DORA IKT-väljumisstrateegiad ISO 27001 kontrollimeetmetega

Esmaspäeval kell 07:42 saab fintech-ettevõtte operatsioonide juht teate, mida keegi lugeda ei taha: ettevõtte pilvepõhise tehinguseire teenuse osutajal on tõsine piirkondlik katkestus. Kell 08:15 küsib riskijuht, kas mõjutatud teenus toetab kriitilist või olulist funktsiooni. Kell 08:40 soovib õigusosakond teada, kas leping tagab ettevõttele üleminekuabi, andmeekspordi, kustutamise ja auditeerimisõigused. Kell 09:05 otsib infoturbejuht tõendeid selle kohta, et väljumisplaan on testitud, mitte üksnes dokumenteeritud.

Teises finantsteenuste ettevõttes avab kiiresti kasvava fintech-platvormi infoturbejuht Sarah DORA vastavushindamise eelauditi teabepäringu. Küsimused on tuttavad kuni jaotiseni, mis käsitleb kriitilisi või olulisi funktsioone toetavaid kolmandast isikust IKT-teenuse osutajaid. Audiitorid ei küsi, kas ettevõttel on tarnijapoliitika. Nad küsivad dokumenteeritud, testitud ja teostatavaid väljumisstrateegiaid.

Tema mõtted liiguvad esmalt platvormi majutava peamise pilveteenuse osutajani ja seejärel hallatud turbeteenuse osutajani, kes jälgib ohte ööpäevaringselt. Mis saab siis, kui pilveteenuse osutajat tabab geopoliitiline häire? Mis saab siis, kui MSSP omandab konkurent? Mis saab siis, kui kriitiline SaaS-teenuse osutaja muutub maksejõuetuks, lõpetab teenuse või kaotab pärast suurt intsidenti klientide usalduse?

Paljudes ettevõtetes on ebamugav vastus sama. Olemas on tarnija riskihindamine, talitluspidevuse plaan, lepingukaust, pilveteenuste register ja võib-olla ka varundusaruanded. Kuid puudub ühtne auditivalmis DORA väljumisstrateegia kolmandast isikust IKT-teenuse osutaja jaoks, mis seoks ärikriitilisuse, lepingulised õigused, tehnilise portatiivsuse, talitluspidevuse plaanid, varundamise tõendusmaterjali, privaatsuskohustused ja juhtkonna heakskiidu.

DORA muudab tarnijahaldust nõudlikumaks. Määruse (EL) 2022/2554 kohaselt peavad finantsüksused haldama kolmandast isikust IKT-teenuse osutajate riski IKT-riski juhtimise raamistiku osana. Nad jäävad täielikult vastutavaks nõuetele vastavuse eest, peavad IKT-teenuste lepingute registrit, eristavad kriitilisi või olulisi funktsioone toetavaid IKT-kokkuleppeid, hindavad kontsentratsiooni- ja alltöövõturiske ning hoiavad kriitiliste kolmandast isikust IKT-teenuse osutajate sõltuvuste jaoks väljumisstrateegiaid. DORA kohaldub alates 17. jaanuarist 2025 ning kehtestab ühtsed ELi nõuded IKT-riski juhtimisele, intsidentidest teatamisele, digitaalse tegevuskerksuse testimisele, teabevahetusele ja kolmandast isikust IKT-teenuse osutajate riskijuhtimisele laias finantsüksuste ringis.

DORA väljumisstrateegia ei ole lõik tarnijalepingus. See on kontrollisüsteem. See peab olema juhitud, riskihinnatud, tehniliselt teostatav, lepinguliselt jõustatav, testitud, tõendatud ja pidevalt täiustatud.

Clarysec’i käsitlus ühendab Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint, ettevõtte poliitikamallid ja Zenith Controls: The Cross-Compliance Guide Zenith Controls, et muuta esmaspäeva hommikune küsimus ettevalmistatud vastuseks.

Miks DORA väljumisstrateegiad tegelikes auditites läbi kukuvad

Enamik DORA IKT-väljumisstrateegiate puudusi on enne tehnilisi probleeme struktuursed. Organisatsioonil on tarnija omanik, kuid puudub vastutav riskiomanik. Olemas on varundustööd, kuid puuduvad taastamise tõendid. Olemas on tarnija taustakontrolli küsimustik, kuid puudub dokumenteeritud otsus selle kohta, kas teenuse osutaja toetab kriitilist või olulist funktsiooni. Lepingus on lõpetamissätted, kuid puudub talitluspidevuse plaaniga kooskõlastatud üleminekuperiood.

