Закупуване на софтуер с изисквана сигурност през 2026 г.

Вторник сутрин е, началото на 2026 г., а Мария, главен директор по информационна сигурност (CISO) на бързо разрастваща се европейска компания за плащания, представя пред управителния съвет. Последната точка от дневния ред би трябвало да е рутинна: одобрение за нова платформа за откриване на измами, базирана на AI. Доставчикът има впечатляваща демонстрация, отстъпка с ограничен срок, едностраничен преглед на сигурността и стандартен договор.
След това започват въпросите.
Главният изпълнителен директор пита: „Как знаем, че тази платформа е сигурна? Нашите клиенти от финансовия сектор искат доказателства за съответствие с DORA, а този доставчик ще стане част от нашата критична инфраструктура.“
Правният отдел пита дали споразумението за обработване на лични данни е готово, къде ще се обработват данните на клиентите от ЕС и дали подобработващите са разкрити. Ръководителят по оперативна устойчивост пита за планиране на изход, експортиране на резервни копия и непрекъснатост за критични функции. Инженерът по сигурност на продукта иска оповестяване на уязвимости, доказателства за прилагане на корекции и SBOM или еквивалентна декларация за прозрачност на компонентите. Отделът за закупуване задава въпроса, който прави риска от доставчици скъп: „Можем ли да одобрим сега и да съберем документите след подписването?“
Това е моментът, в който съвременното закупуване на софтуер или се превръща в контрол, или в бъдещ доклад за инцидент.
През 2026 г. сигурното закупуване на софтуер не може да разчита на добра воля след сключване на договора. Сигурността на веригата за доставки по NIS2, ИКТ рискът от трети страни по DORA, отчетността на обработващия по GDPR и очакванията за сигурност на продуктите по Акта за киберустойчивост (CRA) преместиха уверението относно доставчиците в точката на решението за закупуване. Купувачите се нуждаят от закупуване на софтуер с изисквана сигурност, при което клиентът определя доказателствата за сигурност, договорните клаузи, контролните точки при въвеждане и оперативните отговорности преди покупката.
За клиентите на Clarysec отговорът не е поредната електронна таблица, която изчезва в имейл кореспонденцията. Това е система за контрол на закупуването, съгласувана с ISO/IEC 27001:2022, съпоставена чрез политиките на Clarysec, Zenith Blueprint: 30-стъпкова пътна карта за одитора и Zenith Controls, така че всяка покупка на софтуер или SaaS да има защитима проследимост от бизнес необходимостта до решението за риска от доставчика.
Изискваната сигурност е новият контрол при закупуване на софтуер
Сигурност още при проектиране обикновено се разглежда от гледна точка на доставчика. Изискваната сигурност е дисциплина от страна на купувача: организацията отказва да закупи софтуер, освен ако доставчикът не може да докаже, че сигурността, поверителността, устойчивостта, управлението на уязвимости и възможността за одит са вградени в предложението.
Това променя разговора за покупката. Вместо да пита „Имате ли сигурност?“, закупуването задава по-точни въпроси:
- Какви данни ще обработвате, къде и в каква правна роля?
- Коя бизнес функция ще зависи от вас и колко критична е тя?
- Какви доказателства потвърждават, че контролите ви функционират, а не само че са документирани?
- С какви срокове за уведомяване при инциденти ще се ангажирате?
- Какви доказателства за оповестяване на уязвимости, прилагане на корекции, SBOM или VEX можете да предоставите?
- Кои подизпълнители или подобработващи ще имат достъп до нашите данни или услуга?
- Можем ли да извършваме одит, проверки или да изискваме доказателства през срока на договора?
- Какво се случва при прекратяване, миграция, нарушение на сигурността, несъстоятелност или регулаторно запитване?
ISO/IEC 27001:2022 предоставя управленската основа за тази промяна. Клауза 4 изисква организацията да разбира контекста, заинтересованите страни и обхвата на СУИС, включително външните регулаторни изисквания и изискванията към доставчици. Клауза 5 превръща риска от доставчици в отговорност на ръководството и управлението. Клауза 6 изисква оценка на риска, третиране на риска, избор на контроли, декларация за приложимост и решения за остатъчния риск. Клауза 8 изисква контролирано изпълнение на процесите, включително процеси, предоставяни отвън. Клауза 9 изисква мониторинг, вътрешен одит и преглед от ръководството.
