Anailís Tionchair Gnó le haghaidh ISO 27001, NIS2 agus DORA
An cheist iniúchta a nochtann an bhearna leanúnachais i ndáiríre
Maidin Dé Luain atá ann, agus tá Maria, CISO i ngnólacht FinTech atá ag fás go tapa, ag ullmhú do chruinniú Choiste Riosca an Bhoird. Tá líne an ábhair gairid: “Ullmhacht DORA agus NIS2: Athbhreithniú BIA.”
Tá a foireann tar éis an méid a mbíonn formhór na bhfeidhmeannach ag súil leis a chur le chéile. Tá ISMS deimhnithe ISO/IEC 27001:2022 ann, treoracha oibríochtúla freagartha do theagmhais, gabhálacha scáileáin chúltaca, tuarascálacha leochaileachta, ceistneoirí soláthraithe, léaráidí ailtireachta néalríomhaireachta agus clár rioscaí nuashonraithe. Tá custaiméirí fiontair ag seoladh ceistneoirí NIS2. Tá cliaint san earnáil airgeadais ag cur clásail DORA isteach i gconarthaí. Níl iniúchadh faireachais ISO/IEC 27001:2022 ach mí amháin ar shiúl.
Ansin cuireann an t-iniúchóir seachtrach an cheist a athraíonn atmaisféar an tseomra:
“Má bhíonn d’ardán ionduchtaithe custaiméirí as feidhm ar feadh 18 n-uaire an chloig, cé na seirbhísí rialáilte lena mbaineann sé, cé na soláthraithe atá i gceist, cad é an tosaíocht téarnaimh formheasta, agus cá bhfuil an fhianaise gur ghlac an gnó leis an RTO agus an RPO?”
Éiríonn an seomra ciúin.
Deir an sceideal cúltaca rud amháin. Deir an plean athshlánaithe ó thubaiste rud eile. Tá SLA infhaighteachta sa chonradh soláthraí, ach níl aon fhianaise ar thástáil téarnaimh ann. Luaitear infhaighteacht sa chlár rioscaí, ach ní mhínítear cén fáth a gcaithfidh seirbhís amháin téarnamh níos tapúla ná seirbhís eile. D’fhaomh an bhainistíocht an beartas slándála, ach níor fhaomh sí tionchar gnó an aga neamhfhónaimh.
Sin í fadhb na hAnailíse Tionchair Gnó in 2026.
Ní scarbhileog ceangailte le plean leanúnachais a thuilleadh í Anailís Tionchair Gnó, nó BIA. Is í an droichead fianaise í idir seirbhísí gnó, sócmhainní TFC, soláthraithe, tosaíochtaí téarnaimh, RTO/RPO, tairseacha teagmhais, tástáil athléimneachta agus cuntasacht an Bhoird. I gcás eagraíochtaí atá ag ailíniú ISO/IEC 27001:2022 le leanúnachas NIS2 agus athléimneacht TFC DORA, is sa BIA a éiríonn comhlíonadh oibríochtúil.
Tá cuid mhór de na rialuithe cearta ag na heagraíochtaí is láidre cheana féin. Is í an laige atá acu ná inrianaitheacht. Tiontaíonn an BIA fianaise scaipthe ina scéal atá réidh don iniúchadh: cad atá tábhachtach, cén fáth a bhfuil sé tábhachtach, cé chomh tapa a chaithfidh sé téarnamh, cé na spleáchais a thacaíonn leis, cad a tástáladh, cad a theip, cad a feabhsaíodh, agus cé a d’fhaomh an riosca iarmharach.
Cén fáth ar dliteanas anois iad sean-scarbhileoga BIA
D’athraigh NIS2 agus DORA ton an chomhlíonta leanúnachais. Ní láimhseálann siad leanúnachas gnó, athshlánú ó thubaiste, freagairt do theagmhais, athléimneacht soláthraithe agus rialachas mar dhoiciméid ar leith. Táthar ag súil go n-oibreoidh siad mar chóras amháin.
I gcás eintitis NIS2, éilíonn Article 21 bearta teicniúla, oibríochtúla agus eagraíochtúla chun rioscaí do chórais líonra agus faisnéise a bhainistiú agus chun tionchar teagmhas ar fhaighteoirí seirbhísí agus ar sheirbhísí eile a chosc nó a íoslaghdú. Áirítear ar na bearta íosta anailís riosca, láimhseáil teagmhas, leanúnachas gnó lena n-áirítear bainistíocht cúltaca, athshlánú ó thubaiste agus bainistíocht géarchéime, slándáil slabhra soláthair, láimhseáil leochaileachtaí, measúnú ar éifeachtacht rialuithe, oiliúint, cripteagrafaíocht, slándáil acmhainní daonna, rialú rochtana, bainistíocht sócmhainní, MFA agus cumarsáid shlán.
Bogann NIS2 Article 20 an tsaincheist isteach sa seomra boird. Ní mór do chomhlachtaí bainistíochta bearta bainistíochta riosca cibearshlándála a fhaomhadh, maoirseacht a dhéanamh ar a gcur chun feidhme, agus d’fhéadfadh dliteanas a bheith orthu i leith sáruithe. Ciallaíonn sé sin nach neamh-chomhsheasmhacht theicniúil amháin atá in RTO ceithre huaire nach bhfuil tacaithe. Is laige rialachais é.
Tá DORA i bhfeidhm ón 17 Eanáir 2025 agus cruthaíonn sé creat aonfhoirmeach de chuid an Aontais Eorpaigh do bhainistíocht riosca TFC, tuairisciú teagmhas, tástáil athléimneachta oibríochtúla digití, bainistíocht riosca tríú páirtí TFC, ceanglais chonarthacha agus maoirseacht ar sholáthraithe tríú páirtí criticiúla TFC. I gcás eintitis airgeadais, agus i gcás soláthraithe teicneolaíochta a thacaíonn leo trí chonarthaí, tiontaíonn DORA athléimneacht oibríochtúil ina cheanglas fianaise struchtúrtha.
