DORA TLPT tõendusmaterjal ISO 27001 kontrollimeetmete lõikes

Esmaspäeva hommikul kell 07.40 vaatab keskmise suurusega makseasutuse infoturbejuht sama ebamugava küsimuse kolme versiooni.

Juhatus tahab teada, kas organisatsioon suudab üle elada lunavara põhjustatud katkestuse kliendi makseportaalis. Regulaator tahab tõendusmaterjali, et digitaalse tegevuskerksuse testimine ei ole PowerPointi-harjutus. Siseaudit tahab selget jälge DORA kohustustest IKT-riskini, ISO 27001 kontrollimeetmeteni, testitulemusteni, parandusmeetmete plaanideni, tarnijate tõendusmaterjalini ja juhtkonna kinnitusteni.

Infoturbejuhil on red team’i aruanne. SOC-il on teavituste ekraanitõmmised. Taristumeeskonnal on varukoopiast taastamise logi. Õigusosakonnal on DORA valmisoleku jälgimise töövahend. Hankeüksusel on pilveteenuse pakkujate vastavuskinnitused.

Need ei ole omavahel seotud.

Just siin ebaõnnestuvad paljud DORA TLPT ja tegevuskerksuse testimise programmid. Mitte sellepärast, et testimine oleks nõrk, vaid sellepärast, et tõendusmaterjal on killustatud. Kui audiitor küsib: „Näidake, kuidas see test tõendab kriitilise või olulise funktsiooni tegevuskerksust“, ei saa vastuseks olla ekraanitõmmistega kaust. Vastus peab olema kaitstav tõendusahel.

See ahel on koht, kus ISO/IEC 27001:2022-ga kooskõlas olev ISMS ISO/IEC 27001:2022 muutub mõjusaks. ISO 27001 annab struktuuri kohaldamisalale, riskihindamisele, kontrollimeetmete valikule, kohaldatavusdeklaratsioonile, operatiivsele ohjele, siseauditile, juhtkonna ülevaatusele ja pidevale täiustamisele. DORA lisab sektoripõhise surve. Clarysec metoodika ja ristvastavuse tööriistad seovad need üheks auditivalmis tõendusmudeliks.

DORA TLPT on juhtimistest, mitte ainult ründesimulatsioon

Ohuteabel põhinevat läbistustestimist ehk TLPT-d on lihtne valesti mõista. Tehniliselt võib see paista keeruka red team’i harjutusena: ohuteave, realistlikud ründeteed, varjatud tegutsemine, ärakasutuskatsed, lateraalse liikumise stsenaariumid ja blue team’i reageerimise valideerimine.

DORA vaates on sügavam küsimus digitaalne tegevuskerksus. Kas finantsüksus suudab vastu pidada tõsisele IKT-häirele, mis mõjutab äriprotsesse, sellele reageerida ja sellest taastuda? Kas ta suudab tõendada, et kriitilised või olulised funktsioonid püsivad mõjupiirides? Kas juhtkond suudab näidata, et IKT-risk on juhitud, rahastatud, testitud, parandatud ja täiustatud?

DORA Article 1 kehtestab ühtse EL-i raamistiku finantsüksuste äriprotsesse toetavate võrgu- ja infosüsteemide turvalisusele. See hõlmab IKT-riski juhtimist, olulistest IKT-ga seotud intsidentidest teatamist, digitaalse tegevuskerksuse testimist, IKT kolmandate osapoolte riskijuhtimist, kohustuslikke IKT-tarnijate lepingunõudeid, kriitiliste IKT kolmandast isikust teenuseosutajate järelevalvet ja järelevalveasutuste koostööd. DORA kohaldub alates 17. jaanuarist 2025.

Organisatsioonide puhul, kellele kohaldub ka NIS2, toimib DORA kattuvate küberturbenõuete osas sektoripõhise liidu õigusaktina. Praktikas tähendab see, et finantsüksused peaksid kattuvate režiimide korral lähtuma IKT-riski juhtimise, intsidentidest teatamise, testimise ja IKT kolmandate osapoolte riskide osas DORA nõuetest, mõistes samal ajal NIS2 ootusi kontsernistruktuuride, tarnijate ja mittefinantsiliste digiteenuste suhtes.

DORA asetab vastutuse ka tippu. Article 5 nõuab, et juhtorgan määratleks, kinnitaks, kontrolliks ja rakendaks IKT-riskijuhtimise raamistiku. See hõlmab digitaalse tegevuskerksuse strateegiat, IKT talitluspidevuse poliitikat, reageerimis- ja taasteplaane, auditiplaane, eelarveid, IKT kolmandate osapoolte poliitikaid, teavituskanaleid ning piisavaid IKT-riskiteadmisi regulaarse koolituse kaudu.

