Kaip ISO/IEC 27001:2022 paspartina MVĮ atitiktį NIS2

NIS2 direktyva jau taikoma, o daugeliui mažųjų ir vidutinių įmonių ji atrodo kaip nauja reguliacinė banga. Jei esate MVĮ kritiniame sektoriuje arba didesnės tiekimo grandinės dalis, jums taikomas aukštesnis kibernetinio saugumo standartas. Šiame vadove parodoma, kaip veiksmingai ir strategiškai pasitelkti tarptautiniu mastu pripažintą ISO/IEC 27001:2022 sistemą NIS2 reikalavimams įgyvendinti.

Kokia yra rizika

Tinklų ir informacinių sistemų saugumo (NIS2) direktyva yra ambicingas ES žingsnis stiprinant kibernetinį atsparumą kritiniuose sektoriuose. Skirtingai nei jos pirmtakė, NIS2 taikymo sritis yra daug platesnė: ji apima daugiau sektorių ir nustato tiesioginę aukščiausiosios vadovybės atskaitomybę. MVĮ nepasirengimas nėra priimtinas pasirinkimas. Direktyva reikalauja bazinių saugumo priemonių, griežtų pranešimo apie incidentus terminų ir patikimo tiekimo grandinės rizikos valdymo. Reikalavimų nesilaikymas gali lemti reikšmingas baudas, veiklos sutrikimus ir didelę reputacijos žalą, galinčią pakenkti svarbiausiems verslo santykiams.

Savo esme NIS2 reikalauja, kad organizacijos taikytų proaktyvų, rizika grindžiamą požiūrį į kibernetinį saugumą. Direktyvos Article 21 nustato minimalų priemonių rinkinį, įskaitant rizikos analizės, incidentų valdymo, veiklos tęstinumo ir tiekimo grandinės saugumo politikas. Tai nėra paprastas „varnelių žymėjimo“ pratimas. Reguliuotojai tikėsis matyti įrodymus, kad veikia reali saugumo programa, suprantanti konkrečias grėsmes ir turinti įdiegtas tinkamas kontrolės priemones joms mažinti. Ribotus išteklius turinčiai MVĮ bandymas tai sukurti nuo nulio gali atrodyti sunkiai įveikiamas, o pastangos dažnai tampa fragmentuotos ir neatitinka direktyvos holistinių lūkesčių.

Įsivaizduokite vidutinio dydžio logistikos įmonę, teikiančią transporto paslaugas maisto sektoriui. Pagal NIS2 ji dabar laikoma „svarbiu subjektu“. Išpirkos reikalaujančios programinės įrangos ataka, užšifruojanti planavimo ir maršrutų sudarymo sistemas, galėtų kelioms dienoms sustabdyti veiklą, sukelti produktų gedimą ir sutrikdyti tiekimo grandinės įsipareigojimų vykdymą. Pagal NIS2 apie tokį incidentą reikėtų pranešti institucijoms per 24 valandas. Įmonės rizikos valdymo praktika taip pat būtų vertinama. Ar ji turėjo tinkamas atsargines kopijas? Ar buvo kontroliuojama prieiga prie kritinių sistemų? Ar programinės įrangos tiekėjai buvo įvertinti saugumo požiūriu? Be struktūruotos sistemos deramo patikrinimo įrodymas tampa chaotiškomis ir dažnai nesėkmingomis pastangomis.

Kaip atrodo tinkamas sprendimas

NIS2 atitikties pasiekimas neturi reikšti, kad viską reikia kurti iš naujo. Pagal ISO/IEC 27001:2022 sukurta informacijos saugumo valdymo sistema (ISVS) suteikia tvirtą pagrindą. Standartas skirtas padėti organizacijoms sistemingai valdyti informacijos saugumo rizikas. Šis natūralus suderinamumas reiškia, kad diegdami ISO 27001 kartu kuriate būtent tuos gebėjimus ir dokumentaciją, kurių reikalauja NIS2. Taip sudėtinga reguliacinė našta paverčiama struktūruotu, valdomu projektu, kuris sukuria apčiuopiamą verslo vertę neapsiribojant vien atitiktimi.

