SLAanna um leasú leochaileachtaí do NIS2 agus DORA

Ag 08:17 maidin Dé Máirt go luath in 2026, faigheann Anna, Príomhoifigeach Slándála Faisnéise (CISO) i gcuideachta fintech atá ag fás go tapa, an chéad teachtaireacht sula mbíonn a caife críochnaithe aici.

Tá comhrá faoi shaothrú gníomhach leochaileachta i dtairseach API atá os comhair custaiméirí braite ag an SOC. Deir an fhoireann innealtóireachta go bhfuil an paiste ar fáil ach go bhfuil riosca ag baint leis, toisc go bhfuil an tairseach suite os comhair sreafaí oibre íocaíochta. Cuireann an bainisteoir comhlíonta iarratas foirmiúil ar aghaidh ó údarás inniúil náisiúnta ag iarraidh fianaise ar “láimhseáil agus nochtadh leochaileachtaí” agus cruthúnas go raibh an próiseas éifeachtach le 12 mhí anuas. Cuireann an fhoireann soláthair tríú fadhb leis: tá an tairseach á bainistiú ag MSP, agus ní deir an conradh ach go gcuirfidh an soláthraí “nuashonruithe slándála i bhfeidhm go tráthúil.”

Faoi 09:00, ní saincheist phaisteála amháin atá anseo a thuilleadh. Is saincheist fianaise ISO/IEC 27001:2022 í, saincheist cibearshláinteachais NIS2, saincheist bainistíochta riosca TFC DORA, saincheist rialachais soláthraithe, agus b’fhéidir saincheist tuairiscithe teagmhais má théann an saothrú i bhfeidhm ar leanúnachas seirbhíse nó ar shonraí pearsanta.

Seo an bhearna phraiticiúil comhlíonta a bheidh os comhair go leor eagraíochtaí in 2026. Tá scanóirí, deaiseanna, ticéid agus uirlisí paistithe acu, ach ní féidir leo na ceisteanna iniúchta a fhreagairt go soiléir:

• Cé a d’fhormheas an SLA leasaithe?
• Conas atá an SLA rioscabhunaithe?
• Cad a tharlaíonn nuair a chailleann paiste criticiúil an spriocdháta?
• Conas a thugtar tosaíocht do shócmhainní atá os comhair an idirlín?
• Conas a cheanglaítear ar sholáthraithe cloí leis na hamlínte céanna?
• Cá bhfuil an taifead glactha riosca do chóras gan phaiste?
• Cén fhianaise a chruthaíonn gur oibrigh an rialú, seachas gur ann dó amháin?

Ní scarbhileog eile de dhátaí dlite an freagra. Ní mór SLAanna um leasú leochaileachtaí a bhainistiú mar chóras rialaithe beo a nascann úinéireacht sócmhainní, scóráil leochaileachta, faisnéis faoi bhagairtí, bainistíocht athruithe, SLAanna soláthraithe, láimhseáil eisceachtaí, faireachán, freagairt do theagmhais agus athbhreithniú bainistíochta.

Sin an áit a mbíonn Beartas um Bainistíocht Leochaileachtaí agus Paistí Fiontraíochta Clarysec (VPMP), Beartas um Bainistíocht Leochaileachtaí agus Paistí do FBManna (VPMP-SME), Beartas Slándála Tríú Páirtithe agus Soláthraithe do FBManna (TPSSP-SME), Zenith Blueprint (ZB), agus Zenith Controls (ZC) úsáideach. Le chéile, athraíonn siad “paistigh níos tapa” ina phróiseas rialachais inchosanta ar féidir leis seasamh faoi ghrinnscrúdú iniúchta de chineál ISO, NIS2, DORA, GDPR, NIST agus ISACA.

Cén fáth ar tháinig SLAanna um leasú leochaileachtaí chun bheith ina bhfianaise ar leibhéal an bhoird

Ba ghnách leasú leochaileachtaí a láimhseáil mar mhéadracht cibearshláinteachais TF. In 2026, tá sé níos gaire do ghealltanas athléimneachta oibríochtúla rialáilte.

Cuireann NIS2 cuntasacht bhainistíochta ar chibearshlándáil. Ní mór do chomhlachtaí bainistíochta eintiteas riachtanach agus tábhachtach bearta bainistíochta riosca cibearshlándála a fhormheas, maoirseacht a dhéanamh ar a gcur chun feidhme, agus oiliúint a fháil ionas go dtuigfidh siad rioscaí agus tionchar cleachtas slándála ar sheirbhísí. Éilíonn NIS2 Article 21 bearta teicniúla, oibríochtúla agus eagraíochtúla atá iomchuí agus comhréireach, lena n-áirítear anailís riosca, láimhseáil teagmhais, leanúnachas gnó, slándáil slabhra soláthair, fáil agus cothabháil shlán, láimhseáil agus nochtadh leochaileachtaí, cibearshláinteachas, oiliúint, rialú rochtana, bainistíocht sócmhainní agus fíordheimhniú.

I gcás eintiteas airgeadais, is é DORA an córas speisialaithe athléimneachta oibríochtúla. Éilíonn sé socruithe rialachais agus rialaithe do riosca TFC, agus an comhlacht bainistíochta ag sainiú, ag formheas, ag maoirsiú agus ag fanacht freagrach as bainistíocht riosca TFC. Éilíonn sé freisin sainaithint sócmhainní agus spleáchas TFC, rialuithe cosanta agus coisctheacha amhail paistiú agus bainistíocht athruithe, bainistíocht teagmhas a bhaineann le TFC, tástáil athléimneachta oibríochtúla digití agus bainistíocht riosca tríú páirtí TFC.

