Auditné dôkazy ISO 27001 pre NIS2 a DORA
Je utorok 08:17 a CISO rýchlo rastúcej fintech SaaS spoločnosti má tri nevybavené správy.
Prvá je od veľkého bankového zákazníka: „Pošlite nám, prosím, vašu najnovšiu správu z interného auditu, zápisnicu z preskúmania manažmentom, stav nápravných opatrení, postup nahlasovania incidentov, register dodávateľov a dôkazy o dohľade riadiaceho orgánu.“
Druhá je od CFO: „Spadáme do rozsahu NIS2 alebo DORA a aké dôkazy už máme?“
Tretia je od CEO: „Môžeme povedať, že sme pripravení na audit?“
Nepríjemná odpoveď v mnohých organizáciách nie je, že sa nič nedeje. Je to horšie. Bezpečnostná práca prebieha všade, ale dôkazy nie sú nikde. Kontrolné opatrenia existujú, ale chýba auditná stopa. Existujú tikety, ale bez jasnej väzby na riziká. Vedenie dostáva aktualizácie, ale bez formálnych výstupov z preskúmania manažmentom. Prebiehajú diskusie s dodávateľmi, ale chýba obhájiteľný register dodávateľov, preskúmanie zmlúv alebo stratégia ukončenia.
Práve v tejto medzere sa interný audit a preskúmanie manažmentom podľa ISO/IEC 27001:2022 menia na viac než len certifikačné aktivity. Stávajú sa prevádzkovým rytmom pre NIS2, DORA, GDPR, uistenie zákazníkov, kybernetické poistenie a zodpovednosť riadiaceho orgánu.
Tímy v oblasti SaaS, cloudu, MSP, MSSP a fintech zriedka zlyhávajú preto, že by im chýbala bezpečnostná aktivita. Zlyhávajú preto, že aktivita je rozptýlená medzi Slackom, Jira, tabuľkovými prehľadmi, portálmi dodávateľov, SOC tiketmi, obstarávacími súbormi a podkladmi pre riadiaci orgán. Regulátor, externý audítor ani enterprise zákazník nechce hrdinské vysvetlenie. Chce objektívne dôkazy.
Praktickým riešením nie je prevádzkovať samostatné auditné programy pre každý rámec. Riešením je použiť ISMS podľa ISO 27001 ako centrálny mechanizmus dôkazov a následne tieto dôkazy označovať podľa NIS2, DORA, GDPR a zmluvných požiadaviek. Ak sa to urobí správne, jeden cyklus interného auditu a jeden cyklus preskúmania manažmentom dokážu zodpovedať mnoho otázok týkajúcich sa súladu.
Od únavy z rámcov k jednotnému modelu dôkazov ISMS
Mnohí CISO čelia určitej verzii Máriinho problému. Mária vedie bezpečnosť v B2B SaaS spoločnosti so zákazníkmi z finančného sektora. Jej tím pred šiestimi mesiacmi úspešne prešiel certifikačným auditom ISO/IEC 27001:2022. ISMS dozrieva, politiky sa dodržiavajú a vlastníci kontrolných opatrení rozumejú svojim zodpovednostiam. Potom CEO prepošle dva články, jeden o smernici NIS2 a jeden o DORA, s krátkou otázkou: „Sme tým pokrytí?“
Odpoveď závisí od rozsahu, služieb, zákazníkov a právnych subjektov. Prevádzková odpoveď je však jasná: ak bude Mária pristupovať k NIS2 a DORA ako k samostatným projektom súladu, vytvorí duplicitu práce, nekonzistentné dôkazy a rastúcu únavu z auditov. Ak ich bude považovať za požiadavky zainteresovaných strán v rámci ISMS, môže použiť ISO 27001 na ich začlenenie, testovanie a preukázanie pripravenosti.
ISO/IEC 27001:2022 je na to navrhnutá. Kapitola 4 vyžaduje, aby organizácia pochopila svoj kontext a požiadavky zainteresovaných strán vrátane právnych, regulačných, zmluvných povinností a povinností vyplývajúcich zo závislostí. Kapitola 5 vyžaduje vedenie a integráciu do podnikových procesov. Kapitola 6 vyžaduje posúdenie rizík a ošetrenie rizík. Kapitola 9 vyžaduje hodnotenie výkonnosti prostredníctvom monitorovania, interného auditu a preskúmania manažmentom. Kapitola 10 vyžaduje zlepšovanie a nápravné opatrenia.
NIS2 a DORA do tejto štruktúry prirodzene zapadajú.
NIS2 vyžaduje, aby základné a dôležité subjekty zaviedli primerané a proporcionálne technické, prevádzkové a organizačné opatrenia na riadenie rizík kybernetickej bezpečnosti. Zároveň ukladá riadiacim orgánom zodpovednosť za schvaľovanie týchto opatrení, dohľad nad ich implementáciou a možnosť niesť zodpovednosť za porušenia. Jej minimálne opatrenia zahŕňajú analýzu rizík, riešenie incidentov, kontinuitu činností, bezpečnosť dodávateľského reťazca, bezpečný vývoj, riešenie zraniteľností, hodnotenie účinnosti, školenie, kryptografiu, personálnu bezpečnosť, riadenie prístupu, správu aktív a podľa potreby viacfaktorovú autentifikáciu alebo kontinuálnu autentifikáciu.
