Pilveregioonide juhtimine GDPR, NIS2 ja DORA nõuetele vastavuse tagamiseks

Teisipäeva hommikul kell 08.17 saab kiiresti kasvava Euroopa fintech-ettevõtte infoturbejuht Maria sõnumi, mida iga reguleeritud pilveteenuse klient lõpuks kardab.

Hankeosakond edastab lühikese tarnijateate:

“Meie pilveanalüütika teenuseosutaja viib EL-i klientide telemeetria jõudluse parandamiseks uude regiooni. Nad ütlevad, et turbele mõju puudub. Kas võime heaks kiita?”

Enne kui Maria jõuab vastata, saabub teine teavitus peamiselt pilveteenuse pakkujalt. 90 päeva pärast hakkab teenuseosutaja “optimeerima oma globaalset tugimudelit”, suunates 2. taseme tugipiletid uue alltöötleja kaudu. Kiire läbivaatus näitab, et alltöötleja peakorter asub riigis, mille kohta puudub GDPR piisavuse otsus.

Kell 09.00 on lõimega liitunud õigusosakond, andmekaitse, talitluspidevus, hanked, pilvearhitektuur ja finantsvaldkonna nõuetele vastavuse funktsioon. Andmekaitseametnik küsib, kas vaja on edastamise mõjuhinnangut. Talitluspidevuse juht küsib, kas uus regioon mõjutab kriitilise teenuse taasteplaani. Finantsvaldkonna vastavusjuht küsib, kas teenuseosutaja on DORA IKT kolmandate osapoolte registris. Pilvemeeskond kontrollib tootmiskeskkonna andmekihti ja mõistab, et küsimus on analüütikast palju laiem. Kohaldamisalas võivad olla ka varukoopiad, tegevuslogid, tugipiletid, andmejärve ekspordid, erakorraline juurdepääs ja alltöövõtjate juurdepääs.

See on 2026. aasta tegelik pilvejuhtimise probleem.

Enamikul organisatsioonidel on pilvepoliitika. Paljudel on tarnijaregister. Mõnel on GDPR edastamishinnang. Vähesed suudavad aga tõendusmaterjaliga vastata keerulisemale auditiküsimusele:

Kus täpselt asuvad reguleeritud andmed ja kriitiline IKT-töötlus, kes pääseb neile ligi ja kust, mis toimub ümberlülituse ajal ning milline lepinguline kontrollimeede takistab teenuseosutajal vastust ilma heakskiiduta muuta?

See on pilveregioonide juhtimine. See ei ole üksik õiguslik märkeruut kontrollnimekirjas. See on elav kontrollisüsteem, mis hõlmab ISO/IEC 27001:2022, ISO/IEC 27002:2022 pilve- ja tarnijakontrolle, GDPR vastutust, NIS2 teenuste talitluspidevust ning DORA IKT kolmandate osapoolte järelevalvet.

Andmete paiknemine on nüüd operatiivne kontrollimeede

Aastaid käsitleti “ainult EL-is majutamist” andmetöötluslepingu klauslina. Sellest enam ei piisa. Kaasaegne pilveandmete paiknemise ja regioonijuhtimise programm peab hõlmama vähemalt kuut operatiivset kihti:

1. Peamised tootmiskeskkonna salvestus- ja arvutusregioonid.
2. Varundus-, arhiivi- ja katastroofitaasteregioonid.
3. Logimise, seire, SIEM-i ja jälgitavusandmete asukohad.
4. Tugijuurdepääs, sealhulgas kaughaldus ja erakorraline juurdepääs.
5. Alltöötlejad ja alltöövõtjad, sealhulgas hallatud teenused ja pilveturu komponendid.
6. Andmeedastusteed keskkondade, rakendusliideste, analüütikaplatvormide ja klienditoe tööriistade vahel.

GDPR muudab selle vältimatuks, sest isikuandmed võivad hõlmata võrguidentifikaatoreid, IP-aadresse, kliendikontode tunnuseid, kasutajakirjeid, seadmeidentifikaatoreid, operatiivseid metaandmeid ja tugikirjeid. Ka töötlemine on määratletud laialt ning hõlmab salvestamist, juurdepääsu, kasutamist, avalikustamist, kustutamist ja hävitamist. “Me saadame ainult logisid” ei ole turvaline erand, kui need logid sisaldavad identifikaatoreid.

GDPR Article 5 hõlmab ka vastutuse põhimõtet. Vastutavad töötlejad ei pea üksnes järgima seaduslikkuse, õigluse, läbipaistvuse, eesmärgi piirangu, andmete minimaalsuse, säilitamise piirangu, tervikluse ja konfidentsiaalsuse põhimõtteid. Nad peavad suutma vastavust ka tõendada. Pilveregioonide juhtimine on üks viis, kuidas see tõendamine muutub praktiliseks.

