DORA testimisprogramm: testide sidumine ISO 27001-ga

On veebruar 2026. Keskmise suurusega makseasutuse infoturbejuhil on kahe päeva pärast juhatuse koosolek, kuue nädala pärast ISO/IEC 27001:2022 järelevalveaudit ning vastavusfunktsiooni postkastis DORA järelevalveasutuse päring.

Regulaator ei küsi läikivat küberstrateegiat. Päring on praktiline:

• Esitage oma 2026. aasta digitaalse tegevuskerksuse testimisprogramm.
• Näidake, millised testid katavad kriitilisi või olulisi funktsioone.
• Tõendage, kuidas leiud kõrvaldatakse ja uuesti testitakse.
• Esitage tõendusmaterjal juhtorgani järelevalve kohta.
• Selgitage, kuidas on kaasatud kolmandast isikust IKT-teenuseosutajad.
• Esitage kirjed haavatavuste hindamiste, stsenaariumipõhiste testide, jõudlus- ja mahutavustestide ning läbistustestide kohta.

Infoturbejuht avab neli kausta. Haavatavuste skaneerimised on SOC-i piletihaldussüsteemis. Lauaõppuste märkmed on ühiskettal. Koormustestide tulemused kuuluvad arendusmeeskonnale. Läbistustestide aruanded asuvad õigusosakonna piiratud juurdepääsuga hoidlas. Parandusmeetmete jälgimine on jaotatud Jira, e-posti ning eelmise aasta ISO auditi jaoks loodud tabeli vahel.

Miski ei ole võlts. Suur osa sellest on hea töö. Kuid see ei ole veel juhitud DORA digitaalse tegevuskerksuse testimisprogramm. See on testide kogum.

2026. aastal on sellel erinevusel tähtsus. DORA kohaldub alates 17. jaanuarist 2025 ning kehtestab kogu EL-is ühtse digitaalse tegevuskerksuse raamistiku järgmistes valdkondades: IKT-riski juhtimine, intsidentidest teatamine, tegevuskerksuse testimine, küberohtude ja haavatavuste teabe jagamine, IKT kolmanda isiku riskijuhtimine, lepingulised nõuded ning kriitiliste kolmandast isikust IKT-teenuseosutajate järelevalve. See hõlmab laia finantsüksuste ringi, sealhulgas krediidiasutusi, makseasutusi, investeerimisühinguid, krüptovarateenuse osutajaid, kindlustusandjaid ja teisi reguleeritud üksusi. DORA toimib finantsüksuste jaoks ka valdkonnapõhise liidu õigusaktina juhtudel, kus muidu kohaldataks samaväärseid NIS2 küberturvalisuse kohustusi.

Juhatuste, infoturbejuhtide, vastavusjuhtide ja IKT-teenuseosutajate praktiline küsimus ei ole enam see, kas testimist tehakse. Küsimus on selles, kas testimine on planeeritud, riskipõhine, tõendatud, parandusmeetmetega kaetud, läbi vaadatud ning DORA ja ISO/IEC 27001:2022 lõikes taaskasutatav.

Clarysec’i toimemudel on loodud just selle probleemi lahendamiseks. Kasutades Zenith Blueprint: audiitori 30-sammulist teekaarti, Clarysec’i ISO-ga joondatud poliitikakomplekti ja Zenith Controls: nõuete ristvastavuse juhendit, saavad organisatsioonid muuta hajutatud tegevuskerksuse tegevused kontrollitud iga-aastaseks testikataloogiks, mis vastab järelevalveasutuste, audiitorite, klientide ja juhatuste ootustele.

Miks muudab DORA testimise juhtimisküsimuseks

DORA on tippjuhtkonna vastutuse osas selgesõnaline. Article 5 paneb vastutuse IKT-riski juhtimise eest juhtorganile. Article 6 nõuab usaldusväärset, terviklikku ja hästi dokumenteeritud IKT-riski juhtimise raamistikku, mis on integreeritud organisatsiooni üldisesse riskijuhtimissüsteemi. Article 4 lisab proportsionaalsuse põhimõtte, mis tähendab, et nõudeid tuleb kohaldada suuruse, üldise riskiprofiili ning teenuste, tegevuste ja toimingute laadi, ulatuse ja keerukuse alusel.

See muudab digitaalse tegevuskerksuse testimise enamaks kui tehniliseks ülesandeks. Sellest saab tõendusmaterjal selle kohta, et juhtorgan mõistab riski, on strateegia heaks kiitnud, saab sisukaid aruandeid ja juhib parandusmeetmeid.

