Išpirkos reikalaujančios programinės įrangos mokėjimų valdysena pagal NIS2 ir DORA
2026 m. darbo dieną, 3:17 val. nakties, sparčiai augančios finansinių technologijų platformos CISO Marija įtraukiama į krizių valdymo konferencinį skambutį po pagrindinio SOC analitiko pranešimo: patvirtintas plataus masto šifravimas, pagrindinės paslaugos neveikia, o išpirkos reikalaujančios programinės įrangos grupuotė teigia pavogusi 2 TB klientų duomenų.
Pirmasis prie skambučio prisijungia generalinis direktorius. Po jo – teisės skyrius. Tada privatumo, finansų ir komunikacijos komandos, kibernetinis draudikas, skaitmeninės kriminalistikos paslaugų teikėjas ir debesijos operacijų komanda. Tamsiojo žiniatinklio portale rodomas 48 valandų atgalinis skaičiavimas ir septynženklė suma kriptovaliuta.
Generalinis direktorius užduoda klausimą, kurio bijo kiekvienas CISO.
„Ar galime mokėti ir kas turi teisę tai nuspręsti?“
Neteisinga tai vertinti kaip derybų klausimą. Teisinga tai vertinti kaip valdysenos klausimą.
2026 m. sprendimų dėl išpirkos reikalaujančios programinės įrangos mokėjimų valdysena nebėra privatus techninis pasirinkimas krizės metu. Ją gali tikrinti reguliuotojai, auditoriai, draudikai, klientai, teisėsaugos institucijos, akcininkai ir valdyba. Sprendimas mokėti susikerta su sankcijų rizika, asmens duomenų saugumo pažeidimo vertinimu, kibernetinio draudimo sąlygomis, sutartinėmis pareigomis, krizių komunikacija, įrodymų išsaugojimu, NIS2 etapiniu pranešimu, DORA incidentų klasifikavimu, GDPR pranešimais ir tobulinimu po incidento.
Todėl Clarysec klientams rekomenduoja sprendimų dėl išpirkos reikalaujančios programinės įrangos mokėjimų valdyseną sukurti ISVS dar prieš incidentą. ISO/IEC 27001:2022 suteikia valdymo sistemos struktūrą. ISO/IEC 27002:2022 kontrolės priemonės apibrėžia veiklos modelį. Zenith Blueprint: auditoriaus 30 žingsnių veiksmų planas ir Zenith Controls: kryžminės atitikties vadovas padeda šią struktūrą paversti praktiniais, audituojamais įrodymais.
Išpirkos reikalaujančios programinės įrangos veiksmų planas, kuriame parašyta tik „informuoti teisės skyrių“, nėra pakankamas. Organizacija turi žinoti, kas gali autorizuoti derybas, kaip atliekama sankcijų patikra, kada būtinas draudiko patvirtinimas, kaip dokumentuojamas GDPR, NIS2 ir DORA klasifikavimas ir kaip įrodymai apsaugomi atkūrimo komandoms dirbant spaudimo sąlygomis.
Kodėl ad hoc sprendimai dėl išpirkos reikalaujančios programinės įrangos mokėjimų žlunga
Sprendimas dėl išpirkos reikalaujančios programinės įrangos mokėjimo dažnai apibūdinamas kaip dvejetainis: mokėti arba nemokėti. Iš tikrųjų sprendimas turi bent šešis sluoksnius:
- Ar įvykis patvirtintas, lokalizuotas ir teisingai suklasifikuotas?
- Ar paveikti asmens duomenys, reguliuojami duomenys arba kritinių paslaugų teikimas?
- Ar organizacijai teisiškai leidžiama komunikuoti arba sudaryti sandorį su grėsmės subjektu?
- Ar kibernetinis draudimas reikalauja išankstinio pranešimo, patvirtintų tiekėjų, sutikimo ar konkrečių įrodymų?
- Ar mokėjimas sumažintų poveikį verslui, ar padidintų teisinę, finansinę ir reputacinę riziką?
- Kas turi sprendimo įgaliojimus ir kaip tas sprendimas registruojamas?
Vykstant incidentui, tarpusavyje nesuderintos komandos dažnai traukia skirtingomis kryptimis. Finansų direktorius (CFO) gali vertinti išpirką kaip veiklos sąnaudas, palyginti su didėjančia prastova. Teisės skyrius mato sankcijas, finansinius nusikaltimus ir reguliacinę riziką. Duomenų apsaugos pareigūnas (DPO) vertina, ar užšifruoti arba iškelti duomenys sukuria praneštiną asmens duomenų saugumo pažeidimą. Atitikties funkcija stebi NIS2 ir DORA pranešimų terminus. CISO bando išsaugoti įrodymus ir kartu atkurti paslaugas. Generalinis direktorius nori rekomendacijos iki užpuoliko laikmačio pabaigos.
Be formalaus sprendimų priėmimo proceso garsiausias balsas kambaryje gali tapti valdysenos modeliu. Būtent tokiai situacijai šiuolaikinis kibernetinio saugumo reguliavimas ir siekia užkirsti kelią.
NIS2 kibernetinį saugumą paverčia vadovybės atsakomybe. Article 20 apibrėžia valdymo organų valdyseną ir atskaitomybę, o Article 21 reikalauja rizikos valdymo priemonių, apimančių incidentų valdymą, veiklos tęstinumą, atsarginių kopijų valdymą, krizių valdymą, tiekimo grandinės saugumą, prieigos kontrolę, turto valdymą, daugiafaktorį autentifikavimą (MFA) ir veiksmingumo vertinimą. Article 23 nustato etapais teikiamus pranešimus apie reikšmingus incidentus, įskaitant ankstyvąjį perspėjimą per 24 valandas, pranešimą per 72 valandas ir, kai taikoma, galutinę ataskaitą per vieną mėnesį.
Finansų subjektams DORA yra sektoriui skirta skaitmeninės veiklos atsparumo taisyklių sistema. Article 5 nustato valdymo organo atsakomybę už IRT rizikos valdymą. Articles 17, 18 ir 19 reglamentuoja su IRT susijusių incidentų valdymą, didelių su IRT susijusių incidentų klasifikavimą ir pranešimą. DORA taip pat reikalauja reagavimo ir atkūrimo pajėgumų, atsarginių kopijų kūrimo ir atkūrimo, mokymosi po incidento, testavimo ir IRT trečiųjų šalių rizikos valdymo.
