Mākoņreģionu pārvaldība GDPR, NIS2 un DORA prasību izpildei

Otrdienas rītā plkst. 08.17 Marija, strauji augoša Eiropas fintech uzņēmuma CISO, saņem ziņu, no kuras agrāk vai vēlāk baidās ikviens regulēts mākoņpakalpojumu klients.

Iepirkumu komanda pārsūta īsu piegādātāja paziņojumu:

“Mūsu mākoņanalītikas pakalpojumu sniedzējs veiktspējas apsvērumu dēļ pārvieto ES klientu telemetriju uz jaunu reģionu. Viņi norāda, ka drošības ietekmes nav. Vai varam apstiprināt?”

Pirms Marija paspēj atbildēt, pienāk otrs paziņojums no galvenā mākoņpakalpojumu sniedzēja. Pēc 90 dienām pakalpojumu sniedzējs “optimizēs savu globālo atbalsta modeli”, novirzot 2. līmeņa atbalsta pieteikumus caur jaunu apakšapstrādātāju. Ātra pārbaude parāda, ka apakšapstrādātāja galvenā mītne atrodas valstī, par kuru nav pieņemts GDPR atbilstības lēmums.

Līdz plkst. 09.00 sarakstei ir pievienojusies juridiskā funkcija, privātuma funkcija, noturības komanda, iepirkumi, mākoņinženierija un finanšu atbilstības komanda. Datu aizsardzības speciālists jautā, vai nepieciešams datu pārsūtīšanas ietekmes novērtējums. Noturības vadītājs jautā, vai jaunais reģions ietekmē kritiska pakalpojuma atjaunošanas plānu. Finanšu atbilstības vadītājs jautā, vai pakalpojumu sniedzējs ir iekļauts DORA IKT trešo pušu reģistrā. Mākoņkomanda pārbauda ražošanas datu plūsmu un saprot, ka jautājums ir plašāks par analītiku. Tvērumā var nonākt rezerves kopijas, operacionālie žurnāli, atbalsta pieteikumi, datu ezera eksporti, break-glass piekļuve un apakšuzņēmēju piekļuve.

Tā ir reālā 2026. gada mākoņpakalpojumu pārvaldības problēma.

Lielākajai daļai organizāciju ir mākoņpakalpojumu politika. Daudzām ir piegādātāju reģistrs. Dažām ir GDPR datu pārsūtīšanas novērtējums. Taču mazāk organizāciju ar pierādījumiem spēj atbildēt uz sarežģītāko audita jautājumu:

Kur tieši atrodas regulētie dati un kritiskā IKT apstrāde, kurš tiem var piekļūt un no kurienes, kas notiek pārslēgšanās uz rezerves vidi laikā, un kāds līgumisks kontroles pasākums liedz pakalpojumu sniedzējam mainīt atbildi bez apstiprinājuma?

Tā ir mākoņreģionu pārvaldība. Tā nav viena juridiska atzīme kontrolsarakstā. Tā ir dzīva kontroles sistēma, kas aptver ISO/IEC 27001:2022, ISO/IEC 27002:2022 mākoņpakalpojumu un piegādātāju kontroles pasākumus, GDPR pārskatatbildību, NIS2 pakalpojumu noturību un DORA IKT trešo pušu pārraudzību.

Datu rezidence tagad ir operacionāls kontroles pasākums

Gadiem ilgi “mitināšana tikai ES” tika uzskatīta par klauzulu datu apstrādes līgumā. Ar to vairs nepietiek. Mūsdienīgai mākoņvides datu rezidences un reģionu pārvaldības programmai jāaptver vismaz seši operacionālie slāņi:

1. Primārās ražošanas glabātuves un skaitļošanas reģioni.
2. Rezerves kopiju, arhīvu un avārijas atjaunošanas reģioni.
3. Žurnālu reģistrēšanas, uzraudzības, SIEM un novērojamības datu atrašanās vietas.
4. Atbalsta piekļuve, tostarp attālināta administrēšana un break-glass piekļuve.
5. Apakšapstrādātāji un apakšuzņēmēji, tostarp pārvaldītie pakalpojumi un tirgū pieejamu platformu komponenti.
6. Datu pārsūtīšanas ceļi starp vidēm, lietojumprogrammu saskarnes, analītikas platformām un klientu atbalsta rīkiem.

GDPR to padara neizbēgamu, jo personas dati var ietvert tiešsaistes identifikatorus, IP adreses, klientu kontu identifikatorus, lietotāju ierakstus, ierīču identifikatorus, operacionālos metadatus un atbalsta ierakstus. Arī apstrāde ir definēta plaši, ietverot glabāšanu, piekļuvi, izmantošanu, izpaušanu, dzēšanu un iznīcināšanu. “Mēs sūtām tikai žurnālus” nav drošs izņēmums, ja šie žurnāli satur identifikatorus.

