DORA testavimo programa: testų susiejimas su ISO 27001

2026 m. vasaris. Vidutinio dydžio mokėjimo įstaigos CISO po dviejų dienų turi valdybos posėdį, po šešių savaičių – ISO/IEC 27001:2022 priežiūros auditą, o atitikties pašto dėžutėje laukia DORA priežiūros institucijos užklausa.

Reguliuotojas neprašo blizgios kibernetinio saugumo strategijos. Užklausa yra praktinė:

• Pateikite savo 2026 m. skaitmeninės veiklos atsparumo testavimo programą.
• Parodykite, kurie testai apima kritines ar svarbias funkcijas.
• Pagrįskite, kaip išvados šalinamos ir pakartotinai testuojamos.
• Pateikite valdymo organo priežiūros įrodymus.
• Paaiškinkite, kaip įtraukiami IRT trečiųjų šalių paslaugų teikėjai.
• Pateikite pažeidžiamumų vertinimų, scenarijais pagrįstų testų, našumo ir pajėgumo testavimo bei įsiskverbimo testavimo įrašus.

CISO atidaro keturis aplankus. Pažeidžiamumų skenavimas yra SOC užduočių valdymo sistemoje. Stalo pratybų pastabos – bendrinamame diske. Apkrovos testų rezultatus valdo inžinerijos komanda. Įsiskverbimo testavimo ataskaitos laikomos teisės funkcijos ribotos prieigos saugykloje. Taisomųjų veiksmų stebėsena išskaidyta tarp Jira, el. pašto ir skaičiuoklės, sukurtos per praėjusių metų ISO auditą.

Niekas nėra fiktyvu. Didelė dalis darbo atlikta tinkamai. Tačiau tai dar nėra valdoma DORA skaitmeninės veiklos atsparumo testavimo programa. Tai tik testų rinkinys.

2026 m. šis skirtumas yra svarbus. DORA taikomas nuo 2025 m. sausio 17 d. ir nustato vienodą ES sistemą skaitmeninės veiklos atsparumui IRT rizikos valdymo, pranešimų apie incidentus, atsparumo testavimo, dalijimosi informacija apie kibernetines grėsmes ir pažeidžiamumus, IRT trečiųjų šalių rizikos valdymo, sutartinių reikalavimų ir kritinių IRT trečiųjų šalių paslaugų teikėjų priežiūros srityse. Jis taikomas plačiam finansų subjektų ratui, įskaitant kredito įstaigas, mokėjimo įstaigas, investicines įmones, kriptoturto paslaugų teikėjus, draudimo įmones ir kitus reguliuojamus subjektus. DORA taip pat yra sektoriui skirtas Sąjungos teisės aktas finansų subjektams, kuriems kitu atveju būtų taikomos lygiavertės NIS2 kibernetinio saugumo prievolės.

Praktinis klausimas valdyboms, CISO, atitikties vadovams ir IRT paslaugų teikėjams nebėra, ar testavimas vykdomas. Klausimas – ar testavimas suplanuotas, pagrįstas rizika, patvirtintas įrodymais, ar išvados šalinamos, ar rezultatai peržiūrimi ir ar juos galima pakartotinai naudoti DORA ir ISO/IEC 27001:2022 kontekste.

Clarysec veiklos modelis sukurtas būtent šiai problemai spręsti. Naudodamos Zenith Blueprint: auditoriaus 30 žingsnių veiksmų planą, Clarysec su ISO suderintą politikų rinkinį ir Zenith Controls: kompleksinės atitikties vadovą, organizacijos gali išskaidytas atsparumo veiklas paversti kontroliuojamu metiniu testų katalogu, atitinkančiu priežiūros institucijų, auditorių, klientų ir valdybų lūkesčius.

Kodėl DORA testavimą paverčia valdysenos klausimu

DORA aiškiai nustato vykdomosios vadovybės atskaitomybę. 5 straipsnis atsakomybę už IRT rizikos valdymą priskiria valdymo organui. 6 straipsnyje reikalaujama patikimos, išsamios ir gerai dokumentuotos IRT rizikos valdymo sistemos, integruotos į bendrą organizacijos rizikos valdymo sistemą. 4 straipsnyje įtvirtinamas proporcingumas, t. y. reikalavimai turi būti taikomi atsižvelgiant į dydį, bendrą rizikos profilį ir paslaugų, veiklų bei operacijų pobūdį, mastą ir sudėtingumą.

Todėl skaitmeninės veiklos atsparumo testavimas yra daugiau nei techninė užduotis. Jis tampa įrodymu, kad valdymo organas supranta riziką, yra patvirtinęs strategiją, gauna prasmingas ataskaitas ir užtikrina taisomuosius veiksmus.