Sąsaja aiškiai matoma keliose srityse. NIS2 rizikos vertinimo ir saugumo politikų reikalavimas iš esmės atitinka ISO 27001 4–8 skyrių logiką. Direktyvos didelis dėmesys tiekimo grandinės saugumui tiesiogiai atliepiamas A priedo kontrolės priemonėmis, tokiomis kaip 5.19, 5.20 ir 5.21, kurios apima saugumą santykiuose su tiekėjais. Panašiai NIS2 reikalavimai dėl incidentų valdymo ir veiklos tęstinumo įgyvendinami taikant 5.24–5.30 kontrolės priemones. Naudodami ISO 27001 sukuriate vieną nuoseklią sistemą, tenkinančią kelis reikalavimų rinkinius, taupančią laiką, mažinančią darbų dubliavimą ir suteikiančią aiškų paaiškinimą auditoriams bei reguliuotojams. Mūsų išsami kontrolės priemonių biblioteka padeda tiksliai susieti šiuos reikalavimus. Zenith Controls¹

Įsivaizduokite nedidelį valdomųjų paslaugų teikėją (MSP), kuris priglobia vietinės ligoninės infrastruktūrą. Pagal NIS2 ligoninė yra „esminis subjektas“ ir privalo užtikrinti, kad jos tiekėjai būtų saugūs. MSP, gavęs ISO 27001 sertifikatą, gali iš karto pateikti tarptautiniu mastu pripažįstamą patikinimą, kad turi patikimą ISVS. Jis gali remtis savo rizikos vertinimu, Taikytinumo pareiškimu ir vidaus audito ataskaitomis kaip konkrečiais atitikties įrodymais. Tai ne tik patenkina ligoninės deramo patikrinimo reikalavimus pagal NIS2, bet ir tampa stipriu konkurenciniu pranašumu, atveriančiu galimybes gauti daugiau užsakymų reguliuojamuose sektoriuose.

Praktinis kelias

ISVS, suderintos tiek su ISO 27001, tiek su NIS2, kūrimas yra strateginis projektas, o ne vien IT užduotis. Reikalingas metodiškas požiūris: pirmiausia suprasti organizaciją ir jos rizikas, o tada sistemingai diegti kontrolės priemones joms valdyti. Suskaidžius kelią į loginius etapus, net nedidelė komanda gali nuosekliai siekti pamatuojamos pažangos. Šis kelias užtikrina, kad būtų sukurta ne tik reikalavimus atitinkanti, bet ir realiai veiksminga verslo apsaugos sistema. Tikslas – sukurti tvarią saugumo programą, o ne vien sėkmingai praeiti auditą.

1 etapas: pagrindo sukūrimas (1–4 savaitės)

Pirmasis etapas skirtas pagrindui parengti. Prieš valdydami riziką, turite suprasti savo kontekstą. Tai apima saugotinų objektų apibrėžimą (taikymo sritį), vadovybės įsipareigojimo užtikrinimą ir visų teisinių bei reglamentavimo įpareigojimų nustatymą, o NIS2 čia yra vienas pagrindinių veiksnių. Šis pamatinis darbas, grindžiamas ISO 27001 4 ir 5 skyriais, yra kritiškai svarbus siekiant užtikrinti, kad ISVS būtų suderinta su verslo tikslais ir turėtų reikiamus įgaliojimus veikti. Be aiškios taikymo srities ir vadovybės palaikymo net geriausios techninės pastangos stringa.

• Apibrėžkite ISVS taikymo sritį: aiškiai dokumentuokite, kurios verslo dalys, sistemos ir vietos bus įtrauktos.
• Užtikrinkite vadovybės įsipareigojimą: gaukite oficialų aukščiausiosios vadovybės patvirtinimą ir išteklius. Tai privalomas reikalavimas tiek ISO 27001, tiek NIS2 atveju.
• Nustatykite suinteresuotąsias šalis ir reikalavimus: išvardykite visas suinteresuotąsias šalis (klientus, reguliuotojus, partnerius) ir jų saugumo lūkesčius, įskaitant konkrečius NIS2 straipsnius.
• Suformuokite įgyvendinimo komandą: paskirkite vaidmenis ir atsakomybes už ISVS kūrimą ir palaikymą.

