NIS2 kiberdrošības higiēnas pierādījumi, sasaistīti ar ISO 27001

Pirmdienas rītā ir 08:40. Sāra, strauji augoša B2B SaaS pakalpojumu sniedzēja CISO, pievienojas vadības zvanam, sagaidot kārtējo atvērto riska mazināšanas pasākumu pārskatīšanu. Tā vietā juridiskais padomnieks sāk ar daudz asāku jautājumu:

“Ja kompetentā valsts iestāde rīt pieprasītu pierādīt NIS2 Article 21 kiberdrošības higiēnu un kiberdrošības apmācību, ko tieši mēs nosūtītu?”

Personāla direktors saka, ka visi darbinieki ir pabeiguši ikgadējo informētības apmācību. SOC vadītājs saka, ka pikšķerēšanas simulāciju rezultāti uzlabojas. IT operāciju vadītājs saka, ka MFA tiek piemērota, rezerves kopijas tiek testētas un ielāpu ieviešana tiek izsekota. Atbilstības vadītājs saka, ka ISO/IEC 27001:2022 audita mapē ir apmācību ieraksti, bet DORA projekta komandai ir savi noturības apmācību pierādījumi, savukārt GDPR mapē ir atsevišķi privātuma informētības žurnāli.

Darbs ir veikts visur. Taču neviens nav pārliecināts, ka pierādījumi veido vienotu un konsekventu stāstu.

Tā ir īstā NIS2 Article 21 problēma būtiskajām un svarīgajām vienībām. Prasība nav vienkārši “apmācīt lietotājus”. Article 21 prasa atbilstošus un samērīgus tehniskos, operacionālos un organizatoriskos pasākumus kiberrisku pārvaldībai. Minimālais kontroles pasākumu kopums ietver kiberdrošības higiēnu un kiberdrošības apmācību, kā arī incidentu apstrādi, darbības nepārtrauktību, piegādes ķēdes drošību, ievainojamību apstrādi, kriptogrāfiju, personāla drošību, piekļuves kontroli, aktīvu pārvaldību, MFA vai nepārtrauktu autentifikāciju, drošu saziņu un procedūras efektivitātes izvērtēšanai.

Kiberdrošības higiēna nav informētības kampaņa. Tā ir ikdienas darbības disciplīna, kas sasaista cilvēkus, kontroles pasākumus, pierādījumus un vadības pārskatatbildību.

CISO, atbilstības vadītājiem, MSP, SaaS pakalpojumu sniedzējiem, mākoņpakalpojumu operatoriem un digitālo pakalpojumu sniedzējiem praktiskā atbilde nav atsevišķa “NIS2 apmācību projekta” izveide. Spēcīgāka pieeja ir izveidot vienu auditam gatavu pierādījumu ķēdi ISO/IEC 27001:2022 IDPS ietvaros, balstot to uz ISO/IEC 27002:2022 kontroles pasākumu praksi, pārvaldot riskus atbilstoši ISO/IEC 27005:2022 un savstarpēji sasaistot to ar NIS2, DORA, GDPR, NIST tipa apliecinājuma un COBIT 2019 pārvaldības gaidām.

Kāpēc NIS2 Article 21 padara apmācību par valdes līmeņa pierādījumu

NIS2 attiecas uz daudzām vidējām un lielām vienībām Annex I un Annex II nozarēs, kas sniedz pakalpojumus vai veic darbības Savienībā. Tehnoloģiju uzņēmumiem piemērošanas joma var būt plašāka, nekā daudzas vadības komandas sagaida. Annex I aptver digitālo infrastruktūru, tostarp mākoņpakalpojumu sniedzējus, datu centru pakalpojumu sniedzējus, satura piegādes tīklu pakalpojumu sniedzējus, uzticamības pakalpojumu sniedzējus, DNS pakalpojumu sniedzējus un TLD reģistrus. Annex I aptver arī IKT pakalpojumu pārvaldību B2B vidē, tostarp pārvaldīto pakalpojumu sniedzējus un pārvaldītās drošības pakalpojumu sniedzējus. Annex II ietver digitālos pakalpojumu sniedzējus, piemēram, tiešsaistes tirdzniecības vietas, tiešsaistes meklētājprogrammas un sociālo tīklu pakalpojumu platformas.

Dažas vienības var būt piemērošanas jomā neatkarīgi no lieluma, tostarp noteikti DNS pakalpojumu sniedzēji un TLD reģistri. Nacionāli kritiskuma lēmumi piemērošanas jomā var iekļaut arī mazākus pakalpojumu sniedzējus, ja darbības traucējumi varētu ietekmēt sabiedrisko drošību, radīt sistēmisku risku vai ietekmēt būtiskus pakalpojumus.

