NIST CSF 2.0 funkcija Govern MVU un ISO 27001 kontekstā
Sāra, strauji augoša FinTech MVU jaunieceltā informācijas drošības vadītāja (CISO), stāvēja pie baltās tāfeles, kas bija pilna ar ietvariem un termiņu, kuru nebija iespējams pārcelt. NIST CSF 2.0. ISO 27001:2022. NIS2. DORA. GDPR. Piegādātāju risks. Valdes pārskatatbildība. Uzņēmuma klienta drošības padziļinātā izpēte.
Ierosinātājs bija pazīstams: izklājlapa no liela finanšu pakalpojumu klienta. Iepirkuma komanda pieprasīja pierādījumus par kiberdrošības pārvaldības modeli, riska apetīti, piegādātāju drošības programmu, juridisko un regulatīvo pienākumu kartēšanu, incidentu eskalācijas procesu un saskaņojumu ar ISO 27001:2022.
Izpilddirektore nevēlējās lekciju par atbilstību. Viņai bija vajadzīga vienkārša atbilde uz sarežģītu jautājumu: “Kā mēs varam pierādīt savai valdei, klientiem un regulatoriem, ka kontrolējam kiberrisku?”
Tā ir pārvaldības problēma, ar kuru saskaras daudzi MVU. Klienta anketa reti ir tikai klienta anketa. Bieži vien tā ir piecu atbilstības sarunu koncentrēšana vienā pieprasījumā. Tajā pašā pierādījumu pieprasījumā slēpjas NIST CSF 2.0, ISO/IEC 27001:2022, GDPR, NIS2, DORA noteiktās piegādātāju prasības, mākoņvides noturība, valdes pārraudzība un līgumsaistības.
Daudzi MVU reaģē, veidojot atsevišķus artefaktus: NIST izklājlapu, ISO sertifikācijas mapi, GDPR uzskaites rīku, piegādātāju riska reģistru un Incidentu reaģēšanas plānu, kas nav savstarpēji sasaistīti. Pēc sešiem mēnešiem neviens vairs nezina, kurš dokuments ir autoritatīvs.
Clarysec pieeja ir citāda. Izmantojiet NIST CSF 2.0 funkciju Govern kā vadības līmeņa pārvaldības slāni un pēc tam sasaistiet to ar ISO 27001:2022 politikām, riska apstrādi, piemērojamības deklarāciju (SoA), piegādātāju pārraudzību, vadības pārskatīšanu un audita pierādījumiem. Rezultāts nav papildu atbilstības darbs. Tas ir vienots darbības modelis, kas ar to pašu pierādījumu kopu spēj atbildēt auditoriem, klientiem, regulatoriem un vadībai.
Kāpēc NIST CSF 2.0 funkcija Govern ir būtiska MVU
NIST CSF 2.0 paceļ pārvaldību atsevišķas funkcijas līmenī līdzās Identify, Protect, Detect, Respond un Recover. Šī izmaiņa ir svarīga, jo lielākā daļa MVU drošības kļūmju nerodas vēl viena rīka trūkuma dēļ. Tās rodas neskaidras pārskatatbildības, vāju riska lēmumu, nedokumentētu izņēmumu, nekonsekventas piegādātāju pārraudzības un tādu politiku dēļ, kas reiz ir apstiprinātas, bet nekad nav ieviestas praksē.
NIST CSF 2.0 funkcija Govern maina jautājumu no “kādi kontroles pasākumi mums ir?” uz “kurš ir atbildīgs, kādi pienākumi attiecas, kā riski tiek prioritizēti un kā tiek pārskatīta veiktspēja?”
MVU vajadzībām Govern rezultāti dod praktisku mandātu:
- Izprast un pārvaldīt juridiskos, regulatīvos, līgumiskos, privātuma un pilsonisko brīvību pienākumus.
- Noteikt riska apetīti, riska toleranci, riska vērtēšanu, prioritizēšanu un reaģēšanas uz risku iespējas.
- Definēt kiberdrošības lomas, pienākumus, pilnvaras, eskalācijas ceļus un resursu nodrošinājumu.
- Izveidot, komunicēt, piemērot, pārskatīt un atjaunināt kiberdrošības politikas.
- Pārskatīt kiberdrošības stratēģiju, veiktspēju un vadības pārskatatbildību.
- Pārvaldīt piegādātāju un trešo pušu kiberdrošības risku no padziļinātās izpētes līdz sadarbības izbeigšanai.
Tāpēc NIST CSF 2.0 Govern ir tik piemērots sākumpunkts ISO 27001:2022 ieviešanai. NIST sniedz vadībai pārvaldības valodu. ISO 27001:2022 sniedz auditējamu pārvaldības sistēmu.
ISO 27001:2022 4. līdz 10. punkts prasa organizācijām izprast kontekstu, definēt ieinteresētās puses, noteikt ISMS darbības jomu, demonstrēt vadību, plānot risku izvērtēšanu un riska apstrādi, uzturēt dokumentētu informāciju, īstenot kontroles pasākumus, izvērtēt veiktspēju, veikt iekšējos auditus un vadības pārskatīšanu, kā arī nepārtraukti uzlabot. A pielikums nodrošina kontroles pasākumu atsauču kopu, tostarp politikas, vadības pienākumus, juridiskos pienākumus, privātumu, piegādātāju attiecības, mākoņpakalpojumus, incidentu pārvaldību un IKT gatavību darbības nepārtrauktībai.
