Revizijska dokazila iz oblaka za ISO 27001, NIS2 in DORA

Maria, vodja informacijske varnosti (CISO) v hitro rastočem podjetju za finančno analitiko, je imela šest tednov, preden so se združili trije roki. Njena nadzorna presoja ISO 27001:2022 je bila že načrtovana. NIS2 je podjetje kot pomemben subjekt postavila na novo raven odgovornosti vodstva. DORA naj bi preverila, ali lahko njene fintech operacije dokažejo digitalno operativno odpornost. Hkrati je pomembna korporativna stranka zadržala pogodbo, dokler njena ekipa ne opravi podrobnega pregleda varnostnih zagotovil.

Podjetje ni bilo nevarno. Produkcijske delovne obremenitve je izvajalo v AWS in Azure, uporabljalo Microsoft 365 ter več kritičnih platform SaaS, uveljavljalo MFA, izvajalo varnostno kopiranje podatkov, skeniralo ranljivosti in zbiralo dnevniške zapise iz oblaka. Težava so bila dokazila.

Dokazila so bila razpršena po posnetkih zaslona iz Slacka, wiki straneh razvijalcev, izvozih iz konzol v oblaku, mapah nabave, pravnih pogodbah in ustnih zagotovilih lastnikov platform. Ko je presojevalec vprašal: »Pokažite mi, kako obvladujete svoje okolje v oblaku,« povezava do strani ponudnika storitev v oblaku o skladnosti ni zadostovala. Certifikati ponudnika so dokazovali kontrole ponudnika. Niso dokazovali Marijine strani modela deljene odgovornosti.

Tu odpove veliko programov revizijskih dokazil za varnost v oblaku. Ne zato, ker kontrol ni, temveč zato, ker organizacija ne more strukturirano in sledljivo dokazati, katere odgovornosti pripadajo ponudniku, katere naročniku, kako so konfigurirane kontrole SaaS in IaaS, kako se uveljavljajo zaveze dobaviteljev ter kako se dokazila hranijo za presojevalce, regulatorje in stranke.

Skladnost v oblaku ni več tehnična priloga. Za ponudnika SaaS po NIS2, finančni subjekt po DORA ali katero koli organizacijo ISO 27001:2022, ki uporablja IaaS, PaaS in SaaS, je upravljanje oblaka del obsega ISMS, načrta obravnave tveganj, življenjskega cikla dobaviteljev, procesa obravnave incidentov, odgovornosti za zasebnost in vodstvenega pregleda.

Praktični cilj je preprost: vzpostaviti eno regulatorno pripravljeno arhitekturo dokazil za oblak, ki odgovori na vprašanja ISO 27001:2022, NIS2, DORA, GDPR, zagotavljanja zaupanja naročnikov in notranje presoje, ne da bi bilo treba dokazila znova graditi za vsak okvir.

Oblak je vedno v obsegu, tudi kadar je infrastruktura zunanje izvajana

Prva revizijska past je domneva, da je zunanje izvajana infrastruktura zunaj ISMS. Ni. Zunanje izvajanje spremeni mejo kontrol, ne odpravi pa odgovornosti.

ISO/IEC 27001:2022 zahteva, da organizacija opredeli svoj kontekst, zainteresirane strani, obseg ISMS, vmesnike, odvisnosti in procese. V poslovanju, ki temelji na oblaku, so ponudnik identitet, račun gostovanja v oblaku, CRM, e-poštna platforma, podatkovno skladišče, CI/CD cevovod, sistem za upravljanje zahtevkov in storitev varnostnega kopiranja pogosto ključna poslovna infrastruktura.

Clarysecov Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint to poudari v fazi ISMS Foundation & Leadership, korak 2, Stakeholder Needs and ISMS Scope:

»Če svojo IT infrastrukturo oddate v zunanje izvajanje ponudniku storitev v oblaku, to infrastrukture ne izključuje iz obsega; namesto tega v obseg vključite upravljanje tega odnosa in sredstva v oblaku, ker je varnost vaših podatkov v oblaku vaša odgovornost.«

Ta izjava je revizijsko sidro. Vaš obseg ne sme določati: »AWS je izključen, ker ga upravlja Amazon.« Določati mora, da so informacijska sredstva in procesi, povezani s storitvami, gostovanimi v AWS, v obsegu, vključno z upravljanjem varnostnih kontrol v oblaku, identitet, beleženja, šifriranja, varnostnega kopiranja, zagotovil dobaviteljev in odzivanja na incidente.

Za ISO 27001:2022 to podpira točke 4.1 do 4.4 glede konteksta, zainteresiranih strani, obsega in procesov ISMS. Za NIS2 podpira pričakovanja Article 21 glede analize tveganj, obravnavanja incidentov, neprekinjenega poslovanja, varnosti dobavne verige, varne nabave in vzdrževanja, nadzora dostopa, upravljanja sredstev, kriptografije, učinkovitosti kontrol in MFA, kjer je to ustrezno. Za DORA podpira načelo, da finančni subjekti ostanejo odgovorni za IKT-tveganje tudi takrat, ko se storitve IKT izvajajo zunanje.

