NIS2 un DORA kontaktu reģistri ISO 27001 pierādījumiem
02:17 incidents: kad kontaktu saraksts kļūst par kontroles pasākumu
Otrdien plkst. 02:17 SOC analītiķis pamana modeli, ko neviens nevēlas redzēt. Priviliģēts pakalpojuma konts ir autentificējies no neierastas ģeogrāfiskās vietas, klientu ieraksti ir vaicāti secīgi, un pārvaldītās atklāšanas un reaģēšanas pakalpojumu sniedzējs ir atvēris augstas kritiskuma pakāpes pieteikumu. Dažu minūšu laikā incidenta vadītājs apstiprina bažas: izspiedējprogrammatūras indikatori izplatās laterāli, kritisks ražošanas pakalpojums darbojas degradētā režīmā, un, iespējams, ir skarti klientu dati.
Tehniskā reaģēšana sākas ātri. Galiekārtas tiek izolētas, identitātes žurnāli tiek izgūti, mākoņvides momentuzņēmumi tiek saglabāti, un pārvaldītais drošības pakalpojumu sniedzējs pievienojas koordinācijas zvanam. Tad sākas vēsāka panika.
Informācijas drošības vadītājs jautā: “Kam mums jāziņo?”
Juridiskais dienests norāda, ka var būt jāiesaista datu aizsardzības uzraudzības iestāde. DPO jautā, vai tas ir personas datu aizsardzības pārkāpums. Operāciju vadītājs norāda, ka mākoņpakalpojumu sniedzējs jāeskalē saskaņā ar uzņēmuma atbalsta nosacījumiem. Atbilstības vadītājs jautā, vai subjekts ir svarīgais subjekts NIS2 izpratnē, vai arī piemērojama DORA, jo pakalpojums atbalsta regulētu finanšu subjektu. Valde vēlas zināt, kam jānotiek pirmajās 24 stundās.
Neviens neapšauba nepieciešamību sazināties. Problēma ir tā, ka kontaktinformācija, apstiprināšanas ceļš, tiesiskie aktivizēšanas nosacījumi un pierādījumu prasības ir izkaisītas vecā darbības nepārtrauktības izklājlapā, piegādātāju līgumos, e-pasta sarakstēs, novecojušā atbilstības wiki un viena cilvēka telefonā.
Tas nav tikai operatīvs apgrūtinājums. 2026. gadā tā ir atbilstības nepilnība.
NIS2 ir padarījusi pakāpenisku incidentu paziņošanu par pārvaldības pienākumu, tostarp būtisku incidentu gadījumā paredzot agrīnu brīdinājumu 24 stundu laikā, paziņojumu 72 stundu laikā un galīgo ziņojumu viena mēneša laikā. DORA ir izveidojusi īpašu digitālās darbības noturības režīmu finanšu subjektiem, tostarp IKT incidentu pārvaldību, klasifikāciju, ziņošanu uzraudzības iestādēm, IKT trešo pušu risku un krīzes komunikāciju. GDPR joprojām ir būtisks vienmēr, kad ir iesaistīti personas dati. ISO/IEC 27001:2022 pārvērš šos pienākumus auditējamos pārvaldības sistēmas pierādījumos.
Regulatīvo kontaktu reģistrs izklausās administratīvs. Tas tāds nav. Tas ir savienojošais slānis starp reaģēšanu uz incidentiem, tiesisko paziņošanu, darbības nepārtrauktību, piegādātāju koordināciju, vadības pārskatatbildību un audita pierādījumiem.
Clarysec to uzskata par pierādījumu problēmu, nevis dokumentu kārtošanas uzdevumu. Zenith Blueprint: auditora 30 soļu ceļvedī Zenith Blueprint 22. solī posmā “Kontroles pasākumi darbībā” ir skaidrots, kāpēc saziņai ar iestādēm jābūt iepriekš definētai:
Kontrole 5.5 nodrošina, ka organizācija ir gatava sadarboties ar ārējām iestādēm, kad tas nepieciešams, nevis reaģē novēloti vai panikā, bet izmanto iepriekš definētus, strukturētus un labi saprotamus kanālus.
Tā ir īstā 02:17 incidenta mācība. Regulatora paziņošanas portāls, CSIRT dežūrtālrunis, DPO aizvietotāja kontakts, finanšu uzrauga ziņošanas kanāls un piegādātāja eskalācijas maršruts ir jāatrod pirms incidenta, nevis brīdī, kad ziņošanas termiņš jau rit.
Kāpēc regulatīvo kontaktu reģistri kļuva par 2026. gada atbilstības prioritāti
Daudzām organizācijām jau ir ārkārtas kontaktu saraksti. Problēma ir tā, ka NIS2 un DORA prasa disciplinētāku pieeju nekā vārdu un tālruņa numuru saraksts. Tās prasa precīzu, lomās balstītu, pierādījumiem gatavu kontaktu pārvaldību, kas sasaistīta ar tiesiskajiem aktivizēšanas nosacījumiem, eskalācijas pilnvarām, ziņošanas termiņiem un piegādātāju atkarībām.
NIS2 attiecas uz plašu būtisko un svarīgo subjektu loku tādās nozarēs kā enerģētika, transports, banku darbība, finanšu tirgus infrastruktūra, veselības aprūpe, dzeramais ūdens, notekūdeņi, digitālā infrastruktūra, IKT pakalpojumu pārvaldība, valsts pārvalde un kosmoss. Tā aptver arī daudzus digitālo pakalpojumu sniedzējus, tostarp mākoņpakalpojumus, datu centru pakalpojumus, satura piegādes tīklus, pārvaldīto pakalpojumu sniedzējus, pārvaldītos drošības pakalpojumu sniedzējus, tiešsaistes tirdzniecības vietas, tiešsaistes meklētājprogrammas un sociālo tīklu platformas. Dalībvalstīm līdz 2025. gada 17. aprīlim bija jāizveido būtisko un svarīgo subjektu saraksti un tie jāatjaunina vismaz reizi divos gados. Daudziem mākoņpakalpojumu, SaaS, pārvaldīto pakalpojumu un digitālo platformu sniedzējiem regulatīvā ietekme ir pārgājusi no teorētiskas uz operatīvu.
