NIST CSF 2.0 Govern za MSP in ISO 27001
Sarah, novo imenovana direktorica za informacijsko varnost (CISO) v hitro rastočem FinTech MSP, je imela tablo polno okvirov in en nepremakljiv rok. NIST CSF 2.0. ISO 27001:2022. NIS2. DORA. GDPR. Tveganja dobaviteljev. Odgovornost upravnega odbora. Skrbni pregled velike poslovne stranke.
Sprožilec je bil znan: preglednica velike stranke iz sektorja finančnih storitev. Nabava je zahtevala dokazila o modelu upravljanja kibernetske varnosti, apetitu po tveganju, programu varnosti dobaviteljev, preslikavi zakonskih in regulativnih obveznosti, procesu eskalacije incidentov ter usklajenosti z ISO 27001:2022.
Generalna direktorica ni želela predavanja o skladnosti. Želela je preprost odgovor na težko vprašanje: »Kako upravnemu odboru, strankam in regulatorjem dokažemo, da obvladujemo kibernetsko tveganje?«
To je problem upravljanja, s katerim se srečujejo številna MSP. Vprašalnik stranke redko ostane zgolj vprašalnik stranke. Pogosto gre za pet pogovorov o skladnosti, strnjenih v eno zahtevo. NIST CSF 2.0, ISO/IEC 27001:2022, GDPR, NIS2, pričakovanja glede dobaviteljev, ki izhajajo iz DORA, odpornost v oblaku, nadzor upravnega odbora in pogodbene zaveze so pogosto skriti v isti zahtevi za dokazila.
Številna MSP se odzovejo z ločenimi artefakti: preglednico NIST, mapo za certifikacijo ISO, sledilnikom GDPR, registrom tveganj dobaviteljev in načrtom odzivanja na incidente, ki med seboj niso povezani. Šest mesecev pozneje nihče ne ve, kateri dokument je avtoritativen.
Pristop Clarysec je drugačen. Funkcijo NIST CSF 2.0 Govern uporabite kot izvršno upravljavsko plast, nato pa jo preslikajte v politike ISO 27001:2022, obravnavo tveganj, izjavo o uporabnosti, nadzor dobaviteljev, pregled vodstva in presojna dokazila. Rezultat ni dodatno delo na področju skladnosti. Je enoten operativni model, ki lahko presojevalcem, strankam, regulatorjem in vodstvu odgovori z istim naborom dokazil.
Zakaj je funkcija NIST CSF 2.0 Govern pomembna za MSP
NIST CSF 2.0 upravljanje povzdigne v samostojno funkcijo poleg Identify, Protect, Detect, Respond in Recover. Ta sprememba je pomembna, ker večina varnostnih odpovedi v MSP ne nastane zaradi odsotnosti še enega orodja. Nastane zaradi nejasne odgovornosti za upravljanje, šibkih odločitev o tveganjih, nedokumentiranih izjem, nedoslednega nadzora dobaviteljev in politik, ki so bile enkrat odobrene, nikoli pa operativno uvedene.
Funkcija NIST CSF 2.0 Govern spremeni vprašanje iz »katere kontrole imamo?« v »kdo je odgovoren, katere obveznosti veljajo, kako se tveganja prednostno obravnavajo in kako se pregleduje uspešnost?«
Za MSP rezultati Govern zagotavljajo praktičen mandat:
- razumeti in upravljati zakonske, regulativne, pogodbene, zasebnostne in civilnopravne obveznosti;
- določiti apetit po tveganju, toleranco do tveganja, točkovanje tveganj, prednostno razvrščanje in možnosti odziva na tveganja;
- opredeliti vloge, odgovornosti, pooblastila, eskalacijske poti in vire za kibernetsko varnost;
- vzpostaviti, komunicirati, uveljavljati, pregledovati in posodabljati politike kibernetske varnosti;
- pregledovati strategijo kibernetske varnosti, uspešnost in odgovornost vodstva;
- upravljati kibernetsko tveganje dobaviteljev in tretjih oseb od skrbnega pregleda do izstopa.
Zato je NIST CSF 2.0 Govern tako močna vstopna točka za ISO 27001:2022. NIST daje vodstvu jezik upravljanja. ISO 27001:2022 daje preverljiv sistem upravljanja.
Klavzule ISO 27001:2022 od 4 do 10 od organizacij zahtevajo razumevanje konteksta, opredelitev zainteresiranih strani, določitev obsega ISMS, dokazovanje voditeljstva, načrtovanje ocene in obravnave tveganj, podporo dokumentiranim informacijam, izvajanje kontrol, vrednotenje uspešnosti, izvedbo notranjih presoj in pregledov vodstva ter nenehno izboljševanje. Priloga A nato zagotavlja referenčni nabor kontrol, vključno s politikami, odgovornostmi vodstva, zakonskimi obveznostmi, zasebnostjo, odnosi z dobavitelji, storitvami v oblaku, upravljanjem incidentov in pripravljenostjo IKT za neprekinjeno poslovanje.
