Оценки на въздействието на трансфера за облачни услуги през 2026 г.
Мария, директорът по информационна сигурност (CISO) в InnovatePay, се взираше в страница 12 от въпросника за комплексна проверка.
Нейната компания — бързо растящ европейски FinTech SaaS доставчик — беше близо до подписване на договор с най-големия си клиент досега: голяма банка със строги очаквания за оперативна устойчивост. Въпросникът не изискваше само сертификат ISO 27001, резюме от тестове за проникване или пакет от политики за сигурност. Той изискваше пълна оценка на въздействието на трансфера за основния облачен доставчик на InnovatePay, базиран в САЩ, разбивка на подизпълнителите на обработването, приложимите стандартни договорни клаузи, декларация за географския трансфер на данни и доказателство, че допълнителните мерки са картографирани към ISO/IEC 27001:2022, NIS2 и DORA.
Правният отдел разполагаше с допълнението за обработване на данни. Екипът по закупуване имаше достъп до портала на доставчика. Инженерният екип имаше настройките за облачните региони. Екипът по сигурността имаше диаграми за шифроване. Екипът за клиентски успех беше обещал „хостинг в ЕС“ по време на търговски разговор. Никой не можеше веднага да докаже дали достъпът за поддръжка от Индия е в обхвата, дали добавката за анализ използва подизпълнител на обработването в САЩ, или дали журналите за грешки се репликират чрез глобален доставчик на мониторинг.
Това е реалността през 2026 г. за SaaS компании, доставчици на облачни услуги, FinTech доставчици и доставчици на управлявани ИКТ услуги. Оценката на въздействието на трансфера, или TIA, вече не е меморандум за поверителност, изготвян в края на процеса по закупуване. Тя е пакет от доказателства за съответствие между различни регулаторни режими, който трябва да обяснява къде отиват личните данни, кой може да има достъп до тях, кой правен механизъм за трансфер се прилага, кои допълнителни мерки намаляват риска и как организацията наблюдава трансфера във времето.
За много екипи проблемът не е липса на усилия. Проблемът е фрагментацията. SCC се съхраняват в хранилище за договори. Списъците с подизпълнители на обработването са в портали на доставчици. Настройките за местонахождение на данните са в облачната конзола. Решенията по риска са заровени в електронна поща. Доказателствата за шифроване са в Confluence. Силната облачна оценка на въздействието на трансфера свързва тези фрагменти в една защитима верига от доказателства.
Защо облачните TIA се превърнаха в риск на ниво управителен съвет
Оценката на въздействието на трансфера оценява дали личните данни, предавани извън Европейското икономическо пространство, остават защитени на практика. Оценката трябва да идентифицира данните, страните, целите на обработването, местата на съхранение, местата на достъп, последващите трансфери, правния механизъм за трансфер, рисковете в държавата получател и допълнителните мерки.
Съгласно GDPR отправната точка е широка. Личните данни, обработването, администраторът, обработващият лични данни, псевдонимизацията и нарушението на сигурността на личните данни са дефинирани широко. Облачната телеметрия, тикетите за поддръжка, журналите за автентикация, записите за фактуриране, потребителските идентификатори, IP адресите и продуктовите анализи могат да попаднат в обхвата. Отчетността по GDPR съгласно Article 5 изисква организациите да демонстрират съответствие, докато задълженията на обработващия лични данни по Article 28 и правилата за международни трансфери по Chapter V зависят от точното знание какви данни се движат, къде се движат и кой може да има достъп до тях.
Решението Schrems II направи практическата тежест по-ясна. Самото подписване на SCC не е достатъчно. Организациите трябва да разгледат дали законите и практиките на държавата получател могат да подкопаят защитите, обещани в договора, и след това да приложат допълнителни мерки, когато е необходимо.
За облачните бизнеси това бързо се усложнява. Един SaaS продукт може да използва един доставчик на инфраструктура, отделна платформа за поддръжка, услуга за електронна поща, инструмент за мониторинг на грешки, CDN, хранилище за данни и функция за AI анализ. Всеки доставчик може да има подизпълнители на обработването. Всеки подизпълнител на обработването може да въведе място на съхранение, място на достъп, оперативен път за поддръжка или последващ трансфер.
Ето защо ISO/IEC 27001:2022, NIS2, DORA и NIST CSF 2.0 станаха част от разговора за TIA:
- GDPR изисква да се установи дали има законосъобразен механизъм за трансфер, подходящи условия за обработващия лични данни, контрол върху подизпълнителите на обработването и ефективни допълнителни мерки.