ISO/IEC 27001:2022 kasutab sarnast juhtimissüsteemi loogikat. Punktid 4.1 kuni 4.4 nõuavad, et organisatsioon mõistaks konteksti, huvitatud osapooli, õiguslikke ja lepingulisi kohustusi, kohaldamisala, liideseid ja sõltuvusi. Punktid 5.1 kuni 5.3 nõuavad eestvedamist, poliitikaga kooskõla, ressursse, teabevahetust, määratud vastutusi ja aruandlust tippjuhtkonnale. Punkt 6.1 nõuab infoturbe riskihindamist ja riskikäsitlust.

DORA testimisprogramm peab seetõttu ühendama:

• äriteenused ja kriitilised või olulised funktsioonid;
• IKT-varad, andmed ja kolmanda isiku sõltuvused;
• riskihindamise, riskiomanikud ja käsitlusplaanid;
• testitüübid, sageduse ja käivitajad;
• autoriseerimise, sõltumatuse ja tegutsemisreeglid;
• leiud, parandusmeetmete tähtajad ja kordustestimise;
• tõendusmaterjali säilitamise ja juurdepääsukontrolli;
• juhtkonna aruandluse ja pideva täiustamise.

Väiksemate või madalama riskiga finantsüksuste jaoks näeb Article 16 ette lihtsustatud IKT-riski juhtimise raamistiku, kuid lihtsustatud ei tähenda mitteformaalset. Ka skaleeritud programmid vajavad dokumenteeritud IKT-riski juhtimist, seiret, vastupidavaid süsteeme, IKT-riskiallikate ja anomaaliate tuvastamist, peamisi kolmandast isikust IKT-sõltuvusi, talitluspidevuse ja taaste meetmeid, regulaarset testimist ning õppetundide arvestamist.

Teisisõnu ei premeeri DORA testide mahtu. DORA väärtustab juhitud ja riskipõhist testimist, mis tõendab kõige olulisemate teenuste tegevuskerksust.

Mis kuulub 2026. aasta DORA testimisprogrammi?

Küps DORA testimisprogramm peab toimima iga-aastase testikataloogina. See ei tohi piirduda ühe iga-aastase läbistustesti või haavatavusskaneeringute ekspordifailide kuhjaga. See peab hõlmama põhi- ja edasijõudnud teste, mis on kavandatud riski, teenuse kriitilisuse, regulatiivsete kohustuste, tarnijasõltuvuste, oluliste muudatuste ja varasemate leidude alusel.

DORA Article 24 kehtestab digitaalse tegevuskerksuse testimisprogrammi. Article 25 kirjeldab erinevaid teste, sealhulgas haavatavuste hindamisi ja skaneerimisi, avatud lähtekoodi analüüse, võrguturbe hindamisi, lünkade analüüse, füüsilise turbe läbivaatuseid, küsimustikke, tarkvaralisi skaneerimislahendusi, võimaluse korral lähtekoodi läbivaatusi, stsenaariumipõhiseid teste, ühilduvusteste, jõudlusteste, otsast lõpuni teste ja läbistusteste. Article 26 lisab pädevate asutuste määratud finantsüksustele ohupõhise läbistustestimise.

Enamiku organisatsioonide jaoks põhineb praktiline kataloog neljal testiperekonnal.

Clarysec’i turbetestimise ja punase tiimi harjutuste poliitika annab sellele kataloogile tugeva poliitilise aluse:

“Testide tüübid: turbetestimise programm peab hõlmama vähemalt järgmist: (a) haavatavuste skaneerimine, mis seisneb võrkude ja rakenduste automatiseeritud iganädalastes või igakuistes skaneerimistes teadaolevate haavatavuste tuvastamiseks; (b) läbistustestimine, mis seisneb konkreetsete süsteemide või rakenduste käsitsi ja süvitsi testimises kvalifitseeritud testijate poolt keerukate nõrkuste tuvastamiseks; ning (c) punase tiimi harjutused, mis seisnevad tegelike rünnete stsenaariumipõhistes simulatsioonides, sealhulgas sotsiaalse manipulatsiooni ja muude taktikate kasutamises, et testida organisatsiooni tuvastus- ja reageerimisvõimet tervikuna.”

Sama poliitika nõuab regulaarset ajakava:

“Testimisgraafik: organisatsioon peab tegema turbetestimist regulaarse ajakava alusel. Peamised internetile avatud süsteemid ja kriitilised sisemised rakendused peavad läbima läbistustestimise vähemalt kord aastas. Kõrge riskiga muudatused, näiteks uue kriitilise süsteemi juurutamine või suuremahulised uuendused, nõuavad vajaduspõhist testimist enne tootmiskeskkonda kasutuselevõttu ja/või vahetult pärast seda.”

