ISO 27001 audito įrodymai NIS2 ir DORA atitikčiai pagrįsti
Antradienis, 08:17, ir sparčiai augančios fintech SaaS įmonės CISO laukia trys pranešimai.
Pirmasis — iš svarbaus bankininkystės kliento: „Prašome atsiųsti naujausią vidaus audito ataskaitą, vadovybės peržiūros protokolus, korekcinių veiksmų būseną, incidentų pranešimo procedūrą, tiekėjų registrą ir valdybos priežiūros įrodymus.“
Antrasis — iš CFO: „Ar patenkame į NIS2 arba DORA taikymo sritį ir kokius įrodymus jau turime?“
Trečiasis — iš CEO: „Ar galime teigti, kad esame pasirengę auditui?“
Daugelyje organizacijų nemalonus atsakymas nėra tai, kad nevyksta jokie darbai. Blogiau yra tai, kad saugumo veikla vyksta visur, tačiau įrodymų nėra niekur. Kontrolės priemonės veikia, bet nėra audito pėdsako. Užklausos vykdomos, bet nėra aiškios sąsajos su rizikomis. Vadovybei teikiami atnaujinimai, bet nėra formalių vadovybės peržiūros rezultatų. Tiekėjų klausimai aptariami, bet nėra įrodymais pagrįsto tiekėjų registro, sutarčių peržiūros ar pasitraukimo strategijos.
Būtent šioje spragoje ISO/IEC 27001:2022 vidaus auditas ir vadovybės peržiūra tampa daugiau nei sertifikavimo veiklomis. Jie tampa veiklos ritmu NIS2, DORA, GDPR, klientų patikinimui, kibernetiniam draudimui ir valdybos atskaitomybei.
SaaS, debesijos, MSP, MSSP ir fintech komandos retai patiria nesėkmę dėl to, kad nevykdo saugumo veiklos. Jos patiria nesėkmę todėl, kad veikla išskaidyta per Slack, Jira, skaičiuokles, tiekėjų portalus, SOC užklausas, pirkimų bylas ir valdybos pristatymus. Reguliuotojas, išorės auditorius ar įmonės klientas nelaukia herojiško paaiškinimo. Jiems reikia objektyvių įrodymų.
Praktinis sprendimas nėra kiekvienai sistemai vykdyti atskiras audito programas. Sprendimas — naudoti ISO 27001 ISVS kaip centrinį įrodymų variklį, o tada tuos įrodymus žymėti pagal NIS2, DORA, GDPR ir sutartinius reikalavimus. Tinkamai įgyvendintas vienas vidaus audito ir vadovybės peržiūros ciklas gali atsakyti į daugelį atitikties klausimų.
Nuo standartų ir reguliavimo nuovargio iki vieningo ISVS įrodymų modelio
Daugelis CISO susiduria su Marijos problemos versija. Marija vadovauja saugumui B2B SaaS įmonėje, turinčioje finansų sektoriaus klientų. Jos komanda prieš šešis mėnesius sėkmingai praėjo ISO/IEC 27001:2022 sertifikavimo auditą. ISVS bręsta, politikų laikomasi, o kontrolės priemonių savininkai supranta savo atsakomybes. Tada CEO persiunčia du straipsnius — vieną apie NIS2 direktyvą, kitą apie DORA — ir trumpai paklausia: „Ar esame padengti?“
Atsakymas priklauso nuo taikymo srities, paslaugų, klientų ir juridinių asmenų. Tačiau veiklos požiūriu atsakymas aiškus: jei Marija NIS2 ir DORA laikys atskirais atitikties projektais, ji sukurs dubliuojamą darbą, nenuoseklius įrodymus ir didėjantį audito nuovargį. Jei ji juos laikys suinteresuotųjų šalių reikalavimais ISVS viduje, ji galės naudoti ISO 27001 šiems reikalavimams įtraukti, testuoti ir pasirengimui pagrįsti.
ISO/IEC 27001:2022 tam ir sukurtas. 4 skyriuje reikalaujama, kad organizacija suprastų savo kontekstą ir suinteresuotųjų šalių reikalavimus, įskaitant teisinius, reglamentavimo, sutartinius ir priklausomybių nulemtus įpareigojimus. 5 skyriuje reikalaujama lyderystės ir integravimo į verslo procesus. 6 skyriuje reikalaujama rizikos vertinimo ir rizikos tvarkymo. 9 skyriuje reikalaujama veiklos rezultatų vertinimo per stebėseną, vidaus auditą ir vadovybės peržiūrą. 10 skyriuje reikalaujama tobulinimo ir korekcinių veiksmų.
NIS2 ir DORA natūraliai telpa į šią struktūrą.
NIS2 reikalauja, kad esminiai ir svarbūs subjektai įgyvendintų tinkamas ir proporcingas technines, operacines ir organizacines kibernetinio saugumo rizikos valdymo priemones. Ji taip pat nustato valdymo organų atsakomybę patvirtinti šias priemones, prižiūrėti jų įgyvendinimą ir atsakyti už pažeidimus. Minimalios priemonės apima rizikos analizę, incidentų valdymą, veiklos tęstinumą, tiekimo grandinės saugumą, saugų kūrimą, pažeidžiamumų valdymą, veiksmingumo vertinimą, mokymus, kriptografiją, žmogiškųjų išteklių saugumą, prieigos kontrolę, turto valdymą ir, kai taikoma, kelių veiksnių autentifikavimą arba tęstinį autentifikavimą.
DORA taikoma nuo 2025 m. sausio 17 d. ir sukuria finansų subjektams skirtą sektoriui specifinį skaitmeninio operacinio atsparumo režimą. Ji reikalauja valdymo organo atsakomybės už IRT rizikos valdymą, dokumentuotos IRT rizikos valdymo sistemos, skaitmeninio operacinio atsparumo strategijos, IRT veiklos tęstinumo ir atkūrimo planų, atsparumo testavimo, IRT incidentų valdysenos ir IRT trečiųjų šalių rizikos valdymo. Finansų subjektus aptarnaujantiems SaaS ir debesijos paslaugų teikėjams DORA gali pasireikšti per sutartinius įpareigojimus, klientų auditus ir IRT trečiųjų šalių rizikos valdymo lūkesčius, net jei pats teikėjas nėra finansų subjektas.