Seega ei ole auditi küsimus lihtsalt: „Kas te viisite TLPT läbi?“

Küsimused on järgmised:

• Kas TLPT oli seotud kriitiliste või oluliste funktsioonidega?
• Kas see oli autoriseeritud, piiritletud, ohutu ja riskihinnatud?
• Kas tarnijad, pilvesõltuvused ja allhanke korras osutatavad IKT-teenused kaasati seal, kus see oli asjakohane?
• Kas test tekitas tõendusmaterjali tuvastamise, reageerimise, taastamise ja õppetundide kohta?
• Kas leiud muudeti riskikäsitluseks, jälgitavateks parandusmeetmeteks, kordustestimiseks ja juhtkonna aruandluseks?
• Kas kohaldatavusdeklaratsioon selgitas, millised ISO 27001 lisa A kontrollimeetmed valiti riski juhtimiseks?

Seetõttu käsitleb Clarysec DORA TLPT tõendusmaterjali ISMS-i tõendusmaterjali küsimusena, mitte ainult läbistustestimise üleantava tulemina.

Ehita ISO 27001 tõendusmaterjali selgroog enne testi algust

ISO 27001 nõuab, et organisatsioon kehtestaks, rakendaks, hoiaks toimivana ja täiustaks pidevalt ISMS-i, mis säilitab konfidentsiaalsuse, tervikluse ja käideldavuse riskijuhtimise protsessi kaudu. Punktid 4.1 kuni 4.4 nõuavad, et organisatsioon mõistaks sisemisi ja väliseid asjaolusid, huvitatud osapooli, õiguslikke ja regulatiivseid kohustusi, liideseid ja sõltuvusi ning dokumenteeriks seejärel ISMS-i kohaldamisala.

DORA-ga reguleeritud üksuse puhul peab kohaldamisala määratlus selgelt hõlmama kriitilisi või olulisi funktsioone, IKT-varasid, pilveplatvorme, allhanketegevusi, maksesüsteeme, kliendiportaale, identiteediteenuseid, logimisplatvorme, taastekeskkondi ja IKT kolmandast isikust teenuseosutajaid. Kui TLPT kohaldamisala ei seostu tagasi ISMS-i kohaldamisalaga, on auditijälg juba nõrk.

ISO 27001 punktid 6.1.1, 6.1.2 ja 6.1.3 koos punktidega 8.2 ja 8.3 nõuavad riskihindamise ja riskikäsitluse protsessi. Riskid tuleb tuvastada konfidentsiaalsuse, tervikluse ja käideldavuse suhtes. Riskiomanikud tuleb määrata. Tõenäosust ja mõju tuleb hinnata. Kontrollimeetmed tuleb valida ja võrrelda lisa A-ga. Jääkriski peavad aktsepteerima riskiomanikud.

See on sild DORA ja auditivalmis testimise vahel.

Clarysec Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint kirjeldab riskijuhtimise etapi sammus 13 seda jälgitavuse rolli selgelt:

SoA on sisuliselt silddokument: see seob teie riskihindamise ja riskikäsitluse tegelike kontrollimeetmetega, mis teil olemas on. Selle täitmisega kontrollite ühtlasi, kas mõni kontrollimeede jäi märkamata.

DORA TLPT puhul ei tohiks kohaldatavusdeklaratsioon olla staatiline sertifitseerimisartefakt. See peab selgitama, miks sellised kontrollimeetmed nagu tarnijaturve, intsidendihaldus, IKT valmisolek talitluspidevuseks, logimine, seire, tehniline haavatavuste haldus, varukoopiad, turvaline arendus ja turbetestimine on tegevuskerksuse stsenaariumi suhtes kohaldatavad.

Praktiline riskistsenaarium võiks olla järgmine:

„Privilegeeritud identiteedipakkuja autentimisandmete kompromiteerimine võimaldab ründajal pääseda maksetöötluse haldussüsteemidesse, muuta marsruutimise konfiguratsioone ja häirida kriitilist maksefunktsiooni, põhjustades teenusekatkestuse, regulatiivsed teatamiskohustused, kahju klientidele ja mainekahju.“

See üks stsenaarium võib määrata TLPT kohaldamisala, tuvastuse kasutusjuhud, tarnijate kaasamise, taasteõppuse, juhatuse aruandluse ja tõendusmaterjali kogumi.

Zenith Blueprint soovitab teha regulatiivse jälgitavuse samuti selgesõnaliseks:

Viidake regulatsioonidele ristviidetega: kui teatud kontrollimeetmed on rakendatud spetsiaalselt GDPR, NIS2 või DORA nõuete täitmiseks, võite selle märkida kas Riskiregistris riskimõju põhjenduse osana või SoA märkustes.

