Turbenõuetest lähtuv tarkvarahange 2026. aastal

On 2026. aasta alguse teisipäeva hommik ning kiiresti kasvava Euroopa makseettevõtte CISO Maria esineb juhatuse ees. Päevakorra viimane punkt peaks olema rutiinne: uue tehisintellektil põhineva pettuste tuvastamise platvormi heakskiitmine. Tarnijal on muljetavaldav demo, piiratud ajaga soodustus, üheleheküljeline turbeülevaade ja standardleping.
Siis algavad küsimused.
Tegevjuht küsib: „Kuidas me teame, et see platvorm on turvaline? Meie finantsteenuste kliendid küsivad DORA vastavuse tõendusmaterjali ning see tarnija muutub osaks meie kriitilisest taristust.“
Õigusosakond küsib, kas andmetöötlusleping on valmis, kus töödeldakse ELi klientide andmeid ja kas alltöötlejad on avalikustatud. Talitluspidevuse eest vastutav juht küsib väljumise planeerimise, varukoopiate ekspordi ja kriitiliste funktsioonide järjepidevuse kohta. Tooteturbe insener küsib haavatavuste avalikustamise, paikamise tõendusmaterjali ning SBOM-i või samaväärse komponentide läbipaistvuse avalduse kohta. Hanketiim esitab küsimuse, mis muudab tarnijariski kalliks: „Kas saame praegu heaks kiita ja dokumendid pärast allkirjastamist kokku koguda?“
See on hetk, mil kaasaegne tarkvarahange muutub kas kontrollimeetmeks või tulevaseks intsidendiaruandeks.
- aastal ei saa turvaline tarkvarahange tugineda lepingujärgsele heale tahtele. NIS2 tarneahela turve, DORA IKT kolmanda osapoole risk, GDPR volitatud töötleja vastutus ja Cyber Resilience Act tooteturbe ootused on toonud tarnijaturbe tõendamise hanke otsustuspunkti. Ostjad vajavad turbenõuetest lähtuvat tarkvarahanget, kus klient määratleb turbe tõendusmaterjali, lepinguklauslid, kaasamise kontrollväravad ja operatiivsed vastutused enne ostu.
Clarysec klientide jaoks ei ole vastus järjekordne tabel, mis e-kirjadesse sureb. Vastus on ISO/IEC 27001:2022-ga kooskõlas olev hankekontrollide süsteem, mis on vastendatud Clarysec poliitikate, Zenith Blueprint: audiitori 30-sammuline teekaart ja Zenith Controls kaudu, nii et igal tarkvara- või SaaS-ostul on kaitstav jälg ärivajadusest tarnijariski otsuseni.
Turbenõuetest lähtuv hankimine on uus tarkvarahanke kontrollimeede
Turvalisus kavandamisel on tavaliselt tarnijapoolne teema. Turbenõuetest lähtuv hankimine on ostjapoolne distsipliin: organisatsioon ei osta tarkvara, kui tarnija ei suuda tõendada, et turvalisus, privaatsus, talitluspidevus, haavatavuste käsitlemine ja auditeeritavus on pakkumisse sisse ehitatud.
See muudab ostudialoogi. Selle asemel et küsida „Kas teil on turve olemas?“, esitab hange täpsemaid küsimusi:
- Milliseid andmeid te töötlete, kus ja millises õiguslikus rollis?
- Milline ärifunktsioon hakkab teist sõltuma ja kui kriitiline see on?
- Milline tõendusmaterjal näitab, et teie kontrollimeetmed toimivad, mitte üksnes seda, et need on dokumenteeritud?
- Milliste intsidentidest teatamise tähtaegadega te lepinguliselt nõustute?
- Millist haavatavuste avalikustamise, paikamise, SBOM-i või VEX-i tõendusmaterjali saate esitada?
- Millised alltöövõtjad või alltöötlejad puutuvad kokku meie andmete või teenusega?
- Kas saame lepingu kehtivuse ajal auditeerida, kontrollida või tõendusmaterjali küsida?
- Mis juhtub lepingu lõpetamisel, migreerimisel, rikkumise, maksejõuetuse või regulatiivse päringu korral?
ISO/IEC 27001:2022 annab sellele muutusele juhtimissüsteemi selgroo. Punkt 4 nõuab, et organisatsioon mõistaks konteksti, huvitatud osapooli ja ISMS-i kohaldamisala, sealhulgas väliseid regulatiivseid ja tarnijatega seotud nõudeid. Punkt 5 muudab tarnijariski juhtkonna ja juhtimise vastutuseks. Punkt 6 nõuab riskihindamist, riskikäsitlust, kontrollimeetmete valikut, kohaldatavusavaldust ja jääkriski otsuseid. Punkt 8 nõuab protsesside kontrollitud toimimist, sealhulgas väliselt osutatavaid protsesse. Punkt 9 nõuab seiret, siseauditit ja juhtkonnapoolset ülevaatust.
