Kako implementirati mjere kibernetičke sigurnosti NIS 2: Mapiranje s ISO 27001

Matjaž Marin

Kako implementirati mjere kibernetičke sigurnosti NIS 2: Mapiranje s ISO 27001

Ako se trebate uskladiti s NIS 2, možda se pitate kako to učiniti. Direktiva opisuje što trebate postići, ali ne daje smjernice kako to učiniti.

Jedan od najboljih načina za rješavanje ovog zadatka usklađivanja jest slijediti utvrđeni okvir kibernetičke sigurnosti. U ovom ću članku istražiti može li ISO 27001, vodeći međunarodni standard kibernetičke sigurnosti, pomoći u ispunjavanju ovih zahtjeva.

ISO 27001 može pokriti većinu zahtjeva kibernetičke sigurnosti iz NIS 2, osim za izvješćivanje o incidentima.

Koji su zahtjevi za kibernetičku sigurnost i izvješćivanje u NIS 2?

Pogledajmo što tvrtke moraju implementirati. Zanimljivo je da su samo tri članka u cijeloj NIS 2 Direktivi posebno relevantna za bitne i važne organizacije koje moraju postati usklađene.

Članak 20. – Upravljanje

Članak 21. – Mjere upravljanja rizikom kibernetičke sigurnosti

Članak 23. – Obveze izvješćivanja

Svi ostali članci NIS 2 u osnovi su namijenjeni državnim tijelima koja trebaju provoditi NIS 2.

Detaljnu raščlambu zahtjeva iz članaka 20. i 21. pronaći ćete u tablici u nastavku.

Je li ISO 27001 relevantan za NIS 2?

Iako NIS 2 ne spominje izričito ISO 27001, potiče korištenje "relevantnih europskih i međunarodnih standarda". Dodatno, preambula NIS 2 predlaže korištenje serije standarda ISO/IEC 27000 za provedbu mjera kibernetičke sigurnosti.

ENISA, Agencija Europske unije za kibernetičku sigurnost, dobro cijeni ISO 27001:

ENISA-in alat za mapiranje: ENISA je razvila alat koji mapira klauzule i kontrole ISO 27001 u izvorne zahtjeve NIS Direktive (prethodnik NIS 2).

Izvješće za 2017.: U izvješću „Mapiranje sigurnosnih zahtjeva OES-a za određene sektore,” ENISA je identificirala ISO 27001 kao standard koji najčešće slijede operateri osnovnih usluga (OES) koji moraju biti u skladu sa starom NIS Direktivom.

Izvješće za 2021.: Izvješće “NIS Investments” navodi da je većina organizacija (51.1%) koje su u skladu sa starom NIS Direktivom certificirala svoje sustave i procese na temelju certifikata ISO 27001.

S obzirom na ove točke, uz globalno prihvaćanje ISO 27001 kao ISO standarda i njegovu istaknutost u seriji ISO 27000, ISO 27001 je logičan izbor za postizanje usklađenosti s NIS 2.