ISO/IEC 27001:2022 taiko panašią valdymo sistemos logiką. 4.1–4.4 punktuose reikalaujama, kad organizacija suprastų kontekstą, suinteresuotąsias šalis, teisines ir sutartines prievoles, taikymo sritį, sąsajas ir priklausomybes. 5.1–5.3 punktuose reikalaujama lyderystės, politikos suderinimo, išteklių, komunikacijos, priskirtų atsakomybių ir ataskaitų teikimo aukščiausiajai vadovybei. 6.1 punkte reikalaujama informacijos saugos rizikos vertinimo ir rizikos tvarkymo.

Todėl DORA testavimo programa turi susieti:

• Verslo paslaugas ir kritines ar svarbias funkcijas
• IRT turtą, duomenis ir trečiųjų šalių priklausomybes
• Rizikos vertinimą, rizikos savininkus ir rizikos tvarkymo planus
• Testų tipus, dažnį ir inicijavimo kriterijus
• Autorizavimą, nepriklausomumą ir testavimo taisykles
• Išvadas, taisomųjų veiksmų terminus ir pakartotinį testavimą
• Įrodymų saugojimą ir prieigos kontrolę
• Vadovybės ataskaitas ir nuolatinį tobulinimą

Mažesniems arba mažesnės rizikos finansų subjektams 16 straipsnyje numatyta supaprastinta IRT rizikos valdymo sistema, tačiau supaprastinta nereiškia neformali. Net proporcingai sumažintoms programoms vis tiek reikia dokumentuoto IRT rizikos valdymo, stebėsenos, atsparių sistemų, IRT rizikos šaltinių ir anomalijų identifikavimo, pagrindinių IRT trečiųjų šalių priklausomybių, tęstinumo ir atkūrimo priemonių, reguliaraus testavimo ir įgytos patirties taikymo.

Kitaip tariant, DORA nevertina testų kiekio. Ji vertina valdomą, rizika pagrįstą testavimą, kuris įrodo svarbiausių paslaugų atsparumą.

Kas turi būti 2026 m. DORA testavimo programoje?

Brandži DORA testavimo programa turi veikti kaip metinis testų katalogas. Ji neturi apsiriboti vienu metiniu įsiskverbimo testu ar pažeidžiamumų skenavimo eksportų rinkiniu. Ji turi apimti bazinius ir pažangius testus, suplanuotus pagal riziką, paslaugų kritiškumą, reglamentavimo prievoles, tiekėjų priklausomybes, reikšmingus pakeitimus ir ankstesnes išvadas.

DORA 24 straipsnyje nustatyta skaitmeninės veiklos atsparumo testavimo programa. 25 straipsnyje aprašomi įvairūs testai, įskaitant pažeidžiamumų vertinimus ir skenavimą, atvirojo kodo analizes, tinklo saugumo vertinimus, spragų analizes, fizinio saugumo peržiūras, klausimynus, skenavimo programinės įrangos sprendimus, pirminio kodo peržiūras, kai tai įmanoma, scenarijais pagrįstus testus, suderinamumo testavimą, našumo testavimą, ištisinį testavimą ir įsiskverbimo testavimą. 26 straipsnyje papildomai nustatomas grėsmėmis grindžiamas įsiskverbimo testavimas finansų subjektams, kuriuos atrenka kompetentingos institucijos.

Daugumoje organizacijų praktinis katalogas sudaromas iš keturių testavimo grupių.

Clarysec Saugumo testavimo ir raudonosios komandos pratybų politika suteikia tvirtą šio katalogo politikos pagrindą:

“Testų tipai: saugumo testavimo programa turi apimti bent: (a) pažeidžiamumų skenavimą, kurį sudaro automatizuotas savaitinis arba mėnesinis tinklų ir taikomųjų programų skenavimas žinomiems pažeidžiamumams nustatyti; (b) įsiskverbimo testavimą, kurį sudaro kvalifikuotų testuotojų atliekamas rankinis išsamus konkrečių sistemų ar taikomųjų programų testavimas sudėtingoms silpnosioms vietoms nustatyti; ir (c) raudonosios komandos pratybas, kurias sudaro scenarijais pagrįstos realių atakų simuliacijos, įskaitant socialinę inžineriją ir kitas taktikas, siekiant patikrinti visos organizacijos aptikimo ir reagavimo gebėjimus.”

Ta pati politika reikalauja reguliaraus planavimo:

“Testavimo grafikas: organizacija turi reguliariai vykdyti saugumo testavimą. Pagrindinėms į internetą nukreiptoms sistemoms ir kritinėms vidaus taikomosioms programoms įsiskverbimo testavimas turi būti atliekamas bent kartą per metus. Didelės rizikos pakeitimams, pvz., naujos kritinės sistemos diegimui arba reikšmingiems atnaujinimams, reikia ad hoc testavimo prieš paleidimą gamybinėje aplinkoje ir (arba) netrukus po jo.”