GDPR Article 5 ietver arī pārskatatbildības principu. Pārziņiem ir ne tikai jāievēro likumīguma, godprātības, pārredzamības, nolūka ierobežojuma, datu minimizēšanas, glabāšanas ierobežojuma, integritātes un konfidencialitātes principi. Tiem arī jāspēj pierādīt atbilstību. Mākoņreģionu pārvaldība ir viens no veidiem, kā šo pierādīšanu padarīt praktiski īstenojamu.

NIS2 paplašina jautājumu no privātuma uz noturību. Saskaņā ar Article 21 būtiskām un svarīgām vienībām jāievieš atbilstoši tehniski, operacionāli un organizatoriski pasākumi, lai pārvaldītu riskus tīklu un informācijas sistēmām, ko izmanto darbībai vai pakalpojumu sniegšanai. Uzskaitītie pasākumi ietver piegādes ķēdes drošību, darbības nepārtrauktību, rezerves kopiju pārvaldību, avārijas atjaunošanu, krīzes pārvaldību, piekļuves kontroli, aktīvu pārvaldību, šifrēšanu un efektivitātes novērtēšanu. Ja lēmums par mākoņreģionu ietekmē tvērumā esoša pakalpojuma pieejamību vai atjaunošanu, tas nav tikai datu aizsardzības jautājums. Tas ir noturības jautājums.

Finanšu vienībām DORA paceļ prasību latiņu vēl augstāk. DORA ir piemērojama no 2025. gada 17. janvāra un nosaka prasības IKT risku pārvaldībai, ziņošanai par incidentiem, digitālās operacionālās noturības testēšanai, IKT trešo pušu riska pārvaldībai un līgumiskajiem nosacījumiem. Article 28 prasa finanšu vienībām pārvaldīt IKT trešo pušu risku kā IKT risku pārvaldības ietvara neatņemamu daļu, uzturēt līgumisko vienošanos reģistrus, novērtēt koncentrācijas risku un plānot izstāšanos kritisku vai svarīgu funkciju gadījumā. Article 30 paredz līgumisku skaidrību par pakalpojumu un datu apstrādes vietām, audita un piekļuves tiesībām, atbalstu incidentu gadījumā, apakšuzņēmēju piesaisti, atjaunošanu, atdošanu un izstāšanās pāreju.

DORA ir finanšu vienībām specifisks nozares režīms, savukārt NIS2 joprojām ir nozīmīga plašākā piegādes ķēdē, īpaši mākoņskaitļošanas pakalpojumu sniedzējiem, datu centru pakalpojumu sniedzējiem un pārvaldīto pakalpojumu sniedzējiem. Tādēļ viens nepārbaudīts apakšapstrādātājs var radīt domino efektu finanšu noturībā, piegādes ķēdes drošībā un privātuma pienākumos.

Vienkārši sakot, ja regulēts uzņēmums nespēj pārvaldīt, kur notiek tā mākoņvides apstrāde, tas nevar ticami pārvaldīt IKT trešo pušu risku.

Izmantojiet ISO 27001 kā pārvaldības sistēmas balstu

ISO/IEC 27001:2022 nodrošina struktūru, lai rezidences neskaidrības pārvērstu kontrolētā pārvaldības sistēmā.

Punkti 4.1 līdz 4.4 prasa organizācijai definēt ISMS kontekstu, tostarp iekšējos un ārējos jautājumus, ieinteresēto pušu prasības, juridiskos, normatīvos un līgumiskos pienākumus, saskarnes un atkarības ar citām organizācijām. Mākoņreģionu pārvaldībai ISMS darbības jomā skaidri jāiekļauj mākoņpakalpojumi, ārpakalpojumā nodota IKT apstrāde, kritisko pakalpojumu atkarības un regulētas datu plūsmas.

Punkti 5.1 līdz 5.3 nosaka vadības pārskatatbildību. Augstākajai vadībai informācijas drošības politika un mērķi jāsaskaņo ar stratēģisko virzienu, jānodrošina resursi, jāpiešķir atbildības un jānodrošina ziņošana par ISMS sniegumu. Šeit mākoņvides rezidence kļūst par vadības un valdes līmeņa jautājumu, īpaši NIS2 vienībām, kur pārvaldības struktūrām jāapstiprina un jāpārrauga kiberdrošības risku pārvaldības pasākumi, un DORA finanšu vienībām, kur pārvaldības struktūra ir atbildīga par IKT risku pārvaldību.

Punkti 6.1.1 līdz 6.1.3 nodrošina riska pārvaldības mehānismu. Organizācijai nepieciešams atkārtojams risku novērtēšanas process, riska īpašnieki, ietekmes un varbūtības kritēriji, risku apstrādes iespējas, izvēlēti kontroles pasākumi, Piemērojamības paziņojums un atlikušā riska pieņemšana. Mākoņreģiona izmaiņas nedrīkst apstiprināt ar neformālu e-pastu. Tām jāierosina risku novērtēšana vai izmaiņu pārskatīšana, ja tās ietekmē regulētus datus, kritiskas funkcijas, piegādātājus vai nepārtrauktības pieņēmumus.

