Neaprobežojoties ar anketu: CISO praktiskais ceļvedis augsta riska piegādātāju auditēšanai NIS2 un DORA vajadzībām

Ziņojums ar klusu būkšķi nonāca uz CISO Marijas Valenas galda, taču šī skaņa vairāk līdzinājās trauksmes sirēnai. Tas bija pirmsaudita izvērtējums gaidāmajai DORA atbilstības pārskatīšanai, un viena rinda bija izcelta spilgti sarkanā krāsā: “Nepietiekams apliecinājums par kritisko trešās puses pakalpojumu sniedzēju CloudSphere.”

CloudSphere nebija parasts piegādātājs. Tas bija uzņēmuma jaunās digitālās bankas platformas pamats, kas ik dienu apstrādāja miljoniem darījumu. Marijas rīcībā bija CloudSphere ISO/IEC 27001:2022 sertifikāts. Viņai bija arī aizpildīta drošības anketa — apjomīgs dokuments ar 200 jautājumiem. Taču pirmsaudita vērtētāji norādīja, ka augsta riska kritiskam piegādātājam formāla “ķeksīšu” atbilstība vairs nav pietiekama. Noteikumi bija mainījušies.

Tagad, kad gan NIS2 direktīva, gan Digitālās darbības noturības regula (DORA) ir pilnā spēkā, regulatori skatās tālāk par dokumentācijas esamību. Tie pieprasa taustāmus pierādījumus par sākotnējo izpēti, nepārtrauktu uzraudzību un stingru pārvaldību visā piegādes ķēdē. Marijas izaicinājums ir pazīstams CISO visur: kā pāriet no anketas uz pieeju, kas patiesi auditē un aizsargā kritiskākos piegādātājus? Tam nepieciešama stratēģiska pāreja no pasīvas validācijas uz aktīvu, pierādījumos balstītu pārliecības iegūšanu.

Statiskās anketas trūkumi dinamiskā vidē

Gadiem ilgi drošības anketa ir bijusi trešo pušu riska pārvaldības stūrakmens. Taču tā ir statisks momentuzņēmums dinamiskā apdraudējumu vidē. Piegādātāja riska profils nav nemainīgs; tas mainās līdz ar katru jaunu apdraudējumu, sistēmas izmaiņu vai piesaistītu apakšuzņēmēju. Paļauties tikai uz pašapliecinājumu attiecībā uz kritisku piegādātāju, piemēram, CloudSphere, ir tas pats, kas vadīt kuģi vētrā pēc pagājušā gada laikapstākļu kartes.

NIS2 direktīva skaidri prasa uz risku balstītu pieeju, nosakot, ka drošības pasākumiem jābūt samērīgiem ar faktiskajiem riskiem. Tas nozīmē, ka visiem vienāda anketa pēc būtības neatbilst mūsdienu regulatīvajām gaidām. Ir pagājuši laiki, kad sertifikāts vai aizpildīts kontrolsaraksts varēja aizstāt pierādījumus. Patiesais risks atrodas ārpus dokumentācijas robežām.

Tieši šeit būtiska kļūst strukturēta, dzīves ciklā balstīta pieeja. Runa nav par atteikšanos no anketām, bet gan par to papildināšanu ar padziļinātāku un prasīgāku verifikāciju piegādātājiem, kuriem patiešām ir nozīme. Šis pamatprincips ir ietverts Clarysec Trešo pušu un piegādātāju drošības politikā. Viens no tās pamatmērķiem ir:

“Prasīt formālu sākotnējo izpēti un dokumentētus risku izvērtējumus pirms jaunu piegādātāju piesaistes vai augsta riska pakalpojumu līgumu atjaunošanas.”

• No sadaļas “Mērķi”, politikas 3.3. punkts

Šis punkts maina domāšanu no vienkāršas pārbaudes uz formālu izpēti — būtisku pirmo soli, lai izveidotu aizstāvamu programmu, kas iztur regulatīvo pārbaudi.

Piegādātāju risks NIS2 un DORA kontekstā: jaunās gaidas

Gan NIS2, gan DORA prasa organizācijām sistemātiski identificēt, izvērtēt un nepārtraukti uzraudzīt riskus visā piegādātāju vidē. Tie pārvērš piegādātāju pārvaldību no iepirkuma funkcijas par darbības noturības un informācijas drošības pamatelementu.

