פארוואס ארויסנעמבאַרע מעדיע בלייבט די שטילע בריטש ריזיקירן אין באָרדרום
אין אַ וועלט דאָמינירט דורך וואָלקן פּלאַטפאָרמעס, ווערט דער באַשיידענער USB שטעקן אָדער פּאָרטאַטיווער דרייוו אָפט אָפּגעוואָרפן ווי אַ רעליק - ביז איינער פאַראורזאַכט אַן אַנימעוודיקע בריטש אָדער טריגערט אַ דורכפאַל אין קאָנפאָרמאַנס אָדיט. טראָץ פּאָליטיק און וויסיקייַט טריינינג, קענען רובֿ אָרגאַניזאַציעס נישט פּראָדוצירן אַ פּשוט, אומבאַשטענדיק ענטפער צו אַ פֿראַגע אויף אַ באָרד-לעוועל: "קענט איר שפּורן יעדן אַרויסנעמבאַרן מיטל פֿון אַסיינמאַנט ביז צעשטערונג, און באַווייַזן עס?" די באַווייַזן דערציילן אַ ערנסטע געשיכטע. ENISA'ס 2024 באַריכט אונטערשטרייכט אַז איבער 54% פון אָרגאַניזאַציעס קענען נישט פאַרלעסלעך טראַקן די איצטיקע אָדער לעצטע אָרט פון זייערע אַרויסנעמבאַרע מעדיע אַסעץ., און אַרויסנעמבאַרע מעדיע בלייבט דער הויפּט טרייבער פון קלאָר דעסק פּאָליטיק בריטשיז און טייַערע אינצידענט ענטפער אַקשאַנז (ENISA, 2024; אייערן מאונטען, 2023; cyber.gov.au).
א מיטל וואָס איר קענט נישט געפֿינען אָדער באַווײַזן איז אַ מיטל וואָס איר קענט נישט פֿאַרטיידיקן - אַרויסנעמבאַרע מעדיע איז אַ קאָנפאָרמאַנס ריזיקע וואָס ווערט קלאָר געמאַכט.
די ריס איז נישט דער רעזולטאַט פון אומוויסנקייט. זי שטאַמט פון דער ענדערונג אין קאָמפּלעקסיטעט פון אַסעט פאַרוואַלטונג, צעשפּרייטע פּראָצעס אָונערשיפּ, און נישט גענוגיקע עסאַקאַלאַציע פלאָוז. אָפט גלויבן גוט-מיינענדיקע טימז אַז זייערע פּאָליטיקס זענען גענוג - ביז אַ דורכגעפאַלענער אָדיט אָדער דאַטן אָנווער אינצידענט אַנטפּלעקט בלינדע פלעקן. אַרויסנעמבאַרע מעדיע אינצידענטן, לויט זייער נאַטור, ווערן לייכט פאַרפעלט אין דיגיטאַלער השגחה און קענען בלייבן נישט געמאלדן ביז עס איז צו שפּעט. דיגיטאַלע מכשירים כאַפּן אַ סך, אָבער דער וועג פון "פאַרלוירענע מיטל" צו "דאָקומענטירטע ענטפער" פאַרפעלט אָפט ביים ערשטן לינק: נישט-באַצייכנט דרייווז, נישט-קאָנסיסטענטע אויסלאָג בלעטער, און קיין לעבעדיקע קייט-פון-קאַסטאָדי רעקאָרד.
איז אייער דירעקטאָריום גרייט צו באַשטעטיקן אַז עס זענען פֿאַרברויַבבאַרע מעדיע קאָנטראָלן? NIS 2 מאַכט עס מאַנדאַטאָריש
מיטן אנקומען פון NIS 2 (ארט. 21, סעק. 12.3), האט זיך די שמועס וועגן ארויסנעמבאַרע מעדיע זיכערהייט אריבערגעפירט צו באָארדרום. די טעג זענען פארביי ווען א סטאַטישע IT פּאָליטיק אין געשריבענער פאָרעם איז געווען גענוג. איצט ווערן עקזעקוטיוון געהאלטן גלייך פאַראַנטוואָרטלעך - נישט נאָר פֿאַר דער עקזיסטענץ פון געמאַפּט קאָנטראָלס אבער פארן דעמאנסטרירן קאָנטינויִערלעכע, אַקטיווע נאָכפֿאָלגונג איבער יעדן דיפּלוימאַנט: אָנגעשטעלטער, קאָנטראַקטאָר און סאַפּלייער.
באָרדס מוזן פארלאנגען און באַווייַזן:
- אַסעט לעבן-ציקל פאַרוואַלטונג: יעדן דעווייס'ס צוטיילונג, באוועגונג, אינצידענט, און באַזייַטיקונג מוז פליסן דורך אַ לעבן-געלאָגטע קייט-פון-קאַסטאָדי, נישט אַ ספּרעדשיט פאַרלוירן צו דער געשיכטע.
- רעאַל-צייט אינצידענט וואָרקפלאָוז: א פארלוירענע, גע'גנב'עטע, אדער פארדעכטיגע דעווייס איז נישט קיין "איבערקוקן שפעטער" געשעעניש. עס איז א טריגער פאר א שנעלע, דאקומענטירטע באארד עסקאלאציע.
- אונטערגעשריבענע פאליסי אויסנעמען: פּערמישאַנז פֿאַר אַלטע, נישט-ענקריפּטירטע, אָדער נישט-סטאַנדאַרט סצענאַרן מוזן זיין אָטערייזד אויף די באָרד מדרגה, מאַפּט צו קאָרעקטיוו אַקשאַנז, און ריוויוד אויף אַ פּלאַנירט יקער.
- שטאב באשטעטיגונג צו פאליסי דערהייַנטיקונגען: דיגיטאַלע אונטערשרייבונג - יעדער באַניצער, יעדע דערהייַנטיקונג, נישט נאָר יערלעכע E-לערנינג טשעק-באָקסעס.
