ISO 27001 Taikytinumo pareiškimas pasirengimui NIS2 ir DORA
Pirmadienį 08:30 Elena, sparčiai augančio B2B finansinių technologijų SaaS teikėjo informacijos saugumo vadovė (CISO), atidaro valdybos užklausą, pažymėtą kaip skubią. Įmonė ką tik gavo ISO/IEC 27001:2022 sertifikatą, tačiau didelis potencialus klientas iš ES bankininkystės sektoriaus užduoda gerokai sudėtingesnius klausimus nei įprastame saugumo klausimyne.
Jie klausia ne tik, ar įmonė šifruoja duomenis, naudoja daugiafaktorį autentifikavimą (MFA) arba turi skverbties testavimo ataskaitą. Jie nori žinoti, ar SaaS platforma palaiko jų DORA įpareigojimus, ar teikėjas gali patekti į NIS2 taikymo sritį kaip IRT paslauga arba skaitmeninės infrastruktūros priklausomybė, ir ar ISO 27001 Taikytinumo pareiškimas gali pagrįsti kiekvieną įtrauktą kontrolės priemonę, kiekvieną netaikomą kontrolės priemonę ir kiekvieną įrodymą.
Valdyba užduoda klausimą, kurį vis dažniau girdi kiekvienas CISO, atitikties vadovas ir SaaS steigėjas:
Ar mūsų ISO 27001 SoA gali įrodyti pasirengimą NIS2 ir DORA?
Elena supranta, kad neteisingas atsakymas būtų pradėti tris atskiras atitikties programas: vieną ISO 27001, vieną NIS2 ir vieną DORA. Tai sukurtų dubliuojamus įrodymus, prieštaringus kontrolės priemonių savininkus ir nuolatinį skubėjimą prieš kiekvieną kliento vertinimą. Geresnis atsakymas – naudoti esamą ISVS kaip atitikties valdymo veiklos sistemą, o Taikytinumo pareiškimą, arba SoA, kaip pagrindinį atsekamumo dokumentą.
SoA nėra tik skaičiuoklė ISO sertifikavimui. ES kibernetinio saugumo ir skaitmeninės veiklos atsparumo aplinkoje tai yra vieta, kur organizacija pagrindžia, kodėl kontrolės priemonės egzistuoja, kodėl išimtys yra pagrįstos, kam priklauso kiekviena kontrolės priemonė, kokie įrodymai patvirtina įgyvendinimą ir kaip kontrolės priemonių rinkinys apima NIS2, DORA, GDPR, klientų sutartis ir vidinį rizikos tvarkymą.
Clarysec Enterprise Informacijos saugumo politika Informacijos saugumo politika nustato:
ISVS turi apimti apibrėžtas taikymo srities ribas, rizikos vertinimo metodiką, išmatuojamus tikslus ir dokumentuotas kontrolės priemones, pagrįstas Taikytinumo pareiškime (SoA).
Šis reikalavimas iš Informacijos saugumo politikos 6.1.2 punkto yra auditui tinkamo požiūrio pagrindas. SoA turėtų tapti jungtimi tarp įpareigojimų, rizikų, kontrolės priemonių, įrodymų ir vadovybės sprendimų.
Kodėl NIS2 ir DORA pakeitė „taikytina“ reikšmę
Tradicinis ISO/IEC 27001:2022 SoA dažnai prasideda paprastu klausimu: „Kurios Annex A kontrolės priemonės taikomos mūsų rizikos tvarkymo planui?“ Tai vis dar teisinga, tačiau SaaS, debesijos, valdomų paslaugų, finansinių technologijų ir kritinės tiekimo grandinės teikėjams to nebepakanka.
NIS2 padidina kibernetinio saugumo rizikos valdymo bazinį lygį esminiams ir svarbiems subjektams ES. Ji apima tokius sektorius kaip skaitmeninė infrastruktūra, debesijos paslaugų teikėjai, duomenų centrų paslaugų teikėjai, turinio pristatymo tinklai, valdomų paslaugų teikėjai, valdomų saugumo paslaugų teikėjai, bankininkystė ir finansų rinkų infrastruktūros. Valstybės narės turi identifikuoti esminius ir svarbius subjektus bei domenų vardų registravimo paslaugų teikėjus, o daugelis technologijų teikėjų, kurie anksčiau kibernetinio saugumo reglamentavimą laikė kliento problema, dabar patys tiesiogiai patenka į taikymo sritį arba yra veikiami per sutartinių reikalavimų perdavimo grandinę.
NIS2 Article 21 reikalauja tinkamų ir proporcingų techninių, operacinių ir organizacinių priemonių rizikos analizės, saugumo politikų, incidentų valdymo, veiklos tęstinumo, tiekimo grandinės saugumo, saugaus įsigijimo ir kūrimo, kontrolės veiksmingumo vertinimo, kibernetinės higienos, mokymų, kriptografijos, žmogiškųjų išteklių saugumo, prieigos kontrolės, turto valdymo ir autentifikavimo srityse, kai tai tinkama. NIS2 Article 23 papildo etapinio pranešimo apie incidentus lūkesčiais, įskaitant ankstyvąjį įspėjimą, pranešimą, atnaujinimus ir galutinę reikšmingų incidentų ataskaitą.
DORA, Skaitmeninės veiklos atsparumo aktas, taikomas nuo 2025 m. sausio 17 d. ir orientuotas į finansų subjektus bei jų IRT rizikos ekosistemą. Jis apima IRT rizikos valdymą, pranešimą apie su IRT susijusius incidentus, pranešimą apie operacinius arba saugumo mokėjimo incidentus tam tikriems subjektams, skaitmeninės veiklos atsparumo testavimą, keitimąsi kibernetinių grėsmių žvalgybos informacija, IRT trečiųjų šalių rizikos valdymą, sutartines nuostatas ir kritinių IRT trečiųjų šalių paslaugų teikėjų priežiūrą.