See soovitus on lihtne, kuid muudab auditi vestlust. Selle asemel et öelda audiitorile, et DORA-t võeti arvesse, saab organisatsioon näidata, kus DORA kajastub riskiregistris, SoA-s, testimisprogrammis, poliitikakomplektis ja juhtkonna ülevaatuses.

Kaardista DORA testimine ISO 27001 kontrollimeetmetega, mida audiitorid tunnevad

DORA Article 6 eeldab dokumenteeritud IKT-riski juhtimise raamistikku, mis on integreeritud üldisesse riskijuhtimisse. ISO 27001 lisa A annab kontrollikataloogi, mis muudab selle operatiivseks.

DORA TLPT ja tegevuskerksuse testimise puhul on eriti olulised järgmised ISO/IEC 27001:2022 lisa A kontrollimeetmed:

Clarysec Zenith Controls: The Cross-Compliance Guide Zenith Controls aitab organisatsioonidel vältida nende kontrollimeetmete käsitlemist eraldiseisvate kontrollnimekirja punktidena. See kaardistab ISO/IEC 27002:2022 kontrollimeetmed atribuutide, valdkondade, operatiivsete võimekuste, auditi ootuste ja raamistikülese mustritega.

Näiteks klassifitseerib Zenith Controls ISO/IEC 27002:2022 kontrollimeetme 5.30, IKT valmisolek talitluspidevuseks, „korrigeerivaks“ kontrollimeetmeks, mis on joondatud „käideldavusega“, seotud küberturbe kontseptsiooniga „Respond“ ja paigutatud „Resilience“ valdkonda. See klassifikatsioon on kasulik audiitoritele selgitamisel, miks taasteõppus ei ole pelgalt IT-operatsioon, vaid kontrollikeskkonnas määratletud rolliga tegevuskerksuse kontrollimeede.

Zenith Controls klassifitseerib ka kontrollimeetme 8.29, arenduse ja vastuvõtu turbetestimine, ennetavaks kontrollimeetmeks, mis toetab konfidentsiaalsust, terviklust ja käideldavust ning mille operatiivsed võimekused on rakendusturve, infoturbe kindlustamine ning süsteemi- ja võrguturve. TLPT leidude puhul, mis viitavad rakenduse disaini nõrkusele, ebaturvalisele API käitumisele, nõrgale autentimisvoole või ebapiisavale valideerimisele, on see kontrollitee turvalise arenduse juhtimisse.

Kontrollimeede 5.35, infoturbe sõltumatu läbivaatus, on samuti oluline. See toetab sõltumatut vaidlustamist, juhtimiskindlust ja korrigeerivat parendamist. Sisemised meeskonnad võivad testimist koordineerida, kuid auditivalmis tõendusmaterjal nõuab läbivaatust, eskaleerimist ja järelevalvet väljaspool neid inimesi, kes testitud süsteeme ehitasid või käitasid.

Kaitse süsteemi selle testimise ajal

Üks ohtlik eeldus tegevuskerksuse testimisel on, et testimine on automaatselt hea. Tegelikkuses võib sekkuv testimine põhjustada katkestusi, paljastada tundlikku teavet, saastada logisid, käivitada automaatseid kaitsemeetmeid, katkestada kliendisessioone või panna tarnijad rakendama erakorralisi protseduure.

Clarysec Security Testing and Red-Teaming Policy Security Testing and Red-Teaming Policy annab organisatsioonidele juhtimismustri ohutuks läbiviimiseks. Punkt 6.1 sätestab:

Testide tüübid: turbetestimise programm peab hõlmama vähemalt: (a) haavatavuse skannimist, mis koosneb automatiseeritud iganädalastest või igakuistest võrkude ja rakenduste skannimistest teadaolevate haavatavuste tuvastamiseks; (b) läbistustestimist, mis koosneb konkreetsete süsteemide või rakenduste käsitsi põhjalikust testimisest oskuslike testijate poolt keerukate nõrkuste tuvastamiseks; ning (c) red-teaming harjutusi, mis koosnevad tegelike rünnete stsenaariumipõhistest simulatsioonidest, sealhulgas sotsiaalne manipulatsioon ja muud taktikad, et testida organisatsiooni tuvastus- ja reageerimisvõimekust tervikuna.

TLPT puhul on red-teaming element ilmne, kuid auditi väärtus tuleneb programmi ülesehitusest. Haavatavuse skannimine, läbistustestimine, red team’i harjutused, tegevuskerksuse õppused ja kordustestimine peavad moodustama tsükli, mitte eraldiseisvate testide kogumi.

