pranešimą per 72 valandas ir galutinę ataskaitą per vieną mėnesį, atsižvelgiant į nacionalinį įgyvendinimą ir incidento faktines aplinkybes. DORA reikalauja, kad finansų subjektai valdytų, klasifikuotų, eskaluotų ir praneštų apie didelius su IRT susijusius incidentus, naudodami nustatytus procesus ir šablonus. GDPR reikalauja, kad duomenų valdytojai vertintų ir valdytų asmens duomenų saugumo pažeidimus, kai paveikiamas asmens duomenų konfidencialumas, vientisumas arba prieinamumas.

Vienas incidento įrodymų paketas gali palaikyti visus tris režimus, jei jame yra:

  • incidento laiko juosta ir sužinojimo laikas;
  • klasifikavimo pagrindimas;
  • paveiktos paslaugos ir jurisdikcijos;
  • poveikis klientui, operacijoms arba naudotojams;
  • poveikio asmens duomenims vertinimas;
  • pagrindinė priežastis;
  • rizikos mažinimo ir atkūrimo veiksmai;
  • komunikacija ir pranešimai;
  • vadovybės eskalavimo įrašas;
  • korekcinio veiksmo įrašas.

Ta pati kryžminės atitikties logika taikoma tiekėjų rizikai. NIS2 reikalauja tiekimo grandinės saugumo ir dėmesio tiesioginių tiekėjų bei paslaugų teikėjų santykiams. DORA reikalauja IRT trečiųjų šalių rizikos strategijos, registrų, ikisutartinio deramo patikrinimo, sutartinių nuostatų, audito teisių, paslaugų lygių, pasitraukimo strategijų ir koncentracijos rizikos stebėsenos. NIST CSF 2.0 tiekimo grandinės riziką traktuoja kaip gyvavimo ciklo valdysenos discipliną. ISO/IEC 27001:2022 šiuos reikalavimus susieja su taikymo sritimi, suinteresuotųjų šalių reikalavimais, rizikos tvarkymu ir išorėje teikiamų procesų veiklos kontrole.

Praktinė įrodymų matrica padeda kontrolės priemonių savininkams suprasti, kodėl įrodymai svarbūs:

Įrodymų elementasNIS2 vertėDORA vertėISO/IEC 27001:2022 vertėGDPR vertė
Incidento klasifikavimo įrašasPalaiko reikšmingo incidento vertinimąPalaiko didelio su IRT susijusio incidento klasifikavimąPalaiko incidentų kontrolės priemonių veikimą ir stebėsenąPalaiko pažeidimo pirminio vertinimo atskaitomybę
Tiekėjų registrasPalaiko tiekimo grandinės saugumąPalaiko IRT trečiųjų šalių registrąPalaiko išorėje teikiamų procesų kontrolęPalaiko duomenų tvarkytojų ir subtvarkytojų priežiūrą
Pažeidžiamumų SLA ataskaitaPalaiko kibernetinio saugumo rizikos valdymo priemonesPalaiko IRT apsaugą ir aptikimąPalaiko rizikos tvarkymą ir pažeidžiamumų valdymąPalaiko tinkamas saugumo priemones
Atkūrimo testo ataskaitaPalaiko veiklos tęstinumą ir pasirengimą krizeiPalaiko veiklos atsparumą ir atkūrimąPalaiko atsarginių kopijų ir tęstinumo pasirengimąPalaiko tvarkymo prieinamumą ir atsparumą
Vadovybės peržiūros protokolasPalaiko vadovybės priežiūrąPalaiko valdymo organo atsakomybęPalaiko lyderystę, veiklos peržiūrą ir tobulinimąPalaiko atskaitomybės įrodymus

Šis požiūris padeda išvengti dubliuojamo atitikties darbo. Organizacija surenka vieną stiprų įrodymų rinkinį ir susieja jį su keliais įpareigojimais.

Clarysec stebėsenos modelis: nuo įpareigojimo iki savininko ir įrodymo

Tvirtas stebėsenos modelis remiasi paprasta seka.

Pirma, apibrėžkite įpareigojimą. Pavyzdžiui, DORA reikalauja, kad IRT trečiųjų šalių rizika būtų valdoma kaip IRT rizikos valdymo dalis, naudojant registrus, deramą patikrinimą, sutartinius reikalavimus, audito teises ir pasitraukimo strategijas kritinėms arba svarbioms funkcijoms. NIS2 reikalauja tiekimo grandinės saugumo ir tinkamų korekcinių veiksmų.

