DORA izlazne strategije za IKT uz kontrole ISO 27001
U 07:42 u ponedjeljak voditelj fintech operacija prima poruku koju nitko ne želi pročitati: pružatelj usluge praćenja transakcija u oblaku pretrpio je ozbiljan regionalni prekid usluge. Do 08:15 glavni direktor za rizike pita podržava li zahvaćena usluga kritičnu ili važnu funkciju. Do 08:40 pravna služba želi znati daje li ugovor društvu pravo na pomoć pri tranziciji, izvoz podataka, brisanje i reviziju. Do 09:05 CISO traži dokaze da je izlazni plan testiran, a ne samo napisan.
U drugom društvu za financijske usluge Sarah, CISO brzo rastuće fintech platforme, otvara zahtjev za informacijama prije revizije za DORA procjenu usklađenosti. Pitanja su poznata sve dok ne dođe do odjeljka o pružateljima IKT usluga treće strane koji podržavaju kritične ili važne funkcije. Revizori ne pitaju ima li društvo politiku upravljanja dobavljačima. Traže dokumentirane, testirane i izvedive izlazne strategije.
Odmah pomisli na ključnog pružatelja usluga u oblaku koji hostira platformu, zatim na pružatelja upravljanih sigurnosnih usluga koji neprekidno prati prijetnje. Što ako pružatelj usluga u oblaku pretrpi geopolitički poremećaj? Što ako konkurent preuzme MSSP? Što ako kritični SaaS pružatelj postane insolventan, prekine uslugu ili izgubi povjerenje klijenata nakon većeg incidenta?
Neugodan odgovor u mnogim je društvima isti. Postoji procjena rizika dobavljača, plan neprekidnosti poslovanja, mapa ugovora, inventar usluga u oblaku i možda izvješće o sigurnosnim kopijama. No ne postoji jedinstvena, za reviziju spremna DORA izlazna strategija za pružatelje IKT usluga treće strane koja povezuje poslovnu kritičnost, ugovorna prava, tehničku prenosivost, planove neprekidnosti, dokaze o sigurnosnim kopijama, obveze privatnosti i odobrenje uprave.
DORA mijenja pristup upravljanju dobavljačima. Prema Uredbi (EU) 2022/2554, financijski subjekti moraju upravljati IKT rizikom trećih strana kao dijelom okvira za upravljanje IKT rizicima. Oni ostaju u potpunosti odgovorni za usklađenost, održavaju registar ugovornih aranžmana o IKT uslugama, razlikuju IKT aranžmane koji podržavaju kritične ili važne funkcije, procjenjuju rizike koncentracije i podugovaranja te održavaju izlazne strategije za kritične IKT ovisnosti o trećim stranama. DORA se primjenjuje od 17. siječnja 2025. i utvrđuje jedinstvene zahtjeve EU-a za upravljanje IKT rizicima, prijavljivanje incidenata, testiranje otpornosti, razmjenu informacija i upravljanje IKT rizicima trećih strana za širok raspon financijskih subjekata.
DORA izlazna strategija nije odlomak u ugovoru s dobavljačem. To je sustav kontrola. Mora imati upravljanje, procjenu rizika, tehničku izvedivost, ugovornu provedivost, testiranje, dokaze i kontinuirano poboljšanje.
Clarysecov pristup kombinira Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint, predloške politika za organizacije i Zenith Controls: The Cross-Compliance Guide Zenith Controls kako bi se pitanje od ponedjeljka ujutro pretvorilo u pripremljen odgovor.
Zašto DORA izlazne strategije padaju na stvarnim revizijama
Većina neuspjeha DORA izlaznih strategija za IKT strukturne je prirode prije nego što postane tehnički problem. Organizacija ima vlasnika dobavljača, ali nema odgovornog vlasnika rizika. Ima poslove sigurnosnog kopiranja, ali nema dokaze o vraćanju podataka. Ima upitnik za dubinsku analizu dobavljača, ali nema dokumentiranu odluku o tome podržava li pružatelj kritičnu ili važnu funkciju. Ima ugovorni tekst o raskidu, ali nema prijelazno razdoblje usklađeno s planom neprekidnosti poslovanja.
DORA prisiljava te elemente da se povežu. Article 28 utvrđuje opća načela za upravljanje IKT rizicima trećih strana, uključujući potrebu upravljanja rizikom pružatelja IKT usluga treće strane tijekom cijelog životnog ciklusa i održavanja odgovarajućih izlaznih strategija. Article 30 utvrđuje detaljne ugovorne zahtjeve za IKT usluge koje podržavaju kritične ili važne funkcije, uključujući opise usluga, lokacije obrade podataka, sigurnosne zaštite, prava pristupa i revizije, pomoć pri incidentima, suradnju s nadležnim tijelima i prava raskida.