NIS2 laiendab küsimuse andmekaitsest talitluspidevusse. Article 21 kohaselt peavad olulised ja tähtsad üksused rakendama asjakohaseid tehnilisi, operatiivseid ja organisatsioonilisi meetmeid, et juhtida riske võrgu- ja infosüsteemidele, mida kasutatakse tegevuseks või teenuste osutamiseks. Loetletud meetmed hõlmavad tarneahela turvet, talitluspidevust, varundushaldust, katastroofitaastet, kriisijuhtimist, juurdepääsukontrolli, varahaldust, krüptimist ja tõhususe hindamist. Kui pilveregiooni otsus mõjutab kohaldamisalas oleva teenuse käideldavust või taastatavust, ei ole see üksnes andmekaitseküsimus. See on talitluspidevuse küsimus.

Finantsüksuste jaoks tõstab DORA standardit veelgi. DORA kohaldub alates 17. jaanuarist 2025 ning kehtestab nõuded IKT-riski juhtimisele, intsidentidest teavitamisele, digitaalse operatsioonilise toimepidevuse testimisele, IKT kolmandate osapoolte riskijuhtimisele ja lepingulistele kokkulepetele. Article 28 nõuab, et finantsüksused juhiksid IKT kolmanda osapoole riski IKT-riski juhtimise raamistiku lahutamatu osana, peaksid lepinguliste kokkulepete registreid, hindaksid kontsentratsiooniriski ning kavandaksid väljumist kriitiliste või oluliste funktsioonide puhul. Article 30 eeldab lepingulist selgust teenuse ja andmetöötluse asukohtade, auditi- ja juurdepääsuõiguste, intsidenditoe, alltöövõtu, taastamise, tagastamise ja väljumisülemineku kohta.

DORA toimib finantsüksuste sektoripõhise korrana, samal ajal kui NIS2 on jätkuvalt oluline laiemas tarneahelas, eriti pilveteenuse pakkujate, andmekeskuste teenuseosutajate ja hallatud teenusepakkujate puhul. Üksainus hindamata alltöötleja võib seega tekitada doominoefekti finantssektori toimepidevuse, tarneahela turbe ja andmekaitsekohustuste vahel.

Lihtsustatult: kui reguleeritud ettevõte ei suuda juhtida, kus tema pilvetöötlus toimub, ei saa ta usutavalt juhtida ka IKT kolmanda osapoole riski.

Kasuta ISO 27001 juhtimissüsteemi ankruna

ISO/IEC 27001:2022 annab struktuuri, mille abil muuta paiknemisega seotud ebamäärasus kontrollitud juhtimissüsteemiks.

Punktid 4.1 kuni 4.4 nõuavad, et organisatsioon määratleks ISMS-i konteksti, sealhulgas sisemised ja välised tegurid, huvitatud osapoolte nõuded, õiguslikud, regulatiivsed ja lepingulised kohustused ning liidesed ja sõltuvused teiste organisatsioonidega. Pilveregioonide juhtimise puhul peaks ISMS-i kohaldamisala selgesõnaliselt hõlmama pilveteenuseid, allhangitud IKT-töötlust, kriitilisi teenusesõltuvusi ja reguleeritud andmevooge.

Punktid 5.1 kuni 5.3 panevad vastutuse juhtkonnale. Tippjuhtkond peab viima infoturbepoliitika ja eesmärgid kooskõlla strateegilise suunaga, tagama ressursid, määrama vastutused ning tagama ISMS-i toimivuse aruandluse. Siin muutub pilveandmete paiknemine juhtkonna ja juhatuse teemaks, eriti NIS2 üksuste puhul, kus juhtorganid peavad küberriskide juhtimise meetmed heaks kiitma ja nende üle järelevalvet tegema, ning DORA finantsüksuste puhul, kus juhtorgan vastutab IKT-riski juhtimise eest.

Punktid 6.1.1 kuni 6.1.3 annavad riskimootori. Organisatsioon vajab korratavat riskihindamise protsessi, riskiomanikke, mõju- ja tõenäosuskriteeriume, riskikäsitluse valikuid, valitud kontrollimeetmeid, kohaldatavusdeklaratsiooni ja jääkriski aktsepteerimist. Pilveregiooni muudatust ei tohi heaks kiita mitteametliku e-kirja alusel. See peab käivitama riskihindamise või muudatuse läbivaatuse, kui muudatus mõjutab reguleeritud andmeid, kriitilisi funktsioone, tarnijaid või talitluspidevuse eeldusi.