GDPR prideda atskirą, bet persidengiantį vertinimą. Jei išpirkos reikalaujanti programinė įranga sukelia atsitiktinį ar neteisėtą asmens duomenų sunaikinimą, praradimą, pakeitimą, neteisėtą atskleidimą arba prieigą prie jų, duomenų valdytojas turi įvertinti, ar įvyko asmens duomenų saugumo pažeidimas. Jei pranešimas būtinas, priežiūros institucijos terminas paprastai skaičiuojamas 72 valandas nuo sužinojimo. Jei asmenims kyla didelė rizika, taip pat gali reikėti informuoti paveiktus asmenis.
Išvada paprasta: išpirkos klausimas neturi būti pirmą kartą užduodamas krizių valdymo kambaryje.
ISO 27001:2022 kontrolės priemonės, kuriomis grindžiama mokėjimų valdysena
ISO/IEC 27001:2022 ISVS nėra kontrolinis sąrašas auditoriams. Tai valdymo sistema rizika grindžiamiems sprendimams priimti. Išpirkos reikalaujančios programinės įrangos mokėjimų valdysena priklauso šiai sistemai, nes ji sujungia rizikos vertinimą, rizikos tvarkymą, vaidmenis, teisines prievoles, reagavimą į incidentus, tęstinumą, tiekėjų valdymą ir nuolatinį tobulinimą.
Svarbiausios ISO 27001:2022 A priedo kontrolės priemonės sudaro susietą kontrolės priemonių grandinę.
| ISO 27001:2022 kontrolės sritis | Kodėl tai svarbu išpirkos reikalaujančios programinės įrangos mokėjimų valdysenai |
|---|---|
| A.5.24 Informacijos saugumo incidentų valdymo planavimas ir pasirengimas | Apibrėžia reagavimo į incidentus sistemą, eskalavimo modelį, komunikaciją ir pasirengimą prieš prasidedant šantažui. |
| A.5.25 Informacijos saugumo įvykių vertinimas ir sprendimai | Nustato, kaip įvykiai tampa incidentais, kaip nustatomas sunkumas ir kada inicijuojamas eskalavimas vadovybei. |
| A.5.26 Reagavimas į informacijos saugumo incidentus | Valdo lokalizavimą, pašalinimą, atkūrimo koordinavimą ir operacinių sprendimų vykdymą. |
| A.5.27 Mokymasis iš informacijos saugumo incidentų | Užtikrina, kad sprendimų dėl išpirkos rezultatai, vos neįvykę incidentai, draudiko grįžtamasis ryšys ir reguliuotojų išvados gerintų būsimas kontrolės priemones. |
| A.5.28 Įrodymų rinkimas | Teisiškai patikimu būdu išsaugo žurnalus, atvaizdus, susirašinėjimą, kenkimo programinės įrangos pavyzdžius ir sprendimų įrašus. |
| A.5.29 Informacijos saugumas sutrikimų metu | Palaiko saugumo kontrolės priemonių veikimą, kai veikla vykdoma degraduotu režimu. |
| A.5.30 IRT pasirengimas veiklos tęstinumui | Susieja atsargines kopijas, atkūrimo prioritetus, perjungimą ir tęstinumo planus su sprendimų priėmimo incidento metu procesu. |
| A.5.31 Teisiniai, įstatyminiai, reglamentavimo ir sutartiniai reikalavimai | Apima sankcijų patikrą, pranešimą reguliuotojui, klientų įsipareigojimus, draudiko sąlygas ir teisinį patvirtinimą. |
| A.5.34 Privatumas ir PII apsauga | Nulemia GDPR pažeidimo vertinimą ir poveikio privatumui vertinimą šantažo metu. |
| A.6.3 Ryšys su institucijomis | Palaiko suplanuotą komunikaciją su reguliuotojais, CSIRT, teisėsauga ir kompetentingomis institucijomis. |
| A.8.13 Informacijos atsarginės kopijos | Nustato, ar mokėjimas operaciniu požiūriu aktualus, įrodant atkūrimo galimybes. |
| A.8.15 Žurnalų tvarkymas ir A.8.16 Stebėsenos veiklos | Suteikia įrodymų bazę taikymo sričiai, laiko juostai, poveikiui ir užpuoliko veiklai nustatyti. |
Zenith Controls A.5.24 skirsnyje „Informacijos saugumo incidentų valdymo planavimas ir pasirengimas“ ši kontrolės priemonė klasifikuojama kaip korekcinė, susieta su konfidencialumu, vientisumu ir prieinamumu bei suderinta su reagavimo ir atkūrimo koncepcijomis. Jame A.5.24 taip pat siejama su A.5.25 įvykių vertinimu, A.5.27 mokymusi iš incidentų, A.8.15 žurnalų tvarkymu, A.8.16 stebėsena, A.5.29 saugumu sutrikimų metu, tęstinumu ir ryšiu su institucijomis.
Tai svarbu, nes išpirkos reikalaujančios programinės įrangos mokėjimų valdysena yra grandinė. Jei negalite aptikti ir suklasifikuoti įvykio, negalite priimti sprendimo. Jei negalite išsaugoti įrodymų, negalite pagrįsti sprendimo. Jei teisinės prievolės nesusietos, derybos arba mokėjimas gali būti neteisėti. Jei atkūrimo galimybės neištestuotos, vadovybė gali būti spaudžiama priimti sprendimą remdamasi baime, o ne faktais.
Zenith Controls aiškiai apibrėžia pasirengimo ir sprendimų priėmimo ryšį:
„5.25 yra sprendimo taškas, nustatantis, kada įvykis peržengia saugumo incidento slenkstį ir aktyvuoja 5.26 nurodytus veiksmus. Savalaikis ir tikslus įvykio vertinimas užtikrina, kad reagavimas į incidentus nebūtų nei uždelstas, nei nukreiptas klaidinga kryptimi.“
Tas pats vadovas A.5.31 „Teisiniai, įstatyminiai, reglamentavimo ir sutartiniai reikalavimai“ sieja su privatumu, įrašų saugojimu, nepriklausoma peržiūra ir vidaus politikų laikymusi. Išpirkos reikalaujančios programinės įrangos atveju A.5.31 yra ta vieta, kur sankcijų patikra, draudimo įsipareigojimai, bendradarbiavimas su teisėsauga, klientų sutartys, duomenų apsaugos pareigos ir sektoriaus reglamentavimo pranešimai suvedami į vieną atitikties registrą.
