DORA IRT pasitraukimo strategijos taikant ISO 27001 kontrolės priemones
Pirmadienį 07:42 fintech operacijų vadovas gauna pranešimą, kurio nenori skaityti niekas: organizacijos debesijos aplinkoje veikiantis operacijų stebėsenos paslaugų teikėjas patyrė rimtą regioninį sutrikimą. 08:15 vyriausiasis rizikos vadovas klausia, ar paveikta paslauga palaiko ypatingos svarbos arba svarbią funkciją. 08:40 teisės skyrius nori žinoti, ar sutartis suteikia įmonei teisę į perėjimo pagalbą, duomenų eksportą, ištrynimą ir auditą. 09:05 CISO ieško įrodymų, kad pasitraukimo planas buvo ištestuotas, o ne tik parengtas.
Kitoje finansinių paslaugų įmonėje Sarah, sparčiai augančios fintech platformos CISO, atidaro prieš auditą pateiktą informacijos užklausą dėl DORA atitikties vertinimo. Klausimai pažįstami, kol ji pasiekia dalį apie IRT trečiųjų šalių paslaugų teikėjus, palaikančius ypatingos svarbos arba svarbias funkcijas. Auditoriai neklausia, ar įmonė turi tiekėjų politiką. Jie prašo dokumentuotų, ištestuotų ir įgyvendinamų pasitraukimo strategijų.
Ji iškart pagalvoja apie pagrindinį debesijos paslaugų teikėją, kuriame veikia platforma, tada apie valdomų saugumo paslaugų teikėją, visą parą stebintį grėsmes. Kas, jei debesijos paslaugų teikėjas patirs geopolitinį sutrikimą? Kas, jei MSSP įsigis konkurentas? Kas, jei kritinis SaaS paslaugų teikėjas taps nemokus, nutrauks paslaugą arba po didelio incidento praras klientų pasitikėjimą?
Daugelyje įmonių nepatogus atsakymas yra tas pats. Yra tiekėjo rizikos vertinimas, veiklos tęstinumo planas, sutarčių aplankas, debesijos paslaugų inventorius ir galbūt atsarginių kopijų ataskaita. Tačiau nėra vienos auditui tinkamos DORA IRT trečiųjų šalių pasitraukimo strategijos, kuri sujungtų veiklos kritiškumą, sutartines teises, techninį perkeliamumą, tęstinumo planus, atsarginių kopijų įrodymus, privatumo įsipareigojimus ir vadovybės patvirtinimą.
DORA keičia tiekėjų valdymo toną. Pagal Reglamentą (ES) 2022/2554 finansų sektoriaus subjektai turi valdyti IRT trečiųjų šalių riziką kaip IRT rizikos valdymo sistemos dalį. Jie išlieka visiškai atsakingi už atitiktį, tvarko IRT paslaugų sutarčių registrą, atskiria IRT susitarimus, palaikančius ypatingos svarbos arba svarbias funkcijas, vertina koncentracijos ir subtiekimo rizikas ir palaiko pasitraukimo strategijas kritinėms IRT trečiųjų šalių priklausomybėms. DORA taikoma nuo 2025 m. sausio 17 d. ir nustato vienodus ES reikalavimus IRT rizikos valdymui, pranešimams apie incidentus, atsparumo testavimui, dalijimuisi informacija ir IRT trečiųjų šalių rizikos valdymui plačiam finansų subjektų ratui.
DORA pasitraukimo strategija nėra pastraipa tiekėjo sutartyje. Tai kontrolės priemonių sistema. Ji turi būti valdoma, įvertinta rizikos požiūriu, techniškai įgyvendinama, sutartiškai vykdytina, ištestuota, pagrįsta įrodymais ir nuolat tobulinama.
Clarysec metodas sujungia Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint, įmonės politikų šablonus ir Zenith Controls: The Cross-Compliance Guide Zenith Controls, kad pirmadienio ryto klausimas virstų parengtu atsakymu.
Kodėl DORA pasitraukimo strategijos žlunga realiuose audituose
Dauguma DORA IRT pasitraukimo strategijų nesėkmių pirmiausia yra struktūrinės, o tik paskui techninės. Organizacija turi tiekėjo savininką, bet neturi atskaitingo rizikos savininko. Ji vykdo atsarginių kopijų kūrimo užduotis, bet neturi atkūrimo įrodymų. Ji turi tiekėjo deramo patikrinimo klausimyną, bet neturi dokumentuoto sprendimo, ar paslaugų teikėjas palaiko ypatingos svarbos arba svarbią funkciją. Ji turi sutarties nutraukimo formuluotes, bet neturi perėjimo laikotarpio, suderinto su veiklos tęstinumo planu.
DORA priverčia šias dalis sujungti. 28 straipsnyje nustatomi bendrieji IRT trečiųjų šalių rizikos valdymo principai, įskaitant poreikį valdyti IRT trečiųjų šalių paslaugų teikėjų riziką viso gyvavimo ciklo metu ir palaikyti tinkamas pasitraukimo strategijas. 30 straipsnyje nustatomi išsamūs sutartiniai reikalavimai IRT paslaugoms, palaikančioms ypatingos svarbos arba svarbias funkcijas, įskaitant paslaugų aprašymus, duomenų tvarkymo vietas, saugumo apsaugos priemones, prieigos ir audito teises, pagalbą incidentų atveju, bendradarbiavimą su kompetentingomis institucijomis ir nutraukimo teises.
