Dokazila kibernetske higiene po NIS2, preslikana na ISO 27001
Ponedeljek je, ura 08:40. Sarah, vodja informacijske varnosti (CISO) pri hitro rastočem ponudniku B2B SaaS, se pridruži vodstvenemu klicu in pričakuje rutinski pregled odprtih ukrepov glede tveganj. Namesto tega pravni svetovalec začne z ostrejšim vprašanjem:
»Če nas pristojni nacionalni organ jutri pozove, naj dokažemo kibernetsko higieno in usposabljanje za kibernetsko varnost po NIS2 Article 21, kaj natančno pošljemo?«
Direktorica kadrovske službe pove, da je vsak zaposleni opravil letno usposabljanje za ozaveščanje. Vodja SOC pove, da se rezultati simulacij spletnega ribarjenja izboljšujejo. Vodja IT operacij pove, da je MFA uveljavljen, varnostne kopije se testirajo, nameščanje popravkov pa se spremlja. Vodja skladnosti pove, da presojna mapa ISO/IEC 27001:2022 vsebuje zapise o usposabljanju, vendar ima projektna ekipa DORA svoja dokazila o usposabljanju za odpornost, mapa GDPR pa ločene dnevnike ozaveščanja o zasebnosti.
Delo je bilo opravljeno. Nihče pa ni prepričan, da dokazila pripovedujejo eno skladno zgodbo.
To je dejanski problem NIS2 Article 21 za bistvene in pomembne subjekte. Zahteva ni zgolj »usposobite uporabnike«. Article 21 zahteva ustrezne in sorazmerne tehnične, operativne in organizacijske ukrepe za obvladovanje kibernetskega tveganja. Njegov minimalni nabor kontrol vključuje kibernetsko higieno in usposabljanje za kibernetsko varnost, pa tudi obravnavanje incidentov, neprekinjeno poslovanje, varnost dobavne verige, obravnavo ranljivosti, kriptografijo, kadrovsko varnost, nadzor dostopa, upravljanje sredstev, MFA ali neprekinjeno avtentikacijo, varovane komunikacije in postopke za oceno učinkovitosti.
Kibernetska higiena ni kampanja ozaveščanja. Je vsakodnevna operativna disciplina, ki povezuje ljudi, kontrole, dokazila in odgovornost vodstva.
Za CISO, vodje skladnosti, ponudnike upravljanih storitev (MSP), ponudnike SaaS, operaterje v oblaku in ponudnike digitalnih storitev praktični odgovor ni vzpostavitev ločenega »projekta usposabljanja NIS2«. Boljši pristop je zgraditi eno verigo dokazil, pripravljeno za presojo, znotraj ISMS po ISO/IEC 27001:2022, podprto s praksami kontrol ISO/IEC 27002:2022, obvladovano na podlagi tveganj po ISO/IEC 27005:2022 ter navzkrižno povezano z NIS2, DORA, GDPR, zagotovili po vzoru NIST in pričakovanji upravljanja po COBIT 2019.
Zakaj NIS2 Article 21 usposabljanje spremeni v dokazilo za organ upravljanja
NIS2 se uporablja za številne srednje in velike subjekte v sektorjih iz Annex I in Annex II, ki opravljajo storitve ali izvajajo dejavnosti v Uniji. Pri tehnoloških podjetjih je lahko obseg širši, kot pričakujejo mnoge vodstvene ekipe. Annex I zajema digitalno infrastrukturo, vključno s ponudniki storitev računalništva v oblaku, ponudniki podatkovnih centrov, ponudniki omrežij za dostavo vsebin, ponudniki storitev zaupanja, ponudniki storitev DNS in registri TLD. Annex I zajema tudi upravljanje storitev IKT B2B, vključno s ponudniki upravljanih storitev in ponudniki upravljanih varnostnih storitev. Annex II vključuje digitalne ponudnike, kot so spletne tržnice, spletni iskalniki in platforme storitev družbenih omrežij.
Nekateri subjekti so lahko v obsegu ne glede na velikost, vključno z določenimi ponudniki storitev DNS in registri TLD. Nacionalne odločitve o kritičnosti lahko v obseg vključijo tudi manjše ponudnike, kadar bi motnja lahko vplivala na javno varnost, sistemsko tveganje ali bistvene storitve.
Article 21(1) od bistvenih in pomembnih subjektov zahteva uvedbo ustreznih in sorazmernih tehničnih, operativnih in organizacijskih ukrepov za obvladovanje tveganj za omrežne in informacijske sisteme, ki se uporabljajo za poslovanje ali zagotavljanje storitev, ter za preprečevanje ali zmanjševanje vpliva incidentov. Article 21(2) našteva minimalne ukrepe, vključno s politikami za analizo tveganj in varnost informacijskih sistemov, obravnavanjem incidentov, neprekinjenim poslovanjem, varnostjo dobavne verige, varno nabavo in vzdrževanjem, oceno učinkovitosti, osnovnimi praksami kibernetske higiene in usposabljanjem za kibernetsko varnost, kriptografijo, kadrovsko varnostjo, nadzorom dostopa, upravljanjem sredstev ter MFA ali neprekinjeno avtentikacijo, kadar je to ustrezno.
Article 20 zvišuje zahteve. Organi upravljanja morajo odobriti ukrepe za upravljanje tveganj kibernetske varnosti, nadzorovati njihovo izvajanje in so lahko odgovorni za kršitve. Člani organov upravljanja morajo opraviti usposabljanje, subjekti pa so spodbujeni, da podobno redno usposabljanje zagotovijo tudi zaposlenim, da lahko prepoznavajo tveganja ter ocenjujejo prakse upravljanja tveganj kibernetske varnosti in njihov vpliv na storitve.
Article 34 dodaja finančni pritisk. Kršitve Article 21 ali Article 23 lahko sprožijo upravne globe v višini najmanj 10.000.000 EUR ali 2 % svetovnega letnega prometa za bistvene subjekte ter najmanj 7.000.000 EUR ali 1,4 % za pomembne subjekte, pri čemer velja višji znesek.