Sama poliitika punkt 6.2 käsitleb ohutut läbiviimist:

Kohaldamisala ja tegutsemisreeglid: iga testi või harjutuse puhul peab STC määratlema kohaldamisala, sealhulgas kohaldamisalasse kuuluvad süsteemid ja IP-vahemikud, lubatud testimeetodid, eesmärgid, ajastus ja kestus. Tegutsemisreeglid peavad olema dokumenteeritud. Näiteks võib operatiivselt tundlikud süsteemid määrata ainult seiratavateks, et vältida häireid, ning igasugune testimine tootmiskeskkonnas peab sisaldama tagasipööramise ja peatamise protseduure. Tahtmatute teenusekatkestuste vältimiseks tuleb kehtestada ohutusmeetmed, nagu määratletud ajavahemikud ja suhtluskanalid.

See seostub otse Zenith Blueprint etapi Controls in Action sammuga 21, mis keskendub ISO 27001 lisa A kontrollimeetmele 8.34, infosüsteemide kaitsmine auditi testimise ajal. Zenith Blueprint hoiatab, et auditid, läbistustestid, digitaalkriminalistika ülevaatused ja operatiivsed hindamised võivad hõlmata kõrgendatud juurdepääsu, sekkuvaid tööriistu või ajutisi muudatusi süsteemi käitumises. See rõhutab autoriseerimist, kohaldamisala, ajavahemikke, süsteemiomaniku kinnitust, tagasipööramist, seiret ja testandmete turvalist käitlemist.

Auditivalmis tõendusmaterjali pakett peab sisaldama järgmist:

• TLPT lähteülesanne ja eesmärgid
• ohuteabe kokkuvõte ja stsenaariumi põhjendus
• kohaldamisalasse kuuluvad kriitilised või olulised funktsioonid
• kohaldamisalasse kuuluvad süsteemid, IP-vahemikud, identiteedid, tarnijad ja keskkonnad
• välistused ja ainult seiratavad süsteemid
• tegutsemisreeglid
• tootmiskeskkonnas testimise riskihindamine
• tagasipööramise ja peatamise protseduurid
• SOC-i teavitamise mudel, sealhulgas mida avaldatakse ja mida ei avaldata
• õigus-, andmekaitse- ja tarnijakinnitused
• testkontode loomise ja tühistamise tõendusmaterjal
• testimise artefaktide ja logide turvaline hoiukoht

DORA TLPT, mis ei suuda näidata testitegevuse ohutut autoriseerimist ja kontrolli, võib küll paljastada tegevuskerksuse lünki, kuid tekitab samal ajal juhtimislünki.

Muuda TLPT väljund riskikäsitluseks

Kõige tavalisem testijärgne läbikukkumine on red team’i aruande riiulile jäämine. Kvaliteetne aruanne antakse üle, jagatakse laiali, arutatakse läbi ja seejärel kaotab see järk-järgult hoo. Leiud jäävad avatuks. Kompenseerivad kontrollimeetmed ei ole dokumenteeritud. Aktsepteeritud riskid on mitteametlikud. Kordustestimist ei toimu.

Security Testing and Red-Teaming Policy teeb selle vastuvõetamatuks. Punkt 6.6 sätestab:

Leidude kõrvaldamine: kõik tuvastatud haavatavused või nõrkused tuleb dokumenteerida leidude aruandes koos tõsiduse hinnangutega. Aruande kättesaamisel vastutavad süsteemiomanikud parandusmeetmete plaani koostamise eest koos tähtaegadega; näiteks kriitilised leiud tuleb kõrvaldada 30 päeva jooksul ja kõrge tõsidusega leiud 60 päeva jooksul kooskõlas organisatsiooni Vulnerability and Patch Management Policy nõuetega. STC peab jälgima parandusmeetmete edenemist. Kriitiliste probleemide lahendamise või nõuetekohase maandamise kinnitamiseks tuleb teha kordustestimine.

Punkt 6.7 lisab juhtimiskihi:

Aruandlus: iga testi lõpus tuleb koostada ametlik aruanne. Läbistustestimise puhul peab aruanne sisaldama juhtkonna kokkuvõtet, metoodikat ja üksikasjalikke leide koos toetava tõendusmaterjali ja soovitustega. Red-teaming harjutuste puhul peab aruanne kirjeldama stsenaariume, õnnestunud ründeteid, seda, mida blue team tuvastas, ning õppetunde tuvastus- ja reageerimislünkade kohta. CISO peab esitama kokkuvõtlikud tulemused ja parandusmeetmete staatuse kõrgemale juhtkonnale ning asjakohasel juhul lisama need juhatusele esitatavasse iga-aastasesse turbearuandesse.

See on kooskõlas ISO/IEC 27005:2022 riskikäsitluse juhistega: valida käsitlusvõimalused, määrata kontrollimeetmed ISO 27001 lisa A ja sektoripõhiste nõuete alusel, koostada riski käsitlemise plaan, määrata vastutavad isikud, defineerida tähtajad, jälgida staatust, saada riskiomaniku heakskiit ja dokumenteerida jääkriski aktsepteerimine.

