GDPR Article 32 TOMs pierādījumi ar ISO, NIS2 un DORA
E-pasts nonāk informācijas drošības vadītāja iesūtnē ar pazīstamu smagumu — darījums var mainīt uzņēmuma ceturkšņa rezultātus.
Liels potenciālais korporatīvais klients pieprasa pierādījumus par “GDPR Article 32 tehniskajiem un organizatoriskajiem pasākumiem, kas attiecīgā gadījumā kartēti uz ISO 27001:2022, NIS2 un DORA”. Vienlaikus Juridiskais dienests ir informējis valdi par NIS2 vadības atbildību un DORA darbības noturības gaidām. Valdes uzdevums izklausās vienkāršs: pierādīt atbilstību, nedublēt darbu un nepārvērst to trīs atsevišķos projektos.
Uzņēmumam ir kontroles pasākumi. MFA ir iespējota. Rezerves kopijas tiek veidotas. Izstrādātāji pārskata kodu. Privātuma komanda uztur personas datu apstrādes darbību ierakstus. Infrastruktūras komanda veic ievainojamību skenēšanu. Piegādātāji tiek pārskatīti iepirkuma procesā. Taču, kad potenciālais klients pieprasa pierādījumus, atbilde sadalās fragmentos.
Identitātes nodrošinātāja pārskats atrodas vienā vietā. Rezerves kopiju žurnāli — citā. Riska reģistrs nav atjaunināts kopš pēdējā produkta laidiena. Piegādātāju drošības pierādījumi atrodas iepirkuma e-pastos. Incidentu reaģēšanas scenāriju izspēles piezīmes pastāv, bet neviens nevar pierādīt, ka gūtās mācības tika iestrādātas riska apstrādē. Valde apstiprināja drošības izdevumus, taču apstiprinājums nav sasaistīts ar IKT risku vai dokumentētu lēmumu par kontroles pasākumu.
Tā ir īstā problēma ar GDPR Article 32 tehniskajiem un organizatoriskajiem pasākumiem, ko parasti sauc par TOMs. Lielākā daļa organizāciju necieš neveiksmi tāpēc, ka tām nav kontroles pasākumu. Tās cieš neveiksmi tāpēc, ka nevar pierādīt, ka kontroles pasākumi ir balstīti riskā, apstiprināti, ieviesti, uzraudzīti un uzlaboti.
GDPR pārskatatbildības princips šo prasību padara nepārprotamu. GDPR Article 5 prasa personas datus aizsargāt ar pienācīgu drošību pret neatļautu vai nelikumīgu apstrādi un nejaušu zudumu, iznīcināšanu vai bojājumu. Article 5(2) nosaka pārzinim pienākumu pierādīt atbilstību. Nozīmīgas ir arī GDPR definīcijas. Personas dati ir plašs jēdziens, apstrāde aptver gandrīz jebkuru darbību ar datiem, pseidonimizācija ir atzīts drošības pasākums, un personas datu aizsardzības pārkāpums ietver nejaušu vai nelikumīgu iznīcināšanu, zudumu, izmainīšanu, neatļautu izpaušanu vai piekļuvi.
Tādēļ Article 32 pierādījumu lieta nevar būt nejaušu ekrānuzņēmumu mape. Tai jābūt dzīvai kontroles sistēmai.
Clarysec pieeja ir pārvērst GDPR Article 32 TOMs par izsekojamu pierādījumu mehānismu, kas balstīts uz ISO/IEC 27001:2022 ISO/IEC 27001:2022, pastiprināts ar ISO/IEC 27005:2022 risku pārvaldību un attiecīgā gadījumā sasaistīts ar NIS2 un DORA pienākumiem. Mērķis nav dokumentācija dokumentācijas dēļ. Mērķis ir padarīt organizāciju gatavu auditam, pirms klients, auditors, regulators vai valdes loceklis uzdod sarežģīto jautājumu.
Kāpēc GDPR Article 32 TOMs praksē neizdodas
Article 32 bieži tiek kļūdaini uztverts kā drošības rīku saraksts: šifrēšana, rezerves kopijas, žurnālfiksēšana, piekļuves kontrole un reaģēšana uz incidentiem. Šie pasākumi ir būtiski, taču tie ir aizstāvami tikai tad, ja tie atbilst riskam un ir sasaistīti ar personas datu dzīves ciklu.
SaaS uzņēmumam, kas apstrādā klienta darbinieku datus, ar frāzi “mēs izmantojam šifrēšanu” nepietiek. Auditors var jautāt, kādus datus šifrēšana aizsargā, kur šifrēšana ir obligāta, kā tiek pārvaldītas atslēgas, vai rezerves kopijas ir šifrētas, vai ražošanas dati tiek maskēti testēšanā, kas var apiet kontroles pasākumus un kā tiek apstiprināti izņēmumi.
Clarysec uzņēmuma Datu aizsardzības un privātuma politika fiksē darbības principu:
“Ieviest tehniskos un organizatoriskos pasākumus (TOMs), kas aizsargā personas identificējošas informācijas (PII) konfidencialitāti, integritāti un pieejamību visā tās dzīves ciklā.”
Avots: Datu aizsardzības un privātuma politika, Mērķi, politikas punkts 3.3. Datu aizsardzības un privātuma politika
Frāze “visā tās dzīves ciklā” ir vieta, kur daudzas TOMs programmas kļūst vājas. Personas dati var būt aizsargāti ražošanas vidē, bet kopēti analītikas sistēmās, žurnālos, atbalsta eksportos, testa vidēs, rezerves kopijās, piegādātāju platformās un darbinieku ierīcēs. Katra atrašanās vieta rada drošības un privātuma risku.
