Coinneáil dhlíthiúil i gcás teagmhas cibearshlándála faoi GDPR, NIS2 agus DORA

Ag 4:17 AM, fuair Maria, CISO de chuid soláthraí fintech SaaS, an glao a mbíonn gach ceannaire slándála ullamh dó agus a mbíonn súil aige fós nach dtiocfaidh sé choíche. Bhí freastalaithe táirgthe criticiúla gan fhreagairt. Bhí comhaid criptithe. Bhí nóta fuascailte oscailte ar scáileán riarthóra shóisearaigh.

Faoi 4:28, bhí an fhoireann freagartha do theagmhais ag iarraidh na córais lena mbaineann a leithlisiú agus bonneagar glan a athimscaradh. Faoi 4:41, d’fhiafraigh innealtóireacht an bhféadfaí dintiúir a rothlú, comhaid shealadacha a ghlanadh agus coimeádáin a atógáil. Faoi 5:03, thug an tOCS rabhadh go raibh aitheantóirí custaiméirí agus meiteashonraí idirbheart sa timpeallacht chomhréitithe. Faoi 5:16, tháinig comhairle dlí isteach ar an nglao géarchéime le treoir amháin: “Ná scrios fianaise fhéideartha. D’fhéadfadh coinneáil dhlíthiúil a bheith de dhíth orainn.” Faoi 5:30, d’fhiafraigh an COO an raibh oibleagáidí tuairiscithe DORA spreagtha. Faoi 6:00, chuimhnigh Maria ar chlog NIS2: d’fhéadfadh réamhrabhadh a bheith dlite laistigh de 24 uair an chloig, fógra níos iomláine laistigh de 72 uair an chloig, agus tuarascáil deiridh laistigh de mhí.

Ansin tháinig an cheist a chinneann an mbeidh teagmhas cibearshlándála inchosanta nó mí-eagraithe:

“An bhfuil na logaí againn fós?”

Seo í an fhadhb rialachais iar-theagmhais nach dtugann go leor pleananna freagartha dóthain airde di. Ní leor brath, teorannú agus téarnamh. In 2026, ní mór d’eagraíochtaí a chruthú freisin cad a tharla, fianaise ábhartha a chaomhnú, truailliú déantán fóiréinseach a sheachaint, íoslaghdú sonraí GDPR a urramú, tacú le maoirseacht NIS2 agus taifid riosca TFC DORA a choinneáil a sheasfaidh d’iniúchadh, do dhlíthíocht agus d’athbhreithniú rialála.

Tá coinneáil dhlíthiúil agus caomhnú fianaise i gcás teagmhas cibearshlándála suite ag pointe trasnaithe oibríochtaí slándála, príobháideachais, dlí, comhlíonta, innealtóireachta scamall, bainistíochta soláthraithe agus iniúchta. Má chuirtear an próiseas le chéile go seiftithe le linn sáraithe, féadfaidh an eagraíocht an fhianaise atá de dhíth le haghaidh anailís ar bhunchúis, tuairisciú rialála, éilimh árachais, cosaint dlíthíochta, smachtú fostaithe agus dearbhú custaiméirí a chailleadh. Má théitear rófhada, féadfaidh an eagraíocht sonraí pearsanta iomarcacha a choinneáil agus fadhb chomhlíonta eile a chruthú.

Is é cur chuige Clarysec coinneáil dhlíthiúil a dhéanamh ina próiseas rialaithe ISMS, ní ina fhreagairt ad hoc ar éigeandáil. Ceanglaíonn an tsamhail rialachas ISO/IEC 27001:2022, rialuithe fianaise agus logála ISO/IEC 27002:2022, cuntasacht GDPR, tuairisciú teagmhas NIS2 agus fianaise riosca TFC DORA in aon chóras oibríochta amháin. Insíonn an córas sin do na foirne cad atá le caomhnú, cé atá in ann an chaomhnú a údarú, cá fhad a fhanann fianaise faoi choinneáil, cé atá in ann rochtain a fháil uirthi agus cathain is féidir leis an scriosadh atosú.

Cinneann na chéad 24 uair an chloig an mairfidh an fhianaise

I go leor teagmhas fíor, ní hiad na hionsaitheoirí a scriosann an fhianaise. Scriosann gnáthoibríochtaí í.

Téann tréimhse coinneála logaí scamall in éag. Athimscartar coimeádán. Athíomháítear críochphointe sula ngabháiltear cuimhne. Easpórtálann riarthóir SaaS CSV le haghaidh imscrúdaithe, agus ansin cuireann sé an comhad in eagar. Scriosann innealtóir dea-rúin scripteanna mailíseacha sula dtógtar cóip fhóiréinseach. Baineann post coinneála stórais sonraí na taifid atá de dhíth chun a chinneadh cé na custaiméirí lena mbaineann.

D’fhéadfadh an eagraíocht téarnamh ó thaobh oibríochtaí de fós, ach cailleann sí cruthúnas. Tá tábhacht leis an idirdhealú sin.

