NIS2 vadības institūcijas atbildība: ISO 27001 pierādījumi

E-pasts Marijas iesūtnē pienāca pirmdienas rītā plkst. 08:15. Kā strauji augoša Eiropas mākoņpakalpojumu sniedzēja CISO viņa bija pieradusi pie steidzamiem ziņojumiem, taču šis šķita citāds.

Finanšu direktors bija pārsūtījis klienta drošības anketu izpilddirektoram, valdes sekretāram un Marijai. Temata rinda bija īsa: “Pirms atjaunošanas nepieciešami pierādījumi par NIS2 vadības institūcijas pārskatatbildību.”

Klients neprasīja kārtējo ielaušanās testēšanas pārskatu. Viņš vēlējās zināt, vai vadības institūcija ir apstiprinājusi kiberdrošības riska pārvaldības pasākumus, kā tiek uzraudzīta to ieviešana, vai vadītāji ir saņēmuši apmācību par kiberriskiem, kā tiek eskalēti būtiski incidenti un kā piegādātāju riski tiek pārskatīti vadības līmenī. Izpilddirektors pievienoja vienu teikumu: “Marija, kāda ir mūsu riska ekspozīcija un kā mēs pierādām pienācīgu rūpību? Valdei tas vajadzīgs nākamnedēļ.”

Tas ir brīdis, kad NIS2 kļūst reāla daudziem SaaS, mākoņpakalpojumu, MSP, MSSP, datu centru, finanšu tehnoloģiju un digitālās infrastruktūras pakalpojumu sniedzējiem. Direktīva (ES) 2022/2555 kiberdrošību neuzskata par tehniskās nodaļas problēmu. Tā pārvērš kiberrisku par vadības institūcijas pārskatatbildības jautājumu.

NIS2 Article 20 paredz, ka būtisko un svarīgo vienību vadības institūcijām jāapstiprina kiberdrošības riska pārvaldības pasākumi, jāuzrauga to ieviešana un jāapgūst apmācība. Tas arī ļauj dalībvalstīm noteikt atbildību par pārkāpumiem. Article 21 savukārt nosaka praktisko pamatlīmeni: risku analīzi, drošības politikas, incidentu pārvaldību, darbības nepārtrauktību, piegādes ķēdes drošību, drošu iegādi un izstrādi, efektivitātes izvērtēšanu, kiberdrošības higiēnu, apmācību, kriptogrāfiju, personāla drošību, piekļuves kontroli, aktīvu pārvaldību un autentifikāciju.

Organizācijām, kas jau izmanto ISO/IEC 27001:2022, struktūra ir pazīstama. Atšķiras auditorija un pierādījumu slogs. Jautājums vairs nav tikai: “Vai mums ir drošības kontroles pasākumi?” Tas ir: “Vai vadības institūcija var pierādīt, ka tā šos kontroles pasākumus apstiprināja, izprata, finansēja, pārskatīja, apstrīdēja un uzlaboja?”

Tieši šeit ISO/IEC 27001:2022 kļūst par aizstāvamu pārvaldības sistēmu. Clarysec pieeja ir izmantot ISO/IEC 27001:2022 kā pierādījumu pamatu, Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint kā ieviešanas ceļvedi, Clarysec politikas kā valdei sagatavotus artefaktus un Zenith Controls: The Cross-Compliance Guide Zenith Controls kā dažādu ietvaru kartēšanas ceļvedi NIS2, DORA, GDPR, NIST CSF 2.0, COBIT 2019 un audita gaidām.

Kāpēc NIS2 vadības institūcijas atbildība maina sarunu par kiberdrošību

NIS2 neprasa, lai direktori kļūtu par ugunsmūru inženieriem. Tā prasa, lai viņi pārvaldītu. Šai atšķirībai ir nozīme.

