Dôkazy o kybernetickej hygiene podľa NIS2 mapované na ISO 27001
Je pondelok 08:40. Sarah, CISO rýchlo rastúceho poskytovateľa B2B SaaS, sa pripája k hovoru vedenia a očakáva rutinné preskúmanie otvorených opatrení na ošetrenie rizík. Namiesto toho generálny právny zástupca otvorí stretnutie oveľa ostrejšou otázkou:
„Ak nás zajtra národný príslušný orgán požiada, aby sme preukázali kybernetickú hygienu a školenie v oblasti kybernetickej bezpečnosti podľa NIS2 Article 21, čo presne pošleme?“
Riaditeľka HR hovorí, že každý zamestnanec absolvoval ročné školenie zvyšovania povedomia. Manažér SOC hovorí, že výsledky phishingových simulácií sa zlepšujú. Vedúci IT prevádzky hovorí, že MFA je vynucované, zálohy sa testujú a záplatovanie sa sleduje. Manažér súladu hovorí, že auditný súbor ISO/IEC 27001:2022 obsahuje záznamy o školeniach, ale projektový tím DORA má vlastné dôkazy o školeniach odolnosti, zatiaľ čo priečinok GDPR obsahuje samostatné logy povedomia o ochrane súkromia.
Každý niečo vykonal. Nikto si však nie je istý, či dôkazy rozprávajú jeden konzistentný príbeh.
Toto je skutočný problém NIS2 Article 21 pre základné a dôležité subjekty. Požiadavka nie je len „školiť používateľov“. Article 21 vyžaduje primerané a proporcionálne technické, prevádzkové a organizačné opatrenia na riadenie kybernetických rizík. Jeho minimálny súbor kontrol zahŕňa kybernetickú hygienu a školenie v oblasti kybernetickej bezpečnosti, ale aj riešenie incidentov, kontinuitu činností, bezpečnosť dodávateľského reťazca, prácu so zraniteľnosťami, kryptografiu, personálnu bezpečnosť, riadenie prístupu, správu aktív, MFA alebo priebežnú autentifikáciu, bezpečnú komunikáciu a postupy na posudzovanie účinnosti.
Kybernetická hygiena nie je kampaň na zvyšovanie povedomia. Je to každodenná prevádzková disciplína, ktorá prepája ľudí, kontroly, dôkazy a zodpovednosť manažmentu.
Pre CISO, manažérov súladu, poskytovateľov spravovaných služieb, poskytovateľov SaaS, cloudových prevádzkovateľov a poskytovateľov digitálnych služieb praktická odpoveď nespočíva vo vytvorení samostatného „projektu školenia NIS2“. Silnejší prístup je vybudovať jeden dôkazový reťazec pripravený na audit v rámci ISMS podľa ISO/IEC 27001:2022, podporený kontrolnými praktikami ISO/IEC 27002:2022, riadený na základe rizík podľa ISO/IEC 27005:2022 a krížovo prepojený s očakávaniami NIS2, DORA, GDPR, uisťovania v štýle NIST a správy a riadenia podľa COBIT 2019.
Prečo NIS2 Article 21 robí zo školenia dôkaz pre riadiaci orgán
NIS2 sa vzťahuje na mnohé stredné a veľké subjekty v sektoroch prílohy I a prílohy II, ktoré poskytujú služby alebo vykonávajú činnosti v Únii. Pri technologických spoločnostiach môže byť rozsah širší, než mnohé vedenia očakávajú. Príloha I pokrýva digitálnu infraštruktúru vrátane poskytovateľov cloudových výpočtových služieb, poskytovateľov služieb dátových centier, poskytovateľov sietí na doručovanie obsahu, poskytovateľov dôveryhodných služieb, poskytovateľov služieb DNS a registrov TLD. Príloha I pokrýva aj riadenie služieb IKT v režime B2B vrátane poskytovateľov spravovaných služieb a poskytovateľov spravovaných bezpečnostných služieb. Príloha II zahŕňa digitálnych poskytovateľov, ako sú online trhoviská, online vyhľadávače a platformy služieb sociálnych sietí.
Niektoré subjekty môžu patriť do rozsahu pôsobnosti bez ohľadu na veľkosť vrátane niektorých poskytovateľov služieb DNS a registrov TLD. Národné rozhodnutia o kritickosti môžu do rozsahu zahrnúť aj menších poskytovateľov, ak by narušenie mohlo ovplyvniť verejnú bezpečnosť, systémové riziko alebo základné služby.
Article 21(1) vyžaduje, aby základné a dôležité subjekty zaviedli primerané a proporcionálne technické, prevádzkové a organizačné opatrenia na riadenie rizík pre sieťové a informačné systémy používané na prevádzku alebo poskytovanie služieb a na predchádzanie dopadu incidentov alebo jeho minimalizáciu. Article 21(2) uvádza minimálne opatrenia vrátane politík analýzy rizík a bezpečnosti informačných systémov, riešenia incidentov, kontinuity činností, bezpečnosti dodávateľského reťazca, bezpečného obstarávania a údržby, posudzovania účinnosti, základných praktík kybernetickej hygieny a školenia v oblasti kybernetickej bezpečnosti, kryptografie, personálnej bezpečnosti, riadenia prístupu, správy aktív a MFA alebo priebežnej autentifikácie, ak je to vhodné.
Article 20 zvyšuje význam tejto témy. Riadiace orgány musia schvaľovať opatrenia na riadenie kybernetických rizík, dohliadať na ich implementáciu a môžu niesť zodpovednosť za porušenia. Členovia riadiacich orgánov musia absolvovať školenie a subjekty sa vyzývajú, aby poskytovali podobné pravidelné školenia zamestnancom, aby vedeli identifikovať riziká a posudzovať postupy riadenia kybernetických rizík a ich dopad na služby.
Article 34 pridáva finančný tlak. Porušenia Article 21 alebo Article 23 môžu viesť k správnym pokutám vo výške aspoň 10 000 000 EUR alebo 2 % celosvetového ročného obratu pri základných subjektoch a aspoň 7 000 000 EUR alebo 1,4 % pri dôležitých subjektoch, podľa toho, ktorá suma je vyššia.
