DORA IKT izstāšanās stratēģijas ar ISO 27001 kontroles pasākumiem
Pirmdien plkst. 07:42 fintech uzņēmuma operāciju vadītājs saņem ziņu, kuru neviens nevēlas lasīt: uzņēmuma mākoņpakalpojumā balstītais darījumu uzraudzības pakalpojumu sniedzējs ir piedzīvojis smagu reģionālu darbības pārtraukumu. Plkst. 08:15 risku vadītājs jautā, vai ietekmētais pakalpojums atbalsta kritisku vai svarīgu funkciju. Plkst. 08:40 juridiskais dienests vēlas zināt, vai līgums uzņēmumam nodrošina pārejas atbalstu, datu eksportu, dzēšanu un audita tiesības. Plkst. 09:05 informācijas drošības vadītājs meklē pierādījumus, ka izstāšanās plāns ir testēts, nevis tikai uzrakstīts.
Citā finanšu pakalpojumu uzņēmumā Sāra, strauji augošas fintech platformas informācijas drošības vadītāja, atver pirmsaudita informācijas pieprasījumu DORA atbilstības novērtēšanai. Jautājumi ir pazīstami, līdz viņa nonāk pie sadaļas par IKT trešo pušu pakalpojumu sniedzējiem, kas atbalsta kritiskas vai svarīgas funkcijas. Auditori nejautā, vai uzņēmumam ir piegādātāju politika. Viņi prasa dokumentētas, testētas un dzīvotspējīgas izstāšanās stratēģijas.
Viņas domas uzreiz pievēršas galvenajam mākoņpakalpojumu sniedzējam, kas mitina platformu, un pēc tam pārvaldīto drošības pakalpojumu sniedzējam, kas visu diennakti uzrauga draudus. Kas notiktu, ja mākoņpakalpojumu sniedzēju skartu ģeopolitisks traucējums? Kas notiktu, ja MSSP iegādātos konkurents? Kas notiktu, ja kritisks SaaS pakalpojumu sniedzējs kļūtu maksātnespējīgs, pārtrauktu pakalpojumu vai pēc būtiska incidenta zaudētu klientu uzticēšanos?
Daudzos uzņēmumos neērtā atbilde ir vienāda. Ir piegādātāja risku novērtējums, darbības nepārtrauktības plāns, līgumu mape, mākoņpakalpojumu uzskaite un, iespējams, rezerves kopiju pārskats. Taču nav vienotas auditam gatavas DORA IKT trešo pušu izstāšanās stratēģijas, kas sasaista darbības kritiskumu, līgumiskās tiesības, tehnisko pārnesamību, nepārtrauktības plānus, rezerves kopiju pierādījumus, privātuma pienākumus un vadības apstiprinājumu.
DORA maina piegādātāju pārvaldības fokusu. Saskaņā ar Regulu (ES) 2022/2554 finanšu iestādēm IKT trešo pušu risks jāpārvalda kā daļa no IKT risku pārvaldības ietvara. Tās pilnībā saglabā atbildību par atbilstību, uztur IKT pakalpojumu līgumu reģistru, nošķir IKT līgumiskās vienošanās, kas atbalsta kritiskas vai svarīgas funkcijas, novērtē koncentrācijas un apakšuzņēmēju riskus un uztur izstāšanās stratēģijas kritiskām IKT trešo pušu atkarībām. DORA piemēro no 2025. gada 17. janvāra, un tā nosaka vienotas ES prasības IKT risku pārvaldībai, incidentu ziņošanai, noturības testēšanai, informācijas apmaiņai un IKT trešo pušu risku pārvaldībai plašam finanšu iestāžu lokam.
DORA izstāšanās stratēģija nav rindkopa piegādātāja līgumā. Tā ir kontroles sistēma. Tai jābūt pārvaldītai, riskos balstīti novērtētai, tehniski īstenojamai, līgumiski piemērojamai, testētai, pamatotai ar pierādījumiem un nepārtraukti pilnveidojamai.
Clarysec pieeja apvieno Zenith Blueprint: auditora 30 soļu ceļkarti Zenith Blueprint, uzņēmuma politiku veidnes un Zenith Controls: savstarpējās atbilstības rokasgrāmatu Zenith Controls, lai pirmdienas rīta jautājumu pārvērstu sagatavotā atbildē.
Kāpēc DORA izstāšanās stratēģijas reālos auditos neiztur pārbaudi
Lielākā daļa DORA IKT izstāšanās stratēģiju neveiksmju vispirms ir strukturālas, nevis tehniskas. Organizācijai ir piegādātāja īpašnieks, bet nav atbildīga riska īpašnieka. Ir rezerves kopiju uzdevumi, bet nav atjaunošanas pierādījumu. Ir piegādātāja sākotnējās pārbaudes anketa, bet nav dokumentēta lēmuma, vai pakalpojumu sniedzējs atbalsta kritisku vai svarīgu funkciju. Ir līguma izbeigšanas formulējums, bet nav pārejas perioda, kas saskaņots ar darbības nepārtrauktības plānu.