Clarysecova podjetniška Politika informacijske varnosti Politika informacijske varnosti določa:
Organizacija mora vzdrževati formalni model upravljanja za nadzor ISMS, usklajen s klavzulama ISO/IEC 27001 5.1 in 9.3.
Ta zahteva iz klavzule 5.1 Politike informacijske varnosti je praktični most med odgovornostjo NIST GV in pričakovanji ISO 27001:2022 glede voditeljstva. Upravljanje ni letna predstavitev. Je formalni model, ki povezuje odločitve, politike, vloge, tveganja, kontrole, dokazila in pregled.
Osrednja preslikava: NIST CSF 2.0 Govern v dokazila ISO 27001:2022
Najhitrejši način, da NIST CSF 2.0 postane uporaben, je pretvorba rezultatov Govern v lastništvo politik in presojna dokazila. Spodnja tabela prikazuje strukturo, ki jo Clarysec uporablja z MSP pri pripravi na certifikacijo ISO 27001:2022, skrbni pregled velikih poslovnih strank, pripravljenost na NIS2, zagotavljanje zaupanja naročnikov po DORA in odgovornost po GDPR.
| Področje NIST CSF 2.0 Govern | Vprašanje upravljanja za MSP | Uskladitev z ISO 27001:2022 | Sidro politike Clarysec | Dokazila, ki jih pričakujejo presojevalci in stranke |
|---|---|---|---|---|
| GV.OC, organizacijski kontekst | Ali poznamo svoje zakonske, regulativne, pogodbene, zasebnostne in poslovne obveznosti? | Klavzule 4.1 do 4.4, Priloga A 5.31 in 5.34 | Politika pravne in regulativne skladnosti | Evidenca skladnosti, obseg ISMS, register zainteresiranih strani, zemljevid obveznosti strank, register zasebnosti |
| GV.RM, strategija obvladovanja tveganj | Kako opredeljujemo, točkujemo, prednostno razvrščamo, sprejemamo in obravnavamo kibernetska tveganja? | Klavzule 6.1.1 do 6.1.3, 8.2 in 8.3 | Politika obvladovanja tveganj | Metodologija tveganj, register tveganj, načrt obravnave tveganj, odobritve lastnikov tveganj, preslikava SoA |
| GV.RR, vloge in odgovornosti | Kdo je lastnik odločitev o kibernetski varnosti, izjem, virov in poročanja? | Klavzule 5.1 do 5.3, Priloga A 5.2 in 5.4 | Politika vlog in odgovornosti pri upravljanju za MSP | RACI, opisi vlog, zapisniki sestankov, odobritve izjem, evidence opravljenih usposabljanj |
| GV.PO, politika | Ali so politike odobrene, komunicirane, uveljavljene, pregledane in posodobljene? | Klavzule 5.2, 7.5 in 9.3, Priloga A 5.1 | Politika informacijske varnosti | Register politik, zapisi o odobritvah, evidenca različic, potrditve zaposlenih, zapisniki pregledov politik |
| GV.OV, nadzor | Ali se strategija in uspešnost kibernetske varnosti pregledujeta in prilagajata? | Klavzule 9.1, 9.2, 9.3, 10.1 in 10.2 | Politika spremljanja presoj in skladnosti | Nadzorna plošča KPI, načrt notranjih presoj, rezultati pregleda vodstva, korektivni ukrepi |
| GV.SC, tveganje dobavne verige | Ali so dobavitelji znani, prednostno razvrščeni, ocenjeni, pogodbeno urejeni, spremljani in izključeni ob prenehanju sodelovanja? | Priloga A 5.19 do 5.23 in 5.30 | Politika varnosti tretjih oseb in dobaviteljev za MSP | Popis dobaviteljev, evidence skrbnega pregleda, pogodbene klavzule, dnevniki pregledov, izhodni načrti, kontakti za incidente |
Ta preslikava je namenoma najprej usmerjena v dokazila. Od MSP ne zahteva priprave 40 dokumentov. Zastavlja pet operativnih vprašanj:
- Katera odločitev se sprejema?
- Kdo je njen lastnik?
- Katera politika jo ureja?
- Katera klavzula ISO 27001:2022 ali kontrola iz Priloge A jo podpira?
- Katero dokazilo potrjuje, da je bila izvedena?
Politika vlog in odgovornosti pri upravljanju za MSP Politika vlog in odgovornosti pri upravljanju za MSP to sledljivost izrecno določa:
Vse pomembne varnostne odločitve, izjeme in eskalacije morajo biti evidentirane in sledljive.
Ta navedek izhaja iz klavzule 5.5 Politike vlog in odgovornosti pri upravljanju za MSP. NIST GV.RR pretvori iz načela upravljanja v preverljivo operativno pravilo.