Tá an tionchar praiticiúil suntasach. D’fhéadfadh spriocdháta paistithe caillte teip a léiriú sna réimsí seo a leanas:

• Rialachas, mura bhfuil SLAanna rioscabhunaithe formheasta ag an mbainistíocht
• Bainistíocht sócmhainní, mura bhfuil úinéir an chórais lena mbaineann ar eolas
• Bainistíocht athruithe, mura bhfuil paistiú éigeandála rialaithe
• Bainistíocht soláthraithe, má tá amlínte an tsoláthraí doiléir
• Freagairt do theagmhais, mura ndéantar comharthaí saothraithe a thriáisiú
• Bainistíocht fianaise, mura féidir le ticéid agus logaí dúnadh a chruthú
• Cóireáil riosca, mura bhfuil eisceachtaí formheasta agus athbhreithnithe

Soláthraíonn ISO/IEC 27001:2022 cnámh droma an chórais bainistíochta. Éilíonn Clásail 4.1 go 4.3 ar eagraíochtaí saincheisteanna inmheánacha agus seachtracha, ceanglais páirtithe leasmhara, oibleagáidí dlíthiúla agus conarthacha, agus comhéadain le heagraíochtaí eile a thuiscint. Éilíonn Clásail 6.1.1 go 6.1.3 measúnú riosca, cóireáil riosca, Ráiteas Infheidhmeachta, agus formheas úinéara riosca ar riosca iarmharach. Éilíonn Clásail 9.1, 9.2, 9.3, 10.1 agus 10.2 faireachán, iniúchadh inmheánach, athbhreithniú bainistíochta, feabhsú leanúnach, gníomh ceartaitheach agus fianaise choinnithe.

I dtéarmaí simplí, má theastaíonn uait go mbeadh SLAanna um leasú leochaileachtaí ullamh d’iniúchadh, ní mór dóibh a bheith mar chuid den ISMS, ní mar mhéadracht DevOps amháin.

An tsamhail SLA a mbíonn iniúchóirí ag súil léi

Ba cheart do SLA um leasú leochaileachtaí trí cheist a fhreagairt:

1. Cé chomh tapa is gá dúinn gníomhú?
2. Cé atá cuntasach?
3. Cén fhianaise a chruthaíonn an toradh?

Sainíonn an Beartas um Bainistíocht Leochaileachtaí agus Paistí pointe tosaigh praiticiúil d’amlínte leasaithe rioscabhunaithe:

Ní mór don eagraíocht gach leochaileacht a bhraitear a aicmiú trí mhodheolaíocht chaighdeánaithe a úsáid (m.sh., CVSS v3.x) agus amlínte leasaithe atá ailínithe le criticiúlacht ghnó a chur i bhfeidhm: 5.2.1 Criticiúil (CVSS 9.0-10.0): athbhreithniú láithreach; spriocdháta paistithe uasta 72 uair an chloig. 5.2.2 Ard (7.0-8.9): freagairt laistigh de 48 uair an chloig; spriocdháta paistithe 7 lá féilire. 5.2.3 Meánach (4.0-6.9): freagairt laistigh de 5 lá; spriocdháta paistithe 30 lá féilire. 5.2.4 Íseal (<4.0): freagairt laistigh de 10 lá; spriocdháta paistithe 60 lá féilire.

Tá an clásal seo láidir toisc go scarann sé am freagartha ón spriocdháta paistithe. Níor cheart do leochaileacht ard fanacht gan fheiceáil ar feadh sé lá agus ansin a bheith paisteáilte ar an seachtú lá. Deimhníonn clog na freagartha triáisiú, úinéireacht, measúnú tionchair agus pleanáil leasaithe. Deimhníonn an spriocdháta paistithe dúnadh teicniúil nó eisceacht fhormheasta.

I gcás eagraíochtaí níos lú, úsáideann an Beartas um Bainistíocht Leochaileachtaí agus Paistí do FBManna teanga níos simplí ach atá fós in-iniúchta:

Ní mór paistí criticiúla a chur i bhfeidhm laistigh de 3 lá ón scaoileadh, go háirithe do chórais atá os comhair an idirlín

Agus i gcás eastát níos leithne na bpaistí:

Ní mór gach paiste eile a chur i bhfeidhm laistigh de 30 lá, mura bhfuil eisceacht bhailí doiciméadaithe ann

Ní hé an pointe gur gá do gach eagraíocht na spriocdhátaí céanna a úsáid. Tacaíonn ISO/IEC 27001:2022, NIS2 agus DORA go léir le comhréireacht. Is é an pointe gur gá SLAanna leasaithe a shainiú, a fhormheas, a bheith rioscabhunaithe, faireachán a dhéanamh orthu agus fianaise a choinneáil ina leith.

Seo an áit a dteipeann ar go leor cuideachtaí. Sainíonn siad an SLA ach ní shainíonn siad an fhianaise. Ó pheirspictíocht iniúchóra, is gealltanas é beartas gan taifid oibríochtúla, ní rialú.

Is í úinéireacht sócmhainní an spleáchas ceilte

Is féidir le scanóir a rá leat go bhfuil CVE ann ar fhreastalaí. Ní féidir leis a rá leat an dtacaíonn an freastalaí le próiseas íocaíochta criticiúil, an stórálann sé sonraí pearsanta de chatagóir speisialta, an nascann sé le soláthraí socraíochta, nó an bhfuil sé sceidealta le díchoimisiúnú.

Tagann an comhthéacs sin ó bhainistíocht sócmhainní, aicmiú sonraí, fardal soláthraithe agus measúnú riosca.

