Kiekybinis kibernetinės rizikos vertinimas pagal NIS2 ir DORA
Valdybos posėdis, kuriame „didelė rizika“ nebebuvo pakankama
Antradienis, 08:15. Sparčiai augančios finansinių technologijų bendrovės vyriausiasis informacijos saugumo vadovas (CISO) stovi prie valdybos posėdžių salės su trimis tos pačios kibernetinės rizikos istorijos versijomis.
Pirmoji versija pažįstama: išpirkos reikalaujančių programų rizika yra „didelė“, debesijos sutrikimo rizika yra „didelė“, tiekėjo kompromitavimo rizika yra „vidutinė“, netinkamo privilegijuotosios prieigos naudojimo rizika yra „didelė“. Ji pagrįsta, suderinta su esamu rizikų registru ir beveik nenaudinga sprendimui, kurį turi priimti valdyba.
Antroji versija – techninis veiksmų planas: įdiegti nekintamas atsargines kopijas, pagerinti tapatybių kontrolės priemones, finansuoti atsparumo testavimą, sustiprinti tiekėjų stebėseną ir išplėsti žurnalų aprėptį. Tai pagrįsta, tačiau finansų direktorius užduoda klausimą, kuris pakeičia posėdžio eigą: „Kuris iš šių veiksmų labiausiai sumažina verslo riziką vienam eurui?“
Trečioji versija pakeičia diskusiją.
12 valandų mokėjimų orkestravimo platformos sutrikimas vertinamas kaip €620,000 bendras operacinis, sutartinis ir pajamų poveikis. Dabartinė metinė rizikos ekspozicija vertinama €186,000. €74,000 atsparumo priemonių paketas gali sumažinti tikėtiną metinį nuostolį iki maždaug €62,000. Likutinė rizikos ekspozicija vis dar viršija tolerancijos lygį, nes paslauga palaiko kritinę arba svarbią funkciją, klientų informavimo ekspozicija išlieka reikšminga, o priklausomybė nuo trečiųjų šalių yra didelė.
Dabar valdyba nediskutuoja apie spalvas. Ji svarsto finansinę rizikos ekspoziciją, rizikos toleranciją, reguliacinę atskaitomybę ir investicijų prioritetus.
Tai ir yra kiekybinis kibernetinės rizikos vertinimas 2026 m. Tai nėra matematinis teatras. Tai nėra apsimetimas, kad kibernetinius įvykius galima prognozuoti visiškai tiksliai. Tai disciplinuotas perėjimas nuo „čia raudona“ prie „tai yra tikėtina finansinė rizikos ekspozicija, tai yra pasitikėjimo lygis, tai yra reguliacinė pasekmė, tai yra rizikos valdymo sprendimas ir tai yra įrodymų pėdsakas“.
CISO, atitikties vadovams, auditoriams ir verslo savininkams šis pokytis praktiškai tampa privalomas. ISO/IEC 27001:2022 reikalauja dokumentuoto, nuoseklaus ir palyginamo rizikos vertinimo ir valdymo proceso. NIS2 kibernetinio saugumo riziką perkelia į valdymo organo patvirtinimo, priežiūros, mokymų ir atsakomybės sritį. DORA finansų subjektams IRT rizikos valdyseną, atsparumo testavimą, incidentų klasifikavimą, trečiųjų šalių riziką ir vadovybės atskaitomybę paverčia pagrindiniais reikalavimais. NIST CSF 2.0 vadovybei suteikia valdysenos kalbą rizikos apetitui, prioritetizavimui ir priežiūrai. GDPR prideda atskaitomybę, kai tvarkomi asmens duomenys.
Spraga nėra tai, kad organizacijos neturi rizikų registrų. Spraga yra tai, kad daugelis rizikų registrų negali paaiškinti piniginio poveikio, prioritetų, valdybos atskaitomybės ar audito įrodymų.
Clarysec požiūris užpildo šią spragą, sujungdamas Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint, Clarysec politikas ir Zenith Controls: The Cross-Compliance Guide Zenith Controls į vieną praktinį įrodymų modelį: kiekybiškai įvertinti tai, kas svarbu, susieti su kontrolės priemonėmis, parodyti, kas priėmė riziką, ir įrodyti, kad rizikos valdymo priemonės veikė.
Kodėl kokybinių rizikų registrų nebepakanka
Kokybinis rizikos vertinimas vis dar svarbus. Aiški tikimybės ir poveikio matrica padeda komandoms prioritetizuoti, kai duomenų nepakanka, ypač plačioje ISVS taikymo srityje. Problema prasideda tada, kai organizacija tuo apsiriboja.
Valdyba gali suprasti, kad rizika yra „didelė“, tačiau jai sunku palyginti tris „dideles“ rizikas, konkuruojančias dėl to paties biudžeto. Ar didžiausias prioritetas yra išpirkos reikalaujančių programų scenarijus, debesijos sutrikimas, tiekėjo koncentracijos rizika ar privilegijuotosios prieigos silpnybė? Atsakymas priklauso nuo finansinės rizikos ekspozicijos, reguliacinio poveikio sunkumo, poveikio klientams, sutartinių įsipareigojimų, paslaugos kritiškumo ir likutinės rizikos po valdymo priemonių įgyvendinimo.
Todėl kiekybinis kibernetinės rizikos vertinimas geriausiai veikia kaip hibridinis modelis. Nereikia kiekybiškai vertinti kiekvienos mažareikšmės problemos. Taikykite kokybinį balų skyrimą visam registrui, o finansinę analizę pridėkite toms rizikoms, kurioms reikia vadovybės sprendimų, investicijų patvirtinimo, sutartinių veiksmų, rizikos perdavimo arba valdybos priežiūros.