GDPR Article 6 prasa tiesisku pamatu apstrādei, tostarp piekrišanu, līgumu, juridisku pienākumu, vitāli svarīgu interešu aizsardzību, sabiedrības interešu uzdevumu vai leģitīmas intereses. Ja dati tiek atkārtoti izmantoti citam nolūkam, jāizvērtē saderība un drošības pasākumi, piemēram, šifrēšana vai pseidonimizācija. Augstāka riska datiem pierādījumu slogs palielinās. GDPR Article 9 nosaka stingrus ierobežojumus īpašu kategoriju personas datiem, piemēram, veselības datiem, identifikācijai izmantotiem biometriskajiem datiem un citai sensitīvai informācijai. Article 10 ierobežo datus par sodāmību un pārkāpumiem.
MVU vajadzībām Clarysec riska apstrādi izsaka praktiskā valodā:
“Kontroles pasākumi jāievieš, lai samazinātu identificētos riskus, tostarp šifrēšana, anonimizācija, droša likvidēšana un piekļuves ierobežojumi.”
Avots: Datu aizsardzības un privātuma politika MVU, Risku apstrāde un izņēmumi, politikas punkts 7.2.1. Datu aizsardzības un privātuma politika - MVU
Tas ir spēcīgs TOMs pamatlīmenis. Lai tas būtu gatavs auditam, katrs kontroles pasākums jāsasaista arī ar risku, īpašnieku, politikas prasību, pierādījumu vienību un pārskatīšanas periodiskumu.
ISO 27001:2022 ir Article 32 pierādījumu pamats
ISO 27001:2022 labi atbalsta GDPR Article 32, jo drošību aplūko kā pārvaldības sistēmu, nevis atsevišķu kontroles pasākumu kontrolsarakstu. Tas prasa informācijas drošības pārvaldības sistēmu jeb IDPS, kas izstrādāta konfidencialitātes, integritātes un pieejamības saglabāšanai, izmantojot risku pārvaldību.
Pirmais kritiskais solis ir piemērošanas joma. ISO 27001:2022 punkti 4.1 līdz 4.4 prasa organizācijai izprast iekšējos un ārējos jautājumus, identificēt ieinteresētās puses un prasības, noteikt, kuras prasības tiks risinātas IDPS ietvaros, un definēt IDPS darbības jomu, tostarp saskarnes un atkarības ar ārējām organizācijām. Article 32 TOMs vajadzībām IDPS darbības jomai jāatspoguļo personas datu apstrāde, klientu pienākumi, apstrādātāji, apakšapstrādātāji, mākoņplatformas, attālinātais darbs, atbalsta funkcijas un produktu vides.
Otrais solis ir vadības iesaiste. Punkti 5.1 līdz 5.3 prasa augstākās vadības apņemšanos, informācijas drošības politiku, resursus, lomas un pienākumus, kā arī veiktspējas ziņošanu. Tas ir svarīgi, jo GDPR Article 32, NIS2 un DORA balstās uz pārvaldību. Kontroles pasākums bez īpašumtiesībām, finansējuma vai pārskatīšanas ir vājš pierādījums.
Clarysec uzņēmuma Informācijas drošības politika to nosaka skaidri:
“IDPS jāietver definētas piemērošanas jomas robežas, riska novērtēšanas metodoloģija, izmērāmi mērķi un dokumentēti kontroles pasākumi, kas pamatoti piemērojamības deklarācijā (SoA).”
Avots: Informācijas drošības politika, Politikas ieviešanas prasības, politikas punkts 6.1.2. Informācijas drošības politika
Tā pati politika nosaka pierādījumu prasību:
“Visiem ieviestajiem kontroles pasākumiem jābūt auditējamiem, atbalstītiem ar dokumentētām procedūrām un saglabātiem darbības pierādījumiem.”
Avots: Informācijas drošības politika, Politikas ieviešanas prasības, politikas punkts 6.6.1.
ISO 27001:2022 punkti 6.1.1 līdz 6.1.3 pēc tam prasa risku izvērtēšanu, riska apstrādi, piemērojamības deklarāciju, atlikušā riska apstiprināšanu un riska īpašnieka pārskatatbildību. Punkts 6.2 prasa izmērāmus mērķus. Punkti 7.5, 9.1, 9.2, 9.3 un 10.2 prasa dokumentētu informāciju, uzraudzību, iekšējo auditu, vadības pārskatīšanu un korektīvo darbību.
GDPR Article 32 vajadzībām tas izveido aizstāvamu struktūru.
