NIST CSF 2.0 Govern pre MSP a ISO 27001
Sarah, novovymenovaná CISO rýchlo rastúceho FinTech MSP, mala tabuľu plnú rámcov a termín, ktorý sa nedal posunúť. NIST CSF 2.0. ISO 27001:2022. NIS2. DORA. GDPR. Dodávateľské riziko. Zodpovednosť predstavenstva. Due diligence zo strany veľkého podnikového zákazníka.
Spúšťač bol známy: tabuľkový prehľad od významného zákazníka z finančných služieb. Obstarávanie požadovalo dôkazy o modeli správy a riadenia kybernetickej bezpečnosti, rizikovom apetíte, programe bezpečnosti dodávateľov, mapovaní zákonných a regulačných povinností, procese eskalácie incidentov a zosúladení s ISO 27001:2022.
CEO nechcela prednášku o súlade. Chcela jednoduchú odpoveď na ťažkú otázku: „Ako nášmu predstavenstvu, klientom a regulátorom preukážeme, že máme kybernetické riziko pod kontrolou?“
Toto je problém správy a riadenia, ktorému čelí mnoho MSP. Zákaznícky dotazník je málokedy len zákaznícky dotazník. Často ide o päť rozhovorov o súlade stlačených do jednej požiadavky. NIST CSF 2.0, ISO/IEC 27001:2022, GDPR, NIS2, očakávania voči dodávateľom vyplývajúce z DORA, odolnosť cloudu, dohľad predstavenstva a zmluvné záväzky sa skrývajú v tej istej požiadavke na dôkazy.
Mnohé MSP reagujú vytváraním samostatných artefaktov: tabuľky pre NIST, priečinka pre certifikáciu ISO, nástroja na sledovanie GDPR, registra dodávateľských rizík a plánu reakcie na incidenty, ktoré navzájom nesúvisia. O šesť mesiacov neskôr nikto nevie, ktorý dokument je autoritatívny.
Prístup Clarysec je odlišný. Použite funkciu NIST CSF 2.0 Govern ako výkonnú vrstvu správy a riadenia a následne ju namapujte na politiky ISO 27001:2022, ošetrenie rizík, vyhlásenie o uplatniteľnosti, dohľad nad dodávateľmi, preskúmanie manažmentom a auditné dôkazy. Výsledkom nie je viac práce so súladom. Je to jeden prevádzkový model, ktorý dokáže odpovedať audítorom, zákazníkom, regulátorom aj vedeniu s rovnakým súborom dôkazov.
Prečo je funkcia NIST CSF 2.0 Govern dôležitá pre MSP
NIST CSF 2.0 povyšuje správu a riadenie na samostatnú funkciu popri funkciách Identify, Protect, Detect, Respond a Recover. Táto zmena je dôležitá, pretože väčšina bezpečnostných zlyhaní v MSP nie je spôsobená absenciou ďalšieho nástroja. Spôsobuje ich nejasná zodpovednosť, slabé rozhodnutia o rizikách, nezdokumentované výnimky, nekonzistentný dohľad nad dodávateľmi a politiky, ktoré boli raz schválené, ale nikdy neboli uvedené do prevádzky.
Funkcia NIST CSF 2.0 Govern mení otázku z „aké kontroly máme?“ na „kto je zodpovedný, aké povinnosti sa uplatňujú, ako sa určujú priority rizík a ako sa preskúmava výkonnosť?“
Pre MSP poskytujú výsledky Govern praktický mandát:
- Pochopiť a riadiť zákonné, regulačné, zmluvné povinnosti, povinnosti v oblasti ochrany súkromia a občianskych práv.
- Stanoviť rizikový apetít, toleranciu rizika, skórovanie rizík, prioritizáciu a možnosti reakcie na riziká.
- Definovať roly, zodpovednosti, právomoci, eskalačné postupy a zdroje v oblasti kybernetickej bezpečnosti.
- Zaviesť, komunikovať, uplatňovať, preskúmavať a aktualizovať politiky kybernetickej bezpečnosti.
- Preskúmavať stratégiu kybernetickej bezpečnosti, výkonnosť a zodpovednosť manažmentu.
- Riadiť kybernetické riziko dodávateľov a tretích strán od due diligence až po ukončenie spolupráce.
Preto je NIST CSF 2.0 Govern takým silným vstupným bodom pre ISO 27001:2022. NIST dáva vrcholovému vedeniu jazyk správy a riadenia. ISO 27001:2022 poskytuje overiteľný systém manažérstva.
Kapitoly 4 až 10 ISO 27001:2022 vyžadujú, aby organizácie porozumeli kontextu, definovali zainteresované strany, stanovili rozsah ISMS, preukázali vodcovstvo, plánovali posúdenie a ošetrenie rizík, podporovali zdokumentované informácie, prevádzkovali kontroly, hodnotili výkonnosť, vykonávali interné audity a preskúmania manažmentom a neustále sa zlepšovali. Príloha A následne poskytuje referenčný súbor kontrol vrátane politík, zodpovedností manažmentu, zákonných povinností, ochrany súkromia, vzťahov s dodávateľmi, cloudových služieb, riadenia incidentov a pripravenosti IKT na kontinuitu činností.