Faoi GDPR, ní mór do rialaitheoir a bheith in ann comhlíonadh phrionsabail chosanta sonraí a léiriú, lena n-áirítear sláine agus rúndacht, teorannú cuspóra, íoslaghdú sonraí agus teorannú stórála. Má tá sárú sonraí pearsanta dóchúil riosca a chruthú do dhaoine aonair, féadfaidh Article 33 fógra don údarás maoirseachta a éileamh gan mhoill mhíchuí agus, más indéanta, laistigh de 72 uair an chloig ón tráth a fhaightear feasacht air. Má tá an sárú dóchúil ardriosca a chruthú do dhaoine aonair, féadfaidh Article 34 cumarsáid le hábhair sonraí lena mbaineann a éileamh.

Faoi NIS2, ní mór d’eintitis riachtanacha agus thábhachtacha teagmhais shuntasacha a bhainistiú trí thuairisciú céimnithe agus maoirseacht. Faoi DORA, ní mór d’eintitis airgeadais teagmhais a bhaineann le TFC a thaifeadadh, mórtheagmhais a aicmiú, iad a thuairisciú, anailís ar bhunchúis a dhéanamh agus fianaise a chaomhnú ar fud sócmhainní TFC, feidhmeanna gnó agus spleáchais tríú páirtí.

Tugann ISO/IEC 27001:2022 struchtúr an chórais bainistíochta don obair seo. Éilíonn Clause 4.2 ar eagraíocht riachtanais agus ionchais páirtithe leasmhara a chinneadh, lena n-áirítear ceanglais dhlíthiúla, rialála agus chonarthacha atá ábhartha do shlándáil faisnéise. Éilíonn Clause 4.3 go gcuirfeadh raon feidhme an ISMS comhéadan agus spleáchais san áireamh, rud atá criticiúil nuair atá fianaise laistigh de sholáthraí scamall, soláthraí slándála bainistithe, ardán íocaíochta nó deasc chabhrach seachfhoinsithe. Ceanglaíonn Clause 6.1 na hoibleagáidí seo le rioscaí slándála faisnéise agus le cóireáil riosca. Éilíonn Clause 7.5 faisnéis dhoiciméadaithe rialaithe. Éilíonn Clause 8 pleanáil agus rialú oibríochtúil.

Míníonn Zenith Blueprint: Treochlár 30 Céim d’Iniúchóir de chuid Clarysec cén fáth nach mór é seo a dhearadh roimh an teagmhas, ní lena linn. Sa chéim Controls in Action, Step 23, deir an treoir do rialú 5.28 de ISO/IEC 27002:2022:

“Nuair a tharlaíonn teagmhas slándála faisnéise, is í fianaise ceann de na heilimintí freagartha is criticiúla, ach is minice a fhágtar ar lár í. Ní logaí, ní gabhálacha scáileáin ná insintí scaoilte atá i gceist, ach fianaise atá caomhnaithe i gceart, a urramaíonn slabhra coimeádta agus atá frithionramhála.”

Cuireann an Step 23 céanna leis go bhfuil “an méid is féidir leat a chruthú chomh tábhachtach céanna leis an méid a tharla i ndáiríre.” Is í an abairt sin an difríocht idir freagairt do theagmhais agus freagairt inchosanta do theagmhais. Ní ghlacfaidh rialálaí, iniúchóir custaiméara, cúirt, árachóir ná údarás maoirseachta le hatógáil ó bhéal mura féidir leis an eagraíocht logaí caomhnaithe, stampaí ama iontaofa, taifid rialaithe agus slabhra coimeádta doiciméadaithe a thaispeáint.

Ní hionann coinneáil dhlíthiúil agus “coinnigh gach rud go deo”

Is éard is coinneáil dhlíthiúil i gcás teagmhas cibearshlándála ann fionraí fhoirmiúil ar ghnáthscriosadh nó ar dhiúscairt taifead, logaí, cúltacaí, íomhánna, cumarsáidí agus fianaise shainithe eile a d’fhéadfadh a bheith ábhartha d’imscrúdú, dlíthíocht, fiosrúchán rialála, iniúchadh nó díospóid chonarthach.

Is é an teip is coitianta ná coinneáil dhlíthiúil a láimhseáil mar threoir uileghabhálach: “Ná scrios aon rud.” Cruthaíonn sé sin riosca príobháideachais, costais agus riosca oibríochtúil. Ní imíonn GDPR as radharc le linn teagmhais chibearshlándála. Ní mór sonraí pearsanta a phróiseáil fós go dleathach, go cothrom agus go trédhearcach, chun críocha sonraithe, teoranta don mhéid is gá agus coinnithe ar feadh na tréimhse is gá amháin. Cuireann Article 5(2) cuntasacht leis, rud a chiallaíonn go gcaithfidh an eagraíocht a bheith in ann na cinntí sin a léiriú.

Seo an áit a mbíonn leabharlann beartas Clarysec praiticiúil. Deir Beartas Coinneála Sonraí agus Beartas Diúscartha Sláine-sme do SME:

“Sáraíonn coinneáil dhlíthiúil agus fionraí scriosta ceanglais chaighdeánacha coinneála agus cuireann siad cosc ar scriosadh sonraí.”

