Dosarul de securitate a produsului CRA 2026, bazat pe ISO 27001
Un producător de dispozitive conectate o cheamă pe Maria, directorul securității informației (CISO), la o ședință într-o după-amiază de vineri. Echipa de vânzări tocmai a încheiat un acord de distribuție în Europa. Departamentul juridic întreabă dacă organizația poate susține conformitatea cu Regulamentul privind reziliența cibernetică (Cyber Resilience Act). Ingineria spune că dezvoltarea securizată este „în mare parte acoperită”, deoarece există revizuire de cod, SAST și aplicare de patch-uri. Achizițiile spun că furnizorii sunt acoperiți de acorduri de confidențialitate. Echipele de produs păstrează dependențele firmware într-un instrument, inventarele API-urilor cloud în altul și tichetele de vulnerabilitate în Jira. Funcția de conformitate deține dovezile certificării ISO/IEC 27001:2022, dar acestea sunt organizate în jurul SMSI corporativ, nu în jurul fiecărui produs introdus pe piața UE.
Apoi apare întrebarea incomodă: „Dacă o autoritate din UE, un client, un organism notificat sau un distribuitor major solicită Dosarul de securitate a produsului în 2026, îl putem furniza într-o săptămână?”
Pentru mulți furnizori de software, producători de dispozitive inteligente și furnizori de servicii conectate, răspunsul onest este nu. Nu pentru că le lipsesc controalele de securitate, ci pentru că dovezile privind securitatea produsului sunt dispersate. Înregistrările privind dezvoltarea securizată sunt la inginerie. SBOM-urile sunt generate pentru fiecare build, dar nu sunt guvernate. Divulgarea coordonată a vulnerabilităților există ca pagină web, dar nu este întotdeauna conectată la triaj, remedieri, comunicări și monitorizare după introducerea pe piață. Securitatea furnizorilor este îngropată în contractele de achiziții. Raportarea incidentelor aparține operațiunilor de securitate, în timp ce documentația de conformitate aparține conformității produsului.
Regulamentul UE privind reziliența cibernetică schimbă modelul operațional. Securitatea cibernetică a produselor nu mai este doar o bună practică sau o promisiune contractuală. Devine o obligație de demonstrare pe întregul ciclu de viață. Organizațiile trebuie să poată arăta cum sunt integrate cerințele de securitate cibernetică în proiectare, dezvoltare, lansare, managementul vulnerabilităților, actualizări și monitorizare după introducerea produsului pe piață.
Aici ISO/IEC 27001:2022 devine foarte valoros, dacă este utilizat corect. Nu este, în sine, o schemă de certificare a produsului, dar controalele sale privind SMSI, riscurile, activele, furnizorii, dezvoltarea securizată, vulnerabilitățile și incidentele pot asigura coloana vertebrală a unui Dosar de securitate a produsului CRA. Scopul nu este crearea unui alt siloz de conformitate. Scopul este transformarea SMSI existent într-un sistem de dovezi la nivel de produs.
Așa cum formulează Clarysec în Zenith Blueprint: Foaia de parcurs în 30 de pași a auditorului, Faza 2, Pasul 8, Arhitectura dovezilor:
„Dovezile nu trebuie colectate la finalul ciclului de audit. Ele trebuie proiectate în control, atribuite unui proprietar, marcate temporal de proces și reutilizabile pentru fiecare obligație care pune aceeași întrebare într-un limbaj diferit.”
Această frază surprinde esența pregătirii pentru CRA. Întrebarea nu este doar „Avem dezvoltare securizată?” Întrebarea este: „Putem demonstra dezvoltarea securizată, cunoașterea componentelor, managementul vulnerabilităților și monitorizarea după introducerea pe piață pentru acest produs, această versiune, această lansare și această piață?”
Dosarul de securitate a produsului CRA este un sistem viu de dovezi
Un Dosar de securitate a produsului CRA nu trebuie tratat ca un PDF static, produs o singură dată înainte de lansare și apoi uitat. Trebuie să fie un dosar structurat care spune povestea de securitate a produsului, de la concept până la sfârșitul perioadei de suport.
Un dosar util explică:
- Ce este produsul și cum este destinat să fie utilizat.
- Ce software, firmware, servicii cloud și dependențe de la terți include.
- Ce riscuri de securitate cibernetică au fost evaluate.
- Ce cerințe de securitate au fost aplicate.
- Cum a fost realizată dezvoltarea securizată.
- Cum sunt primite, triate, remediate și divulgate vulnerabilitățile.
- Cum sunt livrate actualizările securizate.
- Cum sunt controlați furnizorii și componentele open-source.
- Cum sunt escalate incidentele și vulnerabilitățile exploatate activ.
- Cum este monitorizat produsul după introducerea pe piață.
Pentru un CISO, aceasta este o provocare de dovezi în cadrul SMSI. Pentru un manager de conformitate a produsului, este documentație tehnică. Pentru inginerie, este DevSecOps și guvernanța lansărilor. Pentru conducerea executivă, este acces pe piață și controlul răspunderii.