די לעצטע ENISA NIS 2 טולבאקס אנווייזונגען לייגן א שטארקן טראָפּ אויף קאָנטינויִערלעכע באַווײַז קייטן, סטייטינג אַז "אַד האָק פּאָליטיק אָדער אויסנאַם האַנדלינג, אָן קיין צענטראַלע אָדיט שפּור, איז געוואָרן די הויפּט ניט-קאָנפאָרמיטי, וואָס רעזולטירט אין מאַטעריאַלע רעגולאַטאָרישע צענזור." (ENISA, 2024). פרעגט זיך ערלעך: אויב אַ רעגולאַטאָר וואָלט היינט געשטאַנען אין אייער סערווער צימער, קענט איר ווייַזן ענד-צו-ענד באַווייזן פֿאַר דעם לעבן-ציקל פֿון אפילו איין USB שליסל?
ברעטער ווערן מער נישט באשיצט דורך גלייבלעכע לייקענונג-מעגלעכקייט - קאנפארמענץ פון ארויסנעמבאַרע מעדיע איז א געלעבטע, פארשריבענע פֿאַראַנטוואָרטלעכקייט.
בעל NIS 2 אָן ספּרעדשיט כאַאָס
צענטראַליזירן ריזיקע, אינצידענטן, סאַפּלייערז און באַווייַזן אין איין ריינער פּלאַטפאָרמע.
ISO 27001:2022 און NIS 2 - בויען א באווייז-בריק, נישט נאך א פאפיר-וועג
אויב איר אַרבעט לויט ISO 27001:2022 קאָנטראָלן, וועט איר דערקענען רובֿ NIS 2 רעקווייערמענץ פֿאַר מעדיע פאַרוואַלטונג זענען קאָנצעפּטואַל "אַלט נייַעס." דער שפּרונג, אָבער, איז פֿון דאָקומענטאַציע צו סיסטעמאַטיזירט, שטענדיק-אויף אפעראציאנאליזאציעפארביי זענען די טעג ווען איינגעקלעפּטע פּאָליטיק שטיקלעך זענען געווען גענוג פֿאַר אַן אוידיט. וואָס ציילט איז פּראַקטישע, צייט-געשטעמפּלטע באַווייַזן וואָס זענען קענטיק פֿאַר עקסטערנע און אינטערנע סטייקהאָולדערז.
דאָ איז אַ קורצע מאַפּינג פֿאַר קאָנווערסיע:
| דערוואַרטונג | אָפּעראַציאָנאַליזאַציע | יסאָ 27001:2022 קאָנטראָל |
|---|---|---|
| אַלע מעדיע ארויסגעגעבן/צוריקגעגעבן ווערט רעגיסטרירט | אַסעט רעגיסטערלעבעדיגע אויפגאבע דערהייַנטיקונגען | א.7.10, א.5.9 |
| ענקריפּשאַן דורכגעפירט פֿאַר קאָנפֿידענציעלע | מיטל ענקריפּשאַן פּאָליטיק; אָדיט לאָגס ביי רעגיסטרירן | א.8.10, א.8.7 |
| שטאב אנערקענט פאליסי ענדערונגען | דיגיטאַלע אונטערשרייבונג פּלוס סצענאַר-באַזירטע קוויזן | א.6.3, א.5.10 |
| פארלוירענע/געגנבעטע מעדיע ווערן פארגרעסערט | וואָרקפלאָו טיקאַץ, עסקאַלאַציע פּראָצעדורן | א.5.24, א.7.14 |
| רעצענזענטן האָבן צוטריט אין רעאַל-צייט | אויטאָמאַטישע באַווײַז פּאַקס, SIEM עקספּאָרט | א.8.15, א.8.14 |
די בריק איז נאָר פונקציאָנעל אויב וואָס פּאַסירט אין אינפֿאָרמאַציע טעכנאָלאָגיע און אָפּעראַציעס איז קענטיק, באַווייַזבאַר, און מאַפּט אין אַ לעבעדיקע באַווײַזן שטעג.
מוסטער אוידיט טרעיסאַביליטי טאַבעלע
| צינגל | ריזיקע דערהייַנטיקונג | קאָנטראָל / SoA לינק | באַווײַזן רעקאָרדירט (מוסטער) |
|---|---|---|---|
| שטאב באקומט USB | דאַטן עקספילטראַציע ריזיקע ↑ | A.7.10 אַסעט רעגיסטער | צוטיילונג, ענקריפּשאַן, באַניצער לאָגין |
| פּאָליטיק דערהייַנטיקט | אַלטמאָדישע קאָנטראָלן אויפדעקט | A.6.3 וויסיקייט | ווערסיע-אויסנאמען, קוויז לאגס |
| אַפּאַראַט אָנווער | ריזיקע פון פארלוסט/גניבה אינצידענט | א.5.24, א.7.14 | אינצידענט באריכט, וואָרצל־אורזאַך, אַקציע |
די בריק פון טריגער צו באווייז איז אייער שילד: צוברעכט יעדע לינק, און אוידיט צוטרוי גייט פארלוירן.
פֿון סטאַטישער פּאָליטיק ביז דינאַמישער פֿאַרזיכערונג: ווי ISMS.online פֿאַרמאַכט דעם שלייף
א פאליסי וואס איז קאמפלייענט פאר ארויסנעמבאַרע מעדיע איז נויטיק, אבער נישט גענוג. אמתע זיכערהייט קומט פון ארבעטספלאָוז וואס ווערן דורכגעפירט דורך טעכנאָלאָגיע - וואו אַסיינמענט, אויסנאַם, און באַניצער באַטייליקונג זענען סיסטעם געשעענישן, נישט פּאַפּיר שפּורן וואָס וואַרטן צו דורכפאַלן. ISMS.online גיט אַ פול-סטאַק קאָנטראָל סביבה:
- דינאַמישע פּאָליטיק דיפּלוימאַנט: גרייטע, רעגולאַטאָר-איבערגעקוקטע טעמפּלאַטן פֿאַר יסאָ קסנומקס:2022 און NIS 2, פאַר-געבויט פֿאַר אַדאַפּטאַציע צו אייערע אייגענע וואָרקפלאָוז.
