ISO 27001 kaip NIS2 ir DORA įrodymų pagrindas
Pirmadienio ryto atitikties susidūrimas
Pirmadienį 08:12 Maria, Europos mokėjimų apdorojimo įmonės informacijos saugumo vadovė (CISO), gauna tris iš pirmo žvilgsnio nesusijusias žinutes.
Vidaus audito vadovas prašo įrodymų, kad ISO 27001:2022 Taikomumo pareiškimas yra aktualus. Teisės komanda persiunčia banko partnerio klausimyną dėl DORA IRT trečiųjų šalių rizikos priežiūros. Veiklos direktorius klausia, ar tas pats incidentų valdymo planas gali padėti įvykdyti NIS2 pranešimų lūkesčius naujai įsigytam ES verslo padaliniui.
Iki 09:00 Marijos biuro lentoje jau pilna akronimų: ISO 27001, NIS2, DORA, GDPR, NIST, COBIT 2019. Jos organizacija turi kontrolės priemones. Ji turi prieigos valdymą, atsargines kopijas, tiekėjų klausimynus, šifravimą, reagavimą į incidentus, politikų patvirtinimus, vadovybės peržiūras ir mokymų įrašus. Tačiau ji neturi vieno auditui tinkamo įrodymų pagrindo, kuris paaiškintų, kodėl tos kontrolės priemonės egzistuoja, kokias rizikas jos valdo, kokius reglamentus palaiko, kas už jas atsakingas ir kur saugomi įrodymai.
Ši problema tampa įprasta visoje Europoje. NIS2 stiprina kibernetinio saugumo rizikos valdymą, valdyseną, incidentų valdymą ir tiekimo grandinės atsparumą. DORA finansų subjektams nustato išsamius IRT rizikos valdymo, atsparumo testavimo, pranešimo apie incidentus ir IRT trečiųjų šalių priežiūros reikalavimus. GDPR toliau reikalauja atskaitomybės, tvarkymo saugumo, duomenų tvarkytojų valdysenos ir asmens duomenų saugumo pažeidimų vertinimo.
Netinkamas atsakas – kurti tris lygiagrečias atitikties programas. Tai sukuria dubliuotas kontrolės priemones, nenuoseklius įrodymus ir perdegusias komandas.
Stipresnis atsakas – naudoti ISO 27001:2022 kaip kontrolės priemonių pagrindą. Ne kaip sertifikatą ant sienos, o kaip rizikos, politikų, tiekėjų valdysenos, reagavimo į incidentus, atitikties susiejimo ir audito įrodymų operacinę sistemą.
Clarysec praktinis modelis paprastas: naudokite ISO 27001:2022 ISVS kaip organizacinę sistemą, Taikomumo pareiškimą – kaip jungtį, politikas – kaip įgyvendinamas veiklos taisykles, o Zenith Controls: tarpusavio atitikties vadovą – kaip tarpusavio atitikties kompasą. Kurkite vieną kartą, susiekite kruopščiai, įrodinėkite nuolat.
Kodėl ISO 27001:2022 veikia kaip atitikties pagrindas
NIS2 ir DORA turi skirtingas taikymo sritis, teisinius mechanizmus ir priežiūros modelius. NIS2 taikoma esminiams ir svarbiems subjektams įvairiuose sektoriuose. DORA taikoma finansų subjektams ir nustato išsamius skaitmeninio operacinio atsparumo reikalavimus. GDPR orientuojasi į asmens duomenų tvarkymą ir atskaitomybę.
Vis dėlto šių sistemų veiklos klausimai persidengia:
- Ar kibernetinis saugumas valdomas vadovybės patvirtintomis politikomis?
- Ar informacijos saugumo ir IRT rizikos identifikuojamos, vertinamos ir valdomos?
- Ar kontrolės priemonės parenkamos pagal riziką, verslo kontekstą ir teisinius įpareigojimus?
- Ar tiekėjai valdomi taikant deramą patikrinimą, sutartis, stebėseną ir pasitraukimo kontrolės priemones?
- Ar darbuotojai gali anksti atpažinti saugumo įvykius ir apie juos pranešti?
- Ar incidentus galima pirminiai įvertinti, eskaluoti, tirti ir vertinti dėl pranešimo reguliuotojui?
- Ar organizacija gali greitai pateikti įrodymus audito, kliento peržiūros ar priežiūros institucijos paklausimo metu?
ISO 27001:2022 vadovybei suteikia valdymo sistemą, leidžiančią į šiuos klausimus atsakyti nuosekliai. ISO/IEC 27007:2022 Taikomumo pareiškimą laiko audituojamu pasirinktų informacijos saugumo kontrolės priemonių sąrašu, apimančiu ISO 27001:2022 A priedo, kitų standartų arba organizacijai specifines priemones, su dokumentuotu įtraukimo arba neįtraukimo pagrindimu. ISO/IEC 27006-1:2024 pabrėžia, kad SoA ir susijusi ISVS dokumentacija sudaro pagrindinę įrodymų bazę, parodančią, kurios kontrolės priemonės reikalingos, kaip priskiriamos atsakomybės ir kaip politikos įgyvendinamos bei komunikuojamos.
Todėl SoA yra daug daugiau nei skaičiuoklė. Jis tampa kontrolės priemonių susitarimu tarp rizikos, atitikties, veiklos, teisės, pirkimų, audito ir valdybos.
