Od skenov k dôkazom: ISO 27001:2022, NIS2, DORA

Je pondelok 08:16. Na riadiacom paneli pre aplikačný server dostupný z internetu sa práve objavila kritická zraniteľnosť umožňujúca vzdialené vykonanie kódu. Tím infraštruktúry uvádza, že záplata od dodávateľa je dostupná. Vlastník aplikácie upozorňuje, že server podporuje zákaznícky pracovný tok kritický pre výnosy. Právne oddelenie sa pýta, či by zneužitie mohlo spustiť oznamovacie povinnosti podľa NIS2, DORA alebo GDPR. CISO Maria otvára kalendár auditov a vidí skutočný problém: dozorný audit ISO 27001:2022 sa začína budúci týždeň, preskúmanie pripravenosti na NIS2 už prebieha a významný fintech zákazník si vyžiadal dôkazy pre DORA.

Skener ukazuje červenú. Panel tiketov ukazuje aktivitu. Tabuľkový prehľad ukazuje vynaložené úsilie. Nič z toho však automaticky nepreukazuje účinnosť kontroly.

Toto je medzera, ktorú mnohé organizácie zistia príliš neskoro. Skenovanie zraniteľností nie je to isté ako auditná pripravenosť riadenia zraniteľností. Sken hovorí, že niečo môže byť nesprávne. Auditný dôkaz preukazuje, že organizácia vedela, čo vlastní, posúdila riziko, priradila vlastníctvo, konala v súlade s politikou, riadila zmenu, zdokumentovala výnimky, overila výsledky a preskúmala výstup.

Pri ISO/IEC 27001:2022, NIS2 a DORA je tento reťazec dôkazov rovnako dôležitý ako samotná technická oprava. Skener príbeh začína. Inventarizácia aktív, register zraniteľností, tiket, rizikové rozhodnutie, záznam o zmene, záznam o záplate, validačné dôkazy, schválenie výnimky a preskúmanie manažmentom ho dokončujú.

Prístup Clarysec je jednoduchý: riadenie zraniteľností sa nemá chápať ako mesačný technický rituál. Má byť riadeným dôkazovým pracovným tokom.

Prečo správy zo skenov zlyhávajú ako auditný dôkaz

Sken zraniteľností je technické pozorovanie k určitému okamihu. Môže identifikovať CVE, chýbajúcu záplatu, nepodporovanú knižnicu, vystavenú službu alebo slabú konfiguráciu. Je to užitočné, ale neúplné.

Audítor bude klásť iné otázky:

• Bolo dotknuté aktívum v rozsahu?
• Kto vlastní aktívum a obchodnú službu?
• Bola zraniteľnosť posúdená podľa expozície, zneužiteľnosti, dopadu na podnikanie a citlivosti údajov?
• Bola náprava dokončená v definovanej lehote?
• Ak sa náprava oneskorila, kto akceptoval zostatkové riziko?
• Bola záplata nasadená prostredníctvom riadeného procesu riadenia zmien?
• Bola oprava overená opätovným skenom alebo technickou validáciou?
• Boli dôkazy uchované a preskúmané manažmentom?

Priečinok s exportmi zo skenera na tieto otázky odpovedá len zriedka. Pri audite ISO 27001:2022 audítor testuje, či ISMS funguje tak, ako bol navrhnutý. Podľa NIS2 musia riadiace orgány schvaľovať opatrenia riadenia kybernetických rizík a vykonávať nad nimi dohľad. Podľa DORA finančné subjekty potrebujú zdokumentovaný rámec riadenia rizík IKT, životný cyklus incidentov, testovanie odolnosti a kontroly rizík IKT tretích strán. Podľa GDPR sa otázka mení na to, či primerané technické a organizačné opatrenia chránili osobné údaje a či možno preukázať zodpovednosť za konanie.

Kapitoly ISO/IEC 27001:2022 4.1 až 4.4 vyžadujú, aby organizácia rozumela svojmu kontextu, zainteresovaným stranám, požiadavkám a rozsahu ISMS. Riadenie zraniteľností a záplat nemožno navrhovať izolovane. Musí zohľadňovať zákaznícke zmluvy, regulátorov, závislosti od cloudových služieb, outsourcované služby IKT, povinnosti ochrany údajov a kritické služby.