Maidir le heagraíochtaí níos mó, deir an Beartas um Choinneáil Sonraí agus Diúscairt Sonraí Enterprise, Clause 6.4.1:

“Má eisítear coinneáil dhlíthiúil agus fionraí scriosta (m.sh., dlíthíocht, imscrúdú nó iniúchadh ar feitheamh), ní mór sonraí a bheadh faoi réir scriosta murach sin a chaomhnú thar a ngnáth-thréimhse coinneála.”

Éilíonn an beartas Enterprise céanna go mbeidh an choinneáil:

“Doiciméadaithe agus formheasta ag comhairle dlí agus ag an Oifigeach Cosanta Sonraí (OCS)”

Ní maorlathas atá sa tsamhail formheasa sin. Is í an mheicníocht chothromaithe í idir caomhnú fianaiseach agus srianta príobháideachais. Deimhníonn comhairle dlí an bonn dlíthíochta, imscrúdaithe nó rialála. Deimhníonn an tOCS go bhfanann an raon feidhme, an cuspóir, catagóirí sonraí pearsanta, rialuithe rochtana agus síneadh coinneála comhréireach.

I gcás SMEanna nach bhfuil roinn dlí iomlán ná feidhm OCS acu, is féidir le vCISO, úinéir príobháideachais, stiúrthóir bainistíochta agus comhairle dlí sheachtrach an loighic chinnteoireachta chéanna a fheidhmiú, fad is atá an t-údarú doiciméadaithe, teoranta ó thaobh ama de agus faoi athbhreithniú.

An teannas comhlíonta nach mór do gach CISO a réiteach

Tar éis teagmhais thromchúisigh, iarrann páirtithe leasmhara éagsúla fianaise éagsúil. Teastaíonn caomhnú ón bhfeidhm dhlíthiúil. Teastaíonn íoslaghdú ó phríobháideachas. Teastaíonn fíricí ó rialálaithe. Teastaíonn athshlánú ó oibríochtaí. Teastaíonn dearbhú ó chustaiméirí. Teastaíonn fianaise oibiachtúil ó iniúchóirí.

Is oideas do choinbhleacht é iarracht a dhéanamh na héilimh seo a bhainistiú trí shreafaí oibre príobháideachais, dlí, SOC agus iniúchta ar leithligh. Déanann ISMS aontaithe ISO/IEC 27001:2022 iad a bheith mar chuid d’aon phróiseas riosca, rialaithe agus fianaise amháin.

An chruach rialuithe le haghaidh caomhnú fianaise inchosanta

Ní rialú amháin de chuid ISO/IEC 27002:2022 í coinneáil dhlíthiúil i gcás teagmhas cibearshlándála. Is caidreamh rialuithe í.

Mapálann Zenith Controls: An Treoir Thras-Chomhlíonta de chuid Clarysec rialú 5.28 de ISO/IEC 27002:2022, Bailiú fianaise, mar rialú ceartaitheach a thacaíonn le rúndacht, sláine agus infhaighteacht. Tá sé suite laistigh de choincheapa cibearshlándála Brath agus Freagairt agus den chumas oibríochtúil bainistíochta imeachtaí slándála faisnéise.

Ceanglaíonn an treoir Zenith Controls chéanna 5.28 le freagairt do theagmhais slándála faisnéise, logáil agus faireachán, cosaint taifead agus tuairisciú imeachtaí. Tá an loighic phraiticiúil: teastaíonn logaí agus déantáin ó fhreagróirí teagmhais sula n-athraíonn leigheas an láthair, teastaíonn fíricí iontaofa ó thuairisceoirí rialála, agus teastaíonn fianaise nár athraíodh ó imscrúdaitheoirí.

Tá rialú 5.33 de ISO/IEC 27002:2022, Cosaint taifead, chomh tábhachtach céanna. Tacaíonn sé le ceanglais dhlíthiúla agus comhlíonta, bainistíocht sócmhainní agus cosaint faisnéise. Ceanglaíonn sé cosaint taifead le haicmiú, cúltacaí, diúscairt shlán, ceanglais dhlíthiúla agus chonarthacha, rialú rochtana agus freagairt do theagmhais. I gcleachtas, ní mór do choinneáil dhlíthiúil ní hamháin fianaise a ghabháil. Ní mór di sláine, rúndacht agus infhaighteacht thaifid na fianaise féin a chosaint.

Maidir le logáil, is é rialú 8.15 de ISO/IEC 27002:2022, Logáil, an bunús. Ceanglaíonn sé le 8.16, Gníomhaíochtaí faireacháin, agus 8.17, Sioncrónú cloig. Má tá logaí neamhiomlán, in-eagarthóireachta ag riarthóirí, gan sioncrónú ama nó coinnithe ar feadh tréimhse róghairid, féadfaidh an próiseas fianaise teip sula dtosaíonn an t-imscrúdú.