See on DORA jaoks kriitiline. Staatilisest aastaplaanist ei piisa, kui üksus juurutab uue makselüüsi, migreerib põhisüsteemi pilve, vahetab hallatud teenusepakkujat või avaldab uue kliendi autentimise voo. Kõrge riskiga muudatus peab käivitama täiendava testimise.

Koosta iga-aastane testikataloog ühtse tõeallikana

Kõige tõhusam viis DORA ja ISO/IEC 27001:2022 nõuete täitmiseks on luua üks kontrollitud iga-aastane testikataloog. See võib paikneda GRC-platvormil, piletihalduse töövoos või kontrollitud tabelis. Vorming on vähem oluline kui jälgitavus.

Iga test peab vastama viiele auditi küsimusele:

1. Millist teenust, vara, tarnijat, rakendust või protsessi testiti?
2. Milline risk, kohustus või kontrollimeetme nõue testi käivitas?
3. Kes testi autoriseeris ja teostas?
4. Millised leiud tuvastati, aktsepteeriti, kõrvaldati või edasi lükati?
5. Milline tõendusmaterjal tõendab, et test toimus ja tulemus vaadati läbi?

Praktiline Clarysec’i stiilis kataloog sisaldab järgmisi välju.

Clarysec’i auditi ja vastavusseire poliitika VKE-dele annab selle struktuuriga sobiva lühikese juhtimisreegli:

“Igal auditil peab olema määratletud kohaldamisala, eesmärgid, vastutav personal ja nõutav tõendusmaterjal.”

Kuigi see on kirjutatud auditite jaoks, peab sama reegel kehtima tegevuskerksuse testidele. Kui haavatavusskaneeringul, lauaõppusel, ümberlülituse simulatsioonil või läbistustestil puudub määratletud kohaldamisala, eesmärk, omanik ja nõutav tõendusmaterjal, on see nii DORA kui ka ISO auditi kontrollis nõrk.

Sama poliitika sätestab:

“Tõendusmaterjali tuleb säilitada vähemalt kaks aastat või kauem, kui seda nõuavad sertifitseerimis- või kliendilepingud.”

DORA alusel reguleeritud finantsüksuste ja IKT-teenuseosutajate puhul tuleb kahte aastat käsitleda miinimumina. Lepingulised kohustused, järelevalveasutuste ootused, sertifitseerimistsüklid ja intsidentide uurimised võivad nõuda pikemat säilitamist.

Seo DORA testitüübid ISO 27001 tõendusmaterjaliga

Integreeritud programmi tugevus seisneb selles, et üks test võib täita mitut kohustust. Võti on tõendusmaterjali korrektne märgendamine ja selle sidumine ISMS-iga.

Zenith Blueprint selgitab seda auditi, läbivaatuse ja täiustamise etapis, sammus 24:

“Teie SoA peab olema kooskõlas riskiregistri ja riskikäsitluse plaaniga. Kontrollige veel kord, et iga kontrollimeede, mille valisite riskikäsitluseks, oleks SoA-s märgitud „kohaldatavaks“.”

DORA testimisprogrammis saab testikataloogist sild riskikäsitluse ja tegevusliku tõendusmaterjali vahel. Kohaldatavusdeklaratsioon ei tohi öelda, et kontrollimeede kohaldub, samal ajal kui testimise tõendusmaterjal asub mujal, kaardistamata ja haldamata.

See tabel aitab infoturbejuhil vastata tegevjuhi tavapärasele küsimusele: “Kas meie ISO läbistustestidest ja haavatavusskaneeringutest piisab DORA jaoks?”

Vastus on: need võivad olla osa DORA nõuetele vastavusest, kuid ainult siis, kui need on riskipõhised, seotud kriitiliste või oluliste funktsioonidega, juhitud poliitikaga, jälgitud parandusmeetmete kaudu ning raporteeritud juhtkonnale.

Haavatavuste hindamine: pidev tõendusmaterjal, mitte ainult skaneerimisväljund

Haavatavuste hindamine on sageli lihtsaim testimistegevus, mida teha, ja lihtsaim, mida valesti hallata. Paljud organisatsioonid suudavad esitada skaneerimisaruandeid. Vähemad suudavad tõendada, et skaneeringud katavad õiged varad, prioritiseerivad kriitilisi teenuseid, loovad õigeaegseid parandusmeetmeid ja toetavad riskikäsitluse otsuseid.

Clarysec’i haavatavuste ja paikade halduse poliitika VKE-dele alustab õige eesmärgiga:

“Tuvastada ja hinnata teadaolevaid haavatavusi kõigis IT-varades õigeaegselt ja järjepidevalt.”