Začnite s profilom CSF Govern, ne s preglednico kontrol
Organizacijski profili NIST CSF 2.0 organizacijam pomagajo opisati trenutne in ciljne rezultate kibernetske varnosti. Za MSP je profil mesto, kjer upravljanje postane obvladljivo.
Praktična delavnica za profil Govern mora odgovoriti na pet vprašanj:
- Kaj je v obsegu: celotno podjetje, platforma SaaS, reguliran produkt ali okolje stranke?
- Katere obveznosti usmerjajo profil: pogodbe s strankami, GDPR, izpostavljenost NIS2, pričakovanja strank po DORA, certifikacija ISO 27001:2022 ali skrbni pregled vlagateljev?
- Kaj trenutna dokazila dejansko dokazujejo, ne kaj ljudje menijo, da obstaja?
- Katero ciljno stanje je realno v naslednjih 90 dneh in v naslednjih 12 mesecih?
- Katera tveganja, politike, dobavitelji in vnosi v SoA se morajo spremeniti?
Zenith Blueprint: revizorjev 30-koračni časovni načrt Zenith Blueprint to podpira v fazi temeljev ISMS in vodstva, v 6. koraku, »Dokumentirane informacije in gradnja knjižnice ISMS«. Priporoča zgodnjo pripravo SoA in uporabo SoA kot knjižnice kontrol:
✓ Dodatne kontrole: Ali obstajajo kontrole zunaj Priloge A, ki bi jih morda vključili? ISO 27001 omogoča dodajanje drugih kontrol v SoA. Morda želite na primer vključiti skladnost z NIST CSF ali posebne kontrole zasebnosti iz ISO 27701. Priloga A je praviloma celovita, vendar lahko dodate vse posebne kontrole, ki jih načrtujete.
✓ Uporabite preglednico (SoA Builder): Praktičen pristop je, da preglednico SoA pripravite zdaj. Pripravili smo predlogo SoA_Builder.xlsx, ki navaja vse kontrole Priloge A s stolpci za uporabnost, stanje implementacije in opombe.
Za MSP je to pomembno. NIST CSF 2.0 vam ni treba na silo umeščati v Prilogo A ISO, kot da sta enaka. Rezultate CSF Govern lahko vključite kot dodatne zahteve upravljanja v svojo knjižnico SoA, jih preslikate na klavzule ISO 27001:2022 in kontrole iz Priloge A ter jih uporabite za izboljšanje pregleda vodstva, upravljanja dobaviteljev, poročanja o tveganjih in spremljanja skladnosti.
Vzpostavite register dokazil Govern
Register dokazil Govern je praktično orodje, ki okvire pretvori v dokaz. Vsak rezultat NIST mora povezati z referenco ISO, lastnikom politike, dokazilom, pogostostjo pregleda, vrzeljo in ukrepom.
| Polje | Primer vnosa |
|---|---|
| Rezultat CSF | GV.OC-03 |
| Vprašanje upravljanja | Ali so zakonske, regulativne, pogodbene, zasebnostne in civilnopravne obveznosti razumljene in upravljane? |
| Referenca ISO 27001:2022 | Klavzule 4.2, 4.3 in 6.1.3, Priloga A 5.31 in 5.34 |
| Politika Clarysec | Politika pravne in regulativne skladnosti |
| Lastnik dokazila | Vodja skladnosti |
| Dokazilo | Evidenca skladnosti v1.4, zemljevid obveznosti strank, register obdelave GDPR |
| Pogostost pregleda | Četrtletno in ob novih spremembah trga, stranke ali produkta |
| Vrzel | Pogodbene klavzule DORA, prenesene s strani strank, niso preslikane v pogodbe z dobavitelji |
| Ukrep | Posodobiti predlogo pogodbe z dobaviteljem in opombe SoA |
| Rok zapadlosti | 30 dni |
Clarysecova podjetniška Politika pravne in regulativne skladnosti Politika pravne in regulativne skladnosti določa zahtevo upravljanja:
Vse zakonske in regulativne obveznosti morajo biti preslikane na določene politike, kontrole in lastnike znotraj sistema upravljanja informacijske varnosti (ISMS).
To je klavzula 6.2.1 Politike pravne in regulativne skladnosti. Za MSP Politika pravne in regulativne skladnosti za MSP Politika pravne in regulativne skladnosti za MSP dodaja praktično zahtevo medsebojne preslikave:
Kadar se predpis uporablja na več področjih (npr. GDPR velja za hrambo, varnost in zasebnost), mora biti to jasno preslikano v evidenci skladnosti in gradivih za usposabljanje.
Ta navedek izhaja iz klavzule 5.2.2 Politike pravne in regulativne skladnosti za MSP. Ti klavzuli skupaj GV.OC-03 pretvorita v upravljan, pregledljiv in za presojo pripravljen proces.