Preto nestačí povedať „realizovali sme ročné školenie povedomia“. Regulátor, audítor ISO, zákaznícky bezpečnostný posudzovateľ alebo kybernetický poisťovateľ bude očakávať dôkazy, že školenie je založené na rolách, rizikách, je aktuálne, merané, prepojené s incidentmi a pochopené manažmentom.
Podniková Politika povedomia a školenia o informačnej bezpečnosti od Clarysec, bod 5.1.1.3, vyžaduje, aby školenie:
Pokrývalo témy ako phishing, hygiena hesiel, nahlasovanie a riadenie incidentov, fyzická bezpečnosť a ochrana a minimalizácia údajov
Tá istá politika, bod 8.3.1.1, identifikuje dôkazovú líniu, ktorú audítori zvyčajne požadujú ako prvú:
Záznamy o pridelení školenia, potvrdení oboznámenia sa a absolvovaní
Pre malé a stredné podniky je Politika povedomia a školenia o informačnej bezpečnosti – MSP od Clarysec, bod 8.4.1, ešte priamejšia, pokiaľ ide o auditovateľnosť:
Záznamy o školeniach podliehajú internému auditu a externému preskúmaniu. Záznamy musia byť presné, úplné a na požiadanie preukázateľné (napr. pre certifikáciu ISO, audit GDPR alebo overenie poisťovňou).
Táto veta vystihuje rozdiel medzi povedomím ako HR aktivitou a povedomím ako kontrolou súladu. Ak sú záznamy neúplné, neoveriteľné alebo nie sú prepojené s rizikom roly, kontrola môže existovať v prevádzke, ale pri audite zlyhá.
Použite ISO/IEC 27001:2022 ako chrbticu dôkazov
ISO/IEC 27001:2022 je prirodzenou oporou pre NIS2 Article 21, pretože núti organizáciu definovať rozsah, zainteresované strany, riziká, kontroly, ciele, dôkazy, interný audit, preskúmanie manažmentom a neustále zlepšovanie.
Kapitoly 4.1 až 4.4 vyžadujú, aby organizácia porozumela interným a externým otázkam, určila zainteresované strany a ich požiadavky, definovala rozsah ISMS, zohľadnila rozhrania a závislosti s činnosťami vykonávanými inými organizáciami a udržiavala ISMS ako vzájomne pôsobiaci súbor procesov. Pri poskytovateľovi SaaS alebo poskytovateľovi spravovaných služieb má rozsah ISMS výslovne zahŕňať povinnosti NIS2, zmluvné povinnosti voči zákazníkom, závislosti od cloudových poskytovateľov, pokrytie outsourcovaným SOC, roly pri spracúvaní údajov a záväzky dostupnosti služieb.
Kapitoly 5.1 až 5.3 prinášajú zodpovednosť za správu a riadenie. Vrcholový manažment musí zosúladiť politiku informačnej bezpečnosti a ciele so strategickým smerovaním, integrovať požiadavky ISMS do obchodných procesov, poskytovať zdroje, prideľovať zodpovednosti a zabezpečiť vykazovanie výkonnosti. To priamo zodpovedá NIS2 Article 20, podľa ktorého riadiace orgány schvaľujú opatrenia na riadenie kybernetických rizík a dohliadajú na ne.
Kapitoly 6.1.1 až 6.1.3 a 6.2 premieňajú právne očakávania na ošetrenie rizík. Organizácia musí plánovať opatrenia pre riziká a príležitosti, prevádzkovať opakovateľný proces posudzovania rizík informačnej bezpečnosti, určiť vlastníkov rizík, vybrať možnosti ošetrenia, porovnať kontroly s prílohou A, vytvoriť vyhlásenie o uplatniteľnosti, formulovať plán ošetrenia rizík, získať schválenie vlastníka rizika a stanoviť merateľné bezpečnostné ciele.
Práve tu sa NIS2 Article 21 stáva riaditeľným. Nepotrebujete odpojený program povedomia NIS2. Potrebujete zmapovaný príbeh rizík a kontrol.
| Oblasť požiadavky NIS2 | Dôkazový mechanizmus ISO/IEC 27001:2022 | Praktické dôkazy |
|---|---|---|
| Schvaľovanie a dohľad manažmentu | Kapitoly 5.1, 5.3, 9.3 | Zápisnice riadiaceho orgánu, balík pre preskúmanie manažmentom, priradenie rolí, schválenia rozpočtu |
| Kybernetická hygiena a školenie | Kapitola 7.2, kapitola 7.3, personálne a technologické kontroly prílohy A | Plán školení, exporty z LMS, matica rolí, výsledky phishingu, potvrdenia oboznámenia sa s politikami |
| Analýza rizík a bezpečnostná politika | Kapitoly 6.1.2, 6.1.3, 6.2 | Posúdenie rizík, plán ošetrenia rizík, vyhlásenie o uplatniteľnosti, bezpečnostné ciele |
| Posúdenie účinnosti | Kapitoly 9.1, 9.2, 10.2 | KPI, výsledky interného auditu, nápravné opatrenia, výsledky testovania kontrol |
| Pripravenosť na riešenie a nahlasovanie incidentov | Kontroly riadenia incidentov v prílohe A | Prevádzkové príručky riešenia incidentov, eskalačné logy, správy zo stolových cvičení, záznamy o uchovaní dôkazov |
| Dodávateľský reťazec a cloudová závislosť | Kontroly dodávateľov a cloudových služieb v prílohe A | Register dodávateľov, due diligence, zmluvy, plány ukončenia, preskúmania služieb |
| Prístup, správa aktív a MFA | Kontroly prístupu, aktív a identít v prílohe A | Inventarizácia aktív, revízia prístupových práv, reporty MFA, dôkazy o privilegovanom prístupe |
Kapitoly 8.1 až 8.3, 9.1 až 9.3 a 10.1 až 10.2 uzatvárajú prevádzkovú slučku. Vyžadujú plánované prevádzkové riadenie, prehodnotenie rizík, implementáciu plánov ošetrenia rizík, monitorovanie a meranie, interný audit, preskúmanie manažmentom, neustále zlepšovanie a nápravné opatrenia. ISO/IEC 27001:2022 sa tak stáva dôkazovým mechanizmom pre NIS2 Article 21, nie iba certifikačným odznakom.
