Debesijos regionų valdysena GDPR, NIS2 ir DORA kontekste

Antradienio rytą 08:17 Maria, sparčiai augančios Europos finansinių technologijų įmonės CISO, gauna pranešimą, kurio ilgainiui ima bijoti kiekvienas reglamentuojamas debesijos klientas.

Pirkimų komanda persiunčia trumpą tiekėjo pranešimą:

“Mūsų debesijos analitikos teikėjas dėl našumo priežasčių perkelia ES klientų telemetriją į naują regioną. Jie teigia, kad saugumui poveikio nėra. Ar galime patvirtinti?”

Mariai dar nespėjus atsakyti, gaunamas antras pranešimas iš pagrindinio debesijos paslaugų teikėjo. Po 90 dienų teikėjas „optimizuos savo globalų techninės pagalbos modelį“ ir 2 lygio techninės pagalbos užklausas nukreips per naują subtvarkytoją. Greita peržiūra parodo, kad subtvarkytojo būstinė yra šalyje, kuriai netaikomas GDPR tinkamumo sprendimas.

Iki 09:00 į susirašinėjimą jau įtraukti teisės, privatumo, atsparumo, pirkimų, debesijos inžinerijos ir finansų atitikties specialistai. Duomenų apsaugos pareigūnas klausia, ar reikalingas perdavimo poveikio vertinimas. Atsparumo vadovas klausia, ar naujas regionas turi įtakos kritinės paslaugos atkūrimo planui. Finansų atitikties vadovas klausia, ar teikėjas įtrauktas į DORA IRT trečiųjų šalių registrą. Debesijos komanda patikrina gamybinių duomenų plokštumą ir supranta, kad klausimas platesnis nei analitika. Atsarginės kopijos, operaciniai žurnalai, techninės pagalbos užklausos, duomenų ežero eksportai, „break-glass“ prieiga ir subtiekėjų prieiga taip pat gali patekti į taikymo sritį.

Tai tikroji 2026 m. debesijos valdysenos problema.

Dauguma organizacijų turi debesijos politiką. Daugelis turi tiekėjų registrą. Kai kurios turi GDPR perdavimo vertinimą. Tačiau mažiau organizacijų gali, remdamosi įrodymais, atsakyti į sudėtingesnį audito klausimą:

Kur tiksliai yra reglamentuojami duomenys ir kritinis IRT tvarkymas, kas ir iš kur gali prie jų prieiti, kas vyksta perjungimo į atsarginę aplinką metu ir kokia sutartinė kontrolės priemonė neleidžia teikėjui pakeisti atsakymo be patvirtinimo?

Tai yra debesijos regionų valdysena. Tai nėra vienas teisinis žymimasis langelis. Tai gyva kontrolės sistema, apimanti ISO/IEC 27001:2022, ISO/IEC 27002:2022 debesijos ir tiekėjų kontrolės priemones, GDPR atskaitomybę, NIS2 paslaugų atsparumą ir DORA IRT trečiųjų šalių priežiūrą.

Duomenų buvimo vieta dabar yra operacinė kontrolės priemonė

Daugelį metų „tik ES priegloba“ buvo laikoma duomenų tvarkymo sutarties nuostata. To nebepakanka. Šiuolaikinė debesijos duomenų buvimo vietos ir regionų valdysenos programa turi apimti bent šešis operacinius sluoksnius:

1. Pirminius gamybinės saugyklos ir skaičiavimo regionus.
2. Atsarginių kopijų, archyvų ir atkūrimo po katastrofos regionus.
3. Žurnalavimo, stebėsenos, SIEM ir stebimumo duomenų vietas.
4. Techninės pagalbos prieigą, įskaitant nuotolinį administravimą ir „break-glass“ prieigą.
5. Subtvarkytojus ir subtiekėjus, įskaitant valdomas paslaugas ir prekyviečių komponentus.
6. Duomenų perdavimo kelius tarp aplinkų, taikomųjų programų sąsajų, analitikos platformų ir klientų pagalbos priemonių.

GDPR tai daro neišvengiama, nes asmens duomenys gali apimti internetinius identifikatorius, IP adresus, klientų paskyrų identifikatorius, naudotojų įrašus, įrenginių identifikatorius, operacinius metaduomenis ir techninės pagalbos įrašus. Tvarkymas taip pat apibrėžiamas plačiai: jis apima saugojimą, prieigą, naudojimą, atskleidimą, ištrynimą ir sunaikinimą. „Siunčiame tik žurnalus“ nėra saugi išimtis, jei tuose žurnaluose yra identifikatorių.

GDPR Article 5 taip pat įtvirtina atskaitomybės principą. Duomenų valdytojai turi ne tik laikytis teisėtumo, sąžiningumo, skaidrumo, tikslo apribojimo, duomenų kiekio mažinimo, saugojimo trukmės ribojimo, vientisumo ir konfidencialumo principų. Jie taip pat turi gebėti pagrįsti atitiktį. Debesijos regionų valdysena yra vienas iš būdų, kaip šis pagrindimas tampa realus.