Povežite točkovanje tveganj z obravnavo tveganj in SoA
NIST GV.RM zahteva cilje tveganj, apetit po tveganju, toleranco do tveganja, standardiziran izračun tveganja, možnosti odziva in komunikacijske poti. ISO 27001:2022 to operativno uresničuje z oceno tveganj, obravnavo tveganj, odobritvijo lastnika tveganja, sprejemom preostalega tveganja in izjavo o uporabnosti.
Politika obvladovanja tveganj za MSP Politika obvladovanja tveganj za MSP je namenoma konkretna:
Vsak vnos tveganja mora vključevati: opis, verjetnost, vpliv, oceno, lastnika in načrt obravnave tveganja.
To izhaja iz klavzule 5.1.2 Politike obvladovanja tveganj za MSP. Podjetniška Politika obvladovanja tveganj Politika obvladovanja tveganj dodatno utrjuje povezavo s SoA:
Izjava o uporabnosti (SoA) mora odražati vse odločitve o obravnavi tveganja in se mora posodobiti ob vsaki spremembi pokritosti kontrol.
To je klavzula 5.4 Politike obvladovanja tveganj.
Upoštevajte realno tveganje MSP: nepooblaščen dostop do produkcijskih podatkov strank zaradi nedoslednega uveljavljanja MFA v računih za upravljanje oblaka.
Močna preslikava Govern bi vključevala:
- NIST GV.RM za standardizirano dokumentiranje tveganj in prednostno razvrščanje.
- NIST GV.RR za lastništvo vlog in pooblastilo za uveljavljanje nadzora dostopa.
- NIST GV.PO za uveljavljanje in pregled politike.
- Klavzule ISO 27001:2022 6.1.2, 6.1.3, 8.2 in 8.3.
- Kontrole iz Priloge A za nadzor dostopa, upravljanje identitet, avtentikacijske informacije, beleženje, spremljanje, konfiguracijo in storitve v oblaku.
- Dokazila, kot so vnos v register tveganj, izvoz konfiguracije MFA, odobritev izjeme, pregled IAM v oblaku, odločitev pregleda vodstva in posodobljena opomba SoA.
Zenith Blueprint, faza obvladovanja tveganj, 13. korak, »Načrtovanje obravnave tveganj in izjava o uporabnosti«, pojasnjuje povezavo:
✓ Zagotovite uskladitev z registrom tveganj: vsaka omilitvena kontrola, ki ste jo zapisali v načrt obravnave tveganja, mora ustrezati kontroli iz Priloge A, označeni kot »uporabna«. Nasprotno pa morate za vsako kontrolo, označeno kot uporabno, imeti tveganje ali zahtevo, ki jo utemeljuje.
To je razlika med izjavo »uporabljamo MFA« in dokazom »imamo upravljan, na tveganjih temelječ in z ISO 27001:2022 usklajen razlog za MFA, z dokazili, lastnikom in pogostostjo pregleda«.
Upravljajte tveganje dobaviteljev brez preobsežnega programa
NIST GV.SC je eden najuporabnejših delov funkcije Govern za MSP, ker so sodobna MSP močno odvisna od dobaviteljev: ponudnikov storitev v oblaku, plačilnih procesorjev, kadrovskih platform, sistemov za pomoč uporabnikom, repozitorijev kode, orodij CI/CD, orodij za spremljanje in upravljanih varnostnih storitev.
ISO 27001:2022 Priloga A to podpira s kontrolami za dobavitelje in oblak, vključno s 5.19 Informacijska varnost v odnosih z dobavitelji, 5.20 Obravnavanje informacijske varnosti v sporazumih z dobavitelji, 5.21 Upravljanje informacijske varnosti v dobavni verigi IKT, 5.22 Spremljanje, pregled in upravljanje sprememb storitev dobaviteljev, 5.23 Informacijska varnost pri uporabi storitev v oblaku in 5.30 Pripravljenost IKT za neprekinjeno poslovanje.
Politika varnosti tretjih oseb in dobaviteljev za MSP Politika varnosti tretjih oseb in dobaviteljev za MSP jasno določa zahtevo glede dokazil:
Ti pregledi morajo biti dokumentirani in hranjeni z zapisom dobavitelja. Nadaljnji ukrepi morajo biti jasno sledeni.
To je klavzula 6.3.2 Politike varnosti tretjih oseb in dobaviteljev za MSP.