Това означава, че закупуването на софтуер не е само търговски работен процес. То се превръща в управляван и подлежащ на одит процес в СУИС. Регулаторите и одиторите все по-често питат защо организацията е приела доставчик, преди да разбере риска. Закупуването с изисквана сигурност дава ясен отговор: рискът е оценен, третиран, договорно уреден и възложен преди създаване на зависимост.
Защо NIS2, DORA, GDPR и CRA се срещат при избора на доставчик
Управителният съвет на Мария задава правилните въпроси, защото един-единствен доставчик на софтуер може да задейства няколко задължения едновременно.
NIS2 се прилага според сектора, размера и критичността, като Приложение I и Приложение II включват в обхвата множество цифрови, финансови, инфраструктурни и управлявани услуги, както и организации, зависими от облачни услуги. Article 21 изисква подходящи и пропорционални технически, оперативни и организационни мерки, включително сигурност на веригата за доставки, сигурно придобиване, сигурна разработка и поддръжка, управление на уязвимости, контрол на достъпа, политика за управление на активите, непрекъснатост, управление на инциденти и оценка на ефективността на контролите. Article 21(3) изрично изисква внимание към уязвимости на преките доставчици и практиките на доставчиците за киберсигурност. Article 23 създава поетапни очаквания за докладване на съществени инциденти, включително ранно предупреждение в рамките на 24 часа и уведомление в рамките на 72 часа.
DORA се прилага от 17 януари 2025 г. за финансовите субекти в обхват. Тя създава единни изисквания за управление на ИКТ риска, докладване на инциденти, свързани с ИКТ, тестване на цифровата оперативна устойчивост и управление на ИКТ риска от трети страни. DORA е особено предписваща при закупуването. Финансовите субекти се нуждаят от стратегии за ИКТ риск от трети страни, регистри на договореностите за ИКТ услуги, надлежна проверка, анализ на риска от концентрация, писмени договори с разпоредби за сигурност и устойчивост, права на одит и достъп, задължения за съдействие, права за прекратяване и планове за изход. Articles 28 и 30 са ключови за ИКТ риска от трети страни и договорните контроли, а Articles 17 to 23 оформят управлението и докладването на инциденти.
GDPR добавя контролната точка за отчетност на обработващия. Articles 5, 28, 32, 33 и 34 изискват отчетност, договори с обработващи, подходяща сигурност, съдействие при уведомления за нарушения на сигурността и управление на въздействието върху субектите на данни. SaaS доставчик, който обработва лични данни, не е просто доставчик. Той става част от профила на съответствие на администратора. DPA, техническите и организационните мерки, списъкът на подобработващите, предпазните мерки при трансфер, правилата за съхранение и задълженията за изтриване трябва да бъдат разбрани преди началото на обработването.
Очакванията по CRA добавят уверение за продукта. Дори когато купувачът не е производителят, екипите по закупуване трябва да изискват доказателства за сигурна разработка, управление на уязвимости, поддръжка на продукта, корекции за сигурност, координирано оповестяване на уязвимости и прозрачност на компонентите, например SBOM или еквивалентна декларация. Тези изисквания трябва да присъстват в RFP, приложенията за сигурност и контролните точки за приемане.
Общата тема е проста: закупуващата организация трябва да знае какво купува, какъв риск въвежда и какви доказателства може да представи, когато регулатори, клиенти или одитори ги поискат.
Контролната основа на ISO 27001 за уверение относно доставчиците
Най-ефективният модел за закупуване с изисквана сигурност не е регулация по регулация. Той започва от контролите. Clarysec използва ISO/IEC 27001:2022 като основа на СУИС, подкрепена от насоките за контроли в ISO/IEC 27002:2022 и съпоставянето на съответствието в Zenith Controls.
В Zenith Controls уверението относно доставчиците е изградено около контролите 5.19, 5.20 и 5.21 от ISO/IEC 27002:2022. Това не са изолирани елементи от контролен списък. Те формират жизнен цикъл на закупуването.
