⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →
SL EN BG CS DA DE EL ES ET FI FR GA HR HU IT LT LV MT NL PL PT RO SK SV
ISO 27001 NIS2 DORA GDPR NIST COBIT 2019

Dokazila notranje presoje ISO 27001 za NIS2 in DORA

Igor Petreski
15 min read
#Presoja #SUVI #Upravljanje tveganj #Upravljanje dobaviteljev #Odziv na incidente #Neprekinjeno poslovanje #Varstvo podatkov #Beleženje in spremljanje
Mapiranje dokazil notranje presoje ISO 27001 za skladnost z NIS2 in DORA

V torek ob 08:17 ima vodja informacijske varnosti hitro rastočega fintech SaaS podjetja tri čakajoča sporočila.

Prvo je od pomembne bančne stranke: »Pošljite nam zadnje poročilo notranje presoje, zapisnik vodstvenega pregleda, stanje korektivnih ukrepov, postopek poročanja o incidentih, evidenco dobaviteljev in dokazila o nadzoru organa upravljanja.«

Drugo je od finančnega direktorja: »Ali spadamo v področje uporabe NIS2 ali DORA in katera dokazila že imamo?«

Tretje je od generalnega direktorja: »Ali lahko rečemo, da smo pripravljeni na presojo?«

Neprijeten odgovor v številnih organizacijah ni, da se nič ne dogaja. Še slabše je. Varnostne aktivnosti potekajo povsod, dokazil pa ni nikjer. Kontrole obstajajo, presojne sledi pa ni. Zahtevki obstajajo, ni pa jasne povezave s tveganji. Posodobitve za vodstvo obstajajo, ni pa formalnih izhodov vodstvenega pregleda. Pogovori z dobavitelji potekajo, ni pa zagovorljive evidence dobaviteljev, pregleda pogodb ali izstopne strategije.

Prav v tej vrzeli notranja presoja in vodstveni pregled po ISO/IEC 27001:2022 postaneta več kot certifikacijski aktivnosti. Postaneta operativni ritem za NIS2, DORA, GDPR, zagotavljanje zaupanja naročnikov, kibernetsko zavarovanje in odgovornost organa upravljanja.

Ekipe ponudnikov SaaS in oblaka, ponudnikov upravljanih storitev (MSP), ponudnikov upravljanih varnostnih storitev (MSSP) ter fintech podjetij redko padejo zato, ker bi jim manjkale varnostne aktivnosti. Padejo zato, ker so aktivnosti razpršene po Slacku, Jiri, preglednicah, portalih dobaviteljev, zahtevkih SOC, nabavnih datotekah in gradivih za organ upravljanja. Regulator, zunanji presojevalec ali poslovna stranka ne želi junaške razlage. Želi objektivna dokazila.

Praktična rešitev ni vzpostavitev ločenih programov presoj za vsak okvir. Rešitev je uporaba sistema upravljanja informacijske varnosti po ISO 27001 kot osrednjega mehanizma dokazil, nato pa označevanje teh dokazil za NIS2, DORA, GDPR in pogodbene zahteve. Če je to izvedeno pravilno, lahko en cikel notranje presoje in en cikel vodstvenega pregleda odgovorita na številna vprašanja skladnosti.

Od utrujenosti zaradi okvirov do enotnega modela dokazil SUVI

Številni vodje informacijske varnosti se srečujejo z različico Marijinega problema. Maria vodi informacijsko varnost v B2B SaaS podjetju s strankami iz finančnega sektorja. Njena ekipa je pred šestimi meseci uspešno prestala certifikacijsko presojo ISO/IEC 27001:2022. Sistem upravljanja informacijske varnosti (SUVI) dozoreva, politike se izvajajo, lastniki kontrol razumejo svoje odgovornosti. Nato generalni direktor posreduje dva članka, enega o Direktivi NIS2 in enega o DORA, s kratkim vprašanjem: »Ali smo pokriti?«

Odgovor je odvisen od obsega, storitev, strank in pravnih subjektov. Operativni odgovor pa je jasen: če Maria NIS2 in DORA obravnava kot ločena projekta skladnosti, bo ustvarila podvojeno delo, nekonsistentna dokazila in naraščajočo utrujenost zaradi presoj. Če ju obravnava kot zahteve zainteresiranih strani znotraj SUVI, lahko ISO 27001 uporabi za prevzem, testiranje in dokazovanje pripravljenosti.

ISO/IEC 27001:2022 je zasnovan prav za to. Točka 4 zahteva, da organizacija razume svoj kontekst in zahteve zainteresiranih strani, vključno z zakonskimi, regulativnimi, pogodbenimi in odvisnostnimi obveznostmi. Točka 5 zahteva vodenje in vključitev v poslovne procese. Točka 6 zahteva ocenjevanje tveganj in obravnavo tveganj. Točka 9 zahteva vrednotenje uspešnosti s spremljanjem, notranjo presojo in vodstvenim pregledom. Točka 10 zahteva izboljševanje in korektivne ukrepe.

NIS2 in DORA se naravno vključita v to strukturo.

NIS2 od bistvenih in pomembnih subjektov zahteva uvedbo ustreznih in sorazmernih tehničnih, operativnih in organizacijskih ukrepov za obvladovanje kibernetskih tveganj. Prav tako nalaga odgovornost organom upravljanja, da te ukrepe odobrijo, nadzirajo njihovo izvajanje in lahko odgovarjajo za kršitve. Minimalni ukrepi zajemajo analizo tveganj, obravnavanje incidentov, neprekinjeno poslovanje, varnost dobavne verige, varen razvoj, obravnavanje ranljivosti, ocenjevanje učinkovitosti, usposabljanje, kriptografijo, varnost kadrov, nadzor dostopa, upravljanje sredstev ter, kjer je primerno, večfaktorsko ali neprekinjeno avtentikacijo.