CISO var parādīt ievainojamību pārskatus, MFA pārklājumu, galiekārtu aizsardzības paneļus un mākoņdrošības stāvokļa rādītājus. Tie ir noderīgi operatīvie signāli, taču paši par sevi tie nepierāda vadības institūcijas pārraudzību. Regulators, uzņēmuma klients, sertifikācijas auditors vai finanšu sektora vērtētājs meklēs pārvaldības pierādījumu ķēdi:

1. Organizācija ir izvērtējusi, vai NIS2 ir piemērojama, un dokumentējusi pamatojumu.
2. Vadības institūcija vai augstākā vadība ir apstiprinājusi kiberdrošības riska pārvaldības ietvaru.
3. Ir definēta riska apetīte un tolerances sliekšņi.
4. Augsti kiberriski ir eskalēti un pārskatīti.
5. Ir apstiprināti risku apstrādes lēmumi, tostarp pieņemtais atlikušais risks.
6. Incidentu ziņošanas procedūras atspoguļo 24 stundu, 72 stundu un galīgā ziņojuma pienākumus, ja tie ir piemērojami.
7. Piegādātāju un mākoņpakalpojumu atkarības ir kartētas un pārvaldītas.
8. Vadības pārskatīšana ietver audita konstatējumus, incidentu tendences, metriku un uzlabošanas darbības.
9. Vadītāji ir saņēmuši viņu pārskatatbildībai atbilstošu apmācību.
10. Lēmumi, izņēmumi un eskalācijas ir izsekojami.

Tieši šeit daudzas vecās drošības rokasgrāmatas neiztur pārbaudi. “NIS2 atbilstoša” rīka iegāde nepierāda vadības institūcijas pārraudzību. Politikas parakstīšana un ievietošana mapē nepierāda ieviešanu. Kiberdrošības pilnīga deleģēšana CISO neizpilda vadības institūcijas pārraudzības pienākumu.

ISO/IEC 27001:2022 šo problēmu risina, jo informācijas drošību definē kā stratēģisku, riskā balstītu pārvaldības sistēmu, kas integrēta organizācijas procesos. Tā prasības par kontekstu, ieinteresētajām pusēm, juridiskajiem pienākumiem, darbības jomu, līderību, risku novērtēšanu, risku apstrādi, darbības kontroli, snieguma izvērtēšanu, iekšējo auditu, vadības pārskatīšanu un nepārtrauktu uzlabošanu izveido struktūru, kas vadības institūcijai nepieciešama pienācīgai rūpībai.

Zenith Blueprint to padara praktisku IDPS pamatu un līderības posma 3. solī:

“5.1. punkts ir par līderību un apņemšanos. ISO 27001 paredz, ka augstākajai vadībai jādemonstrē līderība, apstiprinot IDPS, nodrošinot resursus, veicinot informētību, nodrošinot lomu piešķiršanu, integrējot IDPS biznesa procesos un atbalstot nepārtrauktu uzlabošanu.”

Tas ir NIS2 Article 20 darbības modelis. Vadības institūcijai nav jāapstiprina katrs tehniskais pieteikums, taču tai jāapstiprina pārvaldības modelis, jāsaprot būtiskie riski, jānodrošina resursi un jāuzrauga ieviešana.

Pierādījumu pakete, ko NIS2 faktiski prasa vadības institūcijai

Bieža kļūda ir uzskatīt NIS2 pierādījumus par juridisku memorandu un politiku mapi. Tas reti apmierina nopietnu vērtētāju. Vadības institūcijas pārskatatbildībai ir vajadzīgi aktīvas pārvaldības pierādījumi, nevis pasīva dokumentācija.

Spēcīgai NIS2 vadības institūcijas pierādījumu paketei jāsaista juridiskie pienākumi ar valdes lēmumiem, kontroles pasākumiem un pārskatīšanas cikliem.

Šīs paketes stiprā puse ir izsekojamība. Katrs artefakts atbild uz pārvaldības jautājumu un norāda uz ISO/IEC 27001:2022 mehānismu. Tas CISO, izpilddirektoram un vadības institūcijai sniedz aizstāvamu skaidrojumu: kiberdrošība nav rīku kopums, tā ir pārvaldīta sistēma.

Politiku pārvēršana vadības institūcijas līmeņa pārskatatbildībā

Sākotnējā scenārijā Marijas izpilddirektors varētu vēlēties atbildēt klientam ar ISO sertifikātu un dažām politikām. Ar to NIS2 vadības institūcijas pārskatatbildībai nepietiek. Organizācijai ir vajadzīgi pierādījumi, ka atbildība ir piešķirta, lēmumi ir reģistrēti un riski tiek eskalēti objektīvi.

Clarysec politikas ir veidotas, lai nodrošinātu šādu izsekojamību.

Mazākām organizācijām Information Security Policy-sme Informācijas drošības politika - SME, 4.1.1. punkts, nosaka, ka augstākā vadība:

“Saglabā vispārējo pārskatatbildību par informācijas drošību.”