DORA sunnib need osad kokku viima. Article 28 sätestab kolmandast isikust IKT-teenuse osutajate riskijuhtimise üldpõhimõtted, sealhulgas vajaduse hallata kolmandast isikust IKT-teenuse osutajate riski kogu elutsükli jooksul ja hoida asjakohaseid väljumisstrateegiaid. Article 30 sätestab üksikasjalikud lepingulised nõuded kriitilisi või olulisi funktsioone toetavatele IKT-teenustele, sealhulgas teenusekirjeldused, andmetöötluse asukohad, turvameetmed, juurdepääsu- ja auditeerimisõigused, intsidendiabi, koostöö pädevate asutustega ning lõpetamisõigused.

Määrus on samuti proportsionaalne. Articles 4 ja 16 lubavad teatud väiksematel või erandiga hõlmatud üksustel kohaldada lihtsustatud IKT-riski juhtimise raamistikku. Kuid lihtsustatud ei tähenda dokumenteerimata. Väiksemad finantsüksused vajavad endiselt dokumenteeritud IKT-riski juhtimist, pidevat seiret, vastupidavaid süsteeme, IKT-intsidentide kiiret tuvastamist, peamiste kolmandast isikust IKT-teenuse osutajate sõltuvuste tuvastamist, varundamist ja taastamist, talitluspidevust, reageerimist ja taastamist, testimist, õppetunde ja koolitust.

Väike fintech-ettevõte ei saa öelda: „Oleme väljumise kavandamiseks liiga väikesed.“ Ta saab öelda: „Meie DORA väljumisstrateegia on kohandatud meie suuruse, riskiprofiili ja teenuse keerukusega.“ Erinevus seisneb tõendusmaterjalis.

Üksuste puhul, mis kuuluvad ka NIS2 riiklikku kohaldamisalasse, toimib DORA finantssektori kattuvate küberturvalisuse kohustuste jaoks sektoripõhise liidu õigusaktina. NIS2 on laiemas ökosüsteemis endiselt oluline, eriti hallatud teenuse osutajate, hallatud turbeteenuse osutajate, pilveteenuse osutajate, andmekeskuste ja digitaalse taristu üksuste puhul. NIS2 Article 21 tugevdab samu teemasid: riskianalüüs, intsidentide käsitlemine, talitluspidevus, tarneahela turve, turvaline hankimine, tõhususe hindamine, koolitus, krüptograafia, juurdepääsukontroll, varahaldus ja autentimine.

Järelevalveasutused, kliendid, audiitorid ja juhatus võivad küsida küsimuse eri viisil, kuid põhiküsimus on sama: kas suudate kriitilisest IKT-teenuse osutajast väljuda, kaotamata kontrolli teenuse järjepidevuse, andmete, tõendusmaterjali või kliendimõju üle?

Tee väljumisstrateegiast ISMS-i osa

ISO/IEC 27001:2022 annab DORA väljumise kavandamisele juhtimissüsteemi selgroo.

Punktid 4.1 kuni 4.4 nõuavad, et organisatsioon määratleks oma konteksti, huvitatud pooled, õiguslikud, regulatiivsed ja lepingulised nõuded, ISMS-i kohaldamisala, liidesed, sõltuvused ja protsessid. Siin tuvastab finantsüksus ISMS-i piires DORA, kliendikohustused, allhankeootused, pilvesõltuvused, privaatsuskohustused, alltöövõtjad ja IKT-teenused.

Punktid 5.1 kuni 5.3 nõuavad eestvedamist, poliitikat, ressursse, rollide määramist ja vastutust. See on kooskõlas DORA juhtimismudeliga, kus juhtorgan määratleb, kinnitab, teeb järelevalvet ja jääb vastutavaks IKT-riski juhtimise eest, sealhulgas IKT talitluspidevuse, reageerimis- ja taasteplaanide, IKT auditiplaanide, eelarvete, digitaalse tegevuskerksuse strateegia ning kolmandast isikust IKT-teenuse osutajate riskipoliitika eest.