Jaunā regulatīvā vide prasa skaidrus ietvarus, kas cieši sasaistīti ar atzītiem standartiem, piemēram, ISO/IEC 27001:2022. Tālāk sniegts augsta līmeņa kopsavilkums par to, ko šie ietvari sagaida no jūsu piegādātāju pārvaldības programmas:

Stingra piegādātāju audita programma nav jāizgudro no jauna. ISO/IEC 27001:2022 ietvars, jo īpaši tā A pielikuma kontroles pasākumi, sniedz spēcīgu pamatu. Clarysec praksē mēs klientiem iesakām veidot programmu ap trim savstarpēji saistītiem kontroles pasākumiem, kas veido pilnu piegādātāju pārvaldības dzīves ciklu.

Aizstāvama audita ietvara izveide: ISO 27001:2022 dzīves cikls

Lai izveidotu programmu, kas atbilst regulatoru gaidām, nepieciešama strukturēta pieeja, kas balstīta globāli atzītā standartā. ISO/IEC 27001:2022 piegādātāju drošības kontroles pasākumi nodrošina dzīves ciklu trešo pušu riska pārvaldībai no attiecību sākuma līdz to izbeigšanai. Aplūkosim, kā Marija var izmantot šo dzīves ciklu, lai izstrādātu aizstāvamu CloudSphere audita plānu.

1. solis: pamats — informācijas drošība piegādātāju attiecībās (5.19)

Kontroles pasākums 5.19 ir stratēģiskais sākumpunkts. Tas prasa ieviest formālus procesus informācijas drošības risku identificēšanai, izvērtēšanai un pārvaldībai visā piegādātāju ekosistēmā. Šeit tiek definēts, ko “augsts risks” nozīmē jūsu organizācijai, un tiek noteikti spēles noteikumi.

Clarysec Zenith Controls: starpatbilstības ceļvedis sniedz detalizētu 5.19 sadalījumu, skaidrojot tā lomu kā centrālam piegādātāju pārvaldības mezglam. Šis kontroles pasākums ir cieši saistīts ar citiem kontroles pasākumiem, piemēram, 5.21 (Informācijas drošība IKT piegādes ķēdē), kas aptver aparatūras un programmatūras komponentus, un 5.14 (Informācijas pārsūtīšana), kas regulē drošu datu apmaiņu. Piegādātāja attiecības nav iespējams efektīvi pārvaldīt, nekontrolējot arī tehnoloģiju, ko piegādātājs nodrošina, un datus, kurus jūs koplietojat.

Marijai tas nozīmē, ka CloudSphere audits nedrīkst aprobežoties ar uzņēmuma vispārējo drošības stāvokli; tam jāiedziļinās faktiskās platformas drošībā. Zenith Controls ceļvedis uzsver, ka spēcīga 5.19 ieviešana tieši atbalsta atbilstību būtiskiem regulējumiem:

• NIS2 (Article 21(2)(d)): uzliek organizācijām pienākumu pārvaldīt piegādes ķēdes risku kā drošības ietvara pamatelementu.
• DORA (Articles 28–30): nosaka pienākumu ieviest stingru IKT trešo pušu riska pārvaldības ietvaru, tostarp kritiskuma klasifikāciju un pirmslīguma sākotnējo izpēti.
• GDPR (Article 28): prasa, lai pārziņi piesaistītu tikai tādus apstrādātājus, kuri sniedz pietiekamas garantijas datu aizsardzībai.

Šis kontroles pasākums nosaka piegādātāju riska līmeņošanu, pastāvīgu uzraudzību un savlaicīgu piekļuves tiesību atsaukšanu. Tā mērķis ir nodrošināt, ka drošība ir iestrādāta piegādātāja dzīves ciklā, nevis pievienota vēlāk kā papildinājums.

2. solis: piemērošana — informācijas drošības prasības piegādātāju līgumos (5.20)

Drošības prasība, kas nav iekļauta līgumā, ir tikai ieteikums. Kontroles pasākums 5.20 ir vieta, kur pārvaldība kļūst līgumiski saistoša. Augsta riska piegādātāja gadījumā līgums ir jūsu spēcīgākais audita instruments.