Greșeala este tratarea acestora ca fluxuri de lucru separate. Modelul mai bun este construirea unui dosar de dovezi la nivel de produs, mapat la controalele ISO/IEC 27001:2022 și ISO/IEC 27002:2022, apoi maparea încrucișată a acelorași dovezi la NIS2, DORA, GDPR, NIST și COBIT 2019, acolo unde este relevant.
Clarysec descrie acest lucru în Zenith Controls: Ghidul de conformitate încrucișată ca pe un lanț control-dovadă-auditor:
„Un dosar de dovezi pentru conformitate încrucișată trebuie să mapeze fiecare obligație la controlul operațional, obiectul recurent de dovadă, proprietarul responsabil și perspectiva de audit care va fi utilizată pentru a-l contesta.”
Aceasta este disciplina de care are nevoie pregătirea CRA. Dosarul de securitate a produsului nu este doar un folder. Este stratul de traducere între ingineria produsului, guvernanța securității, evaluarea conformității și asigurarea solicitată de clienți.
Construiți mai întâi structura de bază a dovezilor de produs
Dosarul are nevoie de o structură consecventă înainte ca echipele să înceapă încărcarea înregistrărilor. Fără o structură clară, dovezile devin o colecție de capturi de ecran, exporturi și PDF-uri de politici pe care niciun auditor nu le poate urmări.
Pentru atelierele de pregătire CRA, Clarysec recomandă de regulă următoarea structură a Dosarului de securitate a produsului pentru organizațiile care operează deja un SMSI ISO/IEC 27001:2022.
| Secțiunea Dosarului de securitate a produsului | Dovezi principale | Teme de control ISO/IEC 27001:2022 și ISO/IEC 27002:2022 | Proprietar tipic |
|---|---|---|---|
| Definirea produsului și utilizarea prevăzută | Descrierea produsului, arhitectură, flux de date, model de implementare | A.5.9 Inventarul informațiilor și al altor active asociate, A.5.8 Securitatea informației în managementul proiectelor, evaluarea riscurilor | Proprietar de produs |
| Inventarul componentelor și dependențelor | SBOM, listă de materiale firmware, maparea dependențelor cloud | A.5.9 Inventar, A.8.9 managementul configurației, A.8.8 Managementul vulnerabilităților tehnice | Responsabil de inginerie |
| Dovezi privind dezvoltarea securizată | Modele de amenințare, revizuiri de proiectare securizată, înregistrări de revizuire a codului, rezultate ale testelor de securitate | A.8.25 ciclul de viață al dezvoltării securizate, A.8.27 Arhitectură securizată a sistemelor și principii de inginerie, A.8.28 programare securizată, A.8.29 Testare de securitate în dezvoltare și acceptare | Inginerie și AppSec |
| Managementul vulnerabilităților și CVD | Politica de divulgare, înregistrări de primire, jurnale de triaj, SLA-uri de remediere, șabloane de comunicare | A.8.8 Managementul vulnerabilităților tehnice, A.5.24 Planificarea și pregătirea managementului incidentelor de securitate a informației, A.5.26 Răspuns la incidente de securitate a informației | Operațiuni de securitate |
| Dovezi privind furnizorii și open-source | Evaluări ale furnizorilor, clauze contractuale, revizuire OSS, proveniența componentelor | A.5.19 Securitatea informației în relațiile cu furnizorii, A.5.20 Abordarea securității informației în acordurile cu furnizorii, A.5.21 Managementul securității informației în lanțul de aprovizionare TIC | Achiziții și juridic |
| Dovezi privind actualizarea securizată și lansarea | Aprobări de lansare, înregistrări de semnare, planuri de revenire, note de patch | A.8.32 managementul schimbărilor, A.8.24 Utilizarea criptografiei, A.8.9 managementul configurației | Manager de lansare |
| Monitorizare după introducerea pe piață | Fluxuri de vulnerabilități, telemetrie, rapoarte ale clienților, revizuiri ale incidentelor, revizuire periodică a riscurilor | A.8.15 jurnalizare, A.8.16 Activități de monitorizare, A.5.25 Evaluare și decizie privind evenimentele de securitate a informației, îmbunătățire continuă | CISO și securitatea produsului |
| Pachet de conformitate și audit | Maparea controalelor, aprobarea managementului, indexul dovezilor păstrate | guvernanță SMSI, A.5.28 Colectarea dovezilor, audit intern, revizuire de management | Manager de conformitate |
Acest tabel nu înlocuiește obligațiile juridice privind documentația tehnică. El oferă organizației un model operațional pentru a le demonstra.
În Zenith Blueprint, Faza 1, Pasul 3 se concentrează pe definirea domeniului de aplicare și a limitelor. Pentru CRA, acest pas devine specific produsului. Definiți familia de produse, versiunile software, ipotezele de implementare, rolurile utilizatorilor, serviciile conectate, canalele de actualizare și perioada de suport. Dacă domeniul de aplicare al SMSI este „Corporate SaaS and device management platform”, dosarul CRA trebuie totuși să răspundă la o întrebare mai restrânsă: „Ce produs cu elemente digitale este introdus pe piața UE și ce este inclus în acel produs?”