Šim teikumam ir nozīme. Tas novērš biežu antiparaugu, kad dibinātāji, izpilddirektori vai izpildvadības komandas neformāli deleģē visu drošības pārskatatbildību IT, pašiem neuzturot jēgpilnu pārraudzību.

Lielākām organizācijām Risk Management Policy Risku pārvaldības politika, 4.1.1. punkts, nosaka, ka vadība:

“Apstiprina risku pārvaldības ietvaru un definē pieņemamu riska apetīti un tolerances sliekšņus.”

Tas ir vadības institūcijai sagatavots pierādījums NIS2 Article 20 vajadzībām. Riska apetītes paziņojums, tolerances sliekšņi un formāls riska pilnvaru modelis parāda, kā apstiprināšana un eskalācija darbojas praksē.

Tās pašas politikas 5.6. punkts papildina:

“Risku pilnvaru matricai skaidri jādefinē eskalācijas sliekšņi uz augstāko vadību vai valdi.”

Tas ir viens no svarīgākajiem NIS2 pārvaldības artefaktiem. Bez eskalācijas sliekšņiem vadības institūcija redz tikai to, ko kāds izvēlas eskalēt. Ar sliekšņiem augsts atlikušais risks, neatrisinātas kritiskas ievainojamības, būtiska piegādātāju koncentrācija, nozīmīgi incidenti, audita konstatējumi un izņēmumi virs tolerances automātiski nonāk izpildvadības pārraudzībā.

Governance Roles and Responsibilities Policy Pārvaldības lomu un atbildību politika nostiprina pierādījumu ķēdi:

“Pārvaldībai jāatbalsta integrācija ar citām disciplīnām (piem., risks, juridiskās lietas, IT, HR), un IDPS lēmumiem jābūt izsekojamiem līdz to avotam (piem., audita ieraksti, pārskatīšanas žurnāli, sanāksmju protokoli).”

SME organizācijām Governance Roles and Responsibilities Policy-sme Pārvaldības lomu un atbildību politika - SME nosaka:

“Visi būtiskie drošības lēmumi, izņēmumi un eskalācijas ir jāreģistrē, un tiem jābūt izsekojamiem.”

Šie punkti pārvērš vadības institūcijas pārraudzību no sarunas par audita pēdu.

ISO/IEC 27001:2022 pierādījumu ķēde NIS2 Article 20 vajadzībām

Vadības institūcija var operacionalizēt NIS2 Article 20, izmantojot skaidru ISO/IEC 27001:2022 pierādījumu ķēdi.

Pirmkārt, jānosaka konteksts un darbības joma. ISO/IEC 27001:2022 prasa organizācijai noteikt iekšējos un ārējos jautājumus, ieinteresētās puses, juridiskās, regulatīvās un līgumiskās prasības, IDPS robežas, saskarnes, atkarības un mijiedarbojošos procesus. SaaS vai mākoņpakalpojumu sniedzējam IDPS darbības jomā skaidri jāidentificē ES pakalpojumi, mākoņvides, atbalsta operācijas, kritiskie piegādātāji, regulētie klientu segmenti un NIS2 ekspozīcija.

Otrkārt, jādemonstrē līderība. ISO/IEC 27001:2022 prasa augstākajai vadībai saskaņot drošības mērķus ar stratēģisko virzienu, integrēt IDPS prasības biznesa procesos, nodrošināt resursus, komunicēt nozīmīgumu, piešķirt atbildību un veicināt nepārtrauktu uzlabošanu. NIS2 kontekstā tas kļūst par pierādījumu, ka vadības institūcija ir apstiprinājusi un uzraudzījusi kiberdrošības riska pārvaldības pasākumus.

Treškārt, jāveic atkārtojama risku novērtēšana un apstrāde. ISO/IEC 27001:2022 prasa riska kritērijus, risku identificēšanu, riska īpašniekus, varbūtības un seku analīzi, apstrādes iespējas, kontroles pasākumu atlasi, salīdzinājumu ar A pielikumu, piemērojamības deklarāciju (SoA), risku apstrādes plānu un atlikušā riska apstiprināšanu.

