Cloudové auditné dôkazy pre ISO 27001, NIS2 a DORA

Maria, riaditeľka informačnej bezpečnosti (CISO) v rýchlo rastúcej spoločnosti poskytujúcej finančnú analytiku, mala šesť týždňov, kým sa zbehli tri termíny. Jej dozorný audit ISO 27001:2022 bol už naplánovaný. NIS2 posunula spoločnosť ako dôležitý subjekt na novú úroveň zodpovednosti manažmentu. DORA mala preveriť, či jej fintech prevádzka dokáže preukázať digitálnu prevádzkovú odolnosť. Zároveň veľký podnikový klient pozastavil uzatvorenie zmluvy, kým jej tím neprejde podrobným preskúmaním bezpečnostného uistenia.

Spoločnosť nebola nezabezpečená. Prevádzkovala produkčné pracovné záťaže v AWS a Azure, používala Microsoft 365 a viaceré kritické SaaS platformy, vynucovala MFA, zálohovala údaje, skenovala zraniteľnosti a zbierala cloudové logy. Problémom boli dôkazy.

Dôkazy boli roztrúsené v snímkach zo Slacku, vývojárskych wiki stránkach, exportoch z cloudových konzol, priečinkoch obstarávania, právnych zmluvách a ústnych uisteniach vlastníkov platforiem. Keď audítor položil otázku: „Ukážte mi, ako riadite svoje cloudové prostredie,“ odkaz na stránku cloudového poskytovateľa o súlade nestačil. Certifikáty poskytovateľa preukazovali kontroly poskytovateľa. Nepreukazovali Máriinu časť modelu zdieľanej zodpovednosti.

Práve tu zlyháva mnoho programov cloudových bezpečnostných auditných dôkazov. Nie preto, že by kontroly chýbali, ale preto, že organizácia nedokáže štruktúrovaným a sledovateľným spôsobom preukázať, ktoré zodpovednosti patria poskytovateľovi, ktoré zákazníkovi, ako sú nakonfigurované kontroly SaaS a IaaS, ako sa uplatňujú záväzky dodávateľov a ako sa dôkazy uchovávajú pre audítorov, regulátorov a zákazníkov.

Cloudový súlad už nie je technickou prílohou. Pre poskytovateľa SaaS podľa NIS2, finančný subjekt podľa DORA alebo akúkoľvek organizáciu ISO 27001:2022 používajúcu IaaS, PaaS a SaaS je riadenie cloudu súčasťou rozsahu ISMS, plánu ošetrenia rizík, životného cyklu dodávateľov, procesu riadenia incidentov, zodpovednosti za ochranu súkromia a preskúmania manažmentom.

Praktický cieľ je jednoduchý: vybudovať jednu architektúru cloudových dôkazov pripravenú na preskúmanie regulátorom, ktorá zodpovie otázky ISO 27001:2022, NIS2, DORA, GDPR, zákazníckeho uistenia a vnútorného auditu bez toho, aby bolo potrebné dôkazy nanovo zostavovať pre každý rámec.

Cloud je vždy v rozsahu, aj keď je infraštruktúra outsourcovaná

Prvou auditnou pascou je predpoklad, že outsourcovaná infraštruktúra je mimo ISMS. Nie je. Outsourcing mení hranicu kontrol, neodstraňuje zodpovednosť organizácie.

ISO/IEC 27001:2022 vyžaduje, aby organizácia definovala svoj kontext, zainteresované strany, rozsah ISMS, rozhrania, závislosti a procesy. V cloud-first organizácii sú poskytovateľ identít, účet cloudového hostingu, CRM, e-mailová platforma, dátový sklad, CI/CD pipeline, tiketovací nástroj a zálohovacia služba často kľúčovou podnikovou infraštruktúrou.

Clarysec Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint tento bod zdôrazňuje vo fáze ISMS Foundation & Leadership, krok 2, Stakeholder Needs and ISMS Scope:

„Ak outsourcujete svoju IT infraštruktúru cloudovému poskytovateľovi, nevylučuje ju to z rozsahu; naopak, do rozsahu zahŕňate riadenie tohto vzťahu a cloudové aktíva ako súčasť rozsahu, pretože bezpečnosť vašich údajov v cloude je vašou zodpovednosťou.“

Toto vyhlásenie je auditnou oporou. Váš rozsah nemá uvádzať: „AWS je vylúčené, pretože ho spravuje Amazon.“ Má uvádzať, že informačné aktíva a procesy súvisiace so službami hostovanými v AWS sú v rozsahu vrátane riadenia cloudových bezpečnostných kontrol, identity, logovania, šifrovania, zálohovania, uistenia dodávateľov a reakcie na incidenty.

Pre ISO 27001:2022 to podporuje kapitoly 4.1 až 4.4 o kontexte, zainteresovaných stranách, rozsahu a procesoch ISMS. Pre NIS2 to podporuje očakávania Article 21 týkajúce sa analýzy rizík, riešenia incidentov, kontinuity činností, bezpečnosti dodávateľského reťazca, bezpečného nadobúdania a údržby, riadenia prístupu, správy aktív, kryptografie, účinnosti kontrol a MFA tam, kde je to vhodné. Pre DORA to podporuje zásadu, že finančné subjekty zostávajú zodpovedné za riziká IKT aj vtedy, keď sú IKT služby outsourcované.