| GDPR Article 32 pierādījumu jautājums | ISO 27001:2022 pierādījumu atbilde |
|---|---|
| Kā jūs noteicāt, kuri TOMs ir piemēroti? | Risku izvērtēšanas kritēriji, riska reģistrs, iespējamības un ietekmes vērtējums, riska apstrādes plāns |
| Kuri kontroles pasākumi ir piemērojami un kāpēc? | Piemērojamības deklarācija ar iekļaušanas un izslēgšanas pamatojumiem |
| Kas apstiprināja atlikušo risku? | Riska īpašnieka apstiprinājums un vadības saskaņojums |
| Vai kontroles pasākumi darbojas? | Žurnāli, pieteikumi, pārskatīšanas ieraksti, testēšanas rezultāti, uzraudzības pārskati |
| Vai kontroles pasākumi tiek pārskatīti? | Iekšējā audita pārskati, vadības pārskatīšanas protokoli, korektīvo darbību žurnāls |
| Vai tiek ņemti vērā personas datu riski? | Datu aizsardzības riska ieraksti, privātuma prasības darbības jomā, DPIA vai līdzvērtīga izvērtēšana, ja piemērojama |
ISO/IEC 27005:2022 šo struktūru pastiprina. Tas iesaka organizācijām identificēt prasības no ISO 27001:2022 A pielikuma, regulējuma, līgumiem, nozares standartiem, iekšējiem noteikumiem un esošajiem kontroles pasākumiem un pēc tam izmantot tās risku izvērtēšanā un apstrādē. Tas prasa arī riska kritērijus un pieņemšanas kritērijus, kuros ņemti vērā juridiskie, regulatīvie, darbības, piegādātāju, tehnoloģiskie un cilvēkfaktora aspekti, tostarp privātums.
Clarysec Risku pārvaldības politika ir tieši saskaņota:
“Jāuztur formāls risku pārvaldības process saskaņā ar ISO/IEC 27005 un ISO 31000, aptverot risku identificēšanu, analīzi, izvērtēšanu, apstrādi, uzraudzību un komunikāciju.”
Avots: Risku pārvaldības politika, Pārvaldības prasības, politikas punkts 5.1. Risku pārvaldības politika
MVU vajadzībām tā pati prasība kļūst vienkārša un praktiska:
“Katram riska ierakstam jāietver: apraksts, iespējamība, ietekme, vērtējums, īpašnieks un riska apstrādes plāns.”
Avots: Risku pārvaldības politika MVU, Pārvaldības prasības, politikas punkts 5.1.2. Risku pārvaldības politika - MVU
Šis teikums ir ātrs gatavības auditam tests. Ja riskam nav īpašnieka vai riska apstrādes plāna, tas vēl nav pierādījumiem gatavs risks.
Clarysec tilts: risks, SoA, kontroles pasākumi un regulējums
Clarysec Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint atbilstību uztver kā izsekojamības darbu. Risku pārvaldības posmā 13. solis koncentrējas uz riska apstrādes plānošanu un piemērojamības deklarāciju. Tas skaidro, ka organizācijām kontroles pasākumi jākartē uz riskiem, riska apstrādes ierakstiem jāpievieno A pielikuma kontroles atsauces, jāveic krusteniskā sasaiste ar ārējiem regulējumiem un jāsaņem vadības apstiprinājums.
Zenith Blueprint tieši raksturo SoA lomu:
“SoA faktiski ir savienojošs dokuments: tas sasaista jūsu risku izvērtēšanu/apstrādi ar faktiskajiem kontroles pasākumiem, kas jums ir. To aizpildot, jūs arī vēlreiz pārbaudāt, vai nav palaists garām kāds kontroles pasākums.”
Avots: Zenith Blueprint: An Auditor’s 30-Step Roadmap, Risku pārvaldības posms, 13. solis: Riska apstrādes plānošana un piemērojamības deklarācija (SoA). Zenith Blueprint
Zenith Blueprint 14. solis pievieno regulatīvās krusteniskās atsauces slāni. Tas iesaka organizācijām dokumentēt, kā GDPR, NIS2 un DORA prasības tiek segtas ar politikām un kontroles pasākumiem. GDPR gadījumā tas uzsver personas datu aizsardzību risku izvērtēšanā un apstrādē, tostarp šifrēšanu kā tehnisku pasākumu un reaģēšanu uz pārkāpumiem kā daļu no kontroles vides. NIS2 gadījumā tas izceļ risku izvērtēšanu, tīkla drošību, piekļuves kontroli, incidentu apstrādi un darbības nepārtrauktību. DORA gadījumā tas norāda uz IKT risku pārvaldību, reaģēšanu uz incidentiem, ziņošanu un IKT trešo pušu uzraudzību.
Tā ir Clarysec metodes būtība: viena IDPS, viens riska reģistrs, viena SoA, viena pierādījumu bibliotēka, vairāki atbilstības rezultāti.
Zenith Controls: The Cross-Compliance Guide Zenith Controls to atbalsta, palīdzot organizācijām izmantot ISO/IEC 27002:2022 ISO/IEC 27002:2022 kontroles tēmas kā krusteniskās atbilstības enkurus. GDPR Article 32 vajadzībām svarīgākie enkuri bieži ietver PII privātumu un aizsardzību, kontroli 5.34; neatkarīgu informācijas drošības pārskatīšanu, kontroli 5.35; un kriptogrāfijas izmantošanu, kontroli 8.24.
| ISO/IEC 27002:2022 kontroles enkurs Zenith Controls | Kāpēc tas ir svarīgs Article 32 TOMs | Pierādījumu piemēri |
|---|---|---|
| 5.34 PII privātums un aizsardzība | Sasaista informācijas drošības kontroles pasākumus ar personas datu apstrādi un privātuma pienākumiem | Datu uzskaites reģistrs, privātuma riska izvērtēšana, glabāšanas grafiks, DPA ieraksti, piekļuves tiesību pārskatīšana |
| 5.35 Neatkarīga informācijas drošības pārskatīšana | Pierāda objektīvu apliecinājumu, auditējamību un uzlabošanu | Iekšējā audita pārskats, ārējais izvērtējums, korektīvo darbību žurnāls, vadības pārskatīšana |
| 8.24 Kriptogrāfijas izmantošana | Aizsargā datu konfidencialitāti un integritāti pārsūtīšanas, glabāšanas un rezerves kopēšanas laikā | Šifrēšanas standarts, atslēgu pārvaldības ieraksti, disku šifrēšanas pierādījumi, TLS konfigurācija, rezerves kopiju šifrēšana |
NIS2 pārvērš TOMs par valdes līmeņa kiberdrošības jautājumu
Daudzas organizācijas GDPR TOMs uztver kā privātuma komandas atbildību. NIS2 maina šo sarunu.
