Fianaise iniúchta néil le haghaidh ISO 27001, NIS2 agus DORA

Bhí sé seachtaine ag Maria, an Príomh-Oifigeach Slándála Faisnéise (CISO) i gcuideachta anailísíochta airgeadais a bhí ag fás go tapa, sula dtiocfadh trí spriocdháta le chéile. Bhí a hiniúchadh faireachais ISO 27001:2022 sceidealaithe cheana féin. Bhí NIS2 tar éis an chuideachta a thabhairt go leibhéal nua cuntasachta bainistíochta mar eintiteas tábhachtach. Bhí DORA ar tí a thástáil an bhféadfadh a hoibríochtaí fintech athléimneacht oibríochtúil dhigiteach a chruthú. Ag an am céanna, bhí mórchliant fiontair ag coinneáil conartha siar go dtí go bhféadfadh a foireann athbhreithniú mionsonraithe dearbhaithe slándála a chur i gcrích.

Ní raibh an chuideachta neamhshlán. Rith sí ualaí oibre táirgthe in AWS agus Azure, d’úsáid sí Microsoft 365 agus roinnt ardán criticiúil SaaS, chuir sí MFA i bhfeidhm, rinne sí cúltaca ar shonraí, rinne sí scanadh leochaileachtaí agus bhailigh sí logaí néil. Ba í an fhadhb an fhianaise.

Bhí fianaise scaipthe thar ghrianghraif scáileáin Slack, leathanaigh wiki forbróirí, easpórtálacha consól néil, fillteáin soláthair, conarthaí dlíthiúla agus dearbhuithe ó bhéal ó úinéirí ardán. Nuair a d’iarr iniúchóir, “Taispeáin dom conas a rialaíonn tú do thimpeallacht néil,” ní leor nasc chuig leathanach comhlíonta soláthraí néil. Chruthaigh teastais an tsoláthraí rialuithe an tsoláthraí. Níor chruthaigh siad taobh Maria den tsamhail freagrachta comhroinnte.

Is ansin a theipeann ar go leor clár fianaise iniúchta slándála néil. Ní toisc nach bhfuil rialuithe ann, ach toisc nach féidir leis an eagraíocht a chruthú, ar bhealach struchtúrtha agus inrianaithe, cé na freagrachtaí a bhaineann leis an soláthraí, cé na cinn a bhaineann leis an gcustaiméir, conas atá rialuithe SaaS agus IaaS cumraithe, conas a chuirtear gealltanais soláthraithe chun feidhme, agus conas a choinnítear fianaise d’iniúchóirí, do rialtóirí agus do chustaiméirí.

Ní aguisín teicniúil é comhlíonadh néil a thuilleadh. I gcás soláthraí SaaS faoi NIS2, eintiteas airgeadais faoi DORA, nó aon eagraíocht ISO 27001:2022 a úsáideann IaaS, PaaS agus SaaS, tá rialachas néil mar chuid de raon feidhme an ISMS, den phlean cóireála riosca, de shaolré soláthraithe, den phróiseas teagmhas, de chuntasacht phríobháideachais agus den athbhreithniú bainistíochta.

Tá an sprioc phraiticiúil simplí: ailtireacht fianaise néil amháin atá réidh ó thaobh rialála de a thógáil a fhreagraíonn ceisteanna ISO 27001:2022, NIS2, DORA, GDPR, dearbhú custaiméirí agus iniúchadh inmheánach gan fianaise a atógáil do gach creat.

Bíonn an néal i raon feidhme i gcónaí, fiú nuair atá an bonneagar seachfhoinsithe

Is é an chéad ghaiste iniúchta ná glacadh leis go bhfuil bonneagar seachfhoinsithe lasmuigh den ISMS. Níl. Athraíonn seachfhoinsiú an teorainn rialaithe; ní bhaineann sé cuntasacht de.

Éilíonn ISO/IEC 27001:2022 ar an eagraíocht a comhthéacs, páirtithe leasmhara, raon feidhme ISMS, comhéadain, spleáchais agus próisis a shainiú. I ngnó a bhfuil an néal mar phríomhbhealach seachadta aige, is minic gur príomhbhonneagar gnó iad an soláthraí aitheantais, an cuntas óstála néil, CRM, an t-ardán ríomhphoist, an stóras sonraí, an phíblíne CI/CD, an uirlis ticéadaithe agus an tseirbhís cúltaca.

Déanann Zenith Blueprint: An Auditor’s 30-Step Roadmap de chuid Clarysec Zenith Blueprint an pointe seo i gcéim ISMS Foundation & Leadership, Céim 2, Stakeholder Needs and ISMS Scope:

“Má dhéanann tú do bhonneagar TF a sheachfhoinsiú chuig soláthraí néil, ní chuireann sé sin as raon feidhme é; ina ionad sin, cuireann tú bainistíocht an chaidrimh sin agus na sócmhainní néil san áireamh mar chuid den raon feidhme, toisc gur ortsa atá slándáil do shonraí sa néal.”

Is ancaire iniúchta é an ráiteas sin. Níor cheart do do raon feidhme a rá, “Tá AWS eisiata toisc go mbainistíonn Amazon é.” Ba cheart dó a rá go bhfuil sócmhainní faisnéise agus próisis a bhaineann le seirbhísí atá óstáilte ar AWS i raon feidhme, lena n-áirítear bainistíocht rialuithe slándála néil, aitheantais, logála, criptithe, cúltaca, dearbhú soláthraithe agus freagairt do theagmhais.