Vitki model dobaviteljev za MSP lahko uporablja tri ravni:
| Raven dobavitelja | Merila | Minimalna dokazila | Pogostost pregleda |
|---|---|---|---|
| Kritičen | Podpira produkcijo, podatke strank, avtentikacijo, spremljanje varnosti, plačilni tok ali izvajanje regulirane storitve | Vprašalnik skrbnega pregleda, varnostne klavzule v pogodbi, SLA, kontakt za incidente, izhodni načrt, pregled tveganja | Letno in ob bistveni spremembi |
| Pomemben | Podpira poslovanje ali notranje občutljive informacije, vendar ne neposredno izvajanje kritične storitve | Varnostni povzetek, pogoji obdelave podatkov, pregled dostopa, sprejem tveganja, če obstajajo vrzeli | Vsakih 18 mesecev |
| Standarden | Nizkotvegana orodja brez občutljivih podatkov ali kritične odvisnosti | Odobritev lastnika poslovnega področja, osnovni pregled podatkov in dostopa | Ob uvedbi in podaljšanju |
Ta preprost model podpira NIST GV.SC, kontrole dobaviteljev ISO 27001:2022, skrbni pregled strank in pogodbena pričakovanja finančnih strank, ki izhajajo iz DORA.
Posebno pozornost si zasluži izstop dobavitelja. NIST GV.SC pričakuje upravljanje skozi celoten življenjski cikel dobavitelja, vključno s koncem razmerja. Dokazila morajo vključevati vračilo ali izbris podatkov, odstranitev dostopa, načrtovanje prehoda storitve, ohranjene pogodbene zapise in pregled preostalega tveganja.
Zenith Controls uporabljajte za medokvirno skladnost, ne kot ločen nabor kontrol
Clarysecov Zenith Controls: vodnik za medokvirno skladnost Zenith Controls je vodnik za medokvirno skladnost, namenjen preslikavi tem kontrol ISO/IEC 27002:2022 na več okvirov in presojnih pogledov. To niso ločene »kontrole Zenith«. Gre za kontrole ISO/IEC 27002:2022, analizirane znotraj Zenith Controls za uporabo pri medokvirni skladnosti.
Za NIST CSF 2.0 Govern so posebej pomembna tri področja kontrol ISO/IEC 27002:2022:
| Področje kontrol ISO/IEC 27002:2022 v Zenith Controls | Povezava z NIST CSF 2.0 Govern | Praktična razlaga za MSP |
|---|---|---|
| 5.1 Politike informacijske varnosti | GV.PO | Politike morajo biti odobrene, komunicirane, uveljavljene, pregledane in posodobljene, kadar se spremenijo grožnje, tehnologija, zakonodaja ali poslovni cilji |
| 5.4 Odgovornosti vodstva | GV.RR in GV.OV | Varnostne odgovornosti morajo biti dodeljene na ravni vodstva in operativni ravni, z viri, poročanjem in pregledom |
| 5.31 Zakonske, statutarne, regulativne in pogodbene zahteve | GV.OC-03 | Obveznosti morajo biti identificirane, preslikane na kontrole in lastnike, spremljane glede sprememb ter podprte z dokazili |
Zenith Blueprint, faza Controls in Action, 22. korak, »Organizacijski ukrepi«, podaja operativni model:
Formalizirajte upravljanje informacijske varnosti
Zagotovite, da so vaše politike informacijske varnosti (5.1) dokončane, odobrene in upravljane z različicami. Določite imenovane lastnike za vsako področje politike (npr. dostop, šifriranje, varnostno kopiranje) in dokumentirajte vloge in odgovornosti v celotnem ISMS (5.2). Preglejte ločevanje dolžnosti (5.3) na visoko tveganih področjih, kot so finance, sistemska administracija in nadzor sprememb. Pripravite preprost zemljevid upravljanja, ki prikazuje, kdo odobrava, kdo izvaja in kdo spremlja varnostno politiko.
Ta zemljevid upravljanja je eden najvrednejših artefaktov, ki jih MSP lahko pripravi. Odgovarja na NIST GV.RR, zahteve ISO 27001:2022 glede voditeljstva, pričakovanja NIS2 glede odgovornosti vodstva in vprašanja strank o tem, kdo je lastnik kibernetskega tveganja.
En model upravljanja za NIS2, DORA, GDPR, NIST in ISO
Funkcija Govern postane najbolj dragocena, ko se MSP srečuje s prekrivajočimi se zahtevami.
NIS2 od bistvenih in pomembnih subjektov v obsegu zahteva sprejetje ustreznih in sorazmernih ukrepov za obvladovanje tveganj kibernetske varnosti. Odgovornost nalaga tudi organom upravljanja, ki morajo odobriti ukrepe za obvladovanje tveganj kibernetske varnosti, nadzirati implementacijo in se udeleževati usposabljanja. NIST GV.RR podpira odgovornost vodstva. GV.RM podpira ukrepe na podlagi tveganj. GV.SC podpira varnost dobavne verige. GV.PO podpira politike. GV.OV podpira pregled uspešnosti.