Clarysec Enterprise Informācijas drošības politika Informācijas drošības politika nosaka:
Organizācijai jāuztur formāls pārvaldības modelis ISMS pārraudzībai, kas saskaņots ar ISO/IEC 27001 5.1. un 9.3. punktu.
Šī prasība no Informācijas drošības politikas 5.1. punkta ir praktiskais tilts starp NIST GV pārskatatbildību un ISO 27001:2022 vadības prasībām. Pārvaldība nav ikgadēja prezentācija. Tas ir formāls modelis, kas sasaista lēmumus, politikas, lomas, riskus, kontroles pasākumus, pierādījumus un pārskatīšanu.
Pamata kartēšana: NIST CSF 2.0 Govern uz ISO 27001:2022 pierādījumiem
Ātrākais veids, kā padarīt NIST CSF 2.0 praktiski izmantojamu, ir pārvērst Govern rezultātus politiku īpašumtiesībās un audita pierādījumos. Tālāk redzamā tabula ir struktūra, ko Clarysec izmanto ar MVU, kas gatavojas ISO 27001:2022 sertifikācijai, uzņēmuma klientu drošības padziļinātajai izpētei, gatavībai NIS2, DORA klientu apliecinājumiem un GDPR pārskatatbildībai.
| NIST CSF 2.0 Govern joma | MVU pārvaldības jautājums | Saskaņojums ar ISO 27001:2022 | Clarysec politikas atskaites punkts | Pierādījumi, ko sagaida auditori un klienti |
|---|---|---|---|---|
| GV.OC, organizācijas konteksts | Vai mēs zinām savus juridiskos, regulatīvos, līgumiskos, privātuma un darbības pienākumus? | 4.1. līdz 4.4. punkts, A pielikuma 5.31 un 5.34 | Tiesiskās un regulatīvās atbilstības politika | Atbilstības reģistrs, ISMS darbības joma, ieinteresēto pušu reģistrs, klientu pienākumu karte, privātuma reģistrs |
| GV.RM, risku pārvaldības stratēģija | Kā mēs definējam, novērtējam, prioritizējam, pieņemam un apstrādājam kiberriskus? | 6.1.1. līdz 6.1.3., 8.2. un 8.3. punkts | Risku pārvaldības politika | Riska metodoloģija, Riska reģistrs, Riska apstrādes plāns, riska īpašnieka apstiprinājumi, SoA kartējums |
| GV.RR, lomas un pienākumi | Kurš ir atbildīgs par kiberdrošības lēmumiem, izņēmumiem, resursiem un ziņošanu? | 5.1. līdz 5.3. punkts, A pielikuma 5.2 un 5.4 | MVU pārvaldības lomu un atbildību politika | RACI, lomu apraksti, sanāksmju protokoli, izņēmumu apstiprinājumi, apmācību ieraksti |
| GV.PO, politika | Vai politikas ir apstiprinātas, komunicētas, piemērotas, pārskatītas un atjauninātas? | 5.2., 7.5. un 9.3. punkts, A pielikuma 5.1 | Informācijas drošības politika | Politiku reģistrs, apstiprinājumu ieraksti, versiju vēsture, darbinieku apliecinājumi, politiku pārskatīšanas protokoli |
| GV.OV, pārraudzība | Vai kiberdrošības stratēģija un veiktspēja tiek pārskatīta un koriģēta? | 9.1., 9.2., 9.3., 10.1. un 10.2. punkts | Audita un atbilstības uzraudzības politika | KPI informācijas panelis, iekšējā audita plāns, vadības pārskatīšanas rezultāti, korektīvās darbības |
| GV.SC, piegādes ķēdes risks | Vai piegādātāji ir identificēti, prioritizēti, izvērtēti, līgumiski aptverti, uzraudzīti un atslēgti? | A pielikuma 5.19 līdz 5.23 un 5.30 | MVU trešo pušu un piegādātāju drošības politika | Piegādātāju uzskaite, padziļinātās izpētes ieraksti, līguma klauzulas, pārskatīšanas žurnāli, izstāšanās plāni, incidentu kontaktpersonas |
Šī kartēšana apzināti sākas ar pierādījumiem. Tā neprasa MVU izveidot 40 dokumentus. Tā uzdod piecus operacionālus jautājumus:
- Kāds lēmums tiek pieņemts?
- Kurš par to ir atbildīgs?
- Kura politika to regulē?
- Kurš ISO 27001:2022 punkts vai A pielikuma kontroles pasākums to atbalsta?
- Kādi pierādījumi apliecina, ka tas ir noticis?
MVU pārvaldības lomu un atbildību politika MVU pārvaldības lomu un atbildību politika šo izsekojamību padara skaidru:
Visi būtiskie drošības lēmumi, izņēmumi un eskalācijas ir jāreģistrē un jāpadara izsekojamas.
Šis citāts ir no MVU pārvaldības lomu un atbildību politikas 5.5. punkta. Tas pārvērš NIST GV.RR no pārvaldības principa par auditējamu darbības noteikumu.