Uredba je ujedno proporcionalna. Article 4 i Article 16 određenim manjim ili izuzetim subjektima omogućuju primjenu pojednostavljenog okvira za upravljanje IKT rizicima. No pojednostavljeno ne znači nedokumentirano. Manja financijska društva i dalje trebaju dokumentirano upravljanje IKT rizicima, kontinuirano praćenje, otporne sustave, brzo prepoznavanje IKT incidenata, identifikaciju ključnih IKT ovisnosti o trećim stranama, sigurnosno kopiranje i vraćanje podataka, neprekidnost poslovanja, odgovor i oporavak, testiranje, naučene lekcije i obuku.
Mali fintech ne može reći: „Premali smo za planiranje izlaska.” Može reći: „Naša DORA izlazna strategija razmjerna je našoj veličini, profilu rizika i složenosti usluge.” Razlika je u dokazima.
Za subjekte koji su obuhvaćeni i nacionalnim područjem primjene NIS2, DORA djeluje kao sektorski poseban pravni akt Unije za preklapajuće obveze kibernetičke sigurnosti u financijskom sektoru. NIS2 je i dalje važan u širem ekosustavu, osobito za pružatelje upravljanih usluga, pružatelje upravljanih sigurnosnih usluga, pružatelje usluga u oblaku, podatkovne centre i subjekte digitalne infrastrukture. NIS2 Article 21 potvrđuje iste teme: analizu rizika, postupanje s incidentima, neprekidnost poslovanja, sigurnost opskrbnog lanca, sigurnu nabavu, procjenu učinkovitosti, obuku, kriptografiju, kontrolu pristupa, upravljanje imovinom i autentifikaciju.
Nadzorna tijela, klijenti, revizori i odbori mogu pitanje postaviti različito, ali temeljni je problem isti: možete li izaći iz odnosa s kritičnim pružateljem IKT usluga bez gubitka kontrole nad neprekidnošću usluge, podacima, dokazima ili utjecajem na klijente?
Uključite izlaznu strategiju u ISMS
ISO/IEC 27001:2022 pruža okosnicu sustava upravljanja za DORA planiranje izlaska.
Točke 4.1 do 4.4 zahtijevaju da organizacija definira svoj kontekst, zainteresirane strane, pravne, regulatorne i ugovorne zahtjeve, opseg ISMS-a, sučelja, ovisnosti i procese. Tu financijsko društvo identificira DORA, obveze prema klijentima, očekivanja povezana s izdvojenim uslugama, ovisnosti o oblaku, obveze privatnosti, podizvođače i IKT usluge unutar granica ISMS-a.
Točke 5.1 do 5.3 zahtijevaju vodstvo, politiku, resurse, dodjelu uloga i odgovornosti. To je usklađeno s DORA modelom upravljanja, u kojem upravljačko tijelo definira, odobrava, nadzire i ostaje odgovorno za upravljanje IKT rizicima, uključujući IKT neprekidnost poslovanja, planove odgovora i oporavka, planove IKT revizija, proračune, strategiju otpornosti i politiku IKT rizika trećih strana.
Točke 6.1.1 do 6.1.3 pretvaraju planiranje izlaska u obradu rizika. Organizacija definira kriterije rizika, provodi ponovljive procjene rizika, identificira rizike za povjerljivost, cjelovitost i dostupnost, dodjeljuje vlasnike rizika, procjenjuje posljedice i vjerojatnost, odabire opcije obrade, uspoređuje kontrole s Prilogom A, izrađuje Izjavu o primjenjivosti, priprema plan obrade rizika te pribavlja odobrenje vlasnika rizika i prihvaćanje preostalog rizika.
Točka 8.1 zatim zahtijeva operativno planiranje i kontrolu. Organizacija mora planirati, implementirati i kontrolirati procese ISMS-a, održavati dokumentirane informacije koje pokazuju da su procesi provedeni prema planu, upravljati promjenama i kontrolirati eksterno pružene procese, proizvode ili usluge relevantne za ISMS.
ISO/IEC 27005:2022 jača ovaj pristup. Točka 6.2 preporučuje organizacijama da identificiraju zahtjeve zainteresiranih strana, uključujući kontrole iz Priloga A norme ISO/IEC 27001:2022, sektorske standarde, nacionalne i međunarodne propise, interna pravila, ugovorne zahtjeve i postojeće kontrole iz prethodne obrade rizika. Točke 6.4.1 do 6.4.3 objašnjavaju da kriteriji rizika trebaju uzeti u obzir pravne i regulatorne aspekte, odnose s dobavljačima, privatnost, operativne učinke, povrede ugovora, poslovanje trećih strana i reputacijske posljedice. Točke 8.2 do 8.6 podržavaju biblioteku kontrola i plan obrade koji mogu kombinirati Prilog A norme ISO/IEC 27001:2022 s DORA, NIS2, GDPR, obvezama prema klijentima i internim politikama.
