Отвъд въпросника: изчерпателно ръководство за CISO за одит на високорискови доставчици по NIS2 и DORA

Докладът се озова върху бюрото на CISO Мария Вален с тихо тупване, което прозвуча по-скоро като сирена. Това беше предварителната оценка преди предстоящия преглед за съответствие с DORA, а един ред беше подчертан с яркочервено: „Недостатъчно уверение за критичен външен доставчик, CloudSphere.“

CloudSphere не беше просто поредният доставчик. Той беше гръбнакът на новата дигитална банкова платформа на компанията, обработваща милиони трансакции дневно. Мария имаше в досието сертификата им ISO/IEC 27001:2022. Имаше и попълнения от тях въпросник по сигурността — обемист документ с 200 въпроса. Но предварителните одитори ясно показваха, че за високорисков критичен доставчик съответствието тип „отметка в контролен списък“ вече не е достатъчно. Правилата на играта се бяха променили.

С влизането в пълна сила както на Директивата NIS2, така и на Регламента относно оперативната устойчивост на цифровите технологии (DORA), регулаторите вече гледат отвъд документалната следа. Те изискват осезаеми доказателства за надлежна проверка, непрекъснат мониторинг и надеждно управление на цялата верига на доставки. Предизвикателството пред Мария е същото, пред което са изправени CISO навсякъде: как да се премине отвъд въпросника, за да се одитират и защитят реално най-критичните доставчици? Това изисква стратегическа промяна — от пасивно валидиране към активно уверение, основано на доказателства.

Недостатъкът на статичния въпросник в динамичен свят

В продължение на години въпросникът по сигурността беше основен инструмент в управлението на риска от трети страни. Но той представлява статична моментна снимка в динамична среда на заплахи. Рисковият профил на доставчика не е фиксиран; той се променя с всяка нова заплаха, системна промяна или въведен подизпълнител. Да се разчита единствено на самооценка за критичен доставчик като CloudSphere е като да се навигира в буря с метеорологична карта от миналата година.

Директивата NIS2 изрично изисква подход, основан на риска, при който мерките за сигурност са пропорционални на действителните рискове. Това означава, че универсален въпросник, еднакъв за всички, е фундаментално несъвместим със съвременните регулаторни очаквания. Времето, когато сертификат или попълнен контролен списък можеха да заместят доказателствата, отмина. Истинският риск се намира отвъд документалната следа.

Тук структурираният подход, основан на жизнения цикъл, става задължителен. Не става дума за изоставяне на въпросниците, а за допълването им с по-задълбочена и по-интрузивна проверка при доставчиците, които действително са от значение. Това е основният принцип, заложен в Политиката за сигурност на трети страни и доставчици на Clarysec. Една от основните ѝ цели е:

„Да се изисква формална надлежна проверка и документирани оценки на риска преди ангажиране на нови доставчици или подновяване на високорискови споразумения за услуги.“

• От раздел „Цели“, клауза 3.3 на политиката

Тази клауза променя нагласата — от проста проверка към формално изследване, което е решаваща първа стъпка за изграждане на защитима програма, издържаща на регулаторна проверка.

Рискът, свързан с доставчици, по NIS2 и DORA: новите очаквания

И NIS2, и DORA изискват организациите систематично да идентифицират, оценяват и непрекъснато да наблюдават рисковете в цялата си среда от доставчици. Те превръщат управлението на доставчици от функция по закупуване в основен стълб на оперативната устойчивост и информационната сигурност.

Новата регулаторна среда изисква ясни рамки, плътно съпоставени с утвърдени стандарти като ISO/IEC 27001:2022. По-долу е представено обобщение на високо ниво какво очакват тези рамки от вашата програма за управление на доставчици:

Не е необходимо надеждна програма за одит на доставчици да се изгражда от нулата. Рамката ISO/IEC 27001:2022, особено контролите от Приложение A, предоставя силен модел. В Clarysec насочваме клиентите да изграждат програмата си около три взаимосвързани контрола, които формират пълен жизнен цикъл на управление на доставчици.