Reglamentas taip pat yra proporcingas. 4 ir 16 straipsniai leidžia tam tikriems mažesniems ar išimtį turintiems subjektams taikyti supaprastintą IRT rizikos valdymo sistemą. Tačiau supaprastinta nereiškia nedokumentuota. Mažesniems finansų subjektams vis tiek reikia dokumentuoto IRT rizikos valdymo, nuolatinės stebėsenos, atsparių sistemų, greito IRT incidentų identifikavimo, pagrindinių IRT trečiųjų šalių priklausomybių nustatymo, atsarginių kopijų kūrimo ir atkūrimo, veiklos tęstinumo, reagavimo ir atkūrimo, testavimo, įgytos patirties ir mokymų.
Maža fintech įmonė negali sakyti: „Esame per maži pasitraukimo planavimui.“ Ji gali sakyti: „Mūsų DORA pasitraukimo strategija pritaikyta mūsų dydžiui, rizikos profiliui ir paslaugos sudėtingumui.“ Skirtumas yra įrodymai.
Subjektams, kurie taip pat patenka į nacionalinę NIS2 taikymo sritį, DORA veikia kaip konkrečiam sektoriui skirtas Sąjungos teisės aktas, taikomas persidengiantiems kibernetinio saugumo įpareigojimams finansų sektoriuje. NIS2 išlieka svarbi platesnėje ekosistemoje, ypač valdomų paslaugų teikėjams, valdomų saugumo paslaugų teikėjams, debesijos paslaugų teikėjams, duomenų centrams ir skaitmeninės infrastruktūros subjektams. NIS2 21 straipsnis sustiprina tas pačias temas: rizikos analizę, incidentų valdymą, veiklos tęstinumą, tiekimo grandinės saugumą, saugų įsigijimą, veiksmingumo vertinimą, mokymus, kriptografiją, prieigos kontrolę, turto valdymą ir autentifikavimą.
Priežiūros institucijos, klientai, auditoriai ir valdybos gali formuluoti klausimą skirtingai, tačiau esmė ta pati: ar galite atsisakyti kritinio IRT paslaugų teikėjo neprarasdami paslaugos tęstinumo, duomenų, įrodymų ar poveikio klientams kontrolės?
Įtraukite pasitraukimo strategiją į ISVS
ISO/IEC 27001:2022 suteikia valdymo sistemos pagrindą DORA pasitraukimo planavimui.
4.1–4.4 skyriai reikalauja, kad organizacija apibrėžtų savo kontekstą, suinteresuotąsias šalis, teisinius, reguliavimo ir sutartinius reikalavimus, ISVS taikymo sritį, sąsajas, priklausomybes ir procesus. Čia finansų subjektas ISVS ribose identifikuoja DORA, klientų įsipareigojimus, išorinių paslaugų lūkesčius, debesijos priklausomybes, privatumo įsipareigojimus, subtiekėjus ir IRT paslaugas.
5.1–5.3 skyriai reikalauja lyderystės, politikos, išteklių, vaidmenų priskyrimo ir atskaitomybės. Tai dera su DORA valdysenos modeliu, pagal kurį valdymo organas apibrėžia, tvirtina, prižiūri ir išlieka atsakingas už IRT rizikos valdymą, įskaitant IRT veiklos tęstinumo, reagavimo ir atkūrimo planus, IRT audito planus, biudžetus, atsparumo strategiją ir IRT trečiųjų šalių rizikos politiką.
6.1.1–6.1.3 skyriai pasitraukimo planavimą paverčia rizikos tvarkymu. Organizacija apibrėžia rizikos kriterijus, atlieka pakartojamus rizikos vertinimus, identifikuoja konfidencialumo, vientisumo ir prieinamumo rizikas, priskiria rizikos savininkus, vertina pasekmes ir tikimybę, parenka tvarkymo galimybes, palygina kontrolės priemones su A priedu, parengia Taikomumo pareiškimą, parengia rizikos tvarkymo planą ir gauna rizikos savininko patvirtinimą bei liekamosios rizikos priėmimą.
8.1 skyrius reikalauja operacinio planavimo ir kontrolės. Organizacija turi planuoti, įgyvendinti ir kontroliuoti ISVS procesus, saugoti dokumentuotą informaciją, įrodančią, kad procesai buvo vykdomi kaip suplanuota, valdyti pakeitimus ir kontroliuoti išorės teikiamus procesus, produktus ar paslaugas, svarbius ISVS.
ISO/IEC 27005:2022 sustiprina šį požiūrį. 6.2 skyriuje organizacijoms rekomenduojama identifikuoti suinteresuotųjų šalių reikalavimus, įskaitant ISO/IEC 27001:2022 A priedo kontrolės priemones, sektoriui būdingus standartus, nacionalinius ir tarptautinius reglamentus, vidaus nuostatas, sutartinius reikalavimus ir esamas kontrolės priemones iš ankstesnio rizikos tvarkymo. 6.4.1–6.4.3 skyriai paaiškina, kad rizikos kriterijai turėtų apimti teisinius ir reguliavimo aspektus, tiekėjų santykius, privatumą, operacinį poveikį, sutarties pažeidimus, trečiųjų šalių operacijas ir reputacines pasekmes. 8.2–8.6 skyriai palaiko kontrolės priemonių biblioteką ir tvarkymo planą, kuriuose galima sujungti ISO/IEC 27001:2022 A priedą su DORA, NIS2, GDPR, klientų įsipareigojimais ir vidaus politikomis.