Punktid 6.1.1 kuni 6.1.3 muudavad väljumise kavandamise riskikäsitluseks. Organisatsioon määratleb riskikriteeriumid, teeb korratavaid riskihindamisi, tuvastab konfidentsiaalsuse, tervikluse ja käideldavuse riskid, määrab riskiomanikud, hindab tagajärgi ja tõenäosust, valib käsitlusvalikud, võrdleb kontrollimeetmeid lisa A-ga, koostab kohaldatavusdeklaratsiooni (SoA), valmistab ette riski käsitlemise plaani ning hangib riskiomaniku heakskiidu ja jääkriski aktsepteerimise.

Seejärel nõuab punkt 8.1 tegevuse planeerimist ja ohjet. Organisatsioon peab ISMS-i protsesse kavandama, rakendama ja ohjama, säilitama dokumenteeritud teavet, mis näitab, et protsessid viidi läbi plaanipäraselt, haldama muudatusi ning ohjama ISMS-i jaoks asjakohaseid väljastpoolt hangitud protsesse, tooteid või teenuseid.

ISO/IEC 27005:2022 tugevdab seda lähenemist. Punkt 6.2 soovitab organisatsioonidel tuvastada huvitatud poolte nõuded, sealhulgas ISO/IEC 27001:2022 lisa A kontrollimeetmed, sektoripõhised standardid, riiklikud ja rahvusvahelised regulatsioonid, sisereeglid, lepingulised nõuded ning varasemast riskikäsitlusest tulenevad olemasolevad kontrollimeetmed. Punktid 6.4.1 kuni 6.4.3 selgitavad, et riskikriteeriumid peaksid arvestama õiguslikke ja regulatiivseid aspekte, tarnijasuhteid, privaatsust, tegevusmõjusid, lepingurikkumisi, kolmandate isikute tegevust ja mainekahju. Punktid 8.2 kuni 8.6 toetavad kontrollikogumit ja käsitlusplaani, mis saab ühendada ISO/IEC 27001:2022 lisa A, DORA, NIS2, GDPR, kliendikohustused ja sisepoliitikad.

Töömudel on lihtne: üks nõuete register, üks tarnijariskide register, üks kohaldatavusdeklaratsioon (SoA), üks riski käsitlemise plaan ja üks tõenduspakett iga kriitilise väljumisstsenaariumi kohta.

ISO/IEC 27001:2022 kontrollimeetmed, mis ankurdavad DORA väljumise kavandamist

DORA väljumisstrateegiad muutuvad auditivalmiks, kui tarnijate juhtimist, pilveportatiivsust, talitluspidevuse planeerimist ja varundamise tõendusmaterjali käsitletakse ühe seotud kontrolliahelana.

Clarysec’i Zenith Controls vastendab ISO/IEC 27001:2022 lisa A kontrollimeetmed kontrolliatribuutide, audititõendite ja ristvastavuse ootustega. See ei ole eraldi kontrolliraamistik. See on Clarysec’i ristvastavuse juhend, mis selgitab, kuidas ISO/IEC 27001:2022 kontrollimeetmed toetavad auditi-, regulatiivseid ja operatiivseid tulemusi.

DORA kolmandast isikust IKT-teenuse osutaja väljumisstrateegia puhul peab auditijälg näitama järgmist:

• Tarnija on klassifitseeritud ja seotud äriprotsessidega.
• Teenust on hinnatud kriitilise või olulise funktsiooni toetamise suhtes.
• Väljumisrisk on kirjendatud koos vastutava riskiomanikuga.
• Lepinguklauslid toetavad üleminekut, juurdepääsu, auditit, andmete tagastamist, andmete kustutamist, koostööd ja talitluspidevust.
• Pilveportatiivsus ja koostalitlusvõime on valideeritud.
• Varukoopiad ja taastamistestid tõendavad taastatavust.
• Ajutine asendamine või alternatiivne töötlus on dokumenteeritud.
• Väljumistestide tulemused on läbi vaadatud, parandusmeetmetega käsitletud ja juhtkonnale raporteeritud.

Lepingusõnastus on esimene talitluspidevuse kontrollimeede

Leping peab olema esimene talitluspidevuse kontrollimeede, mitte talitluspidevuse takistus. Kui teenuse osutaja saab lepingu kiiresti lõpetada, ekspordi viivitada, logidele juurdepääsu piirata, nõuda määratlemata üleminekutasusid või keelduda migratsioonitoest, on väljumisstrateegia habras.