Neartaíonn Zenith Blueprint, céim Controls in Action, Step 19, é seo le teanga phraiticiúil maidir le logáil:

“Ba cheart logaí a thaifeadann gníomhaíochtaí, eisceachtaí, lochtanna agus imeachtaí ábhartha eile a tháirgeadh, a stóráil, a chosaint agus a anailísiú.”

Tugann sé rabhadh freisin go n-áirítear le cosaint logaí rochtain a shrianadh agus sásraí amhail fíorú haisce nó stóráil scríobh uair amháin/léamh go minic a úsáid chun cur isteach a chosc. Ceanglaíonn Step 19 sioncrónú cloig le comhleanúnachas fóiréinseach, ag míniú go gceadaíonn cloig shioncronaithe logaí ó chórais éagsúla a ailíniú le haghaidh imscrúdaithe.

Cuntasacht GDPR: caomhnaigh an méid atá de dhíth ort, údaraigh an méid a choinníonn tú

Cruthaíonn GDPR an teannas is infheicthe i gcaomhnú fianaise teagmhais. Is minic a theastaíonn níos mó sonraí ó fhoirne slándála. Teastaíonn níos lú ó fhoirne príobháideachais. Réitíonn coinneáil dhlíthiúil inchosanta an dá riachtanas.

D’fhéadfadh seoltaí IP, aitheantais úsáideoirí, seoltaí ríomhphoist, aitheantóirí gléasanna, taifid fhíordheimhnithe, téacs ticéad tacaíochta, gabhálacha scáileáin, easpórtálacha custaiméirí nó sonraí catagóire speisialta a bheith i logaí agus i ndéantáin. Is próiseáil í caomhnú fianaise dá bhrí sin. Ba cheart don fhógra coinneála dlíthiúla an bonn dlíthiúil, an cuspóir, an raon feidhme, na srianta rochtana, dáta athbhreithnithe na coinneála agus truicear diúscartha a dhoiciméadú.

Deir Beartas um Chosaint Sonraí agus Príobháideachas-sme do SME de chuid Clarysec:

“Ní mór ach an t-íosmhéid sonraí pearsanta is gá a bhailiú agus a choinneáil”

Ceanglaíonn an Beartas um Bhailiú Fianaise agus Fóiréinsic Enterprise láimhseáil fianaise fhóiréinseach go sainráite le:

“GDPR Article 5, lena n-áirítear teorannú cuspóra agus íoslaghdú sonraí”

Sin é an prionsabal oibríochta. Ná caomhnaigh bunachar sonraí táirgthe iomlán más é an fhianaise ábhartha rian iniúchta cúng, loga rochtana, taifead fiosrúcháin agus liosta úsáideoirí lena mbaineann. Ná tabhair rochtain ar fhianaise amh do gach freagróir má dhéanfaidh sleachta ainm bréige nó rochtain rólbhunaithe an gnó. Ná coinnigh déantáin teagmhais gan teorainn tar éis don riachtanas dlíthiúil, rialála agus iniúchta dul in éag.

Freagraíonn taifead maith coinneála dlíthiúla atá feasach ar GDPR seacht gceist:

1. Cén teagmhas nó imscrúdú a spreag an choinneáil?
2. Cé na catagóirí sonraí pearsanta a d’fhéadfadh a bheith san áireamh?
3. Cén fáth a bhfuil gach catagóir fianaise riachtanach?
4. Cé a d’fhaomh an choinneáil agus cathain?
5. Cé atá in ann rochtain a fháil ar an bhfianaise?
6. Cathain a dhéanfar athbhreithniú ar an gcoinneáil?
7. Cén próiseas scriosta nó diúscartha sláine a atosóidh nuair a scaoiltear an choinneáil?

Seo mar a sheachnaíonn caomhnú fianaise róchoinneáil phríobháideachais.

NIS2: coinneáil dhlíthiúil le haghaidh tuairisciú céimnithe teagmhais

I gcás eagraíochtaí atá laistigh den raon feidhme, athraíonn NIS2 ionchas na fianaise ó “úsáideach go hinmheánach” go “riachtanach don mhaoirseacht.”

Baineann NIS2 le go leor eintiteas riachtanach agus tábhachtach san AE, lena n-áirítear soláthraithe bonneagair dhigitigh, soláthraithe seirbhísí ríomhaireachta scamall, soláthraithe seirbhíse ionad sonraí, líonraí seachadta inneachair, soláthraithe seirbhíse iontaoibhe, soláthraithe cumarsáide leictreonaí, Soláthraithe Seirbhíse Bainistithe, soláthraithe seirbhíse slándála bainistithe agus soláthraithe digiteacha áirithe amhail margaí ar líne, innill chuardaigh ar líne agus ardáin líonraithe shóisialta.

Éilíonn Article 21 bearta teicniúla, oibríochtúla agus eagraíochtúla cuí agus comhréireacha, lena n-áirítear anailís riosca, láimhseáil teagmhas, leanúnachas gnó, slándáil slabhra soláthair, forbairt shlán, measúnú éifeachtachta, oiliúint, cripteagrafaíocht, slándáil acmhainní daonna, rialú rochtana, bainistíocht sócmhainní agus fíordheimhniú. Cuireann Article 20 freagracht ar chomhlachtaí bainistíochta na bearta sin a fhaomhadh agus a mhaoirsiú.