Sāciet ar CSF Govern profilu, nevis kontroles pasākumu izklājlapu
NIST CSF 2.0 organizācijas profili palīdz organizācijām aprakstīt pašreizējos un mērķa kiberdrošības rezultātus. MVU gadījumā profils ir vieta, kur pārvaldība kļūst vadāma.
Praktiskā Govern profila darbnīcā jāatbild uz pieciem jautājumiem:
- Kas ir darbības jomā: viss uzņēmums, SaaS platforma, reglamentēts produkts vai klienta vide?
- Kuri pienākumi virza profilu: klientu līgumi, GDPR, pakļautība NIS2, DORA noteiktās klientu prasības, ISO 27001:2022 sertifikācija vai investora padziļinātā izpēte?
- Ko pierāda pašreizējie pierādījumi, nevis kam cilvēki tic, ka tas pastāv?
- Kāds mērķa stāvoklis ir reālistisks nākamajām 90 dienām un nākamajiem 12 mēnešiem?
- Kuri riski, politikas, piegādātāji un SoA ieraksti ir jāmaina?
Zenith Blueprint: Auditor’s 30-Step Roadmap Zenith Blueprint to atbalsta ISMS pamatu un vadības posmā, 6. solī “Dokumentēta informācija un ISMS bibliotēkas izveide”. Tas iesaka SoA sagatavot agrīni un izmantot to kā kontroles pasākumu bibliotēku:
✓ Papildu kontroles pasākumi: vai ir kontroles pasākumi ārpus A pielikuma, kurus vēlaties iekļaut? ISO 27001 ļauj SoA pievienot citus kontroles pasākumus. Piemēram, iespējams, vēlaties iekļaut atbilstību NIST CSF vai specifiskus privātuma kontroles pasākumus no ISO 27701. Kopumā A pielikums ir visaptverošs, taču varat pievienot jebkurus unikālus kontroles pasākumus, kurus plānojat izmantot.
✓ Izmantojiet izklājlapu (SoA Builder): praktiska pieeja ir sagatavot SoA izklājlapu jau tagad. Esam sagatavojuši SoA_Builder.xlsx veidni, kurā uzskaitīti visi A pielikuma kontroles pasākumi ar kolonnām par piemērojamību, ieviešanas statusu un piezīmēm.
MVU tas ir svarīgi. NIST CSF 2.0 nav jāiespiež ISO A pielikumā tā, it kā abi būtu identiski. Jūs varat iekļaut CSF Govern rezultātus kā papildu pārvaldības prasības savā SoA bibliotēkā, sasaistīt tos ar ISO 27001:2022 punktiem un A pielikuma kontroles pasākumiem un izmantot tos vadības pārskatīšanas, piegādātāju pārvaldības, risku ziņošanas un atbilstības uzraudzības uzlabošanai.
Izveidojiet Govern pierādījumu reģistru
Govern pierādījumu reģistrs ir praktisks rīks, kas pārvērš ietvarus pierādījumos. Tam katrs NIST rezultāts jāsasaista ar ISO atsauci, politikas īpašnieku, pierādījumu vienību, pārskatīšanas periodiskumu, trūkumu un darbību.
| Lauks | Piemēra ieraksts |
|---|---|
| CSF rezultāts | GV.OC-03 |
| Pārvaldības jautājums | Vai juridiskie, regulatīvie, līgumiskie, privātuma un pilsonisko brīvību pienākumi ir izprasti un pārvaldīti? |
| ISO 27001:2022 atsauce | 4.2., 4.3. un 6.1.3. punkts, A pielikuma 5.31 un 5.34 |
| Clarysec politika | Tiesiskās un regulatīvās atbilstības politika |
| Pierādījumu īpašnieks | Atbilstības vadītājs |
| Pierādījumi | Atbilstības reģistrs v1.4, klientu pienākumu karte, GDPR apstrādes reģistrs |
| Pārskatīšanas periodiskums | Reizi ceturksnī un tad, kad notiek jauna tirgus, klienta vai produkta izmaiņas |
| Trūkums | DORA klientu lejupplūsmas klauzulas nav kartētas uz piegādātāju līgumiem |
| Darbība | Atjaunināt piegādātāju līguma veidni un SoA piezīmes |
| Noteiktais termiņš | 30 dienas |
Clarysec Enterprise Tiesiskās un regulatīvās atbilstības politika Tiesiskās un regulatīvās atbilstības politika nosaka pārvaldības prasību:
Visi juridiskie un regulatīvie pienākumi ir jāsasaista ar konkrētām politikām, kontroles pasākumiem un īpašniekiem informācijas drošības pārvaldības sistēmā (ISMS).
Tas ir Tiesiskās un regulatīvās atbilstības politikas 6.2.1. punkts. MVU vajadzībām MVU tiesiskās un regulatīvās atbilstības politika MVU tiesiskās un regulatīvās atbilstības politika papildina to ar praktisku savstarpējās kartēšanas prasību:
Ja regulējums attiecas uz vairākām jomām (piemēram, GDPR attiecas uz glabāšanu, drošību un privātumu), tas ir skaidri jāatspoguļo Atbilstības reģistrā un apmācību materiālos.
Šis citāts ir no MVU tiesiskās un regulatīvās atbilstības politikas 5.2.2. punkta. Kopā šie punkti pārvērš GV.OC-03 par pārvaldītu, pārskatāmu un auditam gatavu procesu.