Finansų subjektams, kurie pagal NIS2 taip pat yra esminiai arba svarbūs subjektai, DORA veikia kaip sektoriui specifinis režimas lygiaverčiams IRT rizikos valdymo ir pranešimo apie incidentus įpareigojimams. Tačiau SaaS teikėjams, debesijos paslaugų teikėjams, MSP ir MDR teikėjams, aptarnaujantiems finansų klientus, praktinė realybė yra tokia, kad DORA lūkesčiai ateina per pirkimus, sutartis, audito teisės nuostatas, incidentų palaikymo įpareigojimus, pasitraukimo planavimą, subtiekėjų skaidrumą ir atsparumo įrodymus.
Tai keičia SoA diskusiją. Klausimas nebėra: „Ar Annex A turi šią kontrolės priemonę?“ Geresnis klausimas yra:
Ar galime įrodyti, kad kontrolės priemonių parinkimas yra grindžiamas rizika, atsižvelgia į įpareigojimus, yra proporcingas, turi savininkus, yra įgyvendintas, stebimas, pagrįstas įrodymais ir patvirtintas?
ISO 27001 yra universalus NIS2 ir DORA vertėjas
ISO/IEC 27001:2022 yra vertingas todėl, kad tai valdymo sistemos standartas, o ne siauras kontrolinis sąrašas. Jis reikalauja, kad ISVS būtų integruota į organizacijos procesus ir pritaikyta organizacijos poreikiams. Dėl to jis tampa veiksmingu universaliu persidengiančių atitikties reikalavimų vertėju.
4.1–4.4 punktai reikalauja, kad organizacija suprastų savo kontekstą, identifikuotų suinteresuotąsias šalis, nustatytų aktualius reikalavimus ir apibrėžtų ISVS taikymo sritį. Tokiam finansinių technologijų SaaS teikėjui kaip Elenos įmonė šie suinteresuotųjų šalių reikalavimai gali apimti ES klientus, finansų klientus, kuriems taikoma DORA, NIS2 sektoriaus poveikį, GDPR duomenų valdytojo ir duomenų tvarkytojo įpareigojimus, išorines debesijos priklausomybes, tiekėjų sąsajas ir valdybos lūkesčius.
6.1.1–6.1.3 punktai reikalauja rizikų ir galimybių planavimo, pakartojamo informacijos saugumo rizikos vertinimo proceso, rizikos tvarkymo proceso, palyginimo su Annex A ir Taikytinumo pareiškimo, kuriame identifikuojamos įtrauktos kontrolės priemonės, įgyvendinimo būsena ir išimčių pagrindimai.
Čia SoA tampa kontrolės priemonės sprendimo įrašu. Kontrolės priemonė gali būti įtraukta, nes ji tvarko riziką, tenkina teisinį reikalavimą, vykdo kliento sutartį, palaiko verslo tikslą arba yra bazinės saugumo higienos dalis. Kontrolės priemonė gali būti netaikoma tik po to, kai organizacija ją sąmoningai įvertino, nustatė, kad ji nėra aktuali ISVS taikymo sričiai, dokumentavo pagrindimą ir gavo tinkamą patvirtinimą.
Clarysec Enterprise Rizikos valdymo politika Rizikos valdymo politika nustato:
Taikytinumo pareiškimas (SoA) turi atspindėti visus tvarkymo sprendimus ir turi būti atnaujinamas, kai pakeičiama kontrolės priemonių aprėptis.
Šis reikalavimas iš Rizikos valdymo politikos 5.4 punkto yra kritinis pasirengimui NIS2 ir DORA. Naujas reglamentuojamas klientas, nauja debesijos priklausomybė, naujas pranešimo apie incidentus įpareigojimas arba nauja tiekėjo koncentracijos rizika gali pakeisti kontrolės priemonės taikytinumą.
Pradėkite nuo atitikties registro, o ne nuo kontrolės priemonių sąrašo
Silpnas SoA prasideda nuo Annex A ir klausia: „Kokias kontrolės priemones jau turime?“ Stiprus SoA prasideda nuo organizacijos veiklos realybės ir klausia: „Kokius įpareigojimus, paslaugas, rizikas, duomenis, tiekėjus ir klientus turi apimti ISVS?“
ISO/IEC 27005:2022 palaiko šį požiūrį, pabrėždamas suinteresuotųjų šalių reikalavimus, rizikos kriterijus ir poreikį atsižvelgti į standartus, vidines taisykles, įstatymus, reglamentus, sutartis ir esamas kontrolės priemones. Jis taip pat pabrėžia, kad netaikytinumas arba neatitiktis turi būti paaiškinti ir pagrįsti.
Clarysec SME Teisinės ir reglamentavimo atitikties politika MVĮ Teisinės ir reglamentavimo atitikties politika MVĮ įtvirtina tą patį veiklos principą:
Generalinis direktorius turi tvarkyti paprastą, struktūrizuotą Atitikties registrą, kuriame nurodoma:
Šis reikalavimas kyla iš Teisinės ir reglamentavimo atitikties politikos MVĮ 5.1.1 punkto. Mažesnėje organizacijoje registras gali būti paprastas. Įmonėje jis turėtų būti išsamesnis. Logika ta pati: įpareigojimai turi būti matomi prieš juos susiejant.
Clarysec Enterprise Teisinės ir reglamentavimo atitikties politika Teisinės ir reglamentavimo atitikties politika yra aiški:
Visi teisiniai ir reglamentavimo įpareigojimai turi būti susieti su konkrečiomis politikomis, kontrolės priemonėmis ir savininkais Informacijos saugumo valdymo sistemoje (ISVS).
