Auditam gatava ISO 27001 risku novērtēšana NIS2 un DORA vajadzībām
Kafija uz Sāras galda bija atdzisusi.
Kā strauji augoša finanšu tehnoloģiju uzņēmuma galvenā informācijas drošības vadītāja viņa bija pieradusi pie spiediena. Uzņēmums tikko bija ieguvis nozīmīgu bankas partneri, un sākotnējās izpētes anketa viņas ekrānā šķita tikai formalitāte. Pirmie jautājumi bija pazīstami: iesniegt ISO/IEC 27001:2022 Piemērojamības paziņojumu, kopīgot jaunāko risku reģistru, izskaidrot risku novērtēšanas metodoloģiju.
Tad anketa mainīja virzienu.
Pierādiet, kā jūsu risku pārvaldības programma aptver DORA. Izskaidrojiet gatavību NIS2 direktīvai, tostarp vadības pārskatatbildību un piegādes ķēdes riska pasākumus. Iesniedziet pierādījumus, ka kritiskie IKT piegādātāji tiek novērtēti, uzraudzīti un aptverti incidentu reaģēšanas un darbības nepārtrauktības plānos.
Līdz pirmdienas rītam tas pats jautājums jau bija valdes risku komitejas darba kārtībā. ISO 27001 sertifikācijas audits — pēc astoņām nedēļām. DORA spiediens no finanšu sektora klientiem. NIS2 klasifikācijas jautājumi par mākoņvidē izvietotu pakalpojumu līniju, kas paplašinās ES. Iepirkumu funkcija norādīja, ka piegādātāju pārskatīšana pastāv, bet pierādījumi ir izkaisīti e-pastos, līgumu mapēs un piegādātāju izklājlapā. Juridiskais dienests norādīja, ka regulatīvā kartēšana vēl ir procesā. Inženierija norādīja, ka risku reģistrs lielākoties ir pabeigts.
Valde uzdeva vienīgo jautājumu, kam bija nozīme:
Vai mēs varam pierādīt, ka mūsu risku novērtējums un risku apstrādes plāns ir pietiekams?
Tā ir īstā problēma SaaS, finanšu tehnoloģiju, pārvaldīto pakalpojumu, mākoņpakalpojumu un digitālo platformu uzņēmumiem. Nevis tas, vai risku reģistrs eksistē. Nevis tas, vai Annex A kontroles pasākumi ir iekopēti izklājlapā. Jautājums ir par to, vai organizācija audita un klientu spiediena apstākļos var pierādīt, ka tās ISO 27001 risku novērtēšanas process ir atkārtojams, balstīts riskā, apstiprināts no riska īpašnieku puses, sasaistīts ar apstrādes darbībām, kartēts ar juridiskajiem pienākumiem un reāli darbojas praksē.
Ja tas ir izdarīts pareizi, viens ISO 27001 risku novērtējums un viens risku apstrādes plāns var atbalstīt ISO/IEC 27001:2022 sertifikāciju, NIS2 Article 21 kiberdrošības risku pārvaldības pasākumus, DORA IKT risku pārvaldības prasības, GDPR pārskatatbildību, piegādātāju apliecinājumu, gatavību incidentiem un valdes ziņošanu.
Ja tas ir izdarīts slikti, tas kļūst par izklājlapu, kuru auditori izjauks trīsdesmit minūtēs.
Šajā ceļvedī parādīts, kā Clarysec veido auditam gatavus ISO 27001 risku novērtēšanas un risku apstrādes pierādījumus, izmantojot Zenith Blueprint: auditora 30 soļu ceļakarti, Clarysec politikas un Zenith Controls: starpatbilstības ceļvedi.
Kāpēc ISO 27001 risku novērtēšana tagad ir atbilstības centrmezgls
ES regulatīvā vide tuvojas vienkāršam principam: kiberdrošības risks ir jāpārvalda, jādokumentē, jātestē un tam jābūt ar skaidru īpašnieku.
ISO/IEC 27001:2022 jau darbojas šādi. Clauses 4.1 līdz 4.4 prasa organizācijai izprast savu kontekstu, ieinteresētās puses, ISMS darbības jomu un procesu mijiedarbību pirms risku novērtēšanas. Clauses 6.1.2 un 6.1.3 prasa definētu informācijas drošības risku novērtēšanas un apstrādes procesu. Clauses 8.2 un 8.3 prasa organizācijai veikt risku novērtēšanu un īstenot apstrādes plānu, saglabājot dokumentētu informāciju.
NIS2 un DORA padara šo riskā balstīto loģiku vēl steidzamāku.
NIS2 Article 20 prasa būtisko un svarīgo vienību vadības institūcijām apstiprināt kiberdrošības risku pārvaldības pasākumus, pārraudzīt ieviešanu un piedalīties kiberdrošības apmācībās. Article 21 prasa atbilstošus un samērīgus tehniskus, operatīvus un organizatoriskus pasākumus, lai pārvaldītu riskus tīklu un informācijas sistēmām. Šie pasākumi ietver riska analīzi, incidentu apstrādi, darbības nepārtrauktību, piegādes ķēdes drošību, drošu izstrādi, ievainojamību apstrādi, efektivitātes novērtēšanu, kiberdrošības higiēnu, kriptogrāfiju, personāla drošību, piekļuves kontroli, aktīvu pārvaldību un daudzfaktoru autentifikāciju vai drošu saziņu, ja tas ir atbilstoši.