Zenith Blueprintis selgitab Controls in Action faas, Step 23, Control 5.20, et tarnijalepingud peaksid sisaldama praktilisi turbenõudeid, mis teevad väljumise võimalikuks:

Tarnijalepingutes käsitletakse tavaliselt järgmisi põhivaldkondi:

✓ Konfidentsiaalsuskohustused, sealhulgas ulatus, kestus ja kolmandatele isikutele avaldamise piirangud;

✓ juurdepääsukontrolli vastutus, näiteks kes saab teie andmetele ligi, kuidas autentimisandmeid hallatakse ja milline seire on kasutusel;

✓ tehnilised ja korralduslikud meetmed andmekaitseks, krüptimiseks, turvaliseks edastuseks, varundamiseks ja käideldavuskohustusteks;

✓ intsidentidest teatamise ajakavad ja protokollid, sageli määratletud tähtaegadega;

✓ auditeerimisõigus, sealhulgas sagedus, ulatus ja juurdepääs asjakohasele tõendusmaterjalile;

✓ alltöövõtjate kontrollimeetmed, mis nõuavad tarnijalt samaväärsete turbekohustuste edastamist oma järgnevatele partneritele;

✓ lepingu lõppemise sätted, näiteks andmete tagastamine või hävitamine, varade taastamine ja kontode deaktiveerimine.

See loetelu ühendab DORA Article 30 lepingulised ootused ja ISO/IEC 27001:2022 lisa A kontrollimeetme A.5.20.

Clarysec’i ettevõtte poliitikakeel teeb sama punkti operatiivsel tasandil. Supplier Dependency Risk Management Policy Supplier Dependency Risk Management Policy jaotises „Rakendamisnõuded“ sätestab klausel 6.4.3:

Tehnilised varuvariandid: tagada andmete portatiivsus ja koostalitlusvõime, et vajaduse korral toetada teenuse üleminekut (nt korrapärased varukoopiad SaaS-teenuseosutajalt standardvormingutes migratsiooni võimaldamiseks).

Sama poliitika klausel 6.8.2 nõuab:

Õigus üleminekuabile (väljumisabi säte), kui teenuseosutaja vahetus on vajalik, sealhulgas teenuse jätkumine määratletud üleminekuperioodi jooksul.

See klausel otsustab sageli, kas väljumisstrateegia peab auditile vastu. See muudab väljumise järsu katkestuse asemel juhitud üleminekuks.

Väiksemate üksuste puhul nõuab Third-Party and Supplier Security Policy-sme Third-Party and Supplier Security Policy - SME jaotise „Juhtimisnõuded“ klausel 5.3.6:

Lõpetamistingimused, sealhulgas andmete turvaline tagastamine või hävitamine

Ettevõttekeskkondade puhul nõuab Third party and supplier security policy Third party and supplier security policy jaotise „Poliitika rakendamise nõuded“ klausel 6.5.1.2:

Kogu organisatsioonile kuuluva teabe tagastamine või sertifitseeritud hävitamine

Need poliitikanõuded peavad olema otse jälgitavad lepinguklauslite, tarnija protseduuride, väljumise tööjuhiste ja audititõenditeni.

Pilvest väljumine: testi portatiivsust enne, kui seda vaja läheb

Pilveteenused on koht, kus DORA väljumisstrateegiad muutuvad sageli ebamääraseks. Ettevõte eeldab, et andmeid saab eksportida, kuid keegi ei ole vormingut testinud. Eeldatakse, et kustutamine toimub, kuid teenuse osutaja säilitamismudel hõlmab varukoopiaid ja replikeeritud salvestust. Eeldatakse, et alternatiivne teenuse osutaja saab andmed vastu võtta, kuid skeemid, identiteediintegratsioonid, krüptimisvõtmed, saladused, logid, rakendusliidesed ja päringumahu piirangud muudavad migratsiooni aeglasemaks, kui mõju taluvus lubab.

ISO/IEC 27001:2022 lisa A kontrollimeede A.5.23 käsitleb seda elutsükli probleemi, nõudes infoturbe kontrollimeetmeid pilveteenuste hankimiseks, kasutamiseks, haldamiseks ja neist väljumiseks.