NIS2 išplečia klausimą nuo privatumo iki atsparumo. Pagal Article 21 esminiai ir svarbūs subjektai turi įgyvendinti tinkamas technines, operacines ir organizacines priemones rizikai, susijusiai su operacijoms arba paslaugų teikimui naudojamomis tinklų ir informacinėmis sistemomis, valdyti. Išvardytos priemonės apima tiekimo grandinės saugumą, veiklos tęstinumą, atsarginių kopijų valdymą, atkūrimą po katastrofos, krizių valdymą, prieigos kontrolę, turto valdymą, šifravimą ir veiksmingumo vertinimą. Jei sprendimas dėl debesijos regiono turi įtakos paslaugos, patenkančios į taikymo sritį, prieinamumui arba atkūrimui, tai nėra vien duomenų apsaugos klausimas. Tai atsparumo klausimas.

Finansų subjektams DORA kartelę pakelia dar aukščiau. DORA taikoma nuo 2025 m. sausio 17 d. ir nustato reikalavimus IRT rizikos valdymui, pranešimui apie incidentus, skaitmeninio operacinio atsparumo testavimui, IRT trečiųjų šalių rizikos valdymui ir sutartiniams susitarimams. Article 28 reikalauja, kad finansų subjektai IRT trečiųjų šalių riziką valdytų kaip neatskiriamą IRT rizikos valdymo sistemos dalį, tvarkytų sutartinių susitarimų registrus, vertintų koncentracijos riziką ir planuotų pasitraukimą kritinių arba svarbių funkcijų atveju. Article 30 numato sutartinį aiškumą dėl paslaugų ir duomenų tvarkymo vietų, audito ir prieigos teisių, pagalbos incidentų metu, subrangos, atkūrimo, grąžinimo ir pasitraukimo pereinamojo laikotarpio.

DORA yra sektoriui skirtas režimas finansų subjektams, o NIS2 tebėra svarbi platesnėje tiekimo grandinėje, ypač debesijos kompiuterijos paslaugų teikėjams, duomenų centrų teikėjams ir valdomų paslaugų teikėjams. Todėl vienas nepatikrintas subtvarkytojas gali sukelti domino efektą finansinio atsparumo, tiekimo grandinės saugumo ir privatumo įpareigojimų srityse.

Paprastai tariant, jei reglamentuojamas verslas negali valdyti, kur vyksta jo debesijos tvarkymas, jis negali patikimai valdyti IRT trečiųjų šalių rizikos.

Naudokite ISO 27001 kaip valdymo sistemos atramą

ISO/IEC 27001:2022 suteikia struktūrą, kaip duomenų buvimo vietos neapibrėžtumą paversti kontroliuojama valdymo sistema.

4.1–4.4 punktai reikalauja, kad organizacija apibrėžtų ISVS kontekstą, įskaitant vidaus ir išorės klausimus, suinteresuotųjų šalių reikalavimus, teisinius, reguliavimo ir sutartinius įpareigojimus, sąsajas ir priklausomybes su kitomis organizacijomis. Debesijos regionų valdysenai ISVS taikymo sritis turi aiškiai apimti debesijos paslaugas, išorės IRT tvarkymą, kritinių paslaugų priklausomybes ir reglamentuojamus duomenų srautus.

5.1–5.3 punktai nustato vadovybės atskaitomybę. Aukščiausioji vadovybė turi suderinti informacijos saugumo politiką ir tikslus su strategine kryptimi, skirti išteklius, priskirti atsakomybes ir užtikrinti, kad būtų teikiamos ISVS veiksmingumo ataskaitos. Čia debesijos duomenų buvimo vieta tampa vadovybės ir valdybos klausimu, ypač NIS2 subjektams, kurių valdymo organai turi patvirtinti ir prižiūrėti kibernetinio saugumo rizikos valdymo priemones, ir DORA finansų subjektams, kurių valdymo organas atsako už IRT rizikos valdyseną.

6.1.1–6.1.3 punktai suteikia rizikos valdymo mechanizmą. Organizacijai reikia pakartojamo rizikos vertinimo proceso, rizikos savininkų, poveikio ir tikimybės kriterijų, rizikos tvarkymo galimybių, pasirinktų kontrolės priemonių, Taikytinumo pareiškimo ir liekamosios rizikos priėmimo. Debesijos regiono pakeitimas neturi būti patvirtinamas neformaliu el. laišku. Jis turi inicijuoti rizikos vertinimą arba pakeitimo peržiūrą, kai daro poveikį reglamentuojamiems duomenims, kritinėms funkcijoms, tiekėjams arba tęstinumo prielaidoms.

