ISO 27001 IDPS darbības joma NIS2, DORA un GDPR vajadzībām

Maria, strauji augoša Eiropas fintech uzņēmuma CISO, uzskatīja, ka ISO 27001 uzraudzības audits ir kontrolēts.

Sertifikāts bija nesen iegūts. Piemērojamības paziņojums izskatījās nobriedis. Darbības jomas paziņojums aptvēra “uzņēmuma informācijas drošības pārvaldības sistēmu, kas atbalsta SaaS platformas darbību”. Ražošanas mākoņvide bija dokumentēta. Incidentu reaģēšanas procedūra bija ieviesta. Riska reģistrā bija norādīti īpašnieki, termiņi un atlikušā riska vērtējumi.

Tad auditors uzdeva vienu vienkāršu jautājumu:

“Kuras šīs SaaS platformas daļas vienlaikus ietilpst NIS2 reģistrācijas darbības jomā, kuri ārpakalpojumi atbalsta DORA kritiskās vai svarīgās funkcijas jūsu finanšu klientiem, un kur tieši tiek apstrādāti GDPR personas dati?”

Telpā iestājās klusums.

Juridiskais dienests atvēra regulatīvo pienākumu izklājlapu. Produktu komanda atvēra arhitektūras shēmu. Datu aizsardzības speciālists atvēra personas datu apstrādes darbību reģistru. Iepirkumu komanda atvēra piegādātāju sarakstu. Operāciju komanda atvēra avārijas atjaunošanas plānu. Neviens no šiem dokumentiem nesakrita.

IDPS darbības joma norādīja “SaaS platforma”. NIS2 izvērtējums identificēja digitālās infrastruktūras pakalpojumus vairākās dalībvalstīs. Klientu līgumos platforma tika aprakstīta kā regulētu finanšu operāciju atbalsta risinājums. GDPR reģistros bija identitātes dati, telemetrija, IP adreses, maksājumu metadati, atbalsta pieteikumi un apakšuzņēmējiem nodota analītika. Avārijas atjaunošanas plāns aptvēra ražošanas vidi, bet ne klientu atbalsta platformu, ko izmanto paziņojumiem par pārkāpumiem. Piegādātāju pienācīgā pārbaude aptvēra mitināšanas pakalpojumu sniedzēju, bet ne pārvaldītās detektēšanas pakalpojumu, kas pieslēgts ražošanas žurnāliem.

Tā ir 2026. gada IDPS darbības jomas noteikšanas problēma. ISO 27001 sertifikācija joprojām ir vērtīga, taču šaura “minimāli dzīvotspējīga darbības joma” var kļūt par atbildības risku, ja uzraugi, klienti un auditori sagaida, ka tā pati pārvaldības sistēma spēs izskaidrot NIS2 būtiskos pakalpojumus, DORA kritiskās vai svarīgās funkcijas un GDPR apstrādes robežas.

ISO/IEC 27001:2022, NIS2, DORA un GDPR kontekstā vāja darbības joma nav administratīvs trūkums. Tā ir pirmais domino kauliņš. Ja darbības joma ir kļūdaina, risku izvērtēšana ir nepilnīga, SoA ir maldinošs, piegādātāju kontroles pasākumi neaptver kritiskos pakalpojumu sniedzējus, incidentu ziņošanas termiņu atskaite kļūst neskaidra, un privātuma pārskatatbildība sadrumstalojas starp komandām.

Kāpēc ISO 27001 IDPS darbības joma tagad ir regulatīva robeža

ISO/IEC 27001:2022 4.3. punkts prasa organizācijai noteikt IDPS robežas un piemērojamību, ņemot vērā iekšējos un ārējos apstākļus, ieinteresēto pušu prasības, kā arī saskarnes un atkarības ar citām organizācijām ISO/IEC 27001:2022.

Šim formulējumam 2026. gadā ir lielāka nozīme nekā iepriekšējos sertifikācijas ciklos. NIS2, DORA, GDPR, mākoņpakalpojumu ārpakalpojumi, klientu līgumi, grupas tehnoloģiju pakalpojumi un pārvaldīto pakalpojumu sniedzēji nav blakus piezīmes. Tie ir ievaddati IDPS robežu noteikšanai.