| Контрол по ISO/IEC 27002:2022 | Въпрос при закупуването | Доказателства за изисквана сигурност | Основен намален риск |
|---|---|---|---|
| 5.19 Информационна сигурност във взаимоотношенията с доставчици | Следва ли изобщо да ангажираме този доставчик? | Класификация на доставчика, надлежна проверка, оценка на риска, собственост, периодичност на повторна оценка | Неизвестна експозиция към доставчик |
| 5.20 Отразяване на информационната сигурност в споразуменията с доставчици | Договорно приложими ли са нашите изисквания? | Приложение за сигурност, DPA, SLA, права на одит, уведомяване при инциденти, клаузи за подизпълнители, клаузи за изход | Договорна слабост |
| 5.21 Управление на информационната сигурност във веригата за доставки на ИКТ | Могат ли последващи ИКТ зависимости да ни компрометират? | Списък на подизпълнители, контроли за подобработващи, облачна архитектура, доказателства за компоненти, управление на уязвимости, анализ на концентрацията | Скрит риск във веригата за доставки и технологичен риск |
Zenith Controls съпоставя тези ISO контроли с регулаторни и одитни очаквания. Той не създава отделни собственически контроли, наречени Zenith Controls. Той помага на екипите да разберат как контролите по ISO/IEC 27002:2022 подпомагат NIS2, DORA, GDPR, NIST CSF 2.0 и COBIT-ориентираното уверение.
Поддържащата мрежа от контроли също е важна. Уверението относно доставчиците се свързва с управление на активите, контрол на достъпа, сигурност на облачни услуги, управление на уязвимостите, протоколиране, управление на инциденти, ИКТ готовност за непрекъсваемост на дейността, сигурна разработка, контроли за сигурност на приложенията, управление на конфигурацията, архивиране, резервираност, правно съответствие, поверителност, управление на промените и независим преглед. Закупуването координира процеса, но собствеността върху риска трябва да включва собственика на бизнеса, информационната сигурност, правния отдел, поверителността, ИТ, финансите и собственика на услугата.
Контролни точки в политиките на Clarysec преди подписване
Моделът на политики на Clarysec целенасочено премества уверението относно доставчиците нагоре по процеса. Най-силният език се намира там, където му е мястото: преди подписване на споразумения, преди активиране на облачни абонаменти и преди споделяне на данни.
SME версията на Политика за сигурност на трети страни и доставчици на Clarysec посочва:
Оценявайте и документирайте рисковете от доставчици преди подписване на споразумения или предоставяне на достъп.
Това произтича от раздел „Цели“, клауза 3.3 от политиката. Клаузата е кратка, защото контролното намерение не подлежи на договаряне: няма оценка на риска, няма договор, няма достъп.
За корпоративни среди Политика за сигурност на трети страни и доставчици на Clarysec засилва предварителния договорен контрол:
Всички нови доставчици трябва да преминат документирана оценка на сигурността преди изпълнение на договора.
Това произтича от раздел „Изисквания за прилагане на политиката“, клауза 6.1.1 от политиката. Същата политика също посочва „Права на одит, проверка и искане на доказателства за сигурност“ в раздел „Изисквания за управление“, клауза 5.3.4 от политиката.
За закупуване на облачни услуги и SaaS, SME Политика за използване на облачни услуги добавя практична точка за одобрение:
Всяко използване на облачни услуги трябва да бъде прегледано и одобрено от управител (GM) преди внедряване или абонамент.
Това произтича от раздел „Изисквания за управление“, клауза 5.1 от политиката. В малка организация това одобрение може да е еквивалент на съвет за управление на облачни услуги. В предприятие то се превръща в работен процес между закупуване, сигурност, поверителност и архитектура. Корпоративната Политика за използване на облачни услуги също подпомага договорните изисквания към облачните услуги, включително приложими разпоредби в договорите с CSP.
За придобиване на софтуер корпоративната Политика за изискванията за сигурност на приложенията е категорична:
Придобиването на софтуер или договореностите за външно възлагане трябва да включват изисквания за сигурност в RFP, договорите и SLA, включително разпоредби за срокове за отстраняване на уязвимости и права на одит от трети страни.
Това произтича от раздел „Изисквания за управление“, клауза 5.4 от политиката. Обърнете внимание на реда: RFP, договори и SLA. Сигурността се появява на етапа на ангажиране на пазара, а не като приложение след възлагането.
За закупуване, водено от GDPR, SME Политика за правно и регулаторно съответствие на Clarysec изисква:
Клаузите на споразумение за обработване на лични данни или еквивалентните договорни условия трябва да бъдат договорени преди споделяне на лични или чувствителни данни.
Това произтича от раздел „Изисквания за прилагане на политиката“, клауза 6.3.2 от политиката. Това предотвратява един от най-честите провали при въвеждане на SaaS: качване на лични данни в инструмент, преди да са договорени условията за обработващия, задълженията при нарушение на сигурността и условията за подобработващите.
