DORA TLPT įrodymai su ISO 27001 kontrolės priemonėmis

Pirmadienio rytą, 07:40, vidutinio dydžio mokėjimo įstaigos CISO žiūri į tris tos pačios nepatogios užklausos versijas.

Valdyba nori žinoti, ar organizacija gali atlaikyti išpirkos reikalaujančios programinės įrangos sukeltą klientų mokėjimų portalo nepasiekiamumą. Reguliuotojas nori įrodymų, kad skaitmeninės veiklos atsparumo testavimas nėra „PowerPoint“ pratimas. Vidaus auditas nori aiškaus pėdsako nuo DORA įpareigojimų iki IRT rizikos, ISO 27001 kontrolės priemonių, testų rezultatų, taisomųjų veiksmų planų, tiekėjų įrodymų ir vadovybės patvirtinimo.

CISO turi raudonosios komandos ataskaitą. SOC turi įspėjimų ekrano kopijas. Infrastruktūros komanda turi atsarginių kopijų atkūrimo žurnalą. Teisės funkcija turi DORA pasirengimo stebėsenos priemonę. Pirkimų funkcija turi debesijos paslaugų teikėjo atitikties patvirtinimus.

Tačiau visa tai tarpusavyje nesusieta.

Būtent čia žlunga daug DORA TLPT ir atsparumo testavimo programų. Ne todėl, kad testavimas silpnas, o todėl, kad įrodymai fragmentuoti. Kai auditorius klausia: „Parodykite, kaip šis testas pagrindžia kritinės arba svarbios funkcijos atsparumą“, atsakymas negali būti aplankas su ekrano kopijomis. Tai turi būti pagrįsta įrodymų grandinė.

Ši grandinė yra ta vieta, kur su ISO/IEC 27001:2022 suderinta ISVS ISO/IEC 27001:2022 tampa galinga. ISO 27001 suteikia struktūrą taikymo sričiai, rizikos vertinimui, kontrolės priemonių parinkimui, Taikytinumo pareiškimui, operacinei kontrolei, vidaus auditui, vadovybės peržiūrai ir nuolatiniam gerinimui. DORA suteikia sektoriui būdingą reguliacinį spaudimą. Clarysec metodika ir kryžminės atitikties priemonės sujungia abu elementus į vieną auditui tinkamą įrodymų modelį.

DORA TLPT yra valdysenos testas, o ne vien atakos imitavimas

Grėsmėmis grindžiamą įsiskverbimo testavimą, arba TLPT, lengva suprasti neteisingai. Techniniu požiūriu jis gali atrodyti kaip sudėtingos raudonosios komandos pratybos: grėsmių žvalgyba, realistiški atakos keliai, slaptumas, išnaudojimo bandymai, šoninio judėjimo scenarijai ir mėlynosios komandos reagavimo patvirtinimas.

DORA kontekste gilesnis klausimas yra skaitmeninės veiklos atsparumas. Ar finansų subjektas gali atlaikyti rimtą IRT sutrikimą, darantį poveikį verslo procesams, į jį reaguoti ir po jo atkurti veiklą? Ar jis gali pagrįsti, kad kritinės arba svarbios funkcijos išlieka poveikio tolerancijos ribose? Ar vadovybė gali parodyti, kad IRT rizika valdoma, finansuojama, testuojama, šalinama ir mažinama taikant gerinimo veiksmus?

DORA 1 straipsnis nustato vienodą ES sistemą tinklų ir informacinių sistemų, palaikančių finansų subjektų verslo procesus, saugumui. Ji apima IRT rizikos valdymą, pranešimą apie reikšmingus su IRT susijusius incidentus, skaitmeninės veiklos atsparumo testavimą, IRT trečiųjų šalių rizikos valdymą, privalomus IRT tiekėjų sutarčių reikalavimus, kritinių IRT trečiųjų šalių paslaugų teikėjų priežiūrą ir priežiūros institucijų bendradarbiavimą. DORA taikoma nuo 2025 m. sausio 17 d.

Organizacijoms, kurioms taip pat taikoma NIS2, DORA veikia kaip sektoriui skirtas Sąjungos teisės aktas persidengiantiems kibernetinio saugumo reikalavimams. Praktikoje finansų subjektai turėtų teikti pirmenybę DORA IRT rizikos valdymo, pranešimo apie incidentus, testavimo ir IRT trečiųjų šalių rizikos srityse, kai režimai persidengia, kartu suprasdami NIS2 lūkesčius grupių struktūroms, tiekėjams ir nefinansinėms skaitmeninėms paslaugoms.

DORA taip pat perkelia atskaitomybę į aukščiausią lygmenį. 5 straipsnyje reikalaujama, kad valdymo organas apibrėžtų, patvirtintų, prižiūrėtų ir įgyvendintų IRT rizikos valdymo tvarką. Tai apima skaitmeninės veiklos atsparumo strategiją, IRT veiklos tęstinumo politiką, reagavimo ir atkūrimo planus, audito planus, biudžetus, IRT trečiųjų šalių politikas, pranešimų kanalus ir pakankamas IRT rizikos žinias, užtikrinamas reguliariais mokymais.