Clarysec Enterprise Rizikos valdymo politika Rizikos valdymo politika tai tiesiogiai palaiko. Skyriaus „Politikos įgyvendinimo reikalavimai“ 6.2.3 punkte nurodyta:
„Atsižvelgiant į rizikos kategoriją ir informacijos prieinamumą, gali būti taikomi tiek kokybiniai, tiek kiekybiniai metodai.“
Šis punktas svarbus, nes apsaugo nuo dažnos klaidos – klaidingo tikslumo. Brandžios organizacijos neprivalo taikyti finansinio modeliavimo kiekvienai mažai rizikai. Jos taiko jį ten, kur to reikia sprendimui priimti.
MVĮ pagrindas gali išlikti paprastas. Clarysec SME Rizikos valdymo politika Rizikos valdymo politika - SME, skyriaus „Valdysenos reikalavimai“ 5.1.2 punkte nurodyta:
„Kiekvienas rizikos įrašas turi apimti: aprašymą, tikimybę, poveikį, balą, savininką ir rizikos valdymo planą.“
Tobulinimas nėra šios struktūros pakeitimas. Tobulinimas – svarbiausius įrašus papildyti finansiniais įverčiais, ypač kai susijusi prastova, reguliuojamos paslaugos, asmens duomenys, priklausomybė nuo debesijos, IRT išorės paslaugos arba kritiniai įsipareigojimai klientams.
Valdysenos pokytis: kibernetinė rizika dabar yra valdybos artefaktas
Kibernetinės rizikos kiekybinis vertinimas nėra vien finansų užduotis. Tai valdysenos įrodymas.
Pagal ISO/IEC 27001:2022 organizacija turi nustatyti kontekstą, suinteresuotąsias šalis, teisinius ir sutartinius reikalavimus, taikymo sritį, sąsajas ir priklausomybes. Ji turi apibrėžti informacijos saugumo rizikos vertinimo procesą, kuris duoda nuoseklius, pagrįstus ir palyginamus rezultatus. Ji turi identifikuoti konfidencialumo, vientisumo ir prieinamumo rizikas, nustatyti rizikos savininkus, įvertinti pasekmes ir tikimybę, nustatyti rizikos lygius ir prioritetizuoti rizikas. Tada ji turi parinkti rizikos valdymo būdus, nustatyti kontrolės priemones, palyginti jas su A priedu, parengti Taikytinumo pareiškimą, gauti rizikos savininko patvirtinimą ir išsaugoti dokumentuotą informaciją.
Tai reiškia, kad rizikų registras nėra privati saugumo komandos skaičiuoklė. Tai ISVS įrašas, jungiantis vadovybę, kontrolės priemonių pasirinkimą, rizikos valdymo atskaitomybę ir vadovybės peržiūrą.
NIS2 dar labiau padidina lūkestį. Esminių ir svarbių subjektų valdymo organai turi patvirtinti kibernetinio saugumo rizikos valdymo priemones, prižiūrėti jų įgyvendinimą ir gauti mokymus, kad galėtų suprasti rizikas ir vertinti kibernetinio saugumo praktikas. NIS2 Article 21 reikalauja tinkamų ir proporcingų techninių, operacinių ir organizacinių priemonių, atsižvelgiant į naujausią technikos lygį, įgyvendinimo sąnaudas, rizikos ekspoziciją, subjekto dydį, tikimybę, sunkumą ir visuomeninį bei ekonominį poveikį.
Būtent formuluotė „visuomeninis ir ekonominis poveikis“ suteikia finansiniam kibernetinės rizikos kiekybiniam vertinimui didelę reikšmę. Teikėjui, palaikančiam debesiją, duomenų centrą, DNS, pasitikėjimo paslaugas, valdomas paslaugas, valdomas saugumo paslaugas, skaitmeninę infrastruktūrą, internetines prekyvietes ar kitus į taikymo sritį patenkančius sektorius, gali tekti parodyti ne tik tai, kad kontrolės priemonės egzistuoja, bet ir kodėl jos yra proporcingos rizikos ekspozicijai.
Finansų subjektams DORA taikomas nuo 2025 m. sausio 17 d. ir tampa sektoriui skirtu skaitmeninio operacinio atsparumo režimu. Jis apima IRT rizikos valdymą, pranešimą apie reikšmingus su IRT susijusius incidentus, skaitmeninio operacinio atsparumo testavimą, kibernetinių grėsmių informacijos dalijimąsi, IRT trečiųjų šalių riziką ir kritinių IRT trečiųjų šalių paslaugų teikėjų priežiūrą. Finansų subjektams, kurie pagal nacionalinį NIS2 perkėlimą taip pat laikomi NIS2 subjektais, DORA veikia kaip sektoriui skirtas Sąjungos teisės aktas atitinkamiems IRT rizikos valdymo ir pranešimo apie incidentus klausimams.
Praktiškai finansinių technologijų organizacijai nereikia penkių nesusietų rizikos sistemų. Jai reikia vieno integruoto rizikos modelio, kuris parodytų, kuris režimas taikomas, kokios priklausomybės egzistuoja, kokia finansinė rizikos ekspozicija yra tikėtina ir kaip vadovybė patvirtino bei stebėjo rizikos valdymo priemones.