DORA se uporablja od 17. januarja 2025 in uvaja sektorsko ureditev digitalne operativne odpornosti za finančne subjekte. Zahteva odgovornost organa upravljanja za upravljanje IKT-tveganj, dokumentiran okvir upravljanja IKT-tveganj, strategijo digitalne operativne odpornosti, načrte neprekinjenega delovanja in obnove IKT, testiranje odpornosti, upravljanje incidentov, povezanih z IKT, ter upravljanje tveganj tretjih oseb na področju IKT. Za ponudnike SaaS in storitev v oblaku, ki podpirajo finančne subjekte, se lahko DORA pojavi prek pogodbenih obveznosti, presoj strank in pričakovanj glede upravljanja tveganj tretjih oseb na področju IKT, tudi kadar ponudnik sam ni finančni subjekt.

GDPR dodaja plast odgovornosti. Kadar se osebni podatki obdelujejo v okviru GDPR, morajo organizacije znati dokazati skladnost z načeli varstva podatkov ter ustreznimi tehničnimi in organizacijskimi ukrepi.

ISO 27001 ni čarobno potrdilo skladnosti za te obveznosti. Je sistem upravljanja, ki jih lahko organizira, podpre z dokazili in izboljšuje.

Vprašanje obsega: kaj dokazujete in za koga?

Pred vzpostavitvijo paketa dokazil, pripravljenega za presojo, mora vodstvo odgovoriti na osnovno vprašanje: katere obveznosti spadajo v področje uporabe?

Za podjetja SaaS in ponudnike storitev v oblaku je lahko področje uporabe NIS2 širše od pričakovanega. NIS2 velja za javne ali zasebne subjekte v navedenih sektorjih, ki dosegajo velikostne pragove, ter za nekatere subjekte z velikim vplivom ne glede na velikost. Relevantni sektorji lahko vključujejo digitalno infrastrukturo, ponudnike storitev računalništva v oblaku, ponudnike podatkovnih centrov, omrežja za dostavo vsebin, ponudnike storitev zaupanja, ponudnike javnih elektronskih komunikacij in B2B ponudnike upravljanja IKT-storitev, kot so ponudniki upravljanih storitev in ponudniki upravljanih varnostnih storitev. Ponudniki SaaS morajo posebno pozornost nameniti načinu izvajanja storitev, sektorjem, ki jih podpirajo, in temu, ali omogočajo administracijo na zahtevo ter širok oddaljeni dostop do razširljivih skupnih računalniških virov.

Za fintech podjetja in ponudnike storitev finančnemu sektorju je treba DORA analizirati ločeno. DORA neposredno zajema širok nabor finančnih subjektov, vključno s kreditnimi institucijami, plačilnimi institucijami, ponudniki storitev informacij o računih, institucijami za izdajo elektronskega denarja, investicijskimi podjetji, ponudniki storitev v zvezi s kriptosredstvi, mesti trgovanja, upravljavci skladov, zavarovalnicami in pozavarovalnicami ter ponudniki storitev množičnega financiranja. Tudi ponudniki IKT-storitev tretjih oseb so del ekosistema DORA, ker morajo finančni subjekti upravljati svoje odvisnosti od IKT, voditi registre pogodbenih ureditev in vključiti posebne pogodbene določbe za IKT-storitve, ki podpirajo kritične ali pomembne funkcije.

NIS2 in DORA se tudi prepletata. Kadar sektorski pravni akt EU določa zahteve glede upravljanja kibernetskih tveganj ali obveščanja o incidentih, ki so po učinku enakovredne, se ustrezne določbe NIS2 morda ne uporabljajo za te subjekte na teh področjih. DORA je sektorska ureditev operativne odpornosti za finančne subjekte. To ne pomeni, da je NIS2 nepomembna za vse povezane ponudnike. Pomeni, da mora model dokazil razlikovati, ali je organizacija finančni subjekt, neposredno zavezan DORA, ponudnik IKT-storitev tretjih oseb, ki podpira finančne subjekte, ponudnik SaaS v obsegu NIS2 ali skupina z več pravnimi subjekti in storitvenimi linijami.

Ta analiza obsega spada v kontekst SUVI in evidenco zainteresiranih strani. Brez nje bo načrt presoje testiral napačne stvari.

Ena presojna sled, številna vprašanja skladnosti

Pogosta napaka je ustvarjanje ločenih paketov dokazil za ISO 27001, NIS2, DORA, GDPR, kibernetsko zavarovanje in presoje strank. Tak pristop ustvarja podvajanje in nasprotujoče si odgovore. Boljši pristop je en model dokazil z več pogledi.

V središču je SUVI. Okoli njega je pet družin dokazil.

