Izjava o uporabnosti ISO 27001 za pripravljenost na NIS2 in DORA
Ponedeljek je, ura je 08:30, Elena, vodja informacijske varnosti hitro rastočega ponudnika B2B FinTech SaaS, pa odpre zahtevo upravnega odbora, označeno kot nujno. Podjetje je pravkar pridobilo certifikat ISO/IEC 27001:2022, vendar pomembna banka kot potencialni naročnik iz EU zastavlja zahtevnejša vprašanja od običajnega varnostnega vprašalnika.
Ne sprašujejo več le, ali podjetje šifrira podatke, uporablja MFA ali ima poročilo o penetracijskem testiranju. Vedeti želijo, ali platforma SaaS podpira njihove obveznosti po DORA, ali bi bil ponudnik lahko v obsegu NIS2 kot storitev IKT ali odvisnost digitalne infrastrukture ter ali lahko izjava o uporabnosti ISO 27001 utemelji vsako vključeno kontrolo, vsako izključeno kontrolo in vsako dokazilo.
Upravni odbor zastavi vprašanje, ki ga vsak vodja informacijske varnosti, vodja skladnosti in ustanovitelj SaaS sliši vse pogosteje:
Ali lahko naša SoA ISO 27001 dokaže pripravljenost na NIS2 in DORA?
Elena ve, da bi bil napačen odgovor zagnati tri ločene programe skladnosti: enega za ISO 27001, enega za NIS2 in enega za DORA. To bi povzročilo podvajanje dokazil, nasprotujoče si lastnike kontrol in stalno hitenje pred vsako presojo naročnika. Boljši odgovor je uporabiti obstoječi ISMS kot operativni model upravljanja skladnosti, pri čemer je izjava o uporabnosti oziroma SoA osrednji dokument sledljivosti.
SoA ni le preglednica za certificiranje ISO. V okolju kibernetske varnosti in operativne odpornosti v EU je to dokument, s katerim organizacija dokazuje, zakaj kontrole obstajajo, zakaj so izključitve zagovorljive, kdo je lastnik posamezne kontrole, katera dokazila podpirajo implementacijo in kako nabor kontrol naslavlja NIS2, DORA, GDPR, pogodbe z naročniki in interno obravnavo tveganj.
Clarysecova Enterprise Politika informacijske varnosti Politika informacijske varnosti določa:
ISMS mora vključevati opredeljene meje obsega, metodologijo ocenjevanja tveganj, merljive cilje in dokumentirane kontrole, utemeljene v izjavi o uporabnosti (SoA).
Ta zahteva iz klavzule politike 6.1.2 v Politiki informacijske varnosti je temelj pristopa, pripravljenega za presojo. SoA mora postati most med obveznostmi, tveganji, kontrolami, dokazili in odločitvami vodstva.
Zakaj sta NIS2 in DORA spremenili pomen izraza »uporabno«
Tradicionalna SoA po ISO/IEC 27001:2022 se pogosto začne s preprostim vprašanjem: »Katere kontrole iz Priloge A se uporabljajo za naš načrt obravnave tveganj?« To je še vedno pravilno, vendar za ponudnike SaaS, oblaka, upravljanih storitev, fintech, ponudnike finančnih tehnologij in kritične dobavne verige ne zadostuje več.
NIS2 zvišuje osnovno raven upravljanja kibernetskih tveganj pri bistvenih in pomembnih subjektih v EU. Zajema sektorje, kot so digitalna infrastruktura, ponudniki storitev računalništva v oblaku, ponudniki storitev podatkovnih centrov, omrežja za dostavo vsebin, ponudniki upravljanih storitev, ponudniki upravljanih varnostnih storitev, bančništvo in infrastrukture finančnih trgov. Države članice morajo identificirati bistvene in pomembne subjekte ter ponudnike storitev registracije domenskih imen, številni tehnološki ponudniki, ki so kibernetsko regulativo prej obravnavali kot vprašanje naročnika, pa so zdaj bodisi neposredno v obsegu bodisi izpostavljeni prek pogodbenih zahtev, prenesenih po dobavni verigi.
NIS2 Article 21 zahteva ustrezne in sorazmerne tehnične, operativne in organizacijske ukrepe na področjih analize tveganj, varnostnih politik, obravnavanja incidentov, neprekinjenega poslovanja, varnosti dobavne verige, varne nabave in razvoja, ocenjevanja učinkovitosti kontrol, kibernetske higiene, usposabljanja, kriptografije, varnosti kadrov, nadzora dostopa, upravljanja sredstev in avtentikacije, kadar je to ustrezno. NIS2 Article 23 dodaja pričakovanja glede faznega poročanja o incidentih, vključno z zgodnjim opozorilom, obvestilom, posodobitvami in končnim poročanjem za pomembne incidente.
DORA, Digital Operational Resilience Act, se uporablja od 17. januarja 2025 in se osredotoča na finančne subjekte ter njihov ekosistem tveganj IKT. Zajema upravljanje tveganj IKT, poročanje o incidentih, povezanih z IKT, poročanje o operativnih ali varnostnih plačilnih incidentih za določene subjekte, testiranje digitalne operativne odpornosti, izmenjavo informacij o kibernetskih grožnjah, upravljanje tveganj tretjih oseb na področju IKT, pogodbene ureditve in nadzor nad kritičnimi zunanjimi ponudniki storitev IKT.