Kapitoly ISO/IEC 27001:2022 6.1.1 až 6.1.3 vyžadujú posudzovanie rizík, ošetrenie rizík, výber kontrol, vyhlásenie o uplatniteľnosti (SoA) a schválenie zostatkového rizika vlastníkom rizika. To znamená, že dôkazy o zraniteľnostiach majú nadväzovať na register rizík, plán ošetrenia rizík a SoA.

ISO/IEC 27005:2022 tento model posilňuje tým, že organizáciám odporúča konsolidovať požiadavky z Annex A, odvetvové povinnosti, predpisy, zmluvy, interné pravidlá a existujúce kontroly do základu posudzovania rizík. Zdôrazňuje aj kritériá pravdepodobnosti, následkov, zákonných povinností, dodávateľských vzťahov, dopadu na súkromie a dopadu na tretie strany. Prakticky povedané, zraniteľnosť nie je len číslo CVSS. Je to riziková udalosť prepojená s aktívami, povinnosťami, zainteresovanými stranami a dôsledkami pre organizáciu.

Regulačný tlak za dôkazmi o záplatovaní

Moderná regulácia kybernetickej bezpečnosti je čoraz menej tolerantná k neformálnemu záplatovaniu.

NIS2 sa vzťahuje na mnohé stredné a veľké subjekty vo vysoko kritických a kritických sektoroch a môže sa vzťahovať aj na určité subjekty bez ohľadu na veľkosť. Jej rozsah zahŕňa poskytovateľov digitálnej infraštruktúry, ako sú služby cloud computingu, služby dátových centier, siete na doručovanie obsahu, poskytovatelia verejných elektronických komunikácií, dôveryhodné služby, služby DNS a TLD, ako aj poskytovateľov riadených služieb IKT, napríklad poskytovateľov riadených služieb a poskytovateľov riadených bezpečnostných služieb. Zahŕňa aj významných digitálnych poskytovateľov, ako sú online trhoviská, online vyhľadávače a platformy sociálnych sietí.

NIS2 Article 20 stanovuje kybernetickú bezpečnosť ako zodpovednosť riadiaceho orgánu. Article 21 vyžaduje primerané a proporcionálne technické, prevádzkové a organizačné opatrenia vrátane analýzy rizík, riešenia incidentov, kontinuity činností, bezpečnosti dodávateľského reťazca, bezpečného nadobúdania, bezpečného vývoja, bezpečnej údržby, riešenia a zverejňovania zraniteľností, posudzovania účinnosti, kybernetickej hygieny, riadenia prístupu, správy aktív a autentifikácie. Article 23 zavádza viacfázový proces oznamovania významných incidentov vrátane včasného varovania do 24 hodín, oznámenia do 72 hodín a záverečnej správy do jedného mesiaca, ak je to uplatniteľné.

DORA vytvára priamo uplatniteľný súbor pravidiel digitálnej prevádzkovej odolnosti pre finančné subjekty od 17. januára 2025. Zahŕňa riadenie rizík IKT, oznamovanie závažných incidentov súvisiacich s IKT, testovanie prevádzkovej odolnosti, zdieľanie informácií a spravodajských poznatkov o kybernetických hrozbách, riadenie rizík IKT tretích strán a dohľad nad kritickými externými poskytovateľmi služieb IKT. Articles 5 a 6 zverujú riadenie rizík IKT riadiacemu orgánu a vyžadujú zdokumentovaný, integrovaný a pravidelne preskúmavaný rámec riadenia rizík IKT. Article 8 posilňuje potrebu identifikovať obchodné funkcie podporované IKT, informačné aktíva, aktíva IKT a závislosti. Articles 17 až 20 vyžadujú detekciu, zaznamenávanie, klasifikáciu, eskaláciu, oznamovanie, komunikáciu, nápravu a poučenie sa z incidentov súvisiacich s IKT. Articles 28 až 30 vyžadujú, aby sa riziká IKT tretích strán riadili prostredníctvom registrov, náležitej starostlivosti, zmluvných ochranných opatrení, práv na audit, plánovania ukončenia a dohľadu.

