NIS2 2024/2690 un ISO 27001 kartējums mākoņpakalpojumu sniedzējiem
Otrdien plkst. 08.17 Marija, Eiropas pārvaldīto pakalpojumu sniedzēja informācijas drošības vadītāja, saņem brīdinājumu, no kura baidās ikviens MSP. Viens priviliģēts attālās pārvaldības konts ir izraisījis neiespējamas pārvietošanās brīdinājumus. Divās klientu vidēs redzamas neparastas administratīvās darbības. SOC jau ir atvēris kritiska incidenta koordinācijas tiltu.
Plkst. 09.00 zvanam pievienojas izpilddirektors. Jautājumi uzreiz mainās.
Vai mēs ietilpstam NIS2 darbības jomā? Vai uz mums attiecas Komisijas Īstenošanas regula (ES) 2024/2690? Vai mums ir jāsniedz agrīnais brīdinājums 24 stundu laikā? Kuri klienti jāinformē? Vai varam pierādīt, ka MFA, žurnālu reģistrēšana, segmentēšana, ievainojamību pārvaldība, piegādātāju kontroles pasākumi un incidentu eskalācija darbojās jau pirms incidenta?
Marijas uzņēmums ir sertificēts saskaņā ar ISO/IEC 27001:2022. Tas sniedz mākoņvides pārvaldības, datu centru un pārvaldīto drošības pakalpojumu atbalstu klientiem, tostarp loģistikas pakalpojumu sniedzējam un reģionālai bankai. Sertifikāts ir nozīmīgs, taču tas pats par sevi neatbild uz operatīvajiem jautājumiem. Juridiskajai funkcijai ir paziņošanas procesa projekts. Atbilstības vadītājam ir izklājlapa. Auditors ir pieprasījis Piemērojamības paziņojumu, incidentu reaģēšanas testēšanu, priviliģētās piekļuves žurnālus, piegādātāju sākotnējo izpēti, pierādījumus par dalītās atbildības modeli mākoņvidē un darbības nepārtrauktības pieņēmumus.
Tas ir brīdis, kad NIS2 pārstāj būt tikai juridisks teksts un kļūst par operatīvu kontroles pasākumu jautājumu.
Mākoņdatošanas pakalpojumu sniedzējiem, pārvaldīto pakalpojumu sniedzējiem, pārvaldīto drošības pakalpojumu sniedzējiem un datu centru pakalpojumu sniedzējiem NIS2 un Īstenošanas regula 2024/2690 paceļ latiņu no vispārīga drošības nodoma līdz pārbaudāmiem kontroles pierādījumiem. Pārvaldībai, risku pārvaldībai, piekļuves kontrolei, aktīvu pārvaldības politikai, ievainojamību apstrādei, reaģēšanai uz incidentiem, piegādātāju drošībai, žurnālu reģistrēšanai, uzraudzībai, šifrēšanai, darbības nepārtrauktībai un fiziskajai noturībai jādarbojas kā vienotai sistēmai.
ISO/IEC 27001:2022 ir labākais pamats šādai sistēmai, bet tikai tad, ja organizācija NIS2 prasības kartē IDPS, risku reģistrā, Piemērojamības paziņojumā, politikās un pierādījumu modelī. Pie sienas piestiprināts sertifikāts nav pietiekams. Patiesais darbs ir izveidot auditējamu sasaisti no regulējuma uz risku, no riska uz kontroles pasākumu, no kontroles pasākuma uz politiku un no politikas uz operatīvajiem pierādījumiem.
Kāpēc NIS2 2024/2690 maina sarunu par mākoņpakalpojumu un MSP atbilstību
NIS2 izmanto nozares un lieluma modeli, taču tās digitālās infrastruktūras un IKT pakalpojumu pārvaldības kategorijas apzināti ir plašas. Saskaņā ar NIS2 Article 2 un Article 3, lasot kopā ar I pielikumu un II pielikumu, daudzas organizācijas var tikt klasificētas kā būtiskas vai svarīgas vienības, tostarp mākoņdatošanas pakalpojumu sniedzēji, datu centru pakalpojumu sniedzēji, pārvaldīto pakalpojumu sniedzēji, pārvaldīto drošības pakalpojumu sniedzēji, DNS pakalpojumu sniedzēji, TLD reģistri, satura piegādes tīkli un uzticamības pakalpojumu sniedzēji. Dalībvalstīm jāizveido un periodiski jāpārskata būtisko un svarīgo vienību saraksti, un pirmais saraksts jāiesniedz līdz 2025. gada 17. aprīlim.
Tas ir svarīgi, jo mākoņpakalpojumu, MSP, MSSP un datu centru pakalpojumu sniedzēji atrodas citu organizāciju riska ķēdēs. Mākoņvides vadības plaknes kompromitēšana var ietekmēt tūkstošiem klientu sistēmu. Datu centra nepieejamība var kaskādveidā ietekmēt banku sektoru, veselības aprūpi, loģistiku un valsts pārvaldi. MSP autentifikācijas datu kompromitēšana var kļūt par vairāku klientu izspiedējprogrammatūras incidentu. MSSP atklāšanas kontroles kļūme var aizkavēt ierobežošanu regulēto klientu vidēs.
NIS2 Article 20 prasa, lai vadības institūcijas apstiprinātu kiberdrošības risku pārvaldības pasākumus un pārraudzītu to ieviešanu. Article 21 prasa atbilstošus un samērīgus tehniskos, operatīvos un organizatoriskos pasākumus, kas balstīti uz visu apdraudējumu pieeju. Pamatlīmenis ietver risku analīzi, incidentu apstrādi, darbības nepārtrauktību, piegādes ķēdes drošību, drošu iegādi un izstrādi, ievainojamību apstrādi un izpaušanu, efektivitātes izvērtēšanu, kiberdrošības higiēnu, apmācību, kriptogrāfiju, personāla drošību, piekļuves kontroli, aktīvu pārvaldības politiku, MFA vai nepārtrauktu autentifikāciju, drošu saziņu un ārkārtas saziņu.
