⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →
RO EN BG CS DA DE EL ES ET FI FR GA HR HU IT LT LV MT NL PL PT SK SL SV
NIS2 DORA GDPR NIST COBIT 2019

Dovezi de audit cloud pentru ISO 27001, NIS2 și DORA

Igor Petreski
14 min read
#Securitate cloud #Audit #SMSI #Managementul furnizorilor #Jurnalizare și monitorizare #Managementul riscurilor #Protecția datelor
Maparea dovezilor de audit cloud pentru ISO 27001, NIS2 și DORA

Maria, CISO într-o companie de analiză financiară aflată în creștere rapidă, mai avea șase săptămâni până când trei termene convergeau. Auditul ei de supraveghere ISO 27001:2022 era deja programat. NIS2 ridicase compania, ca entitate importantă, la un nou nivel de răspundere managerială. DORA urma să testeze dacă activitățile fintech ale companiei puteau demonstra reziliență operațională digitală. În același timp, un client enterprise important bloca semnarea unui contract până când echipa ei putea trece o revizuire detaliată de asigurare a securității.

Compania nu era nesigură. Rula sarcini de lucru de producție în AWS și Azure, utiliza Microsoft 365 și mai multe platforme SaaS critice, aplica MFA, realiza copii de rezervă ale datelor, scana vulnerabilități și colecta jurnale din cloud. Problema era dovada.

Dovezile erau dispersate în capturi de ecran din Slack, pagini wiki ale dezvoltatorilor, exporturi din console cloud, foldere de achiziții, contracte juridice și asigurări verbale din partea proprietarilor de platforme. Când un auditor întreba: „Arătați-mi cum controlați mediul cloud”, un link către pagina de conformitate a unui furnizor cloud nu era suficient. Certificatele furnizorului demonstrau controalele furnizorului. Nu demonstrau partea Mariei din modelul de responsabilitate partajată.

Aici eșuează multe programe de dovezi de audit pentru securitatea cloud. Nu pentru că lipsesc controalele, ci pentru că organizația nu poate demonstra, într-un mod structurat și trasabil, ce responsabilități revin furnizorului, ce responsabilități revin clientului, cum sunt configurate controalele SaaS și IaaS, cum sunt aplicate angajamentele furnizorilor și cum sunt păstrate dovezile pentru auditori, autorități de reglementare și clienți.

Conformitatea cloud nu mai este o anexă tehnică. Pentru un furnizor SaaS aflat sub incidența NIS2, o entitate financiară aflată sub incidența DORA sau orice organizație ISO 27001:2022 care utilizează IaaS, PaaS și SaaS, guvernanța cloud face parte din domeniul de aplicare al SMSI, din planul de tratare a riscurilor, din ciclul de viață al furnizorilor, din procesul de gestionare a incidentelor, din responsabilitatea privind protecția datelor și din analiza efectuată de management.

Obiectivul practic este simplu: construiți o singură arhitectură de dovezi cloud, pregătită pentru autoritățile de reglementare, care răspunde cerințelor ISO 27001:2022, NIS2, DORA, GDPR, asigurării solicitate de clienți și auditului intern, fără a reconstrui dovezile pentru fiecare cadru.

Cloud-ul este întotdeauna în domeniul de aplicare, chiar și atunci când infrastructura este externalizată

Prima capcană de audit este presupunerea că infrastructura externalizată se află în afara SMSI. Nu este așa. Externalizarea modifică limita controlului, dar nu elimină responsabilitatea.

ISO/IEC 27001:2022 cere organizației să își definească contextul, părțile interesate, domeniul de aplicare al SMSI, interfețele, dependențele și procesele. Într-o organizație construită în jurul cloud-ului, furnizorul de identitate, contul de găzduire cloud, CRM-ul, platforma de e-mail, depozitul de date, fluxul CI/CD, instrumentul de ticketing și serviciul de backup sunt adesea infrastructură de bază a organizației.

Zenith Blueprint: foaia de parcurs în 30 de pași pentru auditori de la Clarysec Zenith Blueprint evidențiază acest aspect în faza de fundamentare și leadership SMSI, pasul 2, nevoile părților interesate și domeniul de aplicare al SMSI:

„Dacă externalizați infrastructura IT către un furnizor cloud, aceasta nu o exclude din domeniul de aplicare; dimpotrivă, includeți managementul acelei relații și activele cloud ca parte a domeniului de aplicare (deoarece securitatea datelor dvs. în cloud este responsabilitatea dvs.).”

Această afirmație este un reper de audit. Domeniul de aplicare nu ar trebui să spună: „AWS este exclus deoarece Amazon îl administrează.” Ar trebui să precizeze că activele informaționale și procesele asociate serviciilor găzduite pe AWS sunt în domeniul de aplicare, inclusiv managementul controalelor de securitate cloud, al identității, al jurnalizării, al criptării, al backup-ului, al asigurării furnizorilor și al răspunsului la incidente.

Pentru ISO 27001:2022, acest lucru susține clauzele 4.1 până la 4.4 privind contextul, părțile interesate, domeniul de aplicare și procesele SMSI. Pentru NIS2, susține așteptările din Article 21 privind analiza riscurilor, gestionarea incidentelor, continuitatea activității, securitatea lanțului de aprovizionare, achiziția și mentenanța securizate, controlul accesului, managementul activelor, criptografia, eficacitatea controalelor și MFA acolo unde este cazul. Pentru DORA, susține principiul potrivit căruia entitățile financiare rămân responsabile pentru riscul TIC chiar și atunci când serviciile TIC sunt externalizate.

Întrebarea nu este dacă furnizorul cloud este sigur. Întrebarea este dacă guvernați utilizarea furnizorului, configurați corect partea care vă revine, monitorizați serviciul, gestionați angajamentele furnizorilor și păstrați dovezi.

Responsabilitatea partajată trebuie să devină dovadă partajată

Furnizorii cloud explică responsabilitatea partajată. Auditorii testează dacă ați transpus-o operațional.