Tai yra Teisinės ir reglamentavimo atitikties politikos 6.2.1 punktas. Jis yra valdysenos pagrindas naudojant ISO 27001 Taikytinumo pareiškimą pasirengimui NIS2 ir DORA atitikčiai.
| Registro laukas | Pavyzdinis įrašas | Kodėl tai svarbu SoA |
|---|---|---|
| Įpareigojimo šaltinis | NIS2 Article 21 | Lemiamas veiksnys įtraukiant rizikos analizės, incidentų valdymo, tęstinumo, tiekėjų saugumo, kriptografijos, prieigos kontrolės, turto valdymo ir mokymų kontrolės priemones |
| Taikytinumo pagrindimas | SaaS teikėjas, palaikantis ES finansų ir esminių sektorių klientus | Parodo, kodėl NIS2 vertinama, net jei galutinis teisinis statusas priklauso nuo valstybės narės priskyrimo |
| Kontrolės priemonės savininkas | Saugumo operacijų vadovas | Palaiko atskaitomybę ir įrodymų savininkystę |
| Susieta ISO/IEC 27001:2022 kontrolės priemonė | A.5.24–A.5.28 incidentų valdymo kontrolės priemonės | Susieja teisinį įpareigojimą su Annex A kontrolės priemonės parinkimu |
| Įrodymų šaltinis | Reagavimo į incidentus planas, užklausų pavyzdžiai, peržiūra po incidento, pranešimo pratybos | Palengvina audito atranką |
| SoA sprendimas | Taikytina | Sukuria atsekamumą tarp įpareigojimo, rizikos, kontrolės priemonės ir įrodymų |
Kurkite rizikos kriterijus, kurie atspindi atsparumą, privatumą, tiekėjus ir reglamentavimą
Daugelis SoA pagrindimų žlunga todėl, kad rizikos vertinimo balais modelis yra per siauras. Jis matuoja techninę tikimybę ir poveikį, tačiau neapima reglamentavimo poveikio, paslaugos kritiškumo, žalos klientams, tiekėjo priklausomybės, privatumo poveikio arba sisteminio veiklos sutrikimo.
NIS2 nėra vien apie konfidencialumą. Ji orientuota į incidentų poveikio paslaugoms ir paslaugų gavėjams prevenciją ir mažinimą. DORA kritines arba svarbias funkcijas apibrėžia pagal tai, ar sutrikimas reikšmingai pakenktų finansiniams rezultatams, paslaugų tęstinumui arba reglamentavimo atitikčiai. GDPR prideda atskaitomybę, vientisumą, konfidencialumą, pasirengimą pažeidimams ir žalą duomenų subjektams.
Clarysec SME Rizikos valdymo politika MVĮ Rizikos valdymo politika MVĮ pateikia praktinį minimumą:
Kiekvienas rizikos įrašas turi apimti: aprašymą, tikimybę, poveikį, balą, savininką ir tvarkymo planą.
Tai yra Rizikos valdymo politikos MVĮ 5.1.2 punktas. Pasirengimui NIS2 ir DORA Clarysec išplečia šį minimumą į tokius laukus kaip įpareigojimo šaltinis, paveikta paslauga, duomenų kategorija, tiekėjo priklausomybė, verslo savininkas, reglamentavimo poveikis, likutinė rizika, tvarkymo būsena ir įrodymų šaltinis.
| Rizikos ID | Rizikos scenarijus | Įpareigojimo veiksnys | Tvarkymo kontrolės priemonės | SoA pagrindimas |
|---|---|---|---|---|
| R-021 | Debesijos platformos sutrikimas neleidžia klientams pasiekti reglamentuojamų sukčiavimo analitikos valdymo skydų | NIS2 Article 21, DORA kliento priklausomybė, sutartinis SLA | A.5.29, A.5.30, A.8.13, A.8.15, A.8.16 | Taikytina, nes paslaugos tęstinumas, atsarginės kopijos, žurnalavimas, stebėsena ir IRT parengtis mažina veiklos sutrikimus ir palaiko klientų atsparumo įpareigojimus |
| R-034 | Saugumo incidentas, susijęs su ES asmens duomenimis, nėra aptinkamas, eskaluojamas arba apie jį nepranešama per reikalaujamus terminus | GDPR atskaitomybė, NIS2 Article 23, DORA incidentų palaikymo pareigos | A.5.24–A.5.28, A.8.15, A.8.16 | Taikytina, nes etapinis incidentų valdymas, įrodymų rinkimas, įgyta patirtis, žurnalavimas ir stebėsena palaiko reglamentavimo ir klientų informavimo darbo eigas |
| R-047 | Kritinio subtiekėjo silpnumas paveikia saugų paslaugos teikimą finansų klientams | NIS2 Article 21 tiekimo grandinės saugumas, DORA IRT trečiųjų šalių rizika | A.5.19–A.5.23, A.5.31, A.5.36 | Taikytina, nes tiekėjų rizika, sutartiniai reikalavimai, debesijos valdysena, atitikties įpareigojimai ir politikos laikymasis yra būtini IRT priklausomybių patikinimui |
Atkreipkite dėmesį į formuluotę. Stiprus pagrindimas nesako vien „įgyvendinta“. Jis paaiškina, kodėl kontrolės priemonė taikytina organizacijos verslo, reglamentavimo ir rizikos kontekste.