Preložte kybernetickú hygienu do kotiev kontrol ISO
„Kybernetická hygiena“ je zámerne široký pojem. Pre audítorov sa musí preložiť do konkrétnych, testovateľných kontrol. Clarysec zvyčajne začína dôkazy kybernetickej hygieny podľa NIS2 Article 21 tromi praktickými kotvami kontrol z ISO/IEC 27002:2022, interpretovanými prostredníctvom Zenith Controls: The Cross-Compliance Guide.
Prvou kotvou je kontrola ISO/IEC 27002:2022 6.3, povedomie, vzdelávanie a školenie v oblasti informačnej bezpečnosti. V Zenith Controls sa 6.3 považuje za preventívnu kontrolu podporujúcu dôvernosť, integritu a dostupnosť. Jej prevádzkovou spôsobilosťou je bezpečnosť ľudských zdrojov a jej konceptom kybernetickej bezpečnosti je ochrana. Povedomie sa tým rámcuje ako ochranná kontrola, nie ako komunikačné cvičenie.
Zenith Controls tiež ukazuje, ako 6.3 závisí od iných kontrol a zároveň ich posilňuje. Viaže sa na 5.2 roly a zodpovednosti v oblasti informačnej bezpečnosti, pretože školenie musí odrážať pridelené zodpovednosti. Viaže sa na 6.8 nahlasovanie udalostí informačnej bezpečnosti, pretože personál nemôže nahlasovať to, čo nerozpozná. Viaže sa na 8.16 monitorovacie činnosti, pretože analytici SOC a prevádzkový personál potrebujú školenie na rozpoznávanie anomálií a dodržiavanie protokolov reakcie. Viaže sa na 5.36 súlad s politikami, pravidlami a normami informačnej bezpečnosti, pretože politiky fungujú iba vtedy, keď im ľudia rozumejú.
Ako uvádza Zenith Controls pre kontrolu ISO/IEC 27002:2022 6.3:
Súlad závisí od povedomia. 6.3 zabezpečuje, aby si zamestnanci uvedomovali bezpečnostné politiky a chápali svoju osobnú zodpovednosť pri ich dodržiavaní. Pravidelné vzdelávanie a školenie zmierňuje riziko neúmyselných porušení politiky spôsobených neznalosťou.
Druhou kotvou je kontrola ISO/IEC 27002:2022 5.10, prijateľné používanie informácií a iných súvisiacich aktív. Kybernetická hygiena závisí od toho, či ľudia rozumejú, čo môžu robiť s koncovými bodmi, cloudovými úložiskami, nástrojmi SaaS, platformami na spoluprácu, prenosnými médiami, produkčnými údajmi, testovacími údajmi a nástrojmi využívajúcimi AI. Zenith Controls mapuje 5.10 ako preventívnu kontrolu naprieč správou aktív a ochranou informácií. V praxi dôkaz o prijateľnom používaní nie je iba podpísaná politika. Zahŕňa dôkaz, že politika pokrýva reálny rozsah aktív, nástupný proces obsahuje potvrdenie oboznámenia sa, monitorovanie podporuje presadzovanie a výnimky sa riadia.
Treťou kotvou je kontrola ISO/IEC 27002:2022 5.36, súlad s politikami, pravidlami a normami informačnej bezpečnosti. Toto je auditný most. Zenith Controls mapuje 5.36 ako preventívnu kontrolu správy a uisťovania. Viaže sa na 5.1 politiky informačnej bezpečnosti, 6.4 disciplinárny proces, 5.35 nezávislé preskúmanie informačnej bezpečnosti, 5.2 roly a zodpovednosti, 5.25 posúdenie udalostí informačnej bezpečnosti a rozhodnutie o nich, 8.15 logovanie, 8.16 monitorovacie činnosti a 5.33 ochranu záznamov.
Pre NIS2 Article 21 je to kľúčové. Regulátori a audítori sa nepýtajú iba na to, či politika existuje. Pýtajú sa, či sa dodržiavanie monitoruje, porušenia sa detegujú, dôkazy sa chránia, nápravné opatrenia sa vykonávajú a manažment vidí výsledky.
Vytvorte balík dôkazov kybernetickej hygieny a školenia NIS2
Predstavte si stredne veľkého poskytovateľa SaaS, ktorý sa pripravuje na pripravenosť podľa NIS2 aj na dozorný audit ISO/IEC 27001:2022. Organizácia má 310 zamestnancov vrátane vývojárov, SRE, pracovníkov podpory, obchodného personálu, zmluvných pracovníkov a vrcholového manažmentu. Poskytuje zákazníkom v EÚ cloudové služby pracovných tokov a spolieha sa na hyperscale cloudového poskytovateľa, dve platformy identít, outsourcovaného poskytovateľa MDR a niekoľko subdodávateľských nástrojov podpory.
