Fianaise DORA TLPT a ailíniú le rialuithe ISO 27001

Tá sé 07:40 ar maidin Dé Luain agus tá CISO institiúide íocaíochtaí meánmhéide ag féachaint ar thrí leagan den cheist mhíchompordach chéanna.

Tá an Bord ag iarraidh a fháil amach an bhféadfadh an eagraíocht briseadh seirbhíse ar thairseach íocaíochtaí custaiméirí, faoi thiomáint ag earraí fuascailte, a sheasamh. Tá an rialtóir ag iarraidh cruthú nach cleachtadh PowerPoint í tástáil athléimneachta oibríochtúla digití. Tá iniúchadh inmheánach ag iarraidh rian glan ó oibleagáidí DORA go riosca TFC, rialuithe ISO 27001, torthaí tástála, pleananna leasúcháin, fianaise soláthraithe agus formheas bainistíochta.

Tá tuarascáil red-team ag an CISO. Tá gabhálacha scáileáin foláirimh ag an SOC. Tá loga athshlánaithe cúltaca ag an bhfoireann bonneagair. Tá uirlis rianaithe ullmhachta DORA ag an bhfeidhm dlí. Tá dearbhuithe soláthraithe scamall ag an bhfoireann soláthair.

Níl aon cheann díobh sin nasctha.

Seo an áit a dteipeann ar go leor clár DORA TLPT agus tástála athléimneachta. Ní mar gheall go bhfuil an tástáil lag, ach mar go bhfuil an fhianaise ilroinnte. Nuair a iarrann iniúchóir, “Taispeáin dom conas a chruthaíonn an tástáil seo athléimneacht feidhme criticiúla nó tábhachtaí,” ní féidir gurb é an freagra fillteán lán de ghabhálacha scáileáin. Ní mór gur slabhra fianaise inchosanta é.

Is ansin a bhíonn ISMS ailínithe le ISO/IEC 27001:2022 cumhachtach. Tugann ISO 27001 struchtúr do scópáil, measúnú riosca, roghnú rialuithe, an Ráiteas Infheidhmeachta, rialú oibríochtúil, iniúchadh inmheánach, athbhreithniú bainistíochta agus feabhsú leanúnach. Cuireann DORA brú earnáilsonrach leis. Nascann modheolaíocht Clarysec agus uirlisiú tras-chomhlíonta an dá rud in aon samhail fianaise amháin atá réidh don iniúchadh.

Is tástáil rialachais é DORA TLPT, ní ionsamhlú ionsaithe amháin

Is furasta míthuiscint a bhaint as tástáil treáite faoi threoir bagairtí, nó TLPT. Ó thaobh teicniúil de, d’fhéadfadh sí a bheith cosúil le cleachtadh red-team sofaisticiúil: faisnéis faoi bhagairtí, conairí ionsaithe réalaíocha, rúndacht oibríochtúil, iarrachtaí saothraithe, cásanna gluaiseachta cliathánaí agus bailíochtú freagartha blue-team.

Maidir le DORA, is í an tsaincheist níos doimhne ná athléimneacht oibríochtúil dhigiteach. An féidir leis an eintiteas airgeadais cur isteach tromchúiseach TFC a théann i bhfeidhm ar phróisis ghnó a sheasamh, freagairt dó agus téarnamh uaidh? An féidir leis a chruthú go bhfanann feidhmeanna criticiúla nó tábhachtacha laistigh de lamháltais tionchair? An féidir leis an mbainistíocht a léiriú go ndéantar riosca TFC a rialú, a mhaoiniú, a thástáil, a chóireáil agus a fheabhsú?

Bunaíonn Airteagal 1 de DORA creat aonfhoirmeach AE do shlándáil córas líonra agus faisnéise a thacaíonn le próisis ghnó eintiteas airgeadais. Cumhdaíonn sé bainistiú riosca TFC, tuairisciú ar mhórtheagmhais a bhaineann le TFC, tástáil athléimneachta oibríochtúla digití, bainistiú riosca tríú páirtí TFC, ceanglais éigeantacha chonarthacha do sholáthraithe TFC, maoirseacht ar sholáthraithe criticiúla tríú páirtí TFC agus comhar maoirseachta. Tá DORA infheidhme ón 17 Eanáir 2025.

I gcás eagraíochtaí atá cumhdaithe freisin ag NIS2, feidhmíonn DORA mar ghníomh dlíthiúil earnáilsonrach an Aontais do cheanglais chibearshlándála atá forluiteach. I dtéarmaí praiticiúla, ba cheart d’eintitis airgeadais DORA a chur chun tosaigh maidir le bainistiú riosca TFC, tuairisciú teagmhas, tástáil agus riosca tríú páirtí TFC nuair atá forluí idir na córais, agus ionchais NIS2 i leith struchtúir ghrúpa, soláthraithe agus seirbhísí digiteacha neamhairgeadais a thuiscint fós.

Cuireann DORA cuntasacht ar an mbarr freisin. Éilíonn Airteagal 5 ar an gcomhlacht bainistíochta socruithe riosca TFC a shainiú, a fhormheas, a mhaoirsiú agus a chur chun feidhme. Áirítear leis sin straitéis athléimneachta oibríochtúla digití, beartas leanúnachais gnó TFC, pleananna freagartha agus téarnaimh, pleananna iniúchta, buiséid, beartais tríú páirtí TFC, bealaí tuairiscithe agus eolas leordhóthanach ar riosca TFC trí oiliúint rialta.