Operativni model je jednostavan: jedan inventar zahtjeva, jedan registar rizika dobavljača, jedna Izjava o primjenjivosti, jedan plan obrade rizika i jedan paket dokaza za svaki kritični scenarij izlaska.
Kontrole ISO/IEC 27001:2022 koje sidre DORA planiranje izlaska
DORA izlazne strategije postaju spremne za reviziju kada se upravljanje dobavljačima, prenosivost u oblaku, planiranje neprekidnosti i dokazi o sigurnosnim kopijama tretiraju kao jedan povezani lanac kontrola.
Clarysecov Zenith Controls mapira kontrole iz Priloga A norme ISO/IEC 27001:2022 na atribute kontrola, revizijske dokaze i očekivanja višestruke usklađenosti. To nije zaseban okvir kontrola. To je Clarysecov vodič za višestruku usklađenost koji pokazuje kako kontrole ISO/IEC 27001:2022 podržavaju revizijske, regulatorne i operativne ishode.
| Kontrola iz Priloga A norme ISO/IEC 27001:2022 | Uloga u izlaznoj strategiji | DORA dokazi koje podržava | Fokus revizora |
|---|---|---|---|
| A.5.19 Informacijska sigurnost u odnosima s dobavljačima | Uspostavlja proces upravljanja rizicima dobavljača | Klasifikacija dobavljača, vlasništvo nad ovisnošću, procjena rizika | Upravlja li se rizikom dobavljača dosljedno? |
| A.5.20 Uređivanje informacijske sigurnosti u ugovorima s dobavljačima | Pretvara očekivanja izlaska u provedive ugovorne uvjete | Prava raskida, prava na reviziju, pomoć pri tranziciji, podrška pri incidentu, povrat i brisanje podataka | Podržava li ugovor stvarno izlazni plan? |
| A.5.21 Upravljanje informacijskom sigurnošću u IKT opskrbnom lancu | Proširuje provjeru na podizvođače i nizvodne ovisnosti | Vidljivost podizvođača, rizik lanca, procjena koncentracije | Razumije li društvo skrivene ovisnosti? |
| A.5.22 Praćenje, pregled i upravljanje promjenama usluga dobavljača | Održava rizik dobavljača ažurnim tijekom promjena usluge | Zapisi pregleda, procjene promjena usluge, praćenje korektivnih radnji | Je li nadzor nad dobavljačima kontinuiran? |
| A.5.23 Informacijska sigurnost za korištenje usluga u oblaku | Kontrolira uvođenje, uporabu, upravljanje, prenosivost i izlazak iz usluga u oblaku | Izvoz podataka, brisanje, podrška migraciji, dokazi o vezanosti uz dobavljača | Može li društvo dohvatiti i sigurno ukloniti podatke? |
| A.5.30 IKT spremnost za neprekidnost poslovanja | Testira mogu li se kritične IKT usluge obnoviti ili zamijeniti unutar poslovnih tolerancija | Planovi neprekidnosti, ciljevi oporavka, rezervni aranžmani, testirana zaobilazna rješenja | Je li izlazak tehnički izvediv tijekom poremećaja? |
| A.8.13 Sigurnosno kopiranje informacija | Osigurava podatke koji se mogu oporaviti u scenarijima izlaska ili otkaza | Rasporedi sigurnosnog kopiranja, rezultati testova vraćanja, provjere cjelovitosti | Mogu li se podaci vratiti unutar RTO i RPO? |
Za DORA izlaznu strategiju za pružatelje IKT usluga treće strane revizijski trag treba pokazati sljedeće:
- Dobavljač je klasificiran i povezan s poslovnim procesima.
- Usluga je procijenjena u pogledu podrške kritičnoj ili važnoj funkciji.
- Rizik izlaska evidentiran je uz odgovornog vlasnika rizika.
- Ugovorne odredbe podržavaju tranziciju, pristup, reviziju, povrat podataka, brisanje podataka, suradnju i neprekidnost.
- Prenosivost i interoperabilnost u oblaku provjerene su.
- Sigurnosne kopije i testovi vraćanja dokazuju mogućnost oporavka.
- Dokumentirana je privremena zamjena ili alternativna obrada.
- Rezultati testiranja izlaska pregledani su, nedostaci su otklonjeni i izviješteni upravi.
Ugovorni jezik prva je kontrola neprekidnosti
Ugovor treba biti prva kontrola neprekidnosti, a ne prepreka neprekidnosti. Ako pružatelj može brzo raskinuti ugovor, odgoditi izvoze, ograničiti pristup zapisima dnevnika, naplatiti nedefinirane naknade za tranziciju ili odbiti podršku migraciji, izlazna strategija je krhka.