Todėl audito klausimas nėra vien: „Ar atlikote TLPT?“

Jis yra toks:

• Ar TLPT buvo susietas su kritinėmis arba svarbiomis funkcijomis?
• Ar jis buvo autorizuotas, apibrėžtos apimties, saugus ir pagrįstas rizikos vertinimu?
• Ar, kai aktualu, buvo įtraukti tiekėjai, debesijos priklausomybės ir išorinės IRT paslaugos?
• Ar testas sukūrė aptikimo, reagavimo, atkūrimo ir įgytos patirties įrodymų?
• Ar išvados buvo paverstos rizikos tvarkymu, stebimu taisomųjų veiksmų vykdymu, pakartotiniu testavimu ir vadovybės ataskaitomis?
• Ar Taikytinumo pareiškimas paaiškino, kurios ISO 27001 A priedo kontrolės priemonės buvo parinktos rizikai valdyti?

Todėl Clarysec DORA TLPT įrodymus vertina kaip ISVS įrodymų problemą, o ne vien kaip įsiskverbimo testavimo rezultatą.

Sukurkite ISO 27001 įrodymų pagrindą dar prieš prasidedant testui

ISO 27001 reikalauja, kad organizacija sukurtų, įgyvendintų, prižiūrėtų ir nuolat gerintų ISVS, kuri rizikos valdymo procesu išsaugo konfidencialumą, vientisumą ir prieinamumą. 4.1–4.4 punktai reikalauja, kad organizacija suprastų vidaus ir išorės veiksnius, suinteresuotąsias šalis, teisines ir reglamentavimo prievoles, sąsajas, priklausomybes ir tada dokumentuotų ISVS taikymo sritį.

DORA reguliuojamam subjektui šis taikymo srities nustatymo etapas turi aiškiai apimti kritines arba svarbias funkcijas, IRT turtą, debesijos platformas, išorines operacijas, mokėjimų sistemas, klientų portalus, tapatybės paslaugas, žurnalavimo platformas, atkūrimo aplinkas ir IRT trečiųjų šalių paslaugų teikėjus. Jei TLPT taikymo sritis nesusiejama su ISVS taikymo sritimi, audito pėdsakas jau yra silpnas.

ISO 27001 6.1.1, 6.1.2 ir 6.1.3 punktai kartu su 8.2 ir 8.3 punktais reikalauja rizikos vertinimo ir rizikos tvarkymo proceso. Rizikos turi būti identifikuojamos pagal konfidencialumą, vientisumą ir prieinamumą. Turi būti priskirti rizikos savininkai. Turi būti įvertinta tikimybė ir pasekmės. Kontrolės priemonės turi būti parinktos ir palygintos su A priedu. Likutinę riziką turi priimti rizikos savininkai.

Tai yra tiltas tarp DORA ir auditui tinkamo testavimo.

Clarysec Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint, Rizikos valdymo etape, 13 žingsnyje, šį atsekamumo vaidmenį apibūdina aiškiai:

SoA iš esmės yra jungiamasis dokumentas: jis susieja jūsų rizikos vertinimą / tvarkymą su faktiškai turimomis kontrolės priemonėmis. Jį užpildydami taip pat dar kartą patikrinate, ar nepraleidote jokių kontrolės priemonių.

DORA TLPT atveju Taikytinumo pareiškimas neturi būti statiškas sertifikavimo artefaktas. Jis turi paaiškinti, kodėl tokios kontrolės priemonės kaip tiekėjų saugumas, incidentų valdymas, IRT pasirengimas veiklos tęstinumui, žurnalavimas, stebėsena, techninis pažeidžiamumų valdymas, atsarginės kopijos, saugus kūrimas ir saugumo testavimas yra taikytinos atsparumo scenarijui.

Praktinis rizikos scenarijus galėtų skambėti taip:

„Privilegijuotų tapatybės teikėjo prisijungimo duomenų kompromitavimas leidžia užpuolikui pasiekti mokėjimų apdorojimo administravimo sistemas, pakeisti maršrutizavimo konfigūracijas ir sutrikdyti kritinę mokėjimų funkciją, sukeliant paslaugos nepasiekiamumą, reguliacines pranešimo pareigas, žalą klientams ir reputacinę žalą.“

Tas vienas scenarijus gali lemti TLPT taikymo sritį, aptikimo naudojimo atvejus, tiekėjų įtraukimą, atkūrimo pratybas, ataskaitų teikimą valdybai ir įrodymų rinkinį.

Zenith Blueprint taip pat rekomenduoja aiškiai užtikrinti reglamentavimo atsekamumą:

Kryžmiškai susiekite reglamentus: jei tam tikros kontrolės priemonės įgyvendintos konkrečiai siekiant laikytis GDPR, NIS2 ar DORA, galite tai pažymėti Rizikų registre kaip rizikos poveikio pagrindimo dalį arba SoA pastabose.