Mar sin ní hé ceist an iniúchta go simplí, “Ar rith sibh TLPT?”

Is í seo í:

• An raibh an TLPT nasctha le feidhmeanna criticiúla nó tábhachtacha?
• An raibh sé údaraithe, scópáilte, sábháilte agus measúnaithe ó thaobh riosca de?
• Ar cuireadh soláthraithe, spleáchais scamall agus seirbhísí TFC seachfhoinsithe san áireamh nuair ba ábhartha?
• Ar ghin an tástáil fianaise ar bhrath, freagairt, téarnamh agus ceachtanna foghlamtha?
• Ar tiontaíodh na torthaí ina gcóireáil riosca, ina leasúchán rianaithe, ina n-aththástáil agus ina dtuairisciú bainistíochta?
• Ar mhínigh an Ráiteas Infheidhmeachta cé na rialuithe in Iarscríbhinn A de ISO 27001 a roghnaíodh chun an riosca a bhainistiú?

Sin é an fáth a gcaitheann Clarysec le fianaise DORA TLPT mar fhadhb fianaise ISMS, ní hamháin mar tháirge insoláthartha tástála treáite.

Tóg cnámh droma fianaise ISO 27001 sula dtosaíonn an tástáil

Éilíonn ISO 27001 ar eagraíocht ISMS a bhunú, a chur chun feidhme, a chothabháil agus a fheabhsú go leanúnach chun rúndacht, sláine agus infhaighteacht a chaomhnú trí phróiseas bainistíochta riosca. Éilíonn clásail 4.1 go 4.4 ar an eagraíocht saincheisteanna inmheánacha agus seachtracha, páirtithe leasmhara, oibleagáidí dlíthiúla agus rialála, comhéadain agus spleáchais a thuiscint, agus ansin raon feidhme an ISMS a dhoiciméadú.

I gcás eintitis atá rialáilte ag DORA, ba cheart don chéim scópála seo feidhmeanna criticiúla nó tábhachtacha, sócmhainní TFC, ardáin scamall, oibríochtaí seachfhoinsithe, córais íocaíochta, tairseacha custaiméirí, seirbhísí aitheantais, ardáin logála, timpeallachtaí téarnaimh agus soláthraithe seirbhíse tríú páirtí TFC a ghabháil go sainráite. Mura mapálann raon feidhme TLPT ar ais chuig raon feidhme an ISMS, tá an rian iniúchta lag cheana féin.

Éilíonn clásail 6.1.1, 6.1.2 agus 6.1.3 de ISO 27001, i dteannta clásail 8.2 agus 8.3, próiseas measúnaithe riosca agus cóireála riosca. Ní mór rioscaí a shainaithint i gcoinne rúndachta, sláine agus infhaighteachta. Ní mór úinéirí riosca a shannadh. Ní mór dóchúlacht agus iarmhairt a mheas. Ní mór rialuithe a roghnú agus a chur i gcomparáid le hIarscríbhinn A. Ní mór d’úinéirí riosca glacadh leis an riosca iarmharach.

Is é seo an droichead idir DORA agus tástáil atá réidh don iniúchadh.

Déanann Zenith Blueprint: An Auditor’s 30-Step Roadmap de chuid Clarysec Zenith Blueprint, sa chéim bainistíochta riosca, Step 13, cur síos soiléir ar an ról inrianaitheachta seo:

Is doiciméad idirlinne é an SoA go bunúsach: nascann sé do mheasúnú/cóireáil riosca leis na rialuithe atá agat i ndáiríre. Agus é á chomhlánú agat, seiceálann tú freisin an raibh aon rialuithe in easnamh ort.

Maidir le DORA TLPT, níor cheart don Ráiteas Infheidhmeachta a bheith ina dhéantán deimhniúcháin statach. Ba cheart dó a mhíniú cén fáth a bhfuil rialuithe amhail slándáil soláthraithe, bainistíocht teagmhas, ullmhacht TFC do leanúnachas gnó, logáil, faireachán, bainistíocht leochaileachtaí teicniúla, cúltacaí, forbairt shlán agus tástáil slándála infheidhme don chás athléimneachta.

D’fhéadfadh cás praiticiúil riosca a bheith mar seo:

“Ligeann comhréiteach dintiúr pribhléideach soláthraí aitheantais d’ionsaitheoir rochtain a fháil ar chórais riaracháin próiseála íocaíochtaí, cumraíochtaí ródaithe a athrú agus cur isteach ar fheidhm íocaíochta chriticiúil, rud a chruthaíonn briseadh seirbhíse, oibleagáidí tuairiscithe rialála, díobháil do chustaiméirí agus damáiste don chlú.”

Is féidir leis an gcás aonair sin raon feidhme TLPT, cásanna úsáide braite, rannpháirtíocht soláthraithe, druil téarnaimh, tuairisciú don Bhord agus tacar fianaise a thiomáint.

Molann an Zenith Blueprint freisin inrianaitheacht rialála a dhéanamh follasach:

Crostagair rialacháin: Má chuirtear rialuithe áirithe chun feidhme go sonrach chun cloí le GDPR, NIS2 nó DORA, is féidir leat é sin a thabhairt faoi deara sa Chlár rioscaí (mar chuid den údar le tionchar riosca) nó i nótaí an SoA.