Mapați dezvoltarea securizată la înregistrări la nivel de produs
Inima Dosarului de securitate a produsului este dovada securității prin proiectare. ISO/IEC 27001:2022 oferă sistemul de guvernanță. ISO/IEC 27002:2022 oferă îndrumări de implementare prin controale precum A.8.25 ciclul de viață al dezvoltării securizate, A.8.27 Arhitectură securizată a sistemelor și principii de inginerie, A.8.28 programare securizată și A.8.29 Testare de securitate în dezvoltare și acceptare.
Schimbarea importantă este trecerea de la afirmații generice privind dezvoltarea securizată la înregistrări specifice lansării. „Facem revizuire de cod” nu este suficient. Dosarul trebuie să arate ce lansare a fost revizuită, ce riscuri au fost luate în considerare, ce teste de securitate au trecut, ce vulnerabilități au fost acceptate sau remediate și cine a aprobat lansarea.
Politica de dezvoltare securizată Enterprise de la Clarysec este concepută pentru a impune această pistă de audit. În clauza 6.1, Cerințe privind ciclul de viață al dezvoltării securizate, se precizează:
„Fiecare lansare de produs sau serviciu trebuie să mențină dovezi documentate privind cerințele de securitate, revizuirea proiectării, activitățile de programare securizată, testarea de securitate, deciziile de remediere a vulnerabilităților și aprobarea lansării înainte de implementarea în producție.”
Această clauză este utilă pentru CRA deoarece transformă dezvoltarea securizată într-un tipar repetabil de dovezi. Un auditor nu trebuie să deducă faptul că dezvoltarea securizată a avut loc. Poate inspecta înregistrarea lansării.
Pentru un termostat inteligent, un dispozitiv medical IoT, un senzor industrial sau un produs conectat la SaaS, dovezile privind dezvoltarea securizată trebuie să includă:
- Cerințe de securitate ale produsului mapate la riscurile identificate.
- Model de amenințări sau analiză a cazurilor de abuz pentru produs și serviciile conectate.
- Revizuirea arhitecturii, inclusiv limitele de încredere și interfețele externe.
- Standard de programare securizată și dovada confirmării sau instruirii dezvoltatorilor.
- SAST, DAST, analiză a compoziției software, scanarea secretelor și analiză firmware, după caz.
- Tichete de remediere pentru constatări cu risc ridicat.
- Înregistrări de acceptare a riscului cu aprobare de business și securitate.
- Listă de verificare pentru poarta de lansare, care arată că au fost îndeplinite criteriile de securitate.
- Dovezi privind semnarea criptografică și integritatea actualizărilor.
- Ipoteze privind perioada de suport și sfârșitul ciclului de viață.
Alte standarde ajută la consolidarea metodei. ISO/IEC 27005 susține abordarea bazată pe risc din spatele acestor înregistrări. ISO/IEC 27017 este util atunci când serviciile cloud fac parte din ecosistemul produsului. ISO/IEC 27035 susține gestionarea incidentelor. ISO/IEC 29147 și ISO/IEC 30111 sunt deosebit de relevante pentru divulgarea vulnerabilităților și managementul vulnerabilităților. ISO/IEC 27036 susține securitatea furnizorilor, ceea ce contează atunci când produsul include software externalizat, module integrate, servicii cloud administrate sau biblioteci de la terți.
În Zenith Controls, dovezile CRA privind dezvoltarea securizată sunt de obicei mapate în jurul temelor de control ISO/IEC 27002:2022, cum ar fi securitatea informației în managementul proiectelor, ciclul de viață al dezvoltării securizate, programarea securizată, testarea de securitate, managementul schimbărilor și managementul vulnerabilităților tehnice. Ghidul le leagă, de asemenea, de inventarul activelor și controalele pentru furnizori, deoarece niciun proces de dezvoltare securizată nu este complet dacă organizația nu poate identifica componentele pe care le livrează.
Tratați SBOM-ul ca dovadă reglementată a produsului
Software Bill of Materials este adesea tratat ca un artefact tehnic. Pentru pregătirea CRA, trebuie tratat ca dovadă de produs.
Un SBOM util arată ce componente există în produs, ce versiuni sunt utilizate, de unde provin, ce licențe se aplică, ce vulnerabilități le afectează și ce lansări le conțin. Pentru firmware și produse integrate, acesta poate include pachete ale sistemului de operare, bootloadere, biblioteci, drivere, containere, module de la terți și dependențe din zona cloud necesare pentru funcționarea produsului.
Problema este că multe organizații generează SBOM-uri, dar nu le guvernează. Un flux de build poate produce un fișier SPDX sau CycloneDX, dar nimeni nu validează caracterul complet. Instrumentele de securitate pot semnala vulnerabilități, dar rezultatele nu sunt legate de versiunile produsului. Achizițiile pot aproba un furnizor, dar lista componentelor acelui furnizor nu este reconciliată cu produsul lansat.