Zenith Blueprint risku pārvaldības posma 13. solis apstiprinājuma punktu formulē skaidri:

“Vadības apstiprinājums: riska apstrādes lēmumi un SoA jāizskata un jāapstiprina augstākajai vadībai. Vadība jāinformē par galvenajiem riskiem un ierosinātajiem apstrādes pasākumiem, riskiem, kurus ierosināts pieņemt, un kontroles pasākumiem, kurus plānots ieviest.”

NIS2 vajadzībām šī informēšana nedrīkst būt vienreizējs pasākums. Vadības institūcijas paketei jāparāda aktuālie būtiskākie riski, tendences, apstrādes progress, pieņemtais atlikušais risks, kavētās darbības, kritiska piegādātāju ekspozīcija, incidentu tēmas un galvenie efektivitātes rādītāji.

Ceturtkārt, jānodrošina darbība un jāuztur pierādījumi. ISO/IEC 27001:2022 8.1. punkts prasa darbības plānošanu un kontroli. A pielikuma kontroles pasākumi atbalsta piegādātāju drošību, mākoņpārvaldību, reaģēšanu uz incidentiem, darbības nepārtrauktību, ievainojamību pārvaldību, rezerves kopijas, žurnālfiksēšanu, uzraudzību, drošu izstrādi, lietojumprogrammu drošību, arhitektūru, testēšanu, ārpakalpojumus, pienākumu nošķiršanu un izmaiņu pārvaldību.

Piektkārt, jāizvērtē un jāuzlabo. Iekšējais audits, mērījumi, vadības pārskatīšana, korektīvās darbības un nepārtraukta uzlabošana pārvērš kontroles pasākumu katalogu par pārvaldītu sistēmu.

Uzņēmuma Information Security Policy Informācijas drošības politika iekļauj šo vadības pārskatīšanas prasību:

“Vadības pārskata darbības (saskaņā ar ISO/IEC 27001 9.3. punktu) jāveic vismaz reizi gadā un tajās jāiekļauj:”

Vērtība nav tikai tajā, ka notiek sanāksme. Vērtība ir tajā, ka pārskatīšana rada pierādījumus: ievaddatus, lēmumus, darbības, īpašniekus, termiņus un turpmāko izpildi.

Audit and Compliance Monitoring Policy-sme Audita un atbilstības uzraudzības politika - SME, 5.4.3. punkts, noslēdz ciklu:

“Audita konstatējumi un statusa atjauninājumi ir jāiekļauj IDPS vadības pārskatīšanas procesā.”

Tā ir atšķirība starp “mums bija audits” un “vadība pārskatīja audita rezultātus un norādīja trūkumu novēršanu”.

Dažādu ietvaru atbilstības kartēšana: NIS2, DORA, GDPR, NIST CSF 2.0 un COBIT 2019

NIS2 reti ierodas viena pati. Mākoņpakalpojumu sniedzējs var apstrādāt personas datus saskaņā ar GDPR. Finanšu tehnoloģiju klients var noteikt DORA virzītas piegādātāju prasības. ASV uzņēmuma klients var prasīt saskaņojumu ar NIST CSF 2.0. Valdes audita komiteja var runāt COBIT 2019 valodā.

Risinājums nav veidot atsevišķas atbilstības mapes. Risinājums ir izmantot ISO/IEC 27001:2022 kā centrālo pierādījumu sistēmu.

Zenith Controls palīdz komandām konsolidēt prasības, kartējot ISO/IEC 27002:2022 kontroles pasākuma 5.4 “Vadības pienākumi” saistību ar standartiem, regulējumiem un audita metodēm.

Zenith Controls ierakstā par ISO/IEC 27002:2022 kontroles pasākumu 5.4 “Vadības pienākumi” kontroles tips ir klasificēts kā “preventīvs”, tas ir sasaistīts ar konfidencialitāti, integritāti un pieejamību un novietots uz pārvaldību vērstas operacionālās spējas ietvarā.

Tas ir būtiski, jo NIS2 Article 20 ir preventīva pārvaldība. Vadības apstiprinājums un pārraudzība samazina varbūtību, ka kiberrisks kļūst neredzams, nepietiekami finansēts vai nepārvaldīts.

