Mākoņa audita pierādījumi ISO 27001, NIS2 un DORA prasībām

Marijai, strauji augoša finanšu analītikas uzņēmuma informācijas drošības vadītājai (CISO), līdz trīs termiņu sakritībai bija atlikušas sešas nedēļas. Viņas ISO 27001:2022 uzraudzības audits jau bija ieplānots. NIS2 uzņēmumu kā svarīgu vienību bija pacēlis jaunā vadības pārskatatbildības līmenī. DORA gatavojās pārbaudīt, vai viņas finanšu tehnoloģiju darbība spēj pierādīt digitālās darbības noturību. Vienlaikus nozīmīgs korporatīvais klients aizturēja līguma noslēgšanu, līdz viņas komanda spēs izturēt detalizētu drošības apliecinājumu pārskatīšanu.

Uzņēmums nebija nedrošs. Tas darbināja produkcijas darbslodzes AWS un Azure, izmantoja Microsoft 365 un vairākas kritiskas SaaS platformas, piemēroja MFA, veidoja datu rezerves kopijas, skenēja ievainojamības un apkopoja mākoņvides žurnālus. Problēma bija pierādījumi.

Pierādījumi bija izkaisīti Slack ekrānuzņēmumos, izstrādātāju wiki lapās, mākoņkonsoles eksportos, iepirkumu mapēs, juridiskajos līgumos un platformu īpašnieku mutiskos apliecinājumos. Kad auditors jautāja: “Parādiet, kā jūs kontrolējat savu mākoņvidi,” saite uz mākoņpakalpojumu sniedzēja atbilstības lapu nebūtu pietiekama. Pakalpojumu sniedzēja sertifikāti pierādīja sniedzēja kontroles pasākumus. Tie nepierādīja Marijas atbildības daļu dalītās atbildības modelī.

Tieši šeit daudzas mākoņdrošības audita pierādījumu programmas izgāžas. Ne tāpēc, ka kontroles pasākumu nav, bet tāpēc, ka organizācija nevar strukturētā un izsekojamā veidā pierādīt, kuras atbildības pieder pakalpojumu sniedzējam, kuras — klientam, kā ir konfigurēti SaaS un IaaS kontroles pasākumi, kā tiek piemērotas piegādātāju saistības un kā pierādījumi tiek glabāti auditoriem, regulatoriem un klientiem.

Mākoņatbilstība vairs nav tehnisks pielikums. SaaS pakalpojumu sniedzējam saskaņā ar NIS2, finanšu vienībai saskaņā ar DORA vai jebkurai ISO 27001:2022 organizācijai, kas izmanto IaaS, PaaS un SaaS, mākoņvides pārvaldība ir daļa no ISMS darbības jomas, risku apstrādes plāna, piegādātāju dzīves cikla, incidentu procesa, privātuma pārskatatbildības un vadības pārskatīšanas.

Praktiskais mērķis ir vienkāršs: izveidot vienotu, regulatoru pārbaudēm gatavu mākoņa pierādījumu arhitektūru, kas atbild uz ISO 27001:2022, NIS2, DORA, GDPR, klientu apliecinājumu un iekšējā audita jautājumiem, nepārbūvējot pierādījumus katram ietvaram atsevišķi.

Mākoņvide vienmēr ir darbības jomā, arī tad, ja infrastruktūra ir nodota ārpakalpojumā

Pirmais audita slazds ir pieņēmums, ka ārpakalpojumā nodota infrastruktūra atrodas ārpus ISMS. Tā nav. Ārpakalpojums maina kontroles robežu, bet neatceļ pārskatatbildību.

ISO/IEC 27001:2022 prasa organizācijai definēt kontekstu, ieinteresētās puses, ISMS darbības jomu, saskarnes, atkarības un procesus. Mākoņorientētā uzņēmumā identitātes nodrošinātājs, mākoņmitināšanas konts, CRM, e-pasta platforma, datu noliktava, CI/CD cauruļvads, pieteikumu pārvaldības rīks un rezerves kopiju pakalpojums bieži ir pamatbiznesa infrastruktūra.

Clarysec Zenith Blueprint: auditora 30 soļu ceļvedis Zenith Blueprint to uzsver ISMS pamatu un vadības posmā, 2. solī “Ieinteresēto pušu vajadzības un ISMS darbības joma”:

“Ja nododat savu IT infrastruktūru mākoņpakalpojumu sniedzējam, tas to neizslēdz no darbības jomas; tieši pretēji — darbības jomā jāiekļauj šo attiecību pārvaldība un mākoņaktīvi, jo jūsu datu drošība mākonī ir jūsu atbildība.”

Šis apgalvojums ir audita balsts. Jūsu darbības jomā nevajadzētu rakstīt: “AWS ir izslēgts, jo to pārvalda Amazon.” Tajā jānorāda, ka informācijas aktīvi un procesi, kas saistīti ar AWS mitinātiem pakalpojumiem, ir darbības jomā, tostarp mākoņdrošības kontroles pasākumu, identitātes, žurnālfiksēšanas, šifrēšanas, rezerves kopiju, piegādātāju apliecinājumu un reaģēšanas uz incidentiem pārvaldība.

ISO 27001:2022 kontekstā tas atbalsta 4.1 līdz 4.4 punktus par kontekstu, ieinteresētajām pusēm, darbības jomu un ISMS procesiem. NIS2 kontekstā tas atbalsta Article 21 gaidas attiecībā uz riska analīzi, incidentu apstrādi, darbības nepārtrauktību, piegādes ķēdes drošību, drošu iegādi un uzturēšanu, piekļuves kontroli, aktīvu pārvaldību, kriptogrāfiju, kontroles efektivitāti un MFA, kur piemērojams. DORA kontekstā tas atbalsta principu, ka finanšu vienības saglabā atbildību par IKT risku arī tad, ja IKT pakalpojumi ir nodoti ārpakalpojumā.