- ווערסיע-געטריבענע אנערקענונג: יעדע פּאָליטיק ענדערונג פארלאנגט אַן עלעקטראָנישע אונטערשריפט; יעדע אונטערשריפט לאָגט דעם באַניצער, די אויסגעפֿירטע מיטל, צייטשטעמפּל, און פּאָליטיק ווערסיע - קיין לעכער, קיין צוויידייטיקייט.
- אַסעט לעבן-ציקל רעגיסטרירן: א לעבעדיקע רעקארד, נישט קיין סטאטישע בלאט; עס טראקט איין צוטיילונג, באוועגונג, זיכערע אויסמעקן, פארניכטונג, מיטן באשטימטן אייגענטימער, צוועק, און ריזיקע פארבינדונג.
- אינצידענט טריגערס און עסאַקאַלאַציע לאָגיק: יעדע פארלוירענע, פעלנדיקע, אדער נישט-קאמפאניטעווע מיטל דזשענערירט א ווארקפלאָו טיקעט, דורכגעפירט מיט ראָלע-באזירטע צוטיילונג און נאכגעפאלגט ביזן סוף.
מיט ISMS.online, איז די שרעקליכע אוידיט פארלאנג פאר "באווייזן פון אייערע לעצטע צען דעווייס אסיינמענטס און דיספאזן" א דרייסיק-סעקונדע פילטער, נישט א וואך פון אימעיל יאגן.
פּראַקטיק איז נישט באַוויזן סיידן באַווייזן זענען גרייט - און לעבעדיק - יעדע שעה, יעדע אוידיט.
זייט NIS 2-גרייט פון טאג איינס
לאָנטש מיט אַ באַוויזן וואָרקספּייס און טעמפּלאַטן – נאָר צופּאַסן, צוטיילן, און גיין.
טעכנישע קאָנטראָלן: ענקריפּשאַן, בלאָקירן, און SIEM אינטעגראַציע געמאַכט פאַקטיש
עס איז אוממעגלעך צו דערגרייכן עכטע רימווואַבאַל מעדיע קאַמפּליאַנס דורך פּראָצעס אַליין. ISMS.online זאָרגט אַז די גאַנצע טעכנישע קאָנטראָל סוויטפֿון דעווייס ענקריפּשאַן ביז קאָנדישאַנאַל פּאָרט אַקסעס און SIEM/EDR אינטעגראַציעס – איז גלייך אַרײַנגעוואָבן אין אײַער קאָנפאָרמאַנס שטאָף.
- פארפליכטעטע ענקריפּשאַן דורכפירונג: בלאקירט די צוטיילונג פון נישט-פארשליסטע דרייווס, אדער טריגערט אן אויסנאם-רוט פאר באארד-געחתמעטע באשטעטיגונג פלוס ריזיקע אפשאצונג (לויט NIS2 און ISO A.8.7/A.8.10).
- פּאָרט בלאָקירן/קאָנדישאַנעל אַקסעס: אינטעגרירן מיט דעווייס קאנטראל לייזונגען ווי מייקראסאפט פּורוויו אדער קראַודסטרייק; נאָר פאַר-באַשטעטיקטע אַסעץ זענען אַסיינאַבאַל, מיט אַלע אויסנעמען טראַקט און געמאלדן.
- SIEM/EDR וואָרקפלאָו: אַלע ווייאַליישאַנז, סאַספּישאַס געשעענישן, און פּרוּוון צו פּאָרט אַקסעס ווערן געשיקט אין דיין קאַמפּליאַנס אַסעט רעגיסטער - גאָר צייט-געשטעמפּלט און מאַפּט צו די באַטייַטיק אינצידענט און קאָנטראָל.
- באַווײַז פֿאַרבינדונג: יעדע טעכנישע געשעעניש איז צוגעפאסט צו די סטעיטמענט אף אפליקאציע (SoA) קאנטראלן, מאכנדיג יעדע ווארענונג א קאמפלייענס רעקארד, נישט נאר א זיכערהייט געשעעניש.
א טעכנישע קאנטראל איז נאר אזוי שטארק ווי איר קייט צום באנוצער, פארמעגן, און באווייז. ISMS.online פארבינדט די קייט פעסט, און שטעלט יעדע ענדערונג אין דעם צושטאנד פונעם דעווייס אלס אן אויספארדערבארע געשעעניש.
נאַטור קאָנטראָלן: טרענירונג, מאָניטאָרינג, דערקענונג
טעכנישע קאָנטראָלן שטעלן דעם באַזיס, אָבער מענטשלעך נאַטור איז וואו אָדיטס ווערן פאַרלוירן - אָדער דורכגעגאנגען מיט פליענדיקע פארבן. ISMS.online לייגט אריין לעבעדיקע באַניצער באַטייליקונג אין יעדער בינע:
- סצענאַר-באַזירט טריינינג: באַניצער, קאָנטראַקטאָרן און סאַפּלייערז נעמען דורך רעאַל-וועלט סאַקאָנע סצענאַר מאָדולן, דורכגיין/דורכפאַל ראַטעס ווערן רעקאָרדירט און מאַפּט צו ראָלעס און ארויסגעגעבענע אַסעץ.
- פּאָליטיק רעוויזיע אונטערשרייבונג: עלעקטראָנישע אונטערשריפט וואָרקפלאָוז פירן ווערסיע קאָנטראָל. פאַרפעלטע דערקענטענישן זענען גלייך קענטיק פֿאַר די פאַרוואַלטונג, וואָס עלימינירט "איך האָב נישט געזען דעם דערהייַנטיקונג" לאָך.
- אויף איין בליק קאמפלייענס דעשבאָרדז: איינהייטן אדער שטאב וואס שטאמען נאך פון טרענירונג אדער אנערקענונגען ווערן געצייכנט; קאמפלייענס ווערט באוויזן פאר אן אוידיט, נישט אלס אן איבעריגע נאכגעטראכט.
- רעאל-פאל לאקאליזאציע: פֿאַרבײַטן גענערישע וויסיקייט ווידעאָס מיט פּאַסיקע מאָדולן - אינצידענטן ווערן געטראַקט צו ספּעציפֿישע שטאַב און ראָלעס, מיט פֿידבעק וואָס פֿיטערט צו קעסיידערדיקע פֿאַרבעסערונג.