Punkts 8.1 pārvērš plānošanu operacionālā kontrolē. Procesi ir jāievieš, jākontrolē, jādokumentē, jāpārvalda izmaiņu režīmā un jāattiecina uz ārēji nodrošinātiem produktiem un pakalpojumiem, kas ir būtiski ISMS. Punkti 8.2 un 8.3 prasa atkārtotu novērtēšanu un apstrādi plānotos intervālos vai tad, kad notiek būtiskas izmaiņas. Mākoņreģiona migrācija, rezerves kopiju replikācija, jauna žurnālu reģistrēšanas platforma vai atbalsta apakšapstrādātāja maiņa — tie visi ir atkārtotas novērtēšanas kandidāti.

ISO/IEC 27002:2022 kontroles pasākumu kopa pēc tam nodrošina praktisko kontroles pasākumu saimi. Būtiskākie kontroles pasākumi ietver:

• 5.9 Informācijas un citu saistīto aktīvu uzskaite.
• 5.14 Informācijas pārsūtīšana.
• 5.15 Piekļuves kontrole.
• 5.19 Informācijas drošība piegādātāju attiecībās.
• 5.20 Informācijas drošības prasību ietveršana piegādātāju līgumos.
• 5.22 Piegādātāju pakalpojumu uzraudzība, pārskatīšana un izmaiņu pārvaldība.
• 5.23 Informācijas drošība mākoņpakalpojumu izmantošanā.
• 5.29 Informācijas drošība darbības traucējumu laikā.
• 5.30 IKT gatavība darbības nepārtrauktībai.
• 5.31 Juridiskās, normatīvās, regulatīvās un līgumiskās prasības.
• 5.34 Privātums un PII aizsardzība.
• 5.36 Atbilstība informācijas drošības politikām, noteikumiem un standartiem.
• 8.11 Datu maskēšana.
• 8.12 Datu noplūdes novēršana.
• 8.13 Informācijas rezerves kopiju veidošana.
• 8.15 Žurnālu reģistrēšana.
• 8.16 Uzraudzības darbības.
• 8.20 Tīklu drošība.
• 8.24 Kriptogrāfijas izmantošana.
• 8.25 Drošas izstrādes dzīves cikls.
• 8.27 Drošas sistēmu arhitektūras un inženierijas principi.
• 8.32 Izmaiņu pārvaldība.

Clarysec Zenith Controls: The Cross-Compliance Guide Zenith Controls ISO/IEC 27002:2022 kontroles pasākumu 5.23, Informācijas drošība mākoņpakalpojumu izmantošanā, aplūko kā preventīvu kontroles pasākumu, kas atbalsta konfidencialitāti, integritāti un pieejamību, ar operacionālo spēju piegādātāju attiecību drošības, drošības pārvaldības, ekosistēmas un aizsardzības jomās. Ceļvedis sasaista 5.23 ar 5.19 piegādātāju attiecībām, 5.14 informācijas pārsūtīšanu, 5.9 aktīvu uzskaiti, 8.11 un 8.12 datu maskēšanu un datu noplūdes novēršanu, 8.20 tīkla drošību un 8.25 drošas izstrādes dzīves ciklu.

Būtisks Zenith Controls novērojums ir:

“Mākoņpakalpojumu sniedzēji (CSP) darbojas kā kritiski piegādātāji, tāpēc uz tiem attiecas visi 5.19 kontroles pasākumi, kas saistīti ar piegādātāju atlasi, līgumu slēgšanu un risku pārvaldību. Tomēr 5.23 iet tālāk, risinot mākoņpakalpojumiem specifiskus riskus, piemēram, vairāknomnieku vidi, datu atrašanās vietas pārredzamību un dalītās atbildības modeļus.”

Šis teikums precīzi raksturo pārvaldības maiņu. Mākoņpakalpojumu sniedzējs nav tikai vēl viens piegādātājs. Bieži tā ir vieta, kur notiek regulētā apstrāde.

Slēptie rezidences slazdi: rezerves kopijas, žurnāli, atbalsts un apakšapstrādātāji

Lielākā daļa datu rezidences kļūmju nesākas ar ražošanas datubāzi. Tās sākas atbalsta sistēmās, kas nekad nav pienācīgi iekļautas datu plūsmu pārskatīšanā.

Rezerves kopijas ir klasisks piemērs. SaaS platforma var darboties Frankfurtē vai Dublinā, bet automatizētās rezerves kopijas noturības vai izmaksu apsvērumu dēļ tiek replicētas citur. Ja rezerves kopija satur personas datus, klientu ierakstus, autentifikācijas žurnālus vai regulētu darījumu vēsturi, rezerves kopiju reģionam ir nozīme. Saskaņā ar NIS2 Article 21 rezerves kopiju pārvaldība un avārijas atjaunošana ir drošības pamatlīmeņa daļa. Saskaņā ar DORA kritisku vai svarīgu funkciju nepārtrauktība un pārbaudītas izstāšanās stratēģijas prasa zināšanas par atjaunošanas vietām un atjaunošanas atkarībām.