GDPR prideda atskaitomybės sluoksnį. Kai asmens duomenys tvarkomi GDPR taikymo srityje, organizacijos turi gebėti pagrįsti duomenų apsaugos principų ir tinkamų techninių bei organizacinių priemonių laikymąsi.
ISO 27001 nėra stebuklingas šių įpareigojimų atitikties sertifikatas. Tai valdymo sistema, kuri gali juos organizuoti, pagrįsti įrodymais ir nuolat gerinti.
Taikymo srities klausimas: ką įrodote ir kam?
Prieš kuriant auditui tinkamą įrodymų paketą, vadovybė turi atsakyti į bazinį klausimą: kurie įpareigojimai patenka į taikymo sritį?
SaaS ir debesijos verslams NIS2 taikymo sritis gali būti platesnė nei tikėtasi. NIS2 taikoma viešiesiems arba privatiesiems subjektams iš nurodytų sektorių, kurie atitinka dydžio slenksčius, taip pat tam tikriems didelio poveikio subjektams nepriklausomai nuo dydžio. Aktualūs sektoriai gali apimti skaitmeninę infrastruktūrą, debesijos paslaugų teikėjus, duomenų centrų paslaugų teikėjus, turinio pristatymo tinklus, patikimumo užtikrinimo paslaugų teikėjus, viešųjų elektroninių ryšių paslaugų teikėjus ir B2B IRT paslaugų valdymo teikėjus, pavyzdžiui, valdomų paslaugų teikėjus ir valdomų saugumo paslaugų teikėjus. SaaS teikėjai turėtų atidžiai įvertinti, kaip teikiamos jų paslaugos, kokius sektorius jos palaiko ir ar jos sudaro sąlygas pagal poreikį administruoti bei plačiai naudoti nuotolinę prieigą prie mastelio keičiamų bendrų skaičiavimo išteklių.
Fintech ir finansų sektoriaus paslaugų teikėjams DORA turi būti analizuojama atskirai. DORA tiesiogiai apima platų finansų subjektų ratą, įskaitant kredito įstaigas, mokėjimo įstaigas, sąskaitos informacijos paslaugų teikėjus, elektroninių pinigų įstaigas, investicines įmones, kriptoturto paslaugų teikėjus, prekybos vietas, fondų valdytojus, draudimo ir perdraudimo įmones bei sutelktinio finansavimo paslaugų teikėjus. IRT trečiųjų šalių paslaugų teikėjai taip pat yra DORA ekosistemos dalis, nes finansų subjektai privalo valdyti savo IRT priklausomybes, tvarkyti sutartinių susitarimų registrus ir į sutartis įtraukti konkrečias nuostatas dėl IRT paslaugų, palaikančių kritines arba svarbias funkcijas.
NIS2 ir DORA taip pat sąveikauja. Kai sektoriui specifinis ES teisės aktas nustato lygiaverčius kibernetinio saugumo rizikos valdymo arba incidentų pranešimo reikalavimus, atitinkamos NIS2 nuostatos toms sritims tiems subjektams gali būti netaikomos. DORA yra sektoriui specifinis finansų subjektų operacinio atsparumo režimas. Tai nereiškia, kad NIS2 neaktuali visiems aplinkiniams teikėjams. Tai reiškia, kad įrodymų modelis turi atskirti, ar organizacija yra finansų subjektas, tiesiogiai pavaldus DORA, IRT trečiosios šalies paslaugų teikėjas, palaikantis finansų subjektus, SaaS teikėjas NIS2 taikymo srityje, ar grupė su keliais juridiniais asmenimis ir paslaugų linijomis.
Ši taikymo srities analizė turi būti įtraukta į ISVS kontekstą ir suinteresuotųjų šalių registrą. Be jos audito planas testuos netinkamus dalykus.
Vienas audito pėdsakas, daug atitikties klausimų
Dažna klaida — kurti atskirus įrodymų paketus ISO 27001, NIS2, DORA, GDPR, kibernetiniam draudimui ir klientų auditams. Toks metodas sukuria dubliavimą ir prieštaringus atsakymus. Geresnis metodas — vienas įrodymų modelis su keliais pjūviais.
Centre yra ISVS. Aplink ją — penkios įrodymų šeimos.
| Įrodymų šeima | Ką įrodo | Tipiniai įrašai |
|---|---|---|
| Valdysenos įrodymai | Vadovybė patvirtino, aprūpino ištekliais ir peržiūrėjo ISVS | Informacijos saugumo politika, vaidmenys, audito planas, vadovybės peržiūros protokolai, ataskaitos valdybai |
| Rizikos įrodymai | Rizikos buvo identifikuotos, įvertintos, priskirtos savininkams ir tvarkomos | Rizikos kriterijai, rizikų registras, tvarkymo planas, Taikomumo pareiškimas, liekamosios rizikos patvirtinimai |
| Kontrolės priemonių įrodymai | Kontrolės priemonės veikia taip, kaip suprojektuota | Prieigos peržiūros, atsarginių kopijų testai, stebėsenos įspėjimai, pažeidžiamumų ataskaitos, tiekėjų deramas patikrinimas, saugaus kūrimo įrašai |
| Patikinimo įrodymai | Nepriklausomos arba vidaus patikros nustatė spragas ir patvirtino atitiktį | Vidaus audito planas, audito kontrolinis sąrašas, audito ataskaita, neatitikčių žurnalas, CAPA žurnalas |
| Tobulinimo įrodymai | Išvados lėmė korekciją, pagrindinės priežasties analizę ir nuolatinį tobulinimą | Korekcinių veiksmų planai, įgyta patirtis, vadovybės sprendimai, atnaujintos politikos, pakartotinio testavimo įrašai |
Ši struktūra dera su Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint. Audito, peržiūros ir tobulinimo etape 25 žingsnis skirtas vidaus audito programai, 26 žingsnis — audito vykdymui, 28 žingsnis — vadovybės peržiūrai, o 29 žingsnis — nuolatiniam tobulinimui.