Tá an chomhairle sin simplí, ach athraíonn sí an comhrá iniúchta. In ionad a rá le hiniúchóir gur breithníodh DORA, is féidir leis an eagraíocht a thaispeáint cá bhfuil DORA le feiceáil sa Chlár rioscaí, sa SoA, sa chlár tástála, sa tsraith beartas agus san athbhreithniú bainistíochta.

Mapáil tástáil DORA chuig rialuithe ISO 27001 a aithníonn iniúchóirí

Tá Airteagal 6 de DORA ag súil le creat bainistíochta riosca TFC doiciméadaithe atá comhtháite sa bhainistíocht riosca fhoriomlán. Tugann Iarscríbhinn A de ISO 27001 an chatalóg rialuithe a chuireann é seo i bhfeidhm go hoibríochtúil.

Maidir le DORA TLPT agus tástáil athléimneachta, tá na rialuithe seo d’Iarscríbhinn A de ISO/IEC 27001:2022 thar a bheith tábhachtach:

Cuidíonn Zenith Controls: The Cross-Compliance Guide de chuid Clarysec Zenith Controls le heagraíochtaí gan na rialuithe seo a láimhseáil mar mhíreanna seicliosta scoite. Mapálann sé rialuithe ISO/IEC 27002:2022 chuig tréithe, fearainn, cumais oibríochtúla, ionchais iniúchta agus patrúin tras-chreata.

Mar shampla, aicmíonn Zenith Controls rialú ISO/IEC 27002:2022 5.30, ullmhacht TFC do leanúnachas gnó, mar “rialú ceartaitheach”, ailínithe le “hinfhaighteacht”, bainteach leis an gcoincheap cibearshlándála “freagairt”, agus suite sa réimse “athléimneacht”. Tá an t-aicmiú sin úsáideach agus á mhíniú d’iniúchóirí cén fáth nach oibríocht TF amháin í druil téarnaimh, ach rialú athléimneachta a bhfuil ról sainithe aige sa timpeallacht rialaithe.

Aicmíonn Zenith Controls rialú 8.29, Tástáil Slándála i bhForbairt agus i nGlacadh, mar rialú coisctheach a thacaíonn le rúndacht, sláine agus infhaighteacht, le cumais oibríochtúla i slándáil feidhmchlár, dearbhú slándála faisnéise agus slándáil córas agus líonra. I gcás toradh TLPT a rianaítear ar ais chuig laige i ndearadh feidhmchláir, iompar neamhshlán API, drochsreabhadh fíordheimhnithe nó bailíochtú neamhleor, is í seo an chonair rialaithe isteach i rialachas forbartha slána.

Tá rialú 5.35, Athbhreithniú Neamhspleách ar Shlándáil Faisnéise, tábhachtach freisin. Tacaíonn sé le dúshlán neamhspleách, dearbhú rialachais agus feabhsú ceartaitheach. Féadfaidh foirne inmheánacha tástáil a chomhordú, ach éilíonn fianaise atá réidh don iniúchadh athbhreithniú, uaschéimniú agus maoirseacht níos faide ná na daoine a thóg nó a d’oibrigh na córais a tástáladh.

Cosain an córas agus tú á thástáil

Bonn tuisceana contúirteach i dtástáil athléimneachta is ea go bhfuil tástáil mhaith go huathoibríoch. I ndáiríre, féadfaidh tástáil ionsáiteach bristeacha seirbhíse a chruthú, sonraí íogaire a nochtadh, logaí a thruailliú, cosaintí uathoibrithe a spreagadh, seisiúin custaiméirí a bhriseadh nó a chur faoi deara do sholáthraithe nósanna imeachta éigeandála a ghníomhachtú.

Tugann Security Testing and Red-Teaming Policy de chuid Clarysec Security Testing and Red-Teaming Policy patrún rialachais d’eagraíochtaí le haghaidh cur i gcrích sábháilte. Deir Clause 6.1:

Cineálacha tástálacha: Ní mór don chlár tástála slándála na nithe seo a leanas a áireamh, ar a laghad: (a) scanadh leochaileachta, arb éard atá ann scananna uathoibrithe seachtainiúla nó míosúla ar líonraí agus ar fheidhmchláir chun leochaileachtaí aitheanta a shainaithint; (b) tástáil treáite, arb éard atá ann tástáil láimhe dhomhain ar chórais nó ar fheidhmchláir shonracha ag tástálaithe oilte chun laigí casta a shainaithint; agus (c) cleachtaí red-teaming, arb éard atá iontu ionsamhluithe bunaithe ar chásanna d’ionsaithe fíorshaoil, lena n-áirítear innealtóireacht shóisialta agus bearta eile, chun cumais bhrath agus freagartha na heagraíochta ina hiomláine a thástáil.

Maidir le TLPT, tá an ghné red-teaming soiléir, ach tagann luach an iniúchta ó dhearadh an chláir. Ba cheart do scanadh leochaileachtaí, tástáil treáite, cleachtaí red-team, druileanna athléimneachta agus aththástáil timthriall a chruthú, ní bailiúchán tástálacha dícheangailte.

