Strategie ukončení spolupráce s poskytovateli ICT podle DORA s opatřeními ISO 27001
V pondělí v 07:42 obdrží vedoucí provozu ve fintech společnosti zprávu, kterou nechce číst nikdo: poskytovatel cloudové služby pro monitorování transakcí utrpěl závažný regionální výpadek. V 08:15 se ředitel řízení rizik ptá, zda dotčená služba podporuje kritickou nebo důležitou funkci. V 08:40 chce právní oddělení vědět, zda smlouva poskytuje společnosti podporu při přechodu, export dat, výmaz a práva na audit. V 09:05 CISO hledá důkazy, že plán ukončení spolupráce byl skutečně otestován, nikoli pouze sepsán.
V jiné společnosti poskytující finanční služby otevírá Sarah, CISO rychle rostoucí fintech platformy, předauditní žádost o informace pro posouzení souladu s DORA. Otázky jsou známé až do části věnované poskytovatelům ICT služeb z řad třetích stran, kteří podporují kritické nebo důležité funkce. Auditoři se neptají, zda má společnost politiku řízení dodavatelů. Požadují dokumentované, otestované a proveditelné strategie ukončení spolupráce.
Okamžitě si vybaví hlavního poskytovatele cloudových služeb, který platformu hostuje, a poté poskytovatele řízených bezpečnostních služeb, který nepřetržitě monitoruje hrozby. Co když poskytovatele cloudových služeb zasáhne geopolitické narušení? Co když MSSP získá konkurent? Co když se kritický poskytovatel SaaS dostane do insolvence, ukončí službu nebo po závažném incidentu ztratí důvěru zákazníků?
Nepříjemná odpověď je v mnoha firmách stejná. Existuje posouzení dodavatelského rizika, plán kontinuity činností, složka se smlouvami, evidence cloudových služeb a možná zpráva o zálohování. Neexistuje však jedna auditně připravená strategie ukončení spolupráce s poskytovatelem ICT služeb z řad třetích stran podle DORA, která propojuje kritičnost pro podnikání, smluvní práva, technickou přenositelnost, plány kontinuity, důkazy o zálohování, povinnosti v oblasti ochrany soukromí a schválení vedením.
DORA mění tón řízení dodavatelů. Podle nařízení (EU) 2022/2554 musí finanční subjekty řídit rizika třetích stran v oblasti ICT jako součást rámce řízení rizik v oblasti ICT. Nadále nesou plnou odpovědnost za soulad, vedou registr smluvních ujednání o ICT službách, rozlišují ujednání v oblasti ICT podporující kritické nebo důležité funkce, posuzují rizika koncentrace a subdodavatelů a udržují strategie ukončení spolupráce pro kritické závislosti na třetích stranách v oblasti ICT. DORA se použije od 17. ledna 2025 a stanoví jednotné požadavky EU na řízení rizik v oblasti ICT, hlášení incidentů, testování odolnosti, sdílení informací a řízení rizik třetích stran v oblasti ICT pro široké spektrum finančních subjektů.
Strategie ukončení spolupráce podle DORA není odstavec ve smlouvě s dodavatelem. Je to systém opatření. Musí být řízená, posouzená z hlediska rizik, technicky proveditelná, smluvně vymahatelná, otestovaná, doložená důkazy a průběžně zlepšovaná.
Přístup Clarysec kombinuje Zenith Blueprint: 30krokový plán auditora Zenith Blueprint, šablony podnikových politik a Zenith Controls: průvodce napříč požadavky souladu Zenith Controls, aby se pondělní ranní otázka změnila v připravenou odpověď.
Proč strategie ukončení spolupráce podle DORA selhávají při skutečných auditech
Většina selhání strategií ukončení spolupráce v oblasti ICT podle DORA je nejprve strukturální a teprve poté technická. Organizace má vlastníka dodavatele, ale nemá odpovědného vlastníka rizika. Má zálohovací úlohy, ale nemá důkazy o obnově. Má dotazník due diligence dodavatele, ale nemá dokumentované rozhodnutí, zda poskytovatel podporuje kritickou nebo důležitou funkci. Má smluvní ustanovení o ukončení, ale nemá přechodné období sladěné s plánem kontinuity činností.
DORA tyto části propojuje. Article 28 stanoví obecné zásady řízení rizik třetích stran v oblasti ICT, včetně potřeby řídit riziko poskytovatelů ICT služeb z řad třetích stran po celý životní cyklus a udržovat vhodné strategie ukončení spolupráce. Article 30 stanoví podrobné smluvní požadavky na ICT služby podporující kritické nebo důležité funkce, včetně popisů služeb, míst zpracování dat, bezpečnostní ochrany, práv přístupu a auditu, podpory při incidentech, spolupráce s příslušnými orgány a práv na ukončení.