- ISO/IEC 27001:2022 изисква рискът от трансфер да бъде идентифициран, третиран, контролиран, наблюдаван и включен в Декларацията за приложимост.
- NIS2 изисква съществените и важни субекти да управляват киберриска от доставчици и доставчици на услуги под надзор от ръководството.
- DORA изисква финансовите субекти да докажат управление на ИКТ риска от трети страни, договорни клаузи, видимост върху подизпълнението, прозрачност на местоположението, риск от концентрация и готовност за изход.
- NIST CSF 2.0 помага тези изисквания да се преведат в резултати по управление, риск от доставчици, защита, реагиране и възстановяване.
Практическият извод е прост: TIA трябва да бъде част от ISMS, а не извън нея.
Използвайте ISMS като център за съответствие
Опитът TIA, GDPR, DORA и NIS2 да се управляват в отделни електронни таблици създава дублирана работа и пропуски при одит. По-мащабируемият подход е ISO/IEC 27001:2022 да се използва като система за управление, която свързва задълженията, рисковете, контролите и доказателствата.
ISO/IEC 27001:2022 изисква организациите да разбират своя контекст, изискванията на заинтересованите страни, интерфейсите и зависимостите с други организации. Той също така изисква повторяем процес за оценка на риска за информационната сигурност, процес за третиране на риска, Декларация за приложимост и доказателства, че избраните контроли работят по предназначение.
Тази структура пасва отлично на TIA. Рискът „лични данни от ЕС могат да бъдат достъпени от трета държава чрез облачен доставчик или подизпълнител на обработването без ефективни защитни мерки“ принадлежи в регистъра на риска. Третирането принадлежи в плана за третиране. Избраните контроли принадлежат в SoA. Поддържащите артефакти принадлежат в индекс на доказателствата.
Zenith Blueprint: 30-стъпкова пътна карта за одитори на Clarysec улавя тази връзка във фазата „Управление на риска“, стъпка 13:
SoA на практика е свързващ документ: тя свързва вашата оценка/третиране на риска с реалните контроли, с които разполагате. Като я попълните, допълнително проверявате дали не сте пропуснали контроли.
Това изречение е централно за готовността на TIA. TIA не е контролът. Тя е оценката, която обяснява защо са необходими контроли и как те намаляват остатъчния риск от трансфер. SoA е мостът, който свързва риска с управлението на облачните услуги, договорите с доставчици, криптографията, контрола на достъпа, мониторинга, реагирането при инциденти, непрекъсваемостта и правното съответствие.
Започнете с картата на трансферите, а не със SCC
Много организации започват TIA с въпроса дали договорът съдържа SCC. Това е необходимо, но не е първият въпрос. SCC имат смисъл само ако организацията знае кои трансфери покриват.
Практическата облачна TIA започва с пет въпроса.
| Въпрос за TIA | Източник на доказателства | Защо това е важно за одиторите |
|---|---|---|
| Какви лични данни се предават? | Записи за дейностите по обработване, класификация на данните, инвентаризация на облачните активи, карти на потоците от данни | Отчетността по GDPR и идентифицирането на риска по ISO 27001 изискват дефинирани активи и контекст на обработване |
| Къде се съхраняват, достъпват, поддържат или репликират данните? | Регистър на облачните услуги, настройки за местонахождение при доставчика, декларации за подизпълнители на обработването | Анализът на международния трансфер зависи както от местата на съхранение, така и от местата на достъп |
| Кой получава или може да достъпва данните? | Регистър на доставчиците, DPA, списък на подизпълнителите на обработването, записи за привилегирован достъп | Управлението на обработващи и подизпълнители на обработването трябва да бъде договорно приложимо и наблюдавано |
| Какъв механизъм поддържа трансфера? | SCC, решение за адекватност, EU-US Data Privacy Framework, когато е приложимо, обвързващи корпоративни правила (BCR) или друго документирано основание | GDPR Chapter V изисква валиден механизъм за трансфер с контроли върху последващите трансфери |
| Какви допълнителни мерки намаляват остатъчния риск? | Дизайн на шифроването, собственост върху ключове, псевдонимизация, одобрения за достъп, регистриране, DLP, процес при инциденти | Оценката трябва да показва практическа защита, а не само клаузи на хартия |
SME Политика за използване на облачни услуги на Clarysec прави това оперативно чрез изискване за регистър:
Регистър на облачните услуги трябва да се поддържа от ИТ доставчика или GM. Той трябва да записва:
От раздел „Управленски изисквания“, клауза на политиката 5.3.