Družina dokazilKaj dokazujeTipične evidence
Dokazila upravljanjaVodstvo je SUVI odobrilo, mu zagotovilo vire in ga pregledaloPolitika informacijske varnosti, vloge, načrt presoj, zapisniki vodstvenega pregleda, poročanje organu upravljanja
Dokazila o tveganjihTveganja so bila identificirana, ocenjena, dodeljena lastnikom in obravnavanaMerila tveganj, register tveganj, načrt obravnave tveganj, izjava o uporabnosti, odobritve preostalih tveganj
Dokazila o kontrolahKontrole delujejo skladno z zasnovoPregledi pravic dostopa, testi obnovitve varnostnih kopij, opozorila spremljanja, poročila o ranljivostih, skrbni pregled dobaviteljev, zapisi varnega razvoja
Dokazila zagotovilaNeodvisna ali notranja preverjanja so odkrila vrzeli in potrdila skladnostNačrt notranje presoje, kontrolni seznam presoje, poročilo o presoji, evidenca neskladnosti, evidenca CAPA
Dokazila izboljševanjaUgotovitve so vodile do popravkov, analize temeljnega vzroka in nenehnega izboljševanjaNačrti korektivnih ukrepov, pridobljene izkušnje, odločitve vodstva, posodobljene politike, zapisi ponovnega testiranja

Ta struktura je usklajena z Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint. V fazi Presoja, pregled in izboljševanje se korak 25 osredotoča na program notranjih presoj, korak 26 na izvedbo presoje, korak 28 na vodstveni pregled in korak 29 na nenehno izboljševanje.

Usmeritev Blueprint za korak 25 je namenoma praktična:

»Pripravite razpored, ki določa, kdaj bodo presoje izvedene in kaj bodo zajemale.«

»Uporabite predlogo načrta notranje presoje, če je na voljo; to je lahko preprost dokument ali preglednica z datumi presoj, obsegom in dodeljenimi presojevalci.«

Iz Zenith Blueprint, faza Presoja, pregled in izboljševanje, korak 25: Program notranje presoje Zenith Blueprint

Tak preprost načrt presoje postane močan, ko temelji na tveganjih in je označen glede na obveznosti NIS2, DORA in GDPR.

Kontrole ISO 27001, ki utrjujejo pripravljenost na presojo

Za pripravljenost na presojo so pri razlagi skozi Zenith Controls: The Cross-Compliance Guide Zenith Controls posebej pomembne tri kontrole ISO/IEC 27002:2022:

  • 5.4 Odgovornosti vodstva
  • 5.35 Neodvisen pregled informacijske varnosti
  • 5.36 Skladnost s politikami, pravili in standardi za informacijsko varnost

To niso ločene »kontrole Zenith«. Gre za kontrole ISO/IEC 27002:2022, ki jih Zenith Controls pomaga mapirati, presojati in razlagati med različnimi okviri.

Kontrola 5.4 preverja, ali so odgovornosti za informacijsko varnost dodeljene in razumljene. Kontrola 5.35 preverja, ali se informacijska varnost neodvisno pregleduje. Kontrola 5.36 preverja, ali organizacija upošteva svoje politike, pravila in standarde.

Zenith Controls kontrola 5.35 razvršča z vidika zagotavljanja zaupanja:

ISO/IEC 27002:2022 kontrola 5.35, »Neodvisen pregled informacijske varnosti«, je v Zenith Controls obravnavana kot »preventivna, korektivna«, ki podpira zaupnost, celovitost in razpoložljivost prek konceptov kibernetske varnosti »identificiraj« in »zaščiti«, z operativno zmožnostjo na področju »zagotavljanja informacijske varnosti«. Zenith Controls

To je pomembno, ker je notranja presoja hkrati preventivna in korektivna. Preprečuje slepe pege s testiranjem SUVI pred zunanjim nadzorom in odpravlja pomanjkljivosti z dokumentiranimi ukrepi.

Širše mapiranje se začne z zahtevami NIS2 in DORA ter nato opredeli dokazila ISO 27001, ki jih lahko potrdijo.

Regulativna temaDokazila ISO/IEC 27001:2022 in ISO/IEC 27002:2022Praktični fokus presoje
Odgovornost vodstvaTočke 5, 9.3 in kontrole 5.2, 5.4, 5.35, 5.36Odobritve vodstva, zapisniki pregledov, dodelitve vlog, odločitve CAPA
Analiza tveganj in varnostne politikeTočke 4, 6.1, 6.2 in kontrole 5.1, 5.7, 5.9, 5.31Merila tveganj, register tveganj, odobritve politik, zakonske in pogodbene zahteve
Obravnavanje incidentovKontrole 5.24, 5.25, 5.26, 5.27, 5.28Razvrščanje, eskalacija, zapisi odziva, pridobljene izkušnje, ohranjanje dokazil
Neprekinjeno poslovanje in obnovitevKontrole 5.29, 5.30, 8.13Načrti neprekinjenega poslovanja, pripravljenost IKT, testi obnovitve varnostnih kopij, metrike obnovitve
Tveganje dobaviteljev in oblakaKontrole 5.19, 5.20, 5.21, 5.22, 5.23Skrbni pregled dobaviteljev, pogodbe, spremljanje, izstopni načrti za oblak, tveganje koncentracije
Varen razvoj in ranljivostiKontrole 8.8, 8.25, 8.26, 8.27, 8.28, 8.29SLA za ranljivosti, zapisi varnega SDLC, odobritve sprememb, varnostno testiranje
Dostop, kadri in usposabljanjeKontrole 5.15, 5.16, 5.17, 5.18, 6.1, 6.2, 6.3, 6.5, 6.6, 6.7Pregledi pravic dostopa, vzorci novozaposlenih, premeščenih in odhajajočih zaposlenih, zapisi ozaveščanja, kontrole dela na daljavo
Beleženje, spremljanje in kriptografijaKontrole 8.15, 8.16, 8.17, 8.24Hramba dnevnikov, pregled opozoril, sinhronizacija časa, standardi šifriranja
Zasebnost in pravna skladnostKontrole 5.31, 5.34, 5.36Pravna evidenca, kontrole zasebnosti, dokazila obdelovalcev, pregledi skladnosti

Mapiranje kontrol je koristno le, kadar so dokazila močna. Če je zapis šibek, ga ne bo rešilo nobeno mapiranje. Če je zapis popoln, lahko ista dokazila odgovorijo na vprašanja v slogu ISO, NIS2, DORA, GDPR, NIST Cybersecurity Framework 2.0 in COBIT 2019.