Article 23 papildina prasības ar pakāpenisku ziņošanu par būtiskiem incidentiem, tostarp agrīno brīdinājumu 24 stundu laikā, incidenta paziņojumu 72 stundu laikā, starpposma ziņojumiem pēc pieprasījuma un gala ziņojumu viena mēneša laikā pēc paziņojuma vai pēc incidenta apstrādes, ja incidents turpinās.
Īstenošanas regula 2024/2690 šīs prasības attiecīgajiem digitālo pakalpojumu sniedzējiem padara konkrētākas. Praksē iestādes, klienti un auditori nejautās tikai to, vai politikas pastāv. Viņi prasīs, vai kontroles pasākumi ir kartēti, tiem ir noteikti īpašnieki, tie ir testēti un par tiem ir pierādījumi.
ISO/IEC 27001:2022 pārvērš NIS2 par IDPS darbības kontekstu
Bieža kļūda gatavībā NIS2 ir sākt ar lielu kontrolsarakstu un sadalīt uzdevumus starp IT, juridisko funkciju, SOC, infrastruktūras komandu, piegādātāju pārvaldību un atbilstības funkciju. Tas var radīt aktivitāti, taču auditā bieži neiztur pārbaudi, jo neviens nevar parādīt, kāpēc kontroles pasākumi tika izvēlēti, kā tie saistīti ar risku, kurš pieņēma atlikušo risku un kādi pierādījumi apliecina efektivitāti.
ISO/IEC 27001:2022 pakalpojumu sniedzējiem nodrošina struktūru, lai no šādas neveiksmes izvairītos.
Punkti 4.1 līdz 4.4 prasa organizācijai noteikt iekšējos un ārējos apstākļus, identificēt ieinteresētās puses un to prasības, izlemt, kuras prasības tiks risinātas IDPS ietvaros, un definēt IDPS darbības jomu, tostarp saskarnes un atkarības. Mākoņpakalpojumu vai MSP sniedzējam darbības jomā skaidri jāņem vērā NIS2, Īstenošanas regula 2024/2690, klientu drošības pielikumi, DORA noteiktās klientu prasības, mākoņreģioni, apakšuzņēmēji, datu centru atkarības, attālās pārvaldības platformas, priviliģētās piekļuves ceļi un incidentu paziņošanas pienākumi.
Punkti 5.1 līdz 5.3 prasa vadību, politiku saskaņošanu, resursus, komunikāciju, piešķirtu atbildību un vadības pārskatatbildību. Tas tieši atbalsta NIS2 Article 20.
Punkti 6.1.1 līdz 6.1.3 prasa risku izvērtēšanu, riska apstrādi, riska īpašniekus, varbūtības un seku analīzi, kontroles pasākumu atlasi, salīdzinājumu ar A pielikumu, Piemērojamības paziņojumu, risku apstrādes plānu un formālu atlikušā riska pieņemšanu. Šajā posmā NIS2 kļūst operatīva. Katra regulatīvā prasība kļūst par riska virzītāju, atbilstības pienākumu, kontroles prasību vai pierādījumu prasību.
Clarysec šo darbu sāk ar Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint, īpaši risku pārvaldības posmā.
No 13. soļa “Risku apstrādes plānošana un Piemērojamības paziņojums” Zenith Blueprint komandām nosaka veidot izsekojamību starp riskiem, kontroles pasākumiem un regulatīvajiem virzītājiem:
“Savstarpēji atsaucieties uz regulējumiem: ja noteikti kontroles pasākumi ir ieviesti īpaši, lai nodrošinātu atbilstību GDPR, NIS2 vai DORA, to var atzīmēt risku reģistrā vai SoA piezīmēs. Piemēram, kontrole 8.27 (droša datu dzēšana) var būt ļoti būtiska GDPR prasībai dzēst personas datus; varat norādīt: ‘Piemērojams – atbalsta GDPR Art.32 (apstrādes drošība)’. ISO to neprasa, taču tas palīdz pierādīt, ka šie ietvari ir ņemti vērā.”
- solis “Riska apstrādes politikas un regulatīvās savstarpējās atsauces” papildina praktisko kartēšanas disciplīnu:
“Katram regulējumam, ja piemērojams, var izveidot vienkāršu kartēšanas tabulu, kurā uzskaitītas regulējuma galvenās drošības prasības un atbilstošie kontroles pasākumi/politikas jūsu IDPS. ISO 27001 tas nav obligāti, taču tas ir noderīgs iekšējs vingrinājums, lai nodrošinātu, ka nekas nav palaists garām.”
Tā ir atšķirība starp apgalvojumu “mēs esam ISO sertificēti” un pierādījumu “mūsu ISO/IEC 27001:2022 IDPS aptver NIS2 Īstenošanas regulu 2024/2690”.
Vienots NIS2 kartējums ar ISO/IEC 27001:2022 kontroles pasākumiem
Tālāk sniegtais kartējums nav juridiska konsultācija un neaizstāj nacionālās transponēšanas analīzi. Tā ir praktiska kontroles arhitektūra pakalpojumu sniedzējiem, kuriem nepieciešams auditējams ISO/IEC 27001:2022 ceļš uz gatavību NIS2.