Същото семейство клаузи включва изискване за местоположение, което е съществено за TIA:
Държавата или регионът, където се съхраняват данните
От раздел „Управленски изисквания“, клауза на политиката 5.3.4.
За по-големи среди Политика за използване на облачни услуги на Clarysec изрично свързва управлението на облачните услуги с механизмите за трансфер:
Преглед на стандартните договорни клаузи (SCC) и механизмите за трансфер съгласно GDPR, когато е приложимо.
От раздел „Роли и отговорности“, клауза на политиката 4.5.2.
Същата политика добавя изискване за съответствие между регулаторни режими:
Трансграничните прехвърляния на данни трябва да съответстват на GDPR Chapter V и, когато е приложимо, на DORA Article 28.
От раздел „Изисквания за прилагане на политиката“, клауза на политиката 6.6.3.
Това променя разговора за TIA. Въпросът не е „имаме ли SCC?“ Въпросът е „коя облачна услуга, кои лични данни, коя държава, кой път на достъп, кой подизпълнител на обработването, кой механизъм за трансфер, кои допълнителни мерки и какъв остатъчен риск?“
Картографирайте облачните TIA към доказателства по ISO/IEC 27001:2022
ISO/IEC 27001:2022 предоставя структурата за доказване, че TIA е част от работеща контролна среда. Най-релевантните области на доказателства са управление на доставчици, управление на облачни услуги, правни задължения, поверителност, криптография, контрол на достъпа, мониторинг, реагиране при инциденти и непрекъсваемост.
| Област на доказателства по ISO/IEC 27001:2022 | Какво да се покаже за TIA | Примерен артефакт |
|---|---|---|
| Управление на риска, свързан с доставчици | Комплексната проверка на доставчиците включва международен трансфер, местоположение на данните и риск от подизпълнители на обработването | Оценка на риска, свързан с доставчици, с раздел за трансфери |
| Споразумения с доставчици | Дефинирани са клаузи за сигурност, поверителност, одит, уведомяване за нарушения, подизпълнители и изход | DPA, SCC, график към ИКТ договор, допълнение за сигурност |
| ИКТ верига на доставки | Доставчиците надолу по веригата и облачните зависимости са идентифицирани и контролирани | Регистър на подизпълнителите на обработването и доказателства за прехвърляне на изискванията |
| Мониторинг на доставчици | Доказателствата от доставчика се преглеждат периодично, а промените задействат повторна оценка | Преглед на SOC доклад, преглед на ISO сертификат, журнал на промените в подизпълнителите на обработването |
| Облачни услуги | Придобиването, използването, управлението и изходът от облачни услуги са управлявани | Регистър на облачните услуги, матрица на споделената отговорност, план за изход от облачна услуга |
| Правни задължения и задължения за поверителност | GDPR Chapter V, задълженията на обработващия лични данни и ангажиментите към клиентите са документирани | Регистър на правните задължения, TIA, записи за дейностите по обработване |
| Криптография и контрол на достъпа | Допълнителните мерки са внедрени и проверени | Архитектура на шифроването, настройки на KMS, журнали от прегледи на достъпа |
| Инциденти и непрекъсваемост | Инцидентите, свързани с облачни услуги и доставчици, се откриват, докладват, управляват и от тях се извличат поуки | Наръчник за инциденти, клаузи за уведомяване, записи от тестове за възстановяване |
Zenith Controls: Ръководство за съответствие между регулаторни режими на Clarysec е особено полезно тук. В Zenith Controls контрол 5.23 от ISO/IEC 27002:2022, информационна сигурност при използване на облачни услуги, се разглежда като превантивен контрол, който поддържа поверителност, цялостност и наличност в областите на управлението, екосистемата и защитата. Той свързва използването на облачни услуги с отношенията с доставчици, сигурност на крайните точки, мрежова сигурност, трансфер на информация, маскиране на данни, предотвратяване на изтичане на данни, инвентаризация на активите и жизнен цикъл на сигурна разработка.
Това картографиране е важно, защото TIA рядко се решава с една правна клауза. Тя често включва администраторски достъп до облака, приложно-програмни интерфейси (API), които преместват данни между региони, конзоли за поддръжка, журнали, облачни хранилища, платформи за мониторинг и места за резервни копия.