Karta NIS 2 članaka s ISO 27001 klauzulama i kontrolama

Zahtjev NIS 2	NIŠ 2 članak	ISO 27001 klauzula ili kontrola	Predloženi dokument
Upravljačka tijela moraju odobriti mjere upravljanja rizikom kibernetičke sigurnosti	Članak 20. stavak 1	6.1.3 Tretman rizika informacijske sigurnosti	Plan liječenja rizika
Upravljačka tijela moraju nadzirati provedbu mjera za upravljanje rizikom kibernetičke sigurnosti	Članak 20. stavak 1	9.1 Praćenje, mjerenje, analiza i evaluacija 9.2 Interna revizija 9.3 Pregled uprave	Izvješće o mjerenju + Izvješće interne revizije + Zapisnik pregleda uprave
Članovi upravljačkih tijela dužni su pohađati edukaciju i redovito nuditi slične edukacije svojim zaposlenicima	Članak 20. stavak 2	7.2 Kompetencija A.6.3 Svijest o informacijskoj sigurnosti, obrazovanje i obuka	Plan obuke i podizanja svijesti
Subjekti moraju poduzeti odgovarajuće i razmjerne tehničke, operativne i organizacijske mjere za upravljanje rizicima	Članak 21. stavak 1	6.1.3 Tretman rizika informacijske sigurnosti 6.2 Ciljevi informacijske sigurnosti i planiranje za njihovo postizanje 8.1 Operativno planiranje i kontrola	Tablica tretmana rizika + Plan tretmana rizika + razne politike i postupci navedeni u nastavku
Pri ocjenjivanju proporcionalnosti mjera potrebno je uzeti u obzir stupanj subjektove izloženosti rizicima, veličinu subjekta i vjerojatnost pojave incidenata te njihovu težinu, uključujući njihov društveni i ekonomski učinak.	Članak 21. stavak 1	6.1.2 Procjena rizika informacijske sigurnosti	Metodologija procjene rizika + Tablica procjene rizika
Politika analize rizika	Članak 21. stavak 2. točka (a)	6.1.2 Procjena rizika informacijske sigurnosti	Metodologija procjene rizika
Politika sigurnosti informacijskog sustava	Članak 21. stavak 2. točka (a)	5.2 Politika	Politika sigurnosti informacijskog sustava
Rješavanje incidenata	Članak 21. stavak 2. točka (b)	A.5.24 Planiranje i priprema upravljanja incidentima informacijske sigurnosti A.5.25 Procjena i odluka o događajima informacijske sigurnosti A.5.26 Odgovor na incidente informacijske sigurnosti	Postupak upravljanja incidentima + Dnevnik incidenta
Kontinuitet poslovanja	Članak 21. stavak 2. točka (c)	A.5.29 Sigurnost informacija tijekom prekida	Plan kontinuiteta poslovanja
Upravljanje sigurnosnom kopijom	Članak 21. stavak 2. točka (c)	A.8.13 Sigurnosna kopija informacija	Politika sigurnosne kopije
Oporavak od katastrofe	Članak 21. stavak 2. točka (c)	A.5.30 Spremnost ICT-a za kontinuitet poslovanja A.8.14 Redundancija objekata za obradu informacija	Plan oporavka od katastrofe
Upravljanje krizama	Članak 21. stavak 2. točka (c)	(nema izravno relevantnu klauzulu niti kontrolu u ISO 27001)	Plan upravljanja kriznim situacijama
Sigurnost lanca opskrbe, uključujući sigurnosne aspekte koji se tiču odnosa između svakog subjekta i njegovih izravnih dobavljača ili pružatelja usluga	Članak 21. stavak 2. točka (d)	A.5.19 Informacijska sigurnost u odnosima s dobavljačima A.5.20 Rješavanje informacijske sigurnosti unutar ugovora s dobavljačima A.5.21 Upravljanje informacijskom sigurnošću u ICT opskrbnom lancu A.5.22 Praćenje, pregled i upravljanje promjenama usluge dobavljača A.5.23 Informacijska sigurnost za korištenje usluga u oblaku	Politika sigurnosti dobavljača + sigurnosne klauzule za dobavljače i partnere + Izjava o povjerljivosti
Sigurnost u nabavi, razvoju i održavanju mrežnih i informacijskih sustava	Članak 21. stavak 2. točka (e)	A.8.6 Upravljanje kapacitetom A.8.7 Zaštita od zlonamjernog softvera A.8.8 Upravljanje tehničkim ranjivostima A.8.9 Upravljanje konfiguracijom A.8.25 Životni ciklus sigurnog razvoja A.8.26 Zahtjevi za sigurnost aplikacije A.8.27 Arhitektura sigurnog sustava i principi inženjeringa A.8.28 Sigurno kodiranje A.8.29 Sigurnosno testiranje u razvoju i prihvaćanju A.8.30 Vanjski razvoj A.8.31 Odvajanje razvojnog, testnog i proizvodnog okruženja A.8.32 Upravljanje promjenama A.8.33 Testne informacije	Politika sigurnog razvoja + specifikacija zahtjeva informacijskog sustava
Politike i postupci za procjenu učinkovitosti mjera za upravljanje rizikom kibernetičke sigurnosti	Članak 21. stavak 2. točka (f)	9.1 Praćenje, mjerenje, analiza i evaluacija 9.2 Interna revizija 9.3 Pregled uprave	Metodologija mjerenja + Izvješće o mjerenju + Postupak interne revizije + Kontrolni popis interne revizije + Izvješće interne revizije + Postupak pregleda uprave
Osnovne prakse cyber higijene	Članak 21. stavak 2. točka (g)	A.6.8 Izvješćivanje o događajima u vezi s informacijskom sigurnošću A.7.7 Čisti stol i čisti zaslon A.7.9 Sigurnost imovine izvan prostorija A.7.10 Mediji za pohranu A.8.1 Uređaji korisničkih krajnjih točaka A.8.5 Sigurna autentifikacija A.8.7 Zaštita od zlonamjernog softvera A.8.13 Informacije sigurnosna kopija A.8.19 Instalacija softvera na operativnim sustavima A.8.24 Korištenje kriptografije	IT sigurnosna politika
Obuka o kibernetičkoj sigurnosti	Članak 21. stavak 2. točka (g)	7.2 Kompetencija A.6.3 Svijest o informacijskoj sigurnosti, obrazovanje i obuka	Plan obuke i podizanja svijesti
Politike i procedure koje se odnose na korištenje kriptografije i enkripcije	Članak 21. stavak 2. točka (h)	A.8.24 Korištenje kriptografije	Politika korištenja enkripcije
Sigurnost ljudskih resursa	Članak 21. stavak 2. točka (i)	A.6.1 Provjera A.6.2 Uvjeti zapošljavanja A.6.3 Svijest o informacijskoj sigurnosti, obrazovanje i obuka A.6.4 Disciplinski postupak A.6.5 Odgovornosti nakon prekida ili promjene zaposlenja	Sigurnosna politika za ljudske resurse
Politike kontrole pristupa	Članak 21. stavak 2. točka (i)	A.5.15 Kontrola pristupa	Politika kontrole pristupa
Upravljanje imovinom	Članak 21. stavak 2. točka (i)	A.5.9 Popis informacija i druge povezane imovine A.5.10 Prihvatljivo korištenje informacija i druge povezane imovine A.5.11 Povrat imovine A.7.9 Sigurnost imovine izvan poslovnih prostorija	Postupak upravljanja imovinom + popis imovine
Korištenje višefaktorske provjere autentičnosti ili rješenja kontinuirane provjere autentičnosti	Članak 21. stavak 2. točka (j)	A.5.16 Upravljanje identitetom A.5.17 Podaci o autentifikaciji A.8.5 Sigurna autentifikacija	Politika autentifikacije
Sigurna glasovna, video i tekstualna komunikacija	Članak 21. stavak 2. točka (j)	A.5.14 Prijenos informacija A.8.21 Sigurnost mrežnih usluga	Politika prijenosa informacija + Politika sigurne komunikacije
Osigurani komunikacijski sustavi za hitne slučajeve unutar entiteta	Članak 21. stavak 2. točka (j)	A.8.20 Sigurnost mreže	Politika sigurne komunikacije
Uzmite u obzir ranjivosti specifične za svakog izravnog dobavljača i pružatelja usluga te ukupnu kvalitetu proizvoda i prakse kibernetičke sigurnosti njihovih dobavljača i pružatelja usluga, uključujući njihove sigurnosne razvojne postupke	Članak 21. stavak 3	A.5.19 Informacijska sigurnost u odnosima s dobavljačima A.5.21 Upravljanje informacijskom sigurnošću u ICT opskrbnom lancu A.5.22 Praćenje, pregled i upravljanje promjenama usluge dobavljača A.5.23 Informacijska sigurnost za korištenje usluga u oblaku	Politika sigurnosti dobavljača + Izvješće o procjeni rizika i postupanju
Poduzmite odgovarajuće i razmjerne korektivne mjere	Članak 21. stavak 4	10.2 Nesukladnost i korektivne mjere	Postupak za korektivne radnje + Obrazac za korektivne radnje