Vprašanje ni, ali je vaš ponudnik storitev v oblaku varen. Vprašanje je, ali upravljate svojo uporabo ponudnika, pravilno konfigurirate svojo stran, spremljate storitev, upravljate zaveze dobaviteljev in hranite dokazila.

Deljena odgovornost mora postati deljena dokazljivost

Ponudniki storitev v oblaku pojasnjujejo deljeno odgovornost. Presojevalci preverjajo, ali ste jo operativno uvedli.

Pri IaaS ponudnik običajno varuje fizične prostore, temeljno infrastrukturo in hipervizor. Naročnik nadzoruje identitete, konfiguracijo delovnih obremenitev, utrjevanje operacijskega sistema, varnost aplikacij, razvrščanje podatkov, nastavitve šifriranja, omrežna pravila, beleženje, varnostne kopije, nameščanje popravkov in odzivanje na incidente.

Pri SaaS ponudnik nadzoruje večino operacij platforme, vendar naročnik še vedno nadzoruje konfiguracijo najemnika, uporabnike, administratorske vloge, integracije, deljenje podatkov, hrambo, možnosti beleženja in eskalacijske postopke.

Clarysecov Zenith Controls: The Cross-Compliance Guide Zenith Controls obravnava kontrolo ISO/IEC 27002:2022 5.23, informacijska varnost pri uporabi storitev v oblaku, kot osrednjo kontrolo upravljanja oblaka s preventivnim namenom za zaupnost, celovitost in razpoložljivost. Povezuje storitve v oblaku z odnosi z dobavitelji, varnim prenosom informacij, popisom sredstev, preprečevanjem uhajanja podatkov, varnostjo končnih točk in omrežja ter praksami varnega razvoja.

Ključna razlaga Zenith Controls določa:

»Ponudniki storitev v oblaku (CSP) delujejo kot kritični dobavitelji, zato veljajo vse kontrole glede izbire dobaviteljev, sklepanja pogodb in upravljanja tveganj po 5.19. Vendar 5.23 presega to, ker obravnava tveganja, značilna za oblak, kot so večnajemniškost, preglednost lokacije podatkov in modeli deljene odgovornosti.«

Ta razlika je bistvena. Certifikati dobaviteljev sami ne izpolnijo Priloge A.5.23. Potrebujete dokazila na strani naročnika, ki dokazujejo, da je storitev v oblaku upravljana, konfigurirana, spremljana in pregledovana.

To je razlika med tem, da imate kontrole v oblaku, in tem, da imate kontrole v oblaku, pripravljene za presojo.

Začnite z registrom storitev v oblaku, ki ga presojevalci lahko uporabijo

Najhitrejši način za izboljšanje revizijske pripravljenosti oblaka je vzpostavitev celovitega registra storitev v oblaku. To ne sme biti seznam nabave ali finančni izvoz. Povezovati mora storitve v oblaku s podatki, lastniki, regijami, dostopom, pogodbami, kritičnostjo, regulativno relevantnostjo in dokazili.

Clarysecova SME Cloud Usage Policy-sme Cloud Usage Policy-sme v klavzuli 5.3 podaja kompaktno in presojevalcem prijazno izhodišče:

»Register storitev v oblaku mora vzdrževati ponudnik IT ali GM. Evidentirati mora: 5.3.1 ime in namen vsake odobrene storitve v oblaku 5.3.2 odgovorno osebo ali ekipo (lastnik aplikacije) 5.3.3 vrste shranjenih ali obdelovanih podatkov 5.3.4 državo ali regijo, kjer so podatki shranjeni 5.3.5 dovoljenja uporabniškega dostopa in administrativne račune 5.3.6 podatke o pogodbi, datume podaljšanja in podporne kontakte«

Za korporativna okolja Clarysecova Politika uporabe storitev v oblaku Politika uporabe storitev v oblaku določa širši mandat:

»Ta politika določa obvezne zahteve organizacije za varno, skladno in odgovorno uporabo storitev računalništva v oblaku v modelih zagotavljanja Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) in Software-as-a-Service (SaaS).«

Politika uporabe storitev v oblaku zahteva centraliziran register, katerega lastnik je vodja informacijske varnosti (CISO), ter odobrene izhodiščne konfiguracije za okolja v oblaku. Ta register postane temelj dokazil za več obveznosti hkrati.