Pléann Clause 6.2 den bheartas céanna cur i gcrích sábháilte:

Raon feidhme agus rialacha rannpháirtíochta: Maidir le gach tástáil nó cleachtadh, ní mór don STC an raon feidhme a shainiú, lena n-áirítear córais agus raonta IP sa raon feidhme, modhanna tástála ceadaithe, cuspóirí, uainiú agus fad. Ní mór rialacha rannpháirtíochta a dhoiciméadú. Mar shampla, féadfar córais atá íogair ó thaobh oibríochta de a ainmniú mar chórais faire amháin chun cur isteach a sheachaint, agus ní mór rollback agus nósanna imeachta stoptha a bheith san áireamh in aon tástáil sa timpeallacht táirgthe. Ní mór bearta sábháilteachta, amhail fuinneoga ama sainithe agus bealaí cumarsáide, a bhunú chun bristí seirbhíse neamhbheartaithe a chosc.

Mapálann sé seo go díreach chuig Zenith Blueprint, an chéim Controls in Action, Step 21, a dhíríonn ar rialú 8.34 d’Iarscríbhinn A de ISO 27001, Cosaint Córais Faisnéise le linn Tástála Iniúchta. Tugann an Zenith Blueprint rabhadh gur féidir rochtain ardaithe, uirlisí ionsáiteacha nó athruithe sealadacha ar iompar córais a bheith i gceist le hiniúchtaí, tástálacha treáite, athbhreithnithe fóiréinseacha agus measúnuithe oibríochtúla. Leagann sé béim ar údarú, raon feidhme, fuinneoga ama, formheas úinéirí córais, rollback, faireachán agus láimhseáil shlán sonraí tástála.

Ba cheart na nithe seo a áireamh sa phacáiste fianaise atá réidh don iniúchadh:

• Cairt agus cuspóirí TLPT
• Achoimre ar fhaisnéis faoi bhagairtí agus údar an cháis
• Feidhmeanna criticiúla nó tábhachtacha sa raon feidhme
• Córais, raonta IP, aitheantais, soláthraithe agus timpeallachtaí sa raon feidhme
• Eisiaimh agus córais faire amháin
• Rialacha rannpháirtíochta
• Measúnú riosca tástála táirgthe
• Pleananna rollback agus nósanna imeachta stoptha
• Samhail fógra SOC, lena n-áirítear an méid a nochtar agus a choinnítear siar
• Faomhuithe dlíthiúla, príobháideachais agus soláthraithe
• Fianaise ar chruthú agus ar aisghairm rochtana cuntas tástála
• Suíomh stórála slán do dhéantáin tástála agus logaí

Féadfaidh DORA TLPT nach féidir leis údarú sábháilte agus rialú gníomhaíochta tástála a thaispeáint bearnaí athléimneachta a nochtadh, ach cruthaíonn sé bearnaí rialachais freisin.

Tiontaigh aschur TLPT ina chóireáil riosca

Is í an fhadhb is coitianta tar éis tástála ná tuarascáil red-team a chur ar an tseilf. Seachadtar tuarascáil ardcháilíochta, scaiptear í, pléitear í agus ansin cailleann sí fuinneamh de réir a chéile. Fanann torthaí oscailte. Ní dhoiciméadaítear rialuithe cúiteacha. Bíonn glacadh le riosca neamhfhoirmiúil. Ní tharlaíonn aththástáil riamh.

Déanann an Security Testing and Red-Teaming Policy é seo doghlactha. Deir Clause 6.6:

Leasúchán torthaí: Ní mór gach leochaileacht nó laige a sainaithníodh a dhoiciméadú i dtuarascáil torthaí le rátálacha déine. Nuair a fhaightear an tuarascáil, tá úinéirí córais freagrach as plean leasúcháin a chruthú le dátaí dlite; mar shampla, ní mór torthaí criticiúla a leigheas laistigh de 30 lá agus torthaí ard-déine laistigh de 60 lá, i gcomhréir le Beartas um Bainistíocht Leochaileachtaí agus Paistí na heagraíochta. Ní mór don STC dul chun cinn leasúcháin a rianú. Ní mór aththástáil a dhéanamh chun a dheimhniú go bhfuil saincheisteanna criticiúla réitithe nó maolaithe go leordhóthanach.

Cuireann Clause 6.7 an ciseal rialachais leis:

Tuairisciú: Ní mór tuarascáil fhoirmiúil a eisiúint ag deireadh gach tástála. Maidir le tástáil treáite, ní mór achoimre fheidhmiúcháin, modheolaíocht agus torthaí mionsonraithe le fianaise tacaíochta agus moltaí a bheith sa tuarascáil. Maidir le cleachtaí red-teaming, ní mór don tuarascáil na cásanna a mhionsonrú, na conairí ionsaithe ar éirigh leo, an méid a bhrath an Blue Team, agus na ceachtanna foghlamtha maidir le bearnaí braite agus freagartha. Ní mór don CISO torthaí achoimrithe agus stádas leasúcháin a chur faoi bhráid na bainistíochta sinsearaí agus, nuair is ábhartha, iad a áireamh sa tuarascáil bhliantúil slándála don Bhord Stiúrthóirí.

Tá sé seo ailínithe le treoir ISO/IEC 27005:2022 maidir le cóireáil riosca: roghanna cóireála a roghnú, rialuithe ó Iarscríbhinn A de ISO 27001 agus ceanglais earnáilsonracha a chinneadh, Plean Cóireála Riosca a thógáil, daoine cuntasacha a shannadh, amlínte a shainiú, stádas a rianú, faomhadh ó úinéirí riosca a fháil agus glacadh le riosca iarmharach a dhoiciméadú.

