Ne tik atkūrimas: CISO skirtas vadovas, kaip pagal ISO 27001:2022 sukurti tikrą veiklos atsparumą
Maria, augančios finansinių technologijų įmonės CISO, valdybai pristato III ketvirčio rizikos rodiklius. Skaidrės aiškios: jose matyti mažėjantis pažeidžiamumų skaičius ir sėkmingos duomenų viliojimo simuliacijos. Staiga jos telefonas ima atkakliai vibruoti. Prioritetinis įspėjimas iš saugumo operacijų centro (SOC) vadovo: „Aptikta išpirkos reikalaujanti kenkimo programinė įranga. Vyksta šoninis judėjimas. Paveiktos pagrindinės bankininkystės paslaugos.“
Patalpos nuotaika iš užtikrintos tampa įtempta. Generalinis direktorius užduoda neišvengiamą klausimą: „Kaip greitai galime atkurti iš atsarginės kopijos?“
Maria žino, kad atsarginės kopijos yra. Jos testuojamos kas ketvirtį. Tačiau komandai skubiai vykdant perjungimą į atsarginę aplinką, ją užplūsta daugybė kitų klausimų. Ar atkūrimo aplinkos saugios, ar jos tik iš naujo užkrės atkurtas sistemas? Ar incidentų žurnalavimas atsarginėje vietoje vis dar veikia, ar dirbame nematydami situacijos? Kas turi skubią administratoriaus lygmens prieigą ir ar jų veiksmai registruojami? Skubant grąžinti paslaugas į darbą, ar kas nors netrukus neišsiųs jautrių klientų duomenų iš asmeninės paskyros?
Tai kritinis momentas, kai tradicinis avarinio atkūrimo planas nebeužtenka ir tikrinamas tikrasis veiklos atsparumas. Svarbu ne vien atsikurti; svarbu atsikurti išlaikant vientisumą. Būtent tokio mąstysenos pokyčio reikalauja ISO/IEC 27001:2022: nuo vien atkūrimo pereiti prie holistinio, nenutrūkstamo saugumo būklės palaikymo net chaoso sąlygomis.
Šiuolaikinė atsparumo samprata: saugumas niekada nestabdomas
Daugelį metų veiklos tęstinumo planavimas daugiausia rėmėsi atkūrimo laiko tikslais (RTO) ir atkūrimo taško tikslais (RPO). Nors šie rodikliai būtini, jie parodo tik dalį situacijos. Jie matuoja spartą ir duomenų praradimą, tačiau nematuoja saugumo būklės pačios krizės metu.
ISO/IEC 27001:2022, ypač per A priedo kontrolės priemones, pakelia diskusiją į aukštesnį lygį. Standartas pripažįsta, kad sutrikimas nėra informacijos saugumo pauzės mygtukas. Priešingai, krizės chaosas yra būtent tas metas, kai saugumo kontrolės priemonės yra svarbiausios. Užpuolikai išnaudoja sumaištį, pasinaudodami tais pačiais apėjimo sprendimais ir skubiomis procedūromis, kurios sukurtos paslaugai atkurti.
Atsparumas pagal ISO/IEC 27001:2022 reiškia informacijos saugumo sutrikimo metu palaikymą (A priedo kontrolės priemonė 5.29), patikimą IRT pasirengimą veiklos tęstinumui (5.30) ir patikimas informacijos atsargines kopijas (8.13). Tikslas – užtikrinti, kad reagavimas nesukurtų naujų, dar pavojingesnių pažeidžiamumų. Kaip aprašyta Clarysec Zenith Blueprint: 30 žingsnių auditoriaus veiksmų plane Zenith Blueprint, „auditoriai ieškos suderinimo ne tik su politika, bet ir su realybe“. Čia dauguma organizacijų ir suklumpa – jos planuoja veikimo nepertraukiamumą, bet ne atitikties palaikymą chaoso metu.