Otázka neznie, či je váš cloudový poskytovateľ bezpečný. Otázka znie, či riadite svoje používanie poskytovateľa, správne konfigurujete svoju stranu, monitorujete službu, riadite záväzky dodávateľa a uchovávate dôkazy.

Zdieľaná zodpovednosť sa musí stať zdieľanými dôkazmi

Cloudoví poskytovatelia vysvetľujú zdieľanú zodpovednosť. Audítori testujú, či ste ju zaviedli do prevádzky.

V IaaS poskytovateľ zvyčajne zabezpečuje fyzické priestory, základnú infraštruktúru a hypervízor. Zákazník riadi identitu, konfiguráciu pracovných záťaží, hardening operačného systému, bezpečnosť aplikácií, klasifikáciu údajov, nastavenia šifrovania, sieťové pravidlá, logovanie, zálohy, záplatovanie a reakciu na incidenty.

V SaaS poskytovateľ riadi väčšinu prevádzky platformy, ale zákazník stále riadi konfiguráciu tenanta, používateľov, administrátorské roly, integrácie, zdieľanie údajov, uchovávanie, možnosti logovania a eskalačné postupy.

Clarysec Zenith Controls: The Cross-Compliance Guide Zenith Controls považuje kontrolu ISO/IEC 27002:2022 5.23, informačná bezpečnosť pri používaní cloudových služieb, za centrálnu kontrolu riadenia cloudu s preventívnym zámerom naprieč dôvernosťou, integritou a dostupnosťou. Prepája cloudové služby so vzťahmi s dodávateľmi, bezpečným prenosom informácií, inventarizáciou aktív, prevenciou úniku údajov, bezpečnosťou koncových bodov a sietí a postupmi bezpečného vývoja.

Kľúčový výklad Zenith Controls uvádza:

„Poskytovatelia cloudových služieb (CSP) fungujú ako kritickí dodávatelia, a preto sa na nich vzťahujú všetky kontroly týkajúce sa výberu dodávateľov, uzatvárania zmlúv a riadenia rizík podľa 5.19. 5.23 však ide ďalej tým, že rieši špecifické cloudové riziká, ako sú multi-tenancy, transparentnosť umiestnenia údajov a modely zdieľanej zodpovednosti.“

Toto rozlíšenie je zásadné. Samotné certifikáty dodávateľa nespĺňajú Annex A.5.23. Potrebujete dôkazy na strane zákazníka, ktoré preukazujú, že cloudová služba je riadená, nakonfigurovaná, monitorovaná a preskúmavaná.

Toto je rozdiel medzi tým, že cloudové kontroly máte, a tým, že máte cloudové kontroly pripravené na audit.

Začnite registrom cloudových služieb, ktorý audítori dokážu použiť

Najrýchlejší spôsob, ako zlepšiť pripravenosť cloudového auditu, je vytvoriť úplný register cloudových služieb. Nemá ísť o zoznam z obstarávania ani export z financií. Musí prepájať cloudové služby s údajmi, vlastníkmi, regiónmi, prístupom, zmluvami, kritickosťou, regulačnou relevanciou a dôkazmi.

Clarysec SME Cloud Usage Policy-sme Cloud Usage Policy-sme poskytuje kompaktný a auditne použiteľný základ v kapitole 5.3:

„Register cloudových služieb musí viesť poskytovateľ IT služieb alebo GM. Musí zaznamenávať: 5.3.1 názov a účel každej schválenej cloudovej služby 5.3.2 zodpovednú osobu alebo tím (vlastník aplikácie) 5.3.3 typy uložených alebo spracúvaných údajov 5.3.4 krajinu alebo región, kde sú údaje uložené 5.3.5 oprávnenia používateľského prístupu a administrátorské účty 5.3.6 podrobnosti zmluvy, dátumy obnovy a kontakty podpory“

Pre podnikové prostredia stanovuje Clarysec Cloud Usage Policy Cloud Usage Policy širší mandát:

„Táto politika stanovuje povinné požiadavky organizácie na bezpečné, súladné a zodpovedné používanie cloudových výpočtových služieb naprieč modelmi poskytovania Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) a Software-as-a-Service (SaaS).“

Cloud Usage Policy vyžaduje centralizovaný register vo vlastníctve CISO a schválené referenčné konfigurácie pre cloudové prostredia. Tento register sa stáva dôkazovým základom pre viacero povinností naraz.