În IaaS, furnizorul securizează de obicei facilitățile fizice, infrastructura de bază și hipervizorul. Clientul controlează identitatea, configurația sarcinilor de lucru, hardeningul sistemului de operare, securitatea aplicațiilor, clasificarea datelor, setările de criptare, regulile de rețea, jurnalizarea, backup-urile, aplicarea patch-urilor și răspunsul la incidente.

În SaaS, furnizorul controlează majoritatea operațiunilor platformei, dar clientul controlează în continuare configurația tenantului, utilizatorii, rolurile administrative, integrările, partajarea datelor, retenția, opțiunile de jurnalizare și procedurile de escaladare.

Zenith Controls: ghidul de conformitate transversală de la Clarysec Zenith Controls tratează controlul ISO/IEC 27002:2022 5.23, securitatea informațiilor pentru utilizarea serviciilor cloud, ca pe un control central de guvernanță cloud, cu intenție preventivă asupra confidențialității, integrității și disponibilității. Acesta leagă serviciile cloud de relațiile cu furnizorii, transferul securizat al informațiilor, inventarul activelor, prevenirea scurgerilor de date, securitatea stațiilor de lucru și a rețelei și practicile de programare securizată.

O interpretare-cheie din Zenith Controls precizează:

„Furnizorii de servicii cloud (CSP) funcționează ca furnizori critici și, prin urmare, se aplică toate controalele privind selecția furnizorilor, contractarea și managementul riscurilor prevăzute la 5.19. Totuși, 5.23 merge mai departe prin abordarea riscurilor specifice cloud-ului, cum ar fi multi-tenancy, transparența privind locația datelor și modelele de responsabilitate partajată.”

Această distincție este critică. Certificatele furnizorilor nu satisfac, de unele singure, Anexa A.5.23. Aveți nevoie de dovezi din partea clientului care demonstrează că serviciul cloud este guvernat, configurat, monitorizat și revizuit.

Zona de doveziCe dorește auditorul să vadăDovezi tipice
Inventar cloudServiciile SaaS, PaaS și IaaS aprobate sunt cunoscuteRegistrul serviciilor cloud, listă de proprietari, tipuri de date, regiuni, contracte
Responsabilitate partajatăResponsabilitățile furnizorului și ale clientului sunt documentateMatrice de responsabilități, documentația furnizorului, maparea controalelor interne
Configurație de referințăSetările controlate de client urmează o bază de referință aprobatăRapoarte CSPM, exporturi ale scorului de securitate, verificări ale politicilor Terraform, capturi de ecran
Identitate și accesAccesul administrativ și al utilizatorilor este controlat și revizuitRapoarte MFA, configurație SSO, revizuirea rolurilor privilegiate, eșantioane de încetare a colaborării
Jurnalizare și monitorizareJurnalele cloud relevante sunt activate, păstrate și revizuiteIntegrare SIEM, reguli de alertare, setări de retenție a jurnalelor, tichete de incident
Angajamente ale furnizorilorContractele conțin clauze de securitate aplicabileDPA, SLA, drepturi de audit, notificarea încălcărilor, clauze privind subcontractorii
Continuitate și ieșireServiciile critice pot fi recuperate sau transferateTeste de backup, plan de ieșire, dovezi de recuperare, revizuire a riscului de concentrare
Pregătire pentru incidenteIncidentele cloud pot fi detectate, clasificate și raportatePlaybook-uri, dovezi de escaladare, flux de notificare către autoritatea de reglementare

Aceasta este diferența dintre a avea controale cloud și a avea controale cloud pregătite pentru audit.

Începeți cu un Registru al serviciilor cloud pe care auditorii îl pot utiliza

Cea mai rapidă modalitate de a îmbunătăți pregătirea pentru audit cloud este crearea unui Registru al serviciilor cloud complet. Acesta nu trebuie să fie o listă de achiziții sau un export financiar. Trebuie să conecteze serviciile cloud cu datele, proprietarii, regiunile, accesul, contractele, criticitatea, relevanța de reglementare și dovezile.

Politica de utilizare a serviciilor cloud pentru IMM-uri de la Clarysec Politica de utilizare a serviciilor cloud pentru IMM-uri oferă o bază de referință compactă și adecvată pentru audit în clauza 5.3:

„Un Registru al serviciilor cloud trebuie menținut de furnizorul IT sau de directorul general. Acesta trebuie să înregistreze: 5.3.1 Denumirea și scopul fiecărui serviciu cloud aprobat 5.3.2 Persoana sau echipa responsabilă (proprietar de aplicație) 5.3.3 Tipurile de date stocate sau prelucrate 5.3.4 Țara sau regiunea în care sunt stocate datele 5.3.5 Permisiunile de acces ale utilizatorilor și conturile administrative 5.3.6 Detalii contractuale, date de reînnoire și contacte de suport”

Pentru mediile enterprise, Politica de utilizare a serviciilor cloud de la Clarysec Politica de utilizare a serviciilor cloud stabilește mandatul mai amplu:

„Această politică stabilește cerințele obligatorii ale organizației pentru utilizarea securizată, conformă și responsabilă a serviciilor de cloud computing în modelele de livrare Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) și Software-as-a-Service (SaaS).”

Politica de utilizare a serviciilor cloud impune un registru centralizat deținut de CISO și configurații de referință aprobate pentru mediile cloud. Registrul devine fundația probatorie pentru mai multe obligații simultan.

Pentru ISO 27001:2022, susține inventarul activelor, guvernanța utilizării serviciilor cloud, relațiile cu furnizorii, controlul accesului, cerințele juridice și contractuale, tratarea riscurilor și informațiile documentate. Pentru NIS2, susține securitatea lanțului de aprovizionare, managementul activelor, analiza riscurilor, gestionarea incidentelor și continuitatea. Pentru DORA, susține maparea activelor și dependențelor TIC, registrele furnizorilor terți de servicii TIC, maparea funcțiilor critice sau importante și analiza riscului de concentrare. Pentru GDPR, identifică dacă sunt prelucrate date cu caracter personal, unde sunt localizate, care furnizor acționează ca persoană împuternicită și ce termeni de transfer sau de prelucrare a datelor se aplică.