Tá rialú 8.8 d’Iarscríbhinn A ISO/IEC 27001:2022, Bainistíocht leochaileachtaí teicniúla, lárnach, ach ní oibríonn sé ina aonar. Braitheann sé go mór ar bhainistíocht cumraíochta, bainistíocht athruithe, faireachán soláthraithe, rialachas scamall, logáil, faireachán agus cóireáil riosca.

Cuireann NIST CSF 2.0 an fhadhb chéanna in iúl i dteanga torthaí. Éilíonn Feidhm GOVERN go dtuigfear agus go mbainisteofar ceanglais chibearshlándála dhlíthiúla, rialála agus chonarthacha, go ndoiciméadófar goile riosca agus lamháltas riosca, go sannfar róil agus acmhainní, agus go mbunófar, go gcuirfear i bhfeidhm, go ndéanfar athbhreithniú agus go nuashonrófar beartais chibearshlándála. Áirítear ar thorthaí IDENTIFY fardail crua-earraí, bogearraí, seirbhísí, córas, sonraí agus saolré, chomh maith le sainaithint leochaileachtaí, anailís riosca, bainistíocht eisceachtaí agus próisis nochta leochaileachtaí.

I gcás maidin Dé Máirt Anna, is í an chéad cheist theicniúil ná “cá bhfuil an chomhpháirt leochaileach?” Is í an chéad cheist rialachais ná “cén tseirbhís agus cén riosca a mbíonn tionchar aige orthu?”

Tugann Zenith Blueprint, céim Bainistíocht Riosca, Céim 13: Pleanáil Cóireála Riosca agus Ráiteas Infheidhmeachta, aghaidh air seo trí rioscaí a nascadh le rialuithe, úinéirí agus amlínte:

Chomh maith leis sin, sann Úinéir agus Amlíne do gach gníomh (b’fhéidir i gcolún ar leith nó sna nótaí). M.sh. “Úinéir: Bainisteoir TF, Amlíne: faoi R3 2025.” Déanann sé seo plean ceart de.

Sin go díreach a éilíonn leasú leochaileachtaí. Éiríonn fionnachtain gan úinéir ina torann riaráiste. Éiríonn fionnachtain le húinéir, amlínte, cinneadh cóireála riosca agus rian fianaise ina rialú in-iniúchta.

Conas a mhapálann Zenith Controls caidrimh na rialuithe

Déileálann Zenith Controls le rialú 8.8 ISO/IEC 27002:2022, Bainistíocht leochaileachtaí teicniúla, mar rialú coisctheach a thacaíonn le rúndacht, sláine agus infhaighteacht. Nascann sé é le coincheapa cibearshlándála Identify agus Protect, le cumas oibríochtúil bainistíochta bagairtí agus leochaileachtaí, agus le fearainn slándála an rialachais, an éiceachórais, na cosanta agus chosaint an imlíne.

Tá sé seo tábhachtach toisc nach meicníocht chosanta amháin iad SLAanna leasaithe. Is meicníocht rialachais agus meicníocht éiceachórais iad freisin. Múnlaítear do nochtadh ag soláthraithe, ardáin scamaill, seirbhísí bainistithe, comhpháirteanna foinse oscailte agus spleáchais atá os comhair an idirlín.

Mapálann Zenith Controls 8.8 chuig roinnt rialuithe tacaíochta:

Nascann Zenith Controls bainistíocht leochaileachtaí freisin le ISO/IEC 27005:2024, go háirithe sainaithint leochaileachtaí agus cásanna riosca a bhaineann le córais gan phaiste. Neartaíonn sé seo an argóint gur cheart spriocdhátaí paistithe a bheith rioscabhunaithe, ní treallach. Nascann sé faireachán soláthraithe freisin le ISO/IEC 27036-4:2016 maidir le leibhéil slándála i gcomhaontuithe seirbhísí scamall agus le ISO/IEC 20000-1:2018 maidir le pleanáil seachadta seirbhíse agus bainistíocht athruithe.

Tá an struchtúr traschaighdeáin sin tábhachtach le linn iniúchta. Má deir eagraíocht “paisteáiltear leochaileachtaí criticiúla laistigh de 72 uair an chloig,” déanfaidh an t-iniúchóir tástáil an bhfuil an ráiteas sin tacaithe ag measúnú riosca, aicmiú sócmhainní, oibleagáidí soláthraithe, taifid athruithe agus fianaise faireacháin.

Cibearshláinteachas NIS2: ó láimhseáil leochaileachtaí go gníomh ceartaitheach

Éilíonn NIS2 Article 21 cur chuige uile-ghuaiseacha i leith córais líonra agus faisnéise. Maidir le SLAanna um leasú leochaileachtaí, tá roinnt eilimintí de Article 21 ábhartha go díreach:

• Anailís riosca agus beartais slándála córas faisnéise
• Láimhseáil teagmhais
• Leanúnachas gnó agus bainistíocht géarchéime
• Slándáil slabhra soláthair
• Fáil, forbairt agus cothabháil shlán, lena n-áirítear láimhseáil agus nochtadh leochaileachtaí
• Nósanna imeachta chun éifeachtacht chibearshlándála a mheas
• Cibearshláinteachas bunúsach agus oiliúint
• Rialú rochtana agus bainistíocht sócmhainní
• Fíordheimhniú ilfhachtóiriúil nó fíordheimhniú leanúnach nuair is iomchuí

Déanann NIS2 Article 20 comhlachtaí bainistíochta cuntasach as bearta bainistíochta riosca cibearshlándála a fhormheas agus a mhaoirsiú. Ciallaíonn sé sin nach féidir le méadrachtaí leasaithe leochaileachtaí fanacht laistigh de dheaiseanna innealtóireachta amháin. Ba cheart dóibh a bheith le feiceáil i dtuairisciú bainistíochta, i bpacáistí coiste riosca nó i dtaifid athbhreithnithe bainistíochta ISMS.