2 etapas: įvertinkite riziką ir suplanuokite jos tvarkymą (5–8 savaitės)

Tai yra ISVS pagrindas. Šiame etape sistemingai identifikuosite, analizuosite ir įvertinsite informacijos saugumo rizikas. Procesas turi būti formalus ir pakartojamas. Nustatysite kritinį turtą, grėsmes, galinčias jam pakenkti, ir pažeidžiamumus, dėl kurių jis tampa pažeidžiamas. Rezultatas – prioritetizuotas rizikų sąrašas, leidžiantis pagrįstai nuspręsti, kur sutelkti išteklius. Šis rizikos vertinimas tiesiogiai tenkina esminį NIS2 Article 21 reikalavimą ir suteikia dokumentuotą pagrindą saugumo strategijai. Mūsų įgyvendinimo modelis suteikia reikalingas priemones, įskaitant iš anksto parengtą rizikų registrą, kad šis procesas būtų paprastesnis. Zenith Blueprint²

• Sukurkite turto registrą: dokumentuokite visus svarbius informacijos išteklius, įskaitant duomenis, programinę įrangą, aparatinę įrangą ir paslaugas.
• Atlikite rizikos vertinimą: taikykite apibrėžtą metodiką kiekvieno turto grėsmėms ir pažeidžiamumams nustatyti, tada apskaičiuokite rizikos lygius.
• Pasirinkite rizikos tvarkymo alternatyvas: kiekvienai reikšmingai rizikai nuspręskite, ar ją mažinti, priimti, vengti, ar perduoti.
• Parenkite rizikos tvarkymo planą: rizikoms, kurias nusprendžiate mažinti, parinkite tinkamas ISO 27001 A priedo kontrolės priemones ir dokumentuokite jų įgyvendinimo planą.
• Sukurkite Taikytinumo pareiškimą (SoA): dokumentuokite, kurios iš 93 A priedo kontrolės priemonių taikomos jūsų organizacijai ir kodėl, taip pat pagrįskite visas išimtis.

3 etapas: įgyvendinkite kontrolės priemones ir rinkite įrodymus (9–16 savaitės)

Turint planą, laikas jį įgyvendinti. Šis etapas apima rizikos tvarkymo plane nustatytų politikų, procedūrų ir techninių kontrolės priemonių diegimą. Čia teorija tampa praktika. Galite diegti kelių veiksnių autentifikavimą, rengti naują atsarginių kopijų politiką arba mokyti darbuotojus atpažinti duomenų viliojimą. Labai svarbu dokumentuoti viską, ką darote. Kiekvienai įdiegtai kontrolės priemonei turite sukurti įrodymus, kad ji veikia veiksmingai. Šie įrodymai bus būtini vidaus ir išorės auditams bei NIS2 atitikčiai reguliuotojams pagrįsti.

• Įdiekite technines kontrolės priemones: įgyvendinkite saugumo priemones, tokias kaip ugniasienės, šifravimas, prieigos kontrolė ir žurnalavimas.
• Parenkite ir komunikuokite politikas: sukurkite ir paskelbkite pagrindines politikas, apimančias tokias sritis kaip priimtinas naudojimas, prieigos kontrolė ir reagavimas į incidentus.
• Vykdykite saugumo informuotumo mokymus: apmokykite visus darbuotojus dėl jų informacijos saugumo atsakomybių.
• Nustatykite stebėseną ir matavimą: įdiekite procesus kontrolės priemonių veiksmingumui stebėti ir ISVS rezultatams matuoti.

4 etapas: stebėkite, audituokite ir nuolat tobulinkite (nuolat)

ISVS nėra vienkartinis projektas; tai nuolatinio tobulinimo ciklas. Šis baigiamasis etapas, reglamentuojamas ISO 27001 9 ir 10 skyrių, skirtas užtikrinti, kad ISVS ilgainiui išliktų veiksminga. Reguliariai atliksite vidaus auditus atitikčiai patikrinti ir silpnosioms vietoms nustatyti. Vadovybė peržiūrės ISVS veiksmingumą, kad įsitikintų, jog ji vis dar atitinka verslo tikslus. Visos nustatytos problemos ar neatitiktys turi būti formaliai sekamos ir pašalinamos. Būtent tokį nuolatinės stebėsenos ir tobulinimo procesą NIS2 reguliuotojai tikisi matyti, nes jis įrodo organizacijos įsipareigojimą palaikyti stiprią saugumo būklę.

