EDUCATION · ORGANIZATIONAL SECURITY

🏛️ Organizatoriskā drošība

Organizatoriskās kontroles ir pārvaldības, procesu un cilvēku līmeņa drošības mehānismi - politikas, lomas, risku pārvaldība, piegādātāji, incidenti un atbilstība. Tās veido ietvaru, kurā tehniskās un fiziskās kontroles darbojas jēgpilni. Pamatā ISO/IEC 27001 pārvaldības sistēma (ISMS) un ISO/IEC 27002 5. nodaļa (37 kontroles). Piemēri ir izdomāti, paredzēti mācībām.

Apzīmējumi: kodi kā 5.3 atsaucas uz ISO/IEC 27002:2022 5. nodaļas (organizatoriskās) kontrolēm; kl. 4-10 = ISO/IEC 27001 klauzulas (ISMS prasības).

Kas ir organizatoriskās kontroles

ISO 27002:2022 četras kontroļu tēmas - organizatoriskās izceltas

ISO 27002:2022 kontroļu tēmas Četras ISO 27002:2022 kontroļu tēmas. Organizatoriskās kontroles (5. nodaļa, 37 kontroles) ir izceltas. ISO/IEC 27002:2022 - 4 kontroļu tēmas Organizatoriskās nodaļa 5 · 37 kontroles ← šī sadaļa Personāla nodaļa 6 · 8 kontroles Fiziskās nodaļa 7 · 14 kontroles Tehnoloģiskās nodaļa 8 · 34 kontroles ISO 27001 Pielikums A apvieno visas 93 kontroles · organizatoriskās ir lielākā tēma (40 %)

Organizatoriskās = pārvaldības kontroles: tās nosaka, KĀ organizācija pārvalda drošību - politikas, lomas, risku lēmumi, līgumi, procesi. Atšķirībā no tehniskajām (tehnoloģijā iebūvētas) un fiziskajām (vide un piekļuve), organizatoriskās balstās uz vadības apņemšanos un procesiem.

Pārvaldība (governance)

Augstākā vadība nosaka virzienu, piešķir resursus un uzņemas atbildību par drošību (ISO 27001 5. klauzula). Bez vadības apņemšanās pārējās kontroles paliek formālas.

Procesu balstītas

Organizatoriskās kontroles ir atkārtojami procesi - risku novērtēšana, piekļuves pārskatīšana, incidentu apstrāde, piegādātāju izvērtēšana - nevis vienreizēji uzstādījumi.

Saistība ar NIS2 un MK 397

NIS2 21. pants un MK noteikumi Nr. 397 prasa pārvaldības pasākumus: risku politikas, lomas, piegādes ķēdes drošību, incidentu apstrādi un nepārtrauktību - tās visas ir organizatoriskās kontroles.

ISO/IEC 27001 - pārvaldības sistēma

ISMS un PDCA - nepārtrauktas uzlabošanas cikls

PDCA cikls ISMS pārvaldībā Plan-Do-Check-Act cikls ap ISMS centru, ar ISO 27001 klauzulu sadalījumu pa fāzēm. ISMS - Plan · Do · Check · Act (nepārtraukta uzlabošana) ISMS kl. 4-10 Plan - plāno konteksts · risku novērtēšana mērķi · SoA · kl. 4-6 Do - ievies kontroles · resursi · apziņa darbība · kl. 7-8 Check - pārbaudi monitorings · iekšējais audits vadības pārskats · kl. 9 Act - uzlabo neatbilstības · koriģēšana uzlabošana · kl. 10

ISMS (Information Security Management System) ir nepārtraukts process, ne projekts ar beigām. PDCA cikls nodrošina, ka drošība pielāgojas jauniem draudiem un izmaiņām. ISO 27001 klauzulas 4-10 ir obligātās prasības sertifikācijai.

Plan - konteksts un risks (kl. 4-6)

Nosaka organizācijas kontekstu un ieinteresētās puses, ISMS tvērumu, vadības līderību un drošības mērķus. Veic risku novērtēšanu un sagatavo piemērojamības deklarāciju (SoA).

Do - ievieš (kl. 7-8)

Nodrošina resursus, kompetenci un apziņu, dokumentētu informāciju un komunikāciju. Veic riska novērtēšanu un apstrādi praksē - ievieš izvēlētās kontroles.

Check un Act (kl. 9-10)

Monitorings, mērīšana, iekšējais audits un vadības pārskats novērtē efektivitāti. Neatbilstības labo, cēloņus novērš un sistēmu nepārtraukti uzlabo (continual improvement).