Zenith Controls също картографира 5.23 към свързани стандарти, включително ISO/IEC 27017 за споделена отговорност и одитни следи в облака, ISO/IEC 27018 за защита на лично идентифицираща информация (PII) в публичен облак, ISO/IEC 27701 за изисквания за разширение за поверителност, ISO/IEC 27036-4 за мониторинг на облачни услуги и ISO/IEC 27005 за оценка на риска в облака.
За договорите с доставчици Zenith Controls покрива контрол 5.20 от ISO/IEC 27002:2022, разглеждане на информационната сигурност в споразуменията с доставчици. Този контрол превръща изискванията за трансфер в приложими ангажименти. Условията за обработващ лични данни по GDPR Article 28, контролите върху подизпълнителите на обработването, очакванията на NIS2 за веригата на доставки и договорните разпоредби по DORA Article 30 се превръщат в договорни доказателства.
За непрекъснат надзор ключов е контрол 5.22 от ISO/IEC 27002:2022, мониторинг, преглед и управление на промените в услугите на доставчици. TIA, завършена при въвеждане на доставчик, може да остарее, след като доставчикът добави подизпълнител на обработването, промени местата за поддръжка, модифицира архитектурата за регистриране или пусне нова функция.
Отстранете слабата точка с подизпълнителите на обработването
Най-честият пропуск при TIA не е липсата на SCC. Това е остарялата информация за подизпълнителите на обработването.
Доставчиците на облачни услуги и SaaS платформите често променят региони на услуги, модели за поддръжка, телеметрични потоци, CDN и подизпълнители. Ако TIA зависи от списък с подизпълнители на обработването, изтеглен еднократно при закупуването, тя бързо става ненадеждна.
Политика за сигурност на трети страни и доставчици на Clarysec адресира това чрез договорно изискване:
Използването на подизпълнители подлежи на предварително писмено съгласие
От раздел „Управленски изисквания“, клауза на политиката 5.3.5.
Политика за правно и регулаторно съответствие на Clarysec идентифицира правните доказателства, които трябва да се поддържат:
Разкрития за подизпълнители на обработването и декларации за географски трансфер на данни
От раздел „Изисквания за прилагане на политиката“, клауза на политиката 6.3.1.2.
Това изискване е кратко, но често е разликата между надеждна TIA и непълна такава. Ако организацията не може да представи разкрития за подизпълнители на обработването и декларации за географски трансфер, тя не може надеждно да обясни последващите трансфери.
Zenith Blueprint, фаза „Контроли в действие“, стъпка 23, добавя оперативното очакване:
За всеки критичен доставчик установете дали използва подизпълнители (подизпълнители на обработването), които могат да имат достъп до вашите данни или системи. Документирайте как изискванията ви за информационна сигурност се прехвърлят към тези страни — чрез договорните условия на вашия доставчик или чрез ваши собствени директни клаузи.
На практика това означава, че доставчиците с висок риск трябва да имат годишен преглед на подизпълнителите на обработването, процес за уведомяване при промени, документиран работен поток за одобрение и тригер за повторна оценка на риска. За услуги, релевантни по DORA, същите доказателства подпомагат и анализа на подизпълнението и риска от концентрация.
Направете допълнителните мерки конкретни и доказуеми
Допълнителните мерки никога не трябва да се документират като „използваме шифроване“ без подробности. Одиторите и корпоративните клиенти ще попитат какво е шифровано, къде се прилага шифроването, кой контролира ключовете, дали персоналът на доставчика може да достъпва данни в открит вид, дали журналите съдържат лични данни и как се одобрява привилегирован достъп.
Силен пакет от допълнителни мерки комбинира технически, договорни, организационни и мерки за устойчивост.
| Тип мярка | Пример | Доказателства за TIA |
|---|---|---|
| Техническа | Шифроване при пренос, шифроване на данни в покой, ключове, управлявани от клиента (CMK), псевдонимизация, токенизация, DLP, журнализиране на достъпа | Архитектурна диаграма, конфигурация на KMS, политика за шифроване, образци от журнали |
| Договорна | SCC, DPA, одобрение на подизпълнители на обработването, уведомяване за нарушение, права на одит, връщане и изтриване на данни | Подписани споразумения, контролен списък с клаузи, картографиране на договора |
| Организационна | Работен поток за преглед на трансфери, одобрения за достъп, обучение на персонала, периодичност на прегледите на доставчици | Процедура за TIA, записи от преглед на достъпа, журнали от обучение |
| Устойчивост | Резервни копия, възстановяване, план за изход, стратегия за алтернативен доставчик, комуникации при инциденти | Тест за възстановяване, план за изход от облачна услуга, план за кризисни комуникации |
Политика за криптографски контроли на Clarysec предоставя основата:
Шифроване трябва да се прилага към:
От раздел „Изисквания за прилагане на политиката“, клауза на политиката 6.1.1.