Manažér súladu má exporty školení z LMS, ale nie sú mapované na NIS2 Article 21, kontroly ISO, obchodné roly ani rizikové scenáre. Praktický nápravný sprint vytvorí balík dôkazov kybernetickej hygieny a školenia so šiestimi komponentmi.
| Komponent dôkazov | Čo preukazuje | Vlastník | Auditný test |
|---|---|---|---|
| Školiaca matica podľa rolí | Školenie je priradené k zodpovednostiam a vystaveniu riziku | Manažér ISMS a HR | Vybrať vzorku rolí a overiť, že požadované moduly boli pridelené |
| Ročný plán školení | Kompetencie a povedomie sú plánované, nie ad hoc | Manažér ISMS | Skontrolovať dátumy, témy, cieľové skupiny, schválenie a ciele absolvovania |
| Export absolvovania z LMS | Personál absolvoval pridelené školenie | HR alebo tím ľudských zdrojov | Zosúladiť zoznam zamestnancov s reportom absolvovania, nástupmi a odchodmi |
| Správa z phishingovej simulácie | Účinnosť povedomia sa meria | Bezpečnostná prevádzka | Preskúmať výsledky kampane, opakovane klikajúcich používateľov a nápravné školenie |
| Log potvrdení oboznámenia sa s politikou | Personál prijal pravidlá a zodpovednosti | HR a súlad | Potvrdiť oboznámenie sa s bezpečnostnými politikami, politikou prijateľného používania a politikami nahlasovania incidentov |
| Súhrn preskúmania manažmentom | Vedenie dohliada na trendy a nápravné opatrenia | CISO a výkonný sponzor | Overiť, že zápisnice obsahujú metriky, výnimky, riziká a rozhodnutia |
Kľúčom je sledovateľnosť.
Začnite s NIS2 Article 21(2)(g), základnými praktikami kybernetickej hygieny a školením v oblasti kybernetickej bezpečnosti. Prepojte ho s kapitolami ISO/IEC 27001:2022 7.2 a 7.3 pre kompetencie a povedomie, kapitolami 9.1 a 9.2 pre monitorovanie a audit a kontrolami prílohy A vrátane povedomia, prijateľného používania, riadenia zraniteľností, riadenia konfigurácie, záloh, logovania, monitorovania, kryptografie, riadenia prístupu a riadenia incidentov. Potom prepojte dôkazy s registrom rizík.
| Skupina rolí | Riziko kybernetickej hygieny NIS2 | Požadované školenie | Dôkazy |
|---|---|---|---|
| Všetci zamestnanci | Phishing, slabé heslá, nedostatočné nahlasovanie incidentov, nesprávne nakladanie s údajmi | Základné školenie bezpečnostného povedomia, hygiena hesiel, MFA, ochrana údajov, nahlasovanie incidentov | Absolvovanie LMS, skóre kvízu, potvrdenie oboznámenia sa s politikou |
| Vrcholový manažment | Akceptácia rizika, právna zodpovednosť, krízové rozhodnutia, dohľad nad oznamovaním | Povinnosti správy a riadenia, zodpovednosti manažmentu podľa NIS2, eskalácia incidentov, apetít na riziko | Účasť na workshope pre manažment, balík pre riadiaci orgán, log rozhodnutí |
| Vývojári | Zraniteľnosti, nezabezpečený kód, sprístupnenie tajomstiev, nebezpečné testovacie údaje | Bezpečné programovanie, riadenie závislostí, zverejňovanie zraniteľností, minimalizácia údajov | Záznam o školení, kontrolný zoznam bezpečného SDLC, vzorky preskúmania kódu |
| SRE a IT prevádzka | Chybné konfigurácie, oneskorené záplaty, zlyhanie záloh, medzery v logovaní | Riadenie záplat, bezpečná konfigurácia, obnova zo záloh, monitorovanie, reakcia na incidenty | Report záplat, test zálohy, dôkaz upozornenia SIEM, správa zo stolového cvičenia |
| Zákaznícka podpora | Sociálne inžinierstvo, neoprávnené zverejnenie, porušenie ochrany súkromia | Overenie identity, nakladanie s údajmi, eskalácia, hlásenie porušenia ochrany údajov | Revízia prístupových práv v CRM, záznam o školení, vzorka QA podpory |
| Dodávatelia s prístupom | Nejasné povinnosti, neriadený prístup, únik údajov | Skrátený bezpečnostný onboarding, prijateľné používanie, trasa nahlasovania | Potvrdenie dodávateľa, schválenie prístupu, dôkazy offboardingu |
Podniková Politika povedomia a školenia o informačnej bezpečnosti podporuje túto štruktúru. Bod 5.1.2.4 výslovne zahŕňa témy školenia pre vrcholový manažment:
Vrcholový manažment (napr. správa a riadenie, akceptácia rizika, zákonné povinnosti)
Táto veta je dôležitá podľa NIS2 Article 20, pretože školenie manažmentu nie je voliteľné. Ak riadiaci orgán schvaľuje opatrenia na riadenie rizík, ale nevie vysvetliť akceptáciu rizika, prahové hodnoty incidentov alebo rutiny dohľadu, dôkazový reťazec sa preruší.
Politika informačnej bezpečnosti – MSP od Clarysec, bod 6.4.1, ukazuje, ako sa kybernetická hygiena premieňa na každodenné kontrolné správanie:
Povinné bezpečnostné kontroly sa musia uplatňovať konzistentne vrátane pravidelných záloh, aktualizácií antivírusového softvéru, silných hesiel a bezpečnej likvidácie citlivých dokumentov.
To je stručné vyjadrenie praktickej kybernetickej hygieny pre malé a stredné podniky. Audítor bude stále požadovať dôkazy, ako sú správy o zálohovacích úlohách, pokrytie EDR, konfigurácia hesiel alebo MFA a logy bezpečnej likvidácie, ale politika stanovuje očakávané správanie.