Papildu pārvaldības ietvari: ISO 27001 nav vienīgais. COBIT un SABSA to papildina - tos lieto kopā, ne kā alternatīvas, atkarībā no organizācijas brieduma un mērķiem.

COBIT 2019 (ISACA)

IT pārvaldības ietvars. Skaidri nošķir pārvaldību (EDM - Evaluate, Direct, Monitor; padomes/vadības līmenis) no vadības (APO, BAI, DSS, MEA domēni). 40 mērķi. Ievieto informācijas drošību plašākā uzņēmuma IT pārvaldībā un palīdz to saskaņot ar biznesa mērķiem un demonstrēt vadībai.

SABSA

Biznesa virzīta, risku balstīta drošības arhitektūras metodika. SABSA matrica: 6 slāņi (no kontekstuālā līdz operacionālajam) × 6 jautājumi (kas, kāpēc, kā, kurš, kur, kad). Katra drošības kontrole izsekojama (traceability) līdz biznesa prasībai - novērš 'drošību drošības pēc'.

TOGAF (The Open Group)

Uzņēmuma arhitektūras ietvars ar ADM (Architecture Development Method) - strukturēts process biznesa, datu, lietojumu un tehnoloģiju arhitektūrai. Drošības arhitektūru (SABSA) integrē kā šķērsgriezuma aspektu, lai drošība iebūvēta jau projektēšanā, ne pievienota vēlāk.

Kā tie sader kopā

ISO 27001 nosaka ISMS un kontroles (KAS un CIK labi), COBIT pievieno IT pārvaldības skatu (KĀ pārvaldīt un saskaņot ar biznesu), SABSA un TOGAF sniedz arhitektūras metodi prasību pārvēršanai kontrolēs (KĀ projektēt). NIST CSF kalpo kā kopīgs kartēšanas slānis starp tiem.

Starptautiskā prakse

ISO/IEC 27002:2022 5. nodaļa - 37 organizatoriskās kontroles

5. nodaļas kontroļu tematiskās grupas 37 organizatoriskās kontroles sagrupētas septiņās tematiskās grupās - no pārvaldības līdz atbilstībai. 37 kontroles - 7 tematiskās grupas Pārvaldība · politikas 5.1-5.8 Aktīvu pārvaldība 5.9-5.14 Piekļuve · identitāte 5.15-5.18 Piegādātāji · mākonis 5.19-5.23 Incidentu pārvaldība 5.24-5.28 Nepārtrauktība 5.29-5.30 Atbilstība · juridiskā 5.31-5.37
5.1Informācijas drošības politikas
5.2Drošības lomas un pienākumi
5.3Pienākumu nošķiršana
5.4Vadības pienākumi
5.5Kontakti ar iestādēm
5.6Kontakti ar interešu grupām
5.7Draudu izlūkošana
5.8Drošība projektu vadībā
5.9Aktīvu inventarizācija
5.10Pieņemama aktīvu lietošana
5.11Aktīvu atdošana
5.12Informācijas klasifikācija
5.13Informācijas marķēšana
5.14Informācijas pārsūtīšana
5.15Piekļuves kontrole
5.16Identitātes pārvaldība
5.17Autentifikācijas informācija
5.18Piekļuves tiesības
5.19Drošība piegādātāju attiecībās
5.20Drošība piegādātāju līgumos
5.21Drošība IKT piegādes ķēdē
5.22Piegādātāju pakalpojumu uzraudzība
5.23Drošība mākoņpakalpojumos
5.24Incidentu plānošana un sagatavošanās
5.25Notikumu izvērtēšana un lēmumi
5.26Reaģēšana uz incidentiem
5.27Mācīšanās no incidentiem
5.28Pierādījumu vākšana
5.29Drošība darbības traucējumu laikā
5.30IKT gatavība nepārtrauktībai
5.31Juridiskās un normatīvās prasības
5.32Intelektuālā īpašuma tiesības
5.33Ierakstu aizsardzība
5.34Privātums un PII aizsardzība
5.35Neatkarīga drošības pārskatīšana
5.36Atbilstība politikām un standartiem
5.37Dokumentētas darbības procedūras

Sasaiste ar ISO 27001 Pielikumu A

ISO 27002 sniedz katras kontroles ieviešanas vadlīnijas. ISO 27001 Pielikums A uzskaita tās pašas kontroles kā atsauces sarakstu piemērojamības deklarācijai (SoA).