Article 21(1) prasa būtiskajām un svarīgajām vienībām ieviest atbilstošus un samērīgus tehniskos, operacionālos un organizatoriskos pasākumus, lai pārvaldītu riskus tīklu un informācijas sistēmām, kuras tiek izmantotas darbībai vai pakalpojumu sniegšanai, un lai novērstu vai mazinātu incidentu ietekmi. Article 21(2) uzskaita minimālos pasākumus, tostarp politikas risku analīzei un informācijas sistēmu drošībai, incidentu apstrādi, darbības nepārtrauktību, piegādes ķēdes drošību, drošu iegādi un uzturēšanu, efektivitātes izvērtēšanu, kiberdrošības higiēnas pamatpraksi un kiberdrošības apmācību, kriptogrāfiju, personāla drošību, piekļuves kontroli, aktīvu pārvaldību un MFA vai nepārtrauktu autentifikāciju, ja piemērojams.

Article 20 paaugstina prasību nozīmīgumu. Vadības institūcijām jāapstiprina kiberdrošības risku pārvaldības pasākumi, jāuzrauga to ieviešana, un tās var tikt sauktas pie atbildības par pārkāpumiem. Vadības institūciju locekļiem jāiziet apmācība, un vienības tiek mudinātas nodrošināt līdzīgu regulāru apmācību darbiniekiem, lai viņi varētu identificēt riskus un izvērtēt kiberdrošības risku pārvaldības praksi un tās ietekmi uz pakalpojumiem.

Article 34 pievieno finansiālo spiedienu. Article 21 vai Article 23 pārkāpumi var izraisīt administratīvus naudas sodus vismaz līdz EUR 10 000 000 vai 2% no pasaules gada apgrozījuma būtiskajām vienībām un vismaz līdz EUR 7 000 000 vai 1,4% svarīgajām vienībām — atkarībā no tā, kura summa ir lielāka.

Tāpēc “mēs veicām ikgadējo informētības apmācību” nav pietiekami. Regulators, ISO auditors, klienta drošības izvērtētājs vai kiberapdrošinātājs sagaidīs pierādījumus, ka apmācība ir uz lomām balstīta, riskā balstīta, aktuāla, izmērīta, sasaistīta ar incidentiem un saprotama vadībai.

Clarysec uzņēmuma Informācijas drošības informētības un apmācības politika, punkts 5.1.1.3, prasa, lai apmācība:

Aptvertu tādas tēmas kā pikšķerēšana, paroļu higiēna, incidentu ziņošana un pārvaldība, fiziskā drošība un datu aizsardzība un minimizēšana

Tā pati politika, punkts 8.3.1.1, identificē pierādījumu līniju, ko auditori parasti prasa vispirms:

Ieraksti par apmācības piešķiršanu, apliecināšanu un pabeigšanu

SME vajadzībām Clarysec Informācijas drošības informētības un apmācības politika — SME, punkts 8.4.1, par auditējamību ir vēl tiešāka:

Apmācību ieraksti ir pakļauti iekšējam auditam un ārējai pārskatīšanai. Ierakstiem jābūt precīziem, pilnīgiem un pēc pieprasījuma pierādāmiem (piemēram, ISO sertifikācijai, GDPR auditam vai apdrošinātāja validācijai).

Šis teikums precīzi raksturo atšķirību starp informētību kā HR aktivitāti un informētību kā atbilstības kontroles pasākumu. Ja ieraksti ir nepilnīgi, nepārbaudāmi vai nav sasaistīti ar lomas risku, kontroles pasākums var darboties operacionāli, bet auditā neizturēt pārbaudi.

Izmantojiet ISO/IEC 27001:2022 kā pierādījumu mugurkaulu

ISO/IEC 27001:2022 ir dabisks NIS2 Article 21 pamats, jo tas liek organizācijai definēt piemērošanas jomu, ieinteresētās puses, riskus, kontroles pasākumus, mērķus, pierādījumus, iekšējo auditu, vadības pārskatīšanu un nepārtrauktu pilnveidi.

Punkti 4.1 līdz 4.4 prasa organizācijai izprast iekšējos un ārējos jautājumus, noteikt ieinteresētās puses un to prasības, definēt IDPS darbības jomu, ņemt vērā saskarnes un atkarības ar citu organizāciju veiktajām darbībām un uzturēt IDPS kā savstarpēji saistītu procesu kopumu. SaaS pakalpojumu sniedzējam vai MSP IDPS darbības jomā skaidri jāiekļauj NIS2 pienākumi, klientu līgumiskās saistības, mākoņpakalpojumu sniedzēju atkarības, ārpakalpojuma SOC pārklājums, datu apstrādes lomas un pakalpojumu pieejamības saistības.

Punkti 5.1 līdz 5.3 ievieš pārvaldības pārskatatbildību. Augstākā vadība saskaņo informācijas drošības politiku un mērķus ar stratēģisko virzienu, integrē IDPS prasības biznesa procesos, nodrošina resursus, piešķir atbildības un nodrošina snieguma ziņošanu. Tas tieši saskan ar NIS2 Article 20, kur vadības institūcijas apstiprina un pārrauga kiberdrošības risku pārvaldības pasākumus.