Pre ISO 27001:2022 podporuje inventarizáciu aktív, riadenie používania cloudových služieb, vzťahy s dodávateľmi, riadenie prístupu, právne a zmluvné požiadavky, ošetrenie rizík a zdokumentované informácie. Pre NIS2 podporuje bezpečnosť dodávateľského reťazca, správu aktív, analýzu rizík, riešenie incidentov a kontinuitu. Pre DORA podporuje mapovanie IKT aktív a závislostí, registre externých poskytovateľov IKT, mapovanie kritických alebo dôležitých funkcií a analýzu rizika koncentrácie. Pre GDPR identifikuje, či sa spracúvajú osobné údaje, kde sa nachádzajú, ktorý poskytovateľ vystupuje ako sprostredkovateľ a ktoré podmienky prenosu alebo spracúvania údajov sa uplatňujú.

Ak register neidentifikuje kategórie údajov a regióny, dôkazy ochrany súkromia a odolnosti budú neúplné. Ak neidentifikuje vlastníkov aplikácií, revízia prístupových práv zostane bez vlastníka. Ak neidentifikuje zmluvy a dátumy obnovy, bezpečnostné doložky dodávateľov nemožno testovať.

Urobte z ISO 27001:2022 chrbticu cloudových dôkazov

ISO 27001:2022 je najlepšou chrbticou cloudových dôkazov, pretože prepája kontext organizácie, riziko, kontroly, prevádzkové dôkazy, monitorovanie a zlepšovanie.

Kľúčové požiadavky ISO 27001:2022 relevantné pre cloud zahŕňajú:

• Kapitoly 4.1 až 4.4 pre kontext, zainteresované strany, rozsah ISMS, rozhrania, závislosti a procesy.
• Kapitoly 5.1 až 5.3 pre vedenie, politiku, roly, zodpovednosti a preukázateľnú zodpovednosť.
• Kapitoly 6.1.1 až 6.1.3 pre posúdenie rizík, ošetrenie rizík, porovnanie s Annex A, vyhlásenie o uplatniteľnosti a akceptáciu zvyškového rizika.
• Kapitolu 7.5 pre riadené zdokumentované informácie.
• Kapitoly 8.1 až 8.3 pre prevádzkové plánovanie a riadenie, vykonanie posúdenia rizík a vykonanie ošetrenia rizík.
• Kapitoly 9.1 až 9.3 pre monitorovanie, meranie, vnútorný audit a preskúmanie manažmentom.
• Kapitolu 10 pre nezhodu, nápravné opatrenie a neustále zlepšovanie.

Kontroly Annex A s najväčšou váhou pre cloudové dôkazy zahŕňajú A.5.19 Informačná bezpečnosť vo vzťahoch s dodávateľmi, A.5.20 Riešenie informačnej bezpečnosti v zmluvách s dodávateľmi, A.5.21 Riadenie informačnej bezpečnosti v dodávateľskom reťazci IKT, A.5.22 Monitorovanie, preskúmanie a riadenie zmien služieb dodávateľov, A.5.23 Informačná bezpečnosť pri používaní cloudových služieb, A.5.24 až A.5.27 riadenie incidentov, A.5.29 Informačná bezpečnosť počas narušenia, A.5.30 Pripravenosť IKT na kontinuitu činností, A.5.31 Právne, zákonné, regulačné a zmluvné požiadavky, A.5.34 Ochrana súkromia a ochrana PII, A.5.36 Súlad s politikami, pravidlami a normami informačnej bezpečnosti, A.8.8 Riadenie technických zraniteľností, A.8.9 Riadenie konfigurácie, A.8.13 Zálohovanie informácií, A.8.15 Logovanie, A.8.16 Monitorovacie činnosti, A.8.24 Používanie kryptografie, A.8.25 Životný cyklus bezpečného vývoja, A.8.29 Bezpečnostné testovanie počas vývoja a akceptácie a A.8.32 Riadenie zmien.

V Zenith Blueprint, vo fáze Controls in Action, krok 23, sa cloudové služby vysvetľujú jazykom, ktorý audítorom dáva zmysel:

„Prechod na cloudové služby prináša zásadné zmeny modelu dôvery. Už nekontrolujete server, sieťový perimeter ani hypervízor. Často ani neviete, kde sa údaje fyzicky nachádzajú. To, čo kontrolujete, a čo táto kontrola vynucuje, je správa tohto vzťahu, viditeľnosť toho, čo používate, a bezpečnostné očakávania, ktoré kladiete na svojich poskytovateľov.“

Silný záznam vo vyhlásení o uplatniteľnosti pre A.5.23 nemá hovoriť iba „uplatniteľné, cloudový poskytovateľ certifikovaný“. Má vysvetliť, prečo sa kontrola uplatňuje, ktoré riziká ošetruje, ako je implementovaná a kde sú uložené dôkazy.

Pridajte do SoA alebo sledovača kontrol stĺpec s umiestnením dôkazov. Audítori by nemali musieť prehľadávať e-mail, tiketovacie systémy a zdieľané úložiská, aby našli dôkaz.

Použite jeden dôkazový model pre ISO 27001:2022, NIS2 a DORA

NIS2 aj DORA vyžadujú zdokumentovanú, rizikovo orientovanú kybernetickú bezpečnosť vedenú manažmentom. Prekryv je významný, ale tlak dohľadu je odlišný.