Dokazila politik, ki jih Clarysec pričakuje od organizacij

Politike Clarysec pretvorijo teorijo SUVI v pričakovanja glede dokazil.

Za mala in srednja podjetja Politika spremljanja presoje in skladnosti za MSP Politika spremljanja presoje in skladnosti za MSP zahteva odobritev vodstva in disciplinirano izvajanje presoj:

»Generalni direktor (GM) mora odobriti letni načrt presoj.«

Iz Politika spremljanja presoje in skladnosti za MSP, zahteve upravljanja, točka 5.1.1 Politika spremljanja presoje in skladnosti za MSP

Določa tudi minimalno pogostost:

»Notranje presoje ali pregledi skladnosti se morajo izvajati najmanj enkrat letno.«

Iz Politika spremljanja presoje in skladnosti za MSP, zahteve upravljanja, točka 5.2.1

Ugotovitve povezuje tudi s popravki in vodstvenim pregledom:

»GM mora odobriti načrt korektivnih ukrepov in spremljati njegovo izvajanje.«

Iz Politika spremljanja presoje in skladnosti za MSP, zahteve upravljanja, točka 5.4.2

»Ugotovitve presoje in posodobitve stanja morajo biti vključene v proces vodstvenega pregleda SUVI.«

Iz Politika spremljanja presoje in skladnosti za MSP, zahteve upravljanja, točka 5.4.3

Izrecna je tudi hramba dokazil:

»Dokazila je treba hraniti najmanj dve leti ali dlje, kadar to zahtevajo certifikacija ali pogodbe s strankami.«

Iz Politika spremljanja presoje in skladnosti za MSP, zahteve za izvajanje politike, točka 6.2.4

Za večje organizacije Politika spremljanja presoje in skladnosti Politika spremljanja presoje in skladnosti, v nekaterih gradivih Clarysec navedena tudi kot P33 Audit and Compliance Monitoring Policy, razširja strukturo:

»Načrt presoje na podlagi tveganj se pripravi in odobri letno, pri čemer se upošteva:«

Iz Politika spremljanja presoje in skladnosti, zahteve upravljanja, točka 5.2 Politika spremljanja presoje in skladnosti

»Organizacija mora voditi evidenco presoj, ki vsebuje:«

Iz Politika spremljanja presoje in skladnosti, zahteve upravljanja, točka 5.4

»Notranje presoje morajo slediti dokumentiranemu postopku, ki vključuje:«

Iz Politika spremljanja presoje in skladnosti, zahteve za izvajanje politike, točka 6.1.1

»Vse ugotovitve morajo voditi v dokumentiran CAPA, ki vključuje:«

Iz Politika spremljanja presoje in skladnosti, zahteve za izvajanje politike, točka 6.2.1

Vodstveni pregled je zasidran v Politika informacijske varnosti Politika informacijske varnosti, v nekaterih gradivih Clarysec navedena tudi kot P01 Politika informacijske varnosti:

»Dejavnosti vodstvenega pregleda (v skladu z ISO/IEC 27001 točka 9.3) se izvajajo najmanj enkrat letno in vključujejo:«

Iz Politika informacijske varnosti, zahteve upravljanja, točka 5.3 Politika informacijske varnosti

Te zahteve ustvarjajo dokazno verigo, ki jo presojevalci pričakujejo: odobren načrt, opredeljen postopek, evidenca presoj, ugotovitve, CAPA, hramba in pregled vodstva.

Vzpostavitev paketa dokazil, pripravljenega za presojo

Paket dokazil, pripravljen za presojo, ni ogromna mapa, ustvarjena dva dni pred presojo. Je živa struktura, ki se vzdržuje skozi vse leto.

Element dokazilNamen ISO 27001Relevantnost za NIS2 in DORA
Obseg SUVI in evidenca zainteresiranih straniDokazuje, da so zakonske, pogodbene in odvisnostne zahteve identificiranePodpira opredelitev subjekta po NIS2, analizo vloge po DORA in odgovornost po GDPR
Merila tveganj in register tveganjDokazuje dosledno oceno tveganj in lastništvoPodpira ukrepe obvladovanja tveganj po NIS2 in okvir IKT-tveganj po DORA
Izjava o uporabnostiDokazuje izbrane kontrole, utemeljitev in stanje implementacijeUstvari konsolidirano izhodišče kontrol za medokvirno skladnost
Letni načrt notranje presojeDokazuje načrtovano zagotavljanje zaupanjaPodpira nadzor vodstva in načrtovanje presoj IKT po DORA
Kontrolni seznam notranje presojeDokazuje merila presoje in metodo vzorčenjaPrikazuje, kako so bile zahteve NIS2, DORA in GDPR testirane
Poročilo o presoji in evidenca ugotovitevDokazuje objektivna dokazila in neskladnostiPodpira oceno učinkovitosti in regulativno zagotavljanje zaupanja
Evidenca CAPADokazuje temeljni vzrok, lastnika, rok izvedbe in zaprtjePodpira korektivne ukrepe po NIS2 in sanacijske ukrepe po DORA
Paket vodstvenega pregledaDokazuje pregled uspešnosti, incidentov, tveganj in virov s strani vodstvaPodpira odgovornost organa upravljanja po NIS2 in DORA
Evidenca dobaviteljev in pogodbena dokazilaDokazuje nadzor tveganj tretjih osebPodpira varnost dobavne verige po NIS2 in upravljanje tveganj tretjih oseb na področju IKT po DORA
Zapisi poročanja o incidentih in pridobljenih izkušenjDokazuje odziv in izboljševanjePodpira stopenjsko poročanje po NIS2 in upravljanje incidentov po DORA