Clarysec penkių kontrolinių vartų išpirkos reikalaujančios programinės įrangos mokėjimų valdysenos modelis
Clarysec modelis sprendimų dėl išpirkos reikalaujančios programinės įrangos mokėjimų valdyseną suskirsto į penkis kontrolinius vartus. Tikslas nėra palengvinti mokėjimą. Tikslas – užtikrinti, kad bet koks sprendimas, įskaitant atsisakymą mokėti, būtų grindžiamas įrodymais, teisiškai įvertintas, autorizuotas ir audituojamas.
| Vartai | Pagrindinis klausimas | Reikalingi įrodymai | Tipinis savininkas |
|---|---|---|---|
| 1 vartai: incidento paskelbimas | Ar pagal apibrėžtus kriterijus paskelbtas išpirkos reikalaujančios programinės įrangos arba šantažo incidentas? | SIEM įspėjimai, galinių įrenginių telemetrija, išpirkos raštelis, paveiktas turtas, pradinis sunkumo įrašas | Incidento vadovas arba CISO |
| 2 vartai: teisinis ir reglamentavimo pirminis vertinimas | Ar incidentas susijęs su asmens duomenimis, reguliuojamomis paslaugomis, sankcijų rizika, sutartiniu pranešimu arba sektoriaus pranešimu? | Teisinių reikalavimų registro susiejimas, GDPR pažeidimo vertinimas, NIS2 arba DORA klasifikavimas, teisininko pastabos | Teisės skyrius, atitiktis, DPO |
| 3 vartai: atkūrimo įgyvendinamumas | Ar organizacija gali saugiai atkurti veiklą be mokėjimo per toleruotinas poveikio ribas? | Atsarginių kopijų vientisumo patikros, RTO/RPO būsena, poveikio verslui analizė, atkūrimo testų rezultatai | IT, BCP/DRP vadovas |
| 4 vartai: mokėjimo rizikos peržiūra | Ar bet kokios derybos arba mokėjimas yra teisiškai leidžiami, patvirtinti draudiko, patikrinti sankcijų požiūriu ir autorizuoti valdybos? | Sankcijų patikros įrašas, draudiko sutikimas, konsultacijos su teisėsauga įrašas, finansinis patvirtinimas, rizikos priėmimas | Vadovybė arba valdyba |
| 5 vartai: uždarymas ir tobulinimas | Ar sprendimai, komunikacija, pagrindinė priežastis ir įgyta patirtis buvo užregistruoti? | Incidento ataskaita, perdavimo grandinė, komunikacijos žurnalas, kontrolės priemonių tobulinimo planas | CISO, ISVS vadovas, vidaus auditas |
Šis modelis taiko ISO 27001 rizikos tvarkymo logiką. Išpirkos mokėjimas nėra saugumo kontrolės priemonė. Geriausiu atveju tai yra krizės pasirinkimas, svarstomas rizikos tvarkymo ir atkūrimo kontekste. Prieš incidentą organizacija jau turi būti nusprendusi, kaip tvarkoma išpirkos reikalaujančios programinės įrangos rizika: mažinama kontrolės priemonėmis, dalis finansinės rizikos perduodama draudimu, vengiama nepriimtinų senųjų priklausomybių arba aiškiai priimama liekamoji rizika, kai tai pagrįsta.
Rizikos valdymo etape, 13 žingsnyje „Rizikos tvarkymo planavimas ir Taikomumo pareiškimas“, Zenith Blueprint nurodo organizacijoms nustatyti kiekvienos rizikos tvarkymo parinktis ir dokumentuoti jas rizikų registre. Jame įspėjama, kad perdavimas, pavyzdžiui, kibernetinis draudimas, nepanaikina kontrolės priemonių poreikio, nes perdavimas dažnai apima finansinį poveikį, o ne tikimybę. Taip pat nurodoma:
„Priėmimas turi būti aiškus ir patvirtintas vadovybės, ypač bet kokioms vidutinėms rizikoms. Didelės rizikos retai priimamos, nebent jos iš tiesų neišvengiamos ir suderintos aukščiausiu lygiu.“
Ši nuostata tiesiogiai aktuali išpirkos reikalaujančios programinės įrangos mokėjimų valdysenai. Jei valdybos prašoma priimti liekamąją riziką nemokant arba teisinę ir reputacinę riziką patvirtinant derybas, priėmimas turi būti aiškus, užregistruotas ir patvirtintas tinkamus įgaliojimus turinčio subjekto.
Clarysec Rizikos valdymo politika sustiprina tą pačią mintį:
„Rizikos tvarkymo sprendimai turi atitikti iš anksto apibrėžtas parinktis“
Iš 5.5 punkto.
Todėl sprendimas dėl išpirkos nėra trumpasis kelias apeiti rizikos valdymą. Jis turi būti tvarkomas kaip formalus, dokumentuotas rizikos tvarkymo sprendimas pagal apibrėžtus įgaliojimus.
Politikos įgaliojimai: kas gali spręsti spaudimo sąlygomis?
Daugelis išpirkos reikalaujančios programinės įrangos nesėkmių yra valdysenos nesėkmės, užmaskuotos kaip techninės nesėkmės. Kažkas susisiekia su užpuoliku nepatvirtintu kanalu. Kažkas pažada mokėti prieš draudiko patvirtinimą. Kažkas atkuria sistemas ir perrašo skaitmeninės kriminalistikos įrodymus. Kažkas informuoja klientus per anksti, per vėlai arba pateikdamas netikslius faktus.
Clarysec politikos skirtos pašalinti tokį neapibrėžtumą.
MVĮ atveju Valdysenos vaidmenų ir atsakomybių politika MVĮ pateikia paprastą taisyklę:
„Visi reikšmingi saugumo sprendimai, išimtys ir eskalavimai turi būti registruojami ir atsekami.“
Iš skyriaus „Valdysenos reikalavimai“, politikos 5.5 punkto.
MVĮ Reagavimo į incidentus politika MVĮ priskiria eskalavimo įgaliojimus:
„Generalinis vadovas (GM) yra atsakingas už visų incidentų eskalavimo sprendimų, pranešimų reguliuotojams ir išorinės komunikacijos autorizavimą.“
Iš skyriaus „Valdysenos reikalavimai“, politikos 5.1.1 punkto.
Ji taip pat susieja klientų duomenų incidentus su reglamentavimo įpareigojimais:
„Kai susiję klientų duomenys, generalinis vadovas turi įvertinti teisinius pranešimo įpareigojimus pagal GDPR, NIS2 arba DORA taikomumą.“
Iš skyriaus „Rizikos tvarkymas ir išimtys“, politikos 7.4.1 punkto.