DORA liek šos elementus savienot. Article 28 nosaka vispārīgos principus IKT trešo pušu risku pārvaldībai, tostarp nepieciešamību pārvaldīt IKT trešo pušu pakalpojumu sniedzēju risku visā dzīves ciklā un uzturēt atbilstošas izstāšanās stratēģijas. Article 30 nosaka detalizētas līgumiskās prasības IKT pakalpojumiem, kas atbalsta kritiskas vai svarīgas funkcijas, tostarp pakalpojumu aprakstus, datu apstrādes vietas, drošības aizsardzības pasākumus, piekļuves un audita tiesības, palīdzību incidentu gadījumā, sadarbību ar kompetentajām iestādēm un izbeigšanas tiesības.
Regulējums ir arī samērīgs. Articles 4 and 16 ļauj noteiktām mazākām vai atbrīvotām iestādēm piemērot vienkāršotu IKT risku pārvaldības ietvaru. Tomēr vienkāršots nenozīmē nedokumentēts. Mazākām finanšu iestādēm joprojām ir nepieciešama dokumentēta IKT risku pārvaldība, nepārtraukta uzraudzība, noturīgas sistēmas, savlaicīga IKT incidentu identificēšana, būtisku IKT trešo pušu atkarību identificēšana, rezerves kopiju veidošana un atjaunošana, darbības nepārtrauktība, reaģēšana un atjaunošana, testēšana, gūtās mācības un apmācība.
Mazs fintech uzņēmums nevar teikt: “Mēs esam pārāk mazi izstāšanās plānošanai.” Tas var teikt: “Mūsu DORA izstāšanās stratēģija ir pielāgota mūsu lielumam, riska profilam un pakalpojuma sarežģītībai.” Atšķirību nosaka pierādījumi.
Iestādēm, kas ietilpst arī NIS2 nacionālajā tvērumā, DORA darbojas kā nozarspecifisks Savienības tiesību akts finanšu sektora pārklājošajām kiberdrošības prasībām. NIS2 joprojām ir nozīmīga plašākā ekosistēmā, jo īpaši pārvaldīto pakalpojumu sniedzējiem, pārvaldīto drošības pakalpojumu sniedzējiem, mākoņpakalpojumu sniedzējiem, datu centriem un digitālās infrastruktūras subjektiem. NIS2 Article 21 nostiprina tās pašas tēmas: riska analīzi, incidentu apstrādi, darbības nepārtrauktību, piegādes ķēdes drošību, drošu iegādi, efektivitātes novērtēšanu, apmācību, kriptogrāfiju, piekļuves kontroli, aktīvu pārvaldību un autentifikāciju.
Uzraugi, klienti, auditori un valdes šo jautājumu var uzdot atšķirīgi, bet pamatproblēma ir viena: vai jūs varat izstāties no kritiska IKT pakalpojumu sniedzēja, nezaudējot kontroli pār pakalpojumu nepārtrauktību, datiem, pierādījumiem vai ietekmi uz klientiem?
Iekļaujiet izstāšanās stratēģiju ISMS sastāvā
ISO/IEC 27001:2022 nodrošina pārvaldības sistēmas pamatu DORA izstāšanās plānošanai.
Punkti 4.1 līdz 4.4 prasa organizācijai noteikt tās kontekstu, ieinteresētās puses, tiesiskās, regulatīvās un līgumiskās prasības, ISMS darbības jomu, saskarnes, atkarības un procesus. Šeit finanšu iestāde ISMS robežās identificē DORA, klientu saistības, ārpakalpojumu prasības, mākoņpakalpojumu atkarības, privātuma pienākumus, apakšuzņēmējus un IKT pakalpojumus.
Punkti 5.1 līdz 5.3 prasa vadības iesaisti, politiku, resursus, lomu piešķiršanu un atbildību. Tas atbilst DORA pārvaldības modelim, kurā vadības institūcija nosaka, apstiprina, pārrauga un saglabā atbildību par IKT risku pārvaldību, tostarp IKT darbības nepārtrauktību, reaģēšanas un atjaunošanas plāniem, IKT audita plāniem, budžetiem, noturības stratēģiju un IKT trešo pušu riska politiku.
Punkti 6.1.1 līdz 6.1.3 pārvērš izstāšanās plānošanu riska apstrādē. Organizācija nosaka riska kritērijus, veic atkārtojamus risku novērtējumus, identificē riskus konfidencialitātei, integritātei un pieejamībai, piešķir riska īpašniekus, novērtē sekas un iespējamību, izvēlas apstrādes iespējas, salīdzina kontroles pasākumus ar A pielikumu, sagatavo piemērojamības deklarāciju (SoA), sagatavo risku apstrādes plānu un saņem riska īpašnieka apstiprinājumu un atlikušā riska pieņemšanu.
Punkts 8.1 pēc tam prasa operacionālo plānošanu un kontroli. Organizācijai jāplāno, jāievieš un jākontrolē ISMS procesi, jāuztur dokumentēta informācija, kas apliecina, ka procesi īstenoti atbilstoši plānam, jāpārvalda izmaiņas un jākontrolē ārēji nodrošināti procesi, produkti vai pakalpojumi, kas ir būtiski ISMS.
