Súbor bezpečnostnej dokumentácie produktu podľa CRA 2026 s ISO 27001
Výrobca pripojených zariadení si na piatkové popoludňajšie stretnutie zavolá svoju riaditeľku informačnej bezpečnosti (CISO), Mariu. Obchodné oddelenie práve zabezpečilo európsku distribučnú zmluvu. Právne oddelenie sa pýta, či spoločnosť dokáže podporiť súlad s Aktom o kybernetickej odolnosti. Vývoj tvrdí, že bezpečný vývoj je „väčšinou pokrytý“, pretože existuje preskúmanie kódu, SAST a záplatovanie. Obstarávanie tvrdí, že dodávatelia sú „viazaní NDA“. Produktové tímy majú závislosti firmvéru v jednom nástroji, evidenciu cloudových API v inom a tickety zraniteľností v Jira. Funkcia súladu má dôkazy k certifikácii ISO/IEC 27001:2022, ale sú usporiadané podľa podnikového ISMS, nie podľa jednotlivých produktov uvádzaných na trh EÚ.
Potom príde nepríjemná otázka: „Ak si orgán EÚ, zákazník, notifikovaná osoba alebo významný distribútor v roku 2026 vyžiada súbor bezpečnostnej dokumentácie produktu, vieme ho pripraviť do jedného týždňa?“
Pre mnohých dodávateľov softvéru, výrobcov inteligentných zariadení a poskytovateľov pripojených služieb je úprimná odpoveď záporná. Nie preto, že by im chýbali bezpečnostné kontroly, ale preto, že dôkazy o bezpečnosti produktu sú rozptýlené. Záznamy o bezpečnom vývoji má vývoj. SBOM sa generujú pre jednotlivé buildy, ale nepodliehajú správe a riadeniu. Koordinované zverejňovanie zraniteľností existuje ako webová stránka, ale nie vždy je prepojené na triedenie, opravy, bezpečnostné upozornenia a monitorovanie po uvedení na trh. Bezpečnosť dodávateľov je ukrytá v zmluvách z obstarávania. Nahlasovanie incidentov patrí bezpečnostnej prevádzke, zatiaľ čo dokumentácia súladu patrí produktovému súladu.
Akt EÚ o kybernetickej odolnosti mení prevádzkový model. Kybernetická bezpečnosť produktu už nie je iba osvedčeným postupom alebo zmluvným prísľubom. Stáva sa povinnosťou preukazovania počas celého životného cyklu. Organizácie musia vedieť preukázať, ako sú požiadavky kybernetickej bezpečnosti zabudované do návrhu, vývoja, vydania, riešenia zraniteľností, aktualizácií a monitorovania po uvedení produktu na trh.
Tu sa ISO/IEC 27001:2022 stáva silným nástrojom, ak sa používa správne. Samo osebe nejde o schému certifikácie produktu, ale jeho ISMS, kontroly riadenia rizík, aktív, dodávateľov, vývoja, zraniteľností a incidentov môžu tvoriť chrbticu súboru bezpečnostnej dokumentácie produktu podľa CRA. Cieľom nie je vytvoriť ďalšie silo súladu. Cieľom je premeniť existujúci ISMS na dôkazový systém na úrovni produktu.
Ako to formuluje Clarysec Zenith Blueprint: 30-kroková cestovná mapa audítora vo fáze 2, kroku 8, Architektúra dôkazov:
„Dôkazy sa nemajú zbierať až na konci auditného cyklu. Majú byť navrhnuté priamo do kontroly, priradené vlastníkovi, časovo označené procesom a opakovane použiteľné pre každú povinnosť, ktorá kladie tú istú otázku iným jazykom.“
Táto veta vystihuje jadro pripravenosti na CRA. Otázka neznie iba: „Máme bezpečný vývoj?“ Otázka znie: „Vieme preukázať bezpečný vývoj, znalosť komponentov, riešenie zraniteľností a monitorovanie po uvedení na trh pre tento produkt, túto verziu, toto vydanie a tento trh?“
Súbor bezpečnostnej dokumentácie produktu podľa CRA je živý dôkazový systém
So súborom bezpečnostnej dokumentácie produktu podľa CRA sa nemá zaobchádzať ako so statickým PDF, ktoré sa raz vytvorí pred vydaním a potom sa naň zabudne. Má ísť o štruktúrovaný spis, ktorý opisuje bezpečnostný príbeh produktu od konceptu až po koniec podpory.
Užitočný súbor vysvetľuje:
- Čo produkt je a na aký účel sa má používať.
- Aký softvér, firmvér, cloudové služby a závislosti od tretích strán obsahuje.
- Ktoré riziká kybernetickej bezpečnosti boli posúdené.
- Ktoré bezpečnostné požiadavky boli uplatnené.
- Ako bol vykonaný bezpečný vývoj.
- Ako sa zraniteľnosti prijímajú, triedia, opravujú a zverejňujú.
- Ako sa doručujú bezpečné aktualizácie.
- Ako sa kontrolujú dodávatelia a open-source komponenty.
- Ako sa eskalujú incidenty a aktívne zneužívané zraniteľnosti.
- Ako sa produkt monitoruje po uvedení na trh.
Pre CISO je to výzva dôkazov ISMS. Pre manažéra produktového súladu je to technická dokumentácia. Pre vývoj je to DevSecOps a správa vydaní. Pre vrcholový manažment je to prístup na trh a kontrola zodpovednosti.