Dacă registrul nu identifică categoriile de date și regiunile, dovezile privind confidențialitatea și reziliența vor fi incomplete. Dacă nu identifică proprietarii de aplicații, revizuirea drepturilor de acces va rămâne fără responsabil. Dacă nu identifică contractele și datele de reînnoire, clauzele de securitate ale furnizorilor nu pot fi testate.

Transformați ISO 27001:2022 într-o coloană vertebrală pentru dovezile cloud

ISO 27001:2022 este cea mai bună coloană vertebrală pentru dovezile cloud, deoarece leagă contextul organizației, riscul, controalele, dovezile operaționale, monitorizarea și îmbunătățirea.

Cerințele ISO 27001:2022 relevante pentru cloud includ:

  • Clauzele 4.1 până la 4.4 pentru context, părți interesate, domeniul de aplicare al SMSI, interfețe, dependențe și procese.
  • Clauzele 5.1 până la 5.3 pentru leadership, politică, roluri, responsabilități și răspundere.
  • Clauzele 6.1.1 până la 6.1.3 pentru evaluarea riscurilor, tratarea riscurilor, comparația cu Anexa A, Declarația de aplicabilitate și acceptarea riscului rezidual.
  • Clauza 7.5 pentru informații documentate controlate.
  • Clauzele 8.1 până la 8.3 pentru planificare și control operațional, efectuarea evaluării riscurilor și efectuarea tratării riscurilor.
  • Clauzele 9.1 până la 9.3 pentru monitorizare, măsurare, audit intern și analiza efectuată de management.
  • Clauza 10 pentru neconformitate, acțiune corectivă și îmbunătățire continuă.

Controalele din Anexa A care poartă cea mai mare greutate probatorie pentru cloud includ A.5.19 securitatea informațiilor în relațiile cu furnizorii, A.5.20 abordarea securității informațiilor în acordurile cu furnizorii, A.5.21 managementul securității informațiilor în lanțul de aprovizionare TIC, A.5.22 monitorizarea, revizuirea și managementul schimbărilor serviciilor furnizorilor, A.5.23 securitatea informațiilor pentru utilizarea serviciilor cloud, A.5.24 până la A.5.27 gestionarea incidentelor, A.5.29 securitatea informațiilor în timpul perturbărilor, A.5.30 pregătirea TIC pentru continuitatea activității, A.5.31 cerințe legale, statutare, de reglementare și contractuale, A.5.34 protecția vieții private și protecția informațiilor de identificare personală, A.5.36 respectarea politicilor, regulilor și standardelor pentru securitatea informațiilor, A.8.8 managementul vulnerabilităților tehnice, A.8.9 managementul configurației, A.8.13 backup al informațiilor, A.8.15 jurnalizare, A.8.16 activități de monitorizare, A.8.24 utilizarea criptografiei, A.8.25 ciclul de viață al dezvoltării securizate, A.8.29 testare de securitate în dezvoltare și acceptare și A.8.32 managementul schimbărilor.

În Zenith Blueprint, faza Controale în acțiune, pasul 23, explică serviciile cloud într-un limbaj relevant pentru auditori:

„Trecerea la servicii cloud introduce schimbări profunde în modelul de încredere. Nu mai controlați serverul, perimetrul rețelei sau hipervizorul. Adesea, nici măcar nu știți unde rezidă fizic datele. Ceea ce controlați, și ceea ce acest control impune, este guvernanța acelei relații, vizibilitatea asupra a ceea ce utilizați și așteptările de securitate pe care le stabiliți pentru furnizori.”

O intrare solidă în Declarația de aplicabilitate pentru A.5.23 nu ar trebui să spună doar „Aplicabil, furnizor cloud certificat.” Trebuie să explice de ce se aplică acest control, ce riscuri tratează, cum este implementat și unde sunt stocate dovezile.

Câmp SoAExemplu de conținut pentru A.5.23
AplicabilitateAplicabil deoarece serviciile critice pentru organizație rulează pe platforme SaaS și IaaS
JustificareServiciile cloud prelucrează date despre clienți, date despre angajați și sarcini de lucru de producție
Riscuri tratateConfigurare eronată, acces neautorizat, scurgeri de date, eșec al furnizorului, schimbare de regiune, lacune de jurnalizare
Stadiul implementăriiRegistru cloud menținut, configurații de referință aprobate, MFA aplicată, jurnale integrate, revizuiri ale furnizorilor efectuate
DoveziRegistru cloud, rapoarte de configurație, revizuirea accesului, tablouri de bord SIEM, contract cu furnizorul, revizuire raport SOC, test de backup
Mapare de reglementareNIS2 Article 21, DORA Articles 28 to 30, GDPR Articles 28 and 32, contracte cu clienții
ProprietarCISO pentru guvernanță, arhitect de securitate cloud pentru baza de referință, proprietari de aplicații pentru controale la nivel de serviciu

Adăugați o coloană privind locația dovezilor în SoA sau în instrumentul de urmărire a controalelor. Auditorii nu ar trebui să caute în e-mail, sisteme de ticketing și unități partajate pentru a găsi dovezi.

Utilizați un singur model de dovezi pentru ISO 27001:2022, NIS2 și DORA

NIS2 și DORA impun ambele securitate cibernetică documentată, bazată pe risc și condusă de management. Suprapunerea este substanțială, dar presiunea de supraveghere este diferită.

NIS2 se aplică multor entități esențiale și importante din UE, inclusiv furnizorilor de infrastructură digitală, furnizorilor de servicii administrate, furnizorilor de servicii de securitate administrate, sectorului bancar, infrastructurilor pieței financiare și furnizorilor digitali. Article 21 cere măsuri tehnice, operaționale și organizaționale adecvate și proporționale, inclusiv analiza riscurilor, gestionarea incidentelor, continuitatea activității, securitatea lanțului de aprovizionare, achiziția și mentenanța securizate, gestionarea vulnerabilităților, evaluarea eficacității controalelor, igienă cibernetică, instruire, criptografie, controlul accesului, managementul activelor și MFA sau comunicații securizate, după caz.

