⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →

Turbenõuetest lähtuv tarkvarahange 2026. aastal

Igor Petreski

On 2026. aasta alguse teisipäeva hommik ning kiiresti kasvava Euroopa makseettevõtte CISO Maria esineb juhatuse ees. Päevakorra viimane punkt peaks olema rutiinne: uue tehisintellektil põhineva pettuste tuvastamise platvormi heakskiitmine. Tarnijal on muljetavaldav demo, piiratud ajaga soodustus, üheleheküljeline turbeülevaade ja standardleping.

Siis algavad küsimused.

Tegevjuht küsib: „Kuidas me teame, et see platvorm on turvaline? Meie finantsteenuste kliendid küsivad DORA vastavuse tõendusmaterjali ning see tarnija muutub osaks meie kriitilisest taristust.“

Õigusosakond küsib, kas andmetöötlusleping on valmis, kus töödeldakse ELi klientide andmeid ja kas alltöötlejad on avalikustatud. Talitluspidevuse eest vastutav juht küsib väljumise planeerimise, varukoopiate ekspordi ja kriitiliste funktsioonide järjepidevuse kohta. Tooteturbe insener küsib haavatavuste avalikustamise, paikamise tõendusmaterjali ning SBOM-i või samaväärse komponentide läbipaistvuse avalduse kohta. Hanketiim esitab küsimuse, mis muudab tarnijariski kalliks: „Kas saame praegu heaks kiita ja dokumendid pärast allkirjastamist kokku koguda?“

See on hetk, mil kaasaegne tarkvarahange muutub kas kontrollimeetmeks või tulevaseks intsidendiaruandeks.

  1. aastal ei saa turvaline tarkvarahange tugineda lepingujärgsele heale tahtele. NIS2 tarneahela turve, DORA IKT kolmanda osapoole risk, GDPR volitatud töötleja vastutus ja Cyber Resilience Act tooteturbe ootused on toonud tarnijaturbe tõendamise hanke otsustuspunkti. Ostjad vajavad turbenõuetest lähtuvat tarkvarahanget, kus klient määratleb turbe tõendusmaterjali, lepinguklauslid, kaasamise kontrollväravad ja operatiivsed vastutused enne ostu.

Clarysec klientide jaoks ei ole vastus järjekordne tabel, mis e-kirjadesse sureb. Vastus on ISO/IEC 27001:2022-ga kooskõlas olev hankekontrollide süsteem, mis on vastendatud Clarysec poliitikate, Zenith Blueprint: audiitori 30-sammuline teekaart ja Zenith Controls kaudu, nii et igal tarkvara- või SaaS-ostul on kaitstav jälg ärivajadusest tarnijariski otsuseni.

Turbenõuetest lähtuv hankimine on uus tarkvarahanke kontrollimeede

Turvalisus kavandamisel on tavaliselt tarnijapoolne teema. Turbenõuetest lähtuv hankimine on ostjapoolne distsipliin: organisatsioon ei osta tarkvara, kui tarnija ei suuda tõendada, et turvalisus, privaatsus, talitluspidevus, haavatavuste käsitlemine ja auditeeritavus on pakkumisse sisse ehitatud.

See muudab ostudialoogi. Selle asemel et küsida „Kas teil on turve olemas?“, esitab hange täpsemaid küsimusi:

  • Milliseid andmeid te töötlete, kus ja millises õiguslikus rollis?
  • Milline ärifunktsioon hakkab teist sõltuma ja kui kriitiline see on?
  • Milline tõendusmaterjal näitab, et teie kontrollimeetmed toimivad, mitte üksnes seda, et need on dokumenteeritud?
  • Milliste intsidentidest teatamise tähtaegadega te lepinguliselt nõustute?
  • Millist haavatavuste avalikustamise, paikamise, SBOM-i või VEX-i tõendusmaterjali saate esitada?
  • Millised alltöövõtjad või alltöötlejad puutuvad kokku meie andmete või teenusega?
  • Kas saame lepingu kehtivuse ajal auditeerida, kontrollida või tõendusmaterjali küsida?
  • Mis juhtub lepingu lõpetamisel, migreerimisel, rikkumise, maksejõuetuse või regulatiivse päringu korral?

ISO/IEC 27001:2022 annab sellele muutusele juhtimissüsteemi selgroo. Punkt 4 nõuab, et organisatsioon mõistaks konteksti, huvitatud osapooli ja ISMS-i kohaldamisala, sealhulgas väliseid regulatiivseid ja tarnijatega seotud nõudeid. Punkt 5 muudab tarnijariski juhtkonna ja juhtimise vastutuseks. Punkt 6 nõuab riskihindamist, riskikäsitlust, kontrollimeetmete valikut, kohaldatavusavaldust ja jääkriski otsuseid. Punkt 8 nõuab protsesside kontrollitud toimimist, sealhulgas väliselt osutatavaid protsesse. Punkt 9 nõuab seiret, siseauditit ja juhtkonnapoolset ülevaatust.