See tähendab, et tarkvarahange ei ole pelgalt äriline töövoog. Sellest saab toimiv ja auditeeritav ISMS-i protsess. Regulaatorid ja audiitorid küsivad üha sagedamini, miks organisatsioon aktsepteeris tarnijat enne riski mõistmist. Turbenõuetest lähtuv hange annab selge vastuse: risk hinnati, käsitleti, kaeti lepinguga ja määrati vastutajale enne sõltuvuse tekkimist.
Miks NIS2, DORA, GDPR ja CRA koonduvad tarnija valiku juurde
Maria juhatus küsib õigeid küsimusi, sest üks tarkvaratarnija võib korraga käivitada mitu kohustust.
NIS2 kohaldub sektori, suuruse ja kriitilisuse alusel; Annex I ja Annex II toovad kohaldamisalasse paljud digitaalsed, finants-, taristu-, hallatud teenuste ja pilvest sõltuvad organisatsioonid. Article 21 nõuab asjakohaseid ja proportsionaalseid tehnilisi, operatiivseid ja organisatsioonilisi meetmeid, sealhulgas tarneahela turvet, turvalist omandamist, turvalist arendust ja hooldust, haavatavuste käsitlemist, juurdepääsukontrolli, varahaldust, talitluspidevust, intsidentide käsitlemist ja kontrollimeetmete tõhususe hindamist. Article 21(3) nõuab eraldi tähelepanu otseste tarnijate haavatavustele ja tarnijate küberturvalisuse praktikatele. Article 23 loob olulistest intsidentidest etapiviisilise teavitamise ootused, sealhulgas varajase hoiatuse 24 tunni jooksul ja teavituse 72 tunni jooksul.
DORA kohaldub alates 17. jaanuarist 2025 kohaldamisalasse kuuluvatele finantsüksustele. See loob ühtsed nõuded IKT-riski juhtimisele, IKT-ga seotud intsidentidest teatamisele, digitaalse tegevuskerksuse testimisele ja IKT kolmanda osapoole riskijuhtimisele. DORA on hangete osas eriti ettekirjutav. Finantsüksused vajavad IKT kolmanda osapoole riskistrateegiaid, IKT-teenuste kokkulepete registreid, hoolsuskontrolli, kontsentratsiooniriski analüüsi, kirjalikke lepinguid turbe- ja talitluspidevuse nõuetega, auditi- ja juurdepääsuõigusi, koostöökohustusi, lõpetamisõigusi ning väljumisplaane. Articles 28 ja 30 on IKT kolmanda osapoole riski ja lepinguliste kontrollide keskmes, samas kui Articles 17 kuni 23 kujundavad intsidendihalduse ja aruandluse.
GDPR lisab volitatud töötleja vastutuse kontrollvärava. Articles 5, 28, 32, 33 ja 34 nõuavad vastutust, volitatud töötleja lepinguid, asjakohast turvet, koostööd rikkumisest teavitamisel ja andmesubjektile avalduva mõju käsitlemist. SaaS-tarnija, kes töötleb isikuandmeid, ei ole pelgalt tarnija. Temast saab osa vastutava töötleja vastavuspositsioonist. DPA, tehnilised ja korralduslikud meetmed, alltöötlejate loend, edastamise kaitsemeetmed, säilitamisreeglid ja kustutamiskohustused peavad olema selged enne töötlemise algust.
CRA ootused lisavad tootekindluse. Isegi kui ostja ei ole tootja, peaksid hanketiimid nõudma tõendusmaterjali turvalise arenduse, haavatavuste käsitlemise, tootetoe, turvauuenduste, koordineeritud haavatavuste avalikustamise ja komponentide läbipaistvuse kohta, näiteks SBOM-i või samaväärset avaldust. Need nõuded kuuluvad RFP-desse, turbelisadesse ja vastuvõtuväravatesse.
Ühine põhimõte on lihtne: ostu sooritav organisatsioon peab teadma, mida ta ostab, millist riski ta sisse toob ja millist tõendusmaterjali ta saab esitada, kui regulaatorid, kliendid või audiitorid küsivad.
ISO 27001 kontrollimeetmete selgroog tarnijaturbe tõendamiseks
Kõige tõhusam turbenõuetest lähtuva hanke mudel ei ole regulatsioonipõhine. See on kontrollimeetmepõhine. Clarysec kasutab ISO/IEC 27001:2022 standardit ISMS-i selgroona, mida toetavad ISO/IEC 27002:2022 kontrollimeetmete juhised ja ristvastavuse vastendus Zenith Controls lahenduses.