DORA līdzīgu spiedienu piemēro finanšu subjektiem. Articles 5 un 6 prasa vadības institūcijai definēt, apstiprināt, pārraudzīt IKT risku pārvaldības kārtību un saglabāt atbildību par to. DORA sagaida dokumentētu IKT risku pārvaldības ietvaru, kas integrēts kopējā risku pārvaldībā un ko atbalsta politikas, procedūras, protokoli, rīki, iekšējais audits, trūkumu novēršana, darbības nepārtrauktība, testēšana, incidentu pārvaldība un IKT trešo pušu pārvaldība.
Secinājums ir praktisks un neizbēgams: risku reģistrs vairs nav tehniskās komandas darba lapa. Tas ir pārvaldības pierādījums.
Clarysec uzņēmuma Risku pārvaldības politika šo gaidu formulē tieši:
Jāuztur formāls risku pārvaldības process saskaņā ar ISO/IEC 27005 un ISO 31000, aptverot risku identificēšanu, analīzi, novērtēšanu, apstrādi, uzraudzību un komunikāciju.
No uzņēmuma Risku pārvaldības politikas sadaļas “Pārvaldības prasības”, politikas punkts 5.1.
Tā pati politika definē auditam gatavu rezultātu:
Uzturēt centralizētu, ar versiju kontroli pārvaldītu risku reģistru un risku apstrādes plānu, kas atspoguļo aktuālo riska statusu, kontroles pasākumu pārklājumu un mazināšanas progresu.
No uzņēmuma Risku pārvaldības politikas sadaļas “Mērķi”, politikas punkts 3.3.
Frāze “aktuālais riska statuss, kontroles pasākumu pārklājums un mazināšanas progress” ir atšķirība starp statisku atbilstības failu un pamatotu risku programmu.
Sāciet ar darbības jomu, pienākumiem un riska kritērijiem
Daudzas vājas ISO 27001 risku novērtēšanas sākas ar kontroles pasākumu kontrolsarakstu. Tas ir apgriezts secīgums.
ISO 27001 prasa organizācijai noteikt kontekstu, ieinteresēto pušu prasības, ISMS darbības jomu, vadības atbildību un riska plānošanu pirms kontroles pasākumu izvēles. ISO/IEC 27005:2022 to pastiprina, iesakot organizācijām pirms risku novērtēšanas identificēt ieinteresēto pušu pamatprasības. Šīs prasības var izrietēt no ISO standartiem, nozares regulējuma, nacionālajiem tiesību aktiem, klientu līgumiem, iekšējām politikām, iepriekšējām apstrādes darbībām un piegādātāju pienākumiem.
ES tirgum vērstam SaaS vai finanšu tehnoloģiju uzņēmumam riska process jāsāk ar atbilstības un pienākumu uzskaiti.
| Prasības avots | Kāpēc tas ietekmē ISO 27001 risku novērtēšanu | Pierādījumu artefakts |
|---|---|---|
| ISO/IEC 27001:2022 Clauses 4, 5, 6, 8, 9 un 10 | Definē kontekstu, vadību, risku novērtēšanu, risku apstrādi, darbības kontroles pasākumus, veiktspējas novērtēšanu un uzlabošanu | ISMS darbības joma, riska metodoloģija, risku reģistrs, apstrādes plāns, SoA, vadības pārskatīšanas ieraksti |
| NIS2 Articles 20, 21 un 23 | Pievieno vadības pārskatatbildību, visu apdraudējumu kiberdrošības pasākumus un incidentu ziņošanas gaidas | Valdes apstiprinājums, Article 21 kartējums, incidentu ziņošanas rokasgrāmata, darbības nepārtrauktības pierādījumi |
| DORA Articles 5, 6, 11, 12, 17, 18, 19, 24, 28 un 30 | Prasa IKT risku pārvaldību, darbības nepārtrauktību, rezerves kopiju veidošanu un atjaunošanu, incidentu dzīves ciklu, testēšanu un IKT trešo pušu riska kontroles pasākumus | IKT risku ietvars, BCP testi, incidentu reģistrs, noturības testu ieraksti, IKT piegādātāju reģistrs |
| GDPR Articles 3, 4, 5, 6, 9, 10, 25, 32, 33 un 34 | Prasa pārskatatbildību, likumīgu apstrādi, datu aizsardzību pēc noklusējuma un projektēšanas stadijā, atbilstošu drošību un pārkāpuma izvērtēšanu | Datu uzskaite, tiesiskā pamata kartēšana, privātuma riska ieraksti, DPIA saites, pārkāpuma izvērtēšanas ieraksti |
| Piegādātāju un klientu līgumi | Komerciālos solījumus pārvērš riska kritērijos, kontroles pasākumos, pierādījumos un termiņos | Līgumu reģistrs, sākotnējās izpētes ieraksti, audita tiesības, SLA, izstāšanās klauzulas |
SME vajadzībām Clarysec Tiesiskās un regulatīvās atbilstības politika - SME nosaka sākumpunktu:
GM jāuztur vienkāršs, strukturēts atbilstības reģistrs, kurā norādīts:
No SME Tiesiskās un regulatīvās atbilstības politikas sadaļas “Pārvaldības prasības”, politikas punkts 5.1.1.