Maidir le ISO 27001:2022, tacaíonn sé seo le clásail 4.1 go 4.4 maidir le comhthéacs, páirtithe leasmhara, raon feidhme agus próisis ISMS. Maidir le NIS2, tacaíonn sé le hionchais Article 21 maidir le hanailís riosca, láimhseáil teagmhas, leanúnachas gnó, slándáil slabhra soláthair, fáil agus cothabháil shlán, rialú rochtana, beartas bainistíochta sócmhainní, cripteagrafaíocht, éifeachtacht rialaithe agus MFA nuair is iomchuí. Maidir le DORA, tacaíonn sé leis an bprionsabal go bhfanann eintitis airgeadais freagrach as rioscaí TFC fiú nuair a sheachfhoinsítear seirbhísí TFC.

Ní hí an cheist an bhfuil do sholáthraí néil slán. Is í an cheist an rialaíonn tú d’úsáid den soláthraí, an gcumraíonn tú do thaobh féin i gceart, an ndéanann tú faireachán ar an tseirbhís, an mbainistíonn tú gealltanais soláthraithe agus an gcoinníonn tú fianaise.

Ní mór fianaise chomhroinnte a dhéanamh den fhreagracht chomhroinnte

Míníonn soláthraithe néil freagracht chomhroinnte. Tástálann iniúchóirí an bhfuil sí curtha i ngníomh agat.

In IaaS, de ghnáth daingníonn an soláthraí saoráidí fisiciúla, an príomhbhonneagar agus an hypervisor. Rialaíonn an custaiméir aitheantas, cumraíocht ualaí oibre, cruaú an chórais oibriúcháin, slándáil feidhmchlár, aicmiú sonraí, socruithe criptithe, rialacha líonra, logáil, cúltacaí, paistiú agus freagairt do theagmhais.

In SaaS, rialaíonn an soláthraí formhór oibríochtaí an ardáin, ach rialaíonn an custaiméir fós cumraíocht an tionónta, úsáideoirí, róil riarthóra, comhtháthuithe, comhroinnt sonraí, coinneáil, roghanna logála agus nósanna imeachta ardaithe.

Déileálann Zenith Controls: The Cross-Compliance Guide de chuid Clarysec Zenith Controls le rialú ISO/IEC 27002:2022 5.23, slándáil faisnéise maidir le húsáid seirbhísí néil, mar rialú lárnach rialachais néil a bhfuil rún coisctheach aige thar rúndacht, sláine agus infhaighteacht. Nascann sé seirbhísí néil le caidrimh sholáthraithe, aistriú slán faisnéise, fardal sócmhainní, cosc ar sceitheadh sonraí, slándáil críochphointí agus líonra, agus cleachtais forbartha shlána.

Deir léirmhíniú tábhachtach in Zenith Controls:

“Feidhmíonn soláthraithe seirbhíse néil (CSPanna) mar sholáthraithe criticiúla, agus dá bhrí sin baineann gach rialú maidir le roghnú soláthraithe, conraitheoireacht agus bainistíocht riosca faoi 5.19 leo. Mar sin féin, téann 5.23 níos faide trí aghaidh a thabhairt ar rioscaí atá sonrach don néal, amhail iltionóntacht, trédhearcacht suíomh sonraí agus samhlacha freagrachta comhroinnte.”

Tá an difríocht sin ríthábhachtach. Ní shásaíonn teastais soláthraithe amháin Iarscríbhinn A.5.23. Teastaíonn fianaise ar thaobh an chustaiméara uait a chruthaíonn go bhfuil an tseirbhís néil á rialú, á cumrú, á faire agus á hathbhreithniú.

Seo an difríocht idir rialuithe néil a bheith agat agus rialuithe néil atá réidh d’iniúchadh a bheith agat.

Tosaigh le Clár Seirbhísí Néil is féidir le hiniúchóirí a úsáid

Is é an bealach is tapúla chun ullmhacht iniúchta néil a fheabhsú Clár Seirbhísí Néil iomlán a chruthú. Níor cheart gur liosta soláthair nó easpórtáil airgeadais é. Ní mór dó seirbhísí néil a nascadh le sonraí, úinéirí, réigiúin, rochtain, conarthaí, criticiúlacht, ábharthacht rialála agus fianaise.

Tugann Cloud Usage Policy-sme SME de chuid Clarysec Cloud Usage Policy-sme bonnlíne dhlúth agus iniúchadh-chairdiúil i gclásal 5.3:

“Ní mór don soláthraí TF nó don bhainisteoir ginearálta Clár Seirbhísí Néil a choinneáil. Ní mór dó seo a thaifeadadh: 5.3.1 Ainm agus cuspóir gach seirbhíse néil formheasta 5.3.2 An duine nó an fhoireann fhreagrach (úinéir feidhmchláir) 5.3.3 Na cineálacha sonraí a stóráiltear nó a phróiseáiltear 5.3.4 An tír nó an réigiún ina stóráiltear sonraí 5.3.5 Ceadanna rochtana úsáideoirí agus cuntais riaracháin 5.3.6 Sonraí conartha, dátaí athnuachana agus teagmhálaithe tacaíochta”

Maidir le timpeallachtaí fiontair, bunaíonn Cloud Usage Policy de chuid Clarysec Cloud Usage Policy an sainordú níos leithne:

“Bunaíonn an beartas seo ceanglais éigeantacha na heagraíochta maidir le húsáid shlán, chomhlíontach agus fhreagrach seirbhísí néalríomhaireachta thar mhúnlaí seachadta Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) agus Software-as-a-Service (SaaS).”

Éilíonn an Cloud Usage Policy clár láraithe faoi úinéireacht an CISO agus bonnlínte cumraíochta formheasta do thimpeallachtaí néil. Éiríonn an clár sin mar bhonn fianaise do roinnt oibleagáidí ag an am céanna.