אייער פארטיידיגונג איז אימוּן צו תירוצים ווען יעדע נאַטור-געשעעניש ווערט רעגיסטרירט, באַוויזן און צוריקגעכאפט לויט אייער ווילן.
אַלע אייערע NIS 2, אַלץ אין איין אָרט
פֿון אַרטיקלען 20–23 ביז אוידיט פּלענער – דורכפֿירן און באַווײַזן קאָנפֿאָרמאַנס, פֿון ענד צו ענד.
אויטאמאטישע באווייזן: לעבעדיגע לאגינג און באארד רעפארטינג
קאָנטינויִערלעכע, אויטאָמאַטישע זאַמלונג פון באַווײַזן איז דער ווינקלשטיין פון אַ מאָדערנער קאָנפאָרמאַנס שטעלונג. ISMS.online פֿאַרשליסט דאָס מיט:
- לעבעדיגע געשעעניש לאָגינג: יעדע דעווייס צוטיילונג, צוריקקער, פארלוסט, פאליסי דערהייַנטיקונג, און באַטייַטיק טריינינג שריט איז צייט-געשטעמפּלט, פארבונדן צו אַ שטאב מיטגליד און אַסעט, און שטענדיק פאַרפעסטיקט צו די באַווייַז רעקאָרד.
- אַקשאַנאַבאַל דאַשבאָרדז און אָדיט עקספּאָרץ: באָרד- און רעגולאַטאָר-גרייטע באַריכטן ווערן גענומען גלייך פֿון לעבעדיגע סיסטעם לאָגס, וואָס עלימינירט פֿאַרהאַלטונג און פֿאַרלוירענע באַווײַזן.
- אוידיט הצלחה ראַטעס: קאסטומערס האבן געמאלדן כמעט-פערפעקטע דורכגאנג ראטעס אלס רעזולטאט פון רעאַל-צייט באַווייַזן סיסטעמען - קיין שפּעט-פאַזע דאָקומענט יאָגן, קיין אומבאַקוועמע קליימז.
- וואָרצל-גורם פֿאַרמאַכן: יעדער אינצידענט נעמט אריין רעגיסטרירטע אקציע, נאכפאלג, און פארזיכערונג פון פארמאכונג; נישט-געלייזטע בילעטן בלייבן געצייכנט ביז די פולע דאקומענטאציע איז פארענדיגט.
קאָנפאָרמאַציע איז אַ לעבעדיקער פּראָצעס. באַווײַזן זאָלן נישט זײַן אַ לעצטע-מינוטיקע רעטונגס-אָפּעראַציע.
מיט ISMS.online, זענט איר שטענדיק גרייט צו ענטפֿערן דעם רוף פֿון אָדיטאָרס אָדער באָרדס - וואו, ווען און וואו - באַוואָפֿנט מיט דער טראַנספּאַרענטער, אַרויף-צו-דעם-מאָמענט געשיכטע פֿון אייער קאָנפאָרמאַנס.
פארוואס אייערע באווייזן מוזן אַרומפאָרן: סעקטאָר, צושטעל קייט און אינטערנאַציאָנאַלע דערגרייכן
קאָנפאָרמאַטי איז קיינמאָל נישט לאָקאַל. דעוויסעס גייען אַריבער גרענעצן, שטאב טוישט זיך איבער קאָנטראַקטן, און סעקטאָראַלע סטאַנדאַרדן לייגן צו לייַערס פון קאָמפּלעקסיטי. ISMS.online זיכערט:
- קראָס-סטאַנדאַרט טרייסאַביליטי: קאָנטראָלן און רעקאָרדס זענען סטרוקטורירט צו באַפרידיקן ISO 27001:2022, NIS 2, און GDPR אַרטיקל 32 ("שטאַט פֿון דער קונסט"), וואָס טרעפֿט ביידע טעכנישע און אָרגאַניזאַציאָנעלע ערוואַרטונגען.
- דריט-פּאַרטיי און סאַפּליי קייט אינטעגראַציע: ארויסגעגעבענע דעווייסעס אונטער סאַפּלייער פאַרוואַלטונג אָדער קאָנטראַקט באדינגונגען זענען רעגיסטרירט אין דיין באַווייַז סטאַק, אַזוי האַנט-אָפס זענען קיינמאָל אַ שוואַך לינק.
- אויטאָמאַטישע באַווייַז דזשענעריישאַן: צי פֿאַר אַ רעגולאַטאָר, באָרד, צי קליענט, דזשענערירט ראָלע-פאָקוסירטע באַווײַז פּאַקס וואָס קאָמבינירן אַסעט געשיכטעס, ריזיקאָ מאַפּינגס, און אינצידענט טריילס - גלייך.
- גלאבאלע אוידיט גרייטקייט: לאָגס און באַווייזן זענען פֿאָרמאַטירט פֿאַר נוצן אין פֿאַרשידענע יוריסדיקציעס, אַרייַנגערעכנט אי.יו. (NIS 2, GDPR), יו. עס. (SOC 2, CCPA), פֿאַראייניקטע קעניגרייך (DPA 2018), און מער.
אייער קאָמפלייאַנס סיסטעם איז נאָר אַזוי שטאַרק ווי די שוואַכסטע אַסעט רייזע - סעקטאָר, קליענט, סאַפּלייער, געאָגראַפֿיע, אַלע באדעקט.
פֿון פּאָליטיק צו ווידערשטאַנד: שטעלט אַרויסנעמבאַרע מעדיע ווי אַן אַסעט, נישט אַ פֿאַראַנטוואָרטלעכקייט
מיט ISMS.online, ווערט דער געראטן ריזיקע פון ארויסנעמבאַרע מעדיע אַ הצלחה מעטריק אויף דער דירעקטאָריום. דערגרייכן - און באַווייזן - העסקעם אין דעם איינציקן וועג וואָס ציילט: דורך לעבעדיקע פּאָליטיק, אויטאָמאַטישע טרעיסאַביליטי, און אוידיט-וואַלידירטע קאָנטראָלס.