Pagrindas: kodėl atsparumas prasideda nuo konteksto, o ne nuo kontrolės priemonių
Prieš veiksmingai įgyvendindami konkrečias atsparumo kontrolės priemones, turite sukurti tvirtą informacijos saugumo valdymo sistemą (ISVS). Daug organizacijų čia suklysta – iškart pereina prie A priedo, neparengusios tinkamo pagrindo.
Zenith Blueprint pabrėžia, kad pradėti reikia nuo pagrindinių ISVS skyrių, nes šis bazinis darbas yra atsparumo pamatas. Procesas prasideda nuo jūsų organizacijos unikalios aplinkos supratimo:
- 4 skyrius: organizacijos kontekstas: organizacijos konteksto supratimas, įskaitant vidaus ir išorės klausimus bei suinteresuotųjų šalių reikalavimus, ir ISVS taikymo srities apibrėžimas.
- 5 skyrius: lyderystė: aukščiausiosios vadovybės įsipareigojimo užtikrinimas, informacijos saugumo politikos nustatymas ir organizacinių vaidmenų bei atsakomybių apibrėžimas.
- 6 skyrius: planavimas: išsamaus rizikos vertinimo ir rizikos tvarkymo planavimo atlikimas bei aiškių informacijos saugumo tikslų nustatymas.
Maria finansinių technologijų įmonėje išsami analizė pagal 4 skyrių būtų nustačiusi DORA ir NIS2 keliamą reglamentavimo spaudimą kaip svarbius išorės veiksnius. Rizikos vertinimas pagal 6 skyrių būtų sumodeliavęs būtent tą išpirkos reikalaujančios kenkimo programinės įrangos scenarijų, su kuriuo ji dabar susiduria, išryškindamas kompromituotų atkūrimo aplinkų ir nepakankamo žurnalavimo incidento metu riziką. Be šio konteksto bet koks atsparumo planas tėra spėjimas tamsoje.
Du veiklos atsparumo ramsčiai pagal ISO/IEC 27001:2022
ISO/IEC 27001:2022 sistemoje dvi A priedo kontrolės priemonės išsiskiria kaip veiklos atsparumo ramsčiai: informacijos atsarginės kopijos (8.13) ir informacijos saugumas sutrikimo metu (5.29).
Kontrolės priemonė 8.13: informacijos atsarginės kopijos – būtinas apsauginis tinklas
Tai kontrolės priemonė, kurią visi mano jau įgyvendinę. Tačiau tikrai veiksminga atsarginių kopijų strategija yra daugiau nei failų kopijavimas. Tai korekcinė kontrolės priemonė, orientuota į vientisumą ir prieinamumą, glaudžiai susijusi su daugeliu kitų kontrolės priemonių.
Atributai: korekcinė; vientisumas, prieinamumas; atkūrimas; tęstinumas; apsauga.
Operacinė geba: tęstinumas.
Saugumo sritis: apsauga.
Audito įžvalga: auditorius reikalaus daugiau nei atsakymo „taip“ į klausimą „Ar turite atsargines kopijas?“. Jis pareikalaus žurnalų, įrodančių, kad naujausios atsarginės kopijos egzistuoja, įrodymų, kad atkūrimo testai buvo sėkmingi, ir patvirtinimo, kad atsarginių kopijų laikmenos buvo šifruotos, saugiai laikomos ir apėmė visą kritinį turtą, apibrėžtą jūsų turto apskaitoje.
Scenarijus: sistema ištrinama išpirkos reikalaujančia kenkimo programine įranga arba dėl kritinės konfigūracijos klaidos. Gebėjimas atkurti išlaikant vientisumą priklauso nuo brandžios atsarginių kopijų strategijos. Auditoriai tikrins, ar ši strategija nėra izoliuota ir ar ji susieta su kitomis kritinėmis kontrolės priemonėmis:
- 5.9 Informacijos ir kito susijusio turto apskaita: negalite daryti atsarginių kopijų to, apie ką nežinote. Išsami apskaita yra privaloma.