Jautājums nav par to, vai jūsu mākoņpakalpojumu sniedzējs ir drošs. Jautājums ir par to, vai jūs pārvaldāt savu pakalpojumu sniedzēja izmantošanu, pareizi konfigurējat savu atbildības daļu, uzraugāt pakalpojumu, pārvaldāt piegādātāja saistības un glabājat pierādījumus.

Dalītajai atbildībai jākļūst par dalītiem pierādījumiem

Mākoņpakalpojumu sniedzēji skaidro dalīto atbildību. Auditori pārbauda, vai jūs to esat ieviesuši praksē.

IaaS modelī pakalpojumu sniedzējs parasti aizsargā fiziskās telpas, pamatinfrastruktūru un hipervizoru. Klients kontrolē identitāti, darbslodžu konfigurāciju, operētājsistēmu drošināšanu, lietojumprogrammu drošību, datu klasifikāciju, šifrēšanas iestatījumus, tīkla noteikumus, žurnālfiksēšanu, rezerves kopijas, ielāpu pārvaldību un reaģēšanu uz incidentiem.

SaaS modelī pakalpojumu sniedzējs kontrolē lielāko daļu platformas operāciju, tomēr klients joprojām kontrolē nomnieka konfigurāciju, lietotājus, administratora lomas, integrācijas, datu koplietošanu, glabāšanu, žurnālfiksēšanas iespējas un eskalācijas procedūras.

Clarysec Zenith Controls: starpatbilstības ceļvedis Zenith Controls ISO/IEC 27002:2022 kontroli 5.23 “informācijas drošība mākoņpakalpojumu izmantošanā” traktē kā centrālu mākoņvides pārvaldības kontroles pasākumu ar preventīvu nolūku konfidencialitātes, integritātes un pieejamības jomā. Tas sasaista mākoņpakalpojumus ar piegādātāju attiecībām, drošu informācijas pārsūtīšanu, aktīvu uzskaiti, datu noplūdes novēršanu, galapunktu un tīkla drošību, kā arī drošas izstrādes praksēm.

Būtiska Zenith Controls interpretācija nosaka:

“Mākoņpakalpojumu sniedzēji (CSP) darbojas kā kritiski piegādātāji, tādēļ ir piemērojami visi 5.19 kontroles pasākumi par piegādātāju atlasi, līgumu slēgšanu un risku pārvaldību. Tomēr 5.23 iet tālāk, risinot mākoņvidei specifiskus riskus, piemēram, daudzlietotāju vidi, datu atrašanās vietas pārredzamību un dalītās atbildības modeļus.”

Šī atšķirība ir kritiska. Piegādātāja sertifikāti vieni paši neizpilda pielikuma A.5.23 prasības. Ir nepieciešami klienta puses pierādījumi, kas apliecina, ka mākoņpakalpojums tiek pārvaldīts, konfigurēts, uzraudzīts un pārskatīts.

Tā ir atšķirība starp mākoņvides kontroles pasākumu esamību un auditam gataviem mākoņvides kontroles pasākumiem.

Sāciet ar Mākoņpakalpojumu reģistru, ko auditori var izmantot

Ātrākais veids, kā uzlabot mākoņvides gatavību auditam, ir izveidot pilnīgu Mākoņpakalpojumu reģistru. Tam nevajadzētu būt iepirkumu sarakstam vai finanšu eksportam. Tam jāsasaista mākoņpakalpojumi ar datiem, īpašniekiem, reģioniem, piekļuvi, līgumiem, kritiskumu, regulatīvo nozīmīgumu un pierādījumiem.

Clarysec SME Mākoņpakalpojumu izmantošanas politika SME Mākoņpakalpojumu izmantošanas politika SME 5.3 punktā sniedz kompaktu un auditam piemērotu pamatlīmeni:

“IT pakalpojumu sniedzējam vai ģenerāldirektoram jāuztur Mākoņpakalpojumu reģistrs. Tajā jāieraksta: 5.3.1 katra apstiprinātā mākoņpakalpojuma nosaukums un mērķis; 5.3.2 atbildīgā persona vai komanda (lietotnes īpašnieks); 5.3.3 glabāto vai apstrādāto datu tipi; 5.3.4 valsts vai reģions, kur dati tiek glabāti; 5.3.5 lietotāju piekļuves tiesības un administratīvie konti; 5.3.6 līguma informācija, atjaunošanas datumi un atbalsta kontakti.”

Uzņēmuma mēroga vidēm Clarysec Mākoņpakalpojumu izmantošanas politika Mākoņpakalpojumu izmantošanas politika nosaka plašāku mandātu:

“Šī politika nosaka organizācijas obligātās prasības drošai, atbilstošai un atbildīgai mākoņpakalpojumu izmantošanai Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) un Software-as-a-Service (SaaS) piegādes modeļos.”

Mākoņpakalpojumu izmantošanas politika prasa centralizētu reģistru, kura īpašnieks ir informācijas drošības vadītājs, un apstiprinātas pamatkonfigurācijas mākoņvidēm. Šis reģistrs kļūst par pierādījumu pamatu vairākām saistībām vienlaikus.