Politica de management al activelor Enterprise de la Clarysec abordează această lacună de guvernanță în clauza 5.2, Inventarul informațiilor și al activelor asociate:
„Activele informaționale și componentele tehnologice asociate trebuie identificate, atribuite unui proprietar, clasificate acolo unde este cazul și menținute într-un inventar care susține evaluarea riscurilor, managementul vulnerabilităților, controlul schimbărilor și dovezile de audit.”
Pentru CRA, această clauză devine specifică produsului. SBOM-ul face parte din inventarul componentelor tehnologice asociate. Are nevoie de un proprietar, o regulă de retenție, un proces de validare și o legătură cu managementul vulnerabilităților.
O regulă practică pentru dovezile SBOM este simplă: fiecare versiune de produs lansată trebuie să aibă un inventar aprobat al componentelor, care poate fi corelat cu artefactul de lansare. Dacă organizația nu poate conecta SBOM-ul la imaginea firmware exactă, pachetul aplicației, digestul containerului sau lansarea SaaS, SBOM-ul este o dovadă slabă.
| Verificare | Dovezi de colectat | Criterii de trecere |
|---|---|---|
| Legătura cu lansarea | ID-ul lansării, hash-ul build-ului, versiunea firmware, digestul containerului sau ID-ul pachetului | SBOM-ul se mapează clar la artefactul lansat |
| Caracterul complet al componentelor | Fișier SBOM, raport de scanare a dependențelor, excepții manuale | Dependențele directe și tranzitive sunt capturate sau excepțiile sunt justificate |
| Starea vulnerabilităților | Raport SCA, tichete de vulnerabilitate, acceptări ale riscului | Constatările exploatabile cunoscute sau cu risc ridicat au remediere sau excepție aprobată |
| Legătura cu furnizorul | Declarații privind componentele furnizorului, atestări ale terților, termeni de suport | Componentele critice furnizate au dovezi de la furnizor |
| Licență și proveniență | Scanare de licențe, înregistrare a depozitului sursă, sursă de pachete aprobată | Originea și utilizarea componentelor sunt documentate |
| Retenție și acces | Calea depozitului de dovezi, proprietar, regulă de retenție | Conformitatea poate recupera SBOM-ul și înregistrările aferente în intervalul definit |
Dacă mai mult de două rânduri eșuează, problema nu este de obicei instrumentul SBOM. Este guvernanța. Dosarul de securitate a produsului trebuie să înregistreze o acțiune corectivă în SMSI, deoarece slăbiciunea dovezilor CRA este și o problemă de eficacitate a controalelor ISO/IEC 27001:2022.
Conectați CVD la managementul vulnerabilităților și guvernanța lansărilor
Divulgarea coordonată a vulnerabilităților este una dintre cele mai vizibile zone de pregătire CRA, deoarece cercetătorii externi, clienții și autoritățile o pot testa direct. Publicarea unei pagini de divulgare a vulnerabilităților sau a unui fișier security.txt este utilă, dar este doar ușa de intrare. Dosarul de securitate a produsului trebuie să demonstreze că operațiunile din spate funcționează.
Un set robust de dovezi pentru CVD și managementul vulnerabilităților trebuie să includă:
- Canal public de divulgare și instrucțiuni de transmitere.
- Proces de confirmare pentru cercetători.
- Criterii de triaj, inclusiv evaluarea severității și a exploatabilității.
- Analiză de impact asupra produsului.
- Proprietar pentru remediere și termene-țintă.
- Șabloane de informare a clienților și de comunicare a actualizărilor.
- Dovezi privind dezvoltarea și testarea securizată a patch-urilor.
- Înregistrări ale publicării coordonate, acolo unde este cazul.
- Lecții învățate și analiză a tendințelor recurente ale vulnerabilităților.
Clauza 6.3, Primirea, triajul și remedierea vulnerabilităților, din Politica de management al vulnerabilităților Enterprise de la Clarysec precizează:
„Vulnerabilitățile raportate trebuie jurnalizate, evaluate pentru activele și produsele afectate, prioritizate în funcție de risc și exploatabilitate, atribuite unui proprietar responsabil și urmărite prin remediere, verificare, comunicare și închidere.”
Această clauză conectează CVD la SBOM, inventarul activelor, tichetele de inginerie, managementul lansărilor și monitorizarea după introducerea pe piață. Este, de asemenea, clauza pe care auditorii o vor testa în mod natural: arătați înregistrarea de primire, arătați produsele afectate, arătați triajul, arătați remedierea, arătați comunicarea cu clienții, arătați închiderea.
Politica de management al incidentelor de securitate a informației existentă trebuie extinsă, de asemenea, pentru a acoperi vulnerabilitățile de produs care devin incidente sau necesită notificare externă. ISO/IEC 27002:2022 A.5.24 acoperă planificarea și pregătirea managementului incidentelor, A.5.25 acoperă evaluarea și decizia privind evenimentele de securitate a informației, A.5.26 acoperă răspunsul la incidentele de securitate a informației, iar A.5.27 acoperă învățarea din incidente.