See tähendab, et tarkvarahange ei ole pelgalt äriline töövoog. Sellest saab toimiv ja auditeeritav ISMS-i protsess. Regulaatorid ja audiitorid küsivad üha sagedamini, miks organisatsioon aktsepteeris tarnijat enne riski mõistmist. Turbenõuetest lähtuv hange annab selge vastuse: risk hinnati, käsitleti, kaeti lepinguga ja määrati vastutajale enne sõltuvuse tekkimist.

Miks NIS2, DORA, GDPR ja CRA koonduvad tarnija valiku juurde

Maria juhatus küsib õigeid küsimusi, sest üks tarkvaratarnija võib korraga käivitada mitu kohustust.

NIS2 kohaldub sektori, suuruse ja kriitilisuse alusel; Annex I ja Annex II toovad kohaldamisalasse paljud digitaalsed, finants-, taristu-, hallatud teenuste ja pilvest sõltuvad organisatsioonid. Article 21 nõuab asjakohaseid ja proportsionaalseid tehnilisi, operatiivseid ja organisatsioonilisi meetmeid, sealhulgas tarneahela turvet, turvalist omandamist, turvalist arendust ja hooldust, haavatavuste käsitlemist, juurdepääsukontrolli, varahaldust, talitluspidevust, intsidentide käsitlemist ja kontrollimeetmete tõhususe hindamist. Article 21(3) nõuab eraldi tähelepanu otseste tarnijate haavatavustele ja tarnijate küberturvalisuse praktikatele. Article 23 loob olulistest intsidentidest etapiviisilise teavitamise ootused, sealhulgas varajase hoiatuse 24 tunni jooksul ja teavituse 72 tunni jooksul.

DORA kohaldub alates 17. jaanuarist 2025 kohaldamisalasse kuuluvatele finantsüksustele. See loob ühtsed nõuded IKT-riski juhtimisele, IKT-ga seotud intsidentidest teatamisele, digitaalse tegevuskerksuse testimisele ja IKT kolmanda osapoole riskijuhtimisele. DORA on hangete osas eriti ettekirjutav. Finantsüksused vajavad IKT kolmanda osapoole riskistrateegiaid, IKT-teenuste kokkulepete registreid, hoolsuskontrolli, kontsentratsiooniriski analüüsi, kirjalikke lepinguid turbe- ja talitluspidevuse nõuetega, auditi- ja juurdepääsuõigusi, koostöökohustusi, lõpetamisõigusi ning väljumisplaane. Articles 28 ja 30 on IKT kolmanda osapoole riski ja lepinguliste kontrollide keskmes, samas kui Articles 17 kuni 23 kujundavad intsidendihalduse ja aruandluse.

GDPR lisab volitatud töötleja vastutuse kontrollvärava. Articles 5, 28, 32, 33 ja 34 nõuavad vastutust, volitatud töötleja lepinguid, asjakohast turvet, koostööd rikkumisest teavitamisel ja andmesubjektile avalduva mõju käsitlemist. SaaS-tarnija, kes töötleb isikuandmeid, ei ole pelgalt tarnija. Temast saab osa vastutava töötleja vastavuspositsioonist. DPA, tehnilised ja korralduslikud meetmed, alltöötlejate loend, edastamise kaitsemeetmed, säilitamisreeglid ja kustutamiskohustused peavad olema selged enne töötlemise algust.

CRA ootused lisavad tootekindluse. Isegi kui ostja ei ole tootja, peaksid hanketiimid nõudma tõendusmaterjali turvalise arenduse, haavatavuste käsitlemise, tootetoe, turvauuenduste, koordineeritud haavatavuste avalikustamise ja komponentide läbipaistvuse kohta, näiteks SBOM-i või samaväärset avaldust. Need nõuded kuuluvad RFP-desse, turbelisadesse ja vastuvõtuväravatesse.

Ühine põhimõte on lihtne: ostu sooritav organisatsioon peab teadma, mida ta ostab, millist riski ta sisse toob ja millist tõendusmaterjali ta saab esitada, kui regulaatorid, kliendid või audiitorid küsivad.

ISO 27001 kontrollimeetmete selgroog tarnijaturbe tõendamiseks

Kõige tõhusam turbenõuetest lähtuva hanke mudel ei ole regulatsioonipõhine. See on kontrollimeetmepõhine. Clarysec kasutab ISO/IEC 27001:2022 standardit ISMS-i selgroona, mida toetavad ISO/IEC 27002:2022 kontrollimeetmete juhised ja ristvastavuse vastendus Zenith Controls lahenduses.

Zenith Controls seob tarnijaturbe tõendamise ISO/IEC 27002:2022 kontrollimeetmetega 5.19, 5.20 ja 5.21. Need ei ole eraldiseisvad kontrollnimekirja punktid. Need moodustavad hanke elutsükli.