Antra, įpareigojimą paverskite ISO/IEC 27001:2022 ISVS reikalavimais. Tai apima suinteresuotųjų šalių reikalavimus, taikymo sritį, rizikos vertinimą, rizikos tvarkymą, Taikomumo pareiškimą, veiklos kontrolę, stebėseną, vidaus auditą, vadovybės peržiūrą ir tobulinimą.

Trečia, pasirinkite veiklos kontrolės priemones. Zenith Controls nuolatinės atitikties pagrindinės valdysenos kontrolės priemonės apima ISO/IEC 27002:2022 kontroles 5.2, 5.35 ir 5.36. Palaikančios kontrolės priemonės dažnai apima 5.19 Informacijos saugumas santykiuose su tiekėjais, 5.21 Informacijos saugumo valdymas IRT tiekimo grandinėje, 5.22 Tiekėjų paslaugų stebėsena, peržiūra ir pakeitimų valdymas, 5.23 Informacijos saugumas naudojantis debesijos paslaugomis, 5.24 Informacijos saugumo incidentų valdymo planavimas ir pasirengimas, 5.26 Reagavimas į informacijos saugumo incidentus, 5.30 IRT parengtis veiklos tęstinumui, 5.31 Teisiniai, įstatyminiai, reglamentavimo ir sutartiniai reikalavimai, 8.8 Techninių pažeidžiamumų valdymas, 8.13 Informacijos atsarginės kopijos, 8.15 Žurnalų registravimas, 8.16 Stebėsenos veikla ir 8.9 Konfigūracijos valdymas.

Ketvirta, priskirkite savininką ir periodiškumą. Tiekėjų rizika gali apimti pirkimus, teisę, saugumą ir verslo paslaugos savininką, tačiau vienas atskaitingas savininkas turi prižiūrėti registrą ir teikti ataskaitas apie išimtis.

Penkta, apibrėžkite KPI, KRI ir įrodymus. Tiekėjų KPI gali apimti kritinių IRT tiekėjų, kuriems atliktas deramas patikrinimas, procentą, tiekėjų su patvirtintomis sutartinėmis nuostatomis procentą, tiekėjų be testuotų pasitraukimo planų skaičių ir vėluojančių tiekėjų peržiūrų skaičių. KRI gali apimti neišspręstas didelės rizikos tiekėjų išvadas, koncentracijos riziką virš tolerancijos lygio arba trūkstamas audito teises paslaugai, palaikančiai kritinę ar svarbią funkciją.

Šešta, teikite ataskaitas ir eskaluokite. Mėnesiniai ISVS valdymo skydeliai neturi vien rodyti žalios būsenos. Jie turi identifikuoti vėluojančius įrodymus, rizikos pokytį, praleistus rizikos tvarkymo terminus ir vadovybės sprendimus, kurių reikia.

Septinta, audituokite ir tobulinkite. Įrodymų spragos tampa korekciniais veiksmais, o ne pasiteisinimais.

Tai dera su Zenith Blueprint audito, peržiūros ir tobulinimo etapu. 25 žingsnis, vidaus audito programa, rekomenduoja per audito ciklą apimti aktualius ISVS procesus ir kontrolės priemones, atliekant metinį visos taikymo srities auditą ir, kai tinkama, mažesnius ketvirtinius atsitiktinius patikrinimus didelės rizikos srityse. 28 žingsnyje, vadovybės peržiūroje, numatomi įvesties duomenys, tokie kaip reikalavimų pokyčiai, stebėsenos ir matavimo rezultatai, audito rezultatai, incidentai, neatitiktys, tobulinimo galimybės ir išteklių poreikiai. 29 žingsnyje, nuolatiniame tobulinime, CAPA žurnalas naudojamas problemos aprašymui, pagrindinei priežasčiai, korekciniam veiksmui, atsakingam savininkui, tiksliniam terminui ir būsenai fiksuoti.

Tai ir yra nuolatinė atitiktis praktikoje.