NIS2 paaugstina pārvaldības prasību līmeni būtiskām un svarīgām vienībām. Tā prasa vadības struktūrām apstiprināt kiberdrošības risku pārvaldības pasākumus, uzraudzīt to ieviešanu un saņemt apmācību. NIS2 Article 21 prasa atbilstošus un samērīgus tehniskos, operacionālos un organizatoriskos pasākumus, tostarp riska analīzi, incidentu apstrādi, darbības nepārtrauktību, piegādes ķēdes drošību, drošu iegādi un izstrādi, efektivitātes izvērtēšanu, kiberdrošības higiēnu, kriptogrāfiju, personāla drošību, piekļuves kontroli, aktīvu pārvaldību un daudzfaktoru autentifikāciju, ja tā ir atbilstoša.

DORA maina darbības jomas diskusiju finanšu iestādēm. Tā ir piemērojama no 2025. gada 17. janvāra un nosaka vienotas prasības IKT risku pārvaldībai, ar IKT saistītu incidentu ziņošanai, digitālās darbības noturības testēšanai, informācijas apmaiņai un IKT trešo pušu riska pārvaldībai. DORA Article 6 prasa dokumentētu IKT risku pārvaldības ietvaru. DORA Article 8 prasa identificēt, klasificēt un dokumentēt ar IKT atbalstītās biznesa funkcijas, informācijas aktīvus un IKT aktīvus, tostarp atkarības. DORA Article 28 prasa pārvaldīt IKT trešo pušu risku.

GDPR pievieno personas datu asi. Tas attiecas uz automatizētu vai strukturētu personas datu apstrādi, tostarp apstrādi ES uzņēmumos un noteiktiem ārpus ES esošiem pārziņiem vai apstrādātājiem, kas piedāvā preces vai pakalpojumus personām Savienībā vai uzrauga viņu uzvedību. GDPR Article 30 prasa personas datu apstrādes darbību reģistrus, Article 32 prasa apstrādes drošību, savukārt Article 33 nosaka prasības attiecībā uz paziņošanu par pārkāpumu.

Tādēļ aizstāvama IDPS darbības joma netiek rakstīta ap struktūrvienībām. Tā tiek rakstīta ap regulētiem pakalpojumiem, kritiskām vai svarīgām funkcijām, personas datu apstrādi, atbalstošajiem aktīviem un trešo pušu atkarībām.

Kļūda: ISO 27001, NIS2, DORA un GDPR uztvert kā atsevišķas programmas

Daudzās organizācijās redzams izplatīts modelis:

• Drošības komanda sagatavo ISO 27001 darbības jomu.
• Juridiskais dienests izvērtē NIS2 piemērojamību.
• Risku vai atbilstības funkcija pārvalda DORA pienākumus.
• Privātuma funkcija uztur GDPR personas datu apstrādes darbību reģistrus.
• Iepirkumu komanda ir atbildīga par piegādātāju sarakstu.
• Operāciju komanda ir atbildīga par darbības nepārtrauktību un avārijas atjaunošanu.

Katra komanda var strādāt pamatoti un profesionāli. Problēma ir tā, ka regulētā realitāte šķērso visas šīs jomas.

Mākoņvidē izvietots klientu identitātes pakalpojums vienlaikus var atbalstīt NIS2 pakalpojumu sniegšanu, DORA regulētas klientu operācijas un GDPR personas datu apstrādi. Pārvaldītās detektēšanas pakalpojumu sniedzējs var būt drošības piegādātājs, incidentu reaģēšanas atkarība, žurnālu datu apstrādātājs vai apakšapstrādātājs un būtisks ievaddats lēmumiem par regulatīvo paziņošanu. Atbalsta platformu var uzskatīt par “neprodukcijas” vidi, lai gan tajā tiek apstrādāti paziņojumi par personas datu pārkāpumiem un klientu pierādījumu pieprasījumi.

IDPS ir piemērotākā vieta šo pienākumu integrēšanai, jo ISO 27001 liek uzdot vienu disciplinētu jautājumu: kas atrodas robežās, kas ir ārpus tām, un kāpēc?