Nařízení je zároveň proporcionální. Articles 4 and 16 umožňují některým menším nebo vyňatým subjektům používat zjednodušený rámec řízení rizik v oblasti ICT. Zjednodušený však neznamená nedokumentovaný. Menší finanční subjekty stále potřebují dokumentované řízení rizik v oblasti ICT, průběžné monitorování, odolné systémy, rychlou identifikaci ICT incidentů, identifikaci klíčových závislostí na třetích stranách v oblasti ICT, zálohování a obnovu, kontinuitu činností, reakci a obnovu, testování, získané poznatky a školení.
Malý fintech nemůže říci: „Jsme příliš malí na plánování ukončení spolupráce.“ Může říci: „Naše strategie ukončení spolupráce podle DORA odpovídá naší velikosti, rizikovému profilu a složitosti služby.“ Rozdíl spočívá v důkazech.
U subjektů, které zároveň spadají do vnitrostátní působnosti NIS2, působí DORA jako odvětvový právní akt Unie pro překrývající se povinnosti v oblasti kybernetické bezpečnosti ve finančním sektoru. NIS2 má nadále význam v širším ekosystému, zejména pro poskytovatele řízených služeb, poskytovatele řízených bezpečnostních služeb, poskytovatele cloudových služeb, datová centra a subjekty digitální infrastruktury. NIS2 Article 21 posiluje stejná témata: analýza rizik, zvládání incidentů, kontinuita činností, zabezpečení dodavatelského řetězce, bezpečné pořizování, posouzení účinnosti, školení, kryptografie, řízení přístupu, správa aktiv a autentizace.
Orgány dohledu, zákazníci, auditoři i řídicí orgány mohou otázku formulovat různě, jádro problému je však stejné: dokážete opustit kritického poskytovatele ICT, aniž byste ztratili kontrolu nad kontinuitou služby, daty, důkazy nebo dopadem na zákazníky?
Začleňte strategii ukončení spolupráce do ISMS
ISO/IEC 27001:2022 poskytuje pro plánování ukončení spolupráce podle DORA páteř systému řízení.
Kapitoly 4.1 až 4.4 vyžadují, aby organizace definovala svůj kontext, zainteresované strany, právní, regulatorní a smluvní požadavky, rozsah ISMS, rozhraní, závislosti a procesy. Právě zde finanční subjekt identifikuje DORA, závazky vůči zákazníkům, očekávání v oblasti outsourcingu, cloudové závislosti, povinnosti v oblasti ochrany soukromí, subdodavatele a ICT služby uvnitř hranice ISMS.
Kapitoly 5.1 až 5.3 vyžadují vedení, politiku, zdroje, přiřazení rolí a odpovědnosti. To odpovídá modelu správy a řízení podle DORA, v němž řídicí orgán definuje, schvaluje, dohlíží a zůstává odpovědný za řízení rizik v oblasti ICT, včetně kontinuity činností ICT, plánů reakce a obnovy, plánů ICT auditů, rozpočtů, strategie odolnosti a politiky rizik třetích stran v oblasti ICT.
Kapitoly 6.1.1 až 6.1.3 převádějí plánování ukončení spolupráce do ošetření rizik. Organizace definuje riziková kritéria, provádí opakovatelné posouzení rizik, identifikuje rizika pro důvěrnost, integritu a dostupnost, přiřazuje vlastníky rizik, hodnotí dopady a pravděpodobnost, vybírá možnosti ošetření, porovnává opatření s přílohou A, vytváří Prohlášení o použitelnosti, připravuje plán ošetření rizik a získává schválení vlastníka rizika i akceptaci zbytkového rizika.
Kapitola 8.1 následně vyžaduje operativní plánování a řízení. Organizace musí plánovat, implementovat a řídit procesy ISMS, udržovat dokumentované informace prokazující, že procesy byly provedeny podle plánu, řídit změny a kontrolovat externě poskytované procesy, produkty nebo služby relevantní pro ISMS.
ISO/IEC 27005:2022 tento přístup posiluje. Kapitola 6.2 doporučuje organizacím identifikovat požadavky zainteresovaných stran, včetně opatření ISO/IEC 27001:2022 přílohy A, odvětvových norem, národních a mezinárodních právních předpisů, interních pravidel, smluvních požadavků a existujících opatření z předchozího ošetření rizik. Kapitoly 6.4.1 až 6.4.3 vysvětlují, že riziková kritéria mají zohledňovat právní a regulatorní aspekty, vztahy s dodavateli, ochranu soukromí, provozní dopady, porušení smlouvy, činnosti třetích stran a reputační důsledky. Kapitoly 8.2 až 8.6 podporují knihovnu opatření a plán ošetření, který může kombinovat ISO/IEC 27001:2022 přílohu A s DORA, NIS2, GDPR, závazky vůči zákazníkům a interními politikami.