NIS2 attiecas uz daudzām vidējām un lielām vienībām noteiktās nozarēs, bet dažos gadījumos — neatkarīgi no lieluma. Aptvertās digitālās un tehnoloģiju nozares ietver mākoņpakalpojumu sniedzējus, datu centru pakalpojumu sniedzējus, satura piegādes tīklus, DNS pakalpojumu sniedzējus, TLD reģistrus, uzticamības pakalpojumu sniedzējus, publisko elektronisko sakaru nodrošinātājus, pārvaldīto pakalpojumu sniedzējus (MSP), pārvaldīto drošības pakalpojumu sniedzējus, tiešsaistes tirdzniecības vietas, meklētājprogrammas un sociālo tīklu platformas. Piemērojamība SaaS un tehnoloģiju MVU ir atkarīga no nozares, lieluma, dalībvalsts noteikšanas un sistēmiskas vai pārrobežu ietekmes.
NIS2 Article 20 uzliek kiberdrošības atbildību vadības struktūrām. Tām jāapstiprina kiberdrošības risku pārvaldības pasākumi, jāuzrauga ieviešana un jāapgūst apmācība. Būtiskām vienībām var piemērot administratīvus naudas sodus vismaz 10 miljonu EUR apmērā vai vismaz 2 procentu apmērā no pasaules gada apgrozījuma. Svarīgām vienībām var piemērot naudas sodus vismaz 7 miljonu EUR apmērā vai vismaz 1,4 procentu apmērā.
NIS2 Article 21 ir tieši attiecināms uz Article 32 TOMs, jo tas prasa atbilstošus un samērīgus tehniskos, darbības un organizatoriskos pasākumus. Šiem pasākumiem jāņem vērā jaunākais tehnikas līmenis, Eiropas un starptautiskie standarti, izmaksas, pakļautība riskam, lielums, iespējamība, smaguma pakāpe un sabiedriskā vai ekonomiskā ietekme. Prasītās jomas ietver riska analīzi, drošības politikas, incidentu apstrādi, darbības nepārtrauktību, piegādes ķēdes drošību, drošu iegādi un izstrādi, ievainojamību pārvaldību, efektivitātes izvērtēšanu, kiberdrošības higiēnu, apmācību, kriptogrāfiju, personāla drošību, piekļuves kontroli, aktīvu pārvaldību, MFA vai nepārtrauktu autentifikāciju un drošu saziņu, ja piemērojama.
NIS2 Article 23 pievieno pakāpenisku incidentu ziņošanu: agrīns brīdinājums 24 stundu laikā, incidenta paziņošana 72 stundu laikā, starpposma atjauninājumi pēc pieprasījuma un gala ziņojums ne vēlāk kā vienu mēnesi pēc 72 stundu paziņojuma. Ja personas datu aizsardzības pārkāpums vienlaikus kvalificējas kā NIS2 būtisks incidents, pierādījumu lietai jāatbalsta gan privātuma, gan kiberdrošības ziņošanas lēmumi.
DORA paaugstina prasību līmeni finanšu noturībai un IKT pakalpojumu sniedzējiem
DORA ir piemērojama no 2025. gada 17. janvāra un izveido finanšu nozares noteikumu kopumu digitālajai darbības noturībai. Tā aptver IKT risku pārvaldību, ziņošanu par būtiskiem ar IKT saistītiem incidentiem, darbības noturības testēšanu, kiberdraudu un ievainojamību informācijas apmaiņu, IKT trešo pušu risku, līgumiskās prasības IKT pakalpojumu sniedzējiem, kritisku IKT trešo pušu pakalpojumu sniedzēju pārraudzību un uzraudzību.
Finanšu vienībām, kas identificētas arī saskaņā ar nacionālajiem NIS2 noteikumiem, DORA darbojas kā nozares specifisks Savienības tiesību akts pārklājošajiem kiberdrošības risku pārvaldības un incidentu ziņošanas pienākumiem. Praksē aptvertajām finanšu vienībām šajās pārklājošajās jomās jāpiešķir prioritāte DORA, vienlaikus saglabājot koordināciju ar NIS2 kompetentajām iestādēm un CSIRT, ja tas ir būtiski.
GDPR Article 32 pierādījumiem DORA ir svarīga divos veidos. Pirmkārt, finanšu tehnoloģiju uzņēmumi var tieši ietilpt darbības jomā kā finanšu vienības, tostarp kredītiestādes, maksājumu iestādes, konta informācijas pakalpojumu sniedzēji, elektroniskās naudas iestādes, ieguldījumu brokeru sabiedrības, kriptoaktīvu pakalpojumu sniedzēji, tirdzniecības vietas un kolektīvās finansēšanas pakalpojumu sniedzēji. Otrkārt, SaaS, mākoņpakalpojumu, datu, programmatūras un pārvaldīto pakalpojumu sniedzējus finanšu klienti var uzskatīt par IKT trešo pušu pakalpojumu sniedzējiem, jo DORA IKT pakalpojumus definē plaši.