Podniková Politika informačnej bezpečnosti Clarysec Politika informačnej bezpečnosti uvádza:
Organizácia musí udržiavať formálny model správy a riadenia na dohľad nad ISMS, zosúladený s kapitolami 5.1 a 9.3 ISO/IEC 27001.
Táto požiadavka z kapitoly 5.1 Politiky informačnej bezpečnosti je praktickým prepojením medzi zodpovednosťou podľa NIST GV a očakávaniami ISO 27001:2022 v oblasti vodcovstva. Správa a riadenie nie sú každoročná prezentácia. Ide o formálny model, ktorý prepája rozhodnutia, politiky, roly, riziká, kontroly, dôkazy a preskúmanie.
Základné mapovanie: NIST CSF 2.0 Govern na dôkazy podľa ISO 27001:2022
Najrýchlejší spôsob, ako urobiť NIST CSF 2.0 užitočným, je previesť výsledky Govern na vlastníctvo politík a auditné dôkazy. Nasledujúca tabuľka je štruktúra, ktorú Clarysec používa s MSP pripravujúcimi sa na certifikáciu ISO 27001:2022, due diligence zo strany podnikového zákazníka, pripravenosť na NIS2, uistenie zákazníkov v súvislosti s DORA a preukázateľnú zodpovednosť podľa GDPR.
| Oblasť NIST CSF 2.0 Govern | Otázka správy a riadenia pre MSP | Zosúladenie s ISO 27001:2022 | Väzba na politiku Clarysec | Dôkazy očakávané audítormi a zákazníkmi |
|---|---|---|---|---|
| GV.OC, organizačný kontext | Poznáme svoje zákonné, regulačné, zmluvné povinnosti, povinnosti v oblasti ochrany súkromia a organizačné povinnosti? | Kapitoly 4.1 až 4.4, príloha A 5.31 a 5.34 | Politika právneho a regulačného súladu | Register súladu, rozsah ISMS, register zainteresovaných strán, mapa povinností voči zákazníkom, register ochrany súkromia |
| GV.RM, stratégia riadenia rizík | Ako definujeme, skórujeme, prioritizujeme, akceptujeme a ošetrujeme kybernetické riziká? | Kapitoly 6.1.1 až 6.1.3, 8.2 a 8.3 | Politika riadenia rizík | Metodika riadenia rizík, register rizík, plán ošetrenia rizík, schválenia vlastníkov rizík, mapovanie SoA |
| GV.RR, roly a zodpovednosti | Kto vlastní rozhodnutia, výnimky, zdroje a reporting v oblasti kybernetickej bezpečnosti? | Kapitoly 5.1 až 5.3, príloha A 5.2 a 5.4 | Politika rolí a zodpovedností v oblasti správy a riadenia pre MSP | RACI, opisy rolí, zápisnice zo stretnutí, schválenia výnimiek, záznamy o školeniach |
| GV.PO, politika | Sú politiky schválené, komunikované, uplatňované, preskúmavané a aktualizované? | Kapitoly 5.2, 7.5 a 9.3, príloha A 5.1 | Politika informačnej bezpečnosti | Register politík, záznamy o schválení, evidencia verzií, potvrdenia zamestnancov, zápisnice z preskúmania politík |
| GV.OV, dohľad | Sú stratégia a výkonnosť kybernetickej bezpečnosti preskúmavané a upravované? | Kapitoly 9.1, 9.2, 9.3, 10.1 a 10.2 | Politika monitorovania auditov a súladu | Dashboard KPI, plán interných auditov, výstupy z preskúmania manažmentom, nápravné opatrenia |
| GV.SC, riziko dodávateľského reťazca | Sú dodávatelia známi, prioritizovaní, posudzovaní, zmluvne ošetrení, monitorovaní a ukončovaní riadeným spôsobom? | Príloha A 5.19 až 5.23 a 5.30 | Politika bezpečnosti tretích strán a dodávateľov pre MSP | Evidencia dodávateľov, záznamy due diligence, zmluvné doložky, preskúmanie logov, plány ukončenia, kontakty pre incidenty |
Toto mapovanie je zámerne orientované na dôkazy. Nežiada od MSP vytvorenie 40 dokumentov. Kladie päť prevádzkových otázok:
- Aké rozhodnutie sa prijíma?
- Kto ho vlastní?
- Ktorá politika ho upravuje?
- Ktorá kapitola ISO 27001:2022 alebo kontrola prílohy A ho podporuje?
- Aký dôkaz preukazuje, že sa uskutočnilo?
Politika rolí a zodpovedností v oblasti správy a riadenia pre MSP Politika rolí a zodpovedností v oblasti správy a riadenia pre MSP robí túto sledovateľnosť explicitnou:
Všetky významné bezpečnostné rozhodnutia, výnimky a eskalácie musia byť zaznamenané a sledovateľné.
Táto citácia pochádza z kapitoly 5.5 Politiky rolí a zodpovedností v oblasti správy a riadenia pre MSP. Premieňa NIST GV.RR z princípu správy a riadenia na overiteľné prevádzkové pravidlo.