DORA no 2025. gada 17. janvāra attiecas uz finanšu subjektiem, piemēram, kredītiestādēm, maksājumu iestādēm, elektroniskās naudas iestādēm, ieguldījumu brokeru sabiedrībām, kriptoaktīvu pakalpojumu sniedzējiem, tirdzniecības vietām, centrālajiem vērtspapīru depozitārijiem, centrālajiem darījumu partneriem, apdrošināšanas un pārapdrošināšanas sabiedrībām un citām aptvertajām finanšu sektora organizācijām. DORA ir ļoti būtiska arī IKT trešo pušu ekosistēmai, jo finanšu subjektiem ir jāpārvalda pakalpojumu sniedzēji, kas atbalsta kritiskas vai svarīgas funkcijas. DORA Article 17 prasa ar IKT saistītu incidentu pārvaldības procesu, Article 18 nosaka klasifikācijas prasības, un Article 19 regulē ziņošanu kompetentajai iestādei par būtiskiem ar IKT saistītiem incidentiem.
GDPR pievieno privātuma dimensiju. Kiberdrošības incidents var kļūt par personas datu aizsardzības pārkāpumu, ja tas ietver nejaušu vai nelikumīgu personas datu iznīcināšanu, zudumu, izmainīšanu, nesankcionētu izpaušanu vai piekļuvi personas datiem. Pārzinim jāspēj pierādīt pārskatatbildību, izvērtēt risku fiziskām personām un, ja nepieciešams, informēt uzraudzības iestādi un, iespējams, skartos datu subjektus.
Nobriedušam regulatīvo kontaktu reģistram spiediena apstākļos jāspēj atbildēt uz pieciem jautājumiem:
- Kurš CSIRT, kompetentā iestāde, finanšu uzraugs, datu aizsardzības uzraudzības iestāde un tiesībaizsardzības kontakts attiecas uz šo juridisko personu, jurisdikciju un pakalpojumu?
- Kura iekšējā loma ir pilnvarota uzsākt saziņu, apstiprināt formulējumu un iesniegt paziņojumus?
- Ar kuriem piegādātājiem jāsazinās ierobežošanas, žurnālu, atjaunošanas, pierādījumu saglabāšanas vai līgumiskās ziņošanas vajadzībām?
- Kurš klientu, darījumu partneru vai publiskās komunikācijas kanāls tiek aktivizēts katrā kritiskuma līmenī?
- Kā mēs pierādām, ka reģistrs tika pārskatīts, testēts un pareizi izmantots?
Atbilde nedrīkst atrasties tikai juridiskā dienesta iesūtnē vai informācijas drošības vadītāja atmiņā. Tai jābūt kontrolētam IDPS ierakstam.
Kas ietilpst pierādījumiem gatavā NIS2 un DORA kontaktu reģistrā
Regulatīvo kontaktu reģistrs jāizstrādā izmantošanai reāla incidenta laikā. Ja incidenta vadītājam pirmais eskalācijas lēmums jāpieņem dažu minūšu laikā, reģistrs nedrīkst būt neskaidrs tīmekļvietņu saraksts. Tam jābūt strukturētam, pārbaudītam un sasaistītam ar reaģēšanas rokasgrāmatu.
| Reģistra lauks | Kāpēc tas ir svarīgi incidenta laikā | Pierādījuma vērtība |
|---|---|---|
| Iestādes vai ieinteresētās puses tips | Nošķir CSIRT, kompetento iestādi, finanšu uzraugu, datu aizsardzības uzraudzības iestādi, tiesībaizsardzības iestādi, piegādātāju, klientu grupu un iekšējo lomu | Parāda, ka ieinteresētās puses un paziņošanas kanāli ir identificēti |
| Konkrētas iestādes vai subjekta nosaukums | Identificē precīzu regulatoru, uzraugu, pakalpojumu sniedzēju, klientu grupu vai iekšējo funkciju | Samazina nepareiza saņēmēja un nepareizas jurisdikcijas risku |
| Jurisdikcija un juridiskā persona | Novērš paziņošanu nepareizai valstij vai nepareizai juridiskajai personai pārrobežu grupās | Atbalsta darbības jomas, piemērojamības un regulatīvo pienākumu kartēšanu |
| Aktivizēšanas nosacījums | Sasaista kontaktu ar NIS2 būtisku incidentu, DORA būtisku ar IKT saistītu incidentu, GDPR personas datu aizsardzības pārkāpumu vai līgumisku paziņojumu | Parāda dokumentētu lēmumu loģiku |
| Primārais saziņas kanāls | Nodrošina portālu, e-pastu, tālruni, drošu ziņojumu maršrutu vai augstas prioritātes atbalsta kanālu | Atbalsta savlaicīgu ziņošanu un eskalāciju |
| Rezerves saziņas kanāls | Nodrošina noturību, ja galvenais kanāls nav pieejams | Demonstrē komunikācijas nepārtrauktību |
| Pilnvarotais iekšējais īpašnieks | Nosaka, kurš drīkst sazināties, apstiprināt vai iesniegt informāciju | Atbalsta pārskatatbildību un pienākumu nošķiršanu |
| Pirms saziņas nepieciešamie pierādījumi | Uzskaita faktus, kritiskuma izvērtējumu, skartos pakalpojumus, kompromitācijas indikatorus (IOC), klientu ietekmi un juridiskās pārbaudes statusu | Atbalsta savlaicīgu, bet kontrolētu paziņošanu |
| Pēdējās validācijas datums un validētājs | Apstiprina periodisku pārskatīšanu un samazina novecojušu kontaktu risku | Nodrošina audita pierādījumus par uzturēšanu |
| Testa vai vingrinājuma atsauce | Sasaista kontaktu ar galda vingrinājumiem, simulācijām vai izmantošanu reālā incidentā | Parāda darbības efektivitāti |
| Glabāšanas vieta | Norāda uz IDPS, GRC platformu, pieteikumu sistēmu vai pierādījumu repozitoriju | Atbalsta atkārtojamību un izgūšanu auditam |
Pilnīgam reģistram jāietver vismaz sešas kontaktu grupas.
Pirmkārt, oficiālās kiberdrošības iestādes: nacionālie CSIRT, kompetentās iestādes, vienotie kontaktpunkti, ja piemērojami, un nozares kiberdrošības aģentūras.
Otrkārt, finanšu uzraugi DORA vajadzībām: kompetentās iestādes un ziņošanas kanāli, ko izmanto sākotnējai, starpposma un galīgajai ziņošanai par būtiskiem ar IKT saistītiem incidentiem.
Treškārt, privātuma iestādes: datu aizsardzības uzraudzības iestādes, vadošās uzraudzības iestādes noteikšanas loģika pārrobežu apstrādei un DPO eskalācijas ceļi.
Ceturtkārt, tiesībaizsardzības iestādes: kibernoziegumu vienības, krāpšanas apkarošanas vienības un ārkārtas kontakti izspiešanas, izspiedējprogrammatūras, nesankcionētas piekļuves un pierādījumu saglabāšanas gadījumos.
