NIST CSF 2.0 Govern MVĮ ir ISO 27001 kontekste
Sarah, naujai paskirta sparčiai augančios FinTech MVĮ vyriausioji informacijos saugumo vadovė (CISO), turėjo užrašų lentą, pilną sistemų pavadinimų, ir terminą, kurio negalėjo pakeisti. NIST CSF 2.0. ISO 27001:2022. NIS2. DORA. GDPR. Tiekėjų rizika. Valdybos atskaitomybė. Įmonės kliento deramas patikrinimas.
Priežastis buvo pažįstama: didelio finansinių paslaugų kliento skaičiuoklė. Pirkimų komanda prašė kibernetinio saugumo valdysenos modelio, rizikos apetito, tiekėjų saugumo programos, teisinių ir reguliacinių įpareigojimų susiejimo, incidentų eskalavimo proceso ir suderinimo su ISO 27001:2022 įrodymais.
Generalinei direktorei nereikėjo paskaitos apie atitiktį. Jai reikėjo paprasto atsakymo į sudėtingą klausimą: „Kaip įrodome valdybai, klientams ir reguliuotojams, kad valdome kibernetinę riziką?“
Su šia valdysenos problema susiduria daugelis MVĮ. Kliento klausimynas retai būna tik kliento klausimynas. Dažnai tai penki atitikties pokalbiai, sutalpinti į vieną užklausą. NIST CSF 2.0, ISO/IEC 27001:2022, GDPR, NIS2, DORA grindžiami tiekėjų lūkesčiai, debesijos atsparumas, valdybos priežiūra ir sutartiniai įsipareigojimai slypi toje pačioje įrodymų užklausoje.
Daugelis MVĮ atsako kurdamos atskirus artefaktus: NIST skaičiuoklę, ISO sertifikavimo aplanką, GDPR sekimo priemonę, tiekėjų rizikos registrą ir reagavimo į incidentus planą, kurie tarpusavyje nesusieti. Po šešių mėnesių niekas nebežino, kuris dokumentas yra autoritetingas.
Clarysec požiūris kitoks. Naudokite NIST CSF 2.0 Govern funkciją kaip vykdomosios valdysenos sluoksnį, tada susiekite ją su ISO 27001:2022 politikomis, rizikos tvarkymu, Taikomumo pareiškimu, tiekėjų priežiūra, vadovybės peržiūra ir audito įrodymais. Rezultatas nėra didesnis atitikties darbo krūvis. Tai vienas veiklos modelis, leidžiantis auditoriams, klientams, reguliuotojams ir vadovybei atsakyti naudojant tą patį įrodymų rinkinį.
Kodėl NIST CSF 2.0 Govern funkcija svarbi MVĮ
NIST CSF 2.0 valdyseną iškelia į atskirą funkciją greta Identify, Protect, Detect, Respond ir Recover. Šis pokytis svarbus, nes dauguma MVĮ saugumo nesėkmių kyla ne dėl dar vienos priemonės trūkumo. Jas lemia neaiški atskaitomybė, silpni rizikos sprendimai, nedokumentuotos išimtys, nenuosekli tiekėjų priežiūra ir politikos, kurios kartą buvo patvirtintos, bet niekada netapo veiklos praktika.
NIST CSF 2.0 Govern funkcija klausimą „kokias kontrolės priemones turime?“ pakeičia klausimu „kas yra atskaitingas, kokie įpareigojimai taikomi, kaip prioritetizuojamos rizikos ir kaip peržiūrimi veiklos rezultatai?“
MVĮ atveju Govern rezultatai suteikia praktinį mandatą:
- Suprasti ir valdyti teisinius, reguliacinius, sutartinius, privatumo ir pilietinių laisvių įpareigojimus.
- Nustatyti rizikos apetitą, toleranciją, rizikos įvertinimą balais, prioritetizavimą ir reagavimo į riziką galimybes.
- Apibrėžti kibernetinio saugumo vaidmenis, atsakomybes, įgaliojimus, eskalavimo kelius ir išteklius.
- Nustatyti, komunikuoti, taikyti, peržiūrėti ir atnaujinti kibernetinio saugumo politikas.
- Peržiūrėti kibernetinio saugumo strategiją, veiklos rezultatus ir vadovybės atskaitomybę.
- Valdyti tiekėjų ir trečiųjų šalių kibernetinio saugumo riziką nuo deramo patikrinimo iki sutarties nutraukimo proceso.
Būtent todėl NIST CSF 2.0 Govern yra toks stiprus įėjimo taškas į ISO 27001:2022. NIST suteikia vadovams valdysenos kalbą. ISO 27001:2022 suteikia auditui tinkamą valdymo sistemą.
ISO 27001:2022 4–10 skyriai reikalauja, kad organizacijos suprastų kontekstą, apibrėžtų suinteresuotąsias šalis, nustatytų ISVS taikymo sritį, demonstruotų lyderystę, planuotų rizikos vertinimą ir tvarkymą, palaikytų dokumentuotą informaciją, vykdytų kontrolės priemones, vertintų veiklos rezultatus, atliktų vidaus auditus ir vadovybės peržiūras bei nuolat tobulėtų. A priede pateikiamas kontrolės priemonių pamatinis rinkinys, įskaitant politikas, vadovybės atsakomybes, teisinius įpareigojimus, privatumą, tiekėjų santykius, debesijos paslaugas, incidentų valdymą ir IRT pasirengimą veiklos tęstinumui.