GDPR prideda dar vieną sluoksnį. Jei susiję asmens duomenys, kibernetinis įvykis gali tapti asmens duomenų saugumo pažeidimu, o ne vien operaciniu incidentu. Rizikos modelis turėtų identifikuoti tvarkymo kontekstą, duomenų valdytojo ar tvarkytojo vaidmenį, duomenų kategorijas, specialių kategorijų duomenis, kai aktualu, saugumo priemones, pažeidimo vertinimo logiką ir pranešimo pasekmes.
Nuo rizikos žemėlapio iki eurų: praktinis hibridinis modelis
Teisingas klausimas nėra „Ar turėtume pakeisti kokybinį rizikos vertinimą?“ Teisingas klausimas yra „Kurios rizikos vertos finansinio kiekybinio įvertinimo?“
Zenith Blueprint Rizikos valdymo fazės 12 žingsnis „Rizikos vertinimo metodai: kokybiniai ir kiekybiniai“ pateikia pragmatišką atsakymą:
„Kiekybinis rizikos vertinimas siekia įvertinti riziką skaitiniais rodikliais (pvz., tikėtinas metinis nuostolis valiuta). Tai dažnai apima:
✓ Istorinių incidentų duomenų rinkimą (pvz., kaip dažnai įvyksta pažeidimas, kokia vidutinė kaina). ✓ Tokių modelių kaip metinis tikėtinas nuostolis (ALE = vienkartinio nuostolio poveikis × metinis įvykio dažnis) arba tokių sistemų kaip FAIR (Factor Analysis of Information Risk) naudojimą sudėtingesnei analizei.“
Tas pats žingsnis įspėja, kad grynai kiekybinė analizė MVĮ gali būti sudėtinga, nes istorinių duomenų gali būti mažai, o procesas gali reikalauti daug išteklių. Praktinis atsakymas – lengvas kiekybinis vertinimas svarbiausioms rizikoms.
| Elementas | Praktinė reikšmė | Pavyzdys |
|---|---|---|
| Vienkartinio nuostolio poveikis | Įvertintas poveikis, jei scenarijus įvyksta vieną kartą | €620,000 už 12 valandų mokėjimų platformos sutrikimą |
| Metinis įvykio dažnis | Įvertintas dažnis per metus | 0.3, t. y. maždaug kartą per 3.3 metų |
| Metinis tikėtinas nuostolis | Vienkartinio nuostolio poveikis, padaugintas iš metinio įvykio dažnio | €186,000 tikėtina metinė rizikos ekspozicija |
| Rizikos valdymo sąnaudos | Kontrolės priemonių paketo kaina | €74,000 už perjungimą į atsarginę aplinką, stebėseną ir testavimą |
| Likutinis metinis tikėtinas nuostolis | Įvertinta metinė rizikos ekspozicija po rizikos valdymo priemonių | €62,000 |
| Sprendimas | Valdyti, perduoti, vengti arba priimti | Valdyti ir peržiūrėti likutinę riziką vadovybės peržiūroje |
Skaičiai neturi būti tobuli. Jie turi būti paaiškinti. Poveikio prielaidos gali apimti pajamų praradimą, SLA kreditus, kompensacijas klientams, reagavimą į incidentus, teisines konsultacijas, skaitmeninę kriminalistiką, viršvalandžius, klientų aptarnavimą, pastangas teikti pranešimus reguliuotojui, klientų praradimą ir reputacinį poveikį. Dažnio prielaidos gali būti grindžiamos vidiniais incidentais, tiekėjų sutrikimų ataskaitomis, grėsmių žvalgyba, sektoriaus patirtimi, pažeidžiamumų ekspozicija, audito išvadomis ir kontrolės priemonių branda.
Zenith Blueprint Rizikos valdymo fazės 10 žingsnis „Rizikos kriterijų ir poveikio matricos nustatymas“ paaiškina, kodėl modelį būtina sukalibruoti:
„Apibrėžiant poveikį, tikslinga lygius susieti su konkrečiu jūsų verslo mastu. Pavyzdžiui, „reikšmingas finansinis poveikis = nuostolis > $100k“ (pritaikykite pagal savo kontekstą). Taip pat atsižvelkite į reglamentavimo poveikį: pavyzdžiui, asmens duomenų pažeidimas gali automatiškai būti „reikšmingas“ arba „sunkus“ dėl GDPR baudų ir pranešimo reikalavimų, net jei tiesioginis finansinis nuostolis neaiškus.“
Tai tiltas tarp kokybinės ir kiekybinės rizikos. „Reikšminga“ tampa prasminga tik tada, kai organizacija apibrėžia, ką reikšminga reiškia finansiniu, operaciniu, teisiniu ir klientų požiūriu.
Praktinis pavyzdys: tiekėjo debesijos sutrikimo rizikos kiekybinis vertinimas
Įsivaizduokite SaaS teikėją, aptarnaujantį finansų sektoriaus klientus. Jis priklauso nuo debesijos prieglobos paslaugų teikėjo, valdomos duomenų bazės platformos, mokėjimų šliuzo ir klientų informavimo paslaugos. Komanda kiekybinei analizei pasirenka vieną scenarijų:
„Ilgalaikis valdomos duomenų bazės platformos sutrikimas sukelia klientams prieinamos paslaugos trikdį ir vėluojantį operacijų apdorojimą.“
1 žingsnis: apibrėžti rizikos scenarijų ir savininką
SME Rizikos valdymo politika reikalauja aprašymo, tikimybės, poveikio, balo, savininko ir rizikos valdymo plano. Enterprise Rizikos valdymo politika, skyriaus „Valdysenos reikalavimai“ 5.2.2 punktas papildo, kad registras:
„Apima rizikos savininkus, poveikio ir tikimybės balus, rizikos valdymo planus, terminus ir kontrolės priemonių nuorodas.“
Savininkas nėra „IT“. Atskaitingas savininkas yra paslaugos savininkas, padedamas CISO, CTO, atitikties vadovo, tiekėjų valdytojo ir finansų funkcijos.