Atribūti (jaunums 2022)

Katrai kontrolei 2022. redakcijā ir atribūti (kontroles tips, drošības īpašība CIA, kiberdrošības koncepts, darbības spējas, drošības domēni) filtrēšanai un kartēšanai pret citiem ietvariem.

Ne visas obligātas

Kontroles izvēlas pēc risku novērtējuma, ne mehāniski. SoA pamato, kuras piemēro un kuras izslēdz un kāpēc - tas ir audita pamatdokuments.

ISO 27001 kl. 6 / ISO 27005

Risku pārvaldība - no novērtēšanas līdz piemērojamības deklarācijai

Risku pārvaldības process Process no konteksta caur risku novērtēšanu un apstrādi līdz piemērojamības deklarācijai un pieņemšanai. Risku pārvaldība (ISO 27005 process) Konteksts tvērums · kritēriji Identificēt aktīvi · draudi Analizēt varbūtība × ietekme Izvērtēt pret apetīti SoA piemērojamības deklarācija Riska apstrāde - 4 opcijas Mazināt ievieš kontroles Pārnest apdrošināšana · līgums Izvairīties pārtrauc darbību Pieņemt apzināts lēmums Atlikušo risku (residual risk) apstiprina riska īpašnieks risku apstrādes plāns · uzraudzība · periodiska atkārtota novērtēšana (PDCA)

Piemērojamības deklarācija (SoA) ir ISO 27001 centrālais dokuments: tā uzskaita visas Pielikuma A kontroles, norāda, kuras piemēro un kuras izslēdz, un pamato katru lēmumu pret risku novērtējumu. Auditors sāk no SoA.

Riska īpašnieks

Katram riskam ir nosaukts īpašnieks - persona ar pilnvarām un atbildību pieņemt apstrādes lēmumu un apstiprināt atlikušo risku. Bez īpašnieka risks paliek nepārvaldīts.

Apetīte un kritēriji

Organizācija iepriekš definē risku pieņemšanas kritērijus (risk appetite). Tas padara izvērtēšanu konsekventu un atkārtojamu, nevis atkarīgu no atsevišķa vērtētāja viedokļa.

Nepārtraukta atkārtošana

Risku aina mainās - jauni draudi, sistēmas, piegādātāji. Novērtēšanu atkārto plānoti un pēc būtiskām izmaiņām vai incidentiem, ne tikai vienreiz sertifikācijas laikā.

ISO 5.1 / 5.2 / 5.3 / 5.37

Politiku hierarhija, lomas un pienākumu nošķiršana

Politiku hierarhija un pienākumu nošķiršana Kreisajā pusē dokumentu piramīda no politikas līdz vadlīnijām; labajā pienākumu nošķiršanas princips. Dokumentu hierarhija un pienākumu nošķiršana Politika - KO un KĀPĒC (vadība apstiprina) Standarti - obligātās prasības Procedūras - KĀ soli pa solim (5.37) Vadlīnijas - ieteikumi (nav obligāti) augšā mazāk, retāk mainās Pienākumu nošķiršana (5.3) Pieprasa izmaiņu Apstiprina cita persona Ievieš trešā persona neviena persona nekontrolē visu darbības ciklu → samazina krāpšanas un kļūdu risku mazās komandās - kompensējošās kontroles (žurnāli, pārskati)

Politika ≠ procedūra: politika nosaka virzienu un atbildību (apstiprina vadība), procedūra apraksta konkrētus soļus. Dokumentētas darbības procedūras (5.37) nodrošina, ka kritiskie uzdevumi tiek izpildīti konsekventi neatkarīgi no izpildītāja.

Lomas un pienākumi (5.2)

Drošības lomas skaidri definē un piešķir - kurš atbild par ko (piem. RACI matrica). Augstākā vadība uzņemas galveno atbildību. Ikviens darbinieks zina savu drošības lomu.

Politiku dzīves cikls (5.1)

Politikas apstiprina vadība, publicē un komunicē darbiniekiem, pārskata plānoti un pēc būtiskām izmaiņām. Novecojusi, nezināma politika ir tikpat slikta kā tās neesamība.

Pienākumu nošķiršana (5.3)

Konfliktējošus pienākumus sadala starp cilvēkiem, lai neviens nevarētu ļaunprātīgi izmantot vai noslēpt kļūdu. Kur tas nav iespējams (mazas komandas), ievieš kompensējošas kontroles.