În Zenith Controls, managementul vulnerabilităților este tratat atât ca preventiv, cât și ca corectiv. Partea preventivă include inventarul, dezvoltarea securizată, monitorizarea furnizorilor și configurarea securizată. Partea corectivă include detecția, triajul, aplicarea patch-urilor, comunicarea și escaladarea incidentelor. Această distincție contează deoarece managementul vulnerabilităților după introducerea pe piață face parte din obligația pe ciclul de viață al produsului, nu este o activitate ulterioară opțională.
Dovezile privind furnizorii sunt slăbiciunea ascunsă
Dosarul de securitate a produsului va fi adesea contestat cel mai puternic acolo unde producătorul depinde de alții. Aceasta include module integrate, dezvoltare firmware externalizată, componente white-label, găzduire cloud, SDK-uri mobile, servicii de plată, biblioteci criptografice și furnizori de suport administrat.
Tiparul comun de eșec este abstractizarea contractuală. Producătorul spune: „Furnizorul nostru este responsabil pentru asta.” În cadrul unei examinări privind securitatea produsului, acest lucru nu este suficient. Organizația trebuie să arate că riscul asociat furnizorilor este identificat, cerințele de securitate sunt comunicate, dovezile sunt colectate, vulnerabilitățile sunt coordonate și schimbările sunt controlate.
Clauza 7.1, Cerințe de securitate pentru furnizori, din Politica de securitate privind terții și furnizorii Enterprise de la Clarysec precizează:
„Furnizorii care dezvoltă, operează, prelucrează, susțin sau afectează semnificativ sisteme informatice, produse sau servicii trebuie evaluați în funcție de risc și trebuie să fie supuși unor cerințe de securitate care acoperă accesul, managementul vulnerabilităților, notificarea incidentelor, subcontractarea, continuitatea și furnizarea de dovezi.”
Pentru CRA, expresia „afectează semnificativ produsele” este critică. Dacă o componentă de la un furnizor poate introduce o vulnerabilitate, perturba actualizările, expune datele clienților sau compromite integritatea dispozitivului, aceasta aparține Dosarului de securitate a produsului.
Aceeași politică poate susține și contractarea SBOM. Clauza 7.3 precizează:
„Pentru toate componentele software, bibliotecile sau sistemele de operare de la terți care urmează să fie integrate în «Produsele cu elemente digitale» ale companiei, furnizorul trebuie să furnizeze, la cerere, un Software Bill of Materials (SBOM) lizibil de sistem, într-un format standard precum SPDX sau CycloneDX. Această cerință trebuie inclusă în toate contractele de achiziții și cu furnizorii.”
Un pachet solid de dovezi privind furnizorii trebuie să includă clasificarea furnizorilor după impactul asupra produsului, cerințe de securitate în contracte, dovezi privind dezvoltarea securizată a furnizorilor pentru componente critice, angajamente de divulgare a vulnerabilităților din partea furnizorilor, SBOM sau declarații de componente acolo unde este fezabil, suport pentru patch-uri și termene de sfârșit de ciclu de viață, înregistrări ale revizuirilor periodice și căi de escaladare pentru vulnerabilitățile provenite de la furnizori.
ISO/IEC 27002:2022 A.5.19, A.5.20 și A.5.21 oferă temele-cheie de control pentru furnizori. ISO/IEC 27036 adaugă profunzime pentru securitatea relațiilor cu furnizorii. În termeni de conformitate încrucișată, NIS2 accentuează lanțul de aprovizionare și managementul vulnerabilităților. DORA accentuează riscul asociat terților TIC pentru entitățile financiare. GDPR devine relevant atunci când produsul sau serviciile sale cloud prelucrează date cu caracter personal. COBIT 2019 încadrează guvernanța furnizorilor ca o problemă de guvernanță a tehnologiei la nivelul întreprinderii, nu doar ca o problemă de operațiuni de securitate.
Monitorizarea după introducerea pe piață transformă dovezile în operațiuni
Cele mai mature organizații de securitate a produselor gândesc dincolo de lansare. Ele întreabă: „Cum vom ști că acest produs a devenit riscant după ce este în teren?”
Monitorizarea după introducerea pe piață trebuie să capteze semnale din fluxuri de vulnerabilități, informații privind exploiturile, suport clienți, telemetrie, programe bug bounty sau rapoarte ale cercetătorilor, notificări ale furnizorilor, jurnale cloud, înregistrări ale incidentelor și date de performanță din teren. De asemenea, trebuie să includă revizuirea periodică a riscului produsului atunci când condițiile de amenințare se schimbă.
Clauza 5.4, Monitorizarea și revizuirea securității, din Politica de jurnalizare și monitorizare Enterprise de la Clarysec precizează:
„Evenimentele relevante pentru securitate trebuie colectate, revizuite, escalate și păstrate într-un mod care susține detectarea la timp, investigarea, răspunsul la incidente, raportarea conformității și îmbunătățirea continuă.”