Clarysec Zenith Blueprint: auditora 30 soļu ceļvedis Zenith Blueprint šo jautājumu aplūko IDPS pamata un vadības posmā, 2. solī: ieinteresēto pušu vajadzības un IDPS darbības joma:

“Kad konteksts ir izprasts un ieinteresēto pušu prasības identificētas, 4.3. punkts prasa noteikt IDPS robežas un piemērojamību, lai izveidotu tās darbības jomu. IDPS darbības joma ir būtiska definīcija, kas nosaka, kas ir iekļauts jūsu drošības pārvaldības programmā (un kas nav).”

Zenith Blueprint arī uzsver aspektu, ko daudzi darbības jomas paziņojumi joprojām palaiž garām:

“Ja jūs nododat savu IT infrastruktūru ārpakalpojumā mākoņpakalpojumu sniedzējam, tas to neizslēdz no darbības jomas; drīzāk jūs iekļaujat šo attiecību pārvaldību un mākoņvides aktīvus darbības jomā.”

Ārpakalpojums pārvieto izpildi. Tas nedzēš pārskatatbildību.

Četru robežu modelis ISO 27001 darbības jomai 2026. gadā

Organizācijām, uz kurām attiecas NIS2, DORA un GDPR, Clarysec iesaka definēt ISO 27001 IDPS darbības jomu, izmantojot četras savstarpēji saistītas robežas.

Vājš darbības jomas paziņojums norāda tikai “SaaS platforma”. Spēcīgāks paziņojums nosaka, kuri biznesa pakalpojumi, sistēmas, vides, atrašanās vietas, datu apstrādes darbības, personāla grupas, piegādātāju attiecības un pārvaldības procesi ir iekļauti.

Aizstāvamāka versija varētu būt šāda:

“IDPS aptver uzņēmuma ES SaaS maksājumu analītikas platformas informācijas drošības pārvaldību, risku pārvaldību, darbību un nepārtrauktu pilnveidi, tostarp ražošanas un neprodukcijas mākoņvides, klientu identitātes pakalpojumus, administratīvās saskarnes, atbalsta operācijas, žurnālfiksēšanas un uzraudzības platformas, incidentu reaģēšanu, darbības nepārtrauktību, piegādātāju pārvaldību un visas personas datu apstrādes darbības, kas atbalsta pakalpojumu. IDPS ietver ārpakalpojumā nodotas mākoņvides mitināšanas, pārvaldītās detektēšanas un klientu atbalsta rīku pārvaldību, ja tie tiek izmantoti pakalpojuma sniegšanai, noturībai, drošības uzraudzībai vai ar GDPR saistītai komunikācijai.”

Šī darbības joma nav tikai garāka. Tā ir labāk auditējama, jo sasaista pakalpojumus, aktīvus, apstrādi un atkarības.

Kā Clarysec politikas pārvērš darbības jomu pārvaldības valodā

Darbības jomai nevajadzētu pastāvēt atsevišķā dokumentā. Tai jābūt saskaņotai ar informācijas drošības politiku, tiesisko un regulatīvo atbilstību, risku pārvaldību, privātumu, piegādātāju pārvaldību, audita kritērijiem un nepārtrauktības plānošanu.

Enterprise Informācijas drošības politika Informācijas drošības politika novērš neskaidrību par izņēmumiem:

“Jebkuri šīs darbības jomas izņēmumi vai ierobežojumi ir jādokumentē IDPS darbības jomas paziņojumā un jāpamato ar formālu augstākās vadības apstiprinājumu.”

Šī klauzula ir svarīga, ja biznesa struktūrvienība apgalvo, ka klientu atbalsts ir ārpus platformas, lai gan atbalsta aģenti piekļūst klientu identifikatoriem un apstrādā paziņojumus par pārkāpumiem. Izņēmums ir pieļaujams tikai tad, ja tas ir dokumentēts, pamatots un apstiprināts.

Enterprise Tiesiskās un regulatīvās atbilstības politika Tiesiskās un regulatīvās atbilstības politika padara juridisko kartēšanu operacionāli īstenojamu:

“Visi tiesiskie un regulatīvie pienākumi jākartē uz konkrētām politikām, kontroles pasākumiem un īpašniekiem informācijas drošības pārvaldības sistēmā (IDPS).”