Začnite profilom CSF Govern, nie tabuľkou kontrol
Organizačné profily NIST CSF 2.0 pomáhajú organizáciám opísať aktuálne a cieľové výsledky kybernetickej bezpečnosti. Pre MSP je profil miestom, kde sa správa a riadenie stáva zvládnuteľným.
Praktický workshop k profilu Govern by mal zodpovedať päť otázok:
- Čo je v rozsahu: celá spoločnosť, platforma SaaS, regulovaný produkt alebo zákaznícke prostredie?
- Ktoré povinnosti určujú profil: zmluvy so zákazníkmi, GDPR, vystavenie NIS2, očakávania zákazníkov vyplývajúce z DORA, certifikácia ISO 27001:2022 alebo due diligence investorov?
- Čo preukazujú aktuálne dôkazy, nie čo si ľudia myslia, že existuje?
- Aký cieľový stav je realistický na najbližších 90 dní a najbližších 12 mesiacov?
- Ktoré riziká, politiky, dodávatelia a položky SoA sa musia zmeniť?
Zenith Blueprint: 30-kroková cestovná mapa audítora Zenith Blueprint to podporuje vo fáze základu ISMS a vodcovstva, krok 6, „Zdokumentované informácie a budovanie knižnice ISMS“. Odporúča pripraviť SoA včas a používať ho ako knižnicu kontrol:
✓ Dodatočné kontroly: Existujú kontroly mimo prílohy A, ktoré by ste mohli zahrnúť? ISO 27001 umožňuje pridávať do SoA ďalšie kontroly. Napríklad možno chcete zahrnúť súlad s NIST CSF alebo špecifické kontroly ochrany súkromia z ISO 27701. Príloha A je vo všeobecnosti komplexná, ale pokojne doplňte akékoľvek jedinečné kontroly, ktoré plánujete
✓ Použite tabuľkový prehľad (SoA Builder): Praktickým prístupom je pripraviť tabuľkový prehľad SoA už teraz. Pripravili sme šablónu SoA_Builder.xlsx, ktorá uvádza všetky kontroly prílohy A so stĺpcami pre uplatniteľnosť, stav implementácie a poznámky.
Pre MSP je to dôležité. NIST CSF 2.0 netreba vtláčať do prílohy A ISO, akoby boli tieto dva rámce totožné. Výsledky CSF Govern môžete zahrnúť ako dodatočné požiadavky správy a riadenia do knižnice SoA, namapovať ich na kapitoly ISO 27001:2022 a kontroly prílohy A a použiť ich na zlepšenie preskúmania manažmentom, správy a riadenia dodávateľov, reportingu rizík a monitorovania súladu.
Vytvorte register dôkazov Govern
Register dôkazov Govern je praktický nástroj, ktorý mení rámce na dôkazy. Mal by prepojiť každý výsledok NIST s referenciou ISO, vlastníkom politiky, položkou dôkazu, kadenciou preskúmania, medzerou a opatrením.
| Pole | Príklad položky |
|---|---|
| Výsledok CSF | GV.OC-03 |
| Otázka správy a riadenia | Sú zákonné, regulačné, zmluvné povinnosti, povinnosti v oblasti ochrany súkromia a občianskych práv pochopené a riadené? |
| Referencia ISO 27001:2022 | Kapitoly 4.2, 4.3 a 6.1.3, príloha A 5.31 a 5.34 |
| Politika Clarysec | Politika právneho a regulačného súladu |
| Vlastník dôkazov | manažér súladu |
| Dôkaz | Register súladu v1.4, mapa povinností voči zákazníkom, register spracovateľských činností podľa GDPR |
| Kadencia preskúmania | Štvrťročne a pri vzniku nového trhu, zákazníka alebo zmeny produktu |
| Medzera | Doložky DORA prenášané zo zákazníckych zmlúv nie sú namapované na zmluvy s dodávateľmi |
| Opatrenie | Aktualizovať šablónu dodávateľskej zmluvy a poznámky SoA |
| Lehota plnenia | 30 dní |
Podniková Politika právneho a regulačného súladu Clarysec Politika právneho a regulačného súladu stanovuje riadiacu požiadavku:
Všetky zákonné a regulačné povinnosti musia byť v rámci systému manažérstva informačnej bezpečnosti (ISMS) namapované na konkrétne politiky, kontroly a vlastníkov.
Toto je kapitola 6.2.1 Politiky právneho a regulačného súladu. Pre MSP dopĺňa Politika právneho a regulačného súladu pre MSP Politika právneho a regulačného súladu pre MSP praktickú požiadavku na krížové mapovanie:
Ak sa predpis uplatňuje naprieč viacerými oblasťami (napr. GDPR sa vzťahuje na uchovávanie, bezpečnosť a ochranu súkromia), musí byť jasne namapovaný v registri súladu a školiacich materiáloch.
Táto citácia pochádza z kapitoly 5.2.2 Politiky právneho a regulačného súladu pre MSP. Spoločne tieto kapitoly premieňajú GV.OC-03 na riadený, preskúmateľný proces pripravený na audit.