Za finančne subjekte, ki so hkrati bistveni ali pomembni subjekti po NIS2, DORA deluje kot sektorsko specifična ureditev za enakovredne obveznosti upravljanja tveganj IKT in poročanja o incidentih. Za ponudnike SaaS, ponudnike oblaka, ponudnike upravljanih storitev in ponudnike MDR, ki opravljajo storitve za finančne naročnike, pa je praktična resničnost ta, da pričakovanja DORA pridejo prek nabave, pogodb, pravic do presoje, obveznosti podpore pri incidentih, načrtovanja izhoda, preglednosti podizvajalcev in dokazil o odpornosti.
To spremeni razpravo o SoA. Vprašanje ni več: »Ali Priloga A vsebuje to kontrolo?« Boljše vprašanje je:
Ali lahko dokažemo, da izbira kontrol temelji na tveganjih, upošteva obveznosti, je sorazmerna, ima lastnike, je implementirana, spremljana, podprta z dokazili in odobrena?
ISO 27001 je univerzalni prevajalnik za NIS2 in DORA
ISO/IEC 27001:2022 je dragocen, ker je standard sistema upravljanja in ne ozek kontrolni seznam. Zahteva, da je ISMS vključen v procese organizacije in prilagojen njenim potrebam. Zato učinkovito deluje kot univerzalni prevajalnik za prekrivajoče se zahteve skladnosti.
Klavzule 4.1 do 4.4 zahtevajo, da organizacija razume svoj kontekst, identificira zainteresirane strani, določi relevantne zahteve in opredeli obseg ISMS. Za ponudnika FinTech SaaS, kot je Elenino podjetje, lahko zahteve zainteresiranih strani vključujejo naročnike iz EU, finančne naročnike, na katere vpliva DORA, sektorsko izpostavljenost NIS2, obveznosti upravljavca in obdelovalca po GDPR, zunanje odvisnosti od oblaka, vmesnike dobaviteljev in pričakovanja upravnega odbora.
Klavzule 6.1.1 do 6.1.3 zahtevajo načrtovanje tveganj in priložnosti, ponovljiv proces ocenjevanja tveganj informacijske varnosti, proces obravnave tveganj, primerjavo s Prilogo A in izjavo o uporabnosti, ki opredeljuje vključene kontrole, stanje implementacije in utemeljitve izključitev.
Tu SoA postane zapis odločitev o kontrolah. Kontrola je lahko vključena, ker obravnava tveganje, izpolnjuje zakonsko zahtevo, izpolnjuje pogodbo z naročnikom, podpira poslovni cilj ali predstavlja osnovno varnostno higieno. Kontrola se lahko izključi šele po tem, ko jo je organizacija zavestno presodila, ugotovila, da za obseg ISMS ni relevantna, dokumentirala utemeljitev in pridobila ustrezno odobritev.
Clarysecova Enterprise Politika upravljanja tveganj Politika upravljanja tveganj določa:
Izjava o uporabnosti (SoA) mora odražati vse odločitve o obravnavi tveganj in se mora posodobiti vedno, kadar se spremeni pokritost kontrol.
Ta zahteva iz klavzule politike 5.4 v Politiki upravljanja tveganj je ključna za pripravljenost na NIS2 in DORA. Nov regulirani naročnik, nova odvisnost od oblaka, nova obveznost poročanja o incidentih ali novo tveganje koncentracije pri dobavitelju lahko spremenijo uporabnost kontrol.
Začnite z evidenco skladnosti, ne s seznamom kontrol
Šibka SoA začne s Prilogo A in vpraša: »Katere kontrole že imamo?« Močna SoA začne z operativno resničnostjo organizacije in vpraša: »Katere obveznosti, storitve, tveganja, podatke, dobavitelje in naročnike mora ISMS nasloviti?«
ISO/IEC 27005:2022 podpira ta pristop, saj poudarja zahteve zainteresiranih strani, merila tveganja ter potrebo po upoštevanju standardov, notranjih pravil, zakonov, predpisov, pogodb in obstoječih kontrol. Poudarja tudi, da je treba neuporabnost ali neskladnost pojasniti in utemeljiti.
Clarysecova SME Politika pravne in regulativne skladnosti Politika pravne in regulativne skladnosti za SME zajame isto operativno načelo:
Generalni direktor mora vzdrževati enostavno, strukturirano evidenco skladnosti, ki vsebuje:
Ta zahteva izhaja iz klavzule 5.1.1 Politike pravne in regulativne skladnosti za SME. Za manjšo organizacijo je evidenca lahko preprosta. Za večje podjetje mora biti podrobnejša. Logika je enaka: obveznosti morajo biti vidne, preden jih je mogoče mapirati.
Clarysecova Enterprise Politika pravne in regulativne skladnosti Politika pravne in regulativne skladnosti je izrecna:
Vse zakonske in regulativne obveznosti morajo biti v okviru sistema upravljanja informacijske varnosti (ISMS) mapirane na specifične politike, kontrole in lastnike.