| NIS2 un Īstenošanas regulas tēma | ISO/IEC 27001:2022 IDPS mehānisms | Galvenās A pielikuma kontroles jomas | Clarysec ieviešanas pierādījumi |
|---|---|---|---|
| Pārvaldība un vadības pārskatatbildība | Punkti 4, 5, 6 un 9 definē kontekstu, vadību, riska plānošanu un veiktspējas pārskatīšanu | 5.1 Informācijas drošības politikas, 5.2 Informācijas drošības lomas un pienākumi, 5.31 Tiesiskās, normatīvās, regulatīvās un līgumiskās prasības | IDPS darbības joma, ieinteresēto pušu reģistrs, valdes apstiprinājums, risku reģistrs, SoA, vadības pārskatīšanas protokoli |
| Mākoņpakalpojumu pārvaldība | Risku izvērtēšana, piegādātāju sākotnējā izpēte, dalītā atbildība un kontroles pasākumu atlase | 5.23 informācijas drošība mākoņpakalpojumu izmantošanā, 5.19 Informācijas drošība piegādātāju attiecībās, 5.22 Piegādātāju pakalpojumu uzraudzība, pārskatīšana un izmaiņu pārvaldība | Mākoņvides uzskaite, pakalpojumu sniedzēja riska izvērtēšana, dalītās atbildības matrica, līguma klauzulas, mākoņvides žurnālu reģistrēšanas pierādījumi |
| MSP un MSSP priviliģētā piekļuve | Riska apstrāde klientu vidēm, administratoru platformām un atbalsta rīkiem | 5.15 piekļuves kontrole, 5.16 Identitātes pārvaldība, 5.18 Piekļuves tiesības, 8.2 Priviliģētās piekļuves tiesības, 8.5 Droša autentifikācija | PAM ieraksti, MFA pārskati, attālinātās piekļuves žurnāli, bastionserveru vai nulles uzticēšanās vārteju konfigurācija, piekļuves tiesību pārskatīšana |
| Datu centru noturība | Biznesa ietekmes analīze, nepārtrauktības plānošana un atkarību pārvaldība | 5.30 IKT gatavība darbības nepārtrauktībai, 7.1 Fiziskās drošības perimetri, 7.2 Fiziskā ieeja, 8.13 Informācijas rezerves kopijas, 8.14 Redundance | BIA, RTO un RPO ieraksti, DR testa pārskats, fiziskās piekļuves žurnāli, elektroapgādes un dzesēšanas testu pierādījumi |
| Incidentu ziņošana un eskalācija | Incidentu process, kas sasaistīts ar juridiskiem, līgumiskiem un klientu paziņošanas trigeriem | 5.24 Informācijas drošības incidentu pārvaldības plānošana un sagatavošana, 5.25 Informācijas drošības notikumu izvērtēšana un lēmuma pieņemšana, 5.26 Reaģēšana uz informācijas drošības incidentiem, 5.27 Mācīšanās no informācijas drošības incidentiem | 24 stundu agrīnā brīdinājuma rokasgrāmata, 72 stundu paziņošanas darbplūsma, incidentu reģistrs, pēcincidenta pārskatīšana |
| Ievainojamību apstrāde un izpaušana | Riskā balstīta ievainojamību apstrāde, izņēmumu pārvaldība un efektivitātes izvērtēšana | 8.8 Tehnisko ievainojamību pārvaldība, 8.9 Konfigurāciju pārvaldība, 8.32 Izmaiņu pārvaldība, 8.16 Uzraudzības darbības | Skenēšanas rezultāti, trūkumu novēršanas SLA, izņēmumu apstiprinājumi, ielāpu pārskati, draudu izlūkošanas ievaddati |
| Piegādes ķēdes drošība | Ieinteresēto pušu prasības un piegādātāju risks, kas integrēts IDPS | 5.19 Informācijas drošība piegādātāju attiecībās, 5.20 Informācijas drošības iekļaušana piegādātāju līgumos, 5.21 Informācijas drošības pārvaldība IKT piegādes ķēdē, 5.22 Piegādātāju pakalpojumu uzraudzība, pārskatīšana un izmaiņu pārvaldība | Piegādātāju līmeņošana, sākotnējās izpētes anketas, līguma klauzulas, audita tiesības, apakšuzņēmēju reģistrs, izstāšanās plāni |
| Žurnālu reģistrēšana, uzraudzība un izmeklēšana | Atklāšana, pierādījumi, laika korelācija un incidentu atbalsts | 8.15 Žurnālu reģistrēšana, 8.16 Uzraudzības darbības, 8.17 Pulksteņu sinhronizācija, 5.25 Informācijas drošības notikumu izvērtēšana un lēmuma pieņemšana | SIEM pārklājuma karte, pierādījumi par žurnālu glabāšanu, brīdinājumu pielāgošanas ieraksti, pulksteņu sinhronizācijas ieraksti, incidentu korelācijas pierādījumi |
| Tīkla un nomnieku izolācija | Droša arhitektūra, segmentēšana un ierobežoti administratīvie ceļi | 8.20 Tīkla drošība, 8.22 Tīklu nodalīšana, 8.23 Tīmekļa filtrēšana, 8.24 Kriptogrāfijas izmantošana | Tīkla shēmas, ugunsmūra noteikumi, mākoņvides drošības grupas, VPC vai apakštīklu noteikumi, segmentēšanas testu rezultāti |
Šis kartējums kļūst vērtīgs, kad tas ir iestrādāts risku reģistrā un Piemērojamības paziņojumā. Piemēram, pakalpojumu sniedzējs var izveidot riska scenāriju “Attālās pārvaldības platformas kompromitēšana izraisa nesankcionētas darbības klientu vidēs”. Kontroles pasākumi ietver MFA, priviliģētās piekļuves pārvaldību, segmentēšanu, žurnālu reģistrēšanu, ievainojamību pārvaldību, piegādātāju drošību, incidentu plānošanu un klientu paziņošanas procedūras. SoA piezīmēs attiecīgā gadījumā var atsaukties uz NIS2 Article 21, Article 23, Īstenošanas regulu 2024/2690, klientu līgumiem un DORA klientu sākotnējās izpētes prasībām.
Mākoņpakalpojumu pārvaldība: ISO kontrole 5.23 ir NIS2 enkurs
Mākoņpakalpojumu sniedzējiem un MSP, kuri klientu pakalpojumu sniegšanai izmanto mākoņpakalpojumus, ISO/IEC 27001:2022 A pielikuma kontrole 5.23, informācijas drošība mākoņpakalpojumu izmantošanā, ir viens no būtiskākajiem enkuriem.