Veiklos modelis paprastas: vienas reikalavimų sąrašas, vienas tiekėjų rizikos registras, vienas Taikomumo pareiškimas, vienas rizikos tvarkymo planas ir vienas įrodymų paketas kiekvienam kritiniam pasitraukimo scenarijui.
ISO/IEC 27001:2022 kontrolės priemonės, kuriomis grindžiamas DORA pasitraukimo planavimas
DORA pasitraukimo strategijos tampa tinkamos auditui, kai tiekėjų valdysena, debesijos perkeliamumas, tęstinumo planavimas ir atsarginių kopijų įrodymai vertinami kaip viena susieta kontrolės grandinė.
Clarysec Zenith Controls susieja ISO/IEC 27001:2022 A priedo kontrolės priemones su kontrolės atributais, audito įrodymais ir kryžminės atitikties lūkesčiais. Tai nėra atskira kontrolės sistema. Tai Clarysec kryžminės atitikties vadovas, padedantis suprasti, kaip ISO/IEC 27001:2022 kontrolės priemonės palaiko audito, reguliavimo ir operacinius rezultatus.
| ISO/IEC 27001:2022 A priedo kontrolės priemonė | Vaidmuo pasitraukimo strategijoje | Kokius DORA įrodymus palaiko | Auditoriaus dėmesys |
|---|---|---|---|
| A.5.19 Informacijos saugumas tiekėjų santykiuose | Nustato tiekėjų rizikos valdymo procesą | Tiekėjo klasifikavimas, priklausomybės savininkystė, rizikos vertinimas | Ar tiekėjų rizika valdoma nuosekliai? |
| A.5.20 Informacijos saugumo užtikrinimas tiekėjų susitarimuose | Pasitraukimo lūkesčius paverčia vykdytinomis sutartinėmis nuostatomis | Nutraukimo teisės, audito teisės, perėjimo pagalba, incidentų palaikymas, duomenų grąžinimas ir ištrynimas | Ar sutartis iš tikrųjų palaiko pasitraukimo planą? |
| A.5.21 Informacijos saugumo valdymas IRT tiekimo grandinėje | Išplečia patikrą subtiekėjams ir žemiau grandinėje esančioms priklausomybėms | Subtiekėjų matomumas, grandinės rizika, koncentracijos vertinimas | Ar įmonė supranta paslėptas priklausomybes? |
| A.5.22 Tiekėjų paslaugų stebėsena, peržiūra ir pakeitimų valdymas | Užtikrina, kad tiekėjo rizika išliktų aktuali keičiantis paslaugoms | Peržiūros įrašai, paslaugos pakeitimų vertinimai, taisomųjų veiksmų sekimas | Ar tiekėjų priežiūra vykdoma nuolat? |
| A.5.23 Informacijos saugumas naudojant debesijos paslaugas | Kontroliuoja debesijos paslaugų įtraukimą, naudojimą, valdymą, perkeliamumą ir pasitraukimą | Duomenų eksportas, ištrynimas, migracijos palaikymas, priklausomybės nuo tiekėjo įrodymai | Ar įmonė gali susigrąžinti ir saugiai pašalinti duomenis? |
| A.5.30 IRT pasirengimas veiklos tęstinumui | Testuoja, ar kritinės IRT paslaugos gali būti atkurtos arba pakeistos pagal veiklos tolerancijas | Tęstinumo planai, atkūrimo tikslai, atsarginiai sprendimai, ištestuoti apėjimo sprendimai | Ar pasitraukimas techniškai įgyvendinamas sutrikimo sąlygomis? |
| A.8.13 Informacijos atsarginės kopijos | Suteikia atkuriamus duomenis pasitraukimo arba nesėkmės scenarijams | Atsarginių kopijų grafikai, atkūrimo testų rezultatai, vientisumo patikros | Ar duomenys gali būti atkurti pagal RTO ir RPO? |
DORA IRT trečiųjų šalių pasitraukimo strategijos audito pėdsakas turi parodyti, kad:
- Tiekėjas yra suklasifikuotas ir susietas su verslo procesais.
- Paslauga įvertinta dėl ypatingos svarbos arba svarbios funkcijos palaikymo.
- Pasitraukimo rizika įrašyta kartu su atskaitingu rizikos savininku.
- Sutartinės nuostatos palaiko perėjimą, prieigą, auditą, duomenų grąžinimą, duomenų ištrynimą, bendradarbiavimą ir tęstinumą.
- Debesijos perkeliamumas ir sąveikumas buvo patvirtinti.
- Atsarginės kopijos ir atkūrimo testai įrodo atkuriamumą.
- Dokumentuotas laikinas pakeitimas arba alternatyvus tvarkymas.
- Pasitraukimo testavimo rezultatai peržiūrėti, dėl jų atlikti taisomieji veiksmai ir apie juos pranešta vadovybei.
Sutarties formuluotės yra pirmoji tęstinumo kontrolės priemonė
Sutartis turi būti pirmoji tęstinumo kontrolės priemonė, o ne tęstinumo kliūtis. Jei paslaugų teikėjas gali greitai nutraukti paslaugą, vilkinti eksportą, riboti prieigą prie žurnalų, taikyti neapibrėžtus perėjimo mokesčius arba atsisakyti palaikyti migraciją, pasitraukimo strategija yra trapi.