Blueprint 25 žingsnio gairės sąmoningai praktinės:
„Parenkite grafiką, kuriame būtų nurodyta, kada auditai vyks ir ką jie apims.“
„Naudokite vidaus audito plano šabloną, jei jis pateiktas; tai gali būti paprastas dokumentas arba skaičiuoklė, kurioje nurodytos audito datos, taikymo sritis ir paskirti auditoriai.“
Iš Zenith Blueprint, audito, peržiūros ir tobulinimo etapas, 25 žingsnis: vidaus audito programa Zenith Blueprint
Šis paprastas audito planas tampa veiksmingas, kai jis grindžiamas rizika ir pažymėtas pagal NIS2, DORA ir GDPR įpareigojimus.
ISO 27001 kontrolės priemonės, kurios įtvirtina pasirengimą auditui
Pasirengimui auditui ypač svarbios trys ISO/IEC 27002:2022 kontrolės priemonės, kai jos interpretuojamos per Zenith Controls: The Cross-Compliance Guide Zenith Controls:
- 5.4 Vadovybės atsakomybės
- 5.35 Nepriklausoma informacijos saugumo peržiūra
- 5.36 Informacijos saugumo politikų, taisyklių ir standartų laikymasis
Tai nėra atskiros „Zenith kontrolės priemonės“. Tai ISO/IEC 27002:2022 kontrolės priemonės, kurias Zenith Controls padeda susieti, audituoti ir interpretuoti skirtingose sistemose.
Kontrolės priemonė 5.4 klausia, ar informacijos saugumo atsakomybės priskirtos ir suprantamos. Kontrolės priemonė 5.35 klausia, ar informacijos saugumas peržiūrimas nepriklausomai. Kontrolės priemonė 5.36 klausia, ar organizacija laikosi savo politikų, taisyklių ir standartų.
Zenith Controls kontrolės priemonę 5.35 klasifikuoja patikinimo požiūriu:
ISO/IEC 27002:2022 kontrolės priemonė 5.35 „Independent Review of Information Security“ Zenith Controls traktuojama kaip „Preventive, Corrective“, palaikanti konfidencialumą, vientisumą ir prieinamumą per kibernetinio saugumo sąvokas „Identify“ ir „Protect“, o operacinė geba priskiriama „Information Security Assurance“. Zenith Controls
Tai svarbu, nes vidaus auditas yra ir prevencinis, ir korekcinis. Jis užkerta kelią aklosioms zonoms testuodamas ISVS prieš išorinę patikrą, o nustatytus trūkumus šalina dokumentuotais veiksmais.
Platesnis susiejimas pradedamas nuo NIS2 ir DORA reikalavimų, tada identifikuojami ISO 27001 įrodymai, galintys juos pagrįsti.
| Reglamentavimo tema | ISO/IEC 27001:2022 ir ISO/IEC 27002:2022 įrodymai | Praktinis audito dėmesys |
|---|---|---|
| Vadovybės atskaitomybė | 5, 9.3 skyriai ir kontrolės priemonės 5.2, 5.4, 5.35, 5.36 | Vadovybės patvirtinimai, peržiūrų protokolai, vaidmenų priskyrimai, CAPA sprendimai |
| Rizikos analizė ir saugumo politikos | 4, 6.1, 6.2 skyriai ir kontrolės priemonės 5.1, 5.7, 5.9, 5.31 | Rizikos kriterijai, rizikų registras, politikų patvirtinimai, teisiniai ir sutartiniai reikalavimai |
| Incidentų valdymas | Kontrolės priemonės 5.24, 5.25, 5.26, 5.27, 5.28 | Klasifikavimas, eskalavimas, reagavimo įrašai, įgyta patirtis, įrodymų išsaugojimas |
| Veiklos tęstinumas ir atkūrimas | Kontrolės priemonės 5.29, 5.30, 8.13 | Tęstinumo planai, IRT parengtis, atsarginių kopijų atkūrimo testai, atkūrimo rodikliai |
| Tiekėjų ir debesijos rizika | Kontrolės priemonės 5.19, 5.20, 5.21, 5.22, 5.23 | Tiekėjų deramas patikrinimas, sutartys, stebėsena, debesijos paslaugų nutraukimo planai, koncentracijos rizika |
| Saugus kūrimas ir pažeidžiamumai | Kontrolės priemonės 8.8, 8.25, 8.26, 8.27, 8.28, 8.29 | Pažeidžiamumų SLA, saugaus SDLC įrašai, pakeitimų patvirtinimai, saugumo testavimas |
| Prieiga, žmogiškieji ištekliai ir mokymai | Kontrolės priemonės 5.15, 5.16, 5.17, 5.18, 6.1, 6.2, 6.3, 6.5, 6.6, 6.7 | Prieigos peržiūros, priimamų, perkeliamų ir išeinančių darbuotojų imtys, informuotumo įrašai, nuotolinio darbo kontrolės priemonės |
| Žurnalų valdymas, stebėsena ir kriptografija | Kontrolės priemonės 8.15, 8.16, 8.17, 8.24 | Žurnalų saugojimas, įspėjimų peržiūra, laiko sinchronizavimas, šifravimo standartai |
| Privatumas ir teisinė atitiktis | Kontrolės priemonės 5.31, 5.34, 5.36 | Teisinių reikalavimų registras, privatumo kontrolės priemonės, duomenų tvarkytojų įrodymai, atitikties peržiūros |
Kontrolės priemonių susiejimas naudingas tik tada, kai įrodymai yra tvirti. Jei įrašas silpnas, joks susiejimas jo neišgelbės. Jei įrašas išsamus, tie patys įrodymai gali atsakyti į ISO, NIS2, DORA, GDPR, NIST Cybersecurity Framework 2.0 ir COBIT 2019 tipo klausimus.