Iga oluline TLPT leid peab muutuma üheks neljast asjast: parandusmeetmeks, kontrollimeetme parenduseks, ametlikuks riski aktsepteerimiseks või kordustestimise nõudeks.

Eesmärk ei ole toota rohkem dokumente. Eesmärk on panna iga dokument selgitama järgmist otsust.

Tegevuskerksuse testimine peab tõendama taastamist, mitte ainult tuvastamist

Edukast TLPT-st võib nähtuda, et SOC tuvastas käsu- ja juhtimisliikluse, blokeeris lateraalse liikumise ja eskaleeris korrektselt. See on väärtuslik, kuid DORA tegevuskerksuse testimine läheb kaugemale. See küsib, kas organisatsioon suudab äriteenuseid jätkata või taastada.

Zenith Blueprint selgitab Controls in Action etapi sammus 23 kontrollimeedet 5.30, IKT valmisolek talitluspidevuseks, sõnastuses, mida iga infoturbejuht peaks juhatusega kasutama:

Auditi seisukohast testitakse seda kontrollimeedet sageli ühe fraasiga: Näidake mulle. Näidake mulle viimast testitulemust. Näidake mulle taastamisdokumentatsiooni. Näidake mulle, kui kaua kulus ümberlülitamiseks ja tagasi lülitumiseks. Näidake mulle tõendusmaterjali, et lubatut on võimalik täita.

See „Näidake mulle“ standard eristab poliitika küpsust operatsioonilisest tegevuskerksusest.

Clarysec Business Continuity Policy and Disaster Recovery Policy-sme Business Continuity Policy and Disaster Recovery Policy - SME, jaotis „Policy Implementation Requirements“, punkt 6.4.1, sätestab:

Organisatsioon peab testima nii oma BCP kui ka DR võimekust vähemalt kord aastas. Testid peavad sisaldama järgmist:

Sama poliitika rakendamise jaotis, punkt 8.5.1, teeb tõendusmaterjali eest vastutuse selgesõnaliseks:

GM peab tagama, et järgmised andmed oleksid säilitatud ja auditiks valmis:

DORA-ga reguleeritud finantsüksuse jaoks võib iga-aastane testimine olla miinimum, mitte eesmärk. Kõrgema riskiga kriitilisi või olulisi funktsioone tuleks testida sagedamini, eriti pärast arhitektuurimuudatusi, pilvemigratsiooni, suuri intsidente, uusi IKT-tarnijaid, olulisi rakenduste väljalaskeid või muutusi ohukokkupuutes.

Tugev tegevuskerksuse testi tõendusmaterjali pakett peab sisaldama järgmist:

• ärimõju analüüs, mis kaardistab kriitilise või olulise funktsiooni
• äriprotsesside omanike kinnitatud RTO ja RPO
• süsteemisõltuvuste kaart, sealhulgas identiteet, DNS, võrk, pilv, andmebaas, seire, varundus ja kolmandate osapoolte teenused
• varundamise ja taastamise testitulemused
• ümberlülituse ja tagasilülituse ajatemplid
• tõendusmaterjal turbekontrollide toimimise kohta häire ajal
• kliendi, regulaatori ja sisekommunikatsiooni mallid
• intsidendijuhi ja kriisimeeskonna osalemislogid
• õppetunnid ja parendustegevused
• varasemate taastamislünkade kordustestimise tõendusmaterjal

Siin tuleb mängu ka GDPR. GDPR Articles 2 ja 3 toovad enamiku EL-i isikuandmeid töötlevatest SaaS- ja finantstehnoloogia protsessidest kohaldamisalasse. Article 4 määratleb isikuandmed, töötlemise, vastutava töötleja, volitatud töötleja ja isikuandmete rikkumise. Article 5 nõuab terviklust, konfidentsiaalsust ja vastutuse tõendatavust, mis tähendab, et organisatsioon peab suutma vastavust tõendada. Kui TLPT või taastetestimine kasutab tootmiskeskkonna isikuandmeid, kopeerib identifikaatoreid sisaldavaid logisid või valideerib rikkumisele reageerimist, tuleb dokumenteerida andmekaitse kaitsemeetmed.

Tarnijate tõendusmaterjal on DORA pimeala, mida audiitorid ei ignoreeri

Kaasaegsed finantsteenused on kokku pandud pilveplatvormidest, SaaS-rakendustest, hallatud turbeteenuse pakkujatest, maksetöötlejatest, andmeplatvormidest, identiteedipakkujatest, jälgitavustööriistadest, allhankearenduse meeskondadest ja varundusteenuse pakkujatest.