Šis patarimas paprastas, bet jis keičia pokalbį su auditoriumi. Užuot tik pasakiusi auditoriui, kad DORA buvo įvertinta, organizacija gali parodyti, kur DORA atsispindi rizikų registre, SoA, testavimo programoje, politikų rinkinyje ir vadovybės peržiūroje.

Susiekite DORA testavimą su ISO 27001 kontrolės priemonėmis, kurias auditoriai atpažįsta

DORA 6 straipsnyje tikimasi dokumentuotos IRT rizikos valdymo sistemos, integruotos į bendrą rizikos valdymą. ISO 27001 A priedas pateikia kontrolės priemonių katalogą, kuris tai paverčia operacine praktika.

DORA TLPT ir atsparumo testavimui ypač svarbios šios ISO/IEC 27001:2022 A priedo kontrolės priemonės:

Clarysec Zenith Controls: The Cross-Compliance Guide Zenith Controls padeda organizacijoms išvengti šių kontrolės priemonių traktavimo kaip atskirų kontrolinio sąrašo punktų. Jis susieja ISO/IEC 27002:2022 kontrolės priemones su atributais, sritimis, operaciniais pajėgumais, audito lūkesčiais ir kryžminių sistemų modeliais.

Pavyzdžiui, Zenith Controls klasifikuoja ISO/IEC 27002:2022 kontrolės priemonę 5.30, IRT pasirengimą veiklos tęstinumui, kaip korekcinę, suderintą su prieinamumu, susietą su kibernetinio saugumo konceptu „Respond“ ir priskirtą „Resilience“ sričiai. Ši klasifikacija naudinga aiškinant auditoriams, kodėl atkūrimo pratybos nėra tik IT operacija, o atsparumo kontrolės priemonė, turinti apibrėžtą vaidmenį kontrolės aplinkoje.

Zenith Controls taip pat klasifikuoja kontrolės priemonę 8.29, Security Testing in Development and Acceptance, kaip prevencinę kontrolės priemonę, palaikančią konfidencialumą, vientisumą ir prieinamumą, su operaciniais pajėgumais taikomųjų programų saugumo, informacijos saugumo patikinimo ir sistemų bei tinklo saugumo srityse. TLPT išvadoms, susijusioms su taikomųjų programų projektavimo silpnybe, nesaugiu API elgesiu, silpnu autentifikavimo srautu ar nepakankama validacija, tai yra kontrolės kelias į saugaus kūrimo valdyseną.

Kontrolės priemonė 5.35, Independent Review of Information Security, taip pat svarbi. Ji palaiko nepriklausomą iššūkį, valdysenos patikinimą ir korekcinį gerinimą. Vidaus komandos gali koordinuoti testavimą, tačiau auditui tinkami įrodymai reikalauja peržiūros, eskalavimo ir priežiūros už tų asmenų, kurie sukūrė ar eksploatavo testuojamas sistemas, ribų.

Apsaugokite sistemą, kol ją testuojate

Viena pavojinga prielaida atsparumo testavime yra ta, kad testavimas savaime yra naudingas. Iš tikrųjų įsibraunamasis testavimas gali sukelti paslaugų nepasiekiamumą, atskleisti jautrius duomenis, užteršti žurnalus, suaktyvinti automatizuotas apsaugos priemones, nutraukti klientų sesijas arba priversti tiekėjus inicijuoti avarines procedūras.

Clarysec Security Testing and Red-Teaming Policy Saugumo testavimo ir raudonosios komandos pratybų politika suteikia organizacijoms valdysenos modelį saugiam vykdymui. 6.1 punktas nustato:

Testų tipai: saugumo testavimo programa turi apimti bent: (a) pažeidžiamumų skenavimą, kurį sudaro automatiniai savaitiniai arba mėnesiniai tinklų ir taikomųjų programų skenavimai žinomiems pažeidžiamumams identifikuoti; (b) įsiskverbimo testavimą, kurį sudaro kvalifikuotų testuotojų rankinis išsamus konkrečių sistemų ar taikomųjų programų testavimas sudėtingoms silpnybėms identifikuoti; ir (c) raudonosios komandos pratybas, kurias sudaro scenarijais pagrįstos realių atakų imitacijos, įskaitant socialinę inžineriją ir kitas taktikas, siekiant patikrinti visos organizacijos aptikimo ir reagavimo pajėgumus.

TLPT atveju raudonosios komandos elementas akivaizdus, tačiau audito vertė kyla iš programos struktūros. Pažeidžiamumų skenavimas, įsiskverbimo testavimas, raudonosios komandos pratybos, atsparumo pratybos ir pakartotinis testavimas turi sudaryti ciklą, o ne nesusijusių testų rinkinį.