Pre finančné subjekty, na ktoré sa vzťahuje DORA, DORA vo všeobecnosti nahrádza rovnocenné povinnosti riadenia rizík a oznamovania podľa NIS2. NIS2 však zostáva dôležitá pre koordináciu ekosystému a subjekty mimo rozsahu DORA. Pre poskytovateľov SaaS, MSP a MSSP slúžiacich finančným klientom je praktická realita priama: zákazníci môžu vyžadovať vaše dôkazy o zraniteľnostiach, aby splnili svoje povinnosti podľa DORA.

GDPR pridáva ďalšiu vrstvu. Articles 2 a 3 sa môžu vzťahovať na organizácie usadené v EÚ aj na organizácie mimo EÚ, ktoré ponúkajú tovar alebo služby ľuďom v EÚ alebo monitorujú ich správanie. Article 5 vyžaduje ochranu osobných údajov a zodpovednosť za súlad. Article 4 definuje porušenie ochrany osobných údajov ako bezpečnostný incident vedúci k náhodnej alebo nezákonnej strate, zničeniu, zmene, neoprávnenému zverejneniu osobných údajov alebo prístupu k nim. Oneskorená záplata na databáze, platforme identít alebo zákazníckom portáli sa môže stať otázkou preukázateľnej zodpovednosti v oblasti ochrany súkromia.

Od politiky k dôkazu

Prvým krokom je definovať pravidlá. Silná politika riadenia zraniteľností a záplat nie je len auditný dokument. Je to prevádzková ústava danej kontroly.

Pre podnikové prostredia Politika riadenia zraniteľností a záplat výslovne prepája technické záplatovanie s krížovým súladom:

Táto politika podporuje súlad s ISO/IEC 27001 Annex A Control 8.8 a usmerneniami ISO/IEC 27002 a rieši regulačné požiadavky podľa DORA Article 8, NIS2 Article 21, GDPR Article 32 a domén COBIT 2019 DSS a APO.

Zo sekcie „Účel“.

Tá istá politika stanovuje očakávanie správy a riadenia pre kľúčový dôkazový artefakt:

Centralizovaný register riadenia zraniteľností musí udržiavať tím bezpečnostných operácií a mesačne ho musí preskúmať CISO alebo delegovaná autorita.

Zo sekcie „Požiadavky na správu a riadenie“, ustanovenie politiky 5.1.

Definuje aj periodicitu skenovania:

Všetky systémy sa musia skenovať najmenej mesačne; vysokorizikové alebo externe vystavené aktíva sa musia skenovať týždenne.

Zo sekcie „Požiadavky na implementáciu politiky“, ustanovenie politiky 6.1.1.

A zabraňuje tomu, aby sa urgentné záplatovanie zmenilo na neriadenú technickú aktivitu:

Všetky nápravné opatrenia musia byť koordinované prostredníctvom procesu riadenia zmien (podľa P5 – Politika riadenia zmien), aby sa zabezpečila stabilita a zachovanie auditnej stopy.

Zo sekcie „Požiadavky na správu a riadenie“, ustanovenie politiky 5.5.

Pre MSP možno rovnaké dôkazové princípy zaviesť jednoduchšie. Politika riadenia zraniteľností a záplat pre MSP uvádza:

Udržiavajte presné záznamy o aplikovaných záplatách, otvorených problémoch a výnimkách s cieľom zabezpečiť pripravenosť na audit

Zo sekcie „Ciele“, ustanovenie politiky 3.4.

Následne definuje záznam o záplatách ako auditný dôkaz:

Záznam o záplatách musí byť vedený a preskúmavaný počas auditov a činností reakcie na incidenty

Zo sekcie „Požiadavky na správu a riadenie“, ustanovenie politiky 5.4.1.

A určuje minimálny obsah:

Logy musia obsahovať názov zariadenia, aplikovanú aktualizáciu, dátum záplatovania a dôvod akéhokoľvek oneskorenia

Zo sekcie „Požiadavky na správu a riadenie“, ustanovenie politiky 5.4.2.