Zenith Controls arī sasaista vadības pienākumus ar saistītajiem ISO/IEC 27002:2022 kontroles pasākumiem: 5.1 Informācijas drošības politikas, 5.2 Informācijas drošības lomas un pienākumi, 5.35 Neatkarīga informācijas drošības pārskatīšana, 5.36 Atbilstība informācijas drošības politikām, noteikumiem un standartiem un 5.8 Drošība projektu vadībā. Vadības institūcijas pārskatatbildība nevar pastāvēt izolēti. Tai ir vajadzīgas politikas, lomas, apliecinājums, atbilstības uzraudzība un integrācija projektu līmenī.

Plašāks salīdzinājums ir īpaši noderīgs ziņošanai izpildvadībai.

DORA ir pelnījusi īpašu uzmanību. NIS2 Article 4 atzīst, ka nozaru specifiski ES tiesību akti var aizstāt pārklājošos NIS2 noteikumus, ja tiek piemēroti līdzvērtīgi kiberdrošības riska pārvaldības vai incidentu paziņošanas pasākumi. DORA ir galvenais piemērs finanšu vienībām. Tā ir piemērojama no 2025. gada 17. janvāra un finanšu pakalpojumiem izveido vienotu IKT risku pārvaldības, incidentu ziņošanas, noturības testēšanas, trešo pušu risku pārvaldības un pārraudzības ietvaru.

SaaS vai mākoņpakalpojumu sniedzējs var nebūt tieši regulēts kā banka, taču DORA joprojām var ienākt caur klientu līgumiem. Finanšu vienībām jāpārvalda IKT trešo pušu risks, jāuztur IKT pakalpojumu līgumu reģistri, jāveic sākotnējā izpēte, jāizvērtē koncentrācijas risks, jāiekļauj audita un pārbaudes tiesības, jādefinē izbeigšanas tiesības un jāuztur izstāšanās stratēģijas. Tas nozīmē, ka pakalpojumu sniedzējiem, kas apkalpo finanšu klientus, jārēķinās ar pierādījumu pieprasījumiem, kas ir ļoti līdzīgi NIS2 vadības institūcijas pārvaldības jautājumiem.

GDPR pievieno pārskatatbildību par personas datiem. Article 5(2) prasa, lai pārziņi būtu atbildīgi par atbilstību un spētu to pierādīt. Article 32 prasa apstrādes drošību, tostarp regulāru tehnisko un organizatorisko pasākumu efektivitātes testēšanu, izvērtēšanu un novērtēšanu. Ja tiek skarti personas dati, incidentu darbplūsmām paralēli NIS2 būtiska incidenta eskalācijai jāintegrē GDPR pārkāpuma izvērtēšana.

NIST CSF 2.0 pievieno izpildvadībai saprotamu valodu, izmantojot GOVERN funkciju. Tā uzsver organizācijas kontekstu, risku pārvaldības stratēģiju, lomas un pienākumus, politiku, pārraudzību un piegādes ķēdes risku pārvaldību. COBIT 2019 pievieno audita komitejām pazīstamu pārvaldības vārdnīcu, īpaši ar EDM03 risku optimizācijai un MEA mērķiem uzraudzībai un apliecinājumam.

90 dienu NIS2 vadības institūcijas pierādījumu sprints

Praktisks pierādījumu sprints var palīdzēt organizācijām ātri virzīties uz priekšu, neveidojot paralēlu birokrātiju.

1.–30. diena: noteikt pārskatatbildību

Sāciet ar NIS2 pārskatatbildības reģistru, kurā tiek ierakstīts:

• Vienības klasifikācijas analīze, tostarp būtiskas, svarīgas, netieši pakļautas vai ārpus tvēruma esošas vienības statusa pamatojums.
• Darbības jomā ietvertie pakalpojumi, piemēram, SaaS, mākonis, pārvaldītie pakalpojumi, datu centrs, DNS, uzticamības pakalpojumi vai ar komunikāciju saistīti pakalpojumi.
• ES dalībvalstis, kurās tiek sniegti pakalpojumi.
• Ietekmētās klientu nozares, jo īpaši finanšu pakalpojumi, veselības aprūpe, transports, enerģētika, publiskā pārvalde un digitālā infrastruktūra.
• Piemērojamie pienākumi, tostarp NIS2 Article 20, Article 21 un Article 23.
• Saistītie pienākumi no DORA, GDPR, klientu līgumiem un kiberapdrošināšanas.
• Vadības īpašnieks un ziņošanas biežums valdei.