Tos pačios politikos 6.2 punktas reglamentuoja saugų vykdymą:

Taikymo sritis ir veiklos taisyklės: kiekvienam testui ar pratyboms STC turi apibrėžti taikymo sritį, įskaitant į taikymo sritį patenkančias sistemas ir IP diapazonus, leidžiamus testavimo metodus, tikslus, laiką ir trukmę. Veiklos taisyklės turi būti dokumentuotos. Pavyzdžiui, operaciniu požiūriu jautrios sistemos gali būti pažymėtos kaip tik stebimos, kad būtų išvengta sutrikimų, o bet koks testavimas produkcinėje aplinkoje turi apimti grąžinimo į ankstesnę būseną ir sustabdymo procedūras. Apsaugos priemonės, tokios kaip apibrėžti laiko langai ir komunikacijos kanalai, turi būti nustatytos siekiant išvengti netyčinio paslaugų nepasiekiamumo.

Tai tiesiogiai siejasi su Zenith Blueprint, Controls in Action etapu, 21 žingsniu, kuris orientuotas į ISO 27001 A priedo kontrolės priemonę 8.34, informacinių sistemų apsaugą audito testavimo metu. Zenith Blueprint įspėja, kad auditai, įsiskverbimo testai, kriminalistinės peržiūros ir operaciniai vertinimai gali apimti padidintas prieigos teises, įsibraunamuosius įrankius ar laikinus sistemos elgsenos pakeitimus. Jame pabrėžiamas autorizavimas, taikymo sritis, laiko langai, sistemos savininko patvirtinimas, grąžinimas į ankstesnę būseną, stebėsena ir saugus testavimo duomenų tvarkymas.

Auditui tinkamas įrodymų paketas turi apimti:

• TLPT chartiją ir tikslus
• grėsmių žvalgybos santrauką ir scenarijaus pagrindimą
• kritines arba svarbias funkcijas taikymo srityje
• sistemas, IP diapazonus, tapatybes, tiekėjus ir aplinkas taikymo srityje
• išimtis ir tik stebimas sistemas
• veiklos taisykles
• produkcinio testavimo rizikos vertinimą
• grąžinimo į ankstesnę būseną ir sustabdymo procedūras
• SOC informavimo modelį, įskaitant tai, kas atskleidžiama ir kas neatskleidžiama
• teisės, privatumo ir tiekėjų patvirtinimus
• testinių paskyrų sukūrimo ir prieigos teisių panaikinimo įrodymus
• saugią testavimo artefaktų ir žurnalų saugojimo vietą

DORA TLPT, kuris negali parodyti saugaus testavimo veiklos autorizavimo ir kontrolės, gali atskleisti atsparumo spragas, bet kartu sukuria valdysenos spragas.

Paverskite TLPT rezultatus rizikos tvarkymu

Dažniausia nesėkmė po testo yra raudonosios komandos ataskaitos „padėjimo į lentyną“ problema. Aukštos kokybės ataskaita pateikiama, išplatinama, aptariama ir tada pamažu praranda pagreitį. Išvados lieka atviros. Kompensuojančios kontrolės priemonės nedokumentuojamos. Priimtos rizikos išlieka neformalios. Pakartotinis testavimas niekada neįvyksta.

Security Testing and Red-Teaming Policy tai daro nepriimtina. 6.6 punktas nustato:

Išvadų šalinimas: visi identifikuoti pažeidžiamumai ar silpnybės turi būti dokumentuoti išvadų ataskaitoje su sunkumo lygiais. Gavę ataskaitą, sistemų savininkai yra atsakingi už taisomųjų veiksmų plano su įvykdymo terminais parengimą; pavyzdžiui, kritinės išvados turi būti pašalintos per 30 dienų, o didelio sunkumo išvados – per 60 dienų pagal organizacijos Pažeidžiamumų ir pataisų valdymo politiką. STC turi sekti taisomųjų veiksmų pažangą. Pakartotinis testavimas turi būti atliekamas siekiant patvirtinti, kad kritinės problemos išspręstos arba tinkamai sumažintos.

6.7 punktas prideda valdysenos sluoksnį:

Ataskaitų teikimas: kiekvieno testo pabaigoje turi būti parengta formali ataskaita. Įsiskverbimo testavimo atveju ataskaita turi apimti vadovybei skirtą santrauką, metodiką ir išsamias išvadas su pagrindžiančiais įrodymais bei rekomendacijomis. Raudonosios komandos pratybų atveju ataskaitoje turi būti išsamiai aprašyti scenarijai, sėkmingi atakos keliai, tai, ką aptiko mėlynoji komanda, ir įgyta patirtis dėl aptikimo bei reagavimo spragų. CISO turi pateikti apibendrintus rezultatus ir taisomųjų veiksmų būseną vyresniajai vadovybei ir, kai aktualu, įtraukti juos į metinę saugumo ataskaitą valdybai.

Tai dera su ISO/IEC 27005:2022 rizikos tvarkymo gairėmis: parinkti tvarkymo alternatyvas, nustatyti kontrolės priemones iš ISO 27001 A priedo ir sektoriui būdingų reikalavimų, sudaryti rizikos tvarkymo planą, priskirti atsakingus asmenis, apibrėžti terminus, sekti būseną, gauti rizikos savininko patvirtinimą ir dokumentuoti liekamosios rizikos priėmimą.