ISO 27001:2022 vajadzībām tas atbalsta aktīvu uzskaiti, mākoņpakalpojumu izmantošanas pārvaldību, piegādātāju attiecības, piekļuves kontroli, tiesiskās un līgumiskās prasības, riska apstrādi un dokumentētu informāciju. NIS2 vajadzībām tas atbalsta piegādes ķēdes drošību, aktīvu pārvaldību, riska analīzi, incidentu apstrādi un nepārtrauktību. DORA vajadzībām tas atbalsta IKT aktīvu un atkarību kartēšanu, IKT trešo pušu reģistrus, kritisku vai svarīgu funkciju kartēšanu un koncentrācijas riska analīzi. GDPR vajadzībām tas identificē, vai tiek apstrādāti personas dati, kur tie atrodas, kurš pakalpojumu sniedzējs darbojas kā apstrādātājs un kādi pārsūtīšanas vai datu apstrādes noteikumi ir piemērojami.

Ja reģistrā nav identificētas datu kategorijas un reģioni, privātuma un noturības pierādījumi būs nepilnīgi. Ja tajā nav identificēti lietotņu īpašnieki, piekļuves tiesību pārskatīšana paliks bez īpašnieka. Ja tajā nav identificēti līgumi un atjaunošanas datumi, piegādātāju drošības klauzulas nevarēs pārbaudīt.

Pārvērtiet ISO 27001:2022 par mākoņa pierādījumu mugurkaulu

ISO 27001:2022 ir labākais mākoņa pierādījumu mugurkauls, jo tas sasaista biznesa kontekstu, risku, kontroles pasākumus, darbības pierādījumus, uzraudzību un uzlabošanu.

Galvenās ISO 27001:2022 prasības, kas attiecas uz mākoņvidi, ietver:

• 4.1 līdz 4.4 punktus par kontekstu, ieinteresētajām pusēm, ISMS darbības jomu, saskarnēm, atkarībām un procesiem.
• 5.1 līdz 5.3 punktus par vadību, politiku, lomām, pienākumiem un pārskatatbildību.
• 6.1.1 līdz 6.1.3 punktus par risku izvērtēšanu, riska apstrādi, pielikuma A salīdzinājumu, piemērojamības deklarāciju (SoA) un atlikušā riska pieņemšanu.
• 7.5 punktu par kontrolētu dokumentētu informāciju.
• 8.1 līdz 8.3 punktus par darbības plānošanu, risku izvērtēšanas izpildi un riska apstrādes izpildi.
• 9.1 līdz 9.3 punktus par uzraudzību, mērīšanu, iekšējo auditu un vadības pārskatīšanu.
• 10. punktu par neatbilstību, korektīvo darbību un nepārtrauktu uzlabošanu.

Pielikuma A kontroles pasākumi, kuriem ir vislielākā nozīme mākoņa pierādījumu jomā, ietver A.5.19 “Informācijas drošība piegādātāju attiecībās”, A.5.20 “Informācijas drošības prasību iekļaušana piegādātāju līgumos”, A.5.21 “Informācijas drošības pārvaldība IKT piegādes ķēdē”, A.5.22 “Piegādātāju pakalpojumu uzraudzība, pārskatīšana un izmaiņu pārvaldība”, A.5.23 “Informācijas drošība mākoņpakalpojumu izmantošanā”, A.5.24 līdz A.5.27 incidentu pārvaldību, A.5.29 “Informācijas drošība traucējumu laikā”, A.5.30 “IKT gatavība darbības nepārtrauktībai”, A.5.31 “Tiesiskās, normatīvās, regulatīvās un līgumiskās prasības”, A.5.34 “Privātums un PII aizsardzība”, A.5.36 “Atbilstība informācijas drošības politikām, noteikumiem un standartiem”, A.8.8 “Tehnisko ievainojamību pārvaldība”, A.8.9 “Konfigurāciju pārvaldība”, A.8.13 “Informācijas rezerves kopiju veidošana”, A.8.15 “Žurnālfiksēšana”, A.8.16 “Uzraudzības darbības”, A.8.24 “Kriptogrāfijas izmantošana”, A.8.25 “Drošs izstrādes dzīves cikls”, A.8.29 “Drošības testēšana izstrādē un pieņemšanā” un A.8.32 “Izmaiņu pārvaldība”.

Zenith Blueprint posma “Kontroles darbībā” 23. solis mākoņpakalpojumus skaidro auditoriem saprotamā valodā:

“Pāreja uz mākoņpakalpojumiem būtiski maina uzticamības modeli. Jūs vairs nekontrolējat serveri, tīkla perimetru vai hipervizoru. Bieži vien jūs pat nezināt, kur dati fiziski atrodas. Tas, ko jūs kontrolējat un ko šis kontroles pasākums piemēro, ir šo attiecību pārvaldība, redzamība par to, ko izmantojat, un drošības gaidas, ko izvirzāt saviem pakalpojumu sniedzējiem.”

Spēcīgs piemērojamības deklarācijas ieraksts A.5.23 kontrolei nedrīkst aprobežoties ar “Piemērojams, mākoņpakalpojumu sniedzējs sertificēts.” Tam jāizskaidro, kāpēc kontrole ir piemērojama, kurus riskus tā apstrādā, kā tā ir ieviesta un kur tiek glabāti pierādījumi.

Pievienojiet SoA vai kontroles izsekošanas rīkam pierādījumu atrašanās vietas kolonnu. Auditoriem nevajadzētu meklēt pierādījumus e-pastā, pieteikumu sistēmās un koplietotajos diskos.

Izmantojiet vienu pierādījumu modeli ISO 27001:2022, NIS2 un DORA vajadzībām

Gan NIS2, gan DORA prasa dokumentētu, uz risku balstītu un vadības virzītu kiberdrošību. Pārklāšanās ir būtiska, bet uzraudzības spiediens atšķiras.