- בריקן יעדן ריס: פֿון סטאַטישער פּאָליטיק, ביז לעבעדיקער אַסעט רעגיסטער, ביז אינסטאַנט אינצידענט לאָגגינג.
- זען און האַנדלען אויף ריזיקע: אין רעאַלער צייט; אויפמערקזאַמקייט מאַכן גאַפּס איידער די וואָס טאָן דאָס
- שטופּ טראַנספּאַרענץ אַרויף די קייט: צופֿרידנשטעלן דעם דירעקטאָרן-ראט, קליענטן, פּאַרטנערס און רעגולאַטאָרן אין מינוטן, נישט חדשים.
- אַקטיווירן אָטאָמאַציע וואו מעגלעך: , אַזוי יעדע שטאב אַקציע און מיטל געשעעניש איז קאַפּטשערד און דיפענסאַבאַל.
ריזיקע איז נאָר נישט פּאַסיק ווען באַווײַזן פֿעלן - מאַכט יעדן מיטל אַן אַסעט, נישט אַ שטילע סכּנה.
גרייט צו טראַנספאָרמירן אַרויסנעמבאַרע מעדיע פֿון ריזיקאָ וועקטאָר צו ווידערשטאַנדס-אַסעט? ISMS.online צושטעלט אַ לעבעדיקע סיסטעם-פֿאַרבינדנדיקע באָרדרום פּאָליטיק, טעכנישע דורכפֿירונג, און טעגלעכע שטאַב-אַקציעס. גרייט פֿאַר אויספֿאָרשונג, שטענדיק.
אָפֿט געשטעלטע פֿראגן
ווער טראָגט לעצטendlich די פֿאַראַנטוואָרטלעכקייט פֿאַר די קאָנפאָרמאַטי פֿון אַרויסנעמבאַרע מעדיע אונטער NIS 2 און ISO 27001, און וואָס זענען די ריזיקעס אויף דער דירעקטאָרן־ראַט־לעוועל פֿאַר דורכפֿאַלן?
די פֿאַראַנטוואָרטלעכקייט פֿאַר זיכערהייט און קאָנפאָרמאַטי פֿון אַרויסנעמבאַרע מעדיע אונטער NIS 2 און ISO 27001 ליגט גלייך אויף אייער אָרגאַניזאַציע'ס עלטערע פאַרוואַלטונג - באָרד מיטגלידער, דירעקטאָרן און עקסעקוטיוו אָפיצירן - וועלכע טראָגן איצט קלאָרע לעגאַלע און רעגולאַטאָרישע פֿאַראַנטוואָרטלעכקייט פֿאַר פֿאַרפעלער. NIS 2 (אַרטיקלען 20-21) באַוועגט פֿאַראַנטוואָרטלעכקייט פֿון "IT'ס פּראָבלעם" צו אַ פֿירערשאַפֿט מאַנדאַט: אויב קאָנטראָלן פֿאַר טראַקינג, האַנדלינג אָדער באַזייַטיקונג פֿון אַרויסנעמבאַרע מעדיע (ווי USB דרייווז) פֿאַרפֿעלן אָדער זענען שלעכט דאָקומענטירט, קענען דירעקטאָרן זיך שטעלן אַנטקעגן רעגולאַטאָרישע שטראָפֿן, עפֿנטלעכע אַנטפּלעקונגען און געשעפֿט-פֿאַרווירקלעכנדיקע סאַנקציעס. ISO 27001 פֿאַרשטאַרקט דאָס דורך קלאָזעס 5.1 און 5.3, וואָס פֿאָדערט פֿון דער פֿירערשאַפֿט צו פֿאָרן... אינפֿאָרמאַציע זיכערהייט פּאָליטיקס און צוטיילן קלאָרע פֿאַראַנטוואָרטלעכקייטן (זעט אויך A.7.10 פֿאַר אַרויסנעמבאַרע מעדיע).
טעגליך, פירט ISMS/IT אן ארקעסטרירטן קאמפלייענס: זיי פארמאליזירן פאליסיס, פירן אן אקטיוו רעגיסטער (A.5.9), פארלאנגען באווייזן פון באניצער פארשטענדעניש (A.6.3), און רעאגירן שנעל צו אינצידענטן. אבער יעדער ארבייטער, סופלייער, אדער קאנטראקטאר וואס רירט אן די דעווייסעס מוז זיין איינגעשריבן און אנערקענען פאליסיס שריפטליך. פארפעלטע דעווייס לאגס אדער נישט אונטערגעשריבענע פאליסיס ווערן נישט נאר אוידיט געפינסן נאר דירעקטע דורכפעלער אויף באארד-לעוועל, וואס טריגערן אויספארשונג אדער דורכפירונג.
דירעקטאָריום זיכערהייט איז נישט וועגן באַשולדיקן שטאב, נאָר באַווייַזן אָפּזיכט. ווען יעדער שריט ווערט רעקאָרדירט און יעדער באַניצער איז פאַראַנטוואָרטלעך, קענען פירער שטיין זיכער פֿאַר רעגולאַטאָרן און קאַסטאַמערז.
פֿאַראַנטוואָרטלעכקייט מאַטריץ פֿאַר אַרויסנעמבאַרע מעדיע
| טרעטן | פאַראַנטוואָרטלעך ראָלעס | ISO/NIS 2 רעפערענץ |
|---|---|---|
| פּאָליטיק האַסקאָמע | דירעקטאָרן-ראַט, עקסעקוטיוון | פּונקט 5.1/5.3; NIS 2 אַרטיקל 20 |
| אַסעט רעגיסטער | ISMS פירער, IT, זיכערהייט, אייגענטימער | א.5.9, א.7.10 |
| באַניצער דערקענטעניש | שטאב, קאנטראקטארן, סופלייערס | א.6.3, א.7.10 |
| אויפזיכט/אויפֿזיכט | קאָנפאָרמאַנס, באָרד, עקסטערנע אָדיטאָרס | A.9, A.5.35; NIS 2 ארט.31 |
וואָסערע אויטאָמאַטישע טעכנישע קאָנטראָלן פֿאַר אַרויסנעמבאַרע מעדיע זענען פארלאנגט דורך NIS 2 און ISO 27001 - און ווי קענט איר זיכער מאַכן אַז זיי ווערן דורכגעפירט?