Zenith Blueprint dokumente, etapo „Kontrolės priemonės praktikoje“ 23 žingsnyje, kontrolės priemonėje 5.20, paaiškinama, kad tiekėjų susitarimai turi apimti praktinius saugumo reikalavimus, kurie leidžia pasitraukti:
Pagrindinės sritys, paprastai aptariamos tiekėjų susitarimuose, apima:
✓ Konfidencialumo įsipareigojimus, įskaitant apimtį, trukmę ir atskleidimo trečiosioms šalims apribojimus;
✓ Prieigos kontrolės atsakomybes, pavyzdžiui, kas gali pasiekti jūsų duomenis, kaip valdomi prisijungimo duomenys ir kokia stebėsena taikoma;
✓ Technines ir organizacines priemones duomenų apsaugai, šifravimui, saugiam perdavimui, atsarginėms kopijoms ir prieinamumo įsipareigojimams;
✓ Pranešimų apie incidentus terminus ir protokolus, dažnai su apibrėžtais laiko intervalais;
✓ Teisę atlikti auditą, įskaitant dažnumą, taikymo sritį ir prieigą prie susijusių įrodymų;
✓ Subtiekėjų kontrolės priemones, reikalaujančias, kad jūsų tiekėjas perduotų lygiaverčius saugumo įsipareigojimus savo žemiau grandinėje esantiems partneriams;
✓ Sutarties pabaigos nuostatas, tokias kaip duomenų grąžinimas arba sunaikinimas, turto atkūrimas ir paskyrų deaktyvavimas.
Šis sąrašas susieja DORA 30 straipsnio sutartinius lūkesčius su ISO/IEC 27001:2022 A priedo kontrolės priemone A.5.20.
Clarysec įmonės politikos formuluotės tą pačią mintį paverčia operacine. Tiekėjų priklausomybės rizikos valdymo politikoje Tiekėjų priklausomybės rizikos valdymo politika, skyriaus „Įgyvendinimo reikalavimai“ 6.4.3 punkte nustatyta:
Techniniai atsarginiai sprendimai: užtikrinti duomenų perkeliamumą ir sąveikumą, kad prireikus būtų palaikomas paslaugos perėjimas (pvz., reguliarios atsarginės kopijos standartiniais formatais iš SaaS paslaugų teikėjo, kad būtų galima migracija).
Tos pačios politikos 6.8.2 punktas reikalauja:
Teisės į perėjimo pagalbą (perėjimo pagalbos sąlyga), kai reikia pakeisti paslaugų teikėją, įskaitant paslaugos tęsimą apibrėžtu perėjimo laikotarpiu.
Ši nuostata dažnai lemia, ar pasitraukimo strategija atlaiko auditą. Ji pasitraukimą paverčia ne staigiu nutrūkimu, o valdomu perėjimu.
Mažesniems subjektams MVĮ skirta trečiųjų šalių ir tiekėjų saugumo politika MVĮ skirta trečiųjų šalių ir tiekėjų saugumo politika, skyriaus „Valdysenos reikalavimai“ 5.3.6 punkte reikalauja:
Nutraukimo sąlygų, įskaitant saugų duomenų grąžinimą arba sunaikinimą
Įmonių aplinkoms Trečiųjų šalių ir tiekėjų saugumo politika Trečiųjų šalių ir tiekėjų saugumo politika, skyriaus „Politikos įgyvendinimo reikalavimai“ 6.5.1.2 punkte reikalauja:
Grąžinti arba sertifikuotai sunaikinti visą organizacijai priklausančią informaciją
Šie politikos reikalavimai turi būti tiesiogiai atsekami iki sutartinių nuostatų, tiekėjo procedūrų, pasitraukimo instrukcijų ir audito įrodymų.
Pasitraukimas iš debesijos: ištestuokite perkeliamumą, kol jo neprireikė
Debesijos paslaugos yra sritis, kur DORA pasitraukimo strategijos dažnai tampa miglotos. Įmonė daro prielaidą, kad gali eksportuoti duomenis, bet niekas neištestavo formato. Ji daro prielaidą, kad duomenys bus ištrinti, bet paslaugų teikėjo saugojimo modelis apima atsargines kopijas ir replikuotą saugyklą. Ji daro prielaidą, kad alternatyvus paslaugų teikėjas galės priimti duomenis, tačiau schemos, tapatybės integracijos, šifravimo raktai, paslaptys, žurnalai, taikomųjų programų sąsajos ir užklausų dažnio ribojimas gali sulėtinti migraciją labiau, nei leidžia poveikio tolerancija.
ISO/IEC 27001:2022 A priedo kontrolės priemonė A.5.23 sprendžia šią gyvavimo ciklo problemą, reikalaudama informacijos saugumo kontrolės priemonių debesijos paslaugų įsigijimui, naudojimui, valdymui ir pasitraukimui iš jų.
Clarysec MVĮ skirta debesijos paslaugų naudojimo politika MVĮ skirta debesijos paslaugų naudojimo politika, skyriaus „Politikos įgyvendinimo reikalavimai“ 6.3.4 punkte reikalauja:
Prieš pradedant naudoti paslaugą patvirtinti duomenų eksporto galimybę (pvz., siekiant išvengti priklausomybės nuo tiekėjo)
6.3.5 punktas reikalauja:
Prieš uždarant paskyrą patvirtinti saugaus ištrynimo procedūras
Šie reikalavimai priklauso tiekėjo gyvavimo ciklo pradžiai. Nelaukite nutraukimo, kad paklaustumėte, ar duomenys gali būti eksportuojami. Nelaukite paskyros uždarymo, kad paklaustumėte, ar yra ištrynimo įrodymų.