U Zenith Blueprint, fazi Controls in Action, koraku 23, kontroli 5.20, objašnjeno je da ugovori s dobavljačima trebaju sadržavati praktične sigurnosne zahtjeve koji omogućuju izlazak:
Ključna područja koja se obično uređuju ugovorima s dobavljačima uključuju:
✓ Obveze povjerljivosti, uključujući opseg, trajanje i ograničenja otkrivanja trećim stranama;
✓ Odgovornosti za kontrolu pristupa, primjerice tko može pristupiti vašim podacima, kako se upravlja vjerodajnicama i koje je praćenje uspostavljeno;
✓ Tehničke i organizacijske mjere za zaštitu podataka, šifriranje, siguran prijenos, sigurnosno kopiranje i obveze dostupnosti;
✓ Rokove i protokole za prijavljivanje incidenata, često s definiranim vremenskim okvirima;
✓ Pravo na reviziju, uključujući učestalost, opseg i pristup relevantnim dokazima;
✓ Kontrole podizvođača, kojima se od dobavljača zahtijeva da ekvivalentne sigurnosne obveze prenese na svoje nizvodne partnere;
✓ Odredbe po isteku ugovora, kao što su povrat ili uništenje podataka, povrat imovine i deaktivacija računa.
Taj popis povezuje ugovorna očekivanja iz DORA Article 30 i kontrolu A.5.20 iz Priloga A norme ISO/IEC 27001:2022.
Clarysecov jezik politika za organizacije istu poruku pretvara u operativni zahtjev. U Politici upravljanja rizikom ovisnosti o dobavljačima Politika upravljanja rizikom ovisnosti o dobavljačima, odjeljku „Zahtjevi za implementaciju”, točka 6.4.3 navodi:
Tehnička rezervna rješenja: osigurati prenosivost i interoperabilnost podataka radi podrške tranziciji usluge ako je potrebna (npr. redovite sigurnosne kopije u standardnim formatima od SaaS pružatelja radi omogućavanja migracije).
Ista politika, točka 6.8.2, zahtijeva:
Pravo na pomoć pri tranziciji (odredba o pomoći pri izlasku) kada je potrebna promjena pružatelja, uključujući nastavak pružanja usluge tijekom definiranog prijelaznog razdoblja.
Ta odredba često odlučuje hoće li izlazna strategija preživjeti reviziju. Ona izlazak pretvara iz događaja na rubu ponora u upravljanu tranziciju.
Za manje subjekte, Politika sigurnosti trećih strana i dobavljača - SME Politika sigurnosti trećih strana i dobavljača - SME, odjeljak „Zahtjevi upravljanja”, točka 5.3.6, zahtijeva:
Uvjete raskida, uključujući siguran povrat ili uništenje podataka
Za organizacijska okruženja, Politika sigurnosti trećih strana i dobavljača Politika sigurnosti trećih strana i dobavljača, odjeljak „Zahtjevi za implementaciju politike”, točka 6.5.1.2 zahtijeva:
Povrat ili certificirano uništenje svih informacija u vlasništvu organizacije
Ti zahtjevi politika trebaju biti izravno sljedivi do ugovornih odredbi, postupaka dobavljača, operativnih uputa za izlazak i revizijskih dokaza.
Izlazak iz oblaka: testirajte prenosivost prije nego što vam zatreba
Usluge u oblaku mjesto su na kojem DORA izlazne strategije često postaju neodređene. Društvo pretpostavlja da može izvesti podatke, ali nitko nije testirao format. Pretpostavlja da će brisanje biti provedeno, ali model zadržavanja pružatelja uključuje sigurnosne kopije i repliciranu pohranu. Pretpostavlja da alternativni pružatelj može zaprimiti podatke, ali sheme, integracije identiteta, ključevi za šifriranje, tajne vrijednosti, zapisi dnevnika, sučelja za programiranje aplikacija i ograničenja brzine zahtjeva usporavaju migraciju izvan dopuštene tolerancije utjecaja.
Kontrola A.5.23 iz Priloga A norme ISO/IEC 27001:2022 rješava taj problem životnog ciklusa zahtijevajući kontrole informacijske sigurnosti za nabavu, uporabu, upravljanje i izlazak iz usluga u oblaku.
Clarysecova Politika korištenja usluga u oblaku - SME Politika korištenja usluga u oblaku - SME, odjeljak „Zahtjevi za implementaciju politike”, točka 6.3.4 zahtijeva:
Potvrđena mogućnost izvoza podataka prije uvođenja (npr. radi izbjegavanja vezanosti uz dobavljača)
Točka 6.3.5 zahtijeva:
Potvrdu postupaka sigurnog brisanja prije zatvaranja računa
Ti zahtjevi pripadaju početku životnog ciklusa dobavljača. Nemojte čekati raskid da biste pitali mogu li se podaci izvesti. Nemojte čekati zatvaranje računa da biste pitali postoje li dokazi o brisanju.