Politikų įrodymai, kuriuos Clarysec tikisi matyti organizacijose
Clarysec politikos ISVS teoriją paverčia įrodymų lūkesčiais.
MVĮ atveju MVĮ skirta audito ir atitikties stebėsenos politika MVĮ skirta audito ir atitikties stebėsenos politika reikalauja vadovybės patvirtinimo ir audito drausmės:
„Generalinis direktorius turi patvirtinti metinį audito planą.“
Iš MVĮ skirtos audito ir atitikties stebėsenos politikos, valdysenos reikalavimai, 5.1.1 punktas MVĮ skirta audito ir atitikties stebėsenos politika
Ji taip pat nustato minimalų periodiškumą:
„Vidaus auditai arba atitikties peržiūros turi būti atliekami bent kartą per metus.“
Iš MVĮ skirtos audito ir atitikties stebėsenos politikos, valdysenos reikalavimai, 5.2.1 punktas
Ir susieja išvadas su korekcija bei vadovybės peržiūra:
„Generalinis direktorius turi patvirtinti korekcinių veiksmų planą ir stebėti jo įgyvendinimą.“
Iš MVĮ skirtos audito ir atitikties stebėsenos politikos, valdysenos reikalavimai, 5.4.2 punktas
„Audito išvados ir būsenos atnaujinimai turi būti įtraukti į ISVS vadovybės peržiūros procesą.“
Iš MVĮ skirtos audito ir atitikties stebėsenos politikos, valdysenos reikalavimai, 5.4.3 punktas
Įrodymų saugojimas taip pat aiškiai apibrėžtas:
„Įrodymai turi būti saugomi bent dvejus metus arba ilgiau, kai to reikalauja sertifikavimas arba klientų susitarimai.“
Iš MVĮ skirtos audito ir atitikties stebėsenos politikos, politikos įgyvendinimo reikalavimai, 6.2.4 punktas
Didesnėms organizacijoms Audito ir atitikties stebėsenos politika Audito ir atitikties stebėsenos politika, kai kuriuose Clarysec dokumentuose taip pat minima kaip P33 Audito ir atitikties stebėsenos politika, išplečia struktūrą:
„Rizika grindžiamas audito planas turi būti parengtas ir patvirtintas kasmet, atsižvelgiant į:“
Iš Audito ir atitikties stebėsenos politikos, valdysenos reikalavimai, 5.2 punktas Audito ir atitikties stebėsenos politika
„Organizacija turi tvarkyti Audito registrą, kuriame nurodoma:“
Iš Audito ir atitikties stebėsenos politikos, valdysenos reikalavimai, 5.4 punktas
„Vidaus auditai turi būti atliekami pagal dokumentuotą procedūrą, apimančią:“
Iš Audito ir atitikties stebėsenos politikos, politikos įgyvendinimo reikalavimai, 6.1.1 punktas
„Visos išvados turi lemti dokumentuotą CAPA, kuri apima:“
Iš Audito ir atitikties stebėsenos politikos, politikos įgyvendinimo reikalavimai, 6.2.1 punktas
Vadovybės peržiūra įtvirtinta Informacijos saugumo politikoje Informacijos saugumo politika, kai kuriuose Clarysec dokumentuose taip pat minimoje kaip P01 Informacijos saugumo politika:
„Vadovybės peržiūros veiklos (pagal ISO/IEC 27001 9.3 skyrių) turi būti atliekamos bent kasmet ir turi apimti:“
Iš Informacijos saugumo politikos, valdysenos reikalavimai, 5.3 punktas Informacijos saugumo politika
Šie reikalavimai sukuria auditorių laukiamą įrodymų grandinę: patvirtintas planas, apibrėžta procedūra, audito registras, išvados, CAPA, saugojimas ir vadovybės peržiūra.
Auditui tinkamo įrodymų paketo kūrimas
Auditui tinkamas įrodymų paketas nėra milžiniškas aplankas, sukuriamas likus dviem dienoms iki audito. Tai gyva struktūra, palaikoma visus metus.
| Įrodymo elementas | ISO 27001 tikslas | NIS2 ir DORA aktualumas |
|---|---|---|
| ISVS taikymo sritis ir suinteresuotųjų šalių registras | Parodo, kad teisiniai, sutartiniai ir priklausomybių reikalavimai identifikuoti | Palaiko NIS2 subjekto taikymo sritį, DORA vaidmens analizę ir GDPR atskaitomybę |
| Rizikos kriterijai ir rizikų registras | Parodo nuoseklų rizikos vertinimą ir savininkystę | Palaiko NIS2 rizikos valdymo priemones ir DORA IRT rizikos sistemą |
| Taikomumo pareiškimas | Parodo pasirinktas kontrolės priemones, pagrindimą ir įgyvendinimo būseną | Sukuria konsoliduotą kontrolės priemonių bazinį rinkinį kryžminei atitikčiai |
| Metinis vidaus audito planas | Parodo suplanuotą patikinimą | Palaiko vadovybės priežiūrą ir DORA IRT audito planavimą |
| Vidaus audito kontrolinis sąrašas | Parodo audito kriterijus ir atrankos metodą | Parodo, kaip buvo testuojami NIS2, DORA ir GDPR reikalavimai |
| Audito ataskaita ir išvadų žurnalas | Parodo objektyvius įrodymus ir neatitiktis | Palaiko veiksmingumo vertinimą ir reglamentavimo patikinimą |
| CAPA žurnalas | Parodo pagrindinę priežastį, savininką, įvykdymo terminą ir uždarymą | Palaiko korekcines priemones pagal NIS2 ir trūkumų šalinimą pagal DORA |
| Vadovybės peržiūros paketas | Parodo vadovybės atliktą veiklos rezultatų, incidentų, rizikos ir išteklių peržiūrą | Palaiko valdybos atskaitomybę pagal NIS2 ir DORA |
| Tiekėjų registras ir sutarčių įrodymai | Parodo trečiųjų šalių rizikos kontrolę | Palaiko NIS2 tiekimo grandinės saugumą ir DORA IRT trečiųjų šalių rizikos valdymą |
| Incidentų pranešimo ir įgytos patirties įrašai | Parodo reagavimą ir tobulinimą | Palaiko NIS2 etapais vykdomą pranešimą ir DORA incidentų valdyseną |
Įrodymų paketas turėtų būti susietas su ISO/IEC 27001:2022 skyriais ir A priedo kontrolės priemonėmis, bet pažymėtas pagal reglamentavimo aktualumą. Pavyzdžiui, tiekėjo audito įrašas gali palaikyti A priedo tiekėjų kontrolės priemones, NIS2 tiekimo grandinės saugumą ir DORA IRT trečiųjų šalių rizikos valdymą. Incidento stalo pratybų įrašas gali palaikyti ISO 27001 incidentų valdymą, NIS2 etapinio pranešimo pasirengimą ir DORA reikšmingų su IRT susijusių incidentų valdyseną.