ISO/IEC 27002:2022 kontrollimeedeHankeküsimusTurbenõuetest lähtuv tõendusmaterjalPeamine vähendatav risk
5.19 Infoturve tarnijasuhetesKas peaksime selle tarnijaga üldse koostööd tegema?Tarnija klassifitseerimine, hoolsuskontroll, riskihinnang, omanik, kordushindamise sagedusTundmatu tarnijakokkupuude
5.20 Infoturbe käsitlemine tarnijalepingutesKas meie nõuded on jõustatavad?Turbelisa, DPA, SLA, auditeerimisõigused, intsidentidest teavitamine, alltöövõtja klauslid, väljumisklauslidLepinguline nõrkus
5.21 Infoturbe juhtimine IKT tarneahelasKas edasised IKT-sõltuvused võivad meid kompromiteerida?Alltöövõtjate loend, alltöötlejate kontrollid, pilvearhitektuur, komponentide tõendusmaterjal, haavatavuste käsitlemine, kontsentratsioonianalüüsVarjatud tarneahela- ja tehnoloogiarisk

Zenith Controls vastendab need ISO kontrollimeetmed regulatiivsete ja auditi ootustega. See ei loo eraldi omandiõiguslikke kontrollimeetmeid nimega Zenith Controls. See aitab meeskondadel mõista, kuidas ISO/IEC 27002:2022 kontrollimeetmed toetavad NIS2, DORA, GDPR, NIST CSF 2.0 ja COBIT-põhist kindlust.

Oluline on ka toetav kontrollivõrgustik. Tarnijaturbe tõendamine on seotud varahalduse, juurdepääsukontrolli, pilveturbe, haavatavuste halduse, logimise, intsidendihalduse, IKT valmisolekuga talitluspidevuseks, turvalise arenduse, rakendusturbe, konfiguratsioonihalduse, varundamise, liiasuse, õigusliku vastavuse, privaatsuse, muudatuste juhtimise ja sõltumatu läbivaatusega. Hange koordineerib protsessi, kuid riskivastutus peab hõlmama ettevõtte omanikku, infoturvet, õigusvaldkonda, privaatsust, IT-d, finantse ja teenuseomanikku.

Clarysec poliitikaväravad enne allkirjastamist

Clarysec poliitikamudel nihutab tarnijaturbe tõendamise teadlikult varasemasse etappi. Kõige tugevam sõnastus on seal, kuhu see kuulub: enne lepingute allkirjastamist, enne pilvetellimuste aktiveerimist ja enne andmete jagamist.

Clarysec kolmandate osapoolte ja tarnijate turbepoliitika VKE versioon sätestab:

Hinda ja dokumenteeri tarnijariskid enne lepingute allkirjastamist või juurdepääsu andmist.

See pärineb jaotisest „Eesmärgid“, poliitikaklausel 3.3. Klausel on lühike, sest kontrollieesmärk ei ole läbiräägitav: puudub riskihindamine, puudub leping, puudub juurdepääs.

Ettevõttekeskkondade jaoks tugevdab Clarysec kolmandate osapoolte ja tarnijate turbepoliitika lepingueelset väravat:

Kõik uued tarnijad peavad enne lepingu sõlmimist läbima dokumenteeritud turbehindamise.

See pärineb jaotisest „Poliitika rakendamise nõuded“, poliitikaklausel 6.1.1. Sama poliitika määratleb jaotises „Juhtimisnõuded“, poliitikaklauslis 5.3.4 ka „õigused auditeerida, kontrollida ja küsida turbe tõendusmaterjali“.

Pilve- ja SaaS-ostude puhul lisab VKE Pilveteenuste kasutamise poliitika praktilise heakskiiduvärava:

Kõik pilveteenuste kasutusjuhud peab enne rakendamist või tellimust läbi vaatama ja heaks kiitma General Manager (GM).

See pärineb jaotisest „Juhtimisnõuded“, poliitikaklausel 5.1. Väikeses organisatsioonis võib see heakskiit olla pilvejuhtimise nõukogu ekvivalent. Ettevõttes muutub see töövooks hanke, turbe, privaatsuse ja arhitektuuri vahel. Ettevõtte Pilveteenuste kasutamise poliitika toetab ka lepingulisi pilvenõudeid, sealhulgas jõustatavaid sätteid CSP-lepingutes.

Tarkvara omandamise kohta on ettevõtte Rakendusturbe nõuete poliitika selgesõnaline:

Tarkvara omandamise või allhankekokkulepped peavad sisaldama turbenõudeid RFP-des, lepingutes ja SLA-des, sealhulgas sätteid haavatavuste kõrvaldamise tähtaegade ja kolmanda osapoole auditiõiguste kohta.

See pärineb jaotisest „Juhtimisnõuded“, poliitikaklausel 5.4. Pange tähele järjestust: RFP-d, lepingud ja SLA-d. Turve ilmub turule pöördumise etapis, mitte hankevõidu järgse lisana.

GDPR-põhiste hangete puhul nõuab Clarysec VKE Õigusnormidele vastavuse poliitika:

Andmetöötluslepingu (DPA) klauslid või samaväärsed lepingutingimused tuleb kokku leppida enne isikuandmete või tundlike andmete jagamist.