Šāds vienkāršs reģistrs ir tilts starp atbilstību un risku pārvaldību. Ja tajā norādīts, ka GDPR ir piemērojams, jo tiek apstrādāti ES personas dati, NIS2 var būt piemērojams, jo organizācija sniedz digitālos vai pārvaldītos pakalpojumus, vai DORA ir būtiska finanšu sektora klientu dēļ, šiem pienākumiem jāietekmē riska kritēriji un apstrādes prioritātes.
Zenith Blueprint šajā jautājumā ir tiešs Risku pārvaldības posma 10. solī “Riska kritēriju un ietekmes matricas izveide”:
Pieņemšanas kritērijos ņemiet vērā arī juridiskās/regulatīvās prasības. Daži riski var būt nepieņemami neatkarīgi no iespējamības tiesību aktu dēļ.
No Zenith Blueprint, Risku pārvaldības posms, 10. solis.
Tas sniedz arī praktisku noteikumu darbnīcām:
“Jebkurš risks, kas var novest pie neatbilstības piemērojamiem tiesību aktiem (GDPR u. c.), nav pieņemams un ir jāmazina.”
No Zenith Blueprint, Risku pārvaldības posms, 10. solis.
Sāras finanšu tehnoloģiju uzņēmumam tas maina vērtēšanas modeli. Piegādātāja API ievainojamībai var būt zema iespējamība, bet, ja tās izmantošana var izraisīt DORA būtisku ar IKT saistītu incidentu, NIS2 nozīmīgu incidentu, GDPR pārkāpuma izvērtēšanu, klienta SLA neizpildi vai valdes līmeņa eskalāciju, ietekme ir augsta vai kritiska. Atbilstības pakļautība riskam kļūst par riska loģikas daļu, nevis par atsevišķu izklājlapu.
Izveidojiet risku reģistru, ko auditori var pārbaudīt
Auditori nejautā tikai par jūsu būtiskākajiem riskiem. Viņi pārbauda, vai metode ir definēta, atkārtojama, izsekojama un ievērota.
Viņi jautās:
- Kā jūs identificējāt šos riskus?
- Kuri aktīvi, pakalpojumi, piegādātāji, datu tipi un procesi bija darbības jomā?
- Kādi kritēriji tika izmantoti iespējamībai un ietekmei?
- Kas ir katra riska īpašnieks?
- Kuri esošie kontroles pasākumi mazina risku?
- Kāpēc tika izvēlēts konkrētais apstrādes lēmums?
- Kur ir pierādījumi, ka apstrāde tika veikta?
- Kas apstiprināja atlikušo risku?
- Kad risks tiks atkārtoti novērtēts?
Clarysec Risku pārvaldības politika - SME nosaka minimālo auditam gatavo riska ierakstu:
Katram riska ierakstam jāiekļauj: apraksts, iespējamība, ietekme, vērtējums, īpašnieks un apstrādes plāns.
No SME Risku pārvaldības politikas sadaļas “Pārvaldības prasības”, politikas punkts 5.1.2.
Uzņēmuma programmām Zenith Blueprint Risku pārvaldības posma 11. solis “Risku reģistra izveide un dokumentēšana” paplašina struktūru. Tas iesaka kolonnas, piemēram, riska ID, aktīvs, apdraudējums, ievainojamība, riska apraksts, iespējamība, ietekme, riska līmenis, pašreizējie kontroles pasākumi, riska īpašnieks, apstrādes lēmums, apstrādes plāns vai kontroles pasākumi un statuss.
Spēcīgs riska ieraksts izskatās šādi:
| Lauks | Ieraksta piemērs |
|---|---|
| Riska ID | R-042 |
| Aktīvs vai process | Klientu datu apstrāde, izmantojot trešās puses maksājumu API un ražošanas datubāzi |
| Apdraudējums | Kritiskas ievainojamības izmantošana piegādātāja API vai atbalstošā mākoņa datubāzes pakalpojumā |
| Ievainojamība | Ierobežota redzamība piegādātāja ievainojamību pārvaldībā, nepilnīga atjaunošanas testēšana un netestēta piegādātāja pārkāpuma rokasgrāmata |
| Riska apraksts | Piegādātāja vai mākoņpakalpojuma kompromitēšana varētu atklāt finanšu datus, traucēt pakalpojumu, izraisīt regulatīvu ziņošanu un pārkāpt klientu līgumus |
| Pašreizējie kontroles pasākumi | SSO, lomās balstīta piekļuve, piegādātāja līgums, ražošanas žurnālu veidošana, ikdienas rezerves kopijas, ceturkšņa piekļuves tiesību pārskatīšana |
| Iespējamība | Vidēja |
| Ietekme | Kritiska |
| Riska līmenis | Kritisks |
| Riska īpašnieks | CTO un platformas inženierijas vadītājs |
| Apstrādes lēmums | Mazināt |
| Regulatīvā kartēšana | ISO 27001 Annex A piegādātāju, mākoņa, incidentu, žurnālu veidošanas, piekļuves, darbības nepārtrauktības, rezerves kopiju un tiesiskās atbilstības kontroles pasākumi; NIS2 Articles 20, 21 un 23; DORA Articles 5, 6, 11, 12, 17, 18, 19, 24, 28 un 30; GDPR Articles 32, 33 un 34 |
| Pierādījumi | Piegādātāju sākotnējā izpēte, audita tiesību pieprasījums, atjaunošanas testa pārskats, SIEM uzraudzības noteikums, incidentu galda scenārija izspēle, atjaunināts SoA, vadības pārskatīšanas protokols |
Tas būtiski atšķiras no “Trešās puses risks, augsts, mazināt.” Auditam gatavā versija sasaista aktīvu, apdraudējumu, ievainojamību, sekas, pašreizējos kontroles pasākumus, īpašnieku, regulējumu, pierādījumus un pārvaldību.