Clarysec Enterprise Informacijos saugumo politika Informacijos saugumo politika nustato:
Organizacija turi palaikyti formalų valdysenos modelį ISVS priežiūrai, suderintą su ISO/IEC 27001 5.1 ir 9.3 skyriais.
Šis Informacijos saugumo politikos 5.1 skyriaus reikalavimas yra praktinis tiltas tarp NIST GV atskaitomybės ir ISO 27001:2022 lyderystės lūkesčių. Valdysena nėra metinis pristatymas. Tai formalus modelis, jungiantis sprendimus, politikas, vaidmenis, rizikas, kontrolės priemones, įrodymus ir peržiūrą.
Pagrindinis susiejimas: NIST CSF 2.0 Govern ir ISO 27001:2022 įrodymai
Greičiausias būdas padaryti NIST CSF 2.0 naudingu – Govern rezultatus paversti politikų savininkyste ir audito įrodymais. Toliau pateikta lentelė yra struktūra, kurią Clarysec taiko su MVĮ, besirengiančiomis ISO 27001:2022 sertifikavimui, įmonės klientų deramo patikrinimo vertinimams, NIS2 pasirengimui, DORA klientų patikinimui ir GDPR atskaitomybei.
| NIST CSF 2.0 Govern sritis | MVĮ valdysenos klausimas | Suderinimas su ISO 27001:2022 | Clarysec politikos atrama | Įrodymai, kurių tikisi auditoriai ir klientai |
|---|---|---|---|---|
| GV.OC, organizacinis kontekstas | Ar žinome savo teisinius, reguliacinius, sutartinius, privatumo ir veiklos įpareigojimus? | 4.1–4.4 skyriai, A priedo 5.31 ir 5.34 | Teisinės ir reguliacinės atitikties politika | Atitikties registras, ISVS taikymo sritis, suinteresuotųjų šalių registras, klientų įpareigojimų žemėlapis, privatumo registras |
| GV.RM, rizikos valdymo strategija | Kaip apibrėžiame, įvertiname balais, prioritetizuojame, priimame ir tvarkome kibernetines rizikas? | 6.1.1–6.1.3, 8.2 ir 8.3 skyriai | Rizikos valdymo politika | Rizikos metodika, rizikų registras, rizikos tvarkymo planas, rizikos savininkų patvirtinimai, SoA susiejimas |
| GV.RR, vaidmenys ir atsakomybės | Kam priklauso kibernetinio saugumo sprendimai, išimtys, ištekliai ir ataskaitų teikimas? | 5.1–5.3 skyriai, A priedo 5.2 ir 5.4 | MVĮ skirta valdysenos vaidmenų ir atsakomybių politika | RACI, vaidmenų aprašai, posėdžių protokolai, išimčių patvirtinimai, mokymų įrašai |
| GV.PO, politika | Ar politikos patvirtintos, komunikuotos, taikomos, peržiūrimos ir atnaujinamos? | 5.2, 7.5 ir 9.3 skyriai, A priedo 5.1 | Informacijos saugumo politika | Politikų registras, patvirtinimų įrašai, versijų istorija, darbuotojų patvirtinimai, politikų peržiūros protokolai |
| GV.OV, priežiūra | Ar kibernetinio saugumo strategija ir veiklos rezultatai peržiūrimi ir koreguojami? | 9.1, 9.2, 9.3, 10.1 ir 10.2 skyriai | Audito ir atitikties stebėsenos politika | KPI suvestinė, vidaus audito planas, vadovybės peržiūros rezultatai, korekciniai veiksmai |
| GV.SC, tiekimo grandinės rizika | Ar tiekėjai žinomi, prioritetizuojami, vertinami, įforminami sutartimis, stebimi ir tinkamai nutraukiami? | A priedo 5.19–5.23 ir 5.30 | MVĮ skirta trečiųjų šalių ir tiekėjų saugumo politika | Tiekėjų apskaita, deramo patikrinimo įrašai, sutartinės nuostatos, žurnalų peržiūra, pasitraukimo planai, incidentų kontaktai |
Šis susiejimas sąmoningai grindžiamas įrodymais. Jis nereikalauja, kad MVĮ sukurtų 40 dokumentų. Jis užduoda penkis veiklos klausimus:
- Koks sprendimas priimamas?
- Kas yra jo savininkas?
- Kuri politika jį reglamentuoja?
- Kuris ISO 27001:2022 skyrius arba A priedo kontrolės priemonė jį palaiko?
- Kokie įrodymai patvirtina, kad tai įvyko?
MVĮ skirta valdysenos vaidmenų ir atsakomybių politika MVĮ skirta valdysenos vaidmenų ir atsakomybių politika šį atsekamumą padaro aiškų:
Visi reikšmingi saugumo sprendimai, išimtys ir eskalavimai turi būti registruojami ir atsekami.
Ši citata paimta iš MVĮ skirtos valdysenos vaidmenų ir atsakomybių politikos 5.5 skyriaus. Ji NIST GV.RR iš valdysenos principo paverčia audituojama veiklos taisykle.