Punkt 8.1 muudab planeerimise operatiivseks kontrolliks. Protsessid tuleb rakendada, kontrolli all hoida, dokumenteerida, hallatult muuta ning laiendada ISMS-i seisukohast asjakohastele väliselt pakutavatele toodetele ja teenustele. Punktid 8.2 ja 8.3 nõuavad kordushindamist ja käsitlust kavandatud intervallidega või oluliste muudatuste korral. Pilveregiooni migreerimine, varukoopiate replikatsioon, uus logimisplatvorm või tugiteenuse alltöötleja muudatus on kõik kordushindamise kandidaadid.

ISO/IEC 27002:2022 kontrollimeetmete kogum annab seejärel praktilise kontrollipere. Kõige asjakohasemad kontrollimeetmed on järgmised:

• 5.9 teabe ja muu seotud vara register.
• 5.14 teabe edastamine.
• 5.15 juurdepääsukontroll.
• 5.19 infoturve tarnijasuhetes.
• 5.20 infoturbe käsitlemine tarnijalepingutes.
• 5.22 tarnijateenuste seire, läbivaatamine ja muudatuste haldamine.
• 5.23 infoturve pilveteenuste kasutamisel.
• 5.29 infoturve katkestuse ajal.
• 5.30 IKT valmisolek talitluspidevuseks.
• 5.31 õiguslikud, seadusest tulenevad, regulatiivsed ja lepingulised nõuded.
• 5.34 privaatsus ja PII kaitse.
• 5.36 vastavus infoturbe poliitikatele, reeglitele ja standarditele.
• 8.11 andmete maskeerimine.
• 8.12 andmelekkekaitse.
• 8.13 teabe varundamine.
• 8.15 logimine.
• 8.16 tegevuste seire.
• 8.20 võrguturve.
• 8.24 krüptograafia kasutamine.
• 8.25 turvaline arenduse elutsükkel.
• 8.27 turvalise süsteemiarhitektuuri ja tehnilise projekteerimise põhimõtted.
• 8.32 muudatuste haldamine.

Clarysec’i Zenith Controls: The Cross-Compliance Guide Zenith Controls käsitleb ISO/IEC 27002:2022 kontrollimeedet 5.23, infoturve pilveteenuste kasutamisel, ennetava kontrollimeetmena, mis toetab konfidentsiaalsust, terviklust ja käideldavust ning mille operatiivne võimekus paikneb tarnijasuhete turbe ja turbevaldkondade üleselt juhtimises, ökosüsteemis ja kaitses. Juhend seob 5.23 kontrollimeetmetega 5.19 tarnijasuhted, 5.14 teabe edastamine, 5.9 varade register, 8.11 ja 8.12 andmete maskeerimine ja andmelekkekaitse, 8.20 võrguturve ning 8.25 turvalise arenduse elutsükkel.

Zenith Controls peamine tähelepanek on järgmine:

“Pilveteenuse pakkujad (CSP-d) toimivad kriitiliste tarnijatena ning seetõttu kohalduvad kõik kontrollimeetmed, mis käsitlevad tarnijate valikut, lepingustamist ja riskijuhtimist punktis 5.19. Kuid 5.23 läheb kaugemale, käsitledes pilvespetsiifilisi riske, nagu mitme rentniku mudel, andmete asukoha läbipaistvus ja jagatud vastutuse mudelid.”

See lause võtab juhtimismuudatuse kokku. Pilveteenuse pakkuja ei ole lihtsalt veel üks tarnija. Sageli on see koht, kus reguleeritud töötlus tegelikult toimub.

Varjatud paiknemislõksud: varukoopiad, logid, tugi ja alltöötlejad

Enamik andmete paiknemise tõrkeid ei alga tootmisandmebaasist. Need algavad tugisüsteemidest, mida ei ole andmevoogude läbivaatusse kunagi nõuetekohaselt kaasatud.

Varukoopiad on klassikaline näide. SaaS-platvorm võib töötada Frankfurdis või Dublinis, samal ajal kui automaatsed varukoopiad replikeeritakse talitluspidevuse või kulude tõttu mujale. Kui varukoopia sisaldab isikuandmeid, kliendikirjeid, autentimisloge või reguleeritud tehinguajalugu, on varundusregioon oluline. NIS2 Article 21 kohaselt on varundushaldus ja katastroofitaaste turbe baastaseme osa. DORA kohaselt eeldavad kriitiliste või oluliste funktsioonide järjepidevus ja testitud väljumisstrateegiad teadmist taasteasukohtadest ja taastamissõltuvustest.