- 8.7 Apsauga nuo kenkimo programinės įrangos: atsarginės kopijos turi būti izoliuotos ir apsaugotos nuo tos pačios išpirkos reikalaujančios kenkimo programinės įrangos, kuriai jos turi atsispirti. Tai apima nekintamos saugyklos arba fiziškai nuo tinklo atskirtų kopijų naudojimą.
- 5.31 Teisiniai, įstatyminiai, reglamentavimo ir sutartiniai reikalavimai: ar jūsų atsarginių kopijų saugojimo terminų grafikai ir saugojimo vietos atitinka duomenų buvimo vietos teisės aktus ir sutartinius įsipareigojimus?
- 5.33 Įrašų apsauga: ar jūsų atsarginės kopijos atitinka saugojimo ir privatumo reikalavimus, taikomus asmenį identifikuojančiai informacijai (AII), finansiniams įrašams ar kitiems reguliuojamiems duomenims?
Kontrolės priemonė 5.29: informacijos saugumas sutrikimo metu – vientisumo saugotojas
Tai kontrolės priemonė, skirianti formaliai reikalavimus atitinkančią ISVS nuo atsparios ISVS. Ji tiesiogiai atsako į kritinius klausimus, kurie per krizę neduoda ramybės Marijai: kaip palaikyti saugumą, kai pagrindinės priemonės ir procesai nepasiekiami? Kontrolės priemonė 5.29 reikalauja, kad saugumo priemonės būtų suplanuotos ir išliktų veiksmingos per visą sutrikimo įvykį.
Atributai: prevencinė, korekcinė; apsauga, reagavimas; konfidencialumas, vientisumas, prieinamumas.
Operacinė geba: tęstinumas.
Saugumo sritis: apsauga, atsparumas.
Audito įžvalga: auditoriai peržiūri veiklos tęstinumo ir avarinio atkūrimo planus būtent ieškodami saugumo aspektų įrodymų. Jie tikrina alternatyvių vietų saugumo konfigūracijas, įsitikina, kad žurnalavimas ir prieigos kontrolės priemonės išlaikomos, ir vertina atsarginius procesus dėl saugumo silpnųjų vietų, o ne vien dėl jų gebėjimo atkurti paslaugą.
Scenarijus: pagrindinis duomenų centras neveikia ir operacijos perkeliamos į atsarginę vietą. Auditoriai tikisi matyti įrodymus – vietos apžiūros ataskaitas, konfigūracijos failus, prieigos žurnalus – kad antrinė vieta atitinka pagrindinius saugumo reikalavimus. Ar skubus perėjimas prie nuotolinio darbo išplėtė galinių įrenginių apsaugą ir saugią prieigą visiems įrenginiams? Ar dokumentavote sprendimus laikinai sušvelninti kontrolės priemones ir vėliau jas atkurti?
Zenith Blueprint tiksliai perteikia esmę: „Svarbiausia, kad saugumas nesustotų, kol sistemos atkuriamos. Kontrolės priemonės gali pakeisti formą, tačiau tikslas išlieka tas pats: apsaugoti informaciją net veikiant spaudimui.“ Ši kontrolės priemonė verčia planuoti netvarkingą krizės realybę ir yra glaudžiai susieta su kitomis kontrolės priemonėmis:
- 5.30 IRT pasirengimas veiklos tęstinumui: užtikrina, kad techninis atkūrimo planas neignoruotų saugumo plano.
- 8.16 Stebėsenos veiklos: įpareigoja turėti būdą išlaikyti matomumą net tada, kai pagrindinės stebėsenos priemonės neveikia.
- 5.24 Informacijos saugumo incidentų valdymo planavimas ir pasirengimas: krizės ir tęstinumo komandos turi veikti lygiagrečiai, užtikrinant, kad reagavimo į incidentus informuotumas būtų palaikomas sutrikimo metu.
- 5.28 Įrodymų rinkimas: užtikrina, kad skubant atkurti paslaugas nebūtų sunaikinti svarbūs skaitmeninės kriminalistikos įrodymai, reikalingi tyrimui ir pranešimui reguliuotojui.