DORA Article 5 prasa IKT risku pārvaldības pārvaldību un iekšējos kontroles pasākumus, vadības struktūrai definējot, apstiprinot, uzraugot un saglabājot atbildību par IKT riska kārtību. Article 6 prasa dokumentētu IKT risku pārvaldības ietvaru, tostarp stratēģijas, politikas, procedūras, IKT protokolus un rīkus informācijas un IKT aktīvu aizsardzībai. Article 17 prasa ar IKT saistītu incidentu pārvaldības procesu, kas aptver atklāšanu, pārvaldību, paziņošanu, reģistrēšanu, pamatcēloņa analīzi, agrīnā brīdinājuma indikatorus, klasifikāciju, lomas, komunikāciju, eskalāciju un reaģēšanu. Article 19 prasa ziņot kompetentajām iestādēm par būtiskiem ar IKT saistītiem incidentiem.
DORA Articles 28 un 30 padara IKT trešo pušu risku par regulētu kontroles jomu. Finanšu vienības saglabā atbildību par atbilstību, izmantojot IKT pakalpojumus. Tām nepieciešama trešo pušu riska stratēģija, līgumu reģistri, kritiskuma izvērtēšana, sākotnējā izpēte, koncentrācijas riska pārskatīšana, audita un pārbaudes tiesības, izbeigšanas ierosinātāji, izstāšanās stratēģijas un līguma noteikumi, kas aptver datu atrašanās vietas, pieejamību, autentiskumu, integritāti, konfidencialitāti, palīdzību incidentu gadījumā, atjaunošanu, pakalpojumu līmeņus un sadarbību ar iestādēm.
Article 32 vajadzībām tas nozīmē, ka piegādātāji ir daļa no TOMs lietas. Nav iespējams pierādīt apstrādes drošību, ja kritiskie apstrādātāji, mākoņplatformas, analītikas nodrošinātāji, atbalsta rīki un IKT pakalpojumu sniedzēji netiek kontrolēti.
Praktiska Article 32 pierādījumu izveide vienas nedēļas laikā
Spēcīga pierādījumu lieta sākas ar vienu skaidru riska scenāriju.
Izmantojiet šo piemēru: “Neatļauta piekļuve klientu personas datiem ražošanas lietojumprogrammā.”
Izveidojiet vai atjauniniet riska ierakstu. Iekļaujiet aprakstu, iespējamību, ietekmi, vērtējumu, īpašnieku un riska apstrādes plānu. Piešķiriet īpašnieku Inženierijas vadītājam, Drošības vadītājam vai līdzvērtīgai atbildīgai lomai. Novērtējiet iespējamību, balstoties uz piekļuves modeli, eksponēto uzbrukuma virsmu, zināmajām ievainojamībām un iepriekšējiem incidentiem. Novērtējiet ietekmi, balstoties uz personas datu apjomu, sensitivitāti, klientu līgumiem, GDPR sekām un iespējamo NIS2 vai DORA pakalpojuma ietekmi.
Izvēlieties apstrādes pasākumus, piemēram, MFA privileģētajai piekļuvei, lomās balstītu piekļuves kontroli, ceturkšņa piekļuves tiesību pārskatīšanu, šifrēšanu glabāšanā, TLS, ievainojamību skenēšanu, žurnālfiksēšanu, brīdināšanu, drošas rezerves kopijas, incidentu reaģēšanas procedūras un datu maskēšanu ārpusražošanas vidēs.
Pēc tam kartējiet risku uz SoA. Pievienojiet ISO/IEC 27002:2022 atsauces, piemēram, 5.34 PII privātums un aizsardzība, 8.24 Kriptogrāfijas izmantošana, 5.15 Piekļuves kontrole, 5.18 Piekļuves tiesības, 8.13 Informācijas rezerves kopēšana, 8.15 Žurnālfiksēšana, 8.16 Uzraudzības darbības, 8.8 Tehnisko ievainojamību pārvaldība, 8.25 Drošas izstrādes dzīves cikls un 8.10 Informācijas dzēšana, ja piemērojams. Pievienojiet piezīmes, kas parāda, kā šie kontroles pasākumi atbalsta GDPR Article 32, NIS2 Article 21 un DORA IKT risku pārvaldību, ja tas ir būtiski.
Regulatīvajā kartēšanā saglabājiet kontroles nosaukumus precīzus un neuzspiediet nepatiesu līdzvērtību.
| ISO/IEC 27002:2022 kontrole | Kontroles nosaukums | Kāpēc iekļauta | Regulatīvais kartējums |
|---|---|---|---|
| 8.24 | Kriptogrāfijas izmantošana | Aizsargā personas datu konfidencialitāti un integritāti pārsūtīšanas, glabāšanas un rezerves kopēšanas laikā | GDPR Art. 32; NIS2 Art. 21(2)(h) |
| 5.20 | Informācijas drošības prasību noteikšana piegādātāju līgumos | Nodrošina, ka piegādātāju drošības pienākumi ir līgumiski definēti un izpildāmi | GDPR apstrādātāju kontroles pasākumi; NIS2 Art. 21(2)(d); DORA Art. 28 un Art. 30 |
| 5.24 | Informācijas drošības incidentu pārvaldības plānošana un sagatavošana | Izveido gatavību atklāšanai, eskalācijai, izvērtēšanai un ziņošanai | GDPR pārkāpumu pārskatatbildība; NIS2 Art. 23; DORA Art. 17 un Art. 19 |
| 8.13 | Informācijas rezerves kopēšana | Atbalsta pieejamību, atjaunošanu un noturību pēc traucējuma vai datu zuduma | GDPR Art. 32; NIS2 Art. 21(2)(c); DORA IKT nepārtrauktības gaidas |
| 8.10 | Informācijas dzēšana | Atbalsta drošu likvidēšanu, glabāšanas prasību piemērošanu un datu minimizēšanu | GDPR glabāšanas ierobežojums un Art. 32; klientu līgumiskās prasības |
Tagad izveidojiet pierādījumu mapi. Clarysec MVU Audita un atbilstības uzraudzības politika sniedz vienkāršu noteikumu:
“Visi pierādījumi jāglabā centralizētā audita mapē.”
