Youtube Linkedin
Vprašajte nas karkoli
SLO 🇸🇮
SLO 🇸🇮 ENG 🇬🇧 HR 🇭🇷 DE 🇩🇪 FR 🇫🇷
Posvetujte se
Nis2Compliant.org
Pogovorite se s strokovnjakom
Matjaž Marin

Kako izvajati ukrepe kibernetske varnosti NIS 2: Preslikava z ISO 27001

Kako izvajati ukrepe kibernetske varnosti NIS 2: Preslikava z ISO 27001

Če morate biti skladni z NIS 2, se morda sprašujete, kako to storiti. Direktiva opisuje, kaj morate doseči, vendar ne daje navodil, kako to storiti.

Eden najboljših načinov za reševanje te naloge skladnosti je sledenje uveljavljenemu okviru kibernetske varnosti. V tem članku bom raziskal, ali lahko ISO 27001, vodilni mednarodni standard kibernetske varnosti, pomaga pri izpolnjevanju teh zahtev.

ISO 27001 lahko pokrije večino zahtev kibernetske varnosti iz NIS 2, razen poročanja o incidentih.

Katere zahteve glede kibernetske varnosti in poročanja so v NIS 2?

Poglejmo, kaj morajo podjetja izvajati. Zanimivo je, da so samo trije členi v celotni direktivi NIS 2 še posebej pomembni za bistvene in pomembne organizacije, ki morajo postati skladne.

    20. člen – Upravljanje

    21. člen – Ukrepi za obvladovanje tveganja kibernetske varnosti

    23. člen – Obveznosti poročanja

Vsi ostali členi NIS 2 so v bistvu namenjeni državnim organom, ki morajo uveljaviti NIS 2.

V spodnji tabeli boste našli podrobno razčlenitev zahtev iz 20. in 21. člena.

Ali je ISO 27001 ustrezen za NIS 2?

Čeprav NIS 2 izrecno ne omenja ISO 27001, spodbuja uporabo »ustreznih evropskih in mednarodnih standardov«. Poleg tega preambula NIS 2 predlaga uporabo serije standardov ISO/IEC 27000 za izvajanje ukrepov kibernetske varnosti.

ISO 27001 dobro ceni ENISA, Agencija Evropske unije za kibernetsko varnost:

Orodje ENISA za preslikavo: ENISA je razvila orodje, ki preslika klavzule in kontrole ISO 27001 v prvotne zahteve direktive NIS (predhodnik NIS 2).

Poročilo iz leta 2017: ENISA je v poročilu »Mapping of OES Security Requirements to Specific Sectors« opredelila ISO 27001 kot standard, ki ga operaterji bistvenih storitev (OES) najpogosteje upoštevajo in morajo biti v skladu s staro direktivo NIS.

Poročilo 2021: Poročilo »NIS Investments« ugotavlja, da je večina organizacij (51.1%), ki izpolnjujejo staro direktivo NIS, certificirala svoje sisteme in procese na podlagi certifikata ISO 27001.

Glede na te točke, skupaj z globalno sprejetostjo ISO 27001 kot standarda ISO in njegovega pomena v seriji ISO 27000, je ISO 27001 logična izbira za doseganje skladnosti z NIS 2.

Zemljevid člankov NIS 2 s klavzulami in kontrolami ISO 27001

 

Zahteva NIS 2

NIS 2 člen

Klavzula ali nadzor ISO 27001

Predlagani dokument

Organi upravljanja morajo odobriti ukrepe za obvladovanje tveganja kibernetske varnosti

20. člen, 1. odst

6.1.3 Obravnava tveganja informacijske varnosti

Načrt zdravljenja tveganja

Organi upravljanja morajo nadzorovati izvajanje ukrepov za obvladovanje tveganja kibernetske varnosti

20. člen, 1. odst

9.1 Spremljanje, merjenje, analiza in vrednotenje 9.2 Notranja revizija 9.3 Vodstveni pregled

Poročilo o meritvah + poročilo notranje revizije + zapisnik vodstvenega pregleda

Člani vodstvenih organov so se dolžni izobraževati in redno zagotavljati podobna izobraževanja svojim zaposlenim