Pri urgentnej expozícii z internetu stanovuje politika pre MSP merateľnú požiadavku:

Kritické záplaty musia byť aplikované do 3 dní od vydania, najmä pri systémoch dostupných z internetu

Z Politiky riadenia zraniteľností a záplat pre MSP, sekcia „Požiadavky na implementáciu politiky“, ustanovenie politiky 6.1.1.

Tieto ustanovenia menia technickú prácu na dôkazy. Politika definuje očakávania. Register zaznamenáva zistenia. Tiket priraďuje prácu. Záznam o zmene riadi nasadenie. Záznam o záplate preukazuje vykonanie. Register rizík zachytáva výnimky. Zápisnice z preskúmania preukazujú dohľad.

Dôkazový model Clarysec

Dôkazový model Clarysec vychádza z jednej zásady: každé zistenie zraniteľnosti musí byť sledovateľné od objavenia až po rozhodnutie.

V dokumente Zenith Blueprint: 30-kroková cestovná mapa audítora fáza Kontroly v praxi, krok 19: Technologické kontroly I, chápe riadenie zraniteľností ako opakovateľnú kontrolu, nie ako teoretickú požiadavku:

Riadenie zraniteľností je jednou z najkritickejších oblastí modernej kybernetickej hygieny. Hoci firewally a antivírusový softvér poskytujú ochranu, môže byť oslabená, ak zostanú vystavené nezaplátané systémy alebo chybne nakonfigurované služby.

Ten istý krok vysvetľuje, že organizácie majú používať pravidelné harmonogramy záplatovania, skenery zraniteľností, triáž, priraďovanie, sledovanie nápravy, kompenzačné kontroly a akceptáciu zostatkového rizika. Najdôležitejšie je, že správne rámcuje auditný pohľad:

Kontrola nie je o dokonalosti, ale o tom, že existuje organizovaný, transparentný proces s jasnou zodpovednosťou.

Pre audítorov je tento rozdiel zásadný. Zrelá organizácia môže mať otvorené zraniteľnosti a stále preukázať kontrolu, ak má prioritizáciu založenú na riziku, zdokumentované vlastníctvo, schválené výnimky, kompenzačné kontroly a overenú nápravu.

Zenith Blueprint zároveň upozorňuje, že audítori budú túto oblasť skúmať podrobne:

Ide o kontrolu s vysokou prioritou pre audítorov a zvyčajne pôjdu do hĺbky. Očakávajte otázky, ako často sa systémy záplatujú, aký proces používate pri oznámení zero-day a ktoré systémy sa záplatujú najťažšie.

Preto by CISO nemal prísť na audit len s riadiacim panelom skenera. Dôkazový balík musí ukazovať správu a riadenie, proces, vykonanie, overenie a zlepšovanie.

Mapovanie kontrol ISO 27002 na auditný dôkaz

Zenith Controls: príručka krížového súladu slúži ako kompas krížového súladu tým, že mapuje kontroly ISO/IEC 27002:2022 a ukazuje ich vzťah k auditným očakávaniam. Pre riadenie zraniteľností a záplat tvoria tri kontroly ISO/IEC 27002:2022 prevádzkový trojuholník.

ISO/IEC 27002:2022 kontrola 8.8, riadenie technických zraniteľností, je centrálna kontrola. Je preventívna, podporuje dôvernosť, integritu a dostupnosť, je zosúladená s kybernetickými konceptmi Identify a Protect a nadväzuje na riadenie hrozieb a zraniteľností.

ISO/IEC 27002:2022 kontrola 8.32, riadenie zmien, je tiež preventívna. Prepája záplatovanie s riadeným nasadením, testovaním, schválením, vrátením zmien a auditovateľnosťou.

ISO/IEC 27002:2022 kontrola 5.36, súlad s politikami, pravidlami a normami informačnej bezpečnosti, zabezpečuje, že proces nie je voliteľný ani závislý od individuálneho hrdinstva. Prepája riadenie zraniteľností s dodržiavaním politiky, uistením a dohľadom.

Toto mapovanie predchádza bežnému auditnému zlyhaniu. Bezpečnosť povie: „Záplatovali sme to.“ Prevádzka povie: „Nasadili sme to.“ Súlad povie: „Nevieme preukázať postupnosť.“ Namapovaný reťazec dôkazov dáva všetkým trom tímom rovnaký príbeh.