Piektkārt, piegādātāji un IKT trešās puses: mākoņpakalpojumu sniedzēji, pārvaldītie drošības pakalpojumu sniedzēji, pārvaldīto pakalpojumu sniedzēji, identitātes platformas, maksājumu apstrādātāji, digitālās kriminālistikas pakalpojumu sniedzēji un juridiskais dienests.
Sestkārt, iekšējās eskalācijas lomas: incidenta vadītājs, informācijas drošības vadītājs, DPO, galvenais jurists, komunikācijas vadītājs, darbības nepārtrauktības atbildīgā persona, izpildvadības apstiprinātājs, valdes kontaktpersona un pakalpojuma īpašnieks.
Reģistrā jāiekļauj arī īpašu interešu grupas, ja tās ir būtiskas, piemēram, ISAC vai nozares informācijas apmaiņas kopienas. Tās nav regulatori, taču tās var kļūt par svarīgiem kanāliem draudu izlūkošanai un koordinētai reaģēšanai.
Zenith Blueprint padara to praktisku 22. solī:
Izveidojiet vai atjauniniet procedūras saziņai ar iestādēm drošības notikumu laikā (5.5), tostarp kontaktinformāciju vietējiem CERT, regulatoriem un tiesībaizsardzības iestādēm. Uzturiet līdzīgu kontaktu sarakstu dalībai drošības forumos vai nozaru grupās (5.6). Glabājiet šo informāciju pieejamā, bet ar piekļuves kontroli aizsargātā vietā un iekļaujiet to incidentu reaģēšanas rokasgrāmatā.
Pēdējais teikums ir būtisks. Ja reģistrs nav incidentu reaģēšanas rokasgrāmatā, tas, visticamāk, netiks izmantots brīdī, kad spiediens ir reāls.
Kontaktu reģistra struktūras piemērs FinTech vai SaaS pakalpojumu sniedzējam
Iedomājieties fintech SaaS pakalpojumu sniedzēju, kas atbalsta maksājumu analītiku ES klientiem. Tas izmanto mākoņpakalpojumu sniedzēju, pārvaldītās atklāšanas pakalpojumu sniedzēju, identitātes platformu, klientu atbalsta platformu un ārējo juridisko dienestu. Atkarībā no tā lomas tas var būt finanšu subjekts, IKT trešās puses pakalpojumu sniedzējs, NIS2 darbības jomā esošs digitālo pakalpojumu sniedzējs vai personas datu apstrādātājs GDPR izpratnē.
Praktisks reģistrs varētu sākties šādi:
| Iestādes vai subjekta tips | Konkrēta iestāde vai nosaukums | Kontaktpunkts | Primārā metode | Rezerves metode | Saziņas aktivizēšanas nosacījums | Īpašnieks |
|---|---|---|---|---|---|---|
| NIS2 CSIRT | Nacionālais CSIRT | Incidentu reaģēšanas pieņemšanas kanāls | Drošs portāls | Ārkārtas e-pasts | Būtisks kiberincidents, kas ietekmē pakalpojumus | Informācijas drošības vadītājs |
| DORA uzraugs | Nacionālā finanšu iestāde | IKT incidentu ziņošanas punkts | Uzrauga portāls | Norādīts tālrunis | Būtisks ar IKT saistīts incidents | Atbilstības vadītājs |
| GDPR datu aizsardzības uzraudzības iestāde | Datu aizsardzības uzraudzības iestāde | Pārkāpumu paziņošanas vienība | Tīmekļa veidlapa | DPO saziņa ar iestādi | Personas datu aizsardzības pārkāpuma riska izvērtējums norāda, ka paziņošana var būt nepieciešama | DPO |
| Tiesībaizsardzības iestāde | Nacionālā kibernoziegumu vienība | Dežūrējošā amatpersona | Oficiālais ziņošanas kanāls | Vietējā sadarbības amatpersona | Aizdomas par noziedzīgu darbību, izspiešanu vai pierādījumu saglabāšanas nepieciešamība | Juridiskā dienesta vadītājs |
| Kritisks mākoņpakalpojumu sniedzējs | Mākoņpakalpojumu sniedzēja nosaukums | Uzņēmuma drošības atbalsts | Augstas prioritātes pieteikumu portāls | Tehniskais klienta pārvaldnieks | Incidents, kas ietekmē nomniekvidi, žurnālus, ierobežošanu vai atjaunošanu | Mākoņoperāciju vadītājs |
| Pārvaldītās atklāšanas pakalpojumu sniedzējs | MDR pakalpojumu sniedzēja nosaukums | SOC eskalācijas vadītājs | 24x7 eskalācijas līnija | Konta eskalācijas kontakts | Apstiprināta augstas kritiskuma pakāpes detekcija vai digitālās kriminālistikas atbalsta prasība | Incidenta vadītājs |
| Iekšējā izpildvadība | CEO vai deleģēts vadošais darbinieks | Vadības eskalācija | Tiešais mobilais tālrunis | Izpildvadības asistents | Jebkurš incidents, kam nepieciešama ārēja paziņošana vai lēmums par publisku ietekmi | Informācijas drošības vadītājs |
| Iekšējā komunikācija | PR vai komunikācijas vadītājs | Krīzes komunikācijas vadītājs | Tiešais mobilais tālrunis | Sadarbības kanāls | Var būt nepieciešama komunikācija ar klientiem, medijiem vai tirgu | Galvenais jurists |
Ierakstos nedrīkst būt nevajadzīgi personas dati. Kur vien iespējams, izmantojiet lomās balstītus kontaktus, aizsargājiet sensitīvu kontaktinformāciju un nodrošiniet bezsaistes pieejamību būtiskas nepieejamības laikā. Reģistrs, kas pieejams tikai no tām pašām sistēmām, kuras skāris izspiedējprogrammatūras incidents, nav noturīgs.
Reģistra kartēšana uz ISO/IEC 27001:2022 pierādījumiem
Auditori reti konstatē neatbilstību tikai tāpēc, ka organizācijai nav izklājlapas. Viņi konstatē neatbilstību tāpēc, ka organizācija nevar pierādīt, ka izklājlapa ir pilnīga, aktuāla, apstiprināta, aizsargāta, testēta un sasaistīta ar faktiskajiem procesiem.
ISO/IEC 27001:2022 sākas ar organizācijas kontekstu. Punkti 4.1 līdz 4.4 prasa organizācijai izprast iekšējos un ārējos jautājumus, identificēt ieinteresētās puses un to prasības, definēt IDPS darbības jomu un izprast saskarnes un atkarības. Regulatīvo kontaktu reģistrs ir spēcīgs pierādījums tam, ka tiesiskās, normatīvās, regulatīvās, līgumiskās un ieinteresēto pušu prasības ir pārvērstas operatīvās attiecībās.
