Dôkazy k TOM podľa GDPR Article 32 s ISO, NIS2 a DORA
E-mail pristane v schránke CISO s dobre známou váhou obchodnej príležitosti, ktorá môže rozhodnúť o výsledku štvrťroka.
Veľký podnikový záujemca žiada dôkazy o „technických a organizačných opatreniach podľa GDPR Article 32, mapovaných na ISO 27001:2022, NIS2 a DORA tam, kde je to uplatniteľné“. Právne oddelenie zároveň informovalo predstavenstvo o zodpovednosti vedenia podľa NIS2 a o očakávaniach DORA v oblasti prevádzkovej odolnosti. Pokyn predstavenstva znie jednoducho: preukážte súlad, vyhnite sa duplicite práce a neurobte z toho tri samostatné projekty.
Spoločnosť kontroly má. MFA je zapnutá. Zálohy sa vykonávajú. Vývojári vykonávajú preskúmania kódu. Tím ochrany súkromia vedie záznamy o spracovateľských činnostiach. Tím infraštruktúry vykonáva skenovanie zraniteľností. Dodávatelia sa posudzujú počas obstarávania. Keď však záujemca požiada o dôkazy, odpoveď sa rozpadne na jednotlivé časti.
Report poskytovateľa identít je na jednom mieste. Logy zálohovania sú inde. Register rizík nebol aktualizovaný od posledného vydania produktu. Dôkazy o bezpečnosti dodávateľov sú uložené v e-mailoch obstarávania. Poznámky zo stolového cvičenia reakcie na incidenty existujú, ale nikto nevie preukázať, že získané ponaučenia boli premietnuté späť do ošetrovania rizík. Predstavenstvo schválilo výdavky na bezpečnosť, ale schválenie nie je prepojené s rizikom IKT ani so zdokumentovaným rozhodnutím o kontrole.
To je skutočný problém technických a organizačných opatrení podľa GDPR Article 32, bežne označovaných ako TOM. Väčšina organizácií nezlyháva preto, že nemá žiadne kontroly. Zlyháva preto, že nevie preukázať, že kontroly sú založené na riziku, schválené, implementované, monitorované a zlepšované.
Zásada zodpovednosti za súlad podľa GDPR robí toto očakávanie explicitným. GDPR Article 5 vyžaduje, aby boli osobné údaje chránené primeranou bezpečnosťou pred neoprávneným alebo nezákonným spracúvaním a pred náhodnou stratou, zničením alebo poškodením. Article 5(2) ukladá prevádzkovateľovi povinnosť preukázať súlad. Dôležité sú aj definície v GDPR. Osobné údaje sú široký pojem, spracúvanie pokrýva takmer každú operáciu s údajmi, pseudonymizácia je uznané ochranné opatrenie a porušenie ochrany osobných údajov zahŕňa náhodné alebo nezákonné zničenie, stratu, zmenu, neoprávnené sprístupnenie alebo neoprávnený prístup.
Dôkazový súbor k Article 32 preto nemôže byť priečinkom náhodných snímok obrazovky. Musí ísť o živý systém kontrol.
Prístup Clarysec premieňa TOM podľa GDPR Article 32 na sledovateľný dôkazový mechanizmus postavený na ISO/IEC 27001:2022 ISO/IEC 27001:2022, posilnený riadením rizík podľa ISO/IEC 27005:2022 a krížovo odkazovaný na povinnosti podľa NIS2 a DORA tam, kde sa uplatňujú. Cieľom nie je administratíva pre administratívu. Cieľom je pripraviť organizáciu na audit skôr, než zákazník, audítor, regulátor alebo člen predstavenstva položí náročnú otázku.
Prečo TOM podľa GDPR Article 32 v praxi zlyhávajú
Article 32 sa často nesprávne chápe ako zoznam bezpečnostných nástrojov: šifrovanie, zálohovanie, logovanie, riadenie prístupu a reakcia na incidenty. Tieto opatrenia sú dôležité, ale obhájiteľné sú len vtedy, keď sú primerané riziku a prepojené so životným cyklom osobných údajov.
Pre spoločnosť SaaS, ktorá spracúva údaje zamestnancov zákazníkov, nestačí povedať „používame šifrovanie“. Audítor sa môže opýtať, ktoré údaje šifrovanie chráni, kde je šifrovanie vyžadované, ako sa spravujú kľúče, či sú šifrované zálohy, či sú produkčné údaje maskované pri testovaní, kto môže obísť kontroly a ako sa schvaľujú výnimky.
Podniková Politika ochrany údajov a súkromia Clarysec zachytáva prevádzkový princíp:
„Implementovať technické a organizačné opatrenia (TOM), ktoré chránia dôvernosť, integritu a dostupnosť osobných informácií (PII) počas celého ich životného cyklu.“
Zdroj: Politika ochrany údajov a súkromia, Ciele, ustanovenie politiky 3.3. Politika ochrany údajov a súkromia
Práve spojenie „počas celého ich životného cyklu“ je miestom, kde mnohé programy TOM slabnú. Osobné údaje môžu byť chránené v produkčnom prostredí, ale následne skopírované do analytických systémov, logov, exportov podpory, testovacích prostredí, záloh, platforiem dodávateľov a zariadení zamestnancov. Každé takéto umiestnenie vytvára bezpečnostné riziko a riziko ochrany súkromia.