Susiekite NIS2 ir DORA sritis su ISO 27001:2022 kontrolės priemonėmis
Kai atitikties registras ir rizikos kriterijai nustatyti, praktinis darbas yra susieti reglamentavimo sritis su Annex A kontrolės priemonėmis. Šis susiejimas pats savaime neįrodo atitikties, tačiau auditoriams ir klientams suteikia aiškų indeksą įrodymų testavimui.
| Reglamentavimo reikalavimų sritis | NIS2 nuoroda | DORA nuoroda | ISO/IEC 27001:2022 kontrolės priemonių pavyzdžiai |
|---|---|---|---|
| Valdysena ir vadovybės atskaitomybė | Article 20 | Article 5 | A.5.1, A.5.2, A.5.31, A.5.35, A.5.36 |
| Rizikos valdymo sistema | Article 21(1) | Article 6 | ISO 27001 6.1.1–6.1.3 punktai, A.5.7, A.5.31, A.5.36 |
| Incidentų valdymas ir pranešimas | Article 23 | Articles 17 to 19 | A.5.24, A.5.25, A.5.26, A.5.27, A.5.28, A.8.15, A.8.16 |
| Veiklos tęstinumas ir atsparumas | Article 21(2)(c) | Articles 11 and 12 | A.5.29, A.5.30, A.8.13, A.8.14, A.8.15, A.8.16 |
| Tiekimo grandinės ir trečiųjų šalių rizika | Article 21(2)(d), Article 21(3) | Articles 28 to 30 | A.5.19, A.5.20, A.5.21, A.5.22, A.5.23 |
| Saugus įsigijimas ir kūrimas | Article 21(2)(e) | Article 9 | A.8.25, A.8.26, A.8.27, A.8.28, A.8.29, A.8.32 |
| Testavimas ir kontrolės veiksmingumas | Article 21(2)(f) | Articles 24 to 27 | A.5.35, A.5.36, A.8.8, A.8.29, A.8.34 |
| Prieigos kontrolė ir turto valdymas | Article 21(2)(i) | Article 9(4)(d) | A.5.9, A.5.15, A.5.16, A.5.17, A.5.18, A.8.2, A.8.3 |
| Kriptografija ir šifravimas | Article 21(2)(h) | Article 9(4)(d) | A.8.24 |
Elenai šis susiejimas pakeitė pokalbį su valdyba. Užuot pateikusi NIS2 ir DORA kaip atskirus projektus, ji galėjo parodyti persidengimą: valdysena, rizikos valdymas, incidentai, tęstinumas, tiekėjai, testavimas, prieigos kontrolė ir kriptografija.
Trys ISO kontrolės priemonės, nuo kurių priklauso kiekvienas NIS2 ir DORA SoA
Dokumente Zenith Controls: The Cross-Compliance Guide Zenith Controls Clarysec tris ISO/IEC 27002:2022 kontrolės priemones laiko centrinėmis auditui tinkamai SoA valdysenai NIS2 ir DORA kontekste. Tai ISO kontrolės priemonės, papildytos kryžminės atitikties atributais Zenith Controls vadove.
| ISO/IEC 27002:2022 kontrolės priemonė | Kontrolės priemonės pavadinimas | Zenith Controls atributai | Kodėl tai svarbu SoA valdysenai |
|---|---|---|---|
| 5.31 | Teisiniai, įstatyminiai, reglamentavimo ir sutartiniai reikalavimai | Prevencinės, KVP, identifikuoti, teisė ir atitiktis, valdysena, ekosistema, apsauga | Nustato įpareigojimų bazę, kuri lemia kontrolės priemonių įtraukimą ir savininkų priskyrimą |
| 5.35 | Nepriklausoma informacijos saugumo peržiūra | Prevencinės ir korekcinės, KVP, identifikuoti ir apsaugoti, informacijos saugumo patikinimas, valdysena, ekosistema | Suteikia patikinimą, kad SoA sprendimai ir įgyvendinimo įrodymai gali atlaikyti nepriklausomą peržiūrą |
| 5.36 | Informacijos saugumo politikų, taisyklių ir standartų laikymasis | Prevencinės, KVP, identifikuoti ir apsaugoti, teisė ir atitiktis, informacijos saugumo patikinimas, valdysena, ekosistema | Susieja SoA su operacine atitiktimi, politikų laikymusi ir stebėsena |
Šios kontrolės priemonės nėra izoliuotos. Jos tiesiogiai siejasi su tiekėjų santykių kontrolės priemonėmis A.5.19–A.5.23, incidentų valdymo kontrolės priemonėmis A.5.24–A.5.28, tęstinumo kontrolės priemonėmis A.5.29 ir A.5.30, privatumo kontroline priemone A.5.34, pažeidžiamumų valdymu A.8.8, konfigūracijų valdymu A.8.9, informacijos atsarginėmis kopijomis A.8.13, žurnalavimu A.8.15, stebėsenos veiklomis A.8.16, kriptografija A.8.24, saugaus kūrimo kontrolės priemonėmis A.8.25–A.8.29 ir pakeitimų valdymu A.8.32.
Zenith Controls vertė yra ta, kad jis padeda komandoms nelaikyti SoA vieno standarto artefaktu. Kontrolės priemonė 5.31 palaiko teisinį ir sutartinį susiejimą. Kontrolės priemonė 5.35 palaiko vidaus auditą, nepriklausomą peržiūrą ir vadovybės patikinimą. Kontrolės priemonė 5.36 palaiko operacinę atitiktį politikoms, procedūroms, standartams ir kontrolės reikalavimams.
Naudokite Zenith Blueprint SoA kūrimui, testavimui ir pagrindimui
Dokumente Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint Clarysec SoA rengimą priskiria Rizikos valdymo etapui, 13 žingsniui: rizikos tvarkymo planavimas ir Taikytinumo pareiškimas. Blueprint nurodo organizacijoms naudoti SoA lapą „Risk Register and SoA Builder.xlsx“ šablone, nuspręsti, ar kiekviena iš 93 Annex A kontrolės priemonių yra taikytina, ir sprendimą grįsti rizikos tvarkymu, teisiniais ir sutartiniais reikalavimais, taikymo srities aktualumu ir organizacijos kontekstu.