Clarysec’i Cloud Usage Policy-sme Cloud Usage Policy - SME jaotise „Poliitika rakendamise nõuded“ klausel 6.3.4 nõuab:

Andmete ekspordivõimekus kinnitatakse enne kasutuselevõttu (nt teenuseosutajast sõltuvusse jäämise vältimiseks)

Klausel 6.3.5 nõuab:

Turvalise kustutamise protseduuride kinnitus enne konto sulgemist

Need nõuded kuuluvad tarnija elutsükli algusesse. Ärge oodake lepingu lõpetamiseni, et küsida, kas andmeid saab eksportida. Ärge oodake konto sulgemiseni, et küsida, kas kustutamise tõendusmaterjal on olemas.

Praktiline DORA pilvest väljumise test peaks hõlmama järgmist:

1. Esindusliku andmestiku eksport kokkulepitud vormingus.
2. Täielikkuse, tervikluse, ajatemplite, metaandmete ja juurdepääsukontrollide valideerimine.
3. Andmestiku import vahekeskkonda või alternatiivsesse tööriista.
4. Krüptimisvõtmete käitlemise ja saladuste roteerimise kinnitamine.
5. Logide ekspordi ja auditijälje säilitamise kinnitamine.
6. Teenuse osutaja kustutusprotseduuride dokumenteerimine, sealhulgas varukoopiate säilitamine ja kustutamise sertifitseerimine.
7. Probleemide, parandusmeetmete, omanike ja tähtaegade kirjendamine.
8. Tarnija riskihindamise, kohaldatavusdeklaratsiooni (SoA) ja väljumisplaani ajakohastamine.

Portatiivsus ei ole hanke lubadus. See on testitud võimekus.

Ühenädalane sprint auditivalmis DORA väljumisplaani koostamiseks

Võtame näiteks makseasutuse, mis kasutab SaaS-pettuseanalüütika teenuse osutajat. Teenuse osutaja töötleb tehinguandmeid, klienditunnuseid, seadme telemeetriaandmeid, käitumuslikke signaale, pettusereegleid, skooringu väljundeid ja juhtumimärkmeid. Teenus toetab kriitilist pettuste tuvastamise protsessi. Ettevõte kasutab eksporditud analüütikatulemuste salvestamiseks ka pilvepõhist andmeladu.

Infoturbejuht soovib DORA väljumisstrateegiat kolmandast isikust IKT-teenuse osutaja jaoks, mis peab vastu siseauditile ja järelevalve läbivaatamisele. Ühenädalane sprint saab tuua puudujäägid nähtavale ja luua tõendusahela.

1. päev: klassifitseeri tarnija ja määratle väljumisstsenaarium

Kasutades Zenith Blueprinti, Controls in Action faasi, Step 23, tegevusüksusi kontrollimeetmete 5.19 kuni 5.37 jaoks, alustab meeskond tarnijaportfelli läbivaatamisest ja klassifitseerimisest:

Koostage täielik loend praegustest tarnijatest ja teenuseosutajatest (5.19) ning klassifitseerige need süsteemidele, andmetele või operatiivsele kontrollile juurdepääsu alusel. Iga klassifitseeritud tarnija puhul kontrollige, et turbeootused oleksid lepingutes selgelt kajastatud (5.20), sealhulgas konfidentsiaalsus, juurdepääs, intsidentidest teatamine ja vastavuskohustused.

Tarnija klassifitseeritakse kriitiliseks, sest ta toetab kriitilist või olulist funktsiooni, töötleb tundlikke operatiivandmeid ja mõjutab tehinguseire tulemusi.

Meeskond määratleb kolm väljumise käivitajat:

• Teenuse osutaja maksejõuetus või teenuse lõpetamine.
• Oluline turberikkumine või usalduse kaotus.
• Strateegiline migratsioon kontsentratsiooniriski vähendamiseks.

2. päev: koosta nõuete register ja riskikirje

Meeskond loob ühe nõuete registri, mis hõlmab DORA kolmandast isikust IKT-teenuse osutajate riski, ISO/IEC 27001:2022 tarnija- ja pilvekontrollimeetmeid, GDPR kohustusi isikuandmete suhtes, kliendilepingute kohustusi ja sisemist riskivalmidust.

GDPR alusel kinnitab ettevõte, kas tehingutunnused, seadme ID-d, asukohasignaalid ja käitumuslik analüütika on seotud tuvastatud või tuvastatavate isikutega. GDPR Article 5 põhimõtted, sealhulgas terviklus, konfidentsiaalsus, säilitamise piirang ja vastutuse tõendatavus, muutuvad väljumise tõendusmaterjali nõuete osaks. Kui väljumine hõlmab andmete edastamist uuele teenuse osutajale, tuleb dokumenteerida õiguslik alus, eesmärk, võimalikult väheste andmete kogumine, säilitamine, volitatud töötleja tingimused ja kaitsemeetmed.