Punkti 6.1.1 līdz 6.1.3 un 6.2 juridiskās gaidas pārvērš riska apstrādē. Organizācijai jāplāno darbības risku un iespēju pārvaldībai, jāīsteno atkārtojams informācijas drošības risku novērtēšanas process, jānosaka riska īpašnieki, jāizvēlas apstrādes iespējas, jāsalīdzina kontroles pasākumi ar A pielikumu, jāizveido Piemērojamības paziņojums, jāformulē apstrādes plāns, jāsaņem riska īpašnieka apstiprinājums un jānosaka izmērāmi drošības mērķi.

Tieši šeit NIS2 Article 21 kļūst pārvaldāms. Nav nepieciešama atsevišķa, nesaistīta NIS2 informētības programma. Ir nepieciešams kartēts risku un kontroles pasākumu stāsts.

Punkti 8.1 līdz 8.3, 9.1 līdz 9.3 un 10.1 līdz 10.2 noslēdz darbības ciklu. Tie prasa plānotu darbības kontroli, riska atkārtotu novērtēšanu, apstrādes plānu ieviešanu, uzraudzību un mērīšanu, iekšējo auditu, vadības pārskatīšanu, nepārtrauktu pilnveidi un korektīvās darbības. ISO/IEC 27001:2022 kļūst par NIS2 Article 21 pierādījumu dzinēju, nevis tikai sertifikācijas emblēmu.

Pārvērtiet kiberdrošības higiēnu ISO kontroles pasākumu enkursos

“Kiberdrošības higiēna” apzināti ir plašs jēdziens. Auditoru vajadzībām tā jāpārvērš konkrētos, pārbaudāmos kontroles pasākumos. Clarysec parasti sāk NIS2 Article 21 kiberdrošības higiēnas pierādījumus ar trim praktiskiem kontroles pasākumu enkuriem no ISO/IEC 27002:2022, interpretējot tos caur Zenith Controls: The Cross-Compliance Guide.

Pirmais enkurs ir ISO/IEC 27002:2022 kontrole 6.3 — informācijas drošības informētība, izglītošana un apmācība. Zenith Controls 6.3 tiek traktēta kā preventīvs kontroles pasākums, kas atbalsta konfidencialitāti, integritāti un pieejamību. Tās operacionālā spēja ir cilvēkresursu drošība, un tās kiberdrošības koncepts ir aizsargāt. Tas informētību pozicionē kā aizsardzības kontroles pasākumu, nevis komunikācijas aktivitāti.

Zenith Controls arī parāda, kā 6.3 ir atkarīga no citiem kontroles pasākumiem un tos pastiprina. Tā sasaistās ar 5.2 informācijas drošības lomām un pienākumiem, jo apmācībai jāatspoguļo piešķirtās atbildības. Tā sasaistās ar 6.8 informācijas drošības notikumu ziņošanu, jo personāls nevar ziņot par to, ko neatpazīst. Tā sasaistās ar 8.16 uzraudzības darbībām, jo SOC analītiķiem un operāciju personālam jābūt apmācītiem atpazīt anomālijas un ievērot reaģēšanas protokolus. Tā sasaistās ar 5.36 atbilstību informācijas drošības politikām, noteikumiem un standartiem, jo politikas darbojas tikai tad, ja cilvēki tās saprot.

Kā Zenith Controls norāda par ISO/IEC 27002:2022 kontroli 6.3:

Atbilstība ir atkarīga no informētības. 6.3 nodrošina, ka darbinieki pārzina drošības politikas un saprot savu personīgo atbildību par to ievērošanu. Regulāra izglītošana un apmācība mazina netīšu politikas pārkāpumu risku nezināšanas dēļ.

Otrais enkurs ir ISO/IEC 27002:2022 kontrole 5.10 — informācijas un citu saistīto aktīvu pieņemama lietošana. Kiberdrošības higiēna ir atkarīga no tā, vai cilvēki saprot, ko drīkst darīt ar galiekārtām, mākoņdiskiem, SaaS rīkiem, sadarbības platformām, noņemamiem datu nesējiem, ražošanas datiem, testa datiem un ar MI atbalstītiem rīkiem. Zenith Controls kartē 5.10 kā preventīvu kontroles pasākumu aktīvu pārvaldībā un informācijas aizsardzībā. Praksē pieņemamas lietošanas pierādījums nav tikai parakstīta politika. Tas ietver pierādījumu, ka politika aptver reālo aktīvu vidi, sākotnējā piesaiste ietver apliecinājumu, uzraudzība atbalsta politikas piemērošanu un izņēmumi tiek pārvaldīti.