Žurnāli ir vēl viens vājš punkts. Drošības komandas centralizē telemetriju SIEM, novērojamības un datu ezera pakalpojumos. Šie žurnāli var ietvert IP adreses, lietotāju identifikatorus, administratoru darbības, maksājumu metadatus, neveiksmīgus autentifikācijas mēģinājumus, klientu kontu identifikatorus vai atbalsta izsekošanas datus. Ja žurnāli nonāk globālā uzraudzības pakalpojumā, organizācija, to neapzinoties, var būt izveidojusi pārrobežu pārsūtīšanu.

Clarysec Logging and Monitoring Policy-sme Žurnālu reģistrēšanas un uzraudzības politika - SME tieši risina piegādātāju pierādījumus:

“Līgumos jāprasa pakalpojumu sniedzējiem glabāt žurnālus vismaz 12 mēnešus un nodrošināt piekļuvi pēc pieprasījuma”

Šis citāts ir no sadaļas “Pārvaldības prasības”, politikas punkta 5.5.1.3. Datu rezidences pārvaldībā tai pašai līguma pārskatīšanai jāapstiprina, kur šie žurnāli tiek glabāti, kas tiem var piekļūt un vai žurnālu pierādījumi ir pieejami incidenta izmeklēšanas vai regulatora pieprasījuma laikā.

Atbalsta piekļuve ir smalkāka. Pakalpojumu sniedzējs var mitināt datus ES, bet atbalsta inženieri ārpus ES var piekļūt klientu vidēm, datubāzu momentuzņēmumiem, diagnostikas pakotnēm vai pieteikumu pielikumiem. Tas, vai tas ir pieļaujams, ir atkarīgs no iesaistītajiem datiem, pārsūtīšanas mehānisma, lomas, līgumiskajiem aizsardzības pasākumiem, piekļuves kontroles pasākumiem un žurnālu reģistrēšanas. Arhitektūra var būt reģionāla, savukārt cilvēku piekļuves modelis — globāls.

Apakšapstrādātāji rada pēdējo aklo zonu. Tiešais piegādātājs var paļauties uz mākoņinfrastruktūru, satura piegādes tīkliem, pārvaldītām datubāzēm, pieteikumu sistēmām, analītikas pakalpojumiem, ārvalstu atbalsta komandām vai drošības piegādātājiem. DORA Article 29 prasa novērtēt apakšuzņēmēju piesaistes riskus, trešo valstu pakalpojumu sniedzējus, datu atjaunošanas ierobežojumus, atbilstību datu aizsardzībai un sarežģītas apakšuzņēmēju ķēdes. NIS2 Article 21 prasa vienībām ņemt vērā tiešo piegādātāju un pakalpojumu sniedzēju kiberdrošības praksi. GDPR prasa apstrādātājiem pārvaldīt apakšapstrādātājus tā, lai saglabātu pārziņa spēju nodrošināt atbilstību.

Clarysec Third-Party and Supplier Security Policy-sme Trešo pušu un piegādātāju drošības politika - SME padara to praktiski īstenojamu:

“Ja piegādātājiem ir jāglabā dati ārpus uzņēmuma telpām, uzņēmumam jāiegūst apliecinājums par datu aizsardzību, fizisko drošību un ģeogrāfisko glabāšanas vietu (piem., mitināšanu tikai ES, ja to prasa GDPR).”

Tas ir no sadaļas “Politikas ieviešanas prasības”, politikas punkta 6.2.4. Tā pati politika prasa arī:

“Ierobežojumus turpmākai apakšuzņēmēju piesaistei bez apstiprinājuma”

Šis citāts ir no sadaļas “Pārvaldības prasības”, politikas punkta 5.3.5. Kopā šie punkti pārvērš rezidenci par piegādātāju pārvaldības darbplūsmu, nevis iepirkuma izvēli.

Pārvērtiet politiku piemērojamā mākoņreģionu pārvaldībā

Mākoņreģionu pārvaldībai jābūt piemērojamai, pārskatāmai un auditējamai.

SME vajadzībām Cloud Usage Policy-sme Mākoņpakalpojumu izmantošanas politika - SME nosaka pamatlīmeni:

“Datu rezidences un privātuma prakse atbilst piemērojamām juridiskajām prasībām (piem., GDPR)”

Tas ir no sadaļas “Pārvaldības prasības”, politikas punkta 5.2.3. Tā pati politika prasa, lai mākoņpakalpojumu pārvaldības ierakstos tiktu iekļauts:

“Valsts vai reģions, kurā dati tiek glabāti”

Šis citāts ir no sadaļas “Pārvaldības prasības”, politikas punkta 5.3.4.

Lielākām organizācijām Cloud Usage Policy Mākoņpakalpojumu izmantošanas politika ir skaidrāka par līgumisku piemērošanu:

“Datu rezidences prasības jānostiprina līgumiski (piem., glabāšana tikai ES GDPR regulētiem datiem).”

Tas ir no sadaļas “Politikas ieviešanas prasības”, politikas punkta 6.6.2. Tajā arī noteikts:

“Pārrobežu datu pārsūtīšanai jāatbilst GDPR V nodaļai un, kur piemērojams, DORA Article 28.”