Éilíonn Article 21 freisin ar eintitis a shainaithníonn neamhchomhlíonadh beart riachtanach gníomh ceartaitheach a dhéanamh gan mhoill mhíchuí. Tá an frása sin tábhachtach. Má léiríonn do dheaiseanna leochaileachtaí criticiúla thar téarma, níor cheart don fhianaise chomhlíonta stopadh ag “tá a fhios againn.” Ba cheart di uaschéimniú, athbhreithniú riosca, infheictheacht bainistíochta, gníomh ceartaitheach agus athmheasúnú a thaispeáint.

Cuireann NIS2 Article 23 toise eile leis. Má chruthaíonn saothrú leochaileachta gan phaiste, nó má tá sé in ann a chruthú, cur isteach tromchúiseach oibríochtúil, caillteanas airgeadais nó damáiste do dhaoine eile, d’fhéadfadh sé bheith ina theagmhas suntasach. Áirítear sa saolré tuairiscithe rabhadh luath laistigh de 24 uair an chloig ón uair a fhaightear eolas faoin teagmhas suntasach, fógra teagmhais laistigh de 72 uair an chloig, tuarascálacha idirmheánacha ar iarraidh, agus tuarascáil deiridh laistigh de mhí amháin tar éis an fhógra teagmhais. Ba cheart déine, tionchar, bunchúis dhóchúil, maoluithe agus tionchar trasteorann a áireamh sa tuarascáil deiridh sin nuair is infheidhme.

Mar sin, ní mór don phróiseas SLA nascadh le freagairt do theagmhais. Ba cheart do leochaileacht chriticiúil le fianaise ar shaothrú gníomhach triáisiú slándála, faireachán, caomhnú fianaise agus measúnú tuairiscithe a spreagadh, ní ticéad paistithe gnáthaimh amháin.

Riosca TFC DORA: amlínte leasaithe mar fhianaise athléimneachta

I gcás eintiteas airgeadais, tá DORA i bhfeidhm ón 17 Eanáir 2025 agus cruthaíonn sé ceanglais aonfhoirmeacha ar fud bainistíocht riosca TFC, tuairisciú mórtheagmhas a bhaineann le TFC, tástáil athléimneachta oibríochtúla digití, comhroinnt faisnéise agus bainistíocht riosca tríú páirtí TFC. Déileáiltear leis mar an gníomh dlíthiúil earnáilsonrach AE d’eintitis airgeadais chumhdaithe a shainaithnítear faoi rialacha náisiúnta NIS2.

Tá samhail oibríochta DORA gar do ISMS comhtháite. Éilíonn Articles 5 agus 6 rialachas, beartais, nósanna imeachta, uirlisí, athbhreithniú bliantúil nó tréimhsiúil, iniúchadh, leasú fionnachtana iniúchta criticiúla, agus straitéis athléimneachta oibríochtúla digití. Éilíonn Article 8 sainaithint agus fardalú feidhmeanna gnó a dtacaíonn TFC leo, sócmhainní faisnéise, sócmhainní TFC, spleáchais, próisis tríú páirtí agus rioscaí TFC oidhreachta. Éilíonn Article 9 rialuithe cosanta agus coisctheacha, lena n-áirítear paistiú agus bainistíocht athruithe. Éilíonn Articles 11 agus 12 leanúnachas, freagairt, téarnamh, cúltaca, athshlánú agus cuspóirí athshlánaithe.

Éilíonn DORA Articles 17 go 19 próiseas bainistíochta teagmhas a bhaineann le TFC a bhrathann, a bhainistíonn, a thaifeadann, a aicmíonn, a uaschéimníonn, a thuairiscíonn, a chumarsáideann, a dhéanann anailís bunchúise agus a athshlánaíonn oibríochtaí slána. Éilíonn Articles 24 go 26 tástáil athléimneachta oibríochtúla digití, lena n-áirítear tástáil chuí ar uirlisí agus córais TFC, measúnuithe leochaileachta, measúnuithe slándála líonra, anailísí bearnaí, athbhreithnithe ar chód foinse nuair is indéanta, tástáil treáite agus tástáil treáite faoi threoir bagairtí d’eintitis airgeadais áirithe. Éilíonn Articles 28 agus 30 bainistíocht riosca tríú páirtí TFC, cláir conarthaí seirbhíse TFC, dícheall cuí, cearta iniúchta agus cigireachta, leibhéil seirbhíse, cúnamh soláthraí le linn teagmhas, cearta foirceanta agus socruithe scoir.

Maidir le SLAanna leasaithe, athraíonn DORA ionchais fianaise ar thrí bhealach.

Ar dtús, ní mór d’fhionnachtana leochaileachta ó thástáil beathú isteach i bpróiseas leasaithe tosaíochtaithe. Ní leor tuarascáil scanta.

Ar an dara dul síos, ní mór leasú fionnachtana criticiúla a rianú trí rialachas agus iniúchadh. Tá DORA ag súil le leasú foirmiúil ar fhionnachtana iniúchta criticiúla i gcás neamh-mhicrifhiontar.

Ar an tríú dul síos, ní mór oibleagáidí intomhaiste a chur ar sholáthraithe tríú páirtí TFC. Má rialaíonn do sholáthraí scamall, SaaS nó MSP an fhuinneog phaisteála, ní mór do chonradh agus do chlár a thaispeáint conas a thacaíonn a n-amlínte leasaithe le d’oibleagáidí athléimneachta.