Praktični DORA test izlaska iz oblaka treba uključivati:
- Izvoz reprezentativnog skupa podataka u dogovorenom formatu.
- Provjeru potpunosti, cjelovitosti, vremenskih oznaka, metapodataka i kontrola pristupa.
- Uvoz skupa podataka u pripremno okruženje ili alternativni alat.
- Potvrdu postupanja s ključevima za šifriranje i rotacije tajnih vrijednosti.
- Potvrdu izvoza zapisa dnevnika i zadržavanja revizijskog traga.
- Dokumentiranje postupaka brisanja pružatelja, uključujući zadržavanje sigurnosnih kopija i certifikaciju brisanja.
- Evidentiranje problema, korektivnih radnji, vlasnika i rokova.
- Ažuriranje procjene rizika dobavljača, Izjave o primjenjivosti i plana izlaska.
Prenosivost nije obećanje iz nabave. To je testirana sposobnost.
Jednotjedni sprint za DORA izlazni plan spreman za reviziju
Razmotrite platnu instituciju koja koristi SaaS pružatelja analitike prijevara. Pružatelj ingestira transakcijske podatke, identifikatore klijenata, telemetrijske podatke uređaja, bihevioralne signale, pravila za prijevare, izlazne rezultate bodovanja i bilješke predmeta. Usluga podržava kritični proces otkrivanja prijevara. Društvo također koristi skladište podataka u oblaku za pohranu izvezenih rezultata analitike.
CISO želi DORA izlaznu strategiju za pružatelje IKT usluga treće strane koja može izdržati internu reviziju i nadzorni pregled. Jednotjedni sprint može otkriti praznine i izgraditi lanac dokaza.
Dan 1: klasificirajte dobavljača i definirajte scenarij izlaska
Koristeći Zenith Blueprint, fazu Controls in Action, korak 23, stavke aktivnosti za kontrole 5.19 do 5.37, tim započinje pregledom i klasifikacijom portfelja dobavljača:
Sastavite potpuni popis trenutačnih dobavljača i pružatelja usluga (5.19) te ih klasificirajte prema pristupu sustavima, podacima ili operativnoj kontroli. Za svakog klasificiranog dobavljača provjerite da su sigurnosna očekivanja jasno ugrađena u ugovore (5.20), uključujući povjerljivost, pristup, prijavljivanje incidenata i obveze usklađenosti.
Dobavljač se klasificira kao kritičan jer podržava kritičnu ili važnu funkciju, obrađuje osjetljive operativne podatke i utječe na ishode praćenja transakcija.
Tim definira tri okidača za izlazak:
- Insolventnost pružatelja ili prestanak pružanja usluge.
- Značajna sigurnosna povreda ili gubitak povjerenja.
- Strateška migracija radi smanjenja rizika koncentracije.
Dan 2: izradite inventar zahtjeva i zapis rizika
Tim izrađuje jedan inventar zahtjeva koji obuhvaća DORA IKT rizik trećih strana, kontrole ISO/IEC 27001:2022 za dobavljače i oblak, GDPR obveze za osobne podatke, ugovorne obveze prema klijentima i interni apetit za rizik.
Prema GDPR, društvo potvrđuje odnose li se identifikatori transakcija, ID-jevi uređaja, lokacijski signali i bihevioralna analitika na identificirane osobe ili osobe koje se mogu identificirati. Načela iz GDPR Article 5, uključujući cjelovitost, povjerljivost, ograničenje pohrane i odgovornost, postaju dio zahtjeva za dokaze o izlasku. Ako izlazak uključuje prijenos novom pružatelju, moraju se dokumentirati pravna osnova, svrha, minimizacija, zadržavanje, uvjeti izvršitelja obrade i zaštitne mjere.
Zapis rizika uključuje sljedeće:
| Element rizika | Primjer unosa |
|---|---|
| Izjava o riziku | Nemogućnost izlaska iz odnosa s pružateljem analitike prijevara unutar tolerancije utjecaja |
| Posljedica | Odgođeno otkrivanje prijevara, financijski gubitak, regulatorna povreda, šteta za klijente |
| Vjerojatnost | Srednja, na temelju koncentracije pružatelja i vlasničkih formata |
| Vlasnik rizika | Voditelj tehnologije za sprječavanje financijskog kriminala |
| Obrada | Izmjena ugovora, test izvoza, procjena alternativnog pružatelja, provjera sigurnosnih kopija, test operativnih uputa |
| Odobrenje preostalog rizika | Odobrenje CRO-a nakon dokaza testiranja i pregleda korektivnih radnji |
Dan 3: uklonite ugovorne praznine
Pravna služba i nabava uspoređuju ugovor s Clarysecovim odredbama za dobavljače. Dodaju pomoć pri tranziciji, nastavak usluge tijekom definiranog prijelaznog razdoblja, pristup reviziji i dokazima, obavješćivanje o podizvođačima, format izvoza podataka, certifikaciju sigurnog brisanja, suradnju pri incidentima i obveze u pogledu vremena oporavka.