Clarysec [P01] Informacijos saugumo politika įtvirtina šį valdysenos reikalavimą:
Organizacija privalo įgyvendinti ir palaikyti informacijos saugumo valdymo sistemą (ISVS) pagal ISO/IEC 27001:2022 4–10 skyrius.
Iš skyriaus „Politikos įgyvendinimo reikalavimai“, politikos punktas 6.1.1.
Tai svarbu, nes NIS2 ir DORA įrodymų prašymai retai pateikiami ISO terminija. Reguliuotojas, klientas ar valdybos komitetas gali paprašyti kibernetinio saugumo rizikos valdymo, IRT valdysenos, trečiųjų šalių priklausomybių priežiūros, incidentų eskalavimo ar operacinio atsparumo testavimo įrodymų. ISO 27001:2022 ISVS suteikia šiems atsakymams struktūrą.
SoA yra jungtis, o ne dokumentų administravimo pratimas
Zenith Blueprint: auditoriaus 30 žingsnių veiksmų plane, rizikos valdymo fazės 13 žingsnyje, Clarysec SoA apibrėžia kaip pagrindinį atsekamumo mechanizmą tarp rizikos tvarkymo ir įgyvendintų kontrolės priemonių:
SoA faktiškai yra jungiamasis dokumentas: jis susieja jūsų rizikos vertinimą / tvarkymą su faktinėmis turimomis kontrolės priemonėmis.
Šis sakinys yra tarpusavio atitikties esmė. Kontrolės priemonė be atsekamumo tampa pavieniu artefaktu. Kontrolės priemonė, susieta su rizika, teisiniu įpareigojimu, politika, savininku, įrodymų įrašu ir testavimo rezultatu, tampa tinkama auditui.
13 žingsnyje taip pat rekomenduojama prie rizikos scenarijų pridėti kontrolės priemonių nuorodas, pavyzdžiui, kliento duomenų bazės pažeidimo scenarijų susieti su prieigos kontrole, kriptografija, pažeidžiamumų valdymu, reagavimu į incidentus ir tiekėjų kontrolės priemonėmis. Taip pat rekomenduojama pažymėti, kada kontrolės priemonės palaiko išorinius reikalavimus, tokius kaip GDPR, NIS2 ar DORA.
Clarysec [P06] Rizikos valdymo politika šią veiklos taisyklę nustato aiškiai:
Rizikos tvarkymo proceso metu priimti sprendimai dėl kontrolės priemonių turi būti atspindėti SoA.
Iš skyriaus „Politikos įgyvendinimo reikalavimai“, politikos punktas 6.5.1.
Mažesnėms organizacijoms Rizikos valdymo politika – SME taiko tą pačią logiką:
Ji užtikrina, kad rizikos valdymas būtų aktyvi planavimo, projektų vykdymo, tiekėjų atrankos ir reagavimo į incidentus dalis, suderinta su ISO 27001, ISO 31000 ir taikomais reglamentavimo reikalavimais.
Iš skyriaus „Tikslas“, politikos punktas 1.2.
Jei DORA trečiųjų šalių rizikos tvarkymas, NIS2 incidentų valdymo priemonė ar GDPR duomenų tvarkytojo saugumo reikalavimas nėra atspindėti SoA arba susijusiame atitikties registre, organizacija vis tiek gali būti atlikusi darbą. Tačiau jai bus sunku nuosekliai įrodyti, kad darbas atliktas.
Praktinis ISO 27001:2022 susiejimas su NIS2 ir DORA
Toliau pateiktas susiejimas nėra teisinė konsultacija. Tai praktinis įrodymų modelis CISO, atitikties vadovams, vidaus auditoriams ir verslo savininkams, kuriems reikia suderinti ISO 27001:2022 įrodymus su NIS2 ir DORA lūkesčiais.
ENISA, bendradarbiaudama su Europos Komisija ir NIS bendradarbiavimo grupe, pateikė konsultacines kryžminių nuorodų gaires, padedančias suderinti ES kibernetinio saugumo reikalavimus su tarptautiniais ir nacionaliniais standartais, įskaitant ISO 27001. Šios gairės nėra teisiškai privalomos ir turi būti papildytos nacionalinių institucijų nurodymais, sektoriaus taisyklėmis ir teisine peržiūra. Tačiau jos palaiko pagrįstą susiejimo metodą.