Tai kritiškai svarbu DORA. Statinio metinio plano nepakanka, jei subjektas diegia naują mokėjimų šliuzą, migruoja pagrindinę sistemą į debesiją, keičia valdomų paslaugų teikėją arba išleidžia naują klientų autentifikavimo srautą. Didelės rizikos pakeitimas turi inicijuoti papildomą testavimą.

Kurkite metinį testų katalogą kaip vienintelį patikimą informacijos šaltinį

Veiksmingiausias būdas atitikti DORA ir ISO/IEC 27001:2022 yra sukurti vieną kontroliuojamą metinį testų katalogą. Jis gali būti GRC platformoje, užduočių valdymo darbo eigoje arba kontroliuojamoje skaičiuoklėje. Formatas mažiau svarbus nei atsekamumas.

Kiekvienas testas turi atsakyti į penkis audito klausimus:

1. Kuri paslauga, turtas, tiekėjas, taikomoji programa ar procesas buvo testuotas?
2. Kuri rizika, prievolė ar kontrolės reikalavimas inicijavo testą?
3. Kas autorizavo ir atliko testą?
4. Kokios išvados buvo nustatytos, priimtos, pašalintos arba atidėtos?
5. Kokie įrodymai patvirtina, kad testas įvyko ir rezultatas buvo peržiūrėtas?

Praktiniame Clarysec stiliaus kataloge yra šie laukai.

Clarysec Audito ir atitikties stebėsenos politika SME pateikia glaustą valdysenos taisyklę, tinkančią šiai struktūrai:

“Kiekvienas auditas turi turėti apibrėžtą taikymo sritį, tikslus, atsakingus asmenis ir reikiamus įrodymus.”

Nors ši taisyklė parašyta auditams, ji turi būti taikoma ir atsparumo testams. Jei pažeidžiamumų skenavimas, stalo pratybos, perjungimo į atsarginę aplinką simuliacija ar įsiskverbimo testas neturi apibrėžtos taikymo srities, tikslo, savininko ir reikiamų įrodymų, jis bus silpnas tiek DORA, tiek ISO audito vertinime.

Ta pati politika nurodo:

“Įrodymai turi būti saugomi bent dvejus metus arba ilgiau, kai to reikalauja sertifikavimo ar klientų susitarimai.”

DORA reguliuojamiems finansų subjektams ir IRT paslaugų teikėjams dveji metai turėtų būti laikomi minimalia riba. Sutartiniai įsipareigojimai, priežiūros institucijų lūkesčiai, sertifikavimo ciklai ir incidentų tyrimai gali reikalauti ilgesnio saugojimo.

Susiekite DORA testų tipus su ISO 27001 įrodymais

Integruotos programos stiprybė yra ta, kad vienas testas gali patenkinti kelias prievoles. Svarbiausia – tinkamai pažymėti įrodymus ir susieti juos su ISVS.

Zenith Blueprint tai paaiškina audito, peržiūros ir tobulinimo fazėje, 24 žingsnyje:

“Jūsų SoA turi derėti su rizikų registru ir rizikos tvarkymo planu. Dar kartą patikrinkite, kad kiekviena kontrolės priemonė, kurią pasirinkote kaip rizikos tvarkymo priemonę, SoA būtų pažymėta kaip „taikoma“.”

DORA testavimo programoje testų katalogas tampa tiltu tarp rizikos tvarkymo ir operacinių įrodymų. Taikytinumo pareiškimas neturi teigti, kad kontrolės priemonė taikoma, jei testo įrodymai yra kitur, nesusieti ir nevaldomi.

Ši lentelė padeda CISO atsakyti į dažną generalinio direktoriaus klausimą: „Ar mūsų ISO įsiskverbimo testų ir pažeidžiamumų skenavimo pakanka DORA reikalavimams?“

Atsakymas: jie gali būti DORA atitikties dalis, tačiau tik tada, jei yra pagrįsti rizika, susieti su kritinėmis ar svarbiomis funkcijomis, valdomi pagal politiką, sekami iki taisomųjų veiksmų įgyvendinimo ir teikiami vadovybei.

Pažeidžiamumų vertinimai: nuolatiniai įrodymai, ne tik skenavimo išvestis

Pažeidžiamumų vertinimas dažnai yra lengviausiai vykdoma ir lengviausiai netinkamai valdoma testavimo veikla. Daugelis organizacijų gali pateikti skenavimo ataskaitas. Mažiau organizacijų gali įrodyti, kad skenavimas apima tinkamą turtą, prioritetizuoja kritines paslaugas, generuoja laiku atliekamus taisomuosius veiksmus ir yra naudojamas priimant rizikos tvarkymo sprendimus.

Clarysec Pažeidžiamumų ir pataisų valdymo politika SME pradedama tinkamu tikslu:

“Laiku ir nuosekliai nustatyti bei įvertinti žinomus pažeidžiamumus visuose IT turtuose”

DORA kontekste tai palaiko IRT rizikos šaltinių identifikavimą, atsparias ir atnaujintas sistemas, stebėseną, anomalijų aptikimą ir nuolatinį tobulinimą. ISO/IEC 27001:2022 kontekste tai tiesiogiai siejasi su 8.8 Techninių pažeidžiamumų valdymu, taip pat remiasi 5.9 Informacijos ir kito susijusio turto apskaita, 8.16 Stebėsenos veiklomis ir 8.32 Pakeitimų valdymu.