Politika neprekidnosti poslovanja i oporavka od katastrofe Politika neprekidnosti poslovanja i oporavka od katastrofe, odjeljak „Zahtjevi za implementaciju politike”, točka 6.5.1 navodi:
Ugovori s kritičnim dobavljačima moraju uključivati obveze neprekidnosti i obveze u pogledu vremena oporavka.
Za SME, Politika neprekidnosti poslovanja i oporavka od katastrofe - SME Politika neprekidnosti poslovanja i oporavka od katastrofe - SME, odjeljak „Obrada rizika i iznimke”, točka 7.2.1.4 zahtijeva od timova da:
dokumentiraju privremene planove zamjene dobavljača ili partnera
Ta odredba pretvara „migrirat ćemo” u provedivo rezervno rješenje: koji pružatelj, koje interno zaobilazno rješenje, koji ručni proces, koji izvadak podataka, koji vlasnik i koji put odobrenja.
Dan 4: testirajte prenosivost podataka i mogućnost oporavka iz sigurnosnih kopija
Tehnološki tim izvozi pravila za prijevare, podatke predmeta, izlazne rezultate bodovanja transakcija, zapise dnevnika, konfiguraciju, dokumentaciju sučelja za programiranje aplikacija i popise korisničkog pristupa. Testiraju mogu li se podaci vratiti ili ponovno upotrijebiti u kontroliranom okruženju.
Politika sigurnosnog kopiranja i vraćanja podataka - SME Politika sigurnosnog kopiranja i vraćanja podataka - SME, odjeljak „Zahtjevi upravljanja”, točka 5.3.3 zahtijeva:
Testovi vraćanja provode se najmanje tromjesečno, a rezultati se dokumentiraju radi provjere mogućnosti oporavka
Organizacijska Politika sigurnosnog kopiranja i vraćanja podataka Politika sigurnosnog kopiranja i vraćanja podataka, odjeljak „Provedba i usklađenost”, točka 8.3.1 dodaje:
Periodično revidirati zapise dnevnika sigurnosnog kopiranja, konfiguracijske postavke i rezultate testiranja
U Zenith Blueprint, fazi Controls in Action, koraku 19, kontroli 8.13, Clarysec upozorava zašto je to važno:
Testiranje vraćanja mjesto je na kojem većina organizacija podbaci. Sigurnosna kopija koja se ne može vratiti na vrijeme ili se uopće ne može vratiti predstavlja obvezu, a ne imovinu. Planirajte redovite vježbe vraćanja, makar djelomične, i dokumentirajte ishod.
Tim otkriva da izvezene bilješke predmeta ne uključuju privitke te da ograničenja brzine zahtjeva sučelja za programiranje aplikacija čine potpuni izvoz presporim za definirani cilj oporavka. Problem se evidentira, dodjeljuje i otklanja putem dodatka ugovoru i tehničkog redizajna izvoza.
Dan 5: provedite stolnu vježbu izlaska i pregled dokaza
Tim provodi stolnu vježbu: dobavljač najavljuje raskid za 90 dana nakon većeg incidenta. Operacije moraju nastaviti praćenje prijevara dok se podaci migriraju.
U Zenith Blueprint, fazi Controls in Action, koraku 23, kontroli 5.30, Clarysec objašnjava standard testiranja:
IKT spremnost počinje znatno prije nastanka poremećaja. Uključuje identifikaciju kritičnih sustava, razumijevanje njihovih međuovisnosti i mapiranje na poslovne procese.
Isti odjeljak dodaje:
Ciljevi vremena oporavka (RTO) i ciljevi točke oporavka (RPO) definirani u planu neprekidnosti poslovanja moraju se odražavati u tehničkim konfiguracijama, ugovorima i dizajnu infrastrukture.
Paket dokaza uključuje klasifikaciju dobavljača, procjenu rizika, ugovorne odredbe, operativne upute za izlazak, rezultate izvoza podataka, dokaze o vraćanju iz sigurnosne kopije, postupak brisanja, procjenu alternativnog pružatelja, zapisnik stolne vježbe, zapisnik korektivnih radnji, odobrenje uprave i odluku o preostalom riziku.
CISO sada može odgovoriti odboru dokazima, a ne optimizmom.