Tas ir tilts starp juridisko piemērojamību un Piemērojamības paziņojumu. NIS2 Article 21 nedrīkst palikt tikai juridiskā piezīmē. DORA IKT trešo pušu pienākumiem nevajadzētu palikt tikai iepirkumu vadlīnijās. GDPR Article 30 un Article 32 pienākumiem nevajadzētu atrasties tikai privātuma reģistrā. Tiem nepieciešami kartēti īpašnieki, kontroles pasākumi un pierādījumi.

Enterprise Risku pārvaldības politika Risku pārvaldības politika paplašina darbības jomu līdz trešajām pusēm:

“Šī politika attiecas uz visām organizācijas struktūrvienībām, biznesa procesiem, sistēmām, personālu un trešo pušu iesaistēm, kas saistītas ar informācijas aktīvu apstrādi, izstrādi, glabāšanu vai pārvaldību.”

Šāds formulējums ir saskaņots ar NIS2 piegādes ķēdes drošību, DORA IKT trešo pušu risku un GDPR pārziņa vai apstrādātāja pārskatatbildību.

Enterprise Datu aizsardzības un privātuma politika Datu aizsardzības un privātuma politika piesaista privātuma darbības jomu apstrādei:

“Šī politika attiecas uz visām organizācijas struktūrvienībām, personālu un sistēmām, kas iesaistītas personu identificējošas informācijas (PII) apstrādē, tostarp:”

Princips ir izšķirošs. Ja sistēma apstrādā PII, tā nevar būt neredzama IDPS tikai tāpēc, ka tā ir “tikai atbalsta” sistēma, “neprodukcijas” vide vai “pieder mārketingam”.

Enterprise Darbības nepārtrauktības politika un avārijas atjaunošanas politika Darbības nepārtrauktības politika un avārijas atjaunošanas politika sasaista darbības jomu ar BIA rezultātiem:

“Šī politika attiecas uz visām organizācijas struktūrvienībām, informācijas sistēmām, biznesa procesiem, personālu un trešo pušu pakalpojumiem, kas, pamatojoties uz biznesa ietekmes analīzes (BIA) rezultātiem, klasificēti kā kritiski vai būtiski.”

Šī klauzula dabiski saskan ar DORA kritiskajām vai svarīgajām funkcijām un NIS2 pakalpojumu nepārtrauktību.

Mazākām organizācijām Clarysec SME politikas saglabā formulējumu īsu, vienlaikus uzturot to pašu loģiku. SME Audita un atbilstības uzraudzības politika-sme Audita un atbilstības uzraudzības politika-sme - SME audita tvērumu definē kā:

“Visi kontroles pasākumi un sistēmas, kas ietilpst informācijas drošības pārvaldības sistēmas (IDPS) darbības jomā”

SME Datu aizsardzības un privātuma politika-sme Datu aizsardzības un privātuma politika-sme - SME privātuma darbības jomu definē kā:

“Jebkura sistēma, lietojumprogramma vai atrašanās vieta, kurā personas dati tiek glabāti vai pārsūtīti”

SME Risku pārvaldības politika-sme Risku pārvaldības politika-sme - SME uztur ārpakalpojumus redzamus:

“Visa informācija, pakalpojumi un aktīvi, ko pārvalda iekšēji vai ar trešo pušu starpniecību”

Šādas īsas klauzulas ir spēcīgas, jo tās neļauj sertifikācijas robežai izslēgt regulētus datus, mākoņpakalpojumus vai piegādātāju pārvaldītus aktīvus.

Aktīvu uzskaite ir vieta, kur darbības joma kļūst reāla

Darbības jomas paziņojums ir ticams tikai tad, ja to var izsekot līdz aktīviem, īpašniekiem, piegādātājiem, datu plūsmām un pierādījumiem.

Zenith Blueprint risku pārvaldības posmā, 9. solī: aktīvu, apdraudējumu un ievainojamību identificēšana, organizācijām uzdod uzskaitīt aktīvus IDPS darbības jomā un fiksēt īpašnieku, atrašanās vietu un klasifikāciju. Tajā sniegts praktisks piemērs:

“Klientu datubāze – pieder IT nodaļai – mitināta AWS – satur personas un finanšu datus (augsta sensitivitāte).”