Tvirtas pažeidžiamumų vertinimo įrašas turi apimti:

• Turto apskaitos momentinę kopiją, naudotą taikymo sričiai nustatyti
• Skenavimo datą, įrankį ir autentifikuotą arba neautentifikuotą metodą
• Išimtis ir verslo pagrindimą
• Išvadas pagal sunkumą, išnaudojamumą ir verslo paslaugą
• Susiejimą su kritinėmis ar svarbiomis funkcijomis ir duomenų tipais
• Užduočių nuorodas ir rizikos savininką
• Taisomųjų veiksmų SLA ir įvykdymo terminą
• Pakartotinio testo rezultatą
• Išimtis su likutinės rizikos patvirtinimu

Zenith Controls 8.8 Techninių pažeidžiamumų valdymą pateikia kaip pagrindinę įrodymų sritį identifikavimui, vertinimui, prioritetizavimui ir taisomųjų veiksmų stebėsenai. Tai taip pat paaiškina, kodėl auditoriai tikrins gretimus procesus. Jei turto apskaita neišsami, pažeidžiamumų aprėptis neišsami. Jei pakeitimų valdymas apeinamas, pataisų diegimas gali sukurti naują operacinę riziką. Jei stebėsena silpna, išnaudojimo bandymai gali būti neaptikti.

Scenarijų testai: įrodykite sprendimų priėmimą prieš tikrą incidentą

Scenarijų testai parodo vadovams, kaip veikia operacinis atsparumas. Išpirkos reikalaujančios programinės įrangos stalo pratybos, debesijos regiono nepasiekiamumo simuliacija, privilegijuotos prieigos kompromitavimo pratybos arba kritinio IRT paslaugų teikėjo sutrikimo scenarijus atskleis silpnąsias vietas, kurių skenavimas neparodo.

DORA 17–20 straipsniuose reikalaujama formalaus su IRT susijusio incidento gyvavimo ciklo: aptikti, valdyti, pranešti, registruoti, stebėti, tvarkyti, vykdyti tolesnius veiksmus, dokumentuoti pagrindinę priežastį, pašalinti, klasifikuoti sunkumą, priskirti vaidmenis, eskaluoti reikšmingus incidentus ir teikti pranešimus reikalaujamais etapais. Kai paveikiami klientų finansiniai interesai, klientai turi būti informuojami nepagrįstai nedelsiant.

NIS2 jos taikymo sričiai priklausantiems subjektams nustato panašų skubumą, įskaitant ankstyvąjį perspėjimą, pranešimą, tarpines ataskaitas ir galutinę ataskaitą. Finansų subjektams DORA yra sektoriui skirtas teisės aktas lygiavertėms kibernetinio saugumo rizikos valdymo ir pranešimo pareigoms. IRT paslaugų teikėjai, SaaS platformos, MSP ir MSSP vis tiek turi patikrinti, ar jie tiesiogiai patenka į NIS2 taikymo sritį, arba ar reguliuojami klientai juos sutartiniais pagrindais įtraukia į DORA patikinimą.

Zenith Blueprint, kontrolės priemonių praktinio taikymo fazės 23 žingsnis, pateikia praktinį įrodymų modelį:

“Pasirinkite neseną įvykį arba atlikite stalo pratybas, kad patikrintumėte savo planą. Užfiksuokite ir užregistruokite visus sprendimus, vaidmenis ir komunikaciją (5.26), o planą atnaujinkite pagal įgytą patirtį (5.27).”

DORA scenarijaus testas turi parengti auditui tinkamus įrašus, o ne tik susitikimo pastabas:

• Scenarijaus santrauką ir tikslus
• Dalyvius ir vaidmenis, įskaitant teisės, komunikacijos, IT, SOC, verslo savininko ir tiekėjo kontaktus
• Įterpinių ir sprendimų laiko juostą
• Klasifikavimo sprendimą ir pranešimo slenksčių analizę
• Vidinės ir išorinės komunikacijos juodraščius
• Įrodymų išsaugojimo veiksmus
• Įgytą patirtį
• Veiksmų savininkus ir įvykdymo terminus
• Atnaujintas incidentų, tęstinumo ar komunikacijos procedūras

Clarysec Veiklos tęstinumo ir atkūrimo po katastrofos politika SME sustiprina metinio testavimo lūkestį:

“Organizacija turi testuoti tiek savo BCP, tiek DR pajėgumus bent kartą per metus. Testai turi apimti:”

Testavimo katalogas šią prievolę turi paversti konkrečiomis pratybomis, pvz., krizių valdymo stalo pratybomis, atsarginių kopijų atkūrimo testu, debesijos perjungimo į atsarginę aplinką testu, kontaktų medžio testu ir tiekėjo sutrikimo simuliacija.