Изграждане на защитима одитна рамка: жизненият цикъл по ISO 27001:2022

За да изградите програма, която удовлетворява регулаторите, е необходим структуриран подход, основан на глобално признат стандарт. Контролите за сигурност на доставчиците в ISO/IEC 27001:2022 предоставят жизнен цикъл за управление на риска от трети страни — от възникване на взаимоотношението до неговото прекратяване. Нека разгледаме как Мария може да използва този жизнен цикъл, за да изгради защитим одитен план за CloudSphere.

Стъпка 1: основата — информационна сигурност във взаимоотношенията с доставчици (5.19)

Контрол 5.19 е стратегическата отправна точка. Той изисква да се установят формални процеси за идентифициране, оценяване и управление на рисковете за информационната сигурност, свързани с цялата екосистема от доставчици. Именно тук определяте какво означава „високорисков“ за вашата организация и задавате правилата.

Zenith Controls: The Cross-Compliance Guide на Clarysec предоставя подробен разбор на 5.19 и показва ролята му като централен елемент на управлението на доставчици. Този контрол е вътрешно свързан с други контроли, като 5.21 (Информационна сигурност във веригата на доставки на ИКТ), който обхваща хардуерни и софтуерни компоненти, и 5.14 (Предаване на информация), който управлява сигурния обмен на данни. Не можете ефективно да управлявате взаимоотношение с доставчик, без да контролирате и технологията, която той предоставя, както и данните, които споделяте.

За Мария това означава, че одитът на CloudSphere трябва да надхвърли общото им състояние на корпоративната сигурност и да навлезе в сигурността на действителната платформа, която предоставят. Ръководството Zenith Controls подчертава, че силното внедряване на 5.19 пряко подпомага съответствието с основни регулации:

• NIS2 (член 21(2)(d)): Задължава организациите да управляват риска във веригата на доставки като основна част от своята рамка за сигурност.
• DORA (членове 28–30): Изисква надеждна рамка за управление на ИКТ риска от трети страни, включително класификация на критичността и преддоговорна надлежна проверка.
• GDPR (член 28): Изисква администраторите да ангажират само обработващи лични данни, които предоставят достатъчни гаранции за защита на данните.

Този контрол налага рискова категоризация на доставчиците, текущ мониторинг и своевременно отнемане на достъп. Целта му е да гарантира, че сигурността е вградена в жизнения цикъл на доставчика, а не добавена впоследствие.

Стъпка 2: прилагането — уреждане на информационната сигурност в споразуменията с доставчици (5.20)

Изискване за сигурност, което не е включено в договора, е само препоръка. Контрол 5.20 е мястото, където управлението става правно приложимо. За високорисков доставчик договорът е най-силният ви одитен инструмент.

Както подчертава Zenith Controls, тези споразумения трябва да бъдат изрични. Неясни обещания за „сигурност съгласно най-добрите практики в индустрията“ са без стойност. За доставчик като CloudSphere Мария трябва да провери дали договорът включва конкретни и измерими клаузи, които предоставят на организацията ѝ реален надзор:

• Право на одит: Клауза, която изрично предоставя на организацията ѝ право да извършва технически оценки, да преглежда доказателства или да ангажира трета страна да извърши одит от нейно име.
• Срокове за уведомяване при нарушение: Конкретни и кратки срокове, например в рамките на 24 часа от откриването, за уведомяване на нейната компания за инцидент по сигурността, а не неясно „без неоправдано забавяне“.
• Управление на подизпълнители (четвърти страни): Клауза, изискваща доставчикът да прилага същите стандарти за сигурност към своите критични подизпълнители и да я уведомява за всяка промяна. Това е ключово за управлението на низходящия риск.
• Сигурна стратегия за изход: Ясни задължения за връщане или сертифицирано унищожаване на данните при прекратяване на договора.

DORA е особено предписателен в тази област. Член 30 изброява задължителни договорни разпоредби, включително безпрепятствен достъп за одитори и регулатори, конкретни данни за местата на предоставяне на услугата и всеобхватни стратегии за изход. Одиторите ще изберат извадка от договори с високорискови доставчици и ще проверят тези клаузи директно.