Namapujte NIS2 Article 21 na auditné dôkazy
Audítori testujú fungovanie kontrol, nie slogany. Budú sledovať zlatú niť od právnej požiadavky cez rozsah ISMS, posúdenie rizík, vyhlásenie o uplatniteľnosti, politiku, postup, dôkazy až po preskúmanie manažmentom.
| Oblasť NIS2 Article 21 | Mapovanie ISO/IEC 27001:2022 alebo ISO/IEC 27002:2022 | Referencia Clarysec | Primárne auditné dôkazy |
|---|---|---|---|
| Školenie v oblasti kybernetickej bezpečnosti | Kapitola 7.2, kapitola 7.3, A.6.3 povedomie, vzdelávanie a školenie v oblasti informačnej bezpečnosti | Politika povedomia a školenia o informačnej bezpečnosti | Politika školení, ročný plán, záznamy LMS, výsledky phishingu, kontrolný zoznam nástupu, zápisnice zo školenia riadiaceho orgánu |
| Prijateľné správanie kybernetickej hygieny | A.5.10 prijateľné používanie informácií a iných súvisiacich aktív | Politika informačnej bezpečnosti – MSP | Potvrdenie prijateľného používania, záznamy onboardingu, záznamy výnimiek, dôkazy monitorovania |
| Hygiena zraniteľností a záplat | A.8.8 riadenie technických zraniteľností | Zenith Blueprint krok 19 | Skeny zraniteľností, reporty záplat, tickety nápravy, záznamy o akceptácii rizika |
| Bezpečná konfigurácia | A.8.9 riadenie konfigurácie | Zenith Blueprint krok 19 | Bezpečné referenčné konfigurácie, preskúmania konfigurácie, schválenia zmien, reporty odchýlok |
| Odolnosť a obnova | A.8.13 zálohovanie informácií | Politika informačnej bezpečnosti – MSP | Logy zálohovania, testy obnovy, preskúmania zlyhaní záloh, dôkazy obnovy |
| Detekcia a reakcia | A.8.15 logovanie, A.8.16 monitorovacie činnosti, A.6.8 nahlasovanie udalostí informačnej bezpečnosti | Zenith Controls | Upozornenia SIEM, postupy monitorovania, školenie nahlasovania incidentov, výstupy zo stolových cvičení |
| Kryptografická ochrana | A.8.24 používanie kryptografie | ISO/IEC 27001:2022 príloha A | Štandardy šifrovania, dôkazy správy kľúčov, konfigurácia TLS, reporty šifrovania úložísk |
| Integrita dôkazov | A.5.33 ochrana záznamov | Zenith Controls | Riadené auditné priečinky, časové pečiatky exportov, pravidlá uchovávania, prístupové logy |
Regulátor nemusí používať terminológiu ISO, ale dôkazová cesta zostáva rovnaká. Ukážte, že požiadavka je identifikovaná, posúdená z hľadiska rizika, ošetrená, implementovaná, monitorovaná, reportovaná manažmentu a zlepšovaná.
Použite Zenith Blueprint na prechod od plánu k dôkazom
Zenith Blueprint: An Auditor’s 30-Step Roadmap poskytuje tímom praktickú cestu od zámeru k dôkazom. Vo fáze Základy ISMS a leadership, krok 5, Komunikácia, povedomie a kompetencie, Blueprint usmerňuje organizácie, aby identifikovali požadované kompetencie, posúdili aktuálne kompetencie, poskytli školenie na odstránenie medzier, udržiavali záznamy o kompetenciách a považovali kompetencie za priebežnú činnosť.
Akčná položka Blueprintu je zámerne prevádzková:
Vykonajte rýchlu analýzu školiacich potrieb. Uveďte svoje kľúčové roly ISMS (z kroku 4) a pri každej zapíšte všetky známe školenia alebo certifikácie, ktoré majú, a aké ďalšie školenia by mohli byť prínosné. Uveďte aj všeobecné témy bezpečnostného povedomia potrebné pre všetkých zamestnancov. Na tomto základe pripravte jednoduchý plán školení na ďalší rok – napr. „Q1: bezpečnostné povedomie pre všetok personál; Q2: pokročilé školenie reakcie na incidenty pre IT; Q3: školenie interného audítora ISO 27001 pre dvoch členov tímu; …“.
Vo fáze Kontroly v praxi, krok 15, Personálne opatrenia I, Zenith Blueprint odporúča povinné ročné školenie pre všetkých zamestnancov, moduly špecifické pre rolu, bezpečnostný onboarding nových zamestnancov počas prvého týždňa, simulované phishingové kampane, bulletiny, tímové brífingy, dôkazy účasti, cielené bezpečnostné bulletiny po nových hrozbách a školenie pre dodávateľov alebo tretie strany s prístupom.
Krok 16, Personálne opatrenia II, upozorňuje, že audítori budú testovať implementáciu, nielen dokumentáciu. Pri práci na diaľku môžu audítori požadovať Politiku práce na diaľku, dôkazy o VPN alebo šifrovaní koncových bodov, implementáciu MDM, obmedzenia BYOD a záznamy o školeniach preukazujúce opatrenia pri práci na diaľku. Ak je hybridný režim práce súčasťou prevádzkového modelu, dôkazy školenia NIS2 majú zahŕňať bezpečné používanie Wi‑Fi, uzamykanie zariadení, schválené úložiská, MFA a nahlasovanie podozrivej aktivity z domáceho prostredia.
Krok 19, Technologické opatrenia I, prepája kybernetickú hygienu s vrstvou technických kontrol. Zenith Blueprint odporúča preskúmať reporty záplat, skeny zraniteľností, bezpečné referenčné konfigurácie, pokrytie EDR, logy malvéru, upozornenia DLP, obnovy zo záloh, dôkazy redundancie, zlepšenia logovania a synchronizáciu času. Article 21(2)(g) nemožno posudzovať izolovane. Vyškolená pracovná sila stále potrebuje zaplátané koncové body, monitorované logy, testované zálohy a bezpečné konfigurácie.
Nastavte plán školení na základe rizík pomocou ISO/IEC 27005:2022
Bežnou auditnou slabinou je generický plán školení, ktorý vyzerá rovnako pre vývojárov, financie, podporu, vrcholový manažment aj dodávateľov. ISO/IEC 27005:2022 pomáha tejto slabine predísť tým, že zo školenia robí súčasť ošetrenia rizík.
Kapitola 6.2 odporúča identifikovať základné požiadavky relevantných zainteresovaných strán a stav súladu vrátane prílohy A ISO/IEC 27001:2022, iných noriem ISMS, odvetvovo špecifických požiadaviek, národných a medzinárodných predpisov, interných bezpečnostných pravidiel, zmluvných bezpečnostných kontrol a kontrol už implementovaných predchádzajúcim ošetrením rizík. To podporuje jeden register požiadaviek namiesto samostatných tabuliek pre NIS2, ISO, DORA, GDPR, zákazníkov a poisťovne.