Tas ir no sadaļas “Politikas ieviešanas prasības”, politikas punkta 6.6.3.

Uzņēmuma versijā uzmanība pievērsta arī:

“Datu rezidences un datu īpašumtiesību garantijām”

Šis citāts ir no sadaļas “Lomas un pienākumi”, politikas punkta 4.5.1.2.

Third party and supplier security policy Trešo pušu un piegādātāju drošības politika pievieno līgumu slāni, prasot:

“Datu apstrādes prasības, tostarp glabāšanas vietu, piekļuves kontroles pasākumus un atdošanas vai iznīcināšanas klauzulas”

Šis citāts ir no sadaļas “Pārvaldības prasības”, politikas punkta 5.3.2.

Visbeidzot Legal and Regulatory Compliance Policy Tiesiskās un regulatīvās atbilstības politika identificē izmaiņas, kurām jāierosina atbilstības pārskatīšana, tostarp:

“Izmaiņas datu pārsūtīšanas mehānismos, apakšapstrādātājos vai pārrobežu datu plūsmās”

Tas ir no sadaļas “Pārvaldības prasības”, politikas punkta 5.3.1.1.

Šiem dokumentiem nevajadzētu darboties kā atsevišķām datnēm. Nobriedušā ISMS tie kļūst par vienotu operacionālo modeli: mākoņpakalpojumu uzskaite, datu plūsmu reģistrs, piegādātāju reģistrs, līgumu matrica, risku novērtēšana, pārsūtīšanas pārskatīšana, izmaiņu apstiprināšana un audita pierādījumu pakotne.

Izveidojiet mākoņreģionu pārvaldības reģistru

Praktisks reģistrs pārvērš mākoņvides rezidenci no pieņēmuma pierādījumos. Sāciet ar vienu kritisku klientiem pieejamu pakalpojumu, īpaši tādu, kas, visticamāk, ietilpst NIS2, DORA klientu padziļinātās izpētes vai GDPR pārbaudes tvērumā.

Tagad sasaistiet reģistru ar ieviešanu.

Clarysec Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint fāzē Controls in Action, 23. solī, uzmanība pievērsta organizatoriskajiem kontroles pasākumiem 5.19 līdz 5.37, tostarp piegādātāju līgumiem un mākoņpakalpojumu pārvaldībai. Blueprint brīdina, ka piegādātāju līgumiem jāaptver vairāk nekā vispārīga konfidencialitāte:

“Daudzās nozarēs piegādātāju līgumi definē arī datu īpašumtiesības un jurisdikciju. Kur dati tiek apstrādāti? Kurš saglabā kontroli? Vai pastāv pārsūtīšanas ierobežojumi? Vai ir mākoņpakalpojumiem specifiski kontroles pasākumi (piemēram, datu segmentēšana, atslēgu īpašumtiesības vai ģeogrāfiski ierobežojumi)? Šie elementi nav tikai juridiski — tie ir operacionālās drošības jautājumi, īpaši regulētās nozarēs.”

Tā pati fāze un solis aplūko piegādātāju izmaiņu pārvaldību:

“Lielākā daļa piegādātāju attiecību sākas ar labiem nodomiem. Rūpīga pārskatīšana, skaidras gaidas, parakstīti līgumi (skatīt 5.20), varbūt pat drošības kontrolsaraksts. Bet kas notiek pēc gada, kad piegādātājs piedāvā pārvietot jūsu datus uz jaunu mākoņreģionu?”

Tā ir Marijas otrdienas rīta problēma. Reģistrs dod CISO iespēju atbildēt pirms pārvietošanas apstiprināšanas.

Zenith Blueprint arī skaidro mākoņpakalpojumu kontroles pasākuma 5.23 pārvaldības nozīmi:

“Nepareizi konfigurēts glabāšanas konteiners, publiski eksponēts informācijas panelis vai pārmērīgas atļaujas mākoņvides IAM konfigurācijā nav mākoņpakalpojumu kļūmes. Tās ir pārvaldības kļūmes.”

Fāzē Controls in Action, 22. solī, Blueprint aplūko informācijas pārsūtīšanu un norāda:

“Ja personas dati tiek pārsūtīti pāri robežām, metodei jāatbilst privātuma un juridiskajiem pienākumiem, nevis tikai iekšējām preferencēm.”

Šī atziņa ir svarīga mākoņkomandām. Šifrēšana, drošas lietojumprogrammu saskarnes un privāts savienojums ir nepieciešami, bet tie neaizstāj juridisko un regulatīvo pārsūtīšanas pārvaldību.

Vadiet pirmo 90 minūšu pierādījumu darbnīcu

Nesāciet ar visa uzņēmuma kartēšanu. Sāciet ar vienu kritisku pakalpojumu un vadiet fokusētu darbnīcu ar mākoņinženieriju, iepirkumiem, juridisko funkciju, privātuma funkciju, noturības komandu un drošības operācijām.