8.1 punktas planavimą paverčia operacine kontrole. Procesai turi būti įgyvendinti, kontroliuojami, dokumentuoti, keičiami valdomu būdu ir išplėsti į išorės teikiamus produktus bei paslaugas, aktualias ISVS. 8.2 ir 8.3 punktai reikalauja pakartotinio vertinimo ir tvarkymo suplanuotais intervalais arba įvykus reikšmingiems pokyčiams. Debesijos regiono migracija, atsarginių kopijų replikacija, nauja žurnalavimo platforma ar techninės pagalbos subtvarkytojo pakeitimas – visi šie atvejai yra kandidatai pakartotiniam vertinimui.

Tuomet ISO/IEC 27002:2022 kontrolės priemonių rinkinys suteikia praktinę kontrolės šeimą. Aktualiausios kontrolės priemonės:

• 5.9 Informacijos ir kito susijusio turto apskaita.
• 5.14 Informacijos perdavimas.
• 5.15 Prieigos kontrolė.
• 5.19 Informacijos saugumas santykiuose su tiekėjais.
• 5.20 Informacijos saugumo įtraukimas į tiekėjų susitarimus.
• 5.22 Tiekėjų paslaugų stebėsena, peržiūra ir pakeitimų valdymas.
• 5.23 Informacijos saugumas naudojant debesijos paslaugas.
• 5.29 Informacijos saugumas sutrikimų metu.
• 5.30 IRT pasirengimas veiklos tęstinumui.
• 5.31 Teisiniai, reguliavimo ir sutartiniai reikalavimai.
• 5.34 Privatumas ir asmenį identifikuojančios informacijos (AII) apsauga.
• 5.36 Informacijos saugumo politikų, taisyklių ir standartų laikymasis.
• 8.11 Duomenų maskavimas.
• 8.12 Duomenų nutekėjimo prevencija.
• 8.13 Informacijos atsarginės kopijos.
• 8.15 Žurnalavimas.
• 8.16 Stebėsenos veiklos.
• 8.20 Tinklų saugumas.
• 8.24 Kriptografijos naudojimas.
• 8.25 Saugaus kūrimo gyvavimo ciklas.
• 8.27 Saugi sistemos architektūra ir inžineriniai principai.
• 8.32 Pakeitimų valdymas.

Clarysec Zenith Controls: kryžminės atitikties gidas Zenith Controls ISO/IEC 27002:2022 kontrolės priemonę 5.23 „Informacijos saugumas naudojant debesijos paslaugas“ laiko prevencine kontrolės priemone, palaikančia konfidencialumą, vientisumą ir prieinamumą, turinčia operacinį pajėgumą tiekėjų santykių saugumo srityje ir saugumo domenus valdysenos, ekosistemos bei apsaugos srityse. Gidas susieja 5.23 su 5.19 santykiais su tiekėjais, 5.14 informacijos perdavimu, 5.9 turto apskaita, 8.11 ir 8.12 duomenų maskavimu bei duomenų nutekėjimo prevencija, 8.20 tinklo saugumu ir 8.25 saugaus kūrimo gyvavimo ciklu.

Svarbi Zenith Controls įžvalga:

“Debesijos paslaugų teikėjai (CSP) veikia kaip kritiniai tiekėjai, todėl jiems taikomos visos kontrolės priemonės, susijusios su tiekėjų atranka, sutarčių sudarymu ir rizikos valdymu pagal 5.19. Tačiau 5.23 žengia toliau ir nagrinėja debesijai būdingas rizikas, tokias kaip kelių nuomininkų aplinka, duomenų vietos skaidrumas ir bendros atsakomybės modeliai.”

Šis sakinys tiksliai atspindi valdysenos pokytį. Debesijos paslaugų teikėjas nėra tik dar vienas tiekėjas. Dažnai tai vieta, kurioje vyksta reglamentuojamas tvarkymas.

Paslėpti duomenų buvimo vietos spąstai: atsarginės kopijos, žurnalai, techninė pagalba ir subtvarkytojai

Dauguma duomenų buvimo vietos nesėkmių neprasideda nuo gamybinės duomenų bazės. Jos prasideda nuo pagalbinių sistemų, kurios niekada nebuvo tinkamai įtrauktos į duomenų srautų peržiūrą.

Atsarginės kopijos yra klasikinis pavyzdys. SaaS platforma gali veikti Frankfurte arba Dubline, o automatinės atsarginės kopijos dėl atsparumo arba sąnaudų priežasčių gali būti replikuojamos kitur. Jei atsarginėje kopijoje yra asmens duomenų, klientų įrašų, autentifikavimo žurnalų arba reglamentuojamų operacijų istorijos, atsarginių kopijų regionas yra svarbus. Pagal NIS2 Article 21 atsarginių kopijų valdymas ir atkūrimas po katastrofos yra saugumo bazinio lygio dalis. Pagal DORA kritinių arba svarbių funkcijų tęstinumas ir išbandytos pasitraukimo strategijos reikalauja žinoti atkūrimo vietas ir atkūrimo priklausomybes.