Kā uzsver Zenith Controls, šīm vienošanām jābūt skaidri formulētām. Nekonkrēti solījumi par “nozares labāko drošību” nav pietiekami. Attiecībā uz tādu piegādātāju kā CloudSphere Marijai jāpārbauda, vai līgumā ir iekļautas konkrētas, izmērāmas klauzulas, kas organizācijai piešķir taustāmu pārraudzību:

• Audita tiesības: klauzula, kas skaidri piešķir organizācijai tiesības veikt tehniskos izvērtējumus, pārskatīt pierādījumus vai piesaistīt trešo pusi audita veikšanai tās vārdā.
• Paziņošanas termiņi pārkāpuma gadījumā: konkrēti un stingri termiņi, piemēram, 24 stundu laikā pēc atklāšanas, lai informētu uzņēmumu par drošības incidentu, nevis nekonkrēts formulējums “bez nepamatotas kavēšanās”.
• Apakšuzņēmēju jeb ceturto pušu pārvaldība: klauzula, kas pieprasa piegādātājam piemērot tos pašus drošības standartus saviem kritiskajiem apakšuzņēmējiem un informēt par jebkādām izmaiņām. Tas ir būtiski lejupējo risku pārvaldībai.
• Droša izstāšanās stratēģija: skaidri pienākumi attiecībā uz datu atdošanu vai sertificētu iznīcināšanu pēc līguma izbeigšanas.

Šajā jomā DORA ir īpaši preskriptīva. Article 30 uzskaita obligātās līguma prasības, tostarp netraucētu piekļuvi auditoriem un regulatoriem, konkrētu informāciju par pakalpojumu sniegšanas vietām un visaptverošas izstāšanās stratēģijas. Auditori atlasīs augsta riska piegādātāju līgumus un tieši pārbaudīs šo klauzulu esamību.

3. solis: nepārtrauktais cikls — piegādātāju pakalpojumu uzraudzība, pārskatīšana un izmaiņu pārvaldība (5.22)

Dzīves cikla pēdējais elements ir kontroles pasākums 5.22, kas piegādātāju uzraudzību pārvērš no konkrētā brīdī veiktas pārbaudes par nepārtrauktu procesu. Auditam nevajadzētu būt pārsteiguma pasākumam, bet gan validācijas punktam pastāvīgās un pārredzamās attiecībās.

Tieši šeit daudzām organizācijām rodas trūkumi. Līgums tiek parakstīts un ievietots arhīvā. Taču augsta riska piegādātājiem īstais darbs sākas pēc sākotnējās piesaistes. Zenith Controls ceļvedis sasaista 5.22 ar kritiskiem operatīvajiem procesiem, piemēram, 8.8 (Tehnisko ievainojamību pārvaldība) un 5.29 (Informācijas drošība traucējumu laikā). Tas nozīmē, ka efektīva uzraudzība ir daudz plašāka par ikgadēju pārskata sanāksmi. Tā ietver:

• Trešo pušu pierādījumu pārskatīšanu: aktīvu SOC 2 Type II pārskatu, ISO 27001 uzraudzības audita rezultātu vai ielaušanās testu kopsavilkumu iegūšanu un analīzi. Būtiski ir pārskatīt izņēmumus un izsekot to novēršanu.
• Incidentu uzraudzību: publiski izpaustu pārkāpumu vai drošības incidentu, kuros iesaistīts piegādātājs, izsekošanu un formālu iespējamās ietekmes uz organizāciju izvērtēšanu.
• Izmaiņu pārvaldību: procesa ieviešanu, kurā jebkādas būtiskas izmaiņas piegādātāja pakalpojumā, piemēram, jauna datu centra atrašanās vieta vai jauns kritisks apakšuzņēmējs, automātiski ierosina atkārtotu riska izvērtēšanu.

Clarysec Zenith Blueprint: auditora 30 soļu ceļkarte sniedz praktiskus norādījumus šajā jautājumā, jo īpaši 24. solī, kas aptver apakšuzņēmēju risku. Tajā norādīts:

“Katram kritiskajam piegādātājam nosakiet, vai tas izmanto apakšuzņēmējus (apakšapstrādātājus), kuri var piekļūt jūsu datiem vai sistēmām. Dokumentējiet, kā jūsu informācijas drošības prasības tiek nodotas šīm pusēm… Ja iespējams, pieprasiet galveno apakšuzņēmēju sarakstu un nodrošiniet, ka arī uz tiem attiecas jūsu audita tiesības vai tiesības saņemt apliecinājumu.”