Maidir le coinneáil dhlíthiúil, is í Article 23 príomhcheist NIS2. Éilíonn teagmhais shuntasacha tuairisciú céimnithe: réamhrabhadh laistigh de 24 uair an chloig ó bheith ar an eolas, fógra teagmhais laistigh de 72 uair an chloig, tuarascálacha idirmheánacha ar iarratas agus tuarascáil deiridh tráth nach déanaí ná mí amháin tar éis an fhógra 72 uair an chloig. Teastaíonn cur síos, déine, tionchar, cineál bagartha dóchúil nó bunchúis, bearta maolaithe agus tionchar trasteorann, i gcás inarb infheidhme, sa tuarascáil deiridh.

Má théann an teagmhas i bhfeidhm ar shonraí pearsanta, féadfaidh údaráis inniúla NIS2 comhoibriú le húdaráis mhaoirseachta GDPR. Méadaíonn sé sin an gá le hinsint fianaise amháin a thacaíonn le maoirseacht cibearshlándála agus le cuntasacht phríobháideachais araon.

DORA: téann fianaise riosca TFC níos faide ná logaí slándála

Maidir le heintitis airgeadais, is é DORA an córas earnáilshonrach athléimneachta oibríochtúla. Tá sé infheidhme ón 17 Eanáir 2025 agus clúdaíonn sé bainistíocht riosca TFC, tuairisciú mórtheagmhas TFC, tástáil athléimneachta, comhroinnt faisnéise agus bainistíocht riosca tríú páirtí TFC. I gcás eintitis airgeadais atá riachtanach nó tábhachtach faoi NIS2 freisin, feidhmíonn DORA de ghnáth mar ghníomh dlíthiúil Aontais earnáilshonrach maidir le riosca TFC agus tuairisciú teagmhas.

Tá DORA dian ar fhianaise de réir deartha. Éilíonn Article 17 próiseas bainistíochta teagmhas a bhaineann le TFC. Déileálann Article 18 le haicmiú teagmhas agus bagairtí cibear a bhaineann le TFC. Clúdaíonn Article 19 tuairisciú mórtheagmhas a bhaineann le TFC. Ní mór d’eintitis airgeadais socruithe rialachais agus rialaithe a chothabháil freisin, feidhmeanna criticiúla nó tábhachtacha a shainaithint, sócmhainní agus spleáchais TFC a dhoiciméadú, agus anailís ar bhunchúis a dhéanamh.

Ciallaíonn sé sin go gcaithfidh coinneáil dhlíthiúil DORA fianaise athléimneachta oibríochtúla a chlúdach, ní hamháin déantáin slándála. Tar éis comhréiteach aitheantais scamall a théann i bhfeidhm ar oibríochtaí íocaíochta, d’fhéadfadh logaí soláthraí aitheantais, stair rochtana pribhléidí, logaí iniúchta scamall, foláirimh SIEM, íomhánna críochphointe, anailís tionchair idirbheart custaiméirí, taifid gníomhachtaithe leanúnachais gnó, fianaise cúltaca agus téarnaimh, cumarsáidí soláthraithe, mionteagaisc don chomhlacht bainistíochta, anailís ar bhunchúis agus bailíochtú leigheasach a bheith san áireamh sa choinneáil.

Déanann DORA fianaise TFC tríú páirtí dosheachanta freisin. Éilíonn Articles 28 go 30 bainistíocht riosca tríú páirtí TFC, cláir socruithe conarthacha, dícheall cuí, measúnú riosca comhchruinnithe agus conarthaí i scríbhinn le cearta agus oibleagáidí. Maidir le feidhmeanna criticiúla nó tábhachtacha, ba cheart do chonarthaí tacú le hoibleagáidí fógra agus tuairiscithe soláthraithe, cúnamh teagmhais, comhoibriú le húdaráis, cearta rochtana, cigireachta agus iniúchta, agus straitéisí scoir.

Má choinníonn do sholáthraí scamall, MSP, MSSP, próiseálaí íocaíochta nó spleáchas SaaS na logaí ábhartha, ní mór do phróiseas coinneála dlíthiúla a bheith leabaithe cheana féin i gconarthaí soláthraithe. Murach sin, féadfaidh tú a fháil amach le linn mórtheagmhais go bhfuil fuinneog chaighdeánach choinneála do sholáthraí níos giorra ná do shaolré tuairiscithe rialála.

Conas a chuireann Clarysec coinneáil dhlíthiúil i bhfeidhm le linn sárú SaaS

Smaoinigh ar thimpeallacht fintech SaaS Maria. D’fhéadfadh rochtain neamhúdaraithe ar aitheantóirí custaiméirí, meiteashonraí idirbheart, córais riarthóra agus taifid SOC seachfhoinsithe a bheith i gceist leis an teagmhas. Freastalaíonn an chuideachta ar institiúidí airgeadais AE, braitheann sí ar bhonneagar scamall agus d’fhéadfadh oibleagáidí conarthacha GDPR, DORA agus dualgais NIS2 a bheith uirthi.