За сигурността на приложенията на доставчика SME Политика за изискванията за сигурност на приложенията изисква закупуването да:
посочва задължения за оповестяване на уязвимости, срокове за реакция и прилагане на корекции.
Това е от раздел „Изисквания за управление“, клауза 5.3.2 от политиката. В нея също се посочва:
GM трябва да изисква документация или сертификации (напр. SOC 2, ISO 27001, доклади от тестове за сигурност) като доказателство за съответствие на доставчика, когато е приложимо.
Това произтича от раздел „Изисквания за прилагане на политиката“, клауза 6.3.2 от политиката. Ключовата дума е доказателство. Закупуването с изисквана сигурност не се основава на декларации за доверие. То се основава на прегледими артефакти.
Контролната точка за закупуване в Zenith Blueprint
Zenith Blueprint разглежда сигурността на доставчиците като действащ контрол, а не като лозунг за закупуване. В етапа Controls in Action, Step 23 обхваща организационните контроли 5.19 до 5.37, включително информационната сигурност във взаимоотношенията с доставчици.
Blueprint обяснява:
Започва се с класификация на доставчика. Не всички доставчици носят еднакъв риск. Услуга за почистване може да има физически достъп до офиси, но не и до мрежи. Фирма за тестове за проникване или доставчик на облачен хостинг, от друга страна, може да има дълбок технически достъп до самото ядро на вашата инфраструктура. Класификацията следва да отчита дали доставчикът борави с вашата информация или я обработва директно, дали предоставя инфраструктура или платформи, върху които работите, дали управлява или поддържа системи от ваше име и дали неговото компрометиране може да засегне целите ви за поверителност, цялостност или наличност.
За контрол 5.20 Blueprint е директен:
Основните области, които обичайно се разглеждат в споразуменията с доставчици, включват задължения за поверителност; отговорности за контрол на достъпа; технически и организационни мерки за защита на данните, шифроване, сигурно предаване, архивиране и ангажименти за наличност; срокове и протоколи за докладване на инциденти; право на одит, включително честота, обхват и достъп до относими доказателства; контроли за подизпълнители; и разпоредби при приключване на договора, като връщане или унищожаване на данни, възстановяване на активи и деактивиране на акаунти.
Той заключава, че контрол 5.20 е „последната ви линия на въздействие“ и „принадлежи към контролната точка за закупуване“. След подписване на договора възможността за въздействие намалява. Преди подписване доказателствата и задълженията могат да бъдат поставени като условия за покупка.
За външна разработка етапът Controls in Action, Step 21, контрол 8.30, добавя още едно изискване към закупуването. Blueprint посочва:
В основата на този контрол стои принципът, че сигурността трябва да бъде договорно изискване, а не устно очакване.
Външно възложените екипи следва да отговарят на същите стандарти за сигурна разработка като вътрешните екипи, включително статичен анализ, преглед от равнопоставени лица, шифроване, MFA към хранилища и видимост върху кода, архитектурните решения, уязвимостите, заявките за промяна, CI/CD журналите и резултатите от сканиране.
Изграждане на RFP контролна точка с изисквана сигурност за един следобед
Да приемем, че организацията ви иска платформа за клиентска аналитика. Тя ще приема клиентски идентификатори, поведенчески събития, метаданни за поддръжка и транзакционни референции. Собственикът на бизнеса иска бързо одобрение. Екипът по сигурността има една седмица.
Започнете със запис за контролната точка при закупуване, като използвате Политика за сигурност на трети страни и доставчици, Политика за изискванията за сигурност на приложенията, Политика за използване на облачни услуги, Политика за правно и регулаторно съответствие и Step 23 от Zenith Blueprint като изходни документи.