Reťazec dôkazov, ktorý audítori požadujú

Obhájiteľný dôkazový reťazec riadenia zraniteľností má sedem etáp.

Praktický rozdiel medzi „spúšťame skeny“ a „sme pripravení na audit“ je kontinuita. Ak zraniteľnosť nemožno vysledovať od objavenia po uzatvorenie, kontrola je slabá. Ak existujú výnimky, ale nikto ich neschválil, proces je slabý. Ak záplaty obchádzajú riadenie zmien, auditná stopa je slabá. Ak kritické zraniteľnosti zostávajú otvorené bez kompenzačných kontrol, správa a riadenie sú slabé.

Politika monitorovania auditov a súladu podporuje automatizáciu ako súčasť tohto modelu:

Automatizované nástroje sa musia nasadiť na monitorovanie súladu konfigurácií, riadenia zraniteľností, stavu záplat a privilegovaného prístupu.

Zo sekcie „Požiadavky na implementáciu politiky“, ustanovenie politiky 6.4.1.

Pre MSP Politika monitorovania auditov a súladu pre MSP definuje overovanie technických kontrol prakticky:

Overovanie technických kontrol (napr. stav zálohovania, konfigurácia riadenia prístupu, záznamy o záplatách)

Zo sekcie „Požiadavky na implementáciu politiky“, ustanovenie politiky 6.1.1.2.

Malé organizácie nepotrebujú podnikové nástroje, aby boli pripravené na audit. Potrebujú konzistentné dôkazy. Jednoduchý register, tiketovací panel, záznam o záplatách a mesačné preskúmanie môžu stačiť, ak sú úplné, aktuálne a previazané s rizikom.

Príklad: jedno kritické zistenie plne pripravené na audit

Máriin týždenný externý sken identifikuje CVE-2026-12345 na platobnej API bráne dostupnej z internetu. Skener ju hodnotí ako kritickú. Služba spracúva identitu zákazníka a transakčné metadáta, takže sú možné dopady podľa GDPR a DORA. Bránu vlastní Platform Engineering, ale záplata vyžaduje krátky výpadok.

Takto vyzerá pracovný tok pripravený na audit.

1. Vytvorte záznam v registri zraniteľností

Bezpečnostný tím zaznamená zistenie do centrálneho registra:

• ID zistenia: VULN-2026-0142
• Zdroj: týždenný externý sken
• Dátum a čas objavenia
• Aktívum: api-gw-prod-01
• Vlastník: Platform Engineering
• Expozícia: dostupné z internetu
• Dátový kontext: identita zákazníka a transakčné metadáta
• Závažnosť: kritická
• SLA: 72 hodín alebo prísnejšie podľa politiky
• Tiket: SEC-4821
• Záznam o zmene: CHG-10988
• Stav: náprava naplánovaná

2. Vykonajte triáž podľa obchodného a regulačného kontextu

Tím overí dostupnosť exploitu, útočnú plochu, požiadavky na autentifikáciu, dopad na podnikanie a citlivosť údajov. Keďže systém je dostupný z internetu a podporuje zákaznícke pracovné toky, zraniteľnosť zostáva kritická. Vlastníkom rizika je Head of Platform a CISO je informovaný z dôvodu možných dopadov podľa NIS2, DORA a GDPR.

Kapitoly ISO/IEC 27005:2022 7.1 až 7.4 podporujú identifikáciu rizík, vlastníctvo, následky, pravdepodobnosť a prioritizáciu. Kapitoly 8.2 až 8.6 podporujú výber ošetrenia, určenie kontrol, väzbu na SoA, plánovanie ošetrenia a schválenie zostatkového rizika.

3. Otvorte riadenú núdzovú zmenu

Záplata je naplánovaná na ten istý večer. Záznam o zmene obsahuje referenciu dodávateľa, dotknuté služby, testovací plán, plán vrátenia zmien, údržbové okno, rozhodnutie o komunikácii so zákazníkmi, schválenia a požiadavku na validáciu po nasadení.

To priamo podporuje ISO/IEC 27002:2022 kontrolu 8.32 a podnikovú požiadavku politiky koordinovať nápravu prostredníctvom riadenia zmien.