Didesnėms organizacijoms skirta organizacijos Valdysenos vaidmenų ir atsakomybių politika reikalauja nedelsiant eskaluoti, kai gali būti teisinė rizika arba praneštini duomenų saugumo pažeidimai:
„Perdavimas teisiniam / reglamentavimo vertinimui: incidentai, susiję su galima teisine rizikos ekspozicija arba praneštinais duomenų saugumo pažeidimais, turi būti nedelsiant perduodami teisės ir atitikties pareigūnui bei vadovybei.“
Iš skyriaus „Politikos įgyvendinimo reikalavimai“, politikos 6.4.3 punkto.
Organizacijos Reagavimo į incidentus politika apibrėžia vykdomuosius įgaliojimus sunkių incidentų metu. 4.6.1 punkte nurodyta, kad vadovybės komandos vaidmuo yra:
„Priimti strateginius sprendimus didelio sunkumo incidentų metu, įskaitant pranešimų ir viešosios komunikacijos patvirtinimą.“
Išpirkos reikalaujančios programinės įrangos kontekste Clarysec mokėjimo aptarimą, derybų autorizavimą, klientų informavimą, reglamentavimo pareiškimą ir viešąją komunikaciją laiko strateginiais sprendimais, o ne techniniais veiksmais.
Iš to kyla praktinė valdysenos taisyklė: CISO gali rekomenduoti, incidentų komanda gali vertinti, teisės skyrius gali konsultuoti, finansai gali patikrinti mokėjimo mechaniką, draudikas gali sutikti arba atsisakyti draudimo apsaugos, tačiau sprendimo savininkas pagal iš anksto apibrėžtus įgaliojimus turi būti vadovybė arba valdyba.
Sankcijų požiūriu saugus eskalavimas prieš bet kokias derybas
Sankcijų požiūriu saugus išpirkos reikalaujančios programinės įrangos procesas prasideda draudimu: joks darbuotojas, rangovas, tiekėjas, brokeris, derybininkas ar reagavimo į incidentus specialistas negali derėtis, žadėti, tarpininkauti ar perduoti vertės grėsmės subjektui be patvirtintos teisinės peržiūros.
Teisinis kontrolės taškas turi įvykti prieš bet kokį aktyvų bendravimą su užpuoliku, o ne po to, kai pasirodo piniginės adresas. Procesas turi apimti:
- Teisininko įtraukimą prieš bet kokią komunikaciją, viršijančią pasyvų įrodymų fiksavimą.
- Grėsmės subjekto identifikavimą naudojant skaitmeninės kriminalistikos, žvalgybos ir teisėsaugos duomenis, kai jų yra.
- Sankcijų ir ribojamų šalių patikrą pagal grupuočių pavadinimus, slapyvardžius, piniginių adresus, infrastruktūrą, tarpininkus ir mokėjimo kanalus.
- Konsultacijos su teisėsauga apsvarstymą ir registravimą.
- Kibernetinio draudiko informavimą pagal poliso sąlygas prieš paskiriant tiekėjus arba pradedant derybas.
- DPO arba privatumo vadovo įtraukimą, jei gali būti susiję asmens duomenys.
- CFO arba finansų vadovo patvirtinimą dėl mokėjimo kontrolės priemonių, pareigų atskyrimo, sukčiavimo prevencijos patikrų ir valdybos patvirtinimo reikalavimų.
- Vadovybės sprendimo registravimą nurodant apsvarstytas alternatyvas, įskaitant atkūrimą, lokalizavimą, paslaugos sustabdymą, klientų komunikaciją ir atsisakymą mokėti.
- Įrodymų dėl užpuoliko komunikacijos, indikatorių, piniginės duomenų, sprendimų posėdžių, patvirtinimų ir išorinių konsultacijų išsaugojimą.
Išpirkos reikalaujančios programinės įrangos atveju teisinių reikalavimų registre turi būti bent šie įpareigojimų šaltiniai.
| Įpareigojimo šaltinis | Poveikis mokėjimų valdysenai |
|---|---|
| Sankcijų ir finansinių nusikaltimų reikalavimai | Jokių derybų ar mokėjimo be teisinės patikros ir dokumentuoto patvirtinimo. |
| Kibernetinio draudimo sutartis | Pranešimas draudikui, patvirtinti tiekėjai, išankstinis sutikimas, įrodymų reikalavimai ir draudimo apsaugos sąlygos. |
| GDPR | Asmens duomenų saugumo pažeidimo vertinimas, pranešimas priežiūros institucijai, duomenų subjektų informavimas ir atskaitomybės įrašai. |
| NIS2 | Reikšmingo incidento klasifikavimas, ankstyvasis perspėjimas per 24 valandas, pranešimas per 72 valandas ir, kai taikoma, galutinė ataskaita per vieną mėnesį. |
| DORA | Didelio su IRT susijusio incidento klasifikavimas, pranešimas kompetentingai institucijai, klientų informavimas ir pagrindinės priežasties analizė po incidento. |
| Klientų sutartys | Pranešimas apie saugumo incidentą, paslaugų lygio įsipareigojimai, teisės atlikti auditą ir klientų komunikacijos įsipareigojimai. |
| Teisėsaugos lūkesčiai | Įrodymų išsaugojimas, užpuoliko komunikacijos tvarkymas ir koordinavimo įrašai. |
Organizacijos taip pat turi apibrėžti, kas gali sustabdyti mokėjimo sprendimą. Teisės skyrius, atitiktis, DPO, sankcijų teisininkas arba valdyba turi turėti aiškius įgaliojimus pristabdyti derybas ar mokėjimą, jei patikra nebaigta, įrodymai nepatikimi, draudiko sąlygos neįvykdytos arba veiksmas gali pažeisti teisės aktus ar sutartį.
Įrodymų išsaugojimas: neatkurkite paslaugos sunaikindami įrodymus
Išpirkos reikalaujančios programinės įrangos komandos natūraliai skuba atkurti operacijas. Tačiau jei atkūrimas sunaikina žurnalus, momentines kopijas, išpirkos raštelius, kenkimo programinės įrangos pavyzdžius, atminties atvaizdus ar užpuoliko žinutes, organizacija gali prarasti galimybę įrodyti, kas įvyko.