NIS2 attiecas uz daudzām būtiskām un svarīgām vienībām ES, tostarp digitālās infrastruktūras nodrošinātājiem, pārvaldīto pakalpojumu sniedzējiem (MSP), pārvaldīto drošības pakalpojumu sniedzējiem, banku sektoru, finanšu tirgus infrastruktūrām un digitālo pakalpojumu sniedzējiem. Article 21 prasa piemērotus un samērīgus tehniskus, operatīvus un organizatoriskus pasākumus, tostarp riska analīzi, incidentu apstrādi, darbības nepārtrauktību, piegādes ķēdes drošību, drošu iegādi un uzturēšanu, ievainojamību apstrādi, kontroles efektivitātes izvērtēšanu, kiberdrošības higiēnu, apmācību, kriptogrāfiju, piekļuves kontroli, aktīvu pārvaldību un MFA vai drošu saziņu, kur piemērojams.

Mākoņdrošības audita pierādījumu kontekstā NIS2 jautā, vai mākoņpakalpojumu un piegādātāju riski tiek pārvaldīti kā pakalpojumu sniegšanas riska daļa. Tā ievieš arī strukturētu ziņošanu par būtiskiem incidentiem, tostarp agrīno brīdinājumu 24 stundu laikā, incidenta paziņojumu 72 stundu laikā un galīgo ziņojumu viena mēneša laikā.

DORA no 2025. gada 17. janvāra attiecas uz daudzām ES finanšu vienībām un nosaka vienotas prasības IKT risku pārvaldībai, ziņošanai par būtiskiem IKT incidentiem, digitālās darbības noturības testēšanai, informācijas apmaiņai un IKT trešo pušu riskam. Finanšu vienībām, kas identificētas arī saskaņā ar NIS2, DORA tiek uzskatīta par nozarei specifisku Savienības tiesību aktu pārklājošos operacionālo pienākumu jomā.

Mākoņvides jomā DORA ir tieša. Finanšu vienības saglabā atbildību par IKT risku, kad pakalpojumi ir nodoti ārpakalpojumā. Tām nepieciešamas IKT trešo pušu stratēģijas, līgumu reģistri, pirmslīguma izvērtējumi, sākotnējā izpēte, audita un piekļuves tiesības, izbeigšanas trigeri, koncentrācijas riska analīze, apakšuzņēmēju kontroles pasākumi un pārbaudītas izstāšanās stratēģijas.

Zenith Controls kartē ISO/IEC 27002:2022 kontroli 5.23 uz EU NIS2 Article 21 un DORA Articles 28 to 31. Tas norāda arī uz atbalsta standartiem, piemēram, ISO/IEC 27017 mākoņdrošības lomām un uzraudzībai, ISO/IEC 27018 PII aizsardzībai publiskajā mākonī, ISO/IEC 27701 privātuma pārvaldībai mākoņa apstrādātāju attiecībās, ISO/IEC 27036-4 mākoņpakalpojumu uzraudzībai un piegādātāju līgumiem, kā arī ISO/IEC 27005 mākoņriska izvērtēšanai.

Praktiskā secinājuma būtība ir vienkārša. Neveidojiet atsevišķas pierādījumu pakotnes ISO 27001:2022, NIS2, DORA un GDPR vajadzībām. Izveidojiet vienu mākoņa pierādījumu arhitektūru ar ietvaram specifiskiem kartējumiem.

Piegādātāju līgumi ir kontroles pierādījumi, nevis juridiski arhīvi

Mākoņa audita pierādījumi bieži sabrūk līgumu slānī. Drošības komandai ir piegādātāja anketa. Juridiskajam dienestam ir pamatpakalpojumu līgums. Iepirkumiem ir atjaunošanas datums. DPO ir DPA. Nevienam nav vienota skatījuma, vai vienošanās ietver drošības klauzulas, kas nepieciešamas ISO 27001:2022, NIS2, DORA un GDPR prasībām.

Clarysec SME Trešo pušu un piegādātāju drošības politika SME Trešo pušu un piegādātāju drošības politika SME 5.3 punktā nosaka:

“Līgumos jāiekļauj obligātas klauzulas, kas aptver: 5.3.1 konfidencialitāti un neizpaušanu; 5.3.2 informācijas drošības pienākumus; 5.3.3 datu aizsardzības pārkāpumu paziņošanas termiņus (piemēram, 24–72 stundu laikā); 5.3.4 audita tiesības vai atbilstības pierādījumu pieejamību; 5.3.5 ierobežojumus turpmākai apakšlīgumu slēgšanai bez apstiprinājuma; 5.3.6 izbeigšanas noteikumus, tostarp drošu datu atdošanu vai iznīcināšanu.”

Audita konsekvences nolūkā pārveidojiet šīs klauzulas līguma pārskatīšanas matricā. ISO 27001:2022 pielikuma A.5.20 kontrole sagaida, ka drošības prasības tiek saskaņotas ar piegādātājiem. GDPR Article 28 prasa apstrādātāju noteikumus, kas aptver konfidencialitāti, drošības pasākumus, palīdzību, apakšapstrādātājus, datu dzēšanu vai atdošanu un audita atbalstu. DORA Article 30 prasa detalizētus līgumiskos noteikumus IKT trešo pušu pakalpojumu sniedzējiem, tostarp pakalpojumu aprakstus, datu atrašanās vietu, drošību, palīdzību incidentos, sadarbību ar iestādēm, audita tiesības, piekļuves tiesības, izbeigšanu un pārejas kārtību. NIS2 piegādes ķēdes drošībai ir nepieciešama arī piemērojama piegādātāju sadarbība.