Našumo, pajėgumo ir atkūrimo testai: dažnai nepakankamai vertinami atsparumo įrodymai

Našumo testavimas dažnai laikomas inžinerijos klausimu. Pagal DORA jis tampa atsparumo įrodymu.

Prekybos platformai, mokėjimų paslaugai, žalų administravimo sistemai, tapatybės platformai ar klientų portalui nereikia kibernetinės atakos, kad klientai patirtų sutrikimą. Pajėgumo išnaudojimas, eilių prisotinimas, duomenų bazės siaurieji kakliukai, netinkamai sukonfigūruotas automatinis mastelio keitimas ar neveikiantis perjungimas į atsarginę aplinką gali sukelti tokį pat operacinį sutrikimą kaip saugumo incidentas.

ISO/IEC 27001:2022 A priedo 8.6 Pajėgumų valdymas yra pagrindinė atrama. Įrodymai gali apimti apkrovos testavimą, streso testavimą, paslaugos degradacijos testavimą, infrastruktūros slenksčių patvirtinimą, atsarginių kopijų atkūrimo testus ir perjungimo į atsarginę aplinką simuliacijas.

Geras našumo ir pajėgumo testo įrašas turi fiksuoti:

• Bazinės įprastos apkrovos ir pikinės apkrovos prielaidas
• Testuotas kritines operacijų sekas
• Testuotas infrastruktūros ir debesijos ribas
• Stebėsenos valdymo skydus ir įspėjimų slenksčius
• Gedimo režimus, pvz., eilių prisotinimą arba duomenų bazės siauruosius kakliukus
• RTO ir RPO aktualumą, kai testuojamas perjungimas į atsarginę aplinką arba atkūrimas
• Verslo poveikį, jei slenksčiai pažeidžiami
• Taisomuosius veiksmus, mastelio keitimo sprendimus arba architektūros pakeitimus
• Vadovybės patvirtintą likutinę pajėgumo riziką

Zenith Blueprint 23 žingsnis susieja atkūrimo lūkesčius su įrodymais:

“Patikrinkite, ar kritinių sistemų atkūrimo laiko tikslai (RTO) ir atkūrimo taško tikslai (RPO) atitinka veiklos tęstinumo lūkesčius (5.30). Atlikite bent vieną techninį atkūrimo testą arba perjungimo į atsarginę aplinką simuliaciją ir dokumentuokite rezultatus.”

Tai yra skirtumas tarp teiginio „turime atsargines kopijas“ ir įrodymo, kad kritinė paslauga buvo atkurta per sutartą toleranciją, dokumentuojant rezultatus ir užtikrinant vadovybės matomumą.

Įsiskverbimo testavimas ir raudonosios komandos pratybos: stipriems įrodymams reikia stiprios kontrolės

Įsiskverbimo testavimas yra labai vertingas įrodymas, tačiau jis taip pat kelia operacinę riziką. Prastai valdomas testavimas gali paveikti produkcines sistemas, atskleisti jautrius duomenis, sukelti nekontroliuojamus įspėjimus, sukurti teisinių problemų arba sutrikdyti klientų darbą.

Taikomųjų programų saugumo reikalavimų politika SME nustato aiškius išleidimo vartus:

“Prieš diegimą visoms taikomosioms programoms turi būti atliktas saugumo testavimas, siekiant patikrinti pirmiau nurodytas bazines funkcijas.”

Kritinėms taikomosioms programoms tai turi būti įtraukta į DORA katalogą kaip priešprodukcinis saugumo testavimas, validavimas po paleidimo gamybinėje aplinkoje didelės rizikos pakeitimams ir periodinis įsiskverbimo testavimas pagal pasiekiamumą ir kritiškumą.

Saugumo testavimo ir raudonosios komandos pratybų politika sustiprina taisomųjų veiksmų grandinę:

“Išvadų šalinimas: visi nustatyti pažeidžiamumai ar silpnosios vietos turi būti dokumentuoti išvadų ataskaitoje su sunkumo lygiais. Gavę ataskaitą, sistemų savininkai atsako už taisomųjų veiksmų plano su įvykdymo terminais parengimą; pavyzdžiui, kritinės išvados turi būti pašalintos per 30 dienų, o aukšto sunkumo išvados – per 60 dienų, laikantis organizacijos Pažeidžiamumų ir pataisų valdymo politikos. STC turi stebėti taisomųjų veiksmų pažangą. Pakartotinis testavimas turi būti atliktas siekiant patvirtinti, kad kritinės problemos išspręstos arba tinkamai sumažintos.”