Pradėkite nuo CSF Govern profilio, o ne nuo kontrolės priemonių skaičiuoklės
NIST CSF 2.0 organizaciniai profiliai padeda organizacijoms aprašyti esamus ir tikslinius kibernetinio saugumo rezultatus. MVĮ kontekste profilis yra vieta, kur valdysena tampa valdoma.
Praktinis Govern profilio seminaras turi atsakyti į penkis klausimus:
- Kas patenka į taikymo sritį: visa įmonė, SaaS platforma, reguliuojamas produktas ar kliento aplinka?
- Kokie įpareigojimai lemia profilį: klientų sutartys, GDPR, NIS2 poveikis, DORA grindžiami klientų lūkesčiai, ISO 27001:2022 sertifikavimas ar investuotojų deramas patikrinimas?
- Ką įrodo dabartiniai įrodymai, o ne kuo žmonės tiki, kad tai egzistuoja?
- Kokia tikslinė būsena realistiška per artimiausias 90 dienų ir artimiausius 12 mėnesių?
- Kurios rizikos, politikos, tiekėjai ir SoA įrašai turi keistis?
Zenith Blueprint: auditoriaus 30 žingsnių veiksmų planas Zenith Blueprint tai palaiko ISVS pagrindo ir lyderystės fazėje, 6 žingsnyje „Dokumentuota informacija ir ISVS bibliotekos kūrimas“. Jame rekomenduojama SoA parengti anksti ir naudoti jį kaip kontrolės priemonių biblioteką:
✓ Papildomos kontrolės priemonės: ar yra kontrolės priemonių už A priedo ribų, kurias galėtumėte įtraukti? ISO 27001 leidžia į SoA įtraukti kitas kontrolės priemones. Pavyzdžiui, galbūt norite įtraukti atitiktį NIST CSF arba konkrečias privatumo kontrolės priemones iš ISO 27701. Apskritai A priedas yra išsamus, tačiau galite pridėti bet kokias unikalias kontrolės priemones, kurias planuojate
✓ Naudokite skaičiuoklę (SoA Builder): praktinis būdas – jau dabar parengti SoA skaičiuoklę. Parengėme SoA_Builder.xlsx šabloną, kuriame išvardytos visos A priedo kontrolės priemonės su taikytinumo, įgyvendinimo būsenos ir pastabų stulpeliais.
MVĮ tai svarbu. Nereikia prievarta talpinti NIST CSF 2.0 į ISO A priedą taip, lyg jie būtų tapatūs. CSF Govern rezultatus galite įtraukti kaip papildomus valdysenos reikalavimus į savo SoA biblioteką, susieti juos su ISO 27001:2022 skyriais ir A priedo kontrolės priemonėmis ir naudoti vadovybės peržiūrai, tiekėjų valdysenai, rizikos ataskaitoms ir atitikties stebėsenai gerinti.
Sukurkite Govern įrodymų registrą
Govern įrodymų registras yra praktinė priemonė, kuri sistemas paverčia įrodymais. Jis turi susieti kiekvieną NIST rezultatą su ISO nuoroda, politikos savininku, įrodymo elementu, peržiūros periodiškumu, spraga ir veiksmu.
| Laukas | Pavyzdinis įrašas |
|---|---|
| CSF rezultatas | GV.OC-03 |
| Valdysenos klausimas | Ar teisiniai, reguliaciniai, sutartiniai, privatumo ir pilietinių laisvių įpareigojimai suprasti ir valdomi? |
| ISO 27001:2022 nuoroda | 4.2, 4.3 ir 6.1.3 skyriai, A priedo 5.31 ir 5.34 |
| Clarysec politika | Teisinės ir reguliacinės atitikties politika |
| Įrodymo savininkas | Atitikties vadovas |
| Įrodymas | Atitikties registras v1.4, klientų įpareigojimų žemėlapis, GDPR tvarkymo registras |
| Peržiūros periodiškumas | Kas ketvirtį ir įvykus naujiems rinkos, kliento ar produkto pokyčiams |
| Spraga | DORA klientų perduodamos sąlygos nesusietos su tiekėjų sutartimis |
| Veiksmas | Atnaujinti tiekėjo sutarties šabloną ir SoA pastabas |
| Įvykdymo terminas | 30 dienų |
Clarysec Enterprise Teisinės ir reguliacinės atitikties politika Teisinės ir reguliacinės atitikties politika nustato valdantįjį reikalavimą:
Visi teisiniai ir reguliaciniai įpareigojimai turi būti susieti su konkrečiomis politikomis, kontrolės priemonėmis ir savininkais informacijos saugumo valdymo sistemoje (ISVS).
Tai yra Teisinės ir reguliacinės atitikties politikos 6.2.1 skyrius. MVĮ atveju MVĮ skirta teisinės ir reguliacinės atitikties politika MVĮ skirta teisinės ir reguliacinės atitikties politika prideda praktinį kryžminio susiejimo reikalavimą:
Kai reglamentas taikomas kelioms sritims (pvz., GDPR taikomas saugojimui, saugumui ir privatumui), tai turi būti aiškiai susieta atitikties registre ir mokymų medžiagoje.
Ši citata paimta iš MVĮ skirtos teisinės ir reguliacinės atitikties politikos 5.2.2 skyriaus. Kartu šie skyriai GV.OC-03 paverčia valdomu, peržiūrimu ir auditui tinkamu procesu.