ISO/IEC 27005:2022 pastiprina šo pieeju. Punkts 6.2 iesaka organizācijām identificēt ieinteresēto pušu prasības, tostarp ISO/IEC 27001:2022 A pielikuma kontroles pasākumus, nozarspecifiskus standartus, nacionālos un starptautiskos regulējumus, iekšējos noteikumus, līgumiskās prasības un esošos kontroles pasākumus no iepriekšējas riska apstrādes. Punkti 6.4.1 līdz 6.4.3 skaidro, ka riska kritērijiem jāņem vērā tiesiskie un regulatīvie aspekti, piegādātāju attiecības, privātums, darbības ietekme, līguma pārkāpumi, trešo pušu darbības un reputācijas sekas. Punkti 8.2 līdz 8.6 atbalsta kontroles pasākumu bibliotēku un apstrādes plānu, kas var apvienot ISO/IEC 27001:2022 A pielikumu ar DORA, NIS2, GDPR, klientu saistībām un iekšējām politikām.
Darbības modelis ir vienkāršs: viena prasību uzskaite, viens piegādātāju riska reģistrs, viena piemērojamības deklarācija (SoA), viens risku apstrādes plāns un viena pierādījumu pakete katram kritiskam izstāšanās scenārijam.
ISO/IEC 27001:2022 kontroles pasākumi, kas nostiprina DORA izstāšanās plānošanu
DORA izstāšanās stratēģijas kļūst gatavas auditam, kad piegādātāju pārvaldība, mākoņpakalpojumu pārnesamība, nepārtrauktības plānošana un rezerves kopiju pierādījumi tiek pārvaldīti kā viena savienota kontroles ķēde.
Clarysec Zenith Controls kartē ISO/IEC 27001:2022 A pielikuma kontroles pasākumus pret kontroles atribūtiem, audita pierādījumiem un savstarpējās atbilstības gaidām. Tas nav atsevišķs kontroles ietvars. Tā ir Clarysec savstarpējās atbilstības rokasgrāmata, kas palīdz saprast, kā ISO/IEC 27001:2022 kontroles pasākumi atbalsta audita, regulatīvos un operacionālos rezultātus.
| ISO/IEC 27001:2022 A pielikuma kontroles pasākums | Loma izstāšanās stratēģijā | DORA pierādījumi, ko tas atbalsta | Auditora fokuss |
|---|---|---|---|
| A.5.19 Informācijas drošība piegādātāju attiecībās | Izveido piegādātāju risku pārvaldības procesu | Piegādātāju klasifikācija, atkarību īpašumtiesības, risku novērtējums | Vai piegādātāju risks tiek pārvaldīts konsekventi? |
| A.5.20 Informācijas drošības iekļaušana piegādātāju līgumos | Pārvērš izstāšanās prasības piemērojamos līguma noteikumos | Izbeigšanas tiesības, audita tiesības, pārejas atbalsts, incidentu atbalsts, datu atdošana un dzēšana | Vai līgums faktiski atbalsta izstāšanās plānu? |
| A.5.21 Informācijas drošības pārvaldība IKT piegādes ķēdē | Paplašina pārbaudi uz apakšuzņēmējiem un pakārtotajām atkarībām | Apakšuzņēmēju pārredzamība, piegādes ķēdes risks, koncentrācijas novērtējums | Vai uzņēmums saprot slēptās atkarības? |
| A.5.22 Piegādātāju pakalpojumu uzraudzība, pārskatīšana un izmaiņu pārvaldība | Uztur piegādātāju risku aktuālu pakalpojumu izmaiņu laikā | Pārskatīšanas ieraksti, pakalpojumu izmaiņu novērtējumi, trūkumu novēršanas izsekošana | Vai piegādātāju uzraudzība ir nepārtraukta? |
| A.5.23 Informācijas drošība mākoņpakalpojumu izmantošanā | Kontrolē mākoņpakalpojumu sākotnējo piesaisti, izmantošanu, pārvaldību, pārnesamību un izstāšanos | Datu eksports, dzēšana, migrācijas atbalsts, pierādījumi par piesaisti vienam piegādātājam | Vai uzņēmums var izgūt un droši izņemt datus? |
| A.5.30 IKT gatavība darbības nepārtrauktībai | Testē, vai kritiskus IKT pakalpojumus var atjaunot vai aizstāt darbības tolerances robežās | Nepārtrauktības plāni, atjaunošanas mērķi, rezerves risinājumi, testēti apiešanas risinājumi | Vai izstāšanās traucējumu apstākļos ir tehniski īstenojama? |
| A.8.13 Informācijas rezerves kopiju veidošana | Nodrošina atjaunojamus datus izstāšanās vai atteices scenārijiem | Rezerves kopiju grafiki, atjaunošanas testu rezultāti, integritātes pārbaudes | Vai datus var atjaunot RTO un RPO robežās? |
DORA IKT trešo pušu izstāšanās stratēģijai audita pēdā jāparāda:
- Piegādātājs ir klasificēts un sasaistīts ar biznesa procesiem.
- Pakalpojums ir novērtēts attiecībā uz kritiskas vai svarīgas funkcijas atbalstu.
- Izstāšanās risks ir reģistrēts ar atbildīgu riska īpašnieku.