20. člen, 2. odst

7.2 Usposobljenost A.6.3 Ozaveščenost, izobraževanje in usposabljanje o varnosti informacij

Načrt usposabljanja in ozaveščanja

Subjekti morajo sprejeti ustrezne in sorazmerne tehnične, operativne in organizacijske ukrepe za obvladovanje tveganj

21. člen, 1. odst

6.1.3 Obravnava tveganja informacijske varnosti 6.2 Cilji informacijske varnosti in načrtovanje za njihovo doseganje 8.1 Operativno načrtovanje in nadzor

Tabela obravnave tveganja + načrt obravnave tveganja + različne politike in postopki, navedeni spodaj

Pri ocenjevanju sorazmernosti ukrepov je treba ustrezno upoštevati stopnjo izpostavljenosti subjekta tveganjem, velikost subjekta in verjetnost pojava incidentov ter njihovo resnost, vključno z njihovim družbenim in gospodarskim učinkom.

21. člen, 1. odst

6.1.2 Ocena tveganja informacijske varnosti

Metodologija ocene tveganja + tabela ocene tveganja

Politika analize tveganja

Člen 21, odstavek 2, točka (a)

6.1.2 Ocena tveganja informacijske varnosti

Metodologija ocenjevanja tveganja

Politika varnosti informacijskega sistema

Člen 21, odstavek 2, točka (a)

5.2 Politika

Politika varnosti informacijskega sistema

Obravnava incidentov

21. člen, 2. odstavek, točka (b)

A.5.24 Načrtovanje in priprava obvladovanja incidentov informacijske varnosti A.5.25 Ocena in odločitev o dogodkih informacijske varnosti A.5.26 Odziv na incidente informacijske varnosti

Postopek obvladovanja incidentov + Dnevnik incidentov

Neprekinjeno poslovanje

Člen 21, odstavek 2, točka (c)

A.5.29 Varnost informacij med motnjami

Načrt neprekinjenega poslovanja

Upravljanje varnostnih kopij

Člen 21, odstavek 2, točka (c)

A.8.13 Varnostno kopiranje informacij

Politika varnostnega kopiranja

Obnovitev po katastrofi

Člen 21, odstavek 2, točka (c)

A.5.30 Pripravljenost IKT za neprekinjeno poslovanje A.8.14 Redundanca zmogljivosti za obdelavo informacij

Načrt za obnovo po katastrofi

Krizno upravljanje

Člen 21, odstavek 2, točka (c)

(nima neposredno ustrezne klavzule ali nadzora v ISO 27001)

Načrt kriznega upravljanja

Varnost dobavne verige, vključno z varnostnimi vidiki v zvezi z odnosi med vsakim subjektom in njegovimi neposrednimi dobavitelji ali ponudniki storitev

21. člen, 2. odstavek, točka (d)

A.5.19 Varnost informacij v odnosih z dobavitelji A.5.20 Obravnavanje varnosti informacij v pogodbah z dobavitelji A.5.21 Upravljanje varnosti informacij v dobavni verigi IKT A.5.22 Spremljanje, pregledovanje in upravljanje sprememb dobaviteljskih storitev A.5.23 Varnost informacij za uporabo storitev v oblaku

Varnostna politika dobavitelja + varnostne klavzule za dobavitelje in partnerje + izjava o zaupnosti

Varnost pri pridobivanju, razvoju in vzdrževanju omrežij in informacijskih sistemov

člen 21, odstavek 2, točka (e)

A.8.6 Upravljanje zmogljivosti A.8.7 Zaščita pred zlonamerno programsko opremo A.8.8 Upravljanje tehničnih ranljivosti A.8.9 Upravljanje konfiguracije A.8.25 Varen razvojni življenjski cikel A.8.26 Varnostne zahteve aplikacij A.8.27 Varna sistemska arhitektura in inženirska načela A.8.28 Varno kodiranje A.8.29 Varnostno testiranje v razvoju in sprejemanju A.8.30 Zunanji razvoj A.8.31 Ločevanje razvojnega, testnega in produkcijskega okolja A.8.32 Upravljanje sprememb A.8.33 Testne informacije