Višestruka usklađenost: jedan izlazni plan, više revizijskih perspektiva
Snažna DORA izlazna strategija smanjuje duplicirani rad na usklađenosti u odnosu na očekivanja upravljanja prema ISO/IEC 27001:2022, NIS2, GDPR, NIST i COBIT 2019.
| Okvir ili regulativa | Što traži u smislu planiranja izlaska | Dokazi koje Clarysec preporučuje |
|---|---|---|
| DORA | Održavanje izlaznih strategija za kritične ili važne IKT usluge, upravljanje rizikom trećih strana, testiranje otpornosti, dokumentiranje ugovora i ovisnosti | Registar dobavljača, klasifikacija kritičnosti, ugovorne odredbe, test izlaska, plan tranzicije, prava na reviziju, procjena rizika koncentracije |
| NIS2 | Za relevantne subjekte, upravljanje sigurnošću opskrbnog lanca, neprekidnošću poslovanja, sigurnosnim kopiranjem, oporavkom od katastrofe, kriznim upravljanjem, postupanjem s incidentima i upravljačkom odgovornošću | Procjena rizika dobavljača, plan neprekidnosti, operativne upute za incidente, odobrenje uprave, korektivne radnje |
| GDPR | Zaštita osobnih podataka tijekom prijenosa, povrata, brisanja, migracije i zadržavanja uz odgovornost te odgovarajuće tehničke i organizacijske mjere | Mapa podataka, uvjeti izvršitelja obrade, dokazi izvoza, potvrda o brisanju, pravila zadržavanja, usklađenost postupanja s povredama |
| ISO/IEC 27001:2022 | Provođenje kontrola dobavljača, oblaka, neprekidnosti, incidenata, revizije, praćenja i poboljšanja unutar ISMS-a | Izjava o primjenjivosti, plan obrade rizika, zapis interne revizije, preispitivanje od strane uprave, dokumentirani postupci |
| NIST Cybersecurity Framework 2.0 | Upravljanje vanjskim ovisnostima, identifikacija dobavljača, zaštita usluga, odgovor na poremećaje i oporavak operacija | Inventar ovisnosti, zapisi rizika dobavljača, zaštitne kontrole, postupak odgovora, test oporavka, naučene lekcije |
| COBIT 2019 | Dokazivanje upravljanja nabavom usluga, učinkom dobavljača, rizikom, neprekidnošću usluge, osiguranjem i usklađenošću | Odluke upravljanja, vlasništvo, KPI-jevi, nadzor nad dobavljačima, dokazi neprekidnosti, izvješća o osiguranju |
Važno nije to da jedan okvir zamjenjuje drugi. Vrijednost je u tome što dobro izgrađen ISMS omogućuje organizaciji da jednom proizvede dokaze i pametno ih ponovno upotrijebi.
Clarysecov Zenith Controls pomaže timovima pripremiti se za te revizijske perspektive povezivanjem kontrola ISO/IEC 27001:2022 s revizijskim dokazima i očekivanjima među okvirima.
| Revizijska perspektiva | Vjerojatno revizijsko pitanje | Dokazi koji obično zadovoljavaju pitanje |
|---|---|---|
| Revizor ISO/IEC 27001:2022 | Je li izlazak od dobavljača i iz oblaka kontroliran unutar ISMS-a, procjene rizika, SoA i programa interne revizije? | Opseg ISMS-a, procjena rizika, SoA, postupak za dobavljače, postupak izlaska iz oblaka, rezultati interne revizije, radnje preispitivanja od strane uprave |
| DORA nadzorno tijelo ili interna DORA revizija | Možete li izaći iz odnosa s kritičnim pružateljem IKT usluga bez neprihvatljivog prekida, gubitka podataka ili regulatorne povrede? | Procjena kritičnosti, DORA registar dobavljača, izlazna strategija, ugovorne odredbe, test tranzicije, procjena koncentracije, zapisnik korektivnih radnji |
| Procjenitelj orijentiran na NIST | Jeste li upravljali vanjskim ovisnostima i identificirali ih, zaštitili kritične usluge te testirali sposobnosti odgovora i oporavka? | Inventar ovisnosti, kontrole pristupa, praćenje, eskalacija incidenata, test oporavka, naučene lekcije |
| COBIT 2019 ili ISACA revizor | Je li izlazak od dobavljača upravljan, dodijeljeno mu je vlasništvo, mjeri se i osigurava kroz ciljeve upravljanja kao što su APO10 Managed Vendors i DSS04 Managed Continuity? | RACI, odobrenje uprave, KPI-jevi, pregled učinka dobavljača, dokazi osiguranja, praćenje problema |
| Revizor privatnosti | Mogu li se osobni podaci vratiti, migrirati, ograničiti, izbrisati ili sigurno zadržati u skladu s GDPR obvezama? | Registar obrade podataka, odredbe za izvršitelja obrade, dokazi izvoza, potvrda o brisanju, obrazloženje zadržavanja, radni tok za povrede |
Čest revizijski neuspjeh jest fragmentacija dokaza. Vlasnik dobavljača ima ugovor. IT ima zapise dnevnika sigurnosnog kopiranja. Pravna služba ima ugovor o obradi podataka. Rizici imaju procjenu. Usklađenost ima regulatorno mapiranje. Nitko nema cjelovitu priču.