| Поле на контролната точка | Примерен запис |
|---|---|
| Име на доставчика | SaaS доставчик за клиентска аналитика |
| Тип услуга | Облачен SaaS, обработващ клиентски данни и данни за използване |
| Собственик на бизнеса | Ръководител „Операции с клиенти“ |
| Данни в обхват | Клиентски идентификатори, събития за използване, метаданни за поддръжка, транзакционни референции |
| Роля по GDPR | Доставчикът вероятно е обработващ, организацията е администратор |
| Критичност | Висока, ако се използва за решения по обслужване на клиенти; средна, ако е само за аналитика |
| Релевантност по NIS2 | Доставчикът подпомага операции на цифрови услуги и може да повлияе върху въздействието на инцидент |
| Релевантност по DORA | Релевантно, ако аналитиката подпомага операции във финансовия сектор или докладване за критична функция |
| Релевантност за уверение по CRA | Сигурност на продукта, управление на уязвимости, поддръжка на актуализации, прозрачност на компонентите |
| Първоначална оценка на риска | Висока до получаване на доказателства за DPA, инциденти, подобработващи и експорт |
| Условие за одобрение | Без договор преди оценка на сигурността, DPA и преглед на приложението за сигурност |
Прикачете към RFP въпросник за изисквана сигурност. Избягвайте общи въпроси като „Шифровате ли данните?“ Задавайте въпроси, водени от доказателства:
- Предоставете актуалния си независим доклад за уверение относно сигурността, сертификат или еквивалентни доказателства за контролите.
- Посочете местата за хостинг, възможностите за местонахождение на данните, местата на резервните копия и местата за достъп на поддръжката.
- Предоставете DPA, списък на подобработващите и процес за уведомяване при промени в подобработващите.
- Потвърдете сроковете за уведомяване при инциденти, включително поддръжка за ранно предупреждение в рамките на 24 часа, когато може да се задействат работни процеси по NIS2, и поддръжка за поетапно докладване за клиенти, регулирани от DORA.
- Предоставете политика за оповестяване на уязвимости, SLA за корекции според степен на сериозност и доказателства за скорошно управление на отстраняването на уязвимости.
- Предоставете доказателства за сигурността на продукта, като описание на жизнения цикъл на сигурна разработка, резюме от тестове за проникване, SBOM или декларация за прозрачност на компонентите и срок за поддръжка на актуализациите за сигурност.
- Потвърдете MFA, достъп на принципа на минимално необходимите права, протоколиране, мониторинг на административния достъп и права на клиента за одит или искане на доказателства.
- Опишете експортирането, изтриването, връщането, поддръжката при прекратяване и съдействието при преход.
- Избройте съществените подизпълнители и ИКТ зависимости, които поддържат услугата.
- Потвърдете дали клиентските данни се използват за обучение, аналитика, подобрение на продукта или разработване на AI модели и посочете правното основание или модела на указания от клиента за обработването.
След това оценете доставчика преди преговорите.
| Област на изискванията | Условие за приемане | Условие за отказ или ескалация |
|---|---|---|
| Доказателства за сигурност | Актуален доклад за уверение, резюме от тестове за сигурност или еквивалентна документация | Само маркетингови твърдения, без налични доказателства |
| Готовност на обработващия по GDPR | DPA е прието преди споделяне на данни, подобработващите са разкрити | DPA е отложено за след въвеждането или условията за подобработващи са неясни |
| Ангажименти при инциденти | Договорен срок за уведомяване, контакти за ескалация, поддръжка при въздействие върху клиента | Доставчикът отказва конкретни задължения за уведомяване или съдействие |
| Управление на уязвимости | Канал за оповестяване, SLA за отстраняване според степен на сериозност, доказателства за процеса по прилагане на корекции | Няма процес за оповестяване или няма ангажименти за отстраняване |
| ИКТ верига за доставки | Хостингът, подизпълнителите и критичните зависимости са разкрити | Доставчикът няма да идентифицира критичните последващи доставчици |
| Изход и устойчивост | Експортът, изтриването, архивирането и съдействието при прекратяване са документирани | Няма тествани доказателства за експорт или изтриване |
| Възможност за одит | Право за пропорционално искане на доказателства, проверка или одит | Доставчикът не допуска смислено уверение след подписване |
Накрая актуализирайте регистъра на риска и декларацията за приложимост. Записът за третиране на риска трябва да показва защо контролите 5.19, 5.20 и 5.21 от ISO/IEC 27002:2022 се прилагат, кои договорни и технически изисквания са избрани, кой притежава остатъчния риск и каква периодичност на мониторинга се прилага. Ако бизнесът иска да продължи въпреки пропуските, използвайте формален запис за приемане на риска със срок на валидност, компенсиращи контроли и одобрение от висшето ръководство.