| Atitikties klausimas | ISO 27001:2022 pagrindo įrodymai | NIS2 aktualumas | DORA aktualumas | Clarysec įrodymų artefaktas |
|---|---|---|---|---|
| Ar kibernetinis saugumas valdomas vadovybės patvirtintomis politikomis? | Informacijos saugumo politika, ISVS taikymo sritis, vaidmenys, vadovybės peržiūros įrašai, SoA | Kibernetinio saugumo rizikos valdymo ir valdysenos lūkesčiai | IRT valdysena ir IRT rizikos valdymo sistema | Informacijos saugumo politika, SoA, vadovybės peržiūros paketas |
| Ar rizikos vertinamos ir valdomos? | Rizikų registras, rizikos tvarkymo planas, SoA pagrindimai, likutinės rizikos patvirtinimai | Rizika grindžiamos kibernetinio saugumo priemonės pagal Article 21 | IRT rizikų identifikavimas, apsauga, prevencija, aptikimas, reagavimas ir atkūrimas | Rizikų registras, rizikos tvarkymo planas, SoA_Builder.xlsx |
| Ar tiekėjai kontroliuojami? | Tiekėjų politika, deramo patikrinimo įrašai, sutartys, teisės atlikti auditą, pranešimų apie pažeidimus nuostatos | Tiekimo grandinės kibernetinis saugumas pagal Article 21(2)(d) | IRT trečiųjų šalių rizikos valdymas pagal Articles 28 to 30 | Trečiųjų šalių ir tiekėjų saugumo politika, tiekėjų registras |
| Ar incidentai aptinkami, eskaluojami ir apie juos pranešama? | Reagavimo į incidentus planas, pranešimo kanalas, pirminio įvertinimo įrašai, stalo pratybų testai, įgyta patirtis | Reikšmingų incidentų valdymas ir pranešimas pagal Article 23 | Su IRT susijusių incidentų valdymas ir pranešimas pagal Articles 17 to 19 | Reagavimo į incidentus politika, incidentų įrašai, pratybų ataskaita |
| Ar įrodymai centralizuoti ir audituojami? | Vidaus audito programa, įrodymų saugykla, atitikties registras, korekciniai veiksmai | Pasirengimas pateikti įrodymus priežiūrai | Pasirengimas reglamentavimo ir priežiūros patikrinimams | Audito ir atitikties stebėsenos politika, centrinis audito aplankas |
Šis susiejimas veikia, nes nekuria dubliuotų kontrolės priemonių kiekvienam reglamentui. Jis naudoja ISO 27001:2022 kaip kontrolės priemonių pagrindą ir prideda reglamentavimo žymas, atsakomybę ir įrodymų lūkesčius.
Trys ISO 27001:2022 kontrolės priemonės, atveriančios pagrindą
NIS2 ir DORA svarbios kelios kontrolės priemonės, tačiau trys ISO/IEC 27002:2022 kontrolės priemonės dažnai tampa įrodymų modelio stuburu: 5.1, 5.19 ir 5.24. Ketvirtoji kontrolės priemonė, 6.8, dažnai lemia, ar incidentų pranešimas veikia realiai.
| ISO/IEC 27002:2022 kontrolės priemonė | Kodėl ji svarbi | Tarpusavio atitikties vertė |
|---|---|---|
| 5.1 Informacijos saugumo politikos | Nustato vadovybės patvirtintą saugumo kryptį ir atskaitomybę | Palaiko NIS2 valdyseną, DORA IRT valdyseną, GDPR atskaitomybę ir ISO 27001 politikos įrodymus |
| 5.19 Informacijos saugumas santykiuose su tiekėjais | Apibrėžia tiekėjų saugumo lūkesčius per įtraukimo, stebėsenos ir santykių valdymo ciklą | Palaiko NIS2 tiekimo grandinės kibernetinį saugumą, DORA IRT trečiųjų šalių riziką ir GDPR duomenų tvarkytojų priežiūrą |
| 5.24 Informacijos saugumo incidentų valdymo planavimas ir pasirengimas | Sukuria incidentų valdymo sistemą, vaidmenis, eskalavimo kelius ir pasirengimo veiklas | Palaiko NIS2 incidentų valdymą, DORA su IRT susijusių incidentų pranešimą ir GDPR pažeidimų vertinimą |
| 6.8 Informacijos saugumo įvykių pranešimas | Užtikrina, kad darbuotojai galėtų greitai pranešti apie įtariamus įvykius aiškiais kanalais | Palaiko ankstyvą aptikimą, eskalavimą, pranešimo vertinimą ir incidentų įrodymų kokybę |
Zenith Controls ISO/IEC 27002:2022 kontrolės priemonė 5.1, Informacijos saugumo politikos, apibūdinama kaip prevencinė kontrolės priemonė, palaikanti konfidencialumą, vientisumą ir prieinamumą, o valdysena ir politikų valdymas nurodomi kaip pagrindinės operacinės galimybės. Kryžminis susiejimas paaiškina, kad GDPR Articles 5(2), 24 ir 32 reikalauja atskaitomybės, atsakomybės ir tvarkymo saugumo. Ta pati kontrolės priemonė taip pat susiejama su NIS2 kibernetinio saugumo rizikos valdymo ir valdysenos lūkesčiais bei DORA IRT valdysenos ir rizikos valdymo sistemos reikalavimais.
Todėl informacijos saugumo politika nėra tik dar viena politika. NIS2 vertintojas gali ją skaityti kaip valdysenos įrodymą. DORA priežiūros institucija gali ją skaityti kaip IRT rizikos valdymo sistemos įrodymą. GDPR peržiūrą atliekantis asmuo gali ją skaityti kaip atskaitomybės įrodymą. ISO 27001:2022 auditorius gali ją skaityti kaip ISVS politikos struktūros dalį.
Kontrolės priemonė 5.19, Informacijos saugumas santykiuose su tiekėjais, yra vieta, kur susitinka pirkimai, teisė, saugumas, privatumas ir atsparumas. Zenith Controls ją susieja su GDPR duomenų tvarkytojų pareigomis, NIS2 tiekimo grandinės kibernetiniu saugumu ir DORA IRT trečiųjų šalių rizikos valdymu. DORA atveju šie įrodymai tampa dar stipresni, kai juos palaiko kontrolės priemonės 5.20, Informacijos saugumo įtraukimas į tiekėjų susitarimus, 5.21, Informacijos saugumo valdymas IRT tiekimo grandinėje, ir 5.23, Informacijos saugumas naudojant debesijos paslaugas.