Chybou je vnímať tieto oblasti ako oddelené pracovné prúdy. Lepší model je vytvoriť dôkazový súbor na úrovni produktu, ktorý sa mapuje na kontroly ISO/IEC 27001:2022 a ISO/IEC 27002:2022, a následne tie isté dôkazy krížovo mapovať na NIS2, DORA, GDPR, NIST a COBIT 2019 tam, kde je to relevantné.
Clarysec Zenith Controls: Sprievodca krížovým súladom to opisuje ako reťazec kontrola – dôkaz – audítor:
„Dôkazový súbor pre krížový súlad má mapovať každú povinnosť na prevádzkovú kontrolu, opakovane vznikajúci dôkazový objekt, zodpovedného vlastníka a audítorskú optiku, ktorou bude spochybnený.“
To je disciplína, ktorú príprava na CRA potrebuje. Súbor bezpečnostnej dokumentácie produktu nie je iba priečinok. Je to prekladová vrstva medzi produktovým vývojom, riadením bezpečnosti, posudzovaním zhody a uistením zákazníkov.
Najprv vybudujte dôkazovú chrbticu produktu
Súbor potrebuje konzistentnú štruktúru skôr, ako tímy začnú nahrávať záznamy. Bez jasnej chrbtice sa dôkazy zmenia na hromadu snímok obrazovky, exportov a PDF politík, v ktorých sa žiadny audítor nevie orientovať.
Pre workshopy pripravenosti na CRA Clarysec zvyčajne odporúča nasledujúcu štruktúru súboru bezpečnostnej dokumentácie produktu pre organizácie, ktoré už prevádzkujú ISMS podľa ISO/IEC 27001:2022.
| Časť súboru bezpečnostnej dokumentácie produktu | Primárne dôkazy | Témy kontrol ISO/IEC 27001:2022 a ISO/IEC 27002:2022 | Typický vlastník |
|---|---|---|---|
| Definícia produktu a zamýšľané použitie | Opis produktu, architektúra, tok údajov, model nasadenia | A.5.9 Inventarizácia informácií a ďalších súvisiacich aktív, A.5.8 Informačná bezpečnosť pri riadení projektov, posúdenie rizík | vlastník produktu |
| Evidencia komponentov a závislostí | SBOM, zoznam materiálov firmvéru, mapa cloudových závislostí | A.5.9 Inventarizácia, A.8.9 Riadenie konfigurácie, A.8.8 Riadenie technických zraniteľností | vedúci vývoja |
| Dôkazy o bezpečnom vývoji | Modely hrozieb, preskúmania bezpečného návrhu, záznamy o preskúmaní kódu, výsledky bezpečnostných testov | A.8.25 Životný cyklus bezpečného vývoja, A.8.27 Bezpečná architektúra systému a inžinierske princípy, A.8.28 Bezpečné programovanie, A.8.29 Bezpečnostné testovanie pri vývoji a akceptácii | vývoj a AppSec |
| Riešenie zraniteľností a CVD | Politika zverejňovania, záznamy o prijatí, logy triedenia, SLA opráv, šablóny bezpečnostných upozornení | A.8.8 Riadenie technických zraniteľností, A.5.24 Plánovanie a príprava riadenia incidentov informačnej bezpečnosti, A.5.26 Reakcia na incidenty informačnej bezpečnosti | bezpečnostná prevádzka |
| Dôkazy od dodávateľov a k open-source | Posúdenia dodávateľov, zmluvné ustanovenia, preskúmanie OSS, pôvod komponentov | A.5.19 Informačná bezpečnosť vo vzťahoch s dodávateľmi, A.5.20 Riešenie informačnej bezpečnosti v dohodách s dodávateľmi, A.5.21 Riadenie informačnej bezpečnosti v dodávateľskom reťazci IKT | obstarávanie a právne oddelenie |
| Dôkazy o bezpečných aktualizáciách a vydaniach | Schválenia vydaní, záznamy o podpisovaní, plány vrátenia zmien, poznámky k záplatám | A.8.32 Riadenie zmien, A.8.24 Používanie kryptografie, A.8.9 Riadenie konfigurácie | manažér vydaní |
| Monitorovanie po uvedení na trh | Zdroje informácií o zraniteľnostiach, telemetria, hlásenia zákazníkov, preskúmania incidentov, pravidelné preskúmanie rizík | A.8.15 Logovanie, A.8.16 Monitorovacie činnosti, A.5.25 Posúdenie udalostí informačnej bezpečnosti a rozhodnutie o nich, neustále zlepšovanie | CISO a bezpečnosť produktu |
| Balík zhody a auditu | Mapovanie kontrol, schválenie manažmentom, index uchovávaných dôkazov | Riadenie ISMS, A.5.28 Zber dôkazov, vnútorný audit, preskúmanie manažmentom | manažér súladu |
Táto tabuľka nenahrádza zákonné povinnosti technickej dokumentácie. Poskytuje organizácii prevádzkový model na ich preukazovanie.