Sasaistiet riska vērtēšanu ar riska apstrādi un SoA
NIST GV.RM prasa riska mērķus, riska apetīti, riska toleranci, standartizētu riska aprēķinu, reaģēšanas iespējas un komunikācijas līnijas. ISO 27001:2022 to operacionalizē ar risku izvērtēšanu, riska apstrādi, riska īpašnieka apstiprinājumu, atlikušā riska pieņemšanu un piemērojamības deklarāciju.
MVU risku pārvaldības politika MVU risku pārvaldības politika ir apzināti konkrēta:
Katrā riska ierakstā ir jāiekļauj: apraksts, iespējamība, ietekme, vērtējums, īpašnieks un apstrādes plāns.
Tas ir no MVU risku pārvaldības politikas 5.1.2. punkta. Enterprise Risku pārvaldības politika Risku pārvaldības politika pastiprina sasaisti ar SoA:
Piemērojamības deklarācijai (SoA) jāatspoguļo visi apstrādes lēmumi, un tā jāatjaunina ikreiz, kad tiek mainīts kontroles pārklājums.
Tas ir Risku pārvaldības politikas 5.4. punkts.
Apsveriet reālu MVU risku: nesankcionēta piekļuve ražošanas klientu datiem nekonsekventas MFA piemērošanas dēļ mākoņvides administrēšanas kontos.
Spēcīga Govern kartēšana ietvertu:
- NIST GV.RM standartizētai riska dokumentēšanai un prioritizēšanai.
- NIST GV.RR lomu īpašumtiesībām un pilnvarām piemērot piekļuves kontroli.
- NIST GV.PO politikas piemērošanai un pārskatīšanai.
- ISO 27001:2022 6.1.2., 6.1.3., 8.2. un 8.3. punktu.
- A pielikuma kontroles pasākumus piekļuves kontrolei, identitāšu pārvaldībai, autentifikācijas informācijai, žurnālu veidošanai, uzraudzībai, konfigurācijai un mākoņpakalpojumiem.
- Pierādījumus, piemēram, Riska reģistra ierakstu, MFA konfigurācijas eksportu, izņēmuma apstiprinājumu, mākoņvides IAM pārskatīšanu, vadības pārskatīšanas lēmumu un atjauninātu SoA piezīmi.
Zenith Blueprint risku pārvaldības posma 13. solis “Riska apstrādes plānošana un piemērojamības deklarācija” skaidro šo sasaisti:
✓ Nodrošiniet saskaņojumu ar savu Riska reģistru: katram risku mazinošajam kontroles pasākumam, ko ierakstījāt Risku apstrādes plānā, jāatbilst A pielikuma kontroles pasākumam, kas atzīmēts kā “Piemērojams”. Savukārt, ja kontroles pasākums ir atzīmēts kā piemērojams, tam jābūt pamatotam ar risku vai prasību.
Tā ir atšķirība starp apgalvojumu “mēs izmantojam MFA” un pierādījumu “mums ir pārvaldīts, uz risku balstīts, ar ISO 27001:2022 saskaņots pamatojums MFA izmantošanai, ar pierādījumiem, īpašnieku un pārskatīšanas periodiskumu.”
Pārvaldiet piegādātāju risku, nepārbūvējot programmu
NIST GV.SC ir viena no praktiski noderīgākajām Govern funkcijas daļām MVU, jo mūsdienu MVU lielā mērā ir atkarīgi no piegādātājiem: mākoņpakalpojumu sniedzējiem, maksājumu apstrādātājiem, HR platformām, palīdzības dienesta sistēmām, koda repozitorijiem, CI/CD rīkiem, uzraudzības rīkiem un pārvaldītiem drošības pakalpojumiem.
ISO 27001:2022 A pielikums to atbalsta ar piegādātāju un mākoņvides kontroles pasākumiem, tostarp 5.19 Informācijas drošība piegādātāju attiecībās, 5.20 Informācijas drošības jautājumu risināšana piegādātāju līgumos, 5.21 Informācijas drošības pārvaldība IKT piegādes ķēdē, 5.22 Piegādātāju pakalpojumu uzraudzība, pārskatīšana un izmaiņu pārvaldība, 5.23 Informācijas drošība mākoņpakalpojumu izmantošanā un 5.30 IKT gatavība darbības nepārtrauktībai.
MVU trešo pušu un piegādātāju drošības politika MVU trešo pušu un piegādātāju drošības politika skaidri nosaka pierādījumu prasību:
Šīs pārskatīšanas ir jādokumentē un jāglabā kopā ar piegādātāja ierakstu. Turpmākās darbības ir skaidri jāizseko.
Tas ir MVU trešo pušu un piegādātāju drošības politikas 6.3.2. punkts.