Zato izjava »izvedli smo letno usposabljanje za ozaveščanje« ne zadostuje. Regulator, presojevalec ISO, ocenjevalec varnosti pri stranki ali kibernetska zavarovalnica bodo pričakovali dokazila, da je usposabljanje prilagojeno vlogam, utemeljeno na tveganjih, ažurno, merjeno, povezano z incidenti in razumljeno na ravni vodstva.
Clarysecova podjetniška Politika ozaveščanja in usposabljanja za informacijsko varnost, klavzula 5.1.1.3, zahteva, da usposabljanje:
Zajema teme, kot so spletno ribarjenje, higiena gesel, poročanje o incidentih in upravljanje incidentov, fizična varnost ter varstvo in minimizacija podatkov
Ista politika, klavzula 8.3.1.1, opredeljuje vrsto dokazil, ki jo presojevalci običajno zahtevajo najprej:
Zapisi o dodelitvi, potrditvi in dokončanju usposabljanja
Za mala in srednja podjetja Clarysecova Politika ozaveščanja in usposabljanja za informacijsko varnost - SME, klavzula 8.4.1, še neposredneje naslavlja preverljivost:
Zapisi o usposabljanju so predmet notranje revizije in zunanjega pregleda. Zapisi morajo biti točni, popolni in dokazljivi na zahtevo (npr. za certifikacijo ISO, revizijo GDPR ali potrditev zavarovalnice).
Ta stavek zajame razliko med ozaveščanjem kot kadrovsko aktivnostjo in ozaveščanjem kot kontrolo skladnosti. Če so zapisi nepopolni, nepreverljivi ali niso povezani s tveganji vlog, lahko kontrola operativno obstaja, vendar na presoji odpove.
Uporabite ISO/IEC 27001:2022 kot hrbtenico dokazil
ISO/IEC 27001:2022 je naravna hrbtenica za NIS2 Article 21, ker organizacijo prisili, da opredeli obseg, zainteresirane strani, tveganja, kontrole, cilje, dokazila, notranjo presojo, vodstveni pregled in nenehno izboljševanje.
Klavzule 4.1 do 4.4 zahtevajo, da organizacija razume notranja in zunanja vprašanja, določi zainteresirane strani in njihove zahteve, opredeli obseg ISMS, upošteva vmesnike in odvisnosti z dejavnostmi, ki jih izvajajo druge organizacije, ter vzdržuje ISMS kot povezan nabor procesov. Pri ponudniku SaaS ali ponudniku upravljanih storitev mora obseg ISMS izrecno vključevati obveznosti NIS2, pogodbene obveznosti strank, odvisnosti od ponudnikov storitev v oblaku, pokritost z zunanjim SOC, vloge pri obdelavi podatkov in zaveze glede razpoložljivosti storitev.
Klavzule 5.1 do 5.3 uvajajo odgovornost upravljanja. Najvišje vodstvo mora politiko in cilje informacijske varnosti uskladiti s strateško usmeritvijo, zahteve ISMS vključiti v poslovne procese, zagotoviti vire, dodeliti odgovornosti in zagotoviti poročanje o uspešnosti. To se neposredno ujema z NIS2 Article 20, kjer organi upravljanja odobrijo in nadzorujejo ukrepe za upravljanje tveganj kibernetske varnosti.
Klavzule 6.1.1 do 6.1.3 in 6.2 pravna pričakovanja pretvorijo v obravnavo tveganja. Organizacija mora načrtovati ukrepe za tveganja in priložnosti, izvajati ponovljiv proces ocenjevanja tveganj informacijske varnosti, določiti lastnike tveganj, izbrati možnosti obravnave, primerjati kontrole z Annex A, pripraviti izjavo o uporabnosti (SoA), oblikovati načrt obravnave tveganj, pridobiti odobritev lastnika tveganja in določiti merljive varnostne cilje.
Tu NIS2 Article 21 postane obvladljiv. Ne potrebujete ločenega programa ozaveščanja NIS2. Potrebujete preslikano zgodbo tveganj in kontrol.
| Področje zahteve NIS2 | Mehanizem dokazil ISO/IEC 27001:2022 | Praktična dokazila |
|---|---|---|
| Odobritev in nadzor vodstva | Klavzule 5.1, 5.3, 9.3 | Zapisniki organa upravljanja, paket za vodstveni pregled, dodelitve vlog, odobritve proračuna |
| Kibernetska higiena in usposabljanje | Klavzula 7.2, klavzula 7.3, kontrole ljudi in tehnologije iz Annex A | Načrt usposabljanja, izvozi LMS, matrika vlog, rezultati spletnega ribarjenja, potrditve seznanitve s politiko |
| Analiza tveganj in varnostna politika | Klavzule 6.1.2, 6.1.3, 6.2 | Ocena tveganj, načrt obravnave tveganj, izjava o uporabnosti, varnostni cilji |
| Ocena učinkovitosti | Klavzule 9.1, 9.2, 10.2 | KPI, rezultati notranje presoje, korektivni ukrepi, rezultati testiranja kontrol |
| Pripravljenost za obravnavanje incidentov in poročanje | Kontrole upravljanja incidentov iz Annex A | Operativni priročniki za incidente, dnevniki eskalacij, poročila namiznih vaj, zapisi o hrambi dokazil |
| Dobavna veriga in odvisnost od oblaka | Kontrole dobaviteljev in storitev v oblaku iz Annex A | Evidenca dobaviteljev, skrbni pregled, pogodbe, izstopni načrti, pregledi storitev |
| Dostop, upravljanje sredstev in MFA | Kontrole dostopa, sredstev in identitet iz Annex A | Evidenca sredstev, pregledi pravic dostopa, poročila MFA, dokazila o privilegiranem dostopu |
Klavzule 8.1 do 8.3, 9.1 do 9.3 in 10.1 do 10.2 zaključijo operativno zanko. Zahtevajo načrtovan operativni nadzor, ponovno oceno tveganj, izvedbo načrtov obravnave, spremljanje in merjenje, notranjo presojo, vodstveni pregled, nenehno izboljševanje in korektivne ukrepe. ISO/IEC 27001:2022 tako postane mehanizem dokazil za NIS2 Article 21, ne le certifikacijska oznaka.