Maidir le ISO 27001:2022, tacaíonn sé le fardal sócmhainní, rialachas úsáide néil, caidrimh sholáthraithe, rialú rochtana, ceanglais dhlíthiúla agus chonarthacha, cóireáil riosca agus faisnéis dhoiciméadaithe. Maidir le NIS2, tacaíonn sé le slándáil slabhra soláthair, beartas bainistíochta sócmhainní, anailís riosca, láimhseáil teagmhas agus leanúnachas. Maidir le DORA, tacaíonn sé le mapáil sócmhainní agus spleáchas TFC, cláir tríú páirtithe TFC, mapáil feidhmeanna criticiúla nó tábhachtacha agus anailís riosca comhchruinnithe. Maidir le GDPR, aithníonn sé an bpróiseáiltear sonraí pearsanta, cá bhfuil siad lonnaithe, cén soláthraí a ghníomhaíonn mar phróiseálaí, agus cé na téarmaí aistrithe nó próiseála sonraí a bhaineann leis.

Mura n-aithníonn an clár catagóirí sonraí agus réigiúin, beidh fianaise phríobháideachais agus athléimneachta neamhiomlán. Mura n-aithníonn sé úinéirí feidhmchlár, beidh athbhreithnithe rochtana dílleachtaithe. Mura n-aithníonn sé conarthaí agus dátaí athnuachana, ní féidir clásail slándála soláthraithe a thástáil.

Déan cnámh droma fianaise néil de ISO 27001:2022

Is é ISO 27001:2022 an cnámh droma is fearr d’fhianaise néil toisc go nascann sé comhthéacs gnó, riosca, rialuithe, fianaise oibríochtúil, faireachán agus feabhsú.

Áirítear leis na príomhcheanglais ISO 27001:2022 a bhaineann leis an néal:

• Clásail 4.1 go 4.4 maidir le comhthéacs, páirtithe leasmhara, raon feidhme ISMS, comhéadain, spleáchais agus próisis.
• Clásail 5.1 go 5.3 maidir le ceannaireacht, beartas, róil, freagrachtaí agus cuntasacht.
• Clásail 6.1.1 go 6.1.3 maidir le measúnú riosca, cóireáil riosca, comparáid Iarscríbhinn A, Ráiteas Infheidhmeachta agus glacadh le riosca iarmharach.
• Clásal 7.5 maidir le faisnéis dhoiciméadaithe rialaithe.
• Clásail 8.1 go 8.3 maidir le pleanáil agus rialú oibríochtúil, measúnú riosca a chur i gcrích agus cóireáil riosca a chur i gcrích.
• Clásail 9.1 go 9.3 maidir le faireachán, tomhas, iniúchadh inmheánach agus athbhreithniú bainistíochta.
• Clásal 10 maidir le neamhchomhréireacht, gníomh ceartaitheach agus feabhsú leanúnach.

Áirítear ar rialuithe Iarscríbhinn A a iompraíonn an meáchan is mó d’fhianaise néil A.5.19 slándáil faisnéise i gcaidrimh sholáthraithe, A.5.20 aghaidh a thabhairt ar shlándáil faisnéise laistigh de chomhaontuithe soláthraithe, A.5.21 bainistíocht slándála faisnéise i slabhra soláthair TFC, A.5.22 faireachán, athbhreithniú agus bainistíocht athruithe ar sheirbhísí soláthraithe, A.5.23 slándáil faisnéise maidir le húsáid seirbhísí néil, A.5.24 go A.5.27 bainistíocht teagmhas, A.5.29 slándáil faisnéise le linn cur isteach, A.5.30 ullmhacht TFC do leanúnachas gnó, A.5.31 ceanglais chonarthacha, reachtúla, rialála agus dhlíthiúla, A.5.34 príobháideachas agus cosaint PII, A.5.36 comhlíonadh beartas, rialacha agus caighdeán slándála faisnéise, A.8.8 bainistíocht leochaileachtaí teicniúla, A.8.9 bainistíocht cumraíochta, A.8.13 cúltaca faisnéise, A.8.15 logáil, A.8.16 gníomhaíochtaí faireacháin, A.8.24 úsáid cripteagrafaíochta, A.8.25 saolré forbartha slána, A.8.29 tástáil slándála i bhforbairt agus glacadh, agus A.8.32 bainistíocht athruithe.

In Zenith Blueprint, míníonn céim Controls in Action, Céim 23, seirbhísí néil i dteanga a oireann d’iniúchóirí:

“Tugann an t-aistriú go seirbhísí néil athruithe domhain isteach sa tsamhail iontaobhais. Ní rialaíonn tú an freastalaí, imlíne an líonra ná an hypervisor a thuilleadh. Go minic, ní bhíonn a fhios agat fiú cá bhfuil na sonraí lonnaithe go fisiciúil. Is é an rud a rialaíonn tú, agus a chuireann an rialú seo i bhfeidhm, rialachas an chaidrimh sin, infheictheacht ar a bhfuil á úsáid agat, agus na hionchais slándála a chuireann tú ar do sholáthraithe.”

Níor cheart do iontráil láidir Ráiteas Infheidhmeachta do A.5.23 a rá amháin “Infheidhme, soláthraí néil deimhnithe.” Ba cheart di a mhíniú cén fáth a bhfuil an rialú infheidhme, cé na rioscaí a gcaitheann sé leo, conas a chuirtear chun feidhme é agus cá stóráiltear fianaise.

Cuir colún suíomh fianaise leis an SoA nó leis an rianaire rialaithe. Níor cheart go mbeadh ar iniúchóirí ríomhphost, córais ticéadaithe agus tiomántáin chomhroinnte a chuardach chun fianaise a aimsiú.