Zenith Controls kartē ISO/IEC 27002:2022 kontroli 5.20 uz piegādātāju līgumiem un norāda saiknes ar 5.19 piegādātāju attiecībām, 5.14 informācijas pārsūtīšanu, 5.22 piegādātāju uzraudzību, 5.11 aktīvu atdošanu un 5.36 atbilstību.

Galvenais ir ieviešana praksē. Ja mākoņpakalpojuma līgums piešķir piekļuvi SOC 2 pārskatiem, auditori var jautāt, vai pārskats tika iegūts, izņēmumi pārskatīti, trūkumu novēršana izsekota un risks atkārtoti izvērtēts. Ja līgums paredz paziņošanu par pārkāpumu, viņi var jautāt, vai jūsu incidentu rokasgrāmatā ir iekļauts piegādātāja kontaktu ceļš un regulatīvie lēmumu punkti. Ja apakšuzņēmēju izmaiņām nepieciešams apstiprinājums vai paziņojums, viņi var jautāt, vai apakšapstrādātāju paziņojumi tiek pārskatīti pirms akceptēšanas.

Līgums bez pārskatīšanas pierādījumiem ir arhīvs. Līgums, kas sasaistīts ar piegādātāju risku, uzraudzības ierakstiem un incidentu darbplūsmām, ir kontroles pasākums.

SaaS žurnālfiksēšana un konfigurācija ir biežas audita aklās zonas

Mākoņvides konstatējumi bieži rodas SaaS, nevis IaaS jomā. Infrastruktūras komandām parasti ir inženierijas īpašnieki, žurnālfiksēšanas cauruļvadi, pamatkonfigurācijas kontroles pasākumi un izmaiņu ieraksti. SaaS platformas ir sadrumstalotas pārdošanas, personāla, finanšu, klientu panākumu, mārketinga un operāciju funkcijās. Katra no tām var apstrādāt sensitīvus vai reglamentētus datus.

Clarysec Žurnālfiksēšanas un uzraudzības politika SME Žurnālfiksēšanas un uzraudzības politika SME to tieši risina 5.5 punktā:

“5.5 Mākoņpakalpojumi un trešo pušu žurnālfiksēšana 5.5.1 Platformām, kurās žurnālfiksēšana nav tiešā IT kontrolē (piemēram, SaaS e-pasts), piemēro šādas prasības: 5.5.1.1 žurnālfiksēšanai jābūt iespējotai un konfigurētai, ja tā ir pieejama; 5.5.1.2 brīdinājumi jānovirza IT atbalsta sniedzējam; 5.5.1.3 līgumos jāprasa, lai pakalpojumu sniedzēji glabā žurnālus vismaz 12 mēnešus un pēc pieprasījuma nodrošina piekļuvi.”

Uzņēmumiem Mākoņpakalpojumu izmantošanas politika papildus nosaka:

“Mākoņpakalpojumi jāintegrē organizācijas SIEM nepārtrauktai uzraudzībai.”

Šī prasība pārvērš SaaS no “biznesa rīka” par “uzraudzītu informācijas sistēmu”. Pierādījumiem jāietver žurnālfiksēšanas iestatījumu eksporti, SIEM savienotāja pierādījumi, brīdinājumu noteikumi, triāžas pieteikumi, glabāšanas iestatījumi un administratīvās piekļuves tiesību pārskatīšana.

Kritiskiem SaaS pakalpojumiem sagatavojiet pierādījumus par administratora kontu izveidi, aizdomīgām pieteikšanās reizēm, masveida lejupielādēm, publisku koplietošanu, MFA atspējošanu, API marķieru izveidi, ārējo viesu aktivitāti un privilēģiju paaugstināšanu. IaaS vajadzībām sagatavojiet CloudTrail vai līdzvērtīgu vadības plaknes žurnālfiksēšanu, glabātuves piekļuves žurnālus, IAM izmaiņas, plūsmas žurnālus, kur piemērojams, CSPM konstatējumus, ievainojamību skenēšanu, ielāpu pierādījumus, šifrēšanas iestatījumus, rezerves kopiju statusu, tīkla drošības grupu pārskatīšanu un izmaiņu pieteikumus.

Zenith Controls audita metodoloģija kontrolei 5.23 norāda, ka ISO/IEC 27007 stila audits var pārbaudīt AWS S3 grozu piekļuves tiesības, šifrēšanu, IAM politikas un CloudTrail žurnālfiksēšanu. COBIT orientēts auditors var pārskatīt brīdinājumu konfigurācijas, DLP kontroles pasākumus, Microsoft 365 Secure Score izmantošanu un izmaiņu pārvaldības žurnālus. NIST SP 800-53A skatījums var testēt kontu pārvaldību un uzraudzību, tostarp to, vai mākoņvides darbslodzes tiek ielāpota, skenēta un uzraudzīta ar tādu pašu stingrību kā iekšējās sistēmas.

Dažādi auditori runā dažādos dialektos. Jūsu pierādījumiem jābūt vieniem un tiem pašiem.

Izveidojiet regulatoram gatavu pierādījumu pakotni vienam SaaS un vienam IaaS pakalpojumam

Praktiska darbplūsma sākas ar vienu kritisku SaaS platformu un vienu kritisku IaaS vidi. Piemēram, Microsoft 365 sadarbībai un AWS produkcijas mitināšanai.