Pretvorite kibernetsko higieno v sidra kontrol ISO
»Kibernetska higiena« je namenoma širok pojem. Za presojevalce jo je treba pretvoriti v konkretne, preizkusljive kontrole. Clarysec pri dokazilih kibernetske higiene po NIS2 Article 21 običajno začne s tremi praktičnimi sidri kontrol iz ISO/IEC 27002:2022, interpretiranimi skozi Zenith Controls: The Cross-Compliance Guide.
Prvo sidro je kontrola ISO/IEC 27002:2022 6.3, ozaveščanje, izobraževanje in usposabljanje za informacijsko varnost. V Zenith Controls je 6.3 obravnavana kot preventivna kontrola, ki podpira zaupnost, celovitost in razpoložljivost. Njena operativna zmogljivost je varnost človeških virov, njen koncept kibernetske varnosti pa je zaščita. To ozaveščanje umešča kot zaščitno kontrolo, ne kot komunikacijsko vajo.
Zenith Controls pokaže tudi, kako je 6.3 odvisna od drugih kontrol in jih krepi. Povezana je s 5.2 vlogami in odgovornostmi informacijske varnosti, ker mora usposabljanje odražati dodeljene odgovornosti. Povezana je s 6.8 poročanjem o dogodkih informacijske varnosti, ker osebje ne more poročati o nečem, česar ne prepozna. Povezana je z 8.16 dejavnostmi spremljanja, ker varnostni analitiki SOC in operativno osebje potrebujejo usposabljanje za prepoznavanje anomalij in upoštevanje odzivnih protokolov. Povezana je s 5.36 skladnostjo s politikami, pravili in standardi informacijske varnosti, ker politike delujejo le, kadar jih ljudje razumejo.
Kot Zenith Controls navaja za kontrolo ISO/IEC 27002:2022 6.3:
Skladnost je odvisna od ozaveščenosti. 6.3 zagotavlja, da so zaposleni seznanjeni z varnostnimi politikami in razumejo svojo osebno odgovornost pri njihovem upoštevanju. Redno izobraževanje in usposabljanje zmanjšujeta tveganje nenamernih kršitev politike zaradi nevednosti.
Drugo sidro je kontrola ISO/IEC 27002:2022 5.10, sprejemljiva uporaba informacij in drugih povezanih sredstev. Kibernetska higiena je odvisna od tega, ali ljudje razumejo, kaj smejo početi s končnimi točkami, pogoni v oblaku, orodji SaaS, platformami za sodelovanje, izmenljivimi mediji, produkcijskimi podatki, testnimi podatki in orodji, podprtimi z umetno inteligenco. Zenith Controls preslika 5.10 kot preventivno kontrolo na področju upravljanja sredstev in varovanja informacij. V praksi dokazilo sprejemljive uporabe ni le podpisana politika. Vključuje dokaz, da politika zajema dejansko okolje sredstev, da uvajanje vključuje potrditev, da spremljanje podpira uveljavljanje in da se izjeme obravnavajo.
Tretje sidro je kontrola ISO/IEC 27002:2022 5.36, skladnost s politikami, pravili in standardi informacijske varnosti. To je presojni most. Zenith Controls preslika 5.36 kot preventivno kontrolo upravljanja in zagotavljanja zagotovil. Povezana je s 5.1 politikami informacijske varnosti, 6.4 disciplinskim postopkom, 5.35 neodvisnim pregledom informacijske varnosti, 5.2 vlogami in odgovornostmi, 5.25 presojo in odločitvijo o dogodkih informacijske varnosti, 8.15 beleženjem, 8.16 dejavnostmi spremljanja in 5.33 varovanjem zapisov.
Za NIS2 Article 21 je to ključno. Regulatorji in presojevalci ne vprašajo le, ali politika obstaja. Vprašajo, ali se upoštevanje spremlja, ali se kršitve zaznajo, ali so dokazila varovana, ali se izvedejo korektivni ukrepi in ali vodstvo vidi rezultate.
Zgradite paket dokazil za kibernetsko higieno in usposabljanje po NIS2
Predstavljajte si srednje velikega ponudnika SaaS, ki se pripravlja tako na pripravljenost za NIS2 kot na nadzorno presojo ISO/IEC 27001:2022. Organizacija ima 310 zaposlenih, vključno z razvijalci, SRE, agenti podpore, prodajnim osebjem, pogodbenimi izvajalci in izvršnim vodstvom. Strankam v EU zagotavlja storitve delovnih tokov v oblaku ter se zanaša na hiperskalirnega ponudnika storitev v oblaku, dve platformi identitet, zunanjega ponudnika MDR in več podizvajalskih podpornih orodij.
Vodja skladnosti ima izvoze usposabljanj iz LMS, vendar niso preslikani na NIS2 Article 21, kontrole ISO, poslovne vloge ali scenarije tveganj. Praktični sprint odprave vrzeli izdela paket dokazil kibernetske higiene in usposabljanja s šestimi komponentami.
| Komponenta dokazil | Kaj dokazuje | Lastnik | Presojni preizkus |
|---|---|---|---|
| Matrika usposabljanja na podlagi vlog | Usposabljanje je usklajeno z odgovornostmi in izpostavljenostjo tveganju | vodja ISMS in kadrovska služba | Vzorčiti vloge in preveriti, ali so bili zahtevani moduli dodeljeni |
| Letni načrt usposabljanja | Kompetence in ozaveščenost so načrtovane, ne ad hoc | vodja ISMS | Preveriti datume, teme, ciljno občinstvo, odobritev in cilje dokončanja |
| Izvoz dokončanj iz LMS | Osebje je opravilo dodeljeno usposabljanje | kadrovska služba ali People Ops | Uskladiti seznam zaposlenih s poročilom o dokončanju, novozaposlenimi in odhajajočimi zaposlenimi |
| Poročilo o simulaciji spletnega ribarjenja | Učinkovitost ozaveščanja se meri | varnostne operacije | Pregledati rezultate kampanje, ponavljajoče se klikerje in korektivno usposabljanje |
| Dnevnik potrditev seznanitve s politiko | Osebje je sprejelo pravila in odgovornosti | kadrovska služba in skladnost | Potrditi seznanitev s politikami varnosti, sprejemljive uporabe in poročanja o incidentih |
| Povzetek vodstvenega pregleda | Vodstvo nadzoruje trende in korektivne ukrepe | CISO in izvršni sponzor | Preveriti, ali zapisniki vključujejo metrike, izjeme, tveganja in odločitve |
Ključna je sledljivost.