See pärineb jaotisest „Poliitika rakendamise nõuded“, poliitikaklausel 6.3.2. See väldib üht kõige levinumat SaaS-i kasutuselevõtu viga: isikuandmete üleslaadimist tööriista enne volitatud töötleja tingimuste, rikkumiskohustuste ja alltöötlejate tingimuste kokkuleppimist.

Tarnija rakendusturbe puhul nõuab VKE Rakendusturbe nõuete poliitika, et hange:

määratleks kohustused haavatavuste avalikustamise, reageerimisaegade ja paikamise kohta.

See pärineb jaotisest „Juhtimisnõuded“, poliitikaklausel 5.3.2. Samuti sätestab see:

GM peab vajaduse korral küsima dokumentatsiooni või sertifikaate (nt SOC 2, ISO 27001, turbetestide aruanded) tarnija vastavuse tõendusmaterjalina.

See pärineb jaotisest „Poliitika rakendamise nõuded“, poliitikaklausel 6.3.2. Võtmesõna on tõendusmaterjal. Turbenõuetest lähtuv hange ei põhine usaldusväidetel. See põhineb läbivaadatavatel artefaktidel.

Zenith Blueprint hanke kontrollvärav

Zenith Blueprint käsitleb tarnijaturvet toimiva kontrollimeetmena, mitte hankelozungina. Faasis „Controls in Action“ hõlmab Step 23 organisatsioonilisi kontrollimeetmeid 5.19 kuni 5.37, sealhulgas infoturvet tarnijasuhetes.

Blueprint selgitab:

See algab tarnija klassifitseerimisest. Kõik tarnijad ei kanna sama riski. Koristusteenusel võib olla füüsiline juurdepääs kontoritele, kuid mitte võrkudele. Penetratsioonitestimise ettevõttel või pilvemajutuse teenuseosutajal võib seevastu olla sügav tehniline juurdepääs teie taristu südamesse. Klassifitseerimisel tuleb arvestada, kas tarnija käitleb või töötleb teie teavet vahetult, kas ta pakub taristut või platvorme, millel te tegutsete, kas ta haldab või hooldab süsteeme teie nimel ning kas tema kompromiteerimine võiks mõjutada teie konfidentsiaalsuse, tervikluse või käideldavuse eesmärke.

Kontrolli 5.20 kohta on Blueprint otsekohene:

Tarnijalepingutes käsitletavad põhivaldkonnad hõlmavad tavaliselt konfidentsiaalsuskohustusi; juurdepääsukontrolli vastutusi; tehnilisi ja korralduslikke meetmeid andmekaitse, krüptimise, turvalise edastuse, varundamise ja käideldavuse kohustuste jaoks; intsidentidest teavitamise tähtaegu ja protokolle; auditeerimisõigust, sealhulgas sagedust, ulatust ja juurdepääsu asjakohasele tõendusmaterjalile; alltöövõtjate kontrolle; ning lepingu lõppemise sätteid, nagu andmete tagastamine või hävitamine, varade taastamine ja kontode deaktiveerimine.

See järeldab, et kontroll 5.20 on „teie viimane mõjupositsioon“ ja „kuulub hankeväravasse“. Kui leping on allkirjastatud, väheneb mõjuvõim. Enne allkirjastamist saab tõendusmaterjali ja kohustused muuta ostutingimusteks.

Allhankearenduse puhul lisab faasi „Controls in Action“ Step 21 kontroll 8.30 veel ühe hankenõude. Blueprint sätestab:

Selle kontrolli keskmes on põhimõte, et turve peab olema lepinguline nõue, mitte suuline ootus.

Allhankemeeskonnad peavad vastama samadele turvalise arenduse standarditele nagu sisemised meeskonnad, sealhulgas staatiline analüüs, vastastikune hindamine, krüptimine, MFA repositooriumidesse, ning nähtavus koodi, arhitektuuriotsuste, haavatavuste, muudatustaotluste, CI/CD logide ja skannimistulemuste üle.

Ehita turbenõuetest lähtuv RFP-värav ühe pärastlõunaga

Oletame, et teie organisatsioon soovib kliendianalüütika platvormi. See hakkab sisse võtma kliendi identifikaatoreid, käitumissündmusi, toe metaandmeid ja tehinguviiteid. Ettevõtte omanik soovib kiiret heakskiitu. Turvameeskonnal on üks nädal.

Alustage hankevärava kirjega, kasutades alusdokumentidena kolmandate osapoolte ja tarnijate turbepoliitikat, Rakendusturbe nõuete poliitikat, Pilveteenuste kasutamise poliitikat, Õigusnormidele vastavuse poliitikat ja Zenith Blueprint Step 23.