Marijai tas ir būtisks jautājums. Vai CloudSphere izmanto trešās puses datu analītikas uzņēmumu? Vai tā infrastruktūra ir izvietota lielā publiskā mākonī? Šīs lejupējās atkarības rada būtisku un bieži neredzamu risku, kas auditā ir jāpadara redzams.

No teorijas līdz rīcībai: Marijas praktiskais CloudSphere audita plāns

Izmantojot šo ISO 27001:2022 dzīves ciklu, Marijas komanda sagatavo jaunu CloudSphere audita plānu, kas ievērojami pārsniedz anketu un demonstrē nobriedušu, uz risku balstītu pārvaldību, ko pieprasa regulatori.

1. Līguma pārskatīšana: komanda sāk ar esošā CloudSphere līguma kartēšanu pret DORA Article 30 un kontroles pasākuma 5.20 labāko praksi. Tiek sagatavots trūkumu analīzes pārskats, lai informētu nākamo līguma atjaunošanas ciklu un noteiktu pašreizējā audita prioritātes.

2. Mērķēts pierādījumu pieprasījums: vispārīgas anketas vietā komanda nosūta formālu pieprasījumu pēc konkrētiem pierādījumiem, tostarp:

   • jaunākā SOC 2 Type II pārskata un kopsavilkuma par to, kā novērsti visi norādītie izņēmumi;
   • jaunākā ārējā ielaušanās testa vadības kopsavilkuma;
   • pilna saraksta ar visiem apakšuzņēmējiem jeb ceturtajām pusēm, kas apstrādās datus vai piekļūs tiem;
   • pierādījuma, ka drošības prasības līgumiski tiek nodotas šiem apakšuzņēmējiem;
   • žurnāliem vai pārskatiem, kas apliecina savlaicīgu kritisko ievainojamību, piemēram, Log4j un MOVEit, ielāpošanu pēdējo sešu mēnešu laikā.

3. Tehniskā validācija: komanda izmanto “audita tiesību” klauzulu, lai ieplānotu tehnisku padziļinātās pārbaudes sesiju ar CloudSphere drošības komandu. Darba kārtībā galvenā uzmanība tiek pievērsta viņu incidentu reaģēšanas instrukcijām, mākoņdrošības konfigurācijas un stāvokļa pārvaldības (CSPM) rīkiem un datu noplūdes novēršanas kontroles pasākumiem.

4. Formāla izņēmumu pārvaldība: ja CloudSphere iebilst pret noteiktu pierādījumu sniegšanu, Marija ir sagatavojusies. Organizācijas pārvaldības process, kas definēts Trešo pušu un piegādātāju drošības politikā, ir skaidrs:

“Augsta riska izņēmumi, piemēram, piegādātāji, kas apstrādā reglamentētus datus vai atbalsta kritiskās sistēmas, jāapstiprina CISO, Juridiskajam dienestam un iepirkumu vadībai, un tie jāreģistrē ISMS izņēmumu reģistrā.”

• No sadaļas “Risku apstrāde un izņēmumi”, politikas 7.3. punkts

Tas nodrošina, ka jebkurš atteikums sniegt pierādījumus netiek vienkārši ignorēts, bet tiek formāli pieņemts kā risks organizācijas augstākajos līmeņos — process, ko auditori vērtē pozitīvi.

Auditora skatījums: ko prasīs dažādi auditori

Lai izveidotu patiesi noturīgu programmu, ir jādomā kā auditoram. Dažādiem audita ietvariem ir atšķirīgs skatījums, un panākumu atslēga ir spēja paredzēt to jautājumus. Tālāk sniegts konsolidēts pārskats par to, ko dažādi auditori prasītu, pārskatot jūsu piegādātāju pārvaldības programmu:

Šis vairāku skatījumu modelis parāda, ka stingras programmas mērķis nav izpildīt vienu standartu, bet gan izveidot visaptverošu pārvaldības ietvaru, kas ģenerē pierādījumus, kuri nepieciešami visu attiecīgo prasību izpildei.