V Zenith Blueprint sa fáza 1, krok 3 zameriava na definovanie rozsahu a hraníc. Pre CRA sa tento krok stáva produktovo špecifickým. Definujte produktovú rodinu, verzie softvéru, predpoklady nasadenia, používateľské roly, pripojené služby, aktualizačné kanály a obdobie podpory. Ak je rozsah ISMS „podniková platforma SaaS a správy zariadení“, súbor podľa CRA musí stále odpovedať na užšiu otázku: „Ktorý produkt s digitálnymi prvkami sa uvádza na trh EÚ a čo je v ňom zahrnuté?“
Namapujte bezpečný vývoj na záznamy na úrovni produktu
Jadrom súboru bezpečnostnej dokumentácie produktu sú dôkazy o bezpečnosti už od návrhu. ISO/IEC 27001:2022 poskytuje systém správy a riadenia. ISO/IEC 27002:2022 poskytuje implementačné usmernenie prostredníctvom kontrol, ako sú A.8.25 Životný cyklus bezpečného vývoja, A.8.27 Bezpečná architektúra systému a inžinierske princípy, A.8.28 Bezpečné programovanie a A.8.29 Bezpečnostné testovanie pri vývoji a akceptácii.
Dôležitý posun je od všeobecných tvrdení o bezpečnom vývoji k záznamom viazaným na konkrétne vydanie. „Vykonávame preskúmanie kódu“ nestačí. Súbor má ukázať, ktoré vydanie bolo preskúmané, ktoré riziká boli zohľadnené, ktoré bezpečnostné testy prešli, ktoré zraniteľnosti boli akceptované alebo odstránené a kto vydanie schválil.
Enterprise Politika bezpečného vývoja od Clarysec je navrhnutá tak, aby vynútila túto dôkazovú stopu. V bode 6.1, Požiadavky na životný cyklus bezpečného vývoja, uvádza:
„Každé vydanie produktu alebo služby musí pred nasadením do produkčného prostredia uchovávať zdokumentované dôkazy o bezpečnostných požiadavkách, preskúmaní návrhu, aktivitách bezpečného programovania, bezpečnostnom testovaní, rozhodnutiach o náprave zraniteľností a schválení vydania.“
Tento bod je pre CRA užitočný, pretože mení bezpečný vývoj na opakovateľný dôkazový vzor. Audítor nemusí usudzovať, že bezpečný vývoj prebehol. Môže skontrolovať záznam vydania.
Pre inteligentný termostat, zdravotnícke IoT zariadenie, priemyselný snímač alebo produkt pripojený k SaaS by dôkazy o bezpečnom vývoji mali zahŕňať:
- Bezpečnostné požiadavky produktu namapované na identifikované riziká.
- Model hrozieb alebo analýzu scenárov zneužitia pre produkt a pripojené služby.
- Preskúmanie architektúry vrátane hraníc dôvery a externých rozhraní.
- Štandard bezpečného programovania a dôkaz o potvrdení alebo školení vývojárov.
- SAST, DAST, analýzu zloženia softvéru, skenovanie tajomstiev a analýzu firmvéru, ak sú uplatniteľné.
- Tickety nápravy pre vysoko rizikové zistenia.
- Záznamy o akceptácii rizika so schválením zo strany organizácie a bezpečnosti.
- Kontrolný zoznam brány vydania preukazujúci splnenie bezpečnostných kritérií.
- Dôkazy o kryptografickom podpisovaní a integrite aktualizácií.
- Predpoklady obdobia podpory a konca životnosti.
Metódu pomáhajú posilniť aj ďalšie normy. ISO/IEC 27005 podporuje rizikový prístup stojaci za týmito záznamami. ISO/IEC 27017 je užitočná tam, kde cloudové služby tvoria súčasť produktového ekosystému. ISO/IEC 27035 podporuje riešenie incidentov. ISO/IEC 29147 a ISO/IEC 30111 sú osobitne relevantné pre zverejňovanie zraniteľností a ich riešenie. ISO/IEC 27036 podporuje bezpečnosť dodávateľov, čo je dôležité, keď produkt obsahuje outsourcovaný softvér, vstavané moduly, spravované cloudové služby alebo knižnice tretích strán.
V Zenith Controls sa dôkazy o bezpečnom vývoji podľa CRA zvyčajne mapujú okolo tém kontrol ISO/IEC 27002:2022, ako sú informačná bezpečnosť pri riadení projektov, životný cyklus bezpečného vývoja, bezpečné programovanie, bezpečnostné testovanie, riadenie zmien a riadenie technických zraniteľností. Sprievodca ich zároveň prepája s inventarizáciou aktív a kontrolami dodávateľov, pretože žiadny proces bezpečného vývoja nie je úplný, ak organizácia nevie identifikovať komponenty, ktoré dodáva.
Zaobchádzajte so SBOM ako s regulovaným dôkazom o produkte
Software Bill of Materials sa často vníma ako technický artefakt. Pre pripravenosť na CRA sa má vnímať ako dôkaz o produkte.
Užitočný SBOM ukazuje, aké komponenty sú v produkte, ktoré verzie sa používajú, odkiaľ pochádzajú, aké licencie sa na ne vzťahujú, ktoré zraniteľnosti ich ovplyvňujú a ktoré vydania ich obsahujú. Pri firmvérových a vstavaných produktoch to môže zahŕňať balíky operačného systému, bootloadery, knižnice, ovládače, kontajnery, moduly tretích strán a cloudové závislosti potrebné na prevádzku produktu.