Praktinis DORA debesijos pasitraukimo testas turi apimti:
- Reprezentatyvaus duomenų rinkinio eksportą sutartu formatu.
- Išsamumo, vientisumo, laiko žymų, metaduomenų ir prieigos kontrolės priemonių patvirtinimą.
- Duomenų rinkinio importą į parengiamąją aplinką arba alternatyvią priemonę.
- Šifravimo raktų tvarkymo ir paslapčių keitimo patvirtinimą.
- Žurnalų eksporto ir audito pėdsako saugojimo patvirtinimą.
- Paslaugų teikėjo ištrynimo procedūrų dokumentavimą, įskaitant atsarginių kopijų saugojimą ir ištrynimo sertifikavimą.
- Problemų, taisomųjų veiksmų, savininkų ir terminų įrašymą.
- Tiekėjo rizikos vertinimo, Taikomumo pareiškimo ir pasitraukimo plano atnaujinimą.
Perkeliamumas nėra pirkimų pažadas. Tai ištestuotas gebėjimas.
Vienos savaitės sprintas auditui tinkamam DORA pasitraukimo planui
Apsvarstykime mokėjimo įstaigą, naudojančią SaaS sukčiavimo analitikos paslaugų teikėją. Teikėjas gauna operacijų duomenis, klientų identifikatorius, įrenginių telemetriją, elgsenos signalus, sukčiavimo taisykles, vertinimo rezultatus ir bylų pastabas. Paslauga palaiko kritinį sukčiavimo aptikimo procesą. Įmonė taip pat naudoja debesijos duomenų saugyklą eksportuotiems analitikos rezultatams saugoti.
CISO nori DORA IRT trečiųjų šalių pasitraukimo strategijos, kuri atlaikytų vidaus auditą ir priežiūros institucijos peržiūrą. Vienos savaitės sprintas gali atskleisti spragas ir sukurti įrodymų grandinę.
1 diena: suklasifikuokite tiekėją ir apibrėžkite pasitraukimo scenarijų
Naudodama Zenith Blueprint, etapą „Kontrolės priemonės praktikoje“, 23 žingsnį ir veiksmų punktus kontrolės priemonėms 5.19–5.37, komanda pradeda nuo tiekėjų portfelio peržiūros ir klasifikavimo:
Sudarykite visą esamų tiekėjų ir paslaugų teikėjų sąrašą (5.19) ir suklasifikuokite juos pagal prieigą prie sistemų, duomenų arba operacinės kontrolės. Kiekvienam suklasifikuotam tiekėjui patikrinkite, ar saugumo lūkesčiai aiškiai įtraukti į sutartis (5.20), įskaitant konfidencialumą, prieigą, pranešimą apie incidentus ir atitikties įpareigojimus.
Tiekėjas suklasifikuojamas kaip kritinis, nes jis palaiko ypatingos svarbos arba svarbią funkciją, tvarko jautrius operacinius duomenis ir veikia operacijų stebėsenos rezultatus.
Komanda apibrėžia tris pasitraukimo paleidiklius:
- Paslaugų teikėjo nemokumas arba paslaugos nutraukimas.
- Esminis saugumo pažeidimas arba pasitikėjimo praradimas.
- Strateginė migracija siekiant sumažinti koncentracijos riziką.
2 diena: sudarykite reikalavimų sąrašą ir rizikos įrašą
Komanda sudaro vieną reikalavimų sąrašą, apimantį DORA IRT trečiųjų šalių riziką, ISO/IEC 27001:2022 tiekėjų ir debesijos kontrolės priemones, GDPR įsipareigojimus dėl asmens duomenų, klientų sutarčių įsipareigojimus ir vidinį rizikos apetitą.
Pagal GDPR įmonė patvirtina, ar operacijų identifikatoriai, įrenginių identifikatoriai, vietos signalai ir elgsenos analitika susiję su identifikuotais arba identifikuojamais asmenimis. GDPR 5 straipsnio principai, įskaitant vientisumą, konfidencialumą, saugojimo trukmės ribojimą ir atskaitomybę, tampa pasitraukimo įrodymų reikalavimo dalimi. Jei pasitraukimas apima perdavimą naujam paslaugų teikėjui, turi būti dokumentuotas teisinis pagrindas, tikslas, minimizavimas, saugojimas, duomenų tvarkytojo sąlygos ir apsaugos priemonės.
Rizikos įrašas apima:
| Rizikos elementas | Pavyzdinis įrašas |
|---|---|
| Rizikos formuluotė | Negalėjimas atsisakyti sukčiavimo analitikos paslaugų teikėjo per poveikio tolerancijos ribas |
| Pasekmė | Uždelstas sukčiavimo aptikimas, finansinis nuostolis, reguliavimo reikalavimų pažeidimas, žala klientams |
| Tikimybė | Vidutinė, atsižvelgiant į paslaugų teikėjo koncentraciją ir nuosavybinius formatus |
| Rizikos savininkas | Finansinių nusikaltimų technologijų vadovas |
| Tvarkymas | Sutarties pakeitimas, eksporto testas, alternatyvaus paslaugų teikėjo vertinimas, atsarginių kopijų patikrinimas, instrukcijos testas |
| Liekamosios rizikos patvirtinimas | CRO patvirtinimas po testavimo įrodymų ir taisomųjų veiksmų peržiūros |
3 diena: pašalinkite sutarties spragas
Teisės ir pirkimų komandos palygina sutartį su Clarysec tiekėjų nuostatomis. Jos prideda perėjimo pagalbą, paslaugos tęsimą apibrėžtu perėjimo laikotarpiu, prieigą prie audito ir įrodymų, pranešimą apie subtiekėjus, duomenų eksporto formatą, saugaus ištrynimo sertifikavimą, bendradarbiavimą incidentų atveju ir atkūrimo laiko įsipareigojimus.