4. Aplikujte záplatu a aktualizujte záznam o záplatách

Záznam o záplatách obsahuje názov zariadenia, aplikovanú aktualizáciu, dátum záplatovania a prípadný dôvod oneskorenia. Ak by sa záplatovanie oneskorilo, tím by zdokumentoval kompenzačné kontroly, napríklad pravidlá Web Application Firewall (WAF), dočasné obmedzenia prístupu, zvýšené logovanie, izoláciu alebo rozšírené monitorovanie.

5. Overte a uzatvorte

Bezpečnostný tím opätovne naskenuje API bránu. Zraniteľnosť sa už nezobrazuje. Tiket sa aktualizuje o dôkaz čistého skenu, verziu záplaty, časovú pečiatku nasadenia a odkaz na záznam o zmene. Stav v registri zraniteľností sa zmení na „Uzatvorené, overené“.

6. Preskúmajte dopad na oznamovanie

Ak nedošlo k zneužitiu ani k prerušeniu služby, oznamovanie incidentu podľa NIS2 alebo DORA sa nemusí spustiť. Ak sa nájdu indikátory kompromitácie (IOC), proces incidentu musí klasifikovať dopad a eskaláciu. Podľa NIS2 môže významný incident vyžadovať včasné varovanie a fázované oznamovanie. Podľa DORA závažný incident súvisiaci s IKT vyžaduje klasifikáciu a oznámenie prostredníctvom príslušného procesu príslušného orgánu.

7. Premietnite poučenia do preskúmania manažmentom

Na konci mesiaca záznam z preskúmania CISO uvádza, že zraniteľnosť bola zistená týždenným externým skenovaním, napravená v rámci SLA, overená opätovným skenom a uzatvorená bez incidentu. Ak sa podobné problémy opakujú, plán ošetrenia rizík môže zahŕňať bezpečné východiskové konfigurácie, automatizované nasadenie záplat, eskaláciu dodávateľovi alebo modernizáciu aplikácie.

Keď sa audítor spýta na CVE-2026-12345, Maria môže namiesto e-mailov a snímok obrazovky predložiť pripravený balík.

To je pripravenosť na audit. Nie preto, že organizácia nemala žiadne zraniteľnosti, ale preto, že mala kontrolu.

Jedna sada dôkazov, viacero povinností

Dobre navrhnutý program riadenia zraniteľností a záplat môže splniť viacero rámcov bez duplicity práce.

Pre ISO 27001:2022 dôkazy podporujú rizikovo orientovaný ISMS, implementáciu kontrol Annex A, vyhlásenie o uplatniteľnosti, plány ošetrenia rizík, vnútorný audit a neustále zlepšovanie. Ak je ISO/IEC 27002:2022 kontrola 8.8 uplatniteľná v SoA, organizácia má byť schopná ukázať právne, regulačné, rizikové alebo obchodné odôvodnenie. Toto odôvodnenie často zahŕňa NIS2 Article 21, povinnosti riadenia rizík IKT podľa DORA, zodpovednosť podľa GDPR, zákaznícke zmluvy a potreby prevádzkovej odolnosti.

Pre NIS2 tie isté dôkazy pomáhajú preukázať opatrenia podľa Article 21 vrátane analýzy rizík, riešenia zraniteľností, riešenia incidentov, kontinuity činností, bezpečnosti dodávateľského reťazca, kybernetickej hygieny, riadenia prístupu a posudzovania účinnosti. Article 20 sa preukazuje prostredníctvom preskúmania CISO, reportingu predstavenstvu, schválenia manažmentom a školenia v oblasti kybernetickej bezpečnosti. Article 23 sa stáva relevantným, ak zneužitie spôsobí alebo môže spôsobiť závažné narušenie prevádzky, finančnú stratu alebo ujmu iným osobám.

Pre DORA dôkazy o zraniteľnostiach a záplatách podporujú rámec riadenia rizík IKT, dohľad riadiaceho orgánu, stratégiu odolnosti, detekciu a klasifikáciu incidentov, testovanie odolnosti a dohľad nad IKT tretími stranami. Ak poskytovateľ IKT hostuje alebo spravuje dotknutý systém, Articles 28 až 30 vyžadujú náležitú starostlivosť, zmluvné ochrany, práva na audit, podporu pri incidente a úvahy o ukončení.