Kritiskās kļūdas: kur piegādātāju auditi izgāžas

Daudzas piegādātāju uzraudzības programmas neizdodas biežu un novēršamu kļūdu dēļ. Īpaši jāuzmanās no šādiem kritiskiem trūkumiem:

• Audits kā vienreizējs pasākums: paļaušanās uz vienreizējiem auditiem sākotnējās piesaistes vai līguma atjaunošanas laikā, nevis nepārtrauktas uzraudzības ieviešana.
• Pārmērīga paļaušanās uz sertifikāciju: ISO vai SOC 2 sertifikāta pieņemšana pēc nominālvērtības, nepārskatot pārskata detaļas, darbības jomu un izņēmumus.
• Neskaidri līgumi: skaidru un izpildāmu klauzulu neiekļaušana par audita tiesībām, paziņošanu pārkāpuma gadījumā un datu apstrādi.
• Vāja uzskaites pārvaldība: nespēja uzrādīt pilnīgu, pēc riska līmeņotu visu piegādātāju reģistru un informāciju par datiem, kuriem tie piekļūst.
• Lejupējā riska ignorēšana: nespēja identificēt un pārvaldīt riskus, ko rada piegādātāja kritiskie apakšuzņēmēji jeb ceturtās puses.
• Nepārbaudīta ievainojamību pārvaldība: uzticēšanās, ka piegādātājs ielāpo kritiskās ievainojamības, nepieprasot pierādījumus.

Praktisks kontrolsaraksts augsta riska piegādātāju auditiem

Izmantojiet šo kontrolsarakstu, kas pielāgots no Zenith Blueprint, lai nodrošinātu, ka katra augsta riska piegādātāja audita process ir rūpīgs un aizstāvams.

Noslēgums: noturīgas un aizstāvamas piegādes ķēdes veidošana

Kritisko piegādātāju “ķeksīšu” atbilstības ēra ir beigusies. Intensīvā pārbaude, ko nosaka tādi regulējumi kā NIS2 un DORA, prasa būtisku pāreju uz nepārtrauktu, pierādījumos balstītu pārliecības iegūšanas modeli. Tādiem CISO kā Marijai jāvada organizācijas prom no statiskās anketas pieejas.

Veidojot programmu uz pārbaudītā ISO/IEC 27001:2022 kontroles pasākumu dzīves cikla pamata, jūs izveidojat ietvaru, kas ir ne tikai atbilstošs, bet arī faktiski efektīvs riska mazināšanā. Tas nozīmē uztvert piegādātāju drošību kā stratēģisku disciplīnu, iekļaut līgumos izpildāmas prasības un uzturēt modru pārraudzību visā attiecību laikā.

Jūsu organizācijas drošība ir tik stipra, cik stiprs ir tās vājākais posms, un mūsdienu savstarpēji saistītajā ekosistēmā šis posms bieži atrodas pie trešās puses. Ir laiks atgūt kontroli.

Vai esat gatavi neaprobežoties ar anketu?

Clarysec integrētie rīkkopi nodrošina pamatu, kas nepieciešams pasaules līmeņa piegādātāju risku pārvaldības programmas izveidei — tādai, kas iztur jebkuru auditu.

• Lejupielādējiet mūsu politiku veidnes: ieviesiet stingru pārvaldības ietvaru ar mūsu uzņēmuma līmeņa Trešo pušu un piegādātāju drošības politiku un tās ekvivalentu MVU vajadzībām.
• Sekojiet Zenith Blueprint: izmantojiet mūsu Zenith Blueprint: auditora 30 soļu ceļkarti, lai ieviestu un auditētu atbilstošu informācijas drošības pārvaldības sistēmu (ISMS), ar īpašiem soļiem piegādātāju riska pārvaldības pilnveidei.
• Izmantojiet Zenith Controls: pieprasiet mūsu Zenith Controls: starpatbilstības ceļveža demonstrāciju, lai kartētu piegādātāju kontroles pasākumus pret NIS2, DORA, GDPR, NIST un citām prasībām, nodrošinot, ka jūsu audita plāns ir visaptverošs un aizstāvams.