Logid on teine nõrk koht. Turvameeskonnad koondavad telemeetriat SIEM-i, jälgitavuse ja andmejärve teenustesse. Need logid võivad sisaldada IP-aadresse, kasutajatunnuseid, administraatori tegevusi, makse metaandmeid, ebaõnnestunud autentimiskatseid, kliendikonto tunnuseid või tugijälje andmeid. Kui logid liiguvad globaalsesse seireteenusesse, võib organisatsioon olla loonud piiriülese andmeedastuse seda märkamata.

Clarysec’i Logging and Monitoring Policy-sme Logimis- ja seirepoliitika - VKE käsitleb tarnija tõendusmaterjali otseselt:

“Lepingud peavad nõudma teenuseosutajatelt logide säilitamist vähemalt 12 kuud ja juurdepääsu võimaldamist taotluse korral”

See tsitaat pärineb jaotisest “Juhtimisnõuded”, poliitika punktist 5.5.1.3. Andmete paiknemise juhtimise puhul peab sama lepingu läbivaatus kinnitama, kus neid logisid säilitatakse, kes neile ligi pääseb ja kas logitõendusmaterjal on intsidendi uurimise või regulatiivse päringu ajal kättesaadav.

Tugijuurdepääs on peenem risk. Teenuseosutaja võib majutada andmeid EL-is, samal ajal kui väljaspool EL-i asuvad tugiinsenerid pääsevad ligi kliendikeskkondadele, andmebaasitõmmistele, diagnostikapakettidele või piletimanustele. Kas see on vastuvõetav, sõltub asjaomastest andmetest, edastusmehhanismist, rollist, lepingulistest kaitsemeetmetest, juurdepääsukontrollidest ja logimisest. Arhitektuur võib olla regionaalne, kuid inimeste juurdepääsumudel globaalne.

Alltöötlejad loovad viimase pimenurga. Teie otsene tarnija võib sõltuda pilvetaristust, sisuedastusvõrkudest, hallatud andmebaasidest, piletihaldusplatvormidest, analüütikateenustest, välisriigis asuvatest tugimeeskondadest või turbetarnijatest. DORA Article 29 nõuab alltöövõturiskide, kolmandate riikide teenuseosutajate, andmete taastamise piirangute, andmekaitse nõuetele vastavuse ja keerukate alltöövõtuahelate hindamist. NIS2 Article 21 nõuab, et üksused arvestaksid otseste tarnijate ja teenuseosutajate küberturbepraktikatega. GDPR nõuab, et volitatud töötlejad haldaksid alltöötlejaid viisil, mis säilitab vastutava töötleja võime nõudeid täita.

Clarysec’i Third-Party and Supplier Security Policy-sme Kolmandate osapoolte ja tarnijate turbepoliitika - VKE muudab selle praktiliseks:

“Kui tarnijatelt nõutakse andmete säilitamist väljaspool asukohta, peab ettevõte saama kinnituse andmekaitse, füüsilise turbe ja geograafilise salvestuskoha kohta (nt ainult EL-is majutamine, kui GDPR seda nõuab).”

See pärineb jaotisest “Poliitika rakendamise nõuded”, poliitika punktist 6.2.4. Sama poliitika nõuab ka järgmist:

“Piirangud edasisele alltöövõtule ilma heakskiiduta”

See tsitaat pärineb jaotisest “Juhtimisnõuded”, poliitika punktist 5.3.5. Koos muudavad need punktid andmete paiknemise tarnijahaldusprotsessiks, mitte hanke-eelistuseks.

Muuda poliitika jõustatavaks pilveregioonide juhtimiseks

Pilveregioonide juhtimine peab olema rakendatav, läbivaadatav ja auditeeritav.

VKE-de jaoks seab Cloud Usage Policy-sme Pilveteenuste kasutamise poliitika - VKE baastaseme:

“Andmete paiknemise ja privaatsustavad vastavad kohaldatavatele õigusnõuetele (nt GDPR)”

See pärineb jaotisest “Juhtimisnõuded”, poliitika punktist 5.2.3. Sama poliitika nõuab, et pilvejuhtimise kirjed sisaldaksid järgmist:

“Riik või regioon, kus andmeid säilitatakse”

See tsitaat pärineb jaotisest “Juhtimisnõuded”, poliitika punktist 5.3.4.

Suuremate organisatsioonide puhul on Cloud Usage Policy Pilveteenuste kasutamise poliitika lepingulise rakendamise osas täpsem:

“Andmete paiknemise nõuded tuleb kehtestada lepinguliselt (nt ainult EL-is säilitamine GDPR-reguleeritud andmete puhul).”