Avots: Audita un atbilstības uzraudzības politika MVU, Politikas ieviešanas prasības, politikas punkts 6.2.1. Audita un atbilstības uzraudzības politika - MVU
Šim vienam riska scenārijam mapē jāietver:
| Pierādījumu vienība | Kas jāglabā | Kāpēc tas ir svarīgi |
|---|---|---|
| Riska ieraksts | Riska apraksts, īpašnieks, vērtējums, riska apstrādes plāns un atlikušā riska lēmums | Pierāda uz risku balstītu TOMs atlasi |
| SoA izraksts | Piemērojamie kontroles pasākumi un GDPR, NIS2, DORA piezīmes | Parāda izsekojamību no riska līdz kontroles pasākumam |
| Piekļuves tiesību pārskatīšana | Pārskatītie lietotāji, lēmumi, noņemšanas un izņēmumi | Pierāda piekļuves kontroles darbību |
| MFA pārskats | Eksports, kas parāda privileģētās MFA piemērošanu | Atbalsta autentifikācijas pierādījumus |
| Šifrēšanas pierādījumi | Konfigurācijas ieraksts, arhitektūras piezīme vai atslēgu pārvaldības ieraksts | Atbalsta konfidencialitāti un integritāti |
| Ievainojamību ieraksts | Jaunākā skenēšana, remediācijas uzdevumi un pieņemtie izņēmumi | Atbalsta tehniskā riska samazināšanu |
| Žurnālfiksēšanas pierādījumi | SIEM notikuma paraugs, brīdinājuma noteikums un glabāšanas iestatījums | Atbalsta atklāšanu un izmeklēšanu |
| Rezerves kopijas tests | Atjaunošanas testa rezultāts un rezerves kopiju pārklājuma ieraksts | Atbalsta pieejamību un noturību |
| Incidenta vingrinājums | Scenāriju izspēles piezīmes, testa incidenta žurnāls vai gūto mācību ieraksts | Atbalsta reaģēšanas gatavību |
| Vadības apstiprinājums | Sanāksmes protokols, apstiprinājums vai riska pieņemšanas ieraksts | Atbalsta pārskatatbildību un samērīgumu |
Piekļuves pierādījumiem nevajadzētu aprobežoties ar ekrānuzņēmumiem. Piekļuves kontroles politika MVU pievieno noderīgu darbības prasību:
“IT vadītājam jādokumentē pārskatīšanas rezultāti un korektīvās darbības.”
Avots: Piekļuves kontroles politika MVU, Pārvaldības prasības, politikas punkts 5.5.3. Piekļuves kontroles politika - MVU
Rezerves kopiju pierādījumiem jāapliecina atjaunojamība, ne tikai sekmīgi izpildīti uzdevumi. Rezerves kopiju veidošanas un atjaunošanas politika MVU nosaka:
“Atjaunošanas testi tiek veikti vismaz reizi ceturksnī, un rezultāti tiek dokumentēti, lai pārbaudītu atjaunojamību.”
Avots: Rezerves kopiju veidošanas un atjaunošanas politika MVU, Pārvaldības prasības, politikas punkts 5.3.3. Rezerves kopiju veidošanas un atjaunošanas politika - MVU
Tas nodrošina pilnu pierādījumu ciklu: regulējums rada prasību, risks izskaidro, kāpēc tā ir svarīga, SoA izvēlas kontroles pasākumu, politika definē darbību, un saglabātie pierādījumi apliecina, ka kontroles pasākums darbojas.
Kontroles pasākumi darbībā: politikas pārvēršana darbības pierādījumos
Zenith Blueprint posma “Kontroles pasākumi darbībā” 19. solis koncentrējas uz tehnisko verifikāciju. Tas iesaka pārskatīt galapunktu drošības atbilstību, identitātes un piekļuves pārvaldību, autentifikācijas konfigurācijas, pirmkoda kontroles drošību, kapacitāti un pieejamību, ievainojamību un ielāpu pārvaldību, drošas pamatkonfigurācijas, aizsardzību pret ļaunprogrammatūru, dzēšanu un datu minimizēšanu, maskēšanu un testa datus, DLP, rezerves kopijas un atjaunošanu, redundanci, žurnālfiksēšanu un uzraudzību, kā arī laika sinhronizāciju.
GDPR Article 32 TOMs gadījumā 19. solis ir vieta, kur abstrakta kontroles valoda kļūst par pierādījumu. Spēcīgai pierādījumu lietai jāparāda, ka:
- Galapunktu šifrēšana ir iespējota un uzraudzīta.
- Privileģētajiem lietotājiem ir MFA.