Договорни клаузи, които превръщат регулацията в приложими задължения
Очакванията за сигурност трябва да се превърнат в договорни ангажименти. Сертификатът може да е полезен, но рядко отговаря на всеки въпрос за конкретната ви услуга, местонахождението на данните, подизпълнителите, модела за поддръжка, ангажиментите при инциденти или правата при изход.
| Регулаторно изискване | Насоки от политиките на Clarysec | Примерна договорна клауза |
|---|---|---|
| Права на одит и стратегия за изход по DORA Article 30 | Политика за сигурност на трети страни и доставчици, клауза 5.3.4 изисква „Права на одит, проверка и искане на доказателства за сигурност“ | Доставчикът се съгласява да предоставя достъп до относима документация за сигурност при разумно предизвестие и да подпомага организираното връщане на данни, изтриване и преход на услугата при прекратяване. |
| Сигурност на веригата за доставки и управление на уязвимости по NIS2 Article 21 | Политика за изискванията за сигурност на приложенията, клауза 5.4 изисква срокове за отстраняване на уязвимости и права на одит от трети страни | Доставчикът трябва да поддържа процес за оповестяване на уязвимости, да уведомява Клиента за критични уязвимости, въздействащи върху услугата, и да предоставя срокове за отстраняване според степен на сериозност. |
| Задължения на обработващия по GDPR Article 28 | Политика за правно и регулаторно съответствие, клауза 6.3.2 изисква DPA условия преди споделяне на данни | Споразумението включва споразумение за обработване на лични данни, което урежда личните данни, подобработващите, мерките за сигурност, съдействието при нарушение на сигурността, съхранението и изтриването. |
| Управление на облачни услуги | Политика за използване на облачни услуги, клауза 5.1 изисква преглед и одобрение преди внедряване или абонамент | Доставчикът трябва да разкрие регионите за хостинг, местата на резервните копия, контролите за шифроване, контролите за административен достъп и журналите за достъп до клиентски данни. |
| Очаквания за сигурност на продуктите по CRA | Политика за изискванията за сигурност на приложенията - SME, клауза 5.3.2 изисква оповестяване на уязвимости, срокове за реакция и прилагане на корекции | Доставчикът трябва да предоставя доказателства за сигурността на продукта, прозрачност на компонентите, когато е приложимо, координирано оповестяване на уязвимости и ангажименти за актуализации на сигурността. |
Тази таблица е практичният мост между правните задължения и работата по закупуването. Тя също помага на правния отдел, сигурността и закупуването да преговарят от една и съща базова линия на контролите.
Съпоставяне на съответствието: едно досие на доставчик, много задължения
Предимството на използването на ISO/IEC 27001:2022 като основа е, че едно досие за уверение относно доставчика може да подпомогне множество регулаторни разговори.
| Рамка | Какво трябва да докаже закупуването | Фокус на контролите на Clarysec |
|---|---|---|
| NIS2 | Надзор от ръководството, сигурност на веригата за доставки, сигурно придобиване, управление на уязвимости, управление на инциденти, непрекъснатост и практики на доставчика за киберсигурност | Класификация на доставчиците, клаузи за сигурност, ангажименти за уязвимости и инциденти, мониторинг на доставчици |
| DORA | Стратегия за ИКТ риск от трети страни, регистър на договореностите, надлежна проверка, анализ на концентрацията, договорни клаузи, права на одит, съдействие при инциденти и планове за изход | Регистър на ИКТ доставчици, оценка на критичност, договорни контроли, доказателства от тестове за устойчивост, поддръжка при прекратяване |
| GDPR | Роли на администратор и обработващ, DPA преди обработване, сигурност на обработването, съдействие при нарушение на сигурността, управление на подобработващи, доказателства за отчетност | DPA контролна точка, картографиране на данните, списък на подобработващи, технически и организационни мерки, ангажименти за съхранение и изтриване |
| Очаквания по CRA | Сигурност на продукта, сигурна разработка, оповестяване на уязвимости, поддръжка на актуализации, прозрачност на компонентите и доказателства за сигурност | Приложение към RFP за сигурност на продукта, SBOM или еквивалентни доказателства, SLA за корекции, задължения за оповестяване на уязвимости |
| NIST CSF 2.0 | Управление на риска по веригата за доставки, роли на доставчици, договори, надлежна проверка, мониторинг, планиране при инциденти и планиране след прекратяване | Действия по пропуските в текущ и целеви профил, регистър на риска от доставчици, периодичност на мониторинга |
| COBIT 2019 и одитна практика на ISACA | Управление на възлагането, собственост върху риска, цели на контролите, доказателства за процесите и баланс между ползи, риск и ресурси | Записи за решения, RACI, приемане на риска, показатели, одитна следа на вътрешния одит |
NIST CSF 2.0 е полезен като комуникационен слой. Неговата функция GOVERN подчертава осведомеността за правни, регулаторни, договорни, свързани с поверителността и зависимостите изисквания. Резултатите GV.SC за веригата за доставки изискват процеси за управление на риска във веригата за доставки, роли на доставчици, приоритизиране на доставчиците според критичност, договорни изисквания, надлежна проверка, мониторинг, планиране при инциденти и планиране при прекратяване.