Žurnalai yra dar viena silpnoji vieta. Saugumo komandos centralizuoja telemetriją į SIEM, stebimumo ir duomenų ežero paslaugas. Šiuose žurnaluose gali būti IP adresų, naudotojų identifikatorių, administratorių veiksmų, mokėjimų metaduomenų, nepavykusių autentifikavimo bandymų, klientų paskyrų identifikatorių arba techninės pagalbos trasavimo duomenų. Jei žurnalai perkeliami į globalią stebėsenos paslaugą, organizacija gali būti sukūrusi tarpvalstybinį perdavimą to nesuprasdama.

Clarysec Žurnalavimo ir stebėsenos politika MVĮ Žurnalavimo ir stebėsenos politika MVĮ tiesiogiai aptaria tiekėjo įrodymus:

“Sutartyse turi būti reikalaujama, kad teikėjai saugotų žurnalus ne trumpiau kaip 12 mėnesių ir suteiktų prieigą gavus prašymą”

Ši citata paimta iš skyriaus „Valdysenos reikalavimai“, politikos punkto 5.5.1.3. Duomenų buvimo vietos valdysenai ta pati sutarties peržiūra turi patvirtinti, kur šie žurnalai saugomi, kas gali prie jų prieiti ir ar žurnalų įrodymai prieinami incidento tyrimo arba reguliavimo institucijos paklausimo metu.

Techninės pagalbos prieiga yra subtilesnė. Teikėjas gali talpinti duomenis ES, tačiau techninės pagalbos inžinieriai už ES ribų gali pasiekti klientų aplinkas, duomenų bazių momentines kopijas, diagnostinius paketus arba užklausų priedus. Ar tai priimtina, priklauso nuo susijusių duomenų, perdavimo mechanizmo, vaidmens, sutartinių apsaugos priemonių, prieigos kontrolės ir žurnalavimo. Architektūra gali būti regioninė, o žmogaus prieigos modelis – globalus.

Subtvarkytojai sukuria galutinę akląją zoną. Jūsų tiesioginis tiekėjas gali remtis debesijos infrastruktūra, turinio pristatymo tinklais, valdomomis duomenų bazėmis, užklausų valdymo platformomis, analitikos paslaugomis, užsienyje veikiančiomis techninės pagalbos komandomis arba saugumo tiekėjais. DORA Article 29 reikalauja vertinti subrangos rizikas, trečiųjų šalių teikėjus, duomenų atkūrimo apribojimus, duomenų apsaugos atitiktį ir sudėtingas subrangos grandines. NIS2 Article 21 reikalauja, kad subjektai atsižvelgtų į tiesioginių tiekėjų ir paslaugų teikėjų kibernetinio saugumo praktikas. GDPR reikalauja, kad tvarkytojai valdytų subtvarkytojus taip, kad būtų išsaugota duomenų valdytojo galimybė laikytis reikalavimų.

Clarysec Trečiųjų šalių ir tiekėjų saugumo politika MVĮ Trečiųjų šalių ir tiekėjų saugumo politika MVĮ tai paverčia praktika:

“Kai tiekėjai privalo saugoti duomenis ne organizacijos patalpose, įmonė turi gauti patikinimą dėl duomenų apsaugos, fizinio saugumo ir geografinės saugojimo vietos (pvz., tik ES priegloba, kai to reikalauja GDPR).”

Tai paimta iš skyriaus „Politikos įgyvendinimo reikalavimai“, politikos punkto 6.2.4. Ta pati politika taip pat reikalauja:

“Apribojimai tolesnei subrangai be patvirtinimo”

Ši citata paimta iš skyriaus „Valdysenos reikalavimai“, politikos punkto 5.3.5. Kartu šios nuostatos duomenų buvimo vietą paverčia tiekėjų valdymo darbo eiga, o ne pirkimų pageidavimu.

Paverskite politiką įgyvendinama debesijos regionų valdysena

Debesijos regionų valdysena turi būti įgyvendinama, peržiūrima ir audituojama.

MVĮ atveju Debesijos paslaugų naudojimo politika MVĮ Debesijos paslaugų naudojimo politika MVĮ nustato bazinį lygį:

“Duomenų buvimo vietos ir privatumo praktikos atitinka taikomus teisinius reikalavimus (pvz., GDPR)”

Tai paimta iš skyriaus „Valdysenos reikalavimai“, politikos punkto 5.2.3. Ta pati politika reikalauja, kad debesijos valdysenos įrašai apimtų:

“Šalį arba regioną, kuriame saugomi duomenys”

Ši citata paimta iš skyriaus „Valdysenos reikalavimai“, politikos punkto 5.3.4.

Didesnėms organizacijoms Debesijos paslaugų naudojimo politika Debesijos paslaugų naudojimo politika aiškiau apibrėžia sutartinį įgyvendinimą:

“Duomenų buvimo vietos reikalavimai turi būti įtvirtinti sutartyse (pvz., tik ES saugojimas GDPR reglamentuojamiems duomenims).”