Paket dokazil mora biti mapiran na točke ISO/IEC 27001:2022 in kontrole Priloge A, hkrati pa označen glede na regulativno relevantnost. Zapis presoje dobavitelja lahko na primer podpira kontrole dobaviteljev iz Priloge A, varnost dobavne verige po NIS2 in upravljanje tveganj tretjih oseb na področju IKT po DORA. Zapis namizne vaje incidenta lahko podpira upravljanje incidentov po ISO 27001, pripravljenost na stopenjsko obveščanje po NIS2 in upravljanje večjih incidentov, povezanih z IKT, po DORA.

Kako izvesti integrirano notranjo presojo

Korak 26 v Zenith Blueprint poudarja objektivna dokazila:

»Izvedite presojo z zbiranjem objektivnih dokazil za vsako postavko na kontrolnem seznamu.«

»Intervjuvajte relevantno osebje.«

»Preglejte dokumentacijo.«

»Opazujte prakse.«

»Vzorčite in izvedite naključne preglede.«

Iz Zenith Blueprint, faza Presoja, pregled in izboljševanje, korak 26: Izvedba presoje Zenith Blueprint

To je natanko tisto, kar zahteva pripravljenost na NIS2 in DORA. Regulatorji in stranke ne bodo sprejeli izjave »verjamemo, da to deluje«. Vprašali bodo, kako to veste.

Dobro izvedena presoja testira štiri dimenzije dokazil.

Dimenzija dokazilPrimer presojnega testaDobra dokazila
ZasnovaAli politika ali proces opredeljuje zahtevo?Odobrena politika, postopek, standard, delovni tok
ImplementacijaAli je bil proces uveden?Zahtevki, konfiguracije, zapisi usposabljanj, zapisi dobaviteljev
Operativna učinkovitostAli je deloval skozi čas?Vzorci po mesecih, opozorila, dnevniki pregledov, rezultati testiranja
Eskalacija upravljanjaAli je vodstvo videlo rezultate in ukrepalo?Odobritev CAPA, zapisniki vodstvenega pregleda, proračunska odločitev

Razmislite o simuliranem dogodku z izsiljevalsko programsko opremo na strežniku v pripravljalnem okolju. Presojevalec preveri, ali lahko proces odzivanja na incidente izpolni zahteve ISO 27001, pričakovanja stopenjskega poročanja po NIS2 in obveznosti do strank po DORA.

Zbrana dokazilaRelevantnost za ISO 27001Relevantnost za NIS2Relevantnost za DORA
Dnevnik incidenta z začetno razvrstitvijo in časovnim žigomKontrola 5.26 odziv na incidente informacijske varnostiDoloča trenutek seznanitve za roke poročanjaPodpira identifikacijo in beleženje incidentov, povezanih z IKT
Eskalacija na CSIRT in pravnega svetovalcaKontrola 5.25 ocena in odločanje o dogodkih informacijske varnostiPodpira odločanje o obveščanju o pomembnem incidentuPodpira postopke notranjega komuniciranja in eskalacije
Osnutek predloge zgodnjega opozorilaKontrola 5.24 načrtovanje in priprava upravljanja incidentovPodpira zmožnost izpolnitve pričakovanja zgodnjega opozorila v 24 urahLahko podpira pripravljenost za pogodbeno komunikacijo
Zapis odločitve o obnovitvi varnostne kopijeKontrole 5.29, 5.30 in 8.13Podpira dokazila o neprekinjenem poslovanju in obnovitvi po nesrečiPodpira pričakovanja glede odziva, obnovitve in obnovitve varnostnih kopij
Zapis komunikacije s strankoKontrole 5.20 in 5.22 sporazumi z dobavitelji in spremljanje storitev dobaviteljevLahko podpira pogodbeno komunikacijo in komunikacijo v dobavni verigiPodpira obveznosti finančne stranke glede tveganj tretjih oseb

NIS2 ima stopenjsko strukturo poročanja za pomembne incidente, vključno z zgodnjim opozorilom v 24 urah od seznanitve, obvestilom o incidentu v 72 urah in končnim poročilom v enem mesecu od obvestila o incidentu. DORA ima lasten okvir razvrščanja in poročanja o incidentih, povezanih z IKT, za finančne subjekte. Notranja presoja mora preveriti, da odzivni priročniki zajemajo čas seznanitve, merila resnosti, prizadete storitve, kazalnike kompromitacije, ukrepe za ublažitev, temeljni vzrok, dolžnosti obveščanja strank in podatke za končno poročanje.

Pretvorba ene ugotovitve presoje v dokazila za NIS2 in DORA

Realistična ugotovitev glede dobavitelja pokaže, kako mora teči dokazna veriga.