Upravljanje incidentov po NIS2 uvaja tudi stopenjska pričakovanja poročanja, vključno z zgodnjim opozorilom v 24 urah, obvestilom o incidentu v 72 urah in končnim poročilom v enem mesecu za pomembne incidente. Ti roki morajo biti vključeni v postopke odzivanja na incidente, eskalacijske poti, komunikacijske načrte in poročanje vodstvu.
DORA se od 17. januarja 2025 uporablja za finančne subjekte v EU, vendar številna MSP njen vpliv občutijo prek pogodb s strankami. Finančne stranke lahko zahteve DORA prenesejo na ponudnike IKT, dobavitelje programske opreme, ponudnike upravljanih storitev in dobavitelje, odvisne od oblaka. DORA se osredotoča na obvladovanje IKT-tveganj, odgovornost organa upravljanja, poročanje o incidentih, testiranje odpornosti, tveganje tretjih oseb na področju IKT, pogodbene zahteve in nadzor.
GDPR dodaja odgovornost za obdelavo osebnih podatkov. MSP morajo razumeti, ali so upravljavci, obdelovalci ali oboje, katere osebne podatke obdelujejo, kateri sistemi in dobavitelji so vključeni, katere pravne podlage veljajo ter kateri scenariji incidentov bi lahko postali kršitve varnosti osebnih podatkov.
Zenith Blueprint, faza obvladovanja tveganj, 14. korak, priporoča navzkrižno sklicevanje zahtev DORA, NIS2 in GDPR v nabor kontrol ISO 27001:2022:
Za vsak predpis, če je uporaben, lahko ustvarite preprosto preslikovalno tabelo (lahko kot prilogo poročilu), ki navaja ključne varnostne zahteve predpisa in ustrezne kontrole/politike v vašem ISMS. To v ISO 27001 ni obvezno, vendar je koristna interna vaja, ki pomaga zagotoviti, da nič ni spregledano.
Praktičen zemljevid medokvirne skladnosti je lahko videti tako:
| Zahteva upravljanja | NIST CSF 2.0 Govern | Sidro ISO 27001:2022 | Pomen za NIS2, DORA, GDPR | Primarno dokazilo |
|---|---|---|---|---|
| Odgovornost vodstva | GV.RR in GV.OV | Klavzule 5.1, 5.3 in 9.3, Priloga A 5.4 | Nadzor organa upravljanja po NIS2, odgovornost organa upravljanja po DORA | Zemljevid upravljanja, RACI, zapisniki pregledov vodstva |
| Zakonske in pogodbene obveznosti | GV.OC-03 | Klavzule 4.2, 4.3 in 6.1.3, Priloga A 5.31 in 5.34 | Odgovornost po GDPR, pravni obseg NIS2, pogodbene zahteve DORA, prenesene na dobavitelje | Evidenca skladnosti, zemljevid obveznosti strank, register zasebnosti |
| Varnostni ukrepi na podlagi tveganj | GV.RM | Klavzule 6.1.2, 6.1.3, 8.2 in 8.3 | Ukrepi za tveganja po NIS2, okvir obvladovanja IKT-tveganj po DORA, varnost obdelave po GDPR | Register tveganj, načrt obravnave tveganj, SoA |
| Upravljanje dobaviteljev | GV.SC | Priloga A 5.19 do 5.23 in 5.30 | Varnost dobavne verige po NIS2, tveganje tretjih oseb na področju IKT po DORA, obdelovalci po GDPR | Popis dobaviteljev, skrbni pregled, pogodbe, dnevniki pregledov |
| Upravljanje politik | GV.PO | Klavzula 5.2 in Priloga A 5.1 | Vsi okviri pričakujejo dokumentirana, odobrena in komunicirana pravila | Register politik, evidenca različic, potrditve |
| Presoja in izboljševanje | GV.OV | Klavzule 9.1, 9.2, 9.3, 10.1 in 10.2 | Testiranje in odprava pomanjkljivosti po DORA, učinkovitost po NIS2, odgovornost po GDPR | Poročila notranje presoje, KPI, korektivni ukrepi |
Vrednost je v učinkovitosti. Dobro voden ISMS po ISO 27001:2022, usmerjan s funkcijo NIST CSF 2.0 Govern, lahko hkrati ustvarja ponovno uporabna dokazila za več okvirov.
Pogled presojevalca: dokazovanje, da je upravljanje dejansko vzpostavljeno
Politika na polici ni upravljanje. Presojevalci in ocenjevalci iščejo zlato nit: politiko na visoki ravni, opredeljen proces, operativni zapis, pregled vodstva in ukrep za izboljšanje.