- Līguma klauzulas atbalsta pāreju, piekļuvi, auditu, datu atdošanu, datu dzēšanu, sadarbību un nepārtrauktību.
- Mākoņpakalpojumu pārnesamība un sadarbspēja ir validēta.
- Rezerves kopijas un atjaunošanas testi pierāda atjaunojamību.
- Pagaidu aizstāšana vai alternatīva apstrāde ir dokumentēta.
- Izstāšanās testēšanas rezultāti ir pārskatīti, trūkumi novērsti un ziņoti vadībai.
Līguma formulējums ir pirmais nepārtrauktības kontroles pasākums
Līgumam jābūt pirmajam nepārtrauktības kontroles pasākumam, nevis šķērslim nepārtrauktībai. Ja pakalpojumu sniedzējs var ātri izbeigt pakalpojumu, aizkavēt eksportu, ierobežot piekļuvi žurnāliem, piemērot nenoteiktas pārejas maksas vai atteikt migrācijas atbalstu, izstāšanās stratēģija ir trausla.
Zenith Blueprint sadaļā “Kontroles pasākumi praksē”, 23. solī, pie kontroles pasākuma 5.20, skaidrots, ka piegādātāju līgumos jāiekļauj praktiskās drošības prasības, kas padara izstāšanos iespējamu:
Galvenās jomas, kas parasti tiek ietvertas piegādātāju līgumos, ir:
✓ Konfidencialitātes pienākumi, tostarp darbības joma, ilgums un ierobežojumi informācijas izpaušanai trešajām pusēm;
✓ Piekļuves kontroles pienākumi, piemēram, kas var piekļūt jūsu datiem, kā tiek pārvaldīti autentifikācijas dati un kāda uzraudzība ir ieviesta;
✓ Tehniskie un organizatoriskie pasākumi datu aizsardzībai, šifrēšanai, drošai pārraidei, rezerves kopiju veidošanai un pieejamības saistībām;
✓ Incidentu ziņošanas termiņi un protokoli, bieži ar noteiktiem laika ietvariem;
✓ Audita tiesības, tostarp biežums, tvērums un piekļuve attiecīgajiem pierādījumiem;
✓ Apakšuzņēmēju kontroles pasākumi, kas prasa piegādātājam nodot līdzvērtīgus drošības pienākumus tā pakārtotajiem partneriem;
✓ Līguma izbeigšanas noteikumi, piemēram, datu atdošana vai iznīcināšana, aktīvu atgūšana un kontu deaktivizēšana.
Šis saraksts savieno DORA Article 30 līgumiskās prasības ar ISO/IEC 27001:2022 A pielikuma kontroles pasākumu A.5.20.
Clarysec uzņēmuma politiku valoda to pašu nosaka operacionāli. Piegādātāju atkarības risku pārvaldības politikā Piegādātāju atkarības risku pārvaldības politika, sadaļā “Ieviešanas prasības”, punkts 6.4.3 nosaka:
Tehniskie rezerves risinājumi: nodrošināt datu pārnesamību un sadarbspēju, lai vajadzības gadījumā atbalstītu pakalpojuma pāreju (piemēram, regulāras rezerves kopijas standarta formātos no SaaS pakalpojumu sniedzēja, lai nodrošinātu migrāciju).
Tā pati politika, punkts 6.8.2, prasa:
Tiesības uz pārejas atbalstu (izstāšanās atbalsta klauzula), ja nepieciešama pakalpojumu sniedzēja maiņa, tostarp pakalpojuma turpināšana noteiktā pārejas periodā.
Šī klauzula bieži nosaka, vai izstāšanās stratēģija iztur auditu. Tā pārvērš izstāšanos no “kraujas malas” notikuma pārvaldītā pārejā.
Mazākām iestādēm Trešo pušu un piegādātāju drošības politika - SME Trešo pušu un piegādātāju drošības politika - SME, sadaļā “Pārvaldības prasības”, punkts 5.3.6, prasa:
Izbeigšanas noteikumus, tostarp drošu datu atdošanu vai iznīcināšanu
Uzņēmuma vidēm Trešo pušu un piegādātāju drošības politika Trešo pušu un piegādātāju drošības politika, sadaļā “Politikas ieviešanas prasības”, punkts 6.5.1.2 prasa:
Visas organizācijai piederošās informācijas atdošanu vai sertificētu iznīcināšanu
Šīm politikas prasībām jābūt tieši izsekojamām līdz līguma klauzulām, piegādātāju procedūrām, izstāšanās rokasgrāmatām un audita pierādījumiem.
Mākoņpakalpojumu izstāšanās: testējiet pārnesamību, pirms tā ir vajadzīga
Mākoņpakalpojumi ir joma, kurā DORA izstāšanās stratēģijas bieži kļūst nekonkrētas. Uzņēmums pieņem, ka var eksportēt datus, bet neviens nav testējis formātu. Tas pieņem, ka dzēšana notiks, bet pakalpojumu sniedzēja glabāšanas modelis ietver rezerves kopijas un replicētu krātuvi. Tas pieņem, ka alternatīvs pakalpojumu sniedzējs var saņemt datus, bet shēmas, identitātes integrācijas, šifrēšanas atslēgas, noslēpumi, žurnāli, lietojumprogrammu saskarnes un pieprasījumu ātruma ierobežojumi padara migrāciju lēnāku, nekā pieļauj ietekmes tolerance.