Začnite z NIS2 Article 21(2)(g), osnovnimi praksami kibernetske higiene in usposabljanjem za kibernetsko varnost. Povežite ga s klavzulama ISO/IEC 27001:2022 7.2 in 7.3 za kompetence in ozaveščenost, klavzulama 9.1 in 9.2 za spremljanje in presojo ter kontrolami iz Annex A, vključno z ozaveščanjem, sprejemljivo uporabo, upravljanjem ranljivosti, upravljanjem konfiguracije, varnostnimi kopijami, beleženjem, spremljanjem, kriptografijo, nadzorom dostopa in upravljanjem incidentov. Nato dokazila povežite z registrom tveganj.
| Skupina vlog | Tveganje kibernetske higiene po NIS2 | Zahtevano usposabljanje | Dokazila |
|---|---|---|---|
| Vsi zaposleni | Spletno ribarjenje, šibka gesla, slabo poročanje o incidentih, nepravilno ravnanje s podatki | Osnovno usposabljanje za informacijsko varnost, higiena gesel, MFA, varstvo podatkov, poročanje o incidentih | Dokončanje v LMS, rezultat kviza, potrditev seznanitve s politiko |
| Izvršno vodstvo | Sprejem tveganja, pravna odgovornost, krizne odločitve, nadzor nad poročanjem | Dolžnosti upravljanja, odgovornosti vodstva po NIS2, eskalacija incidentov, apetit po tveganju | Udeležba na delavnici za izvršno vodstvo, gradivo za organ upravljanja, dnevnik odločitev |
| Razvijalci | Ranljivosti, nevarna koda, razkritje skrivnosti, nevarni testni podatki | Varno kodiranje, upravljanje odvisnosti, razkritje ranljivosti, minimizacija podatkov | Zapis o usposabljanju, kontrolni seznam varnega SDLC, vzorci pregleda izvorne kode |
| SRE in IT operacije | Napačna konfiguracija, zamuda pri popravkih, odpoved varnostnega kopiranja, vrzeli pri beleženju | Upravljanje popravkov, varna konfiguracija, obnovitev varnostnih kopij, spremljanje, odziv na incidente | Poročilo o popravkih, test varnostne kopije, dokazila opozoril SIEM, poročilo namizne vaje |
| Podpora strankam | Socialni inženiring, nepooblaščeno razkritje, kršitev zasebnosti | Preverjanje identitete, ravnanje s podatki, eskalacija, poročanje o kršitvah | Pregled dostopa CRM, zapis o usposabljanju, vzorec QA podpore |
| Pogodbeni izvajalci z dostopom | Nejasne obveznosti, neupravljan dostop, uhajanje podatkov | Strnjeno varnostno uvajanje, sprejemljiva uporaba, pot poročanja | Potrditev pogodbenega izvajalca, odobritev dostopa, dokazila postopka izstopa |
Podjetniška Politika ozaveščanja in usposabljanja za informacijsko varnost podpira to strukturo. Klavzula 5.1.2.4 izrecno vključuje teme usposabljanja za izvršno vodstvo:
Izvršno vodstvo (npr. upravljanje, sprejem tveganja, zakonske obveznosti)
Ta vrstica je pomembna po NIS2 Article 20, ker usposabljanje vodstva ni neobvezno. Če organ upravljanja odobri ukrepe za upravljanje tveganj, vendar ne zna pojasniti sprejema tveganja, pragov incidentov ali rutin nadzora, se veriga dokazil pretrga.
Clarysecova Politika informacijske varnosti - SME, klavzula 6.4.1, pokaže, kako kibernetska higiena postane vsakodnevno vedenje v okviru kontrol:
Obvezne varnostne kontrole je treba uporabljati dosledno, vključno z rednimi varnostnimi kopijami, posodobitvami antivirusne programske opreme, močnimi gesli in varnim odstranjevanjem občutljivih dokumentov.
To je jedrnat izraz praktične kibernetske higiene za mala in srednja podjetja. Presojevalec bo še vedno zahteval dokazila, kot so poročila opravil varnostnega kopiranja, pokritost EDR, konfiguracija gesel ali MFA in dnevniki varnega odstranjevanja, vendar politika določa pričakovano vedenje.
Preslikajte NIS2 Article 21 na presojna dokazila
Presojevalci testirajo delovanje kontrol, ne sloganov. Sledili bodo zlati niti od pravne zahteve do obsega ISMS, ocene tveganj, izjave o uporabnosti, politike, postopka, dokazil in vodstvenega pregleda.