Riskikirje sisaldab järgmist:

3. päev: kõrvalda lepingulüngad

Õigusosakond ja hankeüksus võrdlevad lepingut Clarysec’i tarnijaklauslitega. Nad lisavad üleminekuabi, teenuse jätkumise määratletud üleminekuperioodil, auditi- ja tõendusmaterjalile juurdepääsu, alltöövõtjatest teavitamise, andmeekspordi vormingu, turvalise kustutamise sertifitseerimise, intsidendikoostöö ja taastamisaja kohustused.

Business Continuity Policy and Disaster Recovery Policy Business Continuity Policy and Disaster Recovery Policy jaotise „Poliitika rakendamise nõuded“ klausel 6.5.1 sätestab:

Kriitiliste tarnijatega sõlmitud lepingud peavad sisaldama talitluspidevuse kohustusi ja taastamisaja kohustusi.

VKEde puhul nõuab Business Continuity Policy and Disaster Recovery Policy-sme Business Continuity Policy and Disaster Recovery Policy - SME jaotise „Riskikäsitlus ja erandid“ klausel 7.2.1.4, et meeskonnad:

dokumenteeriksid ajutised tarnija või partneri asendusplaanid

See klausel muudab väite „me migreerime“ teostatavaks varuvariandiks: milline teenuse osutaja, milline sisemine ajutine lahendus, milline käsiprotsess, milline andmeväljavõte, milline omanik ja milline heakskiidutee.

4. päev: testi andmete portatiivsust ja varukoopiate taastatavust

Tehnoloogiameeskond ekspordib pettusereeglid, juhtumiandmed, tehinguskooringu väljundid, logid, konfiguratsiooni, API dokumentatsiooni ja kasutajate juurdepääsuloendid. Nad testivad, kas andmeid saab kontrollitud keskkonnas taastada või taaskasutada.

Backup and Restore Policy-sme Backup and Restore Policy - SME jaotise „Juhtimisnõuded“ klausel 5.3.3 nõuab:

Taastamistestid tehakse vähemalt kord kvartalis ning tulemused dokumenteeritakse taastatavuse kontrollimiseks

Ettevõtte Backup and Restore Policy Backup and Restore Policy jaotise „Rakendamine ja vastavus“ klausel 8.3.1 lisab:

Auditeerige perioodiliselt varunduslogisid, konfiguratsiooniseadeid ja testitulemusi

Zenith Blueprintis, Controls in Action faasis, Step 19, Control 8.13, hoiatab Clarysec, miks see on oluline:

Taastamistestimine on koht, kus enamik organisatsioone hätta jääb. Varukoopia, mida ei saa õigeaegselt või üldse taastada, on kohustus, mitte vara. Planeerige regulaarsed taastamisõppused, isegi kui need on ainult osalised, ja dokumenteerige tulemus.

Meeskond avastab, et eksporditud juhtumimärkmed ei sisalda manuseid ning API päringumahu piirangud muudavad täieliku ekspordi määratletud taastamise eesmärgi jaoks liiga aeglaseks. Probleem logitakse, määratakse omanikule ja kõrvaldatakse lepingu lisaga ning tehnilise ekspordi ümberkujundamisega.

5. päev: vii läbi väljumise lauaõppus ja tõendusmaterjali ülevaatus

Meeskond viib läbi lauaõppuse: tarnija teatab pärast suurt intsidenti lepingu lõpetamisest 90 päeva pärast. Operatsioonid peavad pettuste seiret jätkama, samal ajal kui andmeid migreeritakse.

Zenith Blueprintis, Controls in Action faasis, Step 23, Control 5.30, selgitab Clarysec testistandardit:

IKT valmisolek algab ammu enne häire tekkimist. See hõlmab kriitiliste süsteemide tuvastamist, nende vastastiksõltuvuste mõistmist ja nende kaardistamist äriprotsessidega.

Sama jaotis lisab:

Äritegevuse järjepidevuse plaanis määratletud taasteaja eesmärgid (RTO-d) ja taastepunkti eesmärgid (RPO-d) peavad kajastuma tehnilistes konfiguratsioonides, lepingutes ja taristu disainis.