Praktinis audituojamo atsparumo įgyvendinimo vadovas
Šių kontrolės priemonių perkėlimas iš teorijos į praktiką reikalauja aiškių, veiksmingų politikų ir procedūrų. Clarysec politikų šablonai sukurti taip, kad šie principai būtų tiesiogiai įtraukti į jūsų ISVS. Pavyzdžiui, mūsų Atsarginių kopijų ir atkūrimo politika Atsarginių kopijų ir atkūrimo politika suteikia sistemą, kuri apima daugiau nei paprastus atsarginių kopijų grafikus:
„Politika įgyvendina ISO/IEC 27001:2022 kontrolės priemones, susijusias su įrodymų rinkimu (5.28), atsparumu sutrikimo metu (5.29), veiklos atkūrimu (8.13) ir informacijos ištrynimu (8.10), ir susieja jas su gerąja praktika iš ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, GDPR, DORA ir NIS2.“
Šis holistinis požiūris paverčia atsparumą iš abstrakčios sąvokos audituojamų operacinių užduočių rinkiniu.
Veiksmų kontrolinis sąrašas: atsarginių kopijų ir atsparumo strategijos auditas
Naudokite šį kontrolinį sąrašą, remdamiesi išsamia politika, kad parengtumėte įrodymus, kurių pareikalaus auditorius.
| Audito klausimas | Kontrolės priemonės nuoroda | Clarysec politikos gairės | Parengtini įrodymai |
|---|---|---|---|
| Ar atsarginių kopijų taikymo sritis suderinta su jūsų poveikio veiklai analize (BIA) ir turto apskaita? | 8.13, 5.9 | Politika reikalauja susieti atsarginių kopijų grafiką su informacijos išteklių kritiškumo klasifikacija. | Turto apskaita su kritiškumo įverčiais; atsarginių kopijų konfigūracija, rodanti prioritetizuotas sistemas. |
| Ar atkūrimo testai atliekami reguliariai ir ar rezultatai dokumentuojami? | 8.13, 9.2 | Politika nustato minimalų testavimo dažnį ir reikalauja parengti testavimo ataskaitą, įskaitant atkūrimo laiko rodiklius ir duomenų vientisumo patikras. | Paskutinių 12 mėnesių atkūrimo testų planai ir ataskaitos; bet kokių atliktų korekcinių veiksmų įrašai. |
| Kaip atsarginės kopijos apsaugomos nuo išpirkos reikalaujančios kenkimo programinės įrangos? | 8.13, 8.7 | Politika nustato nekintamos saugyklos, fiziškai nuo tinklo atskirtų kopijų arba izoliuotų atsarginių kopijų tinklų reikalavimus, suderintus su apsaugos nuo kenkimo programinės įrangos kontrolės priemonėmis. | Tinklo schemos; atsarginių kopijų saugyklos konfigūracijos duomenys; atsarginių kopijų aplinkos pažeidžiamumų skenavimas. |
| Ar saugumo kontrolės priemonės palaikomos atkūrimo operacijos metu? | 5.29, 8.16 | Politikoje nurodomas saugių atkūrimo aplinkų ir tęstinio žurnalavimo poreikis, užtikrinant suderinimą su organizacijos reagavimo į incidentus planu. | Reagavimo į incidentus planas; saugios atkūrimo „smėliadėžės“ dokumentacija; neseniai atlikto atkūrimo testo žurnalai. |
| Ar atsarginių kopijų saugojimo terminų grafikai suderinti su duomenų apsaugos teisės aktais? | 8.13, 5.34, 8.10 | Politika įpareigoja, kad atsarginių kopijų saugojimo taisyklės atitiktų duomenų saugojimo terminų sąrašą, siekiant išvengti neterminuoto AII saugojimo ir palaikyti GDPR teisę į ištrynimą. | Duomenų saugojimo terminų sąrašas; atsarginių kopijų užduočių konfigūracijos, rodančios saugojimo laikotarpius; duomenų ištrynimo iš atsarginių kopijų procedūros. |
Atitikties reikalavimų susiejimo būtinybė: atsparumo sąsajos su DORA, NIS2 ir kitais reikalavimais
Kritiniuose sektoriuose veikiančioms organizacijoms atsparumas yra ne tik ISO/IEC 27001:2022 geroji praktika; tai teisinis reikalavimas. Tokie reglamentai kaip Skaitmeninės veiklos atsparumo aktas (DORA) ir NIS2 direktyva itin pabrėžia gebėjimą atlaikyti IRT sutrikimus ir po jų atsikurti.