Värava väliNäidiskanne
Tarnija nimiKliendianalüütika SaaS-tarnija
Teenuse tüüpPilvepõhine SaaS, mis töötleb kliendi- ja kasutusandmeid
Ettevõtte omanikKlienditoimingute juht
Kaasatud andmedKliendi identifikaatorid, kasutussündmused, toe metaandmed, tehinguviited
GDPR rollTarnija tõenäoliselt volitatud töötleja, organisatsioon vastutav töötleja
KriitilisusKõrge, kui kasutatakse klienditeenindusotsusteks; keskmine, kui ainult analüütikaks
NIS2 asjakohasusTarnija toetab digiteenuste toiminguid ja võib mõjutada intsidendi mõju
DORA asjakohasusAsjakohane, kui analüütika toetab finantsteenuste toiminguid või kriitilise funktsiooni aruandlust
CRA kindluse asjakohasusTooteturve, haavatavuste käsitlemine, uuenduste tugi, komponentide läbipaistvus
Esmane riskihinnangKõrge kuni DPA, intsidendi-, alltöövõtja- ja eksporditõendid on esitatud
Heakskiidu tingimusLepingut ei sõlmita enne turbehindamist, DPA-d ja turbelisa läbivaatamist

Lisage RFP-le turbenõuetest lähtuv küsimustik. Vältige üldisi küsimusi, nagu „Kas te krüptite andmeid?“. Küsige tõendusmaterjalile suunatud küsimusi:

  1. Esitage oma kehtiv sõltumatu turbekindluse aruanne, sertifikaat või samaväärne kontrollimeetmete tõendusmaterjal.
  2. Määratlege majutusasukohad, andmete asukoha valikud, varukoopiate asukohad ja tugijuurdepääsu asukohad.
  3. Esitage DPA, alltöötlejate loend ja teavitusprotsess alltöötlejate muudatuste kohta.
  4. Kinnitage intsidentidest teavitamise tähtajad, sealhulgas 24-tunnise varajase hoiatuse tugi olukordades, kus NIS2 töövood võivad käivituda, ning etapiviisilise aruandluse tugi DORA-reguleeritud klientidele.
  5. Esitage haavatavuste avalikustamise poliitika, tõsiduspõhised paikamise SLA-d ja tõendusmaterjal hiljutise haavatavuste kõrvaldamise juhtimise kohta.
  6. Esitage tooteturbe tõendusmaterjal, näiteks turvalise arenduse elutsükli kirjeldus, penetratsioonitesti kokkuvõte, SBOM või komponentide läbipaistvuse avaldus ning turvauuenduste tugiperiood.
  7. Kinnitage MFA, vähima privileegi põhimõte, logimine, haldusjuurdepääsu seire ning kliendi auditi- või tõendusmaterjali taotlemise õigused.
  8. Kirjeldage ekspordi, kustutamise, tagastamise, lõpetamistoe ja üleminekuabi korda.
  9. Loetlege teenust toetavad olulised alltöövõtjad ja IKT-sõltuvused.
  10. Kinnitage, kas kliendiandmeid kasutatakse koolituseks, analüütikaks, toote täiustamiseks või tehisintellekti mudeli arendamiseks, ning määratlege õiguslik alus või volitatud töötleja juhiste mudel.

Seejärel hinnake tarnijat enne läbirääkimisi.

Nõude valdkondLäbimise tingimusTagasilükkamise või eskaleerimise tingimus
Turbe tõendusmaterjalKehtiv kindlusaruanne, turbetestide kokkuvõte või samaväärne dokumentatsioonAinult turundusväited, tõendusmaterjal puudub
GDPR volitatud töötleja valmisolekDPA aktsepteeritud enne andmete jagamist, alltöötlejad avalikustatudDPA lükatakse edasi pärast kaasamist või alltöötlejate tingimused on ebamäärased
IntsidendikohustusedLepinguline teavitustähtaeg, eskalatsioonikontaktid, kliendimõju tugiTarnija keeldub konkreetsetest teavitamis- või koostöökohustustest
Haavatavuste käsitlemineAvalikustamiskanal, tõsiduspõhine parandamise SLA, paikamisprotsessi tõendusmaterjalAvalikustamisprotsess puudub või parandusmeetmete kohustused puuduvad
IKT tarneahelMajutus, alltöövõtjad ja kriitilised sõltuvused avalikustatudTarnija ei tuvasta kriitilisi edasisi teenuseosutajaid
Väljumine ja talitluspidevusEksport, kustutamine, varundus ja lõpetamisabi dokumenteeritudTestitud ekspordi või kustutamise tõendusmaterjal puudub
AuditeeritavusÕigus küsida tõendusmaterjali, kontrollida või proportsionaalselt auditeeridaTarnija ei võimalda pärast allkirjastamist sisulist kindlust

Lõpuks ajakohastage riskiregister ja kohaldatavusavaldus. Riskikäsitluse kirje peab näitama, miks ISO/IEC 27002:2022 kontrollimeetmed 5.19, 5.20 ja 5.21 kohalduvad, millised lepingulised ja tehnilised nõuded valiti, kes vastutab jääkriski eest ja milline seiresagedus kehtib. Kui äri soovib puudustest hoolimata jätkata, kasutage ametlikku riski aktsepteerimise kirjet koos aegumiskuupäeva, kompenseerivate kontrollimeetmete ja tippjuhtkonna heakskiiduga.