Pārvērtiet risku apstrādi pierādījumu plānā
Risku apstrādes plānam jāatbild uz četriem operatīviem jautājumiem:
- Ko mēs darīsim?
- Kas par to atbild?
- Kad tas tiks pabeigts?
- Kā mēs pierādīsim, ka risks ir samazināts?
ISO/IEC 27001:2022 Clause 6.1.3 prasa organizācijai izvēlēties apstrādes iespējas, noteikt nepieciešamos kontroles pasākumus, salīdzināt tos ar Annex A, lai nepieļautu izlaidumus, sagatavot Piemērojamības paziņojumu, formulēt apstrādes plānu un saņemt riska īpašnieka apstiprinājumu plānam un atlikušajiem riskiem. Clause 8.3 pēc tam prasa ieviest apstrādes plānu un saglabāt dokumentētu informāciju par rezultātiem.
Uzņēmuma Risku pārvaldības politika to padara praktisku:
Risku pārvaldniekam jānodrošina, ka apstrādes pasākumi ir reālistiski, ar noteiktu termiņu un kartēti ar ISO/IEC 27001 Annex A kontroles pasākumiem.
No uzņēmuma Risku pārvaldības politikas sadaļas “Politikas ieviešanas prasības”, politikas punkts 6.4.2.
SME politika arī precizē, ka pieņemšana nav īsceļš:
Pieņemt: pamatot, kāpēc nav nepieciešamas turpmākas darbības, un reģistrēt atlikušo risku.
No SME Risku pārvaldības politikas sadaļas “Politikas ieviešanas prasības”, politikas punkts 6.1.1.
Pieņemšanai jābūt pamatotai pret kritērijiem, apstiprinātai no atbilstošā īpašnieka puses un uzraudzītai. NIS2 un DORA kontekstā neapstiprināts atlikušais risks var kļūt par pārvaldības kļūmi.
Pilnīgam apstrādes plānam jāietver šādi lauki:
| Apstrādes lauks | Audita mērķis |
|---|---|
| Riska ID | Sasaista apstrādi ar novērtēto risku |
| Apstrādes iespēja | Parāda pamatojumu: mazināt, izvairīties, pārnest vai pieņemt |
| Izvēlētie kontroles pasākumi | Sasaista risku ar Annex A, politikām un tehniskajiem drošības pasākumiem |
| Regulatīvais iemesls | Parāda NIS2, DORA, GDPR, līguma vai klienta nozīmi |
| Darbības īpašnieks | Pierāda pārskatatbildību |
| Izpildes termiņš | Padara apstrādi laikā ierobežotu |
| Ieviešanas pierādījumi | Parāda, ka darbība ir pabeigta |
| Efektivitātes mērs | Parāda, vai iespējamība vai ietekme tika samazināta |
| Atlikušais risks | Parāda atlikušo pakļautību riskam |
| Riska īpašnieka apstiprinājums | Pierāda pieņemšanu un pārvaldību |
Sāras R-042 gadījumā apstrādes plāns kļūst par starpatbilstības darbību sarakstu.
| Riska ID | Apstrādes darbība | ISO/IEC 27001:2022 Annex A atsauce | NIS2 nozīme | DORA nozīme | Īpašnieks | Pierādījumi |
|---|---|---|---|---|---|---|
| R-042 | Īstenot piegādātāja audita tiesības un pieprasīt ievainojamību pārvaldības pierādījumus | 5.19, 5.20, 5.21, 5.22, 5.31 | Article 21(2)(d) piegādes ķēdes drošība | Articles 28 un 30 IKT trešo pušu risks un līgumi | CTO un iepirkumu vadītājs | Audita pieprasījums, piegādātāja atbilde, līguma pārskatīšana |
| R-042 | Ieviest pastiprinātu anomālas API un priviliģētas darbības uzraudzību | 8.15, 8.16, 5.16, 5.17, 5.18 | Article 21(2)(i) piekļuves kontrole un aktīvu pārvaldība | Articles 6 un 17 IKT risks un incidentu pārvaldība | SOC vadītājs | SIEM noteikums, brīdinājuma tests, piekļuves tiesību pārskatīšana |
| R-042 | Testēt rezerves kopijas atjaunošanu un definēt pakalpojuma līmeņa RTO un RPO | 5.30, 8.13, 8.14 | Article 21(2)(c) darbības nepārtrauktība un rezerves kopijas | Articles 11 un 12 reaģēšana, atjaunošana, rezerves kopijas un atjaunošana | Platformas inženierijas vadītājs | Atjaunošanas pārskats, RTO un RPO apstiprinājums |
| R-042 | Veikt piegādātāja pārkāpuma galda scenārija izspēli | 5.24, 5.26, 5.27, 5.29 | Articles 21(2)(b) un 23 incidentu apstrāde un ziņošana | Articles 17, 18, 19 un 24 incidentu pārvaldība, klasifikācija, ziņošana un testēšana | Galvenais informācijas drošības vadītājs | Galda scenārija ieraksts, gūtās mācības, trūkumu novēršanas izsekošanas rīks |
| R-042 | Atjaunināt SoA un atlikušā riska apstiprinājumu | 5.4, 5.31, 5.35 | Article 20 vadības pārskatatbildība | Articles 5 un 6 pārvaldība un IKT risku ietvars | Galvenais informācijas drošības vadītājs un riska īpašnieks | Atjaunināts SoA, apstiprinājuma ieraksts, vadības pārskatīšanas protokols |
Šis plāns ir spēcīgs, jo tas izveido tiešu līniju no viena riska scenārija uz ISO 27001 kontroles pasākumiem, NIS2 pienākumiem, DORA pantiem, īpašniekiem un pierādījumiem.