Pentru dovezile de audit privind securitatea cloud, NIS2 întreabă dacă riscurile cloud și ale furnizorilor sunt gestionate ca parte a riscului de livrare a serviciilor. De asemenea, introduce raportarea structurată a incidentelor semnificative, inclusiv avertizare timpurie în 24 de ore, notificarea incidentului în 72 de ore și raport final în termen de o lună.

DORA se aplică de la 17 ianuarie 2025 multor entități financiare din UE și creează cerințe uniforme pentru managementul riscurilor TIC, raportarea incidentelor TIC majore, testarea rezilienței operaționale digitale, schimbul de informații și riscul asociat furnizorilor terți de servicii TIC. Pentru entitățile financiare identificate și în temeiul NIS2, DORA este tratată ca actul juridic sectorial specific al Uniunii pentru obligațiile operaționale suprapuse.

Pentru cloud, DORA este directă. Entitățile financiare rămân responsabile pentru riscul TIC atunci când serviciile sunt externalizate. Ele au nevoie de strategii privind furnizorii terți de servicii TIC, registre de contracte, evaluări precontractuale, verificări de due diligence, drepturi de audit și acces, declanșatoare de încetare, analiză a riscului de concentrare, controale privind subcontractarea și strategii de ieșire testate.

Zenith Controls mapează controlul ISO/IEC 27002:2022 5.23 la Directiva NIS2 a UE Article 21 și DORA Articles 28 to 31. De asemenea, indică standarde de suport precum ISO/IEC 27017 pentru roluri și monitorizare în securitatea cloud, ISO/IEC 27018 pentru protecția informațiilor de identificare personală în cloud public, ISO/IEC 27701 pentru managementul confidențialității în relațiile cu persoanele împuternicite în cloud, ISO/IEC 27036-4 pentru monitorizarea serviciilor cloud și acordurile cu furnizorii și ISO/IEC 27005 pentru evaluarea riscurilor cloud.

CadruClauză sau articol relevantCum ajută dovezile A.5.23
ISO 27001:2022Clauzele 4, 6, 8, 9 și Anexa A.5.23Demonstrează că utilizarea cloud este inclusă în domeniul de aplicare, evaluată din punct de vedere al riscului, controlată, monitorizată, auditată și îmbunătățită
NIS2Article 21Demonstrează măsuri proporționale pentru securitatea lanțului de aprovizionare, controlul accesului, continuitate, gestionarea incidentelor și managementul activelor
DORAArticles 28 to 31Susține due diligence privind furnizorii terți de servicii TIC, contractele, monitorizarea, riscul de concentrare, planurile de ieșire și supravegherea
GDPRArticles 28 and 32Susține guvernanța persoanelor împuternicite, securitatea prelucrării, pregătirea pentru încălcări și responsabilitatea privind confidențialitatea în cloud

Implicația practică este simplă. Nu construiți pachete de dovezi separate pentru ISO 27001:2022, NIS2, DORA și GDPR. Construiți o singură arhitectură de dovezi cloud, cu mapări specifice fiecărui cadru.

Contractele cu furnizorii sunt dovezi de control, nu arhive juridice

Dovezile de audit cloud se rup adesea la nivel contractual. Securitatea are un chestionar pentru furnizori. Juridicul are MSA-ul. Achizițiile au data de reînnoire. DPO-ul are DPA-ul. Nimeni nu are o imagine unică asupra faptului dacă acordul include clauzele de securitate cerute de ISO 27001:2022, NIS2, DORA și GDPR.

Politica de securitate privind terții și furnizorii pentru IMM-uri de la Clarysec Politica de securitate privind terții și furnizorii pentru IMM-uri precizează în clauza 5.3:

„Contractele trebuie să includă clauze obligatorii care acoperă: 5.3.1 Confidențialitate și nedivulgare 5.3.2 Obligații privind securitatea informațiilor 5.3.3 Termene de notificare a încălcării securității datelor (de exemplu, în 24–72 de ore) 5.3.4 Drepturi de audit sau disponibilitatea dovezilor de conformitate 5.3.5 Restricții privind subcontractarea ulterioară fără aprobare 5.3.6 Clauze de încetare, inclusiv returnarea sau distrugerea securizată a datelor”

Pentru consecvență în audit, transpuneți aceste clauze într-o matrice de revizuire contractuală. ISO 27001:2022 Anexa A.5.20 așteaptă ca cerințele de securitate să fie convenite cu furnizorii. GDPR Article 28 cere termeni pentru persoanele împuternicite care acoperă confidențialitatea, măsurile de securitate, asistența, persoanele subîmputernicite, ștergerea sau returnarea datelor și suportul pentru audit. DORA Article 30 cere prevederi contractuale detaliate pentru furnizori terți de servicii TIC, inclusiv descrieri ale serviciilor, locația datelor, securitate, asistență pentru incidente, cooperare cu autoritățile, drepturi de audit, drepturi de acces, încetare și aranjamente de tranziție. Securitatea lanțului de aprovizionare conform NIS2 necesită, de asemenea, cooperare aplicabilă din partea furnizorilor.

Zenith Controls mapează controlul ISO/IEC 27002:2022 5.20 la acordurile cu furnizorii și notează legăturile cu 5.19 relațiile cu furnizorii, 5.14 transferul de informații, 5.22 monitorizarea furnizorilor, 5.11 returnarea activelor și 5.36 conformitate.

Punctul esențial este operaționalizarea. Dacă un contract cloud acordă acces la rapoarte SOC 2, auditorii pot întreba dacă ați obținut raportul, ați revizuit excepțiile, ați urmărit remedierea și ați reevaluat riscul. Dacă contractul promite notificarea încălcării, pot întreba dacă playbook-ul de incidente include calea de contact cu furnizorul și punctele de decizie de reglementare. Dacă schimbările de subcontractori necesită aprobare sau notificare, pot întreba dacă notificările privind persoanele subîmputernicite sunt revizuite înainte de acceptare.