Zenith Controls seob tarnijaturbe tõendamise ISO/IEC 27002:2022 kontrollimeetmetega 5.19, 5.20 ja 5.21. Need ei ole eraldiseisvad kontrollnimekirja punktid. Need moodustavad hanke elutsükli.
| ISO/IEC 27002:2022 kontrollimeede | Hankeküsimus | Turbenõuetest lähtuv tõendusmaterjal | Peamine vähendatav risk |
|---|---|---|---|
| 5.19 Infoturve tarnijasuhetes | Kas peaksime selle tarnijaga üldse koostööd tegema? | Tarnija klassifitseerimine, hoolsuskontroll, riskihinnang, omanik, kordushindamise sagedus | Tundmatu tarnijakokkupuude |
| 5.20 Infoturbe käsitlemine tarnijalepingutes | Kas meie nõuded on jõustatavad? | Turbelisa, DPA, SLA, auditeerimisõigused, intsidentidest teavitamine, alltöövõtja klauslid, väljumisklauslid | Lepinguline nõrkus |
| 5.21 Infoturbe juhtimine IKT tarneahelas | Kas edasised IKT-sõltuvused võivad meid kompromiteerida? | Alltöövõtjate loend, alltöötlejate kontrollid, pilvearhitektuur, komponentide tõendusmaterjal, haavatavuste käsitlemine, kontsentratsioonianalüüs | Varjatud tarneahela- ja tehnoloogiarisk |
Zenith Controls vastendab need ISO kontrollimeetmed regulatiivsete ja auditi ootustega. See ei loo eraldi omandiõiguslikke kontrollimeetmeid nimega Zenith Controls. See aitab meeskondadel mõista, kuidas ISO/IEC 27002:2022 kontrollimeetmed toetavad NIS2, DORA, GDPR, NIST CSF 2.0 ja COBIT-põhist kindlust.
Oluline on ka toetav kontrollivõrgustik. Tarnijaturbe tõendamine on seotud varahalduse, juurdepääsukontrolli, pilveturbe, haavatavuste halduse, logimise, intsidendihalduse, IKT valmisolekuga talitluspidevuseks, turvalise arenduse, rakendusturbe, konfiguratsioonihalduse, varundamise, liiasuse, õigusliku vastavuse, privaatsuse, muudatuste juhtimise ja sõltumatu läbivaatusega. Hange koordineerib protsessi, kuid riskivastutus peab hõlmama ettevõtte omanikku, infoturvet, õigusvaldkonda, privaatsust, IT-d, finantse ja teenuseomanikku.
Clarysec poliitikaväravad enne allkirjastamist
Clarysec poliitikamudel nihutab tarnijaturbe tõendamise teadlikult varasemasse etappi. Kõige tugevam sõnastus on seal, kuhu see kuulub: enne lepingute allkirjastamist, enne pilvetellimuste aktiveerimist ja enne andmete jagamist.
Clarysec kolmandate osapoolte ja tarnijate turbepoliitika VKE versioon sätestab:
Hinda ja dokumenteeri tarnijariskid enne lepingute allkirjastamist või juurdepääsu andmist.
See pärineb jaotisest „Eesmärgid“, poliitikaklausel 3.3. Klausel on lühike, sest kontrollieesmärk ei ole läbiräägitav: puudub riskihindamine, puudub leping, puudub juurdepääs.
Ettevõttekeskkondade jaoks tugevdab Clarysec kolmandate osapoolte ja tarnijate turbepoliitika lepingueelset väravat:
Kõik uued tarnijad peavad enne lepingu sõlmimist läbima dokumenteeritud turbehindamise.
See pärineb jaotisest „Poliitika rakendamise nõuded“, poliitikaklausel 6.1.1. Sama poliitika määratleb jaotises „Juhtimisnõuded“, poliitikaklauslis 5.3.4 ka „õigused auditeerida, kontrollida ja küsida turbe tõendusmaterjali“.
Pilve- ja SaaS-ostude puhul lisab VKE Pilveteenuste kasutamise poliitika praktilise heakskiiduvärava:
Kõik pilveteenuste kasutusjuhud peab enne rakendamist või tellimust läbi vaatama ja heaks kiitma General Manager (GM).
See pärineb jaotisest „Juhtimisnõuded“, poliitikaklausel 5.1. Väikeses organisatsioonis võib see heakskiit olla pilvejuhtimise nõukogu ekvivalent. Ettevõttes muutub see töövooks hanke, turbe, privaatsuse ja arhitektuuri vahel. Ettevõtte Pilveteenuste kasutamise poliitika toetab ka lepingulisi pilvenõudeid, sealhulgas jõustatavaid sätteid CSP-lepingutes.
Tarkvara omandamise kohta on ettevõtte Rakendusturbe nõuete poliitika selgesõnaline:
Tarkvara omandamise või allhankekokkulepped peavad sisaldama turbenõudeid RFP-des, lepingutes ja SLA-des, sealhulgas sätteid haavatavuste kõrvaldamise tähtaegade ja kolmanda osapoole auditiõiguste kohta.
See pärineb jaotisest „Juhtimisnõuded“, poliitikaklausel 5.4. Pange tähele järjestust: RFP-d, lepingud ja SLA-d. Turve ilmub turule pöördumise etapis, mitte hankevõidu järgse lisana.
GDPR-põhiste hangete puhul nõuab Clarysec VKE Õigusnormidele vastavuse poliitika:
Andmetöötluslepingu (DPA) klauslid või samaväärsed lepingutingimused tuleb kokku leppida enne isikuandmete või tundlike andmete jagamist.
See pärineb jaotisest „Poliitika rakendamise nõuded“, poliitikaklausel 6.3.2. See väldib üht kõige levinumat SaaS-i kasutuselevõtu viga: isikuandmete üleslaadimist tööriista enne volitatud töötleja tingimuste, rikkumiskohustuste ja alltöötlejate tingimuste kokkuleppimist.