Susiekite rizikos įvertinimą balais su rizikos tvarkymu ir SoA
NIST GV.RM reikalauja rizikos tikslų, rizikos apetito, rizikos tolerancijos, standartizuoto rizikos skaičiavimo, reagavimo galimybių ir komunikacijos linijų. ISO 27001:2022 tai įgyvendina per rizikos vertinimą, rizikos tvarkymą, rizikos savininko patvirtinimą, liekamosios rizikos priėmimą ir Taikomumo pareiškimą.
MVĮ skirta rizikos valdymo politika MVĮ skirta rizikos valdymo politika yra sąmoningai konkreti:
Kiekviename rizikos įraše turi būti: aprašymas, tikimybė, poveikis, balas, savininkas ir rizikos tvarkymo planas.
Tai paimta iš MVĮ skirtos rizikos valdymo politikos 5.1.2 skyriaus. Enterprise Rizikos valdymo politika Rizikos valdymo politika sustiprina sąsają su SoA:
Taikomumo pareiškimas (SoA) turi atspindėti visus tvarkymo sprendimus ir būti atnaujinamas kaskart, kai keičiama kontrolės priemonių aprėptis.
Tai yra Rizikos valdymo politikos 5.4 skyrius.
Apsvarstykime realią MVĮ riziką: neteisėta prieiga prie produkcinių klientų duomenų dėl nenuoseklaus MFA taikymo debesijos administravimo paskyrose.
Tvirtas Govern susiejimas apimtų:
- NIST GV.RM standartizuotai rizikos dokumentacijai ir prioritetizavimui.
- NIST GV.RR vaidmenų savininkystei ir įgaliojimams taikyti prieigos kontrolę.
- NIST GV.PO politikos taikymui ir peržiūrai.
- ISO 27001:2022 6.1.2, 6.1.3, 8.2 ir 8.3 skyrius.
- A priedo kontrolės priemones, skirtas prieigos kontrolei, tapatybės valdymui, autentifikavimo informacijai, žurnalavimui, stebėsenai, konfigūracijai ir debesijos paslaugoms.
- Įrodymus, tokius kaip rizikų registro įrašas, MFA konfigūracijos eksportas, išimties patvirtinimas, debesijos IAM peržiūra, vadovybės peržiūros sprendimas ir atnaujinta SoA pastaba.
Zenith Blueprint, rizikos valdymo fazės 13 žingsnyje „Rizikos tvarkymo planavimas ir Taikomumo pareiškimas“, paaiškina sąsają:
✓ Užtikrinkite suderinimą su savo rizikų registru: kiekviena riziką mažinanti kontrolės priemonė, kurią įrašėte į rizikos tvarkymo planą, turi atitikti A priedo kontrolės priemonę, pažymėtą kaip „Taikoma“. Ir atvirkščiai, jei kontrolės priemonė pažymėta kaip taikoma, turėtumėte turėti riziką arba reikalavimą, kuris ją pagrindžia.
Tai skirtumas tarp teiginio „naudojame MFA“ ir įrodymo „turime valdomą, rizika grindžiamą, su ISO 27001:2022 suderintą MFA pagrindimą, su įrodymais, savininku ir peržiūros periodiškumu“.
Valdykite tiekėjų riziką neperkraudami programos
NIST GV.SC yra viena naudingiausių Govern funkcijos dalių MVĮ, nes šiuolaikinės MVĮ labai priklauso nuo tiekėjų: debesijos paslaugų teikėjų, mokėjimų procesorių, HR platformų, pagalbos tarnybos sistemų, kodo saugyklų, CI/CD įrankių, stebėsenos priemonių ir valdomų saugumo paslaugų.
ISO 27001:2022 A priedas tai palaiko per tiekėjų ir debesijos kontrolės priemones, įskaitant 5.19 Informacijos saugumas santykiuose su tiekėjais, 5.20 Informacijos saugumo aptarimas tiekėjų susitarimuose, 5.21 Informacijos saugumo valdymas IRT tiekimo grandinėje, 5.22 Tiekėjų paslaugų stebėsena, peržiūra ir pakeitimų valdymas, 5.23 Informacijos saugumas naudojant debesijos paslaugas ir 5.30 IRT pasirengimas veiklos tęstinumui.
MVĮ skirta trečiųjų šalių ir tiekėjų saugumo politika MVĮ skirta trečiųjų šalių ir tiekėjų saugumo politika aiškiai nustato įrodymų reikalavimą:
Šios peržiūros turi būti dokumentuojamos ir saugomos kartu su tiekėjo įrašu. Tolesni veiksmai turi būti aiškiai sekami.
Tai yra MVĮ skirtos trečiųjų šalių ir tiekėjų saugumo politikos 6.3.2 skyrius.