Provozní model je přímočarý: jeden inventář požadavků, jeden registr dodavatelských rizik, jedno Prohlášení o použitelnosti, jeden plán ošetření rizik a jeden balíček důkazů pro každý kritický scénář ukončení spolupráce.
Opatření ISO/IEC 27001:2022, která ukotvují plánování ukončení spolupráce podle DORA
Strategie ukončení spolupráce podle DORA jsou připravené na audit tehdy, když jsou správa dodavatelů, cloudová přenositelnost, plánování kontinuity a důkazy o zálohování řízeny jako jeden propojený řetězec opatření.
Zenith Controls od Clarysec mapuje opatření ISO/IEC 27001:2022 přílohy A na atributy opatření, auditní důkazy a očekávání napříč požadavky souladu. Nejde o samostatný rámec opatření. Jde o průvodce Clarysec napříč požadavky souladu, který pomáhá pochopit, jak opatření ISO/IEC 27001:2022 podporují auditní, regulatorní a provozní výsledky.
| Opatření ISO/IEC 27001:2022 přílohy A | Role ve strategii ukončení spolupráce | Důkazy pro DORA, které podporuje | Zaměření auditora |
|---|---|---|---|
| A.5.19 Bezpečnost informací ve vztazích s dodavateli | Ustavuje proces řízení dodavatelských rizik | Klasifikace dodavatelů, vlastnictví závislostí, posouzení rizik | Je dodavatelské riziko řízeno konzistentně? |
| A.5.20 Řešení bezpečnosti informací ve smlouvách s dodavateli | Převádí očekávání ukončení spolupráce do vymahatelných smluvních podmínek | Práva na ukončení, práva na audit, podpora při přechodu, podpora při incidentech, vrácení a výmaz dat | Podporuje smlouva skutečně plán ukončení spolupráce? |
| A.5.21 Řízení bezpečnosti informací v dodavatelském řetězci ICT | Rozšiřuje prověření na subdodavatele a navazující závislosti | Viditelnost subdodavatelů, řetězcové riziko, posouzení koncentrace | Rozumí organizace skrytým závislostem? |
| A.5.22 Monitorování, přezkum a řízení změn dodavatelských služeb | Udržuje dodavatelské riziko aktuální při změnách služeb | Záznamy z přezkumů, posouzení změn služeb, sledování nápravných opatření | Je dohled nad dodavateli průběžný? |
| A.5.23 Bezpečnost informací při používání cloudových služeb | Řídí pořízení, používání, správu, přenositelnost a ukončení používání cloudových služeb | Export dat, výmaz, podpora migrace, důkazy o závislosti na dodavateli | Dokáže organizace získat data zpět a bezpečně je odstranit? |
| A.5.30 Připravenost ICT na kontinuitu činností | Testuje, zda lze kritické ICT služby obnovit nebo nahradit v mezích obchodní tolerance | Plány kontinuity, cíle obnovy, náhradní režimy, otestované náhradní postupy | Je ukončení spolupráce technicky proveditelné při narušení? |
| A.8.13 Zálohování informací | Poskytuje obnovitelná data pro scénáře ukončení spolupráce nebo selhání | Harmonogramy zálohování, výsledky testů obnovy, kontroly integrity | Lze data obnovit v rámci RTO a RPO? |
U strategie ukončení spolupráce s poskytovatelem ICT služeb z řad třetích stran podle DORA má auditní stopa prokazovat:
- Dodavatel je klasifikován a propojen s obchodními procesy.
- Služba je posouzena z hlediska podpory kritické nebo důležité funkce.
- Riziko ukončení spolupráce je zaznamenáno s určeným odpovědným vlastníkem rizika.
- Smluvní doložky podporují přechod, přístup, audit, vrácení dat, výmaz dat, spolupráci a kontinuitu.
- Cloudová přenositelnost a interoperabilita byly ověřeny.
- Zálohy a testy obnovy prokazují obnovitelnost.
- Dočasná náhrada nebo alternativní zpracování byly dokumentovány.
- Výsledky testování ukončení spolupráce byly přezkoumány, nápravná opatření byla provedena a výsledky byly oznámeny vedení.
Smluvní jazyk je první opatření kontinuity
Smlouva má být prvním opatřením kontinuity, nikoli překážkou kontinuity. Pokud může poskytovatel službu rychle ukončit, odkládat exporty, omezit přístup k logům, účtovat nedefinované poplatky za přechod nebo odmítnout podporu migrace, je strategie ukončení spolupráce křehká.