За TIA това изискване на политиката трябва да стане изрично доказателство. Шифроването трябва да бъде описано за лични данни при пренос между системи в ЕС и облачни услуги в трети държави, в покой в облачно хранилище и в резервни копия. Собствеността върху ключовете трябва да бъде дефинирана. Ако се използват ключове, управлявани от клиента, TIA трябва да обяснява дали доставчикът може да достъпва данни в открит вид, кога е разрешен достъп за поддръжка и как се регистрира административният достъп.
Политика за сигурност на трети страни и доставчици на Clarysec засилва увереността за местоположението:
Когато от доставчиците се изисква да съхраняват данни извън обекта, компанията трябва да получи уверение относно защитата на данните, физическата сигурност и географското място на съхранение (напр. хостинг само в ЕС, когато се изисква от GDPR).
От раздел „Изисквания за прилагане на политиката“, клауза на политиката 6.2.4.
Същата SME политика също подпомага пълнотата на договора:
Договорите трябва да включват задължителни клаузи, обхващащи:
От раздел „Управленски изисквания“, клауза на политиката 5.3.
За TIA тези задължителни клаузи трябва да покриват поверителност, мерки за сигурност, уведомяване за нарушения, подизпълнители на обработването, права на одит, връщане на данни, изтриване, механизми за трансфер и ангажименти за местоположение.
Изградете готов за одит пакет от доказателства за TIA
Да приемем, че европейски B2B SaaS доставчик използва платформа за анализ, базирана в САЩ. Платформата приема събития за използване от клиенти, потребителски идентификатори, IP адреси и метаданни за поддръжка. Тя предлага хостинг в ЕС и SCC, но персонал за поддръжка извън ЕИП може да има достъп до тикети, а журналите за грешки може да се обработват от подизпълнител на обработването в трета държава.
Практически пакет от доказателства може да се изгради в шест стъпки.
1. Създайте запис за трансфера
Започнете с Регистъра на облачните услуги, изискван от Политика за използване на облачни услуги. Добавете собственик на услугата, бизнес цел, категории данни, субекти на данни, роля, регион на хостинг, държави на достъп, места за поддръжка, подизпълнители на обработването, механизъм за трансфер, допълнителни мерки, оценка на риска и дата на следващ преглед.
За платформата за анализ запишете, че събитията се хостват в ЕС, че достъпът за поддръжка може да се осъществи извън ЕИП и че мониторингът на грешки създава последващ трансфер.
2. Прикачете договорните доказателства
Прикачете DPA, SCC или други доказателства за механизъм за трансфер, допълнение за сигурност, условия за уведомяване при инциденти и списък с подизпълнители на обработването. Използвайте клауза 4.5.2 от Политика за използване на облачни услуги, за да докажете прегледа на SCC и механизмите за трансфер. Използвайте клауза 5.3.5 от Политика за сигурност на трети страни и доставчици, за да докажете одобрение или съгласие за подизпълнители на обработването.
Ако разчитате на EU-US Data Privacy Framework за доставчик, запишете обхвата, статуса на сертификация, покритието на услугите и резервния механизъм. Не приемайте, че той покрива всеки последващ трансфер.
3. Създайте рисковия сценарий
Добавете риска в регистъра на риска на ISMS:
„Лични данни от ЕС, обработвани чрез платформа за анализ, могат да бъдат достъпени от трета държава от поддръжката на доставчика или от подизпълнители на обработването, което създава риск за поверителността, правното и регулаторното съответствие.“
Определете собственика, вероятността, въздействието, присъщата оценка, плана за третиране и остатъчната оценка. Свържете риска с GDPR Chapter V, ангажиментите към клиентите, контролите за облачни услуги и доставчици по ISO/IEC 27001:2022, NIS2 Article 21, когато е приложимо, и DORA Articles 28, 29 и 30 за контексти във финансовия сектор.
Политика за управление на риска на Clarysec определя дисциплината при третирането:
Длъжностното лице по управление на риска трябва да гарантира, че мерките за третиране са реалистични, ограничени във времето и картографирани към контролите от ISO/IEC 27001 Annex A.
От раздел „Изисквания за прилагане на политиката“, клауза на политиката 6.4.2.