DORA sa uplatňuje od 17. januára 2025 a vytvára odvetvový režim digitálnej prevádzkovej odolnosti pre finančné subjekty. Vyžaduje zodpovednosť riadiaceho orgánu za riadenie rizík IKT, zdokumentovaný rámec riadenia rizík IKT, stratégiu digitálnej prevádzkovej odolnosti, plány kontinuity a obnovy IKT, testovanie odolnosti, riadenie incidentov IKT a riadenie rizík tretích strán v oblasti IKT. Pre poskytovateľov SaaS a cloudové služby poskytujúce služby finančným subjektom sa DORA môže prejaviť prostredníctvom zmluvných povinností, zákazníckych auditov a očakávaní riadenia rizík tretích strán v oblasti IKT, aj keď samotný poskytovateľ nie je finančným subjektom.
GDPR pridáva vrstvu preukázateľnej zodpovednosti. Ak sa osobné údaje spracúvajú v rozsahu GDPR, organizácie musia byť schopné preukázať súlad so zásadami ochrany údajov a primeranými technickými a organizačnými opatreniami.
ISO 27001 nie je zázračný certifikát súladu pre tieto povinnosti. Je to systém riadenia, ktorý ich dokáže organizovať, podložiť dôkazmi a zlepšovať.
Otázka rozsahu: čo preukazujete a pre koho?
Pred vytvorením balíka dôkazov pripraveného na audit musí vedenie odpovedať na základnú otázku: ktoré povinnosti patria do rozsahu?
Pre SaaS a cloudové organizácie môže byť rozsah NIS2 širší, než sa očakáva. NIS2 sa vzťahuje na verejné alebo súkromné subjekty v uvedených sektoroch, ktoré spĺňajú veľkostné prahy, a na určité subjekty s vysokým vplyvom bez ohľadu na veľkosť. Relevantné sektory môžu zahŕňať digitálnu infraštruktúru, poskytovateľov služieb cloud computingu, poskytovateľov dátových centier, siete na doručovanie obsahu, poskytovateľov dôveryhodných služieb, poskytovateľov verejných elektronických komunikácií a B2B poskytovateľov riadenia služieb IKT, ako sú poskytovatelia riadených služieb a poskytovatelia riadených bezpečnostných služieb. Poskytovatelia SaaS by mali venovať zvýšenú pozornosť tomu, ako sa služby poskytujú, ktoré sektory podporujú a či umožňujú samoobslužnú správu na požiadanie a široký vzdialený prístup ku škálovateľným zdieľaným výpočtovým zdrojom.
Pre fintech a poskytovateľov služieb finančnému sektoru sa DORA musí analyzovať samostatne. DORA sa priamo vzťahuje na široké spektrum finančných subjektov vrátane úverových inštitúcií, platobných inštitúcií, poskytovateľov služieb informovania o účte, inštitúcií elektronických peňazí, investičných spoločností, poskytovateľov služieb kryptoaktív, obchodných miest, správcov fondov, poisťovní a zaisťovní a poskytovateľov služieb kolektívneho financovania. Poskytovatelia služieb tretích strán v oblasti IKT sú tiež súčasťou ekosystému DORA, pretože finančné subjekty musia riadiť svoje závislosti v oblasti IKT, viesť registre zmluvných dohôd a zahrnúť osobitné zmluvné ustanovenia pre služby IKT podporujúce kritické alebo dôležité funkcie.
NIS2 a DORA sa zároveň navzájom ovplyvňujú. Ak odvetvovo špecifický právny akt EÚ ukladá rovnocenné požiadavky na riadenie rizík kybernetickej bezpečnosti alebo oznamovanie incidentov, príslušné ustanovenia NIS2 sa na tieto subjekty v daných oblastiach nemusia uplatniť. DORA je odvetvový režim prevádzkovej odolnosti pre finančné subjekty. To však neznamená, že NIS2 je pre všetkých okolitých poskytovateľov irelevantná. Znamená to, že model dôkazov musí rozlišovať, či je organizácia finančným subjektom priamo podliehajúcim DORA, externým poskytovateľom služieb IKT podporujúcim finančné subjekty, poskytovateľom SaaS v rozsahu NIS2 alebo skupinou s viacerými právnymi subjektmi a líniami služieb.
Táto analýza rozsahu patrí do kontextu ISMS a registra zainteresovaných strán. Bez nej bude plán auditov testovať nesprávne veci.
Jedna auditná stopa, mnoho otázok súladu
Častou chybou je vytvárať samostatné balíky dôkazov pre ISO 27001, NIS2, DORA, GDPR, kybernetické poistenie a zákaznícke audity. Takýto prístup vytvára duplicitu a protichodné odpovede. Lepším prístupom je jeden model dôkazov s viacerými pohľadmi.
V centre je ISMS. Okolo neho je päť rodín dôkazov.
| Rodina dôkazov | Čo preukazuje | Typické záznamy |
|---|---|---|
| Dôkazy o správe a riadení | Manažment schválil, zabezpečil zdroje a preskúmal ISMS | Politika informačnej bezpečnosti, roly, plán auditov, zápisnice z preskúmania manažmentom, reportovanie riadiacemu orgánu |
| Dôkazy o rizikách | Riziká boli identifikované, posúdené, pridelené vlastníkom a ošetrené | Kritériá rizík, register rizík, plán ošetrenia rizík, Vyhlásenie o uplatniteľnosti, schválenia reziduálneho rizika |
| Dôkazy o kontrolných opatreniach | Kontrolné opatrenia fungujú podľa návrhu | Revízia prístupových práv, testy zálohovania, monitorovacie upozornenia, správy o zraniteľnostiach, due diligence dodávateľov, záznamy bezpečného vývoja |
| Dôkazy uistenia | Nezávislé alebo interné kontroly identifikovali medzery a overili zhodu | Plán interného auditu, auditný kontrolný zoznam, správa z auditu, register nezhôd, register CAPA |
| Dôkazy o zlepšovaní | Zistenia viedli k oprave, analýze koreňovej príčiny a neustálemu zlepšovaniu | Plány nápravných opatrení, získané poznatky, rozhodnutia manažmentu, aktualizované politiky, záznamy z opätovného testovania |
Táto štruktúra je zosúladená s Zenith Blueprint: 30-kroková cestovná mapa audítora Zenith Blueprint. Vo fáze Audit, preskúmanie a zlepšovanie sa Step 25 zameriava na program interného auditu, Step 26 na vykonanie auditu, Step 28 na preskúmanie manažmentom a Step 29 na neustále zlepšovanie.