| Področje NIS2 Article 21 | Preslikava na ISO/IEC 27001:2022 ali ISO/IEC 27002:2022 | Sklic Clarysec | Primarna presojna dokazila |
|---|---|---|---|
| Usposabljanje za kibernetsko varnost | Klavzula 7.2, klavzula 7.3, A.6.3 ozaveščanje, izobraževanje in usposabljanje za informacijsko varnost | Politika ozaveščanja in usposabljanja za informacijsko varnost | Politika usposabljanja, letni načrt, zapisi LMS, rezultati spletnega ribarjenja, kontrolni seznam za uvajanje, zapisniki usposabljanja organa upravljanja |
| Sprejemljivo vedenje kibernetske higiene | A.5.10 sprejemljiva uporaba informacij in drugih povezanih sredstev | Politika informacijske varnosti - SME | Potrditev sprejemljive uporabe, zapisi uvajanja, evidence izjem, dokazila spremljanja |
| Higiena ranljivosti in popravkov | A.8.8 upravljanje tehničnih ranljivosti | Zenith Blueprint Step 19 | Skeniranje ranljivosti, poročila o popravkih, zahtevki za odpravo, evidence sprejema tveganja |
| Varna konfiguracija | A.8.9 upravljanje konfiguracije | Zenith Blueprint Step 19 | Varna izhodišča, pregledi konfiguracije, odobritve sprememb, poročila o odklonu konfiguracije |
| Odpornost in obnovitev | A.8.13 varnostno kopiranje informacij | Politika informacijske varnosti - SME | Dnevniki varnostnega kopiranja, testi obnovitve, pregledi neuspehov varnostnega kopiranja, dokazila obnovitve |
| Zaznavanje in odziv | A.8.15 beleženje, A.8.16 dejavnosti spremljanja, A.6.8 poročanje o dogodkih informacijske varnosti | Zenith Controls | Opozorila SIEM, postopki spremljanja, usposabljanje za poročanje o incidentih, rezultati namiznih vaj |
| Kriptografska zaščita | A.8.24 uporaba kriptografije | ISO/IEC 27001:2022 Annex A | Standardi šifriranja, dokazila upravljanja ključev, konfiguracija TLS, poročila o šifriranju shrambe |
| Celovitost dokazil | A.5.33 varovanje zapisov | Zenith Controls | Nadzorovane presojne mape, časovni žigi izvozov, pravila hrambe, dnevniki dostopa |
Regulator morda ne bo uporabljal terminologije ISO, vendar pot dokazil ostaja enaka. Pokažite, da je zahteva identificirana, predmet ocene tveganj, obravnavana, uvedena, spremljana, poročana vodstvu in izboljševana.
Uporabite Zenith Blueprint za prehod od načrta do dokazil
Zenith Blueprint: An Auditor’s 30-Step Roadmap ekipam daje praktično pot od namere do dokazil. V fazi ISMS Foundation & Leadership, Step 5, Communication, Awareness, and Competence, Blueprint organizacijam naroča, naj opredelijo zahtevane kompetence, ocenijo trenutne kompetence, zagotovijo usposabljanje za odpravo vrzeli, vzdržujejo zapise o kompetencah in kompetence obravnavajo kot stalno zahtevo.
Operativna naloga v Blueprint je namenoma praktična:
Izvedite hitro analizo potreb po usposabljanju. Navedite ključne vloge ISMS (iz Step 4) in za vsako zapišite znano usposabljanje ali certifikacijo, ki jo ima, ter dodatno usposabljanje, ki bi lahko bilo koristno. Navedite tudi splošne teme varnostne ozaveščenosti, potrebne za vse zaposlene. Na tej podlagi pripravite preprost načrt usposabljanja za naslednje leto – npr. »Q1: ozaveščanje o varnosti za vse osebje; Q2: napredno usposabljanje za odziv na incidente za IT; Q3: usposabljanje za notranjega presojevalca ISO 27001 za dva člana ekipe; …«.
V fazi Controls in Action, Step 15, People Controls I, Zenith Blueprint priporoča obvezno letno usposabljanje za vse zaposlene, vlogam prilagojene module, varnostno uvajanje novih zaposlenih v prvem tednu, simulirane kampanje spletnega ribarjenja, varnostne biltene, seznanitve ekip, dokazila o udeležbi, ciljne varnostne biltene po nastajajočih grožnjah ter usposabljanje za pogodbene izvajalce ali tretje osebe z dostopom.
Step 16, People Controls II, opozarja, da bodo presojevalci testirali izvedbo, ne le dokumentacije. Pri delu na daljavo lahko presojevalci zahtevajo Politiko dela na daljavo, dokazila o VPN ali šifriranju končnih točk, uvedbo MDM, omejitve BYOD in zapise o usposabljanju, ki dokazujejo previdnostne ukrepe pri delu na daljavo. Če je hibridno delo del operativnega modela, morajo dokazila usposabljanja NIS2 vključevati varno uporabo Wi‑Fi, zaklepanje naprav, odobreno shranjevanje, MFA in poročanje o sumljivi dejavnosti iz domačih okolij.
Step 19, Technological Controls I, povezuje kibernetsko higieno s tehnično plastjo kontrol. Zenith Blueprint priporoča pregled poročil o popravkih, skeniranja ranljivosti, varnih izhodišč, pokritosti EDR, dnevnikov zlonamerne programske opreme, opozoril DLP, obnovitev varnostnih kopij, dokazil redundance, izboljšav beleženja in sinhronizacije časa. Article 21(2)(g) ni mogoče ocenjevati izolirano. Usposobljena delovna sila še vedno potrebuje popravljene končne točke, spremljane dnevnike, testirane varnostne kopije in varne konfiguracije.
Naj bo načrt usposabljanja utemeljen na tveganjih z ISO/IEC 27005:2022
Pogosta presojna slabost je generičen načrt usposabljanja, ki je enak za razvijalce, finance, podporo, izvršno vodstvo in pogodbene izvajalce. ISO/IEC 27005:2022 pomaga preprečiti to slabost, ker usposabljanje obravnava kot del obravnave tveganja.
Klavzula 6.2 priporoča identifikacijo osnovnih zahtev relevantnih zainteresiranih strani in stanja skladnosti, vključno z ISO/IEC 27001:2022 Annex A, drugimi standardi ISMS, sektorskimi zahtevami, nacionalnimi in mednarodnimi predpisi, internimi varnostnimi pravili, pogodbenimi varnostnimi kontrolami in kontrolami, že uvedenimi s predhodno obravnavo tveganj. To podpira eno evidenco zahtev namesto ločenih preglednic za NIS2, ISO, DORA, GDPR, stranke in zavarovanje.