Éilíonn DORA Articles 5 agus 6 rialachas agus creat bainistíochta riosca TFC doiciméadaithe. Clúdaíonn Articles 7 go 14 córais TFC iontaofa agus athléimneacha, sainaithint sócmhainní agus spleáchas, cosaint, brath, leanúnachas gnó TFC, cúltaca, athshlánú, téarnamh, foghlaim iar-theagmhais, feasacht, oiliúint agus cumarsáid géarchéime. Éilíonn Articles 24 go 26 tástáil athléimneachta oibríochtúla digití d’eintitis airgeadais nach micrifhiontair iad. Déanann Articles 28 go 30 foirmiúlú ar riosca tríú páirtí TFC, cláir conarthaí seirbhíse TFC, straitéisí scoir, leibhéil seirbhíse, cearta iniúchta agus ceanglais theagmhasacha.
Soláthraíonn ISO/IEC 27001:2022 cnámh droma an chórais bhainistíochta. Éilíonn a chlásail ar an eagraíocht comhthéacs, páirtithe leasmhara, oibleagáidí dlíthiúla agus conarthacha, raon feidhme, ceannaireacht, beartas, róil, measúnú riosca, cóireáil riosca, an Ráiteas Infheidhmeachta, pleanáil oibríochtúil, meastóireacht feidhmíochta agus feabhsú leanúnach a shainiú.
Is minic gurb í an BIA an nasc atá in easnamh. Gan í, níl pleananna leanúnachais bunaithe go soiléir ar riosca, níl spriocanna cúltaca faofa ag an ngnó, níl soláthraithe mapáilte chuig seirbhísí criticiúla, agus ní féidir leis an mbainistíocht a léiriú go hiontaofa gur cuireadh tionchar gnó san áireamh i gcinntí athléimneachta.
An BIA mar shraith rialaithe d’fhianaise athléimneachta
Freagraíonn BIA inchosanta seacht gceist a chuireann iniúchóirí, rialálaithe, custaiméirí agus boird níos minice:
- Cé na seirbhísí gnó atá criticiúil?
- Cé na sócmhainní TFC, stórtha sonraí, daoine, soláthraithe agus fóntais a thacaíonn le gach seirbhís?
- Cad é tionchar oibríochtúil, airgeadais, dlíthiúil, conarthach, custaiméara, sábháilteachta agus clú cur isteach de réir mar a théann am thart?
- Cad é an t-uas-aga neamhfhónaimh inghlactha, nó MTD?
- Cad iad an Cuspóir Ama Athshlánaithe formheasta, nó RTO, agus an Cuspóir Pointe Athshlánaithe, nó RPO?
- An bhfuil socruithe cúltaca, iomarcaíochta, néalríomhaireachta, soláthraithe, foirne agus cumarsáide in ann na spriocanna sin a bhaint amach?
- Ar thástáil an eagraíocht an chonair téarnaimh agus ar athbhreithnigh sí na torthaí?
Luann Beartas Leanúnachais Gnó agus Athshlánaithe ó Thubaiste fiontair Clarysec P32 Beartas Leanúnachais Gnó agus Athshlánaithe ó Thubaiste an ceanglas go soiléir:
Ní mór Anailís Tionchair Gnó (BIA) a dhéanamh ar a laghad go bliantúil do gach aonad gnó criticiúil agus ní mór í a athbhreithniú nuair a tharlaíonn athruithe suntasacha ar chórais, próisis nó spleáchais. Ní mór d’aschuir BIA na nithe seo a shainiú: 5.2.1. Uas-aga neamhfhónaimh inghlactha (MTD) 5.2.2. Cuspóirí Ama Athshlánaithe (RTOanna) 5.2.3. Cuspóirí Pointe Athshlánaithe (RPOanna) 5.2.4. Spleáchais chriticiúla (córais, soláthraithe, pearsanra)
Tugann an clásal sin pointe tosaigh praiticiúil d’iniúchóirí. Cuireann sé cosc freisin ar an teip choitianta ina n-úsáideann an Plean Leanúnachais Gnó, an plean athshlánaithe ó thubaiste, an sceideal cúltaca, an clár soláthraithe agus an próiseas freagartha do theagmhais sainmhíniú difriúil ar “criticiúil.”
Éilíonn an beartas céanna cur chuige bainistíochta comhtháite:
Ní mór don eagraíocht Córas Bainistíochta Leanúnachais Gnó (BCMS) comhtháite a chothabháil atá ailínithe le ISO 22301 agus ISO/IEC 27001, agus comhtháthú na nithe seo a chinntiú: 5.1.1. Anailís Tionchair Gnó (BIA) 5.1.2. Measúnú riosca slándála le haghaidh bagairtí leanúnachais 5.1.3. Pleananna Leanúnachais Gnó (BCPanna) 5.1.4. Pleananna Athshlánaithe ó Thubaiste TFC (DRPanna) 5.1.5. Cláir tástála agus cleachtaithe 5.1.6. Doiciméadacht agus feabhsú leanúnach
Seo an difríocht idir comhlíonadh seicliosta agus athléimneacht atá réidh don iniúchadh. Ní doiciméad aonuaire í an BIA. Éiríonn sí mar chuid de shlabhra fianaise an ISMS agus an BCMS.
Conas a dhéanann ISO/IEC 27001:2022 fianaise in-iniúchta den BIA
Ní éilíonn ISO/IEC 27001:2022 ar gach eagraíocht an frása “Anailís Tionchair Gnó” a úsáid i ngach clásal, ach déanann a cheanglais fianaise BIA fíorluachmhar.
Éilíonn Clásail 4.1 go 4.4 ar an eagraíocht saincheisteanna inmheánacha agus seachtracha, páirtithe leasmhara, oibleagáidí dlíthiúla agus rialála, ceanglais chonarthacha, comhéadain, spleáchais agus raon feidhme an ISMS a thuiscint. Is minic gurb í BIA an fhianaise is praiticiúla do na comhéadain agus na spleáchais sin. Taispeánann sí cén tseirbhís néalríomhaireachta, próiseálaí íocaíochta, soláthraí aitheantais, soláthraí teileachumarsáide, soláthraí bainistithe slándála, ionad sonraí nó foireann tacaíochta seachfhoinsithe a chumasaíonn seirbhís chriticiúil.