Tas pats solis pievieno darbības jomas atgādinājumu, kas ir tieši svarīgs NIS2 un GDPR:

“Nodrošiniet, ka personas datu aktīvi ir atzīmēti (GDPR nozīmīgumam) un kritisko pakalpojumu aktīvi ir norādīti (potenciālai NIS2 piemērojamībai, ja darbojaties regulētā nozarē).”

Clarysec Zenith Controls: starpatbilstības ceļvedis Zenith Controls ISO/IEC 27002:2022 kontroles pasākumu 5.9 “Informācijas un citu saistīto aktīvu uzskaite” traktē kā pamata starpatbilstības kontroles pasākumu. Tā atribūti klasificē kontroles pasākumu kā preventīvu, kas atbalsta konfidencialitāti, integritāti un pieejamību, ir saskaņots ar kiberdrošības konceptu Identify, aktīvu pārvaldības operacionālo spēju un pārvaldības, ekosistēmas un aizsardzības domēniem.

Zenith Controls skaidri izskaidro GDPR un NIS2 nozīmi:

“Bez precīzas un aktuālas aktīvu uzskaites organizācijas nevar izvērtēt vai ieviest atbilstošus aizsardzības pasākumus.”

NIS2 vajadzībām aktīvu uzskaite atbalsta kritisko sistēmu un komponentu identificēšanu, kas nodrošina būtiskus vai svarīgus pakalpojumus. DORA gadījumā DORA Article 8 padara IKT aktīvu un informācijas aktīvu identificēšanu par centrālu darbības noturības elementu. GDPR gadījumā aktīvu uzskaite atbalsta datu plūsmu kartēšanu, RoPA kvalitāti un reaģēšanu uz pārkāpumiem.

Saistītie ISO standarti nostiprina to pašu loģiku. ISO/IEC 27005:2024 pastiprina aktīvu identificēšanu informācijas drošības risku izvērtēšanā. ISO 22301:2019 atbalsta darbības nepārtrauktībai nepieciešamo resursu identificēšanu. ISO/IEC 19770-1:2017 atbalsta IT aktīvu pārvaldības briedumu. ISO/IEC 27017:2015 un ISO/IEC 27018:2019 atbalsta mākoņpakalpojumiem specifiskus kontroles pasākumus un PII aizsardzību publiskajos mākoņos. ISO/IEC 27701:2019 paplašina privātuma informācijas pārvaldību. ISO/IEC 29100:2011 sniedz privātuma principus, piemēram, pārredzamību, minimizēšanu un drošības pasākumus.

Praktisks darbības jomas noteikšanas uzdevums SaaS un fintech komandām

Sāciet ar vienu regulētu pakalpojumu, nevis visu uzņēmumu. Piemēram: “ES maksājumu analītikas SaaS finanšu iestādēm.”

Pēc tam izveidojiet karti no pakalpojuma uz aktīvu un apstrādi.

Detalizētāks aktīvu piemērs varētu izskatīties šādi.

Tālāk izmantojiet Zenith Blueprint 13. soli: risku apstrādes plānošana un Piemērojamības paziņojums. Ceļvedis norāda lietotājiem veidot SoA, izmantojot veidni, kas uzskaita visus Annex A kontroles pasākumus, un lemt par piemērojamību, pamatojoties uz riska apstrādi, tiesiskajām vai līgumiskajām prasībām, darbības jomas nozīmi un organizācijas kontekstu. Tajā teikts:

“Katram kontroles pasākumam (rindai) SoA lapā izlemiet, vai tas ir piemērojams jūsu IDPS.”

Iepriekš minētajā piemērā SoA jāapsver kontroles pasākumi piegādātāju drošībai, mākoņpakalpojumiem, incidentu pārvaldībai, nepārtrauktībai, tiesiskajām un regulatīvajām prasībām, privātumam, ievainojamību pārvaldībai, rezerves kopijām, žurnālfiksēšanai, uzraudzībai, kriptogrāfijai, drošai izstrādei, drošības testēšanai un izmaiņu pārvaldībai.