Klavzule 6.4.1 do 6.4.3 pojasnjujejo, da morajo merila za sprejem tveganja in presojo upoštevati pravne in regulativne vidike, operativne dejavnosti, odnose z dobavitelji, tehnološke in finančne omejitve, zasebnost, škodo za ugled, pogodbene kršitve, kršitve ravni storitev in vplive na tretje osebe. Incident spletnega ribarjenja, ki prizadene interni sistem za varnostne biltene, je drugačen od kompromitacije poverilnic, ki prizadene upravljano varnostno storitev, platformo podpore strankam, plačilno integracijo ali delovanje DNS.
Klavzule 7.1 do 7.2.2 zahtevajo dosledno in ponovljivo oceno tveganj, vključno s tveganji za zaupnost, celovitost in razpoložljivost ter imenovanimi lastniki tveganj. Klavzule 8.2 do 8.6 nato usmerjajo izbiro obravnave, določitev kontrol, primerjavo z Annex A, dokumentiranje izjave o uporabnosti in podrobnosti načrta obravnave tveganj.
Usposabljanje je ena obravnava, ne edina. Če ponavljajoče se simulacije spletnega ribarjenja pokažejo, da so uporabniki v financah ranljivi za goljufije z računi, lahko načrt obravnave vključuje dopolnilno usposabljanje, močnejši odobritveni delovni tok za plačila, pogojni dostop, spremljanje pravil poštnih predalov in vaje scenarijev goljufij za izvršno vodstvo.
Klavzule 9.1, 9.2, 10.4.2, 10.5.1 in 10.5.2 poudarjajo načrtovano ponovno presojo, dokumentirane metode, spremljanje učinkovitosti in posodobitve ob novih ranljivostih, sredstvih, uporabi tehnologije, zakonih, incidentih ali spremembah apetita po tveganju. To dokazuje, da organizacija načrta usposabljanja ne zamrzne enkrat letno.
Ponovno uporabite ista dokazila za NIS2, DORA, GDPR, NIST in COBIT
Najmočnejši paket dokazil NIS2 mora podpirati več pogovorov o zagotovilih.
NIS2 Article 4 priznava, da lahko sektorski pravni akti Unije nadomestijo ustrezne obveznosti NIS2 glede upravljanja tveganj in poročanja, kadar imajo vsaj enakovreden učinek. Recital 28 opredeljuje DORA kot sektorski režim za finančne subjekte v obsegu. Za zajete finančne subjekte se pravila DORA o upravljanju tveganj IKT, upravljanju incidentov, testiranju odpornosti, izmenjavi informacij in tveganjih tretjih oseb na področju IKT uporabljajo namesto ustreznih določb NIS2. NIS2 ostaja zelo pomembna za subjekte zunaj DORA in za ponudnike IKT storitev tretjih oseb, kot so ponudniki storitev v oblaku, ponudniki upravljanih storitev in ponudniki upravljanih varnostnih storitev.
DORA krepi isto logiko sistema upravljanja. Articles 4 to 6 zahtevajo sorazmerno upravljanje tveganj IKT, odgovornost organa upravljanja, jasne vloge IKT, strategijo digitalne operativne odpornosti, revizijske načrte IKT, proračune ter vire za ozaveščanje ali usposabljanje. Articles 8 to 13 zahtevajo identifikacijo sredstev in odvisnosti, zaščito in preprečevanje, kontrole dostopa, močno avtentikacijo, varnostne kopije, neprekinjeno poslovanje, odziv in obnovitev, učenje po incidentu, poročanje višjemu vodstvu o IKT ter obvezno ozaveščanje o varnosti IKT in usposabljanje za digitalno operativno odpornost. Articles 17 to 23 zahtevajo strukturirano upravljanje incidentov, razvrščanje, eskalacijo in komunikacijo s strankami. Articles 24 to 30 povezujejo testiranje z upravljanjem dobaviteljev, skrbnim pregledom, pogodbami, pravicami do revizije in izstopnimi strategijami.
GDPR dodaja plast odgovornosti za zasebnost. Article 5 zahteva celovitost in zaupnost z ustreznimi tehničnimi in organizacijskimi ukrepi, Article 5(2) pa od upravljavcev zahteva dokazovanje skladnosti. Article 6 zahteva pravno podlago za obdelavo, Articles 9 in 10 pa nalagata strožja varovala za posebne vrste podatkov in podatke, povezane s kaznivimi dejanji. Za ponudnika SaaS morajo dokazila usposabljanja vključevati zasebnost, minimizacijo podatkov, varno razkritje, eskalacijo kršitev in vlogam prilagojeno ravnanje s podatki strank.
Presojni pogledi po vzoru NIST in COBIT 2019 se pogosto pojavljajo pri zagotavljanju zagotovil strankam, notranji reviziji in poročanju organu upravljanja. Ocenjevalec po vzoru NIST bo običajno vprašal, ali sta ozaveščanje in usposabljanje utemeljena na tveganjih, prilagojena vlogam, merjena ter povezana z odzivom na incidente, identiteto, upravljanjem sredstev in stalnim spremljanjem. Presojevalec po COBIT 2019 ali ISACA se bo osredotočil na upravljanje, odgovornost, kazalnike uspešnosti, nadzor vodstva, lastništvo procesov in usklajenost s cilji podjetja.