Za ISO 27001:2022 podpira popis sredstev, upravljanje uporabe storitev v oblaku, odnose z dobavitelji, nadzor dostopa, pravne in pogodbene zahteve, obravnavo tveganj ter dokumentirane informacije. Za NIS2 podpira varnost dobavne verige, upravljanje sredstev, analizo tveganj, obravnavanje incidentov in neprekinjeno poslovanje. Za DORA podpira mapiranje sredstev in odvisnosti IKT, registre tretjih oseb na področju IKT, mapiranje kritičnih ali pomembnih funkcij in analizo tveganja koncentracije. Za GDPR opredeli, ali se obdelujejo osebni podatki, kje se nahajajo, kateri ponudnik deluje kot obdelovalec ter kateri pogoji za prenos ali obdelavo podatkov veljajo.

Če register ne opredeli kategorij podatkov in regij, bodo dokazila o zasebnosti in odpornosti nepopolna. Če ne opredeli lastnikov aplikacij, bodo pregledi pravic dostopa brez odgovornega nosilca. Če ne opredeli pogodb in datumov podaljšanja, varnostnih klavzul dobaviteljev ni mogoče testirati.

Spremenite ISO 27001:2022 v hrbtenico dokazil za oblak

ISO 27001:2022 je najboljša hrbtenica dokazil za oblak, ker povezuje poslovni kontekst, tveganja, kontrole, operativna dokazila, spremljanje in izboljševanje.

Ključne zahteve ISO 27001:2022, relevantne za oblak, vključujejo:

• Točke 4.1 do 4.4 za kontekst, zainteresirane strani, obseg ISMS, vmesnike, odvisnosti in procese.
• Točke 5.1 do 5.3 za vodenje, politiko, vloge, odgovornosti in pooblastila.
• Točke 6.1.1 do 6.1.3 za oceno tveganja, obravnavo tveganja, primerjavo s Prilogo A, izjavo o uporabnosti in sprejem preostalega tveganja.
• Točka 7.5 za nadzorovane dokumentirane informacije.
• Točke 8.1 do 8.3 za operativno načrtovanje, izvedbo ocene tveganja in izvedbo obravnave tveganja.
• Točke 9.1 do 9.3 za spremljanje, merjenje, notranjo presojo in vodstveni pregled.
• Točka 10 za neskladnost, korektivne ukrepe in nenehno izboljševanje.

Kontrole Priloge A, ki nosijo največjo težo dokazil iz oblaka, vključujejo A.5.19 informacijska varnost v odnosih z dobavitelji, A.5.20 obravnava informacijske varnosti v dogovorih z dobavitelji, A.5.21 upravljanje informacijske varnosti v dobavni verigi IKT, A.5.22 spremljanje, pregled in upravljanje sprememb storitev dobaviteljev, A.5.23 informacijska varnost pri uporabi storitev v oblaku, A.5.24 do A.5.27 upravljanje incidentov, A.5.29 informacijska varnost med motnjami, A.5.30 pripravljenost IKT za neprekinjeno poslovanje, A.5.31 pravne, zakonske, regulativne in pogodbene zahteve, A.5.34 zasebnost in varstvo PII, A.5.36 skladnost s politikami, pravili in standardi informacijske varnosti, A.8.8 upravljanje tehničnih ranljivosti, A.8.9 upravljanje konfiguracije, A.8.13 varnostno kopiranje informacij, A.8.15 beleženje, A.8.16 dejavnosti spremljanja, A.8.24 uporaba kriptografije, A.8.25 varen življenjski cikel razvoja, A.8.29 varnostno testiranje pri razvoju in sprejemu ter A.8.32 upravljanje sprememb.

V Zenith Blueprint faza Controls in Action, korak 23, pojasnjuje storitve v oblaku z jezikom, ki ga presojevalci razumejo:

»Prehod na storitve v oblaku uvaja temeljite spremembe modela zaupanja. Strežnika, omrežnega roba ali hipervizorja ne nadzorujete več. Pogosto niti ne veste, kje se podatki fizično nahajajo. Kar nadzorujete in kar ta kontrola uveljavlja, je upravljanje tega odnosa, preglednost nad tem, kaj uporabljate, in varnostna pričakovanja, ki jih določite za svoje ponudnike.«

Močan vnos v izjavi o uporabnosti za A.5.23 ne sme povedati le »Uporabno, ponudnik oblaka je certificiran«. Pojasniti mora, zakaj se kontrola uporablja, katera tveganja obravnava, kako je uvedena in kje so shranjena dokazila.

V SoA ali sledilnik kontrol dodajte stolpec za lokacijo dokazil. Presojevalcem ne bi smelo biti treba iskati dokazil po e-pošti, sistemih za upravljanje zahtevkov in deljenih pogonih.

Uporabite en model dokazil za ISO 27001:2022, NIS2 in DORA

NIS2 in DORA zahtevata dokumentirano, na tveganjih temelječo kibernetsko varnost, ki jo vodi vodstvo. Prekrivanje je veliko, nadzorni pritisk pa različen.