Pentru produsele conectate, acest lucru trebuie interpretat cu atenție. Monitorizarea trebuie să respecte confidențialitatea, minimizarea datelor și constrângerile legale, în special atunci când telemetria include date cu caracter personal sau date operaționale ale clienților. Maparea la GDPR este importantă. Echipele de securitate a produsului trebuie să lucreze cu echipele de protecție a datelor pentru a defini ce telemetrie este necesară pentru securitate, cum este minimizată, cât timp este păstrată și cum sunt informați clienții.
Dovezile de monitorizare după introducerea pe piață trebuie să includă un plan de monitorizare a securității produsului, surse de informații privind vulnerabilitățile, canale de primire a rapoartelor clienților, canale de notificare ale furnizorilor, domeniul de revizuire a telemetriei sau jurnalelor, procese-verbale ale revizuirilor periodice ale riscului produsului, urmărirea adoptării patch-urilor, analiza tendințelor incidentelor și intrări pentru revizuirea de management.
În Zenith Blueprint, Faza 5, Pasul 30 se concentrează pe îmbunătățirea continuă și pregătirea pentru supraveghere. Pentru CRA, aici Dosarul de securitate a produsului devine un dosar viu. Fiecare lansare de produs, vulnerabilitate, schimbare de furnizor și semnal din teren trebuie să actualizeze înregistrarea dovezilor.
Un singur dosar de dovezi, multe întrebări de conformitate
Un Dosar de securitate a produsului CRA bine proiectat reduce duplicarea, deoarece aceleași dovezi răspund mai multor întrebări de conformitate. Limbajul se schimbă, dar realitatea controlului este adesea similară.
| Obiect de dovadă | Relevanță CRA | Temă ISO/IEC 27001:2022 și ISO/IEC 27002:2022 | Relevanță NIS2, DORA, GDPR, NIST și COBIT 2019 |
|---|---|---|---|
| Evaluarea riscurilor produsului | Arată că riscurile de securitate au fost luate în considerare în proiectarea și ciclul de viață al produsului | evaluarea riscurilor, A.5.8 Securitatea informației în managementul proiectelor, A.8.25 ciclul de viață al dezvoltării securizate | Managementul riscurilor NIS2, managementul riscurilor TIC DORA, NIST Govern și Identify, guvernanța riscurilor COBIT |
| SBOM și inventarul componentelor | Arată cunoașterea componentelor software și a expunerii la vulnerabilități | A.5.9 Inventar, A.8.9 managementul configurației, A.8.8 Managementul vulnerabilităților tehnice | Lanțul de aprovizionare NIS2, cunoașterea activelor TIC DORA, managementul activelor NIST, active gestionate COBIT |
| Înregistrări de dezvoltare securizată | Arată că securitatea a fost integrată în proiectare și lansare | A.8.25 ciclul de viață al dezvoltării securizate, A.8.27 arhitectură securizată, A.8.28 programare securizată, A.8.29 testare de securitate | NIST Protect, guvernanța build-ului și a schimbărilor COBIT, securitate prin proiectare GDPR unde sunt implicate date cu caracter personal |
| CVD și tichete de vulnerabilitate | Arată capacitatea de a primi, evalua, remedia și comunica vulnerabilități | A.8.8 Managementul vulnerabilităților tehnice, A.5.24 Planificarea incidentelor, A.5.26 răspuns la incidente | Managementul vulnerabilităților NIS2, procese de incidente și vulnerabilități DORA, NIST Respond |
| Dovezi privind furnizorii | Arată că dependențele produsului sunt guvernate | A.5.19 Relații cu furnizorii, A.5.20 Acorduri cu furnizorii, A.5.21 Lanț de aprovizionare TIC | Securitatea lanțului de aprovizionare NIS2, risc asociat terților TIC DORA, guvernanța furnizorilor COBIT |
| Monitorizare după introducerea pe piață | Arată supravegherea continuă a securității produsului | A.8.15 jurnalizare, A.8.16 Activități de monitorizare, A.5.25 Evaluarea evenimentelor, îmbunătățire continuă | Detectarea incidentelor NIS2, monitorizare DORA, NIST Detect, suport pentru detectarea încălcărilor GDPR |
| Înregistrări de raportare a incidentelor | Arată pregătirea pentru escaladare și notificare | A.5.24 Planificarea incidentelor, A.5.25 Evaluarea evenimentelor, A.5.26 răspuns la incidente, A.5.27 Învățarea din incidente | Raportare NIS2 și DORA, evaluarea încălcărilor GDPR, NIST Respond și Recover |
Zenith Controls este proiectat pentru această reutilizare. El mapează temele de control ISO/IEC 27002:2022 la atribute precum scopul preventiv, de detectare și corectiv al controlului, concepte de securitate cibernetică, capabilități operaționale și proprietăți de securitate. Pentru CRA, acest lucru ajută un CISO să explice de ce un singur obiect de dovadă, cum ar fi o revizuire de securitate a lansării, susține dezvoltarea securizată, tratarea riscului, controlul schimbărilor, managementul vulnerabilităților și pregătirea pentru audit.
