CISOaaS.si
+386 51 401 301
[email protected]
GAP analiza GAP analiza GAP analiza
Kontakt Kontakt Kontakt
CISO as a Service
CISO as a Service

Dokazila In Dokumentacija

"Prevention is cheaper than a breach"

Dokazila in dokumentacija: kako dokazati skladnost s ZInfV-1

Zakon ne zahteva samo, da ste skladni – zahteva, da to dokazete. Kada SI-CERT opravi nadzor ali je med incidentom, bo zahtevalni dokumentacijo, ki dokazuje, da ste izpolnili zahteve. Kaj je prava vrsta dokazila? Kako se sproti dokumentira? Ta članek pojasnjuje, kaj in kako se mora dokumentirati.

Ključne točke:

  • Dokazila se gibajo od politik, preko rezultatov pregleda, do logov in certifikatov
  • Vsaka politika mora imeti dokazilo o njeni sprejetju in distribuciji zaposlenim
  • Risk assessment in rezultati varnostnih testov so ključno dokazilo
  • Loggi sistemov so kritični za dokazovanje, kaj se je zgodi med incidentom
  • Certifikati in akreditacije (iso 27001, soc 2) so formalna dokazila
  • Vzdrževanje dokazil je kontinuiran proces, ne enkratni dogodek

1. Dokazila o politikah

Vsaka varnostna politika mora biti dokumentirano sprejeta in distribuirana.

Kaj se mora dokumentirati

  • Originalna politika: Pisana politika, datirana in podpisana s strani direktorja
  • Distribucija: Dokaz, da so vsi relevantni zaposleni prejeli politiko
  • Potrdila zaposlenih: Potrdila, da so zaposleni prebiali in razumeli politiko
  • Posodobitve: Historija vseh sprememb politike
  • Preglede: Dokaz letnih pregledov politike s strani vodstva

2. Dokazila o risk assessment

Risk assessment je temeljna obveznost po ZInfV-1 in mora biti dokumentiran.

Kaj se mora dokumentirati

  • Metodologija: Kako ste ocenili tveganja
  • Inventar sredstev: Popoln seznam vseh sistem, podatkov in aplikacij
  • Identifikacija grožnj: Katere grožnje ste preučili
  • Ranljivosti: Katere ranljivosti ste našli
  • Ocena tveganja: Kako ste ocenili verjetnost in posledice
  • Prioritizacija: Katere tveganja so najbolj kritična
  • Akcijski načrt: Kako boste zmanjšali tveganja
  • Napredovanje: Kako se spremlja napredovanje pri zmanjšanju tveganj

3. Dokazila o varnostnih testih in pregledih

Različni varnostni testi in pregledi dajejo dokazilo, da je varnost implementirana.

Vrste testov in pregledov

  • Penetracijski testi: Zunanja podjetja simulirajo napade
  • Skeniranje ranljivosti: Avtomatizirani skenerji iskajo znane ranljivosti
  • Revizija dostopa: Pregled, kdo ima dostop do sistemov in podatkov
  • Revizija fizične varnosti: Pregled, ali so kritični prostori pravilno zaščiteni
  • Revizija postopkov: Pregled, ali se politike res udejanjajo
  • Revizija usposabljanja: Pregled, ali so zaposleni dobili usposabljanje

Kaj se mora dokumentirati

  • Poročila: Pisana poročila z rezultati testov in pregledov
  • Priporočila: Kaj je treba spremeniti
  • Ukrepi: Katere akcije se bodo preročile
  • Napredovanje: Kako se spremlja, da so ukrepi dejansko izvedeni
  • Letni plan testiranja: Kateri testi se naredijo in kdaj

4. Loggi in zapisi – dokazila o dejavnosti

Loggi sistemov so med najpomembnejšimi dokazi, da se je varnost udejanjala in kaj se je zgodi.