4. Изберете допълнителни мерки
За платформата за анализ мерките могат да включват хостинг в ЕС, минимизирани полезни товари на събития, псевдонимни идентификатори, шифроване при пренос, шифроване на данни в покой, ограничен достъп за поддръжка, MFA за администратори, журнализиране на привилегирован достъп, DLP правила, предотвратяващи чувствителни полета в аналитични събития, задължения за уведомяване за подизпълнители на обработването и годишен преглед на доказателствата.
Картографирайте тези мерки към контроли от ISO/IEC 27002:2022, като 5.14 Information transfer, 5.15 Access control, 5.20 Addressing information security within supplier agreements, 5.22 Monitoring, review and change management of supplier services, 5.23 Information security for use of cloud services, 5.31 Legal, statutory, regulatory and contractual requirements, 5.34 Privacy and protection of PII, 8.11 Data masking, 8.12 Data leakage prevention, 8.16 Monitoring activities и 8.24 Use of cryptography.
5. Дефинирайте тригери за преглед
TIA не е завършена, докато не бъдат дефинирани тригери за преглед. Тригерите трябва да включват нов подизпълнител на обработването, нова държава на достъп, нова категория данни, промяна в модела за поддръжка, инцидент по сигурността, подновяване на договор, ново критично клиентско изискване, нова класификация по DORA или съществена промяна в облачната архитектура.
Тук контрол 5.22 от ISO/IEC 27002:2022 става оперативен. Преглеждайте SOC доклади, ISO сертификати, резюмета от тестове за проникване, уведомления за промени в услугата, история на инциденти и актуализации за подизпълнители на обработването. Проследявайте изключенията до приключване.
6. Актуализирайте SoA и индекса на доказателствата
В Декларацията за приложимост отбележете като приложими контролите за облачни услуги, доставчици, правни задължения, поверителност, криптография, достъп, мониторинг, инциденти и непрекъсваемост. Добавете бележки към SoA, като „поддържа TIA по GDPR Chapter V за платформата за анализ“, „поддържа договорни доказателства за ИКТ трети страни по DORA“ или „поддържа доказателства за сигурност на веригата на доставки по NIS2“.
Тази последна стъпка по индексиране превръща оценката за поверителност в готови за одит доказателства за съответствие.
Картографирайте едни и същи доказателства към GDPR, DORA, NIS2 и ISO 27001
Добре изграден пакет от доказателства за TIA трябва да удовлетворява множество одитни перспективи, без да създава дублирана документация.
| Област на предизвикателство | Изискване по GDPR | Изискване по DORA | Изискване по NIS2 | Доказателства по ISO/IEC 27001:2022 |
|---|---|---|---|---|
| Международен трансфер на данни | Механизъм за трансфер и TIA по Chapter V | Доказателства за местоположение и договори по Articles 28 и 30 | Сигурност на веригата на доставки по Article 21 | 5.23 регистър на облачните услуги, 5.14 трансфер на информация, 5.31 правни задължения |
| Управление на подизпълнители на обработването | Предварително конкретно или общо писмено разрешение по Article 28(2) | Подизпълнение и риск от концентрация по Article 29 | Риск от доставчици и доставчици на услуги по Article 21 | 5.20 договорно прехвърляне на изисквания, 5.21 ИКТ верига на доставки, 5.22 мониторинг |
| Допълнителни мерки | Сигурност на обработването по Article 32 | Защита и превенция по Article 9 | Криптография, контрол на достъпа и киберхигиена по Article 21 | 8.24 използване на криптография, 5.15 контрол на достъпа, 8.16 дейности по мониторинг |
| Отчетност и управление | Демонстриране на съответствие по Article 5(2) | Управление и рамка за управление на ИКТ риска по Articles 5 и 6 | Надзор от ръководството по Article 20 | Clauses 5 и 6, регистър на риска, план за третиране, SoA |
| Доказателства за инциденти и устойчивост | Уведомяване за нарушения по Articles 33 и 34, когато е приложимо | Очаквания за докладване на инциденти, реагиране, възстановяване и изход | Докладване на значителни инциденти по Article 23 | Наръчници за инциденти, клаузи за уведомяване, тестове за възстановяване, планове за изход |
DORA е особено важна, когато клиентът е финансов субект или услугата поддържа ИКТ верига във финансовия сектор. DORA се прилага от 17 януари 2025 г. и определя изисквания за управление на ИКТ риска, докладване на инциденти, тестване на устойчивостта, споделяне на информация и ИКТ риск от трети страни. Article 8 изисква идентификация и класификация на ИКТ активи, информационни активи и зависимости. Article 28 изисква управление на ИКТ риска от трети страни, регистри на информацията, комплексна проверка и стратегии за изход. Article 29 разглежда риска от ИКТ концентрация и подизпълнение. Article 30 изисква писмени договори с описания на услугите, места на обработване, защита на данните, достъп, възстановяване, връщане на данни, съдействие при инциденти, сътрудничество с органи, права на прекратяване, права на одит и преходни договорености.