ביידע NIS 2 און ISO 27001 פארלאנגען אז ארגאניזאציעס זאלן אימפלעמענטירן אָטאַמייטיד טעכנישע קאָנטראָלן צו רעגירן יעדע אינטעראַקציע מיט אַרויסנעמבאַרע מעדיע - נישט נאָר פּאַפּיראַרבעט פּאָליטיקס.
- ענקריפּשאַן דורכפירונג: ענדפּונקטן מוזן אויטאָמאַטיש אָפּוואַרפן נישט-פאַרשליסלטע דרייווס פֿאַר רעגולירטע אָדער סענסיטיווע דאַטן (A.8.10, NIS 2 Art. 12.3).
- פארלאנגטע מאַלוואַרע סקאַנינג: דעווייסעס ווערן געסקענט פארן באנוץ, דורכגעפירט דורך ענדפּוינט שוץ מיט לאָגס געראַטעוועט ווי אוידיט באווייזן (א.8.7).
- פּאָרט און מיטל קאָנטראָלס: אלע ענדפונקטן באגרענעצן אדער לאגן די באניץ פון USB/SD פארטן, און ערלויבן נאר ווייס-ליסטעד מעדיע. ליידיגע פארטן זאלן זיין אויסגעלאשן דורך דיפאלט (A.7.10, NIS 2 Art. 21).
- דאַטאַ לאָס פּרעווענטיאָן (DLP): סיסטעמען מוזן בלאקירן אדער לאגירן פארזוכן צו באוועגן נישט-באשטעטיגטע דאטן צו אדער פון די דעווייסעס (A.8.12, NIS 2 Art. 12.3).
- צענטראַליזירטע טעטיקייט לאָגינג: יעדע אַקציע - פּלוג-אין, טעקע טראַנספער, אינצידענט - ווערט אויטאָמאַטיש רעגיסטרירט אין אַ פאַראייניקטן רעגיסטער (A.8.15).
פּלאַטפאָרמעס ווי ISMS.online אינטעגרירן זיך מיט DLP, EDR (ענדפּוינט דעטעקציע/רעספּאָנס), און אַסעט מאַנאַגעמענט מכשירים ווי Microsoft Purview פֿאַר אַ גלאַט, עווידענס-געשטיצטע דורכפירונג - געבן איר אַ פאַרטיידיקונגסבאַרע audit trail און רעאַל-צייט קאָנטראָל.
טעכנישע קאָנטראָלן און דורכפירונג טאַבעלע
| קאָנטראָל | ענפאָרסמאַנט קאַמף | ISO/NIS רעפ. |
|---|---|---|
| ענקריפּשאַן | בלאָקירן נישט-פאַרשליסלטע דעוויסעס | A.8.10, NIS 2 12.3 |
| מאַלוואַרע סקאַננינג | פארלאנגען אן אפ-טו-דייט AV/EDR סקען פארן באנוץ | A.8.7 |
| פּאָרט קאָנטראָל | דיסייבאַל סיידן מעדיע איז ווייסליסטעד | A.7.10, NIS 2 21 |
| דלפּ | בלאָקירן אָדער לאָגירן פארדעכטיקע טראַנספערס | A.8.12, NIS 2 12.3 |
| לאָגגינג | אַלע אַקציעס רעקאָרדירט אין צענטראלן רעגיסטער | A.8.15 |
ווי ווערט אוידיט באווייזן פאר ארויסנעמבאַרע מעדיע איינגעכאפט, געמאַפּט, און געמאכט אוידיט-גרייט איבערן גאנצן אונטערנעמונג?
אוידיט-גרייט קאמפלייענס מיינט אז איר קענט נאכפאלגן און דאקומענטירן דעם גאנצן לעבנס-ציקל פון יעדן דעווייס: פון ארויסגעבן ביז איבערגעבן, באנוץ, אינצידענט, און לעצטער באזייטיגונג. ISMS.online רעקארדירט צייט-געשטעמפלטע לאגס ביי יעדן שטאפל, פארבינדט באניצער אנערקענונגען צו ספעציפישע פאליסי ווערסיעס, און איינשטעלן עלעקטראנישע אונטערשריפטן פאר יעדער אינטעראקציע מיט אסעטס.
אויב אַ מיטל ווערט פאַרלוירן, גע'גנב'עט, אָדער אַנדערש פֿאַרוויקלט אין אַן אינצידענט, ווערט אַ סטרוקטורירטער וואָרקפלאָו לאָנטשט: יעדע אַסעסמענט, אַקציע, און פֿאַרמאַכונג שריט ווערט קאַרטירט און רעקאָרדירט - קיין אומזעיקבארע גאַפּס אָדער פֿעלנדיקע דאָקומענטאַציע. אינטעגראַציעס ציען אַסעט און באַוועגונג דאַטן פֿון IT, סאַפּליי טשיין מאַנאַגעמענט, אָדער פֿאַרקויפֿער פּלאַטפאָרמעס צו ענשור אַז אפילו קראָס-גרענעץ אָדער מולטי-סייט נוצן איז באַווייַזבאַר.
די רעגולאַטאָר'ס קשיא איז שטענדיק 'ווער, ווען, פארוואס, און וואָס באַווייַז?' אייער אָדיט שפּור איז אייער בעסטע ליניע פון דירעקטאָרן-ראַט פאַרטיידיקונג.