Blueprint teigia:
SoA iš esmės yra jungiamasis dokumentas: jis susieja jūsų rizikos vertinimą / tvarkymą su faktinėmis kontrolės priemonėmis, kurias turite.
Šis sakinys apibūdina veikimo modelį. SoA sujungia įpareigojimus, rizikas, politikas, kontrolės priemones, įrodymus ir audito išvadas.
Zenith Blueprint taip pat nurodo komandoms, kai tinkama, SoA pastabose pateikti kryžmines nuorodas į reglamentus. Jei kontrolės priemonė įgyvendinta dėl GDPR, NIS2 arba DORA, tai turėtų atsispindėti rizikų registre arba SoA pastabose. Vėliau, 24 žingsnyje, Blueprint nurodo organizacijoms po įgyvendinimo atnaujinti SoA ir kryžmiškai patikrinti jį su rizikos tvarkymo planu. 30 žingsnyje, Pasirengimas sertifikavimui, galutinė peržiūra ir bandomasis auditas, Blueprint nurodo komandoms patvirtinti, kad kiekviena taikytina Annex A kontrolės priemonė turi įrodymų, tokių kaip politika, procedūra, ataskaita, planas arba įgyvendinimo įrašas.
Ši seka paverčia SoA gyvu atitikties instrumentu:
- 13 žingsnis sukuria jį iš rizikos tvarkymo ir įpareigojimų.
- 24 žingsnis patikrina jį pagal įgyvendinimo realybę.
- 30 žingsnis pagrindžia jį per galutinę įrodymų peržiūrą ir bandomąjį auditą.
Kaip rašyti įtraukimo pagrindimus, kuriuos auditoriai gali atsekti
Kontrolės priemonė turėtų būti įtraukta, kai egzistuoja bent vienas pagrįstas veiksnys: rizikos tvarkymas, teisinis reikalavimas, sutartinis reikalavimas, taikymo srities aktualumas, bazinė saugumo higiena, klientų patikinimo lūkestis arba vadovybės patvirtintas atsparumo tikslas.
Naudinga formulė:
Taikytina, nes [rizika arba įpareigojimas] veikia [paslaugą, turtą, duomenis arba procesą], o ši kontrolės priemonė suteikia [prevencinį, aptikimo, korekcinį arba atsparumo rezultatą], pagrįstą [politika, įrašu, testu, ataskaita arba sistemos išvestimi].
| Kontrolės sritis | Silpnas pagrindimas | Auditui tinkamas pagrindimas |
|---|---|---|
| Incidentų valdymas | Įgyvendinta | Taikytina, nes NIS2 Article 23 ir DORA incidentų gyvavimo ciklo lūkesčiai reikalauja aptikimo, klasifikavimo, eskalavimo, pranešimų palaikymo, komunikacijos, pagrindinės priežasties analizės, įrodymų rinkimo ir įgytos patirties incidentams, paveikiantiems reglamentuojamus klientus |
| Tiekėjų saugumas | Reikalaujama | Taikytina, nes debesijos priegloba, palaikymo teikėjai ir MDR paslaugos veikia paslaugos prieinamumą ir duomenų konfidencialumą, o NIS2 Article 21 kartu su DORA IRT trečiųjų šalių rizikos lūkesčiais reikalauja deramo patikrinimo, sutartinių apsaugos priemonių, stebėsenos, subtiekėjų peržiūros ir pasitraukimo planavimo |
| Kriptografija | Naudojama | Taikytina, nes klientų duomenims, autentifikavimo paslaptims, atsarginėms kopijoms ir reglamentuojamiems finansiniams duomenims reikalingos konfidencialumo ir vientisumo apsaugos priemonės pagal NIS2, DORA, GDPR, klientų sutartis ir vidinį rizikos tvarkymą |
| Nepriklausoma peržiūra | Taip | Taikytina, nes vadovybei, klientams ir auditoriams reikia patikinimo, kad ISVS kontrolės priemonės, SoA sprendimai, įrodymai ir reglamentavimo susiejimai periodiškai peržiūrimi nepriklausomai |
Finansinių technologijų SaaS teikėjui viena SoA eilutė galėtų atrodyti taip:
| SoA laukas | Pavyzdinis įrašas |
|---|---|
| Kontrolės priemonė | A.5.19 Informacijos saugumo valdymas tiekėjų santykiuose |
| Taikytinumas | Taip |
| Pagrindimas | Taikytina, nes debesijos priegloba, palaikymo įrankiai ir MDR paslaugos veikia konfidencialumą, prieinamumą, incidentų aptikimą ir reglamentuojamų klientų patikinimą. Palaiko NIS2 tiekimo grandinės lūkesčius, DORA IRT trečiųjų šalių rizikos lūkesčius finansų klientams, GDPR duomenų tvarkytojo atskaitomybę ir sutartinius audito reikalavimus. |
| Įgyvendinimo būsena | Įgyvendinta ir stebima |
| Savininkas | Tiekėjų valdymo vadovas |
| Įrodymai | Tiekėjų registras, deramo patikrinimo kontrolinis sąrašas, sutartinės saugumo nuostatos, metinės peržiūros įrašai, SOC arba patikinimo ataskaitos, subtiekėjų peržiūra, pasitraukimo planas kritiniams teikėjams |
| Susietos rizikos | R-047, R-021, R-034 |
| Susietos politikos | Trečiųjų šalių ir tiekėjų saugumo politika, Teisinės ir reglamentavimo atitikties politika, Rizikos valdymo politika |
| Peržiūros dažnumas | Kasmet ir pasikeitus tiekėjui, įvykus reikšmingam incidentui, atsiradus naujam reglamentuojamam klientui arba išplėtus paslaugą |
Tai tinkama auditui, nes susieja kontrolės priemonę su kontekstu, rizika, įpareigojimu, įgyvendinimu, savininkyste ir įrodymais.