Pirmkārt, uzskaitiet katru mākoņpakalpojuma vai piegādātāja komponentu, kas glabā, apstrādā, pārsūta, iekļauj rezerves kopijās, uzrauga vai atbalsta pakalpojumu. Iekļaujiet arī nelielas sistēmas, piemēram, darbspējas uzraudzību, pieteikumu pielikumus, kļūdu izsekošanu, atbalsta ekrāna koplietošanas rīkus un diagnostikas eksportus.

Otrkārt, atzīmējiet katru datu kategoriju. Ja komanda saka “tikai metadati”, apšaubiet šo pieņēmumu. Metadati joprojām var būt personas dati vai klientu konfidenciālie dati.

Treškārt, pārbaudiet reģionu pēc pierādījumiem. Izmantojiet mākoņkonsoles konfigurāciju, rezerves kopiju politikas, SIEM nomnieka iestatījumus, DPA pielikumus, apakšapstrādātāju sarakstus, līguma noteikumus, atbalsta piekļuves dokumentāciju un CSP audita pārskatus. Nepaļaujieties tikai uz pārdošanas apliecinājumiem.

Ceturtkārt, iekļaujiet trūkumus ISMS riska reģistrā. Piemēri: “rezerves kopiju replikācijas reģions nav līgumiski ierobežots”, “atbalsta piekļuve no trešās valsts nav nodrošināta ar dokumentētu apstiprināšanas darbplūsmu”, “SIEM žurnāli tiek glabāti globāli”, “apakšapstrādātāju saraksts nenorāda mitināšanas reģionu” vai “DORA reģistrs nenošķir kritiskas vai svarīgas funkcijas atkarību”.

Piektkārt, izlemiet par risku apstrādi. Risku apstrādes pasākumi var ietvert līguma grozījumus, reģiona bloķēšanu, klienta paziņošanu, šifrēšanu ar klienta pārvaldītām atslēgām, tokenizāciju, žurnālu minimizēšanu, jauna piegādātāja apstiprināšanu, izstāšanās stratēģijas atjaunināšanu vai atlikušā riska pieņemšanu, ko veic riska īpašnieks.

Sestkārt, saglabājiet pierādījumus. Auditori jautās ne tikai, ko jūs nolēmāt. Viņi jautās, kā jūs zināt, ka tas tika ieviests.

Kartējiet vienu pierādījumu kopu uz ISO, GDPR, NIS2, DORA un NIST CSF 2.0

Spēcīga mākoņreģionu pārvaldības programma novērš dublētu atbilstības darbu. Tie paši pierādījumi var atbalstīt vairākus pienākumus, ja tie ir pareizi strukturēti.

NIST CSF 2.0 ir noderīgs kā integrējošs slānis. Tā GOVERN funkcija saskan ar juridiskajiem, regulatīvajiem, līgumiskajiem un privātuma pienākumiem, riska apetīti, pārskatatbildību, politikām un pārraudzību. Tā GV.SC piegādes ķēdes kategorija labi kartējas uz DORA IKT trešo pušu gaidām, NIS2 piegādes ķēdes prasībām un ISO piegādātāju kontroles pasākumiem.

COBIT 2019 un ISACA audita skatījums bieži pārbauda tos pašus faktus caur pārvaldības mērķiem: īpašumtiesībām, lēmumu pieņemšanas tiesībām, riska optimizāciju, piegādātāju veiktspēju, ieguvumu realizāciju un apliecinājumu. COBIT stila pārbaudītājs var nesākt ar jautājumu “kurš mākoņreģions ir konfigurēts?” Viņš var sākt ar jautājumu “kam ir pilnvaras apstiprināt reģiona izmaiņas, kā risks tiek eskalēts un kā vadība zina, ka mākoņpakalpojumu piegādātāji paliek tolerances robežās?”

Tāpēc Clarysec modelis fiksē īpašniekus, apstiprināšanas punktus, līgumiskos pierādījumus un ziņošanu vadībai, ne tikai tehniskos iestatījumus.

Sagatavojieties auditoru jautājumiem

Mākoņreģionu pārvaldība ir lielisks piemērs tam, kā dažādi auditori uz vienu un to pašu kontroles pasākumu skatās no atšķirīgiem leņķiem.

ISO/IEC 27001:2022 auditors sāks ar darbības jomu, ieinteresēto pušu prasībām, risku novērtēšanu un Piemērojamības paziņojumu. Viņš jautās, vai juridiskās, regulatīvās un līgumiskās prasības ir identificētas, vai mākoņpakalpojumu un piegādātāju kontroles pasākumi ir iekļauti, vai riski tika novērtēti, vai kontroles pasākumi ir ieviesti un vai pierādījumi tiek glabāti. Viņš var izlases kārtā paņemt vienu mākoņpakalpojumu un pieprasīt ieviešanas pārskatīšanu, līguma klauzulas, reģiona konfigurāciju, uzraudzības pārskatīšanu un izmaiņu apstiprinājumu.