Pēc tam seko vadība. Punkti 5.1 līdz 5.3 prasa augstākajai vadībai demonstrēt līderību, piešķirt pienākumus, nodrošināt komunikāciju un atbalstīt IDPS. Ja reģistrs identificē, kurš ir pilnvarots paziņot CSIRT, uzraugam vai datu aizsardzības uzraudzības iestādei, kurš apstiprina ārējo komunikāciju un kurš ziņo augstākajai vadībai par incidenta statusu, tas atbalsta vadības pierādījumus.
Riska plānošana pārvērš pienākumus darbībā. Punkti 6.1.1 līdz 6.1.3 prasa risku izvērtēšanas un riska apstrādes procesu, salīdzinājumu ar A pielikumu, Piemērojamības paziņojumu, Risku apstrādes plānu un atlikušā riska pieņemšanu. Reģistram jāparādās riska apstrādes plānā tādiem riskiem kā tiesiskās paziņošanas neizpilde, novēlota incidenta eskalācija, piegādātāja reaģēšanas neizpilde, pārrobežu paziņošanas kļūda un darbības nepārtrauktības komunikācijas traucējumi.
A pielikuma kontroles pasākumu atskaites punkti ir skaidri:
| ISO/IEC 27001:2022 kontroles pasākums | Kontroles pasākuma nosaukums | Reģistra nozīme |
|---|---|---|
| A.5.5 | Saziņa ar iestādēm | Izveido iepriekš definētus iestāžu kontaktus incidentiem un regulatīviem notikumiem |
| A.5.6 | Saziņa ar īpašu interešu grupām | Atbalsta nozares informācijas apmaiņu un draudu izlūkošanas koordināciju |
| A.5.19 | Informācijas drošība piegādātāju attiecībās | Sasaista piegādātāju kontaktus ar drošības pienākumiem un eskalācijas maršrutiem |
| A.5.20 | Informācijas drošības prasību noteikšana piegādātāju līgumos | Nodrošina, ka paziņošanas un atbalsta kanāli ir līgumiski pamatoti |
| A.5.21 | Informācijas drošības pārvaldība IKT piegādes ķēdē | Sasaista kritiskos IKT pakalpojumu sniedzējus ar reaģēšanas un atjaunošanas darbplūsmām |
| A.5.22 | Piegādātāju pakalpojumu uzraudzība, pārskatīšana un izmaiņu pārvaldība | Uztur piegādātāju kontaktus aktuālus, kad mainās pakalpojumi vai pakalpojumu sniedzēji |
| A.5.23 | Informācijas drošība mākoņpakalpojumu izmantošanā | Atbalsta mākoņincidentu eskalāciju, piekļuvi pierādījumiem un atjaunošanu |
| A.5.24 | Informācijas drošības incidentu pārvaldības plānošana un sagatavošanās | Iekļauj reģistru incidentu reaģēšanas plānošanā |
| A.5.25 | Informācijas drošības notikumu izvērtēšana un lēmuma pieņemšana | Sasaista aktivizēšanas nosacījumus ar ziņojamības izvērtēšanu un lēmumu žurnāliem |
| A.5.26 | Reaģēšana uz informācijas drošības incidentiem | Atbalsta ārējo koordināciju reaģēšanas laikā |
| A.5.27 | Mācīšanās no informācijas drošības incidentiem | Veicina reģistra atjaunināšanu pēc incidentiem un vingrinājumiem |
| A.5.28 | Pierādījumu vākšana | Atbalsta saglabātus paziņojumus, kvītis, zvanu piezīmes un regulatora atbildes |
| A.5.29 | Informācijas drošība darbības traucējumu laikā | Nodrošina, ka komunikācijas kanāli paliek pieejami traucējumu laikā |
| A.5.30 | IKT gatavība darbības nepārtrauktībai | Sasaista kontaktu pārvaldību ar nepārtrauktības un atjaunošanas plāniem |
| A.5.31 | Tiesiskās, normatīvās, regulatīvās un līgumiskās prasības | Kartē kontaktus uz tiesiskās un līgumiskās paziņošanas pienākumiem |
| A.5.34 | Privātums un PII aizsardzība | Nodrošina, ka DPO un datu aizsardzības uzraudzības iestādes ceļi ir integrēti personas datu aizsardzības pārkāpumu gadījumiem |
| A.8.15 | Žurnalēšana | Nodrošina paziņošanai nepieciešamos faktus un pierādījumus |
| A.8.16 | Uzraudzības darbības | Nodrošina agrīnu detekciju un savlaicīgu eskalāciju uz paziņošanas darbplūsmām |
Zenith Controls: savstarpējās atbilstības ceļvedī Zenith Controls saziņa ar iestādēm ir traktēta kā 5.5 kontrole ar preventīvām un koriģējošām īpašībām. Tā atbalsta konfidencialitāti, integritāti un pieejamību un sasaistās ar kiberdrošības jēdzieniem Identify, Protect, Respond un Recover. Zenith Controls sasaista to ar incidentu plānošanu, notikumu ziņošanu, draudu izlūkošanu, īpašu interešu grupām un reaģēšanu uz incidentiem. Tas arī skaidro, kāpēc iepriekš izveidoti kontakti ar regulatoriem, tiesībaizsardzības iestādēm, nacionālajiem CERT vai datu aizsardzības uzraudzības iestādēm nodrošina ātrāku eskalāciju un norādes tādu notikumu laikā kā būtiski pārkāpumi vai izspiedējprogrammatūras uzbrukumi.
Kontroles pasākums nav izolēts. Zenith Controls arī kartē 6.8 kontroli, informācijas drošības notikumu ziņošanu, kā atklājošu kontroles pasākumu, kas sasaistīts ar incidentu plānošanu, notikumu izvērtēšanu, reaģēšanu, gūtajām mācībām, informētību, uzraudzību un disciplināro procesu. Kontrole 5.24, informācijas drošības incidentu pārvaldības plānošana un sagatavošanās, sasaistās ar notikumu izvērtēšanu, gūtajām mācībām, žurnalēšanu, uzraudzību, drošību darbības traucējumu laikā, nepārtrauktību un saziņu ar iestādēm. Audita stāsts kļūst spēcīgāks, ja notikumi tiek ziņoti, izvērtēti, eskalēti, komunicēti, pamatoti ar pierādījumiem un uzlaboti.
NIS2, DORA un GDPR: viens reģistrs, dažādi tiesiskie termiņi
Viens incidents var aktivizēt vairākas tiesiskās darbplūsmas. Nesankcionēta piekļuve SaaS pakalpojumu sniedzējā var būt NIS2 būtisks incidents, GDPR personas datu aizsardzības pārkāpums un līgumisks klienta paziņošanas notikums. Finanšu subjekta nepieejamība var būt DORA būtisks ar IKT saistīts incidents, vienlaikus prasot arī GDPR analīzi un piegādātāju koordināciju.