Prepojte skórovanie rizík s ošetrením rizík a SoA
NIST GV.RM vyžaduje ciele v oblasti rizík, rizikový apetít, toleranciu rizika, štandardizovaný výpočet rizika, možnosti reakcie a komunikačné línie. ISO 27001:2022 to prevádza do praxe prostredníctvom posúdenia rizík, ošetrenia rizík, schválenia vlastníkom rizika, akceptácie zvyškového rizika a vyhlásenia o uplatniteľnosti.
Politika riadenia rizík pre MSP Politika riadenia rizík pre MSP je zámerne konkrétna:
Každá položka rizika musí obsahovať: opis, pravdepodobnosť, dopad, skóre, vlastníka a plán ošetrenia rizika.
Toto pochádza z kapitoly 5.1.2 Politiky riadenia rizík pre MSP. Podniková Politika riadenia rizík Politika riadenia rizík posilňuje prepojenie so SoA:
Vyhlásenie o uplatniteľnosti (SoA) musí odrážať všetky rozhodnutia o ošetrení rizík a musí sa aktualizovať vždy, keď sa zmení pokrytie kontrolami.
Ide o kapitolu 5.4 Politiky riadenia rizík.
Zvážte reálne riziko MSP: neoprávnený prístup k produkčným údajom zákazníkov v dôsledku nekonzistentného uplatňovania MFA naprieč účtami správy cloudu.
Silné mapovanie Govern by zahŕňalo:
- NIST GV.RM pre štandardizovanú dokumentáciu rizík a prioritizáciu.
- NIST GV.RR pre vlastníctvo rolí a právomoc uplatňovať riadenie prístupu.
- NIST GV.PO pre uplatňovanie politiky a preskúmanie.
- Kapitoly ISO 27001:2022 6.1.2, 6.1.3, 8.2 a 8.3.
- Kontroly prílohy A pre riadenie prístupu, správu identít, autentifikačné informácie, protokolovanie, monitorovanie, konfiguráciu a cloudové služby.
- Dôkazy, ako je položka v registri rizík, export konfigurácie MFA, schválenie výnimky, revízia cloudového IAM, rozhodnutie z preskúmania manažmentom a aktualizovaná poznámka SoA.
Zenith Blueprint, fáza riadenia rizík, krok 13, „Plánovanie ošetrenia rizík a vyhlásenie o uplatniteľnosti“, vysvetľuje väzbu:
✓ Zabezpečte zosúladenie s registrom rizík: každá zmierňujúca kontrola, ktorú ste zapísali do plánu ošetrenia rizík, by mala zodpovedať kontrole prílohy A označenej ako „uplatniteľná“. Naopak, ak je kontrola označená ako uplatniteľná, malo by za ňou stáť buď riziko, alebo požiadavka, ktorá ju vyvoláva.
Toto je rozdiel medzi tvrdením „používame MFA“ a preukázaním „máme riadený, rizikovo orientovaný dôvod pre MFA zosúladený s ISO 27001:2022, s dôkazom, vlastníkom a kadenciou preskúmania“.
Riaďte dodávateľské riziko bez zbytočného rozširovania programu
NIST GV.SC je jednou z najužitočnejších častí funkcie Govern pre MSP, pretože moderné MSP sú výrazne závislé od dodávateľov: cloudových poskytovateľov, spracovateľov platieb, HR platforiem, helpdeskových systémov, repozitárov kódu, CI/CD nástrojov, monitorovacích nástrojov a spravovaných bezpečnostných služieb.
Príloha A ISO 27001:2022 to podporuje prostredníctvom dodávateľských a cloudových kontrol vrátane 5.19 Informačná bezpečnosť vo vzťahoch s dodávateľmi, 5.20 Riešenie informačnej bezpečnosti v dodávateľských zmluvách, 5.21 Riadenie informačnej bezpečnosti v dodávateľskom reťazci IKT, 5.22 Monitorovanie, preskúmanie a riadenie zmien služieb dodávateľov, 5.23 Informačná bezpečnosť pri používaní cloudových služieb a 5.30 Pripravenosť IKT na kontinuitu činností.
Politika bezpečnosti tretích strán a dodávateľov pre MSP Politika bezpečnosti tretích strán a dodávateľov pre MSP jasne stanovuje požiadavku na dôkazy:
Tieto preskúmania musia byť zdokumentované a uchovávané v zázname dodávateľa. Následné opatrenia musia byť jasne sledované.
Toto je kapitola 6.3.2 Politiky bezpečnosti tretích strán a dodávateľov pre MSP.