Kaip atlikti integruotą vidaus auditą
Zenith Blueprint 26 žingsnis akcentuoja objektyvius įrodymus:
„Atlikite auditą rinkdami objektyvius įrodymus kiekvienam kontrolinio sąrašo punktui.“
„Apklauskite susijusius darbuotojus.“
„Peržiūrėkite dokumentaciją.“
„Stebėkite praktikas.“
„Atlikite imčių tikrinimą ir atsitiktinius patikrinimus.“
Iš Zenith Blueprint, audito, peržiūros ir tobulinimo etapas, 26 žingsnis: audito vykdymas Zenith Blueprint
Būtent to reikalauja pasirengimas NIS2 ir DORA. Reguliuotojai ir klientai nepriims atsakymo „manome, kad tai veikia“. Jie klaus, iš kur tai žinote.
Gerai atliktas auditas testuoja keturias įrodymų dimensijas.
| Įrodymų dimensija | Audito testo pavyzdys | Geri įrodymai |
|---|---|---|
| Projektavimas | Ar politika arba procesas apibrėžia reikalavimą? | Patvirtinta politika, procedūra, standartas, darbo eiga |
| Įgyvendinimas | Ar procesas įdiegtas? | Užklausos, konfigūracijos, mokymų įrašai, tiekėjų įrašai |
| Veikimo veiksmingumas | Ar jis veikė laikui bėgant? | Kelių mėnesių imtys, įspėjimai, peržiūros žurnalai, testavimo rezultatai |
| Valdysenos eskalavimas | Ar vadovybė matė rezultatus ir pagal juos veikė? | CAPA patvirtinimas, vadovybės peržiūros protokolai, biudžeto sprendimas |
Apsvarstykite simuliuotą išpirkos reikalaujančios programinės įrangos įvykį parengiamajame serveryje. Auditorius testuoja, ar reagavimo į incidentus procesas gali atitikti ISO 27001 reikalavimus, NIS2 etapinio pranešimo lūkesčius ir DORA klientų įpareigojimus.
| Surinkti įrodymai | ISO 27001 aktualumas | NIS2 aktualumas | DORA aktualumas |
|---|---|---|---|
| Incidento žurnalas su pradine klasifikacija ir laiko žyma | Kontrolės priemonė 5.26 reagavimas į informacijos saugumo incidentus | Nustato sužinojimo momentą pranešimo terminams | Palaiko su IRT susijusių incidentų identifikavimą ir registravimą žurnale |
| Eskalavimas CSIRT ir teisininkui | Kontrolės priemonė 5.25 informacijos saugumo įvykių vertinimas ir sprendimas | Palaiko sprendimų priėmimą dėl reikšmingo incidento pranešimo | Palaiko vidinės komunikacijos ir eskalavimo procedūras |
| Ankstyvojo įspėjimo pranešimo šablono projektas | Kontrolės priemonė 5.24 incidentų valdymo planavimas ir pasirengimas | Palaiko gebėjimą atitikti 24 valandų ankstyvojo įspėjimo lūkestį | Gali palaikyti pasirengimą sutartinei komunikacijai |
| Atsarginių kopijų atkūrimo sprendimo įrašas | Kontrolės priemonės 5.29, 5.30 ir 8.13 | Palaiko veiklos tęstinumo ir atkūrimo po katastrofos įrodymus | Palaiko reagavimo, atkūrimo ir atsarginių kopijų atkūrimo lūkesčius |
| Kliento komunikacijos įrašas | Kontrolės priemonės 5.20 ir 5.22 tiekėjų susitarimai ir tiekėjo paslaugų stebėsena | Gali palaikyti sutartinę ir tiekimo grandinės komunikaciją | Palaiko finansų klientų trečiųjų šalių rizikos įpareigojimus |
NIS2 turi etapinio pranešimo struktūrą reikšmingiems incidentams, įskaitant ankstyvąjį įspėjimą per 24 valandas nuo sužinojimo, incidento pranešimą per 72 valandas ir galutinę ataskaitą per vieną mėnesį nuo incidento pranešimo. DORA turi savo su IRT susijusių incidentų klasifikavimo ir pranešimo sistemą finansų subjektams. Vidaus auditas turėtų patikrinti, ar veiksmų planai fiksuoja sužinojimo laiką, sunkumo kriterijus, paveiktas paslaugas, kompromitavimo indikatorius, rizikos mažinimo veiksmus, pagrindinę priežastį, pareigas informuoti klientus ir galutinės ataskaitos duomenis.
Vienos audito išvados pavertimas NIS2 ir DORA įrodymais
Realistiška tiekėjo išvada parodo, kaip turėtų judėti įrodymai.