Tai paimta iš skyriaus „Politikos įgyvendinimo reikalavimai“, politikos punkto 6.6.2. Joje taip pat nurodyta:

“Tarpvalstybiniai duomenų perdavimai turi atitikti GDPR Chapter V ir, kai taikoma, DORA Article 28.”

Tai paimta iš skyriaus „Politikos įgyvendinimo reikalavimai“, politikos punkto 6.6.3.

Įmonės versijoje taip pat skiriamas dėmesys:

“Duomenų buvimo vietos ir duomenų nuosavybės garantijoms”

Ši citata paimta iš skyriaus „Vaidmenys ir atsakomybės“, politikos punkto 4.5.1.2.

Trečiųjų šalių ir tiekėjų saugumo politika Trečiųjų šalių ir tiekėjų saugumo politika prideda sutarčių sluoksnį reikalaudama:

“Duomenų tvarkymo reikalavimų, įskaitant saugojimo vietą, prieigos kontrolės priemones ir grąžinimo arba sunaikinimo nuostatas”

Ši citata paimta iš skyriaus „Valdysenos reikalavimai“, politikos punkto 5.3.2.

Galiausiai Teisinės ir reguliavimo atitikties politika Teisinės ir reguliavimo atitikties politika nurodo pakeitimus, kurie turi inicijuoti atitikties peržiūrą, įskaitant:

“Duomenų perdavimo mechanizmų, subtvarkytojų arba tarpvalstybinių duomenų srautų pakeitimus”

Tai paimta iš skyriaus „Valdysenos reikalavimai“, politikos punkto 5.3.1.1.

Šie dokumentai neturi veikti kaip atskiri failai. Brandžioje ISVS jie tampa vienu veiklos modeliu: debesijos apskaita, duomenų srautų registras, tiekėjų registras, sutarčių matrica, rizikos vertinimas, perdavimo peržiūra, pakeitimo patvirtinimas ir audito įrodymų paketas.

Sukurkite debesijos regionų valdysenos registrą

Praktinis registras debesijos duomenų buvimo vietą paverčia iš prielaidos į įrodymus. Pradėkite nuo vienos kritinės klientams skirtos paslaugos, ypač tokios, kuri tikėtina pateks į NIS2, DORA klientų deramo patikrinimo arba GDPR patikros taikymo sritį.

Dabar susiekite registrą su įgyvendinimu.

Clarysec Zenith Blueprint: auditoriaus 30 žingsnių planas Zenith Blueprint fazėje „Kontrolės priemonės praktikoje“, 23 žingsnyje, dėmesys skiriamas organizacinėms kontrolės priemonėms 5.19–5.37, įskaitant tiekėjų susitarimus ir debesijos paslaugų valdyseną. Blueprint įspėja, kad tiekėjų susitarimai turi apimti daugiau nei bendrą konfidencialumą:

“Daugelyje sektorių tiekėjų susitarimai taip pat apibrėžia duomenų nuosavybę ir jurisdikciją. Kur duomenys tvarkomi? Kas išlaiko kontrolę? Ar yra perdavimo apribojimų? Ar yra debesijai būdingų kontrolės priemonių (pvz., duomenų segmentavimas, raktų nuosavybė arba geografiniai apribojimai)? Šie elementai nėra vien teisiniai – tai operaciniai saugumo klausimai, ypač reglamentuojamuose sektoriuose.”

Ta pati fazė ir žingsnis aptaria tiekėjų pakeitimų valdymą:

“Dauguma santykių su tiekėjais prasideda gerais ketinimais. Išsami peržiūra, aiškūs lūkesčiai, pasirašyti susitarimai (žr. 5.20), galbūt net saugumo kontrolinis sąrašas. Tačiau kas nutinka po metų, kai tiekėjas pasiūlo perkelti jūsų duomenis į naują debesijos regioną?”

Tai yra Marijos antradienio ryto problema. Registras suteikia CISO būdą atsakyti prieš patvirtinant perkėlimą.

Zenith Blueprint taip pat paaiškina debesijos kontrolės 5.23 valdysenos prasmę:

“Neteisingai sukonfigūruota saugyklos talpykla, viešai pasiekiamas valdymo skydas arba pertekliniai leidimai debesijos IAM sąrankoje nėra debesijos nesėkmės. Tai valdysenos nesėkmės.”

Fazėje „Kontrolės priemonės praktikoje“, 22 žingsnyje, Blueprint aptaria informacijos perdavimą ir nurodo:

“Jei asmens duomenys perduodami per sienas, metodas turi atitikti privatumo ir teisinius įpareigojimus, o ne tik vidaus pageidavimus.”

Ši eilutė svarbi debesijos komandoms. Šifravimas, saugios taikomųjų programų sąsajos ir privatus junglumas yra būtini, tačiau jie nepakeičia teisinės ir reguliavimo perdavimo valdysenos.