Kapitoly 6.4.1 až 6.4.3 vysvetľujú, že kritériá akceptácie a posudzovania rizík majú zohľadňovať právne a regulačné aspekty, prevádzkové činnosti, dodávateľské vzťahy, technologické a finančné obmedzenia, ochranu súkromia, reputačnú ujmu, porušenia zmluvy, porušenia úrovní služieb a dopady na tretie strany. Phishingový incident ovplyvňujúci interný newsletterový systém je iný ako kompromitácia prihlasovacích údajov ovplyvňujúca spravovanú bezpečnostnú službu, platformu zákazníckej podpory, platobnú integráciu alebo prevádzku DNS.
Kapitoly 7.1 až 7.2.2 vyžadujú konzistentné, reprodukovateľné posúdenie rizík vrátane rizík dôvernosti, integrity a dostupnosti a pomenovaných vlastníkov rizík. Kapitoly 8.2 až 8.6 následne usmerňujú výber ošetrenia, určenie kontrol, porovnanie s prílohou A, dokumentáciu vyhlásenia o uplatniteľnosti a detail plánu ošetrenia rizík.
Školenie je jedným ošetrením, ale nie jediným. Ak opakované phishingové simulácie ukazujú, že používatelia z financií sú zraniteľní voči fakturačným podvodom, plán ošetrenia môže zahŕňať obnovovacie školenie, silnejší schvaľovací pracovný tok platieb, podmienený prístup, monitorovanie pravidiel schránky a cvičenia scenárov podvodu pre vrcholový manažment.
Kapitoly 9.1, 9.2, 10.4.2, 10.5.1 a 10.5.2 zdôrazňujú plánované prehodnotenie, zdokumentované metódy, monitorovanie účinnosti a aktualizácie pri nových zraniteľnostiach, aktívach, používaní technológií, zákonoch, incidentoch alebo zmenách apetítu na riziko. To preukazuje, že organizácia nezmrazí plán školení raz ročne.
Znovu použite rovnaké dôkazy pre NIS2, DORA, GDPR, NIST a COBIT
Najsilnejší balík dôkazov NIS2 má podporovať viacero rozhovorov o uistení.
NIS2 Article 4 uznáva, že odvetvovo špecifické právne akty Únie môžu nahradiť zodpovedajúce povinnosti NIS2 v oblasti riadenia rizík a oznamovania, ak majú aspoň rovnocenný účinok. Recitál 28 identifikuje DORA ako odvetvovo špecifický režim pre finančné subjekty v rozsahu. Pre pokryté finančné subjekty sa pravidlá DORA pre riadenie rizík IKT, riadenie incidentov, testovanie odolnosti, zdieľanie informácií a riziká externých poskytovateľov IKT uplatňujú namiesto zodpovedajúcich ustanovení NIS2. NIS2 zostáva vysoko relevantná pre subjekty mimo DORA a pre externých poskytovateľov IKT, ako sú cloudoví poskytovatelia, poskytovatelia spravovaných služieb a MSSP.
DORA posilňuje rovnakú logiku systému riadenia. Articles 4 až 6 vyžadujú proporcionálne riadenie rizík IKT, zodpovednosť riadiaceho orgánu, jasné roly IKT, stratégiu digitálnej prevádzkovej odolnosti, plány auditov IKT, rozpočty a zdroje na povedomie alebo školenie. Articles 8 až 13 vyžadujú identifikáciu aktív a závislostí, ochranu a prevenciu, riadenie prístupu, silnú autentifikáciu, zálohy, kontinuitu, reakciu a obnovu, poučenie po incidente, reportovanie IKT vrcholovému vedeniu a povinné školenie povedomia o bezpečnosti IKT a digitálnej prevádzkovej odolnosti. Articles 17 až 23 vyžadujú štruktúrované riadenie incidentov, klasifikáciu, eskaláciu a komunikáciu s klientmi. Articles 24 až 30 prepájajú testovanie so správou a riadením dodávateľov, due diligence, zmluvami, právami na audit a stratégiami ukončenia.
GDPR pridáva vrstvu preukázateľnej zodpovednosti za ochranu súkromia. Article 5 vyžaduje integritu a dôvernosť prostredníctvom primeraných technických a organizačných opatrení a Article 5(2) vyžaduje, aby prevádzkovatelia preukázali súlad. Article 6 vyžaduje právny základ spracúvania, zatiaľ čo Articles 9 a 10 ukladajú prísnejšie ochranné opatrenia pre osobitné kategórie údajov a údaje súvisiace s trestnými činmi. Pre poskytovateľa SaaS majú dôkazy o školení zahŕňať ochranu súkromia, minimalizáciu údajov, bezpečné zverejnenie, eskaláciu porušenia ochrany údajov a nakladanie s údajmi zákazníkov špecifické pre rolu.
Auditné pohľady v štýle NIST a COBIT 2019 sa často objavujú pri zákazníckom uistení, internom audite a reportovaní riadiacemu orgánu. Posudzovateľ v štýle NIST sa zvyčajne pýta, či sú povedomie a školenie založené na rizikách, rolách, merané a prepojené s reakciou na incidenty, identitou, správou aktív a priebežným monitorovaním. Audítor v štýle COBIT 2019 alebo ISACA sa zameria na správu a riadenie, zodpovednosť za vykonanie, metriky výkonnosti, dohľad manažmentu, vlastníctvo procesov a zosúladenie s podnikovými cieľmi.