Vidaus audito metu auditorius atrenka penkis kritinius tiekėjus. Vienas debesijos žurnalavimo teikėjas palaiko fintech platformos sukčiavimo stebėseną ir saugumo įspėjimus. Tiekėjas įtrauktas į apskaitą, tačiau nėra dokumentuoto pasitraukimo plano, nėra kasmetinės saugumo peržiūros įrodymų ir nėra patvirtinimo, kad sutartyje numatyta pagalba incidentų metu arba audito teisės.
Auditorius užregistruoja neatitiktį tiekėjų saugumo ir debesijos paslaugų nutraukimo reikalavimams. Silpnas atsakymas būtų „trūksta tiekėjo peržiūros“. Stiprus atsakymas sukuria kryžminės atitikties įrodymų grandinę:
- Užregistruoti išvadą audito ataskaitoje, įskaitant imties dydį, tiekėjo pavadinimą, sutarties nuorodą ir trūkstamus įrodymus.
- Pridėti CAPA įrašą su pagrindine priežastimi, pavyzdžiui: „tiekėjų įtraukimo kontroliniame sąraše nebuvo kritiškumo klasifikavimo arba pasitraukimo plano paleidiklio“.
- Priskirti tiekėjo savininką ir rizikos savininką.
- Atnaujinti tiekėjų registrą, pažymint paslaugą kaip palaikančią kritinę arba svarbią funkciją.
- Atlikti rizikos vertinimą, apimantį paslaugos nutrūkimą, duomenų prieigą, koncentracijos riziką, priklausomybę nuo incidentų pranešimo ir sutartines spragas.
- Atnaujinti rizikos tvarkymo planą ir Taikomumo pareiškimą, kai aktualu.
- Gauti atnaujintą sutarties priedą arba dokumentuotą rizikos priėmimą.
- Sukurti arba testuoti pasitraukimo planą.
- Po trūkumų šalinimo pakartotinai audituoti tiekėjo įrodymus.
- Pateikti išvadą, riziką ir išteklių poreikius vadovybės peržiūrai.
Ši viena grandinė palaiko kelis įpareigojimus. NIS2 tikisi tiekimo grandinės saugumo ir tiekėjų pažeidžiamumų, kibernetinio saugumo praktikų bei saugaus kūrimo procedūrų įvertinimo. DORA reikalauja, kad finansų subjektai valdytų IRT trečiųjų šalių riziką, tvarkytų sutartinių susitarimų registrus, vertintų teikėjus prieš sudarant sutartį, kai tinkama įtrauktų audito ir patikrinimo teises, išlaikytų sutarties nutraukimo teises ir dokumentuotų pasitraukimo strategijas IRT paslaugoms, palaikančioms kritines arba svarbias funkcijas. GDPR taip pat gali būti aktualus, jei tiekėjas tvarko asmens duomenis.
Audito įrašas nebėra vien atitikties įrodymas. Tai atsparumo įrodymas.
Vadovybės peržiūra: kur įrodymai tampa atskaitomybe
Vidaus auditas nustato faktinę padėtį. Vadovybės peržiūra nusprendžia, ką su ja daryti.
Zenith Blueprint 28 žingsnis aprašo vadovybės peržiūros įvesties paketą:
„ISO 27001 nurodo kelis privalomus įvesties duomenis vadovybės peržiūrai. Parenkite trumpą ataskaitą arba pristatymą, apimantį šiuos punktus.“
Blueprint išvardija ankstesnių veiksmų būseną, išorinių ir vidinių klausimų pokyčius, ISVS veiklos rezultatus ir veiksmingumą, incidentus arba neatitiktis, tobulinimo galimybes ir išteklių poreikius.
Iš Zenith Blueprint, audito, peržiūros ir tobulinimo etapas, 28 žingsnis: vadovybės peržiūra Zenith Blueprint
NIS2 ir DORA kontekste vadovybės peržiūra yra vieta, kur tampa matoma valdybos lygmens atskaitomybė. Peržiūroje neturėtų būti tik teigiama „saugumas buvo aptartas“. Ji turėtų parodyti, kad vadovybė peržiūrėjo:
- NIS2, DORA, GDPR, klientų ir sutartinių reikalavimų pokyčius.
- Taikymo srities pokyčius, įskaitant naujas šalis, produktus, reguliuojamus klientus arba IRT priklausomybes.
- Vidaus audito rezultatus, įskaitant reikšmingas ir mažareikšmes neatitiktis.
- CAPA būseną ir vėluojančius veiksmus.
- Saugumo tikslus ir rodiklius.
- Incidentų tendencijas, vos neįvykusius incidentus ir įgytą patirtį.
- Tiekėjų ir debesijos koncentracijos rizikas.
- Veiklos tęstinumo ir atsarginių kopijų testų rezultatus.
- Pažeidžiamumų ir pataisų diegimo rezultatus.
- Išteklių poreikius, įskaitant žmones, priemones, mokymus ir biudžetą.
- Liekamąsias rizikas, kurioms reikia formalaus priėmimo.
- Tobulinimo sprendimus ir atsakingus savininkus.
Čia Marija gali techninę ataskaitą paversti strateginiu patikinimu. Užuot sakiusi „radome vieną incidentų proceso spragą“, ji gali pasakyti: „Auditas nustatė vieną mažareikšmę neatitiktį mūsų NIS2 incidentų pranešimo sprendimų kriterijuose. CAPA atnaujina procedūrą, prideda sprendimų matricą ir reikalauja per 30 dienų atlikti stalo pratybas. Reikia vadovybės patvirtinimo teisinei peržiūrai ir mokymų laikui.“
Tai toks įrašas, kuris palaiko valdyseną, priežiūrą ir pagrįstą sprendimų priėmimą.
Korekcinis veiksmas: skirtumas tarp išvados ir brandos
Vidaus auditas be korekcinių veiksmų yra tik diagnozė.