Ta pati politika apibrėžia ataskaitų teikimo lūkesčius:

“Ataskaitų teikimas: kiekvieno testo pabaigoje turi būti parengta formali ataskaita. Įsiskverbimo testavimui ataskaita turi apimti vadovybei skirtą santrauką, metodiką ir išsamias išvadas su patvirtinančiais įrodymais bei rekomendacijomis.”

Zenith Blueprint 21 žingsnis taip pat pabrėžia apsaugą audito ir testavimo metu:

“Joks testas ar auditas neturi būti vykdomas be dokumentuoto sistemų savininkų arba atitinkamų suinteresuotųjų šalių patvirtinimo.”

Testavimo taisyklės, testavimo langai, avariniai kontaktai, laikina prieiga, duomenų tvarkymas, žurnalavimas, grąžinimo į ankstesnę būseną procedūros ir teisiniai patvirtinimai nėra biurokratija. Tai atsparumo apsaugos priemonės.

Įtraukite IRT trečiųjų šalių paslaugų teikėjus prieš testui nepavykstant

DORA IRT trečiųjų šalių riziką paverčia centriniu atsparumo klausimu. 28 straipsnyje reikalaujama, kad finansų subjektai valdytų IRT trečiųjų šalių riziką IRT rizikos valdymo sistemoje, išliktų atsakingi naudodami IRT paslaugas, tvarkytų informacijos registrą, praneštų apie tam tikrus susitarimus, atliktų ikisutartinius vertinimus ir naudotų paslaugų teikėjus, atitinkančius tinkamus informacijos saugumo standartus. 29 ir 30 straipsniuose nagrinėjama koncentracijos rizika, subtiekimas, duomenų atkūrimas, sutartinės apsaugos priemonės, paslaugų lygiai, pagalba incidentų metu, audito teisės, paslaugų teikėjo nenumatytų atvejų testavimas, dalyvavimas testavime, kai tai aktualu, ir pasitraukimo tvarka.

ISO/IEC 27001:2022 A priede pateikiamos palaikančios tiekėjų kontrolės priemonės, įskaitant 5.19 Informacijos saugumas tiekėjų santykiuose, 5.20 Informacijos saugumo įtraukimas į tiekėjų susitarimus, 5.21 Informacijos saugumo valdymas IRT tiekimo grandinėje, 5.22 Tiekėjų paslaugų stebėsena, peržiūra ir pakeitimų valdymas bei 5.23 Informacijos saugumas naudojant debesijos paslaugas.

DORA testų katalogas turi nustatyti, kuriems testams reikia tiekėjo dalyvavimo arba tiekėjo įrodymų. Pavyzdžiai:

• Debesijos paslaugų teikėjo perjungimo į atsarginę aplinką prielaidos
• Valdomo SOC eskalavimas ir įrodymų išsaugojimas
• Pagrindinės bankininkystės platformos incidentų komunikacija
• Mokėjimų apdorotojo sutrikimo scenarijus
• Tapatybės teikėjo atkūrimo testas
• SaaS tiekėjo įsiskverbimo testavimo patvirtinimai
• Kritinės subtiekėjų grandinės poveikio vertinimas

Programa, kuri neįtraukia kritinių IRT paslaugų teikėjų, neatlaikys realybės testo. Klientams teikiama paslauga gali būti jūsų, tačiau atsparumo priklausomybė gali būti debesijos regione, išoriniame SOC, tapatybės teikėjuje, programinės įrangos tiekėjuje, mokėjimų apdorotojuje arba duomenų centre.

Kompleksinės atitikties susiejimas: vienas įrodymų rinkinys, daug prievolių

Gerai suprojektuota DORA testavimo programa sumažina audito nuovargį. Tie patys įrodymai gali palaikyti DORA, ISO/IEC 27001:2022, NIS2, GDPR, NIST CSF 2.0 ir COBIT 2019 valdysenos peržiūras, jei jie tinkamai pažymimi, saugomi ir apie juos tinkamai pranešama.

GDPR neturi būti pamirštas. Jei atsparumo testuose naudojami asmens duomenys, žurnalai, klientų įrašai, tapatybės duomenys, žmogiškųjų išteklių įrašai, biometriniai duomenys arba specialių kategorijų duomenys, organizacija turi laikytis GDPR principų, įskaitant teisėtumą, sąžiningumą, skaidrumą, duomenų minimizavimą, saugojimo trukmės ribojimą, vientisumą, konfidencialumą ir atskaitomybę. Testavimo duomenų kopijos, eksportuoti žurnalai ir įsiskverbimo testavimo įrodymai gali tapti reglamentuojamų duomenų saugyklomis. Testavimo programa turi apibrėžti, kas gali prie jų prieiti, kiek laiko jie saugomi ir kaip jie saugiai sunaikinami.

Kaip auditoriai tikrins tą pačią programą

DORA priežiūros institucija, ISO auditorius, NIST pagrįstas vertintojas, COBIT peržiūrą atliekantis specialistas ir kliento auditorius gali tikrinti tuos pačius įrodymus per skirtingas prizmes.