NIS2 velja za številne bistvene in pomembne subjekte v EU, vključno s ponudniki digitalne infrastrukture, ponudniki upravljanih storitev, ponudniki upravljanih varnostnih storitev, bančništvom, infrastrukturami finančnih trgov in digitalnimi ponudniki. Article 21 zahteva ustrezne in sorazmerne tehnične, operativne in organizacijske ukrepe, vključno z analizo tveganj, obravnavanjem incidentov, neprekinjenim poslovanjem, varnostjo dobavne verige, varno nabavo in vzdrževanjem, obravnavo ranljivosti, oceno učinkovitosti kontrol, kibernetsko higieno, usposabljanjem, kriptografijo, nadzorom dostopa, upravljanjem sredstev ter MFA ali varnimi komunikacijami, kjer je to ustrezno.

Pri revizijskih dokazilih za varnost v oblaku NIS2 preverja, ali se tveganja oblaka in dobaviteljev upravljajo kot del tveganja izvajanja storitev. Prinaša tudi strukturirano poročanje o pomembnih incidentih, vključno z zgodnjim opozorilom v 24 urah, obvestilom o incidentu v 72 urah in končnim poročilom v enem mesecu.

DORA se od 17. januarja 2025 uporablja za številne finančne subjekte v EU in uvaja enotne zahteve za upravljanje tveganj IKT, poročanje o pomembnih incidentih IKT, testiranje digitalne operativne odpornosti, izmenjavo informacij in tveganje tretjih oseb na področju IKT. Za finančne subjekte, ki so hkrati opredeljeni po NIS2, se DORA obravnava kot sektorski pravni akt Unije za prekrivajoče se operativne obveznosti.

Za oblak je DORA neposredna. Finančni subjekti ostanejo odgovorni za IKT-tveganje, kadar so storitve zunanje izvajane. Potrebujejo strategije za tretje osebe na področju IKT, registre pogodb, predpogodbene presoje, skrbni pregled, pravice do presoje in dostopa, sprožilce odpovedi, analizo tveganja koncentracije, kontrole podizvajanja in preizkušene strategije izstopa.

Zenith Controls mapira kontrolo ISO/IEC 27002:2022 5.23 na EU NIS2 Article 21 in DORA Articles 28 to 31. Opozarja tudi na podporne standarde, kot so ISO/IEC 27017 za varnostne vloge in spremljanje v oblaku, ISO/IEC 27018 za varstvo PII v javnem oblaku, ISO/IEC 27701 za upravljanje zasebnosti v odnosih z obdelovalci v oblaku, ISO/IEC 27036-4 za spremljanje storitev v oblaku in dogovore z dobavitelji ter ISO/IEC 27005 za oceno tveganja v oblaku.

Praktična posledica je preprosta. Ne gradite ločenih paketov dokazil za ISO 27001:2022, NIS2, DORA in GDPR. Zgradite eno arhitekturo dokazil za oblak z mapiranji po posameznih okvirih.

Pogodbe z dobavitelji so dokazila kontrol, ne pravni arhivi

Revizijska dokazila iz oblaka se pogosto pretrgajo na pogodbeni ravni. Varnost ima vprašalnik za dobavitelja. Pravna služba ima MSA. Nabava ima datum podaljšanja. DPO ima DPA. Nihče nima enotnega pogleda, ali dogovor vključuje varnostne klavzule, ki jih zahtevajo ISO 27001:2022, NIS2, DORA in GDPR.

Clarysecova SME Third-Party and Supplier Security Policy-sme Third-Party and Supplier Security Policy-sme v klavzuli 5.3 določa:

»Pogodbe morajo vključevati obvezne klavzule, ki zajemajo: 5.3.1 zaupnost in nerazkrivanje informacij 5.3.2 obveznosti informacijske varnosti 5.3.3 časovne roke za obvestila o kršitvah podatkov (npr. v 24–72 urah) 5.3.4 pravice do presoje ali razpoložljivost dokazil o skladnosti 5.3.5 omejitve nadaljnjega podizvajanja brez odobritve 5.3.6 pogoje prenehanja, vključno z varnim vračilom ali uničenjem podatkov«

Za doslednost pri presoji te klavzule pretvorite v matriko pregleda pogodb. ISO 27001:2022 Priloga A.5.20 pričakuje, da so varnostne zahteve dogovorjene z dobavitelji. GDPR Article 28 zahteva pogoje za obdelovalce, ki zajemajo zaupnost, varnostne ukrepe, pomoč, podobdelovalce, izbris ali vračilo podatkov in podporo pri presoji. DORA Article 30 zahteva podrobna pogodbena določila za ponudnike tretjih oseb na področju IKT, vključno z opisi storitev, lokacijo podatkov, varnostjo, pomočjo pri incidentih, sodelovanjem z organi, pravicami do presoje, pravicami dostopa, prenehanjem in prehodnimi ureditvami. Varnost dobavne verige po NIS2 prav tako zahteva zavezujoče sodelovanje dobaviteljev.