V Zenith Blueprint, ve fázi Opatření v praxi, kroku 23, opatření 5.20, se vysvětluje, že smlouvy s dodavateli mají obsahovat praktické bezpečnostní požadavky, které ukončení spolupráce umožňují:
Mezi klíčové oblasti obvykle řešené ve smlouvách s dodavateli patří:
✓ Povinnosti zachování důvěrnosti, včetně rozsahu, doby trvání a omezení zpřístupnění třetím stranám;
✓ Odpovědnosti za řízení přístupu, například kdo může přistupovat k vašim datům, jak jsou spravovány přihlašovací údaje a jaké monitorování je zavedeno;
✓ Technická a organizační opatření pro ochranu údajů, šifrování, bezpečný přenos, zálohování a závazky dostupnosti;
✓ Lhůty a protokoly pro hlášení incidentů, často s definovanými časovými rámci;
✓ Právo na audit, včetně frekvence, rozsahu a přístupu k relevantním důkazům;
✓ Kontroly subdodavatelů vyžadující, aby dodavatel přenesl rovnocenné bezpečnostní povinnosti na své navazující partnery;
✓ Ustanovení při ukončení smlouvy, například vrácení nebo zničení dat, obnova aktiv a deaktivace účtů.
Tento seznam propojuje smluvní očekávání DORA Article 30 a opatření ISO/IEC 27001:2022 přílohy A A.5.20.
Jazyk podnikových politik Clarysec uvádí stejný bod do provozní praxe. V Politice řízení rizik závislostí na dodavatelích Politika řízení rizik závislostí na dodavatelích, v části „Požadavky na implementaci“, ustanovení 6.4.3 uvádí:
Technická záložní řešení: Zajistěte přenositelnost dat a interoperabilitu na podporu přechodu služby, pokud je vyžadován (např. pravidelné zálohy od poskytovatele SaaS ve standardních formátech umožňujících migraci).
Stejná politika, ustanovení 6.8.2, vyžaduje:
Právo na podporu při přechodu (ustanovení o podpoře při ukončení spolupráce), pokud je vyžadována změna poskytovatele, včetně pokračování služby během definovaného přechodného období.
Toto ustanovení často rozhoduje o tom, zda strategie ukončení spolupráce obstojí při auditu. Mění ukončení spolupráce z události na hraně propasti na řízený přechod.
U menších subjektů vyžaduje Bezpečnostní politika dodavatelů a poskytovatelů služeb z řad třetích stran pro malé a střední podniky Bezpečnostní politika dodavatelů a poskytovatelů služeb z řad třetích stran - SME, v části „Požadavky na správu a řízení“, ustanovení 5.3.6:
Podmínky ukončení, včetně bezpečného vrácení nebo zničení dat
Pro podniková prostředí vyžaduje Bezpečnostní politika dodavatelů a poskytovatelů služeb z řad třetích stran Bezpečnostní politika dodavatelů a poskytovatelů služeb z řad třetích stran, v části „Požadavky na implementaci politiky“, ustanovení 6.5.1.2:
Vrácení nebo certifikované zničení všech informací ve vlastnictví organizace
Tyto požadavky politik musí být přímo dohledatelné ke smluvním doložkám, postupům dodavatele, provozním postupům ukončení spolupráce a auditním důkazům.
Ukončení používání cloudu: otestujte přenositelnost dříve, než ji budete potřebovat
Cloudové služby jsou oblastí, kde se strategie ukončení spolupráce podle DORA často stávají vágními. Organizace předpokládá, že může data exportovat, ale nikdo neotestoval formát. Předpokládá, že dojde k výmazu, ale retenční model poskytovatele zahrnuje zálohy a replikovaná úložiště. Předpokládá, že alternativní poskytovatel data přijme, ale schémata, integrace identit, šifrovací klíče, tajné údaje, logy, rozhraní API a limity četnosti požadavků zpomalují migraci nad rámec tolerance dopadů.
Opatření ISO/IEC 27001:2022 přílohy A A.5.23 řeší tento problém životního cyklu tím, že vyžaduje opatření bezpečnosti informací pro pořízení, používání, správu a ukončení používání cloudových služeb.
Politika používání cloudových služeb pro malé a střední podniky od Clarysec Politika používání cloudových služeb - SME, v části „Požadavky na implementaci politiky“, ustanovení 6.3.4 vyžaduje:
Schopnost exportu dat potvrzená před zavedením služby (např. aby se zabránilo závislosti na dodavateli)
Ustanovení 6.3.5 vyžaduje:
Potvrzení postupů bezpečného výmazu před uzavřením účtu
Tyto požadavky patří na začátek životního cyklu dodavatele. Nečekejte na ukončení smlouvy, abyste se zeptali, zda lze data exportovat. Nečekejte na uzavření účtu, abyste se zeptali, zda existují důkazy o výmazu.