ISO 27001 i NIS 2: Pokrivenost i implementacija

Od 26 kibersigurnosnih zahtjeva navedenih u NIS 2, ISO 27001 može se pozabaviti 25. Jedina iznimka je upravljanje kriznim situacijama, koje ISO 27001 ne pokriva u potpunosti.

Rješavanje obveza izvješćivanja

Članak 23. NIS-a 2 propisuje posebne zahtjeve za izvješćivanje koji se ne mogu u potpunosti riješiti uporabom ISO 27001.

Korištenje ISO 27001 za usklađenost s NIS 2

Na temelju mapiranja, evo koraka koji se mogu implementirati korištenjem ISO 27001:

Provedite početnu obuku
Napišite politiku najviše razine o sigurnosti informacijskog sustava
Definirati metodologiju upravljanja rizicima
Provedite procjenu rizika i liječenje
Napišite i odobrite Plan liječenja rizika
Provedite mjere kibernetičke sigurnosti
Postavite sigurnost opskrbnog lanca
Postavite procjenu učinkovitosti kibernetičke sigurnosti
Postavite stalnu obuku o kibernetičkoj sigurnosti
Provoditi periodične interne revizije
Provoditi periodični pregled uprave
Izvršite korektivne radnje

Koraci 1 i 2 nisu ovdje navedeni jer su usmjereni na upravljanje projektom. Korak 11, “Postavljanje obavijesti o incidentima,” isključen je iz razloga koji su ranije spomenuti.

Zaključak: NIS 2 u odnosu na ISO 27001

Da sažmemo kako se ISO 27001 može koristiti za NIS 2 usklađenost:

ISO 27001 može odgovoriti na većinu zahtjeva kibernetičke sigurnosti iz NIS 2, osim za prijavu incidenata.
12 od 15 koraka implementacije može se postići korištenjem ISO 27001.

Ovo je snažna usklađenost, što ukazuje na to da je ISO 27001 robustan izbor za usklađenost s NIS 2, posebno s obzirom na to da NIS 2 i ENISA potiču korištenje uspostavljenih standarda kibernetičke sigurnosti.