2 žingsnis: įvertinti finansinę rizikos ekspoziciją
Komanda įvertina:
- €35,000 per valandą prarastų operacijų pajamų ir SLA kreditų
- €8,000 per valandą pagalbos, eskalavimo ir incidentų valdymo sąnaudų
- €60,000 klientų taisomųjų veiksmų ir komunikacijos sąnaudų
- €120,000 galimo klientų praradimo arba komercinio poveikio
- 10 valandų kaip tikėtiną sunkų sutrikimą, remiantis tiekėjo istorija ir architektūros peržiūra
Vienkartinio nuostolio poveikis yra:
10 × (€35,000 + €8,000) + €60,000 + €120,000 = €610,000
Dabartinė tikimybė vertinama 0.25 per metus. Metinis tikėtinas nuostolis yra:
€610,000 × 0.25 = €152,500
Siūlomas rizikos valdymo priemonių paketas apima kelių regionų perjungimo į atsarginę aplinką projektą, patikrintą atsarginių kopijų atkūrimą, tiekėjo SLA peržiūrą, sintetinę stebėseną, stalo pratybas ir išėjimo plano atnaujinimą. Pirmųjų metų kaina – €82,000, pasikartojančios sąnaudos – €34,000.
Po įgyvendinimo likutinė tikimybė vertinama 0.10 per metus, o likutinis vienkartinio nuostolio poveikis – €350,000 dėl greitesnio atkūrimo. Likutinis ALE yra:
€350,000 × 0.10 = €35,000
Pirmaisiais metais tikėtinos metinės rizikos ekspozicijos sumažėjimas yra maždaug €117,500, dar neįvertinus reguliacinio atsparumo, klientų pasitikėjimo ir sutartinių naudų.
3 žingsnis: pasirinkti rizikos valdymo būdą ir dokumentuoti pagrindimą
Rizikos valdymas ne visada reiškia vien rizikos mažinimą. Clarysec SME Rizikos valdymo politika, skyriaus „Politikos įgyvendinimo reikalavimai“ 6.1.3 punktas nurodo:
„Perdavimas: naudoti sutartis, paslaugų lygio susitarimus arba draudimą rizikai perduoti išorėje.“
Šiam scenarijui organizacija pasirenka mišrų rizikos valdymą: sumažinti riziką techniniu atsparumu, dalį perduoti per SLA ir sutartines teisių gynimo priemones, o likutinę riziką priimti su vadovybės patvirtinimu.
4 žingsnis: susieti rizikos valdymą su Taikytinumo pareiškimu
Enterprise Rizikos valdymo politika, skyriaus „Taikytinumo pareiškimo (SoA) suderinimas“ 6.5.1 punktas nurodo:
„Kontrolės priemonių sprendimai, kylantys iš rizikos valdymo proceso, turi būti atspindėti SoA.“
Čia finansinis modelis tampa tinkamas auditui. Tiekėjo sutrikimo scenarijus susiejamas su ISO/IEC 27001:2022 A priedo tiekėjų, debesijos, tęstinumo, incidentų ir trikdžių kontrolės priemonėmis. Jis taip pat siejamas su NIS2 tiekimo grandinės saugumu ir veiklos tęstinumu, DORA IRT trečiųjų šalių rizika ir atsparumo testavimu, GDPR saugumu ir pažeidimo vertinimu, jei paveikiami asmens duomenys, taip pat su NIST CSF valdysenos, tiekimo grandinės, reagavimo ir atkūrimo rezultatais.
Zenith Blueprint Rizikos valdymo fazės 13 žingsnis „Rizikos valdymo planavimas ir Taikytinumo pareiškimas“ paaiškina atsekamumą:
„SoA iš esmės yra jungiamasis dokumentas: jis susieja jūsų rizikos vertinimą / valdymą su faktinėmis turimomis kontrolės priemonėmis. Jį pildydami taip pat dar kartą patikrinate, ar nepraleidote kokių nors kontrolės priemonių.“
Tvirtas SoA pagrindimas galėtų būti toks: „Taikoma, nes valdomos duomenų bazės sutrikimas veikia kritinę klientų paslaugą, IRT trečiųjų šalių priklausomybę, sutartinius įsipareigojimus klientams, tęstinumo įsipareigojimus ir galimą asmens duomenų prieinamumą. Kontrolės priemonės parinktos siekiant sumažinti kiekybiškai įvertintą €152,500 metinę rizikos ekspoziciją ir palaikyti vadovybės patvirtintą likutinę riziką.“
5 žingsnis: eskaluoti pagal slenksčius
Enterprise Rizikos valdymo politika, skyriaus „Valdysenos reikalavimai“ 5.6 punktas reikalauja:
„Rizikos įgaliojimų matrica turi aiškiai apibrėžti eskalavimo į aukščiausiąją vadovybę arba valdybą slenksčius.“
€152,500 metinė rizikos ekspozicija gali viršyti vietos vadovybės tolerancijos lygį. Mažesnės vertės riziką vis tiek gali reikėti eskaluoti, jei ji veikia kritinę arba svarbią funkciją, sukelia DORA lūkesčius, apima asmens duomenis, kelia grėsmę įsipareigojimams klientams arba sukuria NIS2 valdymo organo atskaitomybę.