To je klavzula politike 6.2.1 v Politiki pravne in regulativne skladnosti. Predstavlja upravljavski temelj za uporabo izjave o uporabnosti ISO 27001 za pripravljenost na skladnost z NIS2 in DORA.
| Polje evidence | Primer vnosa | Zakaj je pomembno za SoA |
|---|---|---|
| Vir obveznosti | NIS2 Article 21 | Spodbuja vključitev kontrol za analizo tveganj, obravnavanje incidentov, neprekinjenost, varnost dobaviteljev, kriptografijo, nadzor dostopa, upravljanje sredstev in usposabljanje |
| Utemeljitev uporabnosti | Ponudnik SaaS, ki podpira finančne naročnike in naročnike iz bistvenih sektorjev v EU | Pokaže, zakaj se NIS2 upošteva, tudi če je končni pravni status odvisen od določitve države članice |
| Lastnik kontrole | Vodja varnostnih operacij | Podpira odgovornost in lastništvo dokazil |
| Mapirana kontrola ISO/IEC 27001:2022 | Kontrole upravljanja incidentov A.5.24 do A.5.28 | Poveže zakonsko obveznost z izbiro kontrol iz Priloge A |
| Vir dokazil | Načrt odzivanja na incidente, vzorci zahtevkov, pregled po incidentu, vaja poročanja | Olajša vzorčenje pri presoji |
| Odločitev SoA | Uporabno | Ustvari sledljivost med obveznostjo, tveganjem, kontrolo in dokazili |
Vzpostavite merila tveganja, ki odražajo odpornost, zasebnost, dobavitelje in regulativo
Številne utemeljitve v SoA odpovedo, ker je model točkovanja tveganj preozek. Meri tehnično verjetnost in vpliv, ne zajame pa regulativne izpostavljenosti, kritičnosti storitve, škode za naročnike, odvisnosti od dobaviteljev, vpliva na zasebnost ali sistemskih operativnih motenj.
NIS2 ni namenjen le zaupnosti. Osredotoča se na preprečevanje in zmanjševanje vpliva incidentov na storitve in prejemnike storitev. DORA opredeljuje kritične ali pomembne funkcije glede na to, ali bi motnja bistveno poslabšala finančno uspešnost, neprekinjeno izvajanje storitev ali regulativno skladnost. GDPR dodaja odgovornost, celovitost, zaupnost, pripravljenost na kršitve in škodo za posameznike, na katere se nanašajo podatki.
Clarysecova SME Politika upravljanja tveganj Politika upravljanja tveganj za SME določa praktični minimum:
Vsak vnos tveganja mora vključevati: opis, verjetnost, vpliv, oceno, lastnika in načrt obravnave tveganja.
To je klavzula 5.1.2 Politike upravljanja tveganj za SME. Za pripravljenost na NIS2 in DORA Clarysec ta minimum razširi s polji, kot so vir obveznosti, prizadeta storitev, kategorija podatkov, odvisnost od dobaviteljev, poslovni lastnik, regulativni vpliv, preostalo tveganje, stanje obravnave in vir dokazil.
| ID tveganja | Scenarij tveganja | Povod obveznosti | Kontrole obravnave | Utemeljitev SoA |
|---|---|---|---|---|
| R-021 | Izpad oblačne platforme naročnikom prepreči dostop do reguliranih nadzornih plošč za analitiko goljufij | NIS2 Article 21, odvisnost naročnika po DORA, pogodbeni SLA | A.5.29, A.5.30, A.8.13, A.8.15, A.8.16 | Uporabno, ker neprekinjeno izvajanje storitev, varnostno kopiranje, beleženje, spremljanje in pripravljenost IKT zmanjšujejo operativne motnje ter podpirajo obveznosti odpornosti naročnikov |
| R-034 | Varnostni incident, ki vključuje osebne podatke iz EU, ni zaznan, eskaliran ali prijavljen v zahtevanih rokih | odgovornost po GDPR, NIS2 Article 23, dolžnosti podpore pri incidentih po DORA | A.5.24 do A.5.28, A.8.15, A.8.16 | Uporabno, ker fazno obravnavanje incidentov, zbiranje dokazov, učenje iz incidentov, beleženje in spremljanje podpirajo regulativne delovne tokove obveščanja in obveščanje naročnikov |
| R-047 | Pomanjkljivost pri kritičnem podizvajalcu vpliva na varno izvajanje storitev za finančne naročnike | varnost dobavne verige po NIS2 Article 21, tveganje tretjih oseb na področju IKT po DORA | A.5.19 do A.5.23, A.5.31, A.5.36 | Uporabno, ker so tveganje dobaviteljev, pogodbene zahteve, upravljanje oblaka, obveznosti skladnosti in upoštevanje politik potrebni za zagotovilo glede odvisnosti IKT |
Bodite pozorni na jezik. Močna utemeljitev ne pove le »implementirano«. Pojasni, zakaj je kontrola uporabna v poslovnem, regulativnem in tveganjskem kontekstu organizacije.