Zenith Controls mapira kontrolo ISO/IEC 27002:2022 5.20 na dogovore z dobavitelji in izpostavlja povezave s 5.19 odnosi z dobavitelji, 5.14 prenos informacij, 5.22 spremljanje dobaviteljev, 5.11 vračilo sredstev in 5.36 skladnost.

Ključno je operativno izvajanje. Če pogodba za storitev v oblaku omogoča dostop do poročil SOC 2, lahko presojevalci vprašajo, ali ste poročilo pridobili, pregledali izjeme, spremljali odpravo pomanjkljivosti in ponovno ocenili tveganje. Če pogodba obljublja obvestilo o kršitvi, lahko vprašajo, ali vaš odzivni priročnik za incidente vključuje kontaktno pot dobavitelja in regulatorne odločitvene točke. Če spremembe podizvajalcev zahtevajo odobritev ali obvestilo, lahko vprašajo, ali se obvestila o podobdelovalcih pregledajo pred sprejemom.

Pogodba brez dokazil o pregledu je arhiv. Pogodba, povezana s tveganjem dobavitelja, zapisi spremljanja in delovnimi tokovi incidentov, je kontrola.

Beleženje in konfiguracija SaaS sta pogosti slepi pegi pri presoji

Ugotovitve pri oblaku pogosto izvirajo iz SaaS, ne iz IaaS. Infrastrukturne ekipe imajo običajno tehnične lastnike, cevovode za beleženje, izhodiščne kontrole in zapise sprememb. Platforme SaaS so razpršene med prodajo, HR, financami, podporo strankam, marketingom in operacijami. Vsaka lahko obdeluje občutljive ali regulirane podatke.

Clarysecova Logging and Monitoring Policy-sme Logging and Monitoring Policy-sme to neposredno obravnava v klavzuli 5.5:

»5.5 Storitve v oblaku in beleženje tretjih oseb 5.5.1 Za platforme, kjer beleženje ni pod neposrednim nadzorom IT (npr. e-pošta SaaS), veljajo naslednje zahteve: 5.5.1.1 Beleženje mora biti omogočeno in konfigurirano, kjer je na voljo 5.5.1.2 Opozorila morajo biti usmerjena ponudniku IT-podpore 5.5.1.3 Pogodbe morajo od ponudnikov zahtevati hrambo dnevniških zapisov najmanj 12 mesecev in omogočanje dostopa na zahtevo«

Za korporativna okolja Politika uporabe storitev v oblaku dodaja:

»Storitve v oblaku morajo biti integrirane v SIEM organizacije za neprekinjeno spremljanje.«

Ta zahteva premakne SaaS iz »poslovnega orodja« v »spremljani informacijski sistem«. Dokazila morajo vključevati izvoze nastavitev beleženja, dokazilo o konektorju SIEM, pravila opozoril, zahtevke za triažo, nastavitve hrambe in preglede administratorskega dostopa.

Za kritične SaaS pripravite dokazila o ustvarjanju administratorskih računov, sumljivih prijavah, množičnih prenosih, javnem deljenju, onemogočanju MFA, ustvarjanju žetonov API, dejavnosti zunanjih gostov in povišanjih privilegijev. Za IaaS pripravite CloudTrail ali enakovredno beleženje kontrolne ravni, dnevniške zapise dostopa do shrambe, spremembe IAM, dnevnike tokov, kjer je to ustrezno, ugotovitve CSPM, skeniranje ranljivosti, dokazila o popravkih, nastavitve šifriranja, stanje varnostnih kopij, preglede skupin omrežne varnosti in zahtevke za spremembe.

Revizijska metodologija Zenith Controls za kontrolo 5.23 navaja, da lahko presoja v slogu ISO/IEC 27007 pregleda dovoljenja vedra AWS S3, šifriranje, politike IAM in beleženje CloudTrail. Presojevalec, usmerjen v COBIT, lahko pregleda konfiguracije opozoril, kontrole DLP, uporabo Microsoft 365 Secure Score in dnevnike upravljanja sprememb. Perspektiva NIST SP 800-53A lahko testira upravljanje računov in spremljanje, vključno s tem, ali so delovne obremenitve v oblaku popravljene, skenirane in spremljane z enako strogostjo kot interni sistemi.

Različni presojevalci govorijo različna narečja. Vaša dokazila morajo biti ista.

Zgradite regulatorno pripravljen paket dokazil za eno storitev SaaS in eno storitev IaaS

Praktični delovni tok se začne z eno kritično platformo SaaS in enim kritičnim okoljem IaaS. Na primer Microsoft 365 za sodelovanje in AWS za produkcijsko gostovanje.

Korak 1: Posodobite register storitev v oblaku

Za Microsoft 365 evidentirajte namen, lastnika, vrste podatkov, regijo, administratorske račune, pogodbo, DPA, podporni kontakt, datum podaljšanja in kritičnost. Za AWS evidentirajte produkcijski račun, regije, kategorije podatkov, delovne obremenitve, lastnika računa, stanje računa root, podporni načrt, pogodbene pogoje in povezane poslovne storitve.