Kryžminės atitikties susiejimas: viena kiekybiškai įvertinta rizika, daug įpareigojimų
Kiekybiškai įvertinta kibernetinė rizika neturėtų būti kopijuojama į penkias atskiras atitikties skaičiuokles. Ji turėtų tapti vienu rizikos objektu su keliomis atitikties perspektyvomis.
| Atitikties perspektyva | Ką turi parodyti kiekybiškai įvertinta rizika | Įrodymų artefaktas |
|---|---|---|
| ISO/IEC 27001:2022 | Rizikos kriterijai, savininkas, tikimybė, pasekmė, rizikos valdymas, likutinės rizikos priėmimas, SoA susiejimas ir veikimo įrodymai | Rizikų registras, rizikos valdymo planas, SoA, vadovybės peržiūra, audito įrašai |
| NIS2 | Tinkamos ir proporcingos priemonės, valdymo organo patvirtinimas ir priežiūra, incidentų ir tęstinumo aspektai, tiekimo grandinės priemonės | Valdybos protokolai, mokymų įrašai, rizikos valdymo patvirtinimai, incidentų darbo eiga |
| DORA | IRT rizikos valdysena, kritinės arba svarbios funkcijos, IRT trečiųjų šalių priklausomybės, testavimas, incidentų klasifikavimas ir atsparumo strategija | IRT rizikos sistema, informacijos registras, testavimo rezultatai, incidentų klasifikavimas, išėjimo planas |
| GDPR | Asmens duomenų taikymo sritis, saugumo priemonės, pažeidimo pasekmės, duomenų valdytojo arba tvarkytojo atskaitomybė, teisėto tvarkymo kontekstas | RoPA sąsaja, DPIA, kai taikoma, pažeidimo vertinimas, saugumo įrodymai |
| NIST CSF 2.0 | Rizikos apetitas, standartizuotas prioritetizavimas, valdysena, tiekėjų rizika, aptikimo, reagavimo ir atkūrimo rezultatai | Esamas ir tikslinis profiliai, veiksmų planas, POA&M, tiekėjų rizikos įrašai |
| COBIT 2019 | Valdysenos tikslai, veiklos stebėsena, rizikos optimizavimas, sprendimų teisės ir užtikrinimas | Valdysenos ataskaitos, kontrolės veiksmingumo rodikliai, užtikrinimo ataskaitos |
NIS2 Article 21 ypač aktualus, nes apima rizikos analizę, saugumo politikas, incidentų valdymą, veiklos tęstinumą, atsarginių kopijų kūrimą, atkūrimą po katastrofos, krizių valdymą, tiekimo grandinės saugumą, saugų kūrimą, pažeidžiamumų valdymą, veiksmingumo vertinimą, kibernetinę higieną, mokymus, kriptografiją, personalo saugumą, prieigos kontrolę, turto valdymą ir autentifikavimą.
DORA finansų subjektams sukuria panašią discipliną, tačiau su sektoriui būdingu akcentu. Jis reikalauja vidinės IRT rizikos valdysenos ir kontrolės sistemos, už kurią galutinai atsakingas valdymo organas. Tikimasi IRT politikų, vaidmenų, skaitmeninio operacinio atsparumo strategijos, IRT rizikos tolerancijos, tęstinumo ir reagavimo planų, audito planų, biudžetų, mokymų, IRT trečiųjų šalių politikų ir pranešimų kanalų patvirtinimo bei priežiūros.
DORA taip pat suteikia kiekybiniam rizikos vertinimui tiesioginį operacinį paleidiklį – incidentų klasifikavimą. Reikšmingi su IRT susiję incidentai turi būti klasifikuojami pagal tokius kriterijus kaip paveikti klientai, sandorio šalys ir operacijos, trukmė, prastova, geografinė aprėptis, duomenų praradimai, veikiantys prieinamumą, autentiškumą, vientisumą ar konfidencialumą, paveiktų paslaugų kritiškumas ir ekonominis poveikis. Jei rizikos modelis jau vertina prastovą, poveikį klientams, poveikį duomenims ir ekonominius nuostolius, jis padeda klasifikuoti incidentą, kai įvyksta realus įvykis.
Kontrolės priemonių sąsajų lentelė, kuri valdybos atskaitomybę padaro audituojamą
Zenith Controls Clarysec susieja ISO/IEC 27002:2022 kontrolės priemonę 5.4 „Vadovybės atsakomybės“ kaip valdysenos atramą informacijos saugumo atskaitomybei. Vadove ji vertinama kaip prevencinė, palaikanti konfidencialumą, vientisumą ir prieinamumą, suderinta su kibernetinio saugumo koncepcija „Identify“, o valdysena laikoma operaciniu pajėgumu, valdysena ir ekosistema – saugumo sritimis.