Kiekviena reikšminga TLPT išvada turi tapti vienu iš keturių dalykų: taisomuoju veiksmu, kontrolės priemonės patobulinimu, formaliu rizikos priėmimu arba pakartotinio testavimo reikalavimu.

Tikslas nėra sukurti daugiau dokumentų. Tikslas yra užtikrinti, kad kiekvienas dokumentas paaiškintų kitą sprendimą.

Atsparumo testavimas turi įrodyti atkūrimą, o ne vien aptikimą

Sėkmingas TLPT gali parodyti, kad SOC aptiko valdymo ir kontrolės srautą, blokavo šoninį judėjimą ir teisingai eskalavo. Tai vertinga, tačiau DORA atsparumo testavimas žengia toliau. Jis klausia, ar organizacija gali tęsti arba atkurti verslo paslaugas.

Zenith Blueprint, Controls in Action etape, 23 žingsnyje, paaiškina kontrolės priemonę 5.30, IRT pasirengimą veiklos tęstinumui, kalba, kurią kiekvienas CISO turėtų vartoti su valdyba:

Audito požiūriu ši kontrolės priemonė dažnai tikrinama viena fraze: Parodykite man. Parodykite paskutinio testo rezultatą. Parodykite atkūrimo dokumentaciją. Parodykite, kiek laiko užtruko perjungti į atsarginę aplinką ir grįžti atgal. Parodykite įrodymus, kad tai, kas pažadėta, gali būti įvykdyta.

Šis „Parodykite man“ standartas yra skirtumas tarp politikos brandos ir operacinio atsparumo.

Clarysec Business Continuity Policy and Disaster Recovery Policy-sme Veiklos tęstinumo ir atkūrimo po ekstremaliosios situacijos politika - SME, skyriuje „Politikos įgyvendinimo reikalavimai“, 6.4.1 punktas nustato:

Organizacija privalo bent kartą per metus testuoti ir savo BCP, ir DR pajėgumus. Testai turi apimti:

Tos pačios politikos įgyvendinimo skyriaus 8.5.1 punktas aiškiai nustato atsakomybę už įrodymus:

GM privalo užtikrinti, kad toliau nurodyti elementai būtų prižiūrimi ir tinkami auditui:

DORA reguliuojamam finansų subjektui metinis testavimas gali būti pagrindas, o ne siekiamybė. Didesnės rizikos kritinės arba svarbios funkcijos turėtų būti testuojamos dažniau, ypač po architektūros pakeitimų, debesijos migracijos, reikšmingų incidentų, naujų IRT tiekėjų, esminių taikomųjų programų leidimų ar grėsmės ekspozicijos pokyčių.

Stiprus atsparumo testo įrodymų paketas turi apimti:

• verslo poveikio analizę, susietą su kritine arba svarbia funkcija
• RTO ir RPO, patvirtintus verslo savininkų
• sistemos priklausomybių žemėlapį, įskaitant tapatybę, DNS, tinklą, debesiją, duomenų bazę, stebėseną, atsargines kopijas ir trečiųjų šalių paslaugas
• atsarginių kopijų ir atkūrimo testų rezultatus
• perjungimo į atsarginę aplinką ir grįžimo iš jos laiko žymas
• įrodymus, kad saugumo kontrolės priemonės veikė sutrikimo metu
• klientų, reguliuotojo ir vidaus komunikacijos šablonus
• incidento vadovo ir krizės komandos dalyvavimo žurnalus
• įgytą patirtį ir gerinimo veiksmus
• ankstesnių atkūrimo spragų pakartotinio testavimo įrodymus

Čia į istoriją įsitraukia ir GDPR. GDPR 2 ir 3 straipsniai į taikymo sritį įtraukia daugumą SaaS ir fintech paslaugų, kuriose tvarkomi ES asmens duomenys. 4 straipsnis apibrėžia asmens duomenis, tvarkymą, valdytoją, tvarkytoją ir asmens duomenų saugumo pažeidimą. 5 straipsnis reikalauja vientisumo, konfidencialumo ir atskaitomybės, o tai reiškia, kad organizacija turi gebėti įrodyti atitiktį. Jei TLPT arba atkūrimo testavimas naudoja produkcinius asmens duomenis, kopijuoja žurnalus su identifikatoriais arba validuoja reagavimą į pažeidimą, privatumo apsaugos priemonės turi būti dokumentuotos.

Tiekėjų įrodymai yra DORA akloji zona, kurios auditoriai neignoruos

Šiuolaikinės finansinės paslaugos sudarytos iš debesijos platformų, SaaS taikomųjų programų, valdomų saugumo paslaugų teikėjų, mokėjimų apdorotojų, duomenų platformų, tapatybės teikėjų, stebimumo priemonių, išorės kūrimo komandų ir atsarginių kopijų teikėjų.