1. solis: atjauniniet Mākoņpakalpojumu reģistru

Microsoft 365 gadījumā ierakstiet mērķi, īpašnieku, datu tipus, reģionu, administratora kontus, līgumu, DPA, atbalsta kontaktu, atjaunošanas datumu un kritiskumu. AWS gadījumā ierakstiet produkcijas kontu, reģionus, datu kategorijas, darbslodzes, konta īpašnieku, root konta statusu, atbalsta plānu, līguma noteikumus un saistītos biznesa pakalpojumus.

Izmantojiet Mākoņpakalpojumu izmantošanas politika SME laukus kā minimālo datu kopu. Pievienojiet kritiskumu, regulatīvo nozīmīgumu un pierādījumu atrašanās vietu.

2. solis: dokumentējiet dalīto atbildību

Microsoft 365 gadījumā klienta atbildības ietver lietotāju dzīves ciklu, MFA, nosacījumpiekļuvi, viesu koplietošanu, glabāšanas marķējumus, DLP, ja to izmanto, žurnālfiksēšanu un incidentu eskalāciju. AWS gadījumā klienta atbildības ietver IAM, tīkla noteikumus, darbslodžu drošināšanu, šifrēšanas konfigurāciju, rezerves kopijas, žurnālfiksēšanu, ielāpu pārvaldību un lietojumprogrammu drošību.

Pievienojiet pakalpojumu sniedzēja dalītās atbildības dokumentāciju un pēc tam kartējiet katru klienta atbildību uz kontroles pasākuma īpašnieku un pierādījumu avotu.

3. solis: fiksējiet konfigurācijas pierādījumus

Microsoft 365 gadījumā eksportējiet vai uzņemiet ekrānuzņēmumus par MFA un nosacījumpiekļuves politikām, administratora lomām, ārējās koplietošanas iestatījumiem, audita žurnālfiksēšanu, glabāšanas konfigurāciju un drošības rādītāju darbībām. AWS gadījumā eksportējiet IAM paroļu politiku, privileģētās MFA statusu, CloudTrail konfigurāciju, S3 publiskās piekļuves bloķēšanu, šifrēšanas statusu, drošības grupu pārskatīšanu, rezerves kopiju uzdevumus un ievainojamību skenēšanas statusu.

Mākoņpakalpojumu izmantošanas politika prasa, lai mākoņvides atbilstu dokumentētai pamatkonfigurācijai, ko apstiprinājis mākoņdrošības arhitekts. Jūsu pierādījumu pakotnē jāiekļauj gan pamatkonfigurācija, gan atbilstības pierādījumi.

4. solis: sasaistiet piegādātāju un privātuma pierādījumus

Pievienojiet līgumu, DPA, apakšapstrādātāju sarakstu, pārkāpumu paziņošanas noteikumus, audita apliecinājuma pārskatus un datu atrašanās vietas pierādījumus. Ja tiek apstrādāti personas dati, ierakstiet, vai pakalpojumu sniedzējs darbojas kā apstrādātājs, kā tiek veikta dzēšana, kā darbojas datu subjektu pieprasījumu atbalsts un kādi pārsūtīšanas drošības pasākumi ir piemērojami.

DORA vajadzībām nosakiet, vai mākoņpakalpojums atbalsta kritisku vai svarīgu funkciju. Ja jā, sasaistiet pierādījumus ar IKT trešo pušu reģistru, sākotnējās izpētes lietu, audita tiesībām, izstāšanās plānu un koncentrācijas riska pārskatīšanu.

5. solis: sasaistiet žurnālfiksēšanu ar reaģēšanu uz incidentiem

Parādiet, ka žurnāli ir iespējoti, novirzīti, pārskatīti un izmantoti. Pievienojiet SIEM informācijas paneļus, brīdinājumu noteikumus un vismaz vienu slēgtu brīdinājuma pieteikumu. Pēc tam kartējiet darbplūsmu uz NIS2 un DORA ziņošanas lēmumu punktiem.

NIS2 vajadzībām incidentu procesam jāatbalsta 24 stundu agrīnais brīdinājums, 72 stundu incidenta paziņojums un viena mēneša galīgais ziņojums par būtiskiem incidentiem. DORA vajadzībām IKT incidentu procesam jāklasificē incidenti pēc ietekmētajiem klientiem, darījumiem, ilguma, dīkstāves, ģeogrāfiskās izplatības, datu ietekmes, pakalpojuma kritiskuma un ekonomiskās ietekmes.

6. solis: glabājiet pierādījumus disciplinēti

Clarysec Audita un atbilstības uzraudzības politika SME Audita un atbilstības uzraudzības politika SME 6.2 punkts definē praktisku pierādījumu disciplīnu:

“6.2 Pierādījumu vākšana un dokumentēšana 6.2.1 Visi pierādījumi jāglabā centralizētā audita mapē. 6.2.2 Failu nosaukumiem skaidri jānorāda audita tēma un datums. 6.2.3 Metadati (piemēram, kas pierādījumu savāca, kad un no kuras sistēmas) jādokumentē. 6.2.4 Pierādījumi jāglabā vismaz divus gadus vai ilgāk, ja to prasa sertifikācija vai klientu vienošanās.”

Uzņēmuma mēroga Audita un atbilstības uzraudzības politika Audita un atbilstības uzraudzības politika nosaka mērķi:

“Izveidot aizstāvamus pierādījumus un audita pēdu regulatīvo pieprasījumu, tiesvedības vai klientu apliecinājuma pieprasījumu atbalstam.”