Zenith Blueprint 29 žingsnis nurodo organizacijoms naudoti CAPA žurnalą:
„Užpildykite jį kiekvienu klausimu: klausimo aprašymas, pagrindinė priežastis, korekcinis veiksmas, atsakingas savininkas, tikslinė užbaigimo data, būsena.“
Iš Zenith Blueprint, audito, peržiūros ir tobulinimo etapas, 29 žingsnis: nuolatinis tobulinimas Zenith Blueprint
Jis taip pat pateikia svarbų atskyrimą:
„Audito terminais: korekcija pašalina simptomą, korekcinis veiksmas pašalina priežastį. Abu yra svarbūs.“
Iš Zenith Blueprint, audito, peržiūros ir tobulinimo etapas, 29 žingsnis: nuolatinis tobulinimas
Jei trūksta atsarginių kopijų atkūrimo įrodymų, korekcija gali būti šią savaitę atlikti ir dokumentuoti atkūrimo testą. Korekcinis veiksmas — pakeisti atsarginių kopijų procedūrą taip, kad atkūrimo testai būtų planuojami kas ketvirtį, automatiškai registruojami užklausomis, peržiūrimi paslaugos savininko ir įtraukiami į vadovybės peržiūros rodiklius.
Auditoriai ieško tokios brandos. ISO 27001 auditorius testuoja atitiktį ISVS ir pasirinktoms kontrolės priemonėms. NIS2 peržiūros vykdytojas klausia, ar rizikos valdymo priemonės yra veiksmingos ir prižiūrimos. DORA peržiūros vykdytojas ieško IRT rizikos sistemos integravimo, atsparumo testavimo, trečiųjų šalių priklausomybių valdymo ir trūkumų šalinimo. NIST Cybersecurity Framework 2.0 vertintojas gali klausti, ar veikia valdysenos, identifikavimo, apsaugos, aptikimo, reagavimo ir atkūrimo rezultatai. COBIT 2019 auditorius gali sutelkti dėmesį į valdysenos tikslus, savininkystę, veiklos rodiklius ir patikinimą.
Tas pats CAPA įrašas gali patenkinti šiuos pjūvius, jei jame nurodyta pagrindinė priežastis, savininkas, rizikos poveikis, korekcinis veiksmas, įvykdymo terminas, įgyvendinimo įrodymai, veiksmingumo peržiūra ir matomumas vadovybei.
Keli auditoriaus pjūviai
Skirtingi auditoriai tuos pačius įrodymus skaito skirtingai. Zenith Controls padeda numatyti šiuos klausimus veikdama kaip kryžminės atitikties gidas ISO/IEC 27002:2022 kontrolės priemonėms ir susijusioms sistemoms.
| Audito pjūvis | Ko auditorius tikriausiai klaus | Įrodymai, kurie atsako tinkamai |
|---|---|---|
| ISO 27001 auditorius | Ar ISVS suplanuota, įgyvendinta, įvertinta ir tobulinama pagal ISO/IEC 27001:2022 reikalavimus? | Taikymo sritis, rizikos vertinimas, Taikomumo pareiškimas, vidaus audito planas, audito ataskaita, vadovybės peržiūros rezultatai, CAPA |
| NIS2 peržiūros vykdytojas | Ar vadovybė patvirtino ir prižiūrėjo tinkamas rizikos valdymo priemones ir ar subjektas gali parodyti veiksmingumą bei korekcinius veiksmus? | Valdybos arba vadovybės peržiūros protokolai, rizikos tvarkymo planas, incidentų veiksmų planai, tiekėjų peržiūros, mokymų įrašai, veiksmingumo rodikliai |
| DORA peržiūros vykdytojas | Ar IRT rizikos valdymas integruotas į valdyseną, atsparumo strategiją, testavimą, trečiųjų šalių riziką ir trūkumų šalinimą? | IRT rizikos sistema, audito planas, atsparumo testų įrodymai, trečiųjų šalių registras, kritinių funkcijų susiejimas, trūkumų šalinimo įrašai |
| GDPR peržiūros vykdytojas | Ar organizacija gali pagrįsti atskaitomybę už asmens duomenų tvarkymą ir saugumą? | Duomenų apskaita, teisinio pagrindo įrašai, duomenų tvarkytojų sutartys, pažeidimų žurnalai, prieigos kontrolės priemonės, saugojimo įrodymai, saugumo priemonės |
| NIST CSF 2.0 vertintojas | Ar valdysenos, rizikos, apsaugos, aptikimo, reagavimo ir atkūrimo rezultatai veikia veiksmingai? | Kontrolės priemonių įrodymai, susieti su rezultatais, žurnalai, stebėsena, incidentų įrašai, atkūrimo testai, tobulinimo veiksmai |
| COBIT 2019 auditorius | Ar valdysenos tikslai, savininkystė, veiklos valdymas ir patikinimo veiklos apibrėžtos ir stebimos? | RACI, politikos, KPI, audito registras, klausimų valdymas, vadovybės ataskaitos, sprendimų įrašai |
Kontrolės priemonė 5.36 yra geras pavyzdys. ISO 27001 auditorius gali sutelkti dėmesį į tai, ar atitikties peržiūros vyksta ir ar jos įtraukiamos į korekcinius veiksmus. NIS2 peržiūros vykdytojas gali klausti, ar šios peržiūros testuoja teisines kibernetinio saugumo priemones, o ne tik vidaus taisykles. DORA peržiūros vykdytojas gali sutelkti dėmesį į tai, ar atitikties peržiūros apima kritinius IRT teikėjus ir sutartinių įpareigojimų taikymą.
Todėl įrodymai nuo pat pradžių turi būti projektuojami keliems skaitytojams.