NIS2 sa vzťahuje na mnohé základné a dôležité subjekty v EÚ vrátane poskytovateľov digitálnej infraštruktúry, poskytovateľov riadených služieb, poskytovateľov riadených bezpečnostných služieb, bankovníctva, infraštruktúr finančných trhov a digitálnych poskytovateľov. Article 21 vyžaduje primerané a proporcionálne technické, prevádzkové a organizačné opatrenia vrátane analýzy rizík, riešenia incidentov, kontinuity činností, bezpečnosti dodávateľského reťazca, bezpečného nadobúdania a údržby, riešenia zraniteľností, posudzovania účinnosti kontrol, kybernetickej hygieny, školenia, kryptografie, riadenia prístupu, správy aktív a MFA alebo zabezpečenej komunikácie tam, kde je to vhodné.

Pri cloudových bezpečnostných auditných dôkazoch sa NIS2 pýta, či sú cloudové a dodávateľské riziká riadené ako súčasť rizika poskytovania služby. Prináša aj štruktúrované hlásenie významných incidentov vrátane včasného varovania do 24 hodín, oznámenia incidentu do 72 hodín a záverečnej správy do jedného mesiaca.

DORA sa od 17. januára 2025 vzťahuje na mnohé finančné subjekty EÚ a vytvára jednotné požiadavky na riadenie rizík IKT, hlásenie závažných IKT incidentov, testovanie digitálnej prevádzkovej odolnosti, zdieľanie informácií a riziká externých poskytovateľov IKT. Pre finančné subjekty identifikované aj podľa NIS2 sa DORA považuje za odvetvovo špecifický právny akt Únie pre prekrývajúce sa prevádzkové povinnosti.

Pre cloud je DORA priama. Finančné subjekty zostávajú zodpovedné za riziká IKT, aj keď sú služby outsourcované. Potrebujú stratégie pre externých poskytovateľov IKT, registre zmlúv, predzmluvné posúdenia, náležitú starostlivosť, práva na audit a prístup, spúšťače ukončenia, analýzu rizika koncentrácie, kontroly subdodávok a otestované stratégie ukončenia.

Zenith Controls mapuje kontrolu ISO/IEC 27002:2022 5.23 na EU NIS2 Article 21 a DORA Articles 28 to 31. Odkazuje aj na podporné normy, ako ISO/IEC 27017 pre cloudové bezpečnostné roly a monitorovanie, ISO/IEC 27018 pre ochranu PII vo verejnom cloude, ISO/IEC 27701 pre riadenie ochrany súkromia vo vzťahoch s cloudovými sprostredkovateľmi, ISO/IEC 27036-4 pre monitorovanie cloudových služieb a zmluvy s dodávateľmi a ISO/IEC 27005 pre posúdenie cloudových rizík.

Praktický dôsledok je jednoduchý. Nevytvárajte samostatné balíky dôkazov pre ISO 27001:2022, NIS2, DORA a GDPR. Vybudujte jednu architektúru cloudových dôkazov s mapovaniami špecifickými pre jednotlivé rámce.

Zmluvy s dodávateľmi sú dôkazom kontrol, nie právnym archívom

Cloudové auditné dôkazy sa často lámu na zmluvnej vrstve. Bezpečnostný tím má dotazník dodávateľa. Právne oddelenie má MSA. Obstarávanie má dátum obnovy. DPO má DPA. Nikto nemá jednotný pohľad na to, či dohoda obsahuje bezpečnostné doložky vyžadované ISO 27001:2022, NIS2, DORA a GDPR.

Clarysec SME Third-Party and Supplier Security Policy-sme Third-Party and Supplier Security Policy-sme v kapitole 5.3 uvádza:

„Zmluvy musia obsahovať povinné doložky zahŕňajúce: 5.3.1 dôvernosť a mlčanlivosť 5.3.2 povinnosti informačnej bezpečnosti 5.3.3 lehoty oznámenia porušenia ochrany údajov, napr. do 24–72 hodín 5.3.4 práva na audit alebo dostupnosť dôkazov súladu 5.3.5 obmedzenia ďalšieho subdodávania bez schválenia 5.3.6 podmienky ukončenia vrátane bezpečného vrátenia alebo zničenia údajov“

Pre konzistentnosť auditu preveďte tieto doložky do matice preskúmania zmlúv. ISO 27001:2022 Annex A.5.20 očakáva, že bezpečnostné požiadavky budú dohodnuté s dodávateľmi. GDPR Article 28 vyžaduje podmienky sprostredkovateľa pokrývajúce dôvernosť, bezpečnostné opatrenia, súčinnosť, ďalších sprostredkovateľov, výmaz alebo vrátenie údajov a podporu auditu. DORA Article 30 vyžaduje podrobné zmluvné ustanovenia pre externých poskytovateľov IKT vrátane opisov služieb, umiestnenia údajov, bezpečnosti, podpory pri incidentoch, spolupráce s orgánmi, práv na audit, prístupových práv, ukončenia a prechodných opatrení. Bezpečnosť dodávateľského reťazca podľa NIS2 tiež vyžaduje vynútiteľnú spoluprácu dodávateľov.