ISO/IEC 27001:2022 A pielikuma kontroles pasākums A.5.23 risina šo dzīves cikla problēmu, prasot informācijas drošības kontroles pasākumus mākoņpakalpojumu iegādei, izmantošanai, pārvaldībai un izstāšanās procesam.
Clarysec Mākoņpakalpojumu izmantošanas politika - SME Mākoņpakalpojumu izmantošanas politika - SME, sadaļā “Politikas ieviešanas prasības”, punkts 6.3.4 prasa:
Datu eksporta iespējas apstiprināšana pirms sākotnējās piesaistes (piemēram, lai izvairītos no piesaistes vienam piegādātājam)
Punkts 6.3.5 prasa:
Drošas dzēšanas procedūru apstiprināšanu pirms konta slēgšanas
Šīm prasībām jāatrodas piegādātāja dzīves cikla sākumā. Negaidiet līdz izbeigšanai, lai jautātu, vai datus var eksportēt. Negaidiet līdz konta slēgšanai, lai jautātu, vai pastāv dzēšanas pierādījumi.
Praktiskā DORA mākoņpakalpojumu izstāšanās testā jāiekļauj:
- Reprezentatīvas datu kopas eksports saskaņotajā formātā.
- Pilnīguma, integritātes, laikspiedolu, metadatu un piekļuves kontroles pasākumu validācija.
- Datu kopas imports sagatavošanas vidē vai alternatīvā rīkā.
- Šifrēšanas atslēgu apstrādes un noslēpumu rotācijas apstiprināšana.
- Žurnālu eksporta un audita pēdas glabāšanas apstiprināšana.
- Pakalpojumu sniedzēja dzēšanas procedūru dokumentēšana, tostarp rezerves kopiju glabāšana un dzēšanas sertifikācija.
- Problēmu, trūkumu novēršanas pasākumu, īpašnieku un termiņu reģistrēšana.
- Piegādātāja risku novērtējuma, piemērojamības deklarācijas (SoA) un izstāšanās plāna atjaunināšana.
Pārnesamība nav iepirkuma solījums. Tā ir testēta spēja.
Vienas nedēļas sprints auditam gatavam DORA izstāšanās plānam
Aplūkosim maksājumu iestādi, kas izmanto SaaS krāpšanas analītikas pakalpojumu sniedzēju. Pakalpojumu sniedzējs uzņem darījumu datus, klientu identifikatorus, ierīču telemetriju, uzvedības signālus, krāpšanas noteikumus, skoringa rezultātus un lietu piezīmes. Pakalpojums atbalsta kritisku krāpšanas atklāšanas procesu. Uzņēmums izmanto arī mākoņvides datu noliktavu eksportēto analītikas rezultātu glabāšanai.
Informācijas drošības vadītājs vēlas DORA IKT trešo pušu izstāšanās stratēģiju, kas izturētu iekšējo auditu un uzraudzības pārbaudi. Vienas nedēļas sprints var atklāt trūkumus un izveidot pierādījumu ķēdi.
1. diena: klasificējiet piegādātāju un definējiet izstāšanās scenāriju
Izmantojot Zenith Blueprint, “Kontroles pasākumi praksē” posmu, 23. soli, darbības punktus kontroles pasākumiem 5.19 līdz 5.37, komanda sāk ar piegādātāju portfeļa pārskatīšanu un klasificēšanu:
Sagatavojiet pilnu pašreizējo piegādātāju un pakalpojumu sniedzēju sarakstu (5.19) un klasificējiet tos pēc piekļuves sistēmām, datiem vai darbības kontrolei. Katram klasificētajam piegādātājam pārbaudiet, vai drošības prasības ir skaidri iekļautas līgumos (5.20), tostarp konfidencialitāte, piekļuve, incidentu ziņošana un atbilstības pienākumi.
Piegādātājs tiek klasificēts kā kritisks, jo tas atbalsta kritisku vai svarīgu funkciju, apstrādā sensitīvus darbības datus un ietekmē darījumu uzraudzības rezultātus.
Komanda definē trīs izstāšanās ierosinātājus:
- Pakalpojumu sniedzēja maksātnespēja vai pakalpojuma pārtraukšana.
- Būtisks drošības pārkāpums vai uzticēšanās zudums.
- Stratēģiska migrācija koncentrācijas riska samazināšanai.
2. diena: izveidojiet prasību uzskaiti un riska ierakstu
Komanda izveido vienotu prasību uzskaiti, kas aptver DORA IKT trešo pušu risku, ISO/IEC 27001:2022 piegādātāju un mākoņpakalpojumu kontroles pasākumus, GDPR pienākumus attiecībā uz personas datiem, klientu līgumu saistības un iekšējo riska apetīti.