Lepinguklauslid, mis muudavad regulatsiooni jõustatavateks kohustusteks

Turbeootustest peavad saama lepingulised kohustused. Sertifikaat võib olla kasulik, kuid see annab harva vastuse kõigile küsimustele teie konkreetse teenuse, andmete asukoha, alltöövõtjate, tugimudeli, intsidendikohustuste või väljumisõiguste kohta.

Regulatiivne nõueClarysec poliitikajuhisLepinguklausli näide
DORA Article 30 auditeerimisõigused ja väljumisstrateegiaKolmandate osapoolte ja tarnijate turbepoliitika, klausel 5.3.4 nõuab „õigusi auditeerida, kontrollida ja küsida turbe tõendusmaterjali“Tarnija nõustub andma mõistliku etteteatamise korral juurdepääsu asjakohasele turbedokumentatsioonile ning toetama lepingu lõpetamisel korrapärast andmete tagastamist, kustutamist ja teenuse üleminekut.
NIS2 Article 21 tarneahela turve ja haavatavuste käsitlemineRakendusturbe nõuete poliitika, klausel 5.4 nõuab haavatavuste kõrvaldamise tähtaegu ja kolmanda osapoole auditiõigusiTarnija peab hoidma toimivat haavatavuste avalikustamise protsessi, teavitama klienti kriitilistest teenust mõjutavatest haavatavustest ja esitama tõsiduspõhised kõrvaldamise tähtajad.
GDPR Article 28 volitatud töötleja kohustusedÕigusnormidele vastavuse poliitika, klausel 6.3.2 nõuab DPA tingimusi enne andmete jagamistLeping hõlmab andmetöötluslepingut, mis reguleerib isikuandmeid, alltöötlejaid, turvameetmeid, koostööd rikkumise korral, säilitamist ja kustutamist.
Pilveteenuse juhtiminePilveteenuste kasutamise poliitika, klausel 5.1 nõuab läbivaatamist ja heakskiitu enne rakendamist või tellimustTarnija peab avalikustama majutuspiirkonnad, varukoopiate asukohad, krüptimiskontrollid, haldusjuurdepääsu kontrollid ja kliendiandmetele juurdepääsu logid.
CRA tooteturbe ootusedRakendusturbe nõuete poliitika - VKE, klausel 5.3.2 nõuab haavatavuste avalikustamist, reageerimisaegu ja paikamistTarnija peab esitama tooteturbe tõendusmaterjali, vajaduse korral komponentide läbipaistvuse, koordineeritud haavatavuste avalikustamise ja turvauuenduste kohustused.

See tabel on praktiline sild õiguslike kohustuste ja hanketöö vahel. Samuti aitab see õigusosakonnal, turbel ja hankel pidada läbirääkimisi samalt kontrollibaasilt.

Ristvastavuse vastendus: üks tarnijafail, mitu kohustust

ISO/IEC 27001:2022 kasutamise eelis selgroona on see, et üks tarnijaturbe tõendamise fail saab toetada mitut regulatiivset vestlust.

RaamistikMida hange peab tõendamaClarysec kontrollifookus
NIS2Juhtkonna järelevalve, tarneahela turve, turvaline omandamine, haavatavuste käsitlemine, intsidentide käsitlemine, talitluspidevus ja tarnijate küberturvalisuse praktikadTarnija klassifitseerimine, turbeklauslid, haavatavuste ja intsidentidega seotud kohustused, tarnija seire
DORAIKT kolmanda osapoole strateegia, kokkulepete register, hoolsuskontroll, kontsentratsioonianalüüs, lepinguklauslid, auditeerimisõigused, koostöö intsidentide korral ja väljumisplaanidIKT tarnijaregister, kriitilisuse hinnang, lepingulised kontrollid, tegevuskerksuse testimise tõendusmaterjal, lõpetamistugi
GDPRVastutava töötleja ja volitatud töötleja rollid, DPA enne töötlemist, töötlemise turvalisus, koostöö rikkumise korral, alltöötlejate juhtimine, vastutuse tõendusmaterjalDPA värav, andmete kaardistamine, alltöötlejate loend, tehnilised ja korralduslikud meetmed, säilitamis- ja kustutamiskohustused
CRA ootusedTooteturve, turvaline arendus, haavatavuste avalikustamine, uuenduste tugi, komponentide läbipaistvus ja turbe tõendusmaterjalRFP tooteturbe ajakava, SBOM või samaväärne tõendusmaterjal, paikamise SLA-d, haavatavuste avalikustamise kohustused
NIST CSF 2.0Tarneahela riskijuhtimine, tarnijarollid, lepingud, hoolsuskontroll, seire, intsidendi planeerimine ja lõpetamisjärgne planeerimineHetke- ja sihtprofiili puudujääkide tegevused, tarnijariskide register, seiresagedus
COBIT 2019 ja ISACA auditi praktikaHankimise juhtimine, riskivastutus, kontrollieesmärgid, protsessi tõendusmaterjal ja kasu-riski-ressursi tasakaalOtsusekirjed, RACI, riski aktsepteerimine, mõõdikud, siseauditi auditijälg

NIST CSF 2.0 on kasulik kommunikatsioonikiht. Selle GOVERN-funktsioon rõhutab õiguslikku, regulatiivset, lepingulist, privaatsus- ja sõltuvusteadlikkust. Selle GV.SC tarneahela tulemused nõuavad tarneahela riskijuhtimise protsesse, tarnijarolle, tarnijate prioriseerimist kriitilisuse alusel, lepingulisi nõudeid, hoolsuskontrolli, seiret, intsidendi planeerimist ja lõpetamise planeerimist.