Problém je, že mnohé organizácie SBOM generujú, ale neriadia ich. Build pipeline môže vytvoriť súbor SPDX alebo CycloneDX, ale nikto nevaliduje úplnosť. Bezpečnostné nástroje môžu označiť zraniteľnosti, ale výsledky nie sú previazané s verziami produktu. Obstarávanie môže schváliť dodávateľa, ale zoznam komponentov tohto dodávateľa nie je zosúladený s vydaným produktom.
Enterprise Politika správy aktív od Clarysec rieši túto medzeru v správe a riadení v bode 5.2, Inventarizácia informácií a súvisiacich aktív:
„Informačné aktíva a súvisiace technologické komponenty musia byť identifikované, musí im byť priradený vlastník, musia byť klasifikované tam, kde je to uplatniteľné, a udržiavané v inventári, ktorý podporuje posúdenie rizík, riadenie zraniteľností, riadenie zmien a auditné dôkazy.“
Pre CRA sa tento bod stáva produktovo špecifickým. SBOM je súčasťou inventára súvisiacich technologických komponentov. Potrebuje vlastníka, pravidlo uchovávania, proces validácie a väzbu na riadenie zraniteľností.
Praktické pravidlo dôkazov SBOM je jednoduché: každá vydaná verzia produktu musí mať schválenú evidenciu komponentov, ktorú možno priradiť k artefaktu vydania. Ak organizácia nevie prepojiť SBOM s presným obrazom firmvéru, aplikačným balíkom, digestom kontajnera alebo vydaním SaaS, SBOM je slabý dôkaz.
| Kontrola | Dôkazy na zhromaždenie | Kritériá úspechu |
|---|---|---|
| Väzba na vydanie | ID vydania, hash buildu, verzia firmvéru, digest kontajnera alebo ID balíka | SBOM sa jasne mapuje na vydaný artefakt |
| Úplnosť komponentov | Súbor SBOM, správa zo skenu závislostí, manuálne výnimky | Priame aj tranzitívne závislosti sú zachytené alebo sú výnimky odôvodnené |
| Stav zraniteľností | Správa SCA, tickety zraniteľností, akceptácie rizika | Známe zneužiteľné alebo vysoko rizikové zistenia majú nápravu alebo schválenú výnimku |
| Väzba na dodávateľa | Vyhlásenia dodávateľov o komponentoch, vyhlásenia tretích strán, podmienky podpory | Kritické dodávané komponenty majú dôkazy od dodávateľa |
| Licencia a pôvod | Sken licencií, záznam zdrojového repozitára, schválený zdroj balíka | Pôvod a používanie komponentu sú zdokumentované |
| Uchovávanie a prístup | Cesta k úložisku dôkazov, vlastník, pravidlo uchovávania | Funkcia súladu vie získať SBOM a súvisiace záznamy v stanovenom čase |
Ak zlyhajú viac než dva riadky, problémom zvyčajne nie je nástroj SBOM. Problémom je správa a riadenie. Súbor bezpečnostnej dokumentácie produktu má zaznamenať nápravné opatrenie v ISMS, pretože slabina dôkazov podľa CRA je zároveň problémom účinnosti kontrol podľa ISO/IEC 27001:2022.
Prepojte CVD s riešením zraniteľností a správou vydaní
Koordinované zverejňovanie zraniteľností je jednou z najviditeľnejších oblastí pripravenosti na CRA, pretože externí výskumníci, zákazníci a orgány ho môžu priamo otestovať. Zverejnenie stránky na oznamovanie zraniteľností alebo súboru security.txt je užitočné, ale je to iba vstupná brána. Súbor bezpečnostnej dokumentácie produktu musí preukázať, že zázemie funguje.
Obhájiteľný súbor dôkazov pre CVD a riešenie zraniteľností má zahŕňať:
- Verejne dostupný kanál na zverejňovanie a pokyny na podanie.
- Proces potvrdenia prijatia pre výskumníkov.
- Kritériá triedenia vrátane posúdenia závažnosti a zneužiteľnosti.
- Analýzu dopadu na produkt.
- Vlastníctvo nápravy a cieľové lehoty.
- Šablóny zákazníckych upozornení a komunikácie o aktualizáciách.
- Dôkazy o bezpečnom vývoji a testovaní záplat.
- Záznamy o koordinovanom zverejnení, ak je uplatniteľné.
- Poučenia a analýzu opakujúcich sa trendov zraniteľností.
Enterprise Politika riadenia zraniteľností od Clarysec v bode 6.3, Prijatie, triedenie a náprava zraniteľností, uvádza:
„Nahlásené zraniteľnosti sa musia zaznamenať do logu, posúdiť z hľadiska dotknutých aktív a produktov, prioritizovať podľa rizika a zneužiteľnosti, priradiť zodpovednému vlastníkovi a sledovať cez nápravu, overenie, komunikáciu a uzavretie.“
Tento bod prepája CVD so SBOM, inventarizáciou aktív, vývojovými ticketmi, správou vydaní a monitorovaním po uvedení na trh. Je to zároveň bod, ktorý audítori prirodzene otestujú: ukážte záznam o prijatí, ukážte dotknuté produkty, ukážte triedenie, ukážte opravu, ukážte komunikáciu so zákazníkom, ukážte uzavretie.
Vaša existujúca Politika riadenia incidentov informačnej bezpečnosti by mala byť rozšírená aj na produktové zraniteľnosti, ktoré sa stanú incidentmi alebo vyžadujú externé oznámenie. ISO/IEC 27002:2022 A.5.24 pokrýva plánovanie a prípravu riadenia incidentov, A.5.25 pokrýva posúdenie udalostí informačnej bezpečnosti a rozhodnutie o nich, A.5.26 pokrýva reakciu na incidenty informačnej bezpečnosti a A.5.27 pokrýva učenie sa z incidentov.