Úsáid samhail fianaise amháin le haghaidh ISO 27001:2022, NIS2 agus DORA

Éilíonn NIS2 agus DORA araon cibearshlándáil dhoiciméadaithe, rioscabhunaithe agus faoi stiúir bainistíochta. Tá an forluí suntasach, ach tá an brú maoirseachta éagsúil.

Baineann NIS2 le go leor eintitis riachtanacha agus thábhachtacha san AE, lena n-áirítear soláthraithe bonneagair dhigitigh, soláthraithe seirbhísí bainistithe, soláthraithe seirbhísí slándála bainistithe, baincéireacht, bonneagair margaidh airgeadais agus soláthraithe digiteacha. Éilíonn Article 21 bearta teicniúla, oibríochtúla agus eagraíochtúla cuí agus comhréireacha, lena n-áirítear anailís riosca, láimhseáil teagmhas, leanúnachas gnó, slándáil slabhra soláthair, fáil agus cothabháil shlán, láimhseáil leochaileachtaí, measúnú ar éifeachtacht rialaithe, sláinteachas cibear, oiliúint, cripteagrafaíocht, rialú rochtana, beartas bainistíochta sócmhainní agus MFA nó cumarsáidí slána nuair is iomchuí.

Maidir le fianaise iniúchta slándála néil, fiafraíonn NIS2 an mbainistítear rioscaí néil agus soláthraithe mar chuid de riosca seachadta seirbhíse. Tugann sé isteach freisin tuairisciú struchtúrtha ar theagmhais shuntasacha, lena n-áirítear luathrabhadh laistigh de 24 uair an chloig, fógra teagmhais laistigh de 72 uair an chloig agus tuarascáil dheiridh laistigh de mhí amháin.

Baineann DORA ó 17 Eanáir 2025 le go leor eintitis airgeadais AE agus cruthaíonn sé ceanglais aonfhoirmeacha maidir le bainistíocht riosca TFC, tuairisciú ar mhórtheagmhais TFC, tástáil athléimneachta oibríochtúla digití, comhroinnt faisnéise agus riosca tríú páirtí TFC. Maidir le heintitis airgeadais atá aitheanta freisin faoi NIS2, meastar gurb é DORA gníomh dlíthiúil earnáilshonrach an Aontais do na hoibleagáidí oibríochtúla atá ag forluí.

Maidir leis an néal, tá DORA díreach. Fanann eintitis airgeadais freagrach as riosca TFC nuair a sheachfhoinsítear seirbhísí. Teastaíonn straitéisí tríú páirtí TFC, cláir chonartha, measúnuithe réamhchonartha, dícheall cuí, cearta iniúchta agus rochtana, truiceanna foirceanta, anailís riosca comhchruinnithe, rialuithe fochonraitheoireachta agus straitéisí imeachta tástáilte uathu.

Mapálann Zenith Controls rialú ISO/IEC 27002:2022 5.23 chuig EU NIS2 Article 21 agus DORA Articles 28 go 31. Luaitear freisin caighdeáin tacaíochta amhail ISO/IEC 27017 do róil agus faireachán slándála néil, ISO/IEC 27018 do chosaint PII sa néal poiblí, ISO/IEC 27701 do bhainistíocht phríobháideachais i gcaidrimh phróiseálaithe néil, ISO/IEC 27036-4 do fhaireachán seirbhísí néil agus comhaontuithe soláthraithe, agus ISO/IEC 27005 do mheasúnú riosca néil.

Tá an impleacht phraiticiúil simplí. Ná tóg pacáistí fianaise ar leithligh do ISO 27001:2022, NIS2, DORA agus GDPR. Tóg ailtireacht fianaise néil amháin le mapálacha sainiúla do chreataí.

Is fianaise rialaithe iad conarthaí soláthraithe, ní cartlanna dlíthiúla

Is minic a bhriseann fianaise iniúchta néil ag an tsraith conartha. Tá ceistneoir díoltóra ag Slándáil. Tá an MSA ag an bhfeidhm dlí. Tá an dáta athnuachana ag Soláthar. Tá an DPA ag an Oifigeach Cosanta Sonraí (DPO). Níl aon duine ann a bhfuil dearcadh aonair aige ar cibé an bhfuil na clásail slándála riachtanacha sa chomhaontú faoi ISO 27001:2022, NIS2, DORA agus GDPR.

Deir Third-Party and Supplier Security Policy-sme SME de chuid Clarysec Third-Party and Supplier Security Policy-sme i gclásal 5.3:

“Ní mór clásail éigeantacha a bheith i gconarthaí lena gcumhdaítear: 5.3.1 Rúndacht agus neamhnochtadh 5.3.2 Oibleagáidí slándála faisnéise 5.3.3 Amlínte fógra maidir le sárú sonraí (m.sh., laistigh de 24–72 uair an chloig) 5.3.4 Cearta iniúchta nó infhaighteacht fianaise chomhlíonta 5.3.5 Srianta ar fhochonraitheoireacht bhreise gan faomhadh 5.3.6 Téarmaí foirceanta, lena n-áirítear filleadh slán sonraí nó scriosadh slán sonraí”

Ar mhaithe le comhsheasmhacht iniúchta, aistrigh na clásail sin go maitrís athbhreithnithe conartha. Tá ISO 27001:2022 Iarscríbhinn A.5.20 ag súil go n-aontófar ceanglais slándála le soláthraithe. Éilíonn GDPR Article 28 téarmaí próiseálaithe a chumhdaíonn rúndacht, bearta slándála, cúnamh, fophhróiseálaithe, scriosadh nó filleadh sonraí, agus tacaíocht iniúchta. Éilíonn DORA Article 30 forálacha conarthacha mionsonraithe do sholáthraithe tríú páirtí TFC, lena n-áirítear tuairiscí seirbhíse, suíomh sonraí, slándáil, cúnamh teagmhais, comhoibriú le húdaráis, cearta iniúchta, cearta rochtana, foirceannadh agus socruithe aistrithe. Teastaíonn comhoibriú soláthraithe infhorfheidhmithe ó shlándáil slabhra soláthair NIS2 freisin.