NIS2 добавя отчетност на ръководството. Article 20 изисква управителните органи да одобряват и надзирават мерките за управление на риска за киберсигурността. Article 21 изисква подходящи и пропорционални технически, оперативни и организационни мерки, включително политики за риска, управление на инциденти, непрекъсваемост на дейността, сигурност на веригата на доставки, сигурно придобиване и разработка, оценка на ефективността на контролите, киберхигиена, криптография, сигурност на човешките ресурси, контрол на достъпа, управление на активите и MFA, когато е подходящо.
Припокриването е ясно. TIA, която идентифицира подизпълнители на обработването, места на трансфер, допълнителни мерки, задължения при инциденти и мониторинг на доставчици, е също доказателство за устойчивост на доставчиците.
Как одиторите ще тестват вашата TIA
Различните одитори задават различни въпроси, но доказателствата трябва да бъдат повторно използваеми.
| Одитна перспектива | Вероятен одитен въпрос | Силни доказателства |
|---|---|---|
| Одит на поверителността по GDPR | Можете ли да докажете механизма за трансфер, контрола върху подизпълнителите на обработването и допълнителните мерки? | TIA, SCC, DPA, регистър на подизпълнителите на обработването, декларация за местоположение на данните, доказателства за шифроване и достъп |
| Одит по ISO/IEC 27001:2022 | Идентифициран, третиран, контролиран и включен ли е рискът от трансфер в SoA? | Регистър на риска, план за третиране, бележки в SoA, регистър на облачните услуги, записи от прегледи на доставчици |
| Одит на поверителността по ISO/IEC 27701 | Операционализирани ли са задълженията на обработващия лични данни в облачни услуги, които обработват лични данни? | DPA клаузи, поддръжка на искания от субекти на данни (DSR), работен поток за изтриване, процес за уведомяване при инциденти |
| Преглед на готовността по NIS2 | Управляват ли се рисковете от доставчици и облачни услуги чрез мерки, одобрени от ръководството? | Оценка на риска, свързан с доставчици, преглед от ръководството, политика за криптографски контроли, записи за инциденти и непрекъсваемост |
| Преглед на ИКТ трети страни по DORA | Контролирани ли са ИКТ договорите, подизпълнението, местоположенията, мониторингът и плановете за изход? | Регистър на ИКТ договорите, картографиране на клаузите по Article 30, преглед на подизпълнители, тест за изход |
| Оценка по NIST CSF 2.0 | Управляват ли се и подобряват ли се правните, регулаторните, договорните и доставчическите рискове? | Текущи и целеви профили, план за пропуските, критичност на доставчиците, проследяване на реакцията на риска |
| Одит по COBIT 2019 или в стил ISACA | Има ли ясна собственост върху управлението, резултатност на процесите и отчетност за контролите? | RACI, собственост върху политики, KPI, KRI, управление на проблеми, докладване към съвета |
Zenith Controls предоставя практическа одитна методология за тези области. За облачните услуги одиторите търсят регистър на одобрените облачни услуги и доказателства, че неоторизираното използване на облачни услуги се наблюдава. За споразуменията с доставчици одиторите извършват извадково тестване на договори с високорискови доставчици и валидират поверителност, защита на данните, срокове за уведомяване при нарушение, права на одит, одобрение на подизпълнители на обработването и връщане или унищожаване на данни. За мониторинг на доставчици одиторите проверяват записи от прегледи, KPI отчети, сертификации на доставчици, SOC доклади, резюмета от тестове за проникване, изключения и действия за отстраняване.
Одитният урок е ясен: доказателствата трябва да показват работа във времето. TIA, подписана веднъж и никога непреглеждана отново, няма да удовлетвори сериозен преглед на облачни услуги, доставчици или устойчивост.
Използвайте NIST CSF 2.0, за да обясните риска от TIA на ръководството
Управителните съвети рядко искат да обсъждат подробно модулите на SCC или местата за облачна поддръжка. Те искат да знаят дали рискът се управлява, приоритизира и подобрява. NIST CSF 2.0 помага TIA да се преведе на езика на висшето ръководство чрез GOVERN, IDENTIFY, PROTECT, DETECT, RESPOND и RECOVER.