Kontrolės priemonė 5.24, Informacijos saugumo incidentų valdymo planavimas ir pasirengimas, yra incidentų pasirengimo operacinis variklis. Zenith Controls ją susieja su NIS2 incidentų valdymu ir pranešimu, GDPR asmens duomenų saugumo pažeidimo pranešimu ir DORA su IRT susijusių incidentų valdymu bei pranešimu. Jos įrodymai nėra vien reagavimo į incidentus politika. Jie apima pranešimo kanalus, pirminio įvertinimo kriterijus, eskalavimo įrašus, teisinių pranešimų vertinimus, stalo pratybas, incidentų įrašus ir įgytą patirtį.
Kontrolės priemonė 6.8, Informacijos saugumo įvykių pranešimas, uždaro spragą tarp rašytinio plano ir žmonių elgsenos. Jei darbuotojai nežino, kaip pranešti apie įtariamą fišingą, duomenų nutekėjimą, tiekėjų paslaugų nepasiekiamumą ar įtartiną sistemų veiklą, organizacija gali prarasti kritinį laiką dar prieš prasidedant teisiniams ar reglamentavimo pranešimų vertinimams.
Vienas tiekėjo incidentas, viena koordinuota įrodymų grandinė
Įsivaizduokite, kad debesijos analitikos paslaugų teikėjas, kuriuo naudojasi Marijos mokėjimų apdorojimo įmonė, aptinka neteisėtą prieigą prie pagalbos portalo. Teikėjas talpina pseudonimizuotus klientų naudojimo duomenis ir palaiko verslui kritinį ataskaitų teikimo darbo srautą. Incidentas gali paveikti asmens duomenis, reglamentuojamą IRT atsparumą ir paslaugos prieinamumą.
Fragmentuota atitikties programa atidaro tris atskiras darbo kryptis: GDPR pažeidimo vertinimą, DORA IRT incidento peržiūrą ir ISO 27001 tiekėjo užklausą. Kiekviena komanda prašo panašių įrodymų skirtingu formatu. Pirkimai ieško sutarties. Teisė klausia, ar teikėjas yra duomenų tvarkytojas. Saugumo komanda klausia, ar incidentas atitinka pranešimo slenksčius. Atitikties komanda pradeda naują skaičiuoklę.
Brandus ISO 27001:2022 pagrindas atidaro vieną koordinuotą įrodymų grandinę.
Pirma, įvykis registruojamas pagal reagavimo į incidentus procesą. Pranešėjas naudoja apibrėžtą kanalą, saugumo komanda atlieka pirminį įvykio įvertinimą, o teisė įvertina pranešimo įpareigojimus. Clarysec [P30] Reagavimo į incidentus politika reikalauja, kad incidentus, susijusius su reglamentuojamais duomenimis, įvertintų Teisės funkcija ir DAP:
Jei incidentas sukelia patvirtintą arba tikėtiną asmens duomenų ar kitų reglamentuojamų duomenų atskleidimą, Teisės funkcija ir DAP privalo įvertinti taikytinumą:
Iš skyriaus „Politikos įgyvendinimo reikalavimai“, politikos punktas 6.4.1.
Mažesnėms organizacijoms Reagavimo į incidentus politika-sme – SME priskiria tą patį praktinį sprendimo tašką:
Kai incidentas susijęs su klientų duomenimis, generalinis vadovas privalo įvertinti teisinius pranešimo įpareigojimus pagal GDPR, NIS2 arba DORA taikytinumą.
Iš skyriaus „Rizikos tvarkymas ir išimtys“, politikos punktas 7.4.1.
Antra, peržiūrimi santykiai su tiekėju. Ar teikėjas buvo klasifikuotas kaip kritinis? Ar sutartyje buvo numatytos pranešimų apie pažeidimus pareigos, teisės atlikti auditą, duomenų apsaugos atsakomybės, paslaugos tęstinumo lūkesčiai ir pasitraukimo nuostatos? Clarysec Trečiųjų šalių ir tiekėjų saugumo politika nustato tokį lūkestį:
Į visas tiekėjų sutartis įtraukti standartizuotus saugumo reikalavimus, įskaitant pranešimų apie pažeidimus pareigas, teises atlikti auditą ir duomenų apsaugos atsakomybes.
Iš skyriaus „Tikslai“, politikos punktas 3.2.
MVĮ atveju Trečiųjų šalių ir tiekėjų saugumo politika-sme – SME aiškiai įvardija tarpusavio atitikties tikslą:
Palaikyti atitiktį ISO/IEC 27001:2022, GDPR, NIS2 ir DORA įpareigojimams, susijusiems su tiekėjų valdysena.
Iš skyriaus „Tikslai“, politikos punktas 3.6.
Trečia, rizikų registras, tvarkymo planas ir SoA atnaujinami, jei incidentas atskleidžia spragą. Galbūt tiekėjo sutartyje trūksta konkretaus reglamentavimo pranešimo termino. Galbūt tiekėjų stebėsenos dažnis per mažas kritiniam IRT teikėjui. Galbūt reagavimo į incidentus plane nepakankamai aiškiai atskirti asmens duomenų saugumo pažeidimo kriterijai nuo IRT paslaugos sutrikimo kriterijų.
Tikslas nėra sukurti naują atitikties visatą. Tikslas – atnaujinti vieną integruotą įrodymų grandinę, kad tie patys įrašai galėtų atsakyti į kelis audito klausimus.