Štíhly dodávateľský model MSP môže používať tri úrovne:
| Úroveň dodávateľa | Kritériá | Minimálne dôkazy | Kadencia preskúmania |
|---|---|---|---|
| Kritický | Podporuje produkčné prostredie, údaje zákazníkov, autentifikáciu, bezpečnostné monitorovanie, platobný tok alebo poskytovanie regulovanej služby | Dotazník due diligence, bezpečnostné doložky v zmluve, SLA, kontakt pre incidenty, plán ukončenia, preskúmanie rizík | Ročne a pri podstatnej zmene |
| Dôležitý | Podporuje činnosti organizácie alebo interné citlivé informácie, ale nie priame poskytovanie kritickej služby | Bezpečnostné zhrnutie, podmienky spracúvania údajov, revízia prístupových práv, akceptácia rizika pri existencii medzier | Každých 18 mesiacov |
| Štandardný | Nízko rizikové nástroje bez citlivých údajov alebo kritickej závislosti | Schválenie vlastníka procesu, základná kontrola údajov a prístupu | Pri onboardingu a obnove |
Tento jednoduchý model podporuje NIST GV.SC, dodávateľské kontroly ISO 27001:2022, zákaznícke due diligence a zmluvné očakávania finančných zákazníkov vyplývajúce z DORA.
Ukončenie spolupráce s dodávateľom si zaslúži osobitnú pozornosť. NIST GV.SC očakáva správu a riadenie naprieč celým životným cyklom dodávateľa vrátane ukončenia vzťahu. Dôkazy by mali zahŕňať vrátenie alebo výmaz údajov, odstránenie prístupov, plánovanie prechodu služby, uchovávané zmluvné záznamy a preskúmanie zvyškového rizika.
Používajte Zenith Controls na krížový súlad, nie ako samostatný súbor kontrol
Zenith Controls: Sprievodca krížovým súladom spoločnosti Clarysec Zenith Controls je sprievodca krížovým súladom na mapovanie tém kontrol ISO/IEC 27002:2022 na viaceré rámce a auditné pohľady. Nejde o samostatné „kontroly Zenith“. Sú to kontroly ISO/IEC 27002:2022 analyzované v rámci Zenith Controls na účely krížového súladu.
Pre NIST CSF 2.0 Govern sú osobitne dôležité tri oblasti kontrol ISO/IEC 27002:2022:
| Oblasť kontrol ISO/IEC 27002:2022 v Zenith Controls | Väzba na NIST CSF 2.0 Govern | Praktický výklad pre MSP |
|---|---|---|
| 5.1 Politiky informačnej bezpečnosti | GV.PO | Politiky musia byť schválené, komunikované, uplatňované, preskúmavané a aktualizované pri zmene hrozieb, technológií, práva alebo cieľov organizácie |
| 5.4 Zodpovednosti manažmentu | GV.RR a GV.OV | Bezpečnostné zodpovednosti musia byť priradené na úrovni vedenia aj prevádzky, so zdrojmi, reportingom a preskúmaním |
| 5.31 Zákonné, štatutárne, regulačné a zmluvné požiadavky | GV.OC-03 | Povinnosti musia byť identifikované, namapované na kontroly a vlastníkov, monitorované z hľadiska zmien a doložené dôkazmi |
Zenith Blueprint, fáza Controls in Action, krok 22, „Organizačné opatrenia“, poskytuje prevádzkový model:
Formalizujte správu a riadenie informačnej bezpečnosti
Zabezpečte, aby boli vaše politiky informačnej bezpečnosti (5.1) finalizované, schválené a podliehali riadeniu verzií. Priraďte pomenovaných vlastníkov pre každú doménu politiky (napr. prístup, šifrovanie, zálohovanie) a zdokumentujte roly a zodpovednosti v rámci ISMS (5.2). Preskúmajte oddelenie povinností (5.3) vo vysoko rizikových oblastiach, ako sú financie, správa systémov a riadenie zmien. Vytvorte jednoduchú mapu správy a riadenia, ktorá ukazuje, kto schvaľuje, kto implementuje a kto monitoruje bezpečnostnú politiku.
Táto mapa správy a riadenia je jedným z najhodnotnejších artefaktov, ktoré môže MSP vytvoriť. Odpovedá na NIST GV.RR, požiadavky ISO 27001:2022 na vodcovstvo, očakávania NIS2 v oblasti zodpovednosti manažmentu a zákaznícke otázky o tom, kto vlastní kybernetické riziko.
Jeden model správy a riadenia pre NIS2, DORA, GDPR, NIST a ISO
Funkcia Govern má najväčšiu hodnotu vtedy, keď MSP čelí prekrývajúcim sa požiadavkám.
NIS2 vyžaduje, aby dotknuté základné a dôležité subjekty prijali primerané a proporcionálne opatrenia riadenia rizík kybernetickej bezpečnosti. Zároveň ukladá riadiacim orgánom zodpovednosť za schvaľovanie opatrení riadenia rizík kybernetickej bezpečnosti, dohľad nad ich implementáciou a absolvovanie školení. NIST GV.RR podporuje zodpovednosť manažmentu. GV.RM podporuje opatrenia založené na riziku. GV.SC podporuje bezpečnosť dodávateľského reťazca. GV.PO podporuje politiky. GV.OV podporuje preskúmanie výkonnosti.
Správa incidentov podľa NIS2 zavádza aj očakávania etapového reportingu vrátane včasného varovania do 24 hodín, oznámenia incidentu do 72 hodín a záverečného reportingu do jedného mesiaca pri významných incidentoch. Tieto lehoty by sa mali premietnuť do postupov reakcie na incidenty, eskalačných postupov, komunikačných plánov a reportingu manažmentu.