| Pogled okvira | Kaj zanima presojevalca | Dokazila za pripravo |
|---|---|---|
| NIS2 Article 21 | Sorazmerni ukrepi za kibernetsko tveganje, kibernetska higiena, usposabljanje, nadzor vodstva | Preslikava Article 21, odobritev organa upravljanja, načrt usposabljanja, KPI kibernetske higiene, dokazila pripravljenosti na incidente |
| ISO/IEC 27001:2022 | Obseg ISMS, obravnava tveganj, kompetence, ozaveščenost, spremljanje, notranja presoja, izboljševanje | Obseg, register tveganj, SoA, matrika kompetenc, zapisi o usposabljanju, poročilo presoje, korektivni ukrepi |
| DORA | Življenjski cikel tveganj IKT, usposabljanje za odpornost, testiranje, razvrščanje incidentov, tveganje tretjih oseb na področju IKT | Okvir tveganj IKT, usposabljanje za odpornost, rezultati testiranja, postopek za incidente, evidenca dobaviteljev |
| GDPR | Odgovornost, varstvo podatkov, ozaveščanje o kršitvah zasebnosti, zaupnost, minimizacija | Usposabljanje o zasebnosti, zemljevid vlog pri obdelavi, dokazila eskalacije kršitev, postopki ravnanja s podatki |
| Pregled po vzoru NIST | Ozaveščanje na podlagi vlog, merljivo delovanje kontrol, spremljanje, odziv | Matrika vlog, metrike simulacij, dokazila dostopa, dokazila beleženja, rezultati namiznih vaj |
| Pregled COBIT 2019 ali ISACA | Upravljanje, lastništvo procesov, uspešnost, zagotovilo o kontrolah, poročanje vodstvu | RACI, nadzorna plošča KPI, zapisniki vodstvenih pregledov, program notranje revizije, sledenje odpravi vrzeli |
Praktična korist je preprosta: en paket dokazil, več presojnih narativov.
Kako bodo presojevalci testirali isto kontrolo
Presojevalec ISO/IEC 27001:2022 bo začel pri ISMS. Vprašal bo, ali so zahteve glede kompetenc in ozaveščenosti določene, ali osebje razume svoje odgovornosti, ali se zapisi hranijo, ali notranje presoje testirajo proces in ali vodstveni pregled obravnava uspešnost ter izboljšave. Lahko vzorči zaposlene in jih vpraša, kako prijaviti incident, kako se uporablja MFA, katera so pravila sprejemljive uporabe ali kaj storiti po prejemu sumljive e-pošte.
Nadzorni pregled po NIS2 bo bolj usmerjen v rezultate in tveganja za storitve. Pregledovalec lahko vpraša, kako kibernetska higiena zmanjšuje tveganje za zagotavljanje storitev, kako je vodstvo odobrilo ukrepe, kako je usposabljanje prilagojeno bistvenim storitvam, kako so zajeti zaposleni tretjih oseb, kako se ocenjuje učinkovitost in kako bi organizacija sporočila pomembne kibernetske grožnje ali incidente po Article 23. Ker Article 23 za pomembne incidente vključuje zgodnje opozorilo v 24 urah in obvestilo o incidentu v 72 urah, mora usposabljanje vključevati prepoznavanje in hitro eskalacijo.
Presojevalec DORA pri finančnem subjektu bo ozaveščanje povezal z digitalno operativno odpornostjo. Vpraša lahko, ali sta ozaveščanje o varnosti IKT in usposabljanje za odpornost obvezna, ali poročanje višjemu vodstvu o IKT doseže organ upravljanja, ali so merila razvrščanja incidentov razumljena, ali so bile krizne komunikacije preizkušene in ali ponudniki tretjih oseb sodelujejo pri usposabljanju, kadar je to pogodbeno relevantno.
Presojevalec GDPR ali zasebnosti se bo osredotočil na to, ali osebje razume osebne podatke, vloge pri obdelavi, zaupnost, prepoznavanje kršitev, eskalacijo kršitev, minimizacijo podatkov in varno razkritje. Pričakoval bo, da se usposabljanje razlikuje za podporo, kadrovsko službo, razvijalce in administratorje, ker te vloge ustvarjajo različna tveganja za zasebnost.
Notranji presojevalec COBIT 2019 ali ISACA bo vprašal, kdo je lastnik procesa, katere cilje podpira, kako se meri uspešnost, katere izjeme obstajajo, ali se korektivni ukrepi spremljajo in ali vodstvo prejema smiselno poročanje, ne le všečne metrike.
Pogoste ugotovitve glede pripravljenosti usposabljanja NIS2
Najpogostejša ugotovitev je nepopolna pokritost populacije. Poročilo LMS kaže 94 % dokončanje, vendar manjkajočih 6 % vključuje privilegirane administratorje, pogodbene izvajalce ali nove zaposlene. Presojevalci ne bodo sprejeli odstotka, če ni jasno, kdo manjka in zakaj.
Druga ugotovitev je pomanjkanje občutljivosti na vloge. Vsi prejmejo isti letni modul, vendar razvijalci niso usposobljeni za varno kodiranje, agenti podpore niso usposobljeni za preverjanje identitete, izvršno vodstvo pa ni usposobljeno za dolžnosti upravljanja ali krizne odločitve. NIS2 Article 20 in Article 21 to težko zagovarjata.
Tretja ugotovitev so šibka dokazila učinkovitosti. Dokončanje ni enako razumevanju ali spremembi vedenja. Presojevalci vse pogosteje pričakujejo rezultate kvizov, trende spletnega ribarjenja, trende poročanja o incidentih, pridobljene izkušnje iz namiznih vaj, zmanjšanje ponavljajočih se neuspehov in korektivne ukrepe.
Četrta ugotovitev je nepovezana tehnična higiena. Usposabljanje pravi »prijavite sumljivo dejavnost«, vendar ni testiranega kanala za poročanje. Usposabljanje pravi »uporabljajte MFA«, vendar storitveni računi obidejo MFA. Usposabljanje pravi »varujte podatke«, vendar se produkcijski podatki pojavljajo v testnih okoljih. Article 21 pričakuje sistem kontrol, ne sloganov.
Peta ugotovitev je slaba celovitost zapisov. Dokazila so shranjena v urejevalni preglednici brez lastnika, časovnega žiga izvoza, nadzora dostopa ali uskladitve s kadrovskimi zapisi. Razmerja kontrol ISO/IEC 27002:2022 v Zenith Controls se z razlogom vračajo k varovanju zapisov. Dokazila morajo biti zaupanja vredna.