Ba cheart go mbeadh gach toradh suntasach TLPT ina cheann de cheithre rud: gníomh leasúcháin, feabhsú rialaithe, glacadh foirmiúil le riosca nó ceanglas aththástála.

Ní hé an sprioc tuilleadh doiciméad a tháirgeadh. Is é an sprioc go míneoidh gach doiciméad an chéad chinneadh eile.

Ní mór do thástáil athléimneachta téarnamh a chruthú, ní brath amháin

D’fhéadfadh TLPT rathúil a thaispeáint gur bhrath an SOC trácht ordaithe agus rialaithe, gur chuir sé bac ar ghluaiseacht chliathánach agus gur uaschéimnigh sé i gceart. Tá luach leis sin, ach téann tástáil athléimneachta DORA níos faide. Fiafraíonn sí an féidir leis an eagraíocht seirbhísí gnó a leanúint nó a athshlánú.

Míníonn an Zenith Blueprint, an chéim Controls in Action, Step 23, rialú 5.30, Ullmhacht TFC do Leanúnachas Gnó, i dteanga ba cheart do gach CISO a úsáid leis an mBord:

Ó thaobh iniúchta de, is minic a thástáiltear an rialú seo le frása amháin: Taispeáin dom. Taispeáin dom toradh na tástála deireanaí. Taispeáin dom an doiciméadacht téarnaimh. Taispeáin dom cé chomh fada a thóg sé teip-anonn agus filleadh ar ais. Taispeáin dom an fhianaise gur féidir an méid a gealladh a sheachadadh.

Is é an caighdeán “Taispeáin dom” sin an difríocht idir aibíocht beartais agus athléimneacht oibríochtúil.

Deir Business Continuity Policy and Disaster Recovery Policy-sme de chuid Clarysec Business Continuity Policy and Disaster Recovery Policy - SME, ó rannán “Ceanglais chun an beartas a chur chun feidhme”, Clause 6.4.1:

Ní mór don eagraíocht a cumais BCP agus DR araon a thástáil ar a laghad uair sa bhliain. Ní mór na nithe seo a áireamh sna tástálacha:

Déanann rannán cur chun feidhme an bheartais chéanna, Clause 8.5.1, cuntasacht fianaise follasach:

Ní mór don GM a chinntiú go gcoinnítear na nithe seo a leanas agus go bhfuil siad réidh don iniúchadh:

I gcás eintitis airgeadais atá rialáilte ag DORA, d’fhéadfadh tástáil bhliantúil a bheith ina hurlár, ní ina huaillmhian. Ba cheart feidhmeanna criticiúla nó tábhachtacha ardriosca a thástáil níos minice, go háirithe tar éis athruithe ailtireachta, imirce scamall, mórtheagmhas, soláthraithe nua TFC, eisiúintí feidhmchláir ábhartha nó athruithe ar nochtadh do bhagairtí.

Ba cheart go n-áireofaí i bpacáiste láidir fianaise tástála athléimneachta:

• Anailís tionchair ghnó a mhapálann an fheidhm chriticiúil nó thábhachtach
• RTO agus RPO formheasta ag úinéirí gnó
• Léarscáil spleáchais córais, lena n-áirítear aitheantas, DNS, líonra, scamall, bunachar sonraí, faireachán, cúltaca agus seirbhísí tríú páirtí
• Torthaí tástála cúltaca agus athshlánaithe
• Stampaí ama failover agus filleadh ar ais
• Fianaise ar rialuithe slándála ag feidhmiú le linn cur isteach
• Teimpléid chumarsáide do chustaiméirí, don rialtóir agus don fhoireann inmheánach
• Logaí rannpháirtíochta an cheannasaí teagmhais agus na foirne géarchéime
• Ceachtanna foghlamtha agus gníomhartha feabhsúcháin
• Fianaise aththástála do bhearnaí téarnaimh roimhe seo

Seo freisin an áit a dtagann GDPR isteach sa scéal. Tugann Airteagail 2 agus 3 de GDPR formhór próiseála SaaS agus fintech ar shonraí pearsanta AE isteach sa raon feidhme. Sainmhíníonn Airteagal 4 sonraí pearsanta, próiseáil, rialaitheoir, próiseálaí agus sárú sonraí pearsanta. Éilíonn Airteagal 5 sláine, rúndacht agus cuntasacht, rud a chiallaíonn go gcaithfidh an eagraíocht a bheith in ann comhlíonadh a léiriú. Má úsáideann TLPT nó tástáil téarnaimh sonraí pearsanta táirgthe, má chóipeálann sí logaí ina bhfuil aitheantóirí, nó má bhailíochtaíonn sí freagairt ar shárú, ní mór coimircí príobháideachais a dhoiciméadú.

Is í fianaise soláthraithe dallspota DORA nach ndéanfaidh iniúchóirí neamhaird air

Tá seirbhísí airgeadais nua-aimseartha curtha le chéile ó ardáin scamall, feidhmchláir SaaS, soláthraithe seirbhíse slándála bainistithe, próiseálaithe íocaíochta, ardáin sonraí, soláthraithe aitheantais, uirlisí breathnaitheachta, foirne forbartha seachfhoinsithe agus soláthraithe cúltaca.