Trešais enkurs ir ISO/IEC 27002:2022 kontrole 5.36 — atbilstība informācijas drošības politikām, noteikumiem un standartiem. Tas ir audita tilts. Zenith Controls kartē 5.36 kā preventīvu pārvaldības un apliecinājuma kontroles pasākumu. Tā sasaistās ar 5.1 informācijas drošības politikām, 6.4 disciplināro procesu, 5.35 informācijas drošības neatkarīgu pārskatīšanu, 5.2 lomām un pienākumiem, 5.25 informācijas drošības notikumu izvērtēšanu un lēmumu pieņemšanu, 8.15 žurnālfiksēšanu, 8.16 uzraudzības darbībām un 5.33 ierakstu aizsardzību.

NIS2 Article 21 kontekstā tas ir būtiski. Regulatori un auditori neprasa tikai to, vai politika pastāv. Viņi jautā, vai ievērošana tiek uzraudzīta, pārkāpumi tiek atklāti, pierādījumi tiek aizsargāti, korektīvās darbības tiek veiktas un vadība redz rezultātus.

Izveidojiet NIS2 kiberdrošības higiēnas un apmācības pierādījumu pakotni

Apsveriet vidēja lieluma SaaS pakalpojumu sniedzēju, kas gatavojas gan NIS2 gatavībai, gan ISO/IEC 27001:2022 uzraudzības auditam. Organizācijā ir 310 darbinieku, tostarp izstrādātāji, SRE, atbalsta speciālisti, pārdošanas personāls, līgumslēdzēji un vadītāji. Tā sniedz mākoņpakalpojumos balstītus darbplūsmu pakalpojumus ES klientiem un paļaujas uz hipermēroga mākoņpakalpojumu sniedzēju, divām identitātes platformām, ārpakalpojuma MDR sniedzēju un vairākiem apakšuzņēmēju atbalsta rīkiem.

Atbilstības vadītājam ir apmācību eksporti no LMS, taču tie nav sasaistīti ar NIS2 Article 21, ISO kontroles pasākumiem, biznesa lomām vai riska scenārijiem. Praktisks trūkumu novēršanas sprints izveido kiberdrošības higiēnas un apmācības pierādījumu pakotni ar sešām komponentēm.

Galvenais ir izsekojamība.

Sāciet ar NIS2 Article 21(2)(g), kiberdrošības higiēnas pamatpraksi un kiberdrošības apmācību. Sasaistiet to ar ISO/IEC 27001:2022 punktiem 7.2 un 7.3 par kompetenci un informētību, punktiem 9.1 un 9.2 par uzraudzību un auditu, kā arī A pielikuma kontroles pasākumiem, tostarp informētību, pieņemamu lietošanu, ievainojamību pārvaldību, konfigurāciju pārvaldību, rezerves kopijām, žurnālfiksēšanu, uzraudzību, kriptogrāfiju, piekļuves kontroli un incidentu pārvaldību. Pēc tam sasaistiet pierādījumus ar Risku reģistru.

Uzņēmuma Informācijas drošības informētības un apmācības politika atbalsta šo struktūru. Punkts 5.1.2.4 skaidri ietver vadības apmācības tēmas:

Vadošie darbinieki (piemēram, pārvaldība, riska pieņemšana, juridiskie pienākumi)

Šī rinda ir nozīmīga saskaņā ar NIS2 Article 20, jo vadības apmācība nav izvēles pasākums. Ja valde apstiprina risku pārvaldības pasākumus, bet nespēj izskaidrot riska pieņemšanu, incidentu sliekšņus vai pārraudzības rutīnas, pierādījumu ķēde pārtrūkst.

Clarysec Informācijas drošības politika — SME, punkts 6.4.1, parāda, kā kiberdrošības higiēna kļūst par ikdienas kontroles uzvedību:

Obligātie drošības kontroles pasākumi jāpiemēro konsekventi, tostarp regulāras rezerves kopijas, antivīrusu programmatūras atjauninājumi, drošas paroles un sensitīvu dokumentu droša likvidēšana.

Tas ir koncentrēts SME formulējums par praktisku kiberdrošības higiēnu. Auditors joprojām pieprasīs pierādījumus, piemēram, rezerves kopiju uzdevumu pārskatus, EDR pārklājumu, paroļu vai MFA konfigurāciju un drošas likvidēšanas žurnālus, taču politika nosaka sagaidāmo uzvedību.

Sasaistiet NIS2 Article 21 ar audita pierādījumiem

Auditori testē kontroles pasākumu darbību, nevis saukļus. Viņi sekos zelta pavedienam no juridiskās prasības līdz IDPS darbības jomai, risku novērtējumam, Piemērojamības paziņojumam, politikai, procedūrai, pierādījumiem un vadības pārskatīšanai.