Mapálann Zenith Controls rialú ISO/IEC 27002:2022 5.20 chuig comhaontuithe soláthraithe agus luaitear naisc le 5.19 caidrimh sholáthraithe, 5.14 aistriú faisnéise, 5.22 faireachán soláthraithe, 5.11 aisghabháil sócmhainní agus 5.36 comhlíonadh.

Is é an príomhphointe cur i ngníomh. Má thugann conradh néil rochtain ar thuarascálacha SOC 2, féadfaidh iniúchóirí fiafraí ar fuair tú an tuarascáil, ar athbhreithnigh tú eisceachtaí, ar rianaigh tú bearta leigheasacha agus ar athmheasúnaigh tú riosca. Má gheallann an conradh fógra sáraithe, féadfaidh siad fiafraí an bhfuil conair teagmhála an tsoláthraí agus pointí cinnteoireachta rialála san áireamh i do phlean freagartha teagmhais. Má éilíonn athruithe fochonraitheora faomhadh nó fógra, féadfaidh siad fiafraí an ndéantar fógraí fophhróiseálaithe a athbhreithniú roimh ghlacadh.

Is cartlann é conradh gan fianaise athbhreithnithe. Is rialú é conradh atá nasctha le riosca soláthraithe, taifid faireacháin agus sreafaí oibre teagmhais.

Is dallspotaí coitianta iniúchta iad logáil agus cumraíocht SaaS

Is minic a thagann fionnachtana néil ó SaaS, ní ó IaaS. De ghnáth bíonn úinéirí innealtóireachta, píblínte logála, rialuithe bonnlíne agus taifid athruithe ag foirne bonneagair. Tá ardáin SaaS ilroinnte thar dhíolacháin, acmhainní daonna, airgeadas, rath custaiméirí, margaíocht agus oibríochtaí. Féadfaidh gach ceann acu sonraí íogaire nó sonraí rialáilte a phróiseáil.

Tugann Logging and Monitoring Policy-sme de chuid Clarysec Logging and Monitoring Policy-sme aghaidh air seo go díreach i gclásal 5.5:

“5.5 Seirbhísí néil agus logáil tríú páirtí 5.5.1 Maidir le hardáin nach bhfuil logáil faoi rialú díreach TF orthu (m.sh., ríomhphost SaaS), tá na ceanglais seo a leanas i bhfeidhm: 5.5.1.1 Ní mór logáil a chumasú agus a chumrú nuair atá sí ar fáil 5.5.1.2 Ní mór foláirimh a sheoladh chuig an soláthraí tacaíochta TF 5.5.1.3 Ní mór do chonarthaí a cheangal ar sholáthraithe logaí a choinneáil ar feadh 12 mhí ar a laghad agus rochtain a sholáthar ar iarratas”

Maidir le fiontair, cuireann Cloud Usage Policy leis:

“Ní mór seirbhísí néil a chomhtháthú i SIEM na heagraíochta le haghaidh faireachán leanúnach.”

Aistríonn an ceanglas seo SaaS ó “uirlis ghnó” go “córas faisnéise faoi fhaireachán.” Ba cheart go n-áireodh fianaise easpórtálacha socruithe logála, fianaise ar nascóir SIEM, rialacha foláirimh, ticéid triáise, socruithe coinneála agus athbhreithnithe rochtana riaracháin.

Maidir le SaaS criticiúil, ullmhaigh fianaise maidir le cruthú cuntas riarthóra, logálacha isteach amhrasacha, íoslódálacha ollmhóra, comhroinnt phoiblí, díchumasú MFA, cruthú tóicíní API, gníomhaíocht aoi seachtrach agus ardú pribhléidí. Maidir le IaaS, ullmhaigh CloudTrail nó logáil choibhéiseach ar phlána rialaithe, logaí rochtana stórála, athruithe IAM, logaí sreafa nuair is iomchuí, fionnachtana CSPM, scananna leochaileachta, fianaise phaistí, socruithe criptithe, stádas cúltaca, athbhreithnithe grúpaí slándála líonra agus ticéid athraithe.

Tugann modheolaíocht iniúchta Zenith Controls do rialú 5.23 faoi deara go bhféadfadh iniúchadh ar nós ISO/IEC 27007 ceadanna buicéad AWS S3, criptiú, beartais IAM agus logáil CloudTrail a iniúchadh. D’fhéadfadh iniúchóir dírithe ar COBIT athbhreithniú a dhéanamh ar chumraíochtaí foláirimh, rialuithe DLP, úsáid Microsoft 365 Secure Score agus logaí bainistíochta athruithe. D’fhéadfadh peirspictíocht NIST SP 800-53A bainistíocht cuntas agus faireachán a thástáil, lena n-áirítear an bhfuil ualaí oibre néil paisteáilte, scanáilte agus faoi fhaireachán leis an déine chéanna le córais inmheánacha.

Labhraíonn iniúchóirí éagsúla canúintí éagsúla. Ba cheart do d’fhianaise a bheith mar an gcéanna.

Tóg pacáiste fianaise atá réidh ó thaobh rialála de do sheirbhís SaaS amháin agus seirbhís IaaS amháin

Tosaíonn sreabhadh oibre praiticiúil le hardán criticiúil SaaS amháin agus timpeallacht chriticiúil IaaS amháin. Mar shampla, Microsoft 365 don chomhoibriú agus AWS don óstáil táirgthe.