Usmernenie Blueprint pre Step 25 je zámerne praktické:
„Vypracujte harmonogram, ktorý určuje, kedy sa audity uskutočnia a čo budú pokrývať.“
„Použite šablónu plánu interného auditu, ak je poskytnutá; môže ísť o jednoduchý dokument alebo tabuľkový prehľad so zoznamom termínov auditov, rozsahu a pridelených audítorov.“
Zo Zenith Blueprint, fáza Audit, preskúmanie a zlepšovanie, Step 25: Program interného auditu Zenith Blueprint
Tento jednoduchý plán auditov nadobúda význam, keď je založený na riziku a označený podľa povinností NIS2, DORA a GDPR.
Kontrolné opatrenia ISO 27001, ktoré ukotvujú pripravenosť na audit
Pre pripravenosť na audit sú obzvlášť dôležité tri kontrolné opatrenia ISO/IEC 27002:2022, ak sa interpretujú prostredníctvom Zenith Controls: Sprievodca krížovým súladom Zenith Controls:
- 5.4 Zodpovednosti manažmentu
- 5.35 Nezávislé preskúmanie informačnej bezpečnosti
- 5.36 Súlad s politikami, pravidlami a normami informačnej bezpečnosti
Nie sú to samostatné „kontrolné opatrenia Zenith“. Sú to kontrolné opatrenia ISO/IEC 27002:2022, ktoré Zenith Controls pomáha mapovať, auditovať a interpretovať naprieč rámcami.
Kontrolné opatrenie 5.4 preveruje, či sú zodpovednosti za informačnú bezpečnosť pridelené a pochopené. Kontrolné opatrenie 5.35 preveruje, či je informačná bezpečnosť nezávisle preskúmavaná. Kontrolné opatrenie 5.36 preveruje, či organizácia dodržiava svoje politiky, pravidlá a normy.
Zenith Controls klasifikuje kontrolné opatrenie 5.35 spôsobom orientovaným na uistenie:
Kontrolné opatrenie ISO/IEC 27002:2022 5.35 „Nezávislé preskúmanie informačnej bezpečnosti“ je v Zenith Controls spracované ako „preventívne, nápravné“, podporujúce dôvernosť, integritu a dostupnosť prostredníctvom konceptov kybernetickej bezpečnosti „Identify“ a „Protect“, s prevádzkovou schopnosťou v oblasti „Information Security Assurance“. Zenith Controls
Je to dôležité, pretože interný audit je preventívny aj nápravný. Predchádza slepým miestam testovaním ISMS pred externým preverovaním a odstraňuje slabiny prostredníctvom zdokumentovaných opatrení.
Širšia mapovacia tabuľka začína požiadavkami NIS2 a DORA a následne identifikuje dôkazy ISO 27001, ktoré ich môžu preukázať.
| Regulačná téma | Dôkazy podľa ISO/IEC 27001:2022 a ISO/IEC 27002:2022 | Praktické zameranie auditu |
|---|---|---|
| Zodpovednosť manažmentu | Kapitoly 5, 9.3 a kontrolné opatrenia 5.2, 5.4, 5.35, 5.36 | Schválenia vedenia, zápisnice z preskúmania, priradenie rolí, rozhodnutia CAPA |
| Analýza rizík a bezpečnostné politiky | Kapitoly 4, 6.1, 6.2 a kontrolné opatrenia 5.1, 5.7, 5.9, 5.31 | Kritériá rizík, register rizík, schválenia politík, právne a zmluvné požiadavky |
| Riešenie incidentov | Kontrolné opatrenia 5.24, 5.25, 5.26, 5.27, 5.28 | Klasifikácia, eskalácia, záznamy reakcie, získané poznatky, uchovanie dôkazov |
| Kontinuita činností a obnova | Kontrolné opatrenia 5.29, 5.30, 8.13 | Plány kontinuity, pripravenosť IKT, testy obnovy zo záloh, metriky obnovy |
| Dodávateľské a cloudové riziko | Kontrolné opatrenia 5.19, 5.20, 5.21, 5.22, 5.23 | Due diligence dodávateľov, zmluvy, monitorovanie, plány ukončenia cloudových služieb, riziko koncentrácie |
| Bezpečný vývoj a zraniteľnosti | Kontrolné opatrenia 8.8, 8.25, 8.26, 8.27, 8.28, 8.29 | SLA pre zraniteľnosti, záznamy bezpečného SDLC, schválenia zmien, bezpečnostné testovanie |
| Prístup, personálna bezpečnosť a školenie | Kontrolné opatrenia 5.15, 5.16, 5.17, 5.18, 6.1, 6.2, 6.3, 6.5, 6.6, 6.7 | Revízia prístupových práv, vzorky nástupov, presunov a odchodov, záznamy o zvyšovaní povedomia, kontrolné opatrenia pre prácu na diaľku |
| Logovanie, monitorovanie a kryptografia | Kontrolné opatrenia 8.15, 8.16, 8.17, 8.24 | Uchovávanie logov, preskúmanie upozornení, synchronizácia času, šifrovacie štandardy |
| Ochrana súkromia a právny súlad | Kontrolné opatrenia 5.31, 5.34, 5.36 | Právny register, kontrolné opatrenia ochrany súkromia, dôkazy sprostredkovateľov, preskúmania súladu |
Mapovanie kontrolných opatrení je užitočné iba vtedy, keď sú dôkazy silné. Ak je záznam slabý, žiadna mapovacia tabuľka ho nezachráni. Ak je záznam úplný, rovnaké dôkazy môžu odpovedať na otázky v štýle ISO, NIS2, DORA, GDPR, NIST Cybersecurity Framework 2.0 a COBIT 2019.
