Atsparios ir auditui parengtos tiekėjų rizikos valdymo programos kūrimas: ISO/IEC 27001:2022 ir atitikties kelioms sistemoms veiksmų planas
Viskas prasideda nuo krizės: diena, kai tiekėjų rizika tampa valdybos lygmens ekstremaliąja situacija
Maria, sparčiai augančios finansinių technologijų įmonės vyriausioji informacijos saugumo vadovė (CISO), žiūri į skubų pranešimą iš savo debesijos analitikos paslaugų teikėjo DataLeap. Aptikta neteisėta prieiga prie klientų metaduomenų. Kitame ekrane mirksi kalendoriaus kvietimas – jos DORA pasirengimo auditas vyks jau po kelių dienų.
Ji skubiai aiškinasi: ar DataLeap sutartis pakankamai griežta? Ar paskutinis saugumo vertinimas apėmė pranešimų apie pažeidimus terminus? Atsakymai paslėpti pasenusiose skaičiuoklėse ir išskaidytose pašto dėžutėse. Per kelias minutes valdyba pareikalauja konkrečių patikinimų:
Kokie duomenys buvo atskleisti?
Ar DataLeap įvykdė saugumo įsipareigojimus?
Ar mūsų komanda gali dabar pat pagrįsti atitiktį priežiūros institucijai, auditoriams ir klientams?
Maria dilema yra įprasta. Tiekėjų rizika, anksčiau buvusi tik pirkimų kontrolinio sąrašo punktas, dabar yra viena svarbiausių verslo, reguliacinės ir operacinės rizikos sričių. Kadangi ISO/IEC 27001:2022, DORA, NIS2, GDPR, NIST ir COBIT vis labiau konverguoja trečiųjų šalių valdysenos srityje, tiekėjų rizikos programos turi būti proaktyvios, pagrįstos įrodymais ir auditui parengtos pagal visas sistemas.
Nors auditų nesėkmių rodikliai išlieka aukšti, kelias į atsparumą yra aiškus: jis prasideda nuo chaoso pavertimo įrodymais grindžiama veikla. Šiame vadove aptariamas patikrintas gyvavimo ciklo metodas, tiesiogiai susietas su Clarysec Zenith Controls ir atitiktimi kelioms sistemoms grindžiamais priemonių rinkiniais, kad jūsų organizacija galėtų praktiškai įgyvendinti tiekėjų rizikos valdymą, sėkmingai praeiti kiekvieną auditą ir kurti ilgalaikį pasitikėjimą.
Kodėl tiekėjų rizikos programos žlunga audituose – ir kaip tai ištaisyti
Daugelis organizacijų vis dar mano, kad tiekėjų rizikos valdymas reiškia tiekėjų sąrašą ir pasirašytas konfidencialumo sutartis. Šiuolaikiniai saugumo standartai reikalauja gerokai daugiau:
- Rizika grindžiamo tiekėjų santykių identifikavimo, klasifikavimo ir valdymo
- Aiškiai apibrėžtų sutartinių reikalavimų, kurių laikymasis nuolat stebimas
- Tiekėjų integravimo į reagavimą į incidentus, veiklos tęstinumą ir stebėseną
- Įrodymų, o ne vien dokumentų, kiekvienai kontrolės priemonei pagal kelis standartus
Maria ir daugeliui informacijos saugumo vadovų (CISO) tikroji nesėkmės priežastis nėra politika – tai nuolatinio gyvavimo ciklo valdymo stoka. Kiekvienas praleistas saugumo vertinimas, pasenusi sutartinė nuostata ar akloji zona tiekėjų stebėsenoje gali tapti audito spraga ir verslo atsakomybės rizika.