Vrste logov

  • Access logs: Kdo se je kdaj prijavi v sistem
  • Application logs: Kaj se je zgodi znotraj aplikacij
  • System logs: Kaj se je zgodi na sistemski ravni
  • Security logs: Varnostni dogodki (poskusi nepooblaščenega dostopa)
  • Audit logs: Änderungen v politikah, dostopnih pravicah

Kako se loggi vzdržujejo

  • Centralizer: Loggi se zbira na centralni lokaciji
  • Varovanje: Loggi morajo biti zaščiteni pred spreminjanjem ali izbrisom
  • Hranjevanje: Loggi se hrajeno vsaj 6 mesecev do 1 leto
  • Analiza: Redna analiza logov, da se odkrijejo anomalije
  • Dostop: Dostop do logov je omejen samo na avtorizirane osebe

5. Certifikati in akreditacije

Formalni certifikati in akreditacije so jasen dokaz skladnosti s standardi.

Ključni certifikati

  • ISO 27001: Certifikat sistema upravljanja informacijske varnosti
  • ISO 27002: Kodeks praks za varnostne ukrepe
  • SOC 2 Type II: Za ponudnike digitalnih storitev
  • PCI DSS: Za organizacije, ki obdelujejo kreditne kartice

Kako se certifikati održavajo

  • Inicijalna certifikacija: Izterna revizija, ki preveri skladnost
  • Redne nadzorne revizije: Letne ali večletne revizije
  • Certifikat: Formalni certifikat, ki se obnavlja v rednih intervalih
  • Javna objava: Certifikati se objavljeni na spletnih straneh

6. Dokazila o usposabljanju zaposlenih

Usposabljanje zaposlenih je obvezna komponenta skladnosti in mora biti dokumentirano.

Kaj se mora dokumentirati

  • Program usposabljanja: Kaj se učijo zaposleni in kako pogosto
  • Lista udeležencev: Kdo je prisostvoval usposabljanju
  • Vsebina: Kaj je bilo pokriti
  • Rezultati testov: Rezultati testov zaposlenih
  • Simulirani napadi: Rezultati simuliranih phishing napadov
  • Poučevanje na osnovi rezultatov: Kako se dodatno usposablja tiste, ki so imeli slabe rezultate

7. Dokazila o incident response

V primeru varnostnega incidenta, dokumentacija incidenta je kritična dokazila skladnosti.

Kaj se mora dokumentirati

  • Časovna os: Točne časnice vsake akcije
  • Korijen vzroka: Kako je do incidenta prišlo
  • Vplijane osebe in podatki: Kako je bilo vplivano
  • Izvedene akcije: Kaj je nardelo za zaustavljanje incidenta
  • Komunikacija: Kako ste komunikirali s strankami
  • Preprečevalni ukrepi: Kako boste preprečili isti incident
  • Revija: Kako je vodstvo pregledalo incident

8. Dokazila o skladnosti s gdpr

Ako vaša organizacija obdeluje osebne podatke, mora biti dokumentirana skladnost s GDPR.

Kaj se mora dokumentirati

  • Registar obdelave: Kaj osebnih podatkov se obdeluje
  • DPIA (Data Protection Impact Assessment): Ocena vplivov na zasebnost
  • Politike zasebnosti: Kako se podatki varujejo in obdelujejo
  • Soglasja: Kako so bili zbrani osebni podatki
  • Pravice posameznikov: Kako ste obdelali zahteve posameznikov

Kako organizirati in vzdrževati dokazila

Best practices

  • Centralna baza: Vsa dokazila se hrajeno na eni lokaciji
  • Organizacija: Dokazila se organizirajo po kategorijah
  • Verzijovanje: Starejše verzije se ohranj
  • Dostop: Samo CISO in revizorix imajo dostop
  • Redni pregledi: Mesečne ali četrtletne preverke
  • Arhiviranje: Redne varnostne kopije dokazil

Zaključek in priporočila

Dokazila so ključna za dokazovanje skladnosti. Priporočila:

  • Vzpostavite sistem za zbiranje in vzdrževanje dokazil že sedaj
  • Zagotovite, da je vodstvo osebno angažirano
  • Redni pregledi dokazil, da so kompleтna in aktualna
  • Ohranite starejše verzije dokazil za primere revizij
  • Razmislite o zunanji reviziji, da si zagotovite skladnost

Potrebujete pomoč pri pripravi dokazil za ZInfV-1? Kontaktirajte nas →

Scroll to top