Pievienojiet to ISO/IEC 27001:2022 kontekstam, ieinteresētajām pusēm, pienākumu reģistram un IDPS darbības jomai. Pēc tam atjauniniet risku pilnvaru matricu, izmantojot Risku pārvaldības politikas prasību definēt eskalācijas sliekšņus augstākajai vadībai vai valdei.

Noderīgi eskalācijas ierosinātāji ietver atlikušo risku virs apetītes, nepieņemtas kritiskas ievainojamības pēc SLA termiņa, piegādātāju koncentrācijas risku, neatrisinātus augsta riska audita konstatējumus, incidentus, kas var izraisīt NIS2 ziņošanu, izņēmumus no MFA, rezerves kopiju, žurnālfiksēšanas, šifrēšanas vai incidentu reaģēšanas prasībām, kā arī būtiskas mākoņarhitektūras izmaiņas.

31.–60. diena: apstiprināt risku apstrādi

Izmantojiet Zenith Blueprint 13. soli, lai sagatavotu valdes lēmumu paketi risku apstrādes plānam un piemērojamības deklarācijai. Paketē jāiekļauj:

• 10 būtiskākie kiberriski.
• Piedāvātā apstrādes iespēja katram riskam.
• Atlasītās kontroles pasākumu grupas.
• Atlikušais risks pēc apstrādes.
• Riski, kurus ierosināts pieņemt.
• Nepieciešamie budžeta vai resursu lēmumi.
• Atkarības no piegādātājiem, juridiskās funkcijas, HR, produkta un IT.
• Pieprasītais vadības lēmums.

Rezultātam jābūt parakstītam vai protokolētam apstiprinājumam. Ar slaidu komplektu vien nepietiek.

Kartējiet arī NIS2 Article 21 pasākumus uz ISO/IEC 27001:2022 punktiem un A pielikuma kontroles pasākumiem. Tas ļauj organizācijai parādīt, ka NIS2 tiek pārvaldīta caur IDPS, nevis ar atvienotu kontrolsarakstu.

61.–90. diena: testēt incidentu ziņošanu un pārskatīt pierādījumus

NIS2 Article 23 prasa pakāpenisku ziņošanu par būtiskiem incidentiem: agrīnu brīdinājumu 24 stundu laikā, incidenta paziņošanu 72 stundu laikā, starpposma atjauninājumus, ja tie ir nepieciešami vai pieprasīti, un galīgo ziņojumu ne vēlāk kā mēnesi pēc paziņošanas.

Veiciet galda scenārija izspēli ar valdes sponsoru, izpilddirektoru, CISO, juridisko dienestu, komunikācijas funkciju, klientu panākumu komandu un operācijām. Izmantojiet reālistisku scenāriju, piemēram, mākoņvides nepareizu konfigurāciju, kas eksponē klientu metadatus, traucē pakalpojuma pieejamību un ietekmē regulētu klientu.

Testējiet, kurš lemj, vai incidents var būt būtisks, kurš sazinās ar juridisko dienestu, kurš paziņo kompetentajām iestādēm vai CSIRT, ja tas nepieciešams, kurš apstiprina komunikāciju klientiem, kā tiek saglabāti pierādījumi, kā paralēli tiek izvērtēti GDPR pārkāpuma pienākumi un kā vadības institūcija tiek informēta pirmajās 24 stundās.

Pēc tam rīkojiet formālu vadības pārskatīšanu. Zenith Blueprint audita, pārskatīšanas un uzlabošanas posma 28. solis paskaidro, kāpēc:

“Vadības pārskatīšana nav tikai prezentācija; tā ir lēmumu pieņemšana.”

Šajā pārskatīšanā jāiekļauj audita konstatējumi, risku apstrādes progress, gatavība incidentiem, piegādātāju riski, metrika, lēmumi, piešķirtās darbības un turpmāko darbību īpašnieki.

Vadības pārskatīšanas sanāksme, kas patiešām darbojas

Daudzas vadības pārskatīšanas neizdodas, jo tās ir strukturētas kā statusa atjauninājumi. NIS2 gatavai vadības pārskatīšanai jābūt lēmumu sanāksmei.