GDPR Article 6 vyžaduje právny základ spracúvania vrátane súhlasu, zmluvy, zákonnej povinnosti, životne dôležitých záujmov, úlohy vo verejnom záujme alebo oprávnených záujmov. Keď sa údaje opätovne použijú na ďalší účel, musí sa posúdiť kompatibilita a ochranné opatrenia, ako je šifrovanie alebo pseudonymizácia. Pri údajoch s vyšším rizikom sa zvyšuje dôkazné bremeno. GDPR Article 9 stanovuje prísne obmedzenia pre osobitné kategórie osobných údajov, ako sú údaje o zdraví, biometrické údaje používané na identifikáciu a ďalšie citlivé informácie. Article 10 obmedzuje spracúvanie údajov o odsúdeniach za trestné činy a priestupkoch.
Pre MSP Clarysec vyjadruje ošetrovanie rizík praktickým jazykom:
„Kontroly musia byť implementované na zníženie identifikovaných rizík vrátane šifrovania, anonymizácie, bezpečnej likvidácie a obmedzení prístupu.“
Zdroj: Politika ochrany údajov a súkromia pre MSP, Ošetrovanie rizík a výnimky, ustanovenie politiky 7.2.1. Politika ochrany údajov a súkromia - SME
To je silný základ TOM. Aby bol pripravený na audit, každá kontrola musí byť zároveň prepojená s rizikom, vlastníkom, požiadavkou politiky, dôkazovou položkou a kadenciou preskúmania.
ISO 27001:2022 je chrbticou dôkazov k Article 32
ISO 27001:2022 dobre podporuje GDPR Article 32, pretože pristupuje k bezpečnosti ako k systému manažérstva, nie ako k izolovanému kontrolnému zoznamu. Vyžaduje systém manažérstva informačnej bezpečnosti, teda ISMS, navrhnutý na zachovanie dôvernosti, integrity a dostupnosti prostredníctvom riadenia rizík.
Prvým kritickým krokom je rozsah. Kapitoly ISO 27001:2022 4.1 až 4.4 vyžadujú, aby organizácia porozumela interným a externým otázkam, identifikovala zainteresované strany a ich požiadavky, určila, ktoré požiadavky bude ISMS riešiť, a definovala rozsah ISMS vrátane rozhraní a závislostí s externými organizáciami. Pri TOM podľa Article 32 by rozsah ISMS mal odrážať spracúvanie osobných údajov, povinnosti voči zákazníkom, sprostredkovateľov, ďalších sprostredkovateľov, cloudové platformy, prácu na diaľku, podporné funkcie a produktové prostredia.
Druhým krokom je vedenie. Kapitoly 5.1 až 5.3 vyžadujú záväzok vrcholového vedenia, politiku informačnej bezpečnosti, zdroje, roly a zodpovednosti a reportovanie výkonnosti. Je to dôležité, pretože GDPR Article 32, NIS2 aj DORA sa opierajú o riadenie a dohľad. Kontrola bez vlastníctva, financovania alebo preskúmania je slabý dôkaz.
Podniková Politika informačnej bezpečnosti Clarysec to uvádza explicitne:
„ISMS musí obsahovať definované hranice rozsahu, metodiku posudzovania rizík, merateľné ciele a zdokumentované kontroly odôvodnené vo vyhlásení o aplikovateľnosti (SoA).“
Zdroj: Politika informačnej bezpečnosti, Požiadavky na implementáciu politiky, ustanovenie politiky 6.1.2. Politika informačnej bezpečnosti
Tá istá politika stanovuje očakávanie pre dôkazy:
„Všetky implementované kontroly musia byť overiteľné, podporené zdokumentovanými postupmi a uchovávanými dôkazmi o prevádzke.“
Zdroj: Politika informačnej bezpečnosti, Požiadavky na implementáciu politiky, ustanovenie politiky 6.6.1.
Kapitoly ISO 27001:2022 6.1.1 až 6.1.3 následne vyžadujú posúdenie rizík, ošetrenie rizík, vyhlásenie o aplikovateľnosti, schválenie reziduálneho rizika a zodpovednosť vlastníka rizika. Kapitola 6.2 vyžaduje merateľné ciele. Kapitoly 7.5, 9.1, 9.2, 9.3 a 10.2 vyžadujú zdokumentované informácie, monitorovanie, interný audit, preskúmanie vedením a nápravné opatrenia.