Lieciet Piemērojamības paziņojumam strādāt vairāk
Piemērojamības paziņojums bieži tiek uztverts kā sertifikācijas artefakts. Tam jābūt vairāk nekā tam.
ISO/IEC 27001:2022 Clause 6.1.3 prasa, lai SoA ietvertu nepieciešamos kontroles pasākumus, iekļaušanas pamatojumu, ieviešanas statusu un izslēgšanas pamatojumu. ISO/IEC 27005:2022 vadlīnijas pastiprina nepieciešamību salīdzināt izvēlētos kontroles pasākumus ar ISO/IEC 27001 Annex A, lai nepieļautu izlaidumus.
Auditam gatavā programmā SoA kļūst par tiltu starp risku apstrādi un starpatbilstības pierādījumiem. Ja apstrādes plāns prasa MFA, žurnālu veidošanu, piegādātāju uzraudzību, rezerves kopiju atjaunošanu, drošu izstrādi, incidentu eskalāciju vai mākoņpakalpojuma izstāšanās plānošanu, SoA jāparāda, ka attiecīgie Annex A kontroles pasākumi ir iekļauti, pamatoti, ieviesti vai plānoti un nodrošināti ar pierādījumiem.
Tas palīdz arī izvairīties no biežas audita kļūmes: risku reģistrs saka vienu, apstrādes plāns citu, bet SoA klusē. Kad šie artefakti nav saskaņoti, auditoru uzticība ātri zūd.
ISO 27001 risku apstrādes kartēšana ar NIS2, DORA un GDPR
ISO 27001 neaizstāj NIS2, DORA vai GDPR. Tas sniedz strukturētu mehānismu pierādījumu radīšanai šo prasību vajadzībām.
Galvenais ir iebūvēt kartēšanu riska procesā, nevis pievienot to vēlāk.
| ISO 27001 risku apstrādes pierādījumi | NIS2 nozīme | DORA nozīme | GDPR nozīme |
|---|---|---|---|
| Riska kritēriji ar regulatīvās ietekmes vērtēšanu | Atbalsta Article 21 samērīgus kiberdrošības risku pārvaldības pasākumus | Atbalsta Articles 4, 5 un 6 samērīgumu, pārvaldību un IKT risku ietvaru | Atbalsta pārskatatbildību un atbilstošu drošību |
| Risku reģistrs ar īpašniekiem un CIA ietekmi | Atbalsta Article 20 vadības pārraudzību un Article 21 riska analīzi | Atbalsta dokumentētu IKT risku pārvaldību un īpašumtiesības | Atbalsta personas datu riska izpratnes pierādīšanu |
| Apstrādes plāns, kas kartēts ar Annex A | Atbalsta Article 21 pasākumus incidentu, darbības nepārtrauktības, piegādātāju, piekļuves, ievainojamību un drošas izstrādes jomās | Atbalsta IKT kontroles pasākumus, incidentu pārvaldību, darbības nepārtrauktību, testēšanu un trešo pušu noturību | Atbalsta tehniskos un organizatoriskos pasākumus saskaņā ar Article 32 |
| Piegādātāju riska ieraksti un līgumu kontroles pasākumi | Atbalsta Article 21(2)(d) piegādes ķēdes drošību | Atbalsta Articles 28 un 30 IKT trešo pušu riska un līgumu prasības | Atbalsta apstrādātāju un pārsūtīšanas drošības pasākumus, ja piemērojams |
| Incidentu scenāriji un ziņošanas rokasgrāmatas | Atbalsta Article 23 nozīmīga incidenta ziņošanas darbplūsmu | Atbalsta Articles 17, 18 un 19 incidentu pārvaldību, klasifikāciju un ziņošanu | Atbalsta Articles 33 un 34 pārkāpuma paziņošanas izvērtēšanu |
| BCP, rezerves kopiju un atjaunošanas apstrādes pasākumi | Atbalsta Article 21(2)(c) darbības nepārtrauktību, rezerves kopijas, avārijas atjaunošanu un krīzes pārvaldību | Atbalsta Articles 11 un 12 reaģēšanu, atjaunošanu, rezerves kopijas un atjaunošanu | Atbalsta pieejamību un noturību, ja iesaistīti personas dati |
| Kontroles pasākumu efektivitātes pārskatīšana | Atbalsta Article 21(2)(f) efektivitātes novērtēšanu | Atbalsta Article 24 testēšanas un trūkumu novēršanas gaidas | Atbalsta nepārtrauktu pārskatatbildību |
Šī kartēšana ir īpaši svarīga tur, kur regulējumi pārklājas. DORA ir nozares specifiskais IKT noturības režīms daudziem finanšu subjektiem, savukārt NIS2 var palikt tieši piemērojama noteiktiem pakalpojumu sniedzējiem, koordinācijai vai vienībām ārpus DORA darbības jomas. Finanšu tehnoloģiju uzņēmumam DORA var būt galvenais IKT noturības ietvars, savukārt pārvaldīto pakalpojumu sniedzējam, kas atbalsta šo finanšu tehnoloģiju uzņēmumu, NIS2 pienākumi var būt tieši piemērojami.