| Pohľad rámca | Čo audítora zaujíma | Dôkazy na prípravu |
|---|---|---|
| NIS2 Article 21 | Proporcionálne opatrenia kybernetického rizika, kybernetická hygiena, školenie, dohľad manažmentu | Mapovanie Article 21, schválenie riadiacim orgánom, plán školení, KPI kybernetickej hygieny, dôkazy pripravenosti na incidenty |
| ISO/IEC 27001:2022 | Rozsah ISMS, ošetrenie rizík, kompetencie, povedomie, monitorovanie, interný audit, zlepšovanie | Rozsah, register rizík, SoA, matica kompetencií, záznamy o školeniach, správa z auditu, nápravné opatrenia |
| DORA | Životný cyklus rizík IKT, školenie odolnosti, testovanie, klasifikácia incidentov, riziko externých poskytovateľov IKT | Rámec rizík IKT, školenie odolnosti, výsledky testovania, postup pre incidenty, register dodávateľov |
| GDPR | Preukázateľná zodpovednosť, ochrana údajov, povedomie o porušení ochrany súkromia, dôvernosť, minimalizácia | Školenie ochrany súkromia, mapa rolí spracúvania, dôkazy eskalácie porušenia ochrany údajov, postupy nakladania s údajmi |
| Preskúmanie v štýle NIST | Povedomie podľa rolí, merateľné fungovanie kontrol, monitorovanie, reakcia | Matica rolí, metriky simulácií, dôkazy prístupov, dôkazy logovania, výstupy zo stolových cvičení |
| Preskúmanie COBIT 2019 alebo ISACA | Správa a riadenie, vlastníctvo procesov, výkonnosť, uistenie o kontrolách, reportovanie manažmentu | RACI, informačný panel KPI, zápisnice z preskúmania manažmentom, program interného auditu, sledovanie nápravy |
Praktický prínos je jednoduchý: jeden balík dôkazov, viacero auditných príbehov.
Ako budú audítori testovať rovnakú kontrolu
Audítor ISO/IEC 27001:2022 začne pri ISMS. Bude sa pýtať, či sú určené požiadavky na kompetencie a povedomie, či personál rozumie svojim zodpovednostiam, či sa záznamy uchovávajú, či interné audity testujú proces a či preskúmanie manažmentom zohľadňuje výkonnosť a zlepšovanie. Môže vybrať vzorku zamestnancov a opýtať sa ich, ako nahlásiť incident, ako sa používa MFA, aké sú pravidlá prijateľného používania alebo čo robiť po prijatí podozrivého e-mailu.
Dozorné preskúmanie NIS2 bude viac zamerané na výsledky a riziko služby. Preskúmavateľ sa môže pýtať, ako kybernetická hygiena znižuje riziko pre poskytovanie služieb, ako manažment schválil opatrenia, ako je školenie prispôsobené základným službám, ako je pokrytý personál tretích strán, ako sa posudzuje účinnosť a ako by organizácia komunikovala významné kybernetické hrozby alebo incidenty podľa Article 23. Keďže Article 23 zahŕňa včasné varovanie do 24 hodín a oznámenie incidentu do 72 hodín pri významných incidentoch, školenie musí zahŕňať rozpoznanie a rýchlosť eskalácie.
Audítor DORA pre finančný subjekt prepojí povedomie s digitálnou prevádzkovou odolnosťou. Môže sa pýtať, či je povedomie o bezpečnosti IKT a školenie odolnosti povinné, či reportovanie IKT vrcholovému vedeniu dosahuje riadiaci orgán, či sú kritériá klasifikácie incidentov pochopené, či bola precvičená krízová komunikácia a či sa externí poskytovatelia zúčastňujú školenia, ak je to zmluvne relevantné.
Audítor GDPR alebo posudzovateľ ochrany súkromia sa zameria na to, či personál rozumie osobným údajom, rolám pri spracúvaní, dôvernosti, identifikácii porušenia ochrany údajov, eskalácii porušenia, minimalizácii údajov a bezpečnému zverejneniu. Bude očakávať, že školenie sa líši pre podporu, HR, vývojárov a administrátorov, pretože tieto roly vytvárajú rôzne riziká ochrany súkromia.
Interný audítor COBIT 2019 alebo ISACA sa opýta, kto vlastní proces, ktoré ciele podporuje, ako sa meria výkonnosť, aké výnimky existujú, či sa nápravné opatrenia sledujú a či manažment dostáva zmysluplné reporty namiesto metrík bez vypovedacej hodnoty.
Bežné zistenia pripravenosti školenia NIS2
Najčastejším zistením je neúplné pokrytie populácie. Report LMS ukazuje 94 % absolvovanie, ale chýbajúcich 6 % zahŕňa privilegovaných administrátorov, dodávateľov alebo nových zamestnancov. Audítori neprijmú percento bez pochopenia, kto chýba a prečo.
Druhým zistením je nedostatočné zohľadnenie rolí. Všetci dostanú rovnaký ročný modul, ale vývojári nie sú školení na bezpečné programovanie, pracovníci podpory nie sú školení na overenie identity a vrcholový manažment nie je školený na povinnosti správy a riadenia alebo krízové rozhodnutia. NIS2 Article 20 a Article 21 to robia ťažko obhájiteľným.
Tretím zistením sú slabé dôkazy účinnosti. Absolvovanie nie je to isté ako porozumenie alebo zmena správania. Audítori čoraz častejšie očakávajú skóre kvízov, trendy phishingu, trendy nahlasovania incidentov, poznatky zo stolových cvičení, zníženie opakovaných zlyhaní a nápravné opatrenia.
Štvrtým zistením je odpojená technická hygiena. Školenie hovorí „nahlasujte podozrivú aktivitu“, ale neexistuje otestovaný kanál na hlásenie. Školenie hovorí „používajte MFA“, ale servisné účty obchádzajú MFA. Školenie hovorí „chráňte údaje“, ale produkčné údaje sa objavujú v testovacích prostrediach. Article 21 očakáva systém kontrol, nie slogany.
Piatym zistením je slabá integrita záznamov. Dôkazy sú uložené v editovateľnom tabuľkovom prehľade bez vlastníka, časovej pečiatky exportu, riadenia prístupu alebo zosúladenia so záznamami HR. Vzťahy kontrol ISO/IEC 27002:2022 v Zenith Controls sa z dobrého dôvodu vracajú k ochrane záznamov. Dôkazy musia byť dôveryhodné.