Supaprastintas MVĮ tiekėjų modelis gali naudoti tris lygius:
| Tiekėjo lygis | Kriterijai | Minimalūs įrodymai | Peržiūros periodiškumas |
|---|---|---|---|
| Kritinis | Palaiko produkcinę aplinką, klientų duomenis, autentifikavimą, saugumo stebėseną, mokėjimų srautą arba reguliuojamų paslaugų teikimą | Deramo patikrinimo klausimynas, sutartinės saugumo nuostatos, SLA, incidentų kontaktas, pasitraukimo planas, rizikos peržiūra | Kasmet ir įvykus esminiam pokyčiui |
| Svarbus | Palaiko verslo operacijas arba vidinę jautrią informaciją, bet ne tiesioginį kritinės paslaugos teikimą | Saugumo santrauka, duomenų tvarkymo sąlygos, prieigos peržiūra, rizikos priėmimas, jei yra spragų | Kas 18 mėnesių |
| Standartinis | Mažos rizikos priemonės be jautrių duomenų ar kritinės priklausomybės | Verslo savininko patvirtinimas, bazinė duomenų ir prieigos patikra | Įtraukiant ir atnaujinant |
Šis paprastas modelis palaiko NIST GV.SC, ISO 27001:2022 tiekėjų kontrolės priemones, klientų deramą patikrinimą ir DORA grindžiamus sutartinius finansų klientų lūkesčius.
Tiekėjų sutarčių nutraukimo procesui reikia skirti ypatingą dėmesį. NIST GV.SC tikisi valdysenos per visą tiekėjo gyvavimo ciklą, įskaitant santykių pabaigą. Įrodymai turi apimti duomenų grąžinimą arba ištrynimą, prieigos pašalinimą, paslaugos perėjimo planavimą, saugomus sutarties įrašus ir liekamosios rizikos peržiūrą.
Naudokite Zenith Controls kryžminei atitikčiai, o ne kaip atskirą kontrolės priemonių rinkinį
Clarysec Zenith Controls: kryžminės atitikties vadovas Zenith Controls yra kryžminės atitikties vadovas, skirtas ISO/IEC 27002:2022 kontrolės temoms susieti su keliomis sistemomis ir audito perspektyvomis. Tai nėra atskiros „Zenith kontrolės priemonės“. Tai ISO/IEC 27002:2022 kontrolės priemonės, analizuojamos Zenith Controls viduje kryžminės atitikties naudojimui.
NIST CSF 2.0 Govern kontekste ypač svarbios trys ISO/IEC 27002:2022 kontrolės sritys:
| ISO/IEC 27002:2022 kontrolės sritis Zenith Controls | NIST CSF 2.0 Govern sąsaja | Praktinė MVĮ interpretacija |
|---|---|---|
| 5.1 Informacijos saugumo politikos | GV.PO | Politikos turi būti patvirtintos, komunikuotos, taikomos, peržiūrimos ir atnaujinamos, kai keičiasi grėsmės, technologijos, teisė ar verslo tikslai |
| 5.4 Vadovybės atsakomybės | GV.RR ir GV.OV | Saugumo atsakomybės turi būti priskirtos vadovybės ir veiklos lygmenimis, numatant išteklius, ataskaitų teikimą ir peržiūrą |
| 5.31 Teisiniai, įstatyminiai, reguliaciniai ir sutartiniai reikalavimai | GV.OC-03 | Įpareigojimai turi būti identifikuoti, susieti su kontrolės priemonėmis ir savininkais, stebimi dėl pokyčių ir pagrįsti įrodymais |
Zenith Blueprint, fazės „Kontrolės priemonės praktikoje“ 22 žingsnyje „Organizacinės kontrolės priemonės“, pateikia veiklos modelį:
Formalizuokite informacijos saugumo valdyseną
Užtikrinkite, kad jūsų informacijos saugumo politikos (5.1) būtų užbaigtos, patvirtintos ir valdomos pagal versijų kontrolę. Kiekvienai politikos sričiai (pvz., prieigai, šifravimui, atsarginėms kopijoms) priskirkite įvardytus savininkus ir dokumentuokite vaidmenis ir atsakomybes visoje ISVS (5.2). Peržiūrėkite pareigų atskyrimą (5.3) didelės rizikos srityse, tokiose kaip finansai, sistemų administravimas ir pakeitimų kontrolė. Parenkite paprastą valdysenos žemėlapį, rodantį, kas tvirtina, kas įgyvendina ir kas stebi saugumo politiką.
Šis valdysenos žemėlapis yra vienas vertingiausių artefaktų, kuriuos gali sukurti MVĮ. Jis atsako į NIST GV.RR, ISO 27001:2022 lyderystės reikalavimus, NIS2 vadovybės atskaitomybės lūkesčius ir klientų klausimus, kam priklauso kibernetinė rizika.
Vienas valdysenos modelis NIS2, DORA, GDPR, NIST ir ISO
Govern funkcija tampa vertingiausia tada, kai MVĮ susiduria su persidengiančiais reikalavimais.
NIS2 reikalauja, kad į taikymo sritį patenkantys esminiai ir svarbūs subjektai taikytų tinkamas ir proporcingas kibernetinio saugumo rizikos valdymo priemones. Ji taip pat nustato valdymo organų atsakomybę patvirtinti kibernetinio saugumo rizikos valdymo priemones, prižiūrėti įgyvendinimą ir dalyvauti mokymuose. NIST GV.RR palaiko vadovybės atskaitomybę. GV.RM palaiko rizika grindžiamas priemones. GV.SC palaiko tiekimo grandinės saugumą. GV.PO palaiko politikas. GV.OV palaiko veiklos rezultatų peržiūrą.