Risku reģistram jāspēj parādīt abas šīs atkarības puses.
Izmantojiet Zenith Controls kā starpatbilstības kompasu
Clarysec izmanto Zenith Controls kā starpatbilstības ceļvedi, lai novērstu biežu kļūmi, kad ISO kontroles pasākumi, regulatīvie panti un audita jautājumi dzīvo atsevišķās pasaulēs. Tas neveido atsevišķu kontroles ietvaru. Tas kartē ISO/IEC 27001:2022 un ISO/IEC 27002:2022 kontroles jomas ar citiem standartiem, audita gaidām un atbilstības skatpunktiem.
ISO 27001 risku novērtēšanai un apstrādei īpaši svarīgas ir šādas atsauces:
| ISO/IEC 27001:2022 Annex A atsauce, kas izmantota Zenith Controls | Kāpēc tā ir būtiska risku novērtēšanai un apstrādei | Zenith Controls fiksētie atribūti |
|---|---|---|
| 5.4 Vadības pienākumi | Sasaista risku apstrādes īpašumtiesības ar pārvaldību, lomu skaidrību un pārskatatbildību | Preventīvs kontroles pasākums, atbalsta konfidencialitāti, integritāti un pieejamību, kartējas uz identificēšanu, pārvaldību, pārvaldību un ekosistēmu |
| 5.31 Juridiskās, normatīvās, regulatīvās un līgumiskās prasības | Sasaista atbilstības reģistru ar riska kritērijiem, apstrādes lēmumiem un SoA iekļaušanu | Preventīvs kontroles pasākums, atbalsta konfidencialitāti, integritāti un pieejamību, kartējas uz identificēšanu, juridiskajām lietām un atbilstību, pārvaldību, ekosistēmu un aizsardzību |
| 5.35 Neatkarīga informācijas drošības pārskatīšana | Sasaista iekšējo auditu, ārējo auditu un vadības apliecinājumu ar apstrādes efektivitāti | Preventīvs un koriģējošs kontroles pasākums, atbalsta konfidencialitāti, integritāti un pieejamību, kartējas uz identificēšanu un aizsardzību, informācijas drošības apliecinājumu, pārvaldību un ekosistēmu |
Starpatbilstības mācība ir vienkārša. Ja juridiskie pienākumi nav iekļauti risku novērtēšanas metodē, jūsu vērtēšana ir nepilnīga. Ja vērtēšana ir nepilnīga, apstrādes prioritātes var būt nepareizas. Ja prioritātes ir nepareizas, SoA un valdes ziņošana kļūst neuzticama.
Zenith Blueprint to pašu uzsver Risku pārvaldības posma 14. solī “Risku apstrādes politikas un regulatīvās savstarpējās atsauces”. Tas iesaka organizācijām izveidot kartēšanas tabulu, kurā uzskaitītas galvenās regulatīvās drošības prasības un atbilstošie kontroles pasākumi vai politikas ISMS ietvaros. ISO 27001 sertifikācijai tas nav obligāti, taču tas ir ļoti noderīgi, lai pierādītu, ka drošība tiek pārvaldīta juridiskā un līgumiskā kontekstā.
Ko jautās dažādi auditori
Sertifikācijas auditors, NIS2 pārskatītājs, DORA orientēts klients, GDPR pārskatītājs, NIST vērtētājs vai COBIT praktiķis var skatīt tos pašus pierādījumus, bet uzdot atšķirīgus jautājumus.
| Auditora skatījums | Tipisks audita jautājums | Gaidāmie pierādījumi |
|---|---|---|
| ISO 27001 auditors | Vai risku novērtēšanas metode ir definēta, atkārtojama, piemērota un sasaistīta ar apstrādi un SoA? | Riska metodoloģija, kritēriji, reģistrs, SoA, apstrādes plāns, atlikušo risku apstiprinājumi |
| NIS2 orientēts pārskatītājs | Vai kiberdrošības pasākumi aptver Article 21 jomas un vadības pārskatatbildību? | Valdes apstiprinājumi, Article 21 kartējums, incidentu rokasgrāmata, darbības nepārtrauktības pierādījumi, piegādātāju riska pierādījumi |
| DORA orientēts pārskatītājs | Vai IKT risku pārvaldība ir dokumentēta, pārvaldīta, testēta un attiecināta uz IKT trešajām pusēm? | IKT risku ietvars, incidentu klasifikācijas process, BCP testi, noturības testēšana, IKT piegādātāju reģistrs |
| GDPR pārskatītājs | Vai organizācija var pierādīt atbilstošu drošību un pārskatatbildību par personas datu riskiem? | Datu uzskaite, tiesiskā pamata kartēšana, pārkāpuma izvērtēšanas procedūra, privātuma riska apstrādes pierādījumi |
| NIST orientēts vērtētājs | Vai riski tiek identificēti, aizsargāti, atklāti, vai uz tiem reaģē un vai pēc tiem notiek atjaunošana, izmantojot izmērāmus kontroles pasākumus? | Riska scenāriji, aktīvu uzskaite, kontroles pasākumu ieviešana, uzraudzība, reaģēšanas un atjaunošanas ieraksti |
| COBIT vai ISACA auditors | Vai risku pārvaldība ir saskaņota ar uzņēmuma mērķiem, lomām, veiktspēju, apliecinājumu un vadības ziņošanu? | Pārvaldības sanāksmju protokoli, RACI, KRI, iekšējā audita konstatējumi, trūkumu novēršanas izsekošana, pārvaldības paneļi |
Tāpēc pierādījumu arhitektūrai ir nozīme. Vienam un tam pašam riska ierakstam jābūt izsekojamam no biznesa mērķa līdz aktīvam, apdraudējumam, ievainojamībai, kontroles pasākumam, īpašniekam, regulatīvajam iemeslam, apstrādes darbībai, testa rezultātam un vadības lēmumam.