Praktiska darbplūsma ir šāda:

1. Riska reģistrā un SoA veidotājā izveidojiet cilni “IDPS darbības jomas kartēšana”.
2. Pievienojiet vienu rindu katram regulētajam pakalpojumam vai produktu līnijai.
3. Sasaistiet katru pakalpojumu ar aktīviem, datu tipiem, piegādātājiem, atrašanās vietām un biznesa īpašniekiem.
4. Atzīmējiet NIS2 nozīmi, DORA nozīmi un GDPR apstrādes nozīmi.
5. Pievienojiet riska scenārijus nepieejamam pakalpojumam, personas datu aizsardzības pārkāpumam, piegādātāja atteicei, mākoņvides nepareizai konfigurācijai, kritiskai ievainojamībai un incidentu ziņošanas neizpildei.
6. Atlasiet SoA kontroles pasākumus, pamatojoties uz šiem riskiem un pienākumiem.
7. Dokumentējiet izņēmumus, kompensējošos kontroles pasākumus un riska pieņemšanu.
8. Iegūstiet augstākās vadības apstiprinājumu galīgajām robežām un izņēmumiem.
9. Nododiet galīgo robežu iekšējam auditam, vadības pārskatīšanai un piegādātāju uzraudzībai.

Rezultāts nav tikai labāks darbības jomas paziņojums. Tā ir aizstāvama ķēde no regulēta pakalpojuma līdz aktīvam, piegādātājam, datiem, kontroles pasākumam, īpašniekam un pierādījumiem.

Starpatbilstības kartēšana: viena darbības joma, daudzi pienākumi

Labi noteikta ISO 27001 IDPS darbības joma kļūst par operacionālo slāni, kurā var saskaņot NIS2, DORA, GDPR, NIST CSF un COBIT prasības.

ISO/IEC 27002:2022 kontroles pasākumam 5.31 “Tiesiskās, normatīvās, regulatīvās un līgumiskās prasības” Zenith Controls sasaista atbilstības pienākumus ar privātumu, PII aizsardzību, ierakstu glabāšanu, neatkarīgu pārskatīšanu un iekšējo politiku atbilstību. Tas dabiski kartējas uz GDPR pārskatatbildību, NIS2 piegādes ķēdes atbilstību, DORA IKT risku pārvaldību un atbilstību, NIST CSF pārvaldību un COBIT 2019 ārējās atbilstības uzraudzību.

ISO/IEC 27002:2022 kontroles pasākumam 5.34 “PII privātums un aizsardzība” Zenith Controls sasaista privātumu ar aktīvu uzskaiti, mākoņpakalpojumiem, klasifikāciju, informācijas pārsūtīšanu, piekļuves kontroli, identitāšu pārvaldību un projektu izmaiņu pārskatīšanu. Tā GDPR kartējums aptver apstrādes drošību un datu aizsardzību pēc projektēšanas. Tā DORA kartējums atbalsta datu integritāti, drošību un konfidencialitāti, tostarp personas datus, kas tiek apstrādāti IKT pakalpojumos.

Princips ir vienkāršs: neveidojiet četras nesaistītas atbilstības programmas. Izveidojiet vienu noteiktas darbības jomas IDPS, kas spēj izskaidrot, kā pienākumi tiek izpildīti, pierādīti un auditēti.

Incidentu ziņošanas darbības joma: kur robežas ietekmē regulatīvos termiņus

Nepareiza darbības joma incidentu laikā kļūst sāpīgi redzama.

NIS2 Article 23 prasa pakāpenisku ziņošanu par būtiskiem incidentiem, tostarp agrīno brīdinājumu 24 stundu laikā, incidenta paziņojumu 72 stundu laikā, starpziņojumus pēc pieprasījuma un galīgo ziņojumu viena mēneša laikā. Var būt nepieciešama arī saziņa ar ietekmētajiem saņēmējiem.

DORA prasa finanšu iestādēm atklāt, pārvaldīt, klasificēt un ziņot par būtiskiem ar IKT saistītiem incidentiem, izmantojot kritērijus, piemēram, ietekmētos klientus vai darījumu partnerus, ilgumu, dīkstāvi, ģeogrāfisko izplatību, datu zudumus, ietekmēto pakalpojumu kritiskumu un ekonomisko ietekmi. Klienti bez nepamatotas kavēšanās jāinformē, ja būtisks IKT incidents ietekmē viņu finanšu intereses.