Zenith Controls: The Cross-Compliance Guide Zenith Controls apkopo kontroli 5.23 kā preventīvu kontroles pasākumu, kas atbalsta konfidencialitāti, integritāti un pieejamību un ir saistīts ar piegādātāju attiecību drošību, pārvaldību, ekosistēmas risku un aizsardzību. Tā aptver mākoņpakalpojumu pārvaldību, dalīto atbildību, pakalpojumu sniedzēja izvērtēšanu, uzskaites, datu atrašanās vietu, žurnālu reģistrēšanu, šifrēšanu, identitāšu lomas, uzraudzību, līguma klauzulas, piegādātāju risku, izstāšanos no mākoņpakalpojuma un noturības plānošanu.
Zenith Blueprint posma “Controls in Action” 23. solis skaidro praktisko pamatojumu:
“Mākonis vairs nav galamērķis, tas ir noklusējums. Kontrole 5.23 atzīst šo realitāti un prasa, lai informācijas drošība tiktu skaidri risināta mākoņpakalpojumu izvēlē, izmantošanā un pārvaldībā — nevis kā pēcdomas jautājums, bet kā projektēšanas princips jau no paša sākuma.”
MSP gadījumā jāpārvalda katra attālinātās uzraudzības un pārvaldības platforma, klientu portāls, pieteikumu sistēma, drošības telemetrijas platforma, rezerves kopiju pakalpojums, mākoņdirektorijs un SaaS administratīvā konsole. Datu centru pakalpojumu sniedzējam mākoņpakalpojumu pārvaldība var attiekties uz uzraudzības platformām, apmeklētāju pārvaldības sistēmām, fiziskās piekļuves kontroles integrācijām, attālās pārvaldības sistēmām un klientu portāla infrastruktūru.
Clarysec Enterprise Mākoņpakalpojumu izmantošanas politika Mākoņpakalpojumu izmantošanas politika nosaka obligātu sākotnējo izpēti pirms aktivizēšanas:
“Pirms aktivizēšanas visai mākoņpakalpojumu izmantošanai jāveic riskā balstīta sākotnējā izpēte, tostarp pakalpojumu sniedzēja izvērtēšana, tiesiskās atbilstības validācija un kontroles validācijas pārskatīšana.”
No sadaļas “Pārvaldības prasības”, politikas klauzula 5.2.
Mazākiem pakalpojumu sniedzējiem Cloud Usage Policy-sme Cloud Usage Policy-sme - SME izveido vienkāršotu apstiprināšanas modeli:
“Visa mākoņpakalpojumu izmantošana pirms ieviešanas vai abonēšanas ir jāpārskata un jāapstiprina ģenerāldirektoram (GM).”
No sadaļas “Pārvaldības prasības”, politikas klauzula 5.1.
Abas pieejas atbalsta vienu un to pašu NIS2 prasību: mākoņpakalpojumu atkarības risks ir jāsaprot, pirms pakalpojums kļūst par piegādes ķēdes daļu.
Reaģēšana uz incidentiem: 24 stundu pulkstenis sākas pirms ziņojuma sagatavošanas
NIS2 Article 23 ir nepielūdzams, jo ziņošanas termiņš sākas no brīža, kad organizācija uzzina par būtisku incidentu, nevis no brīža, kad ir pieejama pilnīga pamatcēloņa analīze. Pakalpojumu sniedzēju izaicinājums ir ātri noteikt, vai notikums ir būtisks, kuri klienti ir skarti, vai ir iesaistīti personas dati, vai pastāv pārrobežu ietekme uz pakalpojumu un kuri līgumiskie termiņi ir sākušies.
ISO/IEC 27001:2022 A pielikuma kontrole 5.24, Informācijas drošības incidentu pārvaldības plānošana un sagatavošana, ir plānošanas kontrole. Zenith Controls to apkopo kā koriģējošu kontroles pasākumu, kas atbalsta konfidencialitāti, integritāti un pieejamību un ir saistīts ar reaģēšanas un atjaunošanas koncepcijām, pārvaldību, notikumu pārvaldību un aizsardzību. Tā ietver lomas, pienākumus, eskalācijas ceļus, komunikācijas protokolus, gatavību regulatīvajai paziņošanai, saskaņojumu ar žurnālu reģistrēšanu un uzraudzību, integrāciju ar darbības nepārtrauktību un avārijas atjaunošanu, mācīšanos pēc incidenta un kartējumu ar NIS2, GDPR, DORA, ISO 22301, NIST CSF, NIST SP 800-53 un COBIT 2019.
Clarysec Incident Response Policy-sme Incident Response Policy-sme - SME pirmo lēmumu pārvērš laikā ierobežotā prasībā:
“Ģenerāldirektoram ar IT pakalpojumu sniedzēja iesaisti visi incidenti jāklasificē pēc smaguma pakāpes vienas stundas laikā pēc paziņojuma saņemšanas.”
No sadaļas “Pārvaldības prasības”, politikas klauzula 5.3.1.
Šī vienas stundas klasifikācija atbalsta operatīvo disciplīnu, kas nepieciešama NIS2 24 stundu agrīnā brīdinājuma analīzei, GDPR personas datu aizsardzības pārkāpuma izvērtēšanai, DORA klientu eskalācijai un līgumiskās paziņošanas triāžai.
Pakalpojumu sniedzēja incidentu lēmumu kokam jāatbild uz četriem jautājumiem:
- Vai ir apstiprināta vai aizdomās turama konfidencialitātes, integritātes vai pieejamības kompromitēšana?
- Vai notikums ietekmē pakalpojumu sniegšanu, klientu vides, regulētus klientus, personas datus vai kritiskas funkcijas?
- Vai tas var radīt smagus darbības traucējumus, finansiālus zaudējumus vai materiālu vai nemateriālu kaitējumu?