Tõenduspakett sisaldab tarnija klassifitseerimist, riskihindamist, lepinguklausleid, väljumise tööjuhist, andmeekspordi tulemusi, varukoopiast taastamise tõendeid, kustutusprotseduuri, alternatiivse teenuse osutaja hindamist, lauaõppuse protokolli, parandusmeetmete logi, juhtkonna heakskiitu ja jääkriski otsust.

Infoturbejuht saab nüüd juhatuse küsimusele vastata tõendusmaterjali, mitte optimismiga.

Ristvastavus: üks väljumisplaan, mitu auditivaadet

Tugev DORA väljumisstrateegia vähendab dubleerivat vastavustööd ISO/IEC 27001:2022, NIS2, GDPR, NIST ja COBIT 2019 juhtimisootuste lõikes.

Oluline ei ole see, et üks raamistik asendaks teist. Väärtus seisneb selles, et hästi üles ehitatud ISMS võimaldab organisatsioonil luua tõendusmaterjali üks kord ja seda arukalt taaskasutada.

Clarysec’i Zenith Controls aitab meeskondadel nendeks auditivaadeteks valmistuda, sidudes ISO/IEC 27001:2022 kontrollimeetmed audititõendite ja raamistikeüleste ootustega.

Levinud auditi läbikukkumise põhjus on tõendusmaterjali killustatus. Tarnija omanikul on leping. IT-l on varunduslogid. Õigusosakonnal on andmetöötlusleping. Riskifunktsioonil on hindamine. Vastavusfunktsioonil on regulatiivne vastendus. Kellelgi ei ole tervikpilti.

Clarysec lahendab selle, kujundades tõenduspaketi väljumisstsenaariumi ümber. Iga dokument vastab ühele auditiküsimusele: millisest teenusest väljutakse, miks see on kriitiline, milliseid andmeid ja süsteeme see mõjutab, kes on riskiomanik, millised lepingulised õigused teevad väljumise võimalikuks, millised tehnilised mehhanismid teevad migratsiooni võimalikuks, millised talitluspidevuse korraldused hoiavad äritegevuse käimas, milline test tõendab plaani toimimist, millised probleemid kõrvaldati ja kes kinnitas jääkriski.

Clarysec’i DORA väljumisstrateegia kontrollnimekiri

Kasutage seda kontrollnimekirja, et muuta DORA väljumisstrateegia kolmandast isikust IKT-teenuse osutaja jaoks dokumendist auditeeritavaks kontrollikogumiks.

Muuda väljumise kavandamine juhatuse jaoks valmis tegevuskerksuse kontrollimeetmeks

Kui teie DORA väljumisstrateegia on ainult lepinguklausel, ei ole see valmis. Kui teie varukoopiat ei ole kunagi taastatud, ei ole see valmis. Kui teie pilveteenuse osutaja saab andmeid eksportida, kuid keegi ei ole terviklust valideerinud, ei ole see valmis. Kui teie juhatus ei näe jääkriski otsust, ei ole see valmis.

Clarysec aitab infoturbejuhtidel, vastavusjuhtidel, audiitoritel ja ettevõtte omanikel luua DORA väljumisstrateegiaid kolmandast isikust IKT-teenuse osutajate jaoks, mis on praktilised, proportsionaalsed ja auditivalmis. Me ühendame Zenith Blueprinti Zenith Blueprint rakendamise järjestamiseks, Zenith Controls Zenith Controls ristvastavuse vastendamiseks ning poliitikamallid, nagu Supplier Dependency Risk Management Policy Supplier Dependency Risk Management Policy, Cloud Usage Policy - SME Cloud Usage Policy - SME, Third-Party and Supplier Security Policy - SME Third-Party and Supplier Security Policy - SME ja Business Continuity Policy and Disaster Recovery Policy Business Continuity Policy and Disaster Recovery Policy, et luua täielik kontrollist tõendusmaterjalini ulatuv ahel.

Teie järgmine samm on lihtne ja suure väärtusega: valige sel nädalal üks kriitiline IKT-tarnija. Klassifitseerige see, vaadake üle selle leping, testige üks andmeeksport, kontrollige üks taastamine, dokumenteerige üks asendusplaan ja looge üks tõenduspakett.

See üks harjutus näitab, kas teie DORA väljumisstrateegia on tegelik tegevuskerksuse võimekus või lihtsalt dokument, mis ootab auditis läbikukkumist.