Regulators var nelietot ISO terminoloģiju, taču pierādījumu ceļš paliek tāds pats. Parādiet, ka prasība ir identificēta, risks ir novērtēts un apstrādāts, kontroles pasākumi ir ieviesti, uzraudzīti, ziņoti vadībai un pilnveidoti.

Izmantojiet Zenith Blueprint pārejai no plāna uz pierādījumiem

Zenith Blueprint: An Auditor’s 30-Step Roadmap komandām sniedz praktisku ceļu no nodoma līdz pierādījumiem. IDPS Foundation & Leadership fāzē, 5. solī, Communication, Awareness, and Competence, Blueprint norāda organizācijām identificēt nepieciešamās kompetences, novērtēt pašreizējās kompetences, nodrošināt apmācību trūkumu novēršanai, uzturēt kompetences ierakstus un kompetenci pārvaldīt kā nepārtrauktu procesu.

Blueprint darbības punkts ir apzināti operacionāls:

Veiciet ātru apmācību vajadzību analīzi. Uzskaitiet galvenās IDPS lomas (no 4. soļa) un katrai pierakstiet zināmo apmācību vai sertifikāciju, kas tai ir, un kāda papildu apmācība varētu būt noderīga. Uzskaitiet arī vispārējās drošības informētības tēmas, kas nepieciešamas visiem darbiniekiem. Izmantojot šo informāciju, sagatavojiet vienkāršu apmācību plānu nākamajam gadam, piemēram, “1. ceturksnis: drošības informētība visam personālam; 2. ceturksnis: padziļināta incidentu reaģēšanas apmācība IT komandai; 3. ceturksnis: ISO 27001 iekšējā auditora apmācība diviem komandas locekļiem; …”.

Controls in Action fāzē, 15. solī, People Controls I, Zenith Blueprint iesaka obligātu ikgadējo apmācību visiem darbiniekiem, lomai specifiskus moduļus, jauno darbinieku drošības ievadīšanu pirmās nedēļas laikā, simulētas pikšķerēšanas kampaņas, biļetenus, komandu instruktāžas, dalības pierādījumus, mērķtiecīgus drošības biļetenus pēc jauniem apdraudējumiem un apmācību līgumslēdzējiem vai trešajām pusēm ar piekļuvi.

16. solis, People Controls II, brīdina, ka auditori testēs ieviešanu, nevis tikai dokumentāciju. Attālinātajam darbam auditori var pieprasīt Attālinātā darba politiku, VPN vai galiekārtas šifrēšanas pierādījumus, MDM ieviešanu, BYOD ierobežojumus un apmācību ierakstus, kas pierāda attālinātā darba piesardzības pasākumus. Ja hibrīddarbs ir daļa no darbības modeļa, NIS2 apmācības pierādījumos jāiekļauj droša Wi‑Fi lietošana, ierīču bloķēšana, apstiprināta glabātuve, MFA un aizdomīgas aktivitātes ziņošana no mājas vides.

17. solis, Technological Controls I, sasaista kiberdrošības higiēnu ar tehnisko kontroles pasākumu slāni. Zenith Blueprint iesaka pārskatīt ielāpu pārskatus, ievainojamību skenēšanu, drošas pamatkonfigurācijas, EDR pārklājumu, ļaunatūras žurnālus, DLP brīdinājumus, rezerves kopiju atjaunošanu, redundances pierādījumus, žurnālfiksēšanas uzlabojumus un laika sinhronizāciju. Article 21(2)(g) nevar izvērtēt izolēti. Apmācītam darbaspēkam joprojām ir vajadzīgas ielāpoti galapunkti, uzraudzīti žurnāli, testētas rezerves kopijas un drošas konfigurācijas.

Padariet apmācību plānu riskā balstītu ar ISO/IEC 27005:2022

Bieža audita vājā vieta ir vispārīgs apmācību plāns, kas izskatās vienādi izstrādātājiem, finanšu personālam, atbalsta komandai, vadībai un līgumslēdzējiem. ISO/IEC 27005:2022 palīdz izvairīties no šīs vājās vietas, padarot apmācību par daļu no riska apstrādes.

Punkts 6.2 iesaka identificēt attiecīgo ieinteresēto pušu pamatprasības un atbilstības statusu, tostarp ISO/IEC 27001:2022 A pielikumu, citus IDPS standartus, nozares specifiskās prasības, nacionālos un starptautiskos regulējumus, iekšējos drošības noteikumus, līgumiskos drošības kontroles pasākumus un kontroles pasākumus, kas jau ieviesti iepriekšējas riska apstrādes rezultātā. Tas atbalsta vienu prasību reģistru atsevišķu NIS2, ISO, DORA, GDPR, klientu un apdrošināšanas izklājlapu vietā.