Tarnija rakendusturbe puhul nõuab VKE Rakendusturbe nõuete poliitika, et hange:
määratleks kohustused haavatavuste avalikustamise, reageerimisaegade ja paikamise kohta.
See pärineb jaotisest „Juhtimisnõuded“, poliitikaklausel 5.3.2. Samuti sätestab see:
GM peab vajaduse korral küsima dokumentatsiooni või sertifikaate (nt SOC 2, ISO 27001, turbetestide aruanded) tarnija vastavuse tõendusmaterjalina.
See pärineb jaotisest „Poliitika rakendamise nõuded“, poliitikaklausel 6.3.2. Võtmesõna on tõendusmaterjal. Turbenõuetest lähtuv hange ei põhine usaldusväidetel. See põhineb läbivaadatavatel artefaktidel.
Zenith Blueprint hanke kontrollvärav
Zenith Blueprint käsitleb tarnijaturvet toimiva kontrollimeetmena, mitte hankelozungina. Faasis „Controls in Action“ hõlmab Step 23 organisatsioonilisi kontrollimeetmeid 5.19 kuni 5.37, sealhulgas infoturvet tarnijasuhetes.
Blueprint selgitab:
See algab tarnija klassifitseerimisest. Kõik tarnijad ei kanna sama riski. Koristusteenusel võib olla füüsiline juurdepääs kontoritele, kuid mitte võrkudele. Penetratsioonitestimise ettevõttel või pilvemajutuse teenuseosutajal võib seevastu olla sügav tehniline juurdepääs teie taristu südamesse. Klassifitseerimisel tuleb arvestada, kas tarnija käitleb või töötleb teie teavet vahetult, kas ta pakub taristut või platvorme, millel te tegutsete, kas ta haldab või hooldab süsteeme teie nimel ning kas tema kompromiteerimine võiks mõjutada teie konfidentsiaalsuse, tervikluse või käideldavuse eesmärke.
Kontrolli 5.20 kohta on Blueprint otsekohene:
Tarnijalepingutes käsitletavad põhivaldkonnad hõlmavad tavaliselt konfidentsiaalsuskohustusi; juurdepääsukontrolli vastutusi; tehnilisi ja korralduslikke meetmeid andmekaitse, krüptimise, turvalise edastuse, varundamise ja käideldavuse kohustuste jaoks; intsidentidest teavitamise tähtaegu ja protokolle; auditeerimisõigust, sealhulgas sagedust, ulatust ja juurdepääsu asjakohasele tõendusmaterjalile; alltöövõtjate kontrolle; ning lepingu lõppemise sätteid, nagu andmete tagastamine või hävitamine, varade taastamine ja kontode deaktiveerimine.
See järeldab, et kontroll 5.20 on „teie viimane mõjupositsioon“ ja „kuulub hankeväravasse“. Kui leping on allkirjastatud, väheneb mõjuvõim. Enne allkirjastamist saab tõendusmaterjali ja kohustused muuta ostutingimusteks.
Allhankearenduse puhul lisab faasi „Controls in Action“ Step 21 kontroll 8.30 veel ühe hankenõude. Blueprint sätestab:
Selle kontrolli keskmes on põhimõte, et turve peab olema lepinguline nõue, mitte suuline ootus.
Allhankemeeskonnad peavad vastama samadele turvalise arenduse standarditele nagu sisemised meeskonnad, sealhulgas staatiline analüüs, vastastikune hindamine, krüptimine, MFA repositooriumidesse, ning nähtavus koodi, arhitektuuriotsuste, haavatavuste, muudatustaotluste, CI/CD logide ja skannimistulemuste üle.
Ehita turbenõuetest lähtuv RFP-värav ühe pärastlõunaga
Oletame, et teie organisatsioon soovib kliendianalüütika platvormi. See hakkab sisse võtma kliendi identifikaatoreid, käitumissündmusi, toe metaandmeid ja tehinguviiteid. Ettevõtte omanik soovib kiiret heakskiitu. Turvameeskonnal on üks nädal.
Alustage hankevärava kirjega, kasutades alusdokumentidena kolmandate osapoolte ja tarnijate turbepoliitikat, Rakendusturbe nõuete poliitikat, Pilveteenuste kasutamise poliitikat, Õigusnormidele vastavuse poliitikat ja Zenith Blueprint Step 23.