Različni pregledovalci bodo to nit preverjali različno.
| Pogled presojevalca | Na kaj se bo osredotočil | Dokazila, ki dobro delujejo |
|---|---|---|
| Presojevalec ISO 27001:2022 | Ali je upravljanje vgrajeno v ISMS, ali je obravnava tveganj sledljiva, ali so odločitve SoA utemeljene in ali so dokumentirane informacije nadzorovane | Obseg ISMS, register politik, register tveganj, SoA, zapisniki pregledov vodstva, poročila notranje presoje, korektivni ukrepi |
| Ocenjevalec NIST CSF 2.0 | Ali obstajajo trenutni in ciljni profili, ali so vrzeli prednostno razvrščene in ali so rezultati Govern povezani s poslovnim tveganjem in nadzorom | Profil CSF, analiza vrzeli, POA&M, izjava o apetitu po tveganju, nadzorna plošča vodstva, ciljni profil dobaviteljev |
| Presojevalec COBIT 2019 ali v slogu ISACA | Ali so opredeljeni cilji upravljanja, pravice odločanja, merila uspešnosti, lastništvo kontrol in dejavnosti zagotavljanja zaupanja | Zemljevid upravljanja, RACI, nadzorna plošča KPI in KRI, potrditve lastnikov kontrol, načrt presoj, sledenje ugotovitvam |
| Pregledovalec GDPR | Ali so zasebnostne obveznosti identificirane, ali je obdelava preslikana, ali so varnostni zaščitni ukrepi ustrezni in ali obstajajo dokazila o odgovornosti | Register obdelave, preslikava pravnih podlag, DPIA, kjer je potrebna, proces odziva na kršitve, pogoji obdelave podatkov pri dobaviteljih |
| Varnostni ocenjevalec stranke | Ali lahko MSP brez pretirane zamude dokaže operativno varnost, nadzor dobaviteljev, pripravljenost na incidente in odgovornost izvršnega vodstva | Paket dokazil, politike, pregledi dobaviteljev, rezultati namiznih vaj za incidente, pregledi pravic dostopa, testi varnostnega kopiranja, varnostni časovni načrt |
Clarysecova podjetniška Politika vlog in odgovornosti pri upravljanju Politika vlog in odgovornosti pri upravljanju določa:
Upravljanje mora podpirati integracijo z drugimi področji (npr. tveganja, pravo, IT, HR), odločitve ISMS pa morajo biti sledljive do svojega vira (npr. revizijski zapisi, dnevniki pregledov, zapisniki sestankov).
To je klavzula 5.5 Politike vlog in odgovornosti pri upravljanju. Zajame bistvo medokvirne skladnosti: odločitve upravljanja morajo biti sledljive.
Politika spremljanja presoj in skladnosti za MSP Politika spremljanja presoj in skladnosti za MSP dodaja ključno disciplino dokazil:
Metapodatki (npr. kdo jih je zbral, kdaj in iz katerega sistema) morajo biti dokumentirani.
Ta navedek izhaja iz klavzule 6.2.3 Politike spremljanja presoj in skladnosti za MSP. Metapodatki dokazil so pogosto tisto, kar loči mapo posnetkov zaslona od dokazil presojne kakovosti.
Podjetniška Politika spremljanja presoj in skladnosti Politika spremljanja presoj in skladnosti dodaja zahtevo na ravni programa:
Organizacija mora vzdrževati strukturiran program spremljanja presoje in skladnosti, integriran v ISMS, ki zajema:
To je klavzula 5.1 Politike spremljanja presoj in skladnosti. Posledica za upravljanje je neposredna: presoja ni letna improvizacija. Je del delovanja ISMS.
Pogoste napake MSP pri preslikavi NIST Govern v ISO 27001:2022
Prva napaka je pretirano dokumentiranje brez lastništva. MSP napiše politike, vendar ne določi lastnikov za obravnavo tveganj, preglede dobaviteljev, odobritve izjem ali poročanje vodstvu.
Druga napaka je obravnavanje zakonskih obveznosti ločeno od ISMS. NIST GV.OC-03 zahteva, da so obveznosti razumljene in upravljane. ISO 27001:2022 zahteva, da se v ISMS upoštevajo relevantne zahteve zainteresiranih strani ter zakonske, regulativne in pogodbene obveznosti.
Tretja napaka je šibka utemeljitev SoA. SoA ni le seznam uporabnih kontrol. Je utemeljitvena datoteka, ki pojasnjuje, zakaj so kontrole vključene, izključene ali implementirane.
Četrta napaka so manjkajoča dokazila o življenjskem ciklu dobaviteljev. Upravljanje dobaviteljev vključuje uvajanje, pogodbe, spremljanje, incidente, spremembe in izstop.
Peta napaka je neuspešno posodabljanje ciljnega profila. Profil CSF se mora spremeniti, ko podjetje vstopi na novo geografsko območje, podpiše pomembno stranko, uvede kritičnega dobavitelja, zažene reguliran produkt, spremeni arhitekturo oblaka ali utrpi incident.