Clarysec politikas ir izstrādātas, lai atbalstītu šo arhitektūru. Uzņēmuma Risku pārvaldības politika sadaļā “Atsauces standarti un ietvari” nosaka:
Article 5: nosaka pienākumu uzturēt dokumentētu IKT risku pārvaldības ietvaru, ko pilnībā aptver šīs politikas struktūra, tostarp SoA kartēšana un KRI.
Tas pārvērš politiku no statiska dokumenta par audita pierādījumu, kas parāda, ka IKT risku pārvaldība ir apzināti izstrādāta, ņemot vērā DORA.
Bieži konstatējumi, kas salauž risku programmas
Kad Clarysec pārskata ISO 27001 risku novērtēšanas un risku apstrādes pierādījumus, atkārtoti parādās tie paši konstatējumi.
Pirmkārt, riska kritēriji ignorē juridisko, regulatīvo, līgumisko, piegādātāju un privātuma ietekmi. Tas izraisa vāju vērtēšanu. Personas datu aizsardzības pārkāpums vai kritiska piegādātāja kļūme var tikt novērtēta kā vidēja, jo iespējamība ir zema, lai gan GDPR, NIS2, DORA vai klienta ietekmei būtu jāpadara tas par augstu vai kritisku risku.
Otrkārt, riska īpašnieki ir vispārīgi. “IT” nav riska īpašnieks. Riska īpašniekam jābūt lomai vai personai, kas atbild par apstrādes lēmumiem, budžetu, termiņiem un atlikušo risku.
Treškārt, apstrādes plāniem nav termiņa. “Uzlabot uzraudzību” nav plāns. “Līdz 30. jūnijam izvietot SIEM brīdinājumus par priviliģētām sesijām ražošanas administratoru kontiem, atbildīgais — SOC vadītājs; testēts ar simulētu administratora pieteikšanos, pievienojot brīdinājuma pierādījumus” ir plāns.
Ceturtkārt, SoA nav sasaistīts ar apstrādi. Ja apstrādes plāns prasa piegādātāju uzraudzību, rezerves kopiju testēšanu, incidentu eskalāciju, MFA vai žurnālu veidošanu, SoA jāatspoguļo attiecīgie kontroles pasākumi un ieviešanas statuss.
Piektkārt, atlikušais risks nav apstiprināts. ISO 27001 prasa riska īpašnieka apstiprinājumu apstrādes plānam un atlikušajiem riskiem. NIS2 un DORA padara to vēl būtiskāku, jo vadības pārskatatbildība ir skaidri noteikta.
Sestkārt, piegādātāju risks tiek uztverts kā iepirkuma administrēšana. Saskaņā ar NIS2 Article 21(2)(d) un DORA Articles 28 un 30 piegādātāju un IKT trešo pušu riskam jābūt risku pārvaldības daļai, nevis izolēti glabātai ikgadējai anketai.
Septītkārt, nav efektivitātes pierādījumu. ISO 27001 Clause 6.1.1 prasa plānotās darbības izvērtēt efektivitātes ziņā. NIS2 Article 21(2)(f) ietver efektivitātes novērtēšanu. DORA sagaida testēšanu un trūkumu novēršanu. Kontroles pasākums, kas eksistē, bet nekad netiek testēts, ir vājš pierādījums.
SME Risku pārvaldības politika - SME gaidas formulē skaidri:
Ģenerāldirektoram un risku koordinatoram jānodrošina, ka risku pārvaldības darbības ir gatavas auditam. Risku reģistrs un saistītās darbības ir pakļautas iekšējam un ārējam auditam.
No SME Risku pārvaldības politikas sadaļas “Ievērošana un atbilstība”, politikas punkts 8.2.1.
Valdes ziņošana, nepārslogojot vadību
NIS2, DORA un ISO 27001 visi virza uz vadības pārskatatbildību, taču valdēm nav vajadzīga katra riska rinda. Tām vajadzīga ziņošana, kas palīdz pieņemt lēmumus.
Labā valdes risku paketē jāparāda:
- augstie un kritiskie riski pa jomām;
- nokavētās apstrādes darbības;
- regulatīvie riski, kas saistīti ar NIS2, DORA, GDPR vai līgumiem;
- piegādātāju riski, kas ietekmē kritiskus vai svarīgus pakalpojumus;
- incidentu un gandrīz notikušu gadījumu tendences;
- atlikušie riski, kas gaida pieņemšanu;
- kontroles pasākumu efektivitātes testu rezultāti;
- būtiskas izmaiņas darbības jomā, piegādātājos, tehnoloģijās vai tiesību aktos;
- iekšējā audita konstatējumi un korektīvās darbības.