„Controls in Action“ etape, 23 žingsnyje „Organizacinės kontrolės priemonės“, Zenith Blueprint nurodo organizacijoms validuoti ir testuoti incidentų valdymo pajėgumus apibrėžiant praneštinus saugumo įvykius, dokumentuojant sprendimų priėmimą ir išsaugant kriminalistinius įrodymus. Komandoms nurodoma:
„Fiksuoti ir registruoti žurnale visus sprendimus, vaidmenis ir komunikaciją (5.26), taip pat atnaujinti planą pagal įgytą patirtį (5.27). Patvirtinti, kad procedūros yra parengtos kriminalistiniams įrodymams (5.28) išsaugoti, įskaitant žurnalų momentines kopijas, atsargines kopijas ir saugų paveiktų sistemų izoliavimą.“
Tas pats žingsnis A.5.28 paaiškina kalba, kurią turi suprasti kiekviena valdyba:
„tai, ką galite įrodyti, yra taip pat svarbu kaip tai, kas iš tikrųjų įvyko“
Clarysec organizacijos Įrodymų rinkimo ir kriminalistikos politika pabrėžia, kad įrodymai turi išlikti atsekami:
„Perdavimo grandinės žurnalas turi lydėti visus fizinius arba skaitmeninius įrodymus nuo įgijimo momento iki archyvavimo ar perdavimo ir turi dokumentuoti:“
Iš skyriaus „Valdysenos reikalavimai“, politikos 5.6 punkto.
MVĮ skirta Įrodymų rinkimo ir kriminalistikos politika MVĮ sąmoningai praktinė:
„Visada turi būti sukuriama kriminalistinė kopija arba eksportas; pradinis įrodymas niekada negali būti tiesiogiai redaguojamas.“
Iš skyriaus „Politikos įgyvendinimo reikalavimai“, politikos 6.1.1 punkto.
Ji taip pat reikalauja teisinių konsultacijų, kai gali būti poveikis personalui, teisei arba klientams:
„Jei incidentas susijęs su galimu Žmogiškųjų išteklių (HR), teisiniu arba klientų poveikiu, GM prieš pradėdamas politikos taikymą ar eskalavimą turi pasikonsultuoti su teisininku.“
Iš skyriaus „Valdysenos reikalavimai“, politikos 5.4.2 punkto.
Praktinis įrodymų paketas turi būti atidarytas 2 vartuose. Sukurkite ribotos prieigos incidento įrodymų aplanką. Eksportuokite SIEM laiko juostas, EDR aptikimus, debesijos audito žurnalus, tapatybės teikėjo prisijungimo žurnalus, atsarginių kopijų užduočių būseną, išpirkos raštelius, ekrano kopijas, užpuoliko žinutes, piniginių adresus, failų pavyzdžius, teisinių konsultacijų nuorodas, susirašinėjimą su draudiku ir posėdžių sprendimus. Paskirkite atsakingą saugotoją. Kai tinkama, užregistruokite maišos reikšmes. Neleiskite administratoriams išvalyti paveiktų sistemų prieš kriminalistinį paėmimą, nebent tai būtina gyvybės saugai, kritinių paslaugų apsaugai arba vadovybės patvirtintam lokalizavimui.
Vienas NIS2, DORA ir GDPR klasifikavimo darbalapis
Išpirkos reikalaujančios programinės įrangos incidentas gali paleisti kelis terminų skaičiavimus. Iššūkis yra ne tik žinoti terminus. Reikia žinoti, kada organizacija sužinojo, ką tuo metu žinojo ir kaip buvo priimti klasifikavimo sprendimai.
NIS2 Article 23 reikalauja, kad esminiai ir svarbūs subjektai be nepagrįsto delsimo praneštų CSIRT arba kompetentingai institucijai apie reikšmingus incidentus. Reikšmingumas siejamas su dideliu veiklos sutrikimu, finansiniais nuostoliais arba reikšminga materialine ar nematerialine žala kitiems. Etapinis modelis apima ankstyvąjį perspėjimą per 24 valandas, pranešimą per 72 valandas, tarpinius atnaujinimus, jei jų prašoma, ir galutinę ataskaitą per vieną mėnesį nuo pranešimo apie incidentą, kai taikoma.
DORA reikalauja, kad finansų subjektai apibrėžtų ir įgyvendintų su IRT susijusių incidentų valdymą, registruotų incidentus ir reikšmingas kibernetines grėsmes, klasifikuotų incidentus pagal tokius kriterijus kaip paveikti klientai, trukmė, geografinis paplitimas, duomenų praradimas, kritiškumas ir ekonominis poveikis, ir apie didelius su IRT susijusius incidentus praneštų kompetentingoms institucijoms pirminėmis, tarpinėmis ir galutinėmis ataskaitomis.
GDPR kelia kitokį, bet persidengiantį klausimą: ar incidentas sukėlė asmens duomenų saugumo pažeidimą? Jei taip, ar tikėtina, kad jis sukels riziką asmenims? Jei pasiektas pranešimo slenkstis, pranešimas priežiūros institucijai turi būti vertinamas pagal 72 valandų terminą. Jei kyla didelė rizika, taip pat gali reikėti informuoti asmenis.
Clarysec rekomenduoja naudoti vieną išpirkos reikalaujančios programinės įrangos klasifikavimo darbalapį su atskirais skyriais kiekvienam režimui.
| Klasifikavimo sritis | Pavyzdinis klausimas dėl išpirkos reikalaujančios programinės įrangos | Rezultatas |
|---|---|---|
| Operacinis poveikis | Ar kritinės paslaugos sutrikusios arba tikėtina, kad sutriks? | NIS2 reikšmingumo ir DORA kritiškumo įvestis |
| Finansinis poveikis | Ar incidentas sukėlė arba galėtų sukelti reikšmingų finansinių nuostolių? | NIS2 ir DORA sunkumo įvestis |
| Klientų poveikis | Ar paveikti paslaugų gavėjai, klientai, sandorio šalys arba operacijos? | NIS2, DORA ir sutartinio pranešimo įvestis |
| Asmens duomenys | Ar prie asmens duomenų buvo prieita, ar jie buvo iškelti, pakeisti, sunaikinti arba tapo neprieinami? | GDPR pažeidimo vertinimo įvestis |
| Duomenų jautrumas | Ar paveikti duomenys apima specialių kategorijų duomenis, prisijungimo duomenis, finansinius duomenis, tapatybės dokumentus arba vaikų duomenis? | GDPR rizikos ir komunikacijos įvestis |
| Tarpvalstybinis poveikis | Ar paveiktos kelios valstybės narės, jurisdikcijos, klientai arba paslaugų vietos? | NIS2 ir DORA pranešimų įvestis |
| Įrodymų patikimumas | Kokie faktai patvirtinti, įtariami arba nežinomi? | Pagrindas etapiniams pranešimams ir atnaujinimams |
Šis požiūris atitinka ISO 27001 nuostatas dėl rizikos vertinimo, rizikos tvarkymo ir dokumentuotos informacijos. Jis taip pat suderintas su NIST CSF 2.0. NIST CSF 2.0 GOVERN funkcija tikisi, kad organizacijos supras suinteresuotąsias šalis, teisines ir reglamentavimo prievoles, rizikos apetitą, vaidmenis, politiką, priežiūrą ir trečiųjų šalių riziką. Aptikimo, reagavimo ir atkūrimo rezultatai palaiko incidento paskelbimą, analizę, reagavimo koordinavimą, suinteresuotųjų šalių informavimą, atkūrimo vykdymą ir atkūrimo validavimą.