Surenkite pirmąją 90 minučių įrodymų dirbtuvę

Nepradėkite nuo visos įmonės atvaizdavimo. Pradėkite nuo vienos kritinės paslaugos ir surenkite tikslinę dirbtuvę su debesijos inžinerijos, pirkimų, teisės, privatumo, atsparumo ir saugumo operacijų komandomis.

Pirma, išvardykite kiekvieną debesijos arba tiekėjo komponentą, kuris saugo, tvarko, perduoda, kopijuoja atsarginėmis kopijomis, stebi arba palaiko paslaugą. Įtraukite ir mažesnes sistemas, tokias kaip veikimo nepertraukiamumo stebėsena, užklausų priedai, klaidų sekimas, techninės pagalbos ekrano bendrinimo priemonės ir diagnostiniai eksportai.

Antra, pažymėkite kiekvieną duomenų kategoriją. Jei komanda sako „tik metaduomenys“, patikrinkite šią prielaidą. Metaduomenys vis tiek gali būti asmens duomenys arba konfidencialūs kliento duomenys.

Trečia, patikrinkite regioną remdamiesi įrodymais. Naudokite debesijos konsolės konfigūraciją, atsarginių kopijų politikas, SIEM aplinkos nustatymus, DPA priedus, subtvarkytojų sąrašus, sutartines sąlygas, techninės pagalbos prieigos dokumentaciją ir CSP audito ataskaitas. Nesiremkite vien pardavimo patikinimais.

Ketvirta, užregistruokite spragas ISVS rizikų registre. Pavyzdžiai: „atsarginių kopijų replikacijos regionas nėra apribotas sutartimi“, „techninės pagalbos prieigai iš trečiosios šalies trūksta dokumentuotos patvirtinimo darbo eigos“, „SIEM žurnalai saugomi globaliai“, „subtvarkytojų sąrašas nenurodo prieglobos regiono“ arba „DORA registras neišskiria priklausomybės nuo kritinės arba svarbios funkcijos“.

Penkta, nuspręskite dėl rizikos tvarkymo. Tvarkymo priemonės gali apimti sutarties pakeitimą, regiono užrakinimą, kliento informavimą, šifravimą kliento valdomais raktais, tokenizavimą, žurnalų minimizavimą, naujo tiekėjo patvirtinimą, pasitraukimo strategijos atnaujinimą arba rizikos savininko atliekamą liekamosios rizikos priėmimą.

Šešta, išsaugokite įrodymus. Auditoriai klaus ne tik to, ką nusprendėte. Jie klaus, kaip žinote, kad tai buvo įgyvendinta.

Susiekite vieną įrodymų rinkinį su ISO, GDPR, NIS2, DORA ir NIST CSF 2.0

Stipri debesijos regionų valdysenos programa išvengia dubliuojamo atitikties darbo. Tie patys įrodymai gali palaikyti kelis įpareigojimus, jei jie tinkamai struktūrizuoti.

NIST CSF 2.0 naudinga kaip integruojantis sluoksnis. Jos GOVERN funkcija dera su teisiniais, reguliavimo, sutartiniais ir privatumo įpareigojimais, rizikos apetitu, atskaitomybe, politikomis ir priežiūra. Jos GV.SC tiekimo grandinės kategorija gerai susiejama su DORA IRT trečiųjų šalių lūkesčiais, NIS2 tiekimo grandinės reikalavimais ir ISO tiekėjų kontrolės priemonėmis.

COBIT 2019 ir ISACA audito perspektyva dažnai tikrina tuos pačius faktus per valdysenos tikslus: savininkystę, sprendimų priėmimo teises, rizikos optimizavimą, tiekėjų veiksmingumą, naudos realizavimą ir patikinimą. COBIT stiliaus vertintojas gali pradėti ne nuo klausimo „kuris debesijos regionas sukonfigūruotas?“. Jis gali pradėti nuo klausimo „kas turi įgaliojimus patvirtinti regiono pakeitimą, kaip rizika eskaluojama ir kaip vadovybė žino, kad debesijos tiekėjai išlieka tolerancijos ribose?“

Todėl Clarysec modelis fiksuoja savininkus, patvirtinimo taškus, sutartinius įrodymus ir vadovybei teikiamas ataskaitas, o ne vien techninius nustatymus.

Pasiruoškite auditoriaus klausimams

Debesijos regionų valdysena yra puikus pavyzdys, kaip skirtingi auditoriai į tą pačią kontrolės priemonę žiūri iš skirtingų kampų.

ISO/IEC 27001:2022 auditorius pradės nuo taikymo srities, suinteresuotųjų šalių reikalavimų, rizikos vertinimo ir Taikytinumo pareiškimo. Jis klaus, ar nustatyti teisiniai, reguliavimo ir sutartiniai reikalavimai, ar įtrauktos debesijos ir tiekėjų kontrolės priemonės, ar rizikos buvo įvertintos, ar kontrolės priemonės įgyvendintos ir ar įrodymai saugomi. Jis gali atrinkti vieną debesijos paslaugą ir paprašyti įtraukimo peržiūros, sutartinių nuostatų, regiono konfigūracijos, stebėsenos peržiūros ir pakeitimo patvirtinimo.