Éilíonn Airteagal 28 de DORA ar eintitis airgeadais riosca tríú páirtí TFC a bhainistiú mar chuid den chreat bainistíochta riosca TFC agus fanacht go hiomlán freagrach fiú nuair a sheachfhoinsítear seirbhísí TFC. Éilíonn Airteagal 30 conarthaí scríofa seirbhíse TFC le cur síos ar sheirbhísí, coinníollacha fochonraitheoireachta, láithreacha próiseála, cosaint sonraí, rochtain agus téarnamh, leibhéil seirbhíse, cúnamh teagmhais, comhar le húdaráis, cearta foirceanta, téarmaí níos láidre do fheidhmeanna criticiúla nó tábhachtacha, cearta iniúchta, bearta slándála, rannpháirtíocht TLPT nuair is ábhartha agus socruithe imeachta.

Ciallaíonn sé seo nach féidir le cás TLPT stopadh ag balla dóiteáin na heagraíochta má bhraitheann an fheidhm chriticiúil ar sholáthraí.

Deir Third-Party and Supplier Security Policy-sme de chuid Clarysec Third-Party and Supplier Security Policy - SME, ó rannán “Ceanglais chun an beartas a chur chun feidhme”, Clause 6.3.1:

Ní mór soláthraithe criticiúla nó ardriosca a athbhreithniú ar a laghad uair sa bhliain. Ní mór don athbhreithniú a fhíorú:

Cuireann an Security Testing and Red-Teaming Policy ceanglas soláthraithe atá sonrach don tástáil leis i Clause 6.9:

Comhordú tástála tríú páirtí: I gcás ina dtagann aon soláthraí criticiúil nó soláthraí seirbhíse faoi raon feidhme shlándáil fhoriomlán na heagraíochta, i gcomhréir leis an Third-Party and Supplier Security Policy, ní mór don eagraíocht, nuair is indéanta, dearbhú a fháil maidir lena gcleachtais tástála slándála nó tástáil chomhpháirteach a chomhordú. Mar shampla, i gcás ina n-úsáidtear Soláthraí Seirbhíse Scamaill (CSP), féadfaidh an eagraíocht brath ar a thuarascálacha tástála treáite nó é a áireamh i gcásanna comhoibríocha red-team, faoi réir forálacha conarthacha.

Maidir le fianaise DORA atá réidh don iniúchadh, ba cheart dearbhú soláthraithe a nascadh leis an gcás riosca céanna leis an TLPT. Má tá an soláthraí aitheantais riachtanach do théarnamh íocaíochtaí, ba cheart go n-áireofaí sa phacáiste fianaise dícheall cuí soláthraithe, ceanglais chonarthacha slándála, téarmaí tacaíochta teagmhais, comhordú tástála, tuarascálacha dearbhaithe, fianaise ar leibhéal seirbhíse, straitéis imeachta agus srianta ar thástáil.

Tá Airteagal 21 de NIS2 tábhachtach freisin do sholáthraithe SaaS, scamall, seirbhísí bainistithe, slándáil bhainistithe, lárionaid sonraí, CDN, seirbhísí iontaobhais, DNS, TLD, margaí ar líne, cuardach agus líonrú sóisialta. Éilíonn sé cur chuige uile-ghuaiseacha a chumhdaíonn anailís riosca, láimhseáil teagmhas, leanúnachas gnó, slándáil slabhra soláthair, forbairt shlán, measúnú éifeachtachta, oiliúint, cripteagrafaíocht, rialú rochtana, bainistíocht sócmhainní, MFA agus cumarsáid shlán.

Is é an toradh praiticiúil simplí é: ba cheart d’eintitis airgeadais samhail fianaise amháin a thógáil a shásaíonn DORA ar dtús, agus ansin ionchais NIS2 a chrostagairt nuair a bhíonn soláthraithe, eintitis ghrúpa nó seirbhísí digiteacha neamhairgeadais i gceist.

Mórleabhar praiticiúil fianaise Clarysec TLPT

Glac leis gurb é seo an cás:

“Comhréitíonn gníomhaí bagartha cuntas riarthóra ag ardán tacaíochta SaaS, bogann sé isteach i dtimpeallacht oibríochtaí íocaíochta, modhnaíonn sé cumraíocht agus cuireann sé isteach ar phróiseáil idirbheart.”

Cruthaigh mórleabhar fianaise le ró amháin do gach réad fianaise. Ná fan go dtí deireadh na tástála. Líon isteach é le linn pleanála, cur i gcrích, leasúcháin agus dúnta.

Ansin bain úsáid as Zenith Blueprint Step 13 chun inrianaitheacht a chur leis sa Chlár rioscaí agus sa Ráiteas Infheidhmeachta. Ba cheart gach mír fianaise a nascadh le cás riosca, úinéir riosca, rialú roghnaithe, plean cóireála agus cinneadh ar riosca iarmharach.

Má bhaineann toradh le laige bogearraí, luaigh rialuithe forbartha slána agus tástála. Éilíonn Secure Development Policy-sme de chuid Clarysec Secure Development Policy - SME, ó rannán “Ceanglais chun an beartas a chur chun feidhme”, Clause 6.5.2:

Ní mór tástáil a dhoiciméadú leis na nithe seo a leanas:

Má tháirgeann toradh ábhar fóiréinseach, caomhnaigh an slabhra coimeádta. Deir Evidence Collection and Forensics Policy-sme de chuid Clarysec Evidence Collection and Forensics Policy - SME, ó rannán “Ceanglais rialachais”, Clause 5.2.1:

Ní mór gach mír fianaise dhigití a logáil leis na nithe seo a leanas:

Seo an pointe a chailleann go leor foirne. Ní tuarascálacha deiridh amháin í fianaise. Is í an taifead rialaithe í ar cé a d’fhormheas, cé a rinne an obair, cad a tharla, cad a braitheadh, cad a athshlánaíodh, cad a athraíodh, cad atá fós nochta agus cé a ghlac leis an nochtadh sin.