Tugann an Beartas um Bainistíocht Leochaileachtaí agus Paistí aghaidh air seo go díreach:

Paistiú Tríú Páirtí agus Maoirseacht ar Riosca SaaS 6.6.1 Ní mór do gach córas tríú páirtí (SaaS, PaaS, arna mbainistiú ag MSP) rialuithe leordhóthanacha bainistíochta leochaileachtaí agus paistí a léiriú. 6.6.2 Ní mór d’SLAanna soláthraithe tréimhsí ama leasaithe atá coibhéiseach le tairseacha inmheánacha sainithe bunaithe ar chriticiúlacht a áireamh.

Is minic gurb é an clásal sin an droichead atá ar iarraidh idir fianaise inmheánach ISO agus maoirseacht soláthraithe DORA.

GDPR: nuair a éiríonn moilleanna paistithe ina dteipeanna cuntasachta sonraí pearsanta

Ní caighdeán bainistíochta leochaileachtaí é GDPR, ach athraíonn sé iarmhairtí teipe paistithe.

Éilíonn GDPR Article 5 go bpróiseálfar sonraí pearsanta go slán agus go mbeidh an rialaitheoir in ann comhlíonadh a léiriú. Éilíonn Article 32 bearta teicniúla agus eagraíochtúla iomchuí chun leibhéal slándála atá oiriúnach don riosca a chinntiú. Nuair a phróiseálann córais gan phaiste sonraí pearsanta, go háirithe sonraí aitheantais, sonraí airgeadais, sonraí bithmhéadracha, sonraí sláinte, sonraí fostaíochta nó faisnéis KYC, éiríonn SLAanna leasaithe mar chuid de chuntasacht slándála próiseála.

D’fhéadfadh paiste moillithe a bheith inchosanta má rinneadh an riosca a mheas, má cuireadh rialuithe cúiteacha i bhfeidhm, agus má ghlac an duine ceart leis an riosca iarmharach. Tá sé i bhfad níos deacra é a chosaint má bhí an leochaileacht thar téarma, os comhair an idirlín agus gan úinéir.

Mapálann Zenith Controls bainistíocht leochaileachtaí chuig GDPR Articles 32 agus 5(1)(f), toisc go laghdaíonn paistiú tráthúil rioscaí do rúndacht agus sláine sonraí pearsanta. Mapálann sé bainistíocht athruithe freisin chuig GDPR Article 24 agus Article 32, toisc gur cheart athruithe ar chórais a phróiseálann sonraí pearsanta a mheas ó thaobh riosca de, a fhormheas, a dhoiciméadú agus a athbhreithniú.

Tá an ceacht comhlíonta díreach: má tá sonraí pearsanta i gceist, ba cheart comhthéacs na sonraí a bheith san áireamh i d’fhianaise phaistithe. Fiafróidh iniúchóirí agus rialálaithe ní hamháin “ar paisteáladh é?” ach “cé na sonraí a bhí faoi riosca, ar feadh cá fhad, agus cé na rialuithe a laghdaigh an riosca sin?”

Sreabhadh oibre praiticiúil Clarysec le haghaidh fianaise SLA atá ullamh d’iniúchadh

Ní thosaíonn próiseas aibí um leasú leochaileachtaí nuair a iarrann iniúchóir taifid. Dearadh é chun taifid a tháirgeadh gach mí.

Céim 1: Formheas an beartas SLA

Tosaigh leis an Beartas um Bainistíocht Leochaileachtaí agus Paistí nó leis an Beartas um Bainistíocht Leochaileachtaí agus Paistí do FBManna, ag brath ar do shamhail oibríochta. Saincheap tairseacha SLA de réir do ghoile riosca, do raoin feidhme rialála, criticiúlacht seirbhíse, íogaireacht sonraí agus srianta teicniúla. Cinntigh formheas ón CISO, ón gcoiste riosca nó ón gcomhlacht bainistíochta.

I dtimpeallachtaí fiontraíochta, úsáid CVSS, criticiúlacht sócmhainne, inshaothraitheacht, nochtadh don idirlíon, íogaireacht sonraí agus tionchar gnó. I gcás FBManna, coinnigh an tsamhail simplí ach follasach: paistí criticiúla laistigh de thrí lá, paistí eile laistigh de 30 lá mura bhfuil eisceacht bhailí ann.

Céim 2: Mapáil sócmhainní chuig úinéirí agus seirbhísí criticiúla

Ba cheart gach fionnachtain leochaileachta a nascadh le:

• Ainm sócmhainne agus aitheantóir uathúil
• Seirbhís ghnó nó feidhmchlár
• Úinéir córais
• Úinéir teicniúil
• Aicmiú sonraí
• Nochtadh don idirlíon
• Spleáchas soláthraí, más infheidhme
• Criticiúlacht na feidhme lena dtacaítear

Tacaíonn sé seo le húinéireacht riosca ISO/IEC 27001:2022, bainistíocht sócmhainní NIS2, fardal sócmhainní agus spleáchas TFC DORA, agus torthaí IDENTIFY NIST CSF.

Céim 3: Triáisiú na leochaileachta

Cruthaigh ticéad do gach fionnachtain nó do shraith ghrúpáilte fionnachtana. Cuir san áireamh scór CVSS, scanóir foinseach, sócmhainn lena mbaineann, stádas saothraithe, faisnéis faoi bhagairtí, criticiúlacht ghnó agus SLA riachtanach. Má tá amhras faoi shaothrú, nasc an ticéad le measúnú teagmhais.