Tai svarbu, nes finansinė kibernetinės rizikos ekspozicija priklauso nuo vadovybės sprendimų priėmimo. Zenith Controls susieja ISO/IEC 27002:2022 kontrolės priemonę 5.4 su keliomis pagalbinėmis kontrolės priemonėmis:
| ISO/IEC 27002:2022 kontrolės priemonės ryšys | Kodėl tai svarbu kiekybiškai įvertintai rizikai |
|---|---|
| 5.2 Informacijos saugumo vaidmenys ir atsakomybės | Turi būti apibrėžti rizikos savininkai, kontrolės priemonių savininkai ir eskalavimo įgaliojimai |
| 5.1 Informacijos saugumo politikos | Kiekybiškai įvertintos rizikos sprendimai turi atitikti patvirtintus politikos įsipareigojimus |
| 5.35 Nepriklausoma informacijos saugumo peržiūra | Nepriklausoma peržiūra vadovybei suteikia objektyvų užtikrinimą dėl rizikos valdymo priemonių |
| 5.36 Informacijos saugumo politikų, taisyklių ir standartų laikymasis | Atitikties stebėsena parodo, ar rizikos valdymo priemonės veikia taip, kaip numatyta |
| 5.8 Informacijos saugumas projektų valdyme | Nauji produktai ir pakeitimai turi anksti įtraukti kibernetinę riziką ir finansinę rizikos ekspoziciją |
Zenith Controls taip pat susieja vadovybės atsakomybes su ISO/IEC 27001:2022 5.1, 5.2 ir 9.3 punktais, sujungdamas lyderystę, politiką ir vadovybės peržiūrą. Be to, jis susieja jas su ISO/IEC 27014:2020 6 ir 7 punktais, kuriuose dėmesys skiriamas valdysenos sistemoms ir procesams, skirtiems informacijos saugumui vertinti, nukreipti, stebėti ir komunikuoti.
Įrodymų grandinė paprasta:
- Vadovybė apibrėžia apetitą, toleranciją ir eskalavimo slenksčius.
- Rizikos savininkai kiekybiškai įvertina svarbiausias kibernetines rizikas.
- Kontrolės priemonės parenkamos ir atspindimos SoA.
- Rizikos valdymo veiksmai vykdomi ir stebimi.
- Nepriklausoma peržiūra ir atitikties stebėsena tikrina veiksmingumą.
- Vadovybės peržiūra įvertina veikimą, incidentus, audito rezultatus, išteklius ir tobulinimo veiksmus.
- Valdyba gauna finansinę rizikos ekspoziciją, likutinę riziką ir atskaitomybės įrodymus verslo kalba.
Clarysec SME Rizikos valdymo politika, skyriaus „Vaidmenys ir atsakomybės“ 4.1.1 punktas sustiprina šį valdysenos vaidmenį:
„Nustato organizacijos rizikos apetitą ir patvirtina rizikos valdymo sistemą.“
MVĮ atveju tai gali būti generalinis direktorius arba savininkas. Reguliuojamo finansų subjekto atveju tai gali būti valdymo organas. Atskaitomybės principas tas pats.
Kaip auditoriai ir reguliuotojai tikrins jūsų skaičius
Kiekybinis kibernetinės rizikos vertinimas nebus audituojamas kaip tobula aktuarinė disciplina. Jis bus audituojamas pagal metodą, nuoseklumą, atsekamumą, valdyseną ir įrodymus.
| Auditoriaus arba vertintojo perspektyva | Ką jie tikrins | Kokių įrodymų jie tikėsis |
|---|---|---|
| ISO/IEC 27001:2022 | 6.1.2 punkto rizikos vertinimas, 6.1.3 punkto rizikos valdymas, SoA sprendimai, rizikos savininko patvirtinimas ir 9.3 punkto vadovybės peržiūra | Rizikos kriterijai, registras, rizikos valdymo planas, SoA, patvirtinimai, vadovybės peržiūros protokolai |
| NIS2 kompetentinga institucija | Valdymo organo patvirtinimas ir priežiūra, Article 21 priemonės, proporcingumas, pasirengimas incidentams ir mokymai | Valdybos medžiaga, mokymų įrašai, rizikos patvirtinimai, incidentų procedūros, tęstinumo įrodymai |
| DORA priežiūros institucija arba vidaus auditorius | IRT rizikos sistema, IRT rizikos tolerancija, kritinės arba svarbios funkcijos, testavimas, incidentų klasifikavimas ir IRT trečiųjų šalių rizika | IRT rizikų registras, atsparumo strategija, informacijos registras, testavimo rezultatai, išėjimo planai |
| NIST CSF 2.0 vertintojas | GOVERN rezultatai, įskaitant GV.RM-02 rizikos apetitą ir toleranciją bei GV.RM-06 standartizuotą prioritetizavimą | Esamas profilis, tikslinis profilis, veiksmų planas, sąsaja su įmonės rizika |
| COBIT 2019 vertintojas | Įmonės IT valdysena, rizikos optimizavimas, sprendimų teisės, išteklių paskirstymas ir užtikrinimas | Valdysenos ataskaitos, veiklos rodikliai, užtikrinimo ataskaitos |
Clarysec Audito ir atitikties stebėsenos politika-sme Audito ir atitikties stebėsenos politika-sme - SME, skyriaus „Valdysenos reikalavimai“ 5.4.3 punktas aiškiai apibrėžia audito ciklą:
„Audito išvados ir būsenos atnaujinimai turi būti įtraukti į ISVS vadovybės peržiūros procesą.“
Tai kritiškai svarbu. Jei rizikos modelis įvertina €500,000 ekspoziciją, bet vidaus auditas nustato, kad atkūrimo testas nepavyko, likutinė rizika turi pasikeisti. Jei tiekėjo išėjimo planas neišbandytas, organizacija neturėtų priimti likutinės rizikos taip, tarsi kontrolės priemonė būtų brandi. Jei DORA testavimas nustato kritinę spragą, ši išvada turi patekti į rizikos valdymo planą, biudžetą ir vadovybės peržiūrą.