Punkti 6.4.1 līdz 6.4.3 skaidro, ka riska pieņemšanas un novērtēšanas kritērijos jāņem vērā tiesiskie un regulatīvie aspekti, operacionālās darbības, piegādātāju attiecības, tehnoloģiskie un finanšu ierobežojumi, privātums, kaitējums reputācijai, līguma pārkāpumi, pakalpojumu līmeņa pārkāpumi un ietekme uz trešajām pusēm. Pikšķerēšanas incidents, kas ietekmē iekšējo biļetenu sistēmu, atšķiras no autentifikācijas datu kompromitēšanas, kas ietekmē pārvaldītu drošības pakalpojumu, klientu atbalsta platformu, maksājumu integrāciju vai DNS darbību.

Punkti 7.1 līdz 7.2.2 prasa konsekventu, atkārtojamu risku novērtēšanu, tostarp konfidencialitātes, integritātes un pieejamības riskus, kā arī nosauktus riska īpašniekus. Punkti 8.2 līdz 8.6 pēc tam vada apstrādes izvēli, kontroles pasākumu noteikšanu, A pielikuma salīdzinājumu, Piemērojamības paziņojuma dokumentēšanu un apstrādes plāna detalizāciju.

Apmācība ir viena apstrādes metode, bet ne vienīgā. Ja atkārtotas pikšķerēšanas simulācijas rāda, ka finanšu lietotāji ir pakļauti rēķinu krāpšanas riskam, apstrādes plāns var ietvert atkārtotu apmācību, stingrāku maksājumu apstiprināšanas darbplūsmu, nosacījumu piekļuvi, pastkastīšu noteikumu uzraudzību un vadības krāpšanas scenāriju vingrinājumus.

Punkti 9.1, 9.2, 10.4.2, 10.5.1 un 10.5.2 uzsver plānotu atkārtotu novērtēšanu, dokumentētas metodes, efektivitātes uzraudzību un atjauninājumus, ja mainās jaunas ievainojamības, aktīvi, tehnoloģiju izmantošana, tiesību akti, incidenti vai riska apetīte. Tas pierāda, ka organizācija neiesaldē apmācību plānu vienu reizi gadā.

Izmantojiet tos pašus pierādījumus NIS2, DORA, GDPR, NIST un COBIT vajadzībām

Spēcīgākajai NIS2 pierādījumu pakotnei jāatbalsta vairākas apliecinājuma sarunas.

NIS2 Article 4 atzīst, ka nozares specifiski Savienības tiesību akti var aizstāt atbilstošos NIS2 risku pārvaldības un ziņošanas pienākumus, ja tiem ir vismaz līdzvērtīga ietekme. Recital 28 identificē DORA kā nozares specifisko režīmu finanšu vienībām, kas ir tās piemērošanas jomā. Aptvertajām finanšu vienībām DORA IKT risku pārvaldības, incidentu pārvaldības, noturības testēšanas, informācijas apmaiņas un IKT trešo pušu risku noteikumi piemērojami atbilstošo NIS2 noteikumu vietā. NIS2 joprojām ir ļoti būtiska vienībām ārpus DORA un IKT trešo pušu pakalpojumu sniedzējiem, piemēram, mākoņpakalpojumu sniedzējiem, MSP un MSSP.

DORA pastiprina to pašu pārvaldības sistēmas loģiku. Articles 4 līdz 6 prasa samērīgu IKT risku pārvaldību, vadības institūcijas atbildību, skaidras IKT lomas, digitālās darbības noturības stratēģiju, IKT audita plānus, budžetus un informētības vai apmācības resursus. Articles 8 līdz 13 prasa aktīvu un atkarību identificēšanu, aizsardzību un novēršanu, piekļuves kontroles pasākumus, spēcīgu autentifikāciju, rezerves kopijas, nepārtrauktību, reaģēšanu un atjaunošanu, pēcincidenta mācīšanos, senioru IKT ziņošanu un obligātu IKT drošības informētības un digitālās darbības noturības apmācību. Articles 17 līdz 23 prasa strukturētu incidentu pārvaldību, klasifikāciju, eskalāciju un klientu komunikāciju. Articles 24 līdz 30 sasaista testēšanu ar piegādātāju pārvaldību, sākotnējo izpēti, līgumiem, audita tiesībām un izstāšanās stratēģijām.

GDPR pievieno privātuma pārskatatbildības slāni. Article 5 prasa integritāti un konfidencialitāti, izmantojot atbilstošus tehniskos un organizatoriskos pasākumus, un Article 5(2) prasa pārziņiem pierādīt atbilstību. Article 6 prasa apstrādes tiesisko pamatu, savukārt Articles 9 un 10 nosaka stingrākus drošības pasākumus īpašu kategoriju datiem un ar noziedzīgiem nodarījumiem saistītiem datiem. SaaS pakalpojumu sniedzējam apmācību pierādījumos jāiekļauj privātums, datu minimizēšana, droša izpaušana, pārkāpuma eskalācija un lomai specifiska klientu datu apstrāde.