Darba kārtībā jāiekļauj:

1. Izmaiņas NIS2, DORA, GDPR, līgumiskajās un klientu prasībās.
2. Izmaiņas biznesa kontekstā, pakalpojumos, iegādēs, piegādātājos, mākoņarhitektūrā un regulētajos klientu segmentos.
3. Būtiskāko informācijas drošības risku statuss un atlikušais risks pret riska apetīti.
4. Risku apstrādes plāna progress un kavētās darbības.
5. Incidentu tendences, būtiski notikumi, gandrīz notikuši gadījumi un gatavība ziņošanai.
6. Piegādātāju un IKT atkarību riski, tostarp koncentrācijas un izstāšanās riski.
7. Iekšējo auditu, ārējo auditu, klientu izvērtējumu un ielaušanās testu rezultāti.
8. Drošības izpratnes un vadības apmācību pabeigšana.
9. Metrika par piekļuves kontroli, ievainojamību pārvaldību, rezerves kopijām, žurnālfiksēšanu, uzraudzību, drošu izstrādi un nepārtrauktības testiem.
10. Nepieciešamie lēmumi, tostarp riska pieņemšana, budžets, personāls, politikas izņēmumi, piegādātāju trūkumu novēršana un kontroles pasākumu uzlabojumi.

Vadības apmācība ir īpaši svarīga. NIS2 Article 20 prasa, lai vadības institūcijas locekļi apgūtu apmācību. Information Security Awareness and Training Policy Informācijas drošības informētības un apmācības politika, 5.1.2.4. punkts, skaidri ietver vadības apmācību tēmas:

“Vadošie darbinieki (piem., pārvaldība, riska pieņemšana, juridiskie pienākumi)”

Vadības kiberapmācībai jākoncentrējas uz lēmumu tiesībām, atbildību, eskalāciju, riska apetīti, krīzes pārvaldību, ziņošanu par incidentiem un regulatīvajiem pienākumiem. Tā nedrīkst aprobežoties ar pikšķerēšanas informētību.

Kā auditori un klienti pārbaudīs vadības institūcijas pārraudzību

Dažādi vērtētāji izmantos atšķirīgu valodu, taču pārbaudīs vienu un to pašu pamatjautājumu: vai kiberdrošība tiek pārvaldīta?

Zenith Controls ir vērtīgs, jo ietver audita metodoloģiju kartējumus. Vadības pienākumiem tas atsaucas uz ISO/IEC 19011:2018 audita principiem un norisi, ISO/IEC 27007:2020 IDPS audita praksēm, ISO/IEC 27001:2022 5.1. punktu, COBIT 2019 EDM01 un EDM03, ISACA ITAF Section 1401 un NIST SP 800-53A PM-1 un PM-2. Neatkarīgai pārskatīšanai tas kartē uz ISO/IEC 27001:2022 9.2. un 9.3. punktu, ISO/IEC 27007 audita plānošanu un pierādījumu praksi, ISACA ITAF Section 2400 un NIST izvērtēšanas metodēm. Politiku ievērošanai tas kartē uz ISO/IEC 27001:2022 9.1., 9.2. un 10.1. punktu, ISO/IEC 19011 pierādījumu vākšanu, COBIT 2019 MEA01 un NIST nepārtrauktas uzraudzības izvērtēšanu.

Mācība ir vienkārša. Vadības institūcijas pārskatatbildību nepierāda tikai dalība sanāksmēs. To pierāda informēti lēmumi, dokumentēti apstiprinājumi, riskā balstīta prioritizācija, resursu piešķiršana un turpmākā izpilde.

Biežākās kļūdas, kas pārrauj pierādījumu ķēdi

Organizācijas, kurām ir grūtības ar NIS2 vadības institūcijas pārskatatbildību, parasti nonāk paredzamos modeļos.

Pirmkārt, tās jauc tehnisko kontroles pasākumu darbību ar pārvaldību. MFA pārklājums, SIEM brīdinājumi, EDR ieviešana un rezerves kopiju sekmīgas izpildes rādītāji ir svarīgi, taču vadības institūcijai nepieciešams riska konteksts, apstrādes lēmumi un apliecinājums, ka kontroles pasākumi darbojas.

Otrkārt, tās apstiprina politikas, bet ne risku apstrādi. Parakstīta drošības politika nepierāda, ka vadības institūcija ir apstiprinājusi samērīgus kiberdrošības pasākumus. Risku apstrādes plāns un SoA ir spēcīgāki pierādījumi, jo tie sasaista riskus, kontroles pasākumus, atlikušo risku un vadības apstiprinājumu.