Kaip pagrįsti išimtis nesukuriant audito rizikos
Išimtys nėra nesėkmės. Prastai pagrįstos išimtys yra nesėkmės.
ISO/IEC 27001:2022 reikalauja, kad SoA pagrįstų netaikomas Annex A kontrolės priemones. ISO/IEC 27005:2022 patvirtina, kad netaikytinumas turi būti paaiškintas ir pagrįstas. Clarysec Enterprise Informacijos saugumo politika nustato:
Bazinis rinkinys gali būti pritaikomas; tačiau išimtys turi būti dokumentuojamos su formaliu patvirtinimu ir pagrindimu SoA.
Tai yra Informacijos saugumo politikos 7.2.2 punktas.
Clarysec Informacijos saugumo politika MVĮ Informacijos saugumo politika MVĮ nustato:
Bet koks nukrypimas nuo šios politikos turi būti dokumentuotas, aiškiai paaiškinant, kodėl nukrypimas būtinas, kokios alternatyvios apsaugos priemonės taikomos ir kokia data nustatyta pakartotiniam įvertinimui.
Šis reikalavimas kyla iš Informacijos saugumo politikos MVĮ 7.2.1 punkto.
| Kontrolės sritis | Išimties pagrindimas | Reikalingos apsaugos priemonės |
|---|---|---|
| Saugaus kūrimo kontrolės priemonės vidiniam kodui | Netaikytina, nes ISVS taikymo sritis apima tik perpardavėjo paslaugą be vidinio programinės įrangos kūrimo, kodo modifikavimo ir CI/CD konvejerio | Tiekėjo patikinimas, pakeitimų patvirtinimas, pažeidžiamumų priėmimas, klientų komunikacija ir kasmetinis pakartotinis įvertinimas |
| Fizinio saugumo stebėsena nuosavoms patalpoms | Netaikytina, nes organizacija ISVS taikymo srityje neturi nuosavo duomenų centro, serverinės arba biuro patalpų, o visą produkcinę infrastruktūrą eksploatuoja audituoti debesijos paslaugų teikėjai | Debesijos tiekėjo deramas patikrinimas, sutartinės kontrolės priemonės, prieigos peržiūros, bendros atsakomybės peržiūra ir įrodymai iš teikėjo patikinimo ataskaitų |
| Tam tikros vietinių laikmenų tvarkymo veiklos | Netaikytina, nes taikymo srities paslaugoje nenaudojamos nei nešiojamosios laikmenos, nei vietinės saugyklos | Galinių įrenginių apribojimai, DLP stebėsena, kai tinkama, turto apskaita ir periodinis patvirtinimas |
NIS2 ir DORA kontekste išimtys reikalauja ypatingo atsargumo. SaaS įmonė retai turėtų netaikyti žurnalavimo, stebėsenos, atsarginių kopijų, incidentų valdymo, prieigos kontrolės, tiekėjų saugumo arba pažeidžiamumų valdymo. Net kai kontrolės priemonė nėra susieta su viena konkrečia rizika, ji vis tiek gali būti būtina kaip bazinė saugumo priemonė, klientų patikinimas, sutartinis lūkestis arba teisinis įpareigojimas.
Clarysec Rizikos valdymo politika MVĮ taip pat primena komandoms, kaip turi būti valdoma priimta rizika:
Priimti: pagrįsti, kodėl nereikia papildomų veiksmų, ir užregistruoti liekamąją riziką.
Šis Rizikos valdymo politikos MVĮ 6.1.1 punktas tiksliai atitinka mąstyseną, reikalingą išimtims ir liekamosios rizikos sprendimams.
Pranešimas apie incidentus: įrodykite darbo eigą, o ne politikos egzistavimą
NIS2 Article 23 reikalauja etapinio pranešimo apie reikšmingus incidentus, įskaitant ankstyvąjį įspėjimą per 24 valandas nuo sužinojimo, pranešimą per 72 valandas, atnaujinimus, kai jų prašoma, ir galutinę ataskaitą per vieną mėnesį nuo 72 valandų pranešimo. DORA reikalauja, kad finansų subjektai aptiktų, valdytų, klasifikuotų, eskaluotų, komunikuotų ir praneštų apie reikšmingus su IRT susijusius incidentus, informuotų paveiktus klientus, kai reikalaujama, atliktų pagrindinės priežasties analizę ir gerintų kontrolės priemones.
SaaS teikėjui ne visada gali reikėti tiesiogiai pranešti DORA institucijai, tačiau jam gali reikėti palaikyti finansų klientų pranešimo terminus. Dėl to incidentų kontrolės priemonės yra labai aktualios SoA.
Silpnas SoA sako: „Reagavimo į incidentus politika egzistuoja.“
Stiprus SoA sako: „Taikytina, nes organizacija turi aptikti, įvertinti, klasifikuoti, eskaluoti, komunikuoti, išsaugoti įrodymus, palaikyti reglamentavimo pranešimų terminus, informuoti paveiktus klientus, kai to reikalauja sutartis, ir mokytis iš incidentų, paveikiančių paslaugas, duomenis arba reglamentuojamus klientus.“
Įrodymai turėtų apimti:
- Reagavimo į incidentus planą ir eskalavimo matricą.
- Sunkumo klasifikavimo kriterijus.
- Klientų informavimo darbo eigą.
- Reglamentavimo pranešimo sprendimų medį, kai taikoma.
- Incidentų užklausas ir laiko juostas.
- Žurnalus ir stebėsenos įspėjimus.
- Stalo pratybų įrašus.
- Peržiūrą po incidento ir korekcinius veiksmus.
- Įrodymų išsaugojimo procedūras.
Clarysec Enterprise Audito ir atitikties stebėsenos politika Audito ir atitikties stebėsenos politika paaiškina, kodėl tai svarbu:
Siekiant generuoti dokumentuotus įrodymus ir audito pėdsaką reglamentavimo institucijų paklausimams, teisiniams procesams arba klientų patikinimo prašymams pagrįsti.