V Zenith Controls sa riadenie zraniteľností chápe ako preventívne aj nápravné. Preventívna časť zahŕňa inventarizáciu, bezpečný vývoj, monitorovanie dodávateľov a bezpečnú konfiguráciu. Nápravná časť zahŕňa detekciu, triedenie, záplatovanie, komunikáciu a eskaláciu incidentov. Toto rozlíšenie je dôležité, pretože riešenie zraniteľností po uvedení na trh je súčasťou povinnosti životného cyklu produktu, nie dodatočnou aktivitou.
Dôkazy od dodávateľov sú skrytou slabinou
Súbor bezpečnostnej dokumentácie produktu bude často najprísnejšie spochybnený tam, kde sa výrobca spolieha na iných. Patria sem vstavané moduly, outsourcovaný vývoj firmvéru, white-label komponenty, cloud hosting, mobilné SDK, platobné služby, kryptografické knižnice a poskytovatelia riadenej podpory.
Bežným vzorom zlyhania je zmluvná abstrakcia. Výrobca povie: „Za to zodpovedá náš dodávateľ.“ Pri kontrole bezpečnosti produktu to nestačí. Organizácia musí preukázať, že dodávateľské riziko je identifikované, bezpečnostné požiadavky sú komunikované, dôkazy sa zbierajú, zraniteľnosti sú koordinované a zmeny sú riadené.
Enterprise Politika bezpečnosti tretích strán a dodávateľov od Clarysec v bode 7.1, Bezpečnostné požiadavky na dodávateľov, uvádza:
„Dodávatelia, ktorí vyvíjajú, prevádzkujú, spracúvajú, podporujú alebo podstatne ovplyvňujú informačné systémy, produkty alebo služby, musia byť posudzovaní podľa rizika a musia podliehať bezpečnostným požiadavkám pokrývajúcim prístup, riadenie zraniteľností, oznamovanie incidentov, subdodávky, kontinuitu a poskytovanie dôkazov.“
Pre CRA je kritické slovné spojenie „podstatne ovplyvňujú produkty“. Ak dodávateľský komponent môže zaviesť zraniteľnosť, narušiť aktualizácie, sprístupniť údaje zákazníkov alebo kompromitovať integritu zariadenia, patrí do súboru bezpečnostnej dokumentácie produktu.
Tá istá politika môže podporiť aj zmluvné požiadavky na SBOM. Bod 7.3 uvádza:
„Pre všetky softvérové komponenty, knižnice alebo operačné systémy tretích strán, ktoré majú byť integrované do podnikových „Produktov s digitálnymi prvkami“, musí dodávateľ na požiadanie poskytnúť strojovo čitateľný Software Bill of Materials (SBOM) v štandardnom formáte, ako je SPDX alebo CycloneDX. Táto požiadavka musí byť zahrnutá do všetkých zmlúv o obstarávaní a dodávateľských zmlúv.“
Silný balík dôkazov od dodávateľov má zahŕňať klasifikáciu dodávateľov podľa dopadu na produkt, bezpečnostné požiadavky v zmluvách, dôkazy dodávateľa o bezpečnom vývoji kritických komponentov, záväzky dodávateľa k zverejňovaniu zraniteľností, SBOM alebo vyhlásenia o komponentoch tam, kde je to možné, podporu záplat a lehoty konca životnosti, záznamy o pravidelnom preskúmaní a eskalačné postupy pre zraniteľnosti pochádzajúce od dodávateľa.
ISO/IEC 27002:2022 A.5.19, A.5.20 a A.5.21 poskytujú kľúčové témy kontrol dodávateľov. ISO/IEC 27036 pridáva hĺbku pre bezpečnosť dodávateľských vzťahov. Z pohľadu krížového súladu NIS2 zdôrazňuje dodávateľský reťazec a riešenie zraniteľností. DORA zdôrazňuje riziko externých poskytovateľov IKT pre finančné subjekty. GDPR je relevantné, keď produkt alebo jeho cloudové služby spracúvajú osobné údaje. COBIT 2019 rámcuje správu dodávateľov ako otázku podnikovej správy a riadenia technológií, nielen ako otázku bezpečnostnej prevádzky.
Monitorovanie po uvedení na trh mení dôkazy na prevádzku
Najvyspelejšie organizácie v oblasti produktovej bezpečnosti rozmýšľajú nad rámec vydania. Pýtajú sa: „Ako zistíme, že sa tento produkt stal rizikovým po nasadení v teréne?“
Monitorovanie po uvedení na trh má zachytávať signály zo zdrojov informácií o zraniteľnostiach, spravodajstva o exploitoch, zákazníckej podpory, telemetrie, bug bounty alebo hlásení výskumníkov, oznámení dodávateľov, cloudových logov, záznamov incidentov a údajov o výkonnosti v teréne. Malo by zahŕňať aj pravidelné preskúmanie rizika produktu pri zmene podmienok hrozieb.