Pirmiausia pagrindas: tiekėjų rizikos gyvavimo ciklo sukūrimas
Atspariausios tiekėjų rizikos programos nesiremia statiniais kontroliniais sąrašais – jos veikia kaip gyvi procesai:
- Aiškiai apibrėžta valdysena ir atsakomybė: vidinis tiekėjų rizikos savininkas (dažnai saugumo arba pirkimų funkcijoje) atsako už gyvavimo ciklą nuo įtraukimo iki sutartinių santykių nutraukimo.
- Aiški politikos atrama: tokios politikos kaip Clarysec Trečiųjų šalių ir tiekėjų saugumo politika nėra vien reguliacinė priedanga – jos suteikia įgaliojimus programų savininkams, nustato tikslus ir įtvirtina rizika grindžiamą tiekėjų valdymą.
Organizacija turi identifikuoti, dokumentuoti ir įvertinti rizikas, susijusias su kiekvienu tiekėjo santykiu, prieš tiekėjo pasitelkimą ir reguliariais intervalais vėliau.
– Trečiųjų šalių ir tiekėjų saugumo politika, 3.1 skyrius, Rizikos vertinimas
Prieš pereidami prie kontrolės priemonių, sutarčių ar vertinimų, savo metodą turite įtvirtinti politikoje ir atskaitomybėje.
ISO/IEC 27001:2022 kontrolės priemonių išskaidymas – tiekėjų saugumo sistema
Tiekėjų saugumas nėra vienkartinis veiksmas. Pagal ISO/IEC 27001:2022 ir Clarysec Zenith Controls išskaidymą, į tiekėjus orientuotos kontrolės priemonės veikia kartu kaip tarpusavyje susieta sistema:
Kontrolės priemonė 5.19: Informacijos saugumas tiekėjų santykiuose
- Iš anksto nustatykite reikalavimus pagal teikiamų duomenų ar sistemų jautrumą ir kritiškumą.
- Formalizuokite rizikos vertinimus įtraukimo metu, o vėliau pakartotinai vertinkite reaguojant į incidentus ar reikšmingus pokyčius.
Kontrolės priemonė 5.20: Saugumo reikalavimai tiekėjų sutartyse
- Į sutartis įtraukite įgyvendinamus saugumo reikalavimus: pranešimų apie pažeidimus terminus, audito teises, pareigas dėl suderinimo su reguliaciniais reikalavimais ir sutartinių santykių nutraukimo procedūras.
- Politikos reikalavimo pavyzdys:
Tiekėjų sutartyse turi būti nurodyti saugumo reikalavimai, prieigos kontrolės priemonės, stebėsenos įpareigojimai ir pasekmės už neatitiktį.
– Trečiųjų šalių ir tiekėjų saugumo politika, 4.2 skyrius, Sutartinės kontrolės priemonės
Kontrolės priemonė 5.21: Informacijos saugumo valdymas IRT tiekimo grandinėje
- Vertinkite ne tik tiesioginius tiekėjus: įtraukite jų kritines priklausomybes (ketvirtąsias šalis).
- Audituokite paties tiekėjo tiekimo grandinę, ypač kai to reikalauja DORA ir NIS2.
Kontrolės priemonė 5.22: Nuolatinė stebėsena, peržiūra ir pakeitimų valdymas
- Reguliarūs peržiūros susitikimai, nuolatinės stebėsenos priemonės, tiekėjų audito ataskaitų analizė.
- Formalus incidentų, SLA laikymosi ir pranešimų apie pakeitimus sekimas.
Kontrolės priemonė 5.23: Debesijos paslaugų saugumas
- Aiškus bendrų vaidmenų ir atsakomybių atskyrimas visoms debesijos paslaugoms.
- Užtikrinkite, kad jūsų komanda, tiekėjas (pvz., DataLeap) ir IaaS teikėjai būtų suderinti dėl fizinio saugumo, duomenų šifravimo, prieigos kontrolės priemonių ir incidentų valdymo.