Céim 4: Cuir i gcrích trí bhainistíocht athruithe

Is athrú é paistiú. Úsáid athrú caighdeánach le haghaidh nuashonruithe gnáthaimh agus athrú éigeandála le haghaidh leochaileachtaí criticiúla atá á saothrú. Cuir fianaise tástála, formheas, stampa ama cur chun feidhme, plean aischuir agus bailíochtú iar-athraithe san áireamh.

Meaitseálann sé seo an caidreamh in Zenith Controls idir 8.8 agus 8.32, ina rialaítear cur i bhfeidhm paistí trí bhainistíocht athruithe chun práinn agus cobhsaíocht oibríochtúil a chothromú.

Céim 5: Bailíochtaigh dúnadh

Ná dún ticéid bunaithe ar “paiste suiteáilte” amháin. Éiligh bailíochtú trí athscanadh, deimhniú leagain, fíorú cumraíochta nó deimhniú rialaithe chúitigh. Nuair nach féidir an paiste a chur i bhfeidhm, oscail eisceacht.

Céim 6: Taifead eisceachtaí agus riosca iarmharach

Sainíonn an Beartas um Bainistíocht Leochaileachtaí agus Paistí an t-ábhar eisceachta riachtanach:

Ní mór an méid seo a leanas a áireamh in iarratais eisceachta: 7.2.1 Údar gnó don mhoill nó don neamhleasú 7.2.2 Measúnú riosca (bunaithe ar CVSS, criticiúlacht sócmhainne, faisnéis faoi bhagairtí) 7.2.3 Rialuithe cúiteacha molta 7.2.4 Amlíne don leasú nó don athmheasúnú

Sainíonn sé formheas agus athbhreithniú freisin:

Ní mór don CISO nó don Choiste Riosca tarmligthe eisceachtaí a fhormheas agus iad a thaifeadadh i gClár Eisceachtaí an ISMS, le heatramh athbhreithnithe nach faide ná 90 lá.

Éiríonn an clár eisceachtaí sin ina fhianaise riachtanach do Chlásal 6.1.3 ISO/IEC 27001:2022 maidir le cóireáil riosca agus glacadh le riosca iarmharach, chomh maith le hathbhreithniú bainistíochta.

Léiríonn an taifead seo nár thug an eagraíocht neamhaird ar an leochaileacht. Rinne sí an riosca a mheas, chuir sí rialuithe cúiteacha i bhfeidhm, d’fhormheas sí riosca iarmharach agus shocraigh sí dáta athbhreithnithe.

Céim 7: Tóg an pacáiste fianaise míosúil

Ba cheart do phacáiste fianaise míosúil um leasú leochaileachtaí an méid seo a leanas a áireamh:

I gcás FBManna, is féidir leis an bhfianaise a bheith níos éadroime, ach ní mór di a bheith comhsheasmhach fós. Éilíonn an Beartas um Bainistíocht Leochaileachtaí agus Paistí do FBManna logaí paistí le hinrianaitheacht:

Ní mór ainm an ghléis, an nuashonrú a cuireadh i bhfeidhm, dáta an phaistithe agus cúis aon mhoille a bheith sna logaí

Is ór iniúchta é an clásal aonair sin. Athraíonn sé paistiú ó éileamh ina thaifead.

Paistiú soláthraithe: ní mór don chonradh do SLA a mheaitseáil

Má rialaíonn MSP, soláthraí SaaS, soláthraí PaaS nó soláthraí seirbhíse scamall imscaradh paistí, tá SLAanna inmheánacha gan úsáid mura meaitseálann oibleagáidí soláthraithe iad.

Áirítear oibleagáidí slándála faisnéise sa Beartas Slándála Tríú Páirtithe agus Soláthraithe do FBManna mar cheanglas rialachais. Maidir le leasú leochaileachtaí, ba cheart na hoibleagáidí sin a chur i dtéarmaí conarthacha intomhaiste:

• Fuinneoga fógra do leochaileachtaí criticiúla
• Amlínte leasaithe criticiúla, arda, meánacha agus ísle
• Próiseas athraithe éigeandála
• Ceanglais formheasa custaiméara i leith aga neamhfhónaimh
• Formáid fianaise do chríochnú paistí
• Próiseas nochta leochaileachtaí
• Oibleagáidí cúnaimh teagmhais
• Ceart iniúchta nó tuarascálacha dearbhaithe a fháil
• Oibleagáidí paistithe fophhróiseálaithe nó fochonraitheoirí
• Tacaíocht scoir agus aistrithe do sheirbhísí criticiúla

Luaitear an prionsabal go soiléir in Zenith Blueprint, céim Controls in Action, Céim 20, Rialú 8.21 Slándáil seirbhísí líonra:

Nuair a sholáthraítear seirbhísí go seachtrach, lena n-áirítear ISPanna, díoltóirí SD-WAN nó soláthraithe scamall príobháideach, ní mór ceanglais slándála a chur isteach i gconarthaí agus i SLAanna. Áirítear leis seo ráthaíochtaí aga fónaimh, amanna freagartha do theagmhais, oibleagáidí maidir le leochaileachtaí a phaisteáil nó a mhaolú, agus teorainneacha soiléire láimhseála sonraí. Níor cheart duit glacadh riamh leis go bhfuil soláthraí ag comhlíonadh d’ionchais mura bhfuil sé scríofa, intomhaiste agus in-iniúchta.