NIST tipa un COBIT 2019 audita skatījumi bieži parādās klientu apliecinājumā, iekšējā auditā un valdes ziņošanā. NIST tipa izvērtētājs parasti jautās, vai informētība un apmācība ir riskā balstīta, uz lomām balstīta, izmērīta un sasaistīta ar reaģēšanu uz incidentiem, identitāti, aktīvu pārvaldību un nepārtrauktu uzraudzību. COBIT 2019 vai ISACA tipa auditors koncentrēsies uz pārvaldību, pārskatatbildību, snieguma rādītājiem, vadības pārraudzību, procesa īpašumtiesībām un saskaņošanu ar uzņēmuma mērķiem.

Praktiskais ieguvums ir vienkāršs: viena pierādījumu pakotne, vairāki audita stāsti.

Kā auditori testēs vienu un to pašu kontroles pasākumu

ISO/IEC 27001:2022 auditors sāks ar IDPS. Viņš jautās, vai kompetences un informētības prasības ir noteiktas, vai personāls saprot savas atbildības, vai ieraksti tiek glabāti, vai iekšējie auditi testē procesu un vai vadības pārskatīšana ņem vērā sniegumu un uzlabojumus. Viņš var atlasīt darbiniekus un jautāt, kā ziņot par incidentu, kā tiek izmantota MFA, kādi ir pieņemamas lietošanas noteikumi vai ko darīt pēc aizdomīga e-pasta saņemšanas.

NIS2 uzraudzības pārskatīšana būs vairāk vērsta uz rezultātu un pakalpojumu risku. Pārskatītājs var jautāt, kā kiberdrošības higiēna mazina risku pakalpojumu sniegšanai, kā vadība apstiprināja pasākumus, kā apmācība ir pielāgota būtiskajiem pakalpojumiem, kā tiek aptverts trešo pušu personāls, kā tiek izvērtēta efektivitāte un kā organizācija paziņotu par būtiskiem kiberdraudiem vai incidentiem saskaņā ar Article 23. Tā kā Article 23 ietver agrīno brīdinājumu 24 stundu laikā un incidenta paziņošanu 72 stundu laikā būtisku incidentu gadījumā, apmācībai jāietver atpazīšana un eskalācijas ātrums.

DORA auditors finanšu vienībā sasaistīs informētību ar digitālās darbības noturību. Viņš var jautāt, vai IKT drošības informētības un noturības apmācība ir obligāta, vai senioru IKT ziņošana sasniedz vadības institūciju, vai incidentu klasifikācijas kritēriji ir saprotami, vai krīzes komunikācija ir vingrināta un vai trešo pušu pakalpojumu sniedzēji piedalās apmācībā, ja tas ir līgumiski būtiski.

GDPR auditors vai privātuma izvērtētājs koncentrēsies uz to, vai personāls saprot personas datus, apstrādes lomas, konfidencialitāti, pārkāpuma identificēšanu, pārkāpuma eskalāciju, datu minimizēšanu un drošu izpaušanu. Viņi sagaidīs, ka apmācība atšķiras atbalsta komandai, HR, izstrādātājiem un administratoriem, jo šīs lomas rada atšķirīgus privātuma riskus.

COBIT 2019 vai ISACA iekšējais auditors jautās, kam pieder process, kādus mērķus tas atbalsta, kā tiek mērīts sniegums, kādi izņēmumi pastāv, vai korektīvās darbības tiek izsekotas un vai vadība saņem jēgpilnu ziņošanu, nevis tukšas popularitātes metrikas.

Biežākie NIS2 apmācības gatavības konstatējumi

Visbiežākais konstatējums ir nepilnīgs mērķpopulācijas pārklājums. LMS pārskats rāda 94% pabeigšanu, bet trūkstošajos 6% ir priviliģēti administratori, līgumslēdzēji vai jaunie darbinieki. Auditori nepieņems procentuālu rādītāju bez skaidrības, kuri cilvēki trūkst un kāpēc.

Otrais konstatējums ir lomu specifikas trūkums. Visi saņem vienu un to pašu ikgadējo moduli, bet izstrādātāji nav apmācīti drošā kodēšanā, atbalsta speciālisti nav apmācīti identitātes pārbaudē, un vadošie darbinieki nav apmācīti pārvaldības pienākumos vai krīzes lēmumos. NIS2 Article 20 un Article 21 padara to grūti aizstāvamu.

Trešais konstatējums ir vāji efektivitātes pierādījumi. Pabeigšana nav tas pats, kas izpratne vai uzvedības maiņa. Auditori arvien biežāk sagaida testu rezultātus, pikšķerēšanas tendences, incidentu ziņošanas tendences, galda vingrinājumu mācības, atkārtotu kļūmju samazinājumu un korektīvās darbības.