Това се съпоставя ясно със Step 23 от Zenith Blueprint и контролите 5.19 до 5.21 от ISO/IEC 27002:2022, както са съпоставени в Zenith Controls. Освен това дава на управителните съвети език, който разбират: текущо състояние, целево състояние, пропуск, риск, действие, собственик и дата.
Какво ще попитат одиторите
Силен процес за закупуване с изисквана сигурност трябва да издържи на различни одитни гледни точки.
Одитор по ISO/IEC 27001:2022 ще започне с контекста и обхвата на СУИС. Той ще попита дали интерфейсите и зависимостите от доставчици са включени, дали изискванията на заинтересованите страни включват NIS2, DORA, GDPR и клиентски договори, и дали рисковете от доставчици се оценяват последователно по методологията за риска. Той ще проследи одитната следа към третиране на риска, декларация за приложимост, контроли за доставчици, оперативни доказателства, вътрешен одит и преглед от ръководството.
Проверяващ по DORA ще се фокусира върху бизнес функции, поддържани от ИКТ, критични или важни функции, записи за зависимости от трети страни, договорни клаузи, права на одит и достъп, съдействие при инциденти, тестване на устойчивостта, стратегии за изход и риск от концентрация. Ако SaaS поддържа критична или важна функция, лек въпросник към доставчика няма да е достатъчен.
Орган по NIS2 ще попита как организацията е оценила практиките на доставчиците за киберсигурност, уязвимостите на преките доставчици, поддръжката за уведомяване при инциденти, зависимостите за непрекъснатост и решенията за сигурно придобиване. Той ще провери дали уверението относно доставчиците подпомага собствените задължения на организацията по Article 21 и Article 23.
Проверяващ по GDPR ще попита дали ролите на администратор и обработващ са били разбрани преди началото на обработването, дали DPA или еквивалентни условия са договорени преди споделяне на данни, дали подобработващите са разкрити, дали мерките за сигурност са подходящи, дали съдействието при нарушение на сигурността е договорно уредено и дали връщането или изтриването на данни е приложимо.
Одитор в стил COBIT 2019 или ISACA ще се фокусира върху управление и отчетност: кой е одобрил доставчика, кой риск е бил приет, дали са спазени изискванията на политиката, дали изключенията се проследяват и дали ползите, рискът и ресурсите са балансирани.
Пакетът ви с доказателства следва да включва класификация на доставчика, одобрение от собственика на бизнеса, оценка на риска, изисквания за сигурност в RFP, отговори на доставчика, DPA, приложение за сигурност, SLA, права на одит, регистър на подобработващите, ангажименти за уязвимости, клаузи за инциденти, доказателства за облачно местонахождение, доказателства за протоколиране и шифроване, условия за изход, записи за повторна оценка, изключения и съпоставяне с декларацията за приложимост.
Чести модели на провал при закупуване на софтуер
Първият провал е третирането на закупуването като търговски работен процес, а сигурността — като технически работен процес. Докато сигурността получи договора, бизнесът вече се е ангажирал психологически, датата за внедряване е обявена и възможността за преговори е слаба.
Вторият провал е замяната на доказателства. Доставчикът предоставя сертификат и купувачът приема, че той отговаря на всеки въпрос. Сертификацията може да помогне, но може да не покрива точния продукт, региона за хостинг, модела за поддръжка, веригата от подизпълнители, задълженията при инциденти, използването на данни за AI или изискванията за изход.
Третият провал е пропускането на последващия риск. SaaS доставчик може да разчита на облачен хостинг, инструменти за аналитика, платформи за поддръжка, офшорни екипи за разработка, доставчици на AI модели и обработващи плащания. Контрол 5.21 от ISO/IEC 27002:2022 изисква внимание към ИКТ веригата за доставки зад прекия доставчик. По DORA това се свързва с подизпълнение и риск от концентрация. По GDPR се свързва с подобработващи. По NIS2 се свързва с уязвимости на преки доставчици и практики на доставчиците за киберсигурност.