GDPR paziņošana par personas datu aizsardzības pārkāpumu ir atkarīga no tā, vai pārkāpums izraisa personas datu nejaušu vai nelikumīgu iznīcināšanu, zudumu, pārveidošanu, neatļautu izpaušanu vai piekļuvi tiem.

Ja atbalsta platforma, žurnālu vide, identitātes pakalpojums, klientu paziņošanas kanāls vai pārvaldītās detektēšanas pakalpojumu sniedzējs atrodas ārpus IDPS darbības jomas, incidentu komandas var nezināt, vai notikums aktivizē NIS2, DORA, GDPR, klienta līguma ziņošanu vai visu minēto. Šī nenoteiktība patērē ziņošanas termiņu.

Nobriedusi darbības joma ietver incidentiem nozīmīgas atkarības: detektēšanas rīkus, žurnālu glabātuves, digitālās kriminālistikas repozitorijus, klientu saziņas kanālus, atbalsta rīkus, rezerves kopiju vides, incidentu tiltus un piegādātājus, kas iesaistīti triāžā vai atjaunošanā.

Kā auditori un uzraugi pārbaudīs jūsu IDPS darbības jomu

Spēcīga darbības joma iztur izlasi. Vāja darbības joma sabrūk, kad auditori salīdzina dokumentus ar realitāti.

Zenith Controls sniedz noderīgas audita gaidas ISO/IEC 27002:2022 kontroles pasākumam 5.9. ISO/IEC 19011 stila auditori inventarizāciju pieprasa agrīni, lai noteiktu citu izvērtējumu darbības jomu un izlases veidā pārbaudītu fiziskos, programmatūras un mākoņvides aktīvus. ISO/IEC 27007 stila auditori jautā, kā un kad inventarizācija tiek atjaunināta, meklējot saiknes ar iepirkumu, izmaiņu pārvaldību un izņemšanu no ekspluatācijas. NIST SP 800-53A stila auditori pārbauda, vai uzskaites dati ietver aktīva tipu, īpašnieku, atrašanās vietu, tīkla adresi, ja piemērojams, un statusu, kā arī vai ir iekļauti mākoņvides, virtuālie un mobilie aktīvi.

Kontroles pasākumam 5.31 Zenith Controls norāda, ka sertifikācijas auditori sagaida atbilstības reģistru vai likumu un līgumu sarakstu, uz kuru ir atsauces SoA un riska apstrādes plānos. COBIT auditori meklē atbilstības īpašniekus, izvērtējumus un ziņošanu augstākajai vadībai. ISACA ITAF auditori pārbauda pierādījumu izlasi, lai apstiprinātu, ka organizācija ne tikai zina savus pienākumus, bet aktīvi nodrošina to izpildi.

Kontroles pasākumam 5.34 auditori pārskata privātuma politikas, datu uzskaites, DPIA, apmācību žurnālus, šifrēšanas pierādījumus, piekļuves kontroles pasākumus, DSAR paraugus, datu aizsardzības pēc projektēšanas pierādījumus un ar PII saistītus incidentu ierakstus. Darbības jomas paziņojums, kas izslēdz sistēmu, kura apstrādā personas datus, ātri tiks apstrīdēts.

Valdes jautājums: ko nedrīkst izslēgt?

Augstākā vadība bieži jautā, vai biznesa struktūrvienība, atrašanās vieta, piegādātājs vai sistēma var palikt ārpus IDPS darbības jomas. Dažreiz atbilde ir jā. Taču ne tad, ja izslēgšana liedz organizācijai izpildīt tiesiskos, regulatīvos, līgumiskos vai pakalpojuma drošības pienākumus.

Pirms jebkura robežas ierobežojuma apstiprināšanas izmantojiet šo izņēmuma testu:

• Vai struktūrvienība, sistēma vai piegādātājs atbalsta NIS2 regulētu pakalpojumu?
• Vai tas atbalsta DORA kritisku vai svarīgu funkciju organizācijai vai tās regulētajiem klientiem?
• Vai tas vāc, glabā, pārsūta, reģistrē žurnālos, atbalsta vai dzēš personas datus?
• Vai tas nodrošina drošības uzraudzību, identitāti, rezerves kopijas, incidentu reaģēšanu vai atjaunošanu darbības jomā iekļautam pakalpojumam?
• Vai tas nodrošina pierādījumus, kas nepieciešami incidentu klasifikācijai vai regulatīvajai paziņošanai?
• Vai klienta līgums prasa to iekļaut IDPS darbības jomā?
• Vai tā kompromitēšana ietekmētu konfidencialitāti, integritāti, pieejamību, tiesisko atbilstību vai pakalpojumu nepārtrauktību norādītajā darbības jomā?