Praktinis scenarijus: kritinis pažeidžiamumas viešoje API

02:15 suveikia SIEM įspėjimas. Pažeidžiamumų skenavimas nustatė kritinį nuotolinio kodo vykdymo pažeidžiamumą viešai pasiekiamame API šliuze, palaikančiame reglamentuojamą mokėjimų paslaugą.

Nuolatinės stebėsenos modelis turi reaguoti nelaukdamas susitikimo.

Pirma, turto apskaita klasifikuoja šliuzą kaip kritinį. Pradeda tiksėti pažeidžiamumų valdymo KPI laikas. Nepataisytų kritinių pažeidžiamumų KRI padidėja. Jei turtas pasiekiamas iš interneto ir išnaudojimas aktyvus, eskalavimo slenkstis suveikia nedelsiant.

Antra, užklausa nukreipiama budinčiai DevOps komandai. DevOps vadovas, kaip pažeidžiamumų valdymo kontrolės priemonės savininkas, gauna automatinį pranešimą. SOC vadovas seka, ar yra išnaudojimo indikatorių. ISVS vadovas stebi, ar tenkinami incidento kriterijai.

Trečia, įrodymai renkami kaip darbo eigos šalutinis produktas. SIEM įspėjimas, pažeidžiamumų skenavimas, turto klasifikacija, užklausos laiko žymos, reagavimo pokalbis, pataisos įrašas, validavimo skenavimas ir uždarymo patvirtinimas pridedami prie įrodymų paketo.

Ketvirta, komanda įvertina, ar įvykis yra tik pažeidžiamumas, saugumo įvykis ar incidentas. Jei yra poveikis paslaugai, kompromitavimo indikatoriai, poveikis klientui arba asmens duomenų atskleidimas, incidento darbo eiga paleidžia NIS2, DORA, GDPR ir sutartinių pranešimų vertinimus.

Penkta, vadovybė gauna glaustą ataskaitą. Jei pažeidžiamumas pašalintas per keturias valandas, įrodymai palaiko kontrolės priemonės veiksmingumą. Jei SLA praleistas, CAPA žurnale fiksuojama pagrindinė priežastis, korekcinis veiksmas, savininkas, tikslinis terminas ir būsena.

Šis vienas įvykis sukuria naudingų įrodymų pažeidžiamumų valdymui, pasirengimui incidentams, stebėsenai, prieigai prie kritinio turto, vadovybės peržiūrai ir nuolatiniam tobulinimui.

Kaip auditoriai ir reguliuotojai testuos tą patį stebėsenos modelį

Brandžiai nuolatinės atitikties programai turi pavykti atlaikyti skirtingus audito požiūrius. Įrodymai nesikeičia, bet klausimai skiriasi.

Auditoriaus perspektyvaTikėtinas audito klausimasTikėtini įrodymai
ISO/IEC 27001:2022 auditoriusAr vaidmenys priskirti, rizikos tvarkomos, kontrolės priemonės veikia ir įrodymai saugomi?Taikymo sritis, suinteresuotųjų šalių reikalavimai, rizikų registras, Taikomumo pareiškimas, savininkų registras, stebėsenos rezultatai, vidaus auditas, vadovybės peržiūra, CAPA žurnalas
NIS2 reguliuotojas arba vertintojasAr vadovybė patvirtino ir prižiūrėjo tinkamas kibernetinio saugumo rizikos valdymo priemones?Vadovybės protokolai, rizikos patvirtinimai, incidentų darbo eiga, tiekėjų kontrolės priemonės, tęstinumo įrodymai, mokymų įrašai, korekciniai veiksmai
DORA kompetentinga institucija arba vidaus auditasAr IRT rizikos sistema susieja valdyseną, atsparumą, testavimą, pranešimą apie incidentus, trečiųjų šalių riziką ir audito išvadų įgyvendinimą?IRT rizikos sistema, atsparumo strategija, incidentų klasifikavimo įrašai, testavimo rezultatai, tiekėjų registras, sutarčių įrodymai, audito ataskaitos
NIST CSF 2.0 vertintojasAr organizacija turi valdysenos rezultatus, prioritetizuotas spragas, išmatuojamą veikimą ir peržiūros ciklus?Esami ir tiksliniai profiliai, rizikos veiksmų planas, valdysenos metrikos, tiekimo grandinės priežiūra, veiklos KPI ataskaitos
COBIT 2019 arba ISACA auditoriusAr valdysenos tikslai, valdymo praktikos, procesų savininkai, metrikos ir patikinimo veiklos apibrėžtos ir veiksmingos?RACI, procesų aprašymai, veiklos metrikos, išimčių ataskaitos, kontrolės priemonių testavimas, vadovybės priežiūros įrašai