30-dnevni časovni načrt NIST CSF 2.0 Govern za MSP
Če mora MSP hitro napredovati, začnite z osredotočenim 30-dnevnim izvedbenim načrtom.
| Dnevi | Dejavnost | Rezultat |
|---|---|---|
| 1 do 3 | Opredelite obseg CSF Govern ter zberite obstoječe politike, pogodbe, evidence tveganj, sezname dobaviteljev in presojna dokazila | Opomba o obsegu in popis dokazil |
| 4 do 7 | Vzpostavite register dokazil Govern za GV.OC, GV.RM, GV.RR, GV.PO, GV.OV in GV.SC | Trenutni profil in začetne vrzeli |
| 8 do 12 | Obveznosti preslikajte na politike ISO 27001:2022, področja kontrol iz Priloge A in lastnike | Evidenca skladnosti in zemljevid lastništva politik |
| 13 do 17 | Posodobite register tveganj in načrt obravnave tveganj, nato uskladite vnose SoA | Register tveganj, načrt obravnave, posodobitve SoA |
| 18 do 22 | Prednostno obravnavajte upravljanje dobaviteljev, vključno z razvrščanjem kritičnih dobaviteljev, pogodbenimi vrzelmi in dokazili pregledov | Register tveganj dobaviteljev in sledilnik ukrepov |
| 23 do 26 | Pripravite paket presojnih dokazil z metapodatki, odobritvami, dnevniki pregledov in odločitvami vodstva | Paket dokazil in presojni indeks |
| 27 do 30 | Izvedite pregled vodstva in odobrite časovni načrt ciljnega profila | Zapisniki pregleda vodstva, odločitve, časovni načrt |
Ta načrt ustvari dovolj dokazil upravljanja za odgovore na resna vprašanja strank in presoj, hkrati pa gradi temelje za certifikacijo ISO 27001:2022, pripravljenost na NIS2, zagotavljanje zaupanja naročnikov po DORA in odgovornost po GDPR.
Praktični rezultat: ena zgodba upravljanja, več uporab skladnosti
Ko se Sarah vrne k upravnemu odboru, nima več petih nepovezanih delovnih tokov skladnosti. Ima eno zgodbo upravljanja.
Rezultati NIST CSF 2.0 Govern so preslikani na politike ISO 27001:2022, lastnike, tveganja, kontrole in dokazila. Obseg ISMS vključuje odvisnosti od strank, dobaviteljev, oblaka, zakonodaje, predpisov, zasebnosti in pogodb. Register tveganj usmerja odločitve o obravnavi in uporabnost SoA. Politike so odobrene, upravljane z različicami, imajo lastnike, so komunicirane in pregledane. Tveganja dobaviteljev so razvrščena po ravneh, pogodbeno urejena, spremljana in sledena. Obveznosti obdelave po GDPR, pričakovanja odgovornosti po NIS2 in zahteve strank po DORA, prenesene navzdol, so navzkrižno sklicane, kjer je to uporabno. Presojna dokazila vključujejo metapodatke, zapise odločitev in rezultate pregledov vodstva.
Tako je videti upravljanje, ko deluje operativno.
Naslednji korak: zgradite paket dokazil Govern za MSP s Clarysec
Če se pripravljate na ISO 27001:2022, odgovarjate na skrbni pregled velike poslovne stranke, preslikavate rezultate NIST CSF 2.0 Govern ali poskušate uskladiti NIS2, DORA in GDPR brez gradnje ločenih programov, začnite z upravljavsko plastjo.
Clarysec vam lahko pomaga zgraditi:
- trenutni in ciljni profil NIST CSF 2.0 Govern;
- preslikavo politik ISO 27001:2022 in SoA;
- evidenco medokvirnih obveznosti z uporabo Zenith Controls Zenith Controls;
- 30-koračni časovni načrt implementacije ISMS z uporabo Zenith Blueprint Zenith Blueprint;
- dokazila politik, pripravljena za MSP, z uporabo zbirke politik Clarysec, vključno z Politiko vlog in odgovornosti pri upravljanju za MSP Politika vlog in odgovornosti pri upravljanju za MSP, Politiko obvladovanja tveganj za MSP Politika obvladovanja tveganj za MSP, Politiko pravne in regulativne skladnosti za MSP Politika pravne in regulativne skladnosti za MSP, Politiko varnosti tretjih oseb in dobaviteljev za MSP Politika varnosti tretjih oseb in dobaviteljev za MSP in Politiko spremljanja presoj in skladnosti za MSP Politika spremljanja presoj in skladnosti za MSP.
Najhitrejša pot ni še ena preglednica. Je upravljan, na tveganjih temelječ in za dokazovanje pripravljen ISMS, ki vašemu MSP omogoča samozavesten odgovor na eno vprašanje:
Ali lahko dokažete, da je kibernetska varnost upravljana, ima opredeljeno lastništvo, se pregleduje in nenehno izboljšuje?
S Clarysec odgovor postane da.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