Pre GDPR Article 32 to vytvára obhájiteľnú štruktúru.
| Otázka k dôkazom podľa GDPR Article 32 | Dôkazová odpoveď podľa ISO 27001:2022 |
|---|---|
| Ako ste rozhodli, ktoré TOM sú primerané? | Kritériá posudzovania rizík, register rizík, hodnotenie pravdepodobnosti a dopadu, plán ošetrovania rizík |
| Ktoré kontroly sa uplatňujú a prečo? | Vyhlásenie o aplikovateľnosti s odôvodnením zahrnutia a vylúčenia |
| Kto schválil reziduálne riziko? | Schválenie vlastníkom rizika a potvrdenie vedením |
| Fungujú kontroly v prevádzke? | Logy, tickety, záznamy o preskúmaní, výsledky testov, monitorovacie správy |
| Sú kontroly preskúmavané? | Správy z interného auditu, zápisnice z preskúmania vedením, záznamy nápravných opatrení |
| Zohľadňujú sa riziká osobných údajov? | Položky rizík ochrany údajov, požiadavky ochrany súkromia v rozsahu, DPIA alebo rovnocenné posúdenie tam, kde je uplatniteľné |
ISO/IEC 27005:2022 túto štruktúru posilňuje. Odporúča organizáciám identifikovať požiadavky z prílohy A ISO 27001:2022, predpisov, zmlúv, odvetvových noriem, interných pravidiel a existujúcich kontrol a následne ich premietnuť do posúdenia a ošetrovania rizík. Vyžaduje aj kritériá rizík a kritériá akceptácie rizík, ktoré zohľadňujú právne, regulačné, prevádzkové, dodávateľské, technologické a ľudské faktory vrátane ochrany súkromia.
Politika riadenia rizík Clarysec je s tým priamo zosúladená:
„Formálny proces riadenia rizík sa musí udržiavať v súlade s ISO/IEC 27005 a ISO 31000 a musí pokrývať identifikáciu rizík, analýzu, hodnotenie, ošetrovanie, monitorovanie a komunikáciu.“
Zdroj: Politika riadenia rizík, Požiadavky na správu a riadenie, ustanovenie politiky 5.1. Politika riadenia rizík
Pre MSP sa tá istá požiadavka mení na jednoduchú a vykonateľnú formuláciu:
„Každá položka rizika musí obsahovať: opis, pravdepodobnosť, dopad, skóre, vlastníka a plán ošetrovania.“
Zdroj: Politika riadenia rizík pre MSP, Požiadavky na správu a riadenie, ustanovenie politiky 5.1.2. Politika riadenia rizík - SME
Táto veta je rýchlym testom pripravenosti na audit. Ak riziko nemá vlastníka alebo plán ošetrovania, ešte nie je pripravené ako dôkaz.
Most Clarysec: riziká, SoA, kontroly a predpisy
Clarysec Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint pristupuje k súladu ako k práci so sledovateľnosťou. Vo fáze Riadenie rizík sa krok 13 zameriava na plánovanie ošetrovania rizík a vyhlásenie o aplikovateľnosti. Vysvetľuje, že organizácie majú mapovať kontroly na riziká, pridávať odkazy na kontroly z prílohy A do položiek ošetrovania rizík, krížovo odkazovať externé predpisy a získať schválenie vedením.
Zenith Blueprint priamo vysvetľuje úlohu SoA:
„SoA je v skutočnosti premostením dokumentom: prepája vaše posúdenie/ošetrenie rizík so skutočnými kontrolami, ktoré máte. Jeho vyplnením zároveň dvojito overíte, či ste nevynechali niektoré kontroly.“
Zdroj: Zenith Blueprint: An Auditor’s 30-Step Roadmap, fáza Riadenie rizík, krok 13: Plánovanie ošetrovania rizík a vyhlásenie o aplikovateľnosti (SoA). Zenith Blueprint
Krok 14 v Zenith Blueprint pridáva vrstvu krížových odkazov na predpisy. Odporúča organizáciám zdokumentovať, ako sú požiadavky GDPR, NIS2 a DORA pokryté politikami a kontrolami. Pri GDPR zdôrazňuje ochranu osobných údajov v posúdeniach a ošetrovaní rizík vrátane šifrovania ako technického opatrenia a reakcie na porušenie ochrany údajov ako súčasti kontrolného prostredia. Pri NIS2 zdôrazňuje posúdenie rizík, bezpečnosť sietí, riadenie prístupu, riešenie incidentov a kontinuitu činností. Pri DORA poukazuje na riadenie rizík IKT, reakciu na incidenty, oznamovanie a dohľad nad tretími stranami v oblasti IKT.
To je jadro metódy Clarysec: jeden ISMS, jeden register rizík, jedno SoA, jedna knižnica dôkazov a viacero výsledkov súladu.
Zenith Controls: The Cross-Compliance Guide Zenith Controls to podporuje tým, že organizáciám pomáha používať témy kontrol podľa ISO/IEC 27002:2022 ISO/IEC 27002:2022 ako kotvy krížového súladu. Pri GDPR Article 32 medzi najdôležitejšie kotvy často patria ochrana súkromia a ochrana PII, kontrola 5.34; nezávislé preskúmanie informačnej bezpečnosti, kontrola 5.35; a používanie kryptografie, kontrola 8.24.