Med notranjo presojo presojevalec vzorči pet kritičnih dobaviteljev. En ponudnik beleženja v oblaku podpira spremljanje goljufij in varnostno opozarjanje za fintech platformo. Dobavitelj je naveden v popisu, vendar ni dokumentiranega izstopnega načrta, ni dokazil o letnem varnostnem pregledu in ni potrditve, da pogodba vključuje pomoč pri incidentih ali pravice do presoje.

Presojevalec zabeleži neskladnost glede zahtev varnosti dobaviteljev in izstopa iz oblaka. Šibek odziv bi bil: »pregled dobavitelja manjka«. Močan odziv ustvari dokazno verigo za medokvirno skladnost:

  1. Zabeležite ugotovitev v poročilu o presoji, vključno z velikostjo vzorca, imenom dobavitelja, pogodbeno referenco in manjkajočimi dokazili.
  2. Dodajte vnos CAPA s temeljnim vzrokom, na primer: »kontrolni seznam za uvajanje dobaviteljev ni vključeval razvrstitve kritičnosti ali sprožilca izstopnega načrta«.
  3. Dodelite lastnika dobavitelja in lastnika tveganja.
  4. Posodobite evidenco dobaviteljev in označite storitev kot podporo kritični ali pomembni funkciji.
  5. Izvedite oceno tveganja, ki zajema prekinitev storitve, dostop do podatkov, tveganje koncentracije, odvisnost poročanja o incidentih in pogodbene vrzeli.
  6. Posodobite načrt obravnave tveganj in izjavo o uporabnosti, kjer je relevantno.
  7. Pridobite posodobljen pogodbeni aneks ali dokumentiran sprejem tveganja.
  8. Ustvarite ali testirajte izstopni načrt.
  9. Po sanacijskih ukrepih ponovno presodite dokazila dobavitelja.
  10. Ugotovitev, tveganje in potrebe po virih poročajte v vodstvenem pregledu.

Ta ena veriga podpira več obveznosti. NIS2 pričakuje varnost dobavne verige ter upoštevanje ranljivosti dobaviteljev, njihovih praks kibernetske varnosti in postopkov varnega razvoja. DORA od finančnih subjektov zahteva upravljanje tveganj tretjih oseb na področju IKT, vodenje registrov pogodbenih ureditev, presojo ponudnikov pred sklenitvijo pogodbe, vključitev pravic do presoje in pregleda, kjer je primerno, vzdrževanje pravic do prenehanja ter dokumentiranje izstopnih strategij za IKT-storitve, ki podpirajo kritične ali pomembne funkcije. GDPR je lahko relevanten tudi, če dobavitelj obdeluje osebne podatke.

Zapis presoje ni več samo dokazilo skladnosti. Je dokazilo odpornosti.

Vodstveni pregled: kjer dokazila postanejo odgovornost

Notranja presoja ugotovi dejansko stanje. Vodstveni pregled odloči, kaj storiti.

Korak 28 v Zenith Blueprint opisuje vhodni paket za vodstveni pregled:

»ISO 27001 določa več zahtevanih vhodov za vodstveni pregled. Pripravite kratko poročilo ali predstavitev, ki zajema te točke.«

Blueprint navaja stanje prejšnjih ukrepov, spremembe zunanjih in notranjih vprašanj, uspešnost in učinkovitost SUVI, incidente ali neskladnosti, priložnosti za izboljšanje in potrebe po virih.

Iz Zenith Blueprint, faza Presoja, pregled in izboljševanje, korak 28: Vodstveni pregled Zenith Blueprint

Za NIS2 in DORA je vodstveni pregled mesto, kjer postane odgovornost na ravni organa upravljanja vidna. Pregled ne sme reči le »varnost je bila obravnavana«. Pokazati mora, da je vodstvo pregledalo:

  • Spremembe zahtev NIS2, DORA, GDPR, strank in pogodb.
  • Spremembe obsega, vključno z novimi državami, produkti, reguliranimi strankami ali odvisnostmi IKT.
  • Rezultate notranje presoje, vključno z večjimi in manjšimi neskladnostmi.
  • Stanje CAPA in zapadle ukrepe.
  • Varnostne cilje in metrike.
  • Trende incidentov, skorajšnje incidente in pridobljene izkušnje.
  • Tveganja koncentracije dobaviteljev in oblaka.
  • Rezultate neprekinjenega poslovanja in testiranja varnostnih kopij.
  • Uspešnost upravljanja ranljivosti in nameščanja popravkov.
  • Potrebe po virih, vključno z ljudmi, orodji, usposabljanjem in proračunom.
  • Preostala tveganja, ki zahtevajo formalni sprejem.
  • Odločitve o izboljšavah in odgovorne lastnike.

Tukaj lahko Maria tehnično poročilo pretvori v strateško zagotovilo. Namesto izjave »našli smo eno vrzel v procesu incidentov« lahko pove: »Presoja je identificirala eno manjšo neskladnost v naših merilih odločanja za poročanje o incidentih po NIS2. CAPA posodobi postopek, doda matriko odločanja in zahteva namizno vajo v 30 dneh. Potrebujemo odobritev vodstva za pravni pregled in čas za usposabljanje.«

To je vrsta zapisa, ki podpira upravljanje, nadzor in zagovorljivo odločanje.

Korektivni ukrep: razlika med ugotovitvijo in zrelostjo

Notranja presoja brez korektivnega ukrepa je samo diagnoza.