Dôkazy podľa politík, ktorých uchovávanie Clarysec od organizácií očakáva
Politiky Clarysec premieňajú teóriu ISMS na očakávania týkajúce sa dôkazov.
Pre MSP vyžaduje Audit and Compliance Monitoring Policy-sme Audit and Compliance Monitoring Policy-sme schválenie vedením a auditnú disciplínu:
„Generálny manažér (GM) musí schváliť ročný plán auditov.“
Z Audit and Compliance Monitoring Policy-sme, Požiadavky na správu a riadenie, kapitola 5.1.1 Audit and Compliance Monitoring Policy-sme
Stanovuje aj minimálnu periodicitu:
„Interné audity alebo preskúmania súladu sa musia vykonávať aspoň raz ročne.“
Z Audit and Compliance Monitoring Policy-sme, Požiadavky na správu a riadenie, kapitola 5.2.1
A prepája zistenia s nápravou a preskúmaním manažmentom:
„GM musí schváliť plán nápravných opatrení a sledovať jeho implementáciu.“
Z Audit and Compliance Monitoring Policy-sme, Požiadavky na správu a riadenie, kapitola 5.4.2
„Auditné zistenia a aktualizácie stavu musia byť zahrnuté do procesu preskúmania ISMS manažmentom.“
Z Audit and Compliance Monitoring Policy-sme, Požiadavky na správu a riadenie, kapitola 5.4.3
Uchovávanie dôkazov je tiež explicitné:
„Dôkazy sa musia uchovávať najmenej dva roky alebo dlhšie, ak to vyžaduje certifikácia alebo dohody s klientmi.“
Z Audit and Compliance Monitoring Policy-sme, Požiadavky na implementáciu politiky, kapitola 6.2.4
Pre väčšie organizácie Audit and Compliance Monitoring Policy Audit and Compliance Monitoring Policy, v niektorých materiáloch Clarysec uvádzaná aj ako P33 Audit and Compliance Monitoring Policy, rozširuje štruktúru:
„Plán auditov založený na riziku sa vypracuje a schvaľuje každoročne, pričom zohľadňuje:“
Z Audit and Compliance Monitoring Policy, Požiadavky na správu a riadenie, kapitola 5.2 Audit and Compliance Monitoring Policy
„Organizácia vedie register auditov obsahujúci:“
Z Audit and Compliance Monitoring Policy, Požiadavky na správu a riadenie, kapitola 5.4
„Interné audity sa vykonávajú podľa zdokumentovaného postupu, ktorý zahŕňa:“
Z Audit and Compliance Monitoring Policy, Požiadavky na implementáciu politiky, kapitola 6.1.1
„Všetky zistenia vyústia do zdokumentovaného CAPA, ktorý obsahuje:“
Z Audit and Compliance Monitoring Policy, Požiadavky na implementáciu politiky, kapitola 6.2.1
Preskúmanie manažmentom je ukotvené v Information Security Policy Information Security Policy, v niektorých materiáloch Clarysec uvádzanej aj ako P01 Information Security Policy:
„Činnosti preskúmania manažmentom (podľa ISO/IEC 27001 kapitola 9.3) sa vykonávajú najmenej raz ročne a zahŕňajú:“
Z Information Security Policy, Požiadavky na správu a riadenie, kapitola 5.3 Information Security Policy
Tieto požiadavky vytvárajú reťazec dôkazov, ktorý audítori očakávajú: schválený plán, definovaný postup, register auditov, zistenia, CAPA, uchovávanie a preskúmanie vedením.
Tvorba balíka dôkazov pripraveného na audit
Balík dôkazov pripravený na audit nie je obrovský priečinok vytvorený dva dni pred auditom. Je to živá štruktúra udržiavaná počas celého roka.
| Položka dôkazu | Účel podľa ISO 27001 | Relevantnosť pre NIS2 a DORA |
|---|---|---|
| Rozsah ISMS a register zainteresovaných strán | Preukazuje, že právne, zmluvné požiadavky a požiadavky vyplývajúce zo závislostí sú identifikované | Podporuje rozsah subjektu podľa NIS2, analýzu roly podľa DORA a preukázateľnú zodpovednosť podľa GDPR |
| Kritériá rizík a register rizík | Preukazuje konzistentné posúdenie rizík a vlastníctvo rizík | Podporuje opatrenia riadenia rizík podľa NIS2 a rámec rizík IKT podľa DORA |
| Vyhlásenie o uplatniteľnosti | Preukazuje vybrané kontrolné opatrenia, odôvodnenie a stav implementácie | Vytvára konsolidovaný základný súbor kontrolných opatrení pre krížový súlad |
| Ročný plán interného auditu | Preukazuje plánované uistenie | Podporuje dohľad manažmentu a plánovanie auditov IKT podľa DORA |
| Kontrolný zoznam interného auditu | Preukazuje auditné kritériá a metódu vzorkovania | Ukazuje, ako boli testované požiadavky NIS2, DORA a GDPR |
| Správa z auditu a register zistení | Preukazuje objektívne dôkazy a nezhody | Podporuje hodnotenie účinnosti a regulačné uistenie |
| Register CAPA | Preukazuje koreňovú príčinu, vlastníka, termín a uzavretie | Podporuje nápravné opatrenia podľa NIS2 a nápravu podľa DORA |
| Balík pre preskúmanie manažmentom | Preukazuje preskúmanie výkonnosti, incidentov, rizík a zdrojov vedením | Podporuje zodpovednosť riadiaceho orgánu podľa NIS2 a DORA |
| Register dodávateľov a zmluvné dôkazy | Preukazuje riadenie rizík tretích strán | Podporuje bezpečnosť dodávateľského reťazca podľa NIS2 a riadenie rizík tretích strán v oblasti IKT podľa DORA |
| Záznamy o nahlasovaní incidentov a získaných poznatkoch | Preukazuje reakciu a zlepšovanie | Podporuje stupňovité oznamovanie podľa NIS2 a riadenie incidentov podľa DORA |
Balík dôkazov má byť mapovaný na kapitoly ISO/IEC 27001:2022 a kontrolné opatrenia prílohy A, ale zároveň označený podľa regulačnej relevantnosti. Záznam z auditu dodávateľa môže napríklad podporovať dodávateľské kontrolné opatrenia prílohy A, bezpečnosť dodávateľského reťazca podľa NIS2 a riadenie rizík tretích strán v oblasti IKT podľa DORA. Záznam zo stolového cvičenia incidentu môže podporovať riadenie incidentov podľa ISO 27001, pripravenosť na stupňovité oznamovanie podľa NIS2 a riadenie závažných incidentov súvisiacich s IKT podľa DORA.