Zenith Controls mapuje kontrolu ISO/IEC 27002:2022 5.20 na zmluvy s dodávateľmi a uvádza väzby na 5.19 vzťahy s dodávateľmi, 5.14 prenos informácií, 5.22 monitorovanie dodávateľov, 5.11 vrátenie aktív a 5.36 súlad.

Kľúčom je prevádzkové zavedenie. Ak cloudová zmluva poskytuje prístup k SOC 2 reportom, audítori sa môžu pýtať, či ste report získali, preskúmali výnimky, sledovali nápravu a prehodnotili riziko. Ak zmluva sľubuje oznámenie o porušení ochrany údajov, môžu sa pýtať, či váš incidentný playbook obsahuje kontaktnú cestu na dodávateľa a regulačné rozhodovacie body. Ak zmeny subdodávateľov vyžadujú schválenie alebo oznámenie, môžu sa pýtať, či sa oznámenia o ďalších sprostredkovateľoch preskúmavajú pred akceptáciou.

Zmluva bez dôkazov o preskúmaní je archív. Zmluva prepojená s dodávateľským rizikom, záznamami monitorovania a pracovnými tokmi riadenia incidentov je kontrola.

Logovanie a konfigurácia SaaS sú časté slepé miesta auditu

Cloudové zistenia často pochádzajú zo SaaS, nie z IaaS. Infraštruktúrne tímy zvyčajne majú technických vlastníkov, logovacie pipeliny, referenčné kontroly a záznamy o zmenách. SaaS platformy sú roztrieštené medzi predaj, HR, financie, customer success, marketing a prevádzku. Každá z nich môže spracúvať citlivé alebo regulované údaje.

Clarysec Logging and Monitoring Policy-sme Logging and Monitoring Policy-sme to priamo rieši v kapitole 5.5:

„5.5 Cloudové služby a logovanie tretích strán 5.5.1 Pre platformy, kde logovanie nie je pod priamou kontrolou IT, napr. SaaS e-mail, platia tieto požiadavky: 5.5.1.1 Logovanie musí byť zapnuté a nakonfigurované tam, kde je dostupné 5.5.1.2 Upozornenia musia byť smerované poskytovateľovi IT podpory 5.5.1.3 Zmluvy musia vyžadovať, aby poskytovatelia uchovávali logy najmenej 12 mesiacov a poskytli k nim prístup na požiadanie“

Pre podniky Cloud Usage Policy dodáva:

„Cloudové služby musia byť integrované do SIEM organizácie na účely priebežného monitorovania.“

Táto požiadavka posúva SaaS z „podnikového nástroja“ na „monitorovaný informačný systém“. Dôkazy majú zahŕňať exporty nastavení logovania, dôkaz konektora SIEM, pravidlá upozornení, tickety triáže, nastavenia uchovávania a revízie administrátorského prístupu.

Pre kritické SaaS pripravte dôkazy o vytváraní administrátorských účtov, podozrivých prihláseniach, hromadnom sťahovaní, verejnom zdieľaní, vypnutí MFA, vytvorení API tokenov, aktivite externých hostí a eskalácii oprávnení. Pre IaaS pripravte CloudTrail alebo ekvivalentné logovanie riadiacej roviny, logy prístupu k úložiskám, zmeny IAM, flow logy tam, kde je to vhodné, zistenia CSPM, skeny zraniteľností, dôkazy záplatovania, nastavenia šifrovania, stav zálohovania, preskúmania sieťových bezpečnostných skupín a tickety zmien.

Auditná metodika Zenith Controls pre kontrolu 5.23 uvádza, že audit v štýle ISO/IEC 27007 môže kontrolovať oprávnenia AWS S3 bucketov, šifrovanie, politiky IAM a logovanie CloudTrail. Audítor orientovaný na COBIT môže preskúmať konfigurácie upozornení, DLP kontroly, používanie Microsoft 365 Secure Score a logy riadenia zmien. Perspektíva NIST SP 800-53A môže testovať riadenie účtov a monitorovanie vrátane toho, či sú cloudové pracovné záťaže záplatované, skenované a monitorované s rovnakou dôslednosťou ako interné systémy.

Rôzni audítori hovoria rôznymi dialektmi. Vaše dôkazy majú byť rovnaké.

Vybudujte balík dôkazov pripravený pre regulátora pre jednu službu SaaS a jednu službu IaaS

Praktický pracovný postup začína jednou kritickou platformou SaaS a jedným kritickým prostredím IaaS. Napríklad Microsoft 365 pre spoluprácu a AWS pre produkčný hosting.

Krok 1: Aktualizujte register cloudových služieb

Pre Microsoft 365 zaznamenajte účel, vlastníka, typy údajov, región, administrátorské účty, zmluvu, DPA, kontakt podpory, dátum obnovy a kritickosť. Pre AWS zaznamenajte produkčný účet, regióny, kategórie údajov, pracovné záťaže, vlastníka účtu, stav root účtu, plán podpory, zmluvné podmienky a prepojené podnikové služby.