ISO 5.19-5.30 / 5.31-5.37

Piegādātāji, incidenti, nepārtrauktība un atbilstība

Incidentu pārvaldības dzīves cikls Sešu soļu incidentu pārvaldības cikls no sagatavošanās līdz mācīšanās, ar atgriešanos uz sākumu. Incidentu pārvaldības cikls (5.24-5.28) 1 · Sagatavoties plāns · lomas 2 · Atklāt ziņot · reģistrēt 3 · Izvērtēt klasificēt · prioritāte 4 · Reaģēt ierobežot · izskaust 5 · Atgūt atjaunot darbību 6 · Mācīties post-mortem (5.27) mācības atgriežas plānā - uzlabo sagatavotību NIS2 23. pants: būtisku incidentu agrīns brīdinājums CERT.LV 24 h laikā, ziņojums 72 h laikā pierādījumu vākšana (5.28) - saglabā ķēdi, ja nepieciešama tiesiska rīcība

Piegādātāju pārvaldība (5.19-5.23): drošības prasības iekļauj līgumos, izvērtē piegādātāju risku, uzrauga pakalpojumu izmaiņas un īpaši pārvalda IKT piegādes ķēdi un mākoņpakalpojumus. Sīkāk - ceļvedī 'Piegādes ķēdes drošība'.

Nepārtrauktība (5.29 / 5.30)

Drošību uztur arī darbības traucējumu laikā. IKT gatavība nepārtrauktībai (BCP/DRP) ar atgūšanas mērķiem (RTO/RPO), testēta ar mācībām, nodrošina pieejamību krīzē.

Atbilstība (5.31-5.34)

Identificē juridiskās, normatīvās un līgumiskās prasības (GDPR, NIS2, MK 397), aizsargā ierakstus, intelektuālo īpašumu un personas datus (PII). Atbilstība ir nepārtraukts pienākums, ne vienreizējs.

Neatkarīga pārskatīšana (5.35 / 5.36)

Drošību periodiski pārskata neatkarīgi (iekšējais/ārējais audits), un vadītāji pārbauda atbilstību politikām savā jomā. Tas atklāj neatbilstības, pirms tās izmanto uzbrucēji.

Atbilstība Latvijā - galvenā prasība MK 397: MK noteikumi Nr. 397 ir Latvijā saistošais regulējums, kas nosaka, KO obligāti jāizdara (nacionālajā kiberdrošības ietvarā, ieviešot NIS2). Īstenošanas regula (ES) 2024/2690 un GDPR papildina prasības. Starptautiskie standarti (ISO 27001/27002, COBIT, SABSA, TOGAF, NIST) sniedz atzītu, auditējamu metodi, KĀ tās ieviest.

Atbilstības slāņi - no ES tiesībām līdz ieviešanai Trīs slāņi: ES tiesiskais pamats (NIS2, Īstenošanas regula 2024/2690, GDPR), Latvijas saistošā prasība MK 397, un starptautiskie ieviešanas standarti (ISO, COBIT, SABSA, TOGAF, NIST). No prasības līdz ieviešanai: MK 397 nosaka KO, standarti - KĀ ES TIESISKAIS PAMATS NIS2 direktīva (ES) 2022/2555 Īstenošanas regula (ES) 2024/2690 GDPR (ES) 2016/679 transponē nacionāli MK noteikumi Nr. 397 - Latvijas saistošā prasība KO obligāti jāizdara · nacionālais kiberdrošības tiesiskais ietvars ievieš ar atzītiem standartiem STARPTAUTISKIE IEVIEŠANAS STANDARTI - KĀ ISO 27001 / 27002 COBIT SABSA TOGAF NIST CSF / 800-53

MK 397 nosaka rezultātu, ko prasa likums. Starptautiskais standarts ir pārbaudāms ceļš, kā to sasniegt - bez tā atbilstība paliek deklaratīva.

MK 397 - nacionālā prasība

Latvijā saistošais regulējums nosaka obligātos organizatoriskos pasākumus: risku pārvaldību, drošības politikas, incidentu apstrādi un nepārtrauktību. Ieviešanu balsta uz ISO 27001 ISMS un pārvaldības ietvariem (COBIT, TOGAF).

Īstenošanas regula (ES) 2024/2690

Detalizē NIS2 21. panta pasākumus. Pielikums prasa drošības politiku, risku pārvaldības politiku, incidentu apstrādi, darbības nepārtrauktību un piegādes ķēdes drošību - tieši organizatoriskās kontroles (ISO 27002 5. nodaļa).

GDPR - personas dati

GDPR (ES 2016/679) pieprasa personas datu aizsardzību un atbildību (accountability). ISO 27002 5.34 (privātums un PII) un 5.31-5.33 (juridiskās prasības, ierakstu un IĪ aizsardzība) ir organizatoriskā ieviešana.