Éilíonn Clásail 5.1 go 5.3 ceannaireacht na hardbhainistíochta, acmhainniú, cumarsáid, sannadh ról agus tuairisciú. Tugann BIA bonn gnó don cheannaireacht maidir le hinfheistíochtaí leanúnachais. Gan í, is mianta teicniúla iad spriocanna RTO agus RPO, ní ceanglais ghnó fhormheasta.
Éilíonn Clásail 6.1.1 go 6.1.3 measúnú riosca slándála faisnéise agus cóireáil riosca atá in-athdhéanta. Ní mór don eagraíocht rioscaí do rúndacht, sláine agus infhaighteacht a shainaithint, iarmhairtí agus dóchúlacht a anailísiú, leibhéil riosca a chinneadh, cóireáil riosca a thosaíochtú, rialuithe a roghnú, rialuithe roghnaithe a chur i gcomparáid le hIarscríbhinn A, Ráiteas Infheidhmeachta a tháirgeadh, Plean Cóireála Riosca a chruthú, agus faomhadh an úinéara riosca a fháil. Neartaíonn BIA taobh “iarmhairtí” an mheasúnaithe riosca. Míníonn sí cén fáth a bhfuil briseadh dhá uair an chloig i gcóras amháin inghlactha, agus cén fáth a gcruthaíonn briseadh dhá uair an chloig i gcóras eile dochar custaiméara, nochtadh rialála, sárú conartha nó tionchar tromchúiseach ioncaim.
Soláthraíonn Iarscríbhinn A an chatalóg rialuithe. Maidir le BIA agus leanúnachas, áirítear leis na rialuithe is ábhartha in Iarscríbhinn A ISO/IEC 27001:2022:
| Rialú Iarscríbhinn A ISO/IEC 27001:2022 | Ainm ceart an rialaithe | Ábharthacht BIA |
|---|---|---|
| A.5.29 | Slándáil faisnéise le linn cur isteach | Cinntíonn sé go bhfanann rialuithe rúndachta, sláine agus infhaighteachta éifeachtach le linn oibríochtaí díghrádaithe |
| A.5.30 | Ullmhacht TFC don leanúnachas gnó | Cinntíonn sé go dtacaíonn cumais TFC le cuspóirí leanúnachais ghnó formheasta |
| A.8.13 | Cúltaca faisnéise | Tacaíonn sé le téarnamh agus le baint amach RPO trí phróisis chúltaca chosanta |
| A.8.14 | Iomarcaíocht saoráidí próiseála faisnéise | Tacaíonn sé le cuspóirí téarnaimh nach féidir a bhaint amach trí athshlánú amháin |
| A.8.15 | Logáil | Caomhnaíonn sé infheictheacht, cumas imscrúdaithe agus fianaise le linn cur isteach |
| A.8.16 | Gníomhaíochtaí faireacháin | Braitear díghrádú, teagmhais agus stádas téarnaimh |
| A.5.19 | Slándáil faisnéise i gcaidrimh soláthraithe | Nascann sé riosca soláthraithe le spleáchais seirbhísí criticiúla |
| A.5.20 | Slándáil faisnéise a láimhseáil laistigh de chomhaontuithe soláthraithe | Cinntíonn sé go n-áirítear ionchais slándála agus leanúnachais i gconarthaí |
| A.5.21 | Bainistíocht slándála faisnéise sa slabhra soláthair TFC | Tugann sé aghaidh ar riosca slabhra soláthair TFC do sheirbhísí criticiúla |
| A.5.22 | Faireachán, athbhreithniú agus bainistíocht athruithe ar sheirbhísí soláthraithe | Coinníonn sé spleáchais soláthraithe cothrom le dáta de réir mar a athraíonn seirbhísí |
| A.5.23 | Slándáil faisnéise le haghaidh úsáid seirbhísí néalríomhaireachta | Cinntíonn sé go mbainistítear spleáchas néalríomhaireachta, scoir agus ceanglais athléimneachta |
| A.5.24 | Pleanáil agus ullmhúchán bainistíochta teagmhas slándála faisnéise | Nascann sé cásanna cur isteach le cumas freagartha pleanáilte |
| A.5.25 | Measúnú agus cinneadh ar imeachtaí slándála faisnéise | Tacaíonn sé le measúnú déine teagmhais trí thionchar seirbhíse |
| A.5.26 | Freagairt do theagmhais slándála faisnéise | Treoraíonn sé gníomhartha freagartha bunaithe ar chriticiúlacht ghnó |
| A.5.27 | Foghlaim ó theagmhais slándála faisnéise | Cuireann sé ceachtanna foghlamtha isteach sa BIA, BCP, DRP agus cóireáil riosca |
| A.5.28 | Bailiú fianaise | Caomhnaíonn sé fianaise le linn teagmhas agus oibríochtaí téarnaimh |
| A.5.31 | Ceanglais dhlíthiúla, reachtúla, rialála agus chonarthacha | Nascann sé spriocanna athléimneachta le hoibleagáidí amhail NIS2, DORA, GDPR agus conarthaí custaiméara |
In Zenith Controls: an treoir thraschomhlíonta Zenith Controls, próifílíonn Clarysec rialú ISO/IEC 27002:2022 5.30, ullmhacht TFC don leanúnachas gnó, mar rialú ceartaitheach dírithe ar infhaighteacht, mapáilte chuig coincheap cibearshlándála Respond, an cumas oibríochtúil leanúnachais agus fearann slándála na hathléimneachta. Próifílítear Rialú 5.29, slándáil faisnéise le linn cur isteach, mar rialú coisctheach agus ceartaitheach, a chosnaíonn rúndacht, sláine agus infhaighteacht. Próifílítear Rialú 8.13, cúltaca faisnéise, mar rialú ceartaitheach a thacaíonn le sláine agus infhaighteacht trí théarnamh.
Tá tábhacht leis an idirdhealú sin. Níor cheart do BIA fiafraí amháin, “An féidir linn athshlánú?” Ní mór di fiafraí freisin, “An féidir linn fanacht slán agus muid faoi chur isteach?” Le linn teagmhais earraí fuascailte, briseadh néalríomhaireachta, teip soláthraí nó teagmhas ionaid sonraí, tá rialú rochtana, logáil, faireachán, caomhnú fianaise, cumarsáid shlán agus coimircí príobháideachais fós de dhíth ar an eagraíocht.