10-dnevni sprint odprave vrzeli za dokazila, pripravljena za presojo
Če je vaša organizacija pod pritiskom, začnite z osredotočenim sprintom.
| Dan | Ukrep | Rezultat |
|---|---|---|
| Dan 1 | Potrdite uporabo NIS2 in obseg storitev | Odločitev o bistvenem ali pomembnem subjektu, storitve v obsegu, podporne funkcije |
| Dan 2 | Zgradite evidenco zahtev | NIS2 Articles 20, 21, 23, klavzule ISO, kontrole Annex A, GDPR, DORA, pogodbe, zahteve zavarovanja |
| Dan 3 | Ustvarite matriko usposabljanja na podlagi vlog | Usposabljanje, preslikano na skupine delovnih mest, privilegirani dostop, razvijalce, podporo, pogodbene izvajalce, izvršno vodstvo |
| Dan 4 | Preslikajte usposabljanje na scenarije tveganj | Spletno ribarjenje, kompromitacija poverilnic, uhajanje podatkov, izsiljevalska programska oprema, napačna konfiguracija, kompromitacija dobavitelja, kršitev zasebnosti |
| Dan 5 | Zberite dokazila | Izvozi LMS, potrditve, poročila o spletnem ribarjenju, zapisi uvajanja, zapisi pogodbenih izvajalcev, udeležba izvršnega vodstva |
| Dan 6 | Uskladite dokazila | Populacija usposabljanja preverjena glede na kadrovske zapise, skupine identitet, privilegirane račune, sezname pogodbenih izvajalcev |
| Dan 7 | Preverite razumevanje zaposlenih | Zapiski intervjujev, ki kažejo, da osebje pozna poročanje o incidentih, pričakovanja MFA, ravnanje s sumljivo e-pošto, pravila glede podatkov |
| Dan 8 | Preglejte tehnične kontrole higiene | MFA, varnostne kopije, EDR, nameščanje popravkov, skeniranje ranljivosti, beleženje, spremljanje, dokazila varne konfiguracije |
| Dan 9 | Pripravite paket za vodstveni pregled | Dokončanje, izjeme, trendi spletnega ribarjenja, odprti ukrepi, vloge z visokim tveganjem, incidenti, proračunske potrebe |
| Dan 10 | Posodobite načrt obravnave tveganj in SoA | Preostalo tveganje, lastniki, roki, merila učinkovitosti, posodobitve izjave o uporabnosti |
Ta sprint vam da zagovorljivo izhodišče dokazil. Ne nadomešča stalnega delovanja ISMS, vendar vzpostavi strukturo, ki jo pričakujejo regulatorji in presojevalci.
Kako je videti dobro stanje
Zrel program kibernetske higiene in usposabljanja po NIS2 Article 21 ima pet značilnosti.
Prvič, viden je organu upravljanja. Vodstvo odobri pristop, vidi smiselne metrike, razume preostalo tveganje in financira izboljšave.
Drugič, temelji na tveganjih. Usposabljanje se razlikuje glede na vlogo, kritičnost storitve, raven dostopa, izpostavljenost podatkom in odgovornost pri incidentih.
Tretjič, vodi ga dokazilna podlaga. Zapisi o dokončanju, potrditve, simulacije, namizne vaje, poročila tehnične higiene in korektivni ukrepi so popolni, usklajeni in varovani.
Četrtič, upošteva več okvirov skladnosti. Ista dokazila podpirajo NIS2, ISO/IEC 27001:2022, DORA, GDPR, zagotovila po vzoru NIST in poročanje o upravljanju po COBIT 2019.
Petič, izboljšuje se. Incidenti, ugotovitve presoje, spremembe zakonodaje, spremembe dobaviteljev, nove tehnologije in nastajajoče grožnje posodabljajo načrt usposabljanja.
Ta zadnja točka je razlika med gledališčem skladnosti in operativno odpornostjo.
Naslednji koraki s Clarysec
Če vaša vodstvena ekipa sprašuje: »Ali lahko jutri dokažemo kibernetsko higieno in usposabljanje za kibernetsko varnost po NIS2 Article 21?«, vam Clarysec pomaga preiti od razpršenih dokazil do paketa dokazil ISMS, pripravljenega za presojo.
Začnite z Zenith Blueprint, da strukturirate kompetence, ozaveščanje, kontrole, povezane z ljudmi, prakse dela na daljavo, upravljanje ranljivosti, varnostne kopije, beleženje, spremljanje in ukrepe tehnične higiene po 30-koračnem časovnem načrtu.
Uporabite Zenith Controls za navzkrižno sklicevanje pričakovanj ISO/IEC 27002:2022 glede ozaveščanja, sprejemljive uporabe, skladnosti, spremljanja, zapisov in zagotovil v pogovorih o presoji NIS2, ISO/IEC 27001:2022, DORA, GDPR, NIST in COBIT 2019.
Nato zahteve operacionalizirajte s Clarysecovimi Politika ozaveščanja in usposabljanja za informacijsko varnost, Politika ozaveščanja in usposabljanja za informacijsko varnost - SME in Politika informacijske varnosti - SME.
Vaš takojšnji ukrep je preprost: ta teden pripravite enostransko mapo dokazil usposabljanja po NIS2 Article 21. Navedite vloge v obsegu, dodeljeno usposabljanje, dokazila o dokončanju, potrditve seznanitve s politiko, metrike spletnega ribarjenja, dokazila tehnične kibernetske higiene, datum vodstvenega pregleda in korektivne ukrepe. Če je katero koli polje prazno, ste našli naslednjo nalogo odprave vrzeli za presojo.
Za hitrejšo pot prenesite predloge politik Clarysec, uporabite časovni načrt Zenith Blueprint in načrtujte oceno pripravljenosti dokazil NIS2, da svoje trenutne zapise o usposabljanju, kontrole kibernetske higiene in ISMS po ISO/IEC 27001:2022 pretvorite v eno zagovorljivo presojno mapo.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