Clarysec to rješava oblikovanjem paketa dokaza oko scenarija izlaska. Svaki dokument odgovara na jedno revizijsko pitanje: iz koje se usluge izlazi, zašto je kritična, koji su podaci i sustavi zahvaćeni, tko je vlasnik rizika, koja ugovorna prava omogućuju izlazak, koji tehnički mehanizmi omogućuju migraciju, koji aranžmani neprekidnosti održavaju poslovanje, koji test dokazuje da plan funkcionira, koji su problemi otklonjeni i tko je odobrio preostali rizik.
Clarysecov kontrolni popis za DORA izlaznu strategiju
Upotrijebite ovaj kontrolni popis kako biste DORA izlaznu strategiju za pružatelje IKT usluga treće strane pretvorili iz dokumenta u skup kontrola koji se može revidirati.
| Kontrolno područje | Minimalno očekivanje | Dokazi koje treba zadržati |
|---|---|---|
| Klasifikacija dobavljača | Utvrditi podržava li dobavljač kritične ili važne funkcije | Registar dobavljača, odluka o kritičnosti, mapa ovisnosti |
| Ugovorna provedivost | Uključiti pomoć pri tranziciji, izvoz podataka, brisanje, reviziju, suradnju pri incidentima i obveze neprekidnosti | Ugovorne odredbe, dodaci, pravni pregled |
| Prenosivost u oblaku | Potvrditi mogućnost izvoza prije uvođenja i periodično tijekom rada | Rezultati testova izvoza, dokumentacija formata podataka, bilješke o migraciji |
| Zaštita podataka | Urediti povrat, brisanje, zadržavanje, prijenos osobnih podataka i obveze izvršitelja obrade | Mapa podataka, DPA, certifikacija brisanja, odluka o zadržavanju |
| Sigurnosno kopiranje i vraćanje | Testirati mogućnost oporavka prema RTO i RPO | Zapisi dnevnika vraćanja, izvješće o testu, zapis korektivnih radnji |
| Planiranje zamjene | Definirati alternativnog pružatelja, ručno zaobilazno rješenje ili interni proces | Plan zamjene, zapisnik stolne vježbe, popis vlasnika |
| Upravljanje | Dodijeliti vlasnika rizika i pribaviti odobrenje uprave | Zapis rizika, prihvaćanje preostalog rizika, zapisnik preispitivanja od strane uprave |
| Spremnost za reviziju | Povezati politike, kontrole, ugovore, testove i korektivne radnje | Kazalo paketa dokaza, izvješće interne revizije, alat za praćenje problema |
Pretvorite planiranje izlaska u kontrolu otpornosti spremnu za upravni odbor
Ako je vaša DORA izlazna strategija samo ugovorna odredba, nije spremna. Ako sigurnosna kopija nikada nije vraćena, nije spremna. Ako vaš pružatelj usluga u oblaku može izvesti podatke, ali nitko nije provjerio potpunost, nije spremna. Ako vaš odbor ne može vidjeti odluku o preostalom riziku, nije spremna.
Clarysec pomaže CISO-ima, rukovoditeljima usklađenosti, revizorima i vlasnicima poslovanja izgraditi DORA izlazne strategije za pružatelje IKT usluga treće strane koje su praktične, proporcionalne i spremne za reviziju. Kombiniramo Zenith Blueprint Zenith Blueprint za redoslijed implementacije, Zenith Controls Zenith Controls za mapiranje višestruke usklađenosti i predloške politika kao što su Politika upravljanja rizikom ovisnosti o dobavljačima Politika upravljanja rizikom ovisnosti o dobavljačima, Politika korištenja usluga u oblaku - SME Politika korištenja usluga u oblaku - SME, Politika sigurnosti trećih strana i dobavljača - SME Politika sigurnosti trećih strana i dobavljača - SME i Politika neprekidnosti poslovanja i oporavka od katastrofe Politika neprekidnosti poslovanja i oporavka od katastrofe kako bismo stvorili cjelovit lanac od kontrole do dokaza.
Vaš sljedeći korak jednostavan je i visoke vrijednosti: odaberite jednog kritičnog IKT dobavljača ovaj tjedan. Klasificirajte ga, pregledajte njegov ugovor, testirajte jedan izvoz podataka, provjerite jedno vraćanje, dokumentirajte jedan plan zamjene i izradite jedan paket dokaza.
Ta će jedna vježba pokazati je li vaša DORA izlazna strategija stvarna sposobnost otpornosti ili samo dokument koji čeka da padne na reviziji.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