Samhail phraiticiúil fianaise BIA
Nascann BIA láidir teanga ghnó le cruthúnas teicniúil. De ghnáth struchtúraíonn Clarysec an tsamhail fianaise i gcúig shraith.
| Sraith fianaise | Cad a chruthaíonn sí | Déantáin tipiciúla |
|---|---|---|
| Criticiúlacht seirbhísí gnó | Tuigeann an eagraíocht cé na seirbhísí is tábhachtaí agus cén fáth | Catalóg seirbhísí, nótaí ceardlainne BIA, scóráil tionchair, faomhadh bainistíochta |
| Mapáil spleáchas | Tá seirbhísí criticiúla nasctha le sócmhainní TFC, sonraí, soláthraithe, daoine agus fóntais | CMDB, clár sócmhainní, léarscáil feidhmchlár, clár soláthraithe, léarscáil sreafa sonraí |
| Cuspóirí téarnaimh | Tá MTD, RTO agus RPO formheasta agus réalaíoch | Clár BIA, BCP, DRP, sceideal cúltaca, mapáil SLA soláthraithe |
| Cur chun feidhme rialuithe | Tacaíonn rialuithe teicniúla agus eagraíochtúla le cuspóirí téarnaimh | Cumraíocht cúltaca, dearadh iomarcaíochta, faireachán, rialú rochtana, treoracha oibríochtúla teagmhais |
| Bailíochtú agus feabhsú | Tá cumas téarnaimh tástáilte agus tá bearnaí á rianú | Tástáil athshlánaithe, tuarascáil aistrithe teipe, cleachtadh boird, loga gníomhartha ceartaitheacha, Plean Iniúchta |
Oibríonn an tsamhail fianaise seo toisc go leanann sí an chaoi a smaoiníonn iniúchóirí. Ar dtús fiafraíonn siad cad atá criticiúil. Ansin fiafraíonn siad cad a thacaíonn leis. Ansin fiafraíonn siad cé a d’fhaomh an sprioc téarnaimh. Ansin fiafraíonn siad an féidir leis na socruithe teicniúla agus soláthraithe an sprioc a bhaint amach. Ar deireadh, fiafraíonn siad an bhfuil an eagraíocht tar éis an cumas a thástáil agus a fheabhsú.
Tá NIST CSF 2.0 úsáideach mar shraith chumarsáide. Spreagann modh CSF Profiles eagraíochtaí chun raon feidhme a shainiú, ionchuir amhail beartais, tosaíochtaí riosca fiontair, cláir BIA, ceanglais chibearshlándála, caighdeáin, nósanna imeachta, coimircí agus róil oibre a bhailiú, próifílí reatha agus sprice a chruthú, bearnaí a anailísiú, plean gníomhaíochta tosaíochtaithe a tháirgeadh, an plean sin a chur chun feidhme agus an phróifíl a nuashonrú. Sin beagnach go díreach mar ba cheart do BIA treochlár traschomhlíonta a bheathú.
Cleachtadh BIA seachtaine a chruthaíonn fíorfhianaise
Glac leis go dtacaíonn soláthraí SaaS le custaiméirí seirbhísí airgeadais. Tacaíonn a ardán le hionduchtú cliant, fíorú doiciméad agus fógraí custaiméara. Ní banc é féin, ach tá a chustaiméirí ag seoladh iarrataí conarthacha faoi DORA agus ceistneoirí soláthraithe NIS2.
Is féidir le cleachtadh dírithe seachtaine fianaise úsáideach a chruthú go tapa.
Lá 1: Seirbhísí criticiúla agus fuinneoga tionchair a shainaithint
Tosaigh le seirbhísí, ní le freastalaithe. Cuir úinéirí gnó, TFC, slándáil, dlí, tacaíocht, príobháideachas agus bainistíocht soláthraithe san áireamh.
| Seirbhís ghnó | Tionchar tar éis 4 huaire an chloig | Tionchar tar éis 24 uair an chloig | Truicear rialála nó conarthach féideartha |
|---|---|---|---|
| Tairseach ionduchtaithe custaiméirí | Moill ar oscailt cuntas nua, méadú ar thicéid tacaíochta | Tionchar ioncaim, sárú SLA, uasghrádú custaiméara | Iarratas leanúnachais cliaint DORA, fógra féideartha teagmhais custaiméara |
| Sreabhadh oibre fíoraithe aitheantais | Teastaíonn réitigh oibre láimhe | Cúlráiste, moilleanna athbhreithnithe calaoise, tionchar ar chlú | Ábhar imní faoi infhaighteacht agus sláine sonraí pearsanta GDPR |
| Seirbhís fógraí custaiméara | Cumarsáidí díghrádaithe | Teip úsáideoirí a chur ar an eolas le linn teagmhais | Ionchas cumarsáide d’fhaighteoirí seirbhíse NIS2 |
| API riaracháin do chliaint fiontair | Cur isteach oibríochtúil do chliaint | Sárú conarthach, ró-ualach ar an deasc seirbhíse | Athbhreithniú soláthraí custaiméara NIS2 nó DORA |
Tá an frámaíocht seo tábhachtach. Aithníonn rialálaithe agus custaiméirí seirbhísí agus feidhmeanna. Tá feidhmchláir tábhachtach toisc go dtacaíonn siad leis na seirbhísí sin.