Четвъртият провал е слабият език за инциденти. Договор, който казва „доставчикът ще уведоми клиента своевременно“, може да не подпомогне ранно предупреждение по NIS2, поетапно докладване по DORA, комуникации с клиенти или вътрешна ескалация. Клаузите за инциденти се нуждаят от срокове, тригери, контакти, задължения за съдействие и задължения за доказателства.
Петият провал са неясните права при изход. Ако доставчик стане несигурен, несъответстващ, бъде придобит, стане несъстоятелен или стратегически неподходящ, купувачът се нуждае от експорт, изтриване, поддръжка при преход, деактивиране на акаунти и доказателства за унищожаване. Изходът не е правна последваща мисъл. Той е контрол за устойчивост.
От контролна точка при закупуване към живо уверение относно доставчика
Закупуването с изисквана сигурност не приключва с подписването. Зрелият жизнен цикъл на доставчици в стил Clarysec има пет етапа.
| Етап от жизнения цикъл | Контролна дейност | Запис на доказателства |
|---|---|---|
| Заявяване | Бизнес необходимостта, данните и критичността са идентифицирани преди ангажиране на пазара | Формуляр за приемане, класификация на данни, оценка на критичност |
| Избор | RFP включва изисквания за сигурност, поверителност, устойчивост и уверение за продукта | Приложение към RFP, отговори на доставчика, лист за оценяване |
| Договор | Задълженията стават приложими преди подписване | DPA, приложение за сигурност, SLA, права на одит, клаузи за инциденти и изход |
| Въвеждане | Достъпът, конфигурацията, протоколирането, шифроването и потоците от данни се валидират | Контролен списък за въвеждане, одобрения за достъп, доказателства за конфигурацията |
| Експлоатация | Рискът от доставчика се наблюдава и преоценява | Периодичност на прегледа, актуализирани доказателства, инциденти, промени, приемане на риска |
За високорискови доставчици мониторингът трябва да включва обновяване на доказателства, срещи за преглед на сигурността, участие в настолни упражнения за инциденти, преглед на достъпа, докладване за уязвимости и корекции, преглед на промени в услугата и актуализации на подобработващи. За доставчици с по-нисък риск годишен преглед може да е достатъчен. Мащабируемостта на ISO 27001, пропорционалността по NIS2 и пропорционалността по DORA подкрепят адаптиране, но адаптирането трябва да бъде обосновано и документирано.
Следващата стъпка с Clarysec
Следващата рискова SaaS покупка няма да чака перфектен редизайн на управлението. Започнете със следващата заявка за закупуване.
Използвайте Zenith Blueprint: 30-стъпкова пътна карта за одитора, за да внедрите Step 23 контролите за взаимоотношения с доставчици и Step 21 контролите за външна разработка. Използвайте Zenith Controls, за да съпоставите контролите 5.19, 5.20 и 5.21 от ISO/IEC 27002:2022 с NIS2, DORA, GDPR, NIST CSF 2.0 и COBIT-ориентираните одитни очаквания. Използвайте библиотеката от политики на Clarysec, включително Политика за сигурност на трети страни и доставчици, Политика за изискванията за сигурност на приложенията, Политика за използване на облачни услуги и Политика за правно и регулаторно съответствие, за да направите контролната точка приложима.
Преди подписване на следващия договор изискайте класификация на доставчика, доказателства за сигурност, готовност за DPA, ангажименти при инциденти, управление на уязвимости, прозрачност на подизпълнителите, права на одит и условия за изход.
Това е закупуване с изисквана сигурност. Така CISO превръщат регулаторния натиск в покупателна сила. Така мениджърите по съответствие превръщат припокриващите се задължения в едно досие с доказателства. Така одиторите виждат, че рискът от доставчика е бил разгледан преди създаване на зависимост. И така собствениците на бизнеса купуват софтуер по-бързо, без да наследяват неуправляван риск.
Готови ли сте да превърнете следващата си покупка на софтуер в готов за одит контрол? Разгледайте интегрирания пакет от политики на Clarysec, изтеглете Zenith Blueprint, прегледайте Zenith Controls или насрочете демонстрация, за да изградите програма за закупуване с изисквана сигурност, която издържа на NIS2, DORA, GDPR, очакванията по CRA и реален одиторски контрол.
About the Author

Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council