Atitikties kelioms sistemoms susiejimas – kaip kiekviena kontrolės priemonė susijusi su DORA, NIS2, GDPR, NIST ir COBIT 2019
Toliau pateiktuose skyriuose žr. lenteles su susiejimu nuostatų lygmeniu ir audito lūkesčiais.
Nuo politikos iki auditui parengtų įrodymų – kas iš tikrųjų atlaiko patikrą
Remiantis Clarysec patirtimi atliekant auditą pagal kelias sistemas, organizacijos tiekėjų audituose žlunga dėl vienos pagrindinės priežasties: negalėjimo pateikti tinkamų įrodymų. Auditoriai prašo ne tik politikų, bet ir veiklos įrodymų:
- Kur registruojami ir peržiūrimi tiekėjų rizikos reitingai?
- Kaip stebimas nuolatinis tiekėjų veiksmingumas ir kaip valdomos išimtys?
- Kokie duomenys pagrindžia sutarčių laikymąsi ir pranešimą apie pažeidimą?
- Kaip tiekėjo sutartinių santykių nutraukimas apsaugo verslo turtą ir informaciją?
Clarysec Zenith Controls vadovas tai pripažįsta, kiekvienam etapui ir standartui apibrėždamas privalomas įrodymų linijas, dokumentus ir žurnalus.
Tiekėjų rizikos programa kiekviename etape turi pateikti patikrinamus įrašus: rizikos vertinimą, deramą patikrinimą, sutartinių nuostatų įtraukimą, stebėseną ir peržiūrą. Tarpfunkciniai žurnalai, su tiekėjais susiję incidentai ir net tiekėjo pasitraukimo procedūros yra būtinos įrodymų linijos.
– Zenith Controls: Audito metodika
Žingsnis po žingsnio: kaip sukurti auditui atsparią programą
Clarysec 30 žingsnių Zenith Blueprint seka
Pritaikytas realiam veiksmingumui, toliau pateikiamas praktinis tiekėjų rizikos valdymo brandos gyvavimo ciklo veiksmų planas:
1 etapas: sukūrimas ir politikos pagrindas
- Valdysena: paskirkite tiekėjų rizikos savininką su dokumentuotais vaidmenimis ir atskaitomybe.
- Politika: įdiekite Trečiųjų šalių ir tiekėjų saugumo politiką kaip pagrindą. Atnaujinkite politikas, įtraukdami gaires dėl įtraukimo, rizikos vertinimų, stebėsenos ir sutartinių santykių nutraukimo.
2 etapas: rizikos vertinimas ir tiekėjų kategorizavimas
- Turto apskaita: sudarykite tiekėjų, turinčių prieigą prie kritinio turto, finansinių duomenų ir asmens duomenų, sąrašą. Atvaizduokite srautus ir privilegijas pagal GDPR ir ISO reikalavimus.
- Rizikos priskyrimas lygiams: naudokite Clarysec lygių priskyrimo matricas tiekėjams klasifikuoti (kritiniai, didelės rizikos, vidutinės rizikos, mažos rizikos).
3 etapas: sutarčių sudarymas ir kontrolės priemonių apibrėžimas
- Nuostatų įtraukimas: į sutartis įtvirtinkite saugumo reikalavimus: pranešimų apie pažeidimus SLA, audito teises, atitiktį reguliaciniams reikalavimams. Naudokite šablonus iš Clarysec politikų priemonių rinkinio.
- Reagavimo į incidentus integracija: įtraukite tiekėjus į planuojamą reagavimą į incidentus ir pratybas.
4 etapas: praktinis įgyvendinimas ir nuolatinė stebėsena
- Nuolatinės peržiūros: stebėkite tiekėjų veiklą, reguliariai atlikite sutarčių ir kontrolės priemonių peržiūras ir registruokite visas išvadas.
- Automatizuotas sutartinių santykių nutraukimas: nutraukdami sutartis su tiekėjais, naudokite darbo eigos scenarijus, užtikrinkite prieigos teisių atšaukimą, duomenų sunaikinimą ir saugaus perdavimo įrodymus.