Enterprise Politika logovania a monitorovania od Clarysec v bode 5.4, Monitorovanie a preskúmanie bezpečnosti, uvádza:
„Bezpečnostne relevantné udalosti sa musia zhromažďovať, preskúmavať, eskalovať a uchovávať spôsobom, ktorý podporuje včasnú detekciu, vyšetrovanie, reakciu na incidenty, vykazovanie súladu a neustále zlepšovanie.“
Pri pripojených produktoch sa to musí vykladať opatrne. Monitorovanie musí rešpektovať ochranu súkromia, minimalizáciu údajov a právne obmedzenia, najmä tam, kde telemetria zahŕňa osobné údaje alebo prevádzkové údaje zákazníkov. Mapovanie na GDPR je dôležité. Tímy produktovej bezpečnosti by mali spolupracovať s tímami ochrany súkromia a definovať, ktorá telemetria je potrebná na bezpečnosť, ako sa minimalizuje, ako dlho sa uchováva a ako sú zákazníci informovaní.
Dôkazy o monitorovaní po uvedení na trh majú zahŕňať plán monitorovania bezpečnosti produktu, zdroje informácií o zraniteľnostiach, kanály na prijímanie hlásení zákazníkov, kanály oznámení dodávateľov, rozsah preskúmania telemetrie alebo logov, zápisnice z pravidelného preskúmania rizika produktu, sledovanie prijatia záplat, analýzu trendov incidentov a vstupy do preskúmania manažmentom.
V Zenith Blueprint sa fáza 5, krok 30 zameriava na neustále zlepšovanie a pripravenosť na dohľad. Pre CRA je to miesto, kde sa súbor bezpečnostnej dokumentácie produktu stáva živým súborom. Každé vydanie produktu, zraniteľnosť, zmena dodávateľa a signál z terénu má aktualizovať dôkazový záznam.
Jeden dôkazový súbor, veľa otázok súladu
Dobre navrhnutý súbor bezpečnostnej dokumentácie produktu podľa CRA znižuje duplicitu, pretože tie isté dôkazy odpovedajú na viaceré otázky súladu. Jazyk sa mení, ale realita kontrol je často podobná.
| Dôkazový objekt | Relevantnosť pre CRA | Téma ISO/IEC 27001:2022 a ISO/IEC 27002:2022 | Relevantnosť pre NIS2, DORA, GDPR, NIST a COBIT 2019 |
|---|---|---|---|
| Posúdenie rizík produktu | Preukazuje, že bezpečnostné riziká boli zohľadnené počas návrhu a životného cyklu produktu | Posúdenie rizík, A.5.8 Informačná bezpečnosť pri riadení projektov, A.8.25 Životný cyklus bezpečného vývoja | Riadenie rizík podľa NIS2, riadenie rizík IKT podľa DORA, NIST Govern and Identify, správa a riadenie rizík podľa COBIT |
| SBOM a evidencia komponentov | Preukazuje znalosť softvérových komponentov a vystavenie zraniteľnostiam | A.5.9 Inventarizácia, A.8.9 Riadenie konfigurácie, A.8.8 Riadenie technických zraniteľností | Dodávateľský reťazec podľa NIS2, povedomie o IKT aktívach podľa DORA, NIST Asset Management, spravované aktíva podľa COBIT |
| Záznamy o bezpečnom vývoji | Preukazujú, že bezpečnosť bola zabudovaná do návrhu a vydania | A.8.25 Životný cyklus bezpečného vývoja, A.8.27 Bezpečná architektúra, A.8.28 Bezpečné programovanie, A.8.29 Bezpečnostné testovanie | NIST Protect, správa buildov a zmien podľa COBIT, ochrana údajov už od návrhu podľa GDPR tam, kde ide o osobné údaje |
| CVD a tickety zraniteľností | Preukazujú schopnosť prijímať, posudzovať, odstraňovať a komunikovať zraniteľnosti | A.8.8 Riadenie technických zraniteľností, A.5.24 Plánovanie incidentov, A.5.26 Reakcia na incidenty | Riešenie zraniteľností podľa NIS2, procesy incidentov a zraniteľností podľa DORA, NIST Respond |
| Dôkazy od dodávateľov | Preukazujú, že závislosti produktu podliehajú správe a riadeniu | A.5.19 Vzťahy s dodávateľmi, A.5.20 Dohody s dodávateľmi, A.5.21 Dodávateľský reťazec IKT | Bezpečnosť dodávateľského reťazca podľa NIS2, riziko externých poskytovateľov IKT podľa DORA, správa dodávateľov podľa COBIT |
| Monitorovanie po uvedení na trh | Preukazuje priebežný dohľad nad bezpečnosťou produktu | A.8.15 Logovanie, A.8.16 Monitorovacie činnosti, A.5.25 Posúdenie udalostí, neustále zlepšovanie | Detekcia incidentov podľa NIS2, monitorovanie podľa DORA, NIST Detect, podpora detekcie porušení ochrany údajov podľa GDPR |
| Záznamy o nahlasovaní incidentov | Preukazujú pripravenosť na eskaláciu a oznamovanie | A.5.24 Plánovanie incidentov, A.5.25 Posúdenie udalostí, A.5.26 Reakcia na incidenty, A.5.27 Učenie sa z incidentov | Oznamovanie podľa NIS2 a DORA, posúdenie porušenia ochrany údajov podľa GDPR, NIST Respond and Recover |
Zenith Controls je navrhnutý na toto opakované použitie. Mapuje témy kontrol ISO/IEC 27002:2022 na atribúty, ako sú preventívny, detekčný a nápravný účel kontroly, koncepty kybernetickej bezpečnosti, prevádzkové schopnosti a bezpečnostné vlastnosti. Pre CRA to pomáha CISO vysvetliť, prečo jeden dôkazový objekt, napríklad bezpečnostné preskúmanie vydania, podporuje bezpečný vývoj, ošetrenie rizík, riadenie zmien, riadenie zraniteľností a pripravenosť na audit.