Praktický test ukončení používání cloudu podle DORA má zahrnovat:
- Export reprezentativní datové sady v dohodnutém formátu.
- Ověření úplnosti, integrity, časových razítek, metadat a řízení přístupu.
- Import datové sady do předprodukčního prostředí nebo alternativního nástroje.
- Potvrzení nakládání se šifrovacími klíči a rotace tajných údajů.
- Potvrzení exportu logů a uchovávání auditní stopy.
- Dokumentaci postupů výmazu u poskytovatele, včetně uchovávání záloh a certifikace výmazu.
- Zaznamenání problémů, nápravných opatření, vlastníků a termínů splnění.
- Aktualizaci posouzení dodavatelského rizika, Prohlášení o použitelnosti a plánu ukončení spolupráce.
Přenositelnost není slib z procesu pořízení. Je to otestovaná schopnost.
Týdenní sprint pro plán ukončení spolupráce podle DORA připravený na audit
Představme si platební instituci využívající poskytovatele SaaS pro analytiku podvodů. Poskytovatel ingestuje transakční data, identifikátory zákazníků, telemetrická data zařízení, behaviorální signály, pravidla pro detekci podvodů, skórovací výstupy a případové poznámky. Služba podporuje kritický proces detekce podvodů. Organizace zároveň používá cloudový datový sklad pro ukládání exportovaných analytických výsledků.
CISO chce strategii ukončení spolupráce s poskytovatelem ICT služeb z řad třetích stran podle DORA, která obstojí při interním auditu i přezkumu ze strany orgánu dohledu. Týdenní sprint může odhalit mezery a vybudovat řetězec důkazů.
Den 1: klasifikujte dodavatele a definujte scénář ukončení spolupráce
S využitím Zenith Blueprint, fáze Opatření v praxi, kroku 23, úkolů k opatřením 5.19 až 5.37, začíná tým přezkumem a klasifikací portfolia dodavatelů:
Sestavte úplný seznam současných dodavatelů a poskytovatelů služeb (5.19) a klasifikujte je podle přístupu k systémům, datům nebo provozní kontrole. U každého klasifikovaného dodavatele ověřte, že bezpečnostní očekávání jsou jasně zakotvena ve smlouvách (5.20), včetně důvěrnosti, přístupu, hlášení incidentů a povinností v oblasti souladu.
Dodavatel je klasifikován jako kritický, protože podporuje kritickou nebo důležitou funkci, zpracovává citlivá provozní data a ovlivňuje výsledky monitorování transakcí.
Tým definuje tři spouštěče ukončení spolupráce:
- Insolvence poskytovatele nebo ukončení poskytování služby.
- Významné porušení bezpečnosti nebo ztráta důvěry.
- Strategická migrace za účelem snížení rizika koncentrace.
Den 2: vytvořte inventář požadavků a záznam rizika
Tým vytvoří jeden inventář požadavků zahrnující rizika třetích stran v oblasti ICT podle DORA, dodavatelská a cloudová opatření ISO/IEC 27001:2022, povinnosti GDPR pro osobní údaje, smluvní závazky vůči zákazníkům a interní ochotu podstupovat riziko.
Podle GDPR organizace potvrzuje, zda se identifikátory transakcí, ID zařízení, lokalizační signály a behaviorální analytika vztahují k identifikovaným nebo identifikovatelným fyzickým osobám. Zásady GDPR Article 5, včetně integrity, důvěrnosti, omezení uložení a odpovědnosti, se stávají součástí požadavků na důkazy k ukončení spolupráce. Pokud ukončení spolupráce zahrnuje přenos k novému poskytovateli, musí být dokumentován právní základ, účel, minimalizace, uchovávání, podmínky zpracovatele a ochranná opatření.
Záznam rizika obsahuje následující:
| Prvek rizika | Příklad záznamu |
|---|---|
| Prohlášení o riziku | Neschopnost ukončit spolupráci s poskytovatelem analytiky podvodů v rámci tolerance dopadů |
| Důsledek | Zpožděná detekce podvodů, finanční ztráta, porušení regulatorních požadavků, újma zákazníkům |
| Pravděpodobnost | Střední, na základě koncentrace u poskytovatele a proprietárních formátů |
| Vlastník rizika | Vedoucí technologie pro oblast finanční kriminality |
| Ošetření | Dodatek ke smlouvě, test exportu, posouzení alternativního poskytovatele, ověření záloh, test provozního postupu |
| Schválení zbytkového rizika | Schválení CRO po doložení důkazů z testování a přezkumu nápravných opatření |
Den 3: odstraňte smluvní mezery
Právní oddělení a nákup porovnají smlouvu s dodavatelskými doložkami Clarysec. Doplní podporu při přechodu, pokračování služby během definovaného přechodného období, přístup k auditu a důkazům, oznamování subdodavatelů, formát exportu dat, certifikaci bezpečného výmazu, spolupráci při incidentech a závazky cílových dob obnovy.