DORA jaoks toetab see IKT-riskiallikate tuvastamist, vastupidavaid ja ajakohastatud süsteeme, seiret, anomaaliatuvastust ja pidevat täiustamist. ISO/IEC 27001:2022 puhul kaardistub see otse punktile 8.8 Tehniliste haavatavuste haldus ning tugineb ka punktidele 5.9 Teabe ja muude seotud varade register, 8.16 Seiretegevused ja 8.32 Muudatuste juhtimine.

Tugev haavatavuste hindamise kirje peab sisaldama:

• kohaldamisala määramiseks kasutatud varade registri väljavõtet;
• skaneerimise kuupäeva, tööriista ja autentitud või autentimata meetodit;
• välistusi ja ärilist põhjendust;
• leide tõsiduse, ärakasutatavuse ja äriteenuse lõikes;
• kaardistust kriitiliste või oluliste funktsioonide ja andmetüüpidega;
• piletiviiteid ja riskiomanikku;
• parandusmeetmete SLA-d ja tähtaega;
• kordustestimise tulemust;
• erandeid koos jääkriski heakskiiduga.

Zenith Controls käsitleb punkti 8.8 Tehniliste haavatavuste haldus keskse tõendusvaldkonnana tuvastamise, hindamise, prioritiseerimise ja parandusmeetmete jälgimise jaoks. See näitab ka, miks audiitorid testivad külgnevaid protsesse. Kui varade register on puudulik, on puudulik ka haavatavuste katvus. Kui muudatuste juhtimisest minnakse mööda, võib paikade juurutamine luua uue tegevusriski. Kui seire on nõrk, ei pruugita ärakasutamiskatseid tuvastada.

Stsenaariumitestid: tõenda otsustamist enne pärisintsidenti

Stsenaariumitestid on koht, kus operatsiooniline toimepidevus muutub tippjuhtidele nähtavaks. Lunavara lauaõppus, pilvepiirkonna katkestuse simulatsioon, privilegeeritud juurdepääsu kompromiteerimise õppus või kriitilise IKT-teenuseosutaja tõrke stsenaarium paljastab nõrkusi, mida skaneering tuvastada ei saa.

DORA Articles 17 to 20 nõuavad ametlikku IKT-ga seotud intsidendi elutsüklit: tuvastada, hallata, teavitada, registreerida, seirata, käsitleda, teha järeltegevusi, dokumenteerida algpõhjus, rakendada parandusmeetmeid, klassifitseerida tõsidus, määrata rollid, eskaleerida olulised intsidendid ning raporteerida nõutud etappides. Kui mõjutatud on klientide finantshuvid, tuleb kliente teavitada põhjendamatu viivituseta.

NIS2 sisaldab samasugust kiireloomulisust selle kohaldamisalasse kuuluvate üksuste jaoks, sealhulgas varajane hoiatus, teavitus, vahearuandlus ja lõpparuandlus. Kohaldamisalasse kuuluvate finantsüksuste puhul on DORA valdkonnapõhine õigusakt samaväärsete küberturvalisuse riskijuhtimise ja aruandluskohustuste jaoks. IKT-teenuseosutajad, SaaS-platvormid, MSP-d ja MSSP-d peavad siiski kontrollima, kas nad kuuluvad otse NIS2 kohaldamisalasse või on reguleeritud klientide kaudu lepinguliselt kaasatud DORA kindlusnõuetesse.

Zenith Blueprint, kontrollimeetmete rakendamise etapp, samm 23, annab praktilise tõendusmudeli:

“Valige hiljutine sündmus või viige plaani valideerimiseks läbi lauaõppus. Salvestage ja logige kõik otsused, rollid ja kommunikatsioon (5.26) ning uuendage plaani õppetundide põhjal (5.27).”

DORA stsenaariumitest peab andma auditiks sobivad kirjed, mitte ainult koosolekumärkmed:

• stsenaariumi lühikirjeldus ja eesmärgid;
• osalejad ja rollid, sealhulgas õigus, kommunikatsioon, IT, SOC, ettevõtte omanik ja tarnijakontaktid;
• süstikute ja otsuste ajajoon;
• klassifitseerimisotsus ja aruandluslävendi analüüs;
• sisemise ja välise kommunikatsiooni mustandid;
• tõendusmaterjali säilitamise tegevused;
• õppetunnid;
• tegevuste omanikud ja tähtajad;
• uuendatud intsidendi-, talitluspidevuse või kommunikatsiooniprotseduurid.