Lá 2: Spleáchais a mhapáil
I gcás gach seirbhíse, mapáil feidhmchláir, bunachair shonraí, bonneagar, seirbhísí néalríomhaireachta, soláthraithe aitheantais, faireachán, uirlisí cúltaca, daoine, soláthraithe agus fóntais tacaíochta.
| Seirbhís | Sócmhainn TFC | Sonraí | Soláthraí | Úinéir inmheánach | Saincheist leanúnachais |
|---|---|---|---|---|---|
| Sreabhadh oibre fíoraithe aitheantais | API fíoraithe agus stór doiciméad | Doiciméid aitheantais, logaí iniúchta | Soláthraí IDV SaaS, stóráil oibiachta néalríomhaireachta | Ceann an Ardáin | Tá sprioc infhaighteachta ag SLA an tsoláthraí ach níl aon fhianaise tástála téarnaimh ann |
| Seirbhís fógraí custaiméara | Ardán ríomhphoist/SMS | Sonraí teagmhála, teimpléid teachtaireachta | Soláthraí teachtaireachtaí | Oibríochtaí Custaiméara | Níl aon soláthraí malartach cumraithe |
| API riaracháin | Braisle Kubernetes, bunachar sonraí, geata API | Cumraíocht cliant, logaí | Soláthraí néalríomhaireachta, soláthraí DNS | Bainisteoir Innealtóireachta | Clúdaíonn tástáil athshlánaithe an bunachar sonraí ach ní chlúdaíonn sí cumraíocht an gheata API |
Seo an áit a dtosaíonn an BIA ar luach a tháirgeadh. Nochtann sí an chonair téarnaimh dhofheicthe, lena n-áirítear na spleáchais a chailltear go minic i bplean teicniúil DR.
Lá 3: MTD, RTO agus RPO a fhaomhadh
Molann an t-úinéir gnó MTD. Bailíochtaíonn TFC agus slándáil an bhfuil an RTO agus an RPO molta indéanta go teicniúil. Faomhann an bhainistíocht na spriocanna deiridh.
I gcás eagraíochtaí níos lú, tugann Beartas Leanúnachais Gnó agus Athshlánaithe ó Thubaiste - FGBM Clarysec P32S Beartas Leanúnachais Gnó agus Athshlánaithe ó Thubaiste - FGBM an rialú céanna i dteanga níos simplí. Éilíonn sé pleananna BCP/DR a leagann amach an cur chuige maidir le feidhmeanna riachtanacha a athshlánú:
Ní mór don Bhainisteoir Ginearálta (GM) Pleananna Leanúnachais Gnó agus Athshlánaithe ó Thubaiste (BCP/DRP) a fhaomhadh agus a chothabháil a leagann amach go soiléir cur chuige na heagraíochta maidir le feidhmeanna riachtanacha a athshlánú.
Éilíonn sé freisin go n-áireofar sa phlean:
seirbhísí agus córais tosaíochtaithe (feidhmeanna gnó criticiúla)
Agus:
Cuspóirí Ama Athshlánaithe (RTOanna) agus Cuspóirí Pointe Athshlánaithe (RPOanna) do gach córas
Ní doiciméadacht iomarcach an eochair. Is iad inrianaitheacht, faomhadh agus fianaise go bhfuil cuspóirí téarnaimh bunaithe ar fhíorthionchar gnó an eochair.
Lá 4: Cúltaca a réiteach le tionchar gnó
Teipeann ar go leor eagraíochtaí anseo. Féadfaidh an BIA RPO ceithre huaire a shocrú, agus cúltacaí ag rith gach 24 uair. Nó féadfaidh an uirlis cúltaca bunachair shonraí táirgthe a chosaint, ach gan cumraíocht, rúin, stórtha bonneagair mar chód, stóráil oibiachta, taifid DNS, socruithe aitheantais ná cumraíocht gheata API a chosaint.
Éilíonn Beartas Cúltaca agus Athshlánaithe Clarysec P15 Beartas Cúltaca agus Athshlánaithe Máistir-Sceideal Cúltaca atá ceangailte le haschuir BIA:
Ní mór Máistir-Sceideal Cúltaca a chothabháil agus a athbhreithniú go bliantúil. Ní mór dó na nithe seo a shonrú: 5.1.1 Minicíocht cúltaca (mar shampla, cúltacaí incriminteacha laethúla agus cúltacaí iomlána seachtainiúla) 5.1.2 Tréimhsí coinneála de réir córais nó cineáil sonraí 5.1.3 Ceanglais chriptithe agus sonraí maidir le suíomh stórála 5.1.4 Spriocanna RTO/RPO nasctha le torthaí measúnaithe tionchair ghnó
Is ór iniúchta é an clásal seo. Cuireann sé iallach ar dhearadh cúltaca tionchar gnó a léiriú, seachas áisiúlacht stórála.
Lá 5: Conair téarnaimh amháin a thástáil agus gníomhartha ceartaitheacha a oscailt
Ná tástáil gach rud ag an am céanna. Roghnaigh seirbhís chriticiúil amháin agus rith tástáil téarnaimh dhírithe. Athshlánaigh an bunachar sonraí. Atóg cumraíocht an fheidhmchláir. Bailíochtaigh fíordheimhniú. Deimhnigh go bhfuil logaí ar fáil. Seiceáil cumas fógraí custaiméara. Taifead an t-am a tógadh, caillteanas sonraí, lochtanna, cinntí agus gníomhartha ceartaitheacha.
In Zenith Blueprint: treochlár 30 céim d’iniúchóir Zenith Blueprint, tugann an chéim Controls in Action, Céim 23, aghaidh ar rialuithe eagraíochtúla lena n-áirítear ullmhacht TFC don leanúnachas gnó. Cuireann sí an cheist ba cheart do gach foireann iniúchta a chur:
An féidir le do chórais tacú le do chuspóirí leanúnachais ghnó nuair a chaochlaíonn na soilse, nuair a théann líonraí síos, nuair a bhuaileann tubaiste?
Tugann an chéim chéanna treoir phraiticiúil:
Fíoraigh go bhfuil cuspóirí ama athshlánaithe (RTO) agus cuspóirí pointe athshlánaithe (RPO) do chórais chriticiúla ailínithe le hionchais leanúnachais ghnó (5.30). Déan tástáil theicniúil téarnaimh amháin ar a laghad nó insamhalta aistrithe teipe agus doiciméadaigh na torthaí.
Sin í an difríocht idir BIA a bheith agat agus fianaise BIA inchosanta a bheith agat. Ní hamháin go bhfuil an sprioc doiciméadaithe. Tá sí tástáilte.