- Kuri paziņošanas pienākumi ir piemērojami: NIS2, GDPR, DORA klientu pienākumi, līgumiskie SLA vai nacionālā regulatora prasības?
Lēmumu koks jātestē galda vingrinājumos pirms reāla incidenta.
Ievainojamību pārvaldība: pierādiet riska samazināšanu pirms ietekmes
NIS2 prasa ievainojamību apstrādi un izpaušanu. Klientiem un regulatoriem ievainojamību pārvaldība ir viena no visvieglāk izmērāmajām kontroles jomām, jo tā rada skaidrus pierādījumus: skenēšanas pārklājumu, ielāpu uzstādīšanas termiņus, izņēmumu apstiprinājumus, izmantoto ievainojamību analīzi un trūkumu novēršanas ierakstus.
ISO/IEC 27001:2022 A pielikuma kontrole 8.8, Tehnisko ievainojamību pārvaldība, Zenith Controls ir apkopota kā preventīvs kontroles pasākums konfidencialitātei, integritātei un pieejamībai, kas saistīts ar identificēšanu un aizsardzību, draudu un ievainojamību pārvaldību, pārvaldību, ekosistēmu, aizsardzību un aizstāvību. Tā ietver ievainojamību identificēšanu, izvērtēšanu, prioritizēšanu, ielāpu uzstādīšanu, kompensējošos kontroles pasākumus, draudu izlūkošanas integrāciju, ievainojamību izpaušanu, mākoņvides un lietojumprogrammu ievainojamību atbildības, audita pierādījumus un trūkumu novēršanas termiņus.
Clarysec Enterprise Ievainojamību un ielāpu pārvaldības politika Ievainojamību un ielāpu pārvaldības politika auditoriem sniedz konkrētu testējamu modeli:
“Organizācijai visas atklātās ievainojamības jāklasificē, izmantojot standartizētu metodoloģiju (piem., CVSS v3.x), un jāpiemēro trūkumu novēršanas termiņi, kas saskaņoti ar darbībkritiskumu: 5.2.1 Kritisks (CVSS 9.0–10.0): tūlītēja pārskatīšana; ielāpa uzstādīšanas termiņš ne vairāk kā 72 stundas. 5.2.2 Augsts (7.0–8.9): reaģēšana 48 stundu laikā; ielāpa uzstādīšanas termiņš 7 kalendārās dienas. 5.2.3 Vidējs (4.0–6.9): reaģēšana 5 dienu laikā; ielāpa uzstādīšanas termiņš 30 kalendārās dienas. 5.2.4 Zems (<4.0): reaģēšana 10 dienu laikā; ielāpa uzstādīšanas termiņš 60 kalendārās dienas.”
No sadaļas “Pārvaldības prasības”, politikas klauzula 5.2.
Mākoņpakalpojumu sniedzējam tas jāattiecina uz hipervizora komponentiem, konteineru attēliem, orķestrācijas slāņiem, klientiem pieejamām lietojumprogrammu saskarnēm, CI/CD cauruļvadiem, administratīvajām konsolēm un trešo pušu bibliotēkām. MSP gadījumā galvenais jautājums ir, vai iekšējās ievainojamības ir nošķirtas no klientu pārvaldītajām ievainojamībām un vai līgumos ir definēta atbildība. Datu centra pakalpojumu sniedzējam darbības joma var ietvert ēku pārvaldības sistēmas, piekļuves kontroles sistēmas, uzraudzības platformas, attālināto tehnisko atbalstu uz vietas un tīkla infrastruktūru.
Dalītās atbildības modelis ir jādokumentē. Pakalpojumu sniedzējam var nepiederēt katra ielāpa ieviešana, taču tam joprojām jāpārvalda risks, attiecīgā gadījumā jāinformē klients un jāpierāda, ka atbildības robežas ir saprotamas.
Žurnālu reģistrēšana, uzraudzība un segmentēšana padara incidentus izmeklējamus
Kad pakalpojumu sniedzēja incidents sāk ietekmēt klientus, pirmie pierādījumu jautājumi ir vienkārši: kas pieteicās, no kurienes, ar kādām privilēģijām, kurā nomniekvidē, kas tika mainīts, kādi žurnāli pastāv un vai administratīvie ceļi bija segmentēti.
Clarysec Enterprise Žurnālu reģistrēšanas un uzraudzības politika Žurnālu reģistrēšanas un uzraudzības politika prasa, lai aptvertās sistēmas ģenerētu žurnālus, kas nepieciešami reaģētājiem un auditoriem:
“Visām aptvertajām sistēmām jāģenerē žurnāli, kas fiksē: 6.1.1.1 Lietotāju autentifikāciju un piekļuves mēģinājumus 6.1.1.2 Priviliģētu lietotāju darbības 6.1.1.3 Konfigurācijas izmaiņas 6.1.1.4 Neveiksmīgus piekļuves mēģinājumus vai sistēmas notikumus 6.1.1.5 Ļaunatūras atklāšanas notikumus un drošības brīdinājumus 6.1.1.6 Ārējo komunikāciju un ugunsmūra noteikumu aktivizēšanos”
No sadaļas “Politikas ieviešanas prasības”, politikas klauzula 6.1.1.
SME, kas paļaujas uz ārējiem pakalpojumu sniedzējiem, Logging and Monitoring Policy-sme Logging and Monitoring Policy-sme - SME pievieno līgumisku prasību:
“Līgumos jāparedz, ka pakalpojumu sniedzēji glabā žurnālus vismaz 12 mēnešus un pēc pieprasījuma nodrošina piekļuvi.”
No sadaļas “Pārvaldības prasības”, politikas klauzula 5.5.1.3.
Segmentēšana ir tikpat svarīga. Network Security Policy-sme Network Security Policy-sme - SME nosaka:
“Iekšējie tīkli jāsegmentē pēc funkcijas (piem., finanses, viesu tīkls, IoT, administratīvās sistēmas).”
No sadaļas “Politikas ieviešanas prasības”, politikas klauzula 6.2.1.