Clarysec’i talitluspidevuse ja katastroofitaaste poliitika VKE-dele kinnitab iga-aastase testimise ootust:

“Organisatsioon peab testima nii oma BCP kui ka DR võimekust vähemalt kord aastas. Testid peavad hõlmama järgmist:”

Testikataloog peab selle kohustuse tõlkima konkreetseteks õppusteks, näiteks kriisijuhtimise lauaõppuseks, varukoopia taastamistestiks, pilve ümberlülitustestiks, kontaktipuu testiks ja tarnijahäire simulatsiooniks.

Jõudlus-, mahutavus- ja taastetestid: alahinnatud tegevuskerksuse tõendusmaterjal

Jõudlustestimist käsitletakse sageli arendustehnilise küsimusena. DORA alusel muutub see tegevuskerksuse tõendusmaterjaliks.

Kauplemisplatvorm, makseteenus, kahjukäsitlussüsteem, identiteediplatvorm või kliendiportaal ei vaja klientide teenindamise ebaõnnestumiseks küberrünnakut. Mahutavuse ammendumine, järjekorra küllastumine, andmebaasi kitsaskohad, valesti seadistatud automaatne skaleerimine või rikkis ümberlülitus võivad tekitada sama tegevushäire kui turbeintsident.

ISO/IEC 27001:2022 lisa A 8.6 Mahutavushaldus on peamine ankur. Tõendusmaterjal võib hõlmata koormustestimist, stressitestimist, teenuse kvaliteedi halvenemise testimist, taristu lävendite valideerimist, varukoopia taastamisteste ja ümberlülituse simulatsioone.

Hea jõudlus- ja mahutavustesti kirje peab kajastama:

• tavakoormuse ja tippkoormuse lähte-eeldusi;
• testitud kriitilisi tehinguteekondi;
• testitud taristu- ja pilvepiiranguid;
• seire juhtpaneele ja teavitamislävendeid;
• tõrkerežiime, näiteks järjekorra küllastumist või andmebaasi kitsaskohti;
• RTO ja RPO asjakohasust juhul, kui testitakse ümberlülitust või taastet;
• ärimõju lävendite ületamisel;
• parandusmeetmeid, skaleerimisotsuseid või arhitektuurimuudatusi;
• juhtkonna aktsepteeringut jääkmahutavusriski kohta.

Zenith Blueprint, samm 23, seob taastamise ootused tõendusmaterjaliga:

“Kontrollige, et kriitiliste süsteemide taasteaja eesmärgid (RTO) ja taastepunkti eesmärgid (RPO) oleksid kooskõlas talitluspidevuse ootustega (5.30). Viige läbi vähemalt üks tehniline taastamistest või ümberlülituse simulatsioon ja dokumenteerige tulemused.”

See on erinevus väite “meil on varukoopiad” ja tõenduse vahel, et kriitiline teenus taastati kokkulepitud taluvuse piires, dokumenteeritud tulemuste ja juhtkonnale nähtavusega.

Läbistustestimine ja punase tiimi testimine: tugev tõendusmaterjal vajab tugevat kontrolli

Läbistustestimine on väga väärtuslik tõendusmaterjal, kuid sellega kaasneb ka tegevusrisk. Halvasti juhitud testimine võib mõjutada tootmiskeskkonna süsteeme, paljastada tundlikku teavet, käivitada kontrollimatuid häireid, tekitada õiguslikke probleeme või häirida kliente.

Rakendusturbe nõuete poliitika VKE-dele seab selge väljalaskevärava:

“Enne juurutamist peavad kõik rakendused läbima turbetestimise, et kontrollida eespool loetletud baastaseme funktsioonide olemasolu.”

Kriitiliste rakenduste puhul peab see toitma DORA kataloogi eelproduktsiooni turbetestimisena, tootmiskeskkonda kasutuselevõtu järgse valideerimisena kõrge riskiga muudatuste puhul ning perioodilise läbistustestimisena kokkupuute ja kriitilisuse alusel.

Turbetestimise ja punase tiimi harjutuste poliitika tugevdab parandusmeetmete ahelat:

“Leidude kõrvaldamine: kõik tuvastatud haavatavused või nõrkused tuleb dokumenteerida leidude aruandes koos tõsiduse hinnangutega. Aruande kättesaamisel vastutavad süsteemiomanikud parandusmeetmete plaani koostamise eest koos tähtaegadega; näiteks tuleb kriitilised leiud kõrvaldada 30 päeva jooksul ja kõrge tõsidusega leiud 60 päeva jooksul kooskõlas organisatsiooni haavatavuste ja paikade halduse poliitikaga. STC peab jälgima parandusmeetmete edenemist. Kordustestimine tuleb teha kinnitamaks, et kriitilised probleemid on lahendatud või piisavalt leevendatud.”