| Värava väli | Näidiskanne |
|---|---|
| Tarnija nimi | Kliendianalüütika SaaS-tarnija |
| Teenuse tüüp | Pilvepõhine SaaS, mis töötleb kliendi- ja kasutusandmeid |
| Ettevõtte omanik | Klienditoimingute juht |
| Kaasatud andmed | Kliendi identifikaatorid, kasutussündmused, toe metaandmed, tehinguviited |
| GDPR roll | Tarnija tõenäoliselt volitatud töötleja, organisatsioon vastutav töötleja |
| Kriitilisus | Kõrge, kui kasutatakse klienditeenindusotsusteks; keskmine, kui ainult analüütikaks |
| NIS2 asjakohasus | Tarnija toetab digiteenuste toiminguid ja võib mõjutada intsidendi mõju |
| DORA asjakohasus | Asjakohane, kui analüütika toetab finantsteenuste toiminguid või kriitilise funktsiooni aruandlust |
| CRA kindluse asjakohasus | Tooteturve, haavatavuste käsitlemine, uuenduste tugi, komponentide läbipaistvus |
| Esmane riskihinnang | Kõrge kuni DPA, intsidendi-, alltöövõtja- ja eksporditõendid on esitatud |
| Heakskiidu tingimus | Lepingut ei sõlmita enne turbehindamist, DPA-d ja turbelisa läbivaatamist |
Lisage RFP-le turbenõuetest lähtuv küsimustik. Vältige üldisi küsimusi, nagu „Kas te krüptite andmeid?“. Küsige tõendusmaterjalile suunatud küsimusi:
- Esitage oma kehtiv sõltumatu turbekindluse aruanne, sertifikaat või samaväärne kontrollimeetmete tõendusmaterjal.
- Määratlege majutusasukohad, andmete asukoha valikud, varukoopiate asukohad ja tugijuurdepääsu asukohad.
- Esitage DPA, alltöötlejate loend ja teavitusprotsess alltöötlejate muudatuste kohta.
- Kinnitage intsidentidest teavitamise tähtajad, sealhulgas 24-tunnise varajase hoiatuse tugi olukordades, kus NIS2 töövood võivad käivituda, ning etapiviisilise aruandluse tugi DORA-reguleeritud klientidele.
- Esitage haavatavuste avalikustamise poliitika, tõsiduspõhised paikamise SLA-d ja tõendusmaterjal hiljutise haavatavuste kõrvaldamise juhtimise kohta.
- Esitage tooteturbe tõendusmaterjal, näiteks turvalise arenduse elutsükli kirjeldus, penetratsioonitesti kokkuvõte, SBOM või komponentide läbipaistvuse avaldus ning turvauuenduste tugiperiood.
- Kinnitage MFA, vähima privileegi põhimõte, logimine, haldusjuurdepääsu seire ning kliendi auditi- või tõendusmaterjali taotlemise õigused.
- Kirjeldage ekspordi, kustutamise, tagastamise, lõpetamistoe ja üleminekuabi korda.
- Loetlege teenust toetavad olulised alltöövõtjad ja IKT-sõltuvused.
- Kinnitage, kas kliendiandmeid kasutatakse koolituseks, analüütikaks, toote täiustamiseks või tehisintellekti mudeli arendamiseks, ning määratlege õiguslik alus või volitatud töötleja juhiste mudel.
Seejärel hinnake tarnijat enne läbirääkimisi.
| Nõude valdkond | Läbimise tingimus | Tagasilükkamise või eskaleerimise tingimus |
|---|---|---|
| Turbe tõendusmaterjal | Kehtiv kindlusaruanne, turbetestide kokkuvõte või samaväärne dokumentatsioon | Ainult turundusväited, tõendusmaterjal puudub |
| GDPR volitatud töötleja valmisolek | DPA aktsepteeritud enne andmete jagamist, alltöötlejad avalikustatud | DPA lükatakse edasi pärast kaasamist või alltöötlejate tingimused on ebamäärased |
| Intsidendikohustused | Lepinguline teavitustähtaeg, eskalatsioonikontaktid, kliendimõju tugi | Tarnija keeldub konkreetsetest teavitamis- või koostöökohustustest |
| Haavatavuste käsitlemine | Avalikustamiskanal, tõsiduspõhine parandamise SLA, paikamisprotsessi tõendusmaterjal | Avalikustamisprotsess puudub või parandusmeetmete kohustused puuduvad |
| IKT tarneahel | Majutus, alltöövõtjad ja kriitilised sõltuvused avalikustatud | Tarnija ei tuvasta kriitilisi edasisi teenuseosutajaid |
| Väljumine ja talitluspidevus | Eksport, kustutamine, varundus ja lõpetamisabi dokumenteeritud | Testitud ekspordi või kustutamise tõendusmaterjal puudub |
| Auditeeritavus | Õigus küsida tõendusmaterjali, kontrollida või proportsionaalselt auditeerida | Tarnija ei võimalda pärast allkirjastamist sisulist kindlust |
Lõpuks ajakohastage riskiregister ja kohaldatavusavaldus. Riskikäsitluse kirje peab näitama, miks ISO/IEC 27002:2022 kontrollimeetmed 5.19, 5.20 ja 5.21 kohalduvad, millised lepingulised ja tehnilised nõuded valiti, kes vastutab jääkriski eest ja milline seiresagedus kehtib. Kui äri soovib puudustest hoolimata jätkata, kasutage ametlikku riski aktsepteerimise kirjet koos aegumiskuupäeva, kompenseerivate kontrollimeetmete ja tippjuhtkonna heakskiiduga.