Pre GDPR tie isté dôkazy podporujú zodpovednosť podľa Article 5 a bezpečnostný stav očakávaný podľa Article 32. Ak zraniteľnosť vedie k neoprávnenému prístupu, zmene, strate alebo zverejneniu osobných údajov, časová os zraniteľnosti, záznamy o záplatách, monitorovacie logy a poznámky z posúdenia porušenia ochrany údajov sa stávajú nevyhnutnými.

Pre COBIT 2019 a uisťovanie v štýle ISACA sa riadenie zraniteľností posudzuje cez prevádzkovú bezpečnosť, monitorovanie kontrol, podporu zmien a zodpovednosť správy a riadenia. Odkazy na krížový súlad v Zenith Blueprint uvádzajú COBIT 2019 DSS05.04 a BAI09.02, ako aj očakávania uistenia ITAF v oblasti riadenia zraniteľností, záplatovania a bezpečného riadenia zmien.

Podporné normy ISO posilňujú prevádzkový model. ISO/IEC 27005:2022 podporuje posudzovanie rizík a ošetrenie rizík. ISO/IEC 27035:2023 podporuje reakciu na incidenty, keď sú zraniteľnosti zneužité. ISO/IEC 30111 podporuje procesy riešenia zraniteľností. ISO/IEC 29147 podporuje zverejňovanie zraniteľností a bezpečnostné upozornenia. ISO/IEC 27017 podporuje riadenie zraniteľností v cloude. ISO 22301 podporuje plánovanie kontinuity tam, kde technické zraniteľnosti môžu narušiť obchodné služby.

Ako rôzni audítori testujú ten istý proces

Rôzni posudzovatelia používajú rôzne pohľady. Dôkazy môžu byť rovnaké, otázky sa však menia.

Politika hovorí, čo sa má stať. Prevádzkové dôkazy ukazujú, čo sa skutočne stalo. Záznamy z preskúmania ukazujú, že manažment vedel, kládol otázky a konal.

Bežné dôvody, prečo riadenie záplat zlyhá pri audite

Väčšina zistení nie je spôsobená absenciou skenera. Spôsobuje ich prerušená sledovateľnosť.

Inventarizácia aktív je neúplná.
Ak skener nájde aktíva, ktoré chýbajú v CMDB alebo registri aktív, vlastníctvo a dopad na podnikanie nemožno spoľahlivo posúdiť. Podkopáva to rozsah ISO 27001:2022, posudzovanie rizík a ošetrenie rizík.

Zraniteľnosti sa sledujú iba v skeneri.
Riadiace panely skenerov nie sú registre správy a riadenia. Často im chýba schválenie vlastníkom rizika, odôvodnenie výnimky, odkazy na zmeny a obchodný kontext.

Kritické zistenia nemajú dôkaz o SLA.
Politika môže uvádzať, že kritické zraniteľnosti sa opravujú do troch dní. Auditná otázka znie, či záznamy preukazujú, že sa to stalo.

Výnimky sú neformálne.
Zastarané systémy, obmedzenia výpadkov a oneskorenia dodávateľov sa vyskytujú. Ale „nemohli sme to záplatovať“ sa musí zmeniť na zdokumentovanú výnimku s kompenzačnými kontrolami, dátumom skončenia platnosti a schválením zostatkového rizika.

Núdzové záplatovanie obchádza riadenie zmien.
Núdzové zmeny sú stále zmeny. Ak neexistuje dôkaz o schválení, testovaní alebo vrátení zmien, audítori môžu dospieť k záveru, že náprava vytvorila prevádzkové riziko.

Systémy tretích strán sú neviditeľné.
Podľa NIS2 a DORA sú dodávateľské riziko a riziko IKT tretích strán centrálne. Ak platformu záplatuje poskytovateľ, stále potrebujete dôkazy, zmluvné práva, reportovanie služby a eskalačné trasy.

Nikto nepreskúmava trendy.
Opakujúce sa zraniteľnosti môžu indikovať slabé riadenie konfigurácie, nedostatočné praktiky bezpečného vývoja, nepodporované aktíva alebo zlyhanie dodávateľa. Mesačné preskúmanie mení technické údaje na riadiace opatrenia.