Pripravte sa na rôzne audítorské perspektívy
Súbor bezpečnostnej dokumentácie produktu podľa CRA môže spochybniť audítor ISO, tím vnútorného auditu, tím zákazníckeho uistenia, posudzovateľ zhody produktu, regulátor, posudzovateľ orientovaný na NIST alebo audítor COBIT vyškolený v ISACA. Každý položí podobné otázky inou optikou.
| Audítorská perspektíva | Na čo sa budú pýtať | Silné dôkazy |
|---|---|---|
| Audítor ISO/IEC 27001:2022 | Je produktová bezpečnosť riadená v rámci ISMS, rizikového procesu, modelu kompetencií, prevádzkových kontrol a cyklu neustáleho zlepšovania? | Rozsah ISMS, posúdenie rizík, Vyhlásenie o uplatniteľnosti, záznamy o bezpečnom vývoji, zistenia vnútorného auditu, preskúmanie manažmentom |
| Certifikačná perspektíva ISO/IEC 27006-1:2024 | Sú auditné dôkazy spoľahlivé, primerane vzorkované a prepojené s certifikovaným systémom manažérstva? | Index dôkazov, logika vzorkovania, rozhovory s vlastníkmi, uchovávané záznamy, sledovanie nápravných opatrení |
| Posudzovateľ orientovaný na NIST | Viete preukázať správu a riadenie, identifikáciu aktív, ochranné opatrenia, detekciu, reakciu a obnovu pre životný cyklus produktu? | Register rizík produktu, SBOM, plán monitorovania, pracovný tok zraniteľností, playbooky incidentov |
| Audítor COBIT 2019 alebo ISACA | Sú ciele produktovej bezpečnosti riadené, merané, vlastnené a zosúladené s podnikovým rizikom a doručovaním hodnoty? | RACI, metriky, schválenia politík, správa a riadenie dodávateľov, manažérske výkazníctvo, akceptácia rizika |
| Posudzovateľ zhody produktu | Ukazuje technický súbor požiadavky kybernetickej bezpečnosti, kontroly návrhu, riešenie zraniteľností a monitorovanie po uvedení na trh pre produkt? | Index súboru bezpečnostnej dokumentácie produktu, architektúra, SBOM, dôkazy o testovaní, záznamy CVD, dôkazy o aktualizáciách |
| Zákaznícky bezpečnostný posudzovateľ | Viete preukázať, že produkt je bezpečne vyvíjaný a podporovaný počas svojho životného cyklu? | Súhrn bezpečného SDLC, súhrn penetračného testu, proces zverejňovania zraniteľností, politika podpory záplat, uistenie dodávateľov |
Tá istá slabina sa prejaví rôzne. Ak sa SBOM generujú, ale neuchovávajú, audítor ISO vidí problém riadenia záznamov a prevádzkových kontrol. Posudzovateľ NIST vidí slabinu v správe aktív a riadení zraniteľností. Audítor COBIT vidí slabú správu a riadenie informačných aktív. Produktový posudzovateľ vidí nedostatočnú technickú dokumentáciu.
30-kroková cestovná mapa prispôsobená pripravenosti na CRA
Zenith Blueprint bráni tímom súladu skočiť priamo do zbierania dokumentov. Pre CRA sa 30-kroková cestovná mapa mení na program dôkazov produktovej bezpečnosti.
Fáza 1 začína mapovaním povinností a rozsahu. Identifikujte, ktoré produkty, verzie, komponenty, cloudové služby a podporné procesy sú v rozsahu. Potvrďte zamýšľané použitie, kategórie používateľov, trhy a obdobie bezpečnostnej podpory.
Fáza 2 buduje architektúru dôkazov. Definujte index súboru bezpečnostnej dokumentácie produktu, vlastníkov dôkazov, požiadavky na uchovávanie, štruktúru úložiska a schvaľovací pracovný tok. Zosúlaďte sa s vývojovými systémami namiesto vynucovania manuálneho nahrávania.
Fáza 3 implementuje prevádzkové kontroly. Bezpečný vývoj, generovanie SBOM, riešenie zraniteľností, dôkazy od dodávateľov, brány vydaní, bezpečné aktualizácie a eskalácia incidentov musia fungovať ako skutočné procesy.
Fáza 4 testuje pripravenosť na audit. Vyberte vydanie produktu a vykonajte simulovaný audit. Vie tím získať SBOM? Vie preukázať bezpečnostné testovanie? Vie ukázať, ako bola zraniteľnosť triedená? Vie prepojiť dôkazy od dodávateľa s komponentmi produktu?