Zenith Blueprint posma “Controls in Action” 20. solis sniedz praktisku audita procedūru tīkla arhitektūrai un segmentēšanai. Tas nosaka komandām pārskatīt un dokumentēt tīkla izkārtojumu, pārbaudīt ugunsmūra noteikumus, IPS/IDS un attālās piekļuves konfigurācijas, apstiprināt, ka mākoņvides drošības grupas un VPC vai apakštīklu noteikumi atbilst paredzētajai arhitektūrai, uzskaitīt iekšējos un ārējos tīkla pakalpojumus un validēt, ka sensitīvas sistēmas nav sasniedzamas no vispārējo lietotāju VLAN vai viesu tīkliem.
MSP gadījumā attālās pārvaldības rīki nedrīkst atrasties plakanā biroja tīklā. Datu centru pakalpojumu sniedzējam elektroapgādes, dzesēšanas, piekļuves kontroles un klientu tīkla pakalpojumu pārvaldības saskarnēm jābūt izolētām un uzraudzītām. Mākoņpakalpojumu sniedzējam vadības plaknes piekļuve jāierobežo ar identitātes, tīkla, ierīces drošības stāvokļa un priviliģētās darbplūsmas kontroles pasākumiem.
Piegādātāju drošība: pakalpojumu sniedzējs ir arī klients
Mākoņpakalpojumu, MSP, MSSP un datu centru pakalpojumu sniedzēji ir piegādātāji regulētiem klientiem, taču tie vienlaikus ir arī programmatūras piegādātāju, telekomunikāciju operatoru, identitātes nodrošinātāju, SaaS platformu, aparatūras piegādātāju, apakšuzņēmēju un infrastruktūras operatoru klienti.
NIS2 piegādes ķēdes drošību padara par pamatprasību. DORA, kas piemērojama no 2025. gada 17. janvāra, finanšu vienībām par centrālu nosaka IKT trešo pušu riska pārvaldību. NIS2 Article 4 un Recital 28 atzīst DORA kā nozares specifisku Savienības tiesību aktu finanšu vienībām gadījumos, kad prasības pārklājas. Tas nenoņem spiedienu no mākoņpakalpojumu un MSP sniedzējiem. Tas to palielina, jo finanšu nozares klienti DORA līmeņa līgumiskās prasības, audita tiesības, noturības testēšanu, izstāšanās stratēģijas un incidentu ziņošanas prasības iekļauj piegādātāju līgumos.
Clarysec Enterprise Trešo pušu un piegādātāju drošības politika Trešo pušu un piegādātāju drošības politika prasa kontrolētu trešo pušu piekļuvi:
“Visa trešo pušu piekļuve jāreģistrē žurnālos un jāuzrauga, un, ja iespējams, jāsegmentē, izmantojot bastionserverus, VPN vai nulles uzticēšanās vārtejas.”
No sadaļas “Politikas ieviešanas prasības”, politikas klauzula 6.3.2.
Third-Party and Supplier Security Policy-sme Third-Party and Supplier Security Policy-sme - SME minimāli nepieciešamās tiesības formulē tieši:
“Piegādātājiem piekļuve jāpiešķir tikai minimālajām sistēmām un datiem, kas nepieciešami to funkcijas izpildei.”
No sadaļas “Politikas ieviešanas prasības”, politikas klauzula 6.2.1.
Šīs klauzulas dabiski kartējas uz ISO/IEC 27001:2022 A pielikuma kontroles pasākumiem 5.19, 5.20, 5.21 un 5.22. Tās arī atbalsta GDPR apstrādātāja un apakšapstrādātāja pārvaldību, DORA trešo pušu riska pārskatīšanu un klientu audita anketas.
Darbības nepārtrauktība un datu centru noturība: pierādiet pieņēmumus
NIS2 Article 21 ietver darbības nepārtrauktību, rezerves kopiju pārvaldību, avārijas atjaunošanu un krīzes pārvaldību. DORA Articles 11 to 14 finanšu vienībām prasa IKT darbības nepārtrauktības politikas, reaģēšanas un atjaunošanas plānus, biznesa ietekmes analīzi, rezerves kopiju politikas, atjaunošanas procedūras, atjaunošanas mērķus, testēšanu, pēcincidenta pārskatīšanu un krīzes komunikāciju.
Mākoņpakalpojumu un datu centru pakalpojumu sniedzējiem nepārtrauktība nav mape plauktā. Tā ir arhitektūra, kapacitāte, līgumi, atkarības, atjaunošanas pierādījumi un pārbaudīti pieņēmumi.
Clarysec Enterprise Darbības nepārtrauktības politika un Avārijas atjaunošanas politika Darbības nepārtrauktības politika un Avārijas atjaunošanas politika prasa ikgadēju BIA un pārskatīšanu pēc būtiskām izmaiņām:
“Biznesa ietekmes analīze (BIA) jāveic vismaz reizi gadā visām kritiskajām biznesa struktūrvienībām un jāpārskata būtisku sistēmu, procesu vai atkarību izmaiņu gadījumā. BIA rezultātos jādefinē: 5.2.1. maksimāli pieļaujamais dīkstāves laiks (MTD) 5.2.2. atjaunošanas laika mērķi (RTO) 5.2.3. atjaunošanas punkta mērķi (RPO) 5.2.4. kritiskās atkarības (sistēmas, piegādātāji, personāls)”
No sadaļas “Pārvaldības prasības”, politikas klauzula 5.2.
Datu centra scenārijā BIA jāaptver elektroapgādes ievadi, UPS, ģeneratori, degvielas līgumi, dzesēšana, ugunsdzēsības sistēmas, tīkla operatori, fiziskās piekļuves sistēmas, attālinātais tehniskais atbalsts uz vietas, uzraudzība, rezerves aparatūra un klientu komunikācijas kanāli. Mākoņvides scenārijā tai jāaptver reģioni, pieejamības zonas, replikācija, rezerves kopiju nemainīgums, identitātes atkarības, DNS, sertifikācijas iestādes, API vārtejas un atbalsta sistēmas. MSP scenārijā tai jāaptver attālās pārvaldības rīki, priviliģētās piekļuves seifi, EDR konsoles, pieteikumu sistēmas, dokumentu repozitoriji un ārkārtas saziņa.