Finansų subjektams DORA gali veikti kaip sektoriui skirtas kibernetinio saugumo režimas persidengiantiems NIS2 įpareigojimams, tačiau tai nepanaikina poreikio suprasti NIS2 taikomumą grupės subjektams, IRT teikėjams, valdomoms paslaugoms ar debesijos priklausomybėms. Praktinis atsakymas nėra palaikyti atskirus veiksmų planus. Reikia naudoti vieną ISVS įrodymų modelį, susietą su visais aktualiais įpareigojimais.
Kibernetinis draudimas ir tiekėjų koordinavimas yra valdysenos kontrolės priemonės
Kibernetinis draudimas gali būti vertingas, tačiau jis nėra išpirkos reikalaujančios programinės įrangos strategija. Tai rizikos perdavimo mechanizmas su sąlygomis. Išpirkos reikalaujančios programinės įrangos įvykio metu draudikas gali reikalauti nedelsiant pranešti, naudoti patvirtintų įmonių sąrašą, gauti išankstinį derybų patvirtinimą, išsaugoti įrodymus, pateikti atsarginių kopijų nesėkmės įrodymus, pagrįsti tinkamas kontrolės priemones ir atlikti teisinę peržiūrą prieš svarstant bet kokį mokėjimą.
DORA IRT trečiųjų šalių riziką paverčia visaverte atitikties sritimi. NIS2 Article 21 taip pat reikalauja tiekimo grandinės saugumo ir atsižvelgti į tiekėjų pažeidžiamumus bei kibernetinio saugumo praktikas. ISO 27001 palaiko tą pačią logiką per tiekėjų ir debesijos kontrolės priemones, tokias kaip A.5.19–A.5.23, taip pat incidentų, tęstinumo ir teisines kontrolės priemones.
Zenith Controls incidentų pasirengimą sieja su išoriniais partneriais, įskaitant skaitmeninės kriminalistikos įmones, teisės skyrių, viešuosius ryšius ir ryšį su institucijomis. Audito požiūriu iš anksto nenustatytų išorinių partnerių nebuvimas gali būti vertinamas kaip pasirengimo spraga, nes realaus incidento metu tai gali uždelsti reagavimą.
Išpirkos reikalaujančios programinės įrangos mokėjimų valdysenai Clarysec rekomenduoja iš anksto suderinti:
- Skaitmeninės kriminalistikos paslaugų rezervavimo arba greitojo reagavimo sąlygas.
- Išorės teisininkų prieinamumą pažeidimo, sankcijų ir teisinio privilegijuotumo strategijai.
- Kibernetinio draudiko pranešimo kelią ir patvirtintų tiekėjų sąrašą.
- Debesijos paslaugų teikėjo eskalavimo kelią momentinėms kopijoms, žurnalams, izoliavimui ir atkūrimui.
- MSSP arba MDR incidentų bendradarbiavimo procedūras.
- Viešųjų ryšių ir krizių komunikacijos peržiūros procesą.
- Bankininkystės arba finansų patvirtinimo kontrolės priemones bet kokiam neeiliniam mokėjimui.
- Teisėsaugos kontaktų protokolą.
Tai gerai dera su NIST CSF 2.0 tiekimo grandinės rezultatais, įskaitant tiekėjų vaidmenis ir atsakomybes, deramą rūpestingumą, sutartinius kibernetinio saugumo reikalavimus, tiekėjų incidentų koordinavimą ir veiklas po sutarties nutraukimo.
Praktinis išpirkos reikalaujančios programinės įrangos mokėjimo eskalavimo veiksmų planas
Penki vartai gali būti paversti operaciniu veiksmų planu. Kiekvienas žingsnis turi būti dokumentuotas, turėti savininką ir būti repetuojamas.
| Fazė | Pagrindinis veiksmas | Atsakingas vaidmuo | Pagrindinės ISO 27001:2022 kontrolės priemonės | Įrodymai arba rezultatas |
|---|---|---|---|---|
| 1. Pirminis vertinimas ir paskelbimas | Įvertinti įvykį pagal kriterijus, paskelbti reikšmingą arba didelį incidentą, aktyvuoti reagavimo komandą | SOC vadovas, incidento vadovas | A.5.24, A.5.25 | Incidento užklausa, paskelbimo žurnalas, pradinė situacijos ataskaita |
| 2. Poveikio verslui analizė | Kiekybiškai įvertinti operacinį poveikį, įvertinti RTO/RPO padėtį, nustatyti duomenų ir paslaugų kritiškumą | Verslo savininkai, CISO, BCP/DRP vadovas | A.5.29, A.5.30, A.8.13 | Poveikio verslui analizė, atsarginių kopijų vientisumo išvados |
| 3. Įrodymų išsaugojimas | Eksportuoti žurnalus, išsaugoti sistemas, apsaugoti įrodymus ir palaikyti perdavimo grandinę | Kriminalistikos vadovas, reagavimo į incidentus komanda | A.5.28, A.8.15, A.8.16 | Kriminalistiniai atvaizdai, žurnalų eksportai, perdavimo grandinės įrašas |
| 4. Teisinė ir sankcijų patikra | Įtraukti teisininką, identifikuoti grėsmės subjektą, patikrinti sankcijas, įvertinti pranešimo pareigas | Teisės pareigūnas, DPO, atitiktis, išorės teisininkas | A.5.31, A.5.34, A.6.3 | Teisinė išvada, sankcijų patikros įrašas, pranešimų darbalapis |
| 5. Draudimo ir tiekėjų koordinavimas | Informuoti draudiką, patvirtinti patvirtintus tiekėjus, koordinuoti debesijos, MSSP ir kriminalistikos pagalbą | CISO, teisės skyrius, tiekėjų valdytojas | A.5.19, A.5.20, A.5.21, A.5.22, A.5.23 | Draudiko sutikimas, tiekėjų užklausos, tiekėjų veiksmų žurnalas |
| 6. Vadovybei skirtas sprendimo pristatymas | Pateikti parinktis, rizikas, teisinę poziciją, atkūrimo įgyvendinamumą, komunikacijos poveikį ir draudiko poziciją | Incidento vadovas, CISO, teisės skyrius, CFO | A.5.1, A.5.2, A.5.26, A.5.31 | Sprendimo dėl išpirkos reikalaujančios programinės įrangos pristatymo dokumentas |
| 7. Autorizavimas ir dokumentavimas | Vykdomuosius įgaliojimus turintis subjektas nusprendžia derėtis, atsisakyti, mokėti arba imtis alternatyvių veiksmų | CEO, vadovybė, valdyba | A.5.2, A.5.3, A.5.26, A.5.31 | Pasirašytas sprendimo įrašas, rizikos priėmimas, veiksmų žurnalas |
| 8. Uždarymas ir tobulinimas | Atlikti pagrindinės priežasties analizę, įgytos patirties peržiūrą ir kontrolės priemonių atnaujinimus | ISVS vadovas, CISO, vidaus auditas | A.5.27, ISO 27001 clause 10.2 | Įgytos patirties ataskaita, taisomųjų veiksmų planas, atnaujinti ISVS įrašai |
Tikslas nėra garantuoti patogų sprendimą. Patogaus sprendimo gali nebūti. Tikslas – užtikrinti, kad sprendimas būtų autorizuotas, grindžiamas įrodymais, teisiškai pagrįstas ir apginamas.