Déanann DORA é seo thar a bheith tábhachtach d’eintitis airgeadais. Ní mór leibhéil seirbhíse, cúnamh soláthraí le linn teagmhas TFC, rochtain agus aisghabháil sonraí, comhoibriú le húdaráis, cearta foirceanta agus forálacha níos láidre d’fheidhmeanna criticiúla nó tábhachtacha, lena n-áirítear faireachán, cearta iniúchta, pleananna teagmhasacha agus bearta slándála, a bheith san áireamh i socruithe tríú páirtí TFC.

Deir NIST CSF 2.0 an rud céanna trí thorthaí riosca slabhra soláthair: ba cheart soláthraithe a bheith ar eolas, tosaíochtaithe de réir criticiúlachta, measúnaithe roimh rannpháirtíocht, rialaithe trí cheanglais chonarthacha, faoi fhaireachán ar feadh an chaidrimh, san áireamh i bpleanáil teagmhas agus bainistithe ag foirceannadh.

Cad a iarrfaidh iniúchóirí i ndáiríre

Athraíonn an comhrá iniúchta de réir chúlra an iniúchóra.

Tosóidh iniúchóir ISO/IEC 27001:2022 leis an ISMS. Seiceálfaidh sé an bhfuil bainistíocht leochaileachtaí san áireamh sa Ráiteas Infheidhmeachta, an sainaithníonn an measúnú riosca córais gan phaiste mar riosca, an bhfuil úinéirí agus amlínte ag pleananna cóireála riosca, an bhfuil rialú 8.8 d’Iarscríbhinn A curtha chun feidhme, an bhfuil fianaise coinnithe, agus an ndéanann iniúchadh inmheánach agus athbhreithniú bainistíochta feidhmíocht a mheas.

Déanann Zenith Blueprint, céim Controls in Action, Céim 19, ionchas an iniúchta follasach:

Is rialú ardtosaíochta é seo d’iniúchóirí, agus de ghnáth rachaidh siad go domhain isteach ann. Bí ag súil go n-iarrfar ort cé chomh minic a phaisteáiltear córais, cén próiseas a leanann tú nuair a fhógraítear leochaileacht nialas-lá, agus cé na córais is deacra a phaisteáil.

Leanann sé le hionchais phraiticiúla fianaise:

Is dócha go n-iarrfaidh iniúchóirí torthaí scanadh leochaileachta. Má úsáidtear uirlisí mar Nessus, OpenVAS nó Qualys, easpórtáil tuarascáil a thaispeánann leochaileachtaí le déanaí a braitheadh agus conas a tugadh aghaidh orthu. Go hidéalach, ba cheart rátálacha riosca (CVSS) agus amlínte leasaithe a bheith san áireamh inti.

Beidh iniúchóir nó údarás inniúil dírithe ar NIS2 ag lorg formheas boird, comhréireacht, cibearshláinteachas, láimhseáil leochaileachtaí, slándáil soláthraithe, láimhseáil teagmhais, measúnú éifeachtachta, gníomh ceartaitheach gan mhoill mhíchuí, agus taifid cinntí tuairiscithe má chruthaigh saothrú tionchar suntasach.

Déanfaidh maoirseoir DORA tástáil an bhfuil fionnachtana leochaileachta comhtháite i mbainistíocht riosca TFC, tástáil athléimneachta oibríochtúla digití, aicmiú teagmhais, anailís bunchúise, cláir tríú páirtí, oibleagáidí conartha, cearta iniúchta agus leasú fionnachtana criticiúla.

Is dócha go n-eagróidh measúnóir NIST CSF an t-athbhreithniú timpeall GOVERN, IDENTIFY, PROTECT, DETECT, RESPOND agus RECOVER. Fiafróidh sé an dtuigtear ceanglais dhlíthiúla agus chonarthacha, an bhfuil lamháltas riosca doiciméadaithe, an sainaithnítear leochaileachtaí agus an dtugtar tosaíocht dóibh, an mbainistítear eisceachtaí, an mbraitheann faireachán saothrú, agus an gcomhordaítear gníomhartha freagartha agus téarnaimh.

Díreoidh iniúchóir COBIT 2019 nó de chineál ISACA ar chuspóirí rialachais, cumas próisis, cleachtais bhainistíochta, méadrachtaí, úinéireacht, dearadh rialaithe, oibriú rialaithe agus leordhóthanacht fianaise. Fiafróidh sé an bhfuil leasú leochaileachtaí in-athdhéanta, tomhaiste, uaschéimnithe, feabhsaithe agus ailínithe le spriocanna fiontraíochta agus goile riosca.

Uaschéimniú agus méadrachtaí: conas a chruthú go bhfuil an SLA á bhainistiú

Ní bhíonn SLA gan uaschéimniú ach ina sprioc. Teastaíonn uaschéimniú roimh shárú, ag sárú, agus tar éis teip athfhillteach ó chlár leasaithe leochaileachtaí atá inchosanta.

Molann Clarysec samhail uaschéimnithe ceithre leibhéal:

1. Uaschéimniú oibríochtúil, cuirtear úinéir an ticéid agus an ceannaire teicniúil ar an eolas roimh shárú.
2. Uaschéimniú riosca, déanann úinéir sócmhainne agus úinéir riosca athbhreithniú ar thionchar nuair is dócha go mbeidh sárú ann.
3. Uaschéimniú rialachais slándála, formheasann an CISO nó an coiste riosca eisceacht nó gníomh éigeandála.
4. Uaschéimniú bainistíochta, tuairiscítear sáruithe SLA athfhillteacha nó criticiúla don athbhreithniú bainistíochta le gníomhartha ceartaitheacha.