עווידענס מאַפּינג טאַבעלע
| געשעעניש | באַווײַזן קאַפּטשערד | קאָנטראָל לינק | בייַשפּיל/באַניץ |
|---|---|---|---|
| ארויסגעגעבן מיטל | אַסעט לאָג, באַניצער עלעקטראָניש אונטערשרײַבן | A.7.10, NIS 2 12.3 | שטאב באקומען ענקריפּטעד USB, פּאָליטיק אונטערגעשריבן |
| פּאָליטיק דערהייַנטיקן | ווערסיעד באַשטעטיקונג לאָג | א.6.3, א.7.10 | יעדער אנערקענט נאכאמאל נאך דערהיינטיקונג |
| אַפּאַראַט פאַרלוירן | אינצידענט וואָרקפלאָו לאָג | א.5.24, א.7.14 | וואָרצל סיבה דאָקומענטירט, באָרד געמעלדט |
| אַפּאַראַט איז צוריקגעצויגן געוואָרן | צעשטערונג לאָג | A.7.14, NIS 2 12.3 | פארקויפער סערטיפיקאט געהיט |
וואָסערע קאָרעקטיווע אַקציע וואָרקפלאָו זאָל מען נאָכפֿאָלגן פֿאַר אינצידענטן מיט אַרויסנעמבאַרע מעדיע, און ווי אַזוי זיכערט ISMS.online זעבארקייט און פֿאַרמאַכן?
ווען אַ אַרויסנעמבאַר מעדיע אינצידענט (פאַרלוסט, בריטש, מיטל מאַלפונקציע) ווערט דעטעקטירט, טריגערט ISMS.online אַ מולטי-סטעפּ קאָרעקטיווע אַקציע וואָרקפלאָו:
- גלייכע אינצידענט רעגיסטראַציע: שליסל דעטאלן (דעווייס אידענטיפיקאציע, באניצער, דאטום/צייט/ארט) פארבונדן מיטן אסעט רעגיסטער און אינצידענט ענטפער module.
- אויפגאַבע און אויספאָרשונג: איי-טי אדער קאמפלייענס פירס זענען באאויפטראגט מיט וואָרצל-אורזאך אנאליז, פארלאנגטע אקציעס (קוואראנטין, סופלייער נאטיפיקאציע, זיכערע אויסמעקן), און אומגייכע עסאקאלאציע פאר קריטישע פראבלעמען.
- עסקאַלאַציע לאָגיק: אויב רעגולאַטאָרישע שוועלן ווערן דערגרייכט אָדער ריזיקעס צו פּערזענלעך אינפארמאציע (PII) עקזיסטירן, ווערט אַן אַלערט אויטאָמאַטיש געשיקט צו דער עלטערער פאַרוואַלטונג אָדער דעם באָרד, וואָס פאָדערט דאָקומענטירטע האַסקאָמע און השגחה.
- באַווייַז-פון-רעמעדיאַציע: פארמאכונג איז נאר ערלויבט ווען אלע פארלאנגטע אקציעס זענען פארענדיגט, רעגיסטרירט, און וועריפיצירט; אנהאלטנדיקע לעכער אדער איבערחזרונגען ווערן ארויסגעוויזן אין דעשבאָרדז.
דאָס זיכערט אַ טראַנספּאַרענטן, פֿאַרטיידיקבאַרן פּראָצעס וואָס ניט נאָר פאַרהיט רעגולאַטאָרישע קאַנסאַקווענצן, נאָר אויך דעמאָנסטרירט גאַווערנאַנס צייַטיקייט צו אַלע סטייקהאָולדערז.
א פארטיידיגונגסבארע רעאקציע איז די איינציקע אמתע פארזיכערונג קעגן קליינע טעותים וואס ווערן רעגולאטורישע אדער רעפוטאציע קריזיסן.
צי דאַרפן קלאָוד-נאָר אָדער MDM-מאַנאַדזשד קאָמפּאַניעס נאָך אַרויסנעמבאַרע מעדיע קאָנטראָלס אונטער NIS 2 און ISO 27001?
יא - האבן א וואָלקן-ערשטע אדער MDM (מאָביל דעווייס מאַנאַגעמענט) סביבה טוט ניט עלימינירן אייערע פליכטן צו באַזײַטיקן מעדיע. ביידע NIS 2 און ISO 27001 פארלאנגען קלארע פּאָליטיק, קאָנטראָלן און באַווײַזן פֿאַר יעדן פּאָטענציעלן אָדער פאַקטישן באַנוץ פון גשמיות מעדיע, נישט קוקנדיק אויף ווי זעלטן.
אויב אייער אָרגאַניזאַציע דאַרף מאַנchmal פּאָרטאַטיווע דרייווז - פֿאַר פעלד אָפּעראַציעס, אַלטע מיגראַציעס, סאַפּליי טשיין ריקוועסץ, אָדער רעגולירטע קונה באַווייַז - מוז אפילו איין אַזאַ פאַל דורכגיין פאָרמעלע האַסקאָמע און לאָגינג (באָרד אָדער CISO סאַגדזשעסטשאַן, מיטל רעגיסטראַציע, מאָניטאָרעד נוצן, דאָקומענטירטע זיכערע באַזייַטיקונג).
אוידיטארן און רעגולאטארן וועלן נישט אננעמען "מיר ניצן זיי נישט" אלס אן תירוץ; אפילו נול געשעענישן מוזן באוויזן ווערן מיט פאליסי באווייזן און נעגאטיווע לאגס.
אויסנאַם באַשטעטיקונג פלוס טאַבעלע
| נויטיג לעגאַט? | Approval | פאַרשרייַבונג | ניצן קאָנטראָל | צעשטערונג באַווייַז |
|---|---|---|---|---|
| יאָ | דירעקטאָריום/CISO | אַסעט לאָג | מאָניטאָרינג | באַזייַטיקונג סערטיפיקאַט |
| קיינ מאָל ניט | ניט דארף | / | / | / |
ווי טוען פירנדיקע אָרגאַניזאַציעס איינפלוסן די רעגולאַציעס פֿאַר אַרויסנעמבאַרע מעדיע אין זייער טריינינג, קולטור און די צושטעל קייט איבער זייטלעך און גרענעצן?
ווידערשטאנדספעאיקע אָרגאַניזאַציעס אָפּעראַציאָנאַליזירן אַרויסנעמבאַרע מעדיע קאָנטראָלן דורך זיי איינפלעבן אין טריינינג, קולטור, און דריט-פּאַרטיי באַטייליקונג:
- סצענאַר-באַזירט טריינינג: בײַם אָנבאָאַרדינג און יערלעך קאַסטאַמייזד פֿאַר יעדער ראָלע און לאָקאַציע, רעפֿערירנדיק יוריסדיקשאַנאַל נואַנסן (למשל, GDPR, HIPAA).