Un contract fără dovezi de revizuire este o arhivă. Un contract legat de riscul asociat furnizorilor, înregistrări de monitorizare și fluxuri de răspuns la incidente este un control.

Jurnalizarea și configurația SaaS sunt puncte oarbe frecvente în audit

Constatările privind cloud-ul provin adesea din SaaS, nu din IaaS. Echipele de infrastructură au de regulă proprietari tehnici, fluxuri de jurnalizare, controale de referință și înregistrări ale schimbărilor. Platformele SaaS sunt fragmentate între vânzări, HR, finanțe, customer success, marketing și operațiuni. Fiecare poate prelucra date sensibile sau reglementate.

Politica de jurnalizare și monitorizare pentru IMM-uri de la Clarysec Politica de jurnalizare și monitorizare pentru IMM-uri abordează direct acest aspect în clauza 5.5:

„5.5 Servicii cloud și jurnalizare realizată de terți 5.5.1 Pentru platformele în care jurnalizarea nu se află sub control IT direct (de exemplu, e-mail SaaS), se aplică următoarele cerințe: 5.5.1.1 Jurnalizarea trebuie activată și configurată acolo unde este disponibilă 5.5.1.2 Alertele trebuie direcționate către furnizorul de suport IT 5.5.1.3 Contractele trebuie să impună furnizorilor păstrarea jurnalelor timp de cel puțin 12 luni și asigurarea accesului la cerere”

Pentru organizații enterprise, Politica de utilizare a serviciilor cloud adaugă:

„Serviciile cloud trebuie integrate în SIEM-ul organizației pentru monitorizare continuă.”

Această cerință mută SaaS din categoria „instrument de business” în categoria „sistem informatic monitorizat”. Dovezile trebuie să includă exporturi ale setărilor de jurnalizare, dovada conectorului SIEM, reguli de alertare, tichete de triaj, setări de retenție și revizuiri ale accesului administrativ.

Pentru SaaS critic, pregătiți dovezi privind crearea conturilor administrative, autentificările suspecte, descărcările masive, partajarea publică, dezactivarea MFA, crearea token-urilor API, activitatea oaspeților externi și escaladarea privilegiilor. Pentru IaaS, pregătiți CloudTrail sau o jurnalizare echivalentă a planului de control, jurnale de acces la stocare, modificări IAM, jurnale de flux unde este cazul, constatări CSPM, scanări de vulnerabilitate, dovezi de aplicare a patch-urilor, setări de criptare, starea backup-urilor, revizuiri ale grupurilor de securitate de rețea și tichete de schimbare.

Metodologia de audit Zenith Controls pentru controlul 5.23 notează că un audit în stil ISO/IEC 27007 poate inspecta permisiunile bucket-urilor AWS S3, criptarea, politicile IAM și jurnalizarea CloudTrail. Un auditor orientat COBIT poate revizui configurațiile de alertare, controalele DLP, utilizarea Microsoft 365 Secure Score și jurnalele de management al schimbărilor. O perspectivă NIST SP 800-53A poate testa managementul conturilor și monitorizarea, inclusiv dacă sarcinile de lucru cloud sunt patch-uite, scanate și monitorizate cu aceeași rigoare ca sistemele interne.

Auditorii diferiți vorbesc dialecte diferite. Dovezile dvs. trebuie să fie aceleași.

Construiți un pachet de dovezi pregătit pentru autoritățile de reglementare pentru un serviciu SaaS și un serviciu IaaS

Un flux de lucru practic începe cu o platformă SaaS critică și un mediu IaaS critic. De exemplu, Microsoft 365 pentru colaborare și AWS pentru găzduirea producției.

Pasul 1: Actualizați Registrul serviciilor cloud

Pentru Microsoft 365, înregistrați scopul, proprietarul, tipurile de date, regiunea, conturile administrative, contractul, DPA, contactul de suport, data de reînnoire și criticitatea. Pentru AWS, înregistrați contul de producție, regiunile, categoriile de date, sarcinile de lucru, proprietarul contului, starea contului root, planul de suport, termenii contractuali și serviciile organizației asociate.

Utilizați câmpurile din Politica de utilizare a serviciilor cloud pentru IMM-uri ca set minim de date. Adăugați criticitatea, relevanța de reglementare și locația dovezilor.

Pasul 2: Documentați responsabilitatea partajată

Pentru Microsoft 365, responsabilitățile clientului includ ciclul de viață al utilizatorului, MFA, acces condiționat, partajarea cu oaspeți, etichete de retenție, DLP acolo unde este utilizat, jurnalizare și escaladarea incidentelor. Pentru AWS, responsabilitățile clientului includ IAM, reguli de rețea, hardeningul sarcinilor de lucru, configurația de criptare, backup, jurnalizare, aplicarea patch-urilor și securitatea aplicațiilor.

Atașați documentația furnizorului privind responsabilitatea partajată, apoi mapați fiecare responsabilitate a clientului la un proprietar de control și la o sursă de dovezi.

Pasul 3: Colectați dovezi de configurație

Pentru Microsoft 365, exportați sau capturați politici MFA și de acces condiționat, roluri administrative, setări de partajare externă, jurnalizare de audit, configurația de retenție și acțiuni de scor de securitate. Pentru AWS, exportați politica de parole IAM, starea MFA pentru conturi privilegiate, configurația CloudTrail, blocarea accesului public S3, starea criptării, revizuirea grupurilor de securitate, sarcini de backup și starea scanărilor de vulnerabilitate.

Politica de utilizare a serviciilor cloud cere ca mediile cloud să respecte o configurație de referință documentată, aprobată de arhitectul de securitate cloud. Pachetul dvs. de dovezi trebuie să includă atât baza de referință, cât și dovada alinierii.