DORA Article 28 nõuab, et finantsüksused juhiksid IKT kolmandate osapoolte riski IKT-riski juhtimise raamistiku osana ning jääksid täielikult vastutavaks ka juhul, kui IKT-teenused on allhanke korras sisse ostetud. Article 30 nõuab kirjalikke IKT-teenuslepinguid, mis hõlmavad teenusekirjeldusi, alltöövõtu tingimusi, töötlemiskohti, andmekaitset, juurdepääsu ja taastamist, teenustasemeid, intsidendiabi, koostööd ametiasutustega, lõpetamisõigusi, tugevamaid tingimusi kriitiliste või oluliste funktsioonide jaoks, auditeerimisõigusi, turvameetmeid, TLPT-s osalemist seal, kus see on asjakohane, ning väljumiskorraldust.

See tähendab, et TLPT stsenaarium ei saa lõppeda organisatsiooni tulemüüri juures, kui kriitiline funktsioon sõltub tarnijast.

Clarysec Third-Party and Supplier Security Policy-sme Third-Party and Supplier Security Policy - SME, jaotis „Policy Implementation Requirements“, punkt 6.3.1, sätestab:

Kriitilised või kõrge riskiga tarnijad tuleb läbi vaadata vähemalt kord aastas. Läbivaatamisel tuleb kontrollida järgmist:

Security Testing and Red-Teaming Policy lisab punktis 6.9 testimisspetsiifilise tarnijanõude:

Kolmandate osapoolte testimise koordineerimine: kui mõni kriitiline tarnija või teenuseosutaja kuulub organisatsiooni üldise turbe kohaldamisalasse, peab organisatsioon kooskõlas Third-Party and Supplier Security Policy nõuetega võimaluse korral hankima kinnituse nende turbetestimise tavade kohta või koordineerima ühist testimist. Näiteks Cloud Service Provider (CSP) kasutamisel võib organisatsioon tugineda selle läbistustestimise aruannetele või kaasata selle koostööpõhistesse red team stsenaariumidesse, kui lepingutingimused seda võimaldavad.

Auditivalmis DORA tõendusmaterjali puhul peab tarnijate kinnitus olema seotud sama riskistsenaariumiga nagu TLPT. Kui identiteedipakkuja on maksete taastamiseks hädavajalik, peab tõendusmaterjali pakett sisaldama tarnija taustakontrolli, lepingulisi turbenõudeid, intsidenditoe tingimusi, testimise koordineerimist, kinnitavaid aruandeid, teenustaseme tõendusmaterjali, väljumisstrateegiat ja testimise piiranguid.

NIS2 Article 21 on oluline ka SaaS-, pilve-, hallatud teenuse, hallatud turbe, andmekeskuse, CDN-i, usaldusteenuse, DNS-i, TLD, veebituru, otsingu- ja sotsiaalvõrgustiku teenuseosutajate jaoks. See nõuab kõiki ohte arvestavat lähenemist, mis hõlmab riskianalüüsi, intsidentide käsitlemist, talitluspidevust, tarneahela turvet, turvalist arendust, tõhususe hindamist, koolitust, krüptograafiat, juurdepääsukontrolli, varahaldust, MFA-d ja turvalist sidet.

Praktiline tulemus on lihtne: finantsüksused peaksid looma ühe tõendusmudeli, mis rahuldab esmalt DORA nõuded, ning seejärel ristviitama NIS2 ootustele seal, kus on kaasatud tarnijad, kontserniüksused või mittefinantsilised digiteenused.

Praktiline Clarysec TLPT tõendusmaterjali register

Eeldame järgmist stsenaariumi:

„Ohutegija kompromiteerib SaaS tugiplatvormi administraatorikonto, liigub makseoperatsioonide keskkonda, muudab konfiguratsiooni ja häirib tehingute töötlemist.“

Loo tõendusmaterjali register, kus iga rida vastab ühele tõendusobjektile. Ära oota testi lõpuni. Täida seda planeerimise, läbiviimise, parandusmeetmete ja lõpetamise ajal.

Seejärel kasuta Zenith Blueprint sammu 13, et lisada jälgitavus riskiregistrisse ja kohaldatavusdeklaratsiooni. Iga tõendusmaterjali element peab seostuma riskistsenaariumi, riskiomaniku, valitud kontrollimeetme, käsitlusplaani ja jääkriski otsusega.

Kui leid on seotud tarkvara nõrkusega, viita turvalise arenduse ja testimise kontrollimeetmetele. Clarysec Secure Development Policy-sme Secure Development Policy - SME, jaotis „Policy Implementation Requirements“, punkt 6.5.2, nõuab:

Testimine tuleb dokumenteerida koos järgmisega:

Kui leid tekitab digitaalkriminalistika materjali, säilita tõendite valduse ahel. Clarysec Evidence Collection and Forensics Policy-sme Evidence Collection and Forensics Policy - SME, jaotis „Governance Requirements“, punkt 5.2.1, sätestab:

Iga digitaalse tõendusmaterjali üksus tuleb logida koos järgmisega:

See on punkt, mida paljud meeskonnad ei märka. Tõendusmaterjal ei ole ainult lõpparuanded. See on kontrollitud kirje selle kohta, kes kinnitas, kes teostas, mis juhtus, mida tuvastati, mis taastati, mida muudeti, milline kokkupuude jäi alles ja kes selle kokkupuute aktsepteeris.