Ekrānuzņēmums ar nosaukumu “screenshot1.png” ir vājš pierādījums. Fails ar nosaukumu “AWS-Prod-CloudTrail-Enabled-2026-05-10-CollectedBy-JSmith.png” ir spēcīgāks, jo tas apraksta sistēmu, kontroli, datumu un pierādījuma vācēju. Metadatiem ir nozīme, jo auditoriem jāuzticas, kad pierādījums tika savākts, kas to savāca un no kuras sistēmas.

Kā auditori testē vienu un to pašu mākoņvides kontroles pasākumu

Spēcīgākās mākoņa pierādījumu pakotnes ir izstrādātas vairākām audita perspektīvām. ISO 27001:2022 auditori testē, vai kontroles pasākums ir iekļauts ISMS, risku izvērtēšanā, riska apstrādē un SoA. NIST orientēti izvērtētāji testē tehnisko ieviešanu. COBIT 2019 auditori testē pārvaldību, piegādātāju veiktspēju un procesu integrāciju. Privātuma auditori koncentrējas uz apstrādātāju pienākumiem, datu rezidenci, gatavību pārkāpumiem un datu subjektu tiesībām. DORA uzraudzības pārbaudes koncentrējas uz IKT trešo pušu risku un noturību.

Zenith Controls ietver šīs audita metodoloģijas atšķirības mākoņpakalpojumiem, piegādātāju līgumiem un piegādātāju uzraudzībai. 5.22 kontrolei “Piegādātāju pakalpojumu uzraudzība, pārskatīšana un izmaiņu pārvaldība” tas uzsver, ka auditori var pārbaudīt ceturkšņa piegādātāju pārskatīšanas protokolus, KPI pārskatus, SOC pārskatu izvērtējumus, izmaiņu žurnālus, risku izvērtējumus, piegādātāju incidentus un problēmu izsekošanu. 5.20 kontrolei “Informācijas drošības prasību iekļaušana piegādātāju līgumos” tas uzsver līgumu izlases pārbaudi attiecībā uz konfidencialitāti, drošības pienākumiem, paziņošanu par pārkāpumu, audita tiesībām, apakšuzņēmēju apstiprinājumu un izbeigšanas noteikumiem.

Starpatbilstības kontroles pasākumi, kas nes mākoņa audita slodzi

Regulatoru pārbaudēm gatavs mākoņa pierādījumu modelis ir veidots ap nelielu skaitu augstas ietekmes kontroles pasākumu. Šie kontroles pasākumi nes lielu daļu atbilstības slodzes ISO 27001:2022, NIS2, DORA, GDPR, NIST un COBIT 2019 ietvaros.

NIST SP 800-53 Rev.5 pievieno tehnisko dziļumu ar kontu pārvaldību, ārējo sistēmu pakalpojumiem, nepārtrauktu uzraudzību, sistēmu uzraudzību un robežu aizsardzību. COBIT 2019 pievieno pārvaldības dziļumu ar piegādātāju attiecību pārvaldību, piegādātāju risku, datu apmaiņu, tīkla drošību un gatavību izmaiņām.

Atbalsta ISO standarti padara pierādījumu modeli precīzāku. ISO/IEC 27017 sniedz mākoņspecifiskas vadlīnijas par dalītām lomām, virtuālo mašīnu konfigurāciju un klienta darbību uzraudzību. ISO/IEC 27018 koncentrējas uz PII aizsardzību publiskajā mākonī. ISO/IEC 27701 paplašina privātuma pienākumus apstrādātāju un pārziņu operācijās. ISO/IEC 27036-4 atbalsta mākoņpakalpojumu piegādātāju līgumus un uzraudzību. ISO/IEC 27005 attiecas uz mākoņriska izvērtēšanu.

Vadības pārskatīšanā jāredz mākoņrisks, ne tikai mākoņpakalpojumu darbspējas laiks

Viens no visbiežāk nepietiekami novērtētajiem audita artefaktiem ir vadības pārskatīšana. ISO 27001:2022 sagaida, ka vadības pārskatīšanā tiks ņemtas vērā izmaiņas, ieinteresēto pušu vajadzības, veiktspējas tendences, audita rezultāti, riska apstrādes statuss un uzlabošanas iespējas. NIS2 prasa, lai vadības institūcijas apstiprina kiberdrošības risku pārvaldības pasākumus un pārrauga ieviešanu. DORA prasa, lai vadības institūcija definē, apstiprina, pārrauga un saglabā pārskatatbildību par IKT risku pārvaldību.

Ceturkšņa mākoņdrošības un piegādātāju informācijas panelī jāparāda:

• Apstiprināto mākoņpakalpojumu skaits.
• Kritiskie mākoņpakalpojumi un īpašnieki.
• Pakalpojumi, kas apstrādā personas datus.
• Pakalpojumi, kas atbalsta kritiskas vai svarīgas funkcijas.
• Atvērtās augsta riska mākoņvides nepareizās konfigurācijas.
• MFA un privileģētās piekļuves pārskatīšanas statuss.
• Žurnālfiksēšanas pārklājums kritiskām SaaS un IaaS platformām.
• Saņemtie un pārskatītie piegādātāju apliecinājuma pārskati.
• Līgumu izņēmumi un pieņemtie riski.
• Mākoņincidenti, gandrīz notikuši gadījumi un gūtās mācības.
• Rezerves kopiju un atjaunošanas testu rezultāti.
• Koncentrācijas riska un izstāšanās plāna statuss.

Šis informācijas panelis kļūst par pierādījumu ISO 27001:2022 vadībai un veiktspējas izvērtēšanai, NIS2 pārvaldībai un DORA vadības pārskatatbildībai.