| Kotva kontroly ISO/IEC 27002:2022 v Zenith Controls | Prečo je dôležitá pre TOM podľa Article 32 | Príklady dôkazov |
|---|---|---|
| 5.34 Ochrana súkromia a ochrana PII | Prepája kontroly informačnej bezpečnosti s nakladaním s osobnými údajmi a povinnosťami ochrany súkromia | Inventár údajov, posúdenie rizík ochrany súkromia, harmonogram uchovávania, záznamy DPA, revízie prístupových práv |
| 5.35 Nezávislé preskúmanie informačnej bezpečnosti | Preukazuje objektívne uistenie, auditovateľnosť a zlepšovanie | Správa z interného auditu, externé posúdenie, záznam nápravných opatrení, preskúmanie vedením |
| 8.24 Používanie kryptografie | Chráni dôvernosť a integritu údajov pri prenose, v pokoji a v zálohách | Štandard šifrovania, záznamy o správe kľúčov, dôkazy o šifrovaní diskov, konfigurácia TLS, šifrovanie záloh |
NIS2 mení TOM na otázku kybernetickej bezpečnosti na úrovni predstavenstva
Mnohé organizácie vnímajú TOM podľa GDPR ako zodpovednosť tímu ochrany súkromia. NIS2 mení túto diskusiu.
NIS2 sa vzťahuje na mnohé stredné a veľké subjekty v uvedených sektoroch a v niektorých prípadoch bez ohľadu na veľkosť. Pokryté digitálne a technologické sektory zahŕňajú poskytovateľov cloudových výpočtových služieb, poskytovateľov služieb dátových centier, siete na doručovanie obsahu, poskytovateľov DNS služieb, registre TLD, poskytovateľov dôveryhodných služieb, poskytovateľov verejných elektronických komunikácií, poskytovateľov riadených služieb, poskytovateľov riadených bezpečnostných služieb, online trhoviská, vyhľadávače a platformy sociálnych sietí. Uplatniteľnosť pre SaaS a technologické MSP závisí od sektora, veľkosti, určenia členským štátom a systémového alebo cezhraničného dopadu.
NIS2 Article 20 ukladá zodpovednosť za kybernetickú bezpečnosť riadiacim orgánom. Musia schvaľovať opatrenia riadenia kybernetických rizík, dohliadať na ich implementáciu a absolvovať školenie. Základné subjekty môžu čeliť správnym pokutám najmenej 10 miliónov EUR alebo najmenej 2 percentá celosvetového ročného obratu. Dôležité subjekty môžu čeliť pokutám najmenej 7 miliónov EUR alebo najmenej 1,4 percenta.
NIS2 Article 21 je priamo relevantný pre TOM podľa Article 32, pretože vyžaduje primerané a proporcionálne technické, prevádzkové a organizačné opatrenia. Tieto opatrenia musia zohľadňovať stav techniky, európske a medzinárodné normy, náklady, expozíciu, veľkosť, pravdepodobnosť, závažnosť a spoločenský alebo hospodársky dopad. Požadované oblasti zahŕňajú analýzu rizík, bezpečnostné politiky, riešenie incidentov, kontinuitu činností, bezpečnosť dodávateľského reťazca, bezpečné obstarávanie a vývoj, riešenie zraniteľností, posudzovanie účinnosti, kybernetickú hygienu, školenia, kryptografiu, personálnu bezpečnosť, riadenie prístupu, správu aktív, MFA alebo priebežnú autentifikáciu a bezpečnú komunikáciu tam, kde je to primerané.
NIS2 Article 23 pridáva postupné nahlasovanie incidentov: včasné varovanie do 24 hodín, oznámenie incidentu do 72 hodín, priebežné aktualizácie na požiadanie a záverečnú správu najneskôr jeden mesiac po 72-hodinovom oznámení. Ak sa porušenie ochrany osobných údajov zároveň kvalifikuje ako významný incident podľa NIS2, dôkazový súbor musí podporovať rozhodnutia o oznamovaní v oblasti ochrany súkromia aj kybernetickej bezpečnosti.
DORA zvyšuje latku pre finančnú odolnosť a poskytovateľov IKT
DORA sa uplatňuje od 17. januára 2025 a vytvára súbor pravidiel pre digitálnu prevádzkovú odolnosť vo finančnom sektore. Pokrýva riadenie rizík IKT, oznamovanie závažných incidentov súvisiacich s IKT, testovanie prevádzkovej odolnosti, zdieľanie informácií o kybernetických hrozbách a zraniteľnostiach, riziko tretích strán v oblasti IKT, zmluvné požiadavky na poskytovateľov IKT, dohľad nad kritickými externými poskytovateľmi IKT služieb a dozor.
Pre finančné subjekty, ktoré sú zároveň identifikované podľa národných pravidiel NIS2, DORA funguje ako odvetvovo špecifický právny akt Únie pre prekrývajúce sa povinnosti v oblasti riadenia kybernetických rizík a oznamovania incidentov. V praxi by finančné subjekty v rozsahu pôsobnosti mali v týchto prekrývajúcich sa oblastiach uprednostniť DORA a zároveň udržiavať koordináciu s príslušnými orgánmi NIS2 a CSIRT tam, kde je to relevantné.