See pärineb jaotisest “Poliitika rakendamise nõuded”, poliitika punktist 6.6.2. Samuti sätestab see:

“Piiriülesed andmeedastused peavad vastama GDPR V peatükile ja kohaldataval juhul DORA Article 28 nõuetele.”

See pärineb jaotisest “Poliitika rakendamise nõuded”, poliitika punktist 6.6.3.

Ettevõtte versioon juhib tähelepanu ka järgmisele:

“Andmete paiknemine ja andmete omandi tagatised”

See tsitaat pärineb jaotisest “Rollid ja vastutused”, poliitika punktist 4.5.1.2.

Third party and supplier security policy Kolmandate osapoolte ja tarnijate turbepoliitika lisab lepingulise kihi, nõudes järgmist:

“Andmete käitlemise nõuded, sealhulgas salvestuskoht, juurdepääsukontrollid ning tagastamise või hävitamise klauslid”

See tsitaat pärineb jaotisest “Juhtimisnõuded”, poliitika punktist 5.3.2.

Lõpuks määratleb Legal and Regulatory Compliance Policy Õigusnormidele vastavuse poliitika muudatused, mis peavad käivitama vastavuse läbivaatuse, sealhulgas:

“Muudatused andmeedastusmehhanismides, alltöötlejates või piiriülestes andmevoogudes”

See pärineb jaotisest “Juhtimisnõuded”, poliitika punktist 5.3.1.1.

Need dokumendid ei tohiks toimida eraldi failidena. Küpses ISMS-is muutuvad need üheks toimimismudeliks: pilveregister, andmevoogude register, tarnijaregister, lepingumaatriks, riskihindamine, edastuse läbivaatus, muudatuse heakskiit ja audititõendite pakett.

Loo pilveregioonide juhtimise register

Praktiline register muudab pilveandmete paiknemise eeldusest tõendusmaterjaliks. Alusta ühest kriitilisest kliendile suunatud teenusest, eriti sellisest, mis tõenäoliselt kuulub NIS2, DORA kliendi hoolsuskontrolli või GDPR kontrolli kohaldamisalasse.

Seejärel seo register rakendamisega.

Clarysec’i Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint käsitleb etapis Controls in Action, Step 23, organisatsioonilisi kontrollimeetmeid 5.19 kuni 5.37, sealhulgas tarnijalepinguid ja pilveteenuste juhtimist. Blueprint hoiatab, et tarnijalepingud peavad hõlmama enamat kui üldist konfidentsiaalsust:

“Paljudes sektorites määratlevad tarnijalepingud ka andmete omandiõiguse ja jurisdiktsiooni. Kus andmeid töödeldakse? Kellel säilib kontroll? Kas edastustele kehtivad piirangud? Kas on olemas pilvespetsiifilised kontrollimeetmed (nt andmete segmenteerimine, võtmete omandiõigus või geograafilised piirangud)? Need elemendid ei ole ainult õiguslikud; need on operatiivsed turbeküsimused, eriti reguleeritud sektorites.”

Sama etapp ja samm käsitlevad tarnijate muudatuste haldamist:

“Enamik tarnijasuhteid algab heade kavatsustega. Põhjalik läbivaatus, selged ootused, allkirjastatud lepingud (vt 5.20), võib-olla isegi turbe kontrollnimekiri. Aga mis saab aasta hiljem, kui tarnija teeb ettepaneku viia teie andmed uude pilveregiooni?”

See on Maria teisipäeva hommiku probleem. Register annab infoturbejuhile viisi vastata enne muudatuse heakskiitmist.

Zenith Blueprint selgitab ka pilvekontrolli 5.23 juhtimistähendust:

“Väärkonfigureeritud salvestuskorv, avalikult kättesaadav juhtpaneel või ülemäärased õigused pilve IAM seadistuses ei ole pilve tõrked. Need on juhtimise tõrked.”

Etapis Controls in Action, Step 22, käsitleb Blueprint teabe edastamist ja ütleb:

“Kui isikuandmeid edastatakse üle piiride, peab meetod vastama privaatsus- ja õiguslikele kohustustele, mitte üksnes sisemistele eelistustele.”

See lause on pilvemeeskondade jaoks oluline. Krüptimine, turvalised rakendusliidesed ja privaatne ühenduvus on vajalikud, kuid need ei asenda õiguslikku ja regulatiivset edastuse juhtimist.