DORA 28 straipsnis reikalauja, kad finansų subjektai valdytų IRT trečiųjų šalių riziką kaip IRT rizikos valdymo sistemos dalį ir išliktų visiškai atsakingi net tada, kai IRT paslaugos perduodamos išorės paslaugų teikėjams. 30 straipsnis reikalauja rašytinių IRT paslaugų sutarčių su paslaugų aprašymais, subtiekimo sąlygomis, tvarkymo vietomis, duomenų apsauga, prieiga ir atkūrimu, paslaugų lygiais, pagalba incidentų metu, bendradarbiavimu su institucijomis, nutraukimo teisėmis, griežtesnėmis sąlygomis kritinėms arba svarbioms funkcijoms, audito teisėmis, saugumo priemonėmis, TLPT dalyvavimu, kai aktualu, ir pasitraukimo tvarka.

Tai reiškia, kad TLPT scenarijus negali sustoti ties organizacijos ugniasiene, jei kritinė funkcija priklauso nuo tiekėjo.

Clarysec Third-Party and Supplier Security Policy-sme Trečiųjų šalių ir tiekėjų saugumo politika - SME, skyriuje „Politikos įgyvendinimo reikalavimai“, 6.3.1 punktas nustato:

Kritiniai arba didelės rizikos tiekėjai turi būti peržiūrimi bent kartą per metus. Peržiūra turi patikrinti:

Security Testing and Red-Teaming Policy 6.9 punktas prideda testavimui skirtą tiekėjo reikalavimą:

Trečiųjų šalių testavimo koordinavimas: kai bet kuris kritinis tiekėjas ar paslaugų teikėjas patenka į bendros organizacijos saugumo taikymo sritį pagal Trečiųjų šalių ir tiekėjų saugumo politiką, organizacija, kai įmanoma, turi gauti patikinimą dėl jų saugumo testavimo praktikų arba koordinuoti bendrą testavimą. Pavyzdžiui, kai naudojamas debesijos paslaugų teikėjas (CSP), organizacija gali remtis jo įsiskverbimo testavimo ataskaitomis arba įtraukti jį į bendradarbiavimu grindžiamus raudonosios komandos scenarijus, laikantis sutartinių nuostatų.

Auditui tinkamiems DORA įrodymams tiekėjų patikinimas turi būti susietas su tuo pačiu rizikos scenarijumi kaip TLPT. Jei tapatybės teikėjas yra būtinas mokėjimų atkūrimui, įrodymų paketas turi apimti tiekėjų deramą patikrinimą, sutartinius saugumo reikalavimus, incidentų palaikymo sąlygas, testavimo koordinavimą, patikinimo ataskaitas, paslaugų lygio įrodymus, pasitraukimo strategiją ir testavimo apribojimus.

NIS2 21 straipsnis taip pat svarbus SaaS, debesijos, valdomų paslaugų, valdomo saugumo, duomenų centrų, CDN, patikimumo užtikrinimo paslaugų, DNS, TLD, internetinių prekyviečių, paieškos ir socialinių tinklų paslaugų teikėjams. Jis reikalauja visų pavojų požiūrio, apimančio rizikos analizę, incidentų valdymą, veiklos tęstinumą, tiekimo grandinės saugumą, saugų kūrimą, veiksmingumo vertinimą, mokymus, kriptografiją, prieigos kontrolę, turto valdymą, MFA ir saugias komunikacijas.

Praktinis rezultatas paprastas: finansų subjektai turėtų sukurti vieną įrodymų modelį, kuris pirmiausia tenkina DORA, o tada kryžmiškai susieja NIS2 lūkesčius ten, kur dalyvauja tiekėjai, grupės subjektai arba nefinansinės skaitmeninės paslaugos.

Praktinis Clarysec TLPT įrodymų registras

Tarkime, scenarijus yra toks:

„Grėsmės veikėjas kompromituoja administratoriaus paskyrą SaaS palaikymo platformoje, persikelia į mokėjimų operacijų aplinką, pakeičia konfigūraciją ir sutrikdo operacijų apdorojimą.“

Sukurkite įrodymų registrą su viena eilute kiekvienam įrodymų objektui. Nelaukite testo pabaigos. Pildykite jį planavimo, vykdymo, taisomųjų veiksmų ir uždarymo metu.

Tada naudokite Zenith Blueprint 13 žingsnį, kad į rizikų registrą ir Taikytinumo pareiškimą įtrauktumėte atsekamumą. Kiekvienas įrodymų elementas turi būti susietas su rizikos scenarijumi, rizikos savininku, parinkta kontrolės priemone, tvarkymo planu ir liekamosios rizikos sprendimu.

Jei išvada susijusi su programinės įrangos silpnybe, nurodykite saugaus kūrimo ir testavimo kontrolės priemones. Clarysec Secure Development Policy-sme Saugaus kūrimo politika - SME, skyriuje „Politikos įgyvendinimo reikalavimai“, 6.5.2 punktas reikalauja:

Testavimas turi būti dokumentuotas nurodant:

Jei išvada sukuria kriminalistinę medžiagą, išsaugokite perdavimo grandinę. Clarysec Evidence Collection and Forensics Policy-sme Įrodymų rinkimo ir skaitmeninės kriminalistikos politika - SME, skyriuje „Valdysenos reikalavimai“, 5.2.1 punktas nustato:

Kiekvienas skaitmeninių įrodymų elementas turi būti užregistruotas nurodant:

Tai yra vieta, kurią daugelis komandų praleidžia. Įrodymai nėra vien galutinės ataskaitos. Tai kontroliuojamas įrašas apie tai, kas patvirtino, kas vykdė, kas įvyko, kas buvo aptikta, kas buvo atkurta, kas buvo pakeista, kokia rizikos ekspozicija lieka ir kas ją priėmė.