Zenith Blueprint Audito, peržiūros ir tobulinimo fazės 28 žingsnis „Vadovybės peržiūra“ tai palaiko rekomenduodamas vadovybės peržiūros įvestis, tokias kaip vidaus ir išorės klausimų pokyčiai, reguliavimo reikalavimai, audito rezultatai, stebėsena ir matavimas, tikslai, incidentai, neatitiktys, tobulinimo galimybės ir išteklių poreikiai. Kiekybiškai vertinamos kibernetinės rizikos programoje vadovybės peržiūros paketas turėtų apimti svarbiausias finansines rizikos ekspozicijas, pokytį nuo paskutinės peržiūros, rizikos valdymo pažangą, vėluojančius veiksmus, tolerancijos lygį viršijančią likutinę riziką ir reikalingus sprendimus.
Valdybai tinkamo kibernetinės rizikos paketo rengimas
Valdybai tinkamas kibernetinės rizikos paketas neturėtų paskandinti direktorių pažeidžiamumų skaičiuose, FAIR kintamuosiuose ar kontrolės priemonių identifikatoriuose. Jis turi paversti kibernetinę riziką sprendimais.
Kiekvienai svarbiausiai kiekybiškai įvertintai rizikai įtraukite:
- Scenarijaus pavadinimą ir paveiktą verslo paslaugą
- Paslaugos arba funkcijos kritiškumą
- Asmens duomenų, reguliuojamos paslaugos ir tiekėjo priklausomybės žymas
- Dabartinį vienkartinio nuostolio poveikio įvertį
- Dabartinį metinio įvykio dažnio įvertį
- Dabartinį metinį tikėtiną nuostolį
- Prielaidas ir pasitikėjimo lygį
- Esamas kontrolės priemones ir žinomas spragas
- Rizikos valdymo pasirinkimus ir sąnaudas
- Tikėtiną likutinę rizikos ekspoziciją po rizikos valdymo priemonių
- ISO/IEC 27001:2022, NIS2, DORA ir GDPR aktualumą
- Rizikos savininką ir reikalingą sprendimą
- SoA ir politikos nuorodas
- Terminą ir peržiūros datą
Supaprastintas valdybos vaizdas gali atrodyti taip:
| Rizikos scenarijus | Dabartinis ALE | Rizikos valdymo sąnaudos | Likutinis ALE | Reguliacinis veiksnys | Sprendimas |
|---|---|---|---|---|---|
| Valdomos duomenų bazės sutrikimas, paveikiantis operacijų apdorojimą | €152,500 | €82,000 | €35,000 | DORA IRT rizika, ISO rizikos valdymas, tiekėjo tęstinumas | Patvirtinti rizikos valdymo priemones |
| Išpirkos reikalaujančios programos, paveikiančios klientų duomenų platformą | €372,000 | €100,000 | €95,000 | GDPR pažeidimo rizika, NIS2 incidentų valdymas, ISO incidentų kontrolės priemonės | Patvirtinti EDR ir nekintamas atsargines kopijas |
| Privilegijuotosios prieigos kompromitavimas debesijos administravimo konsolėje | €260,000 | €58,000 | €72,000 | ISO prieigos kontrolė, NIS2 autentifikavimas, DORA duomenų vientisumas | Patvirtinti MFA ir PAM stiprinimą |
| Kritinio SaaS teikėjo koncentracijos rizika | €190,000 | €45,000 | €95,000 | DORA trečiųjų šalių rizika, NIS2 tiekimo grandinė, ISO tiekėjų kontrolės priemonės | Patvirtinti išėjimo plano testavimą |
Skaičiai yra įverčiai, tačiau valdysenos vertė reali. Valdyba gali palyginti prioritetus. CISO gali pagrįsti išlaidas. Finansų funkcija gali patvirtinti prielaidas. Atitikties funkcija gali susieti sprendimus su įpareigojimais. Auditoriai gali sekti įrodymų pėdsaką.
Dažnos klaidos kiekybiškai vertinant kibernetinę riziką
Pirmoji klaida – klaidingas tikslumas. Modelis, teigiantis €487,239.17 nuostolį be aiškių prielaidų, yra mažiau patikimas nei intervalas su dokumentuotu pagrindu. Naudokite intervalus, kai tinkama, ir peržiūrėkite prielaidas po incidentų, auditų, tiekėjų pokyčių ir reikšmingų architektūros sprendimų.
Antroji klaida – skaičiuoti tik technines sąnaudas. Reikšmingas kibernetinis incidentas gali apimti pajamų praradimą, kompensacijas klientams, veiklos sutrikimą, pranešimą reguliuotojui, teisines konsultacijas, skaitmeninę kriminalistiką, komunikacijos sąnaudas, sutartines baudas, klientų praradimą, vadovybės laiką ir reputacinį poveikį.
Trečioji klaida – ignoruoti reguliacinio poveikio sunkumą. Asmens duomenų saugumo pažeidimas gali būti reikšmingas net tada, kai tiesioginis operacinis nuostolis atrodo nedidelis. DORA incidentas gali būti reikšmingas dėl paslaugos kritiškumo, prastovos, duomenų praradimo arba paveiktų klientų. NIS2 incidentas gali būti reikšmingas, nes sukelia sunkų veiklos sutrikimą, finansinį nuostolį arba didelę žalą kitiems.