See vastendub selgelt Zenith Blueprint Step 23-ga ja ISO/IEC 27002:2022 kontrollimeetmetega 5.19 kuni 5.21, nagu need on vastendatud Zenith Controls lahenduses. Samuti annab see juhatustele keele, millest nad aru saavad: hetkeseis, sihtseis, puudujääk, risk, tegevus, omanik ja kuupäev.

Mida audiitorid küsivad

Tugev turbenõuetest lähtuv hankemenetlus peab taluma erinevaid auditivaateid.

ISO/IEC 27001:2022 audiitor alustab ISMS-i kontekstist ja kohaldamisalast. Ta küsib, kas tarnijaliidesed ja sõltuvused on hõlmatud, kas huvitatud osapoolte nõuded sisaldavad NIS2, DORA, GDPR ja kliendilepinguid ning kas tarnijariske hinnatakse riskimetoodika alusel järjepidevalt. Seejärel järgib ta jälge riskikäsitluse, kohaldatavusavalduse, tarnijakontrollide, operatiivse tõendusmaterjali, siseauditi ja juhtkonnapoolse ülevaatuseni.

DORA läbivaataja keskendub IKT-toega ärifunktsioonidele, kriitilistele või olulistele funktsioonidele, kolmanda osapoole sõltuvuste kirjetele, lepinguklauslitele, auditi- ja juurdepääsuõigustele, koostööle intsidentide korral, tegevuskerksuse testimisele, väljumisstrateegiatele ja kontsentratsiooniriskile. Kui SaaS toetab kriitilist või olulist funktsiooni, ei piisa kergest tarnijaküsimustikust.

NIS2 pädev asutus küsib, kuidas organisatsioon hindas tarnijate küberturvalisuse praktikaid, otseste tarnijate haavatavusi, intsidentidest teavitamise tuge, järjepidevussõltuvusi ja turvalise omandamise otsuseid. Ta kontrollib, kas tarnijaturbe tõendamine toetab organisatsiooni enda Article 21 ja Article 23 kohustusi.

GDPR läbivaataja küsib, kas vastutava töötleja ja volitatud töötleja rollid olid enne töötlemise algust mõistetud, kas DPA või samaväärsed tingimused lepiti kokku enne andmete jagamist, kas alltöötlejad avalikustati, kas turvameetmed olid asjakohased, kas koostöö rikkumise korral on lepinguline ning kas andmete tagastamine või kustutamine on jõustatav.

COBIT 2019 või ISACA-stiilis audiitor keskendub juhtimisele ja vastutusele: kes tarnija heaks kiitis, milline risk aktsepteeriti, kas poliitikanõudeid järgiti, kas erandeid jälgitakse ning kas kasu, risk ja ressursid olid tasakaalus.

Teie tõendusmaterjali pakett peaks sisaldama tarnija klassifitseerimist, ettevõtte omaniku heakskiitu, riskihindamist, RFP turbenõudeid, tarnija vastuseid, DPA-d, turbelisa, SLA-d, auditeerimisõigusi, alltöötlejate registrit, haavatavustega seotud kohustusi, intsidendiklausleid, pilveasukoha tõendusmaterjali, logimise ja krüptimise tõendusmaterjali, väljumistingimusi, kordushindamise kirjeid, erandeid ja kohaldatavusavalduse vastendust.

Levinud veamustrid tarkvara ostmisel

Esimene viga on käsitleda hanget ärilise töövoona ja turvet tehnilise töövoona. Selleks ajaks, kui turvameeskond lepingu kätte saab, on äri juba psühholoogiliselt pühendunud, kasutuselevõtu kuupäev välja kuulutatud ja läbirääkimisjõud nõrk.

Teine viga on tõendusmaterjali asendamine. Tarnija esitab sertifikaadi ja ostja eeldab, et see vastab kõigile küsimustele. Sertifitseerimine võib aidata, kuid see ei pruugi katta täpset toodet, majutuspiirkonda, tugimudelit, alltöövõtjate ahelat, intsidendikohustusi, tehisintellekti andmekasutust ega väljumisnõudeid.

Kolmas viga on edasise tarneahelariski märkamata jätmine. SaaS-tarnija võib tugineda pilvemajutusele, analüütikatööriistadele, tugiplatvormidele, offshore-arendusmeeskondadele, tehisintellekti mudelipakkujatele ja maksetöötlejatele. ISO/IEC 27002:2022 kontroll 5.21 nõuab tähelepanu otsese tarnija taga olevale IKT tarneahelale. DORA kontekstis seostub see alltöövõtu ja kontsentratsiooniriskiga. GDPR kontekstis seostub see alltöötlejatega. NIS2 kontekstis seostub see otseste tarnijate haavatavuste ja tarnijate küberturvalisuse praktikatega.