ISO 22301 var stiprināt darbības nepārtrauktības pārvaldības disciplīnu, savukārt ISO/IEC 27005:2022 atbalsta riska kritērijus, apstrādes plānošanu, uzraudzību, pierādījumus un nepārtrauktu uzlabošanu. Tas ir noderīgi, jo gatavībai NIS2 organizācijai vienā riska procesā jākonsolidē juridiskie, līgumiskie, operatīvie, piegādātāju, tehnoloģiju, finanšu, procesu un cilvēkfaktora aspekti.
Praktiska riska izsekojamība MSP attālinātās piekļuves pārkāpumam
Praktisku darba semināru var sākt ar vienu scenāriju:
“Priviliģētas attālinātas piekļuves kompromitēšana izraisa nesankcionētu piekļuvi klientu sistēmām, pakalpojuma darbības traucējumus, iespējamu personas datu ekspozīciju un regulatīvus paziņošanas pienākumus.”
Izveidojiet risku reģistra rindu un aizpildiet izsekojamību.
| Lauks | Piemēra ieraksts |
|---|---|
| Riska īpašnieks | Pārvaldīto pakalpojumu vadītājs |
| Aktīvi un procesi | Attālās pārvaldības platforma, klientu administratora konti, priviliģēts seifs, pieteikumu sistēma, SIEM, klientu vides |
| Apdraudējuma notikums | Autentifikācijas datu zādzība, MFA noguruma uzbrukums, marķieru zādzība, izmantota RMM ievainojamība, ļaunprātīgs iekšējais darbinieks |
| Ietekme | Klienta kompromitēšana, pakalpojuma nepieejamība, līguma pārkāpums, NIS2 būtisks incidents, GDPR personas datu aizsardzības pārkāpums, DORA klienta eskalācija |
| Esošie kontroles pasākumi | MFA, PAM, minimāli nepieciešamās tiesības, segmentēšana, žurnālu reģistrēšana, ievainojamību skenēšana, incidentu reaģēšanas plāns |
| Nepieciešamā apstrāde | Pastiprināt nosacīto piekļuvi, piemērot just-in-time administratora piekļuvi, uzlabot nomnieku izolāciju, palielināt žurnālu glabāšanas termiņu, testēt paziņošanas rokasgrāmatu |
| ISO/IEC 27001:2022 pierādījumi | Risku izvērtēšana, SoA, piekļuves tiesību pārskatīšana, žurnālu paraugi, ievainojamību pārskati, galda vingrinājums, vadības pārskatīšana |
| NIS2 kartējums | Article 21 risku pārvaldība un Article 23 incidentu ziņošana, kā arī Īstenošanas regulas operatīvie pasākumi |
| Klienta kartējums | Līgumiskā paziņošana, audita tiesības, drošības pielikums, attiecīgā gadījumā ar DORA saskaņotas anketas |
| Atlikušā riska lēmums | Riska īpašnieks pieņēmis pēc apstrādes; pārskatīšana reizi ceturksnī |
Pēc tam atjauniniet Piemērojamības paziņojumu. Katram attiecīgajam A pielikuma kontroles pasākumam paskaidrojiet, kāpēc tas ir piemērojams un kuru NIS2 tēmu tas atbalsta. Visbeidzot pirms audita apkopojiet pierādījumus: MFA piemērošanas pārskatus, priviliģēto kontu sarakstus, žurnālu glabāšanas iestatījumus, RMM ielāpu statusu, SIEM brīdinājumus, incidentu klasifikācijas ierakstus, piegādātāju piekļuves apstiprinājumus un galda vingrinājumu rezultātus.
Kā dažādi auditori testēs vienu un to pašu kontroles vidi
Integrētai IDPS jāapmierina dažādi apliecinājuma skatpunkti, neveidojot atsevišķas pierādījumu paketes katram ietvaram.
| Auditora skatpunkts | Uz ko viņi koncentrēsies | Tipiski pieprasītie pierādījumi |
|---|---|---|
| ISO/IEC 27001:2022 auditors | Vai NIS2, DORA un GDPR prasības ir atspoguļotas kontekstā, darbības jomā, risku izvērtēšanā, SoA, iekšējā auditā un vadības pārskatīšanā | IDPS darbības joma, ieinteresēto pušu reģistrs, riska metodoloģija, risku reģistrs, SoA, apstrādes plāns, politikas, iekšējā audita pārskats, vadības pārskatīšana |
| NIS2 kompetentā iestāde vai deleģēts izvērtētājs | Vai kiberdrošības risku pārvaldības pasākumi ir atbilstoši un samērīgi un vai būtisku incidentu ziņošana darbojas | NIS2 kartējums, incidentu klasifikācijas procedūra, 24 stundu un 72 stundu darbplūsma, valdes pārraudzība, tehnisko kontroles pasākumu pierādījumi, piegādātāju drošības pierādījumi |
| DORA klienta izvērtētājs | Vai IKT trešo pušu risks, noturības testēšana, incidentu ziņošana, audita tiesības un izstāšanās plānošana atbilst finanšu sektora prasībām | Līguma klauzulas, apakšuzņēmēju reģistrs, noturības testi, incidentu SLA, izstāšanās plāns, audita pārskati, koncentrācijas riska atbalsts |
| GDPR auditors vai DPO pārskatīšana | Vai ir risināts personas datu aizsardzības pārkāpuma risks, apstrādātāja pienākumi, konfidencialitāte, integritāte un pārskatatbildība | Apstrādes darbību ieraksti, DPA noteikumi, pārkāpuma izvērtēšanas darbplūsma, piekļuves žurnāli, šifrēšanas pierādījumi, glabāšanas un dzēšanas kontroles pasākumi |
| Uz NIST orientēts izvērtētājs | Vai identificēšanas, aizsardzības, atklāšanas, reaģēšanas un atjaunošanas spējas ir ieviestas un mērītas | Aktīvu uzskaite, piekļuves kontroles pasākumi, ievainojamību dati, SIEM pārklājums, reaģēšanas rokasgrāmatas, atjaunošanas testi, metrika |
| COBIT 2019 vai ISACA auditors | Vai ir izveidoti pārvaldības mērķi, pienākumi, atbildība par risku, kontroles uzraudzība un apliecinājuma procesi | Pārvaldības hartas, RACI, riska apetīte, kontroles īpašnieki, KPI/KRI ziņošana, apliecinājuma plāns, korektīvo darbību izsekošana |
Šeit Zenith Controls palīdz kā savstarpējas atbilstības ceļvedis. Tādiem kontroles pasākumiem kā 5.23, 5.24 un 8.8 tas sasaista ISO/IEC 27001:2022 kontroles prasības ar NIS2, GDPR, DORA, NIST SP 800-53, COBIT 2019, NIST CSF un ISO 22301 tēmām. Mērķis nav izveidot atsevišķas atbilstības programmas. Mērķis ir viena pierādījumu arhitektūra, kas marķēta pēc kontroles pasākuma, riska, regulatīvā virzītāja un īpašnieka.