Ní hé an chéad ghníomh gach rud a chaomhnú. Is é an chéad ghníomh cinneadh rialaithe a spreagadh.

Seolann ceannasaí an teagmhais iarratas coinneála dlíthiúla chuig comhairle dlí, an tOCS nó ceannaire príobháideachais, an CISO agus úinéir gnó. Áirítear san iarratas aitheantas teagmhais, dáta agus am, córais lena mbaineann, catagóirí sonraí amhrasta, cosáin rialála tosaigh, catagóirí fianaise molta agus rioscaí scriosta láithreacha.

Ag baint úsáid as an Beartas um Choinneáil Sonraí agus Diúscairt Sonraí Enterprise, déantar an choinneáil a dhoiciméadú agus a fhaomhadh ag comhairle dlí agus ag an OCS. Do SMEanna, soláthraíonn an Beartas Coinneála Sonraí agus Beartas Diúscartha Sláine-sme an riail fionraí scriosta. Áirítear san údarú dáta athbhreithnithe atá ailínithe le garspriocanna imscrúdaithe, spriocdhátaí tuairiscithe rialála agus riosca dlíthíochta nó díospóide conarthaí a bhfuiltear ag súil leis. Ní deir sé “go deo.” Deir sé “go dtí go scaoiltear é trí chinneadh údaraithe tar éis athbhreithnithe.”

Ansin reoann an fhoireann logaí agus déantáin ábhartha. Deir Beartas Logála agus Monatóireachta-sme do SME:

“Ní mór logaí a chur faoi choinneáil dhlíthiúil agus faoi fhionraí scriosta agus iad a chosaint ar athrú nó ar scriosadh”

Cuireann an fhoireann fionraí scriosta i bhfeidhm ar chásanna SIEM, logaí aitheantais, logaí iniúchta scamall, logaí feidhmchlár, logaí fiosrúcháin bunachair shonraí, imeachtaí WAF agus meiteashonraí foláirimh SOC. Stóráiltear logaí easpórtáilte i stóráil fianaise shrianta le haisceáil, rialú leaganacha agus ceadanna inléite amháin nuair is cuí.

Tá an riail bhailithe simplí: fianaise a chaomhnú gan na bunchóipeanna a chur in eagar. Deir Beartas um Bhailiú Fianaise agus Fóiréinsic-sme do SME:

“Ní mór cóip fhóiréinseach nó easpórtáil a chruthú i gcónaí; ní mór eagarthóireacht dhíreach ar an mbunfhianaise a sheachaint.”

Féadfaidh innealtóirí leigheas a dhéanamh, ach amháin tar éis na seatanna, na heaspórtálacha nó na cóipeanna fóiréinseacha riachtanacha a dhéanamh, mura bhfuil teorannú láithreach riachtanach chun díobháil leanúnach a chosc. Má dhéantar leigheas éigeandála ar dtús, déantar an chúis a dhoiciméadú.

Deir an beartas SME céanna:

“Ní mór loga slabhra coimeádta simplí (m.sh., comhad Excel nó doiciméad teimpléid) a chothabháil do gach teagmhas.”

I dtimpeallachtaí fiontair, éilíonn an Beartas um Bhailiú Fianaise agus Fóiréinsic, Clause 5.6:

“Ní mór loga slabhra coimeádta a bheith ag gabháil le gach fianaise fhisiciúil nó dhigiteach ón am fála trí chartlannú nó aistriú agus ní mór dó a dhoiciméadú:”

I gcleachtas, taifeadann an loga slabhra coimeádta aitheantas fianaise, cur síos, córas foinse, bailitheoir, modh fála, luach haisce i gcás inarb infheidhme, foinse ama, suíomh stórála, imeachtaí rochtana, aistrithe, cóipeanna anailíse agus diúscairt deiridh.

Ar deireadh, ní mór taifead an imscrúdaithe féin a chosaint. Deir an Beartas Faireacháin Iniúchta agus Comhlíonta Enterprise:

“Ní mór gach loga iniúchta, fionnachtain agus tuarascáil leigheasach a choinneáil, a chriptiú agus a chosaint ar chur isteach.”

Baineann an ceanglas sin le hamlíne an teagmhais, loga cinntí, fógra coinneála dlíthiúla, cumarsáidí rialálaithe, cumarsáidí custaiméirí, anailís ar bhunchúis agus fianaise leigheasach.

An fhaisnéis dhoiciméadaithe a scrúdóidh iniúchóirí

Éilíonn ISO/IEC 27001:2022 Clause 7.5 go rialófar faisnéis dhoiciméadaithe atá de dhíth ar an ISMS agus a éilíonn an caighdeán. Aistríonn Zenith Blueprint, céim ISMS Foundation and Leadership, Step 6, é seo ina cheanglais phraiticiúla: ba cheart aitheantas, formáid, athbhreithniú, formheas, rialú leaganacha, rochtain rialaithe, cosaint sláine, rialú athruithe, coinneáil agus diúscairt a bheith ag doiciméid.