- Darbinieku pieņemšanas, pārcelšanas un darba attiecību izbeigšanas procesi tiek salīdzināti ar HR ierakstiem.
- Pakalpojumu konti ir dokumentēti un ierobežoti.
- Koda repozitorijiem tiek piemērota piekļuves kontrole, un tiek veikta noslēpumu skenēšana.
- Ievainojamību skenēšana tiek veikta un izsekota līdz remediācijai.
- Ražošanas dati netiek nekontrolēti kopēti testa vidēs.
- Tiek piemērotas drošas dzēšanas un glabāšanas politikas.
- DLP brīdinājumi tiek pārskatīti.
- Rezerves kopiju atjaunošanas testi pierāda atjaunojamību.
- Žurnāli ir centralizēti, glabāti un pārskatāmi.
- Laika sinhronizācija atbalsta uzticamu incidentu izmeklēšanu.
Galvenais ir sasaiste. Ielāpu pārskats bez riska, politikas un SoA atsauces ir IT artefakts. Ielāpu pārskats, kas sasaistīts ar GDPR Article 32, NIS2 Article 21, DORA IKT risku pārvaldību un ISO 27001:2022 riska apstrādes plānu, ir gatavs auditam.
Viena pierādījumu lieta, vairāki audita skatpunkti
Vienus un tos pašus TOMs pierādījumus dažādas ieinteresētās puses lasīs atšķirīgi. Privātuma pārskatītājs var koncentrēties uz personas datiem, nepieciešamību, samērīgumu un pārskatatbildību. ISO 27001 auditors var koncentrēties uz darbības jomu, riska apstrādi, SoA un darbības pierādījumiem. NIS2 iestāde var koncentrēties uz vadības pārraudzību, Article 21 pasākumiem un Article 23 ziņošanas gatavību. DORA uzraugs vai finanšu klients var koncentrēties uz IKT riska pārvaldību, noturības testēšanu un trešo pušu atkarībām.
Clarysec izmanto Zenith Controls kā krusteniskās atbilstības ceļvedi šai pārvēršanai.
| Auditorija | Ko tā jautās | Kā pierādījumiem jāatbild |
|---|---|---|
| GDPR privātuma pārskatītājs | Vai TOMs atbilst personas datu riskam un vai pārskatatbildību var pierādīt? | Riska reģistrs, datu uzskaite, privātuma kontroles pasākumi, glabāšanas ieraksti, piekļuves ierobežojumi, šifrēšanas pierādījumi un pārkāpuma izvērtēšanas ieraksti |
| ISO 27001:2022 auditors | Vai IDPS darbības joma ir definēta, vai tā ir balstīta riskā, ieviesta, uzraudzīta un uzlabota? | Darbības joma, riska metodoloģija, SoA, iekšējais audits, vadības pārskatīšana un korektīvās darbības |
| NIS2 pārskatītājs | Vai kiberdrošības pasākumi ir apstiprināti, samērīgi un aptver Article 21 jomas? | Valdes apstiprinājums, drošības politikas, incidentu apstrāde, nepārtrauktība, piegādātāju risks, apmācība, MFA un ievainojamību pārvaldība |
| DORA uzraugs vai finanšu klients | Vai IKT risks tiek pārvaldīts, testēts un noturīgs, tostarp IKT trešo pušu risks? | IKT risku pārvaldības ietvars, noturības stratēģija, incidentu process, testēšanas pierādījumi, piegādātāju reģistrs un izstāšanās plāni |
| NIST orientēts izvērtētājs | Vai organizācija spēj identificēt, aizsargāt, atklāt, reaģēt un atjaunot, izmantojot atkārtojamus pierādījumus? | Aktīvu un datu uzskaite, aizsardzības kontroles pasākumi, uzraudzības ieraksti, reaģēšanas žurnāli un atjaunošanas testi |
| COBIT 2019 vai ISACA auditors | Vai pārvaldība ir pārskatatbildīga, izmērāma un saskaņota ar uzņēmuma mērķiem? | Lomas, vadības ziņošana, riska apetīte, veiktspējas rādītāji, apliecinājuma rezultāti un uzlabošanas darbības |
Tas novērš atbilstības darba dublēšanu. Tā vietā, lai veidotu atsevišķas pierādījumu paketes GDPR, NIS2 un DORA vajadzībām, izveidojiet vienu kontroles pierādījumu lietu un marķējiet katru vienību atbilstoši pienākumiem, kurus tā atbalsta.
Biežākie trūkumi Article 32 TOMs programmās
Biežākais trūkums ir kontroles pasākuma atrautība. Uzņēmumam ir kontroles pasākums, piemēram, šifrēšana, bet tas nevar izskaidrot, kuru risku tas apstrādā, kura politika to prasa, kas par to atbild vai kā tas tiek pārskatīts.
Otrais trūkums ir vāji piegādātāju pierādījumi. Saskaņā ar GDPR apstrādātājiem un apakšapstrādātājiem ir nozīme. Saskaņā ar NIS2 piegādes ķēdes drošība ir daļa no kiberdrošības risku pārvaldības. Saskaņā ar DORA IKT trešo pušu risks ir regulēta joma ar reģistriem, sākotnējo izpēti, līgumiskajiem drošības pasākumiem, audita tiesībām un izstāšanās plānošanu. Piegādātāju izklājlapa nav pietiekama, ja kritiskās atkarības nav izvērtētas pēc riska un kontrolētas.