Ako vykonať integrovaný interný audit
Step 26 v Zenith Blueprint zdôrazňuje objektívne dôkazy:
„Vykonajte audit zhromažďovaním objektívnych dôkazov ku každej položke vášho kontrolného zoznamu.“
„Rozhovorte sa s relevantným personálom.“
„Preskúmajte dokumentáciu.“
„Pozorujte postupy.“
„Vzorkujte a vykonávajte namátkové kontroly.“
Zo Zenith Blueprint, fáza Audit, preskúmanie a zlepšovanie, Step 26: Vykonanie auditu Zenith Blueprint
Presne to vyžaduje pripravenosť na NIS2 a DORA. Regulátori a zákazníci neakceptujú tvrdenie „veríme, že to funguje“. Budú sa pýtať, ako to viete.
Dobre vedený audit testuje štyri dimenzie dôkazov.
| Dimenzia dôkazov | Príklad auditného testu | Dobrý dôkaz |
|---|---|---|
| Návrh | Definuje politika alebo proces požiadavku? | Schválená politika, postup, štandard, pracovný tok |
| Implementácia | Bol proces nasadený? | Tikety, konfigurácie, záznamy o školeniach, záznamy dodávateľov |
| Prevádzková účinnosť | Fungoval v čase? | Vzorky za viac mesiacov, upozornenia, kontrola logov, výsledky testov |
| Eskalácia v správe a riadení | Videlo vedenie výsledky a konalo na ich základe? | Schválenie CAPA, zápisnice z preskúmania manažmentom, rozpočtové rozhodnutie |
Zvážte simulovanú ransomvérovú udalosť na stagingovom serveri. Audítor testuje, či proces reakcie na incidenty dokáže splniť požiadavky ISO 27001, očakávania stupňovitého nahlasovania podľa NIS2 a povinnosti voči zákazníkom podľa DORA.
| Zhromaždený dôkaz | Relevantnosť pre ISO 27001 | Relevantnosť pre NIS2 | Relevantnosť pre DORA |
|---|---|---|---|
| Log incidentu s počiatočnou klasifikáciou a časovou pečiatkou | Kontrolné opatrenie 5.26 reakcia na incidenty informačnej bezpečnosti | Určuje okamih zistenia pre lehoty nahlasovania | Podporuje identifikáciu a logovanie incidentov súvisiacich s IKT |
| Eskalácia na CSIRT a právneho zástupcu | Kontrolné opatrenie 5.25 posúdenie udalostí informačnej bezpečnosti a rozhodovanie o nich | Podporuje rozhodovanie o oznamovaní významných incidentov | Podporuje internú komunikáciu a eskalačné postupy |
| Návrh šablóny včasného varovania | Kontrolné opatrenie 5.24 plánovanie a príprava riadenia incidentov | Podporuje schopnosť splniť očakávanie včasného varovania do 24 hodín | Môže podporovať pripravenosť zmluvnej komunikácie |
| Záznam rozhodnutia o obnove zo zálohy | Kontrolné opatrenia 5.29, 5.30 a 8.13 | Podporuje dôkazy kontinuity činností a obnovy po havárii | Podporuje očakávania reakcie, obnovy a obnovenia zo záloh |
| Záznam komunikácie s klientom | Kontrolné opatrenia 5.20 a 5.22 dohody s dodávateľmi a monitorovanie dodávateľských služieb | Môže podporovať zmluvnú komunikáciu a komunikáciu v dodávateľskom reťazci | Podporuje povinnosti finančného zákazníka v oblasti rizík tretích strán |
NIS2 má stupňovitú štruktúru nahlasovania významných incidentov vrátane včasného varovania do 24 hodín od zistenia, oznámenia incidentu do 72 hodín a záverečnej správy do jedného mesiaca od oznámenia incidentu. DORA má vlastný rámec klasifikácie a nahlasovania incidentov súvisiacich s IKT pre finančné subjekty. Interný audit má overiť, že postupy reakcie zachytávajú čas zistenia, kritériá závažnosti, dotknuté služby, indikátory kompromitácie, zmierňujúce opatrenia, koreňovú príčinu, povinnosti oznamovania zákazníkom a údaje pre záverečné nahlasovanie.
Premena jedného auditného zistenia na dôkazy pre NIS2 a DORA
Realistické zistenie týkajúce sa dodávateľa ukazuje, ako majú dôkazy plynúť.