Šis tikslas kyla iš Audito ir atitikties stebėsenos politikos 3.4 punkto.
Mažesnėms organizacijoms įrodymų saugojimas taip pat turi būti aiškus. Clarysec Audito ir atitikties stebėsenos politika MVĮ Audito ir atitikties stebėsenos politika MVĮ nustato:
Įrodymai turi būti saugomi bent dvejus metus arba ilgiau, kai to reikalauja sertifikavimas arba klientų susitarimai.
Tai yra Audito ir atitikties stebėsenos politikos MVĮ 6.2.4 punktas.
Vienas SoA, keli audito pokalbiai
Geriausias SoA nedubliuoja sistemų. Jis sukuria atsekamą kontrolės priemonių naratyvą, kurį gali suprasti skirtingi auditoriai.
| Sistema arba perspektyva | Ko klaus auditorius arba vertintojas | Kaip padeda SoA |
|---|---|---|
| ISO/IEC 27001:2022 | Kodėl ši Annex A kontrolės priemonė įtraukta arba netaikoma, kokia jos įgyvendinimo būsena ir kur yra įrodymai? | Susieja kontrolės priemonių sprendimus su rizikomis, įpareigojimais, įgyvendinimo būsena, savininkais ir įrodymais |
| NIS2 | Kaip valdysena, rizikos analizė, incidentų valdymas, veiklos tęstinumas, tiekimo grandinė, šifravimas, prieigos kontrolė, turto valdymas ir mokymai veikia praktikoje? | Susieja Article 21 ir Article 23 lūkesčius su Annex A kontrolės priemonėmis ir operaciniais įrašais |
| DORA | Kaip pagrindžiami IRT rizika, incidentų valdymas, atsparumo testavimas, trečiųjų šalių rizika, sutartys, audito teisės, pasitraukimo planai ir vadovybės priežiūra? | Parodo, kurios kontrolės priemonės palaiko finansų subjektų įpareigojimus arba SaaS tiekėjo patikinimą |
| GDPR | Ar organizacija gali parodyti vientisumą, konfidencialumą, atskaitomybę, pasirengimą pažeidimams, teisėto tvarkymo palaikymą ir duomenų tvarkytojo kontrolės priemones? | Susieja privatumo įpareigojimus su prieigos kontrole, kriptografija, žurnalavimu, tiekėjų, incidentų, saugojimo ir įrodymų kontrolės priemonėmis |
| NIST CSF 2.0 | Kaip įgyvendintos kontrolės priemonės palaiko Valdymo, Identifikavimo, Apsaugos, Aptikimo, Reagavimo ir Atkūrimo rezultatus? | Naudoja tą pačią įrodymų bazę funkcinei kibernetinio saugumo aprėpčiai parodyti |
| COBIT 2019 ir ISACA auditas | Ar apibrėžti valdysenos tikslai, kontrolės priemonių savininkystė, patikinimo veiklos, rodikliai ir vadovybės atskaitomybė? | Susieja SoA sprendimus su savininkais, veiklos peržiūra, nepriklausoma peržiūra ir korekciniais veiksmais |
ISO 27001 auditorius paprastai pradeda nuo punktų logikos: taikymo sritis, suinteresuotosios šalys, rizikos vertinimas, rizikos tvarkymas, SoA, tikslai, vidaus auditas, vadovybės peržiūra ir tobulinimas. Į NIS2 orientuotas vertintojas daugiausia dėmesio skiria proporcingumui, vadovybės atskaitomybei, mokymams, tiekimo grandinei, incidentų terminams ir paslaugos poveikiui. Į DORA orientuotas kliento vertintojas daugiausia dėmesio skiria IRT rizikai, kritinėms arba svarbioms funkcijoms, reikšmingiems IRT incidentams, atsparumo testavimui, sutartinėms nuostatoms, audito teisėms, pasitraukimo planams, subtiekimui ir koncentracijos rizikai. Privatumo vertintojas daugiausia dėmesio skiria GDPR atskaitomybei ir pasirengimui pažeidimams. COBIT 2019 arba ISACA tipo auditorius testuoja valdyseną, rodiklius, savininkystę, patikinimą ir korekcinius veiksmus.
Todėl SoA negali prižiūrėti vien tik saugumo komanda. Reikalinga teisės, privatumo, pirkimų, inžinerijos, operacijų, žmogiškųjų išteklių ir vadovybės savininkystė.
Dažnos SoA nesėkmės pasirengimo NIS2 ir DORA projektuose
Clarysec pasirengimo projektuose nuolat randa tas pačias problemas:
- SoA pažymi kontrolės priemones kaip taikytinas, tačiau neužregistruojama rizika, įpareigojimas arba verslo priežastis.
- NIS2 ir DORA minimos politikose, tačiau nesusiejamos su kontrolės priemonėmis, savininkais arba įrodymais.
- Tiekėjų kontrolės priemonės pažymėtos kaip įgyvendintos, tačiau nėra tiekėjų registro, kritiškumo įvertinimo, sutartinės peržiūros arba pasitraukimo plano.
- Incidentų kontrolės priemonės egzistuoja, tačiau procesas nepalaiko 24 valandų, 72 valandų, klientų arba galutinio pranešimo darbo eigų.
- Vadovybės patvirtinimas numanomas, tačiau nėra rizikos priėmimo, SoA patvirtinimo arba liekamosios rizikos sprendimo įrašo.
- Išimtys nukopijuotos iš šablono ir neatitinka faktinio debesijos, nuotolinio darbo, SaaS arba finansinių technologijų veikimo modelio.
- Įrodymai egzistuoja skirtingose priemonėse, tačiau joks audito pėdsakas nesusieja įrodymų su SoA.