Trešais trūkums ir incidentu pierādījumi. Organizācijām bieži ir incidentu reaģēšanas plāns, bet nav pierādījumu, ka klasifikācija, eskalācija, ziņošana iestādēm un klientu komunikācija ir testēta. NIS2 un DORA šeit paaugstina gaidas, un GDPR personas datu aizsardzības pārkāpuma izvērtēšana jāintegrē tajā pašā darbplūsmā.
Ceturtais trūkums ir rezerves kopiju pierādījumi. Veiksmīgs rezerves kopijas uzdevums nepierāda atjaunojamību. To pierāda dokumentēts atjaunošanas tests.
Piektais trūkums ir vadības pārskatīšana. Article 32 TOMs jābūt samērīgiem ar risku. Ja vadība nekad nepārskata riskus, incidentus, piegādātāju jautājumus, budžetu, audita konstatējumus un atlikušo risku, samērīgumu pierādīt kļūst grūti.
Noslēguma auditam gatavā rīkkopa
Zenith Blueprint audita, pārskatīšanas un uzlabošanas posma 30. solis nodrošina noslēguma gatavības kontrolsarakstu. Tas ietver IDPS darbības jomu un kontekstu, parakstītu informācijas drošības politiku, risku izvērtēšanas un apstrādes dokumentus, SoA, A pielikuma politikas un procedūras, apmācību ierakstus, darbības ierakstus, iekšējā audita pārskatu, korektīvo darbību žurnālu, vadības pārskatīšanas protokolus, nepārtrauktas uzlabošanas pierādījumus un atbilstības pienākumu ierakstus.
Clarysec uzņēmuma Audita un atbilstības uzraudzības politika nosaka šīs disciplīnas mērķi:
“Ģenerēt aizstāvamus pierādījumus un audita pēdu, lai atbalstītu regulatīvus pieprasījumus, tiesvedību vai klientu apliecinājuma pieprasījumus.”
Avots: Audita un atbilstības uzraudzības politika, Mērķi, politikas punkts 3.4. Audita un atbilstības uzraudzības politika
Nobriedušai Article 32 TOMs pierādījumu lietai jāietver:
| Pierādījumu kategorija | Minimālais auditam gatavais saturs |
|---|---|
| Pārvaldība | IDPS darbības joma, politikas apstiprinājums, lomas, mērķi, vadības pārskatīšanas protokoli |
| Risks | Riska metodoloģija, riska reģistrs, riska apstrādes plāns, atlikušā riska apstiprinājumi |
| SoA | Piemērojamie kontroles pasākumi, izņēmumi, pamatojumi un regulatīvais kartējums |
| Privātums | Datu uzskaite, PII kontroles pasākumi, glabāšanas pierādījumi, DPIA vai privātuma riska izvērtēšana, ja piemērojama |
| Tehniskie kontroles pasākumi | MFA, piekļuves tiesību pārskatīšana, šifrēšana, ievainojamību pārvaldība, žurnālfiksēšana, uzraudzība un drošas izstrādes pierādījumi |
| Noturība | Rezerves kopiju pārklājums, atjaunošanas testi, nepārtrauktības plāni, incidentu vingrinājumi un atjaunošanas metrika |
| Piegādātāju apliecinājums | Piegādātāju reģistrs, sākotnējā izpēte, līgumiskās klauzulas, uzraudzība, audita tiesības un izstāšanās plānošana |
| Uzlabošana | Iekšējie auditi, korektīvās darbības, gūtās mācības un kontroles efektivitātes pārskatīšana |
Nākamie soļi: izveidojiet Article 32 TOMs pierādījumus ar Clarysec
Ja jums jāpierāda GDPR Article 32 tehniskie un organizatoriskie pasākumi, nesāciet ar nejaušu ekrānuzņēmumu vākšanu. Sāciet ar izsekojamību.
- Definējiet IDPS darbības jomu un personas datu apstrādes robežas.
- Identificējiet GDPR, NIS2, DORA, līgumiskās un klientu prasības.
- Izveidojiet riska kritērijus, izmantojot ISO/IEC 27005:2022 un vadības apstiprinātu riska apetīti.
- Izveidojiet vai atjauniniet riska reģistru.
- Kartējiet katru apstrādes pasākumu uz ISO 27001:2022 kontroles pasākumiem un SoA.
- Izmantojiet Zenith Controls, lai krusteniski sasaistītu privātuma, kriptogrāfijas, piegādātāju, incidentu un neatkarīgas pārskatīšanas kontroles pasākumus dažādās atbilstības gaidās.
- Izpildiet Zenith Blueprint 13. un 14. soli, lai savienotu riskus, kontroles pasākumus un regulatīvos pienākumus.
- Izmantojiet Zenith Blueprint 19. soli, lai pārbaudītu tehnisko kontroles pasākumu darbību.
- Izmantojiet Zenith Blueprint 30. soli, lai sagatavotu gala auditam gatavo pierādījumu lietu.
- Glabājiet visus pierādījumus centralizēti, marķējiet tos pēc riska un kontroles tēmas un uzturiet korektīvās darbības redzamas.
Clarysec var palīdzēt pārvērst GDPR Article 32 no neskaidra atbilstības pienākuma par aizstāvamu, uz risku balstītu pierādījumu sistēmu, kas saskaņota ar ISO 27001:2022, NIS2 un DORA.
Sāciet ar Zenith Blueprint, nostipriniet to ar Clarysec politikām un izmantojiet Zenith Controls, lai katrs TOM būtu izsekojams, testējams un gatavs auditam.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