Politika kontinuity činností a obnovy po havárii Politika kontinuity činností a obnovy po havárii, v části „Požadavky na implementaci politiky“, ustanovení 6.5.1 stanoví:
Smlouvy s kritickými dodavateli musí obsahovat povinnosti v oblasti kontinuity a závazky dob obnovy.
Pro malé a střední podniky vyžaduje Politika kontinuity činností a obnovy po havárii pro malé a střední podniky Politika kontinuity činností a obnovy po havárii - SME, v části „Ošetření rizik a výjimky“, ustanovení 7.2.1.4, aby týmy:
dokumentovaly plány dočasné náhrady dodavatele nebo partnera
Toto ustanovení mění tvrzení „budeme migrovat“ na použitelný náhradní postup: který poskytovatel, jaký interní náhradní postup, jaký manuální proces, jaký datový extrakt, který vlastník a jaká schvalovací cesta.
Den 4: otestujte přenositelnost dat a obnovitelnost záloh
Technologický tým exportuje pravidla pro detekci podvodů, případová data, výstupy skórování transakcí, logy, konfiguraci, dokumentaci rozhraní API a seznamy řízení přístupu uživatelů. Testuje, zda lze data obnovit nebo znovu použít v kontrolovaném prostředí.
Politika zálohování a obnovy pro malé a střední podniky Politika zálohování a obnovy - SME, v části „Požadavky na správu a řízení“, ustanovení 5.3.3 vyžaduje:
Testy obnovy se provádějí alespoň čtvrtletně a výsledky se dokumentují za účelem ověření obnovitelnosti
Podniková Politika zálohování a obnovy Politika zálohování a obnovy, v části „Vynucování a dodržování“, ustanovení 8.3.1 doplňuje:
Pravidelně auditujte logy zálohování, konfigurační nastavení a výsledky testů
V Zenith Blueprint, ve fázi Opatření v praxi, kroku 19, opatření 8.13, Clarysec upozorňuje, proč je to důležité:
Testování obnovy je oblast, kde většina organizací selhává. Záloha, kterou nelze obnovit včas nebo vůbec, je závazek, nikoli aktivum. Plánujte pravidelná cvičení obnovy, i kdyby jen částečná, a dokumentujte výsledek.
Tým zjistí, že exportované případové poznámky neobsahují přílohy a limity četnosti požadavků API způsobují, že úplný export je příliš pomalý pro definovaný cíl obnovy. Problém je zaznamenán, přiřazen a napraven prostřednictvím smluvního dodatku a technické úpravy exportu.
Den 5: proveďte stolní cvičení ukončení spolupráce a přezkum důkazů
Tým provede stolní cvičení: dodavatel oznámí ukončení spolupráce za 90 dní po závažném incidentu. Provoz musí pokračovat v monitorování podvodů, zatímco probíhá migrace dat.
V Zenith Blueprint, ve fázi Opatření v praxi, kroku 23, opatření 5.30, Clarysec vysvětluje testovací standard:
Připravenost ICT začíná dlouho před tím, než dojde k narušení. Zahrnuje identifikaci kritických systémů, pochopení jejich vzájemných závislostí a jejich mapování na obchodní procesy.
Stejná část doplňuje:
Cílové doby obnovy (RTO) a cílové body obnovy (RPO) definované v plánu kontinuity činností se musí promítnout do technických konfigurací, smluv a návrhu infrastruktury.
Balíček důkazů zahrnuje klasifikaci dodavatele, posouzení rizik, smluvní doložky, provozní postup ukončení spolupráce, výsledky exportu dat, důkazy o obnově ze zálohy, postup výmazu, posouzení alternativního poskytovatele, zápis ze stolního cvičení, evidenci nápravných opatření, schválení vedením a rozhodnutí o zbytkovém riziku.
CISO nyní může řídicím orgánům odpovědět důkazy, nikoli optimismem.