Kuidas audiitorid sama TLPT tõendusmaterjali kontrollivad

DORA TLPT tõendusmaterjali loetakse erinevalt sõltuvalt audiitori taustast. Clarysec kujundab tõendusmaterjali paketid nii, et iga vaatenurk leiaks vajaliku ilma meeskondi dubleerivat tööd tegema sundimata.

COBIT 2019 ilmub Zenith Blueprint ristvastavuse viites ohutu auditi ja testimise läbiviimise kohta, sealhulgas DSS05.03 ja MEA03.04. Oluline ei ole see, et COBIT asendaks DORA või ISO 27001, vaid see, et ISACA-tüüpi kindlustusspetsialistid otsivad kontrollitud läbiviimist, seiret, hindamist ja vastavuse tõendusmaterjali.

Juhatuse narratiiv: mida juhtkond peab kinnitama

Juhatuse aruandlus peab vältima tehnilist teatraalsust. Juhatus ei vaja ärakasutuskoode. Ta vajab otsustamiseks sobivat tõendusmaterjali:

• Millist kriitilist või olulist funktsiooni testiti?
• Millist ohustsenaariumi simuleeriti ja miks?
• Kas tuvastamine toimis?
• Kas reageerimise eskaleerimine toimis?
• Kas taastamine vastas RTO-le ja RPO-le?
• Millised tarnijad olid kaasatud või piiratud?
• Millised olulised nõrkused jäävad alles?
• Mis on parandusmeetme maksumus, omanik ja ajakava?
• Millised jääkriskid vajavad ametlikku aktsepteerimist?
• Mida kordustestitakse?

Siin muutub oluliseks ISO 27001 punkt 5. Tippjuhtkond peab tagama, et infoturbepoliitika ja eesmärgid oleksid kehtestatud, kooskõlas strateegilise suunaga, integreeritud äriprotsessidesse, varustatud ressurssidega, kommunikeeritud ja pidevalt täiustatud. Rollid ja vastutused tuleb määrata. Eesmärgid peavad olema võimaluse korral mõõdetavad ning arvestama kohaldatavaid nõudeid ja riskikäsitluse tulemusi.

Kui TLPT tuvastab, et taastamisaeg on kuus tundi võrreldes neljatunnise ärilise taluvuspiiriga, ei ole see pelgalt taristu tööjärje kirje. See on juhtimisotsus, mis hõlmab riskivalmidust, eelarvet, kliendikohustusi, regulatiivset kokkupuudet, lepinguid, arhitektuuri ja operatiivset suutlikkust.

Levinud tõendusmaterjali puudused DORA tegevuskerksuse testimisel

Clarysec ülevaatustes leitakse DORA-ks valmistuvate finantsüksuste ja IKT-teenuseosutajate juures sageli samu tõendusmaterjali lünki.

Esiteks ei kaardistu TLPT kohaldamisala kriitiliste või oluliste funktsioonidega. Test võib olla tehniliselt muljetavaldav, kuid see ei tõenda regulaatoritele olulise äriprotsessi tegevuskerksust.

Teiseks tunnistatakse tarnijasõltuvusi, kuid neid ei tõendata. Meeskonnad ütlevad, et pilveteenuse pakkuja, hallatud SOC või SaaS-platvorm on kohaldamisalas, kuid lepingud, auditeerimisõigused, testimisload, intsidenditoe tingimused ja väljumisplaanid puuduvad.

Kolmandaks tekitab testimine tõendusmaterjali, kuid mitte käsitlust. Leiud jäävad red team’i aruandesse, selle asemel et muutuda riskiregistri ajakohastusteks, kontrollimeetmete muudatusteks, omanikeks, kuupäevadeks, kordustestimiseks ja jääkriski otsusteks.

Neljandaks eeldatakse taastamist, mitte ei tõendata seda. Varunduspoliitikad on olemas, kuid keegi ei suuda näidata ümberlülituse ajatempleid, taastamise tervikluskontrolle, juurdepääsu valideerimist või äriprotsessi omaniku kinnitust.

Viiendaks on andmekaitse ja digitaalkriminalistika tõendusmaterjal kontrollimata. Logid ja ekraanitõmmised sisaldavad isikuandmeid, testimise artefakte hoitakse ühisketastel, ajutised kontod jäävad aktiivseks ning tõendite valduse ahel on puudulik.