Sama poliitika määratleb aruandluse ootused:

“Aruandlus: iga testi lõpus tuleb väljastada ametlik aruanne. Läbistustestimise puhul peab aruanne sisaldama juhtkonna kokkuvõtet, metoodikat ning üksikasjalikke leide koos toetava tõendusmaterjali ja soovitustega.”

Zenith Blueprint, samm 21, rõhutab ka kaitset auditi ja testimise ajal:

“Ükski test ega audit ei tohi alata ilma süsteemiomanike või asjakohaste sidusrühmade dokumenteeritud heakskiiduta.”

Tegutsemisreeglid, testi ajaknad, hädaolukorra kontaktid, ajutine juurdepääs, andmete käitlemine, logimine, tagasipööramise protseduurid ja õiguslikud heakskiidud ei ole bürokraatia. Need on tegevuskerksuse kaitsemeetmed.

Kaasa kolmandast isikust IKT-teenuseosutajad enne, kui test ebaõnnestub

DORA muudab IKT kolmanda isiku riski keskseks tegevuskerksuse küsimuseks. Article 28 nõuab, et finantsüksused juhiksid IKT kolmanda isiku riski IKT-riski juhtimise raamistiku osana, jääksid IKT-teenuste kasutamisel vastutavaks, peaksid teaberegistrit, raporteeriksid teatud kokkulepetest, teeksid lepingueelseid hindamisi ning kasutaksid teenuseosutajaid, kes vastavad asjakohastele infoturbe standarditele. Articles 29 ja 30 käsitlevad kontsentratsiooniriski, teenuste alltöövõttu, andmete taastamist, lepingulisi kaitsemeetmeid, teenustasemeid, intsidendiabi, auditeerimisõigusi, teenuseosutaja talitluspidevuse testimist, osalemist testimises asjakohastel juhtudel ning väljumiskorraldusi.

ISO/IEC 27001:2022 lisa A sisaldab toetavaid tarnijakontrolle, sealhulgas 5.19 Infoturve tarnijasuhetes, 5.20 Infoturbe käsitlemine tarnijalepingutes, 5.21 Infoturbe juhtimine IKT tarneahelas, 5.22 Tarnijate teenuste seire, läbivaatamine ja muudatuste juhtimine ning 5.23 Infoturve pilveteenuste kasutamisel.

DORA testikataloog peab tuvastama, millised testid nõuavad tarnija osalemist või tarnija tõendusmaterjali. Näited:

• pilveteenuse pakkuja ümberlülituse eeldused;
• hallatud SOC-i eskaleerimine ja tõendusmaterjali säilitamine;
• põhilise pangandusplatvormi intsidendikommunikatsioon;
• maksetöötleja katkestuse stsenaarium;
• identiteedipakkuja taastamistest;
• SaaS-tarnija läbistustestimise kinnitused;
• kriitilise alltöövõtuahela mõju hindamine.

Programm, mis jätab kriitilised IKT-teenuseosutajad välja, ei läbi tegelikkuse testi. Kliendile suunatud teenus võib kuuluda teile, kuid tegevuskerksuse sõltuvus võib asuda pilvepiirkonnas, sisseostetud SOC-is, identiteedipakkuja juures, tarkvaratarnija juures, maksetöötleja juures või andmekeskuses.

Ristvastavuse kaardistus: üks tõendusmaterjali kogum, mitu kohustust

Hästi kujundatud DORA testimisprogramm vähendab auditiväsimust. Sama tõendusmaterjal võib toetada DORA, ISO/IEC 27001:2022, NIS2, GDPR, NIST CSF 2.0 ja COBIT 2019 juhtimise ülevaatusi, kui see on korrektselt märgendatud, säilitatud ja raporteeritud.

GDPR-i ei tohi unustada. Kui tegevuskerksuse testid hõlmavad isikuandmeid, logisid, kliendikirjeid, identiteediandmeid, HR-andmeid, biomeetriat või eriliiki andmeid, peab organisatsioon järgima GDPR-i põhimõtteid, sealhulgas seaduslikkust, õiglust, läbipaistvust, andmete minimaalsust, säilitamise piirangut, terviklust, konfidentsiaalsust ja vastutust. Testandmete koopiad, eksporditud logid ja läbistustesti tõendusmaterjal võivad muutuda reguleeritud andmete hoidlateks. Testimisprogramm peab määratlema, kes võib neile juurde pääseda, kui kaua neid säilitatakse ja kuidas need turvaliselt kõrvaldatakse.

Kuidas audiitorid sama programmi testivad

DORA järelevalveasutus, ISO audiitor, NIST-põhine hindaja, COBIT läbivaataja ja kliendiaudiitor võivad kontrollida sama tõendusmaterjali eri vaatenurkadest.