Použite polia Cloud Usage Policy-sme ako minimálny súbor údajov. Pridajte kritickosť, regulačnú relevanciu a umiestnenie dôkazov.

Krok 2: Zdokumentujte zdieľanú zodpovednosť

Pre Microsoft 365 zodpovednosti zákazníka zahŕňajú životný cyklus používateľov, MFA, podmienený prístup, zdieľanie s hosťami, retenčné štítky, DLP tam, kde sa používa, logovanie a eskaláciu incidentov. Pre AWS zodpovednosti zákazníka zahŕňajú IAM, sieťové pravidlá, hardening pracovných záťaží, konfiguráciu šifrovania, zálohovanie, logovanie, záplatovanie a bezpečnosť aplikácií.

Priložte dokumentáciu poskytovateľa o zdieľanej zodpovednosti a následne namapujte každú zodpovednosť zákazníka na vlastníka kontroly a zdroj dôkazov.

Krok 3: Zachyťte konfiguračné dôkazy

Pre Microsoft 365 exportujte alebo urobte snímky politík MFA a podmieneného prístupu, administrátorských rolí, nastavení externého zdieľania, auditného logovania, konfigurácie uchovávania a akcií bezpečnostného skóre. Pre AWS exportujte politiku hesiel IAM, stav privilegovanej MFA, konfiguráciu CloudTrail, blokovanie verejného prístupu S3, stav šifrovania, preskúmanie bezpečnostných skupín, zálohovacie úlohy a stav skenovania zraniteľností.

Cloud Usage Policy vyžaduje, aby cloudové prostredia boli v súlade so zdokumentovanou referenčnou konfiguráciou schválenou cloudovým bezpečnostným architektom. Váš balík dôkazov má obsahovať referenčnú úroveň aj dôkaz súladu s ňou.

Krok 4: Prepojte dodávateľské dôkazy a dôkazy ochrany súkromia

Priložte zmluvu, DPA, zoznam ďalších sprostredkovateľov, podmienky oznámenia porušenia ochrany údajov, reporty auditného uistenia a dôkazy o umiestnení údajov. Ak sa spracúvajú osobné údaje, zaznamenajte, či poskytovateľ vystupuje ako sprostredkovateľ, ako sa rieši výmaz, ako funguje podpora žiadostí dotknutých osôb a ktoré ochranné opatrenia pri prenose sa uplatňujú.

Pre DORA identifikujte, či cloudová služba podporuje kritickú alebo dôležitú funkciu. Ak áno, prepojte dôkazy s registrom externých poskytovateľov IKT, súborom due diligence, právami na audit, plánom ukončenia a preskúmaním rizika koncentrácie.

Krok 5: Prepojte logovanie s reakciou na incidenty

Preukážte, že logy sú zapnuté, smerované, preskúmavané a používané. Priložte dashboardy SIEM, pravidlá upozornení a aspoň jeden uzavretý ticket upozornenia. Následne namapujte pracovný tok na rozhodovacie body hlásenia podľa NIS2 a DORA.

Pre NIS2 musí proces riadenia incidentov podporovať včasné varovanie do 24 hodín, oznámenie incidentu do 72 hodín a záverečnú správu do jedného mesiaca pre významné incidenty. Pre DORA má proces IKT incidentov klasifikovať incidenty podľa dotknutých klientov, transakcií, trvania, výpadku, geografického rozsahu, dopadu na údaje, kritickosti služby a ekonomického dopadu.

Krok 6: Ukladajte dôkazy disciplinovane

Clarysec Audit and Compliance Monitoring Policy-sme Audit and Compliance Monitoring Policy-sme v kapitole 6.2 definuje praktickú disciplínu práce s dôkazmi:

„6.2 Zber dôkazov a dokumentácia 6.2.1 Všetky dôkazy musia byť uložené v centralizovanom auditnom priečinku. 6.2.2 Názvy súborov musia jasne odkazovať na auditnú tému a dátum. 6.2.3 Metadáta, napr. kto dôkaz získal, kedy a z ktorého systému, musia byť zdokumentované. 6.2.4 Dôkazy musia byť uchovávané najmenej dva roky alebo dlhšie, ak to vyžadujú certifikačné alebo zákaznícke dohody.“

Podniková Audit and Compliance Monitoring Policy Audit and Compliance Monitoring Policy uvádza cieľ:

„Vytvárať obhájiteľné dôkazy a auditnú stopu na podporu regulačných preverení, právnych konaní alebo požiadaviek zákazníkov na uistenie.“

Snímka obrazovky nazvaná „screenshot1.png“ je slabý dôkaz. Súbor s názvom „AWS-Prod-CloudTrail-Enabled-2026-05-10-CollectedBy-JSmith.png“ je silnejší, pretože opisuje systém, kontrolu, dátum a osobu, ktorá dôkaz získala. Metadáta sú dôležité, pretože audítori musia dôverovať tomu, kedy bol dôkaz získaný, kto ho získal a z ktorého systému pochádza.