Fianaise BIA a mhapáil chuig NIS2, DORA, GDPR, NIST agus COBIT 2019
Éiríonn BIA dea-thógtha ina sócmhainn traschomhlíonta. Is féidir le tacar amháin fianaise go leor ceisteanna a fhreagairt.
| Lionsa comhlíonta | Cad a dtacaíonn an BIA leis | Fianaise le taispeáint |
|---|---|---|
| ISO/IEC 27001:2022 | Comhthéacs, raon feidhme, measúnú riosca, cóireáil riosca, rialuithe leanúnachais agus soláthraithe Iarscríbhinn A | Clár BIA, measúnú riosca, SoA, BCP/DRP, tuarascálacha tástála, faomhadh bainistíochta |
| NIS2 | Leanúnachas gnó, bainistíocht cúltaca, athshlánú ó thubaiste, bainistíocht géarchéime, slándáil slabhra soláthair, bainistíocht sócmhainní, tionchar teagmhais | Léarscáil seirbhísí criticiúla, spleáchais soláthraithe, RTO/RPO, tástálacha leanúnachais, tairseacha teagmhais |
| DORA | Creat riosca TFC, straitéis athléimneachta oibríochtúla digití, feidhmeanna criticiúla nó tábhachtacha, tástáil athléimneachta, riosca tríú páirtí TFC | Léarscáil sócmhainní agus spleáchas TFC, clár tástála, clár conarthaí TFC, straitéis scoir |
| GDPR | Infhaighteacht, sláine, cuntasacht, measúnú sáraithe, cosaint sonraí pearsanta | Aicmiú tionchair sonraí, fianaise téarnaimh, critéir uasghrádaithe príobháideachais, bailíochtú athshlánaithe sonraí |
| NIST CSF 2.0 | Torthaí Govern, Identify, Protect, Detect, Respond, Recover agus CSF Profiles | Próifíl reatha agus spriocphróifíl, anailís bearnaí, POA&M, criticiúlacht soláthraithe, cur i gcrích téarnaimh |
| COBIT 2019 | Rialachas ar thairbhí, riosca, acmhainní, leanúnachas, feidhmíocht soláthraithe, dearbhú | Tuairisciú don Bhord, glacadh le riosca, úinéireacht seirbhíse, faireachán rialuithe, fionnachtana iniúchta |
Is minic a dhéantar neamhaird de GDPR i bplé BIA. Mar sin féin, éilíonn GDPR Article 5 go bpróiseálfar sonraí pearsanta le sláine agus rúndacht, lena n-áirítear cosaint ar chaillteanas, scriosadh nó damáiste de thaisme trí bhearta teicniúla nó eagraíochtúla iomchuí. Éilíonn cuntasacht ar an rialaitheoir comhlíonadh a léiriú. Mura féidir ardán sonraí pearsanta a athshlánú laistigh d’amfhráma formheasta agus tástáilte, bíonn tionchar ag an riosca príobháideachais ar infhaighteacht, sláine, measúnú sáraithe agus muinín custaiméara.
Cuireann tuairisciú teagmhais NIS2 gné eile leis. Éilíonn Article 23 go dtabharfar fógra faoi theagmhais shuntasacha gan mhoill mhíchuí, lena n-áirítear réamhrabhadh laistigh de 24 uair an chloig, fógra teagmhais laistigh de 72 uair an chloig, agus tuairisciú deiridh laistigh de mhí amháin. Cuidíonn BIA le déine a aicmiú toisc go sainíonn sí seirbhísí lena mbaineann, faighteoirí seirbhíse, cur isteach oibríochtúil agus tionchar trasteorann féideartha.
Breathnaíonn aicmiú teagmhais DORA freisin ar chliaint nó idirbhearta lena mbaineann, fad, leathadh geografach, caillteanais sonraí, criticiúlacht na seirbhísí lena mbaineann, agus tionchar eacnamaíoch. Is réimsí BIA iad seo. Má tá an BIA lag, éiríonn aicmiú teagmhais suibiachtúil ag an nóiméad is measa is féidir.
Is í leanúnachas soláthraithe an áit a mbuaileann an BIA le réaltacht chonartha
I gcás NIS2 agus DORA, ní roghnach a thuilleadh leanúnachas soláthraithe. Áirítear le NIS2 Article 21 slándáil slabhra soláthair agus éilítear aird ar leochaileachtaí soláthraithe, cáilíocht agus athléimneacht táirgí, cleachtais chibearshlándála soláthraithe agus nósanna imeachta forbartha slána. Éilíonn DORA go mbainisteofar riosca tríú páirtí TFC laistigh den chreat riosca TFC, lena n-áirítear cláir conarthaí seirbhíse TFC, dícheall cuí, riosca comhchruinnithe, straitéisí scoir, cearta iniúchta agus rochtana, cúnamh teagmhais, leibhéil seirbhíse agus ceanglais theagmhasacha.
Éilíonn Beartas Leanúnachais Gnó agus Athshlánaithe ó Thubaiste fiontair:
Spleáchais Tríú Páirtí agus Slabhra Soláthair 6.5.1. Ní mór oibleagáidí leanúnachais agus tiomantais ama téarnaimh a bheith i gconarthaí le díoltóirí criticiúla. 6.5.2. Ní mór do phríomhsholáthraithe seirbhíse, arna iarraidh sin, tástáil leanúnachais thréimhsiúil agus rannpháirtíocht i ndruileanna teagmhais a léiriú.