NIS2 incidentų valdysena taip pat įveda etapinius pranešimų lūkesčius, įskaitant ankstyvąjį perspėjimą per 24 valandas, pranešimą apie incidentą per 72 valandas ir galutinę ataskaitą per vieną mėnesį reikšmingų incidentų atveju. Šie terminai turi atsispindėti reagavimo į incidentus procedūrose, eskalavimo keliuose, komunikacijos planuose ir vadovybės ataskaitose.
DORA taikomas nuo 2025 m. sausio 17 d. ES finansų subjektams, tačiau daugelis MVĮ jo poveikį pajunta per klientų sutartis. Finansų klientai gali perduoti DORA reikalavimus IRT paslaugų teikėjams, programinės įrangos tiekėjams, valdomų paslaugų teikėjams ir nuo debesijos priklausomiems tiekėjams. DORA orientuotas į IRT rizikos valdymą, valdymo organo atsakomybę, pranešimą apie incidentus, atsparumo testavimą, trečiųjų šalių IRT riziką, sutartinius reikalavimus ir priežiūrą.
GDPR prideda atskaitomybę už asmens duomenų tvarkymą. MVĮ turi suprasti, ar jos yra duomenų valdytojai, duomenų tvarkytojai, ar abu, kokius asmens duomenis jos tvarko, kokios sistemos ir tiekėjai dalyvauja, kokie teisiniai pagrindai taikomi ir kurie incidentų scenarijai galėtų tapti asmens duomenų saugumo pažeidimais.
Zenith Blueprint, rizikos valdymo fazės 14 žingsnyje, rekomenduoja DORA, NIS2 ir GDPR reikalavimus kryžmiškai susieti su ISO 27001:2022 kontrolės priemonių rinkiniu:
Kiekvienam reglamentui, jei jis taikomas, galite sukurti paprastą susiejimo lentelę (ji gali būti ataskaitos priedas), kurioje išvardyti pagrindiniai reglamento saugumo reikalavimai ir atitinkamos kontrolės priemonės / politikos jūsų ISVS. Tai nėra privaloma pagal ISO 27001, bet tai naudinga vidinė praktika siekiant užtikrinti, kad niekas neliko nepastebėta.
Praktinis kryžminės atitikties žemėlapis gali atrodyti taip:
| Valdysenos reikalavimas | NIST CSF 2.0 Govern | ISO 27001:2022 atrama | NIS2, DORA, GDPR aktualumas | Pagrindiniai įrodymai |
|---|---|---|---|---|
| Vadovybės atskaitomybė | GV.RR ir GV.OV | 5.1, 5.3 ir 9.3 skyriai, A priedo 5.4 | NIS2 valdymo organo priežiūra, DORA valdymo organo atsakomybė | Valdysenos žemėlapis, RACI, vadovybės peržiūros protokolai |
| Teisiniai ir sutartiniai įpareigojimai | GV.OC-03 | 4.2, 4.3 ir 6.1.3 skyriai, A priedo 5.31 ir 5.34 | GDPR atskaitomybė, NIS2 teisinė taikymo sritis, DORA sutartinės perduodamos sąlygos | Atitikties registras, klientų įpareigojimų žemėlapis, privatumo registras |
| Rizika grindžiamos saugumo priemonės | GV.RM | 6.1.2, 6.1.3, 8.2 ir 8.3 skyriai | NIS2 rizikos priemonės, DORA IRT rizikos sistema, GDPR tvarkymo saugumas | Rizikų registras, rizikos tvarkymo planas, SoA |
| Tiekėjų valdysena | GV.SC | A priedo 5.19–5.23 ir 5.30 | NIS2 tiekimo grandinės saugumas, DORA trečiųjų šalių IRT rizika, GDPR duomenų tvarkytojai | Tiekėjų apskaita, deramas patikrinimas, sutartys, žurnalų peržiūra |
| Politikų valdysena | GV.PO | 5.2 skyrius ir A priedo 5.1 | Visos sistemos tikisi dokumentuotų, patvirtintų ir komunikuotų taisyklių | Politikų registras, versijų istorija, patvirtinimai |
| Auditas ir tobulinimas | GV.OV | 9.1, 9.2, 9.3, 10.1 ir 10.2 skyriai | DORA testavimas ir trūkumų šalinimas, NIS2 veiksmingumas, GDPR atskaitomybė | Vidaus audito ataskaitos, KPI, korekciniai veiksmai |
Vertė slypi efektyvume. Viena tinkamai valdoma ISO 27001:2022 ISVS, vadovaujama NIST CSF 2.0 Govern, gali vienu metu generuoti pakartotinai naudojamus įrodymus kelioms sistemoms.
Auditoriaus požiūris: kaip įrodyti, kad valdysena reali
Lentynoje esanti politika nėra valdysena. Auditoriai ir vertintojai ieško auksinės gijos: aukšto lygio politikos, apibrėžto proceso, veiklos įrašo, vadovybės peržiūros ir tobulinimo veiksmo.