Ketvirtoji klaida – neatnaujinti SoA. Jei rizikos valdymo sprendimai apima tiekėjų stebėseną, debesijos išėjimo planavimą, incidentų įrodymų rinkimą, IRT pasirengimą veiklos tęstinumui arba trikdžių kontrolės priemones, SoA turi atspindėti taikomas kontrolės priemones ir įgyvendinimo būseną.
Penktoji klaida – neįtraukti finansų funkcijos. Kiekybinis kibernetinės rizikos vertinimas stipriausias tada, kai saugumo, finansų, teisės, operacijų, produkto ir atitikties funkcijos sutaria dėl poveikio prielaidų. CISO neturėtų vienas nustatyti pajamų praradimo skaičių.
Šeštoji klaida – draudimą laikyti visišku rizikos perdavimu. Draudimas gali sumažinti finansinį poveikį, tačiau jis nepanaikina reguliacinės atskaitomybės, paslaugos sutrikimo, žalos klientų pasitikėjimui ar vadovybės atsakomybės.
Kur tinka Clarysec
Clarysec padeda organizacijoms kurti kibernetinės rizikos programą, kuri yra pakankamai praktiška MVĮ ir pakankamai griežta reguliuojamoms aplinkoms.
Zenith Blueprint veda organizaciją nuo taikymo srities ir konteksto per rizikos kriterijus, kokybinį ir kiekybinį vertinimą, rizikos valdymo planavimą, SoA atsekamumą, auditą, vadovybės peržiūrą ir tobulinimą. Zenith Controls padeda susieti ISO/IEC 27001:2022 ir ISO/IEC 27002:2022 kontrolės priemonių lūkesčius su kitomis sistemomis, auditais ir valdysenos įpareigojimais. Clarysec politikos suteikia kalbą, kurios tikisi auditoriai, įskaitant rizikos apetitą, įgaliojimų matricas, rizikos valdymo pasirinkimus, atitikties registrus, SoA suderinimą ir integraciją į vadovybės peržiūrą.
SME Teisinės ir reglamentavimo atitikties politika Teisinės ir reglamentavimo atitikties politika - SME, skyriaus „Valdysenos reikalavimai“ 5.1.1 punktas prasideda paprastu įpareigojimu:
„Generalinis direktorius turi prižiūrėti paprastą, struktūrizuotą Atitikties registrą, kuriame nurodoma:“
Šis paprastas registras svarbus. Teisiniai, reguliavimo ir sutartiniai įpareigojimai turi būti matomi ISVS viduje. Kiekybinei rizikai tai reiškia, kad NIS2, DORA, GDPR, klientų sutartys, SLA, išorės paslaugų pareigos, pranešimo apie incidentus įpareigojimai ir audito įsipareigojimai formuoja poveikį, rizikos valdymo prioritetą ir eskalavimą.
Enterprise Rizikos valdymo politika, skyriaus „Pamatiniai standartai ir sistemos“ 11.9.1 punktas taip pat tiesiogiai atspindi DORA tipo valdyseną:
„Article 5: įpareigoja turėti dokumentuotą IRT rizikos valdymo sistemą, kurią visiškai apima šios politikos struktūra, įskaitant SoA susiejimą ir KRI.“
Tai Clarysec modelis vienu sakiniu: dokumentuotas IRT rizikos valdymas, susietas su kontrolės priemonėmis, matuojamas rodikliais, peržiūrimas vadovybės ir pagrindžiamas auditui.
Tolesni žingsniai: padarykite savo 2026 m. kibernetinės rizikos registrą finansiškai pagrindžiamą
Jei jūsų dabartinis kibernetinės rizikos registras vis dar nurodo „didelė“ nepaaiškindamas finansinės rizikos ekspozicijos, rizikos valdymo ekonomikos ar reguliacinio poveikio, šį ketvirtį pradėkite nuo penkių veiksmų:
- Pasirinkite 5–10 svarbiausių kibernetinės rizikos scenarijų pagal poveikį verslui.
- Apibrėžkite finansinio poveikio slenksčius mažareikšmiam, vidutiniam, reikšmingam ir sunkiam poveikiui.
- Kiekvienam svarbiausiam scenarijui įvertinkite vienkartinio nuostolio poveikį, metinį įvykio dažnį ir metinį tikėtiną nuostolį.
- Kiekvieną rizikos valdymo sprendimą susiekite su ISO/IEC 27001:2022 kontrolės priemonėmis, SoA, NIS2 arba DORA įpareigojimais, kai taikoma, GDPR pasekmėmis ir NIST CSF valdysenos rezultatais.
- Vadovybės peržiūroje pateikite likutinę riziką, rizikos valdymo sąnaudas ir eskalavimo slenksčius.
Clarysec gali padėti tai paversti pakartojama įrodymų sistema, naudojant Zenith Blueprint Zenith Blueprint, Zenith Controls Zenith Controls, Enterprise Rizikos valdymo politiką Rizikos valdymo politika, SME Rizikos valdymo politiką Rizikos valdymo politika - SME ir pagalbinius audito bei atitikties šablonus.
Tikslas nėra padaryti kibernetinę riziką visiškai prognozuojamą. Tikslas – padaryti ją paaiškinamą, palyginamą, finansiškai reikšmingą ir audituojamą.
Atsisiųskite Clarysec rizikos ir atitikties politikų šablonus, susipažinkite su Zenith Blueprint arba užsisakykite Clarysec vertinimą, kad savo 2026 m. kibernetinės rizikos registrą paverstumėte valdybai tinkamais įrodymais ISO/IEC 27001:2022, NIS2, DORA ir GDPR kontekste.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