Polja iz Cloud Usage Policy-sme uporabite kot minimalni podatkovni niz. Dodajte kritičnost, regulativno relevantnost in lokacijo dokazil.

Korak 2: Dokumentirajte deljeno odgovornost

Za Microsoft 365 odgovornosti naročnika vključujejo življenjski cikel uporabnikov, MFA, pogojni dostop, deljenje z gosti, oznake hrambe, DLP, kjer se uporablja, beleženje in eskalacijo incidentov. Za AWS odgovornosti naročnika vključujejo IAM, omrežna pravila, utrjevanje delovnih obremenitev, konfiguracijo šifriranja, varnostno kopiranje, beleženje, nameščanje popravkov in varnost aplikacij.

Priložite dokumentacijo ponudnika o deljeni odgovornosti, nato vsako odgovornost naročnika mapirajte na lastnika kontrole in vir dokazil.

Korak 3: Zajemite konfiguracijska dokazila

Za Microsoft 365 izvozite ali zajemite posnetke zaslona politik MFA in pogojnega dostopa, administratorskih vlog, nastavitev zunanjega deljenja, revizijskega beleženja, konfiguracije hrambe in ukrepov varnostne ocene. Za AWS izvozite politiko gesel IAM, status privilegiranega MFA, konfiguracijo CloudTrail, blokado javnega dostopa S3, stanje šifriranja, pregled varnostnih skupin, opravila varnostnega kopiranja in stanje skeniranja ranljivosti.

Politika uporabe storitev v oblaku zahteva, da so okolja v oblaku skladna z dokumentirano izhodiščno konfiguracijo, ki jo odobri varnostni arhitekt za oblak. Vaš paket dokazil mora vključevati tako izhodišče kot dokazilo o skladnosti z njim.

Korak 4: Povežite dokazila dobaviteljev in zasebnosti

Priložite pogodbo, DPA, seznam podobdelovalcev, pogoje za obvestila o kršitvah, revizijska poročila o zagotovilih in dokazila o lokaciji podatkov. Če se obdelujejo osebni podatki, evidentirajte, ali ponudnik deluje kot obdelovalec, kako se obravnava izbris, kako deluje podpora zahtevam posameznikov glede podatkov in kateri zaščitni ukrepi za prenos veljajo.

Za DORA opredelite, ali storitev v oblaku podpira kritično ali pomembno funkcijo. Če jo, povežite dokazila z registrom tretjih oseb IKT, datoteko skrbnega pregleda, pravicami do presoje, načrtom izstopa in pregledom tveganja koncentracije.

Korak 5: Povežite beleženje z odzivanjem na incidente

Pokažite, da so dnevniški zapisi omogočeni, usmerjeni, pregledani in uporabljeni. Priložite nadzorne plošče SIEM, pravila opozoril in vsaj en zaprt zahtevek za opozorilo. Nato delovni tok mapirajte na odločitvene točke poročanja po NIS2 in DORA.

Za NIS2 mora proces obravnave incidentov podpirati zgodnje opozorilo v 24 urah, obvestilo o incidentu v 72 urah in končno poročilo v enem mesecu za pomembne incidente. Za DORA mora proces obravnave incidentov IKT incidente razvrščati po prizadetih strankah, transakcijah, trajanju, izpadu, geografski razširjenosti, vplivu na podatke, kritičnosti storitve in ekonomskem vplivu.

Korak 6: Dokazila hranite disciplinirano

Clarysecova Audit and Compliance Monitoring Policy-sme Audit and Compliance Monitoring Policy-sme v klavzuli 6.2 določa praktično disciplino dokazil:

»6.2 Zbiranje dokazil in dokumentacija 6.2.1 Vsa dokazila morajo biti shranjena v centralizirani revizijski mapi. 6.2.2 Imena datotek morajo jasno navajati temo presoje in datum. 6.2.3 Metapodatki (npr. kdo jih je zbral, kdaj in iz katerega sistema) morajo biti dokumentirani. 6.2.4 Dokazila je treba hraniti najmanj dve leti ali dlje, kadar to zahtevajo certifikacija ali dogovori s strankami.«

Korporativna Politika spremljanja presoje in skladnosti Politika spremljanja presoje in skladnosti določa cilj:

»Ustvariti zagovorljiva dokazila in revizijsko sled za podporo regulatornim poizvedbam, pravnim postopkom ali zahtevam strank za zagotovila.«

Posnetek zaslona z imenom »screenshot1.png« je šibko dokazilo. Datoteka z imenom »AWS-Prod-CloudTrail-Enabled-2026-05-10-CollectedBy-JSmith.png« je močnejša, ker opisuje sistem, kontrolo, datum in osebo, ki je dokazilo zbrala. Metapodatki so pomembni, ker morajo presojevalci zaupati, kdaj je bilo dokazilo zbrano, kdo ga je zbral in iz katerega sistema.