SoA pavertimas NIS2 ir DORA įrodymų žemėlapiu
Standartinis SoA dažnai gerai atsako į ISO klausimus: kurios kontrolės priemonės taikomos, kodėl jos pasirinktos ir ar jos įgyvendintos. Kad jis taptų praktiniu NIS2 ir DORA įrodymų žemėlapiu, papildykite jį reglamentavimo ir operacinių įrodymų laukais.
Atidarykite SoA_Builder.xlsx iš Audit Ready Toolkit, nurodyto Zenith Blueprint audito, peržiūros ir tobulinimo fazės 24 žingsnyje. 24 žingsnyje paaiškinama, kad auditoriai dažnai pasirinks kontrolės priemonės pavyzdį iš SoA ir paklaus, kodėl ji buvo įgyvendinta. Pagrindimo stulpelis ir susieta rizika arba reikalavimas turi atsakyti į šį klausimą.
Pridėkite šiuos stulpelius:
| Naujas SoA stulpelis | Tikslas | Pavyzdinis įrašas |
|---|---|---|
| Reglamentavimo veiksnys | Parodo, ar kontrolės priemonė palaiko NIS2, DORA, GDPR, klientų sutartis ar atsparumą | NIS2, DORA, GDPR |
| Susietos rizikos ID | Susieja kontrolės priemonę su rizikų registru | R-017 Tiekėjo paslaugų nepasiekiamumas, paveikiantis reglamentuojamą ataskaitų teikimą |
| Įrodymų savininkas | Nurodo, kas prižiūri įrodymus | Saugumo operacijų vadovas |
| Pirminiai įrodymai | Apibrėžia artefaktą, kurį auditoriai turėtų tikrinti pirmiausia | Reagavimo į incidentus planas ir incidentų įrašų žurnalas |
| Operaciniai įrodymai | Parodo, kad kontrolės priemonė veikia laikui bėgant | Stalo pratybų ataskaita, tiekėjo pranešimo apie pažeidimą testas |
| Audito būsena | Seka pasirengimą | Patikrinta, atvira spraga, korekcinio veiksmo terminas |
Dabar pritaikykite tai pagrindiniam kontrolės priemonių rinkiniui.
| ISO/IEC 27002:2022 kontrolės priemonė | Reglamentavimo veiksnys | Pirminiai įrodymai | Operaciniai įrodymai | Auditoriaus išvada |
|---|---|---|---|---|
| 5.1 Informacijos saugumo politikos | NIS2, DORA, GDPR | Patvirtinta informacijos saugumo politika, ISVS taikymo sritis, vaidmenų priskyrimai | Politikos peržiūros įrašas, mokymų patvirtinimas, vadovybės peržiūros protokolai | Valdysena egzistuoja, vadovybė patvirtino kryptį, atskaitomybė dokumentuota |
| 5.19 Informacijos saugumas santykiuose su tiekėjais | NIS2, DORA, GDPR | Tiekėjų politika, tiekėjų registras, tiekėjų klasifikavimas | Deramo patikrinimo peržiūros, kritiškumo vertinimai, sutarčių peržiūros, teisės atlikti auditą įrodymai | Trečiųjų šalių rizika valdoma per įtraukimo, sutarčių sudarymo, stebėsenos ir pasitraukimo ciklą |
| 5.20 Informacijos saugumo įtraukimas į tiekėjų susitarimus | NIS2, DORA, GDPR | Standartinės sutarčių nuostatos, saugumo priedas, duomenų tvarkymo sąlygos | Sutarčių atrankinė patikra, nuostatų išimčių patvirtinimai, teisinės peržiūros įrašai | Saugumo reikalavimai įtraukti į tiekėjų susitarimus |
| 5.23 Informacijos saugumas naudojant debesijos paslaugas | DORA, NIS2, GDPR | Debesijos saugumo standartas, debesijos rizikos vertinimas, architektūros patvirtinimas | Debesijos tiekėjo peržiūra, koncentracijos rizikos peržiūra, debesijos incidento testas | Debesijos paslaugų rizika identifikuojama, valdoma, stebima ir testuojama |
| 5.24 Informacijos saugumo incidentų valdymo planavimas ir pasirengimas | NIS2, DORA, GDPR | Reagavimo į incidentus politika, eskalavimo matrica, pranešimo sprendimų medis | Incidentų įrašai, stalo pratybų ataskaitos, įgyta patirtis, pranešimų vertinimai | Incidentus galima aptikti, pirminiai įvertinti, eskaluoti ir įvertinti dėl pranešimo reguliuotojui |
| 6.8 Informacijos saugumo įvykių pranešimas | NIS2, DORA, GDPR | Pranešimo kanalas, informuotumo medžiaga, įvykių pranešimo procedūra | Fišingo pranešimai, karštosios linijos žurnalai, simuliacijų įrašai, darbuotojų interviu | Darbuotojai žino, kaip greitai pranešti apie įtariamus saugumo įvykius |
Tada atlikite pavyzdinį atsekamumo patikrinimą. Pasirinkite vieną tiekėjo incidentą iš praėjusių metų ir sekite jį nuo incidento įrašo iki tiekėjo sutarties, nuo tiekėjo klasifikavimo iki rizikų registro, nuo rizikos tvarkymo iki SoA ir nuo SoA iki vadovybės peržiūros.