Soulad napříč rámci: jeden plán ukončení spolupráce, více auditních pohledů
Silná strategie ukončení spolupráce podle DORA snižuje duplicitu práce na souladu napříč očekáváními správy a řízení podle ISO/IEC 27001:2022, NIS2, GDPR, NIST a COBIT 2019.
| Rámec nebo právní předpis | Co požaduje z hlediska plánování ukončení spolupráce | Důkazy doporučené Clarysec |
|---|---|---|
| DORA | Udržovat strategie ukončení spolupráce pro kritické nebo důležité ICT služby, řídit rizika třetích stran, testovat odolnost, dokumentovat smlouvy a závislosti | Registr dodavatelů, klasifikace kritičnosti, smluvní doložky, test ukončení spolupráce, plán přechodu, práva na audit, posouzení rizika koncentrace |
| NIS2 | U relevantních subjektů řídit zabezpečení dodavatelského řetězce, kontinuitu činností, zálohování, obnovu po havárii, krizové řízení, zvládání incidentů a odpovědnost v oblasti správy a řízení | Posouzení dodavatelského rizika, plán kontinuity, scénáře reakce na incidenty, schválení vedením, nápravná opatření |
| GDPR | Chránit osobní údaje během přenosu, vrácení, výmazu, migrace a uchovávání s odpovědností a vhodnými technickými a organizačními opatřeními | Mapa dat, podmínky zpracovatele, důkazy o exportu, certifikace výmazu, pravidla uchovávání, sladění zvládání porušení zabezpečení |
| ISO/IEC 27001:2022 | Provozovat opatření pro dodavatele, cloud, kontinuitu, incidenty, audit, monitorování a zlepšování uvnitř ISMS | Prohlášení o použitelnosti, plán ošetření rizik, záznam z interního auditu, přezkoumání vedením, dokumentované postupy |
| NIST Cybersecurity Framework 2.0 | Řídit externí závislosti, identifikovat dodavatele, chránit služby, reagovat na narušení a obnovit provoz | Evidence závislostí, záznamy dodavatelských rizik, ochranná opatření, postup reakce, test obnovy, získané poznatky |
| COBIT 2019 | Prokázat správu a řízení sourcingu, výkonnosti dodavatelů, rizik, kontinuity služeb, ujištění a souladu | Rozhodnutí v oblasti správy a řízení, vlastnictví, KPI, dohled nad dodavateli, důkazy kontinuity, zprávy o ujištění |
Důležité není to, že jeden rámec nahrazuje druhý. Hodnota spočívá v tom, že dobře vybudovaný ISMS umožňuje organizaci vytvořit důkazy jednou a inteligentně je znovu využívat.
Zenith Controls od Clarysec pomáhá týmům připravit se na tyto auditní pohledy tím, že propojuje opatření ISO/IEC 27001:2022 s auditními důkazy a očekáváními napříč rámci.
| Pohled auditora | Pravděpodobná auditní otázka | Důkazy, které obvykle otázku uspokojí |
|---|---|---|
| Auditor ISO/IEC 27001:2022 | Je ukončení spolupráce s dodavatelem a ukončení používání cloudu řízeno v rámci ISMS, posouzení rizik, Prohlášení o použitelnosti a programu interního auditu? | Rozsah ISMS, posouzení rizik, Prohlášení o použitelnosti, postup pro dodavatele, postup ukončení používání cloudu, výsledky interního auditu, opatření z přezkoumání vedením |
| Orgán dohledu podle DORA nebo interní audit DORA | Dokážete opustit kritického poskytovatele ICT bez nepřijatelného narušení, ztráty dat nebo porušení regulatorních požadavků? | Posouzení kritičnosti, registr dodavatelů DORA, strategie ukončení spolupráce, smluvní doložky, test přechodu, posouzení koncentrace, evidence nápravných opatření |
| Hodnotitel orientovaný na NIST | Řídili jste a identifikovali externí závislosti, ochránili kritické služby a otestovali schopnosti reakce a obnovy? | Evidence závislostí, řízení přístupu, monitorování, eskalace incidentů, test obnovy, získané poznatky |
| Auditor COBIT 2019 nebo ISACA | Je ukončení spolupráce s dodavatelem spravováno, vlastněno, měřeno a zajištěno prostřednictvím cílů řízení, jako jsou APO10 Managed Vendors a DSS04 Managed Continuity? | RACI, schválení vedením, KPI, přezkum výkonnosti dodavatelů, důkazy o ujištění, sledování problémů |
| Auditor ochrany soukromí | Lze osobní údaje vrátit, migrovat, omezit, vymazat nebo bezpečně uchovávat podle povinností GDPR? | Registr zpracování dat, doložky zpracovatele, důkazy o exportu, certifikát výmazu, odůvodnění uchovávání, workflow pro porušení zabezpečení |
Častým auditním selháním je roztříštěnost důkazů. Vlastník dodavatele má smlouvu. IT má záznamy zálohování. Právní oddělení má smlouvu o zpracování osobních údajů. Funkce řízení rizik má posouzení. Funkce compliance má regulatorní mapování. Nikdo nemá celý příběh.