Skirtingi vertintojai šią giją tikrins skirtingai.
| Auditoriaus perspektyva | Į ką jie sutelks dėmesį | Įrodymai, kurie veikia gerai |
|---|---|---|
| ISO 27001:2022 auditorius | Ar valdysena įtvirtinta ISVS, ar rizikos tvarkymas atsekamas, ar SoA sprendimai pagrįsti ir ar dokumentuota informacija kontroliuojama | ISVS taikymo sritis, politikų registras, rizikų registras, SoA, vadovybės peržiūros protokolai, vidaus audito ataskaitos, korekciniai veiksmai |
| NIST CSF 2.0 vertintojas | Ar egzistuoja esamos ir tikslinės būsenos profiliai, ar spragos prioritetizuotos ir ar Govern rezultatai susieti su veiklos rizika ir priežiūra | CSF profilis, spragų analizė, POA&M, rizikos apetito pareiškimas, vadovybės suvestinė, tiekėjų tikslinis profilis |
| COBIT 2019 arba ISACA tipo auditorius | Ar apibrėžti valdysenos tikslai, sprendimų teisės, veiklos rodikliai, kontrolės priemonių savininkystė ir patikinimo veiklos | Valdysenos žemėlapis, RACI, KPI ir KRI suvestinė, kontrolės priemonių savininkų patvirtinimai, audito planas, problemų sekimas |
| GDPR vertintojas | Ar privatumo įpareigojimai identifikuoti, ar tvarkymas susietas, ar saugumo apsaugos priemonės tinkamos ir ar yra atskaitomybės įrodymų | Tvarkymo registras, teisinio pagrindo susiejimas, DPIA, kai reikia, reagavimo į pažeidimus procesas, tiekėjų duomenų tvarkymo sąlygos |
| Kliento saugumo vertintojas | Ar MVĮ gali be perteklinio delsimo įrodyti veiklos saugumą, tiekėjų kontrolę, pasirengimą incidentams ir vykdomosios vadovybės atskaitomybę | Įrodymų paketas, politikos, tiekėjų peržiūros, incidentų stalo pratybų rezultatai, prieigos peržiūros, atsarginių kopijų testai, saugumo veiksmų planas |
Clarysec Enterprise Valdysenos vaidmenų ir atsakomybių politika Valdysenos vaidmenų ir atsakomybių politika nustato:
Valdysena turi palaikyti integraciją su kitomis disciplinomis (pvz., rizika, teise, IT, HR), o ISVS sprendimai turi būti atsekami iki jų šaltinio (pvz., audito įrašų, peržiūros žurnalų, posėdžių protokolų).
Tai yra Valdysenos vaidmenų ir atsakomybių politikos 5.5 skyrius. Jis apima kryžminės atitikties esmę: valdysenos sprendimai turi būti atsekami.
MVĮ skirta audito ir atitikties stebėsenos politika MVĮ skirta audito ir atitikties stebėsenos politika prideda kritiškai svarbią įrodymų discipliną:
Metaduomenys (pvz., kas juos surinko, kada ir iš kurios sistemos) turi būti dokumentuojami.
Ši citata paimta iš MVĮ skirtos audito ir atitikties stebėsenos politikos 6.2.3 skyriaus. Įrodymų metaduomenys dažnai atskiria ekrano kopijų aplanką nuo audito lygio įrodymų.
Enterprise Audito ir atitikties stebėsenos politika Audito ir atitikties stebėsenos politika prideda programos lygmens reikalavimą:
Organizacija turi palaikyti struktūrizuotą audito ir atitikties stebėsenos programą, integruotą į ISVS, apimančią:
Tai yra Audito ir atitikties stebėsenos politikos 5.1 skyrius. Valdysenos pasekmė tiesioginė: auditas nėra kasmetinis chaotiškas pasiruošimas. Jis yra ISVS operacijų dalis.
Dažnos MVĮ klaidos susiejant NIST Govern su ISO 27001:2022
Pirmoji klaida – perteklinis dokumentavimas be savininkystės. MVĮ parašo politikas, bet nepriskiria savininkų rizikos tvarkymui, tiekėjų peržiūroms, išimčių patvirtinimams ar vadovybės ataskaitoms.
Antroji klaida – teisinių įpareigojimų traktavimas kaip atskiro dalyko nuo ISVS. NIST GV.OC-03 reikalauja, kad įpareigojimai būtų suprasti ir valdomi. ISO 27001:2022 reikalauja, kad ISVS būtų atsižvelgta į atitinkamus suinteresuotųjų šalių reikalavimus ir teisinius, reguliacinius bei sutartinius įpareigojimus.
Trečioji klaida – silpnas SoA pagrindimas. SoA nėra tik taikomų kontrolės priemonių sąrašas. Tai loginė byla, paaiškinanti, kodėl kontrolės priemonės įtrauktos, neįtrauktos arba įgyvendintos.
Ketvirtoji klaida – trūkstami tiekėjo gyvavimo ciklo įrodymai. Tiekėjų valdysena apima įtraukimą, sutartis, stebėseną, incidentus, pakeitimus ir sutarties nutraukimo procesą.
Penktoji klaida – neatnaujinamas tikslinės būsenos profilis. CSF profilis turi keistis, kai verslas įžengia į naują geografiją, pasirašo svarbų klientą, pasitelkia kritinį tiekėją, paleidžia reguliuojamą produktą, pakeičia debesijos architektūrą arba patiria incidentą.