Lepinguklauslid, mis muudavad regulatsiooni jõustatavateks kohustusteks
Turbeootustest peavad saama lepingulised kohustused. Sertifikaat võib olla kasulik, kuid see annab harva vastuse kõigile küsimustele teie konkreetse teenuse, andmete asukoha, alltöövõtjate, tugimudeli, intsidendikohustuste või väljumisõiguste kohta.
| Regulatiivne nõue | Clarysec poliitikajuhis | Lepinguklausli näide |
|---|---|---|
| DORA Article 30 auditeerimisõigused ja väljumisstrateegia | Kolmandate osapoolte ja tarnijate turbepoliitika, klausel 5.3.4 nõuab „õigusi auditeerida, kontrollida ja küsida turbe tõendusmaterjali“ | Tarnija nõustub andma mõistliku etteteatamise korral juurdepääsu asjakohasele turbedokumentatsioonile ning toetama lepingu lõpetamisel korrapärast andmete tagastamist, kustutamist ja teenuse üleminekut. |
| NIS2 Article 21 tarneahela turve ja haavatavuste käsitlemine | Rakendusturbe nõuete poliitika, klausel 5.4 nõuab haavatavuste kõrvaldamise tähtaegu ja kolmanda osapoole auditiõigusi | Tarnija peab hoidma toimivat haavatavuste avalikustamise protsessi, teavitama klienti kriitilistest teenust mõjutavatest haavatavustest ja esitama tõsiduspõhised kõrvaldamise tähtajad. |
| GDPR Article 28 volitatud töötleja kohustused | Õigusnormidele vastavuse poliitika, klausel 6.3.2 nõuab DPA tingimusi enne andmete jagamist | Leping hõlmab andmetöötluslepingut, mis reguleerib isikuandmeid, alltöötlejaid, turvameetmeid, koostööd rikkumise korral, säilitamist ja kustutamist. |
| Pilveteenuse juhtimine | Pilveteenuste kasutamise poliitika, klausel 5.1 nõuab läbivaatamist ja heakskiitu enne rakendamist või tellimust | Tarnija peab avalikustama majutuspiirkonnad, varukoopiate asukohad, krüptimiskontrollid, haldusjuurdepääsu kontrollid ja kliendiandmetele juurdepääsu logid. |
| CRA tooteturbe ootused | Rakendusturbe nõuete poliitika - VKE, klausel 5.3.2 nõuab haavatavuste avalikustamist, reageerimisaegu ja paikamist | Tarnija peab esitama tooteturbe tõendusmaterjali, vajaduse korral komponentide läbipaistvuse, koordineeritud haavatavuste avalikustamise ja turvauuenduste kohustused. |
See tabel on praktiline sild õiguslike kohustuste ja hanketöö vahel. Samuti aitab see õigusosakonnal, turbel ja hankel pidada läbirääkimisi samalt kontrollibaasilt.
Ristvastavuse vastendus: üks tarnijafail, mitu kohustust
ISO/IEC 27001:2022 kasutamise eelis selgroona on see, et üks tarnijaturbe tõendamise fail saab toetada mitut regulatiivset vestlust.
| Raamistik | Mida hange peab tõendama | Clarysec kontrollifookus |
|---|---|---|
| NIS2 | Juhtkonna järelevalve, tarneahela turve, turvaline omandamine, haavatavuste käsitlemine, intsidentide käsitlemine, talitluspidevus ja tarnijate küberturvalisuse praktikad | Tarnija klassifitseerimine, turbeklauslid, haavatavuste ja intsidentidega seotud kohustused, tarnija seire |
| DORA | IKT kolmanda osapoole strateegia, kokkulepete register, hoolsuskontroll, kontsentratsioonianalüüs, lepinguklauslid, auditeerimisõigused, koostöö intsidentide korral ja väljumisplaanid | IKT tarnijaregister, kriitilisuse hinnang, lepingulised kontrollid, tegevuskerksuse testimise tõendusmaterjal, lõpetamistugi |
| GDPR | Vastutava töötleja ja volitatud töötleja rollid, DPA enne töötlemist, töötlemise turvalisus, koostöö rikkumise korral, alltöötlejate juhtimine, vastutuse tõendusmaterjal | DPA värav, andmete kaardistamine, alltöötlejate loend, tehnilised ja korralduslikud meetmed, säilitamis- ja kustutamiskohustused |
| CRA ootused | Tooteturve, turvaline arendus, haavatavuste avalikustamine, uuenduste tugi, komponentide läbipaistvus ja turbe tõendusmaterjal | RFP tooteturbe ajakava, SBOM või samaväärne tõendusmaterjal, paikamise SLA-d, haavatavuste avalikustamise kohustused |
| NIST CSF 2.0 | Tarneahela riskijuhtimine, tarnijarollid, lepingud, hoolsuskontroll, seire, intsidendi planeerimine ja lõpetamisjärgne planeerimine | Hetke- ja sihtprofiili puudujääkide tegevused, tarnijariskide register, seiresagedus |
| COBIT 2019 ja ISACA auditi praktika | Hankimise juhtimine, riskivastutus, kontrollieesmärgid, protsessi tõendusmaterjal ja kasu-riski-ressursi tasakaal | Otsusekirjed, RACI, riski aktsepteerimine, mõõdikud, siseauditi auditijälg |
NIST CSF 2.0 on kasulik kommunikatsioonikiht. Selle GOVERN-funktsioon rõhutab õiguslikku, regulatiivset, lepingulist, privaatsus- ja sõltuvusteadlikkust. Selle GV.SC tarneahela tulemused nõuavad tarneahela riskijuhtimise protsesse, tarnijarolle, tarnijate prioriseerimist kriitilisuse alusel, lepingulisi nõudeid, hoolsuskontrolli, seiret, intsidendi planeerimist ja lõpetamise planeerimist.