Zenith Controls čia naudinga kaip kompleksinės atitikties kompasas. DORA testavimui Clarysec išskiria 5.35 Nepriklausomą informacijos saugumo peržiūrą, 8.8 Techninių pažeidžiamumų valdymą ir 8.6 Pajėgumų valdymą kaip ypač svarbias ISO/IEC 27001:2022 A priedo atramas. Jos padeda kontrolės savininkams susieti testavimą su nepriklausomu patikinimu, pažeidžiamumų tvarkymu ir operaciniu pajėgumu.

Clarysec Informacijos saugumo politika taip pat palaiko audito pėdsaką:

“Kontrolės priemonių savininkai turi saugoti testų rezultatus, žurnalus ir peržiūros įrašus periodiniams auditams pagrįsti.”

Šis sakinys turi tapti operacine taisykle. Kiekvienas testo savininkas turi žinoti, ką saugoti, kur saugoti, kaip apsaugoti ir kaip tai susiję su rizikos ir kontrolės įrodymais.

Sukurkite DORA ir ISO įrodymų paketą per vieną savaitę

Finansų subjektas arba IRT paslaugų teikėjas gali reikšmingai pasistūmėti per penkias darbo dienas.

1 diena: apibrėžkite taikymo sritį ir kritiškumą

Taikykite ISO/IEC 27001:2022 4.1–4.4 punktų logiką. Nustatykite suinteresuotąsias šalis, reglamentavimo prievoles, sutartinius įsipareigojimus, sąsajas ir priklausomybes. Sudarykite verslo paslaugų, kritinių ar svarbių funkcijų, pagrindinio turto, duomenų tipų ir IRT paslaugų teikėjų sąrašą.

Rezultatas: DORA testavimo taikymo srities registras.

2 diena: sukurkite metinį testų katalogą

Naudokite keturias testų grupes: pažeidžiamumų, scenarijų, našumo ir įsiskverbimo. Kiekvienai paslaugai apibrėžkite, kurie testai taikomi, jų dažnį, savininką, nepriklausomumo lygį ir inicijavimo kriterijų. Įtraukite didelės rizikos pakeitimų inicijavimo kriterijus.

Rezultatas: 2026 m. skaitmeninės veiklos atsparumo testavimo katalogas.

3 diena: susiekite kontrolės priemones ir prievoles

Kiekvieną testą susiekite su ISO/IEC 27001:2022 A priedu, rizikų registru, SoA, DORA straipsniais, tiekėjų prievolėmis ir aktualiais Zenith Controls įrašais. Pavyzdžiui, mėnesinis išorinis pažeidžiamumų skenavimas siejamas su 8.8 Techninių pažeidžiamumų valdymu, rizikos tvarkymu, stebėsena, DORA IRT rizikos valdymu ir NIST CSF pažeidžiamumų rezultatais.

Rezultatas: kontrolės priemonių susiejimo matrica.

4 diena: standartizuokite įrodymų aplankus

Sukurkite kontroliuojamą įrodymų struktūrą:

• 01 Planas ir autorizavimas
• 02 Taikymo sritis ir testavimo taisyklės
• 03 Neapdoroti rezultatai
• 04 Galutinė ataskaita
• 05 Išvadų registras
• 06 Taisomųjų veiksmų užduotys
• 07 Pakartotinio testavimo įrodymai
• 08 Vadovybės ataskaitos
• 09 Įgyta patirtis ir politikų atnaujinimai

Rezultatas: įrodymų saugykla su saugojimo taisyklėmis.

5 diena: peržiūrėkite išvadas ir ataskaitas

Sukonsoliduokite atviras išvadas pagal sunkumą, paslaugą, rizikos savininką ir įvykdymo terminą. Nustatykite vėluojančius taisomuosius veiksmus, priimtas rizikas ir pakartotinio testavimo spragas. Parenkite valdymo organo valdymo skydą, kuriame matoma testavimo aprėptis, reikšmingos išvados, vėluojantys veiksmai, trečiųjų šalių problemos ir likutinė rizika.

Rezultatas: valdybai parengtas DORA ir ISO testavimo valdymo skydas.

Dažnos DORA testavimo programos klaidos

Dažniausia nesėkmė nėra testavimo trūkumas. Tai valdysenos trūkumas.