5 etapas: auditui parengta dokumentacija ir įrodymų pėdsakas
- Įrodymų susiejimas: archyvuokite vertinimus, sutarčių peržiūras, stebėsenos žurnalus ir sutartinių santykių nutraukimo kontrolinius sąrašus, susiedami juos su ISO/IEC 27001:2022, NIS2, DORA, GDPR, NIST ir COBIT kontrolės priemonėmis.
Vadovaudamasi šia patikrinta sistema, jūsų komanda sukuria operacinį gyvavimo ciklą – nuo ketinimo iki atnaujinimo ir pasitraukimo – kuris gali atlaikyti griežčiausią audito patikrą.
Praktinis pavyzdys: nuo chaoso iki audito pėdsako
Grįžkime prie Maria pažeidimo scenarijaus. Štai kaip ji atgauna kontrolę naudodama Clarysec priemonių rinkinius:
- Rizikos vertinimo inicijavimas: naudokite Clarysec „Didelės rizikos tiekėjo“ šabloną poveikiui įvertinti, rizikoms dokumentuoti ir taisomųjų veiksmų darbo eigoms paleisti.
- Sutarties peržiūra: suraskite DataLeap sutartį. Pakeiskite ją įtraukdami aiškų pranešimų SLA (pvz., pranešimas apie pažeidimą per 4 valandas), tiesiogiai susietą su kontrolės priemone 5.20 ir DORA Article 28.
- Stebėsena ir dokumentacija: per Clarysec valdymo skydą priskirkite mėnesines tiekėjų žurnalų peržiūras. Įrodymus saugokite auditui parengtoje saugykloje, susietoje su Zenith Controls.
- Sutartinių santykių nutraukimo automatizavimas: suplanuokite sutarties galiojimo pabaigos paleidiklius, užtikrinkite prieigos teisių atšaukimą ir užregistruokite duomenų ištrynimo patvirtinimus – visa tai registruojama būsimiems auditams.
Maria auditoriams pateikia rizikų registrą, dokumentuotus taisomuosius veiksmus, atnaujintas sutartis ir tiekėjų stebėsenos įrašus, krizę paversdama brandžios, prisitaikančios valdysenos įrodymu.
Palaikančių kontrolės priemonių integravimas: tiekėjų rizikos ekosistema
Tiekėjų rizika nėra izoliuota. Clarysec Zenith Controls aiškiai parodo ryšius ir priklausomybes:
| Pirminė kontrolės priemonė | Susijusios kontrolės priemonės | Ryšio aprašymas |
|---|---|---|
| 5.19 Tiekėjų santykiai | 5.23 Stebėsena, 5.15 Prieiga, 5.2 Turto valdymas | Turto valdymas identifikuoja riziką patiriančius duomenų išteklius; stebėsena užtikrina nuolatinę atitiktį; prieigos kontrolės priemonės mažina atakos paviršių |
| 5.20 Sutartys | 5.24 Privatumas / duomenų apsauga, 5.22 Informacijos perdavimas | Užtikrina, kad duomenų apsauga ir saugus perdavimas būtų aiškiai valdomi tiekėjų sutartyse ir duomenų srautuose |
Naudojant toliau pateiktas Clarysec susiejimo lenteles, kiekvienas ryšys susiejamas taip, kad būtų užtikrinta sklandi atitiktis kelioms sistemoms.