Kako presojevalci testirajo isto kontrolo v oblaku

Najmočnejši paketi dokazil iz oblaka so zasnovani za več revizijskih pogledov. Presojevalci ISO 27001:2022 preverjajo, ali je kontrola v ISMS, oceni tveganja, obravnavi tveganja in SoA. Presojevalci, usmerjeni v NIST, preverjajo tehnično implementacijo. Presojevalci COBIT 2019 preverjajo upravljanje, uspešnost dobaviteljev in integracijo procesov. Presojevalci zasebnosti se osredotočajo na obveznosti obdelovalcev, lokacijo hrambe podatkov, pripravljenost na kršitve in pravice posameznikov. Nadzorni pregledi DORA se osredotočajo na tveganje tretjih oseb IKT in odpornost.

Zenith Controls vključuje te razlike v revizijski metodologiji za storitve v oblaku, dogovore z dobavitelji in spremljanje dobaviteljev. Za 5.22, spremljanje, pregled in upravljanje sprememb storitev dobaviteljev, poudarja, da lahko presojevalci pregledajo zapisnike četrtletnih pregledov dobaviteljev, poročila KPI, ocene poročil SOC, evidence sprememb, ocene tveganj, incidente dobaviteljev in sledenje zahtevkom. Za 5.20, obravnava informacijske varnosti v dogovorih z dobavitelji, poudarja vzorčenje pogodb za zaupnost, varnostne obveznosti, obvestila o kršitvah, pravice do presoje, odobritev podizvajalcev in pogoje prenehanja.

Kontrole navzkrižne skladnosti, ki nosijo revizijsko breme oblaka

Regulatorno pripravljen model dokazil za oblak temelji na manjšem številu kontrol z velikim učinkom. Te kontrole nosijo velik del bremena skladnosti v ISO 27001:2022, NIS2, DORA, GDPR, NIST in COBIT 2019.

NIST SP 800-53 Rev.5 dodaja tehnično globino z upravljanjem računov, zunanjimi sistemskimi storitvami, stalnim spremljanjem, spremljanjem sistemov in zaščito omrežnih meja. COBIT 2019 dodaja globino upravljanja z upravljanjem odnosov z dobavitelji, tveganji dobaviteljev, izmenjavo podatkov, varnostjo omrežja in pripravljenostjo na spremembe.

Podporni ISO standardi izostrijo model dokazil. ISO/IEC 27017 zagotavlja smernice, specifične za oblak, glede deljenih vlog, konfiguracije virtualnih strojev in spremljanja dejavnosti naročnika. ISO/IEC 27018 se osredotoča na varstvo PII v javnem oblaku. ISO/IEC 27701 razširja obveznosti zasebnosti na operacije obdelovalcev in upravljavcev. ISO/IEC 27036-4 podpira dogovore z dobavitelji storitev v oblaku in spremljanje. ISO/IEC 27005 podpira oceno tveganja v oblaku.

Vodstveni pregled mora videti tveganje oblaka, ne le razpoložljivost oblaka

Eden najbolj spregledanih revizijskih artefaktov je vodstveni pregled. ISO 27001:2022 pričakuje, da vodstveni pregled obravnava spremembe, potrebe zainteresiranih strani, trende uspešnosti, rezultate presoj, status obravnave tveganj in priložnosti za izboljšave. NIS2 zahteva, da organi upravljanja odobrijo ukrepe za upravljanje kibernetskih tveganj in nadzorujejo njihovo implementacijo. DORA zahteva, da organ upravljanja opredeli, odobri, nadzoruje in ostane odgovoren za upravljanje tveganj IKT.

Četrtletna nadzorna plošča za varnost v oblaku in dobavitelje mora prikazovati:

• Število odobrenih storitev v oblaku.
• Kritične storitve v oblaku in lastnike.
• Storitve, ki obdelujejo osebne podatke.
• Storitve, ki podpirajo kritične ali pomembne funkcije.
• Odprte visoko tvegane napačne konfiguracije oblaka.
• Status MFA in pregleda privilegiranega dostopa.
• Pokritost beleženja za kritične platforme SaaS in IaaS.
• Prejeta in pregledana poročila o zagotovilih dobaviteljev.
• Pogodbene izjeme in sprejeta tveganja.
• Incidente v oblaku, skorajšnje incidente in pridobljene izkušnje.
• Rezultate preizkusov varnostnega kopiranja in obnovitve.
• Status tveganja koncentracije in načrta izstopa.

Ta nadzorna plošča postane dokazilo za vodenje in vrednotenje uspešnosti po ISO 27001:2022, upravljanje po NIS2 in odgovornost vodstva po DORA.