Počas interného auditu audítor vzorkuje päť kritických dodávateľov. Jeden poskytovateľ cloudového logovania podporuje monitorovanie podvodov a bezpečnostné upozorňovanie pre fintech platformu. Dodávateľ je uvedený v evidencii, ale neexistuje zdokumentovaný plán ukončenia, žiadny dôkaz o ročnom bezpečnostnom preskúmaní a žiadne potvrdenie, že zmluva obsahuje asistenciu pri incidente alebo práva na audit.
Audítor zaznamená nezhodu voči požiadavkám na bezpečnosť dodávateľov a ukončenie cloudových služieb. Slabá reakcia by znela „chýba preskúmanie dodávateľa“. Silná reakcia vytvorí reťazec dôkazov pre krížový súlad:
- Zaznamenať zistenie v správe z auditu vrátane veľkosti vzorky, názvu dodávateľa, referencie zmluvy a chýbajúcich dôkazov.
- Pridať záznam CAPA s koreňovou príčinou, napríklad „kontrolný zoznam zavedenia dodávateľa neobsahoval klasifikáciu kritickosti ani spúšťač plánu ukončenia“.
- Priradiť vlastníka dodávateľa a vlastníka rizika.
- Aktualizovať register dodávateľov tak, aby označoval službu ako podporujúcu kritickú alebo dôležitú funkciu.
- Vykonať posúdenie rizík zahŕňajúce prerušenie služby, prístup k údajom, riziko koncentrácie, závislosť od nahlasovania incidentov a zmluvné medzery.
- Aktualizovať plán ošetrenia rizík a Vyhlásenie o uplatniteľnosti tam, kde je to relevantné.
- Získať aktualizovaný dodatok k zmluve alebo zdokumentovanú akceptáciu rizika.
- Vytvoriť alebo otestovať plán ukončenia.
- Opätovne auditovať dôkazy dodávateľa po náprave.
- Reportovať zistenie, riziko a potreby zdrojov v preskúmaní manažmentom.
Tento jediný reťazec podporuje viaceré povinnosti. NIS2 očakáva bezpečnosť dodávateľského reťazca a zohľadnenie zraniteľností dodávateľov, ich postupov kybernetickej bezpečnosti a postupov bezpečného vývoja. DORA vyžaduje, aby finančné subjekty riadili riziko tretích strán v oblasti IKT, viedli registre zmluvných dohôd, posudzovali poskytovateľov pred uzatvorením zmluvy, zahrnuli práva na audit a kontrolu tam, kde je to vhodné, udržiavali práva na ukončenie a dokumentovali stratégie ukončenia pre služby IKT podporujúce kritické alebo dôležité funkcie. GDPR môže byť relevantné aj vtedy, ak dodávateľ spracúva osobné údaje.
Auditný záznam už nie je iba dôkazom súladu. Je dôkazom odolnosti.
Preskúmanie manažmentom: kde sa dôkazy menia na zodpovednosť
Interný audit zisťuje skutočný stav. Preskúmanie manažmentom rozhoduje, čo sa s ním urobí.
Step 28 v Zenith Blueprint opisuje vstupný balík pre preskúmanie manažmentom:
„ISO 27001 špecifikuje viacero povinných vstupov pre preskúmanie manažmentom. Pripravte stručnú správu alebo prezentáciu pokrývajúcu tieto body.“
Blueprint uvádza stav predchádzajúcich opatrení, zmeny externých a interných otázok, výkonnosť a účinnosť ISMS, incidenty alebo nezhody, príležitosti na zlepšenie a potreby zdrojov.
Zo Zenith Blueprint, fáza Audit, preskúmanie a zlepšovanie, Step 28: Preskúmanie manažmentom Zenith Blueprint
Pre NIS2 a DORA je preskúmanie manažmentom miestom, kde sa zodpovednosť na úrovni riadiaceho orgánu stáva viditeľnou. Preskúmanie nemá uvádzať iba „diskutovalo sa o bezpečnosti“. Má ukázať, že vedenie preskúmalo:
- Zmeny v požiadavkách NIS2, DORA, GDPR, zákazníkov a zmluvných povinnostiach.
- Zmeny rozsahu vrátane nových krajín, produktov, regulovaných zákazníkov alebo závislostí IKT.
- Výsledky interného auditu vrátane významných a menej významných nezhôd.
- Stav CAPA a opatrení po lehote.
- Bezpečnostné ciele a metriky.
- Trendy incidentov, takmer vzniknuté incidenty a získané poznatky.
- Riziká koncentrácie dodávateľov a cloudových služieb.
- Výsledky testov kontinuity činností a zálohovania.
- Výkonnosť v oblasti zraniteľností a záplatovania.
- Potreby zdrojov vrátane ľudí, nástrojov, školenia a rozpočtu.
- Reziduálne riziká vyžadujúce formálnu akceptáciu.
- Rozhodnutia o zlepšení a zodpovedných vlastníkov.
Práve tu môže Mária premeniť technickú správu na strategické uistenie. Namiesto výroku „našli sme jednu medzeru v procese incidentov“ môže povedať: „Audit identifikoval jednu menej významnú nezhodu v našich rozhodovacích kritériách pre nahlasovanie incidentov podľa NIS2. CAPA aktualizuje postup, pridáva rozhodovaciu maticu a vyžaduje stolové cvičenie do 30 dní. Potrebujeme schválenie manažmentu pre právne preskúmanie a čas na školenie.“
Toto je typ záznamu, ktorý podporuje správu a riadenie, dohľad a obhájiteľné rozhodovanie.
Nápravné opatrenie: rozdiel medzi zistením a zrelosťou
Interný audit bez nápravného opatrenia je iba diagnóza.