Laimei, darbas, kurį atliekate pagal ISO/IEC 27001:2022, suteikia tvirtą startinę poziciją. Clarysec Zenith Controls: atitikties susiejimo vadovas Zenith Controls sukurtas aiškioms susiejimo lentelėms parengti, kurios auditoriams ir reguliuotojams parodo šį suderinimą. Proaktyvi dokumentacija rodo, kad saugumas valdomas visame jo teisiniame kontekste.
Mūsų politikos kuriamos atsižvelgiant į tai. Pavyzdžiui, Duomenų apsaugos ir privatumo politika Duomenų apsaugos ir privatumo politika aiškiai nurodo savo vaidmenį stiprinant atitiktį DORA ir NIS2 kartu su ISO/IEC 27001:2022.
Ši susiejimo lentelė parodo, kaip pagrindinės atsparumo kontrolės priemonės tenkina reikalavimus keliose svarbiose sistemose.
| Sistema | Pagrindiniai skyriai / straipsniai | Kaip susiejamos atsparumo kontrolės priemonės (5.29, 8.13) | Audito lūkesčiai |
|---|---|---|---|
| GDPR | 32, 34, 5(1)(f), 17(1) straipsniai | Duomenų apsauga tęsiama ir veikiant spaudimui; atsarginių kopijų sistemos turi palaikyti atkūrimo ir ištrynimo teises; pranešimas apie pažeidimą būtinas, jei krizės metu atsiranda pažeidžiamumų. | Atsarginių kopijų žurnalų, atkūrimo testų, duomenų ištrynimo iš atsarginių kopijų įrodymų ir incidentų žurnalų sutrikimo metu peržiūra. |
| NIS2 | 21(2)(d), 21(2)(f), 21(2)(h), 23 straipsniai | Veiklos atsparumas yra privalomas; kontrolės priemonės turi užtikrinti veiklos tęstinumą ir atsarginių kopijų tinkamumą; krizių valdymas turi išlaikyti informacijos apsaugą. | Veiklos tęstinumo planų, atsarginių kopijų grafikų, įrodymų, kad atsarginių kopijų kontrolės priemonės veikia kaip reikalaujama, ir incidentų tvarkymo ataskaitų tikrinimas. |
| DORA | 10(1), 11(1), 15(3), 17, 18 straipsniai | Privalomas atsparumo testavimas, su kryžminėmis nuorodomis į incidentų tvarkymą, atkūrimą iš atsarginių kopijų ir IRT paslaugų tiekėjų kontrolės priemones. | Atsparumo pratybų, atsarginių kopijų atkūrimo žurnalų, tiekėjų duomenų atkūrimo nuostatų ir incidentų ataskaitų auditas. |
| COBIT 2019 | DSS04.02, DSS04, DSS01, APO12 | Veiklos tęstinumas ir rizikos valdymas turi būti susieti; atsarginių kopijų ir atkūrimo galimybės pagrindžiamos rodikliais, žurnalais ir nuolatinio tobulinimo ciklais. | Tęstinumo peržiūrų, atsarginių kopijų veikimo rodiklių, žurnalų ir taisomųjų veiksmų bei tobulinimo įrašų auditas. |
| NIST SP 800-53 | CP-9, CP-10, MP-5, SI-12 | Atsarginių kopijų sprendimai ir reagavimas į incidentus yra kertinės atkūrimo kontrolės priemonės; žurnalavimas ir atkūrimo testai privalomi gebėjimui pagrįsti. | Atkūrimo galimybių, atsarginių kopijų saugumo, saugojimo terminų valdymo ir incidentų tvarkymo procedūrų patikrinimas. |
Kurdami ISVS remiantis tvirta ISO/IEC 27001:2022 sistema, kartu kuriate pagrįstą poziciją ir šių kitų griežtų reglamentų atžvilgiu.