Mapirajte področja NIS2 in DORA na kontrole ISO 27001:2022
Ko sta evidenca skladnosti in merila tveganja vzpostavljena, je praktično delo mapiranje regulativnih področij na kontrole iz Priloge A. To mapiranje samo po sebi ne dokazuje skladnosti, vendar presojevalcem in naročnikom daje jasen indeks za testiranje dokazil.
| Področje regulativnih zahtev | Sklic NIS2 | Sklic DORA | Primeri kontrol ISO/IEC 27001:2022 |
|---|---|---|---|
| Upravljanje in odgovornost vodstva | Article 20 | Article 5 | A.5.1, A.5.2, A.5.31, A.5.35, A.5.36 |
| Okvir upravljanja tveganj | Article 21(1) | Article 6 | Klavzule ISO 27001 6.1.1 do 6.1.3, A.5.7, A.5.31, A.5.36 |
| Obravnavanje incidentov in poročanje | Article 23 | Articles 17 to 19 | A.5.24, A.5.25, A.5.26, A.5.27, A.5.28, A.8.15, A.8.16 |
| Neprekinjeno poslovanje in odpornost | Article 21(2)(c) | Articles 11 and 12 | A.5.29, A.5.30, A.8.13, A.8.14, A.8.15, A.8.16 |
| Dobavna veriga in tveganje tretjih oseb | Article 21(2)(d), Article 21(3) | Articles 28 to 30 | A.5.19, A.5.20, A.5.21, A.5.22, A.5.23 |
| Varna nabava in razvoj | Article 21(2)(e) | Article 9 | A.8.25, A.8.26, A.8.27, A.8.28, A.8.29, A.8.32 |
| Testiranje in učinkovitost kontrol | Article 21(2)(f) | Articles 24 to 27 | A.5.35, A.5.36, A.8.8, A.8.29, A.8.34 |
| Nadzor dostopa in upravljanje sredstev | Article 21(2)(i) | Article 9(4)(d) | A.5.9, A.5.15, A.5.16, A.5.17, A.5.18, A.8.2, A.8.3 |
| Kriptografija in šifriranje | Article 21(2)(h) | Article 9(4)(d) | A.8.24 |
Za Eleno je to mapiranje spremenilo razpravo z upravnim odborom. Namesto da bi NIS2 in DORA predstavila kot ločena projekta, je lahko pokazala prekrivanje: upravljanje, upravljanje tveganj, incidenti, neprekinjenost, dobavitelji, testiranje, nadzor dostopa in kriptografija.
Tri kontrole ISO, od katerih je odvisna vsaka SoA za NIS2 in DORA
V Zenith Controls: The Cross-Compliance Guide Zenith Controls Clarysec tri kontrole ISO/IEC 27002:2022 obravnava kot osrednje za upravljanje SoA za NIS2 in DORA, pripravljeno za presojo. To so kontrole ISO, obogatene z atributi navzkrižne skladnosti v vodniku Zenith Controls.
| Kontrola ISO/IEC 27002:2022 | Ime kontrole | Atributi Zenith Controls | Zakaj je pomembna za upravljanje SoA |
|---|---|---|---|
| 5.31 | Zakonske, statutarne, regulativne in pogodbene zahteve | Preventivno, CIA, Identificiraj, pravo in skladnost, upravljanje, ekosistem, zaščita | Vzpostavi izhodišče obveznosti, ki usmerja vključitev kontrol in dodelitev lastnikov |
| 5.35 | Neodvisni pregled informacijske varnosti | Preventivno in korektivno, CIA, Identificiraj in zaščiti, zagotovilo informacijske varnosti, upravljanje, ekosistem | Zagotavlja zagotovilo, da odločitve SoA in dokazila o implementaciji prestanejo neodvisni pregled |
| 5.36 | Skladnost s politikami, pravili in standardi za informacijsko varnost | Preventivno, CIA, Identificiraj in zaščiti, pravo in skladnost, zagotovilo informacijske varnosti, upravljanje, ekosistem | Poveže SoA z operativno skladnostjo, upoštevanjem politik in spremljanjem |
Te kontrole niso izolirane. Neposredno se povezujejo s kontrolami odnosov z dobavitelji A.5.19 do A.5.23, kontrolami upravljanja incidentov A.5.24 do A.5.28, kontrolami neprekinjenosti A.5.29 in A.5.30, kontrolo zasebnosti A.5.34, upravljanjem ranljivosti A.8.8, upravljanjem konfiguracije A.8.9, varnostnim kopiranjem informacij A.8.13, beleženjem A.8.15, dejavnostmi spremljanja A.8.16, kriptografijo A.8.24, kontrolami varnega razvoja A.8.25 do A.8.29 in upravljanjem sprememb A.8.32.
Vrednost Zenith Controls je v tem, da ekipam pomaga preprečiti obravnavo SoA kot artefakta enega samega standarda. Kontrola 5.31 podpira zakonsko in pogodbeno mapiranje. Kontrola 5.35 podpira notranjo presojo, neodvisni pregled in zagotovilo vodstva. Kontrola 5.36 podpira operativno skladnost s politikami, postopki, standardi in zahtevami kontrol.
Uporabite Zenith Blueprint za vzpostavitev, testiranje in zagovor SoA
V Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint Clarysec umešča izdelavo SoA v fazo upravljanja tveganj, korak 13: načrtovanje obravnave tveganj in izjava o uporabnosti. Blueprint organizacijam nalaga, naj uporabijo list SoA v predlogi “Risk Register and SoA Builder.xlsx”, odločijo, ali je vsaka od 93 kontrol iz Priloge A uporabna, ter odločitev utemeljijo na obravnavi tveganj, zakonskih in pogodbenih zahtevah, relevantnosti obsega in organizacijskem kontekstu.