See vastendub selgelt Zenith Blueprint Step 23-ga ja ISO/IEC 27002:2022 kontrollimeetmetega 5.19 kuni 5.21, nagu need on vastendatud Zenith Controls lahenduses. Samuti annab see juhatustele keele, millest nad aru saavad: hetkeseis, sihtseis, puudujääk, risk, tegevus, omanik ja kuupäev.
Mida audiitorid küsivad
Tugev turbenõuetest lähtuv hankemenetlus peab taluma erinevaid auditivaateid.
ISO/IEC 27001:2022 audiitor alustab ISMS-i kontekstist ja kohaldamisalast. Ta küsib, kas tarnijaliidesed ja sõltuvused on hõlmatud, kas huvitatud osapoolte nõuded sisaldavad NIS2, DORA, GDPR ja kliendilepinguid ning kas tarnijariske hinnatakse riskimetoodika alusel järjepidevalt. Seejärel järgib ta jälge riskikäsitluse, kohaldatavusavalduse, tarnijakontrollide, operatiivse tõendusmaterjali, siseauditi ja juhtkonnapoolse ülevaatuseni.
DORA läbivaataja keskendub IKT-toega ärifunktsioonidele, kriitilistele või olulistele funktsioonidele, kolmanda osapoole sõltuvuste kirjetele, lepinguklauslitele, auditi- ja juurdepääsuõigustele, koostööle intsidentide korral, tegevuskerksuse testimisele, väljumisstrateegiatele ja kontsentratsiooniriskile. Kui SaaS toetab kriitilist või olulist funktsiooni, ei piisa kergest tarnijaküsimustikust.
NIS2 pädev asutus küsib, kuidas organisatsioon hindas tarnijate küberturvalisuse praktikaid, otseste tarnijate haavatavusi, intsidentidest teavitamise tuge, järjepidevussõltuvusi ja turvalise omandamise otsuseid. Ta kontrollib, kas tarnijaturbe tõendamine toetab organisatsiooni enda Article 21 ja Article 23 kohustusi.
GDPR läbivaataja küsib, kas vastutava töötleja ja volitatud töötleja rollid olid enne töötlemise algust mõistetud, kas DPA või samaväärsed tingimused lepiti kokku enne andmete jagamist, kas alltöötlejad avalikustati, kas turvameetmed olid asjakohased, kas koostöö rikkumise korral on lepinguline ning kas andmete tagastamine või kustutamine on jõustatav.
COBIT 2019 või ISACA-stiilis audiitor keskendub juhtimisele ja vastutusele: kes tarnija heaks kiitis, milline risk aktsepteeriti, kas poliitikanõudeid järgiti, kas erandeid jälgitakse ning kas kasu, risk ja ressursid olid tasakaalus.
Teie tõendusmaterjali pakett peaks sisaldama tarnija klassifitseerimist, ettevõtte omaniku heakskiitu, riskihindamist, RFP turbenõudeid, tarnija vastuseid, DPA-d, turbelisa, SLA-d, auditeerimisõigusi, alltöötlejate registrit, haavatavustega seotud kohustusi, intsidendiklausleid, pilveasukoha tõendusmaterjali, logimise ja krüptimise tõendusmaterjali, väljumistingimusi, kordushindamise kirjeid, erandeid ja kohaldatavusavalduse vastendust.
Levinud veamustrid tarkvara ostmisel
Esimene viga on käsitleda hanget ärilise töövoona ja turvet tehnilise töövoona. Selleks ajaks, kui turvameeskond lepingu kätte saab, on äri juba psühholoogiliselt pühendunud, kasutuselevõtu kuupäev välja kuulutatud ja läbirääkimisjõud nõrk.
Teine viga on tõendusmaterjali asendamine. Tarnija esitab sertifikaadi ja ostja eeldab, et see vastab kõigile küsimustele. Sertifitseerimine võib aidata, kuid see ei pruugi katta täpset toodet, majutuspiirkonda, tugimudelit, alltöövõtjate ahelat, intsidendikohustusi, tehisintellekti andmekasutust ega väljumisnõudeid.
Kolmas viga on edasise tarneahelariski märkamata jätmine. SaaS-tarnija võib tugineda pilvemajutusele, analüütikatööriistadele, tugiplatvormidele, offshore-arendusmeeskondadele, tehisintellekti mudelipakkujatele ja maksetöötlejatele. ISO/IEC 27002:2022 kontroll 5.21 nõuab tähelepanu otsese tarnija taga olevale IKT tarneahelale. DORA kontekstis seostub see alltöövõtu ja kontsentratsiooniriskiga. GDPR kontekstis seostub see alltöötlejatega. NIS2 kontekstis seostub see otseste tarnijate haavatavuste ja tarnijate küberturvalisuse praktikatega.