Step 29 v Zenith Blueprint odporúča organizáciám používať register CAPA:
„Vyplňte ho každým problémom: opis problému, koreňová príčina, nápravné opatrenie, zodpovedný vlastník, cieľový dátum dokončenia, stav.“
Zo Zenith Blueprint, fáza Audit, preskúmanie a zlepšovanie, Step 29: Neustále zlepšovanie Zenith Blueprint
Zároveň uvádza dôležité rozlíšenie:
„V auditnej terminológii: oprava odstraňuje symptóm, nápravné opatrenie odstraňuje príčinu. Obe sú dôležité.“
Zo Zenith Blueprint, fáza Audit, preskúmanie a zlepšovanie, Step 29: Neustále zlepšovanie
Ak chýba dôkaz o obnove zo zálohy, opravou môže byť vykonať a zdokumentovať test obnovy tento týždeň. Nápravným opatrením je zmeniť postup zálohovania tak, aby boli testy obnovy plánované štvrťročne, automaticky tiketované, preskúmané vlastníkom služby a zahrnuté do metrík preskúmania manažmentom.
Audítori hľadajú práve túto zrelosť. Audítor ISO 27001 testuje zhodu s ISMS a vybranými kontrolnými opatreniami. Preskúmavateľ NIS2 sa pýta, či sú opatrenia riadenia rizík účinné a pod dohľadom. Preskúmavateľ DORA hľadá integráciu rámca rizík IKT, testovanie odolnosti, riadenie závislostí od tretích strán a nápravu. Posudzovateľ NIST Cybersecurity Framework 2.0 sa môže pýtať, či fungujú výsledky v oblastiach governance, identify, protect, detect, respond a recover. Audítor COBIT 2019 sa môže zamerať na ciele správy a riadenia, vlastníctvo, ukazovatele výkonnosti a uistenie.
Rovnaký záznam CAPA môže uspokojiť tieto pohľady, ak obsahuje koreňovú príčinu, vlastníka, vplyv na riziko, nápravné opatrenie, termín, dôkaz implementácie, preskúmanie účinnosti a viditeľnosť pre manažment.
Viaceré pohľady audítora
Rôzni audítori čítajú rovnaké dôkazy odlišne. Zenith Controls pomáha predvídať tieto otázky tým, že funguje ako sprievodca krížovým súladom pre kontrolné opatrenia ISO/IEC 27002:2022 a súvisiace rámce.
| Pohľad auditu | Na čo sa audítor pravdepodobne opýta | Dôkazy, ktoré dobre odpovedajú |
|---|---|---|
| Audítor ISO 27001 | Je ISMS naplánovaný, implementovaný, hodnotený a zlepšovaný podľa požiadaviek ISO/IEC 27001:2022? | Rozsah, posúdenie rizík, Vyhlásenie o uplatniteľnosti, plán interného auditu, správa z auditu, výstupy z preskúmania manažmentom, CAPA |
| Preskúmavateľ NIS2 | Schválil manažment primerané opatrenia riadenia rizík a vykonával nad nimi dohľad, a vie subjekt preukázať účinnosť a nápravné opatrenia? | Zápisnice riadiaceho orgánu alebo z preskúmania manažmentom, plán ošetrenia rizík, postupy reakcie na incidenty, preskúmania dodávateľov, záznamy o školeniach, metriky účinnosti |
| Preskúmavateľ DORA | Je riadenie rizík IKT integrované do správy a riadenia, stratégie odolnosti, testovania, rizík tretích strán a nápravy? | Rámec rizík IKT, plán auditov, dôkazy z testovania odolnosti, register tretích strán, mapovanie kritických funkcií, záznamy nápravy |
| Preskúmavateľ GDPR | Vie organizácia preukázať zodpovednosť za spracúvanie a bezpečnosť osobných údajov? | Inventár údajov, záznamy právnych základov, zmluvy so sprostredkovateľmi, logy porušení ochrany osobných údajov, riadenie prístupu, dôkazy uchovávania, bezpečnostné opatrenia |
| Posudzovateľ NIST CSF 2.0 | Fungujú účinne výsledky v oblastiach správa a riadenie, identifikácia, ochrana, detekcia, reakcia a obnova? | Dôkazy kontrolných opatrení mapované na výsledky, logy, monitorovanie, záznamy incidentov, testy obnovy, opatrenia zlepšovania |
| Audítor COBIT 2019 | Sú definované a monitorované ciele správy a riadenia, vlastníctvo, riadenie výkonnosti a činnosti uistenia? | RACI, politiky, KPI, register auditov, riadenie problémov, reportovanie manažmentu, záznamy rozhodnutí |
Kontrolné opatrenie 5.36 je dobrým príkladom. Audítor ISO 27001 sa môže zamerať na to, či sa preskúmania súladu vykonávajú a či vstupujú do nápravných opatrení. Preskúmavateľ NIS2 sa môže pýtať, či tieto preskúmania testujú právne opatrenia kybernetickej bezpečnosti, nielen interné pravidlá. Preskúmavateľ DORA sa môže zamerať na to, či preskúmania súladu zahŕňajú kritických poskytovateľov IKT a zmluvné presadzovanie.
Preto musia byť dôkazy od začiatku navrhnuté pre viacerých čitateľov.