Blueprint določa:
SoA je dejansko povezovalni dokument: povezuje vašo oceno in obravnavo tveganj z dejanskimi kontrolami, ki jih imate.
Ta stavek povzema operativni model. SoA povezuje obveznosti, tveganja, politike, kontrole, dokazila in presojevalne zaključke.
Zenith Blueprint ekipam tudi nalaga, naj v opombah SoA po potrebi navzkrižno sklicujejo predpise. Če je kontrola implementirana zaradi GDPR, NIS2 ali DORA, mora biti to navedeno v registru tveganj ali opombah SoA. Pozneje, v koraku 24, Blueprint organizacijam nalaga, naj SoA posodobijo po implementaciji in jo navzkrižno preverijo z načrtom obravnave tveganj. V koraku 30, priprava na certificiranje, končni pregled in poskusna presoja, Blueprint ekipam nalaga, naj potrdijo, da ima vsaka uporabna kontrola iz Priloge A dokazila, kot so politika, postopek, poročilo, načrt ali zapis o implementaciji.
To zaporedje naredi SoA živ instrument skladnosti:
- Korak 13 jo vzpostavi na podlagi obravnave tveganj in obveznosti.
- Korak 24 jo preveri glede na dejansko implementacijo.
- Korak 30 jo zagovarja s končnim pregledom dokazil in poskusno presojo.
Kako napisati utemeljitve vključitev, ki jim presojevalci lahko sledijo
Kontrolo je treba vključiti, kadar obstaja vsaj en zagovorljiv razlog: obravnava tveganja, zakonska zahteva, pogodbena zahteva, relevantnost obsega, osnovna varnostna higiena, pričakovanje zagotavljanja zaupanja naročnikov ali cilj odpornosti, ki ga je odobrilo vodstvo.
Uporabna formula je:
Uporabno, ker [tveganje ali obveznost] vpliva na [storitev, sredstvo, podatke ali proces], ta kontrola pa zagotavlja [preventivni, odkrivalni, korektivni ali odpornostni rezultat], kar dokazujejo [politika, zapis, test, poročilo ali sistemski izhod].
| Področje kontrole | Šibka utemeljitev | Utemeljitev, pripravljena za presojo |
|---|---|---|
| Upravljanje incidentov | Implementirano | Uporabno, ker NIS2 Article 23 in pričakovanja DORA glede življenjskega cikla incidentov zahtevajo zaznavanje, razvrščanje, eskalacijo, podporo poročanju, komunikacije, analizo temeljnega vzroka, zbiranje dokazov in pridobljene izkušnje za incidente, ki vplivajo na regulirane naročnike |
| Varnost dobaviteljev | Zahtevano | Uporabno, ker gostovanje v oblaku, ponudniki podpore in storitve MDR vplivajo na razpoložljivost storitev in zaupnost podatkov, NIS2 Article 21 ter pričakovanja DORA glede tveganj tretjih oseb na področju IKT pa zahtevajo skrbni pregled, pogodbene zaščitne ukrepe, spremljanje, pregled podizvajalcev in načrtovanje izhoda |
| Kriptografija | V uporabi | Uporabno, ker podatki naročnikov, avtentikacijske skrivnosti, varnostne kopije in regulirani finančni podatki zahtevajo varovala zaupnosti in celovitosti po NIS2, DORA, GDPR, pogodbah z naročniki in interni obravnavi tveganj |
| Neodvisni pregled | Da | Uporabno, ker vodstvo, naročniki in presojevalci zahtevajo zagotovilo, da se kontrole ISMS, odločitve SoA, dokazila in regulativna mapiranja periodično neodvisno pregledajo |
Za ponudnika FinTech SaaS bi lahko ena vrstica SoA izgledala tako:
| Polje SoA | Primer vnosa |
|---|---|
| Kontrola | A.5.19 Upravljanje informacijske varnosti v odnosih z dobavitelji |
| Uporabnost | Da |
| Utemeljitev | Uporabno, ker gostovanje v oblaku, orodja za podporo in storitve MDR vplivajo na zaupnost, razpoložljivost, zaznavanje incidentov in zagotovila za regulirane naročnike. Podpira pričakovanja NIS2 glede dobavne verige, pričakovanja DORA glede tveganj tretjih oseb na področju IKT za finančne naročnike, odgovornost obdelovalca po GDPR in pogodbene zahteve za presojo. |
| Stanje implementacije | Implementirano in spremljano |
| Lastnik | Vodja upravljanja dobaviteljev |
| Dokazila | evidenca dobaviteljev, kontrolni seznam skrbnega pregleda, varnostne klavzule v pogodbah, zapisi letnih pregledov, poročila SOC ali druga poročila o zagotovilih, pregled podizvajalcev, izhodni načrt za kritične ponudnike |
| Povezana tveganja | R-047, R-021, R-034 |
| Povezane politike | Politika tretjih oseb in varnosti dobaviteljev, Politika pravne in regulativne skladnosti, Politika upravljanja tveganj |
| Pogostost pregleda | Letno ter ob spremembi dobavitelja, večjem incidentu, novem reguliranem naročniku ali razširitvi storitve |
To je pripravljeno za presojo, ker kontrolo poveže s kontekstom, tveganjem, obveznostjo, implementacijo, lastništvom in dokazili.