Duomenų apsaugos institucija arba GDPR vertintojas sutelks dėmesį į asmens duomenis. Jis klaus, kokie asmens duomenys tvarkomi, kur jie saugomi, iš kur prie jų prieinama, kokie tvarkytojai ir subtvarkytojai dalyvauja, ar perdavimo mechanizmai dokumentuoti, ar reikalingas perdavimo poveikio vertinimas ir ar įdiegtos tinkamos techninės ir organizacinės priemonės. Žurnalai, techninės pagalbos duomenys ir atsarginės kopijos dažnai sulaukia dėmesio, nes organizacijos juos nuvertina.

NIS2 auditorius arba kompetentinga institucija sutelks dėmesį į paslaugas, patenkančias į taikymo sritį. Jie vertins vadovybės atskaitomybę pagal Article 20, rizikos valdymo priemones pagal Article 21, tęstinumą, atsarginių kopijų valdymą, atkūrimą po katastrofos, incidentų valdymą, tiekimo grandinės saugumą, prieigos kontrolę, turto valdymą ir veiksmingumo vertinimą.

DORA priežiūros institucija arba vidaus audito komanda ieškos IRT rizikos valdysenos, valdymo organo priežiūros, IRT trečiųjų šalių susitarimų informacijos registro, kritinių arba svarbių funkcijų atvaizdavimo, koncentracijos rizikos, subrangos rizikos, duomenų tvarkymo vietų, audito teisių, pagalbos pranešant apie incidentus, tęstinumo testavimo ir pasitraukimo planų. DORA aiškiai nustato, kad užsakomosios paslaugos neperkelia atskaitomybės.

Zenith Controls padeda saugumo vadovams pasiruošti šiems audito stiliams, nes kryžmiškai susieja kontrolės priemonių ryšius. ISO/IEC 27002:2022 kontrolei 5.20 „Informacijos saugumo įtraukimas į tiekėjų susitarimus“ Zenith Controls susieja ją su 5.19 santykiais su tiekėjais, 5.14 informacijos perdavimu, 5.22 tiekėjų stebėsena, 5.11 turto grąžinimu ir 5.36 politikų, taisyklių ir standartų laikymusi. Kontrolei 5.22 „Tiekėjų paslaugų stebėsena, peržiūra ir pakeitimų valdymas“ ji susieja nuolatinę tiekėjų priežiūrą su 5.29 saugumu sutrikimų metu, 8.8 techninių pažeidžiamumų valdymu, 5.15 prieigos kontrole, 8.27 saugia sistemos architektūra ir inžineriniais principais bei 5.36 atitiktimi.

Šis kryžminių kontrolių vaizdas svarbus, nes regiono pakeitimas niekada nėra tik regiono pakeitimas. Jis gali pakeisti tiekėjų riziką, perdavimo riziką, prieigos riziką, tęstinumo riziką, reagavimo į incidentus įrodymus ir sutartinę atitiktį.

Naudokite šį 2026 m. CISO kontrolinį sąrašą prieš patvirtindami debesijos pakeitimą

Naudokite šį kontrolinį sąrašą prieš patvirtindami bet kokį naują debesijos regioną, tarpvalstybinio tvarkymo kelią, atsarginių kopijų vietą, žurnalavimo platformą, techninės pagalbos modelį arba kritinio IRT tiekėjo pakeitimą.

Jei atsakymas į bet kurį klausimą yra „darome prielaidą“, kontrolės priemonė nėra pakankamai brandi reglamentuojamoms operacijoms.

Taisomųjų veiksmų planas

Taisomųjų veiksmų kelias yra praktinis, kai jis grindžiamas ISVS.

1. Patvirtinkite, kad ISVS taikymo sritis apima debesijos paslaugas, kritines IRT priklausomybes ir reglamentuojamą duomenų tvarkymą.
2. Sukurkite debesijos regionų valdysenos registrą prioritetinėms paslaugoms.
3. Susiekite kiekvieną paslaugą su duomenų kategorijomis, regionais, atsarginių kopijų vietomis, techninės pagalbos prieiga ir subtvarkytojais.
4. Peržiūrėkite tiekėjų susitarimus dėl saugojimo vietos, perdavimo, audito, incidentų, subrangos, grąžinimo ir sunaikinimo nuostatų.
5. Atnaujinkite rizikų registrą dėl spragų, koncentracijos rizikų ir nedokumentuotų perdavimų.
6. Kai taikoma, suderinkite DORA IRT trečiųjų šalių registrą ir NIS2 paslaugų priklausomybių atvaizdavimą.
7. Patikrinkite techninį įgyvendinimą, įskaitant regionų užraktus, atsarginių kopijų politikas, žurnalavimo nustatymus, šifravimą, prieigos kontrolės priemones ir raktų valdymą.
8. Parenkite audito įrodymų paketą su ekrano kopijomis, sutartimis, rizikos įrašais, patvirtinimais, peržiūrų protokolais ir testavimo rezultatais.
9. Nustatykite pakeitimo paleidiklį naujiems regionams, subtvarkytojams, perdavimo mechanizmams arba kritinių tiekėjų paslaugų pakeitimams.
10. Teikite vadovybei ataskaitas apie debesijos duomenų buvimo vietos riziką, išimtis ir liekamosios rizikos sprendimus.