Ja atbilde ir jā, izņēmumam nepieciešami spēcīgi pierādījumi, kompensējoša pārvaldība, riska pieņemšana un formāls augstākās vadības apstiprinājums. Daudzos gadījumos to nevajadzētu izslēgt.

Mūsdienīgai ISO 27001 IDPS darbības jomai jāietver:

1. Aptvertie biznesa pakalpojumi un produktu līnijas.
2. Aptvertās juridiskās personas, organizatoriskās struktūrvienības un atrašanās vietas.
3. Klientu segmenti un jurisdikcijas, kas nosaka pienākumus.
4. Kritiskās vai svarīgās funkcijas un uz BIA balstīti būtiskie pakalpojumi.
5. Informācijas aktīvi, IKT aktīvi un mākoņvides.
6. Personas datu apstrādes darbības un PII repozitoriji.
7. Izstrādes, testēšanas, atbalsta, uzraudzības un incidentu procesi.
8. Piegādātāji un ārpakalpojumi, kas atbalsta darbības jomā iekļautos pakalpojumus.
9. Saskarnes un atkarības ar grupas uzņēmumiem vai ārējiem pakalpojumu sniedzējiem.
10. Skaidri izņēmumi ar pamatojumu, riska pieņemšanu un augstākās vadības apstiprinājumu.

Tādējādi ISO 27001 darbības joma kļūst par valdes līmeņa pārvaldības pozīciju, nevis sertifikācijas saīsni.

Padariet savu IDPS darbības jomu gatavu auditam, pirms auditors to definē jūsu vietā

Sliktākais brīdis atklāt darbības jomas problēmu ir sertifikācijas, uzraudzības pārskata, klienta pienācīgās pārbaudes vai reāla incidenta laikā.

Šaurs sertifikāts var apmierināt iepirkuma kontrolatzīmi, bet tas neizturēs nopietnu pārbaudi, ja izslēdz pakalpojumus, IKT funkcijas, piegādātājus un personas datu apstrādi, kas rada regulatīvo ietekmi. 2026. gadā organizācijas, kas pārliecinoši izturēs auditus, būs tās, kuras spēs parādīt vienotu un saskaņotu karti no regulēta pakalpojuma līdz aktīvam, piegādātājam, personas datiem, kontroles pasākumam, īpašniekam un pierādījumiem.

Sāciet ar trim konkrētām darbībām:

1. Izmantojiet Zenith Blueprint Zenith Blueprint posmu: IDPS pamats un vadība, 2. soli, lai pārformulētu savu IDPS darbības jomu ap pakalpojumiem, funkcijām, apstrādi un atkarībām.
2. Izmantojiet Zenith Controls Zenith Controls, lai kartētu aktīvu uzskaiti, juridiskos pienākumus un PII aizsardzību ISO 27001, NIS2, DORA, GDPR, NIST un COBIT 2019 audita gaidu kontekstā.
3. Saskaņojiet politiku darbības jomu, izmantojot Clarysec Informācijas drošības politiku Informācijas drošības politika, Tiesiskās un regulatīvās atbilstības politiku Tiesiskās un regulatīvās atbilstības politika, Risku pārvaldības politiku Risku pārvaldības politika, Datu aizsardzības un privātuma politiku Datu aizsardzības un privātuma politika un Darbības nepārtrauktības politiku un avārijas atjaunošanas politiku Darbības nepārtrauktības politika un avārijas atjaunošanas politika.

Ja jūsu pašreizējā IDPS darbības joma joprojām izskatās pēc struktūrvienības nosaukuma, pārbūvējiet to kā atbilstības robežu. Lejupielādējiet Clarysec rīkkopas, nokartējiet vienu regulētu pakalpojumu no sākuma līdz beigām un pārvērtiet savu ISO 27001 darbības jomu auditam gatavos pierādījumos NIS2, DORA un GDPR vajadzībām.