90 minučių stalo pratybos, įrodančios pasirengimą
Paprasčiausias būdas patikrinti išpirkos reikalaujančios programinės įrangos mokėjimų valdyseną nėra techninės red team pratybos. Tai sprendimų stalo pratybos.
Naudokite Zenith Blueprint, „Controls in Action“ etapą, 23 žingsnį, kad validuotumėte incidentų valdymo pajėgumą. Pasirinkite išpirkos reikalaujančios programinės įrangos scenarijų ir atlikite laiko ribojamą pratybą. Tikslas nėra iš anksto nuspręsti, kad organizacija mokėtų arba niekada nemokėtų. Tikslas – įrodyti, kad organizacija gali priimti valdysenos kontroliuojamą sprendimą.
Scenarijus: debesijoje veikianti klientų duomenų bazė užšifruota, užpuolikas teigia iškėlęs duomenis, atsarginės kopijos egzistuoja, bet jų vientisumas dar nepatikrintas, draudikas neinformuotas, o užpuolikas pateikia piniginės adresą su 48 valandų terminu.
Pratybų kontrolinis sąrašas:
- Paskelbti incidentą ir paskirti incidento vadovą.
- Atidaryti sprendimų dėl išpirkos reikalaujančios programinės įrangos žurnalą.
- Suklasifikuoti įvykį pagal A.5.25 kriterijus.
- Identifikuoti paveiktą turtą ir verslo paslaugas.
- Nustatyti, ar susiję asmens duomenys.
- Aktyvuoti GDPR, NIS2, DORA ir sutartinio vertinimo darbo eigas.
- Informuoti teisės skyrių, DPO, vadovybę, draudiką ir kriminalistikos paslaugų teikėją.
- Išsaugoti įrodymus prieš destruktyvius atkūrimo veiksmus.
- Patikrinti atsarginių kopijų vientisumą ir atkūrimo parinktis.
- Atlikti sankcijų patikrą prieš bet kokias derybas.
- Užregistruoti, ar reikalinga konsultacija su teisėsauga.
- Parengti preliminarius pareiškimus klientams ir reguliuotojams.
- Pateikti sprendimo parinktis vykdomuosius įgaliojimus turinčiam subjektui.
- Užregistruoti sprendimą, pagrindimą, nesutikimą, patvirtinimus ir kitus veiksmus.
- Suplanuoti peržiūrą po incidento ir kontrolės priemonių tobulinimo veiksmus.
Rezultatas turi būti pilnas įrodymų rinkinys: dalyvių sąrašas, laiko juosta, klasifikavimo darbalapis, sprendimų žurnalas, komunikacijos projektai, teisiniai veiksmai, draudiko veiksmai, atsarginių kopijų išvados ir įgyta patirtis. Toks rinkinys yra audito aukso standartas, nes parodo, kad valdysena veikia dar prieš realią krizę.
Kaip auditoriai ir reguliuotojai tikrins procesą
Skirtingos patirties auditoriai tą patį išpirkos reikalaujančios programinės įrangos procesą vertins per skirtingas prizmes.
| Auditoriaus prizmė | Ko jie prašys | Kaip atrodo geri įrodymai |
|---|---|---|
| ISO 27001:2022 auditorius | Ar incidentų planavimas, įvykių vertinimas, reagavimas, įrodymai, teisiniai reikalavimai ir įgyta patirtis kontroliuojami? | Reagavimo į incidentus planas, SoA susiejimas, rizikų registras, stalo pratybų įrašai, įrodymų procedūra, sprendimų žurnalai, vadovybės peržiūros rezultatai |
| ISO/IEC 27007 stiliaus ISVS auditorius | Ar žmonės supranta savo vaidmenis ir ar įrašai gali įrodyti veikimą? | Pokalbiai su CISO, teisės skyriumi, DPO, SOC, vadovybe, taip pat atrinktos incidentų užklausos ir eskalavimo įrašai |
| Su NIST suderintas vertintojas | Ar valdysenos, aptikimo, reagavimo, komunikacijos ir atkūrimo rezultatai integruoti? | CSF profilis, rizikų registras, stebėsenos taisyklės, incidento paskelbimo kriterijai, suinteresuotųjų šalių komunikacija, atkūrimo validavimas |
| COBIT 2019 arba ISACA auditorius | Ar yra vadovybės atsakomybė, proceso kontrolė, įrodymų pakankamumas ir nuolatinis tobulinimas? | RACI, proceso rodikliai, atitikties ataskaitų teikimas, peržiūra po incidento, korekcinių veiksmų sekimas |
| Į DORA orientuotas auditorius | Ar IRT incidentai klasifikuojami, eskaluojami, apie juos pranešama, jie atkuriami ir tobulinami pagal IRT rizikos sistemą? | Incidentų klasifikavimo kriterijai, pranešimai valdymo organui, klientų komunikacijos įrodymai, pagrindinės priežasties analizė, atsparumo testavimas |
| GDPR / privatumo auditorius | Ar asmens duomenų saugumo pažeidimo vertinimas buvo savalaikis, grindžiamas rizika ir dokumentuotas? | Pažeidimo vertinimo forma, DPO įtraukimas, sprendimas dėl priežiūros institucijos informavimo, duomenų subjektų informavimo pagrindimas, tvarkymo konteksto įrašai |
Zenith Controls pateikia išsamią A.5.24, A.5.25 ir A.5.31 audito metodiką. A.5.24 atveju auditoriai nagrinėja reagavimo į incidentus planą, sunkumo klasifikacijas, vaidmenis, kontaktų sąrašus, reglamentavimo pranešimų instrukcijas, pratybas ir išorinių partnerių susitarimus. A.5.25 atveju jie tikrina, ar egzistuoja įvykių klasifikavimo kriterijai, ar įspėjimų tvarkymo įrašai rodo tyrimo ir eskalavimo sprendimus, ar naudojama SIEM ir grėsmių žvalgyba, ir ar DPO arba teisės komandos įtraukiamos, kai gali būti paveikti asmens duomenys. A.5.31 atveju auditoriai ieško teisinių reikalavimų registrų, atitikties susiejimo, peržiūros įrodymų, vidaus audito aprėpties ir ataskaitų vyresniajai vadovybei.