• Atlikite vidaus auditus: periodiškai vertinkite ISVS pagal ISO 27001 reikalavimus ir savo politikas.
• Renkite vadovybės peržiūras: pristatykite ISVS veiklos rezultatus aukščiausiajai vadovybei ir priimkite strateginius sprendimus.
• Valdykite neatitiktis: įgyvendinkite formalų procesą problemoms ar atitikties spragoms identifikuoti, dokumentuoti ir pašalinti.
• Pasirenkite sertifikavimo auditui: bendradarbiaukite su išorine sertifikavimo įstaiga, kad ISVS būtų formaliai audituota ir sertifikuota.

Politikos, kurios įtvirtina praktiką

Politikos yra ISVS pagrindas. Jos paverčia saugumo strategiją aiškiomis, įgyvendinamomis taisyklėmis visai organizacijai. NIS2 atitikčiai gerai apibrėžtos ir nuosekliai taikomos politikos yra ne tik geroji praktika, bet ir reikalavimas. Šie dokumentai suteikia aiškias gaires darbuotojams, nustato lūkesčius tiekėjams ir yra svarbūs įrodymai auditoriams bei reguliuotojams. Jie parodo, kad organizacijos požiūris į saugumą yra apgalvotas ir sistemingas, o ne reaktyvus ar ad hoc. Dvi pamatinės politikos, palaikančios tiek ISO 27001, tiek NIS2, yra Turto valdymo politika ir Atsarginių kopijų ir atkūrimo politika.

Turto valdymo politika³ yra visų saugumo veiklų pradžios taškas. Negalite apsaugoti to, apie ką nežinote. Ši politika nustato formalų procesą visam informacijos turtui identifikuoti, klasifikuoti ir valdyti per visą jo gyvavimo ciklą. NIS2 kontekste išsamus turto registras būtinas rizikos vertinimo taikymo sričiai nustatyti. Jis užtikrina visų sistemų, taikomųjų programų ir duomenų, palaikančių kritines paslaugas, matomumą. Be jo veikiate aklai ir tikėtina, kad saugumo aprėptyje paliekate reikšmingų spragų. Ši politika užtikrina aiškią atskaitomybę ir tai, kad visi kritiniai komponentai būtų įtraukti į saugumo programą.

Ne mažiau svarbi yra Atsarginių kopijų ir atkūrimo politika⁴. NIS2 Article 21 aiškiai reikalauja veiklos tęstinumo priemonių, pavyzdžiui, atsarginių kopijų valdymo ir atkūrimo po katastrofos. Ši politika apibrėžia taisykles, kokie duomenys kopijuojami, kaip dažnai, kur atsarginės kopijos saugomos ir kaip jos testuojamos. Sutrikdančio incidento, pavyzdžiui, išpirkos reikalaujančios programinės įrangos atakos, atveju tinkamai įgyvendinta atsarginių kopijų strategija dažnai yra vienintelis skirtumas tarp greito atkūrimo ir katastrofiško verslo sutrikimo. Ši politika suteikia vadovybei, klientams ir reguliuotojams patikinimą, kad turite patikimą planą veiklos atsparumui palaikyti ir kritinėms paslaugoms laiku atkurti, tiesiogiai įgyvendinant vieną pagrindinių direktyvos reikalavimų.

Nedidelė inžinerijos įmonė, projektuojanti komponentus energetikos sektoriui, įdiegė formalią Turto valdymo politiką. Sukatalogavusi projektavimo serverius, CAD programinės įrangos licencijas ir jautrius klientų duomenis, ji nustatė savo kritiškiausią turtą. Tai leido ribotą saugumo biudžetą sutelkti į didelės vertės objektų apsaugą taikant stipresnę prieigos kontrolę ir šifravimą, o per pagrindinio energetikos kliento tiekėjo auditą parodyti brandų, rizika grindžiamą požiūrį.

Kontroliniai sąrašai

Kad būtų lengviau valdyti šį procesą, pateikiami trys praktiniai kontroliniai sąrašai. Jie skirti padėti pereiti pagrindinius ISVS kūrimo, eksploatavimo ir tikrinimo etapus, užtikrinant, kad būtų apimti esminiai ISO/IEC 27001:2022 ir NIS2 direktyvos reikalavimai.