Saskaņā ar GDPR uzņēmums apstiprina, vai darījumu identifikatori, ierīču ID, atrašanās vietas signāli un uzvedības analītika attiecas uz identificētām vai identificējamām personām. GDPR Article 5 principi, tostarp integritāte, konfidencialitāte, glabāšanas ierobežojums un pārskatatbildība, kļūst par daļu no izstāšanās pierādījumu prasības. Ja izstāšanās ietver nodošanu jaunam pakalpojumu sniedzējam, jādokumentē tiesiskais pamats, nolūks, minimizēšana, glabāšana, apstrādātāja noteikumi un drošības pasākumi.
Riska ieraksts ietver šādu informāciju:
| Riska elements | Piemēra ieraksts |
|---|---|
| Riska formulējums | Nespēja izstāties no krāpšanas analītikas pakalpojumu sniedzēja ietekmes tolerances robežās |
| Sekas | Aizkavēta krāpšanas atklāšana, finanšu zaudējumi, regulatīvo prasību pārkāpums, kaitējums klientiem |
| Iespējamība | Vidēja, balstoties uz pakalpojumu sniedzēja koncentrāciju un īpašumtiesību formātiem |
| Riska īpašnieks | Finanšu noziegumu tehnoloģiju vadītājs |
| Apstrāde | Līguma grozījums, eksporta tests, alternatīva pakalpojumu sniedzēja novērtēšana, rezerves kopiju pārbaude, rokasgrāmatas tests |
| Atlikušā riska apstiprinājums | CRO apstiprinājums pēc testa pierādījumiem un trūkumu novēršanas pārskatīšanas |
3. diena: novērsiet līguma trūkumus
Juridiskais dienests un iepirkums salīdzina līgumu ar Clarysec piegādātāju klauzulām. Tie pievieno pārejas atbalstu, pakalpojuma turpināšanu noteiktā pārejas periodā, piekļuvi auditam un pierādījumiem, apakšuzņēmēju paziņošanu, datu eksporta formātu, drošas dzēšanas sertifikāciju, sadarbību incidentu gadījumā un atjaunošanas laika saistības.
Darbības nepārtrauktības un avārijas atjaunošanas politika Darbības nepārtrauktības un avārijas atjaunošanas politika, sadaļā “Politikas ieviešanas prasības”, punkts 6.5.1 nosaka:
Līgumos ar kritiskiem piegādātājiem jāiekļauj nepārtrauktības pienākumi un atjaunošanas laika saistības.
SME gadījumā Darbības nepārtrauktības un avārijas atjaunošanas politika - SME Darbības nepārtrauktības un avārijas atjaunošanas politika - SME, sadaļā “Risku apstrāde un izņēmumi”, punkts 7.2.1.4 prasa komandām:
dokumentēt pagaidu piegādātāja vai partnera aizstāšanas plānus
Šī klauzula pārvērš “mēs migrēsim” īstenojamā rezerves risinājumā: kurš pakalpojumu sniedzējs, kurš iekšējais apiešanas risinājums, kurš manuālais process, kurš datu izvilkums, kurš īpašnieks un kurš apstiprināšanas ceļš.
4. diena: testējiet datu pārnesamību un rezerves kopiju atjaunojamību
Tehnoloģiju komanda eksportē krāpšanas noteikumus, lietu datus, darījumu skoringa rezultātus, žurnālus, konfigurāciju, API dokumentāciju un lietotāju piekļuves sarakstus. Tā testē, vai datus var atjaunot vai atkārtoti izmantot kontrolētā vidē.
Rezerves kopiju veidošanas un atjaunošanas politika - SME Rezerves kopiju veidošanas un atjaunošanas politika - SME, sadaļā “Pārvaldības prasības”, punkts 5.3.3 prasa:
Atjaunošanas testi tiek veikti vismaz reizi ceturksnī, un rezultāti tiek dokumentēti, lai pārbaudītu atjaunojamību
Uzņēmuma Rezerves kopiju veidošanas un atjaunošanas politika Rezerves kopiju veidošanas un atjaunošanas politika, sadaļā “Ievērošana un atbilstība”, punkts 8.3.1 papildina:
Periodiski auditēt rezerves kopiju žurnālus, konfigurācijas iestatījumus un testu rezultātus
Zenith Blueprint “Kontroles pasākumi praksē” posmā, 19. solī, pie kontroles pasākuma 8.13, Clarysec brīdina, kāpēc tas ir svarīgi:
Atjaunošanas testēšana ir vieta, kur lielākā daļa organizāciju atpaliek. Rezerves kopija, kuru nevar savlaicīgi vai vispār atjaunot, ir saistība, nevis aktīvs. Plānojiet regulārus atjaunošanas vingrinājumus, pat ja tie ir tikai daļēji, un dokumentējiet rezultātu.
Komanda atklāj, ka eksportētās lietu piezīmes neietver pielikumus un API pieprasījumu ātruma ierobežošana padara pilnu eksportu pārāk lēnu noteiktajam atjaunošanas mērķim. Problēma tiek reģistrēta, piešķirta atbildīgajam un novērsta ar līguma papildinājumu un tehniskā eksporta pārprojektēšanu.
5. diena: veiciet izstāšanās galda vingrinājumu un pierādījumu pārskatīšanu
Komanda veic galda vingrinājumu: piegādātājs pēc būtiska incidenta paziņo par izbeigšanu 90 dienu laikā. Operācijām jāturpina krāpšanas uzraudzība, kamēr dati tiek migrēti.