Kako utemeljiti izključitve brez ustvarjanja presojevalne izpostavljenosti
Izključitve niso neuspeh. Slabo utemeljene izključitve so neuspeh.
ISO/IEC 27001:2022 zahteva, da SoA utemelji izključene kontrole iz Priloge A. ISO/IEC 27005:2022 dodatno poudarja, da je treba neuporabnost pojasniti in utemeljiti. Clarysecova Enterprise Politika informacijske varnosti določa:
Osnovni nabor se lahko prilagodi; vendar morajo biti izključitve dokumentirane s formalno odobritvijo in utemeljitvijo v SoA.
To je klavzula 7.2.2 Politike informacijske varnosti.
Clarysecova Politika informacijske varnosti za SME Politika informacijske varnosti za SME določa:
Vsako odstopanje od te politike mora biti dokumentirano, z jasnim pojasnilom, zakaj je odstopanje potrebno, kateri alternativni zaščitni ukrepi so vzpostavljeni in kateri datum je določen za ponovno oceno.
Ta zahteva izhaja iz klavzule 7.2.1 v Politiki informacijske varnosti za SME.
| Področje kontrole | Utemeljitev izključitve | Zahtevani zaščitni ukrepi |
|---|---|---|
| Kontrole varnega razvoja za interno kodo | Ni uporabno, ker obseg ISMS zajema le storitev preprodajalca brez notranjega razvoja programske opreme, brez spreminjanja kode in brez CI/CD cevovoda | Zagotovilo dobavitelja, odobritev sprememb, sprejem ranljivosti, komunikacija z naročniki in letna ponovna ocena |
| Spremljanje fizične varnosti za lastne objekte | Ni uporabno, ker organizacija v obsegu ISMS nima lastnega podatkovnega centra, strežniške sobe ali pisarniškega objekta, vsa produkcijska infrastruktura pa je upravljana pri presojanih ponudnikih oblaka | Skrbni pregled dobavitelja oblaka, pogodbene kontrole, pregledi pravic dostopa, pregled deljene odgovornosti in dokazila iz poročil ponudnika o zagotovilih |
| Določene dejavnosti ravnanja z mediji v lastnih prostorih | Ni uporabno, ker se v storitvi v obsegu ne uporabljajo izmenljivi mediji ali hramba v lastnih prostorih | Omejitve končnih točk, spremljanje DLP, kjer je ustrezno, evidenca sredstev in periodično preverjanje |
Za NIS2 in DORA izključitve zahtevajo dodatno skrbnost. Podjetje SaaS bi moralo redko izključiti beleženje, spremljanje, varnostne kopije, upravljanje incidentov, nadzor dostopa, varnost dobaviteljev ali upravljanje ranljivosti. Tudi kadar kontrola ni povezana z enim specifičnim tveganjem, je lahko še vedno potrebna kot osnovna varnost, zagotovilo za naročnike, pogodbeno pričakovanje ali zakonska obveznost.
Clarysecova Politika upravljanja tveganj za SME ekipe tudi opominja, kako je treba obravnavati sprejeto tveganje:
Sprejmi: Utemelji, zakaj nadaljnji ukrepi niso potrebni, in zabeleži preostalo tveganje.
Ta klavzula, 6.1.1 v Politiki upravljanja tveganj za SME, je natanko miselnost, ki je potrebna pri izključitvah in odločitvah o preostalem tveganju.
Poročanje o incidentih: dokažite delovni tok, ne obstoja politike
NIS2 Article 23 zahteva fazno poročanje o pomembnih incidentih, vključno z zgodnjim opozorilom v 24 urah po seznanitvi, obvestilom v 72 urah, posodobitvami, kadar so zahtevane, in končnim poročilom v enem mesecu po 72-urnem obvestilu. DORA od finančnih subjektov zahteva, da zaznajo, upravljajo, razvrstijo, eskalirajo, komunicirajo in poročajo o večjih incidentih, povezanih z IKT, po potrebi obvestijo prizadete stranke, izvedejo analizo temeljnega vzroka in izboljšajo kontrole.
Ponudnik SaaS morda ne poroča vedno neposredno organu DORA, vendar bo morda moral podpirati roke poročanja svojih finančnih naročnikov. Zato so kontrole incidentov v SoA zelo relevantne.
Šibka SoA pravi: »Politika odzivanja na incidente obstaja.«
Močna SoA pravi: »Uporabno, ker mora organizacija zaznati, oceniti, razvrstiti, eskalirati, komunicirati, ohraniti dokazila, podpirati regulativne roke poročanja, obvestiti prizadete naročnike, kadar to zahteva pogodba, in se učiti iz incidentov, ki vplivajo na storitve, podatke ali regulirane naročnike.«
Dokazila morajo vključevati:
- načrt odzivanja na incidente in matriko eskalacije;
- merila za razvrščanje resnosti;
- delovni tok obveščanja naročnikov;
- odločitveno drevo za regulativno obveščanje, kjer je uporabno;
- zahtevke incidentov in časovnice;
- dnevnike in opozorila spremljanja;
- zapise namiznih vaj;
- pregled po incidentu in korektivne ukrepe;
- postopke ohranjanja dokazil.