Veiklos tęstinumo ir atkūrimo po katastrofos politika Veiklos tęstinumo ir atkūrimo po katastrofos politika, skyriaus „Politikos įgyvendinimo reikalavimai“ 6.5.1 punkte nustatyta:
Sutartys su kritiniais tiekėjais privalo apimti tęstinumo įsipareigojimus ir atkūrimo laiko įsipareigojimus.
MVĮ atveju MVĮ skirta veiklos tęstinumo ir atkūrimo po katastrofos politika MVĮ skirta veiklos tęstinumo ir atkūrimo po katastrofos politika, skyriaus „Rizikos tvarkymas ir išimtys“ 7.2.1.4 punktas reikalauja komandų:
dokumentuoti laikinus tiekėjo arba partnerio pakeitimo planus
Ši nuostata teiginį „migruosime“ paverčia vykdomu atsarginiu sprendimu: kuris paslaugų teikėjas, koks vidinis apėjimo sprendimas, koks rankinis procesas, koks duomenų išrašas, kuris savininkas ir koks patvirtinimo kelias.
4 diena: ištestuokite duomenų perkeliamumą ir atsarginių kopijų atkuriamumą
Technologijų komanda eksportuoja sukčiavimo taisykles, bylų duomenis, operacijų vertinimo rezultatus, žurnalus, konfigūraciją, API dokumentaciją ir naudotojų prieigos sąrašus. Ji testuoja, ar duomenys gali būti atkurti arba pakartotinai panaudoti kontroliuojamoje aplinkoje.
MVĮ skirta atsarginių kopijų ir atkūrimo politika MVĮ skirta atsarginių kopijų ir atkūrimo politika, skyriaus „Valdysenos reikalavimai“ 5.3.3 punkte reikalauja:
Atkūrimo testai atliekami bent kas ketvirtį, o rezultatai dokumentuojami atkuriamumui patikrinti
Įmonės Atsarginių kopijų ir atkūrimo politika Atsarginių kopijų ir atkūrimo politika, skyriaus „Įgyvendinimas ir atitiktis“ 8.3.1 punkte papildomai nustatyta:
Periodiškai audituoti atsarginių kopijų žurnalus, konfigūracijos nustatymus ir testų rezultatus
Zenith Blueprint dokumente, etapo „Kontrolės priemonės praktikoje“ 19 žingsnyje, kontrolės priemonėje 8.13, Clarysec paaiškina, kodėl tai svarbu:
Atkūrimo testavimas yra sritis, kurioje dauguma organizacijų nepasiekia reikiamo lygio. Atsarginė kopija, kurios negalima atkurti laiku arba apskritai atkurti, yra įsipareigojimas, o ne turtas. Planuokite reguliarias atkūrimo pratybas, net jei tik dalines, ir dokumentuokite rezultatą.
Komanda nustato, kad eksportuotos bylų pastabos neapima priedų, o API užklausų dažnio ribojimai daro visą eksportą per lėtą apibrėžtam atkūrimo tikslui. Problema įrašoma, priskiriama ir pašalinama sutarties priedu bei techniniu eksporto pertvarkymu.
5 diena: atlikite pasitraukimo stalo pratybas ir įrodymų peržiūrą
Komanda atlieka stalo pratybas: tiekėjas praneša apie sutarties nutraukimą po 90 dienų dėl didelio incidento. Operacijos turi tęsti sukčiavimo stebėseną, kol duomenys migruojami.
Zenith Blueprint dokumente, etapo „Kontrolės priemonės praktikoje“ 23 žingsnyje, kontrolės priemonėje 5.30, Clarysec paaiškina testavimo standartą:
IRT pasirengimas prasideda gerokai prieš sutrikimą. Jis apima kritinių sistemų identifikavimą, jų tarpusavio priklausomybių supratimą ir susiejimą su verslo procesais.
Toje pačioje dalyje priduriama:
Veiklos tęstinumo plane apibrėžti atkūrimo laiko tikslai (RTO) ir atkūrimo taško tikslai (RPO) turi atsispindėti techninėse konfigūracijose, sutartyse ir infrastruktūros projekte.
Įrodymų paketas apima tiekėjo klasifikavimą, rizikos vertinimą, sutartines nuostatas, pasitraukimo instrukciją, duomenų eksporto rezultatus, atsarginių kopijų atkūrimo įrodymus, ištrynimo procedūrą, alternatyvaus paslaugų teikėjo vertinimą, stalo pratybų protokolą, taisomųjų veiksmų žurnalą, vadovybės patvirtinimą ir liekamosios rizikos sprendimą.
CISO dabar gali atsakyti valdybai įrodymais, o ne optimizmu.