Neljas viga on nõrk intsidendisõnastus. Leping, mis ütleb „tarnija teavitab klienti viivitamata“, ei pruugi toetada NIS2 varajast hoiatust, DORA etapiviisilist aruandlust, kliendikommunikatsiooni ega sisemist eskaleerimist. Intsidendiklauslid vajavad tähtaegu, käivitajaid, kontakte, koostöökohustusi ja tõendusmaterjali kohustusi.

Viies viga on ebaselged väljumisõigused. Kui tarnija muutub ebaturvaliseks, nõuetele mittevastavaks, omandatakse, muutub maksejõuetuks või strateegiliselt sobimatuks, vajab ostja eksporti, kustutamist, üleminekutuge, kontode deaktiveerimist ja hävitamise tõendusmaterjali. Väljumine ei ole õiguslik järelmõte. See on talitluspidevuse kontrollimeede.

Hankeväravast elava tarnijakindluseni

Turbenõuetest lähtuv hange ei lõpe allkirjastamisega. Küps Clarysec-stiilis tarnija elutsükkel koosneb viiest etapist.

Elutsükli etappKontrollitegevusTõendusmaterjali kirje
VajadusÄrivajadus, andmed ja kriitilisus tuvastatakse enne turule pöördumistSisendvorm, andmete klassifitseerimine, kriitilisuse hinnang
ValikRFP sisaldab turbe-, privaatsus-, talitluspidevus- ja tootekindluse nõudeidRFP ajakava, tarnija vastused, hindamistabel
LepingKohustused muutuvad jõustatavaks enne allkirjastamistDPA, turbelisa, SLA, auditeerimisõigused, intsidendi- ja väljumisklauslid
KaasamineJuurdepääs, konfiguratsioon, logimine, krüptimine ja andmevood valideeritakseKaasamise kontrollnimekiri, juurdepääsu heakskiidud, konfiguratsiooni tõendusmaterjal
ToimimineTarnijariski jälgitakse ja hinnatakse uuestiLäbivaatamise sagedus, ajakohastatud tõendusmaterjal, intsidendid, muudatused, riski aktsepteerimine

Kõrge riskiga tarnijate puhul peaks seire hõlmama tõendusmaterjali värskendamist, turbeülevaatuse koosolekuid, osalemist intsidendi lauaõppuses, juurdepääsuõiguste ülevaatamist, haavatavuste ja paikamise aruandlust, teenusemuudatuste ülevaatust ning alltöötlejate uuendusi. Madalama riskiga tarnijate puhul võib piisata iga-aastasest läbivaatamisest. ISO 27001 skaleeritavus, NIS2 proportsionaalsus ja DORA proportsionaalsus toetavad kohandamist, kuid kohandamine peab olema põhjendatud ja dokumenteeritud.

Clarysec järgmine samm

Järgmine riskantne SaaS-ost ei oota täiuslikku juhtimismudeli ümberkujundamist. Alustage järgmisest hanketaotlusest.

Kasutage Zenith Blueprint: audiitori 30-sammuline teekaart dokumenti, et rakendada Step 23 tarnijasuhete kontrollimeetmed ja Step 21 allhankearenduse kontrollimeetmed. Kasutage Zenith Controls lahendust, et vastendada ISO/IEC 27002:2022 kontrollimeetmed 5.19, 5.20 ja 5.21 NIS2, DORA, GDPR, NIST CSF 2.0 ja COBIT-põhiste auditi ootustega. Kasutage Clarysec poliitikakogu, sealhulgas kolmandate osapoolte ja tarnijate turbepoliitikat, Rakendusturbe nõuete poliitikat, Pilveteenuste kasutamise poliitikat ja Õigusnormidele vastavuse poliitikat, et muuta värav jõustatavaks.

Enne järgmise lepingu allkirjastamist nõudke tarnija klassifitseerimist, turbe tõendusmaterjali, DPA valmisolekut, intsidendikohustusi, haavatavuste käsitlemist, alltöövõtjate läbipaistvust, auditeerimisõigusi ja väljumistingimusi.

See on turbenõuetest lähtuv hange. Nii muudavad CISO-d regulatiivse surve ostujõuks. Nii koondavad vastavusjuhid kattuvad kohustused ühte tõendusfaili. Nii näevad audiitorid, et tarnijariski kaaluti enne sõltuvuse tekkimist. Ja nii saavad ettevõtte omanikud tarkvara kiiremini osta ilma juhitamata riski pärimata.

Kas olete valmis muutma järgmise tarkvaraostu auditikõlblikuks kontrollimeetmeks? Tutvuge Clarysec integreeritud poliitikakomplektiga, laadige alla Zenith Blueprint, vaadake üle Zenith Controls või leppige kokku demo, et luua turbenõuetest lähtuv hankeprogramm, mis peab vastu NIS2, DORA, GDPR, CRA ootustele ja tegelikule audiitori kontrollile.

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article