Audito rizika yra ne tik tai, kad organizacija sumokėjo arba atsisakė mokėti. Audito rizika yra tai, kad niekas negali įrodyti, kaip sprendimas buvo priimtas.
Nuo šantažo iki kontrolės priemonių tobulinimo
Išpirkos reikalaujančios programinės įrangos valdysena nesibaigia atkūrus sistemas. ISO 27001 reikalauja nuolatinio tobulinimo. A.5.27 mokymasis iš informacijos saugumo incidentų yra šio lūkesčio pagrindas. DORA reikalauja pagrindinės priežasties analizės ir papildomų kontrolės priemonių. NIS2 galutinėse ataskaitose, kai taikoma, tikimasi švelninimo priemonių ir tikėtinos pagrindinės priežasties. GDPR atskaitomybė reikalauja dokumentuoti sprendimus ir apsaugos priemones.
Kiekviena peržiūra po išpirkos reikalaujančios programinės įrangos incidento turi atsakyti:
- Ar pranešimų terminai buvo nustatyti teisingai?
- Ar sprendimų įgaliojimų modelis veikė kaip numatyta?
- Ar teisinė ir sankcijų peržiūra buvo atlikta pakankamai anksti?
- Ar draudiko koordinavimas padėjo ar sulėtino reagavimą?
- Ar atsarginės kopijos buvo pilnos, atskirtos, atkuriamos ir testuotos?
- Ar žurnalų pakako prieigai ir duomenų iškėlimui įvertinti?
- Ar tiekėjai reagavo pagal sutartį?
- Ar klientų komunikacija buvo tiksli ir savalaikė?
- Ar vadovybė gavo tinkamą informaciją tinkamu laiku?
- Kokios kontrolės priemonės, politikos, sutartys ar mokymai turi keistis?
Šie atsakymai turi atnaujinti rizikų registrą, Taikomumo pareiškimą, reagavimo į incidentus planą, atsarginių kopijų strategiją, tiekėjų sutartis, komunikacijos planą ir mokymo programą.
ISVS pagrindų ir lyderystės etape, 5 žingsnyje, Zenith Blueprint pabrėžia išorinės komunikacijos planavimą, įskaitant klientų, reguliuotojų, partnerių ir visuomenės identifikavimą, nustatymą, ką ir kada komunikuoti, ir apibrėžimą, kas komunikuoja. Išpirkos reikalaujančios programinės įrangos atveju šis žingsnis tampa tiltu tarp techninio reagavimo ir pasitikėjimo išsaugojimo.
Sukurkite sprendimo įrašą prieš pasirodant išpirkos rašteliui
Geriausias laikas valdyti sprendimą dėl išpirkos yra prieš užpuolikui nustatant terminą.
Jei jūsų išpirkos reikalaujančios programinės įrangos veiksmų planas neapibrėžia sprendimų įgaliojimų, teisinės peržiūros, sankcijų patikros, draudiko patvirtinimo, įrodymų išsaugojimo, NIS2 ir DORA klasifikavimo, GDPR pažeidimo vertinimo ir valdybos lygmens dokumentavimo, organizacijoje yra valdysenos spraga, laukianti krizės.
Clarysec padeda organizacijoms įdiegti šį pajėgumą į ISVS naudojant:
- Zenith Blueprint: auditoriaus 30 žingsnių veiksmų planą, skirtą etapiniam ISO 27001 įgyvendinimui, rizikos tvarkymui, komunikacijos planavimui ir incidentų pajėgumo validavimui.
- Zenith Controls: kryžminės atitikties vadovą, skirtą ISO 27001 kontrolės priemonių susiejimui su NIS2, DORA, GDPR, NIST CSF, COBIT 2019, ISO/IEC 27035, ISO/IEC 27701, ISO/IEC 27005 ir audito įrodymais.
- Clarysec organizacijų ir MVĮ politikomis, įskaitant Reagavimo į incidentus politiką, Reagavimo į incidentus politiką – MVĮ, Įrodymų rinkimo ir kriminalistikos politiką, Įrodymų rinkimo ir kriminalistikos politiką – MVĮ, Valdysenos vaidmenų ir atsakomybių politiką, Valdysenos vaidmenų ir atsakomybių politiką – MVĮ ir Rizikos valdymo politiką.
- Praktiniais išpirkos reikalaujančios programinės įrangos stalo pratybų šablonais, sprendimų žurnalais, perdavimo teisiniam vertinimui matricomis, įrodymų paketais ir kryžminės atitikties pranešimų darbalapiais.
Nelaukite 3 valandos nakties skambučio, kad sužinotumėte, kas gali priimti sprendimą. Peržiūrėkite savo reagavimo į incidentus planą pagal Clarysec penkis vartus, atlikite 90 minučių išpirkos reikalaujančios programinės įrangos mokėjimo stalo pratybas ir sukurkite sankcijų požiūriu saugų, auditui tinkamą sprendimo įrašą, kuris atlaikytų reguliuotojų, draudikų ir jūsų pačių valdybos patikrą.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council