Pregătiți-vă pentru perspective diferite ale auditorilor
Un Dosar de securitate a produsului CRA poate fi contestat de un auditor ISO, o echipă de audit intern, o echipă de asigurare solicitată de clienți, un revizor al conformității produsului, o autoritate de reglementare, un evaluator orientat spre NIST sau un auditor COBIT format de ISACA. Fiecare va pune întrebări similare printr-o perspectivă diferită.
| Perspectiva auditorului | Ce va întreba | Dovezi solide |
|---|---|---|
| Auditor ISO/IEC 27001:2022 | Este securitatea produsului guvernată în cadrul SMSI, al procesului de risc, al modelului de competențe, al controalelor operaționale și al ciclului de îmbunătățire continuă? | Domeniul de aplicare al SMSI, evaluarea riscurilor, Declarație de aplicabilitate, înregistrări de dezvoltare securizată, constatări de audit intern, revizuire de management |
| Perspectiva de certificare ISO/IEC 27006-1:2024 | Dovezile de audit sunt fiabile, eșantionate adecvat și legate de sistemul de management certificat? | Indexul dovezilor, logica de eșantionare, interviuri cu proprietarii, înregistrări păstrate, urmărirea acțiunilor corective |
| Evaluator orientat spre NIST | Puteți arăta guvernanță, identificarea activelor, măsuri de protecție, detecție, răspuns și recuperare pentru ciclul de viață al produsului? | Registrul riscurilor produsului, SBOM, plan de monitorizare, flux de lucru pentru vulnerabilități, playbook-uri de incidente |
| Auditor COBIT 2019 sau ISACA | Obiectivele de securitate ale produsului sunt guvernate, măsurate, deținute și aliniate cu riscul organizației și livrarea valorii? | RACI, metrici, aprobări de politici, guvernanța furnizorilor, raportare către management, acceptarea riscului |
| Revizor al conformității produsului | Dosarul tehnic arată cerințele de securitate cibernetică, controalele de proiectare, managementul vulnerabilităților și monitorizarea după introducerea pe piață pentru produs? | Indexul Dosarului de securitate a produsului, arhitectură, SBOM, dovezi de testare, înregistrări CVD, dovezi de actualizare |
| Evaluator de securitate al clientului | Puteți demonstra că produsul este dezvoltat și susținut în mod securizat pe parcursul ciclului său de viață? | Rezumat al ciclului de viață al dezvoltării securizate, rezumat al testului de penetrare, proces de divulgare a vulnerabilităților, politică de suport pentru patch-uri, asigurare privind furnizorii |
Același punct slab va fi expus diferit. Dacă SBOM-urile sunt generate, dar nu sunt păstrate, auditorul ISO vede o problemă de control al înregistrărilor și de control operațional. Evaluatorul NIST vede o slăbiciune de management al activelor și vulnerabilităților. Auditorul COBIT vede guvernanță slabă asupra activelor informaționale. Revizorul produsului vede documentație tehnică insuficientă.
O foaie de parcurs în 30 de pași, adaptată pentru pregătirea CRA
Zenith Blueprint împiedică echipele de conformitate să sară direct la colectarea documentelor. Pentru CRA, foaia de parcurs în 30 de pași devine un program de dovezi privind securitatea produsului.
Faza 1 începe cu maparea obligațiilor și a domeniului de aplicare. Identificați ce produse, versiuni, componente, servicii cloud și procese de suport sunt în domeniu. Confirmați utilizarea prevăzută, categoriile de utilizatori, piețele și perioada de suport pentru securitate.
Faza 2 construiește arhitectura dovezilor. Definiți indexul Dosarului de securitate a produsului, proprietarii dovezilor, cerințele de retenție, structura depozitului și fluxul de aprobare. Aliniați-vă cu sistemele de inginerie în loc să impuneți încărcări manuale.
Faza 3 implementează controale operaționale. Dezvoltarea securizată, generarea SBOM, managementul vulnerabilităților, dovezile privind furnizorii, porțile de lansare, actualizările securizate și escaladarea incidentelor trebuie să funcționeze ca procese reale.
Faza 4 testează pregătirea pentru audit. Selectați o lansare de produs și efectuați un audit simulat. Poate echipa să recupereze SBOM-ul? Poate demonstra testarea de securitate? Poate arăta cum a fost triată o vulnerabilitate? Poate conecta dovezile furnizorilor la componentele produsului?