Kurti: ISO 27001 sistemos NIS2 atitikčiai sukūrimas

Prieš eksploatuodami reikalavimus atitinkančią ISVS, turite ją sukurti ant tvirto pagrindo. Šis pradinis etapas apima planavimą, taikymo srities nustatymą ir būtino pritarimo bei išteklių gavimą. Klaida šiame etape gali pakenkti visam projektui. Šis kontrolinis sąrašas apima esminius strateginius veiksmus, reikalingus ISVS apibrėžti ir suderinti su rizikos valdymo principais, kurie yra NIS2 pagrindas.

• Gauti oficialų vadovybės patvirtinimą ir biudžetą ISVS projektui.
• Apibrėžti ir dokumentuoti ISVS taikymo sritį, aiškiai nurodant paslaugas, kurioms taikoma NIS2.
• Nustatyti visus taikomus teisinius, reglamentavimo (NIS2) ir sutartinius reikalavimus.
• Sukurti visos į taikymo sritį patenkančios informacijos, aparatinės įrangos, programinės įrangos ir paslaugų turto registrą.
• Atlikti formalų rizikos vertinimą, kad būtų nustatytos grėsmės ir pažeidžiamumai, susiję su pagrindiniu turtu.
• Parengti rizikos tvarkymo planą, kuriame nurodytos pasirinktos kontrolės priemonės identifikuotoms rizikoms mažinti.
• Parengti Taikytinumo pareiškimą (SoA), pagrindžiantį visų 93 A priedo kontrolės priemonių įtraukimą ir neįtraukimą.
• Parengti ir patvirtinti pamatines politikas, įskaitant Informacijos saugumo, Turto valdymo ir Priimtino naudojimo politikas.

Eksploatuoti: kasdienės saugumo higienos palaikymas

Atitiktis nėra vienkartinis įvykis. Ji yra nuoseklios kasdienės operacinės disciplinos rezultatas. Šis kontrolinis sąrašas orientuotas į nuolatines veiklas, kurios palaiko ISVS veiksmingumą ir organizacijos saugumą. Tai praktinės priemonės, auditoriams ir reguliuotojams parodančios, kad saugumo programa realiai veikia, o nėra tik dokumentų rinkinys lentynoje.

• Reguliariai vykdyti saugumo informuotumo mokymus visiems darbuotojams, įskaitant duomenų viliojimo simuliacijas.
• Taikyti prieigos kontrolės procedūras, įskaitant reguliarias naudotojų leidimų ir privilegijuotos prieigos peržiūras.
• Valdyti techninius pažeidžiamumus taikant sistemingą pataisų valdymo procesą.
• Stebėti sistemas ir tinklus dėl saugumo įvykių ir neįprastos veiklos.
• Vykdyti ir testuoti duomenų atsarginių kopijų kūrimo ir atkūrimo procedūras pagal politiką.
• Valdyti sistemų ir taikomųjų programų pakeitimus taikant formalų pakeitimų kontrolės procesą.
• Prižiūrėti tiekėjų saugumą reguliariai atliekant pagrindinių tiekėjų peržiūras ir vertinimus.
• Užtikrinti fizinių vietų saugumą, įskaitant prieigos kontrolę prie jautrių zonų.

Tikrinti: ISVS auditavimas ir tobulinimas

Paskutinė dėlionės dalis yra tikrinimas. Turite reguliariai patikrinti, ar kontrolės priemonės veikia taip, kaip numatyta, ir ar ISVS pasiekia savo tikslus. Šis nuolatinio tobulinimo ciklas yra pamatinis ISO 27001 principas ir svarbus NIS2 lūkestis. Šis kontrolinis sąrašas apima patikinimo veiklas, kurios suteikia vadovybei ir suinteresuotosioms šalims pasitikėjimo organizacijos saugumo būkle.