Sistemų susiejimo lentelė: tiekėjų rizikos reikalavimai pagrindiniuose reglamentuose
| Standartas / sistema | Nuostata / kontrolės priemonė | Tiekėjų rizikos reikalavimas |
|---|---|---|
| NIS2 | Article 21(2,3,5) | Privalomi tiekėjų rizikos vertinimai, stebėsena ir ataskaitų teikimas esminiams / svarbiems subjektams |
| DORA | Article 28 | Sutartinės nuostatos IRT trečiosioms šalims, auditai, pranešimai apie incidentus |
| GDPR | Article 28, 32 | Duomenų tvarkytojų sutarčių nuostatos, techninės kontrolės priemonės, nuolatinis patikinimas |
| COBIT 2019 | DSS05, DSS06 | Tiekėjų santykių valdymas, sutartiniai įsipareigojimai, veiklos vertinimas |
| NIST CSF | ID.SC: Tiekimo grandinės rizikos valdymas | Formalus tiekimo grandinės rizikų identifikavimo, vertinimo ir valdymo procesas |
| ISO/IEC 27001:2022 | Annex A (5.19-5.23) | Visas tiekėjų saugumo gyvavimo ciklas: įtraukimas, sutartys, stebėsena, sutartinių santykių nutraukimas |
Zenith Controls panaudojimas leidžia pagrįsti persidengiančią atitiktį, mažinant audito dubliavimą ir trintį.
Kaip auditoriai mato jūsų programą – prisitaikymas prie kiekvieno požiūrio
Kiekvienas standartas tiekėjų auditams suteikia savitą akcentą. Clarysec audito metodikos padeda išvengti netikėtų spragų:
- ISO/IEC 27001 auditorius: ieško proceso dokumentacijos, rizikų registrų, posėdžių protokolų ir sutarčių laikymosi įrodymų.
- DORA auditorius: daugiausia dėmesio skiria operaciniam atsparumui, sutartinių nuostatų konkretumui, tiekimo grandinės koncentracijos rizikai ir incidentų atkuriamumui.
- NIST auditorius: akcentuoja rizikos valdymo gyvavimo ciklą, proceso veiksmingumą ir prisitaikymą prie incidentų visų tiekėjų atžvilgiu.
- COBIT 2019 auditorius: vertina valdysenos struktūras, tiekėjų veiklos rodiklius, peržiūros valdymo skydus ir vertės teikimą.
- GDPR auditorius: audituoja sutartis dėl duomenų apsaugos priedų, poveikio duomenų subjektams vertinimų įrašų ir reagavimo į pažeidimus žurnalų.
Auditui atspari tiekėjų rizikos programa turi pateikti ne tik politikos įrodymus, bet ir praktinius, nuolatinius įrašus, apimančius rizikos vertinimus, tiekėjų peržiūras, incidentų integracijas ir sutarčių valdymo artefaktus. Kiekvienas standartas ar sistema pabrėš skirtingus artefaktus, tačiau visi reikalauja gyvos, operacinės sistemos.
– Zenith Controls: Audito metodika
Debesijos paslaugos ir bendra atsakomybė: pareigų susiejimas maksimaliam patikinimui
Debesijos aplinkoje veikiantys tiekėjai (pvz., DataLeap) kelia specifines rizikas. Pagal ISO/IEC 27001 kontrolės priemones 5.21 ir 5.23 bei jų susiejimą Zenith Controls, bendra atsakomybė pasiskirsto taip:
| Atsakomybės sritis | Debesijos paslaugų teikėjas (pvz., AWS) | Tiekėjas (pvz., DataLeap) | Klientas (jūs) |
|---|---|---|---|
| Fizinis saugumas | Duomenų centro saugumas | Netaikoma | Netaikoma |
| Infrastruktūros saugumas | Skaičiavimo išteklių ir tinklo apsaugos priemonės | Taikomosios programos aplinkos konfigūracija | Netaikoma |
| Taikomųjų programų saugumas | Netaikoma | SaaS kūrimas ir kontrolė | Naudotojų prieigos teisės |
| Duomenų saugumas | Suteiktos šifravimo priemonės | Įgyvendintas duomenų šifravimas | Duomenų klasifikavimas, prieigos politikos |
Jūsų vaidmens dokumentavimas ir kontrolės priemonių susiejimas suteikia tvirtą pagrindą DORA ir NIS2 auditams.