Faza 5 integrează supravegherea și îmbunătățirea. Monitorizarea după introducerea pe piață, analiza tendințelor vulnerabilităților, revizuirile furnizorilor și intrările pentru revizuirea de management mențin dosarul actualizat.
| Sprint de patru săptămâni pentru pregătirea CRA | Rezultat |
|---|---|
| Alegeți un produs emblematic pentru UE | Domeniul produsului, versiunile, serviciile și perioada de suport sunt definite |
| Creați indexul Dosarului de securitate a produsului | Secțiunile de dovezi, proprietarii și regulile de retenție sunt documentate |
| Mapați controalele ISO/IEC 27001:2022 la secțiunile dosarului | Maparea control-dovadă este disponibilă pentru audit |
| Atașați o lansare recentă ca eșantion de dovezi | Înregistrările privind dezvoltarea securizată, testarea și aprobarea lansării sunt conectate |
| Generați sau validați SBOM-ul | Inventarul componentelor este legat de artefactul de lansare |
| Urmăriți o vulnerabilitate de la detecție la închidere | Dovezile CVD, triaj, remediere, comunicare și închidere sunt testate |
| Urmăriți o componentă de la un furnizor până la contract și dovezile de securitate | Dovezile de securitate ale furnizorului sunt conectate la produs |
| Revizuiți semnalele de monitorizare după introducerea pe piață pentru ultimul trimestru | Informațiile din teren și revizuirea riscurilor sunt documentate |
| Înregistrați lacunele ca acțiuni corective în SMSI | Slăbiciunile CRA devin îmbunătățiri gestionate ale controalelor |
| Raportați starea pregătirii către management | Executivii primesc maturitatea dovezilor, nu activitate vagă de control |
Acest sprint dezvăluie de obicei adevărul rapid. Organizațiile rareori eșuează pentru că le lipsesc toate controalele. Eșuează pentru că aceste controale nu sunt conectate la nivel de produs.
Lacune comune de pregătire CRA înainte de 2026
La furnizorii de software, producătorii de dispozitive și furnizorii de servicii conectate, lacunele recurente sunt consecvente.
În primul rând, domeniul de aplicare al SMSI este prea corporativ. Acoperă organizația, dar nu intră suficient în detaliile ciclului de viață al produsului. Remedierea constă în crearea de anexe și dosare de dovezi la nivel de produs.
În al doilea rând, SBOM-urile există, dar nu sunt de încredere. Sunt generate de instrumente, dar nu sunt revizuite, aprobate, păstrate sau conectate la deciziile privind vulnerabilitățile. Remedierea constă în guvernanța SBOM, nu doar în producerea SBOM.
În al treilea rând, CVD este vizibil public, dar nu este matur operațional. Rapoartele sosesc, dar criteriile de triaj, obiectivele de răspuns, aprobările comunicărilor și dovezile de închidere sunt inconsecvente. Remedierea constă în integrarea CVD cu managementul vulnerabilităților, managementul incidentelor și managementul lansărilor.
În al patrulea rând, dovezile privind furnizorii sunt prea superficiale. Furnizorii critici sunt aprobați comercial, dar nu sunt evaluați pentru impactul asupra securității produsului. Remedierea constă în clasificarea furnizorilor pe baza riscului produsului și dovezi obligatorii pentru componentele critice.
În al cincilea rând, monitorizarea după introducerea pe piață este reactivă. Echipele răspund la vulnerabilități urgente, dar nu efectuează revizuiri periodice ale riscului produsului. Remedierea constă într-o revizuire programată a securității după introducerea pe piață, legată de raportarea către management.
În al șaselea rând, dovezile de audit sunt prea manuale. Echipele de conformitate urmăresc capturi de ecran. Remedierea este proiectarea dovezilor în controale: utilizarea sistemelor de inginerie, a fluxurilor de ticketing și a depozitelor ca surse autorizate.
Construiți dosarul de dovezi înainte ca termenul-limită să îl construiască pentru dumneavoastră
Regulamentul privind reziliența cibernetică recompensează organizațiile care pot demonstra securitatea produsului ca disciplină operațională. El creează risc pentru organizațiile care tratează dovezile ca pe un exercițiu de conformitate de ultim moment.
Începeți cu un produs. Construiți un Dosar de securitate a produsului. Mapați-l la ISO/IEC 27001:2022 și ISO/IEC 27002:2022. Atașați dovezi privind dezvoltarea securizată, SBOM, înregistrări CVD, asigurarea furnizorilor și monitorizarea după introducerea pe piață. Rulați o simulare de audit înainte ca cineva extern să o facă pentru dumneavoastră.
Clarysec vă poate ajuta să accelerați această călătorie cu Zenith Blueprint, Zenith Controls, Politica de dezvoltare securizată Enterprise, Politica de management al vulnerabilităților, Politica de management al activelor, Politica de securitate privind terții și furnizorii, Politica de jurnalizare și monitorizare și Politica de management al incidentelor de securitate a informației.
Cea mai importantă întrebare CRA 2026 nu este: „Avem controale de securitate?”
Este: „Putem demonstra securitatea produsului, lansare cu lansare, componentă cu componentă, vulnerabilitate cu vulnerabilitate, după ce produsul este deja pe piață?”
Construiți acum dosarul de dovezi, conectați-l la SMSI și faceți ca fiecare lansare viitoare de produs să fie pregătită pentru audit prin proiectare.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