Auditoriaus akimis: kaip bus tikrinamas jūsų atsparumas
Auditoriai išmokyti žvelgti toliau nei politikos ir ieškoti įgyvendinimo įrodymų. Kalbant apie atsparumą, jie nori matyti drausmės įrodymus veikiant spaudimui. Jūsų atsparumo gebėjimų auditas bus daugiasluoksnis, o skirtingi auditoriai dėmesį skirs skirtingų tipų įrodymams.
| Auditoriaus perspektyva (sistema) | Pagrindinė sritis | Prašomų įrodymų tipai |
|---|---|---|
| ISO/IEC 27001:2022 / 19011 | Saugumo integravimas į veiklos tęstinumo / avarinio atkūrimo planus | Veiklos tęstinumo / avarinio atkūrimo dokumentacijos peržiūra siekiant patvirtinti, kad saugumo aspektai yra integruoti, o ne pridėti formaliai. Patikrinimas, ar alternatyvios vietos turi lygiavertes saugumo kontrolės priemones. |
| COBIT 2019 (DSS04) | Nuolatinis tobulinimas ir peržiūra po incidento | Realių sutrikimų arba pratybų paskesnių veiksmų ataskaitų nagrinėjimas. Dėmesys skiriamas tam, ar įvykio metu nustatytos saugumo spragos buvo dokumentuotos ir pašalintos. |
| NIST SP 800-53A (CP-10) | Atkūrimo ir grąžinimo į darbinę būseną validavimas | Scenarijais pagrįstas testavimas per stalo pratybas arba praktines pratybas. Auditoriai vertina organizacijos gebėjimą palaikyti saugumo kontrolės priemones atkūrimo proceso metu. |
| ISACA ITAF | Dokumentuotas rizikos priėmimas | Sutrikimo metu priimtų rizikos priėmimo sprendimų dokumentavimas ir peržiūra. Įrodymai turi būti rizikų registre arba veiklos tęstinumo plane, aiškiai nurodant patvirtinimą. |
Dažnos klaidos: kur atsparumo planai dažnai žlunga realybėje
Clarysec audito išvados rodo pasikartojančias silpnąsias vietas, kurios pakerta net geriausiai parengtus planus. Venkite šių dažnų klaidų:
- Rankiniu būdu vykdomiems atsarginiams procesams trūksta saugumo. Sutrikus sistemoms, darbuotojai grįžta prie skaičiuoklių ir el. pašto. Tokie rankiniai procesai dažnai neturi pagrindinėms sistemoms būdingo fizinio ar loginio saugumo.
- Sprendimas: įtraukite fizinę apsaugą (rakinamas spintas, prieigos žurnalus) ir logines kontrolės priemones (šifruotus failus, saugius komunikacijos kanalus) į krizės protokolus, taikomus rankiniams apėjimo sprendimams.
- Alternatyvios vietos nėra visiškai sukonfigūruotos. Atsarginiame duomenų centre yra serveriai ir duomenys, tačiau gali trūkti lygiaverčių ugniasienės taisyklių, žurnalavimo agentų ar prieigos kontrolės integracijų.
- Sprendimas: dokumentuokite saugumo kontrolės priemonių lygiavertiškumą tarp pagrindinės ir antrinės vietų. Reguliariai atlikite techninius atsarginės vietos auditus ir įtraukite saugumo atstovus į visas perjungimo į atsarginę aplinką pratybas.
- Atkūrimo testai neišsamūs arba ad hoc. Organizacijos patikrina, ar serverį galima atkurti, bet nepatikrina, ar atkurta taikomoji programa yra saugi, žurnalizuojama ir tinkamai veikia esant apkrovai.
- Sprendimas: išsamius atsarginių kopijų atkūrimo testus, įskaitant saugumo validavimą, paverskite privaloma incidentų pratybų ir metinių audito peržiūrų dalimi.