Conas a scrúdaíonn iniúchóirí an fhianaise TLPT chéanna

Léifear fianaise DORA TLPT ar bhealaí éagsúla ag brath ar chúlra an iniúchóra. Dearann Clarysec pacáistí fianaise ionas gur féidir le gach lionsa an méid atá de dhíth air a aimsiú gan iallach a chur ar fhoirne obair a dhúbailt.

Tá COBIT 2019 le feiceáil i dtagairt tras-chomhlíonta an Zenith Blueprint le haghaidh cur i gcrích sábháilte iniúchta agus tástála, lena n-áirítear DSS05.03 agus MEA03.04. Ní hé an tábhacht go dtagann COBIT in ionad DORA nó ISO 27001, ach go lorgóidh gairmithe dearbhaithe de stíl ISACA cur i gcrích rialaithe, faireachán, meastóireacht agus fianaise chomhlíonta.

Scéal an Bhoird: cad is gá don bhainistíocht a fhormheas

Ba cheart do thuairisciú don Bhord amharclannaíocht theicniúil a sheachaint. Ní theastaíonn payload saothraithe ón mBord. Teastaíonn fianaise a thacaíonn le cinneadh:

• Cén fheidhm chriticiúil nó thábhachtach a tástáladh?
• Cén cás bagartha a ionsamhlaíodh agus cén fáth?
• Ar oibrigh an brath?
• Ar oibrigh uaschéimniú freagartha?
• Ar chomhlíon an téarnamh RTO agus RPO?
• Cé na soláthraithe a bhí rannpháirteach nó srianta?
• Cé na laigí ábhartha atá fágtha?
• Cad é costas, úinéir agus amlíne an leasúcháin?
• Cé na rioscaí iarmharacha a éilíonn glacadh foirmiúil?
• Cad a aththástálfar?

Seo an áit a mbíonn Clause 5 de ISO 27001 tábhachtach. Ní mór don ardbhainistíocht a chinntiú go mbunaítear an Beartas Slándála Faisnéise agus na cuspóirí, go bhfuil siad ailínithe leis an treo straitéiseach, comhtháite i bpróisis ghnó, acmhainní curtha ar fáil dóibh, cumarsáid déanta orthu agus feabhsaithe go leanúnach. Ní mór róil agus freagrachtaí a shannadh. Ní mór cuspóirí a bheith intomhaiste nuair is indéanta agus ceanglais infheidhme agus torthaí cóireála riosca a chur san áireamh.

Má shainaithníonn TLPT go bhfuil am téarnaimh sé huaire an chloig i gcoinne lamháltas gnó ceithre huaire an chloig, ní mír chúltála bonneagair amháin é sin. Is cinneadh bainistíochta é a bhaineann le goile riosca, buiséad, gealltanais do chustaiméirí, nochtadh rialála, conarthaí, ailtireacht agus cumas oibríochtúil.

Teipeanna coitianta fianaise i dtástáil athléimneachta DORA

Is minic a aimsíonn athbhreithnithe Clarysec na bearnaí fianaise céanna ar fud eintitis airgeadais agus soláthraithe seirbhíse TFC atá ag ullmhú do DORA.

Ar dtús, ní mhapálann raon feidhme TLPT chuig feidhmeanna criticiúla nó tábhachtacha. D’fhéadfadh an tástáil a bheith iontach ó thaobh teicniúil de, ach ní chruthaíonn sí athléimneacht an phróisis ghnó a bhfuil cúram ag rialtóirí faoi.

Ar an dara dul síos, aithnítear spleáchais soláthraithe ach ní chuirtear fianaise ar fáil ina leith. Deir foirne go bhfuil an soláthraí scamall, an SOC bainistithe nó an t-ardán SaaS sa raon feidhme, ach tá conarthaí, cearta iniúchta, ceadanna tástála, téarmaí tacaíochta teagmhais agus pleananna imeachta in easnamh.

Ar an tríú dul síos, cruthaíonn tástáil fianaise ach ní chruthaíonn sí cóireáil. Fanann torthaí i dtuarascáil red-team seachas a bheith tiontaithe ina nuashonruithe ar an gClár rioscaí, ina n-athruithe rialaithe, ina n-úinéirí, ina ndátaí, ina n-aththástáil agus ina gcinntí riosca iarmharaigh.

Ar an gceathrú dul síos, glactar leis an téarnamh seachas é a léiriú. Tá beartais chúltaca ann, ach ní féidir le haon duine stampaí ama failover, seiceálacha sláine athshlánaithe, bailíochtú rochtana nó deimhniú ó úinéirí gnó a thaispeáint.

Ar an gcúigiú dul síos, tá fianaise phríobháideachais agus fhóiréinseach gan rialú. Tá sonraí pearsanta i logaí agus i ngabhálacha scáileáin, stóráiltear déantáin tástála i dtiomántáin chomhroinnte, fanann cuntais shealadacha gníomhach agus tá slabhra coimeádta fianaise neamhiomlán.