DORA sa od 17. januára 2025 vzťahuje na finančné subjekty v EÚ, ale mnoho MSP pociťuje jej vplyv prostredníctvom zákazníckych zmlúv. Finanční zákazníci môžu prenášať požiadavky DORA na poskytovateľov IKT, dodávateľov softvéru, poskytovateľov spravovaných služieb a dodávateľov závislých od cloudu. DORA sa zameriava na riadenie IKT rizík, zodpovednosť riadiaceho orgánu, oznamovanie incidentov, testovanie odolnosti, riziko tretích strán v oblasti IKT, zmluvné požiadavky a dohľad.
GDPR pridáva zodpovednosť za spracúvanie osobných údajov. MSP musia vedieť, či sú prevádzkovateľmi, sprostredkovateľmi alebo oboma, aké osobné údaje spracúvajú, ktoré systémy a dodávatelia sú zapojení, aké právne základy sa uplatňujú a ktoré incidentné scenáre by sa mohli stať porušeniami ochrany osobných údajov.
Zenith Blueprint, fáza riadenia rizík, krok 14, odporúča krížovo odkazovať požiadavky DORA, NIS2 a GDPR do súboru kontrol ISO 27001:2022:
Pre každý predpis, ak je uplatniteľný, môžete vytvoriť jednoduchú mapovaciu tabuľku (môže byť prílohou správy), ktorá uvádza kľúčové bezpečnostné požiadavky predpisu a zodpovedajúce kontroly/politiky vo vašom ISMS. V ISO 27001 to nie je povinné, ale ide o užitočné interné cvičenie na zabezpečenie, aby nič neprepadlo medzi medzerami.
Praktická mapa krížového súladu môže vyzerať takto:
| Požiadavka správy a riadenia | NIST CSF 2.0 Govern | Väzba ISO 27001:2022 | Relevancia pre NIS2, DORA, GDPR | Primárny dôkaz |
|---|---|---|---|---|
| Zodpovednosť manažmentu | GV.RR a GV.OV | Kapitoly 5.1, 5.3 a 9.3, príloha A 5.4 | Dohľad riadiaceho orgánu podľa NIS2, zodpovednosť riadiaceho orgánu podľa DORA | Mapa správy a riadenia, RACI, zápisnice z preskúmania manažmentom |
| Zákonné a zmluvné povinnosti | GV.OC-03 | Kapitoly 4.2, 4.3 a 6.1.3, príloha A 5.31 a 5.34 | Preukázateľná zodpovednosť podľa GDPR, právny rozsah NIS2, zmluvné prenesenie požiadaviek DORA | Register súladu, mapa povinností voči zákazníkom, register ochrany súkromia |
| Bezpečnostné opatrenia založené na riziku | GV.RM | Kapitoly 6.1.2, 6.1.3, 8.2 a 8.3 | Rizikové opatrenia NIS2, rámec IKT rizík DORA, bezpečnosť spracúvania podľa GDPR | Register rizík, plán ošetrenia rizík, SoA |
| Správa a riadenie dodávateľov | GV.SC | Príloha A 5.19 až 5.23 a 5.30 | Bezpečnosť dodávateľského reťazca podľa NIS2, riziko tretích strán v oblasti IKT podľa DORA, sprostredkovatelia podľa GDPR | Evidencia dodávateľov, due diligence, zmluvy, preskúmanie logov |
| Správa a riadenie politík | GV.PO | Kapitola 5.2 a príloha A 5.1 | Všetky rámce očakávajú zdokumentované, schválené a komunikované pravidlá | Register politík, evidencia verzií, potvrdenia oboznámenia sa |
| Audit a zlepšovanie | GV.OV | Kapitoly 9.1, 9.2, 9.3, 10.1 a 10.2 | Testovanie a nápravné opatrenia podľa DORA, účinnosť podľa NIS2, preukázateľná zodpovednosť podľa GDPR | Správy z interného auditu, KPI, nápravné opatrenia |
Hodnota spočíva v efektívnosti. Jeden dobre prevádzkovaný ISMS podľa ISO 27001:2022, vedený NIST CSF 2.0 Govern, môže generovať opakovane použiteľné dôkazy pre viacero rámcov naraz.
Pohľad audítora: preukázanie, že správa a riadenie sú skutočné
Politika uložená v priečinku nie je správa a riadenie. Audítori a posudzovatelia hľadajú zlatú niť: politiku na vysokej úrovni, definovaný proces, prevádzkový záznam, preskúmanie manažmentom a opatrenie na zlepšenie.