Atkreipkite dėmesį į šias problemas:

• Įsiskverbimo testai atliekami kasmet, bet išvados nesekamos iki uždarymo
• Pažeidžiamumų skenavimas vykdomas dažnai, bet kritinis turtas nepatenka į taikymo sritį
• Stalo pratybos vyksta, bet nėra sprendimų žurnalo arba veiksmų plano pagal įgytą patirtį
• Atsarginių kopijų atkūrimo testai atlikti, bet nesusieti su RTO ir RPO
• Apkrovos testus vykdo inžinerijos komanda, bet apie juos nepranešama rizikos ar atitikties funkcijai
• IRT paslaugų teikėjai neįtraukiami į scenarijų ir atkūrimo testus
• Įrodymai saugomi asmeniniuose aplankuose, pokalbių gijose arba nevaldomuose diskuose
• Valdybos ataskaitose dėmesys skiriamas veiklos skaičiams, o ne neišspręstai atsparumo rizikai
• SoA nurodo, kad kontrolės priemonė taikoma, bet testavimo įrodymų nėra
• Testavimas sukuria produkcinės aplinkos riziką, nes autorizavimas ir ribos neaiškios

Kiekviena spraga išsprendžiama. Sprendimas nėra daugiau atsitiktinio testavimo. Sprendimas – viena kontroliuojama programa, kuri susieja riziką, testavimo veiklą, taisomuosius veiksmus, įrodymus ir vadovybės priežiūrą.

Ką iš tikrųjų turėtų matyti valdyba

DORA IRT atsparumą priskiria valdymo organo atsakomybei. Naudinga valdybos ataskaita neturi apimti kiekvienos techninės išvados. Ji turi atsakyti, ar organizacija yra pakankamai atspari pagal savo rizikos apetitą ir sutrikimų toleranciją.

Tvirtoje ketvirtinėje arba pusmečio ataskaitoje pateikiama:

• Testavimo aprėptis pagal kritines ar svarbias funkcijas
• Atlikti testai palyginti su suplanuotais
• Kritinės ir aukšto sunkumo išvados pagal paslaugą
• Vėluojantys taisomieji veiksmai pagal savininką
• Pakartotinio testavimo išlaikymo rodiklis
• Su tiekėjais susijusios išvados ir koncentracijos klausimai
• Scenarijų testų pamokos, darančios įtaką krizių ar incidentų planams
• Pajėgumo rizikos atsižvelgiant į verslo augimą ir piko laikotarpius
• Likutinės rizikos, kurioms reikia vadovybės priėmimo
• Biudžeto, išteklių arba įrankių apribojimai

Ši ataskaita tampa ISO vadovybės peržiūros įvestimi, DORA valdysenos įrodymais ir praktiniu sprendimų priėmimo įrankiu.

Nuo išskaidytų testų prie strateginio atsparumo

Pirminė CISO problema nebuvo ta, kad testavimo nebuvo. Organizacija turėjo skenavimus, stalo pratybas, apkrovos ataskaitas ir įsiskverbimo testavimo PDF failus. Problema buvo ta, kad šios veiklos dar nesudarė vienos nuoseklios įrodymų istorijos.

Vieninga DORA ir ISO/IEC 27001:2022 testavimo programa tai pakeičia. Rizikos vertinimas formuoja katalogą. Katalogas inicijuoja autorizuotą testavimą. Testavimas sukuria išvadas. Išvados lemia taisomuosius veiksmus ir pakartotinį testavimą. Rezultatai patenka į vadovybės ataskaitas. Įgyta patirtis atnaujina politikas, procedūras, sutartis ir kontrolės priemones.

Taip atitikties našta tampa strateginiu gebėjimu.

Clarysec padeda organizacijoms išvengti paralelinių atitikties programų. DORA, ISO/IEC 27001:2022, NIS2, GDPR, NIST CSF 2.0 ir COBIT 2019 nereikia atskirų įrodymų visatų. Jiems reikia vieno valdomo veiklos modelio, kurį galima pateikti per skirtingas audito prizmes.

Mūsų požiūris sujungia:

• Zenith Blueprint etapiniam ISO įgyvendinimui ir pasirengimui auditui
• Zenith Controls kompleksinės atitikties susiejimui tarp kontrolės priemonių, sistemų ir audito lūkesčių
• Įmonių ir SME politikas, skirtas saugumo testavimui, audito stebėsenai, pažeidžiamumų valdymui, taikomųjų programų saugumui, tęstinumui ir informacijos saugumui
• Praktinius registrus, įrodymų struktūras ir vadovybės ataskaitų šablonus

Jei jūsų 2026 m. DORA testavimo įrodymai išskaidyti tarp skenavimo įrankių, inžinerijos aplankų, stalo pratybų pastabų ir įsiskverbimo testavimo PDF failų, dabar laikas juos konsoliduoti.

Pradėkite nuo vieno metinio testų katalogo, susieto su ISO/IEC 27001:2022 rizikos tvarkymu, jūsų SoA, kritinėmis ar svarbiomis funkcijomis, IRT trečiosiomis šalimis ir vadovybės ataskaitomis. Tada naudokite Clarysec Zenith Blueprint, Zenith Controls ir politikų priemonių rinkinį, kad šį katalogą paverstumėte pagrįstais audito įrodymais.

Clarysec gali padėti suprojektuoti programą, susieti kontrolės priemones, suformuoti įrodymų paketą ir parengti valdybos lygmens atsparumo ataskaitą prieš gaunant kitą priežiūros institucijos užklausą.