Ar an séú dul síos, tá tuairisciú bainistíochta rótheicniúil. Ní fheiceann ceannairí sinsearacha an ndearnadh athléimneacht a fheabhsú, an bhfuil riosca laistigh den ghoile riosca, nó cé na cinntí infheistíochta atá de dhíth.

Is féidir gach ceann de na bearnaí seo a réiteach trí DORA TLPT a láimhseáil mar shreabhadh oibre fianaise struchtúrtha ISO 27001.

Cur chuige comhtháite Clarysec maidir le hathléimneacht atá réidh don iniúchadh

Comhcheanglaíonn cur chuige Clarysec trí chiseal.

Is é an chéad chiseal treochlár cur chun feidhme 30 céim an Zenith Blueprint. Don ábhar seo, tógann Step 13 cóireáil riosca agus inrianaitheacht SoA, cosnaíonn Step 21 córais le linn tástála iniúchta, agus bailíochtaíonn Step 23 ullmhacht TFC do leanúnachas gnó. Tiontaíonn na céimeanna seo TLPT ó imeacht teicniúil ina thimthriall rialachais doiciméadaithe.

Is é an dara ciseal leabharlann beartas Clarysec. Sainíonn an Security Testing and Red-Teaming Policy cineálacha tástála, raon feidhme, rialacha rannpháirtíochta, leasúchán, tuairisciú agus comhordú soláthraithe. Socraíonn an Business Continuity Policy and Disaster Recovery Policy-sme ionchais do thástáil bhliantúil BCP agus DR agus d’fhianaise leanúnachais atá réidh don iniúchadh. Tacaíonn an Third-Party and Supplier Security Policy-sme le dearbhú soláthraithe. Cinntíonn an Secure Development Policy-sme go ndéantar tástáil slándála a dhoiciméadú. Tacaíonn an Evidence Collection and Forensics Policy-sme le logáil fianaise agus disciplín slabhra coimeádta.

Is é an tríú ciseal Zenith Controls, treoir thras-chomhlíonta Clarysec. Cuidíonn sé le rialuithe ISO/IEC 27002:2022 a mhapáil chuig tréithe, fearainn, cumais oibríochtúla agus ionchais thras-chreata. Maidir le DORA TLPT, ní rialú amháin an patrún is tábhachtaí. Is é an caidreamh idir tástáil, leanúnachas, bainistíocht teagmhas, bainistíocht díoltóirí, logáil, faireachán, forbairt shlán, athbhreithniú neamhspleách agus rialachas é.

Nuair a oibríonn na sraitheanna seo le chéile, athraíonn fadhb mhaidin Luain an CISO. In ionad trí cheist dhícheangailte ón mBord, ón rialtóir agus ó iniúchadh inmheánach, tá scéal fianaise amháin ag an eagraíocht:

“Shainaithníomar an fheidhm chriticiúil. Mheasamar an riosca TFC. Roghnaíomar agus d’údaraíomar rialuithe. D’údaraíomar agus chuireamar TLPT i gcrích go sábháilte. Bhrathamar, d’fhreagraíomar agus théarnaíomar. Chuireamar soláthraithe san áireamh nuair ba ghá. Dhoiciméadaíomar fianaise. Rinneamar torthaí a leasú. Rinneamar aththástáil. Rinne an bhainistíocht athbhreithniú agus ghlac sí leis an riosca a bhí fágtha.”

Sin í athléimneacht atá réidh don iniúchadh.

Na chéad chéimeanna eile

Má tá do chlár DORA TLPT fós eagraithe timpeall ar thuairiscí seachas slabhraí fianaise, tosaigh le siúlóid fianaise Clarysec.

Úsáid Zenith Blueprint Zenith Blueprint Step 13 chun cásanna TLPT a nascadh le rioscaí, rialuithe agus an Ráiteas Infheidhmeachta. Úsáid Step 21 chun údarú sábháilte, rialacha rannpháirtíochta, rollback, faireachán agus glanadh a fhíorú. Úsáid Step 23 chun ullmhacht TFC do leanúnachas gnó a chruthú le fianaise téarnaimh.

Ansin ailínigh do dhoiciméid oibríochta le Security Testing and Red-Teaming Policy Clarysec Security Testing and Red-Teaming Policy, Business Continuity Policy and Disaster Recovery Policy-sme Business Continuity Policy and Disaster Recovery Policy - SME, Third-Party and Supplier Security Policy-sme Third-Party and Supplier Security Policy - SME, Secure Development Policy-sme Secure Development Policy - SME, agus Evidence Collection and Forensics Policy-sme Evidence Collection and Forensics Policy - SME.

Ar deireadh, úsáid Zenith Controls Zenith Controls chun d’fhianaise DORA TLPT a chrosmhapáil chuig rialuithe ISO 27001, NIS2, GDPR, COBIT 2019 agus ionchais iniúchóirí.

Más mian leat go dtáirgfeadh do chéad tástáil athléimneachta eile níos mó ná torthaí, úsáid Clarysec chun í a thiontú ina slabhra fianaise inchosanta. Íoslódáil na foirne uirlisí, sceideal measúnú ullmhachta fianaise, nó iarr siúlóid ar an gcaoi a mapálann Clarysec DORA TLPT chuig rialuithe ISO 27001:2022 ón bpleanáil go formheas an Bhoird.