- פארפליכטעטע דיגיטאַלע דערקענטענישן: פֿאַר אַלע באַניצער (אינערלעך און צושטעל קייט), מיט טריינינג קאַמפּלישאַן און פּאָליטיק סאַגדזשעסץ טרייסאַבאַל פּער מענטש/מיטל.
- אינטעגרירטע סאַפּליי קייט אָנבאָרדינג: סאַפּלייערז, קאָנטראַקטאָרס און ווייטע טימז זענען אַרייַנגערעכנט אין די זעלבע קאַמפּליאַנס וואָרקפלאָוז און געטראַקט אין דאַשבאָרדז.
- לייוו דאַשבאָרדינג: of העסקעם גאַפּס-פּראָאַקטיווע וואָרענונגען ווען דערקענטענישן, טריינינג, אָדער פּאָליטיק דערהייַנטיקונגען זענען שפּעט אָדער פעלן.
- שטודיעס פון דער רעאלער וועלט: פארשטארקן וואכזאמקייט, פֿאַראַנטוואָרטלעכקייט, און קאָנקרעטע "וואָס צו טאָן אויב X פּאַסירט" גיידאַנס פֿאַר יעדער סעטינג.
אייער אָרגאַניזאַציעס זיכערהייט קולטור שטייט אָדער פאלט אויף דעם שוואַכסטן באַניצער, פאַרקויפער, אָדער פארגעסענעם סטאָרידזש מיטל - באַווייַז פון באַטייליקונג איז אייער עכטער סטאַנדאַרט.
ווי אזוי באוועגט ISMS.online ארויסנעמבאַרע מעדיע קאָנפאָרמאַטי פון אַ טשעק-באָקס געניטונג צו וועריפיצירבאַרע ריזיליאַנס און באָרד-לעוועל פארזיכערונג?
ISMS.online פאראייניקט אלע קאנטראלן, באווייזן, און אויפזיכט פאר ארויסנעמבאַרע מעדיע זיכערהייט אין איין סיסטעם:
- דיפּלויען מאַפּט קאָנטראָלס: פֿאַר NIS 2 און ISO 27001 שנעל.
- לאָג יעדן מיטל, באַניצער אַקציע, און אינצידענט: מיט נאכפֿאָלגבאַרע סטאַגעס פֿון אַסיינמענט ביז פּענסיע.
- סינקראָניזירן באַשטעטיקונגען און אויסנאַם פאַרוואַלטונג: אפילו אין וואָלקן-בלויז/זעלטן-נוץ סביבות - זיכער מאַכן אַז "זעלטן" ווערט נישט "נישט געטראַקט".
- פֿאַראייניקן שטאַב און דריט-פּאַרטיי באַטייליקונג: אין אַ רעאַל-צייט קאַמפּליאַנס דאַשבאָרד, אַלערטירנדיק פירערשאַפט צו ריסקס איידער אַודאַץ אַנטדעקן זיי.
- עקספּאָרטירן אָדיט-גרייט באַווייַז פּאַקס: , ווייזנדיק רעגולאַטאָרן און קאַסטאַמערז ניט נאָר קאָנפאָרמאַטי, נאָר סטרוקטורעלע צייַטיקייט און פאַרטיידיקבאַרע גאַווערנאַנס.
אידענטיטעט CTA:
טרעט איבער דעם "טשעק קעסטל" - לאָזט ISMS.online געבן אייך די קעסיידערדיקע באַווייַזן און פירערשאַפט פארזיכערונג וואָס איז נויטיק צו באַווייַזן זיכערהייט און ווידערשטאַנד, נישט נאָר קאָנפאָרמאַנס, צו די מענטשן וואָס זענען וויכטיק.
ISO 27001 / אַנעקס A קאָנפאָרמאַטי טאַבעלע
| דערוואַרטונג | אָפּעראַציאָנאַליזאַציע | רעף. |
|---|---|---|
| דעווייסעס געטראַקט/געלאָגט | אַסעט רעגיסטער, באַניץ לאָגס, דאַשבאָרדז | א.5.9, א.7.10 |
| פּאָליטיק/באַשטעטיקונג אונטערשרייבונג | אַרבעטספלוס + וואָרענונגען, מענטש-ביי-מענטש | א.6.3, א.7.10 |
| ענקריפּשאַן דורכגעפירט | ענדפּוינט סעטטינגס, EDR, לאָגס | A.8.10, NIS 2 ארט 12.3 |
| אַנטימאַלוואַרע סקען/לאָגינג | אויטאמאטישע פאר-באנוץ ארבעטספלאָוז | א.8.7, א.7.10 |
| די גרונט פון די אינצידענטן | אויספאָרשונג, עסקאַלאַציע, קלאָוזשער לאָגס | א.5.24, א.7.14 |
| צושטעלן קייט באַטייליקונג | אָנבאָאַרדינג און וואָרקפלאָו אינטעגראַציע | A.7.10, NIS 2 ארט 21 |
טרעיסאַביליטי טאַבעלע
| טריגער/געשעעניש | ריזיקירן | קאָנטראָל רעף. | לאָגד באַווייזן |
|---|---|---|---|
| מיטל אַסיינד | דאַטן עקספיל ריזיקע | A.7.10 | אַסעט + פּאָליטיק באַשטעטיקונג לאָג |
| פּאָליטיק דערהייַנטיקט | קאָנטראָל דריפט | א.6.3, א.7.10 | ווידער אונטערשרייבן, פארענדיקונג לאג |
| אינצידענט געמאלדן | בריטש/אוידיט ריזיקע | א.5.24, א.7.14 | וואָרקפלאָו + קלאָוזינג לאָג |
| סאַפּלייער איינגעשריבן | צושטעלן קייט גאַפּ | A.7.10 | טרענירונג + עוויד. פּאַק |