Zenith Controls on siin kasulik ristvastavuse kompass. DORA testimise puhul toob Clarysec eriti oluliste ISO/IEC 27001:2022 lisa A ankrutena esile punktid 5.35 Infoturbe sõltumatu läbivaatus, 8.8 Tehniliste haavatavuste haldus ja 8.6 Mahutavushaldus. Need aitavad kontrollimeetmete omanikel siduda testimist sõltumatu kindluse, haavatavuste käsitlemise ja tegevusliku mahutavusega.

Clarysec’i infoturbepoliitika toetab samuti auditijälge:

“Kontrollimeetmete omanikud peavad säilitama testitulemused, logid ja läbivaatuse kirjed perioodiliste auditite toetamiseks.”

Sellest lausest peab saama tegevusreegel. Iga testi omanik peab teadma, mida säilitada, kus seda säilitada, kuidas seda kaitsta ning kuidas see seostub riski- ja kontrollitõendusmaterjaliga.

Koosta DORA ja ISO tõenduspakett ühe nädalaga

Finantsüksus või IKT-teenuseosutaja saab viie tööpäevaga teha märkimisväärseid edusamme.

1. päev: määratle kohaldamisala ja kriitilisus

Kasuta ISO/IEC 27001:2022 punktide 4.1 kuni 4.4 loogikat. Tuvasta huvitatud osapooled, regulatiivsed kohustused, lepingulised kohustused, liidesed ja sõltuvused. Loetle äriteenused, kriitilised või olulised funktsioonid, peamised varad, andmetüübid ja IKT-teenuseosutajad.

Väljund: DORA testimise kohaldamisala register.

2. päev: loo iga-aastane testikataloog

Kasuta nelja testiperekonda: haavatavused, stsenaariumid, jõudlus ja läbistustestimine. Määra iga teenuse jaoks kohaldatavad testid, sagedus, omanik, sõltumatuse tase ja käivitaja. Kaasa kõrge riskiga muudatuste käivitajad.

Väljund: 2026. aasta digitaalse tegevuskerksuse testikataloog.

3. päev: kaardista kontrollimeetmed ja kohustused

Kaardista iga test ISO/IEC 27001:2022 lisa A, riskiregistri, SoA, DORA artiklite, tarnijakohustuste ja asjakohaste Zenith Controls kannetega. Näiteks igakuised välised haavatavusskaneeringud kaardistuvad punktile 8.8 Tehniliste haavatavuste haldus, riskikäsitlusele, seirele, DORA IKT-riski juhtimisele ja NIST CSF haavatavuste tulemustele.

Väljund: kontrollimeetmete kaardistusmaatriks.

4. päev: standardiseeri tõendusmaterjali kaustad

Loo kontrollitud tõendusmaterjali struktuur:

• 01 Plaan ja autoriseerimine
• 02 Kohaldamisala ja tegutsemisreeglid
• 03 Toortulemused
• 04 Lõpparuanne
• 05 Leidude register
• 06 Parandusmeetmete piletid
• 07 Kordustestimise tõendusmaterjal
• 08 Juhtkonna aruandlus
• 09 Õppetunnid ja poliitikauuendused

Väljund: tõendusmaterjali hoidla koos säilitamisreeglitega.

5. päev: vaata leiud ja aruandlus läbi

Koonda avatud leiud tõsiduse, teenuse, riskiomaniku ja tähtaja lõikes. Tuvasta tähtaja ületanud parandusmeetmed, aktsepteeritud riskid ja kordustestimise lüngad. Koosta juhtorganile juhtpaneel, mis näitab testikattuvust, olulisi leide, tähtaja ületanud tegevusi, kolmandate isikutega seotud probleeme ja jääkriski.

Väljund: juhatusele valmis DORA ja ISO testimise juhtpaneel.

Levinud DORA testimisprogrammi vead

Kõige tavalisem ebaõnnestumine ei ole testimise puudumine. See on juhtimise puudumine.

Pööra tähelepanu järgmistele probleemidele:

• läbistusteste tehakse kord aastas, kuid leide ei jälgita sulgemiseni;
• haavatavusskaneeringuid tehakse sageli, kuid kriitilised varad puuduvad kohaldamisalast;
• lauaõppusi peetakse, kuid otsustelogi või õppetundide tegevuskava puudub;
• varukoopiate taastamistestid on tehtud, kuid neid ei ole seostatud RTO ja RPO-ga;
• koormusteste teeb arendusmeeskond, kuid tulemusi ei raporteerita riski- ega vastavusfunktsioonile;
• IKT-teenuseosutajad jäetakse stsenaariumi- ja taastetestidest välja;
• tõendusmaterjal on isiklikes kaustades, vestluslõimedes või haldamata ketastel;
• juhatuse aruanded keskenduvad tegevuste arvule, mitte lahendamata tegevuskerksuse riskile;
• SoA ütleb, et kontrollimeede kohaldub, kuid testimise tõendusmaterjal puudub;
• testimine tekitab tootmiskeskkonna riski, sest autoriseerimine ja piirid on ebaselged.