Vienkāršots MVU piegādātāju modelis var izmantot trīs līmeņus:
| Piegādātāja līmenis | Kritēriji | Minimālie pierādījumi | Pārskatīšanas periodiskums |
|---|---|---|---|
| Kritisks | Atbalsta ražošanas vidi, klientu datus, autentifikāciju, drošības uzraudzību, maksājumu plūsmu vai reglamentētu pakalpojumu sniegšanu | Padziļinātās izpētes anketa, līguma drošības klauzulas, SLA, incidenta kontaktpersona, izstāšanās plāns, risku pārskatīšana | Reizi gadā un pēc būtiskām izmaiņām |
| Svarīgs | Atbalsta organizācijas darbības vai iekšēju sensitīvu informāciju, bet ne tiešu kritiska pakalpojuma sniegšanu | Drošības kopsavilkums, datu apstrādes noteikumi, piekļuves tiesību pārskatīšana, riska pieņemšana, ja pastāv trūkumi | Ik pēc 18 mēnešiem |
| Standarta | Zema riska rīki bez sensitīviem datiem vai kritiskas atkarības | Biznesa īpašnieka apstiprinājums, pamata datu un piekļuves pārbaude | Ieviešanas un līguma atjaunošanas laikā |
Šis vienkāršais modelis atbalsta NIST GV.SC, ISO 27001:2022 piegādātāju kontroles pasākumus, klientu drošības padziļināto izpēti un DORA noteiktās līgumiskās prasības no finanšu klientiem.
Piegādātāju sadarbības izbeigšanai jāpievērš īpaša uzmanība. NIST GV.SC sagaida pārvaldību visā piegādātāja dzīves ciklā, tostarp attiecību beigās. Pierādījumiem jāietver datu atgriešana vai dzēšana, piekļuves noņemšana, pakalpojuma pārejas plānošana, saglabātie līguma ieraksti un atlikušā riska pārskatīšana.
Izmantojiet Zenith Controls starpatbilstībai, nevis kā atsevišķu kontroles pasākumu kopu
Clarysec Zenith Controls: The Cross-Compliance Guide Zenith Controls ir starpatbilstības ceļvedis ISO/IEC 27002:2022 kontroles tēmu kartēšanai uz vairākiem ietvariem un audita skatpunktiem. Tie nav atsevišķi “Zenith kontroles pasākumi”. Tie ir ISO/IEC 27002:2022 kontroles pasākumi, kas Zenith Controls analizēti starpatbilstības vajadzībām.
NIST CSF 2.0 Govern kontekstā īpaši svarīgas ir trīs ISO/IEC 27002:2022 kontroles jomas:
| ISO/IEC 27002:2022 kontroles joma Zenith Controls ietvaros | Saistība ar NIST CSF 2.0 Govern | Praktiska MVU interpretācija |
|---|---|---|
| 5.1 Informācijas drošības politikas | GV.PO | Politikas ir jāapstiprina, jākomunicē, jāpiemēro, jāpārskata un jāatjaunina, kad mainās apdraudējumi, tehnoloģijas, tiesību akti vai darbības mērķi |
| 5.4 Vadības pienākumi | GV.RR un GV.OV | Drošības pienākumi ir jāpiešķir vadības un operacionālajā līmenī, nodrošinot resursus, ziņošanu un pārskatīšanu |
| 5.31 Juridiskās, normatīvās, regulatīvās un līgumiskās prasības | GV.OC-03 | Pienākumi ir jāidentificē, jāsasaista ar kontroles pasākumiem un īpašniekiem, jāuzrauga to izmaiņas un jānodrošina pierādījumi |
Zenith Blueprint posma “Kontroles pasākumi darbībā” 22. solis “Organizatoriskie kontroles pasākumi” sniedz darbības modeli:
Formalizējiet informācijas drošības pārvaldību
Nodrošiniet, ka jūsu informācijas drošības politikas (5.1) ir pabeigtas, apstiprinātas un pārvaldītas ar versiju kontroli. Piešķiriet vārdiskus īpašniekus katrai politikas jomai (piemēram, piekļuve, šifrēšana, rezerves kopijas) un dokumentējiet lomas un pienākumus visā ISMS (5.2). Pārskatiet pienākumu nodalīšanu (5.3) augsta riska jomās, piemēram, finansēs, sistēmu administrēšanā un izmaiņu kontrolē. Izveidojiet vienkāršu pārvaldības karti, kas parāda, kurš apstiprina, kurš ievieš un kurš uzrauga drošības politiku.
Šī pārvaldības karte ir viens no vērtīgākajiem artefaktiem, ko MVU var izveidot. Tā atbild uz NIST GV.RR, ISO 27001:2022 vadības prasībām, NIS2 vadības pārskatatbildības gaidām un klientu jautājumiem par to, kurš ir atbildīgs par kiberrisku.
Viens pārvaldības modelis NIS2, DORA, GDPR, NIST un ISO vajadzībām
Govern funkcija kļūst visvērtīgākā, kad MVU saskaras ar pārklājošām prasībām.
NIS2 pieprasa darbības jomā esošām būtiskām un svarīgām vienībām pieņemt atbilstošus un samērīgus kiberdrošības risku pārvaldības pasākumus. Tā arī nosaka vadības struktūru atbildību apstiprināt kiberdrošības risku pārvaldības pasākumus, pārraudzīt ieviešanu un piedalīties apmācībās. NIST GV.RR atbalsta vadības pārskatatbildību. GV.RM atbalsta uz risku balstītus pasākumus. GV.SC atbalsta piegādes ķēdes drošību. GV.PO atbalsta politikas. GV.OV atbalsta veiktspējas pārskatīšanu.