Clarysec ieviešanas modelis
Mākoņpakalpojumu, MSP, MSSP un datu centru pakalpojumu sniedzējiem darbs jāvirza piecos slāņos.
Pirmkārt, apstipriniet darbības jomu. Nosakiet, vai organizācija un pakalpojumi ietilpst NIS2 darbības jomā, kuri dalībvalsts noteikumi ir piemērojami, vai Īstenošanas regula 2024/2690 attiecas uz pakalpojumu sniedzēja kategoriju un vai klienti uzliek DORA, GDPR, NIST vai nozarei specifiskus pienākumus.
Otrkārt, izveidojiet IDPS kontekstu. Saskaņā ar ISO/IEC 27001:2022 punktiem 4 un 5 identificējiet ieinteresētās puses, juridiskos pienākumus, klientu saistības, piegādātāju atkarības, pakalpojumu robežas un vadības pienākumus.
Treškārt, veiciet risku izvērtēšanu un apstrādi, izmantojot ISO/IEC 27005:2022 principus. Konsolidējiet NIS2, DORA, GDPR, līgumus, iekšējās politikas un pakalpojumu riskus vienā pamatprasību reģistrā. Definējiet riska kritērijus, īpašniekus, varbūtību, ietekmi, apstrādes iespējas, kontroles pasākumu izvēli un atlikušā riska apstiprinājumus.
Ceturtkārt, kartējiet kontroles pasākumus Piemērojamības paziņojumā. Izmantojiet Zenith Blueprint 13. un 14. soli, lai sasaistītu riskus ar A pielikuma kontroles pasākumiem un regulatīvajām prasībām. Izmantojiet Zenith Controls, lai saprastu, kā kontroles pasākumi, piemēram, 5.23, 5.24, 8.8, 5.20 un 5.30, kartējas dažādos ietvaros un audita skatpunktos.
Piektkārt, ieviesiet pierādījumus operatīvajā darbībā. Ar politikām vien nepietiek. Clarysec politiku bibliotēka nodrošina piemērojamas prasības mākoņpakalpojumu apstiprināšanai, piegādātāju piekļuvei, žurnālu reģistrēšanai, ievainojamību novēršanai, tīkla segmentēšanai, incidentu klasifikācijai un nepārtrauktības plānošanai. Pierādījumu pakete apliecina, ka šīs prasības darbojas.
Nākamais solis: pārvērtiet NIS2 spiedienu auditam gatavā noturībā
NIS2 Īstenošanas regula 2024/2690 neprasa haosu. Tā prasa izsekojamību, īpašumtiesības un pierādījumus.
Ja esat mākoņpakalpojumu sniedzējs, MSP, MSSP vai datu centra operators, sāciet ar saviem pakalpojumiem, klientiem, atkarībām, incidentu scenārijiem un pierādījumu pienākumiem. Pēc tam veiciet strukturētu NIS2 kartējumu ar ISO/IEC 27001:2022:
- Apstipriniet, vai jūsu vienība un pakalpojumi ietilpst darbības jomā.
- Kartējiet NIS2 un Īstenošanas regulas tēmas savā IDPS darbības jomā.
- Atjauniniet risku reģistru un Piemērojamības paziņojumu.
- Piemērojiet Clarysec politikas mākoņpakalpojumu izmantošanai, piegādātāju drošībai, žurnālu reģistrēšanai, ievainojamību pārvaldībai, reaģēšanai uz incidentiem, tīkla drošībai un nepārtrauktībai.
- Izmantojiet Zenith Blueprint Zenith Blueprint 13., 14., 20. un 23. soli, lai izveidotu izsekojamību un operatīvos pierādījumus.
- Izmantojiet Zenith Controls Zenith Controls, lai savstarpēji kartētu ISO/IEC 27001:2022 kontroles pasākumus ar NIS2, DORA, GDPR, NIST un COBIT 2019 prasībām.
- Pārbaudiet pierādījumus audita simulācijā, pirms tos pieprasa klients, regulators vai sertifikācijas auditors.
Clarysec var palīdzēt pārvarēt kontrolsarakstu atbilstību un izveidot integrētu IDPS, kas iztur NIS2, DORA, GDPR un klientu audita spiedienu. Lejupielādējiet attiecīgos Clarysec rīkkopas materiālus, rezervējiet kartēšanas darbnīcu vai pieprasiet auditgatavības izvērtējumu, lai regulatīvo sarežģītību pārvērstu pamatotā drošības pārvaldībā un operatīvajā noturībā.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