Datu aizsardzības iestāde vai GDPR pārbaudītājs koncentrēsies uz personas datiem. Viņi jautās, kādi personas dati tiek apstrādāti, kur tie tiek glabāti, no kurienes tiem piekļūst, kuri apstrādātāji un apakšapstrādātāji ir iesaistīti, vai pārsūtīšanas mehānismi ir dokumentēti, vai nepieciešams datu pārsūtīšanas ietekmes novērtējums un vai ir ieviesti atbilstoši tehniskie un organizatoriskie pasākumi. Žurnāli, atbalsta dati un rezerves kopijas bieži nonāk uzmanības centrā, jo organizācijas tos novērtē nepietiekami.

NIS2 auditors vai kompetentā iestāde koncentrēsies uz tvērumā esošiem pakalpojumiem. Viņi aplūkos vadības pārskatatbildību saskaņā ar Article 20, risku pārvaldības pasākumus saskaņā ar Article 21, nepārtrauktību, rezerves kopiju pārvaldību, avārijas atjaunošanu, incidentu apstrādi, piegādes ķēdes drošību, piekļuves kontroli, aktīvu pārvaldību un efektivitātes novērtēšanu.

DORA uzraugs vai iekšējā audita komanda meklēs IKT risku pārvaldību, pārvaldības struktūras pārraudzību, IKT trešo pušu vienošanos informācijas reģistru, kritisku vai svarīgu funkciju kartēšanu, koncentrācijas risku, apakšuzņēmēju piesaistes risku, datu apstrādes vietas, audita tiesības, atbalstu ziņošanai par incidentiem, nepārtrauktības testēšanu un izstāšanās plānus. DORA skaidri nosaka, ka ārpakalpojums nepārnes pārskatatbildību.

Zenith Controls palīdz drošības vadītājiem sagatavoties šiem audita stiliem, jo tas krusteniski sasaista kontroles attiecības. ISO/IEC 27002:2022 kontrolei 5.20, Informācijas drošības prasību ietveršana piegādātāju līgumos, Zenith Controls to sasaista ar 5.19 piegādātāju attiecībām, 5.14 informācijas pārsūtīšanu, 5.22 piegādātāju uzraudzību, 5.11 aktīvu atdošanu un 5.36 atbilstību politikām, noteikumiem un standartiem. Kontrolei 5.22, Piegādātāju pakalpojumu uzraudzība, pārskatīšana un izmaiņu pārvaldība, tas sasaista pastāvīgu piegādātāju pārraudzību ar 5.29 drošību darbības traucējumu laikā, 8.8 tehnisko ievainojamību pārvaldību, 5.15 piekļuves kontroli, 8.27 drošas sistēmu arhitektūras un inženierijas principiem un 5.36 atbilstību.

Šis šķērskontroles skatījums ir svarīgs, jo reģiona izmaiņa nekad nav tikai reģiona izmaiņa. Tā var mainīt piegādātāja risku, pārsūtīšanas risku, piekļuves risku, nepārtrauktības risku, incidentu reaģēšanas pierādījumus un līgumisko atbilstību.

Izmantojiet šo 2026. gada CISO kontrolsarakstu pirms mākoņvides izmaiņu apstiprināšanas

Izmantojiet šo kontrolsarakstu pirms jebkura jauna mākoņreģiona, pārrobežu apstrādes ceļa, rezerves kopiju atrašanās vietas, žurnālu reģistrēšanas platformas, atbalsta modeļa vai kritiska IKT piegādātāja izmaiņu apstiprināšanas.

Ja atbilde uz jebkuru jautājumu ir “mēs pieņemam”, kontroles pasākums nav pietiekami nobriedis regulētām operācijām.

Nepilnību novēršanas ceļkarte

Nepilnību novēršanas ceļš ir praktisks, ja tas balstās ISMS.

1. Apstipriniet, ka ISMS darbības joma ietver mākoņpakalpojumus, kritiskas IKT atkarības un regulētu datu apstrādi.
2. Izveidojiet mākoņreģionu pārvaldības reģistru prioritārajiem pakalpojumiem.
3. Kartējiet katru pakalpojumu uz datu kategorijām, reģioniem, rezerves kopiju atrašanās vietām, atbalsta piekļuvi un apakšapstrādātājiem.
4. Pārskatiet piegādātāju līgumus attiecībā uz glabāšanas vietu, pārsūtīšanu, auditu, incidentiem, apakšuzņēmējiem, atdošanas un iznīcināšanas klauzulām.
5. Atjauniniet riska reģistru ar trūkumiem, koncentrācijas riskiem un nedokumentētām pārsūtīšanām.
6. Saskaņojiet DORA IKT trešo pušu reģistru un NIS2 pakalpojumu atkarību kartēšanu, kur piemērojams.
7. Pārbaudiet tehnisko piemērošanu, tostarp reģiona bloķēšanu, rezerves kopiju politikas, žurnālu reģistrēšanas iestatījumus, šifrēšanu, piekļuves kontroles pasākumus un atslēgu pārvaldību.
8. Sagatavojiet audita pierādījumu pakotni ar ekrānuzņēmumiem, līgumiem, riska ierakstiem, apstiprinājumiem, pārskatīšanas protokoliem un testēšanas rezultātiem.
9. Ieviesiet izmaiņu ierosinātāju jauniem reģioniem, apakšapstrādātājiem, pārsūtīšanas mehānismiem vai kritiskām piegādātāja pakalpojuma izmaiņām.
10. Ziņojiet vadībai par mākoņvides rezidences risku, izņēmumiem un atlikušā riska lēmumiem.