• Suplanuoti ir atlikti visos ISVS vidaus auditą pagal ISO 27001 reikalavimus.
• Reguliariai atlikti kritinių sistemų įsiskverbimo testus arba pažeidžiamumų skenavimą.
• Testuoti reagavimo į incidentus planą stalo pratybomis arba visapusiškomis simuliacijomis.
• Testuoti atkūrimo po katastrofos ir veiklos tęstinumo planus.
• Rengti formalias vadovybės peržiūras, siekiant įvertinti ISVS veiksmingumą ir paskirstyti išteklius.
• Visas audito išvadas ir neatitiktis sekti korekcinių veiksmų registre, kol jos bus pašalintos.
• Rinkti ir analizuoti saugumo kontrolės priemonių veiksmingumo rodiklius.
• Atnaujinti rizikos vertinimą bent kartą per metus arba įvykus reikšmingiems pokyčiams.

Dažniausios klaidos

Kelias į suderintą ISO 27001 ir NIS2 atitiktį yra sudėtingas, o kelios dažnos klaidos gali sutrikdyti net ir gerai suplanuotas pastangas. Šių rizikų supratimas padeda jų išvengti.

• Tiekimo grandinės mandato nuvertinimas: NIS2 precedento neturinčiu mastu akcentuoja tiekimo grandinės saugumą. Daugelis MVĮ sutelkia dėmesį tik į vidines kontrolės priemones ir pamiršta atlikti deramo patikrinimo procedūras kritiniams tiekėjams. Jei jūsų debesijos paslaugų teikėjas ar programinės įrangos tiekėjas patiria saugumo incidentą, kuris paveikia jus, pagal NIS2 vis tiek esate atskaitingi. Turite turėti procesą tiekėjų rizikai vertinti ir valdyti.
• Vertinimas kaip tik IT projekto: Nors IT vaidmuo reikšmingas, informacijos saugumas yra verslo klausimas. Be tikro aukščiausiosios vadovybės pritarimo ir lyderystės ISVS neturės reikalingų įgaliojimų ir išteklių. NIS2 aiškiai nustato atsakomybę vadovybei, todėl ji turi aktyviai dalyvauti valdysenos ir rizikos sprendimuose.
• Dokumentų „lentynai“ kūrimas: Didžiausia klaida – sukurti gražų dokumentų rinkinį, kurio niekas nesilaiko. ISVS yra gyva sistema. Jei politikos nekomunikuojamos, procedūrų nesilaikoma, o kontrolės priemonės nestebimos, pasiekiamas tik klaidingas saugumo jausmas. Auditoriai ir reguliuotojai ieškos veikimo įrodymų, o ne vien dokumentacijos.
• Prasta arba dviprasmiška taikymo sritis: Per plati taikymo sritis gali padaryti projektą nevaldomą MVĮ. Per siaura taikymo sritis gali palikti kritines sistemas, kurioms taikoma NIS2, už ribų ir sukurti didelę atitikties spragą. Taikymo sritis turi būti kruopščiai apsvarstyta ir aiškiai suderinta su kritinėmis paslaugomis bei verslo tikslais.
• Reagavimo į incidentus testavimo nepaisymas: Reagavimo į incidentus planas yra bazinis reikalavimas. Tačiau jei jis niekada netestuotas, realios krizės metu jis greičiausiai nesuveiks. NIS2 nustato labai griežtus pranešimų terminus (pirminis pranešimas per 24 valandas). Stalo pratybos gali greitai atskleisti plano spragas, pavyzdžiui, neaiškumą, kam skambinti arba kaip greitai surinkti tinkamą informaciją.

Nedidelė finansinių paslaugų įmonė gavo ISO 27001 sertifikatą, tačiau reagavimo į incidentus planą aptardavo tik susitikimuose. Patyrus nedidelį duomenų saugumo pažeidimą, komanda nebuvo pasirengusi. Ji prarado kelias valandas aiškindamasi, kas turi įgaliojimus susisiekti su kibernetinio draudimo teikėju, ir sunkiai rinko reikalingus skaitmeninės kriminalistikos duomenis, beveik praleisdama pranešimo reguliuotojui terminą.

Tolesni žingsniai

Pasirengę sukurti atsparią saugumo būklę, atitinkančią tiek ISO 27001, tiek NIS2? Mūsų įrankių rinkiniai suteikia politikas, šablonus ir gaires, kurių reikia atitikties keliui paspartinti.

• Zenith Suite
• Complete SME + Enterprise Combo Pack
• Full SME Pack

Šaltiniai