Zenith Blueprint “Kontroles pasākumi praksē” posmā, 23. solī, pie kontroles pasākuma 5.30, Clarysec skaidro testēšanas standartu:
IKT gatavība sākas ilgi pirms traucējuma rašanās. Tā ietver kritisko sistēmu identificēšanu, to savstarpējo atkarību izpratni un kartēšanu pret biznesa procesiem.
Tajā pašā sadaļā piebilsts:
Darbības nepārtrauktības plānā definētajiem atjaunošanas laika mērķiem (RTO) un atjaunošanas punkta mērķiem (RPO) jābūt atspoguļotiem tehniskajās konfigurācijās, līgumos un infrastruktūras projektējumā.
Pierādījumu pakete ietver piegādātāja klasifikāciju, risku novērtējumu, līguma klauzulas, izstāšanās rokasgrāmatu, datu eksporta rezultātus, rezerves kopijas atjaunošanas pierādījumus, dzēšanas procedūru, alternatīva pakalpojumu sniedzēja novērtējumu, galda vingrinājuma protokolu, trūkumu novēršanas žurnālu, vadības apstiprinājumu un atlikušā riska lēmumu.
Informācijas drošības vadītājs tagad var atbildēt valdei ar pierādījumiem, nevis optimismu.
Savstarpējā atbilstība: viens izstāšanās plāns, vairāki audita skatpunkti
Spēcīga DORA izstāšanās stratēģija samazina dublētu atbilstības darbu ISO/IEC 27001:2022, NIS2, GDPR, NIST un COBIT 2019 pārvaldības gaidām.
| Ietvars vai regulējums | Ko tas prasa izstāšanās plānošanas izteiksmē | Clarysec ieteiktie pierādījumi |
|---|---|---|
| DORA | Uzturēt izstāšanās stratēģijas kritiskiem vai svarīgiem IKT pakalpojumiem, pārvaldīt trešo pušu risku, testēt noturību, dokumentēt līgumus un atkarības | Piegādātāju reģistrs, kritiskuma klasifikācija, līguma klauzulas, izstāšanās tests, pārejas plāns, audita tiesības, koncentrācijas riska novērtējums |
| NIS2 | Attiecīgajām vienībām pārvaldīt piegādes ķēdes drošību, darbības nepārtrauktību, rezerves kopiju veidošanu, avārijas atjaunošanu, krīzes pārvaldību, incidentu apstrādi un pārvaldības atbildību | Piegādātāja risku novērtējums, nepārtrauktības plāns, incidentu rokasgrāmatas, vadības apstiprinājums, korektīvās darbības |
| GDPR | Aizsargāt personas datus pārsūtīšanas, atdošanas, dzēšanas, migrācijas un glabāšanas laikā, nodrošinot pārskatatbildību un atbilstošus tehniskos un organizatoriskos pasākumus | Datu karte, apstrādātāja noteikumi, eksporta pierādījumi, dzēšanas sertifikācija, glabāšanas noteikumi, saskaņošana ar pārkāpumu apstrādi |
| ISO/IEC 27001:2022 | Darbināt piegādātāju, mākoņpakalpojumu, nepārtrauktības, incidentu, audita, uzraudzības un uzlabošanas kontroles pasākumus ISMS ietvaros | Piemērojamības deklarācija, risku apstrādes plāns, iekšējā audita ieraksts, vadības pārskatīšana, dokumentētas procedūras |
| NIST Cybersecurity Framework 2.0 | Pārvaldīt ārējās atkarības, identificēt piegādātājus, aizsargāt pakalpojumus, reaģēt uz traucējumiem un atjaunot operācijas | Atkarību uzskaite, piegādātāju riska ieraksti, aizsardzības kontroles pasākumi, reaģēšanas procedūra, atjaunošanas tests, gūtās mācības |
| COBIT 2019 | Pierādīt pārvaldību pār ārpakalpojumu iegādi, piegādātāju sniegumu, risku, pakalpojumu nepārtrauktību, apliecinājumu un atbilstību | Pārvaldības lēmumi, īpašumtiesības, KPI, piegādātāju uzraudzība, nepārtrauktības pierādījumi, apliecinājuma pārskati |
Svarīgākais nav tas, ka viens ietvars aizstāj citu. Vērtība ir tajā, ka labi izveidota ISMS ļauj organizācijai vienreiz sagatavot pierādījumus un tos saprātīgi izmantot atkārtoti.