Jei grandinė nutrūksta, tai nėra nesėkmė. Tai tikslus korekcinis veiksmas prieš auditoriui, klientui, reguliuotojui ar valdybos komitetui aptinkant spragą.
Centralizuoti įrodymai – dažnai nepastebimas spartintuvas
Daugelis organizacijų turi pakankamas kontrolės priemones, bet silpną įrodymų gavimą. Įrodymai išsibarstę el. pašte, užklausų sistemose, SharePoint aplankuose, sutarčių saugyklose, HR platformose, GRC priemonėse ir tiekėjų portaluose. Audito sezono metu atitikties komanda savaites vaikosi ekrano kopijų.
Tai nėra pasirengimas auditui. Tai audito atkūrimas iš nuotrupų.
Clarysec [P33S] Audito ir atitikties stebėsenos politika-sme – SME nustato:
Visi įrodymai turi būti saugomi centralizuotame audito aplanke.
Iš skyriaus „Politikos įgyvendinimo reikalavimai“, politikos punktas 6.2.1.
Centralizuotas audito aplankas nereiškia nekontroliuojamos informacijos sąvartyno. Tai struktūruota saugykla, suderinta su ISVS, SoA, rizikų registru, audito planu ir atitikties registru.
| Aplankas | Turinys | Tarpusavio atitikties naudojimas |
|---|---|---|
| 01 Valdysena | ISVS taikymo sritis, informacijos saugumo politika, vaidmenų priskyrimai, vadovybės peržiūros protokolai | NIS2 valdysena, DORA IRT valdysena, GDPR atskaitomybė |
| 02 Rizika ir SoA | Rizikų registras, rizikos tvarkymo planas, SoA, likutinės rizikos patvirtinimai | NIS2 rizikos valdymas, DORA IRT rizikos valdymas |
| 03 Tiekėjai | Tiekėjų registras, deramas patikrinimas, sutartys, kritiškumo įvertinimai, peržiūros įrašai | NIS2 tiekimo grandinė, DORA IRT trečiųjų šalių rizika, GDPR duomenų tvarkytojai |
| 04 Incidentai | Incidentų įrašai, pažeidimų vertinimai, pranešimo sprendimai, stalo pratybos | NIS2 pranešimai, DORA incidentų valdymas, GDPR pranešimas apie pažeidimą |
| 05 Auditas ir tobulinimas | Vidaus audito ataskaitos, korekciniai veiksmai, įrodymų atranka, vadovybės paskesni veiksmai | ISO 27001:2022 pasirengimas auditui, pasirengimas priežiūrai |
Clarysec Teisinės ir reglamentavimo atitikties politika – SME tiesiogiai sprendžia susiejimo problemą:
Kai reglamentas taikomas kelioms sritims (pvz., GDPR taikomas saugojimui, saugumui ir privatumui), tai turi būti aiškiai susieta Atitikties registre ir mokymo medžiagoje.
Iš skyriaus „Valdysenos reikalavimai“, politikos punktas 5.2.2.
Būtent taip ISO 27001:2022 tampa NIS2 ir DORA kontrolės priemonių pagrindu. Jūs nesiremiate neformaliomis žiniomis. Reglamentus susiejate su procesais, politikomis, kontrolės priemonėmis, įrodymais ir mokymais.
Incidentų pranešimas prasideda nuo žmonių, o ne nuo portalų
Dažna audito silpnybė atsiranda tada, kai reagavimo į incidentus planas atrodo stiprus, bet darbuotojai nežino, kada ir kaip pranešti. Tai pavojinga NIS2, DORA ir GDPR kontekste, nes reglamentavimo vertinimo terminai priklauso nuo aptikimo, eskalavimo ir klasifikavimo.
Zenith Blueprint kontrolės priemonių praktinio taikymo fazės 16 žingsnyje Clarysec pabrėžia darbuotojais grindžiamą incidentų pranešimą pagal ISO/IEC 27002:2022 kontrolės priemonę 6.8. Gairėse nurodoma, kad reagavimas į incidentus prasideda nuo žmonių. Organizacijos turi sukurti aiškų, paprastą ir prieinamą pranešimo kanalą, pavyzdžiui, stebimą el. pašto adresą, vidinį portalą, karštąją liniją arba užklausų kategoriją. Taip pat rekomenduojami informuotumo mokymai, nekaltinanti pranešimų kultūra, konfidencialumas, žemo slenksčio pranešimas ir periodinės simuliacijos.
Tarpusavio atitikties poveikis yra tiesioginis. Zenith Blueprint susieja šį darbuotojų pranešimo gebėjimą su GDPR Article 33, NIS2 Article 23 ir DORA Article 17. Jei darbuotojai delsia pranešti apie įtartiną veiklą, organizacija gali prarasti kritinį laiką, kol teisės, saugumo ar reglamentavimo komandos galės įvertinti pranešimo pareigas.
Praktinis kontrolės priemonės testas paprastas:
- Paklauskite penkių darbuotojų, kaip pranešti apie įtariamą fišingo el. laišką.
- Patikrinkite, ar pranešimo kanalas stebimas.
- Patvirtinkite, ar užklausų sistema turi saugumo incidento kategoriją.
- Peržiūrėkite paskutinę simuliaciją arba stalo pratybas.
- Patikrinkite, ar įgyta patirtis buvo peržiūrėta vadovybės peržiūroje.
Jei kuris nors atsakymas neaiškus, atnaujinkite incidentų instrukcijų lapą, mokymo medžiagą, pranešimo kanalą ir SoA įrodymų nuorodą.
