Съответствието не е папка с документи — то е доказуемо твърдение, че правилата, които сте описали, наистина се спазват всеки ден. Одиторът не иска да прочете хубава политика; иска да види запис кой е получил достъп, кой е одобрил заявката, кога е тествано възстановяването от архив и кой е минал обучението. Автоматизацията на доказателствата означава тези записи да се събират сами, в момента на действието, в обща одитна следа — така че когато одитът пита, системата вече има отговора.
Защо политиката в PDF не е доказателство?
В много фирми „съответствие“ означава папка с политики: политика за пароли, политика за достъп, план за реакция при инциденти. Документите са важни — те описват как трябва да работи организацията. Но описанието не е доказателство. Политиката казва, че достъпите се преразглеждат на всяко тримесечие; одиторът пита кога е било последното преразглеждане, кой го е направил и на кого е бил отнет достъпът в резултат. Ако отговорът е „някъде го имаме“, доказателството липсва.
Точно тук се крие разликата, която ражда паниката преди одит. Организацията има политики, но няма следа, че ги изпълнява. Затова седмицата преди проверката се превръща в лов из имейли, електронни таблици и лични папки, за да се сглоби ръчно това, което е трябвало да се трупа само. Записите съществуват — просто са разпръснати из десет системи и никой не ги е събирал на едно място.
Кое всъщност иска да види одиторът?
Зад всяко изискване стои един и същ въпрос: кой, какво, кога и с какъв резултат. Одиторът търси проследимост — възможност да проследи едно правило от политиката до конкретното му изпълнение. За няколко типа доказателства този въпрос се задава почти винаги:
1. Достъп до системи — кой има достъп до какво, кога е бил даден и кога отнет. Тук журналът (log) на входовете и промените в правата е основната следа. По темата сме писали подробно в статията Одит на киберсигурността.
2. Одобрения и решения — кой е разрешил дадено изключение, инсталация или достъп. Следата от одобрения показва, че решенията минават през правилния човек, а не се вземат тихомълком.
3. Архивиране и възстановяване — не просто че има архиви, а че редовно се тества дали от тях наистина може да се възстанови работеща система.
4. Обучения и осведоменост — кой служител е минал обучение за сигурност и кога, за да е ясно, че екипът е подготвен, а не само записан.
5. Инциденти — регистър на дейностите при всеки сигнал: кога е засечен, как е реагирано, какво е предприето. Именно тази хронология доказва, че организацията умее да реагира.
Доказателството не е нещо, което се пише преди одита — то е нещо, което системата вече е записала, докато хората просто са си вършили работата. Автоматизацията не създава доказателства от нищото; тя събира следите, които и без това се оставят, преди да са се загубили.
Как автоматизацията превръща следите в одитна следа?
Всяка система, която използвате, вече оставя следи. Всеки вход, всяка одобрена заявка, всяко завършено обучение, всяко изпълнено архивиране създава запис някъде. Проблемът никога не е липсата на данни — а че данните живеят разпръснато и никой не ги свързва. Автоматизацията прави точно това свързване: в момента, в който събитието се случи, записът се копира в общ регистър на дейностите, обозначен с време, автор и контекст, така че по-късно да може да се намери за секунди.
Резултатът е, че одитната следа расте сама, непрекъснато, вместо да се сглобява на пристъпи. Когато дойде проверка — вътрешна, партньорска или регулаторна — не започва трескаво търсене, а справка. Този подход е част от по-широкото мислене, което описваме в Какво е автоматизация на бизнес процеси: рутинното събиране и подреждане се поема от системата, а хората се занимават с преценката.
Същият принцип важи и за напълно физически процеси. В решението за дигитализация на работните карти в производството се вижда как всяка стъпка по цеха оставя запис — кой, кога, с какъв резултат — и как тази следа после служи за доказателство при проверка, без някой да е попълвал нищо допълнително.
Какво изискват NIS2 и ISO 27001 в тази посока?
Регулаторната рамка все по-настоятелно измества фокуса от „имате ли политика“ към „можете ли да го докажете“. NIS2 и националният Закон за киберсигурност поставят изисквания за отчетност и отговорност — организацията трябва да може да покаже как управлява риска, как реагира на инциденти и кой носи отговорност. Без конкретни срокове и членове тук: същината е, че доказуемостта престава да е добра практика и става очакване.
ISO 27001 върви в същата логика. Стандартът се крепи на идеята, че всеки контрол трябва да е не само въведен, но и проследим — с записи, които показват, че функционира. Затова добре подредената одитна следа не обслужва един конкретен стандарт, а работи за всички наведнъж: същите журнали, същият регистър на дейностите, същите отчети за обучение отговарят и на регулатора, и на сертифициращия орган. За организациите, които тепърва подхождат към NIS2, полезна отправна точка е NIS2 контролният списък.
Отделно стои защитата на личните данни. При заявка или проверка от КЗЛД същият принцип спасява ситуацията: ако системата пази следа кой е достъпвал лични данни и на какво основание, отговорът е въпрос на справка, а не на разследване. Цялата тази основа — журнали, регистри, следа от одобрения, отчети за архивиране — я изграждаме в рамките на услугата Киберсигурност: не за да мине една проверка, а за да е готова организацията за всяка.
Често задавани въпроси
Достатъчна ли е една добра политика, за да мина одит?
Не. Политиката описва как трябва да е; одиторът иска доказателство, че така и се случва в реалността. Затова освен документа са нужни записи — журнали за достъп, следа от одобрения, отчети за архивиране — които показват, че правилото се спазва всеки ден, а не само на хартия.
Как автоматизацията събира доказателства, без да товари екипа?
Системите, които вече използвате, оставят следи при всяко действие. Автоматизацията събира тези следи в общ регистър в момента на събитието — вход в система, одобрена заявка, завършено обучение, изпълнен архив. Така доказателството се трупа само, а не се сглобява ръчно седмица преди одита.