Clarysec to řeší návrhem balíčku důkazů kolem scénáře ukončení spolupráce. Každý dokument odpovídá na jednu auditní otázku: jaká služba se ukončuje, proč je kritická, jaká data a systémy jsou dotčeny, kdo vlastní riziko, jaká smluvní práva umožňují ukončení spolupráce, jaké technické mechanismy umožňují migraci, jaká ujednání kontinuity udržují provoz, jaký test prokazuje funkčnost plánu, jaké problémy byly napraveny a kdo schválil zbytkové riziko.
Kontrolní seznam Clarysec pro strategii ukončení spolupráce podle DORA
Použijte tento kontrolní seznam k tomu, aby se strategie ukončení spolupráce s poskytovatelem ICT služeb z řad třetích stran podle DORA změnila z dokumentu na auditovatelný soubor opatření.
| Oblast opatření | Minimální očekávání | Důkazy k uchování |
|---|---|---|
| Klasifikace dodavatele | Identifikovat, zda dodavatel podporuje kritické nebo důležité funkce | Registr dodavatelů, rozhodnutí o kritičnosti, mapa závislostí |
| Smluvní vymahatelnost | Zahrnout podporu při přechodu, export dat, výmaz, audit, spolupráci při incidentech a povinnosti v oblasti kontinuity | Smluvní doložky, dodatky, právní přezkum |
| Cloudová přenositelnost | Potvrdit schopnost exportu před zavedením služby a pravidelně během provozu | Výsledky testu exportu, dokumentace formátu dat, poznámky k migraci |
| Ochrana údajů | Řešit vrácení, výmaz, uchovávání, přenos a povinnosti zpracovatele u osobních údajů | Mapa dat, DPA, certifikace výmazu, rozhodnutí o uchovávání |
| Zálohování a obnova | Testovat obnovitelnost vůči RTO a RPO | Záznamy obnovy, zpráva z testu, záznam nápravných opatření |
| Plánování náhrady | Definovat alternativního poskytovatele, manuální náhradní postup nebo interní proces | Plán náhrady, zápis ze stolního cvičení, seznam vlastníků |
| Správa a řízení | Přiřadit vlastníka rizika a schválení vedením | Záznam rizika, akceptace zbytkového rizika, zápis z přezkoumání vedením |
| Připravenost na audit | Propojit politiky, opatření, smlouvy, testy a nápravná opatření | Index balíčku důkazů, zpráva z interního auditu, nástroj pro sledování problémů |
Proměňte plánování ukončení spolupráce v opatření odolnosti připravené pro řídicí orgány
Pokud je vaše strategie ukončení spolupráce podle DORA pouze smluvní doložkou, není připravena. Pokud vaše záloha nikdy nebyla obnovena, není připravena. Pokud váš poskytovatel cloudových služeb umí exportovat data, ale nikdo neověřil jejich úplnost, není připravena. Pokud řídicí orgány nevidí rozhodnutí o zbytkovém riziku, není připravena.
Clarysec pomáhá CISO, manažerům compliance, auditorům a vlastníkům podnikových oblastí vytvářet strategie ukončení spolupráce s poskytovateli ICT služeb z řad třetích stran podle DORA, které jsou praktické, proporcionální a připravené na audit. Kombinujeme Zenith Blueprint Zenith Blueprint pro posloupnost implementace, Zenith Controls Zenith Controls pro mapování napříč požadavky souladu a šablony politik, jako je Politika řízení rizik závislostí na dodavatelích Politika řízení rizik závislostí na dodavatelích, Politika používání cloudových služeb - SME Politika používání cloudových služeb - SME, Bezpečnostní politika dodavatelů a poskytovatelů služeb z řad třetích stran - SME Bezpečnostní politika dodavatelů a poskytovatelů služeb z řad třetích stran - SME a Politika kontinuity činností a obnovy po havárii Politika kontinuity činností a obnovy po havárii, abychom vytvořili úplný řetězec od opatření k důkazům.
Váš další krok je jednoduchý a má vysokou hodnotu: tento týden vyberte jednoho kritického dodavatele ICT. Klasifikujte jej, přezkoumejte jeho smlouvu, otestujte jeden export dat, ověřte jednu obnovu, dokumentujte jeden plán náhrady a vytvořte jeden balíček důkazů.
Toto jediné cvičení ukáže, zda je vaše strategie ukončení spolupráce podle DORA skutečnou schopností odolnosti, nebo jen dokumentem, který čeká na selhání při auditu.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