- Duomenų privatumas atsarginėse kopijose nepastebimas. Atsarginės kopijos gali tapti atitikties rizikos šaltiniu, jei jose laikomi duomenys, kurie turėjo būti ištrinti pagal GDPR teisę į ištrynimą.
- Sprendimas: suderinkite atsarginių kopijų saugojimo ir ištrynimo procedūras su duomenų privatumo politikomis. Užtikrinkite dokumentuotą procesą konkretiems duomenims iš atsarginių kopijų rinkinių ištrinti, kai to reikalauja teisė.
Nuo atitikties prie atsparumo: nuolatinio tobulinimo kultūros kūrimas
Atsparumo pasiekimas nėra vienkartinis projektas, pasibaigiantis sertifikavimu. Tai nuolatinis įsipareigojimas tobulėti, įtvirtintas ISO/IEC 27001:2022 10 skyriuje. Tikrai atspari organizacija mokosi iš kiekvieno incidento, kiekvieno vos neįvykusio incidento ir kiekvienos audito išvados.
Tam reikia peržengti reaktyvių pataisymų ribas. Zenith Blueprint siūlo įtvirtinti nuolatinį tobulinimą organizacinėje kultūroje: sukurti kanalus darbuotojams siūlyti saugumo patobulinimus, atlikti proaktyvius rizikos vertinimus įvykus reikšmingiems pokyčiams ir vykdyti griežtas peržiūras po incidento, kad būtų užfiksuota įgyta patirtis.
Be to, kontrolės priemonė 5.35 (nepriklausoma informacijos saugumo peržiūra) atlieka itin svarbų vaidmenį. Nepriklausomos šalies pakvietimas peržiūrėti jūsų ISVS suteikia nešališką perspektyvą, galinčią atskleisti akląsias zonas, kurių vidinė komanda gali nepastebėti. Kaip taikliai teigia Zenith Blueprint: „…reikalavimus atitinkančią ISVS nuo tikrai atsparios skiria tai: pasirengimas užduoti sunkius klausimus ir klausytis, kai atsakymai nepatogūs.“
Kitas jūsų žingsnis: nesulaužomos ISVS kūrimas
Maria krizė atskleidžia universalią tiesą: sutrikimai neišvengiami. Nesvarbu, ar tai būtų išpirkos reikalaujanti kenkimo programinė įranga, stichinė nelaimė ar kritinio tiekėjo nesėkmė – jūsų organizacija bus išbandyta. Klausimas ne „ar“, o „kaip“ reaguosite. Ar tiesiog atsikursite, ar reaguosite atspariai?
ISVS, kuri išlaiko vientisumą esant spaudimui, kūrimui reikalingas strateginis ir holistinis požiūris. Jis prasideda nuo tvirto pagrindo, apima glaudžiai tarpusavyje susijusias kontrolės priemones ir yra palaikomas nuolatinio tobulinimo kultūros. Nelaukite realaus sutrikimo, kad jis atskleistų jūsų strategijos spragas.
Pasirengę sukurti ISVS, kuri yra ne tik atitinkanti reikalavimus, bet ir tikrai nesulaužoma?
- Atsisiųskite Clarysec Zenith Blueprint: 30 žingsnių auditoriaus veiksmų planą, kuris padės įgyvendinti sistemą nuo pradžios iki pabaigos.
- Pasinaudokite mūsų išsamiais politikų šablonais, pvz., Atsarginių kopijų ir atkūrimo politika, kad standartus paverstumėte konkrečiais, audituojamais veiksmais.
- Naudokite Zenith Controls: atitikties susiejimo vadovą, kad užtikrintumėte, jog jūsų pastangos atitinka griežtus ISO/IEC 27001:2022, DORA ir NIS2 reikalavimus.
Susisiekite šiandien dėl nemokamo atsparumo vertinimo ir leiskite Clarysec ekspertams padėti sukurti ISVS, kuri veikia patikimai net esant spaudimui.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