Ako audítori testujú rovnakú cloudovú kontrolu

Najsilnejšie cloudové balíky dôkazov sú navrhnuté pre viaceré auditné pohľady. Audítori ISO 27001:2022 testujú, či je kontrola v ISMS, posúdení rizík, ošetrení rizík a SoA. Posudzovatelia orientovaní na NIST testujú technickú implementáciu. Audítori COBIT 2019 testujú správu a riadenie, výkonnosť dodávateľov a integráciu procesov. Audítori ochrany súkromia sa zameriavajú na povinnosti sprostredkovateľov, lokalizáciu údajov, pripravenosť na porušenia ochrany údajov a práva dotknutých osôb. Dohľadové preskúmania DORA sa zameriavajú na riziká externých poskytovateľov IKT a odolnosť.

Zenith Controls zahŕňa tieto rozdiely auditnej metodiky pre cloudové služby, zmluvy s dodávateľmi a monitorovanie dodávateľov. Pri 5.22, Monitorovanie, preskúmanie a riadenie zmien služieb dodávateľov, zdôrazňuje, že audítori môžu kontrolovať štvrťročné zápisnice z preskúmaní dodávateľov, reporty KPI, hodnotenia SOC reportov, zoznamy zmien, posúdenia rizík, dodávateľské incidenty a sledovanie problémov. Pri 5.20, Riešenie informačnej bezpečnosti v zmluvách s dodávateľmi, zdôrazňuje vzorkovanie zmlúv z hľadiska dôvernosti, bezpečnostných povinností, oznámenia porušenia ochrany údajov, práv na audit, schvaľovania subdodávateľov a podmienok ukončenia.

Kontroly naprieč rámcami, ktoré nesú hlavnú cloudovú auditnú záťaž

Cloudový dôkazový model pripravený pre regulátora je postavený na malom počte vysoko účinných kontrol. Tieto kontroly nesú veľkú časť záťaže súladu naprieč ISO 27001:2022, NIS2, DORA, GDPR, NIST a COBIT 2019.

NIST SP 800-53 Rev.5 pridáva technickú hĺbku prostredníctvom riadenia účtov, externých systémových služieb, priebežného monitorovania, monitorovania systémov a ochrany hraníc. COBIT 2019 pridáva hĺbku správy a riadenia prostredníctvom riadenia vzťahov s dodávateľmi, dodávateľského rizika, výmeny údajov, bezpečnosti sietí a pripravenosti na zmeny.

Podporné normy ISO spresňujú dôkazový model. ISO/IEC 27017 poskytuje cloudovo špecifické usmernenia pre zdieľané roly, konfiguráciu virtuálnych strojov a monitorovanie aktivít zákazníkov. ISO/IEC 27018 sa zameriava na ochranu PII vo verejnom cloude. ISO/IEC 27701 rozširuje povinnosti ochrany súkromia do prevádzky sprostredkovateľov a prevádzkovateľov. ISO/IEC 27036-4 podporuje zmluvy s cloudovými dodávateľmi a monitorovanie. ISO/IEC 27005 podporuje posúdenie cloudových rizík.

Preskúmanie manažmentom musí vidieť cloudové riziko, nielen dostupnosť cloudu

Jedným z najviac prehliadaných auditných artefaktov je preskúmanie manažmentom. ISO 27001:2022 očakáva, že preskúmanie manažmentom zohľadní zmeny, potreby zainteresovaných strán, trendy výkonnosti, výsledky auditov, stav ošetrenia rizík a príležitosti na zlepšenie. NIS2 vyžaduje, aby riadiace orgány schvaľovali opatrenia riadenia kybernetických rizík a dohliadali na ich implementáciu. DORA vyžaduje, aby riadiaci orgán definoval, schvaľoval, dohliadal a zostával zodpovedný za riadenie rizík IKT.

Štvrťročný dashboard cloudovej bezpečnosti a dodávateľov má zobrazovať:

• Počet schválených cloudových služieb.
• Kritické cloudové služby a vlastníkov.
• Služby spracúvajúce osobné údaje.
• Služby podporujúce kritické alebo dôležité funkcie.
• Otvorené vysokorizikové chybné konfigurácie cloudu.
• Stav MFA a revízií privilegovaného prístupu.
• Pokrytie logovaním pre kritické platformy SaaS a IaaS.
• Prijaté a preskúmané reporty uistenia dodávateľov.
• Zmluvné výnimky a akceptované riziká.
• Cloudové incidenty, takmer vzniknuté incidenty a získané ponaučenia.
• Výsledky testov zálohovania a obnovy.
• Stav rizika koncentrácie a plánu ukončenia.

Tento dashboard sa stáva dôkazom pre vedenie a hodnotenie výkonnosti podľa ISO 27001:2022, správu a riadenie podľa NIS2 a zodpovednosť manažmentu podľa DORA.