Clarysecova Enterprise Politika spremljanja presoj in skladnosti Politika spremljanja presoj in skladnosti pojasnjuje, zakaj je to pomembno:
Za ustvarjanje zagovorljivih dokazil in revizijske sledi v podporo regulativnim poizvedbam, pravnim postopkom ali zahtevam naročnikov po zagotovilih.
Ta cilj izhaja iz klavzule 3.4 v Politiki spremljanja presoj in skladnosti.
Za manjše organizacije mora biti izrecna tudi hramba dokazil. Clarysecova Politika spremljanja presoj in skladnosti za SME Politika spremljanja presoj in skladnosti za SME določa:
Dokazila je treba hraniti najmanj dve leti ali dlje, kadar to zahtevajo certifikacija ali dogovori z naročniki.
To je klavzula 6.2.4 v Politiki spremljanja presoj in skladnosti za SME.
Ena SoA, več presojevalnih razprav
Najboljša SoA ne podvaja okvirov. Ustvari sledljivo pripoved o kontrolah, ki jo lahko razumejo različni presojevalci.
| Okvir ali pogled | Kaj bo revizor ali presojevalec vprašal | Kako pomaga SoA |
|---|---|---|
| ISO/IEC 27001:2022 | Zakaj je ta kontrola iz Priloge A vključena ali izključena, kakšno je stanje implementacije in kje so dokazila? | Poveže odločitve o kontrolah s tveganji, obveznostmi, stanjem implementacije, lastniki in dokazili |
| NIS2 | Kako upravljanje, analiza tveganj, obravnavanje incidentov, neprekinjeno poslovanje, dobavna veriga, šifriranje, nadzor dostopa, upravljanje sredstev in usposabljanje delujejo v praksi? | Mapira pričakovanja Article 21 in Article 23 na kontrole iz Priloge A in operativne zapise |
| DORA | Kako so tveganje IKT, upravljanje incidentov, testiranje odpornosti, tveganje tretjih oseb, pogodbe, pravice do presoje, izhodni načrti in nadzor vodstva podprti z dokazili? | Pokaže, katere kontrole podpirajo obveznosti finančnih subjektov ali zagotovila dobaviteljev SaaS |
| GDPR | Ali lahko organizacija dokaže celovitost, zaupnost, odgovornost, pripravljenost na kršitve, podporo zakoniti obdelavi in kontrole obdelovalca? | Poveže obveznosti glede zasebnosti z nadzorom dostopa, kriptografijo, beleženjem, dobavitelji, incidenti, hrambo in kontrolami dokazil |
| NIST CSF 2.0 | Kako implementirane kontrole podpirajo rezultate Govern, Identify, Protect, Detect, Respond in Recover? | Uporabi isto dokazno osnovo za prikaz funkcionalne pokritosti kibernetske varnosti |
| COBIT 2019 in revizija ISACA | Ali so opredeljeni cilji upravljanja, lastništvo kontrol, dejavnosti zagotavljanja, metrike in odgovornost vodstva? | Poveže odločitve SoA z lastniki, pregledi uspešnosti, neodvisnim pregledom in korektivnimi ukrepi |
Presojevalec ISO 27001 običajno začne z logiko klavzul: obseg, zainteresirane strani, ocena tveganja, obravnava tveganja, SoA, cilji, notranja presoja, vodstveni pregled in izboljševanje. Pregledovalec, usmerjen v NIS2, se osredotoča na sorazmernost, odgovornost vodstva, usposabljanje, dobavno verigo, roke za incidente in vpliv na storitve. Presojevalec naročnika, usmerjen v DORA, se osredotoča na tveganje IKT, kritične ali pomembne funkcije, večje incidente IKT, testiranje odpornosti, pogodbene klavzule, pravice do presoje, izhodne načrte, podizvajanje in tveganje koncentracije. Pregledovalec zasebnosti se osredotoča na odgovornost po GDPR in pripravljenost na kršitve. Revizor v slogu COBIT 2019 ali ISACA testira upravljanje, metrike, lastništvo, zagotovila in korektivne ukrepe.
Zato SoA ne sme vzdrževati samo varnostna ekipa. Potrebuje lastništvo pravne funkcije, zasebnosti, nabave, inženiringa, operacij, kadrovske funkcije in izvršnega vodstva.
Pogoste napake SoA v projektih pripravljenosti na NIS2 in DORA
Clarysec v projektih pripravljenosti vedno znova ugotavlja iste težave:
- SoA označi kontrole kot uporabne, vendar ni zabeleženo tveganje, obveznost ali poslovni razlog.
- NIS2 in DORA sta omenjena v politikah, vendar nista mapirana na kontrole, lastnike ali dokazila.
- Kontrole dobaviteljev so označene kot implementirane, vendar ni evidence dobaviteljev, ocene kritičnosti, pogodbenega pregleda ali izhodnega načrta.
- Kontrole incidentov obstajajo, vendar proces ne podpira 24-urnih, 72-urnih, naročniških ali končnih delovnih tokov poročanja.
- Odobritev vodstva je nakazana, vendar ni zapisa o sprejemu tveganja, odobritvi SoA ali odločitvi o preostalem tveganju.
- Izključitve so kopirane iz predloge in se ne ujemajo z dejanskim operativnim modelom v oblaku, na daljavo, SaaS ali FinTech.