Rôzni posudzovatelia budú túto niť testovať odlišne.
| Pohľad audítora | Na čo sa zameria | Dôkazy, ktoré dobre fungujú |
|---|---|---|
| Audítor ISO 27001:2022 | Či je správa a riadenie zabudovaná do ISMS, či je ošetrenie rizík sledovateľné, či sú rozhodnutia SoA odôvodnené a či sú zdokumentované informácie riadené | Rozsah ISMS, register politík, register rizík, SoA, zápisnice z preskúmania manažmentom, správy z interného auditu, nápravné opatrenia |
| Posudzovateľ NIST CSF 2.0 | Či existujú aktuálne a cieľové profily, či sú medzery prioritizované a či sú výsledky Govern previazané s rizikom organizácie a dohľadom | Profil CSF, analýza medzier, POA&M, vyhlásenie o rizikovom apetíte, dashboard vedenia, cieľový profil dodávateľov |
| Audítor podľa COBIT 2019 alebo metodiky ISACA | Či sú definované ciele správy a riadenia, rozhodovacie práva, ukazovatele výkonnosti, vlastníctvo kontrol a aktivity uistenia | Mapa správy a riadenia, RACI, dashboard KPI a KRI, vyhlásenia vlastníkov kontrol, plán auditov, sledovanie zistení |
| Posudzovateľ GDPR | Či sú identifikované povinnosti v oblasti ochrany súkromia, či je spracúvanie namapované, či sú bezpečnostné ochranné opatrenia primerané a či existujú dôkazy preukázateľnej zodpovednosti | Register spracovateľských činností, mapovanie právnych základov, DPIA podľa potreby, proces reakcie na porušenie ochrany osobných údajov, podmienky spracúvania údajov s dodávateľmi |
| Zákaznícky bezpečnostný posudzovateľ | Či MSP dokáže bez nadmerného zdržania preukázať prevádzkovú bezpečnosť, riadenie dodávateľov, pripravenosť na incidenty a zodpovednosť vrcholového vedenia | Balík dôkazov, politiky, preskúmania dodávateľov, výstupy zo stolového cvičenia incidentu, revízie prístupových práv, testy obnovy záloh, bezpečnostná cestovná mapa |
Podniková Politika rolí a zodpovedností v oblasti správy a riadenia Clarysec Politika rolí a zodpovedností v oblasti správy a riadenia uvádza:
Správa a riadenie musí podporovať integráciu s ďalšími disciplínami (napr. riziká, právne oddelenie, IT, HR) a rozhodnutia ISMS musia byť sledovateľné k svojmu zdroju (napr. auditné záznamy, preskúmanie logov, zápisnice zo stretnutí).
Toto je kapitola 5.5 Politiky rolí a zodpovedností v oblasti správy a riadenia. Zachytáva podstatu krížového súladu: rozhodnutia správy a riadenia musia byť sledovateľné.
Politika monitorovania auditov a súladu pre MSP Politika monitorovania auditov a súladu pre MSP dopĺňa kritickú disciplínu pri práci s dôkazmi:
Metadáta (napr. kto ich zhromaždil, kedy a z ktorého systému) musia byť zdokumentované.
Táto citácia pochádza z kapitoly 6.2.3 Politiky monitorovania auditov a súladu pre MSP. Metadáta dôkazov často odlišujú priečinok so snímkami obrazovky od dôkazov na úrovni auditu.
Podniková Politika monitorovania auditov a súladu Politika monitorovania auditov a súladu dopĺňa požiadavku na úrovni programu:
Organizácia musí udržiavať štruktúrovaný program monitorovania auditov a súladu integrovaný do ISMS, ktorý pokrýva:
Toto je kapitola 5.1 Politiky monitorovania auditov a súladu. Dôsledok pre správu a riadenie je priamy: audit nie je každoročná improvizácia. Je súčasťou prevádzky ISMS.
Časté chyby MSP pri mapovaní NIST Govern na ISO 27001:2022
Prvou chybou je nadmerná dokumentácia bez vlastníctva. MSP napíše politiky, ale nepriradí vlastníkov pre ošetrenie rizík, preskúmania dodávateľov, schvaľovanie výnimiek alebo reporting manažmentu.
Druhou chybou je vnímanie zákonných povinností ako niečoho oddeleného od ISMS. NIST GV.OC-03 vyžaduje, aby boli povinnosti pochopené a riadené. ISO 27001:2022 vyžaduje, aby sa v ISMS zohľadnili relevantné požiadavky zainteresovaných strán a zákonné, regulačné a zmluvné povinnosti.
Treťou chybou je slabé odôvodnenie SoA. SoA nie je len zoznam uplatniteľných kontrol. Je to logický súbor vysvetľujúci, prečo sú kontroly zahrnuté, vylúčené alebo implementované.
Štvrtou chybou sú chýbajúce dôkazy o životnom cykle dodávateľa. Správa a riadenie dodávateľov zahŕňa onboarding, zmluvy, monitorovanie, incidenty, zmeny a ukončenie spolupráce.
Piatou chybou je neaktualizovanie cieľového profilu. Profil CSF by sa mal zmeniť, keď organizácia vstúpi do novej geografie, podpíše významného zákazníka, prijme kritického dodávateľa, spustí regulovaný produkt, zmení cloudovú architektúru alebo utrpí incident.