Ceturtais konstatējums ir nesaistīta tehniskā higiēna. Apmācība saka “ziņojiet par aizdomīgu aktivitāti”, bet nav testēta ziņošanas kanāla. Apmācība saka “izmantojiet MFA”, bet pakalpojumu konti apiet MFA. Apmācība saka “aizsargājiet datus”, bet ražošanas dati parādās testa vidēs. Article 21 sagaida kontroles sistēmu, nevis saukļus.

Piektais konstatējums ir vāja ierakstu integritāte. Pierādījumi tiek glabāti rediģējamā izklājlapā bez īpašnieka, eksporta laikspiedola, piekļuves kontroles vai saskaņošanas ar HR ierakstiem. ISO/IEC 27002:2022 kontroles pasākumu attiecības Zenith Controls pamatoti norāda atpakaļ uz ierakstu aizsardzību. Pierādījumiem jābūt uzticamiem.

10 dienu trūkumu novēršanas sprints auditam gataviem pierādījumiem

Ja jūsu organizācija ir zem spiediena, sāciet ar fokusētu sprintu.

Šis sprints sniedz aizstāvamu pierādījumu pamatlīniju. Tas neaizstāj pastāvīgu IDPS darbību, bet izveido struktūru, ko sagaida regulatori un auditori.

Kā izskatās labs rezultāts

Nobriedušai NIS2 Article 21 kiberdrošības higiēnas un apmācības programmai ir piecas pazīmes.

Pirmkārt, tā ir redzama valdei. Vadība apstiprina pieeju, redz jēgpilnas metrikas, saprot atlikušo risku un finansē uzlabojumus.

Otrkārt, tā ir riskā balstīta. Apmācība atšķiras pēc lomas, pakalpojuma kritiskuma, piekļuves līmeņa, datu ekspozīcijas un incidentu atbildības.

Treškārt, tā ir balstīta pierādījumos. Pabeigšanas ieraksti, apliecinājumi, simulācijas, galda vingrinājumi, tehniskās higiēnas pārskati un korektīvās darbības ir pilnīgas, saskaņotas un aizsargātas.

Ceturtkārt, tā apzinās savstarpējās atbilstības vajadzības. Tie paši pierādījumi atbalsta NIS2, ISO/IEC 27001:2022, DORA, GDPR, NIST tipa apliecinājumu un COBIT 2019 pārvaldības ziņošanu.

Piektkārt, tā pilnveidojas. Incidenti, audita konstatējumi, tiesību aktu izmaiņas, piegādātāju izmaiņas, jaunas tehnoloģijas un jauni apdraudējumi atjaunina apmācību plānu.

Šis pēdējais punkts ir atšķirība starp atbilstības teātri un operacionālo noturību.

Nākamie soļi ar Clarysec

Ja jūsu vadības komanda jautā: “Vai mēs rīt varam pierādīt NIS2 Article 21 kiberdrošības higiēnu un kiberdrošības apmācību?”, Clarysec var palīdzēt pāriet no sadrumstalotiem pierādījumiem uz auditam gatavu IDPS pierādījumu pakotni.

Sāciet ar Zenith Blueprint, lai strukturētu kompetenci, informētību, personāla kontroles, attālinātā darba praksi, ievainojamību pārvaldību, rezerves kopijas, žurnālfiksēšanu, uzraudzību un tehniskās higiēnas darbības 30 soļu ceļkartē.

Izmantojiet Zenith Controls, lai savstarpēji sasaistītu ISO/IEC 27002:2022 informētību, pieņemamu lietošanu, atbilstību, uzraudzību, ierakstus un apliecinājuma gaidas NIS2, ISO/IEC 27001:2022, DORA, GDPR, NIST un COBIT 2019 audita sarunās.

Pēc tam operacionalizējiet prasības, izmantojot Clarysec Informācijas drošības informētības un apmācības politiku, Informācijas drošības informētības un apmācības politiku — SME un Informācijas drošības politiku — SME.

Jūsu tūlītējā darbība ir vienkārša: šonedēļ izveidojiet vienas lapas NIS2 Article 21 apmācību pierādījumu karti. Uzskaitiet piemērošanas jomā esošās lomas, piešķirto apmācību, pabeigšanas pierādījumus, politikas apliecinājumus, pikšķerēšanas metrikas, tehniskās kiberdrošības higiēnas pierādījumus, vadības pārskatīšanas datumu un korektīvās darbības. Ja kāda šūna ir tukša, esat atradis nākamo audita trūkumu novēršanas uzdevumu.

Ātrākam ceļam lejupielādējiet Clarysec politiku veidnes, izmantojiet Zenith Blueprint ceļkarti un ieplānojiet NIS2 pierādījumu gatavības izvērtēšanu, lai jūsu pašreizējos apmācību ierakstus, kiberdrošības higiēnas kontroles pasākumus un ISO/IEC 27001:2022 IDPS pārvērstu vienā aizstāvamā audita datnē.