Tā nav teorētiska atbilstība. Tā ir atšķirība starp mākoņvidi, kas var izturēt audita pārbaudi, un tādu, kas paļaujas uz mutiskiem apliecinājumiem.

Biznesa pamatojums: suverenitāte, noturība un uzticēšanās

Vadītāji dažkārt datu rezidences pārvaldību uztver kā ierobežojumu mākoņvides elastībai. Praksē nobriedusi reģionu pārvaldība uzlabo elastību, jo komandas zina noteikumus pirms iegādes, būvēšanas vai migrācijas.

Produktu komanda var palaist ātrāk, ja apstiprinātie reģioni ir skaidri. Iepirkumi var vest sarunas ātrāk, ja obligātās klauzulas jau ir definētas. Juridiskā funkcija var ātrāk novērtēt pārsūtīšanu, ja datu plūsmas ir dokumentētas. Drošības operācijas var ātrāk izmeklēt, ja ir zināmas žurnālu atrašanās vietas un piekļuves tiesības. Valde var ātrāk pieņemt riska lēmumus, ja ir redzams koncentrācijas risks, nepārtrauktības ietekme un atlikušā riska pieņemšana.

Klientiem, īpaši regulētiem klientiem, tas kļūst par uzticēšanās signālu. SaaS pakalpojumu sniedzējs, kas var izskaidrot, kur dati atrodas, kā tiek pārvaldītas rezerves kopijas, kā tiek kontrolēta atbalsta piekļuve, kā tiek apstiprināti apakšapstrādātāji un kā tiek pārskatītas reģionu izmaiņas, pārspēs pakalpojumu sniedzēju, kurš tikai saka: “mēs izmantojam vadošu mākoņpakalpojumu sniedzēju”.

2026. gadā šai atšķirībai ir nozīme. NIS2 ir ieviesusi kiberdrošības pārvaldību būtiskām un svarīgām vienībām visā ES. DORA ir padarījusi IKT trešo pušu pārraudzību par formālu finanšu sektora disciplīnu. GDPR pārskatatbildība joprojām ir centrāla. ISO/IEC 27001:2022 nodrošina pārvaldības sistēmu, kas to visu satur kopā.

Nākamie soļi ar Clarysec

Ja jūsu organizācija nevar atbildēt, kur regulētie dati un kritiskā IKT apstrāde atrodas ražošanā, rezerves kopijās, žurnālos, atbalsta piekļuvē un apakšuzņēmēju vidē, tagad ir laiks novērst trūkumu.

Clarysec var palīdzēt izveidot mākoņreģionu pārvaldības pierādījumu pakotni, izmantojot:

• Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint pakāpeniskai ISO ieviešanai un gatavībai auditam.
• Zenith Controls: The Cross-Compliance Guide Zenith Controls ISO/IEC 27002:2022 mākoņpakalpojumu un piegādātāju kontroles pasākumu kartēšanai uz operacionāliem pierādījumiem un vairāku ietvaru prasībām.
• Cloud Usage Policy Mākoņpakalpojumu izmantošanas politika un Cloud Usage Policy-sme Mākoņpakalpojumu izmantošanas politika - SME mākoņvides datu rezidences prasībām.
• Third party and supplier security policy Trešo pušu un piegādātāju drošības politika un Third-Party and Supplier Security Policy-sme Trešo pušu un piegādātāju drošības politika - SME piegādātāju līgumiem, apakšuzņēmēju piesaistei un ģeogrāfiskās glabāšanas apliecinājumam.
• Logging and Monitoring Policy-sme Žurnālu reģistrēšanas un uzraudzības politika - SME žurnālu glabāšanai un pakalpojumu sniedzēja pierādījumiem.
• Legal and Regulatory Compliance Policy Tiesiskās un regulatīvās atbilstības politika atbilstības pārskatīšanas ierosinātājiem saistībā ar pārsūtīšanas mehānismiem, apakšapstrādātājiem un pārrobežu datu plūsmām.

Sāciet ar vienu kritisku pakalpojumu, vienu mākoņpakalpojumu sniedzēju un vienu reģistru. Dažu darbnīcu laikā varat pāriet no pieņēmumiem uz pierādījumiem un no sadrumstalotas atbilstības uz pārvaldītu mākoņnoturību.

Lejupielādējiet Clarysec rīkkopu, pieprasiet demonstrāciju vai rezervējiet mākoņreģionu pārvaldības novērtējumu, lai pārvērstu mākoņvides rezidences saistības auditam gatavos pierādījumos.