Tugann Step 6 faoi deara freisin go bhféadfadh taifid amhail logaí faireacháin, tuarascálacha iniúchta agus comhaid imscrúdaithe teagmhais a bheith rúnda agus gur cheart iad a chomhroinnt ar bhonn riachtanais eolais, agus cearta eagarthóireachta teoranta d’úsáideoirí údaraithe.

Ba cheart go mbeadh an méid seo a leanas i bpacáiste fianaise inchosanta:

• Fógra coinneála dlíthiúla agus formheas.
• Aicmiú teagmhais agus cinneadh déine.
• Fardal fianaise.
• Loga slabhra coimeádta.
• Deimhniú caomhnaithe logaí.
• Taifid íomhá fhóiréinseach nó easpórtála.
• Luachanna haisce nó seiceálacha sláine i gcás inarb infheidhme.
• Liosta rochtana le haghaidh stóráil fianaise.
• Fianaise tuairiscithe rialála.
• Measúnú príobháideachais agus anailís tionchair sonraí pearsanta.
• Iarratais ar fhianaise ó sholáthraithe agus freagraí.
• Anailís ar bhunchúis.
• Fianaise leigheasach agus bhailíochtaithe.
• Athbhreithniú coinneála agus cinneadh scaoilte.

Dá láidre an rialú ar fhaisnéis dhoiciméadaithe, is ea is éasca an t-iniúchadh.

Fianaise soláthraithe agus scamall: an pointe teipe a chailleann go leor foirne

Is minic nach mbíonn an fhianaise is deacra laistigh de d’eagraíocht. Coinníonn soláthraí scamall, ardán SaaS, MSSP, MSP, próiseálaí íocaíochta, soláthraí aitheantais nó foireann forbartha seachfhoinsithe í.

Áirítear le NIS2 Article 21 slándáil slabhra soláthair agus gnéithe slándála de chaidrimh le soláthraithe díreacha nó soláthraithe seirbhíse. Téann DORA níos faide i gcás eintitis airgeadais, ag éileamh cláir tríú páirtí TFC, dícheall cuí, anailís riosca comhchruinnithe agus conarthaí le cúnamh teagmhais, tuairisciú soláthraithe, comhoibriú le húdaráis, cearta iniúchta agus forálacha scoir le haghaidh feidhmeanna criticiúla nó tábhachtacha.

Láimhseálann NIST Cybersecurity Framework 2.0 riosca slabhra soláthair mar dhisciplín saolré freisin. Cuimsíonn a Fheidhm Govern torthaí bainistíochta riosca soláthraithe maidir le straitéis, róil, conarthaí, dícheall cuí, faireachán, rannpháirtíocht i dteagmhais agus forálacha scoir. Is féidir le Próifílí CSF ceanglais sprioc-chibearshlándála a chur in iúl do sholáthraithe, rud atá úsáideach nuair a aistrítear riachtanais fianaise coinneála dlíthiúla go téarmaí conartha.

Ba cheart do chonarthaí soláthraithe aghaidh a thabhairt ar:

• Cineálacha logaí slándála atá ar fáil don chustaiméir.
• Tréimhsí coinneála réamhshocraithe agus roghanna coinneála sínte.
• Próiseas iarratais caomhnaithe éigeandála.
• An t-am chun fianaise a chaomhnú tar éis iarratas custaiméara.
• Formáidí easpórtála fóiréinseacha.
• Tacaíocht slabhra coimeádta.
• Comhoibriú rialála.
• Oibleagáidí fianaise fophhróiseálaí nó fochonraitheora.
• Srianta suíomh sonraí agus aistrithe.
• Scriosadh slán tar éis scaoileadh coinneála.

Tugann Zenith Blueprint, céim Controls in Action, Step 18, smacht comhchosúil ar aistriú meán fisiciúil, ag éileamh criptiú, pacáistiú le cur isteach inléirithe, rianú, logaí iompair, fardal meán agus iniúchadh ar an gclár. Baineann an loighic chéanna le haistrithe fianaise scamall: sláine a chaomhnú, coimeád a rianú, rochtain a shrianadh agus admháil a dhearbhú.

Conas a thástálfaidh iniúchóirí agus rialálaithe do phróiseas coinneála dlíthiúla

Bíonn cuma éagsúil ar phróiseas coinneála dlíthiúla de réir shainordú an athbhreithneora. Úsáideann Clarysec Zenith Controls mar chompás tras-chomhlíonta ionas gur féidir leis an bpacáiste fianaise céanna freastal ar lionsaí éagsúla gan obair a dhúbailt.