Céim 1: Nuashonraigh an Clár Seirbhísí Néil

Maidir le Microsoft 365, taifead cuspóir, úinéir, cineálacha sonraí, réigiún, cuntais riarthóra, conradh, DPA, teagmhálaí tacaíochta, dáta athnuachana agus criticiúlacht. Maidir le AWS, taifead an cuntas táirgthe, réigiúin, catagóirí sonraí, ualaí oibre, úinéir cuntais, stádas cuntais root, plean tacaíochta, téarmaí conartha agus seirbhísí gnó nasctha.

Úsáid réimsí Cloud Usage Policy-sme mar an tacar sonraí íosta. Cuir criticiúlacht, ábharthacht rialála agus suíomh fianaise leis.

Céim 2: Doiciméadaigh freagracht chomhroinnte

Maidir le Microsoft 365, áirítear ar fhreagrachtaí an chustaiméara saolré úsáideoirí, MFA, rochtain choinníollach, comhroinnt aíonna, lipéid choinneála, DLP nuair a úsáidtear é, logáil agus ardú teagmhais. Maidir le AWS, áirítear ar fhreagrachtaí an chustaiméara IAM, rialacha líonra, cruaú ualaí oibre, cumraíocht criptithe, cúltaca, logáil, paistiú agus slándáil feidhmchlár.

Ceangail doiciméadacht freagrachta comhroinnte an tsoláthraí, ansin mapáil gach freagracht chustaiméara chuig úinéir rialaithe agus foinse fianaise.

Céim 3: Gabh fianaise chumraíochta

Maidir le Microsoft 365, easpórtáil nó glac grianghraif scáileáin de bheartais MFA agus rochtana coinníollaí, róil riarthóra, socruithe comhroinnte seachtraí, logáil iniúchta, cumraíocht choinneála agus gníomhartha scór slándála. Maidir le AWS, easpórtáil beartas pasfhocal IAM, stádas MFA pribhléideach, cumraíocht CloudTrail, bloc rochtana poiblí S3, stádas criptiúcháin, athbhreithniú grúpa slándála, jabanna cúltaca agus stádas scanadh leochaileachta.

Éilíonn an Cloud Usage Policy ar thimpeallachtaí néil cloí le bonnlíne cumraíochta dhoiciméadaithe atá formheasta ag an Ailtire Slándála Néil. Ba cheart don phacáiste fianaise an bonnlíne agus fianaise ar ailíniú araon a áireamh.

Céim 4: Nasc fianaise soláthraithe agus phríobháideachais

Ceangail an conradh, DPA, liosta fophhróiseálaithe, téarmaí fógra sáraithe, tuarascálacha dearbhaithe iniúchta agus fianaise ar shuíomh sonraí. Má phróiseáiltear sonraí pearsanta, taifead an ngníomhaíonn an soláthraí mar phróiseálaí, conas a láimhseáiltear scriosadh, conas a oibríonn tacaíocht d’iarratais ó ábhair sonraí, agus cé na coimircí aistrithe a bhaineann leis.

Maidir le DORA, aithin an dtacaíonn an tseirbhís néil le feidhm chriticiúil nó thábhachtach. Más ea, nasc an fhianaise leis an gclár tríú páirtí TFC, leis an gcomhad dícheall cuí, le cearta iniúchta, leis an bplean imeachta agus leis an athbhreithniú riosca comhchruinnithe.

Céim 5: Ceangail logáil le freagairt do theagmhais

Taispeáin go bhfuil logaí cumasaithe, seolta, athbhreithnithe agus úsáidte. Ceangail deais SIEM, rialacha foláirimh agus ticéad foláirimh dúnta amháin ar a laghad. Ansin mapáil an sreabhadh oibre chuig pointí cinnteoireachta tuairiscithe NIS2 agus DORA.

Maidir le NIS2, ní mór don phróiseas teagmhais tacú le luathrabhadh 24 uair an chloig, fógra teagmhais 72 uair an chloig agus tuarascáil dheiridh laistigh de mhí amháin do theagmhais shuntasacha. Maidir le DORA, ba cheart don phróiseas teagmhais TFC teagmhais a aicmiú de réir cliant lena mbaineann, idirbhearta, fad, aga neamhfhónaimh, leathadh geografach, tionchar sonraí, criticiúlacht seirbhíse agus tionchar eacnamaíoch.

Céim 6: Stóráil fianaise le smacht

Sainmhíníonn Audit and Compliance Monitoring Policy-sme de chuid Clarysec Audit and Compliance Monitoring Policy-sme clásal 6.2 smacht praiticiúil fianaise:

“6.2 Bailiú agus doiciméadú fianaise 6.2.1 Ní mór gach fianaise a stóráil i bhfillteán iniúchta láraithe. 6.2.2 Ní mór d’ainmneacha comhad tagairt shoiléir a dhéanamh don ábhar iniúchta agus don dáta. 6.2.3 Ní mór meiteashonraí (m.sh., cé a bhailigh í, cathain, agus ó cén córas) a dhoiciméadú. 6.2.4 Ní mór fianaise a choinneáil ar feadh dhá bhliain ar a laghad, nó níos faide nuair a éilíonn deimhniú nó comhaontuithe cliant é.”

Luaitear cuspóir an Audit and Compliance Monitoring Policy fiontair Audit and Compliance Monitoring Policy:

“Fianaise inchosanta agus rian iniúchta a ghiniúint chun tacú le fiosrúcháin rialála, imeachtaí dlíthiúla nó iarratais dearbhaithe custaiméirí.”

Is fianaise lag é grianghraf scáileáin darb ainm “screenshot1.png”. Tá comhad darb ainm “AWS-Prod-CloudTrail-Enabled-2026-05-10-CollectedBy-JSmith.png” níos láidre toisc go gcuireann sé síos ar an gcóras, ar an rialú, ar an dáta agus ar an mbailitheoir. Tá tábhacht le meiteashonraí toisc go gcaithfidh iniúchóirí muinín a bheith acu cathain a bailíodh fianaise, cé a bhailigh í agus cén córas as ar bailíodh í.