Zenith Blueprint risku pārvaldības posma 14. solī iesaka savstarpēji atsaukties uz regulatīvajām prasībām, ieviešot riska apstrādes pasākumus un politikas. Tajā norādīts, ka galveno regulējumu prasību kartēšana uz ISMS kontroles pasākumiem ir noderīgs iekšējs uzdevums un “arī atstāj iespaidu uz auditoriem/izvērtētājiem, jo jūs nepārvaldāt drošību vakuumā, bet apzināties tiesisko kontekstu.”

Tā ir brieduma pakāpe, ko sagaida regulatori un uzņēmumu klienti.

Biežākie mākoņa audita konstatējumi un kā no tiem izvairīties

Mākoņvides audita gatavības darbos atkārtoti konstatējumi ir paredzami:

1. Mākoņpakalpojumu reģistrs pastāv, bet tajā trūkst SaaS rīku.
2. Datu atrašanās vieta nav ierakstīta vai ir nokopēta no mārketinga lapām, nevis balstīta līguma pierādījumos.
3. MFA tiek piemērota darbiniekiem, bet ne visiem administratīvajiem vai break-glass kontiem.
4. Mākoņvides žurnāli ir iespējoti, bet netiek pārskatīti, glabāti vai sasaistīti ar reaģēšanu uz incidentiem.
5. Piegādātāju SOC pārskati tiek arhivēti, bet netiek izvērtēti.
6. Līguma klauzulas pastāv jauniem piegādātājiem, bet ne mantotajiem kritiskajiem pakalpojumiem.
7. Apakšapstrādātāju paziņojumi tiek saņemti e-pastā, bet tiem netiek veikta risku izvērtēšana.
8. Rezerves kopiju uzdevumi izpildās sekmīgi, bet atjaunošanas testi nav pierādīti.
9. Inženieri saprot dalīto atbildību, bet tā nav dokumentēta auditoriem.
10. SoA atzīmē mākoņvides kontroles pasākumus kā piemērojamus, bet nesasaista tos ar riska ierakstiem, pierādījumiem vai īpašniekiem.

Tās ir izsekojamības problēmas. Risinājums ir sasaistīt politiku, risku, kontroles pasākumu, īpašnieku, pierādījumus un pārskatīšanu.

Kad pienāca Marijas audita diena, viņa vairs nepaļāvās uz izkaisītiem ekrānuzņēmumiem. Viņa atvēra centrālu informācijas paneli, kurā bija Mākoņpakalpojumu reģistrs, risku izvērtējumi, SoA ieraksti, pamatkonfigurācijas pierādījumi, piegādātāju pārskatīšanas faili, žurnālfiksēšanas pierādījumi un DORA koncentrācijas riska pārskatīšana. Kad auditors jautāja, kā tiek pārvaldīti mākoņriski, viņa parādīja ISMS. Kad auditors jautāja, kā pakalpojumi tiek droši konfigurēti, viņa parādīja pamatkonfigurāciju un CSPM pierādījumus. Kad auditors jautāja par IKT trešo pušu risku, viņa parādīja līgumu pārskatīšanu, piegādātāju uzraudzību un izstāšanās plānošanu.

Rezultāts nebija perfekta vide. Neviena mākoņvide nav perfekta. Atšķirība bija tajā, ka riska lēmumi bija dokumentēti, pierādījumi bija aizstāvami un pārskatatbildība bija redzama.

Izveidojiet savu mākoņa pierādījumu pakotni, pirms to prasa auditors

Ja jūsu organizācija paļaujas uz SaaS, IaaS vai PaaS, nākamajā auditā atbilde “to pārvalda pakalpojumu sniedzējs” nebūs pietiekama. Jums jāpierāda dalītā atbildība, klienta puses konfigurācija, piegādātāju klauzulas, žurnālfiksēšana, gatavība incidentiem, noturība un vadības pārraudzība.

Sāciet ar trim praktiskām darbībām šonedēļ:

1. Izveidojiet vai atjauniniet savu Mākoņpakalpojumu reģistru, izmantojot Clarysec Mākoņpakalpojumu izmantošanas politiku Mākoņpakalpojumu izmantošanas politika vai Mākoņpakalpojumu izmantošanas politika SME Mākoņpakalpojumu izmantošanas politika SME.
2. Kartējiet savus piecus nozīmīgākos mākoņpakalpojumus uz ISO 27001:2022 pielikuma A kontroles pasākumiem, NIS2 Article 21, DORA IKT trešo pušu pienākumiem, kur piemērojams, un GDPR apstrādātāju prasībām.
3. Izveidojiet centralizētu pierādījumu mapi, izmantojot glabāšanas un metadatu disciplīnu no Audita un atbilstības uzraudzības politikas Audita un atbilstības uzraudzības politika vai Audita un atbilstības uzraudzības politika SME Audita un atbilstības uzraudzības politika SME.

Pēc tam izmantojiet Zenith Blueprint Zenith Blueprint, lai šo darbu ievietotu 30 soļu ISMS audita ceļvedī, un Zenith Controls Zenith Controls, lai validētu starpatbilstības kartējumus, atbalsta ISO standartus un audita metodoloģijas gaidas.

Clarysec var palīdzēt pārvērst izkaisītus mākoņvides ekrānuzņēmumus, piegādātāju failus un SaaS iestatījumus regulatoru pārbaudēm gatavā pierādījumu pakotnē, kas iztur ISO 27001:2022 sertifikācijas auditus, NIS2 uzraudzības jautājumus, DORA IKT trešo pušu pārskatīšanu un uzņēmumu klientu apliecinājuma prasības.