Iga lünk on lahendatav. Parandus ei ole rohkem juhuslikku testimist. Parandus on üks kontrollitud programm, mis seob riski, testimistegevuse, parandusmeetmed, tõendusmaterjali ja juhtkonna järelevalve.

Mida juhatus tegelikult nägema peab

DORA muudab IKT tegevuskerksuse juhtorgani vastutuseks. Kasulik juhatuse aruanne ei pea sisaldama iga tehnilist leidu. See peab vastama, kas organisatsioon on oma riskivalmiduse ja häiretaluvuse suhtes piisavalt tegevuskerks.

Tugev kvartali- või poolaastaaruanne sisaldab:

• testikattuvust kriitiliste või oluliste funktsioonide suhtes;
• lõpetatud ja planeeritud testide võrdlust;
• kriitilisi ja kõrge tõsidusega leide teenuste lõikes;
• tähtaja ületanud parandusmeetmeid omanike lõikes;
• kordustestimise läbimismäära;
• tarnijatega seotud leide ja kontsentratsioonimuresid;
• stsenaariumitestide õppetunde, mis mõjutavad kriisi- või intsidendiplaane;
• mahutavusriske ärikasvu ja tippperioodide suhtes;
• jääkriske, mis nõuavad juhtkonna aktsepteerimist;
• eelarve-, ressursi- või tööriistapiiranguid.

Sellest aruandest saab ISO juhtkonnapoolse läbivaatuse sisend, DORA juhtimistõendusmaterjal ja praktiline otsustustööriist.

Hajutatud testidest strateegilise tegevuskerksuseni

Infoturbejuhi algne probleem ei olnud see, et testimine puudus. Organisatsioonil olid skaneeringud, lauaõppused, koormusaruanded ja läbistustestide PDF-id. Probleem oli selles, et need tegevused ei jutustanud veel üht sidusat tõenduslugu.

Ühtne DORA ja ISO/IEC 27001:2022 testimisprogramm muudab seda. Riskihindamine juhib kataloogi. Kataloog juhib autoriseeritud testimist. Testimine toodab leiud. Leiud juhivad parandusmeetmeid ja kordustestimist. Tulemused jõuavad juhtkonna aruandlusse. Õppetunnid uuendavad poliitikaid, protseduure, lepinguid ja kontrollimeetmeid.

Nii muutub vastavuskoormus strateegiliseks võimekuseks.

Clarysec aitab organisatsioonidel vältida paralleelseid vastavusprogramme. DORA, ISO/IEC 27001:2022, NIS2, GDPR, NIST CSF 2.0 ja COBIT 2019 ei vaja eraldi tõendusmaterjali universumeid. Need vajavad üht juhitud toimemudelit, mida saab esitada eri auditi vaatenurkadest.

Meie lähenemine ühendab:

• Zenith Blueprint etappide kaupa ISO rakendamiseks ja auditiks valmisoleku saavutamiseks;
• Zenith Controls kontrollimeetmete, raamistike ja auditi ootuste ristvastavuse kaardistamiseks;
• ettevõtte ja VKE poliitikad turbetestimise, auditiseire, haavatavuste halduse, rakendusturbe, talitluspidevuse ja infoturbe jaoks;
• praktilised registrid, tõendusmaterjali struktuurid ja juhtkonna aruandluse mallid.

Kui teie 2026. aasta DORA testimise tõendusmaterjal on hajutatud skaneerimisvahendite, arenduskaustade, lauaõppuste märkmete ja läbistustestide PDF-ide vahel, on nüüd aeg see koondada.

Alustage ühest iga-aastasest testikataloogist, mis on kaardistatud ISO/IEC 27001:2022 riskikäsitluse, teie SoA, kriitiliste või oluliste funktsioonide, kolmandast isikust IKT-teenuseosutajate ja juhtkonna aruandlusega. Seejärel kasutage Clarysec’i Zenith Blueprint, Zenith Controls ja poliitikate tööriistakomplekti, et muuta see kataloog kaitstavaks audititõendusmaterjaliks.

Clarysec saab aidata teil programmi kujundada, kontrollimeetmeid kaardistada, tõenduspaketti struktureerida ja valmistada ette juhatuse tasandi tegevuskerksuse aruande enne järgmise järelevalvepäringu saabumist.