Zenith Blueprint vo fáze Risk Management, krok 14, odporúča pri implementácii ošetrení rizík a politík krížovo odkazovať regulačné požiadavky. Uvádza, že mapovanie kľúčových regulačných požiadaviek na kontroly ISMS je užitočné interné cvičenie a „zároveň zapôsobí na audítorov/posudzovateľov, že bezpečnosť neriadite vo vákuu, ale poznáte právny kontext.“

To je úroveň zrelosti, ktorú regulátori a podnikoví zákazníci očakávajú.

Bežné cloudové auditné zistenia a ako sa im vyhnúť

Pri práci na pripravenosti cloudového auditu sa opakovane objavujú predvídateľné zistenia:

1. Register cloudových služieb existuje, ale chýbajú v ňom nástroje SaaS.
2. Umiestnenie údajov nie je zaznamenané alebo je skopírované z marketingových stránok namiesto zmluvných dôkazov.
3. MFA sa vynucuje pre zamestnancov, ale nie pre všetky administrátorské alebo „break glass“ účty.
4. Cloudové logy sú zapnuté, ale nie sú preskúmavané, uchovávané ani prepojené s reakciou na incidenty.
5. SOC reporty dodávateľov sú archivované, ale nie posúdené.
6. Zmluvné doložky existujú pre nových dodávateľov, ale nie pre zdedené kritické služby.
7. Oznámenia o ďalších sprostredkovateľoch prichádzajú e-mailom, ale nie sú posudzované z hľadiska rizika.
8. Zálohovacie úlohy úspešne bežia, ale testy obnovy nie sú doložené.
9. Zdieľanej zodpovednosti rozumejú inžinieri, ale nie je zdokumentovaná pre audítorov.
10. SoA označuje cloudové kontroly ako uplatniteľné, ale neprepája ich so záznamami rizík, dôkazmi alebo vlastníkmi.

Ide o problémy sledovateľnosti. Riešením je prepojiť politiku, riziko, kontrolu, vlastníka, dôkaz a preskúmanie.

Keď prišiel deň auditu, Maria sa už nespoliehala na roztrúsené snímky obrazovky. Otvorila centrálny dashboard zobrazujúci register cloudových služieb, posúdenia rizík, záznamy SoA, dôkazy referenčnej konfigurácie, súbory preskúmaní dodávateľov, dôkaz logovania a preskúmanie rizika koncentrácie podľa DORA. Keď sa audítor opýtal, ako sa riadia cloudové riziká, ukázala ISMS. Keď sa audítor opýtal, ako sú služby bezpečne nakonfigurované, ukázala referenčnú úroveň a dôkazy CSPM. Keď sa audítor opýtal na riziko externých poskytovateľov IKT, ukázala preskúmanie zmluvy, monitorovanie dodávateľov a plánovanie ukončenia.

Výsledkom nebolo dokonalé prostredie. Žiadne cloudové prostredie nie je dokonalé. Rozdiel bol v tom, že rozhodnutia o riziku boli zdokumentované, dôkazy boli obhájiteľné a zodpovednosť bola viditeľná.

Vybudujte svoj cloudový balík dôkazov skôr, ako sa opýta audítor

Ak sa vaša organizácia spolieha na SaaS, IaaS alebo PaaS, váš ďalší audit neakceptuje odpoveď „rieši to poskytovateľ“ ako dostatočnú. Musíte preukázať zdieľanú zodpovednosť, zákaznícku konfiguráciu, doložky dodávateľov, logovanie, pripravenosť na incidenty, odolnosť a dohľad manažmentu.

Začnite tento týždeň tromi praktickými krokmi:

1. Vytvorte alebo aktualizujte svoj register cloudových služieb pomocou Clarysec Cloud Usage Policy Cloud Usage Policy alebo Cloud Usage Policy-sme Cloud Usage Policy-sme.
2. Namapujte svojich päť najdôležitejších cloudových služieb na kontroly ISO 27001:2022 Annex A, NIS2 Article 21, povinnosti DORA pre externých poskytovateľov IKT tam, kde sa uplatňujú, a požiadavky GDPR na sprostredkovateľov.
3. Vybudujte centralizovaný priečinok dôkazov s použitím disciplíny uchovávania a metadát z Audit and Compliance Monitoring Policy Audit and Compliance Monitoring Policy alebo Audit and Compliance Monitoring Policy-sme Audit and Compliance Monitoring Policy-sme.

Potom použite Zenith Blueprint Zenith Blueprint na zaradenie práce do 30-krokovej auditnej cestovnej mapy ISMS a Zenith Controls Zenith Controls na validáciu mapovaní naprieč rámcami, podporných noriem ISO a očakávaní auditnej metodiky.

Clarysec vám môže pomôcť premeniť roztrúsené cloudové snímky obrazovky, dodávateľské súbory a nastavenia SaaS na balík dôkazov pripravený pre regulátorov, ktorý obstojí pri certifikačných auditoch ISO 27001:2022, dohľadových otázkach NIS2, preskúmaniach externých poskytovateľov IKT podľa DORA a požiadavkách podnikových zákazníkov na uistenie.