Clarysec parasti iesaka ikmēneša operatīvās risku pārskatīšanas un ceturkšņa vadības pārskatīšanu. Ikmēneša pārskatīšana koncentrējas uz apstrādes izpildi. Ceturkšņa pārskatīšana koncentrējas uz pieņemšanu, finansējumu, prioritizāciju, regulatīvo ietekmi un stratēģiskiem riska lēmumiem.
Šāds ritms atbalsta arī nepārtrauktu uzlabošanu. Risku novērtēšana jāatjaunina, kad notiek incidenti, parādās ievainojamības, tiek ieviesti jauni aktīvi, mainās tehnoloģijas, mainās piegādātāji, mainās tiesību akti, mainās klientu pienākumi vai riska apetīte.
Clarysec ieviešanas ceļš
Vienota risku programma novērš atsevišķas ISO, NIS2, DORA, GDPR un klientu apliecinājuma izklājlapas. Praktiskais ceļš ir šāds:
- Apstipriniet ISMS darbības jomu, pakalpojumus, aktīvus, piegādātājus, jurisdikcijas un klientu pienākumus.
- Izveidojiet vai atjauniniet atbilstības reģistru, izmantojot Tiesiskās un regulatīvās atbilstības politiku - SME, kur tas ir piemēroti.
- Definējiet riska metodoloģiju, pieņemšanas kritērijus, iespējamības skalas, ietekmes skalas un regulatīvās ietekmes noteikumus.
- Izveidojiet risku reģistru, izmantojot Zenith Blueprint Risku pārvaldības posmu un Clarysec risku reģistra un SoA Builder pieeju.
- Identificējiet uz aktīviem balstītus un scenārijos balstītus riskus, tostarp piegādātāju, mākoņa, privātuma, darbības nepārtrauktības, incidentu, ievainojamību, drošas izstrādes un piekļuves scenārijus.
- Novērtējiet riskus, izmantojot kritērijus, kas ietver juridisko, regulatīvo, līgumisko, operatīvo, privātuma, piegādātāju un finansiālo ietekmi.
- Izvēlieties apstrādes iespējas: mazināt, izvairīties, pārnest vai pieņemt.
- Kartējiet nepieciešamos kontroles pasākumus ar ISO/IEC 27001:2022 Annex A un ISO/IEC 27002:2022 vadlīnijām.
- Izveidojiet vai atjauniniet Piemērojamības paziņojumu.
- Kartējiet apstrādes pasākumus ar NIS2 Article 21, DORA IKT risku pārvaldības un trešo pušu gaidām, GDPR pārskatatbildību un klientu līgumiskajiem pienākumiem.
- Apkopojiet pierādījumus, pārbaudiet kontroles pasākumu efektivitāti un iegūstiet atlikušā riska apstiprinājumu.
- Sagatavojiet audita paketi, kas strukturēta pēc riska, kontroles pasākuma, regulējuma un pierādījumu artefakta.
- Iekļaujiet rezultātus vadības pārskatīšanā, iekšējā auditā, korektīvajās darbībās un nepārtrauktā uzlabošanā.
Tas nav dokumentu sagatavošana pašas dokumentēšanas dēļ. Tā ir pamatotas kiberdrošības pārvaldības darbības sistēma.
Izveidojiet auditam gatavu risku apstrādes paketi
Sāras stāsts beidzas labi, jo viņa pārstāja uztvert ISO 27001, NIS2 un DORA kā atsevišķus atbilstības projektus. Viņa izmantoja ISO 27001 risku novērtēšanu kā centrālo dzinēju, iestrādāja regulatīvos pienākumus riska kritērijos, kartēja apstrādes darbības ar Annex A un ES prasībām un apkopoja pierādījumus, ko klienti, auditori un valde varēja saprast.
Jūsu organizācija var darīt to pašu.
Izmantojiet Zenith Blueprint: auditora 30 soļu ceļakarti, lai definētu riska kritērijus, izveidotu risku reģistru, sagatavotu risku apstrādes plānu un izveidotu savstarpējās atsauces ar regulatīvajām prasībām.
Izmantojiet Zenith Controls: starpatbilstības ceļvedi, lai sasaistītu ISO/IEC 27001:2022 Annex A kontroles jomas ar pārvaldības, tiesiskās atbilstības, apliecinājuma un audita skatpunktiem.
Izmantojiet Clarysec Risku pārvaldības politiku, Risku pārvaldības politiku - SME un Tiesiskās un regulatīvās atbilstības politiku - SME, lai standartizētu īpašumtiesības, reģistrus, apstrādes lēmumus un auditam gatavus pierādījumus.
Ātrākais praktiskais nākamais solis ir paņemt jūsu desmit būtiskākos riskus un pārbaudīt tos pret pieciem jautājumiem:
- Vai regulatīvā ietekme ir redzama?
- Vai apstrādes plānam ir termiņš un īpašnieks?
- Vai katrs apstrādes pasākums ir kartēts ar Annex A un SoA?
- Vai NIS2, DORA, GDPR vai klienta nozīme ir dokumentēta, ja piemērojams?
- Vai ir pierādījumi, ka kontroles pasākums darbojas?
Ja atbilde ir nē, Clarysec var palīdzēt pārvērst jūsu risku reģistru par pamatotu starpatbilstības risku apstrādes programmu, kurai var uzticēties auditori, regulatori, klienti un valdes.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