Auditný balík Clarysec pre zraniteľnosti

Pre nadchádzajúce preskúmanie pripravenosti na ISO 27001:2022, NIS2 alebo DORA pomáha Clarysec organizáciám zostaviť auditný balík riadenia zraniteľností a záplat, ktorý obsahuje:

• Politiku riadenia zraniteľností a záplat vrátane rozsahu, rolí, periodicity skenovania, SLA záplatovania a pravidiel výnimiek
• Výpis z inventarizácie aktív ukazujúci systémy v rozsahu, vlastníkov, kritickosť a expozíciu
• Najnovšie interné a externé správy zo skenov zraniteľností
• Centrálny register riadenia zraniteľností s otvorenými, uzatvorenými položkami a položkami vo výnimke
• Záznamy o záplatách ukazujúce zariadenie, aktualizáciu, dátum záplaty a dôvody oneskorenia
• Záznamy o zmenách pre vzorku kritických a vysokých zraniteľností
• Dôkazy o opätovných skenoch alebo validácii po náprave
• Schválenia výnimiek a zostatkového rizika pri oneskorených alebo nezáplatovateľných systémoch
• Proces monitorovania bezpečnostných upozornení pre dodávateľov, knižnice a cloudové služby
• Mesačné zápisnice z preskúmania CISO alebo manažmentom
• Krížové mapovanie na povinnosti ISO 27001:2022, NIS2, DORA, GDPR a COBIT 2019
• Výsledky vnútorného auditu alebo overovania technických kontrol

V Zenith Blueprint, fáze Audit, preskúmanie a zlepšovanie, krok 24, Clarysec zdôrazňuje sledovateľnosť medzi vyhlásením o uplatniteľnosti, registrom rizík a plánom ošetrenia rizík:

Vaše SoA má byť konzistentné s registrom rizík a plánom ošetrenia rizík. Dvakrát skontrolujte, že každá kontrola, ktorú ste zvolili ako ošetrenie rizika, je v SoA označená ako „Uplatniteľná“.

Pre riadenie zraniteľností je to mimoriadne dôležité. Ak je kontrola 8.8 uplatniteľná, auditný balík má preukázať nielen to, že skenovanie prebieha, ale aj to, že zistenia sú riadené prostredníctvom ošetrenia rizík a neustáleho zlepšovania.

30-dňový sprint pripravenosti

Ak sa audit blíži, nezačínajte prepisovaním všetkého. Začnite rýchlym budovaním dôkazov.

Tento sprint neodstráni všetok technický dlh. Zmení však auditnú diskusiu. Namiesto obhajoby neprehľadného exportu zo skenera môžete ukázať riadený proces s vlastníkmi, termínmi, opatreniami, rozhodnutiami a dohľadom.

Prejdite od skenov k obhájiteľným dôkazom

Pripravenosť riadenia zraniteľností a záplat na audit nie je o dokazovaní, že nemáte žiadne zraniteľnosti. Je o dokazovaní, že ich viete nájsť, pochopiť, prioritizovať, opraviť, riadiť výnimky a preukázať dohľad.

Zenith Blueprint, Zenith Controls, Politika riadenia zraniteľností a záplat, Politika riadenia zraniteľností a záplat pre MSP, Politika monitorovania auditov a súladu a Politika monitorovania auditov a súladu pre MSP od Clarysec poskytujú štruktúru na vybudovanie takéhoto dôkazového pracovného toku.

Ak sa vaša organizácia pripravuje na certifikáciu ISO 27001:2022, pripravenosť na NIS2, digitálnu prevádzkovú odolnosť podľa DORA, zákaznícku due diligence alebo vnútorný audit, začnite jednou otázkou:

Dá sa každá kritická zraniteľnosť sledovať od skenu až po uzatvorenie?

Ak je odpoveď nie, Clarysec vám pomôže vybudovať register, sadu politík, mapovanie krížového súladu, balík pre preskúmanie manažmentom a dôkazový pracovný tok pripravený na audit, ktorý mení technické skenovanie na obhájiteľnú správu a riadenie.