Praktinis 30 dienų pasirengimo auditui sprintas
Jei CEO klausia, ar organizacija gali būti pasirengusi auditui per 30 dienų, sąžiningas atsakymas toks: galima sukurti patikimą įrodymų bazinį rinkinį, jei vadovybė palaiko sprintą, o taikymo sritis yra realistiška.
| Dienos | Veikla | Rezultatas |
|---|---|---|
| 1–3 | Patvirtinti ISVS taikymo sritį, reguliuojamas paslaugas, suinteresuotąsias šalis ir įpareigojimus | Taikymo srities aprašas, NIS2, DORA ir GDPR taikomumo pastaba |
| 4–7 | Atnaujinti rizikos kriterijus, rizikų registrą ir pagrindinius rizikos savininkus | Atnaujintas rizikų registras ir tvarkymo prioritetai |
| 8–10 | Parengti rizika grindžiamą vidaus audito planą | Patvirtintas audito planas ir audito kontrolinis sąrašas |
| 11–17 | Atlikti audito interviu, atrankinį tikrinimą ir įrodymų peržiūrą | Įrodymų žurnalas, išvados, teigiamos pastabos |
| 18–20 | Patvirtinti išvadas su savininkais ir klasifikuoti sunkumą | Audito ataskaita ir neatitikčių registras |
| 21–24 | Sukurti CAPA žurnalą su pagrindinėmis priežastimis, savininkais ir terminais | Patvirtintas korekcinių veiksmų planas |
| 25–27 | Parengti vadovybės peržiūros paketą | Peržiūros pristatymas arba ataskaita su rodikliais, rizikomis, incidentais, ištekliais |
| 28–30 | Surengti vadovybės peržiūrą ir užregistruoti sprendimus | Protokolai, veiksmų žurnalas, rizikos priėmimai, išteklių sprendimai |
Šis sprintas nepakeičia ilgalaikės brandos. Jis sukuria pagrįstą veiklos bazinį rinkinį. Tikroji vertė atsiranda tada, kai organizacija kartoja ciklą kas ketvirtį arba kas pusmetį, o ne tik kartą per metus.
Dažni įrodymų trūkumai, kuriuos nustato Clarysec
Tie patys trūkumai kartojasi SaaS, debesijos ir fintech audituose:
- Audito planas yra, bet jis nėra grindžiamas rizika.
- Audito kontrolinis sąrašas testuoja ISO skyrius, bet ignoruoja NIS2, DORA, GDPR ir klientų įpareigojimus.
- Vadovybės peržiūros protokolai yra, bet jie nerodo sprendimų, išteklių paskirstymo arba rizikos priėmimo.
- CAPA įrašai nurodo veiksmus, bet ne pagrindinę priežastį.
- Išvados uždaromos be veiksmingumo patikrinimo.
- Tiekėjų peržiūros atliekamos, bet kritiniai tiekėjai neatskiriami nuo mažos rizikos tiekėjų.
- Incidentų veiksmų planai yra, bet niekas negali įrodyti, kad 24 arba 72 valandų pranešimo darbo eiga veiktų.
- Atsarginių kopijų užduotys pažymėtos žaliai, bet atkūrimo testai nepagrįsti įrodymais.
- Prieigos peržiūros eksportuojamos, bet išimčių uždarymas nestebimas.
- Žurnalai renkami, bet niekas negali parodyti stebėsenos, eskalavimo arba reagavimo.
- Įrodymai saugomi asmeniniuose aplankuose, o ne kontroliuojamoje saugykloje.
- Saugojimo reikalavimai neaiškūs arba nesuderinti su klientų sutartimis.
Šie trūkumai ištaisomi. Jiems reikia struktūrizuotos ISVS įrodymų architektūros, o ne paskutinės minutės dokumentų medžioklės.
Kaip geras rezultatas atrodo valdybai
Kai CISO grįžta pas CEO ir CFO, stipriausias atsakymas nėra „praėjome audito kontrolinį sąrašą“. Jis yra toks:
„Turime patvirtintą audito planą. Atlikome rizika grindžiamą vidaus auditą. Identifikavome išvadas su objektyviais įrodymais. Patvirtinome CAPA su savininkais ir terminais. Reikšmingas rizikas, incidentus, tiekėjų priklausomybes ir išteklių poreikius eskalavome į vadovybės peržiūrą. Susiejome įrodymus su ISO/IEC 27001:2022, NIS2, DORA ir GDPR. Galime parodyti audito pėdsaką.“
Toks atsakymas pakeičia pokalbį. CEO suteikia pasitikėjimo kalbant su klientais. CFO suteikia aiškumo dėl reglamentavimo rizikos ekspozicijos. Valdybai suteikia pagrįstą priežiūros įrašą. CISO suteikia prioritetizuotą veiksmų planą, o ne atskirų užklausų krūvą.
Svarbiausia, jis perkelia organizaciją nuo atitikties teatro prie operacinio atsparumo.
Kiti žingsniai su Clarysec
Kitas jūsų auditas neturėtų būti skubotas gelbėjimasis. Jis turėtų būti matomas įrodymas, kad jūsų ISVS veikia, vadovybė įsitraukusi, o organizacija pasirengusi ISO 27001, NIS2, DORA, GDPR ir klientų patikinimui.
Clarysec gali padėti jums:
- Parengti rizika grindžiamą vidaus audito planą naudojant Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint.
- Susieti audito įrodymus per Zenith Controls: The Cross-Compliance Guide Zenith Controls.
- Įgyvendinti MVĮ arba įmonės audito valdyseną naudojant MVĮ skirtą audito ir atitikties stebėsenos politiką MVĮ skirta audito ir atitikties stebėsenos politika arba Audito ir atitikties stebėsenos politiką Audito ir atitikties stebėsenos politika.
- Parengti vadovybės peržiūros paketus, suderintus su Informacijos saugumo politika Informacijos saugumo politika ir ISO/IEC 27001:2022 9.3 skyriaus lūkesčiais.
- Paversti išvadas CAPA įrašais, vadovybės sprendimais ir išmatuojamu tobulinimu.
Atsisiųskite Clarysec įrankių rinkinius, užsisakykite pasirengimo vertinimą arba paprašykite demonstracijos, kad kitą vidaus auditą paverstumėte valdybai tinkamais ISO 27001, NIS2, DORA ir platesniais įrodymais.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