NIS2 incidentu pārvaldība ievieš arī pakāpeniskas ziņošanas prasības, tostarp agrīno brīdinājumu 24 stundu laikā, incidenta paziņojumu 72 stundu laikā un gala ziņojumu viena mēneša laikā par būtiskiem incidentiem. Šie termiņi jāatspoguļo incidentu reaģēšanas procedūrās, eskalācijas ceļos, komunikācijas plānos un vadības ziņošanā.
DORA ir piemērojama no 2025. gada 17. janvāra ES finanšu vienībām, taču daudzi MVU izjūt tās ietekmi caur klientu līgumiem. Finanšu klienti var nodot DORA prasības tālāk IKT pakalpojumu sniedzējiem, programmatūras piegādātājiem, pārvaldīto pakalpojumu sniedzējiem un piegādātājiem, kas atkarīgi no mākoņpakalpojumiem. DORA koncentrējas uz IKT risku pārvaldību, vadības struktūras atbildību, incidentu ziņošanu, noturības testēšanu, trešo pušu IKT risku, līgumiskajām prasībām un pārraudzību.
GDPR pievieno pārskatatbildību par personas datu apstrādi. MVU ir jāsaprot, vai tie ir pārziņi, apstrādātāji vai abi, kādus personas datus tie apstrādā, kādas sistēmas un piegādātāji ir iesaistīti, kādi tiesiskie pamati ir piemērojami un kuri incidentu scenāriji var kļūt par personas datu aizsardzības pārkāpumiem.
Zenith Blueprint risku pārvaldības posma 14. solis iesaka DORA, NIS2 un GDPR prasības krusteniski sasaistīt ar ISO 27001:2022 kontroles pasākumu kopu:
Katram regulējumam, ja tas ir piemērojams, varat izveidot vienkāršu kartēšanas tabulu (tā var būt pielikums pārskatam), kurā uzskaitītas regulējuma galvenās drošības prasības un atbilstošie kontroles pasākumi/politikas jūsu ISMS. ISO 27001 tas nav obligāti, taču tas ir noderīgs iekšējs uzdevums, lai pārliecinātos, ka nekas nav palicis nepamanīts.
Praktiska starpatbilstības karte var izskatīties šādi:
| Pārvaldības prasība | NIST CSF 2.0 Govern | ISO 27001:2022 atskaites punkts | Saistība ar NIS2, DORA, GDPR | Primārie pierādījumi |
|---|---|---|---|---|
| Vadības pārskatatbildība | GV.RR un GV.OV | 5.1., 5.3. un 9.3. punkts, A pielikuma 5.4 | NIS2 vadības struktūras pārraudzība, DORA vadības struktūras atbildība | Pārvaldības karte, RACI, vadības pārskatīšanas protokoli |
| Juridiskie un līgumiskie pienākumi | GV.OC-03 | 4.2., 4.3. un 6.1.3. punkts, A pielikuma 5.31 un 5.34 | GDPR pārskatatbildība, NIS2 juridiskā darbības joma, DORA līgumiskās lejupplūsmas prasības | Atbilstības reģistrs, klientu pienākumu karte, privātuma reģistrs |
| Uz risku balstīti drošības pasākumi | GV.RM | 6.1.2., 6.1.3., 8.2. un 8.3. punkts | NIS2 riska pasākumi, DORA IKT risku ietvars, GDPR apstrādes drošība | Riska reģistrs, Riska apstrādes plāns, SoA |
| Piegādātāju pārvaldība | GV.SC | A pielikuma 5.19 līdz 5.23 un 5.30 | NIS2 piegādes ķēdes drošība, DORA trešo pušu IKT risks, GDPR apstrādātāji | Piegādātāju uzskaite, padziļinātā izpēte, līgumi, pārskatīšanas žurnāli |
| Politiku pārvaldība | GV.PO | 5.2. punkts un A pielikuma 5.1 | Visi ietvari sagaida dokumentētus, apstiprinātus un komunicētus noteikumus | Politiku reģistrs, versiju vēsture, apliecinājumi |
| Audits un uzlabošana | GV.OV | 9.1., 9.2., 9.3., 10.1. un 10.2. punkts | DORA testēšana un trūkumu novēršana, NIS2 efektivitāte, GDPR pārskatatbildība | Iekšējā audita pārskati, KPI, korektīvās darbības |
Vērtība ir efektivitātē. Viena labi pārvaldīta ISO 27001:2022 ISMS, ko vada NIST CSF 2.0 Govern, var vienlaikus ģenerēt atkārtoti izmantojamus pierādījumus vairākiem ietvariem.
Auditoru skatījums: pierādīt, ka pārvaldība ir īsta
Plauktā nolikta politika nav pārvaldība. Auditori un izvērtētāji meklē “zelta pavedienu”: augsta līmeņa politiku, definētu procesu, operacionālu ierakstu, vadības pārskatīšanu un uzlabošanas darbību.