Kaip auditoriai tikrina tuos pačius TLPT įrodymus

DORA TLPT įrodymai bus skaitomi skirtingai, priklausomai nuo auditoriaus patirties. Clarysec įrodymų paketus kuria taip, kad kiekvienas vertinimo kampas rastų tai, ko reikia, neverčiant komandų dubliuoti darbo.

COBIT 2019 pasirodo Zenith Blueprint kryžminės atitikties nuorodose dėl saugaus audito ir testavimo vykdymo, įskaitant DSS05.03 ir MEA03.04. Svarbu ne tai, kad COBIT pakeičia DORA ar ISO 27001, o tai, kad ISACA stiliaus patikinimo specialistai ieškos kontroliuojamo vykdymo, stebėsenos, vertinimo ir atitikties įrodymų.

Valdybos naratyvas: ką turi patvirtinti vadovybė

Ataskaitų teikimas valdybai neturi virsti techniniu teatru. Valdybai nereikia išnaudojimo naudmenų. Jai reikia sprendimams tinkamų įrodymų:

• Kuri kritinė arba svarbi funkcija buvo testuota?
• Koks grėsmės scenarijus buvo imituotas ir kodėl?
• Ar aptikimas veikė?
• Ar reagavimo eskalavimas veikė?
• Ar atkūrimas atitiko RTO ir RPO?
• Kurie tiekėjai buvo įtraukti arba ribojo veiksmus?
• Kokios esminės silpnybės lieka?
• Kokia taisomųjų veiksmų kaina, savininkas ir terminas?
• Kurioms liekamosioms rizikoms reikia formalaus priėmimo?
• Kas bus testuojama pakartotinai?

Čia svarbi tampa ISO 27001 5 punktas. Aukščiausioji vadovybė turi užtikrinti, kad informacijos saugumo politika ir tikslai būtų nustatyti, suderinti su strategine kryptimi, integruoti į verslo procesus, aprūpinti ištekliais, komunikuojami ir nuolat gerinami. Vaidmenys ir atsakomybės turi būti priskirti. Tikslai, kai praktiškai įmanoma, turi būti išmatuojami ir atsižvelgti į taikomus reikalavimus bei rizikos tvarkymo rezultatus.

Jei TLPT nustato, kad atkūrimo laikas yra šešios valandos, kai verslo tolerancija yra keturios valandos, tai nėra vien infrastruktūros darbų sąrašo punktas. Tai vadovybės sprendimas, apimantis rizikos apetitą, biudžetą, klientų įsipareigojimus, reguliacinę ekspoziciją, sutartis, architektūrą ir operacinį pajėgumą.

Dažnos DORA atsparumo testavimo įrodymų nesėkmės

Clarysec peržiūros dažnai randa tas pačias įrodymų spragas finansų subjektuose ir IRT paslaugų teikėjuose, besirengiančiuose DORA.

Pirma, TLPT taikymo sritis nesusieta su kritinėmis arba svarbiomis funkcijomis. Testas gali būti techniškai įspūdingas, bet jis neįrodo verslo proceso, kuris rūpi reguliuotojams, atsparumo.

Antra, tiekėjų priklausomybės pripažįstamos, bet nepagrindžiamos įrodymais. Komandos sako, kad debesijos paslaugų teikėjas, valdomas SOC arba SaaS platforma yra taikymo srityje, tačiau trūksta sutarčių, audito teisių, testavimo leidimų, incidentų palaikymo sąlygų ir pasitraukimo planų.

Trečia, testavimas sukuria įrodymus, bet ne rizikos tvarkymą. Išvados lieka raudonosios komandos ataskaitoje, užuot virtusios rizikų registro atnaujinimais, kontrolės priemonių pakeitimais, savininkais, terminais, pakartotiniu testavimu ir liekamosios rizikos sprendimais.

Ketvirta, atkūrimas laikomas savaime suprantamu, bet neparodomas. Atsarginių kopijų politikos egzistuoja, bet niekas negali parodyti perjungimo į atsarginę aplinką laiko žymų, atkūrimo vientisumo patikrų, prieigos tikrinimo arba verslo savininko patvirtinimo.

Penkta, privatumo ir kriminalistiniai įrodymai nekontroliuojami. Žurnalai ir ekrano kopijos turi asmens duomenų, testavimo artefaktai saugomi bendrinamuose diskuose, laikinos paskyros lieka aktyvios, o įrodymų perdavimo grandinė neužbaigta.

Šešta, vadovybės ataskaitos pernelyg techninės. Aukščiausioji vadovybė nemato, ar atsparumas pagerėjo, ar rizika yra rizikos apetito ribose ir kokių investicinių sprendimų reikia.