Tai nėra teorinė atitiktis. Tai skirtumas tarp debesijos aplinkos, kuri gali atlaikyti audito patikrą, ir aplinkos, kuri remiasi žodiniais patikinimais.

Verslo pagrindimas: suverenitetas, atsparumas ir pasitikėjimas

Vykdomieji vadovai kartais duomenų buvimo vietos valdyseną vertina kaip debesijos lankstumo apribojimą. Praktikoje brandi regionų valdysena didina lankstumą, nes komandos žino taisykles dar prieš pirkdamos, kurdamos arba migruodamos.

Produkto komanda gali greičiau paleisti paslaugą, kai patvirtinti regionai aiškūs. Pirkimai gali greičiau derėtis, kai privalomos nuostatos jau apibrėžtos. Teisės komanda gali greičiau vertinti perdavimus, kai duomenų srautai dokumentuoti. Saugumo operacijos gali greičiau tirti, kai žinomos žurnalų vietos ir prieigos teisės. Valdyba gali greičiau priimti rizikos sprendimus, kai matoma koncentracijos rizika, tęstinumo poveikis ir liekamosios rizikos priėmimas.

Klientams, ypač reglamentuojamiems klientams, tai tampa pasitikėjimo signalu. SaaS teikėjas, galintis paaiškinti, kur yra duomenys, kaip valdomos atsarginės kopijos, kaip kontroliuojama techninės pagalbos prieiga, kaip tvirtinami subtvarkytojai ir kaip peržiūrimi regionų pakeitimai, pranoks teikėją, kuris tik sako „naudojame pirmaujantį debesijos paslaugų teikėją“.

2026 m. šis skirtumas svarbus. NIS2 atnešė kibernetinio saugumo valdyseną esminiams ir svarbiems subjektams visoje ES. DORA pavertė IRT trečiųjų šalių priežiūrą formalia finansų sektoriaus disciplina. GDPR atskaitomybė išlieka centrine. ISO/IEC 27001:2022 suteikia valdymo sistemą, kuri visa tai sujungia.

Kiti žingsniai su Clarysec

Jei jūsų organizacija negali atsakyti, kur gamybinėje aplinkoje, atsarginėse kopijose, žurnaluose, techninės pagalbos prieigoje ir subtiekėjų grandinėje yra reglamentuojami duomenys ir kritinis IRT tvarkymas, dabar laikas uždaryti spragą.

Clarysec gali padėti jums parengti debesijos regionų valdysenos įrodymų paketą naudojant:

• Zenith Blueprint: auditoriaus 30 žingsnių planas Zenith Blueprint – etapiniam ISO įgyvendinimui ir pasirengimui auditui.
• Zenith Controls: kryžminės atitikties gidas Zenith Controls – ISO/IEC 27002:2022 debesijos ir tiekėjų kontrolės priemonių susiejimui su operaciniais įrodymais ir kelių sistemų lūkesčiais.
• Debesijos paslaugų naudojimo politika Debesijos paslaugų naudojimo politika ir Debesijos paslaugų naudojimo politika MVĮ Debesijos paslaugų naudojimo politika MVĮ – debesijos duomenų buvimo vietos reikalavimams.
• Trečiųjų šalių ir tiekėjų saugumo politika Trečiųjų šalių ir tiekėjų saugumo politika ir Trečiųjų šalių ir tiekėjų saugumo politika MVĮ Trečiųjų šalių ir tiekėjų saugumo politika MVĮ – tiekėjų sutartims, subrangai ir geografinės saugojimo vietos patikinimui.
• Žurnalavimo ir stebėsenos politika MVĮ Žurnalavimo ir stebėsenos politika MVĮ – žurnalų saugojimui ir teikėjo įrodymams.
• Teisinės ir reguliavimo atitikties politika Teisinės ir reguliavimo atitikties politika – atitikties peržiūros paleidikliams, susijusiems su perdavimo mechanizmais, subtvarkytojais ir tarpvalstybiniais duomenų srautais.

Pradėkite nuo vienos kritinės paslaugos, vieno debesijos paslaugų teikėjo ir vieno registro. Per kelias dirbtuves galite pereiti nuo prielaidų prie įrodymų ir nuo fragmentuotos atitikties prie valdomo debesijos atsparumo.

Atsisiųskite Clarysec priemonių rinkinį, paprašykite demonstracijos arba užsisakykite debesijos regionų valdysenos vertinimą, kad savo debesijos duomenų buvimo vietos įsipareigojimus paverstumėte auditui tinkamais įrodymais.