Treškārt, tām nav eskalācijas sliekšņu. Bez risku pilnvaru matricas eskalācija ir atkarīga no personībām. NIS2 pārvaldībai nepieciešami objektīvi ierosinātāji.

Ceturtkārt, tās nodala reaģēšanu uz incidentiem no regulatīvās ziņošanas. NIS2, DORA un GDPR ziņošanas darbplūsmas jāintegrē pirms krīzes.

Piektkārt, tās ignorē piegādātāju pārvaldību. NIS2 Article 21 ietver piegādes ķēdes drošību un piegādātāju ievainojamību apsvērumus. DORA virzīti klienti var sagaidīt padziļinātu IKT trešo pušu pārvaldību, tostarp sākotnējo izpēti, audita tiesības, koncentrācijas risku, izbeigšanas tiesības un izstāšanās stratēģijas.

Sestkārt, tās neapmāca vadītājus. Vadības kiberapmācība saskaņā ar NIS2 nav fakultatīvs skatloga elements. Tā ir daļa no pārvaldības pierādījumu ķēdes.

Kā izskatās labs rezultāts

Pēc 90 dienām uzticamai NIS2 vadības institūcijas pierādījumu mapei jāietver:

• Piemērojamības izvērtēšana.
• IDPS darbības joma un pienākumu reģistrs.
• Līderības apņemšanās paziņojums.
• Riska apetīte un tolerances sliekšņi.
• Risku pilnvaru matrica.
• Kiberrisku reģistrs.
• Risku apstrādes plāns.
• Piemērojamības deklarācija.
• Valdes apstiprinājuma protokoli.
• Vadības apmācību ieraksti.
• Incidentu galda mācību pārskats.
• Piegādātāju risku informācijas panelis.
• Iekšējā audita ziņojums.
• Vadības pārskatīšanas protokoli un darbību izsekošanas rīks.

Šī mape atbild uz klienta anketu, ko Marija saņēma pirmdienas rītā. Vēl svarīgāk — tā palīdz vadības institūcijai pārvaldīt kiberrisku pirms incidents, audits vai regulators publiski pārbauda organizāciju.

Pārvērtiet NIS2 vadības institūcijas atbildību par auditam gatavu pārvaldību

NIS2 ir mainījusi sarunu par kiberdrošību. Vadības institūcijām jāapstiprina kiberdrošības riska pārvaldības pasākumi, jāuzrauga ieviešana un jāapgūst apmācība. Article 21 prasa integrētu tehnisko, operatīvo un organizatorisko pasākumu kopumu. Article 23 saspiež ziņošanu par incidentiem pakāpeniskā termiņu grafikā, kam sagatavošanās nepieciešama pirms krīzes.

ISO/IEC 27001:2022 nodrošina pārvaldības sistēmu. Clarysec nodrošina ieviešanas ceļvedi, politiku valodu, dažādu ietvaru atbilstības kartējumus un audita pierādījumu modeli.

Ja jūsu vadības institūcija jautā: “Kas mums jāapstiprina un kā pierādām pārraudzību?”, sāciet ar trim darbībām:

1. Izmantojiet Zenith Blueprint 3. soli, 13. soli un 28. soli, lai strukturētu vadības apņemšanos, risku apstrādes apstiprināšanu un vadības pārskatīšanu.
2. Izmantojiet Clarysec politikas, piemēram, Risku pārvaldības politiku, Pārvaldības lomu un atbildību politiku, Informācijas drošības politiku un SME ekvivalentus, lai formalizētu pārskatatbildību un izsekojamību.
3. Izmantojiet Zenith Controls, lai kartētu NIS2 vadības institūcijas pārraudzību uz ISO/IEC 27001:2022, ISO/IEC 27002:2022, DORA, GDPR, NIST CSF 2.0, COBIT 2019 un audita metodoloģiju gaidām.

Clarysec var palīdzēt jums izveidot vadības institūcijas paketi, atjaunināt IDPS pierādījumu ķēdi, sagatavot vadības pārskatīšanu un pārvērst NIS2 pārskatatbildību atkārtojamā kiberrisku pārvaldības procesā, ko auditori, klienti un vadītāji var saprast. Lejupielādējiet attiecīgās Clarysec rīkkopas vai pieprasiet izvērtēšanu, lai vadības institūcijas atbildību pārvērstu auditam gatavos pierādījumos.