Politika varnega razvoja + specifikacija zahtev informacijskega sistema

Politike in postopki za ocenjevanje učinkovitosti ukrepov za obvladovanje tveganja kibernetske varnosti

člen 21, odstavek 2, točka (f)

9.1 Spremljanje, merjenje, analiza in vrednotenje 9.2 Notranja revizija 9.3 Vodstveni pregled

Metodologija merjenja + Poročilo o merjenju + Postopek notranje revizije + Kontrolni seznam notranje revizije + Poročilo notranje revizije + Postopek vodstvenega pregleda

Osnovne kibernetske higienske prakse

21. člen, 2. odstavek, točka (g)

A.6.8 Poročanje o varnostnih dogodkih informacij A.7.7 Čista miza in čist zaslon A.7.9 Varnost sredstev zunaj prostorov A.7.10 Mediji za shranjevanje A.8.1 Uporabniške končne naprave A.8.5 Varna avtentikacija A.8.7 Zaščita pred zlonamerno programsko opremo A.8.13 Informacije varnostno kopiranje A.8.19 Namestitev programske opreme na operacijske sisteme A.8.24 Uporaba kriptografije

Varnostna politika IT

Usposabljanje o kibernetski varnosti

21. člen, 2. odstavek, točka (g)

7.2 Usposobljenost A.6.3 Ozaveščenost, izobraževanje in usposabljanje o varnosti informacij

Načrt usposabljanja in ozaveščanja

Politike in postopki glede uporabe kriptografije in šifriranja

Člen 21, odstavek 2, točka (h)

A.8.24 Uporaba kriptografije

Politika uporabe šifriranja

Varnost človeških virov

21. člen, 2. odstavek, točka (i)

A.6.1 Pregled A.6.2 Pogoji zaposlitve A.6.3 Ozaveščanje o informacijski varnosti, izobraževanje in usposabljanje A.6.4 Disciplinski postopek A.6.5 Odgovornosti po prekinitvi ali spremembi zaposlitve

Varnostna politika za človeške vire

Politike nadzora dostopa

21. člen, 2. odstavek, točka (i)

A.5.15 Nadzor dostopa

Politika nadzora dostopa

Upravljanje premoženja

21. člen, 2. odstavek, točka (i)

A.5.9 Popis informacij in drugih povezanih sredstev A.5.10 Sprejemljiva uporaba informacij in drugih povezanih sredstev A.5.11 Vrnitev sredstev A.7.9 Varnost sredstev zunaj poslovnih prostorov

Postopek upravljanja s premoženjem + popis premoženja

Uporaba večfaktorske avtentikacije ali rešitev za stalno avtentikacijo

21. člen, 2. odstavek, točka (j)

A.5.16 Upravljanje identitete A.5.17 Informacije o avtentifikaciji A.8.5 Varna avtentikacija

Politika avtentikacije

Zavarovana glasovna, video in besedilna komunikacija

21. člen, 2. odstavek, točka (j)

A.5.14 Prenos informacij A.8.21 Varnost omrežnih storitev

Politika prenosa informacij + Politika varne komunikacije

Zavarovani komunikacijski sistemi v sili znotraj subjekta

21. člen, 2. odstavek, točka (j)

A.8.20 Varnost omrežij

Politika varne komunikacije

Upoštevajte ranljivosti, značilne za vsakega neposrednega dobavitelja in ponudnika storitev, ter splošno kakovost izdelkov in praks kibernetske varnosti njihovih dobaviteljev in ponudnikov storitev, vključno z njihovimi varnimi razvojnimi postopki.