NIS2 prasa būtiskajiem un svarīgajiem subjektiem bez nepamatotas kavēšanās informēt savu CSIRT vai kompetento iestādi par būtiskiem incidentiem, kas ietekmē pakalpojumu sniegšanu. Pakāpeniskās ziņošanas modelis ietver agrīnu brīdinājumu bez nepamatotas kavēšanās un 24 stundu laikā pēc uzzināšanas, incidenta paziņojumu bez nepamatotas kavēšanās un 72 stundu laikā, starpposma statusa ziņojumus pēc pieprasījuma un galīgo ziņojumu viena mēneša laikā pēc incidenta paziņojuma. Ja incidents joprojām turpinās, var būt nepieciešama arī progresa ziņošana.
DORA prasa finanšu subjektiem uzturēt ar IKT saistītu incidentu pārvaldības procesu, kas detektē, pārvalda un paziņo incidentus, reģistrē incidentus un būtiskus kiberdraudus, klasificē kritiskumu un smagumu, piešķir lomas, definē eskalāciju un komunikāciju, ziņo par būtiskiem incidentiem augstākajai vadībai un atbalsta savlaicīgu atjaunošanu. Būtisku ar IKT saistītu incidentu ziņošana seko sākotnējās, starpposma un galīgās ziņošanas loģikai, un klasifikācija balstās uz tādiem faktoriem kā skartie klienti, ilgums, ģeogrāfiskais tvērums, datu zudums, pakalpojumu kritiskums un ekonomiskā ietekme.
GDPR pievieno personas datu aizsardzības pārkāpuma izvērtēšanu. Kontaktu reģistrs pats par sevi nenosaka tiesisko ziņojamību. Tas nodrošina, ka pareizie cilvēki var ātri pieņemt lēmumu, izmantojot aktuālus kanālus un dokumentētus kritērijus.
Clarysec politiku bibliotēka to padara operatīvu. MVU Incidentu reaģēšanas politikā Incidentu reaģēšanas politika - MVU 5.1.1. punktā ir noteikts:
Ģenerāldirektors (GM) ir atbildīgs par visu incidentu eskalācijas lēmumu, regulatīvo paziņojumu un ārējās komunikācijas autorizēšanu.
Tajā pašā MVU politikā 7.4.1. punkts papildina:
Ja ir iesaistīti klientu dati, ģenerāldirektoram jāizvērtē tiesiskie paziņošanas pienākumi, pamatojoties uz GDPR, NIS2 vai DORA piemērojamību.
Uzņēmuma vidēm Incidentu reaģēšanas politika Incidentu reaģēšanas politika 5.5. punktā nosaka komunikācijas ietvaru:
Visai ar incidentu saistītajai komunikācijai jānotiek saskaņā ar komunikācijas un eskalācijas matricu, nodrošinot:
6.4.2. punkts pievieno pierādījumu prasību:
Visi paziņojumi par pārkāpumiem pirms iesniegšanas ir jādokumentē un jāapstiprina, un kopijas ir jāsaglabā IDPS.
Šeit reģistrs kļūst par ISO pierādījumu. Tas nav tikai jautājums par to, kam piezvanīt. Tas ir jautājums par to, kā parādīt, kurš bija pilnvarots, kas tika izvērtēts, kas tika apstiprināts, kas tika iesniegts un kur atrodas saglabātā kopija.
Clarysec pierādījumu modelis: četri artefakti, kas darbojas kopā
Spēcīgai regulatīvo kontaktu spējai nepieciešami četri artefakti, kas darbojas kā viena pierādījumu ķēde.
Regulatīvo kontaktu reģistrs identificē kontaktus, kanālus, aktivizēšanas nosacījumus un īpašniekus. Komunikācijas un eskalācijas matrica nosaka, kurš ko dara. Lēmumu žurnāls reģistrē klasifikāciju, ziņojamības izvērtēšanu, juridisko pārbaudi un apstiprinājumu. Paziņošanas pierādījumu pakotne saglabā iesniegtos paziņojumus, portāla kvītis, e-pastus, zvanu piezīmes, regulatora atbildes, piegādātāju atbildes un galīgos ziņojumus.
Clarysec Tiesiskās un regulatīvās atbilstības politika Tiesiskās un regulatīvās atbilstības politika - MVU skaidri nosaka reģistra koncepciju. 5.5.2. punktā ir noteikts:
Būtiskie atbilstības noteikumi (piemēram, paziņošanas par pārkāpumu termiņi un datu apstrādes klauzulas) ir jāizdala un jāuzrauga Atbilstības reģistrā.
Atbilstības reģistram jābaro regulatīvo kontaktu reģistrs. Tiesiskā prasība var noteikt “NIS2 agrīns brīdinājums 24 stundu laikā”, savukārt kontaktu reģistrs identificē nacionālo CSIRT portālu, rezerves dežūrtālruni, pilnvaroto iesniedzēju, juridisko pārskatītāju, nepieciešamos pierādījumus un glabāšanas ceļu.
Darbības nepārtrauktības politikas pastiprina to pašu prasību. MVU Darbības nepārtrauktības un avārijas atjaunošanas politika Darbības nepārtrauktības un avārijas atjaunošanas politika - MVU 5.2.1.1. punktā atsaucas uz:
kontaktu sarakstiem un alternatīviem komunikācijas plāniem
Uzņēmuma Darbības nepārtrauktības un avārijas atjaunošanas politika Darbības nepārtrauktības un avārijas atjaunošanas politika 5.3.3. punktā prasa, lai nepārtrauktības pasākumi būtu:
atbalstīti ar aktuāliem kontaktu sarakstiem un eskalācijas plūsmām
Piegādātāju pārvaldībai arī ir vieta šajā modelī. MVU Trešo pušu un piegādātāju drošības politikā Trešo pušu un piegādātāju drošības politika - MVU 5.4.3. punkts prasa:
piešķirtu kontaktpersonu
NIS2 un DORA kontekstā šis kontakts nevar būt vispārīgs. Ja kritisks mākoņpakalpojumu sniedzējs, pārvaldītais drošības pakalpojumu sniedzējs, identitātes nodrošinātājs vai maksājumu apstrādātājs atbalsta regulētu pakalpojumu, reģistram jāidentificē operatīvais kontakts, drošības incidenta kontakts, līgumiskās paziņošanas kanāls un eskalācijas maršruts pierādījumu pieprasījumiem.