Dažādi pārbaudītāji šo pavedienu testēs atšķirīgi.
| Auditora skatpunkts | Uz ko viņi koncentrēsies | Pierādījumi, kas darbojas labi |
|---|---|---|
| ISO 27001:2022 auditors | Vai pārvaldība ir iestrādāta ISMS, vai riska apstrāde ir izsekojama, vai SoA lēmumi ir pamatoti un vai dokumentētā informācija tiek kontrolēta | ISMS darbības joma, politiku reģistrs, Riska reģistrs, SoA, vadības pārskatīšanas protokoli, iekšējā audita pārskati, korektīvās darbības |
| NIST CSF 2.0 izvērtētājs | Vai pastāv pašreizējie un mērķa profili, vai trūkumi ir prioritizēti un vai Govern rezultāti ir sasaistīti ar darbības risku un pārraudzību | CSF profils, trūkumu analīze, POA&M, riska apetītes paziņojums, vadības informācijas panelis, piegādātāju mērķa profils |
| COBIT 2019 vai ISACA tipa auditors | Vai pārvaldības mērķi, lēmumu pieņemšanas tiesības, veiktspējas rādītāji, kontroles pasākumu īpašumtiesības un apliecinājuma darbības ir definētas | Pārvaldības karte, RACI, KPI un KRI informācijas panelis, kontroles pasākumu īpašnieku apliecinājumi, audita plāns, problēmu izsekošana |
| GDPR pārbaudītājs | Vai privātuma pienākumi ir identificēti, apstrāde ir kartēta, drošības pasākumi ir atbilstoši un pastāv pārskatatbildības pierādījumi | Apstrādes reģistrs, tiesiskā pamata kartējums, DPIA, ja nepieciešams, reaģēšanas uz pārkāpumiem process, piegādātāju datu apstrādes noteikumi |
| Klienta drošības izvērtētājs | Vai MVU bez pārmērīgas kavēšanās var pierādīt operacionālo drošību, piegādātāju kontroli, gatavību incidentiem un vadības pārskatatbildību | Pierādījumu pakete, politikas, piegādātāju pārskatīšana, incidentu galda vingrinājumu rezultāti, piekļuves tiesību pārskatīšana, rezerves kopiju testi, drošības ceļkarte |
Clarysec Enterprise Pārvaldības lomu un atbildību politika Pārvaldības lomu un atbildību politika nosaka:
Pārvaldībai jāatbalsta integrācija ar citām disciplīnām (piemēram, risku pārvaldību, juridisko funkciju, IT, HR), un ISMS lēmumiem jābūt izsekojamiem līdz to avotam (piemēram, audita ierakstiem, pārskatīšanas žurnāliem, sanāksmju protokoliem).
Tas ir Pārvaldības lomu un atbildību politikas 5.5. punkts. Tas ietver starpatbilstības būtību: pārvaldības lēmumiem jābūt izsekojamiem.
MVU audita un atbilstības uzraudzības politika MVU audita un atbilstības uzraudzības politika pievieno kritisku pierādījumu disciplīnu:
Metadati (piemēram, kas tos ievāca, kad un no kuras sistēmas) ir jādokumentē.
Šis citāts ir no MVU audita un atbilstības uzraudzības politikas 6.2.3. punkta. Pierādījumu metadati bieži vien ir tas, kas atšķir ekrānuzņēmumu mapi no auditam derīgiem pierādījumiem.
Enterprise Audita un atbilstības uzraudzības politika Audita un atbilstības uzraudzības politika pievieno programmas līmeņa prasību:
Organizācijai jāuztur strukturēta Audita un atbilstības uzraudzības programma, kas integrēta ISMS un aptver:
Tas ir Audita un atbilstības uzraudzības politikas 5.1. punkts. Pārvaldības ietekme ir tieša: audits nav ikgadēja steiga. Tas ir daļa no ISMS darbībām.
Biežākās MVU kļūdas, kartējot NIST Govern uz ISO 27001:2022
Pirmā kļūda ir pārmērīga dokumentēšana bez īpašumtiesībām. MVU uzraksta politikas, bet nepiešķir īpašniekus riska apstrādei, piegādātāju pārskatīšanai, izņēmumu apstiprināšanai vai vadības ziņošanai.
Otrā kļūda ir juridisko pienākumu nošķiršana no ISMS. NIST GV.OC-03 prasa pienākumus izprast un pārvaldīt. ISO 27001:2022 prasa ISMS ņemt vērā attiecīgās ieinteresēto pušu prasības un juridiskos, regulatīvos un līgumiskos pienākumus.
Trešā kļūda ir vājš SoA pamatojums. SoA nav tikai piemērojamo kontroles pasākumu saraksts. Tas ir loģikas fails, kas pamato, kāpēc kontroles pasākumi ir iekļauti, izslēgti vai ieviesti.
Ceturtā kļūda ir piegādātāju dzīves cikla pierādījumu trūkums. Piegādātāju pārvaldība ietver ieviešanu, līgumus, uzraudzību, incidentus, izmaiņas un sadarbības izbeigšanu.
Piektā kļūda ir mērķa profila neatjaunināšana. CSF profils ir jāmaina, kad organizācija ienāk jaunā ģeogrāfiskā tirgū, noslēdz līgumu ar lielu klientu, pieņem kritisku piegādātāju, palaiž reglamentētu produktu, maina mākoņarhitektūru vai piedzīvo incidentu.