Éilíonn an leagan FGBM freisin:
pointí teagmhála leanúnachais soláthraithe
Féadfaidh an réimse beag sin a bheith cinniúnach i bhfíortheagmhas. Má deir do phlean téarnaimh “déan teagmháil le tacaíocht an tsoláthraí néalríomhaireachta,” ach mura bhfuil an bealach uasghrádaithe, tagairt an chonartha, an próiseas déine ná an teagmháil lasmuigh d’uaireanta ar eolas ag aon duine, is ficsean é an RTO.
| Soláthraí | Seirbhís a dtacaítear léi | Criticiúlacht | Tiomantas téarnaimh conarthach | Fianaise ar fáil | Bearna |
|---|---|---|---|---|---|
| Soláthraí néalríomhaireachta | Óstáil phríomhardáin | Criticiúil | Infhaighteacht ilchriosach, SLA tacaíochta | Léaráid ailtireachta, painéal seirbhíse | Níl aon tástáil aistrithe teipe réigiúnaigh doiciméadaithe |
| Soláthraí aitheantais | Fíordheimhniú riaracháin agus custaiméara | Criticiúil | SLA infhaighteachta | Tuarascáil SOC soláthraí, leathanach stádais | Níl aon nós imeachta fíordheimhnithe malartach ann |
| Soláthraí teachtaireachtaí | Fógraí custaiméara | Ard | SLA infhaighteachta | Conradh agus teagmhálaithe teagmhais | Níl aon soláthraí cúltaca tástáilte |
| Soláthraí bainistithe slándála | Brath agus freagairt | Ard | SLA faireacháin agus uasghrádaithe | Tuarascáil mhíosúil, treoir oibríochtúil | Níor cuireadh san áireamh sa chleachtadh leanúnachais é |
Ní chuireann an tábla seo bainistíocht riosca soláthraithe in ionad. Déanann sé riosca soláthraithe oibríochtúil.
Conas a dhéanfaidh iniúchóirí do BIA a thástáil
De ghnáth tosóidh iniúchóir ISO/IEC 27001:2022 le raon feidhme, comhthéacs, measúnú riosca, cóireáil riosca, Ráiteas Infheidhmeachta, rialuithe Iarscríbhinn A, faisnéis dhoiciméadaithe, pleanáil oibríochtúil, meastóireacht feidhmíochta agus feabhsú. Cuirfidh siad an BIA i gcomparáid leis an measúnú riosca agus leis an SoA. Má áirítear A.5.30, A.5.29 nó A.8.13, iarrfaidh siad fianaise ar chur chun feidhme agus ar thástáil.
Díreoidh athbhreithneoir DORA ar fheidhmeanna criticiúla nó tábhachtacha, sócmhainní TFC, spleáchais tríú páirtí TFC, tástáil athléimneachta, aicmiú teagmhas, ceanglais chonarthacha, straitéisí scoir agus maoirseacht comhlachta bainistíochta. Beidh siad ag súil go mbeidh an BIA ailínithe leis an gcreat bainistíochta riosca TFC, leis an straitéis athléimneachta oibríochtúla digití, le pleananna leanúnachais gnó TFC, le pleananna freagartha agus téarnaimh, agus leis an gclár tástála.
Iarrfaidh maoirseoir NIS2 bearta leanúnachais ghnó, bainistíocht cúltaca, athshlánú ó thubaiste, bainistíocht géarchéime, slándáil slabhra soláthair, faomhadh rialachais agus cumas tuairiscithe teagmhas suntasach. Ba cheart don BIA a chruthú go bhfuil na bearta seo bunaithe ar thionchar seirbhíse agus ar thosaíochtaí formheasta.
Iarrfaidh measúnóir NIST CSF 2.0 conas a threoraíonn an BIA an Próifíl Reatha, an Spriocphróifíl, anailís bearnaí agus plean gníomhaíochta. Féachfaidh siad ar thorthaí Govern maidir le cinntí dlíthiúla, rialála, conarthacha, riosca, ról, beartais, maoirseachta agus riosca soláthraithe. Scrúdóidh siad torthaí Identify, Protect, Detect, Respond agus Recover freisin.
De ghnáth díreoidh iniúchóir COBIT 2019 nó iniúchóir de chineál ISACA ar rialachas. Cé leis an tseirbhís? Cé a ghlac leis an riosca? An bhfuil cuspóirí ailínithe le spriocanna fiontair? An ndéantar faireachán ar sholáthraithe? An bhfuil tairbhí, riosca agus acmhainní cothromaithe? An bhfuil gníomhartha ceartaitheacha á rianú go dtí go ndúntar iad?
Déanann Beartas Faireacháin Iniúchta agus Comhlíonta Clarysec Beartas Faireacháin Iniúchta agus Comhlíonta cuid den timthriall pleanála iniúchta den BIA:
Ní mór Plean Iniúchta bunaithe ar riosca a fhorbairt agus a fhaomhadh go bliantúil, agus na nithe seo a leanas á gcur san áireamh: 5.2.1 Torthaí na Measúnuithe riosca agus na hAnailíse Tionchair Gnó (BIA) is déanaí 5.2.2 Fionnachtana iniúchta roimhe seo agus stádas gníomhartha ceartaitheacha 5.2.3 Athruithe i bpróisis, bonneagar TFC, córais nó díoltóirí 5.2.4 Oibleagáidí seachtracha amhail DORA Article 25 nó conarthaí custaiméara
Is céim aibíochta í seo a chailleann go leor eagraíochtaí. Níor cheart don BIA suí lasmuigh den dearbhú. Ba cheart di an Plean Iniúchta a thiomáint.
Teipeanna coitianta BIA a aimsítear i bhfíormheasúnuithe
Tagann na laigí céanna chun cinn arís agus arís eile.
Ar dtús, liostaíonn an BIA feidhmchláir, ní seirbhísí. Is faoi chur isteach ar sheirbhís a bhíonn custaiméirí agus rialálaithe buartha. Tá feidhmchláir tábhachtach toisc go dtacaíonn siad leis na seirbhísí sin.
Sa dara háit, cóipeáiltear spriocanna RTO agus RPO ó theimpléid. D’fhéadfadh RTO ceithre huaire a bheith réasúnach ar an gcéad amharc go dtí go dtaispeánann tástáil athshlánaithe go dtógann sé naoi n-uaire an chloig chun comhtháthú aitheantais a atógáil, cumraíocht a aisghabháil, sonraí a athshlánú, sláine a bhailíochtú agus faireachán a athchumasú.
Sa tríú háit, níl cúltacaí nasctha le tionchar gnó. Ní mór do mhinicíocht, coinneáil, criptiú, suíomh stórála, tosaíocht athshlánaithe agus tástáil cuspóirí téarnaimh formheasta a léiriú.
Sa cheathrú háit, láimhseáiltear soláthraithe mar mhíreanna ceistneora, ní mar spleáchais téarnaimh. Ba cheart tiomantais leanúnachais soláthraithe, teagmhálaithe uasghrádaithe, fianaise téarnaimh agus rannpháirtíocht i ndruileanna teagmhais a cheangal le seirbhísí criticiúla.