Beidh suim ag an iniúchóir ISO i gcomhréireacht agus i bhfianaise oibiachtúil. Beidh suim ag an athbhreithneoir GDPR i riachtanas, teorannú cuspóra agus cuntasacht inléirithe. Beidh suim ag an athbhreithneoir NIS2 i bhfíricí tuairiscithe teagmhais shuntasaigh agus i bhfreagracht bainistíochta. Beidh suim ag an athbhreithneoir DORA i rialachas riosca TFC, láimhseáil mórtheagmhas, spleáchais tríú páirtí agus ceachtanna foghlamtha. Beidh suim ag iniúchóir de chineál COBIT 2019 nó ISACA i rialachas, dearadh rialuithe, oibriú rialuithe agus dearbhú ar cháilíocht faisnéise.

Is féidir le pacáiste fianaise amháin freastal orthu go léir, má dheartar ar an mbealach sin é.

Seicliosta praiticiúil coinneála dlíthiúla do theagmhais chibearshlándála le haghaidh 2026

Úsáid an seicliosta seo roimh an gcéad teagmhas tromchúiseach eile, ní lena linn.

Éiríonn an seicliosta seo níos cumhachtaí nuair a leabaítear é i bplean cóireála riosca ISMS, ceanglais slándála soláthraithe, runbooks freagartha do theagmhais, ailtireacht logála agus rialachas príobháideachais.

Ó scaoll iar-sháraithe go hathléimneacht réidh don iniúchadh

Beidh an glao 4 AM strusmhar i gcónaí. Ní gá dó dul i gcaos.

Tugann próiseas aibí coinneála dlíthiúla do theagmhais chibearshlándála conair rialaithe do gach páirtí leasmhar. Faigheann an fheidhm dhlíthiúil caomhnú inchosanta. Faigheann príobháideachas íoslaghdú agus athbhreithniú. Faigheann an CISO sláine fianaise. Faigheann an tOCS cuntasacht. Faigheann an Bord fíricí iontaofa. Faigheann athbhreithneoirí NIS2, DORA agus GDPR fianaise oibiachtúil in ionad míniúcháin sheiftithe.

Ní láimhseálann modheolaíocht 30 céim Clarysec coinneáil dhlíthiúil mar mheamram dlí neamhspleách. Láimhseálann sí í mar chumas oibríochta ISMS.

In Zenith Blueprint, tógann Step 6 an leabharlann faisnéise doiciméadaithe, lena n-áirítear rialacha coinneála agus diúscartha. Neartaíonn Step 19 logáil agus sioncrónú cloig ionas gur féidir le himscrúduithe amlínte a atógáil. Cuireann Step 23 bailiú fianaise agus slabhra coimeádta i bhfeidhm go hoibríochtúil. Cuireann Step 18 smacht láimhseála meán leis nuair a ghluaiseann fianaise go fisiciúil nó idir páirtithe.

In Zenith Controls, ceanglaíonn Clarysec na rialuithe bunúsacha ISO/IEC 27002:2022 ionas gur féidir le cliaint a fheiceáil conas a bhraitheann bailiú fianaise ar logáil, faireachán, freagairt do theagmhais, cosaint taifead, rialú rochtana, cúltacaí, príobháideachas agus ceanglais dhlíthiúla.

I leabharlann beartas Clarysec, tá na hancairí praiticiúla sreafa oibre sainithe cheana féin: Beartas um Choinneáil Sonraí agus Diúscairt Sonraí, Beartas Coinneála Sonraí agus Beartas Diúscartha Sláine-sme, Beartas um Bhailiú Fianaise agus Fóiréinsic, Beartas um Bhailiú Fianaise agus Fóiréinsic-sme, Beartas Logála agus Monatóireachta-sme, Beartas um Chosaint Sonraí agus Príobháideachas-sme agus Beartas Faireacháin Iniúchta agus Comhlíonta.

Má deir do phlean freagartha do theagmhais “caomhnaigh fianaise” ach nach sainíonn sé údarás coinneála dlíthiúla, raon feidhme fianaise, fionraí scriosta, slabhra coimeádta, caomhnú soláthraithe, íoslaghdú GDPR agus critéir scaoilte, níl sé réidh don iniúchadh fós.

Tóg an próiseas roimh an sárú. Is féidir le Clarysec cabhrú leat cumas inchosanta coinneála dlíthiúla agus caomhnaithe fianaise do theagmhais chibearshlándála a chruthú trí Zenith Blueprint: Treochlár 30 Céim d’Iniúchóir, Zenith Controls: An Treoir Thras-Chomhlíonta agus teimpléid bheartais Clarysec, lena n-áirítear an Beartas um Choinneáil Sonraí agus Diúscairt Sonraí, Beartas um Bhailiú Fianaise agus Fóiréinsic, Beartas Faireacháin Iniúchta agus Comhlíonta, Beartas Logála agus Monatóireachta-sme - SME, Beartas um Chosaint Sonraí agus Príobháideachas-sme - SME agus Beartas um Bhailiú Fianaise agus Fóiréinsic-sme - SME.

Íoslódáil na trealamh uirlisí, iarr athbhreithniú beartais Clarysec nó cuir measúnú ullmhachta caomhnaithe fianaise in áirithe roimh do chéad iniúchadh eile, iarratas maoirseachta nó mór-athbhreithniú slándála custaiméara.