Conas a thástálann iniúchóirí an rialú néil céanna

Dearrtar na pacáistí fianaise néil is láidre do lionsaí iniúchta éagsúla. Tástálann iniúchóirí ISO 27001:2022 an bhfuil an rialú san ISMS, sa mheasúnú riosca, sa chóireáil riosca agus sa SoA. Tástálann measúnóirí dírithe ar NIST an cur chun feidhme teicniúil. Tástálann iniúchóirí COBIT 2019 rialachas, feidhmíocht soláthraithe agus comhtháthú próisis. Díríonn iniúchóirí príobháideachais ar oibleagáidí próiseálaithe, cónaí sonraí, ullmhacht sáraithe agus cearta ábhar sonraí. Díríonn athbhreithnithe maoirseachta DORA ar riosca tríú páirtí TFC agus athléimneacht.

Áiríonn Zenith Controls na difríochtaí modheolaíochta iniúchta seo do sheirbhísí néil, comhaontuithe soláthraithe agus faireachán soláthraithe. Maidir le 5.22, faireachán, athbhreithniú agus bainistíocht athruithe ar sheirbhísí soláthraithe, leagann sé béim ar go bhféadfadh iniúchóirí miontuairiscí athbhreithnithe soláthraithe ráithiúla, tuarascálacha KPI, measúnuithe tuarascálacha SOC, logaí athruithe, measúnuithe riosca, teagmhais soláthraithe agus rianú saincheisteanna a iniúchadh. Maidir le 5.20, aghaidh a thabhairt ar shlándáil faisnéise laistigh de chomhaontuithe soláthraithe, leagann sé béim ar shampláil conarthaí do rúndacht, oibleagáidí slándála, fógra sáraithe, cearta iniúchta, faomhadh fochonraitheora agus téarmaí foirceanta.

Rialuithe traschomhlíonta a iompraíonn ualach iniúchta an néil

Tógtar samhail fianaise néil atá réidh ó thaobh rialála de timpeall ar líon beag rialuithe ardtionchair. Iompraíonn na rialuithe seo cuid mhór den ualach comhlíonta thar ISO 27001:2022, NIS2, DORA, GDPR, NIST agus COBIT 2019.

Cuireann NIST SP 800-53 Rev.5 doimhneacht theicniúil leis trí bhainistíocht cuntas, seirbhísí córais sheachtracha, faireachán leanúnach, faireachán córais agus Boundary Protection. Cuireann COBIT 2019 doimhneacht rialachais leis trí bhainistíocht caidrimh sholáthraithe, riosca díoltóirí, malartú sonraí, slándáil líonra agus ullmhacht athraithe.

Géaróidh caighdeáin ISO thacaíochta an tsamhail fianaise. Soláthraíonn ISO/IEC 27017 treoir atá sonrach don néal maidir le róil chomhroinnte, cumraíocht meaisíní fíorúla agus faireachán ar ghníomhaíocht custaiméirí. Díríonn ISO/IEC 27018 ar chosaint PII sa néal poiblí. Leathnaíonn ISO/IEC 27701 oibleagáidí príobháideachais isteach in oibríochtaí próiseálaithe agus rialaitheoirí. Tacaíonn ISO/IEC 27036-4 le comhaontuithe soláthraithe néil agus faireachán. Tacaíonn ISO/IEC 27005 le measúnú riosca néil.

Ní mór don athbhreithniú bainistíochta riosca néil a fheiceáil, ní hamháin infhaighteacht néil

Ceann de na déantáin iniúchta is mó a ndéantar neamhaird air ná an t-athbhreithniú bainistíochta. Tá ISO 27001:2022 ag súil go measfaidh an t-athbhreithniú bainistíochta athruithe, riachtanais páirtithe leasmhara, treochtaí feidhmíochta, torthaí iniúchta, stádas cóireála riosca agus deiseanna feabhsúcháin. Éilíonn NIS2 ar chomhlachtaí bainistíochta bearta bainistíochta riosca cibearshlándála a fhaomhadh agus maoirseacht a dhéanamh ar a gcur chun feidhme. Éilíonn DORA ar an gcomhlacht bainistíochta bainistíocht riosca TFC a shainiú, a fhaomhadh, a mhaoirsiú agus fanacht cuntasach ina leith.

Ba cheart do dheais ráithiúil slándála néil agus soláthraithe na nithe seo a leanas a thaispeáint:

• Líon na seirbhísí néil formheasta.
• Seirbhísí néil criticiúla agus úinéirí.
• Seirbhísí a phróiseálann sonraí pearsanta.
• Seirbhísí a thacaíonn le feidhmeanna criticiúla nó tábhachtacha.
• Míchumraíochtaí néil oscailte ardriosca.
• Stádas athbhreithnithe MFA agus rochtana pribhléidí.
• Clúdach logála d’ardáin chriticiúla SaaS agus IaaS.
• Tuarascálacha dearbhaithe soláthraithe faighte agus athbhreithnithe.
• Eisceachtaí conartha agus rioscaí glactha.
• Teagmhais néil, neasteagmhais agus ceachtanna foghlamtha.
• Torthaí tástála cúltaca agus athshlánaithe.
• Stádas riosca comhchruinnithe agus plean imeachta.

Éiríonn an deais seo ina fianaise do cheannaireacht agus meastóireacht feidhmíochta ISO 27001:2022, rialachas NIS2 agus cuntasacht bainistíochta DORA.