Стъпка 3: непрекъснатият цикъл — мониторинг, преглед и управление на промените в услугите на доставчиците (5.22)

Последният елемент от жизнения цикъл е контрол 5.22, който превръща надзора върху доставчиците от моментна проверка в непрекъснат процес. Одитът не трябва да бъде изненадващо събитие, а точка на валидиране в рамките на текущо и прозрачно взаимоотношение.

Именно тук много организации изостават. Те подписват договора и го архивират. Но при високорисковите доставчици истинската работа започва след въвеждането на доставчика. Ръководството Zenith Controls свързва 5.22 с критични оперативни процеси като 8.8 (Управление на технически уязвимости) и 5.29 (Информационна сигурност при прекъсване). Това означава, че ефективният мониторинг включва много повече от годишна среща за преглед. Той включва:

• Преглед на доказателства от трети страни: Активно получаване и анализ на техните доклади SOC 2 Type II, резултати от надзорни одити по ISO 27001 или резюмета от тестове за проникване. Ключово е да се преглеждат изключенията и да се проследява тяхното отстраняване.
• Мониторинг за инциденти: Проследяване на публично оповестени нарушения или инциденти по сигурността, свързани с доставчика, и формална оценка на потенциалното въздействие върху вашата организация.
• Управление на промените: Внедряване на процес, при който всяка съществена промяна в услугата на доставчика, например ново местоположение на център за данни или нов критичен подизпълнител, автоматично задейства повторна оценка на риска.

Zenith Blueprint: An Auditor’s 30-Step Roadmap на Clarysec предоставя практически насоки по този въпрос, особено в стъпка 24, която обхваща риска от подизпълнители. В него се препоръчва:

„За всеки критичен доставчик установете дали той използва подизпълнители или подизпълнители по обработване, които могат да имат достъп до вашите данни или системи. Документирайте как вашите изисквания за информационна сигурност се пренасят към тези страни… Когато е възможно, изискайте списък на ключовите подизпълнители и се уверете, че правото ви на одит или получаване на уверение се прилага и спрямо тях.“

Това е решаващ момент за Мария. Използва ли CloudSphere външна фирма за анализ на данни? Хоствана ли е инфраструктурата им в голям публичен облак? Тези низходящи зависимости представляват значителен, често невидим риск, който нейният одит трябва да изведе наяве.

От теория към действие: практическият одитен план на Мария за CloudSphere

Въз основа на този жизнен цикъл по ISO 27001:2022 екипът на Мария изготвя нов одитен план за CloudSphere, който надхвърля значително въпросника и демонстрира зрялото управление, основано на риска, изисквано от регулаторите.

1. Преглед на договора: Екипът започва със съпоставяне на съществуващия договор с CloudSphere спрямо член 30 от DORA и добрите практики за контрол 5.20. Изготвя се доклад за анализ на пропуските, който да подпомогне следващия цикъл на подновяване и да приоритизира областите за текущия одит.

2. Целево искане за доказателства: Вместо общ въпросник се изпраща формално искане за конкретни доказателства, включително:

   • Най-новият доклад SOC 2 Type II и обобщение как са отстранени всички отбелязани изключения.
   • Резюме за ръководството от най-скорошния външен тест за проникване.
   • Пълен списък на всички подизпълнители (четвърти страни), които ще обработват данните или ще имат достъп до тях.
   • Доказателство, че изискванията за сигурност са договорно пренесени към тези подизпълнители.
   • Журнали или отчети, доказващи своевременно прилагане на корекции за критични уязвимости, например Log4j и MOVEit, през последните шест месеца.

3. Техническо валидиране: Екипът се позовава на клаузата за „право на одит“, за да насрочи техническа задълбочена сесия с екипа по сигурността на CloudSphere. Дневният ред се фокусира върху техните наръчници за реагиране при инциденти, инструментите за управление на състоянието на облачната сигурност и контролите за предотвратяване на изтичане на данни.