Vieno veiksmo pavertimas atitiktimi keliems standartams
Tiekėjų rizikos vertinimo žurnalas, parengtas ISO/IEC 27001:2022 kontrolės priemonei 5.19, per Clarysec susiejimus gali būti pakartotinai naudojamas NIS2, DORA, GDPR ir NIST auditams. Sutarčių atnaujinimai atspindi tiek GDPR Article 28, tiek DORA incidentų reikalavimus. Nuolatinės stebėsenos įrodymai maitina COBIT 2019 rodiklius.
Tai padidina verslo vertę: taupomas laikas, užkertamas kelias spragoms ir užtikrinama, kad neliktų nesekamų kritinių įsipareigojimų.
Dažnos audito klaidos ir kaip jų išvengti
Praktinė patirtis ir Clarysec duomenys rodo, kad nesėkmingi auditai dažniausiai kyla dėl:
- Statinių, pasenusių tiekėjų sąrašų, kuriems netaikoma periodinė peržiūra
- Bendrinių sutarčių be įgyvendinamų saugumo reikalavimų
- Nuolatinės tiekėjų stebėsenos ar privilegijuotosios prieigos žurnalų nebuvimo
- Tiekėjų neįtraukimo į incidentų, veiklos tęstinumo ar atkūrimo pratybas
Clarysec Zenith Blueprint pašalina šias spragas integruotomis politikomis ir automatizavimo scenarijais, užtikrindamas, kad operacinės kontrolės priemonės atitiktų dokumentuotą ketinimą.
Išvada ir tolesni žingsniai: tiekėjų rizikos pavertimas verslo verte
Žinutė aiški: tiekėjų rizika yra dinamiška verslo rizika – centrinė, o ne periferinė. Sėkmė reiškia perėjimą nuo statinio, kontroliniais sąrašais pagrįsto mąstymo prie įrodymais grindžiamo gyvavimo ciklo, įtvirtinto politikoje ir susieto su atitikties sistemomis.
Naudodama Clarysec Zenith Blueprint, Zenith Controls ir patikrintą Trečiųjų šalių ir tiekėjų saugumo politiką, jūsų organizacija įgyja:
- Neatidėliotiną patikimumą keliose sistemose
- Supaprastintą audito atsaką ISO/IEC 27001:2022, NIS2, DORA, GDPR, NIST ir COBIT 2019 atžvilgiu
- Operacinį atsparumą ir nuolatinį rizikos mažinimą
- Automatizuotą, įrodymais pagrįstą visos tiekimo grandinės gyvavimo ciklą
Nelaukite savo DataLeap momento ar kito auditoriaus skambučio. Padarykite tiekėjų programą atsparią auditui, supaprastinkite atitiktį ir paverskite rizikos valdymą iš reaktyvios problemos proaktyviu verslo išskirtinumu.
Pasirengę atsparumui?
Atsisiųskite Zenith Blueprint, peržiūrėkite Zenith Controls ir jau šiandien pritaikykite Clarysec politikų priemonių rinkinį savo komandai.
Norėdami pritaikytos demonstracijos ar rizikos vertinimo, susisiekite su Clarysec atitikties konsultavimo komanda.
Nuorodos
- Clarysec Zenith Controls: atitikties kelioms sistemoms vadovas Zenith Controls
- Zenith Blueprint: auditoriaus 30 žingsnių veiksmų planas Zenith Blueprint
- Trečiųjų šalių ir tiekėjų saugumo politika Trečiųjų šalių ir tiekėjų saugumo politika
- ISO/IEC 27001:2022, ISO/IEC 27002:2022
- NIS2, DORA, GDPR, NIST, COBIT 2019
Dėl individualios pagalbos kuriant ir valdant tiekėjų rizikos programą šiandien susisiekite su Clarysec atitikties konsultavimo komanda.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council