Kryžminė atitiktis: vienas pasitraukimo planas, keli audito požiūriai
Stipri DORA pasitraukimo strategija mažina dubliuojamą atitikties darbą pagal ISO/IEC 27001:2022, NIS2, GDPR, NIST ir COBIT 2019 valdysenos lūkesčius.
| Sistema arba reglamentas | Ko prašoma pasitraukimo planavimo požiūriu | Clarysec rekomenduojami įrodymai |
|---|---|---|
| DORA | Palaikyti pasitraukimo strategijas kritinėms arba svarbioms IRT paslaugoms, valdyti trečiųjų šalių riziką, testuoti atsparumą, dokumentuoti sutartis ir priklausomybes | Tiekėjų registras, kritiškumo klasifikavimas, sutartinės nuostatos, pasitraukimo testas, perėjimo planas, audito teisės, koncentracijos rizikos vertinimas |
| NIS2 | Atitinkamiems subjektams valdyti tiekimo grandinės saugumą, veiklos tęstinumą, atsargines kopijas, atkūrimą po katastrofos, krizių valdymą, incidentų valdymą ir valdysenos atskaitomybę | Tiekėjo rizikos vertinimas, tęstinumo planas, incidentų reagavimo veiksmų planai, vadovybės patvirtinimas, korekciniai veiksmai |
| GDPR | Apsaugoti asmens duomenis perdavimo, grąžinimo, ištrynimo, migracijos ir saugojimo metu, užtikrinant atskaitomybę ir tinkamas technines bei organizacines priemones | Duomenų žemėlapis, duomenų tvarkytojo sąlygos, eksporto įrodymai, ištrynimo sertifikavimas, saugojimo taisyklės, suderinimas su pažeidimų valdymu |
| ISO/IEC 27001:2022 | ISVS viduje taikyti tiekėjų, debesijos, tęstinumo, incidentų, audito, stebėsenos ir tobulinimo kontrolės priemones | Taikomumo pareiškimas, rizikos tvarkymo planas, vidaus audito įrašas, vadovybės peržiūra, dokumentuotos procedūros |
| NIST Cybersecurity Framework 2.0 | Valdyti išorines priklausomybes, identifikuoti tiekėjus, apsaugoti paslaugas, reaguoti į sutrikimus ir atkurti operacijas | Priklausomybių inventorius, tiekėjų rizikos įrašai, apsaugos kontrolės priemonės, reagavimo procedūra, atkūrimo testas, įgyta patirtis |
| COBIT 2019 | Įrodyti valdyseną dėl paslaugų įsigijimo iš išorės, tiekėjų veiklos rezultatų, rizikos, paslaugų tęstinumo, patikinimo ir atitikties | Valdysenos sprendimai, savininkystė, KPI, tiekėjų priežiūra, tęstinumo įrodymai, patikinimo ataskaitos |
Svarbu ne tai, kad viena sistema pakeičia kitą. Vertė yra ta, kad gerai sukurta ISVS leidžia organizacijai įrodymus parengti vieną kartą ir juos protingai panaudoti pakartotinai.
Clarysec Zenith Controls padeda komandoms pasirengti šiems audito požiūriams, susiejant ISO/IEC 27001:2022 kontrolės priemones su audito įrodymais ir kelių sistemų lūkesčiais.
| Auditoriaus požiūris | Tikėtinas audito klausimas | Įrodymai, kurie paprastai patenkina klausimą |
|---|---|---|
| ISO/IEC 27001:2022 auditorius | Ar tiekėjų ir debesijos pasitraukimas kontroliuojamas ISVS, rizikos vertinimo, SoA ir vidaus audito programos kontekste? | ISVS taikymo sritis, rizikos vertinimas, SoA, tiekėjų procedūra, debesijos pasitraukimo procedūra, vidaus audito rezultatai, vadovybės peržiūros veiksmai |
| DORA priežiūros institucija arba vidaus DORA auditas | Ar galite atsisakyti kritinio IRT paslaugų teikėjo be nepriimtino sutrikimo, duomenų praradimo ar reguliavimo reikalavimų pažeidimo? | Kritiškumo vertinimas, DORA tiekėjų registras, pasitraukimo strategija, sutartinės nuostatos, perėjimo testas, koncentracijos vertinimas, taisomųjų veiksmų žurnalas |
| Į NIST orientuotas vertintojas | Ar suvaldėte ir identifikavote išorines priklausomybes, apsaugojote kritines paslaugas ir ištestavote reagavimo bei atkūrimo gebėjimus? | Priklausomybių inventorius, prieigos kontrolės priemonės, stebėsena, incidentų eskalavimas, atkūrimo testas, įgyta patirtis |
| COBIT 2019 arba ISACA auditorius | Ar tiekėjo pasitraukimas yra valdomas, turi savininką, matuojamas ir užtikrinamas pagal valdymo tikslus, tokius kaip APO10 Managed Vendors ir DSS04 Managed Continuity? | RACI, vadovybės patvirtinimas, KPI, tiekėjo veiklos peržiūra, patikinimo įrodymai, problemų sekimas |
| Privatumo auditorius | Ar asmens duomenys gali būti grąžinti, migruoti, apriboti, ištrinti arba saugiai saugomi pagal GDPR įsipareigojimus? | Duomenų tvarkymo registras, duomenų tvarkytojo sąlygos, eksporto įrodymai, ištrynimo sertifikatas, saugojimo pagrindimas, pažeidimo valdymo eiga |
Dažna audito nesėkmė yra įrodymų suskaidymas. Tiekėjo savininkas turi sutartį. IT turi atsarginių kopijų žurnalus. Teisės skyrius turi duomenų tvarkymo sutartį. Rizikos funkcija turi vertinimą. Atitikties funkcija turi reguliavimo susiejimą. Niekas neturi visos istorijos.