Kaip skirtingi auditoriai tikrina tą patį pagrindą
Tarpusavio atitikties įrodymai turi atlaikyti skirtingas audito perspektyvas. Ta pati kontrolės priemonė gali būti testuojama skirtingai, priklausomai nuo peržiūrą atliekančio asmens mandato.
| Auditoriaus perspektyva | Tikėtinas klausimas | Tikėtini įrodymai | Dažna nesėkmė |
|---|---|---|---|
| ISO 27001:2022 auditorius | Kodėl ši kontrolės priemonė taikoma ir ar ji veikia taip, kaip aprašyta? | SoA pagrindimas, rizikos tvarkymo sąsaja, politika, operaciniai įrašai, vidaus audito rezultatai | Kontrolės priemonė egzistuoja, bet SoA pagrindimas miglotas arba pasenęs |
| Į NIS2 orientuotas vertintojas | Ar galite pademonstruoti rizika grindžiamas kibernetinio saugumo priemones ir incidentų koordinavimą? | Rizikų registras, valdysenos politika, incidentų planas, pranešimo procesas, tiekėjų rizikos įrodymai | NIS2 susiejimas yra skaidrių rinkinyje, bet ne operaciniuose įrodymuose |
| Į DORA orientuota priežiūros institucija | Ar galite įrodyti IRT rizikos valdymą, incidentų klasifikavimą, testavimą ir trečiųjų šalių priežiūrą? | IRT rizikų registras, tiekėjų kritiškumas, incidentų klasifikavimas, atsparumo testai, sutarčių nuostatos | Tiekėjų įrašai neskiria kritinių IRT teikėjų nuo įprastų tiekėjų |
| Į GDPR orientuotas peržiūrėtojas | Ar galite pademonstruoti atskaitomybę, tvarkymo saugumą, duomenų tvarkytojų kontrolę ir pažeidimų vertinimą? | Duomenų apsaugos susiejimas, duomenų tvarkytojų nuostatos, pažeidimų vertinimo įrašai, prieigos ir šifravimo įrodymai | Saugumo kontrolės priemonės įgyvendintos, bet nesusietos su asmens duomenų rizikomis |
| Į NIST orientuotas auditorius | Ar galite parodyti valdyseną, rizikos identifikavimą, apsaugą, aptikimą, reagavimą ir atkūrimą? | Politikų valdysena, turto ir rizikos įrašai, aptikimo žurnalai, incidentų ir atkūrimo įrodymai | Techniniai įrodymai egzistuoja, bet valdysenos savininkystė silpna |
| COBIT 2019 arba ISACA metodika besivadovaujantis auditorius | Ar apibrėžti valdysenos tikslai, atsakomybės, veiklos stebėsena ir patikinimo veiklos? | RACI, kontrolės priemonių savininkystė, vadovybės ataskaitos, audito planas, rodikliai, korekciniai veiksmai | Kontrolės priemonės techninės, bet nevaldomos per išmatuojamą atskaitomybę |
Čia Zenith Controls suteikia daugiau vertės nei paprasta susiejimo lentelė. Jis padeda ISO/IEC 27002:2022 kontrolės priemones paversti auditui aktualiomis perspektyvomis, įskaitant kontrolės priemonių atributus, reglamentavimo ryšius ir įrodymų lūkesčius. Kontrolės priemonei 5.1 atributai palaiko valdyseną, politikų valdymą, atskaitomybę ir saugumo tikslus. Kontrolės priemonei 5.24 atributai palaiko reagavimo ir atkūrimo koncepcijas, incidentų pasirengimą ir korekcinius veiksmus. Kontrolės priemonei 5.19 tiekėjų santykių atributai sujungia valdyseną, ekosistemos riziką, apsaugą ir trečiųjų šalių priežiūrą.
Ką turėtų matyti valdyba
Valdybai nereikia kiekvienos SoA eilutės. Jai reikia istorijos, kurią pasakoja SoA.
Stiprus valdybos paketas ISO 27001:2022, NIS2 ir DORA suderinimui turėtų apimti:
- ISVS taikymo sritį ir apimamas verslo paslaugas.
- Svarbiausias informacijos saugumo ir IRT rizikas.
- Taikomų kontrolės priemonių pagal sritis santrauką.
- NIS2, DORA ir GDPR susiejimo būseną.
- Kritinius tiekėjus ir koncentracijos rizikas.
- Incidentų pranešimo rodiklius ir stalo pratybų rezultatus.
- Atvirus korekcinius veiksmus ir pavėluotus rizikos tvarkymo veiksmus.
- Sprendimus dėl rizikos priėmimo, biudžeto, savininkystės ir išteklių.
Tai paverčia atitiktį valdysenos įrodymais. Tai taip pat dera su kontrolės priemonės 5.1 tikslu Zenith Controls, kur informacijos saugumo politikos palaiko vadovybės lygmens kryptį, atskaitomybę ir saugumo tikslus.
Dažnos klaidos, kurių reikia vengti
Pirma klaida – manyti, kad ISO 27001:2022 sertifikavimas automatiškai įrodo NIS2 arba DORA atitiktį. Neįrodo. ISO 27001:2022 suteikia stiprią valdymo sistemą ir kontrolės priemonių pagrindą, tačiau jums vis tiek reikia reglamentavimo taikymo srities nustatymo, teisinės analizės, sektoriui būdingo aiškinimo, pranešimų procesų ir nacionalinių institucijų lūkesčių supratimo.