Sa chúigiú háit, tá faomhadh bainistíochta in easnamh. Faoi NIS2 agus DORA, tá cuntasacht bainistíochta follasach. Faoi ISO/IEC 27001:2022, is ceanglais lárnacha iad ceannaireacht, róil, faomhadh úinéara riosca agus tuairisciú feidhmíochta.
Sa séú háit, tá tástáil róchúng. Tá athshlánú comhaid amháin úsáideach, ach ní chruthaíonn sé téarnamh seirbhíse. D’fhéadfadh DNS, aitheantas, rúin, bonneagar mar chód, geataí API, faireachán, logáil, uasghrádú soláthraí, cumarsáid custaiméara agus athbhreithniú príobháideachais a bheith i gconair téarnaimh seirbhíse criticiúla.
Gabhann Zenith Blueprint, sa chéim Controls in Action, Céim 19, ionchas iniúchta na gcúltacaí:
An ndéanann tú tástáil ar do chúltacaí?
Ní mór gurb é “déanaimid, le fianaise” an freagra, agus ní mór an fhianaise sin a nascadh ar ais leis an BIA.
Pacáiste fianaise BIA atá réidh don iniúchadh
Ba cheart do chlár praiticiúil BIA pacáiste fianaise gonta a tháirgeadh is féidir a úsáid le haghaidh iniúchtaí, dícheall cuí custaiméara, tuairisciú don Bhord agus feabhsú athléimneachta.
| Mír fianaise | Cuspóir | Úinéir |
|---|---|---|
| Modheolaíocht BIA agus critéir scórála | Cruthaíonn sé go bhfuil an próiseas in-athdhéanta agus oibiachtúil | Ceannaire riosca nó athléimneachta |
| Clár seirbhísí criticiúla | Sainaithníonn sé cad is gá don eagraíocht a chosaint agus a aisghabháil ar dtús | Úinéirí Gnó |
| Léarscáil spleáchas | Nascann sí seirbhísí le sócmhainní TFC, sonraí, soláthraithe, pearsanra agus fóntais | TFC, slándáil, oibríochtaí |
| Taifid faofa MTD, RTO agus RPO | Cruthaíonn siad go bhfuil spriocanna téarnaimh faofa ag an ngnó | Úinéirí Gnó agus bainistíocht |
| Mapáil BIA leis an gclár rioscaí | Nascann sí anailís tionchair le measúnú riosca slándála | Úinéir riosca |
| Mapáil BIA leis an Ráiteas Infheidhmeachta | Nascann sí riachtanais leanúnachais le rialuithe Iarscríbhinn A ISO/IEC 27001:2022 | Bainisteoir an ISMS |
| Mapáil BIA leis an sceideal cúltaca | Taispeánann sí go dtacaíonn cumraíocht cúltaca le hionchais RPO agus RTO | Oibríochtaí TFC |
| Athbhreithniú leanúnachais soláthraithe | Deimhníonn sé go bhfuil tiomantais agus teagmhálacha téarnaimh ag soláthraithe criticiúla | Bainistíocht soláthraithe |
| Taifid nuashonraithe BCP/DRP | Taispeánann siad go léiríonn pleananna seirbhísí agus spleáchais reatha | Úinéir leanúnachais |
| Tuarascáil tástála athshlánaithe nó aistrithe teipe | Cruthaíonn sí go bhfuil cumas téarnaimh bailíochtaithe | TFC, slándáil, úinéir gnó |
| Plean gníomhartha ceartaitheacha | Rianaíonn sé bearnaí go dtí go ndúntar iad | Úinéirí Rialaithe |
| Fianaise athbhreithnithe bainistíochta | Taispeánann sí maoirseacht agus faomhadh an Bhoird nó na ceannaireachta | Urraitheoir Feidhmiúcháin |
Insíonn an pacáiste seo scéal comhleanúnach. Déanann sé athléimneacht intomhaiste freisin.
An chéad chéim eile: déan fianaise chomhlíonta de do BIA
Ní scarbhileog bhreise atá de dhíth ar Maria. Tá slabhra fianaise beo de dhíth uirthi.
Tosaigh le seirbhís chriticiúil amháin. Mapáil a sócmhainní TFC, sonraí, daoine, soláthraithe agus fóntais. Faomh MTD, RTO agus RPO. Réitigh an sceideal cúltaca. Seiceáil tiomantais téarnaimh soláthraithe. Rith tástáil téarnaimh amháin. Taifead bearnaí. Nuashonraigh an Plean Cóireála Riosca. Cuir an toradh faoi bhráid na bainistíochta.
Ansin déan arís é.
Is féidir le Clarysec cabhrú leis an bpróiseas sin a luathú trí úsáid a bhaint as an Beartas Leanúnachais Gnó agus Athshlánaithe ó Thubaiste, Beartas Leanúnachais Gnó agus Athshlánaithe ó Thubaiste - FGBM, Beartas Cúltaca agus Athshlánaithe, Beartas Faireacháin Iniúchta agus Comhlíonta, Zenith Blueprint agus Zenith Controls.
Níor cheart go mbeadh do BIA ina shelfware a cruthaíodh le haghaidh iniúchta amháin. Ba cheart di a bheith ina cruthúnas oibríochtúil gur féidir le do sheirbhísí is tábhachtaí cur isteach a sheasamh, ionchais custaiméara agus rialála a chomhlíonadh, agus téarnamh laistigh de theorainneacha atá faofa i ndáiríre ag do cheannaireacht.
Má tá d’eagraíocht ag ullmhú do fhaireachas ISO/IEC 27001:2022, dearbhú custaiméara NIS2, athbhreithnithe tríú páirtí TFC DORA nó tuairisciú athléimneachta ar leibhéal an Bhoird, tosaigh tríd an BIA a dhéanamh inchosanta. Íoslódáil beartais leanúnachais agus iniúchta Clarysec, athbhreithnigh treochlár cur chun feidhme Zenith, nó iarr measúnú fianaise athléimneachta chun rialuithe scaipthe a thiontú ina scéal amháin atá réidh don iniúchadh.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