Korralda esimene 90-minutiline tõendusmaterjali töötuba

Ära alusta kogu ettevõtte kaardistamisest. Alusta ühest kriitilisest teenusest ja korralda fokusseeritud töötuba pilvearhitektuuri, hanke, õigusvaldkonna, andmekaitse, talitluspidevuse ja turbeoperatsioonide osalusel.

Esiteks loetle kõik pilve- või tarnijakomponendid, mis teenust salvestavad, töötlevad, edastavad, varundavad, seiravad või toetavad. Kaasa ka väiksemad süsteemid, näiteks tööaja seire, piletimanused, vigade jälgimine, toe ekraanijagamise tööriistad ja diagnostikaekspordid.

Teiseks märgi iga andmekategooria. Kui meeskond ütleb “ainult metaandmed”, sea eeldus kahtluse alla. Metaandmed võivad siiski olla isikuandmed või konfidentsiaalsed kliendiandmed.

Kolmandaks kontrolli regiooni tõendusmaterjali põhjal. Kasuta pilvekonsooli konfiguratsiooni, varunduspoliitikaid, SIEM-i rentnikuseadeid, DPA lisasid, alltöötlejate loendeid, lepingutingimusi, tugijuurdepääsu dokumentatsiooni ja CSP auditiaruandeid. Ära tugine ainult müügikinnitustele.

Neljandaks kanna puudujäägid ISMS-i riskiregistrisse. Näited: “varukoopiate replikatsiooniregioon ei ole lepinguliselt piiratud”, “kolmandast riigist tugijuurdepääsul puudub dokumenteeritud heakskiidutöövoog”, “SIEM-i logisid säilitatakse globaalselt”, “alltöötlejate loend ei tuvasta majutusregiooni” või “DORA register ei erista kriitilise või olulise funktsiooni sõltuvust”.

Viiendaks otsusta riskikäsitlus. Käsitlused võivad hõlmata lepingu muudatust, regioonilukku, kliendi teavitamist, krüptimist kliendi hallatavate võtmetega, tokeniseerimist, logide minimeerimist, uue tarnija heakskiitu, väljumisstrateegia ajakohastamist või jääkriski aktsepteerimist riskiomaniku poolt.

Kuuendaks säilita tõendusmaterjal. Audiitorid ei küsi ainult seda, mida otsustasite. Nad küsivad ka seda, kuidas te teate, et see rakendati.

Seo üks tõendusmaterjali kogum ISO, GDPR, NIS2, DORA ja NIST CSF 2.0 nõuetega

Tugev pilveregioonide juhtimise programm väldib dubleerivat vastavustööd. Sama tõendusmaterjal võib toetada mitut kohustust, kui see on õigesti struktureeritud.

NIST CSF 2.0 on kasulik ühendava kihina. Selle GOVERN-funktsioon joondub õiguslike, regulatiivsete, lepinguliste ja privaatsuskohustuste, riskivalmiduse, vastutuse, poliitikate ja järelevalvega. Selle GV.SC tarneahela kategooria sobitub hästi DORA IKT kolmandate osapoolte ootuste, NIS2 tarneahela nõuete ja ISO tarnijakontrollidega.

COBIT 2019 ja ISACA auditivaade testivad sageli samu fakte juhtimiseesmärkide kaudu: omandiõigus, otsustusõigused, riski optimeerimine, tarnija toimivus, kasu realiseerimine ja kindluse andmine. COBIT-stiilis läbivaataja ei pruugi alustada küsimusega “milline pilveregioon on konfigureeritud?” Ta võib alustada küsimusega “kellel on õigus regioonimuudatus heaks kiita, kuidas riski eskaleeritakse ja kuidas juhtkond teab, et pilvetarnijad püsivad taluvuspiirides?”

Seetõttu talletab Clarysec’i mudel omanikud, heakskiidupunktid, lepingulise tõendusmaterjali ja juhtkonna aruandluse, mitte ainult tehnilised seaded.

Valmistu audiitori küsimusteks

Pilveregioonide juhtimine on hea näide sellest, kuidas erinevad audiitorid vaatavad sama kontrollimeedet eri nurkadest.

ISO/IEC 27001:2022 audiitor alustab kohaldamisalast, huvitatud osapoolte nõuetest, riskihindamisest ja kohaldatavusdeklaratsioonist. Ta küsib, kas õiguslikud, regulatiivsed ja lepingulised nõuded on tuvastatud, kas pilve- ja tarnijakontrollid on kaasatud, kas riske hinnati, kas kontrollimeetmed on rakendatud ja kas tõendusmaterjal on säilitatud. Ta võib võtta valimisse ühe pilveteenuse ning küsida kasutuselevõtu läbivaatust, lepinguklausleid, regiooni konfiguratsiooni, seire läbivaatust ja muudatuse heakskiitu.