Izveidojiet reģistru vienā darba sesijā
Noderīgu reģistru var izveidot ātri, ja telpā ir pareizie cilvēki. Ieplānojiet divu stundu sesiju ar informācijas drošības vadītāju, DPO, juridisko dienestu, piegādātāju pārvaldnieku, darbības nepārtrauktības atbildīgo personu, incidenta vadītāju un atbilstības īpašnieku.
Sāciet ar Atbilstības reģistru. Izdaliet NIS2, DORA, GDPR, līgumiskos un nozares ziņošanas pienākumus. Reģistrējiet termiņus, ziņojamības kritērijus un pierādījumu prasības.
Atveriet incidentu reaģēšanas rokasgrāmatu. Katrai incidentu kategorijai, piemēram, izspiedējprogrammatūrai, nesankcionētai piekļuvei, pakalpojuma nepieejamībai, datu neatļautai iznesei, piegādātāja incidentam un mākoņreģiona atteicei, identificējiet nepieciešamos ārējos kontaktus.
Aizpildiet regulatīvo kontaktu reģistru ar iestādi, jurisdikciju, aktivizēšanas nosacījumu, primāro kanālu, rezerves kanālu, īpašnieku, apstiprinātāju, nepieciešamajiem pierādījumiem, pēdējās validācijas datumu un glabāšanas vietu.
Sasaistiet piegādātāju kontaktus. Katrai kritiskai vai svarīgai funkcijai identificējiet pakalpojumu sniedzēja drošības incidenta kontaktu, līgumiskās paziņošanas kanālu, audita kontaktu un ārkārtas eskalācijas ceļu.
Pārskatiet pret politikām. Apstipriniet, ka eskalācijas pilnvaras atbilst Incidentu reaģēšanas politikai, paziņošanas pierādījumi tiek saglabāti IDPS, darbības nepārtrauktības kontaktu saraksti ir saskaņoti un piegādātāju kontaktiem ir piešķirti īpašnieki.
Pārbaudiet vienu scenāriju. Izmantojiet fokusētu galda vingrinājumu: “Klientu datu ekspozīcija konstatēta plkst. 02:17, skar ES klientus un, iespējams, radusies kompromitētu identitātes nodrošinātāja akreditācijas datu dēļ.” Lūdziet komandai identificēt, vai var būt nepieciešami paziņojumi CSIRT, datu aizsardzības uzraudzības iestādei, finanšu uzraugam, piegādātājam un klientiem. Mērķis nav mācību laikā piespiest pieņemt galīgo juridisko secinājumu. Mērķis ir pierādīt, kur atrodami kontakti, kurš apstiprina saziņu, kādi pierādījumi ir nepieciešami un kur lēmumi tiek reģistrēti.
Izveidojiet pierādījumu pakotni. Saglabājiet reģistra versiju, sanāksmes dalībniekus, apstiprinājumus, scenārija piezīmes, lēmumu žurnālu, darbības punktus un atjauninātās rokasgrāmatas atsauci.
Šeit Zenith Blueprint 23. solis kļūst praktisks:
Nodrošiniet, ka jums ir aktuāls incidentu reaģēšanas plāns (5.24), kas aptver sagatavošanos, eskalāciju, reaģēšanu un komunikāciju. Definējiet, kas ir ziņojams drošības notikums (5.25) un kā tiek aktivizēts un dokumentēts lēmumu pieņemšanas process. Izvēlieties nesenu notikumu vai veiciet galda vingrinājumu, lai validētu savu plānu.
Vingrinājumam nav jābūt sarežģītam. Tam jāpierāda gatavība.
Savstarpējās atbilstības kartēšana: viens reģistrs, daudzi ietvari
Regulatīvo kontaktu reģistra vērtība ir tā, ka tas samazina dublētu atbilstības darbu. Viens pierādījumiem gatavs artefakts var atbalstīt ISO/IEC 27001:2022, NIS2, DORA, GDPR, NIST CSF 2.0 un COBIT 2019 pārvaldības prasības.
| Ietvars | Ko reģistrs atbalsta | Pierādījumi, ko sagaida auditori vai vērtētāji |
|---|---|---|
| ISO/IEC 27001:2022 | Ieinteresētās puses, tiesiskās prasības, saziņa ar iestādēm, incidentu pārvaldība, piegādātāju pārvaldība, nepārtrauktība un pierādījumu vākšana | Darbības joma, Piemērojamības paziņojums, reģistrs, apstiprinājumi, pārskatīšanas vēsture, galda vingrinājumu ieraksti un incidentu žurnāli |
| NIS2 | Saziņa ar CSIRT vai kompetento iestādi, pakāpeniska būtisku incidentu paziņošana, vadības pārskatatbildība un piegādes ķēdes koordinācija | Ziņojamības lēmums, 24 stundu agrīnā brīdinājuma pierādījumi, 72 stundu paziņojuma pierādījumi, galīgais ziņojums un valdes pārraudzība |
| DORA | Ziņošana kompetentajai iestādei, incidentu klasifikācija, būtisku IKT incidentu komunikācija, IKT trešo pušu koordinācija un krīzes komunikācija | Sākotnējās, starpposma un galīgās ziņošanas ieraksti, kritiskuma klasifikācija, piegādātāju reģistrs un nepārtrauktības testu ieraksti |
| GDPR | Datu aizsardzības uzraudzības iestādes paziņošanas darbplūsma, DPO eskalācija, personas datu aizsardzības pārkāpuma izvērtēšana un pārskatatbildība | Pārkāpuma izvērtēšana, pārziņa vai apstrādātāja lomas analīze, datu aizsardzības uzraudzības iestādes kontakts, iesniegtie paziņojumi un lēmumi par saziņu ar datu subjektiem |
| NIST CSF 2.0 | GOVERN rezultāti ieinteresētajām pusēm, pienākumiem, lomām, politikai, pārraudzībai un piegādes ķēdes risku pārvaldībai | Current Profile, Target Profile, trūkumu analīze, POA&M, ieinteresēto pušu karte un piegādātāju koordinācijas pierādījumi |
| COBIT 2019 | Ieinteresēto pušu vajadzību, riska, atbilstības, incidentu apstrādes un trešo pušu kārtības pārvaldība | RACI, procesu veiktspējas pierādījumi, kontroles uzraudzība, apliecinājuma ieraksti un vadības pārskatīšanas pierādījumi |
NIST CSF 2.0 ir īpaši noderīgs kā integrācijas slānis. Tā GOVERN funkcija sagaida, ka organizācijas izprot ieinteresētās puses, tiesiskos un regulatīvos pienākumus, kritiskus pakalpojumus, atkarības, riska apetīti, lomas, politikas, pārraudzību un piegādātāju risku. Tā CSF Profiles palīdz organizācijām dokumentēt Current Profile, definēt Target Profile, analizēt trūkumus un izveidot prioritizētu rīcības plānu. Regulatīvo kontaktu reģistrs var būt konkrēts pierādījums, kas aizver plaisu starp pašreizējo un mērķa incidentu pārvaldību.