Zenith Blueprint v fazi Risk Management, korak 14, priporoča navzkrižno sklicevanje na regulativne zahteve pri implementaciji obravnav tveganj in politik. Navaja, da je mapiranje ključnih regulativnih zahtev na kontrole ISMS koristna interna vaja in »prav tako naredi vtis na presojevalce/ocenjevalce, da varnosti ne upravljate v vakuumu, temveč se zavedate pravnega konteksta«.

To je raven zrelosti, ki jo pričakujejo regulatorji in korporativne stranke.

Pogoste revizijske ugotovitve za oblak in kako se jim izogniti

Pri delu na revizijski pripravljenosti oblaka so ponavljajoče se ugotovitve predvidljive:

1. Register storitev v oblaku obstaja, vendar manjkajo orodja SaaS.
2. Lokacija podatkov ni evidentirana ali je prepisana z marketinških strani namesto iz pogodbenih dokazil.
3. MFA je uveljavljen za zaposlene, ne pa za vse administrativne račune ali račune »break-glass«.
4. Dnevniški zapisi iz oblaka so omogočeni, vendar niso pregledani, hranjeni ali povezani z odzivanjem na incidente.
5. Poročila SOC dobaviteljev so arhivirana, vendar niso ocenjena.
6. Pogodbene klavzule obstajajo za nove dobavitelje, ne pa za zastarele kritične storitve.
7. Obvestila o podobdelovalcih se prejmejo po e-pošti, vendar se tveganje ne oceni.
8. Opravila varnostnega kopiranja se uspešno izvajajo, vendar preizkusi obnovitve niso dokazani.
9. Inženirji razumejo deljeno odgovornost, vendar ta ni dokumentirana za presojevalce.
10. SoA označi kontrole oblaka kot uporabne, vendar jih ne poveže z vnosi tveganj, dokazili ali lastniki.

To so težave sledljivosti. Rešitev je povezati politiko, tveganje, kontrolo, lastnika, dokazila in pregled.

Ko je Maria prišla na dan presoje, se ni več zanašala na razpršene posnetke zaslona. Odprla je centralno nadzorno ploščo, ki je prikazovala register storitev v oblaku, ocene tveganj, vnose SoA, dokazila o izhodiščni konfiguraciji, datoteke pregledov dobaviteljev, dokazila o beleženju in pregled tveganja koncentracije po DORA. Ko je presojevalec vprašal, kako se upravljajo tveganja v oblaku, je pokazala ISMS. Ko je presojevalec vprašal, kako so storitve varno konfigurirane, je pokazala izhodišče in dokazila CSPM. Ko je presojevalec vprašal o tveganju tretjih oseb IKT, je pokazala pregled pogodb, spremljanje dobaviteljev in načrtovanje izstopa.

Rezultat ni bilo popolno okolje. Nobeno okolje v oblaku ni popolno. Razlika je bila v tem, da so bile odločitve o tveganjih dokumentirane, dokazila zagovorljiva in odgovornost vidna.

Zgradite svoj paket dokazil za oblak, preden ga zahteva presojevalec

Če se vaša organizacija opira na SaaS, IaaS ali PaaS, vaša naslednja presoja ne bo sprejela odgovora »za to skrbi ponudnik« kot zadostnega. Dokazati morate deljeno odgovornost, konfiguracijo na strani naročnika, klavzule dobaviteljev, beleženje, pripravljenost na incidente, odpornost in nadzor vodstva.

Ta teden začnite s tremi praktičnimi ukrepi:

1. Ustvarite ali osvežite svoj register storitev v oblaku z uporabo Clarysecove Politike uporabe storitev v oblaku Politika uporabe storitev v oblaku ali Cloud Usage Policy-sme Cloud Usage Policy-sme.
2. Mapirajte svojih pet najpomembnejših storitev v oblaku na kontrole ISO 27001:2022 Priloge A, NIS2 Article 21, obveznosti DORA za tretje osebe IKT, kjer je to relevantno, in zahteve GDPR za obdelovalce.
3. Zgradite centralizirano mapo dokazil z uporabo discipline hrambe in metapodatkov iz Politike spremljanja presoje in skladnosti Politika spremljanja presoje in skladnosti ali Audit and Compliance Monitoring Policy-sme Audit and Compliance Monitoring Policy-sme.

Nato uporabite Zenith Blueprint Zenith Blueprint, da delo umestite v 30-koračni revizijski časovni načrt ISMS, in Zenith Controls Zenith Controls, da preverite mapiranja navzkrižne skladnosti, podporne ISO standarde in pričakovanja revizijske metodologije.

Clarysec vam lahko pomaga razpršene posnetke zaslona iz oblaka, datoteke dobaviteljev in nastavitve SaaS pretvoriti v regulatorno pripravljen paket dokazil, ki vzdrži certifikacijske presoje ISO 27001:2022, nadzorna vprašanja NIS2, preglede tretjih oseb IKT po DORA in zahteve korporativnih strank za zagotovila.