Andmekaitseasutus või GDPR läbivaataja keskendub isikuandmetele. Ta küsib, milliseid isikuandmeid töödeldakse, kus neid säilitatakse, kust neile ligi pääsetakse, millised volitatud töötlejad ja alltöötlejad on kaasatud, kas edastusmehhanismid on dokumenteeritud, kas edastamise mõjuhinnang on vajalik ning kas asjakohased tehnilised ja korralduslikud meetmed on rakendatud. Logid, tugiandmed ja varukoopiad saavad sageli tähelepanu, sest organisatsioonid alahindavad neid.

NIS2 audiitor või pädev asutus keskendub kohaldamisalasse kuuluvatele teenustele. Ta vaatab juhtkonna vastutust Article 20 alusel, riskijuhtimismeetmeid Article 21 alusel, talitluspidevust, varundushaldust, katastroofitaastet, intsidentide käsitlemist, tarneahela turvet, juurdepääsukontrolli, varahaldust ja tõhususe hindamist.

DORA järelevalveasutus või siseauditi meeskond otsib IKT-riski juhtimist, juhtorgani järelevalvet, IKT kolmandate osapoolte kokkulepete teaberegistrit, kriitiliste või oluliste funktsioonide kaardistamist, kontsentratsiooniriski, alltöövõturiski, andmetöötluse asukohti, auditiõigusi, intsidentidest teatamise tuge, toimepidevuse testimist ja väljumisplaane. DORA on selge: allhange ei anna vastutust üle.

Zenith Controls aitab turbejuhtidel nendeks auditistiilideks valmistuda, sest see seob kontrollimeetmete omavahelised suhted. ISO/IEC 27002:2022 kontrollimeetme 5.20, infoturbe käsitlemine tarnijalepingutes, puhul seob Zenith Controls selle 5.19 tarnijasuhete, 5.14 teabe edastamise, 5.22 tarnijaseire, 5.11 varade tagastamise ja 5.36 poliitikate, reeglite ja standardite vastavusega. Kontrollimeetme 5.22, tarnijateenuste seire, läbivaatamine ja muudatuste haldamine, puhul seob see pideva tarnijajärelevalve 5.29 katkestuseaegse turbe, 8.8 tehniliste haavatavuste halduse, 5.15 juurdepääsukontrolli, 8.27 turvalise süsteemiarhitektuuri ja tehnilise projekteerimise põhimõtete ning 5.36 vastavusega.

See kontrollideülene vaade on oluline, sest regioonimuudatus ei ole kunagi lihtsalt regioonimuudatus. See võib muuta tarnijariski, edastusriski, juurdepääsuriski, talitluspidevusriski, intsidendihalduse tõendusmaterjali ja lepingulist vastavust.

Kasuta seda 2026. aasta infoturbejuhi kontrollnimekirja enne pilvemuudatuse heakskiitmist

Kasuta seda kontrollnimekirja enne uue pilveregiooni, piiriülese töötlustee, varundusasukoha, logimisplatvormi, tugimudeli või kriitilise IKT-tarnija muudatuse heakskiitmist.

Kui mis tahes küsimuse vastus on “eeldame”, ei ole kontrollimeede reguleeritud tegevuse jaoks piisavalt küps.

Parandusmeetmete teekaart

Parandusmeetmete teekond on praktiline, kui see tugineb ISMS-ile.

1. Kinnita, et ISMS-i kohaldamisala hõlmab pilveteenuseid, kriitilisi IKT-sõltuvusi ja reguleeritud andmetöötlust.
2. Loo prioriteetsete teenuste jaoks pilveregioonide juhtimise register.
3. Kaardista iga teenus andmekategooriate, regioonide, varundusasukohtade, tugijuurdepääsu ja alltöötlejatega.
4. Vaata tarnijalepingud läbi salvestuskoha, edastuse, auditi, intsidendi, alltöövõtu, tagastamise ja hävitamise klauslite osas.
5. Ajakohasta riskiregister puudujääkide, kontsentratsiooniriskide ja dokumenteerimata edastuste kohta.
6. Ühilda vajaduse korral DORA IKT kolmandate osapoolte register ja NIS2 teenusesõltuvuste kaardistus.
7. Kontrolli tehnilist rakendamist, sealhulgas regioonilukke, varunduspoliitikaid, logimisseadeid, krüptimist, juurdepääsukontrolle ja võtmehaldust.
8. Koosta audititõendite pakett ekraanitõmmiste, lepingute, riskikirjete, heakskiitude, läbivaatuse protokollide ja testitulemustega.
9. Kehtesta muudatuse käivitustingimus uute regioonide, alltöötlejate, edastusmehhanismide või kriitiliste tarnijate teenusemuudatuste jaoks.
10. Esita juhtkonnale pilveandmete paiknemise risk, erandid ja jääkriski otsused.