Piegādes ķēdei NIST CSF 2.0 sagaida, ka piegādātājiem, klientiem un partneriem ir definētas kiberdrošības lomas un pienākumi, ir zināms piegādātāju kritiskums, kiberdrošības prasības ir iekļautas līgumos, piegādātāju riski ir izvērtēti un attiecīgie piegādātāji ir iekļauti incidentu plānošanā, reaģēšanā un atjaunošanā. Tas tieši kartējas uz DORA IKT trešo pušu risku un NIS2 piegādes ķēdes prasībām.
Kā auditori un uzraugi pārbaudīs vienu un to pašu reģistru
Labi uzturēts reģistrs tiks pārbaudīts atšķirīgi atkarībā no pārbaudītāja skatpunkta.
ISO/IEC 27001:2022 auditors sāks ar darbības jomu un ieinteresētajām pusēm. Viņš jautās, kā organizācija identificēja piemērojamās iestādes, tiesiskos pienākumus, līgumiskās paziņošanas prasības un ārpakalpojumu atkarības. Pēc tam viņš izsekos reģistru līdz Piemērojamības paziņojumam, incidentu reaģēšanas plānam, darbības nepārtrauktības plānam un pierādījumu glabāšanai. Viņš var atlasīt vienu kontaktu un pieprasīt pierādījumu par pēdējo validāciju.
NIS2 vērtētājs koncentrēsies uz to, vai subjekts ir identificējis pareizo CSIRT vai kompetento iestādi un vai būtisku incidentu sliekšņi ir ieviesti operatīvi. Viņš meklēs procesu, kas spēj atbalstīt 24 stundu agrīno brīdinājumu, 72 stundu paziņojumu un galīgo ziņošanu. Viņš skatīsies arī uz vadības struktūras pārraudzību, jo NIS2 Article 20 padara kiberdrošības pārvaldību par vadības atbildību.
DORA uzraugs vai iekšējā audita komanda pārbaudīs, vai reģistrs atbalsta incidentu pārvaldību, klasifikāciju, būtisku ar IKT saistītu incidentu ziņošanu, krīzes komunikāciju, ziņošanu augstākajai vadībai, piegādātāju koordināciju un operatīvo atjaunošanu. Viņi var jautāt, vai kontakti pastāv IKT trešo pušu pakalpojumu sniedzējiem, kas atbalsta kritiskas vai svarīgas funkcijas, un vai komunikācijas pienākumi ir atspoguļoti līgumos.
GDPR auditors vai DPO pārskatīšana koncentrēsies uz personas datu aizsardzības pārkāpuma izvērtēšanu. Viņi jautās, vai DPO un privātuma juridiskie kontakti tiek iesaistīti agrīni, vai pārziņa un apstrādātāja lomas ir skaidras, vai ir identificēta pareizā uzraudzības iestāde un vai lēmumi par saziņu ar datu subjektiem ir reģistrēti.
NIST CSF vērtētājs uzskatīs reģistru par pierādījumu GOVERN rezultātiem: ieinteresēto pušu prasībām, tiesiskajiem pienākumiem, lomām, politikām, pārraudzībai un piegādes ķēdes riskam. COBIT 2019 vai ISACA stila auditors pārbaudīs, vai ieinteresēto pušu vajadzības ir pārvērstas pārvaldības un vadības praksēs, vai pienākumi ir piešķirti un vai procesu veiktspēja tiek uzraudzīta.
Vienam un tam pašam artefaktam jāiztur visi šie jautājumi. Tāpēc reģistram jābūt kontrolētam, ar īpašnieku, pārskatītam, aizsargātam ar piekļuves kontroli un testētam.
Biežākie kļūmju modeļi kontaktu pārvaldībā
Organizācijas reti cieš neveiksmi tāpēc, ka tām vispār nav kontaktu. Tās cieš neveiksmi tāpēc, ka kontaktiem nevar uzticēties reāla incidenta laikā.
| Kļūmju modelis | Kāpēc tas rada risku | Praktisks labojums |
|---|---|---|
| Regulatora kontakts ir tikai publiska sākumlapa | Komandas zaudē laiku, meklējot faktisko ziņošanas maršrutu | Validējiet portālu, e-pastu, tālruni un rezerves kanālus |
| DPO nav aizvietotāja | Ārpus darba laika privātuma lēmumi apstājas | Piešķiriet un apmāciet rezerves privātuma kontaktus |
| Piegādātāju kontakti ir paslēpti līgumos | Incidentu komandas nevar ātri eskalēt | Izdaliet drošības, līgumiskos un atbalsta kontaktus reģistrā |
| BCDR saraksts un IR matrica nesakrīt | Komandas seko pretrunīgiem eskalācijas ceļiem | Saskaņojiet abus ierakstus ar vienu īpašnieku un pārskatīšanas ciklu |
| Nav pēdējās pārskatīšanas datuma | Auditori nevar pārbaudīt uzturēšanu | Pievienojiet validācijas datumus, validētājus un apstiprinājumu pierādījumus |
| Tiesībaizsardzības iestādes ir izlaistas | Reaģēšanai uz izspiedējprogrammatūru vai izspiešanu trūkst pierādījumu atbalsta | Pievienojiet kibernoziegumu un pierādījumu saglabāšanas kontaktus |
| NIS2 un DORA termiņi nav integrēti | Tikai GDPR darbplūsmas palaiž garām nozares pienākumus | Kartējiet aktivizēšanas nosacījumus uz NIS2, DORA, GDPR un līgumiem |
| Reģistrs ir pieejams tikai tiešsaistē skartajās sistēmās | Nepieejamība vai izspiedējprogrammatūra bloķē piekļuvi | Uzturiet aizsargātus bezsaistes un alternatīvus piekļuves maršrutus |
| Paziņojumi netiek saglabāti | Atbilstības funkcija nevar pierādīt, kas tika iesniegts | Saglabājiet paziņojumus, kvītis, apstiprinājumus un korespondenci IDPS |
| Galda vingrinājumi izlaiž paziņošanu | Process paliek teorētisks | Testējiet kontaktu atrašanu, apstiprināšanu, iesniegšanu un pierādījumu glabāšanu |
Katra problēma rada paredzamu audita konstatējumu. Arī trūkumu novēršana ir paredzama: saskaņot reģistru ar politiku, integrēt to incidentu reaģēšanā, validēt kontaktus, testēt darbplūsmu un saglabāt pierādījumus.