Pre dôkazy podľa GDPR Article 32 je DORA dôležitá dvoma spôsobmi. Po prvé, fintech spoločnosti môžu priamo patriť do rozsahu pôsobnosti ako finančné subjekty vrátane úverových inštitúcií, platobných inštitúcií, poskytovateľov služieb informovania o účte, inštitúcií elektronických peňazí, investičných spoločností, poskytovateľov služieb kryptoaktív, obchodných miest a poskytovateľov služieb skupinového financovania. Po druhé, poskytovatelia SaaS, cloudových, dátových, softvérových a riadených služieb môžu byť finančnými zákazníkmi považovaní za externých poskytovateľov IKT služieb, pretože DORA definuje IKT služby široko.
DORA Article 5 vyžaduje správu a interné kontroly pre riadenie rizík IKT, pričom riadiaci orgán definuje, schvaľuje a dohliada na rámec rizík IKT a zostáva zaň zodpovedný. Article 6 vyžaduje zdokumentovaný rámec riadenia rizík IKT vrátane stratégií, politík, postupov, protokolov IKT a nástrojov na ochranu informácií a aktív IKT. Article 17 vyžaduje proces riadenia incidentov súvisiacich s IKT pokrývajúci detekciu, riadenie, oznamovanie, zaznamenávanie, koreňovú príčinu, indikátory včasného varovania, klasifikáciu, roly, komunikáciu, eskaláciu a reakciu. Article 19 vyžaduje, aby sa závažné incidenty súvisiace s IKT oznamovali príslušným orgánom.
DORA Article 28 a Article 30 robia z rizika tretích strán v oblasti IKT regulovanú kontrolnú oblasť. Finančné subjekty zostávajú zodpovedné za súlad pri používaní IKT služieb. Potrebujú stratégiu rizík tretích strán, zmluvné registre, posúdenia kritickosti, due diligence, preskúmanie rizika koncentrácie, práva na audit a inšpekciu, spúšťače ukončenia, stratégie ukončenia a zmluvné ustanovenia pokrývajúce umiestnenia údajov, dostupnosť, autentickosť, integritu, dôvernosť, pomoc pri incidentoch, obnovu, úrovne služieb a spoluprácu s orgánmi.
Pre Article 32 to znamená, že dodávatelia sú súčasťou súboru TOM. Bez kontroly kritických sprostredkovateľov, cloudových platforiem, analytických poskytovateľov, nástrojov podpory a poskytovateľov IKT nemožno preukázať bezpečnosť spracúvania.
Praktická tvorba dôkazov k Article 32 za jeden týždeň
Silný dôkazový súbor sa začína jedným jasným rizikovým scenárom.
Použite tento príklad: „Neoprávnený prístup k osobným údajom zákazníkov v produkčnej aplikácii.“
Vytvorte alebo obnovte položku rizika. Zahrňte opis, pravdepodobnosť, dopad, skóre, vlastníka a plán ošetrovania. Priraďte vlastníka vedúcemu vývoja, manažérovi bezpečnosti alebo rovnocennej zodpovednej role. Ohodnoťte pravdepodobnosť na základe modelu prístupu, exponovanej útočnej plochy, známych zraniteľností a predchádzajúcich incidentov. Ohodnoťte dopad na základe objemu osobných údajov, citlivosti, zákazníckych zmlúv, dôsledkov GDPR a možného dopadu na službu podľa NIS2 alebo DORA.
Vyberte ošetrenia, ako sú MFA pre privilegovaný prístup, riadenie prístupu na základe rolí, štvrťročné revízie prístupových práv, šifrovanie v pokoji, TLS, skenovanie zraniteľností, logovanie, upozorňovanie, bezpečné zálohovanie, postupy reakcie na incidenty a maskovanie údajov v neprodukčných prostrediach.
Potom namapujte riziko na SoA. Pridajte odkazy ISO/IEC 27002:2022, ako sú 5.34 Ochrana súkromia a ochrana PII, 8.24 Používanie kryptografie, 5.15 Riadenie prístupu, 5.18 Prístupové práva, 8.13 Zálohovanie informácií, 8.15 Logovanie, 8.16 Monitorovacie činnosti, 8.8 Riadenie technických zraniteľností, 8.25 Bezpečný životný cyklus vývoja a 8.10 Výmaz informácií tam, kde sú uplatniteľné. Pridajte poznámky ukazujúce, ako tieto kontroly podporujú GDPR Article 32, NIS2 Article 21 a riadenie rizík IKT podľa DORA tam, kde je to relevantné.
Pri regulačnom mapovaní zachovajte presné názvy kontrol a nevynucujte falošnú ekvivalenciu.