See ei ole teoreetiline vastavus. See on erinevus pilvekeskkonna vahel, mis peab auditikontrollile vastu, ja keskkonna vahel, mis sõltub suulistest kinnitustest.

Äripõhjendus: suveräänsus, toimepidevus ja usaldus

Tippjuhid näevad andmete paiknemise juhtimist mõnikord pilvekiiruse piiranguna. Tegelikult parandab küps regioonijuhtimine paindlikkust, sest meeskonnad teavad reegleid enne ostmist, ehitamist või migreerimist.

Tootemeeskond saab kiiremini käivitada, kui heakskiidetud regioonid on selged. Hange saab kiiremini läbi rääkida, kui kohustuslikud klauslid on juba määratletud. Õigusvaldkond saab edastusi kiiremini hinnata, kui andmevood on dokumenteeritud. Turbeoperatsioonid saavad kiiremini uurida, kui logide asukohad ja juurdepääsuõigused on teada. Juhatus saab teha riskiotsuseid kiiremini, kui kontsentratsioonirisk, talitluspidevuse mõju ja jääkriski aktsepteerimine on nähtavad.

Klientide, eriti reguleeritud klientide jaoks on see usalduse signaal. SaaS-teenuseosutaja, kes suudab selgitada, kus andmed asuvad, kuidas varukoopiaid juhitakse, kuidas tugijuurdepääsu kontrollitakse, kuidas alltöötlejaid heaks kiidetakse ja kuidas regioonimuudatusi läbi vaadatakse, edestab teenuseosutajat, kes ütleb ainult “kasutame juhtivat pilveteenuse pakkujat”.

2026. aastal on see eristus oluline. NIS2 on toonud küberturbe juhtimise oluliste ja tähtsate üksusteni kogu EL-is. DORA on muutnud IKT kolmandate osapoolte järelevalve finantssektori ametlikuks distsipliiniks. GDPR vastutus jääb keskseks. ISO/IEC 27001:2022 annab juhtimissüsteemi, mis seda koos hoiab.

Järgmised sammud Claryseciga

Kui sinu organisatsioon ei suuda vastata, kus reguleeritud andmed ja kriitiline IKT-töötlus asuvad tootmiskeskkonnas, varukoopiates, logides, tugijuurdepääsus ja alltöövõtjate juures, on nüüd aeg puudujääk sulgeda.

Clarysec saab aidata sul koostada pilveregioonide juhtimise tõendusmaterjali paketi, kasutades järgmisi vahendeid:

• Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint etapipõhiseks ISO rakendamiseks ja auditivalmiduse saavutamiseks.
• Zenith Controls: The Cross-Compliance Guide Zenith Controls ISO/IEC 27002:2022 pilve- ja tarnijakontrollide sidumiseks operatiivse tõendusmaterjali ning raamistikeüleste ootustega.
• Cloud Usage Policy Pilveteenuste kasutamise poliitika ja Cloud Usage Policy-sme Pilveteenuste kasutamise poliitika - VKE pilveandmete paiknemise nõuete jaoks.
• Third party and supplier security policy Kolmandate osapoolte ja tarnijate turbepoliitika ja Third-Party and Supplier Security Policy-sme Kolmandate osapoolte ja tarnijate turbepoliitika - VKE tarnijalepingute, alltöövõtu ja geograafilise salvestuskoha kinnituste jaoks.
• Logging and Monitoring Policy-sme Logimis- ja seirepoliitika - VKE logide säilitamise ja teenuseosutaja tõendusmaterjali jaoks.
• Legal and Regulatory Compliance Policy Õigusnormidele vastavuse poliitika vastavuse läbivaatuse käivitajate jaoks, mis puudutavad edastusmehhanisme, alltöötlejaid ja piiriüleseid andmevooge.

Alusta ühest kriitilisest teenusest, ühest pilveteenuse pakkujast ja ühest registrist. Mõne töötoa jooksul saad liikuda eeldustelt tõendusmaterjalini ning killustatud vastavuselt juhitud pilvepõhise toimepidevuseni.

Laadi alla Clarysec’i tööriistakomplekt, küsi demo või broneeri pilveregioonide juhtimise hindamine, et muuta pilveandmete paiknemise lubadused auditivalmis tõendusmaterjaliks.