Korak 29 v Zenith Blueprint organizacijam nalaga uporabo evidence CAPA:

»Izpolnite jo z vsako težavo: opis težave, temeljni vzrok, korektivni ukrep, odgovorni lastnik, ciljni datum dokončanja, stanje.«

Iz Zenith Blueprint, faza Presoja, pregled in izboljševanje, korak 29: Nenehno izboljševanje Zenith Blueprint

Vzpostavlja tudi pomembno razlikovanje:

»V smislu presoje: popravek odpravi simptom, korektivni ukrep odpravi vzrok. Oboje je pomembno.«

Iz Zenith Blueprint, faza Presoja, pregled in izboljševanje, korak 29: Nenehno izboljševanje

Če manjkajo dokazila o obnovitvi varnostne kopije, je lahko popravek izvedba in dokumentiranje testa obnovitve ta teden. Korektivni ukrep pa je sprememba postopka varnostnega kopiranja, da so testi obnovitve načrtovani četrtletno, samodejno zavedeni kot zahtevki, pregledani s strani lastnika storitve in vključeni v metrike vodstvenega pregleda.

Presojevalci iščejo to zrelost. Presojevalec ISO 27001 preverja skladnost s SUVI in izbranimi kontrolami. Pregledovalec NIS2 sprašuje, ali so ukrepi za obvladovanje tveganj učinkoviti in nadzorovani. Pregledovalec DORA išče integracijo okvira IKT-tveganj, testiranje odpornosti, upravljanje odvisnosti od tretjih oseb in sanacijske ukrepe. Ocenjevalec NIST Cybersecurity Framework 2.0 lahko vpraša, ali delujejo rezultati upravljanja, identifikacije, zaščite, zaznavanja, odzivanja in obnovitve. Presojevalec COBIT 2019 se lahko osredotoči na cilje upravljanja, lastništvo, kazalnike uspešnosti in zagotovilo.

Isti zapis CAPA lahko zadosti tem vidikom, če vključuje temeljni vzrok, lastnika, vpliv na tveganje, korektivni ukrep, rok, dokazila o implementaciji, pregled učinkovitosti in vidnost vodstvu.

Več pogledov presojevalca

Različni presojevalci ista dokazila berejo različno. Zenith Controls pomaga predvideti ta vprašanja, saj deluje kot vodnik za medokvirno skladnost za kontrole ISO/IEC 27002:2022 in povezane okvire.

Pogled presojevalcaKaj bo presojevalec verjetno vprašalDokazila, ki dobro odgovorijo
Presojevalec ISO 27001Ali je SUVI načrtovan, implementiran, vrednoten in izboljševan skladno z zahtevami ISO/IEC 27001:2022?Obseg, ocena tveganj, izjava o uporabnosti, načrt notranje presoje, poročilo o presoji, izhodi vodstvenega pregleda, CAPA
Pregledovalec NIS2Ali je vodstvo odobrilo in nadziralo ustrezne ukrepe za obvladovanje tveganj ter ali lahko subjekt pokaže učinkovitost in korektivne ukrepe?Zapisniki organa upravljanja ali vodstvenega pregleda, načrt obravnave tveganj, odzivni priročniki za incidente, pregledi dobaviteljev, zapisi usposabljanj, metrike učinkovitosti
Pregledovalec DORAAli je upravljanje IKT-tveganj integrirano v upravljanje, strategijo odpornosti, testiranje, tveganja tretjih oseb in sanacijske ukrepe?Okvir IKT-tveganj, načrt presoj, dokazila testiranja odpornosti, evidenca tretjih oseb, mapiranje kritičnih funkcij, zapisi sanacijskih ukrepov
Pregledovalec GDPRAli lahko organizacija dokaže odgovornost za obdelavo osebnih podatkov in varnost?Popis podatkov, evidence pravnih podlag, pogodbe z obdelovalci, dnevniki kršitev, kontrole dostopa, dokazila hrambe, varnostni ukrepi
Ocenjevalec NIST CSF 2.0Ali rezultati upravljanja, tveganj, zaščite, zaznavanja, odzivanja in obnovitve učinkovito delujejo?Dokazila kontrol, mapirana na rezultate, dnevniki, spremljanje, zapisi incidentov, testi obnovitve, ukrepi izboljševanja
Presojevalec COBIT 2019Ali so cilji upravljanja, lastništvo, upravljanje uspešnosti in aktivnosti zagotavljanja opredeljeni in spremljani?RACI, politike, KPI, evidenca presoj, upravljanje težav, poročanje vodstvu, zapisi odločitev

Kontrola 5.36 je dober primer. Presojevalec ISO 27001 se lahko osredotoči na to, ali se pregledi skladnosti izvajajo in vodijo v korektivne ukrepe. Pregledovalec NIS2 lahko vpraša, ali ti pregledi testirajo zakonske ukrepe kibernetske varnosti, ne le notranjih pravil. Pregledovalec DORA se lahko osredotoči na to, ali pregledi skladnosti vključujejo kritične ponudnike IKT in pogodbeno uveljavljanje.

Zato morajo biti dokazila že od začetka zasnovana za več bralcev.

Praktičen 30-dnevni sprint pripravljenosti na presojo

Če generalni direktor vpraša, ali je organizacija lahko pripravljena na presojo v 30 dneh, je pošten odgovor: lahko vzpostavite verodostojno izhodišče dokazil, če vodstvo podpre sprint in je obseg realističen.