| Kontrola ISO/IEC 27002:2022 | Názov kontroly | Prečo je zahrnutá | Regulačné mapovanie |
|---|---|---|---|
| 8.24 | Používanie kryptografie | Chráni dôvernosť a integritu osobných údajov pri prenose, v pokoji a v zálohách | GDPR Art. 32; NIS2 Art. 21(2)(h) |
| 5.20 | Riešenie informačnej bezpečnosti v dodávateľských zmluvách | Zabezpečuje, že bezpečnostné povinnosti dodávateľa sú zmluvne definované a vynútiteľné | Kontroly sprostredkovateľov podľa GDPR; NIS2 Art. 21(2)(d); DORA Art. 28 a Art. 30 |
| 5.24 | Plánovanie a príprava riadenia incidentov informačnej bezpečnosti | Ustanovuje pripravenosť na detekciu, eskaláciu, posúdenie a oznamovanie | Zodpovednosť za porušenie ochrany údajov podľa GDPR; NIS2 Art. 23; DORA Art. 17 a Art. 19 |
| 8.13 | Zálohovanie informácií | Podporuje dostupnosť, obnovu a odolnosť po narušení alebo strate údajov | GDPR Art. 32; NIS2 Art. 21(2)(c); očakávania DORA v oblasti kontinuity IKT |
| 8.10 | Výmaz informácií | Podporuje bezpečnú likvidáciu, uplatňovanie uchovávania a minimalizáciu údajov | Obmedzenie uchovávania podľa GDPR a Art. 32; zmluvné požiadavky zákazníkov |
Teraz vytvorte dôkazový priečinok. Politika monitorovania auditov a súladu Clarysec pre MSP poskytuje jednoduché pravidlo:
„Všetky dôkazy musia byť uložené v centralizovanom auditnom priečinku.“
Zdroj: Politika monitorovania auditov a súladu pre MSP, Požiadavky na implementáciu politiky, ustanovenie politiky 6.2.1. Politika monitorovania auditov a súladu - SME
Pre tento jeden rizikový scenár by priečinok mal obsahovať:
| Dôkazová položka | Čo uložiť | Prečo je to dôležité |
|---|---|---|
| Položka rizika | Opis rizika, vlastník, skóre, plán ošetrovania a rozhodnutie o reziduálnom riziku | Preukazuje výber TOM založený na riziku |
| Výňatok zo SoA | Uplatniteľné kontroly a poznámky ku GDPR, NIS2, DORA | Ukazuje sledovateľnosť od rizika ku kontrole |
| Revízia prístupových práv | Preskúmaní používatelia, rozhodnutia, odobratia a výnimky | Preukazuje prevádzku riadenia prístupu |
| Report MFA | Export preukazujúci uplatňovanie MFA pre privilegované účty | Podporuje dôkazy o autentifikácii |
| Dôkazy o šifrovaní | Konfiguračný záznam, architektonická poznámka alebo záznam o správe kľúčov | Podporuje dôvernosť a integritu |
| Záznam o zraniteľnostiach | Najnovší sken, tickety nápravy a akceptované výnimky | Podporuje znižovanie technických rizík |
| Dôkaz o logovaní | Vzorka udalosti SIEM, pravidlo upozornenia a nastavenie uchovávania | Podporuje detekciu a vyšetrovanie |
| Test zálohy | Výsledok testu obnovy a záznam o pokrytí zálohovaním | Podporuje dostupnosť a odolnosť |
| Cvičenie incidentu | Poznámky zo stolového cvičenia, testovací záznam incidentu alebo záznam ponaučení | Podporuje pripravenosť reakcie |
| Schválenie vedením | Zápisnica zo stretnutia, podpis alebo záznam o akceptácii rizika | Podporuje zodpovednosť za súlad a proporcionalitu |
Dôkazy o prístupe sa nemajú končiť snímkami obrazovky. Politika riadenia prístupu pre MSP pridáva užitočnú prevádzkovú požiadavku:
„IT manažér musí zdokumentovať výsledky preskúmania a nápravné opatrenia.“
Zdroj: Politika riadenia prístupu pre MSP, Požiadavky na správu a riadenie, ustanovenie politiky 5.5.3. Politika riadenia prístupu - SME
Dôkazy o zálohovaní musia preukazovať obnoviteľnosť, nie iba úspešné úlohy. Politika zálohovania a obnovy pre MSP uvádza:
„Testy obnovy sa vykonávajú najmenej štvrťročne a výsledky sa dokumentujú na overenie obnoviteľnosti.“
Zdroj: Politika zálohovania a obnovy pre MSP, Požiadavky na správu a riadenie, ustanovenie politiky 5.3.3. Politika zálohovania a obnovy - SME
Tým vzniká úplná dôkazová slučka: predpis vytvára požiadavku, riziko vysvetľuje jej význam, SoA vyberá kontrolu, politika definuje prevádzku a uchovávané dôkazy preukazujú, že kontrola funguje.
Kontroly v praxi: premena politiky na prevádzkový dôkaz
Fáza Kontroly v praxi v Zenith Blueprint, krok 19, sa zameriava na technické overenie. Odporúča preskúmať súlad zabezpečenia koncových bodov, správu identít a prístupov, konfigurácie autentifikácie, bezpečnosť správy zdrojového kódu, kapacitu a dostupnosť, riadenie zraniteľností a záplat, bezpečné referenčné konfigurácie, ochranu pred škodlivým kódom, výmaz a minimalizáciu údajov, maskovanie a testovacie údaje, DLP, zálohovanie a obnovu, redundanciu, logovanie a monitorovanie a synchronizáciu času.
Pri TOM podľa GDPR Article 32 je krok 19 miestom, kde sa abstraktný jazyk kontrol mení na dôkaz. Silný dôkazový súbor by mal ukázať, že:
- Šifrovanie koncových bodov je zapnuté a monitorované.