Neljas viga on nõrk intsidendisõnastus. Leping, mis ütleb „tarnija teavitab klienti viivitamata“, ei pruugi toetada NIS2 varajast hoiatust, DORA etapiviisilist aruandlust, kliendikommunikatsiooni ega sisemist eskaleerimist. Intsidendiklauslid vajavad tähtaegu, käivitajaid, kontakte, koostöökohustusi ja tõendusmaterjali kohustusi.
Viies viga on ebaselged väljumisõigused. Kui tarnija muutub ebaturvaliseks, nõuetele mittevastavaks, omandatakse, muutub maksejõuetuks või strateegiliselt sobimatuks, vajab ostja eksporti, kustutamist, üleminekutuge, kontode deaktiveerimist ja hävitamise tõendusmaterjali. Väljumine ei ole õiguslik järelmõte. See on talitluspidevuse kontrollimeede.
Hankeväravast elava tarnijakindluseni
Turbenõuetest lähtuv hange ei lõpe allkirjastamisega. Küps Clarysec-stiilis tarnija elutsükkel koosneb viiest etapist.
| Elutsükli etapp | Kontrollitegevus | Tõendusmaterjali kirje |
|---|---|---|
| Vajadus | Ärivajadus, andmed ja kriitilisus tuvastatakse enne turule pöördumist | Sisendvorm, andmete klassifitseerimine, kriitilisuse hinnang |
| Valik | RFP sisaldab turbe-, privaatsus-, talitluspidevus- ja tootekindluse nõudeid | RFP ajakava, tarnija vastused, hindamistabel |
| Leping | Kohustused muutuvad jõustatavaks enne allkirjastamist | DPA, turbelisa, SLA, auditeerimisõigused, intsidendi- ja väljumisklauslid |
| Kaasamine | Juurdepääs, konfiguratsioon, logimine, krüptimine ja andmevood valideeritakse | Kaasamise kontrollnimekiri, juurdepääsu heakskiidud, konfiguratsiooni tõendusmaterjal |
| Toimimine | Tarnijariski jälgitakse ja hinnatakse uuesti | Läbivaatamise sagedus, ajakohastatud tõendusmaterjal, intsidendid, muudatused, riski aktsepteerimine |
Kõrge riskiga tarnijate puhul peaks seire hõlmama tõendusmaterjali värskendamist, turbeülevaatuse koosolekuid, osalemist intsidendi lauaõppuses, juurdepääsuõiguste ülevaatamist, haavatavuste ja paikamise aruandlust, teenusemuudatuste ülevaatust ning alltöötlejate uuendusi. Madalama riskiga tarnijate puhul võib piisata iga-aastasest läbivaatamisest. ISO 27001 skaleeritavus, NIS2 proportsionaalsus ja DORA proportsionaalsus toetavad kohandamist, kuid kohandamine peab olema põhjendatud ja dokumenteeritud.
Clarysec järgmine samm
Järgmine riskantne SaaS-ost ei oota täiuslikku juhtimismudeli ümberkujundamist. Alustage järgmisest hanketaotlusest.
Kasutage Zenith Blueprint: audiitori 30-sammuline teekaart dokumenti, et rakendada Step 23 tarnijasuhete kontrollimeetmed ja Step 21 allhankearenduse kontrollimeetmed. Kasutage Zenith Controls lahendust, et vastendada ISO/IEC 27002:2022 kontrollimeetmed 5.19, 5.20 ja 5.21 NIS2, DORA, GDPR, NIST CSF 2.0 ja COBIT-põhiste auditi ootustega. Kasutage Clarysec poliitikakogu, sealhulgas kolmandate osapoolte ja tarnijate turbepoliitikat, Rakendusturbe nõuete poliitikat, Pilveteenuste kasutamise poliitikat ja Õigusnormidele vastavuse poliitikat, et muuta värav jõustatavaks.
Enne järgmise lepingu allkirjastamist nõudke tarnija klassifitseerimist, turbe tõendusmaterjali, DPA valmisolekut, intsidendikohustusi, haavatavuste käsitlemist, alltöövõtjate läbipaistvust, auditeerimisõigusi ja väljumistingimusi.
See on turbenõuetest lähtuv hange. Nii muudavad CISO-d regulatiivse surve ostujõuks. Nii koondavad vastavusjuhid kattuvad kohustused ühte tõendusfaili. Nii näevad audiitorid, et tarnijariski kaaluti enne sõltuvuse tekkimist. Ja nii saavad ettevõtte omanikud tarkvara kiiremini osta ilma juhitamata riski pärimata.
Kas olete valmis muutma järgmise tarkvaraostu auditikõlblikuks kontrollimeetmeks? Tutvuge Clarysec integreeritud poliitikakomplektiga, laadige alla Zenith Blueprint, vaadake üle Zenith Controls või leppige kokku demo, et luua turbenõuetest lähtuv hankeprogramm, mis peab vastu NIS2, DORA, GDPR, CRA ootustele ja tegelikule audiitori kontrollile.
About the Author

Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council