Cerință de politicăAcțiune efectuatăDovezi de audit generate
MFA pentru acces privilegiatMFA aplicată pentru conturile administrative și accesul la consolăExport politică MFA, eșantion de cont privilegiat, revizuire cont break-glass
Jurnalizarea activitățilorJurnale de audit cloud activate și direcționate către SIEMCaptură a jurnalului de audit CloudTrail sau SaaS, dovada ingestiei SIEM, setare de retenție
Restricții de accesRoluri cu principiul privilegiului minim aplicate și revizuiri trimestriale ale accesuluiExport rol IAM, revizuire rol administrativ, aprobarea proprietarului de date
Configurare securizatăSetări cloud măsurate față de baza de referință aprobatăRaport CSPM, export scor de securitate, registrul excepțiilor
Backup și recuperareRestaurare testată pentru sarcini de lucru sau date criticeStarea sarcinii de backup, înregistrare test de restaurare, lecții învățate

Pasul 4: Legați dovezile privind furnizorii și confidențialitatea

Atașați contractul, DPA, lista persoanelor subîmputernicite, clauzele de notificare a încălcărilor, rapoartele de asigurare de audit și dovezile privind locația datelor. Dacă sunt prelucrate date cu caracter personal, înregistrați dacă furnizorul acționează ca persoană împuternicită, cum este gestionată ștergerea, cum funcționează suportul pentru solicitările persoanelor vizate și ce garanții de transfer se aplică.

Pentru DORA, identificați dacă serviciul cloud susține o funcție critică sau importantă. Dacă da, legați dovezile de registrul furnizorilor terți TIC, dosarul de due diligence, drepturile de audit, planul de ieșire și revizuirea riscului de concentrare.

Pasul 5: Conectați jurnalizarea la răspunsul la incidente

Demonstrați că jurnalele sunt activate, direcționate, revizuite și utilizate. Atașați tablouri de bord SIEM, reguli de alertare și cel puțin un tichet de alertă închis. Apoi mapați fluxul de lucru la punctele de decizie pentru raportare NIS2 și DORA.

Pentru NIS2, procesul de incidente trebuie să susțină avertizarea timpurie în 24 de ore, notificarea incidentului în 72 de ore și un raport final în termen de o lună pentru incidente semnificative. Pentru DORA, procesul de incidente TIC trebuie să clasifice incidentele după clienți afectați, tranzacții, durată, timp de indisponibilitate, răspândire geografică, impact asupra datelor, criticitatea serviciului și impact economic.

Pasul 6: Stocați dovezile disciplinat

Politica de audit și monitorizare a conformității pentru IMM-uri de la Clarysec Politica de audit și monitorizare a conformității pentru IMM-uri clauza 6.2 definește disciplina practică a dovezilor:

„6.2 Colectarea și documentarea dovezilor 6.2.1 Toate dovezile trebuie stocate într-un folder centralizat de audit. 6.2.2 Numele fișierelor trebuie să indice clar tema auditului și data. 6.2.3 Metadatele (de exemplu, cine le-a colectat, când și din ce sistem) trebuie documentate. 6.2.4 Dovezile trebuie păstrate cel puțin doi ani sau mai mult atunci când certificarea ori acordurile cu clienții impun acest lucru.”

Politica de audit și monitorizare a conformității enterprise Politica de audit și monitorizare a conformității stabilește obiectivul:

„Să genereze dovezi robuste și o pistă de audit în sprijinul solicitărilor autorităților de reglementare, procedurilor juridice sau cererilor clienților privind asigurarea controalelor.”

O captură de ecran numită „screenshot1.png” este o dovadă slabă. Un fișier numit „AWS-Prod-CloudTrail-Enabled-2026-05-10-CollectedBy-JSmith.png” este mai puternic deoarece descrie sistemul, controlul, data și colectorul. Metadatele contează deoarece auditorii trebuie să aibă încredere în momentul în care au fost colectate dovezile, cine le-a colectat și din ce sistem.

Cum testează auditorii același control cloud

Cele mai solide pachete de dovezi cloud sunt proiectate pentru mai multe perspective de audit. Auditorii ISO 27001:2022 testează dacă respectivul control se află în SMSI, evaluarea riscurilor, tratarea riscurilor și SoA. Evaluatorii orientați NIST testează implementarea tehnică. Auditorii COBIT 2019 testează guvernanța, performanța furnizorilor și integrarea proceselor. Auditorii de confidențialitate se concentrează pe obligațiile persoanelor împuternicite, rezidența datelor, pregătirea pentru încălcări și drepturile persoanelor vizate. Revizuirile de supraveghere DORA se concentrează pe riscul asociat furnizorilor terți de servicii TIC și pe reziliență.

Perspectivă de auditÎntrebare probabilă de auditDovezi de pregătit
ISO 27001:2022De ce este aplicabil controlul cloud și cum este implementat în cadrul SMSI?Declarație privind domeniul de aplicare, registrul de riscuri, SoA, politică cloud, registru, bază de referință, înregistrări de audit intern
Audit SMSI în stil ISO/IEC 27007Configurația și documentația pot fi validate prin interviuri și eșantioane?Capturi de ecran, exporturi, validare numai în citire, interviuri cu proprietarii cloud și SaaS
NIST SP 800-53AConturile cloud, monitorizarea și serviciile externe sunt controlate la fel ca sistemele interne?Revizuire IAM, înregistrări privind ciclul de viață al contului, jurnale SIEM, scanări de vulnerabilitate, cerințe pentru servicii externe
COBIT 2019Serviciile furnizorilor sunt monitorizate, schimbate și guvernate conform riscului organizației?Procese-verbale de revizuire a furnizorilor, KPI, KRI, rapoarte SLA, înregistrări ale schimbărilor, reevaluări ale riscurilor
ISACA ITAFDovezile sunt suficiente, fiabile și păstrate pentru a susține concluziile?Folder centralizat de dovezi, metadate, exporturi din sursă, piste de tichete, aprobări
Audit de confidențialitate și GDPRObligațiile persoanelor împuternicite și controalele privind datele cu caracter personal funcționează operațional în cloud?DPA, clauze contractuale standard (SCC) unde este necesar, dovezi de rezidență a datelor, proces de ștergere, acces la jurnalul încălcărilor, teste de restaurare
Revizuire de supraveghere DORAPoate entitatea financiară să demonstreze supravegherea și reziliența furnizorilor terți TIC?Registru de contracte TIC, maparea funcțiilor critice, strategie de ieșire, revizuire a riscului de concentrare, rezultatele testării
Solicitare a autorității competente NIS2Poate entitatea să demonstreze măsuri de securitate cibernetică proporționale și pregătire pentru raportarea incidentelor?Mapare Article 21, playbook de incident, dovezi de securitate a furnizorilor, teste de continuitate, aprobarea conducerii