Valdes un vadības pārskatatbildība
NIS2 prasa vadības struktūrām apstiprināt kiberdrošības risku pārvaldības pasākumus, pārraudzīt ieviešanu un piedalīties apmācībā. DORA Article 5 padara vadības struktūru atbildīgu par IKT riska kārtības definēšanu, apstiprināšanu, pārraudzību un pārskatatbildību, tostarp par politikām, lomām, IKT darbības nepārtrauktību, reaģēšanas un atjaunošanas plāniem, IKT trešo pušu politiku, informētību un apmācību. ISO/IEC 27001:2022 prasa vadībai saskaņot IDPS ar stratēģisko virzienu, nodrošināt resursus, piešķirt pienākumus un atbalstīt nepārtrauktu uzlabošanu.
Valdei nav jāiegaumē CSIRT tālruņa numurs. Tai ir nepieciešams apliecinājums, ka paziņošanas gatavība pastāv, tai ir īpašnieks, tā ir testēta un pārskatīta.
Ceturkšņa vadības pakotnē jāiekļauj:
- Regulatīvo kontaktu reģistra pārskatīšanas statuss
- Izmaiņas piemērojamajās iestādēs, uzraugos vai jurisdikcijās
- Atvērtie trūkumi piegādātāju incidentu kontaktos
- Galda vingrinājumu rezultāti un gūtās mācības
- Paziņošanas apstiprināšanas darbplūsmas testēšanas pierādījumi
- Metrika par laiku no detekcijas līdz eskalācijas lēmumam
- NIS2, DORA, GDPR un līgumisko ziņošanas pienākumu atjauninājumi
- Atlikušie riski, kam nepieciešama vadības pieņemšana
Tas pārvērš reģistru no operatīvas izklājlapas par pārvaldības kontroles pasākumu.
Kā Clarysec palīdz izveidot auditam gatavu kontaktu pārvaldību
Clarysec savieno politikas tekstu, ieviešanas secību un savstarpējo ietvaru kontroles pasākumu kartēšanu vienā pierādījumu ceļā.
Politiku bibliotēka definē pārskatatbildību un nepieciešamos ierakstus. Incidentu reaģēšanas politika nosaka eskalācijas, paziņošanas apstiprināšanas un glabāšanas prasības. Tiesiskās un regulatīvās atbilstības politika prasa uzraudzīt atbilstības noteikumus, piemēram, paziņošanas par pārkāpumiem termiņus. Darbības nepārtrauktības un avārijas atjaunošanas politika prasa aktuālus kontaktu sarakstus un alternatīvus komunikācijas plānus. Trešo pušu un piegādātāju drošības politika prasa piešķirtus piegādātāju kontaktus.
Zenith Blueprint sniedz ieviešanas secību. 5. solis IDPS pamatu un vadības posmā aptver komunikāciju, informētību un kompetenci, tostarp ārējās ieinteresētās puses, laiku, komunikatora lomas un komunikācijas plānus. 22. solis iestrādā iestāžu un īpašu interešu kontaktus organizatoriskajos kontroles pasākumos. 23. solis validē incidentu pārvaldību, ziņojamu notikumu lēmumus, digitālās kriminālistikas pierādījumu saglabāšanu un gūtās mācības.
Zenith Controls ceļvedis sniedz savstarpējās atbilstības kompasu. Tas parāda, kā saziņa ar iestādēm sasaistās ar incidentu plānošanu, notikumu ziņošanu, draudu izlūkošanu, īpašu interešu grupām un reaģēšanu uz incidentiem. Tas arī parāda, kāpēc informācijas drošības notikumu ziņošana un sagatavošanās incidentiem ir nepieciešami pavadošie elementi. Kontaktu reģistrs ir efektīvs tikai tad, ja notikumi tiek ziņoti un izvērtēti pietiekami agri, lai to aktivizētu.
MVU gadījumā tas nozīmē vienkāršu, bet aizstāvamu reģistru, skaidru pārskatatbildību un pierādījumus, kas atbilst proporcionalitātei. Uzņēmumiem tas nozīmē integrāciju starp jurisdikcijām, juridiskajām personām, biznesa vienībām, piegādātājiem, regulatoriem, uzraugiem, CSIRT un valdes ziņošanu.
Nākamie soļi: izveidojiet reģistru, pirms sākas laika atskaite
Ja jūsu organizācija gatavojas NIS2, DORA, GDPR paziņošanas par pārkāpumiem gatavībai vai ISO/IEC 27001:2022 sertifikācijai, negaidiet reālu incidentu, lai noskaidrotu, vai jūsu kontaktu pārvaldība darbojas.
Sāciet ar četrām darbībām šonedēļ:
- Izveidojiet vai atjauniniet regulatīvo kontaktu reģistru CSIRT, kompetentajām iestādēm, finanšu uzraugiem, datu aizsardzības uzraudzības iestādēm, tiesībaizsardzības iestādēm, kritiskajiem piegādātājiem un iekšējām eskalācijas lomām.
- Kartējiet katru kontaktu uz aktivizēšanas nosacījumu, īpašnieku, apstiprināšanas ceļu, pierādījumu prasību un glabāšanas vietu.
- Veiciet vienu galda vingrinājumu, kas vērsts uz paziņošanas lēmumiem, saziņu ar iestādēm, piegādātāju koordināciju un pierādījumu glabāšanu.
- Atjauniniet IDPS ierakstus, tostarp Atbilstības reģistru, incidentu reaģēšanas rokasgrāmatu, darbības nepārtrauktības kontaktu sarakstus un piegādātāju kontaktu ierakstus.
Clarysec var palīdzēt jums to ātri ieviest, izmantojot Zenith Blueprint Zenith Blueprint, Zenith Controls Zenith Controls un mūsu MVU un uzņēmuma politiku bibliotēkas, tostarp Incidentu reaģēšanas politiku Incidentu reaģēšanas politika, Tiesiskās un regulatīvās atbilstības politiku Tiesiskās un regulatīvās atbilstības politika - MVU, Darbības nepārtrauktības un avārijas atjaunošanas politiku Darbības nepārtrauktības un avārijas atjaunošanas politika un Trešo pušu un piegādātāju drošības politiku Trešo pušu un piegādātāju drošības politika - MVU.
24 stundu laika atskaite neapstājas, kamēr jūsu komanda meklē pareizo kontaktu. Izveidojiet reģistru tagad, pārbaudiet to un padariet to par daļu no saviem ISO pierādījumiem, pirms nākamais incidents nosaka laika grafiku jūsu vietā.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