30-dňová cestovná mapa NIST CSF 2.0 Govern pre MSP
Ak sa MSP potrebuje pohnúť rýchlo, začnite sústredeným 30-dňovým implementačným plánom.
| Dni | Aktivita | Výstup |
|---|---|---|
| 1 až 3 | Definovať rozsah CSF Govern a zhromaždiť existujúce politiky, zmluvy, záznamy o rizikách, zoznamy dodávateľov a auditné dôkazy | Poznámka k rozsahu a inventár dôkazov |
| 4 až 7 | Vytvoriť register dôkazov Govern pre GV.OC, GV.RM, GV.RR, GV.PO, GV.OV a GV.SC | Aktuálny profil a počiatočné medzery |
| 8 až 12 | Namapovať povinnosti na politiky ISO 27001:2022, oblasti kontrol prílohy A a vlastníkov | Register súladu a mapa vlastníctva politík |
| 13 až 17 | Aktualizovať register rizík a plán ošetrenia rizík, následne zosúladiť položky SoA | Register rizík, plán ošetrenia, aktualizácie SoA |
| 18 až 22 | Prioritizovať správu a riadenie dodávateľov vrátane klasifikácie kritických dodávateľov, zmluvných medzier a dôkazov z preskúmania | Register dodávateľských rizík a sledovanie opatrení |
| 23 až 26 | Pripraviť balík auditných dôkazov s metadátami, schváleniami, preskúmaním logov a rozhodnutiami manažmentu | Balík dôkazov a auditný index |
| 27 až 30 | Vykonať preskúmanie manažmentom a schváliť cestovnú mapu cieľového profilu | Zápisnica z preskúmania manažmentom, rozhodnutia, cestovná mapa |
Tento plán vytvára dostatok dôkazov správy a riadenia na zodpovedanie vážnych zákazníckych a auditných otázok a zároveň buduje základ pre certifikáciu ISO 27001:2022, pripravenosť na NIS2, uistenie zákazníkov v súvislosti s DORA a preukázateľnú zodpovednosť podľa GDPR.
Praktický výsledok: jeden príbeh správy a riadenia, viacero použití pre súlad
Keď sa Sarah vráti pred predstavenstvo, už nemá päť nesúvisiacich pracovných tokov súladu. Má jeden príbeh správy a riadenia.
Výsledky NIST CSF 2.0 Govern sú namapované na politiky ISO 27001:2022, vlastníkov, riziká, kontroly a dôkazy. Rozsah ISMS zahŕňa zákaznícke, dodávateľské, cloudové, zákonné, regulačné, súkromnoprávne a zmluvné závislosti. Register rizík riadi rozhodnutia o ošetrení a uplatniteľnosť SoA. Politiky sú schválené, podliehajú riadeniu verzií, majú vlastníkov, sú komunikované a preskúmavané. Dodávateľské riziká sú zaradené do úrovní, zmluvne ošetrené, monitorované a sledované. Povinnosti spracúvania podľa GDPR, očakávania NIS2 v oblasti zodpovednosti a požiadavky DORA prenášané zo zákazníkov sú krížovo odkazované tam, kde je to uplatniteľné. Auditné dôkazy zahŕňajú metadáta, záznamy o rozhodnutiach a výstupy z preskúmania manažmentom.
Takto vyzerá správa a riadenie, keď je prevádzkovaná.
Ďalší krok: vytvorte svoj balík dôkazov Govern pre MSP s Clarysec
Ak sa pripravujete na ISO 27001:2022, odpovedáte na due diligence podnikového zákazníka, mapujete výsledky NIST CSF 2.0 Govern alebo sa snažíte zosúladiť NIS2, DORA a GDPR bez budovania samostatných programov, začnite vrstvou správy a riadenia.
Clarysec vám môže pomôcť vytvoriť:
- Aktuálny a cieľový profil NIST CSF 2.0 Govern.
- Mapovanie politík ISO 27001:2022 a SoA.
- Register povinností krížového súladu s použitím Zenith Controls Zenith Controls.
- 30-krokovú cestovnú mapu implementácie ISMS s použitím Zenith Blueprint Zenith Blueprint.
- Dôkazy politík pripravené pre MSP s použitím balíka politík Clarysec vrátane Politiky rolí a zodpovedností v oblasti správy a riadenia pre MSP Politika rolí a zodpovedností v oblasti správy a riadenia pre MSP, Politiky riadenia rizík pre MSP Politika riadenia rizík pre MSP, Politiky právneho a regulačného súladu pre MSP Politika právneho a regulačného súladu pre MSP, Politiky bezpečnosti tretích strán a dodávateľov pre MSP Politika bezpečnosti tretích strán a dodávateľov pre MSP a Politiky monitorovania auditov a súladu pre MSP Politika monitorovania auditov a súladu pre MSP.
Najrýchlejšia cesta nie je ďalšia tabuľka. Je to riadený, rizikovo orientovaný ISMS pripravený na dôkazy, ktorý umožní vášmu MSP s istotou odpovedať na jednu otázku:
Dokážete preukázať, že kybernetická bezpečnosť je riadená, vlastnená, preskúmavaná a neustále zlepšovaná?
S Clarysec sa odpoveď mení na áno.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