4. Формално управление на изключенията: Ако CloudSphere откаже да предостави определени доказателства, Мария е подготвена. Процесът на управление в нейната организация, определен в Политиката за сигурност на трети страни и доставчици, е ясен:

„Високорисковите изключения, например доставчици, които обработват регулирани данни или поддържат критични системи, трябва да бъдат одобрени от CISO, правния отдел и ръководството по закупуване и вписани в Регистъра на изключенията в СУИС.“

• От раздел „Третиране на риска и изключения“, клауза 7.3 на политиката

Това гарантира, че всеки отказ за предоставяне на доказателства не се игнорира, а се приема формално като риск на най-високите нива в организацията — процес, който одиторите уважават.

Погледът на одитора: какво ще изискат различните одитори

За да изградите наистина устойчива програма, трябва да мислите като одитор. Различните одитни рамки имат различен фокус и предвиждането на въпросите им е ключово за успеха. По-долу е представен консолидиран поглед върху това какво биха изискали различните одитори при преглед на вашата програма за управление на доставчици:

Тази перспектива през няколко различни призми показва, че надеждната програма не е насочена към удовлетворяване на един стандарт, а към изграждане на цялостна рамка за управление, която генерира доказателствата, необходими за всички тях.

Критични капани: къде се провалят одитите на доставчици

Много програми за надзор върху доставчици не постигат целите си поради често срещани и предотвратими грешки. Бъдете особено внимателни към следните критични капани:

• Одитът като събитие: Разчитане на еднократни одити при въвеждане или подновяване вместо внедряване на непрекъснат мониторинг.
• Самодоволство заради сертификация: Приемане на ISO или SOC 2 сертификат по номинална стойност, без преглед на детайлите, обхвата и изключенията в доклада.
• Неясни договори: Невключване на изрични и приложими клаузи за права на одит, уведомяване при нарушение и обработване на данни.
• Слабо управление на регистъра: Невъзможност да се предостави пълен регистър на всички доставчици, категоризиран по риск, и на данните, до които те имат достъп.
• Игнориране на низходящия риск: Неидентифициране и неуправление на рисковете, породени от критичните подизпълнители на самия доставчик — риск от четвърти страни.
• Непроверено управление на уязвимостите: Доверяване, че доставчикът прилага корекции за критични уязвимости, без да се изискват доказателства.

Практически контролен списък за одити на високорискови доставчици

Използвайте този контролен списък, адаптиран от Zenith Blueprint, за да гарантирате, че одитният процес за всеки високорисков доставчик е задълбочен и защитим.

Заключение: изграждане на устойчива и защитима верига на доставки

Ерата на съответствието тип „отметка в контролен списък“ за критични доставчици приключи. Интензивният контрол от регулации като NIS2 и DORA изисква фундаментална промяна към модел на непрекъснато уверение, основано на доказателства. CISO като Мария трябва да поведат усилията организациите им да преминат отвъд статичния въпросник.

Като изградите програма върху доказания жизнен цикъл на контролите по ISO/IEC 27001:2022, създавате рамка, която не само е в съответствие, но и реално намалява риска. Това означава сигурността на доставчиците да се третира като стратегическа дисциплина, да се вграждат приложими изисквания в договорите и да се поддържа постоянен надзор през цялото взаимоотношение.

Сигурността на вашата организация е толкова силна, колкото е най-слабото ѝ звено, а в днешната взаимосвързана екосистема това звено често се намира при трета страна. Време е да си върнете контрола.

Готови ли сте да преминете отвъд въпросника?

Интегрираните инструменти на Clarysec предоставят основата, от която се нуждаете, за да изградите програма за управление на риска, свързан с доставчици, на световно ниво, която издържа на всеки одит.

• Изтеглете нашите шаблони за политики: Внедрете надеждна рамка за управление с нашата корпоративна Политика за сигурност на трети страни и доставчици и нейния аналог за МСП.
• Следвайте Zenith Blueprint: Използвайте нашия Zenith Blueprint: An Auditor’s 30-Step Roadmap, за да внедрите и одитирате съответстваща СУИС, със специални стъпки за управление на риска, свързан с доставчици.
• Използвайте Zenith Controls: Заявете демонстрация на Zenith Controls: The Cross-Compliance Guide, за да съпоставите контролите за доставчици с NIS2, DORA, GDPR, NIST и други изисквания и да гарантирате, че одитният ви план е всеобхватен и защитим.