Dėl ISO/IEC 27002:2022 kontrolės 5.35 Nepriklausoma informacijos saugumo peržiūra ISO/IEC 27001:2022 auditorius sutelks dėmesį į vidaus audito planą, taikymo sritį, kompetenciją, išvadas ir korekcinius veiksmus. NIS2 arba DORA reguliuotojas sutelks dėmesį į tai, ar vadovybė suprato išvadas, skyrė lėšų trūkumams šalinti ir sumažino sisteminę riziką. NIST CSF 2.0 vertintojas peržiūrą gali susieti su GOVERN funkcija, įskaitant priežiūrą ir veiklos koregavimą.

Tas pats įrodymų rinkinys tinka visiems, jei jis yra išsamus, aktualus ir susietas su savininkais.

Dažnos klaidos, silpninančios nuolatinę atitiktį

Pirmoji klaida – NIS2 ir DORA laikyti atskirais projektais. Tai sukuria dubliuojamus registrus, prieštaraujančias metrikas ir pervargusius kontrolės priemonių savininkus. Naudokite ISO/IEC 27001:2022 kaip ISVS pagrindą ir susiekite įpareigojimus per vieną kontrolės priemonių biblioteką.

Antroji klaida – kontrolės priemones priskirti komandoms, o ne žmonėms. „IT atsako už atsargines kopijas“ nepakanka. Įvardytas savininkas turi patvirtinti, pranešti apie išimtis ir eskaluoti riziką.

Trečioji klaida – rinkti įrodymus nevertinant veiksmingumo. Atsarginės kopijos sėkmės ekrano kopija neįrodo atkuriamumo. Atkūrimo testas įrodo. Tiekėjo klausimynas neįrodo trečiosios šalies atsparumo. Sutartinės nuostatos, audito teisės, incidentų pranešimo sąlygos, veiklos ataskaitos ir pasitraukimo planavimas sukuria stipresnius įrodymus.

Ketvirtoji klaida – matuoti veiklą, o ne riziką. Skaičiuoti pažeidžiamumus naudinga. Geriau sekti vėluojančius kritinius pažeidžiamumus į internetą nukreiptose sistemose. Skaičiuoti tiekėjus naudinga. Geriau sekti kritinius tiekėjus be pasitraukimo planų.

Penktoji klaida – silpna korekcinių veiksmų disciplina. Zenith Blueprint 29 žingsnis aiškiai nurodo, kad išvadoms reikia problemos aprašymo, pagrindinės priežasties, korekcinio veiksmo, atsakingo savininko, tikslinio termino ir būsenos. Jei CAPA žurnalas neperžiūrimas, nuolatinė atitiktis tampa nuolatiniu žinomų silpnybių kaupimu.

Ką vadovybė turėtų matyti kiekvieną mėnesį

Valdymo organams pagal NIS2 ir DORA nereikia neapdorotų skenerių eksportų. Jiems reikia sprendimams tinkamo kibernetinės ir IRT rizikos vaizdo.

Mėnesiniame valdybos arba vadovybės valdymo skydelyje turėtų būti:

  • svarbiausios kibernetinės ir IRT rizikos su liekamosios rizikos pokyčiu;
  • vėluojantys rizikos tvarkymo veiksmai ir praleisti terminai;
  • reikšmingi incidentai, galimi dideli su IRT susiję incidentai ir įgyta patirtis;
  • kritinių tiekėjų rizikos išimtys;
  • pažeidžiamumų SLA veikimas kritiniam turtui;
  • atsarginių kopijų ir atkūrimo testų būsena;
  • privilegijuotos prieigos peržiūros išimtys;
  • atitikties įrodymų užbaigimo rodiklis;
  • audito išvados ir CAPA būsena;
  • reikalingi sprendimai dėl išteklių.

Tai tiesiogiai palaiko ISO/IEC 27001:2022 vadovybės peržiūrą ir NIS2 bei DORA valdysenos lūkesčius. Tai taip pat dera su NIST CSF 2.0, kur vykdomieji vadovai nustato prioritetus, atskaitomybę, išteklius ir rizikos apetitą, o vadovai šiuos prioritetus paverčia tiksliniais profiliais ir veiksmų planais.