За TIA функцията GOVERN е особено полезна. Тя включва правни, регулаторни и договорни изисквания, апетит за риск, роли, политики, надзор и управление на киберриска от доставчици. Изградете Current Profile, който показва текущото състояние, например частичен регистър на облачните услуги, хранилище за SCC, ограничен преглед на подизпълнители на обработването и липса на дефинирана периодичност за преглед на TIA. След това дефинирайте Target Profile, например пълна инвентаризация на трансферите, подизпълнители на обработването с оценка на риска, проверени механизми за трансфер, ключове, управлявани от клиента, за данни с висок риск, тримесечни прегледи на критични доставчици, картографиране на договори, готово за DORA, и тествани планове за изход от облачни услуги.
Планът за пропуските се превръща в практическа пътна карта, която ръководството може да финансира и проследява.
Контролен списък на Clarysec за облачна TIA през 2026 г.
Използвайте този контролен списък, за да проверите дали вашата оценка на въздействието на трансфера е готова за одит:
- Поддържайте регистър на облачните услуги със собственик, цел, категории данни, местоположения, държави на достъп и подизпълнители на обработването.
- Идентифицирайте дали всяка услуга е отношение с администратор, обработващ лични данни, подизпълнител на обработването или независим доставчик.
- Прикачвайте DPA, SCC или други доказателства за механизъм за трансфер към записа за доставчика.
- Записвайте позоваване на EU-US Data Privacy Framework само когато обхватът и последващите трансфери са проверени.
- Поддържайте разкрития за подизпълнители на обработването и декларации за географски трансфер.
- Изисквайте предварително писмено съгласие или договорно уведомление за нови подизпълнители на обработването въз основа на риска.
- Картографирайте допълнителните мерки към конкретни технически контроли, а не към общи твърдения.
- Доказвайте шифроване при пренос, шифроване на данни в покой, собственост върху управлението на ключове и журнализиране на привилегирован достъп.
- Минимизирайте, псевдонимизирайте или маскирайте лични данни преди трансфер, когато е възможно.
- Дефинирайте тригери за преглед при нови държави, нови подизпълнители на обработването, нови категории данни, инциденти и промени в договори.
- Свързвайте всеки риск по TIA с регистъра на риска, плана за третиране и SoA.
- Преглеждайте периодично доказателствата от доставчици и проследявайте изключенията до приключване.
- Включвайте в договорите задължения за уведомяване при инциденти, права на одит, връщане на данни, изтриване и изход.
- За услуги, релевантни по DORA, картографирайте договорите към изискванията за ИКТ трети страни, подизпълнение, местоположения, риск от концентрация и стратегия за изход.
- Докладвайте високорисковите решения за трансфер на ръководството като част от управлението на ISMS.
Превърнете несигурността при трансферите в готови за одит доказателства
InnovatePay спечели банковата сделка, защото Мария спря да третира TIA като правен документ в последния момент. Нейният екип изгради Регистър на облачните услуги, прикачи SCC и DPA, документира подизпълнители на обработването, картографира допълнителните мерки към контролите по ISO/IEC 27001:2022, актуализира регистъра на риска, добави бележки в SoA и създаде тригери за мониторинг. Резултатът не беше просто по-добър отговор на въпросника. Това беше повторяем процес за управление на риска от доставчици.
Вашата организация може да направи същото.
Започнете с Zenith Blueprint: 30-стъпкова пътна карта за одитори, за да свържете рисковете от трансфер с регистъра на риска, плана за третиране и Декларацията за приложимост. Използвайте Zenith Controls: Ръководство за съответствие между регулаторни режими, за да картографирате контролите за облачни услуги, споразумения с доставчици и мониторинг на доставчици по ISO/IEC 27002:2022 към GDPR, NIS2, DORA, NIST и одитните очаквания. След това въведете доказателствата в оперативна употреба чрез политики на Clarysec като Политика за използване на облачни услуги, Политика за сигурност на трети страни и доставчици, Политика за правно и регулаторно съответствие, Политика за управление на риска и SME версиите, когато е подходящо.
Облачната оценка на въздействието на трансфера не трябва да бъде спешна задача в продажбения процес. През 2026 г. тя е част от управлението на облачните услуги, увереността относно доставчиците, отчетността по поверителност и оперативната устойчивост. Организациите, които печелят доверие, ще бъдат тези, които могат бързо да докажат къде отиват данните, кой ги достъпва, какво ги защитава и как рискът се управлява във времето.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