Molann Zenith Blueprint, i gcéim Bainistíocht Riosca, Céim 14, ceanglais rialála a thraschur nuair a chuirtear cóireálacha riosca agus beartais i bhfeidhm. Deir sé gur cleachtadh inmheánach úsáideach é ceanglais phríomh-rialachán a mhapáil chuig rialuithe ISMS agus go “gcuireann sé ina luí ar iniúchóirí/measúnóirí freisin nach bhfuil slándáil á bainistiú agat i bhfolús ach go bhfuil tú feasach ar an gcomhthéacs dlíthiúil.”

Sin í an aibíocht a bhfuil rialtóirí agus custaiméirí fiontair ag súil léi.

Fionnachtana coitianta iniúchta néil agus conas iad a sheachaint

Trasna obair ullmhachta iniúchta néil, tá fionnachtana athfhillteacha intuartha:

1. Tá an Clár Seirbhísí Néil ann, ach tá uirlisí SaaS ar iarraidh.
2. Níl suíomh sonraí taifeadta nó cóipeáiltear é ó leathanaigh mhargaíochta seachas ó fhianaise chonartha.
3. Cuirtear MFA i bhfeidhm d’fhostaithe ach ní do gach cuntas riaracháin nó cuntas éigeandála.
4. Tá logaí néil cumasaithe ach níl siad athbhreithnithe, coinneáilte ná nasctha le freagairt do theagmhais.
5. Tá tuarascálacha SOC soláthraithe i gcartlann ach ní mheasúnaítear iad.
6. Tá clásail chonartha ann do sholáthraithe nua ach ní do sheirbhísí criticiúla oidhreachta.
7. Faightear fógraí fophhróiseálaithe trí ríomhphost ach ní dhéantar measúnú riosca orthu.
8. Ritheann jabanna cúltaca go rathúil, ach níl tástálacha athshlánaithe cruthaithe le fianaise.
9. Tuigeann innealtóirí freagracht chomhroinnte ach níl sí doiciméadaithe d’iniúchóirí.
10. Marcálann an SoA rialuithe néil mar infheidhme ach ní nascann sé iad le hiontrálacha riosca, fianaise ná úinéirí.

Is fadhbanna inrianaitheachta iad seo. Is é an réiteach beartas, riosca, rialú, úinéir, fianaise agus athbhreithniú a nascadh.

Nuair a tháinig lá an iniúchta do Maria, ní raibh sí ag brath a thuilleadh ar ghrianghraif scáileáin scaipthe. D’oscail sí deais lárnach a thaispeáin an Clár Seirbhísí Néil, measúnuithe riosca, iontrálacha SoA, fianaise ar chumraíocht bhonnlíne, comhaid athbhreithnithe soláthraithe, fianaise logála agus athbhreithniú riosca comhchruinnithe DORA. Nuair a d’fhiafraigh an t-iniúchóir conas a bhí rioscaí néil á rialú, thaispeáin sí an ISMS. Nuair a d’fhiafraigh an t-iniúchóir conas a bhí seirbhísí cumraithe go slán, thaispeáin sí an bhonnlíne agus fianaise CSPM. Nuair a d’fhiafraigh an t-iniúchóir faoi riosca tríú páirtí TFC, thaispeáin sí an t-athbhreithniú conartha, faireachán soláthraithe agus pleanáil imeachta.

Ní timpeallacht fhoirfe a bhí mar thoradh air. Níl aon timpeallacht néil foirfe. Ba é an difríocht ná go raibh cinntí riosca doiciméadaithe, bhí fianaise inchosanta agus bhí cuntasacht infheicthe.

Tóg do phacáiste fianaise néil sula n-iarrfaidh an t-iniúchóir é

Má bhraitheann d’eagraíocht ar SaaS, IaaS nó PaaS, ní ghlacfaidh do chéad iniúchadh eile le “láimhseálann an soláthraí é” mar fhreagra leordhóthanach. Ní mór duit freagracht chomhroinnte, cumraíocht ar thaobh an chustaiméara, clásail soláthraithe, logáil, ullmhacht teagmhais, athléimneacht agus maoirseacht bainistíochta a chruthú.

Tosaigh le trí ghníomh phraiticiúla an tseachtain seo:

1. Cruthaigh nó athnuaigh do Chlár Seirbhísí Néil ag úsáid Cloud Usage Policy de chuid Clarysec Cloud Usage Policy nó Cloud Usage Policy-sme Cloud Usage Policy-sme.
2. Mapáil do chúig phríomhsheirbhís néil chuig rialuithe ISO 27001:2022 Iarscríbhinn A, NIS2 Article 21, oibleagáidí tríú páirtí TFC DORA nuair is infheidhme, agus ceanglais phróiseálaithe GDPR.
3. Tóg fillteán fianaise láraithe ag úsáid smacht coinneála agus meiteashonraí ó Audit and Compliance Monitoring Policy Audit and Compliance Monitoring Policy nó Audit and Compliance Monitoring Policy-sme Audit and Compliance Monitoring Policy-sme.

Ansin úsáid Zenith Blueprint Zenith Blueprint chun an obair a chur isteach sa treochlár iniúchta ISMS 30 céim, agus Zenith Controls Zenith Controls chun mapálacha traschomhlíonta, caighdeáin ISO thacaíochta agus ionchais modheolaíochta iniúchta a bhailíochtú.

Is féidir le Clarysec cabhrú leat grianghraif scáileáin néil scaipthe, comhaid soláthraithe agus socruithe SaaS a iompú ina bpacáiste fianaise atá réidh ó thaobh rialála de agus a sheasann le hiniúchtaí deimhniúcháin ISO 27001:2022, ceisteanna maoirseachta NIS2, athbhreithnithe tríú páirtí TFC DORA agus éilimh dearbhaithe custaiméirí fiontair.