Kiekvieną iš šių spragų galima išspręsti DORA TLPT traktuojant kaip struktūruotą ISO 27001 įrodymų darbo eigą.

Integruotas Clarysec požiūris į auditui tinkamą atsparumą

Clarysec požiūris sujungia tris sluoksnius.

Pirmasis sluoksnis yra Zenith Blueprint 30 žingsnių įgyvendinimo veiksmų planas. Šioje temoje 13 žingsnis sukuria rizikos tvarkymo ir SoA atsekamumą, 21 žingsnis apsaugo sistemas audito testavimo metu, o 23 žingsnis validuoja IRT pasirengimą veiklos tęstinumui. Šie žingsniai paverčia TLPT iš techninio įvykio dokumentuotu valdysenos ciklu.

Antrasis sluoksnis yra Clarysec politikų biblioteka. Security Testing and Red-Teaming Policy apibrėžia testavimo tipus, taikymo sritį, veiklos taisykles, taisomuosius veiksmus, ataskaitų teikimą ir tiekėjų koordinavimą. Business Continuity Policy and Disaster Recovery Policy-sme nustato lūkesčius metiniam BCP ir DR testavimui bei auditui tinkamiems tęstinumo įrodymams. Third-Party and Supplier Security Policy-sme palaiko tiekėjų patikinimą. Secure Development Policy-sme užtikrina, kad saugumo testavimas būtų dokumentuotas. Evidence Collection and Forensics Policy-sme palaiko įrodymų žurnalavimą ir perdavimo grandinės discipliną.

Trečiasis sluoksnis yra Zenith Controls, Clarysec kryžminės atitikties vadovas. Jis padeda susieti ISO/IEC 27002:2022 kontrolės priemones su atributais, sritimis, operaciniais pajėgumais ir kryžminių sistemų lūkesčiais. DORA TLPT atveju svarbiausias modelis nėra viena kontrolės priemonė. Tai ryšys tarp testavimo, tęstinumo, incidentų valdymo, tiekėjų valdymo, žurnalavimo, stebėsenos, saugaus kūrimo, nepriklausomos peržiūros ir valdysenos.

Kai šie sluoksniai veikia kartu, CISO pirmadienio ryto problema pasikeičia. Vietoj trijų nesusijusių valdybos, reguliuotojo ir vidaus audito klausimų organizacija turi vieną įrodymų istoriją:

„Identifikavome kritinę funkciją. Įvertinome IRT riziką. Parinkome ir pagrindėme kontrolės priemones. Autorizavome ir saugiai įvykdėme TLPT. Aptikome, reagavome ir atkūrėme veiklą. Įtraukėme tiekėjus, kai to reikėjo. Dokumentavome įrodymus. Pašalinome išvadas. Atlikome pakartotinį testavimą. Vadovybė peržiūrėjo ir priėmė likusią riziką.“

Tai yra auditui tinkamas atsparumas.

Tolesni veiksmai

Jei jūsų DORA TLPT programa vis dar organizuojama aplink ataskaitas, o ne įrodymų grandines, pradėkite nuo Clarysec įrodymų peržiūros.

Naudokite Zenith Blueprint Zenith Blueprint 13 žingsnį, kad susietumėte TLPT scenarijus su rizikomis, kontrolės priemonėmis ir Taikytinumo pareiškimu. Naudokite 21 žingsnį, kad patikrintumėte saugų autorizavimą, veiklos taisykles, grąžinimą į ankstesnę būseną, stebėseną ir išvalymą. Naudokite 23 žingsnį, kad atkūrimo įrodymais pagrįstumėte IRT pasirengimą veiklos tęstinumui.

Tada suderinkite savo operacinius dokumentus su Clarysec Security Testing and Red-Teaming Policy Saugumo testavimo ir raudonosios komandos pratybų politika, Business Continuity Policy and Disaster Recovery Policy-sme Veiklos tęstinumo ir atkūrimo po ekstremaliosios situacijos politika - SME, Third-Party and Supplier Security Policy-sme Trečiųjų šalių ir tiekėjų saugumo politika - SME, Secure Development Policy-sme Saugaus kūrimo politika - SME ir Evidence Collection and Forensics Policy-sme Įrodymų rinkimo ir skaitmeninės kriminalistikos politika - SME.

Galiausiai naudokite Zenith Controls Zenith Controls, kad kryžmiškai susietumėte DORA TLPT įrodymus su ISO 27001 kontrolės priemonėmis, NIS2, GDPR, COBIT 2019 ir auditorių lūkesčiais.

Jei norite, kad kitas atsparumo testas sukurtų daugiau nei išvadas, naudokite Clarysec ir paverskite jį pagrįsta įrodymų grandine. Atsisiųskite priemonių rinkinius, suplanuokite pasirengimo įrodymams vertinimą arba paprašykite peržiūros, kaip Clarysec susieja DORA TLPT su ISO 27001:2022 kontrolės priemonėmis nuo planavimo iki valdybos patvirtinimo.