Šią savaitę sukurkite NIS2 ir DORA įrodymų ritmą

Norint pradėti, nereikia iš karto aprėpti visko. Naudinga pirmoji savaitė gali būti paprasta.

1 diena – sukurkite kontrolės priemonių savininkų registrą penkioms sritims: valdysena ir rizikos valdymas, incidentų valdymas ir pranešimas, pažeidžiamumų ir pataisų valdymas, tiekėjų ir debesijos rizika, veiklos tęstinumas ir atkūrimas.

2 diena – kiekvienai sričiai apibrėžkite po vieną KPI ir vieną KRI. Jie turi būti konkretūs, išmatuojami ir susieti su rizikos apetitu.

3 diena – kiekvieną įrodymų elementą susiekite su NIS2, DORA, ISO/IEC 27001:2022, GDPR ir klientų patikinimo verte.

4 diena – nustatykite įrodymų periodiškumą, saugojimo vietą, pavadinimų suteikimo tvarką, saugojimo taisyklę ir peržiūrėtoją.

5 diena – atlikite stalo eskalavimo pratybas. Naudokite debesijos paslaugos sutrikimo arba kritinio pažeidžiamumo scenarijų. Patvirtinkite klasifikavimą, reglamentavimo pranešimų vertinimą, komunikaciją klientams, įrodymų saugojimą ir CAPA sukūrimą.

Jei jūsų organizacija vis dar valdo NIS2 ir DORA naudodama skaičiuokles, metinius seminarus ir išsklaidytus įrodymų aplankus, dabar laikas pereiti prie stebimo veiklos ritmo.

Pradėkite nuo trijų veiksmų:

  1. Sukurkite kontrolės priemonių savininkų registrą didžiausios rizikos sritims.
  2. Kiekvienai kontrolės priemonei apibrėžkite vieną KPI, vieną KRI, vieną įrodymų elementą ir vieną periodiškumą.
  3. Surenkite 30 minučių įrodymų peržiūrą ir atidarykite CAPA elementus viskam, ko trūksta.

Clarysec gali padėti paspartinti šį perėjimą naudodama Zenith Blueprint įgyvendinimo sekai, Zenith Controls kryžminės atitikties susiejimui ir Clarysec politikų biblioteką, įskaitant Informacijos saugumo politiką, Rizikos valdymo politiką, Audito ir atitikties stebėsenos politiką, Valdysenos vaidmenų ir atsakomybių politiką - SME, Rizikos valdymo politiką - SME ir Audito ir atitikties stebėsenos politiką - SME.

Tikslas nėra daugiau atitikties dokumentų. Tikslas – į penktadienio popietės klausimą atsakyti užtikrintai:

„Taip, žinome, kas yra kontrolės priemonės savininkas, žinome KPI, turime įrodymus, žinome išimtis, o vadovybė peržiūrėjo riziką.“

Susisiekite su Clarysec ir sukurkite nuolatinės atitikties stebėsenos modelį, kuris yra tinkamas auditui, tinkamas valdybai ir pakankamai atsparus NIS2, DORA bei kitam po jų atsirasiančiam reglamentavimui.

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles

NIST CSF 2.0 Govern MVĮ ir ISO 27001 kontekste

NIST CSF 2.0 Govern MVĮ ir ISO 27001 kontekste

Praktinis vadovas MVĮ, kaip naudoti NIST CSF 2.0 Govern funkciją kaip valdysenos sluoksnį ISO 27001:2022, NIS2, DORA, GDPR, tiekėjų priežiūrai ir auditui tinkamiems įrodymams.

CVD pagal NIS2 ir DORA: ISO 27001 įrodymų susiejimo žemėlapis

CVD pagal NIS2 ir DORA: ISO 27001 įrodymų susiejimo žemėlapis

Praktinis CISO vadovas apie koordinuotą pažeidžiamumų atskleidimą pagal NIS2, DORA, GDPR ir ISO/IEC 27001:2022, apimantis politikos formuluotes, priėmimo darbo eigą, tiekėjų eskalavimą, audito įrodymus ir kontrolės priemonių susiejimą.