Kuuendaks on juhtkonna aruandlus liiga tehniline. Kõrgemad juhid ei näe, kas tegevuskerksus paranes, kas risk jääb riskivalmiduse piiridesse või milliseid investeerimisotsuseid on vaja.

Kõiki neid lünki saab lahendada, käsitledes DORA TLPT-d struktureeritud ISO 27001 tõendusmaterjali töövoona.

Clarysec integreeritud lähenemine auditivalmis tegevuskerksusele

Clarysec lähenemine ühendab kolm kihti.

Esimene kiht on Zenith Blueprint 30-sammuline rakendamise teekaart. Selle teema puhul loob samm 13 riskikäsitluse ja SoA jälgitavuse, samm 21 kaitseb süsteeme auditi testimise ajal ning samm 23 valideerib IKT valmisolekut talitluspidevuseks. Need sammud muudavad TLPT tehnilisest sündmusest dokumenteeritud juhtimistsükliks.

Teine kiht on Clarysec poliitikakogu. Security Testing and Red-Teaming Policy määratleb testimise tüübid, kohaldamisala, tegutsemisreeglid, parandusmeetmed, aruandluse ja tarnijate koordineerimise. Business Continuity Policy and Disaster Recovery Policy-sme seab ootused iga-aastasele BCP ja DR testimisele ning auditivalmis talitluspidevuse tõendusmaterjalile. Third-Party and Supplier Security Policy-sme toetab tarnijate kinnituste haldust. Secure Development Policy-sme tagab, et turbetestimine on dokumenteeritud. Evidence Collection and Forensics Policy-sme toetab tõendusmaterjali logimist ja tõendite valduse ahela distsipliini.

Kolmas kiht on Zenith Controls, Clarysec ristvastavuse juhend. See aitab kaardistada ISO/IEC 27002:2022 kontrollimeetmeid atribuutide, valdkondade, operatiivsete võimekuste ja raamistikülese ootustega. DORA TLPT puhul ei ole kõige olulisem muster üks kontrollimeede. See on testimise, talitluspidevuse, intsidendihalduse, tarnijahalduse, logimise, seire, turvalise arenduse, sõltumatu läbivaatuse ja juhtimise omavaheline seos.

Kui need kihid toimivad koos, muutub infoturbejuhi esmaspäevahommikune probleem. Kolme eraldi küsimuse asemel juhatuselt, regulaatorilt ja siseauditilt on organisatsioonil üks tõenduslugu:

„Tuvastasime kriitilise funktsiooni. Hindasime IKT-riski. Valisime ja põhjendasime kontrollimeetmed. Autoriseerisime ja viisime TLPT ohutult läbi. Tuvastasime, reageerisime ja taastasime. Kaasasime tarnijad seal, kus see oli nõutav. Dokumenteerisime tõendusmaterjali. Kõrvaldasime leiud. Tegime kordustestimise. Juhtkond vaatas üle ja aktsepteeris allesjäänud riski.“

See on auditivalmis tegevuskerksus.

Järgmised sammud

Kui teie DORA TLPT programm on endiselt korraldatud aruannete, mitte tõendusahelate ümber, alustage Clarysec tõendusmaterjali läbikäigust.

Kasutage Zenith Blueprint Zenith Blueprint sammu 13, et siduda TLPT stsenaariumid riskide, kontrollimeetmete ja kohaldatavusdeklaratsiooniga. Kasutage sammu 21, et kontrollida ohutut autoriseerimist, tegutsemisreegleid, tagasipööramist, seiret ja korrastamist. Kasutage sammu 23, et tõendada IKT valmisolekut talitluspidevuseks taastamise tõendusmaterjali abil.

Seejärel viige oma tegevusdokumendid kooskõlla Clarysec Security Testing and Red-Teaming Policy Security Testing and Red-Teaming Policy, Business Continuity Policy and Disaster Recovery Policy-sme Business Continuity Policy and Disaster Recovery Policy - SME, Third-Party and Supplier Security Policy-sme Third-Party and Supplier Security Policy - SME, Secure Development Policy-sme Secure Development Policy - SME ning Evidence Collection and Forensics Policy-sme Evidence Collection and Forensics Policy - SME nõuetega.

Lõpuks kasutage Zenith Controls Zenith Controls, et ristkaardistada DORA TLPT tõendusmaterjal ISO 27001 kontrollimeetmete, NIS2, GDPR, COBIT 2019 ja audiitorite ootustega.

Kui soovite, et järgmine tegevuskerksuse test annaks rohkem kui ainult leide, kasutage Clarysec lahendust, et muuta see kaitstavaks tõendusahelaks. Laadige alla tööriistakomplektid, broneerige tõendusmaterjali valmisoleku hindamine või taotlege ülevaadet, kuidas Clarysec kaardistab DORA TLPT ISO 27001:2022 kontrollimeetmetega alates planeerimisest kuni juhatuse heakskiiduni.