Antra klaida – traktuoti SoA kaip statišką dokumentą. SoA turi keistis, kai atsiranda naujų tiekėjų, sistemų, incidentų, reglamentų, paslaugų ar rizikų. Zenith Blueprint 24 žingsnyje rekomenduojama kryžmiškai patikrinti SoA su rizikų registru ir tvarkymo planu, užtikrinant, kad kiekviena pasirinkta kontrolės priemonė turėtų pagrindimą, grindžiamą susieta rizika, teisiniu reikalavimu ar verslo poreikiu.
Trečia klaida – susieti per aukštu lygiu. Skaidrė, kurioje sakoma „ISO 27001 susietas su DORA“, nėra audito įrodymas. Konkretus SoA įrašas, kuris tiekėjų santykių saugumą susieja su kritinio IRT tiekėjo rizika, sutarties nuostata, tiekėjo peržiūros įrašu ir DORA trečiųjų šalių priežiūros lūkesčiu, yra daug stipresnis.
Ketvirta klaida – necentralizuoti įrodymų. Jei atitikties vadovas prieš kiekvieną auditą dvi savaites renka ekrano kopijas, organizacija turi įrodymų gavimo problemą.
Penkta klaida – ignoruoti darbuotojais grindžiamas kontrolės priemones. Incidentų pranešimas, tiekėjų įtraukimas, prieigos peržiūros, politikos priėmimas ir eskalavimas priklauso nuo žmonių elgsenos. Nušlifuotas procesas, kurio niekas nesilaiko, subyrės audito atrankos metu.
Clarysec veiklos modelis tarpusavio atitikčiai
Clarysec metodas sujungia atitikties istoriją nuo strategijos iki įrodymų:
- Zenith Blueprint rizikos valdymo fazės 13 žingsnyje kontrolės priemones susiejate su rizikomis ir kuriate SoA kaip jungiamąjį dokumentą.
- Zenith Blueprint rizikos valdymo fazės 14 žingsnyje GDPR, NIS2 ir DORA reikalavimus kryžmiškai susiejate su politikomis ir kontrolės priemonėmis.
- Zenith Blueprint kontrolės priemonių praktinio taikymo fazės 16 žingsnyje įgyvendinate žmonėmis grindžiamą incidentų pranešimą, kad eskalavimas prasidėtų anksti.
- Zenith Blueprint audito, peržiūros ir tobulinimo fazės 24 žingsnyje užbaigiate ir testuojate SoA, kryžmiškai patikrinate jį su rizikos tvarkymo planu ir parengiate kaip vieną iš pirmųjų dokumentų, kurių paprašys auditorius.
Šį metodą palaiko Clarysec politikos, kurios principus paverčia veiklos taisyklėmis: informacijos saugumo valdysena, rizikos tvarkymas, tiekėjų saugumas, reagavimas į incidentus, teisinis ir reglamentavimo susiejimas bei įrodymų saugojimas.
Rezultatas – ne tik pasirengimas ISO 27001:2022. Tai pakartotinai naudojama atitikties įrodymų sistema NIS2, DORA, GDPR, klientų patikinimui, vidaus auditui ir valdybos priežiūrai.
Tolesni žingsniai: sukurkite vieną kartą, įrodykite daug kartų
Jei jūsų organizacija patiria NIS2, DORA, GDPR, klientų auditų ar ISO 27001:2022 sertifikavimo spaudimą, pradėkite nuo pagrindo.
- Peržiūrėkite savo SoA ir pridėkite NIS2, DORA bei GDPR reglamentavimo veiksnių stulpelius.
- Kryžmiškai patikrinkite SoA su rizikų registru ir rizikos tvarkymo planu.
- Susiekite kritinius tiekėjus su tiekėjų saugumo kontrolės priemonėmis, sutarčių nuostatomis ir stebėsenos įrodymais.
- Patikrinkite incidentų pranešimo procesą stalo pratybomis.
- Centralizuokite audito įrodymus pagal kontrolės priemonę, reglamentą, savininką ir testavimo būseną.
- Naudokite Zenith Controls, kad ISO/IEC 27002:2022 kontrolės priemones paverstumėte tarpusavio atitikties įrodymais.
- Naudokite Zenith Blueprint, kad pereitumėte nuo rizikos tvarkymo prie auditui tinkamo SoA validavimo.
- Diekite Clarysec politikų rinkinį, įskaitant Informacijos saugumo politiką, Rizikos valdymo politiką, Trečiųjų šalių ir tiekėjų saugumo politiką ir Reagavimo į incidentus politiką, kad paspartintumėte įgyvendinimą.
Greičiausias kelias nėra daugiau atskirų kontrolinių sąrašų. Tai viena integruota ISVS, vienas atsekamas SoA, vienas centralizuotas įrodymų modelis ir vienas tarpusavio atitikties veiklos ritmas.
Clarysec gali padėti ISO 27001:2022 iš sertifikavimo projekto paversti praktiniu NIS2 ir DORA kontrolės priemonių pagrindu. Atsisiųskite Zenith Blueprint, susipažinkite su Zenith Controls arba rezervuokite Clarysec vertinimą, kad sukurtumėte auditui tinkamą įrodymų modelį prieš kitam reguliuotojui, klientui ar valdybos komitetui paprašant įrodymų.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