21. člen, 3. odst

A.5.19 Informacijska varnost v odnosih z dobavitelji A.5.21 Upravljanje informacijske varnosti v dobavni verigi IKT A.5.22 Spremljanje, pregled in upravljanje sprememb dobaviteljskih storitev A.5.23 Informacijska varnost za uporabo storitev v oblaku

Varnostna politika dobavitelja + poročilo o oceni in zdravljenju tveganja

Sprejmite ustrezne in sorazmerne korektivne ukrepe

21. člen, 4. odst

10.2 Neskladnost in korektivni ukrep

Postopek za korektivne ukrepe + Obrazec za korektivne ukrepe

ISO 27001 in NIS 2: Pokritost in implementacija

Od 26 zahtev kibernetske varnosti, ki jih določa NIS 2, lahko ISO 27001 obravnava 25. Edina izjema je krizno upravljanje, ki ga ISO 27001 ne pokriva v celoti.

Obravnava obveznosti poročanja

23. člen NIS 2 določa posebne zahteve za poročanje, ki jih ni mogoče v celoti obravnavati z uporabo standarda ISO 27001.

Uporaba ISO 27001 za skladnost z NIS 2

Na podlagi preslikave so tukaj naslednji koraki, ki jih je mogoče izvesti z uporabo ISO 27001:

  1. Izvedite začetno usposabljanje
  2. Napišite politiko na najvišji ravni o varnosti informacijskega sistema
  3. Določite metodologijo upravljanja tveganj
  4. Izvedite oceno tveganja in zdravljenje
  5. Napišite in potrdite načrt obravnave tveganja
  6. Izvajati ukrepe kibernetske varnosti
  7. Vzpostavite varnost dobavne verige
  8. Vzpostavite oceno učinkovitosti kibernetske varnosti
  9. Vzpostavite stalno usposabljanje za kibernetsko varnost
  10. Izvajati redne notranje revizije
  11. Izvedite redne vodstvene preglede
  12. Izvedite korektivne ukrepe

Koraka 1 in 2 tukaj nista navedena, ker se osredotočata na vodenje projekta. 11. korak, »Nastavitev obvestil o dogodkih«, je izključen zaradi razlogov, o katerih smo govorili prej.

Zaključek: NIS 2 proti ISO 27001

Če povzamemo, kako se lahko ISO 27001 uporablja za skladnost z NIS 2:

  • ISO 27001 lahko obravnava večino zahtev kibernetske varnosti iz NIS 2, razen za poročanje o incidentih.
  • 12 od 15 korakov implementacije je mogoče doseči z uporabo ISO 27001.

To je močna usklajenost, ki kaže, da je ISO 27001 zanesljiva izbira za skladnost z NIS 2, zlasti glede na to, da NIS 2 in ENISA spodbujata uporabo uveljavljenih standardov kibernetske varnosti.

// Poljudni članki

Pogovorite se s strokovnjakom za NIS 2

Srečaj se z Mattom in rezerviraj a brezplačno 15 min pokličite spodaj, da boste bolje razumeli, kako uvesti skladnost z NIS 2 v vašem podjetju

Posvetujte se s strokovnjakom

oz

Vprašajte nas karkoli
Linkedin Youtube

O nas.

Ta stran, ki jo je pripravil NIS2Compliant.org, ponuja informacije iz javnih virov o vsem, kar je povezano s prihajajočo direktivo NIS2. Predstavljeno na jasen in jedrnat način za enostavno uporabo.

 

Zavrnitev odgovornosti
Informacije na tem spletnem mestu so namenjene samo izobraževalnim in informativnim namenom. Vsebina ni namenjena nadomestilu za strokovni nasvet ali kakršno koli drugo pravno svetovanje, storitev itd. Skrbniki in sodelavci spletnega mesta ne dajejo nobenih zagotovil ali jamstev glede informacij na spletnem mestu. Vsakršno zanašanje na takšne informacije je torej izključno na lastno odgovornost.

Več informacij:

Viri novic.

Stopite v stik.

Rezervacija 15 min klica

telefon:
00386 41 948 698

E-naslov:
become@nis2compliant.org

Avtorske pravice Nis2Compliant.org