- Dokazila obstajajo v različnih orodjih, vendar nobena revizijska sled ne povezuje dokazil s SoA.
- Obdelava osebnih podatkov po GDPR ni povezana z varnostnimi kontrolami, odzivom na kršitve, pogodbami z dobavitelji ali hrambo.
- Notranja presoja preverja dokumente, vendar ne testira, ali SoA odraža dejansko implementacijo.
- SoA se posodobi le pred certificiranjem, ne pa po novih naročnikih, dobaviteljih, incidentih, presojevalnih ugotovitvah ali regulativnih spremembah.
To niso vprašanja dokumentacije. To so vprašanja upravljanja.
Praktični kontrolni seznam za SoA ISO 27001, pripravljeno za presojo
Uporabite ta kontrolni seznam pred certifikacijsko presojo ISO 27001, pregledom pripravljenosti na NIS2, presojo naročnika po DORA, sejo upravnega odbora ali postopkom skrbnega pregleda vlagatelja.
| Kontrolna točka | Dober odgovor |
|---|---|
| Obseg | Obseg ISMS odraža storitve, naročnike, podatke, dobavitelje, zunanje vmesnike in regulirane odvisnosti |
| Zainteresirane strani | Identificirani so NIS2, naročniki po DORA, vloge po GDPR, regulatorji, naročniki, dobavitelji in notranje zainteresirane strani |
| Evidenca skladnosti | Zakonske, regulativne, pogodbene in naročniške obveznosti so mapirane na politike, kontrole in lastnike |
| Merila tveganja | Vključeni so pravni, operativni, zasebnostni, dobaviteljski, odpornostni, finančni in ugledni vplivi |
| Register tveganj | Vsako tveganje vključuje opis, verjetnost, vpliv, oceno, lastnika, načrt obravnave tveganja in preostalo tveganje |
| Vključitev v SoA | Vsaka uporabna kontrola ima utemeljitev, povezano s tveganjem, obveznostjo, obsegom, pogodbo ali osnovno varnostjo |
| Izključitev iz SoA | Vsaka izključena kontrola ima specifično, odobreno in z dokazili podprto utemeljitev ter sprožilec pregleda |
| Dokazila | Vsaka uporabna kontrola ima dokazila v obliki politike, postopka, konfiguracije, poročila, testa, zahtevka, dnevnika, pregleda ali zapisa |
| Odobritev vodstva | Lastniki tveganj odobrijo načrte obravnave in preostala tveganja, vodstvo pa pregleduje uspešnost ISMS |
| Neodvisni pregled | Notranja presoja ali neodvisni pregled testira točnost SoA, kakovost dokazil in dejansko implementacijo |
| Sprožilci posodobitev | Posodobitve SoA se izvedejo po spremembah storitev, spremembah dobaviteljev, incidentih, novih naročnikih, spremembah predpisov ali presojevalnih ugotovitvah |
Spremenite SoA v zagovorljiv most skladnosti
Elenina predstavitev upravnemu odboru je uspela, ker ni predstavila treh nepovezanih projektov skladnosti. Predstavila je en nadzorovan, z dokazili podprt operativni model, zgrajen na ISO/IEC 27001:2022, pri čemer SoA deluje kot most med regulativo, tveganjem, implementacijo kontrol, dokazili in nadzorom vodstva.
NIS2 in DORA ne naredita ISO 27001 zastarelega. Dobro vzpostavljeno izjavo o uporabnosti ISO 27001 naredita dragocenejšo. SoA lahko postane enotno mesto, kjer organizacija pojasni, zakaj kontrole obstajajo, zakaj so izključitve zagovorljive, kako se dokazila hranijo, kako se upravljajo dobavitelji, kako se incidenti eskalirajo in kako vodstvo ve, da ISMS deluje.
Vaš takojšnji ukrep je preprost:
- Odprite svojo trenutno SoA.
- Izberite pet kontrol, označenih kot uporabne, in vprašajte: »Katero tveganje, obveznost ali pogodba to utemeljuje?«
- Izberite pet izključitev in vprašajte: »Ali bi bilo to še vedno smiselno za presojevalca NIS2, DORA, GDPR ali ISO/IEC 27001:2022?«
- Preverite, ali ima vsaka uporabna kontrola aktualna dokazila.
- Potrdite, da je vodstvo odobrilo preostala tveganja in odločitve SoA.
- Posodobite evidenco skladnosti, register tveganj in SoA vedno, kadar se spremenijo storitve, dobavitelji, naročniki, predpisi ali incidenti.
Clarysec organizacijam pri tem pomaga prek Zenith Blueprint Zenith Blueprint, Zenith Controls Zenith Controls, naborov politik za podjetja in SME, orodij za register tveganj, predlog SoA, priprave na presojo in mapiranja navzkrižne skladnosti za NIS2, DORA, GDPR, NIST CSF 2.0, COBIT 2019 in zagotovila za naročnike.
Če vaša SoA ne more odgovoriti, zakaj kontrola obstaja, kdo je njen lastnik, katera dokazila jo dokazujejo in katero obveznost podpira, še ni pripravljena. Uporabite Clarysec, da jo spremenite v most skladnosti, pripravljen za presojo, preden regulator, presojevalec ali naročnik prvi zastavi ista vprašanja.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