- GDPR asmens duomenų tvarkymas nesusietas su saugumo kontrolės priemonėmis, reagavimu į pažeidimus, tiekėjų sutartimis arba saugojimu.
- Vidaus auditas tikrina dokumentus, bet netestuoja, ar SoA atspindi realų įgyvendinimą.
- SoA atnaujinamas tik prieš sertifikavimą, o ne po naujų klientų, tiekėjų, incidentų, audito išvadų arba reglamentavimo pokyčių.
Tai nėra dokumentacijos problemos. Tai valdysenos problemos.
Praktinis kontrolinis sąrašas auditui tinkamam ISO 27001 SoA
Naudokite šį kontrolinį sąrašą prieš ISO 27001 sertifikavimo auditą, NIS2 pasirengimo peržiūrą, DORA kliento vertinimą, valdybos posėdį arba investuotojų deramą patikrinimą.
| Kontrolinis punktas | Geras atsakymas |
|---|---|
| Taikymo sritis | ISVS taikymo sritis atspindi paslaugas, klientus, duomenis, tiekėjus, išorės sąsajas ir reglamentuojamas priklausomybes |
| Suinteresuotosios šalys | Identifikuotos NIS2, DORA klientai, GDPR vaidmenys, reguliuotojai, klientai, tiekėjai ir vidinės suinteresuotosios šalys |
| Atitikties registras | Teisiniai, reglamentavimo, sutartiniai ir klientų įpareigojimai susieti su politikomis, kontrolės priemonėmis ir savininkais |
| Rizikos kriterijai | Įtraukti teisiniai, operaciniai, privatumo, tiekėjų, atsparumo, finansiniai ir reputaciniai poveikiai |
| Rizikų registras | Kiekviena rizika apima aprašymą, tikimybę, poveikį, balą, savininką, tvarkymo planą ir likutinę riziką |
| SoA įtraukimas | Kiekviena taikytina kontrolės priemonė turi pagrindimą, susietą su rizika, įpareigojimu, taikymo sritimi, sutartimi arba baziniu saugumu |
| SoA išimtis | Kiekviena netaikoma kontrolės priemonė turi konkretų, patvirtintą, įrodymais grindžiamą pagrindimą ir peržiūros paleidiklį |
| Įrodymai | Kiekviena taikytina kontrolės priemonė turi politikos, procedūros, konfigūracijos, ataskaitos, testo, užklausos, žurnalo, peržiūros arba įrašo įrodymų |
| Vadovybės patvirtinimas | Rizikos savininkai patvirtina tvarkymo planus ir liekamąsias rizikas, o vadovybė peržiūri ISVS veiksmingumą |
| Nepriklausoma peržiūra | Vidaus auditas arba nepriklausoma peržiūra testuoja SoA tikslumą, įrodymų kokybę ir įgyvendinimo realybę |
| Atnaujinimo paleidikliai | SoA atnaujinamas po paslaugų pokyčių, tiekėjų pokyčių, incidentų, naujų klientų, reglamentavimo pokyčių arba audito išvadų |
Paverskite SoA pagrįsta atitikties jungtimi
Elenos pristatymas valdybai pavyko, nes ji nepateikė trijų nesusietų atitikties projektų. Ji pateikė vieną valdomą, įrodymais grindžiamą veikimo modelį, sukurtą ISO/IEC 27001:2022 pagrindu, kuriame SoA yra jungtis tarp reglamentavimo, rizikos, kontrolės priemonių įgyvendinimo, įrodymų ir vadovybės priežiūros.
NIS2 ir DORA nepaverčia ISO 27001 pasenusiu. Jos padaro tinkamai parengtą ISO 27001 Taikytinumo pareiškimą vertingesnį. SoA gali tapti viena vieta, kur jūsų organizacija paaiškina, kodėl kontrolės priemonės egzistuoja, kodėl išimtys yra pagrįstos, kaip saugomi įrodymai, kaip valdoma tiekėjų veikla, kaip eskaluojami incidentai ir kaip vadovybė žino, kad ISVS veikia.
Jūsų neatidėliotinas veiksmas yra paprastas:
- Atidarykite dabartinį SoA.
- Pasirinkite penkias kontrolės priemones, pažymėtas kaip taikytinas, ir paklauskite: „Kokia rizika, įpareigojimas arba sutartis tai pagrindžia?“
- Pasirinkite penkias išimtis ir paklauskite: „Ar tai vis dar būtų prasminga NIS2, DORA, GDPR arba ISO/IEC 27001:2022 auditoriui?“
- Patikrinkite, ar kiekviena taikytina kontrolės priemonė turi aktualius įrodymus.
- Patvirtinkite, kad vadovybė patvirtino liekamąsias rizikas ir SoA sprendimus.
- Atnaujinkite atitikties registrą, rizikų registrą ir SoA, kai keičiasi paslaugos, tiekėjai, klientai, reglamentai arba incidentai.
Clarysec padeda organizacijoms tai atlikti per Zenith Blueprint Zenith Blueprint, Zenith Controls Zenith Controls, įmonių ir MVĮ politikų rinkinius, rizikų registro įrankius, SoA šablonus, pasirengimą auditui ir kryžminės atitikties susiejimą NIS2, DORA, GDPR, NIST CSF 2.0, COBIT 2019 ir klientų patikinimui.
Jei jūsų SoA negali atsakyti, kodėl kontrolės priemonė reikalinga, kas yra jos savininkas, kokie įrodymai ją pagrindžia ir kurį įpareigojimą ji palaiko, jis dar neparengtas. Naudokite Clarysec, kad paverstumėte jį auditui tinkama atitikties jungtimi anksčiau, nei reguliuotojas, auditorius arba klientas pirmasis užduos tuos pačius klausimus.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