Neartaíonn an Beartas um Bainistíocht Leochaileachtaí agus Paistí an t-ionchas iniúchta seo:

Ní mór d’Iniúchadh Inmheánach nó do thríú páirtí neamhspleách iniúchtaí tréimhsiúla a dhéanamh chun an méid seo a leanas a fhíorú: 5.6.1 Comhlíonadh SLAanna 5.6.2 Fianaise ar thosaíochtú rioscabhunaithe 5.6.3 Éifeachtacht paistí imscartha 5.6.4 Rialuithe ar chórais gan phaiste

Ba cheart do mhéadrachtaí tacú le cinntí, ní deaiseanna a mhaisiú. Áirítear ar na méadrachtaí is láidre in 2026:

• Céatadán comhlíonta SLA criticiúil
• Céatadán comhlíonta SLA ard
• Meán-am go triáisiú
• Meán-am go leasú de réir aicme sócmhainne
• Líon leochaileachtaí criticiúla thar téarma
• Líon eisceachtaí glactha de réir aoise
• Eisceachtaí a sháraíonn 90 lá
• Líon nochtaí criticiúla atá os comhair an idirlín
• Sáruithe SLA soláthraithe
• Leochaileachtaí athoscailte tar éis bailíochtaithe
• Athruithe éigeandála de bharr leochaileachtaí a shaothraítear
• Teipeanna paistí de réir ardáin nó aonad gnó

Ceangail na méadrachtaí seo le hathbhreithniú bainistíochta Chlásal 9.3 ISO/IEC 27001:2022, tuairisciú rialachais DORA agus maoirseacht bainistíochta NIS2. I gcás NIST CSF 2.0, bain úsáid astu chun Próifílí Reatha agus Spriocphróifílí, anailís bearnaí agus pleananna gníomhaíochta a nuashonrú.

Seicliosta SLA leasaithe Clarysec

Úsáid an seicliosta seo chun do chlár reatha a mheas:

• An bhfuil beartas formheasta bainistíochta leochaileachtaí agus paistí ann?
• An bhfuil SLAanna leasaithe sainithe de réir déine agus criticiúlacht ghnó?
• An luasghéaraítear leochaileachtaí atá os comhair an idirlín agus leochaileachtaí atá á saothrú?
• An bhfuil sócmhainní mapáilte chuig úinéirí, seirbhísí, sonraí agus soláthraithe?
• An ndéantar fionnachtana scanóra a thiontú ina dticéid shannta?
• An gcuirtear paistí i gcrích trí bhainistíocht athruithe?
• An bhfuil athruithe éigeandála doiciméadaithe agus athbhreithnithe?
• An mbailíochtaítear torthaí leasaithe trí athscanadh nó seiceálacha leagain?
• An ndéantar eisceachtaí a mheas ó thaobh riosca de, a fhormheas agus a athbhreithniú ar a laghad gach 90 lá?
• An bhfuil rialuithe cúiteacha doiciméadaithe do chórais nach féidir a phaisteáil?
• An bhfuil conarthaí soláthraithe ailínithe le tairseacha leasaithe inmheánacha?
• An bhfuil logaí paistí sách iomlán chun a chruthú cad a tharla agus cathain?
• An ndéantar sáruithe SLA a uaschéimniú agus a cheartú?
• An ndéanann an bhainistíocht athbhreithniú ar mhéadrachtaí?
• An spreagtar measúnuithe teagmhais agus sáraithe nuair a bhíonn amhras faoi shaothrú?

Má tá roinnt freagraí “níl,” ní hé an uirlisiú an fhadhb. Is é dearadh rialaithe atá i gceist.

Na chéad chéimeanna eile: spriocdhátaí paistí a iompú ina n-athléimneacht atá ullamh d’iniúchadh

Ní leor do SLAanna um leasú leochaileachtaí in 2026 deaiseanna scanóra a shásamh. Ní mór dóibh a chruthú gur féidir le d’eagraíocht nochtadh a shainaithint, riosca a thosaíochtú, gníomhú laistigh d’amlínte formheasta, eisceachtaí a rialú, soláthraithe a rialú agus fianaise a thabhairt ar chinntí ar fud ionchais iniúchta ISO/IEC 27001:2022, NIS2, DORA, GDPR, NIST CSF 2.0 agus COBIT 2019.

Is féidir le Clarysec cabhrú leat bogadh ó thicéid phaiste ilroinnte go clár comhtháite um leasú leochaileachtaí atá bunaithe ar fhianaise, trí úsáid a bhaint as:

• Beartas um Bainistíocht Leochaileachtaí agus Paistí
• Beartas um Bainistíocht Leochaileachtaí agus Paistí do FBManna
• Beartas Slándála Tríú Páirtithe agus Soláthraithe do FBManna
• Zenith Blueprint: Treochlár 30 Céim an Iniúchóra
• Zenith Controls: An Treoir Thraschomhlíonta

Tosaigh le seirbhís ardriosca amháin. Mapáil a sócmhainní, a soláthraithe, a leochaileachtaí, a ticéid, a hathruithe, a heisceachtaí agus a fianaise. Ansin rith na ceisteanna iniúchta ina coinne. Mura féidir leat an SLA a chruthú ó bhrath go dúnadh, sin é do chéad tionscadal leasaithe.

Ní paistiú foirfe an sprioc. Is é an sprioc leasú atá faoi rialachas, rioscabhunaithe, intomhaiste agus in-iniúchta. Íoslódáil teimpléid bheartais Clarysec, déan measúnú bearnaí spriocdhírithe, nó cuir taispeántas Clarysec in áirithe chun leasú leochaileachtaí a iompú ó bhrú iniúchta ina athléimneacht oibríochtúil.