- Privilegovaní používatelia majú MFA.
- Procesy nástupov, presunov a odchodov sú zosúladené so záznamami HR.
- Servisné účty sú zdokumentované a obmedzené.
- Repozitáre kódu majú riadený prístup a vykonáva sa skenovanie tajomstiev.
- Skeny zraniteľností sa vykonávajú a sledujú až po nápravu.
- Produkčné údaje sa nekopírujú do testovacích prostredí bez riadenia a schválenia.
- Politiky bezpečného výmazu a uchovávania sa uplatňujú.
- Upozornenia DLP sa preskúmavajú.
- Testy obnovy zo záloh preukazujú obnoviteľnosť.
- Logy sú centralizované, uchovávané a preskúmateľné.
- Synchronizácia času podporuje spoľahlivé vyšetrovanie incidentov.
Kľúčom je väzba. Report o záplatách bez odkazu na riziko, politiku a SoA je IT artefakt. Report o záplatách prepojený s GDPR Article 32, NIS2 Article 21, riadením rizík IKT podľa DORA a plánom ošetrovania rizík podľa ISO 27001:2022 je dôkaz pripravený na audit.
Jeden dôkazový súbor, viacero auditných pohľadov
Tie isté dôkazy TOM budú rôzne čítať rôzne zainteresované strany. Posudzovateľ ochrany súkromia sa môže zamerať na osobné údaje, nevyhnutnosť, proporcionalitu a zodpovednosť za súlad. Audítor ISO 27001 sa môže zamerať na rozsah, ošetrovanie rizík, SoA a dôkazy o prevádzke. Orgán NIS2 sa môže zamerať na dohľad vedenia, opatrenia podľa Article 21 a pripravenosť na oznamovanie podľa Article 23. Orgán dohľadu podľa DORA alebo finančný zákazník sa môže zamerať na správu rizík IKT, testovanie odolnosti a závislosti od tretích strán.
Clarysec používa Zenith Controls ako sprievodcu krížovým súladom pre tento preklad.
| Publikum | Na čo sa bude pýtať | Ako majú dôkazy odpovedať |
|---|---|---|
| Posudzovateľ ochrany súkromia podľa GDPR | Sú TOM primerané riziku osobných údajov a možno preukázať zodpovednosť za súlad? | Register rizík, inventár údajov, kontroly ochrany súkromia, záznamy o uchovávaní, obmedzenia prístupu, dôkazy o šifrovaní a záznamy o posúdení porušenia ochrany údajov |
| Audítor ISO 27001:2022 | Má ISMS definovaný rozsah, je založený na riziku, implementovaný, monitorovaný a zlepšovaný? | Rozsah, metodika rizík, SoA, interný audit, preskúmanie vedením a nápravné opatrenia |
| Posudzovateľ NIS2 | Sú opatrenia kybernetickej bezpečnosti schválené, primerané a pokrývajú oblasti Article 21? | Schválenie predstavenstvom, bezpečnostné politiky, riešenie incidentov, kontinuita, dodávateľské riziko, školenie, MFA a riadenie zraniteľností |
| Orgán dohľadu podľa DORA alebo finančný zákazník | Sú riziká IKT riadené, testované a odolné vrátane rizika tretích strán v oblasti IKT? | Rámec rizík IKT, stratégia odolnosti, proces incidentov, dôkazy o testovaní, register dodávateľov a plány ukončenia |
| Posudzovateľ orientovaný na NIST | Vie organizácia identifikovať, chrániť, detegovať, reagovať a obnoviť prostredníctvom opakovateľných dôkazov? | Inventár aktív a údajov, ochranné kontroly, záznamy monitorovania, logy reakcie a testy obnovy |
| Audítor COBIT 2019 alebo ISACA | Je správa a riadenie zodpovedné, merané a zosúladené s cieľmi podniku? | Roly, reportovanie vedeniu, apetít na riziko, ukazovatele výkonnosti, výsledky uistenia a zlepšovacie opatrenia |
Tým sa predchádza duplicite práce v oblasti súladu. Namiesto vytvárania samostatných dôkazových balíkov pre GDPR, NIS2 a DORA vytvorte jeden dôkazový súbor kontrol a označte každú položku podľa povinností, ktoré podporuje.
Bežné medzery v programoch TOM podľa Article 32
Najčastejšou medzerou sú osirelé kontroly. Spoločnosť má kontrolu, napríklad šifrovanie, ale nevie vysvetliť, ktoré riziko ošetruje, ktorá politika ju vyžaduje, kto ju vlastní alebo ako sa preskúmava.
Druhou medzerou sú slabé dôkazy o dodávateľoch. Podľa GDPR sú sprostredkovatelia a ďalší sprostredkovatelia dôležití. Podľa NIS2 je bezpečnosť dodávateľského reťazca súčasťou riadenia kybernetických rizík. Podľa DORA je riziko tretích strán v oblasti IKT regulovanou oblasťou s registrami, due diligence, zmluvnými ochrannými opatreniami, právami na audit a plánovaním ukončenia. Tabuľkový prehľad dodávateľov nestačí, ak kritické závislosti nie sú posúdené z hľadiska rizika a riadené kontrolami.