30 dienų NIST CSF 2.0 Govern veiksmų planas MVĮ
Jei MVĮ reikia judėti greitai, pradėkite nuo sutelkto 30 dienų įgyvendinimo plano.
| Dienos | Veikla | Rezultatas |
|---|---|---|
| 1–3 | Apibrėžti CSF Govern taikymo sritį ir surinkti esamas politikas, sutartis, rizikos įrašus, tiekėjų sąrašus ir audito įrodymus | Taikymo srities pastaba ir įrodymų apskaita |
| 4–7 | Sukurti Govern įrodymų registrą GV.OC, GV.RM, GV.RR, GV.PO, GV.OV ir GV.SC | Esamos būsenos profilis ir pradinės spragos |
| 8–12 | Susieti įpareigojimus su ISO 27001:2022 politikomis, A priedo kontrolės sritimis ir savininkais | Atitikties registras ir politikų savininkystės žemėlapis |
| 13–17 | Atnaujinti rizikų registrą ir rizikos tvarkymo planą, tada suderinti SoA įrašus | Rizikų registras, tvarkymo planas, SoA atnaujinimai |
| 18–22 | Prioritetizuoti tiekėjų valdyseną, įskaitant kritinių tiekėjų klasifikavimą, sutarčių spragas ir peržiūros įrodymus | Tiekėjų rizikos registras ir veiksmų sekimo priemonė |
| 23–26 | Parengti audito įrodymų paketą su metaduomenimis, patvirtinimais, peržiūros žurnalais ir vadovybės sprendimais | Įrodymų paketas ir audito indeksas |
| 27–30 | Atlikti vadovybės peržiūrą ir patvirtinti tikslinės būsenos profilio veiksmų planą | Vadovybės peržiūros protokolai, sprendimai, veiksmų planas |
Šis planas sukuria pakankamai valdysenos įrodymų rimtiems klientų ir audito klausimams atsakyti, kartu formuodamas pagrindą ISO 27001:2022 sertifikavimui, NIS2 pasirengimui, DORA klientų patikinimui ir GDPR atskaitomybei.
Praktinis rezultatas: viena valdysenos istorija, daug atitikties panaudojimo būdų
Kai Sarah grįžta į valdybą, ji nebeturi penkių atskirų atitikties darbų srautų. Ji turi vieną valdysenos istoriją.
NIST CSF 2.0 Govern rezultatai susieti su ISO 27001:2022 politikomis, savininkais, rizikomis, kontrolės priemonėmis ir įrodymais. ISVS taikymo sritis apima klientų, tiekėjų, debesijos, teisines, reguliacines, privatumo ir sutartines priklausomybes. Rizikų registras lemia tvarkymo sprendimus ir SoA taikomumą. Politikos patvirtintos, valdomos pagal versijų kontrolę, turi savininkus, yra komunikuotos ir peržiūrimos. Tiekėjų rizikos skirstomos į lygius, įforminamos sutartimis, stebimos ir sekamos. GDPR tvarkymo įpareigojimai, NIS2 atskaitomybės lūkesčiai ir DORA klientų perduodami reikalavimai susiejami, kai taikoma. Audito įrodymai apima metaduomenis, sprendimų įrašus ir vadovybės peržiūros rezultatus.
Taip atrodo valdysena, kai ji veikia veiklos lygmeniu.
Kitas žingsnis: sukurkite savo MVĮ Govern įrodymų paketą su Clarysec
Jei rengiatės ISO 27001:2022, atsakote į įmonės kliento deramo patikrinimo užklausą, susiejate NIST CSF 2.0 Govern rezultatus arba bandote suderinti NIS2, DORA ir GDPR nekurdami atskirų programų, pradėkite nuo valdysenos sluoksnio.
Clarysec gali padėti jums sukurti:
- NIST CSF 2.0 Govern esamos ir tikslinės būsenos profilį.
- ISO 27001:2022 politikų ir SoA susiejimą.
- Kryžminės atitikties įpareigojimų registrą naudojant Zenith Controls Zenith Controls.
- 30 žingsnių ISVS įgyvendinimo veiksmų planą naudojant Zenith Blueprint Zenith Blueprint.
- MVĮ tinkamus politikų įrodymus naudojant Clarysec politikų įrankių rinkinį, įskaitant MVĮ skirtą valdysenos vaidmenų ir atsakomybių politiką MVĮ skirta valdysenos vaidmenų ir atsakomybių politika, MVĮ skirtą rizikos valdymo politiką MVĮ skirta rizikos valdymo politika, MVĮ skirtą teisinės ir reguliacinės atitikties politiką MVĮ skirta teisinės ir reguliacinės atitikties politika, MVĮ skirtą trečiųjų šalių ir tiekėjų saugumo politiką MVĮ skirta trečiųjų šalių ir tiekėjų saugumo politika ir MVĮ skirtą audito ir atitikties stebėsenos politiką MVĮ skirta audito ir atitikties stebėsenos politika.
Greičiausias kelias nėra dar viena skaičiuoklė. Tai valdoma, rizika grindžiama ir įrodymams parengta ISVS, leidžianti jūsų MVĮ užtikrintai atsakyti į vieną klausimą:
Ar galite įrodyti, kad kibernetinis saugumas yra valdomas, turi savininkus, yra peržiūrimas ir nuolat tobulinamas?
Su Clarysec atsakymas tampa „taip“.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