DneviAktivnostIzhod
1 do 3Potrditev obsega SUVI, reguliranih storitev, zainteresiranih strani in obveznostiIzjava o obsegu, opomba o uporabljivosti NIS2, DORA in GDPR
4 do 7Posodobitev meril tveganj, registra tveganj in ključnih lastnikov tveganjPosodobljen register tveganj in prioritete obravnave
8 do 10Priprava načrta notranje presoje na podlagi tveganjOdobren načrt presoj in kontrolni seznam presoje
11 do 17Izvedba presojnih intervjujev, vzorčenja in pregleda dokazilEvidenca dokazil, ugotovitve, pozitivna opažanja
18 do 20Preverjanje ugotovitev z lastniki in razvrstitev resnostiPoročilo o presoji in register neskladnosti
21 do 24Vzpostavitev evidence CAPA s temeljnimi vzroki, lastniki in rokiOdobren načrt korektivnih ukrepov
25 do 27Priprava paketa vodstvenega pregledaPredstavitev ali poročilo za pregled z metrikami, tveganji, incidenti in viri
28 do 30Izvedba vodstvenega pregleda in zapis odločitevZapisnik, evidenca ukrepov, sprejemi tveganj, odločitve o virih

Ta sprint ne nadomešča dolgoročne zrelosti. Ustvari zagovorljivo operativno izhodišče. Prava vrednost nastane, ko organizacija cikel ponavlja četrtletno ali polletno, ne le enkrat letno.

Pogoste napake pri dokazilih, ki jih ugotavlja Clarysec

Enake slabosti se pojavljajo pri presojah SaaS, oblaka in fintech podjetij:

  • Načrt presoj obstaja, vendar ne temelji na tveganjih.
  • Kontrolni seznam presoje testira točke ISO, vendar prezre NIS2, DORA, GDPR in obveznosti do strank.
  • Zapisniki vodstvenega pregleda obstajajo, vendar ne prikazujejo odločitev, dodelitve virov ali sprejema tveganj.
  • Evidence CAPA navajajo ukrepe, ne pa temeljnega vzroka.
  • Ugotovitve so zaprte brez preverjanja učinkovitosti.
  • Pregledi dobaviteljev se izvajajo, vendar kritični dobavitelji niso ločeni od dobaviteljev z nizkim tveganjem.
  • Odzivni priročniki za incidente obstajajo, vendar nihče ne more dokazati, da bi 24-urni ali 72-urni delovni tok poročanja deloval.
  • Opravila varnostnega kopiranja so zelena, vendar testi obnovitve niso dokazani.
  • Pregledi pravic dostopa so izvoženi, vendar se izjeme ne spremljajo do zaprtja.
  • Dnevniki se zbirajo, vendar nihče ne more pokazati spremljanja, eskalacije ali odziva.
  • Dokazila so shranjena v osebnih mapah namesto v nadzorovanem repozitoriju.
  • Zahteve glede hrambe so nejasne ali neskladne s pogodbami s strankami.

Te napake je mogoče odpraviti. Zahtevajo strukturirano arhitekturo dokazil SUVI, ne lovljenja dokumentov v zadnjem trenutku.

Kako je videti dobro stanje za organ upravljanja

Ko se vodja informacijske varnosti vrne k generalnemu direktorju in finančnemu direktorju, najmočnejši odgovor ni »prestali smo kontrolni seznam presoje«. Je:

»Imamo odobren načrt presoj. Izvedli smo notranjo presojo na podlagi tveganj. Ugotovitve smo identificirali z objektivnimi dokazili. Odobrili smo CAPA z lastniki in roki. Materialna tveganja, incidente, odvisnosti od dobaviteljev in potrebe po virih smo eskalirali v vodstveni pregled. Dokazila smo mapirali na ISO/IEC 27001:2022, NIS2, DORA in GDPR. Presojno sled lahko pokažemo.«

Ta odgovor spremeni pogovor. Generalnemu direktorju daje zaupanje pri strankah. Finančnemu direktorju daje jasnost glede regulativne izpostavljenosti. Organu upravljanja daje zagovorljiv zapis nadzora. Vodji informacijske varnosti daje prednostno razvrščen časovni načrt namesto kupa nepovezanih zahtev.

Najpomembneje pa je, da organizacijo premakne od gledališča skladnosti k operativni odpornosti.

Naslednji koraki s Clarysec

Vaša naslednja presoja ne sme biti improvizirano zbiranje dokazil. Biti mora viden dokaz, da vaš SUVI deluje, da je vodstvo vključeno in da je organizacija pripravljena na ISO 27001, NIS2, DORA, GDPR in zagotavljanje zaupanja naročnikov.

Clarysec vam lahko pomaga:

Prenesite zbirke orodij Clarysec, rezervirajte presojo pripravljenosti ali zahtevajte predstavitev, da svojo naslednjo notranjo presojo pretvorite v dokazila za ISO 27001, NIS2, DORA in širše, pripravljena za organ upravljanja.

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles

NIS2 2024/2690: preslikava kontrol v ISO 27001 za ponudnike storitev v oblaku

NIS2 2024/2690: preslikava kontrol v ISO 27001 za ponudnike storitev v oblaku

Enotna preslikava kontrol med Izvedbeno uredbo NIS2 2024/2690 in ISO/IEC 27001:2022 za ponudnike storitev v oblaku, ponudnike upravljanih storitev, ponudnike upravljanih varnostnih storitev in ponudnike podatkovnih centrov. Vključuje klavzule politik Clarysec, revizijska dokazila, uskladitev z DORA in GDPR ter praktičen časovni načrt implementacije.