Praktický 30-dňový sprint pripravenosti na audit
Ak sa CEO spýta, či môže byť organizácia pripravená na audit za 30 dní, poctivá odpoveď znie: môžete vybudovať dôveryhodnú základnú úroveň dôkazov, ak vedenie sprint podporí a rozsah je realistický.
| Dni | Aktivita | Výstup |
|---|---|---|
| 1 až 3 | Potvrdiť rozsah ISMS, regulované služby, zainteresované strany a povinnosti | Vyhlásenie o rozsahu, poznámka k uplatniteľnosti NIS2, DORA a GDPR |
| 4 až 7 | Aktualizovať kritériá rizík, register rizík a kľúčových vlastníkov rizík | Aktualizovaný register rizík a priority ošetrenia |
| 8 až 10 | Vytvoriť plán interného auditu založený na riziku | Schválený plán auditov a auditný kontrolný zoznam |
| 11 až 17 | Vykonať auditné rozhovory, vzorkovanie a preskúmanie dôkazov | Register dôkazov, zistenia, pozitívne pozorovania |
| 18 až 20 | Overiť zistenia s vlastníkmi a klasifikovať závažnosť | Správa z auditu a register nezhôd |
| 21 až 24 | Vytvoriť register CAPA s koreňovými príčinami, vlastníkmi a termínmi | Schválený plán nápravných opatrení |
| 25 až 27 | Pripraviť balík pre preskúmanie manažmentom | Prezentácia alebo správa na preskúmanie s metrikami, rizikami, incidentmi a zdrojmi |
| 28 až 30 | Uskutočniť preskúmanie manažmentom a zaznamenať rozhodnutia | Zápisnica, register opatrení, akceptácie rizík, rozhodnutia o zdrojoch |
Tento sprint nenahrádza dlhodobú zrelosť. Vytvára obhájiteľnú prevádzkovú základňu. Skutočná hodnota vzniká, keď organizácia cyklus opakuje štvrťročne alebo polročne, nielen raz za rok.
Bežné zlyhania dôkazov, ktoré Clarysec nachádza
Rovnaké slabiny sa objavujú v auditoch SaaS, cloudu a fintech:
- Plán auditov existuje, ale nie je založený na riziku.
- Auditný kontrolný zoznam testuje kapitoly ISO, ale ignoruje NIS2, DORA, GDPR a zákaznícke povinnosti.
- Zápisnice z preskúmania manažmentom existujú, ale neukazujú rozhodnutia, alokáciu zdrojov ani akceptáciu rizika.
- Záznamy CAPA uvádzajú opatrenia, ale nie koreňovú príčinu.
- Zistenia sú uzavreté bez overenia účinnosti.
- Preskúmania dodávateľov sa vykonávajú, ale kritickí dodávatelia nie sú odlíšení od dodávateľov s nízkym rizikom.
- Postupy reakcie na incidenty existujú, ale nikto nevie preukázať, že 24-hodinový alebo 72-hodinový pracovný tok nahlasovania by fungoval.
- Zálohovacie úlohy sú zelené, ale testy obnovy nie sú doložené dôkazmi.
- Revízie prístupových práv sú exportované, ale výnimky nie sú sledované až do uzavretia.
- Logy sa zhromažďujú, ale nikto nevie ukázať monitorovanie, eskaláciu alebo reakciu.
- Dôkazy sú uložené v osobných priečinkoch namiesto riadeného úložiska.
- Požiadavky na uchovávanie sú nejasné alebo nekonzistentné so zmluvami so zákazníkmi.
Tieto zlyhania sú odstrániteľné. Vyžadujú štruktúrovanú architektúru dôkazov ISMS, nie naháňanie dokumentov na poslednú chvíľu.
Ako vyzerá dobrý stav pre riadiaci orgán
Keď sa CISO vráti k CEO a CFO, najsilnejšia odpoveď nie je „prešli sme auditným kontrolným zoznamom“. Je to:
„Máme schválený plán auditov. Vykonali sme interný audit založený na riziku. Identifikovali sme zistenia s objektívnymi dôkazmi. Schválili sme CAPA s vlastníkmi a termínmi. Materiálne riziká, incidenty, závislosti od dodávateľov a potreby zdrojov sme eskalovali do preskúmania manažmentom. Dôkazy sme namapovali na ISO/IEC 27001:2022, NIS2, DORA a GDPR. Vieme ukázať auditnú stopu.“
Táto odpoveď mení konverzáciu. CEO poskytuje dôveru voči zákazníkom. CFO poskytuje jasnosť o regulačnom vystavení. Riadiacemu orgánu poskytuje obhájiteľný záznam dohľadu. CISO poskytuje prioritizovanú cestovnú mapu namiesto hromady nesúvisiacich požiadaviek.
Najdôležitejšie je, že posúva organizáciu od divadla súladu k prevádzkovej odolnosti.
Ďalšie kroky s Clarysec
Váš ďalší audit nemá byť chaotickým zhonom. Má byť viditeľným dôkazom, že váš ISMS funguje, vedenie je zapojené a organizácia je pripravená na ISO 27001, NIS2, DORA, GDPR a uistenie zákazníkov.
Clarysec vám môže pomôcť:
- Vytvoriť plán interného auditu založený na riziku pomocou Zenith Blueprint: 30-kroková cestovná mapa audítora Zenith Blueprint.
- Mapovať auditné dôkazy prostredníctvom Zenith Controls: Sprievodca krížovým súladom Zenith Controls.
- Implementovať auditnú správu a riadenie pre MSP alebo enterprise organizácie pomocou Audit and Compliance Monitoring Policy-sme Audit and Compliance Monitoring Policy-sme alebo Audit and Compliance Monitoring Policy Audit and Compliance Monitoring Policy.
- Pripraviť balíky pre preskúmanie manažmentom zosúladené s Information Security Policy Information Security Policy a očakávaniami ISO/IEC 27001:2022 kapitola 9.3.
- Premeniť zistenia na záznamy CAPA, rozhodnutia manažmentu a merateľné zlepšenie.
Stiahnite si toolkity Clarysec, rezervujte si posúdenie pripravenosti alebo požiadajte o demo, aby ste svoj ďalší interný audit premenili na dôkazy pripravené pre riadiaci orgán pre ISO 27001, NIS2, DORA a ďalšie rámce.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