Zenith Controls include aceste diferențe de metodologie de audit pentru serviciile cloud, acordurile cu furnizorii și monitorizarea furnizorilor. Pentru 5.22, monitorizarea, revizuirea și managementul schimbărilor serviciilor furnizorilor, evidențiază faptul că auditorii pot inspecta procese-verbale trimestriale de revizuire a furnizorilor, rapoarte KPI, evaluări ale rapoartelor SOC, jurnale de schimbare, evaluări ale riscurilor, incidente ale furnizorilor și urmărirea problemelor. Pentru 5.20, abordarea securității informațiilor în acordurile cu furnizorii, evidențiază eșantionarea contractelor pentru confidențialitate, obligații de securitate, notificarea încălcărilor, drepturi de audit, aprobarea subcontractorilor și clauze de încetare.

Controale de conformitate transversală care susțin efortul de audit cloud

Un model de dovezi cloud pregătit pentru autoritățile de reglementare este construit în jurul unui număr redus de controale cu impact ridicat. Aceste controale susțin o mare parte din sarcina de conformitate pentru ISO 27001:2022, NIS2, DORA, GDPR, NIST și COBIT 2019.

Temă de controlAncoră ISO 27001:2022Relevanță NIS2Relevanță DORARelevanță GDPR
Guvernanță cloudA.5.23Article 21 măsuri privind riscurile cloud și de sistemCadru de risc TIC și dependențe de terțiSecuritatea prelucrării în cloud și supravegherea persoanelor împuternicite
Acorduri cu furnizoriiA.5.20Securitatea lanțului de aprovizionare și cooperareArticle 30 prevederi contractualeArticle 28 contract cu persoana împuternicită
Monitorizarea furnizorilorA.5.22Management continuu al riscurilorMonitorizare continuă a furnizorilor terți TIC, KPI și KRIDue diligence al persoanelor împuternicite și revizuire de securitate
Jurnalizare și monitorizareA.8.15, A.8.16Detectarea incidentelor și eficacitatea controalelorDetectarea, clasificarea și raportarea incidentelor TICDetectarea încălcărilor și responsabilitate
Controlul accesului și MFAA.5.15, A.5.16, A.5.17, A.5.18Controlul accesului și MFA unde este cazulMăsuri de protecție și prevenireConfidențialitatea și integritatea datelor cu caracter personal
Backup și reziliențăA.8.13, A.5.29, A.5.30Continuitatea activității și managementul crizelorContinuitate, recuperare, backup și restaurareDisponibilitatea și reziliența prelucrării
Gestionarea incidentelorA.5.24, A.5.25, A.5.26, A.5.27Flux de raportare în 24 de ore, 72 de ore și finalCiclul de raportare inițială, intermediară și finalăEvaluarea și notificarea încălcării securității datelor cu caracter personal
Obligații juridice și de confidențialitateA.5.31, A.5.34Conformitate juridică și de reglementareCerințe de supraveghere sectorialePrelucrarea legală, responsabilitate și contracte Article 28

NIST SP 800-53 Rev.5 adaugă profunzime tehnică prin managementul conturilor, servicii de sisteme externe, monitorizare continuă, monitorizarea sistemelor și protecția perimetrului. COBIT 2019 adaugă profunzime de guvernanță prin managementul relațiilor cu furnizorii, risc asociat furnizorilor, schimb de date, securitatea rețelei și pregătirea pentru schimbare.

Standardele ISO de suport rafinează modelul de dovezi. ISO/IEC 27017 oferă îndrumări specifice cloud privind rolurile partajate, configurația mașinilor virtuale și monitorizarea activității clientului. ISO/IEC 27018 se concentrează pe protecția informațiilor de identificare personală în cloud public. ISO/IEC 27701 extinde obligațiile de confidențialitate în operațiunile operatorilor și persoanelor împuternicite. ISO/IEC 27036-4 susține acordurile cu furnizorii cloud și monitorizarea. ISO/IEC 27005 susține evaluarea riscurilor cloud.

Analiza efectuată de management trebuie să vadă riscul cloud, nu doar disponibilitatea cloud

Unul dintre cele mai neglijate artefacte de audit este analiza efectuată de management. ISO 27001:2022 așteaptă ca analiza efectuată de management să ia în considerare schimbările, nevoile părților interesate, tendințele de performanță, rezultatele auditurilor, stadiul tratării riscurilor și oportunitățile de îmbunătățire. NIS2 cere organismelor de conducere să aprobe măsurile de management al riscurilor de securitate cibernetică și să supravegheze implementarea. DORA cere organului de conducere să definească, să aprobe, să supravegheze și să rămână responsabil pentru managementul riscurilor TIC.

Un tablou de bord trimestrial privind securitatea cloud și furnizorii trebuie să arate:

  • Numărul de servicii cloud aprobate.
  • Servicii cloud critice și proprietarii acestora.
  • Servicii care prelucrează date cu caracter personal.
  • Servicii care susțin funcții critice sau importante.
  • Configurări eronate cloud cu risc ridicat deschise.
  • Starea revizuirii MFA și a accesului privilegiat.
  • Acoperirea jurnalizării pentru platformele SaaS și IaaS critice.
  • Rapoarte de asigurare a furnizorilor primite și revizuite.
  • Excepții contractuale și riscuri acceptate.
  • Incidente cloud, incidente evitate la limită și lecții învățate.
  • Rezultatele testelor de backup și recuperare.
  • Starea riscului de concentrare și a planului de ieșire.

Acest tablou de bord devine dovadă pentru leadership și evaluarea performanței în ISO 27001:2022, guvernanța NIS2 și responsabilitatea managementului conform DORA.