Clarysec tai sprendžia kurdama įrodymų paketą aplink pasitraukimo scenarijų. Kiekvienas dokumentas atsako į vieną audito klausimą: kokios paslaugos atsisakoma, kodėl ji kritinė, kokie duomenys ir sistemos paveikiami, kas yra rizikos savininkas, kokios sutartinės teisės leidžia pasitraukti, kokie techniniai mechanizmai leidžia migraciją, kokios tęstinumo priemonės palaiko veiklą, koks testas įrodo, kad planas veikia, kokios problemos pašalintos ir kas patvirtino liekamąją riziką.
Clarysec DORA pasitraukimo strategijos kontrolinis sąrašas
Naudokite šį kontrolinį sąrašą, kad DORA IRT trečiųjų šalių pasitraukimo strategiją paverstumėte audituojamu kontrolės priemonių rinkiniu.
| Kontrolės sritis | Minimalus lūkestis | Saugotini įrodymai |
|---|---|---|
| Tiekėjo klasifikavimas | Nustatyti, ar tiekėjas palaiko ypatingos svarbos arba svarbias funkcijas | Tiekėjų registras, kritiškumo sprendimas, priklausomybių žemėlapis |
| Sutartinis vykdytinumas | Įtraukti perėjimo pagalbą, duomenų eksportą, ištrynimą, auditą, bendradarbiavimą incidentų atveju ir tęstinumo įsipareigojimus | Sutartinės nuostatos, priedai, teisinė peržiūra |
| Debesijos perkeliamumas | Patvirtinti eksporto galimybę prieš įtraukimą ir periodiškai eksploatacijos metu | Eksporto testų rezultatai, duomenų formato dokumentacija, migracijos pastabos |
| Duomenų apsauga | Apimti asmens duomenų grąžinimą, ištrynimą, saugojimą, perdavimą ir duomenų tvarkytojo įsipareigojimus | Duomenų žemėlapis, DPA, ištrynimo sertifikavimas, saugojimo sprendimas |
| Atsarginės kopijos ir atkūrimas | Testuoti atkuriamumą pagal RTO ir RPO | Atkūrimo žurnalai, testavimo ataskaita, taisomųjų veiksmų įrašas |
| Pakeitimo planavimas | Apibrėžti alternatyvų paslaugų teikėją, rankinį apėjimo sprendimą arba vidinį procesą | Pakeitimo planas, stalo pratybų protokolas, savininkų sąrašas |
| Valdysena | Priskirti rizikos savininką ir gauti vadovybės patvirtinimą | Rizikos įrašas, liekamosios rizikos priėmimas, vadovybės peržiūros protokolas |
| Pasirengimas auditui | Susieti politikas, kontrolės priemones, sutartis, testus ir korekcinius veiksmus | Įrodymų paketo rodyklė, vidaus audito ataskaita, problemų sekimo priemonė |
Paverskite pasitraukimo planavimą valdybai tinkama atsparumo kontrolės priemone
Jei jūsų DORA pasitraukimo strategija yra tik sutartinė nuostata, ji neparengta. Jei jūsų atsarginė kopija niekada nebuvo atkurta, ji neparengta. Jei jūsų debesijos paslaugų teikėjas gali eksportuoti duomenis, bet niekas nepatvirtino jų išsamumo, ji neparengta. Jei jūsų valdyba nemato sprendimo dėl liekamosios rizikos, ji neparengta.
Clarysec padeda CISO, atitikties vadovams, auditoriams ir verslo savininkams kurti DORA IRT trečiųjų šalių pasitraukimo strategijas, kurios yra praktiškos, proporcingos ir tinkamos auditui. Sujungiame Zenith Blueprint Zenith Blueprint įgyvendinimo sekai, Zenith Controls Zenith Controls kryžminės atitikties susiejimui ir politikų šablonus, tokius kaip Tiekėjų priklausomybės rizikos valdymo politika Tiekėjų priklausomybės rizikos valdymo politika, MVĮ skirta debesijos paslaugų naudojimo politika MVĮ skirta debesijos paslaugų naudojimo politika, MVĮ skirta trečiųjų šalių ir tiekėjų saugumo politika MVĮ skirta trečiųjų šalių ir tiekėjų saugumo politika ir Veiklos tęstinumo ir atkūrimo po katastrofos politika Veiklos tęstinumo ir atkūrimo po katastrofos politika, kad sukurtume visą grandinę nuo kontrolės priemonės iki įrodymų.
Kitas jūsų žingsnis yra paprastas ir didelės vertės: šią savaitę pasirinkite vieną kritinį IRT tiekėją. Suklasifikuokite jį, peržiūrėkite jo sutartį, ištestuokite vieną duomenų eksportą, patikrinkite vieną atkūrimą, dokumentuokite vieną pakeitimo planą ir sukurkite vieną įrodymų paketą.
Šis vienas pratimas parodys, ar jūsų DORA pasitraukimo strategija yra tikras atsparumo gebėjimas, ar tik dokumentas, laukiantis nesėkmės audito metu.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