Fáza 5 zavádza dohľad a zlepšovanie. Monitorovanie po uvedení na trh, analýza trendov zraniteľností, preskúmania dodávateľov a vstupy do preskúmania manažmentom udržiavajú súbor aktuálny.
| Štvortýždňový sprint pripravenosti na CRA | Výstup |
|---|---|
| Vybrať jeden vlajkový produkt pre EÚ | Rozsah produktu, verzie, služby a obdobie podpory sú definované |
| Vytvoriť index súboru bezpečnostnej dokumentácie produktu | Časti dôkazov, vlastníci a pravidlá uchovávania sú zdokumentované |
| Namapovať kontroly ISO/IEC 27001:2022 na časti súboru | Mapovanie kontrol na dôkazy je k dispozícii pre audit |
| Pripojiť jedno nedávne vydanie ako vzorku dôkazov | Záznamy o bezpečnom vývoji, testovaní a schválení vydania sú prepojené |
| Vygenerovať alebo validovať SBOM | Evidencia komponentov je previazaná s artefaktom vydania |
| Vysledovať jednu zraniteľnosť od detekcie po uzavretie | Dôkazy o CVD, triedení, náprave, komunikácii a uzavretí sú otestované |
| Vysledovať jeden dodávateľský komponent po zmluvu a bezpečnostné dôkazy | Dôkazy o bezpečnosti dodávateľa sú prepojené s produktom |
| Preskúmať signály monitorovania po uvedení na trh za posledný štvrťrok | Spravodajstvo z terénu a preskúmanie rizík sú zdokumentované |
| Zaznamenať medzery ako nápravné opatrenia ISMS | Slabiny podľa CRA sa stávajú riadenými zlepšeniami kontrol |
| Nahlásiť stav pripravenosti manažmentu | Vrcholový manažment dostáva zrelosť dôkazov, nie neurčitú aktivitu kontrol |
Tento sprint zvyčajne rýchlo odhalí skutočný stav. Organizácie zriedka zlyhávajú preto, že nemajú žiadne kontroly. Zlyhávajú preto, že kontroly nie sú prepojené na úrovni produktu.
Bežné medzery pripravenosti na CRA pred rokom 2026
U dodávateľov softvéru, výrobcov zariadení a poskytovateľov pripojených služieb sa opakujú konzistentné medzery.
Po prvé, rozsah ISMS je príliš podnikový. Pokrýva organizáciu, ale nie dostatočné detaily životného cyklu produktu. Nápravou je vytvoriť produktové prílohy a dôkazové súbory.
Po druhé, SBOM existujú, ale nie sú dôveryhodné. Generujú ich nástroje, ale nie sú preskúmané, schválené, uchovávané ani prepojené s rozhodnutiami o zraniteľnostiach. Nápravou je správa a riadenie SBOM, nielen tvorba SBOM.
Po tretie, CVD je verejne viditeľné, ale prevádzkovo nezrelé. Hlásenia prichádzajú, ale kritériá triedenia, cieľové lehoty reakcie, schvaľovanie bezpečnostných upozornení a dôkazy o uzavretí sú nekonzistentné. Nápravou je integrovať CVD s riadením zraniteľností, riadením incidentov a správou vydaní.
Po štvrté, dôkazy od dodávateľov sú príliš plytké. Kritickí dodávatelia sú obchodne schválení, ale nie sú posúdení z hľadiska dopadu na bezpečnosť produktu. Nápravou je klasifikácia dodávateľov podľa rizika produktu a povinné dôkazy pre kritické komponenty.
Po piate, monitorovanie po uvedení na trh je reaktívne. Tímy reagujú na urgentné zraniteľnosti, ale nevykonávajú pravidelné preskúmania rizika produktu. Nápravou je plánované bezpečnostné preskúmanie po uvedení na trh previazané s manažérskym výkazníctvom.
Po šieste, auditné dôkazy sú príliš manuálne. Tímy súladu zháňajú snímky obrazovky. Nápravou sú dôkazy už od návrhu, ktoré používajú vývojové systémy, tiketovacie pracovné toky a repozitáre ako autoritatívne zdroje.
Vybudujte dôkazový súbor skôr, než ho za vás vytvorí termín
Akt o kybernetickej odolnosti odmeňuje organizácie, ktoré vedia preukázať produktovú bezpečnosť ako prevádzkovú disciplínu. Vytvára riziko pre organizácie, ktoré považujú dôkazy za aktivitu súladu na poslednú chvíľu.
Začnite jedným produktom. Vytvorte jeden súbor bezpečnostnej dokumentácie produktu. Namapujte ho na ISO/IEC 27001:2022 a ISO/IEC 27002:2022. Pripojte dôkazy o bezpečnom vývoji, SBOM, záznamy CVD, uistenie dodávateľov a monitorovanie po uvedení na trh. Spustite simuláciu auditu skôr, než to za vás urobí niekto zvonka.
Clarysec vám môže pomôcť urýchliť túto cestu prostredníctvom Zenith Blueprint, Zenith Controls, Enterprise Politiky bezpečného vývoja, Politiky riadenia zraniteľností, Politiky správy aktív, Politiky bezpečnosti tretích strán a dodávateľov, Politiky logovania a monitorovania a Politiky riadenia incidentov informačnej bezpečnosti.
Vaša najdôležitejšia otázka k CRA 2026 neznie: „Máme bezpečnostné kontroly?“
Znie: „Vieme preukázať bezpečnosť produktu po jednotlivých vydaniach, komponent po komponente, zraniteľnosť po zraniteľnosti, aj po tom, ako je produkt už na trhu?“
Vybudujte dôkazový súbor teraz, prepojte ho so svojím ISMS a zabezpečte, aby každé budúce vydanie produktu bolo pripravené na audit už od návrhu.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