Zenith Blueprint, în faza de management al riscurilor, pasul 14, recomandă corelarea cerințelor de reglementare atunci când se implementează tratamente ale riscurilor și politici. Precizează că maparea cerințelor-cheie de reglementare la controalele SMSI este un exercițiu intern util și „îi impresionează, de asemenea, pe auditori/evaluatori, deoarece nu gestionați securitatea în vid, ci sunteți conștienți de contextul juridic.”

Acesta este nivelul de maturitate pe care îl așteaptă autoritățile de reglementare și clienții enterprise.

Constatări frecvente în auditul cloud și cum să le evitați

În activitatea de pregătire pentru auditul cloud, constatările recurente sunt previzibile:

  1. Registrul serviciilor cloud există, dar instrumentele SaaS lipsesc.
  2. Locația datelor nu este înregistrată sau este copiată din pagini de marketing, nu din dovezi contractuale.
  3. MFA este aplicată pentru angajați, dar nu pentru toate conturile administrative sau break-glass.
  4. Jurnalele cloud sunt activate, dar nu sunt revizuite, păstrate sau conectate la răspunsul la incidente.
  5. Rapoartele SOC ale furnizorilor sunt arhivate, dar nu sunt evaluate.
  6. Clauzele contractuale există pentru furnizorii noi, dar nu și pentru serviciile critice moștenite.
  7. Notificările privind persoanele subîmputernicite sunt primite prin e-mail, dar nu sunt evaluate din punct de vedere al riscului.
  8. Sarcinile de backup rulează cu succes, dar testele de recuperare nu sunt dovedite.
  9. Responsabilitatea partajată este înțeleasă de ingineri, dar nu este documentată pentru auditori.
  10. SoA marchează controalele cloud ca aplicabile, dar nu leagă intrările de risc, dovezile sau proprietarii.

Acestea sunt probleme de trasabilitate. Soluția este să conectați politica, riscul, controlul, proprietarul, dovezile și revizuirea.

Când Maria a ajuns în ziua auditului, nu s-a mai bazat pe capturi de ecran dispersate. A deschis un tablou de bord central care afișa Registrul serviciilor cloud, evaluările riscurilor, intrările SoA, dovezile configurației de referință, fișierele de revizuire a furnizorilor, dovada jurnalizării și revizuirea DORA a riscului de concentrare. Când auditorul a întrebat cum sunt guvernate riscurile cloud, ea a arătat SMSI. Când auditorul a întrebat cum sunt configurate securizat serviciile, ea a arătat baza de referință și dovezile CSPM. Când auditorul a întrebat despre riscul asociat furnizorilor terți TIC, ea a arătat revizuirea contractuală, monitorizarea furnizorilor și planificarea ieșirii.

Rezultatul nu a fost un mediu perfect. Niciun mediu cloud nu este perfect. Diferența a fost că deciziile privind riscul erau documentate, dovezile erau robuste și responsabilitatea era vizibilă.

Construiți pachetul de dovezi cloud înainte ca auditorul să îl solicite

Dacă organizația dvs. se bazează pe SaaS, IaaS sau PaaS, următorul audit nu va accepta „furnizorul se ocupă” ca răspuns suficient. Trebuie să demonstrați responsabilitatea partajată, configurația aflată în responsabilitatea clientului, clauzele cu furnizorii, jurnalizarea, pregătirea pentru incidente, reziliența și supravegherea conducerii.

Începeți cu trei acțiuni practice în această săptămână:

  1. Creați sau actualizați Registrul serviciilor cloud utilizând Politica de utilizare a serviciilor cloud de la Clarysec Politica de utilizare a serviciilor cloud sau Politica de utilizare a serviciilor cloud pentru IMM-uri Politica de utilizare a serviciilor cloud pentru IMM-uri.
  2. Mapați primele cinci servicii cloud la controalele ISO 27001:2022 Anexa A, NIS2 Article 21, obligațiile DORA privind furnizorii terți TIC acolo unde sunt aplicabile și cerințele GDPR privind persoanele împuternicite.
  3. Construiți un folder centralizat de dovezi folosind disciplina de retenție și metadate din Politica de audit și monitorizare a conformității Politica de audit și monitorizare a conformității sau Politica de audit și monitorizare a conformității pentru IMM-uri Politica de audit și monitorizare a conformității pentru IMM-uri.

Apoi utilizați Zenith Blueprint Zenith Blueprint pentru a integra activitatea în foaia de parcurs SMSI în 30 de pași pentru audit și Zenith Controls Zenith Controls pentru a valida mapările de conformitate transversală, standardele ISO de suport și așteptările metodologiei de audit.

Clarysec vă poate ajuta să transformați capturile de ecran cloud dispersate, fișierele furnizorilor și setările SaaS într-un pachet de dovezi pregătit pentru autoritățile de reglementare, care rezistă auditurilor de certificare ISO 27001:2022, întrebărilor de supraveghere NIS2, revizuirilor DORA privind furnizorii terți TIC și cerințelor de asigurare ale clienților enterprise.

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles

De la haosul din cloud la pregătirea pentru audit: proiectarea unui program de securitate cloud ISO 27001:2022 cu setul de instrumente Zenith de la Clarysec

De la haosul din cloud la pregătirea pentru audit: proiectarea unui program de securitate cloud ISO 27001:2022 cu setul de instrumente Zenith de la Clarysec

Pentru CISO, manageri de conformitate și arhitecți cloud: aflați cum să operaționalizați controalele cloud ISO 27001:2022 pentru conformitate continuă. Studii din practică, tabele de mapare tehnică și planuri de acțiune de la Clarysec reunesc securitatea, guvernanța și pregătirea pentru audit la nivelul mai multor cadre.

Dovezi de audit ISO 27001 pentru NIS2 și DORA

Dovezi de audit ISO 27001 pentru NIS2 și DORA

Aflați cum să utilizați auditul intern și analiza efectuată de management ISO/IEC 27001:2022 ca mecanism unificat de generare a dovezilor pentru NIS2, DORA, GDPR, riscurile asociate furnizorilor, programele de asigurare solicitate de clienți și responsabilitatea consiliului de administrație.