Treťou medzerou sú dôkazy o incidentoch. Organizácie často majú plán reakcie na incidenty, ale nemajú dôkaz, že klasifikácia, eskalácia, oznamovanie orgánom a komunikácia so zákazníkmi boli otestované. NIS2 a DORA tu zvyšujú očakávania a posúdenie porušenia ochrany osobných údajov podľa GDPR musí byť integrované do toho istého pracovného toku.
Štvrtou medzerou je dôkaz o zálohovaní. Úspešná zálohovacia úloha nepreukazuje obnoviteľnosť. Zdokumentovaný test obnovy áno.
Piatou medzerou je preskúmanie vedením. TOM podľa Article 32 musia byť primerané riziku. Ak vedenie nikdy nepreskúmava riziká, incidenty, problémy dodávateľov, rozpočet, auditné zistenia a reziduálne riziko, proporcionalita sa preukazuje ťažko.
Záverečný toolkit pripravený na audit
Fáza Audit, preskúmanie a zlepšovanie v Zenith Blueprint, krok 30, poskytuje záverečný kontrolný zoznam pripravenosti. Zahŕňa rozsah a kontext ISMS, podpísanú politiku informačnej bezpečnosti, dokumenty posúdenia a ošetrovania rizík, SoA, politiky a postupy podľa prílohy A, záznamy o školeniach, prevádzkové záznamy, správu z interného auditu, záznam nápravných opatrení, zápisnice z preskúmania vedením, dôkazy o neustálom zlepšovaní a záznamy o povinnostiach súladu.
Podniková Politika monitorovania auditov a súladu Clarysec uvádza účel tejto disciplíny:
„Generovať obhájiteľné dôkazy a auditnú stopu na podporu regulačných preverení, právnych konaní alebo požiadaviek zákazníkov na uistenie.“
Zdroj: Politika monitorovania auditov a súladu, Ciele, ustanovenie politiky 3.4. Politika monitorovania auditov a súladu
Zrelý dôkazový súbor TOM podľa Article 32 by mal obsahovať:
| Kategória dôkazov | Minimálny obsah pripravený na audit |
|---|---|
| Správa a riadenie | Rozsah ISMS, schválenie politiky, roly, ciele, zápisnice z preskúmania vedením |
| Riziko | Metodika rizík, register rizík, plán ošetrovania, schválenia reziduálneho rizika |
| SoA | Uplatniteľné kontroly, vylúčenia, odôvodnenia a regulačné mapovanie |
| Ochrana súkromia | Inventár údajov, kontroly PII, dôkazy o uchovávaní, DPIA alebo posúdenie rizík ochrany súkromia tam, kde je uplatniteľné |
| Technické kontroly | MFA, revízie prístupových práv, šifrovanie, riadenie zraniteľností, logovanie, monitorovanie a dôkazy o bezpečnom vývoji |
| Odolnosť | Pokrytie zálohovaním, testy obnovy, plány kontinuity, cvičenia incidentov a metriky obnovy |
| Uistenie dodávateľov | Register dodávateľov, due diligence, zmluvné doložky, monitorovanie, práva na audit a plánovanie ukončenia |
| Zlepšovanie | Interné audity, nápravné opatrenia, získané ponaučenia a preskúmania účinnosti kontrol |
Ďalšie kroky: vytvorte dôkazy k TOM podľa Article 32 s Clarysec
Ak potrebujete preukázať technické a organizačné opatrenia podľa GDPR Article 32, nezačínajte zbieraním náhodných snímok obrazovky. Začnite sledovateľnosťou.
- Definujte rozsah ISMS a hranice spracúvania osobných údajov.
- Identifikujte požiadavky GDPR, NIS2, DORA, zmluvné a zákaznícke požiadavky.
- Vytvorte kritériá rizík s využitím ISO/IEC 27005:2022 a vedením schváleného apetítu na riziko.
- Vytvorte alebo obnovte register rizík.
- Namapujte každé ošetrenie na kontroly ISO 27001:2022 a SoA.
- Použite Zenith Controls na krížové odkazy kontrol ochrany súkromia, kryptografie, dodávateľov, incidentov a nezávislého preskúmania naprieč očakávaniami súladu.
- Postupujte podľa Zenith Blueprint krok 13 a krok 14, aby ste prepojili riziká, kontroly a regulačné povinnosti.
- Použite Zenith Blueprint krok 19 na overenie technických kontrol v prevádzke.
- Použite Zenith Blueprint krok 30 na zostavenie záverečného dôkazového súboru pripraveného na audit.
- Uložte všetky dôkazy centrálne, označte ich podľa rizika a témy kontroly a udržiavajte nápravné opatrenia viditeľné.
Clarysec vám pomôže premeniť GDPR Article 32 z nejasnej povinnosti súladu na obhájiteľný dôkazový systém založený na riziku a zosúladený s ISO 27001:2022, NIS2 a DORA.
Začnite s Zenith Blueprint, posilnite ho politikami Clarysec a použite Zenith Controls, aby bolo každé TOM sledovateľné, testovateľné a pripravené na audit.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