30 dienu NIST CSF 2.0 Govern ceļkarte MVU
Ja MVU jārīkojas ātri, sāciet ar fokusētu 30 dienu ieviešanas plānu.
| Dienas | Darbība | Rezultāts |
|---|---|---|
| 1 līdz 3 | Definēt CSF Govern darbības jomu un apkopot esošās politikas, līgumus, riska ierakstus, piegādātāju sarakstus un audita pierādījumus | Darbības jomas piezīme un pierādījumu uzskaite |
| 4 līdz 7 | Izveidot Govern pierādījumu reģistru GV.OC, GV.RM, GV.RR, GV.PO, GV.OV un GV.SC vajadzībām | Pašreizējais profils un sākotnējie trūkumi |
| 8 līdz 12 | Sasaistīt pienākumus ar ISO 27001:2022 politikām, A pielikuma kontroles jomām un īpašniekiem | Atbilstības reģistrs un politiku īpašumtiesību karte |
| 13 līdz 17 | Atjaunināt Riska reģistru un Riska apstrādes plānu, pēc tam saskaņot SoA ierakstus | Riska reģistrs, apstrādes plāns, SoA atjauninājumi |
| 18 līdz 22 | Prioritizēt piegādātāju pārvaldību, tostarp kritisko piegādātāju klasifikāciju, līgumu trūkumus un pārskatīšanas pierādījumus | Piegādātāju riska reģistrs un darbību izsekošanas saraksts |
| 23 līdz 26 | Sagatavot audita pierādījumu paketi ar metadatiem, apstiprinājumiem, pārskatīšanas žurnāliem un vadības lēmumiem | Pierādījumu pakete un audita indekss |
| 27 līdz 30 | Veikt vadības pārskatīšanu un apstiprināt mērķa profila ceļkarti | Vadības pārskatīšanas protokoli, lēmumi, ceļkarte |
Šis plāns izveido pietiekamus pārvaldības pierādījumus, lai atbildētu uz būtiskiem klientu un audita jautājumiem, vienlaikus veidojot pamatu ISO 27001:2022 sertifikācijai, gatavībai NIS2, DORA klientu apliecinājumiem un GDPR pārskatatbildībai.
Praktiskais rezultāts: viens pārvaldības stāsts, daudzi atbilstības lietojumi
Kad Sāra atgriežas pie valdes, viņai vairs nav piecu nesaistītu atbilstības darba plūsmu. Viņai ir viens pārvaldības stāsts.
NIST CSF 2.0 Govern rezultāti ir sasaistīti ar ISO 27001:2022 politikām, īpašniekiem, riskiem, kontroles pasākumiem un pierādījumiem. ISMS darbības joma ietver klientu, piegādātāju, mākoņvides, juridiskās, regulatīvās, privātuma un līgumiskās atkarības. Riska reģistrs virza apstrādes lēmumus un SoA piemērojamību. Politikas ir apstiprinātas, pārvaldītas ar versiju kontroli, tām ir īpašnieki, tās ir komunicētas un pārskatītas. Piegādātāju riski ir līmeņoti, līgumiski aptverti, uzraudzīti un izsekoti. GDPR apstrādes pienākumi, NIS2 pārskatatbildības prasības un DORA klientu lejupplūsmas prasības ir krusteniski sasaistītas, kur piemērojams. Audita pierādījumi ietver metadatus, lēmumu ierakstus un vadības pārskatīšanas rezultātus.
Tā izskatās pārvaldība, kad tā darbojas praksē.
Nākamais solis: izveidojiet savu MVU Govern pierādījumu paketi ar Clarysec
Ja gatavojaties ISO 27001:2022, atbildat uz uzņēmuma klienta drošības padziļināto izpēti, kartējat NIST CSF 2.0 Govern rezultātus vai mēģināt saskaņot NIS2, DORA un GDPR, neveidojot atsevišķas programmas, sāciet ar pārvaldības slāni.
Clarysec var palīdzēt jums izveidot:
- NIST CSF 2.0 Govern pašreizējo un mērķa profilu.
- ISO 27001:2022 politiku un SoA kartējumu.
- Starpatbilstības pienākumu reģistru, izmantojot Zenith Controls Zenith Controls.
- 30 soļu ISMS ieviešanas ceļkarti, izmantojot Zenith Blueprint Zenith Blueprint.
- MVU vajadzībām gatavus politiku pierādījumus, izmantojot Clarysec politiku rīkkopu, tostarp MVU pārvaldības lomu un atbildību politiku MVU pārvaldības lomu un atbildību politika, MVU risku pārvaldības politiku MVU risku pārvaldības politika, MVU tiesiskās un regulatīvās atbilstības politiku MVU tiesiskās un regulatīvās atbilstības politika, MVU trešo pušu un piegādātāju drošības politiku MVU trešo pušu un piegādātāju drošības politika un MVU audita un atbilstības uzraudzības politiku MVU audita un atbilstības uzraudzības politika.
Ātrākais ceļš nav vēl viena izklājlapa. Tā ir pārvaldīta, uz risku balstīta ISMS ar auditam sagatavotiem pierādījumiem, kas ļauj jūsu MVU pārliecinoši atbildēt uz vienu jautājumu:
Vai varat pierādīt, ka kiberdrošība tiek pārvaldīta, tai ir īpašnieki, tā tiek pārskatīta un nepārtraukti uzlabota?
Ar Clarysec atbilde kļūst: jā.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