10-dňový nápravný sprint pre dôkazy pripravené na audit
Ak je vaša organizácia pod tlakom, začnite cieleným sprintom.
| Deň | Aktivita | Výstup |
|---|---|---|
| Deň 1 | Potvrdiť uplatniteľnosť NIS2 a rozsah služieb | Rozhodnutie o základnom alebo dôležitom subjekte, služby v rozsahu, podporné funkcie |
| Deň 2 | Vytvoriť register požiadaviek | NIS2 Articles 20, 21, 23, kapitoly ISO, kontroly prílohy A, GDPR, DORA, zmluvy, poistné požiadavky |
| Deň 3 | Vytvoriť školiacu maticu podľa rolí | Školenie mapované na skupiny pracovných pozícií, privilegovaný prístup, vývojárov, podporu, dodávateľov, vrcholový manažment |
| Deň 4 | Namapovať školenie na rizikové scenáre | Phishing, kompromitácia prihlasovacích údajov, únik údajov, ransomvér, chybné konfigurácie, kompromitácia dodávateľa, porušenie ochrany súkromia |
| Deň 5 | Zozbierať dôkazy | Exporty LMS, potvrdenia oboznámenia sa, phishingové reporty, záznamy onboardingu, záznamy dodávateľov, účasť vrcholového manažmentu |
| Deň 6 | Zosúladiť dôkazy | Školiaca populácia skontrolovaná voči záznamom HR, skupinám identít, privilegovaným účtom, zoznamom dodávateľov |
| Deň 7 | Otestovať porozumenie zamestnancov | Poznámky z rozhovorov preukazujúce, že personál pozná nahlasovanie incidentov, očakávania MFA, postup pri podozrivom e-maile, pravidlá pre údaje |
| Deň 8 | Preskúmať technické kontroly hygieny | MFA, zálohy, EDR, záplatovanie, skenovanie zraniteľností, logovanie, monitorovanie, dôkazy bezpečnej konfigurácie |
| Deň 9 | Pripraviť balík pre preskúmanie manažmentom | Absolvovanie, výnimky, trendy phishingu, otvorené opatrenia, vysoko rizikové roly, incidenty, rozpočtové potreby |
| Deň 10 | Aktualizovať plán ošetrenia rizík a SoA | Zostatkové riziko, vlastníci, termíny, opatrenia účinnosti, aktualizácie vyhlásenia o uplatniteľnosti |
Tento sprint vám dá obhájiteľnú dôkazovú základňu. Nenahrádza priebežnú prevádzku ISMS, ale vytvára štruktúru, ktorú regulátori a audítori očakávajú.
Ako vyzerá dobrý stav
Zrelý program kybernetickej hygieny a školenia podľa NIS2 Article 21 má päť charakteristík.
Po prvé, je viditeľný pre riadiaci orgán. Manažment schvaľuje prístup, vidí zmysluplné metriky, rozumie zostatkovému riziku a financuje zlepšovanie.
Po druhé, je založený na riziku. Školenie sa líši podľa roly, kritickosti služby, úrovne prístupu, vystavenia údajov a zodpovednosti za incidenty.
Po tretie, je vedený dôkazmi. Záznamy o absolvovaní, potvrdenia oboznámenia sa, simulácie, stolové cvičenia, reporty technickej hygieny a nápravné opatrenia sú úplné, zosúladené a chránené.
Po štvrté, zohľadňuje viacnásobný súlad. Tie isté dôkazy podporujú reportovanie správy a riadenia podľa NIS2, ISO/IEC 27001:2022, DORA, GDPR, uisťovania v štýle NIST a COBIT 2019.
Po piate, zlepšuje sa. Incidenty, auditné zistenia, právne zmeny, zmeny dodávateľov, nové technológie a vznikajúce hrozby aktualizujú plán školení.
Tento posledný bod je rozdielom medzi divadlom súladu a prevádzkovou odolnosťou.
Ďalšie kroky s Clarysec
Ak sa váš tím vedenia pýta: „Vieme zajtra preukázať kybernetickú hygienu a školenie v oblasti kybernetickej bezpečnosti podľa NIS2 Article 21?“, Clarysec vám môže pomôcť prejsť od rozptýlených dôkazov k balíku dôkazov ISMS pripravenému na audit.
Začnite s Zenith Blueprint, aby ste štruktúrovali kompetencie, povedomie, personálne opatrenia, postupy práce na diaľku, riadenie zraniteľností, zálohy, logovanie, monitorovanie a technickú hygienu naprieč 30-krokovou cestovnou mapou.
Použite Zenith Controls na krížové prepojenie očakávaní ISO/IEC 27002:2022 v oblasti povedomia, prijateľného používania, súladu, monitorovania, záznamov a uisťovania naprieč auditnými rozhovormi o NIS2, ISO/IEC 27001:2022, DORA, GDPR, NIST a COBIT 2019.
Potom uveďte požiadavky do prevádzky prostredníctvom dokumentov Clarysec Politika povedomia a školenia o informačnej bezpečnosti, Politika povedomia a školenia o informačnej bezpečnosti – MSP a Politika informačnej bezpečnosti – MSP.
Vaša okamžitá aktivita je jednoduchá: tento týždeň vytvorte jednostranovú mapu dôkazov školenia podľa NIS2 Article 21. Uveďte roly v rozsahu, pridelené školenia, dôkazy o absolvovaní, potvrdenia oboznámenia sa s politikou, phishingové metriky, dôkazy technickej kybernetickej hygieny, dátum preskúmania manažmentom a nápravné opatrenia. Ak je niektorá bunka prázdna, našli ste svoju ďalšiu auditnú úlohu nápravy.
Pre rýchlejší postup si stiahnite šablóny politík Clarysec, použite cestovnú mapu Zenith Blueprint a naplánujte posúdenie pripravenosti dôkazov NIS2, aby ste svoje súčasné záznamy o školeniach, kontroly kybernetickej hygieny a ISMS podľa ISO/IEC 27001:2022 premenili na jeden obhájiteľný auditný súbor.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