Clarysec Zenith Controls palīdz komandām sagatavoties šiem audita skatpunktiem, sasaistot ISO/IEC 27001:2022 kontroles pasākumus ar audita pierādījumiem un starpietvaru gaidām.
| Auditora skatpunkts | Iespējamais audita jautājums | Pierādījumi, kas parasti apmierina jautājumu |
|---|---|---|
| ISO/IEC 27001:2022 auditors | Vai piegādātāju un mākoņpakalpojumu izstāšanās tiek kontrolēta ISMS, risku novērtējuma, SoA un iekšējā audita programmas ietvaros? | ISMS darbības joma, risku novērtējums, SoA, piegādātāja procedūra, mākoņpakalpojumu izstāšanās procedūra, iekšējā audita rezultāti, vadības pārskatīšanas darbības |
| DORA uzraugs vai iekšējais DORA audits | Vai varat izstāties no kritiska IKT pakalpojumu sniedzēja bez nepieņemamiem traucējumiem, datu zuduma vai regulatīvo prasību pārkāpuma? | Kritiskuma novērtējums, DORA piegādātāju reģistrs, izstāšanās stratēģija, līguma klauzulas, pārejas tests, koncentrācijas novērtējums, trūkumu novēršanas žurnāls |
| NIST orientēts vērtētājs | Vai esat pārvaldījuši un identificējuši ārējās atkarības, aizsargājuši kritiskos pakalpojumus un testējuši reaģēšanas un atjaunošanas spējas? | Atkarību uzskaite, piekļuves kontroles pasākumi, uzraudzība, incidentu eskalācija, atjaunošanas tests, gūtās mācības |
| COBIT 2019 vai ISACA auditors | Vai piegādātāja izstāšanās tiek pārvaldīta, tai ir īpašnieks, tā tiek mērīta un apliecināta ar pārvaldības mērķiem, piemēram, APO10 Managed Vendors un DSS04 Managed Continuity? | RACI, vadības apstiprinājums, KPI, piegādātāja snieguma pārskatīšana, apliecinājuma pierādījumi, problēmu izsekošana |
| Privātuma auditors | Vai personas datus var atdot, migrēt, ierobežot, dzēst vai droši glabāt saskaņā ar GDPR pienākumiem? | Personas datu apstrādes darbību ieraksti, apstrādātāja klauzulas, eksporta pierādījumi, dzēšanas sertifikāts, glabāšanas pamatojums, pārkāpumu darbplūsma |
Bieža audita neveiksme ir pierādījumu sadrumstalotība. Piegādātāja īpašniekam ir līgums. IT ir rezerves kopiju žurnāli. Juridiskajam dienestam ir datu apstrādes līgums. Risku funkcijai ir novērtējums. Atbilstības funkcijai ir regulatīvā kartēšana. Nevienam nav pilna stāsta.
Clarysec to risina, veidojot pierādījumu paketi ap izstāšanās scenāriju. Katrs dokuments atbild uz vienu audita jautājumu: no kura pakalpojuma notiek izstāšanās, kāpēc tas ir kritisks, kādi dati un sistēmas tiek ietekmētas, kam pieder risks, kādas līgumiskās tiesības padara izstāšanos iespējamu, kādi tehniskie mehānismi padara migrāciju iespējamu, kādi nepārtrauktības pasākumi uztur darbību, kāds tests pierāda, ka plāns darbojas, kādi trūkumi tika novērsti un kurš apstiprināja atlikušo risku.
Clarysec DORA izstāšanās stratēģijas kontrolsaraksts
Izmantojiet šo kontrolsarakstu, lai DORA IKT trešo pušu izstāšanās stratēģiju pārvērstu no dokumenta auditējamā kontroles pasākumu kopā.
| Kontroles joma | Minimālā prasība | Saglabājamie pierādījumi |
|---|---|---|
| Piegādātāju klasifikācija | Identificēt, vai piegādātājs atbalsta kritiskas vai svarīgas funkcijas | Piegādātāju reģistrs, kritiskuma lēmums, atkarību karte |
| Līguma piemērojamība | Iekļaut pārejas atbalstu, datu eksportu, dzēšanu, auditu, sadarbību incidentu gadījumā un nepārtrauktības pienākumus | Līguma klauzulas, papildinājumi, juridiskā pārbaude |
| Mākoņpakalpojumu pārnesamība | Apstiprināt eksporta iespēju pirms sākotnējās piesaistes un periodiski darbības laikā | Eksporta testu rezultāti, datu formāta dokumentācija, migrācijas piezīmes |
| Datu aizsardzība | Risināt personas datu atdošanu, dzēšanu, glabāšanu, pārsūtīšanu un apstrādātāja pienākumus | Datu karte, DPA, dzēšanas sertifikācija, glabāšanas lēmums |
| Rezerves kopijas un atjaunošana | Testēt atjaunojamību pret RTO un RPO | Atjaunošanas žurnāli, testa pārskats, trūkumu novēršanas ieraksts |
| Aizstāšanas plānošana | Definēt alternatīvu pakalpojumu sniedzēju, manuālu apiešanas risinājumu vai iekšēju procesu | Aizstāšanas plāns, galda vingrinājuma protokols, īpašnieku saraksts |
| Pārvaldība | Piešķirt riska īpašnieku un vadības apstiprinājumu | Riska ieraksts, atlikušā riska pieņemšana, vadības pārskatīšanas protokols |
| Gatavība auditam | Sasaistīt politikas, kontroles pasākumus, līgumus, testus un korektīvās darbības | Pierādījumu paketes rādītājs, iekšējā audita pārskats, problēmu izsekošanas rīks |
Pārvērtiet izstāšanās plānošanu valdei skaidrā noturības kontroles pasākumā
Ja jūsu DORA izstāšanās stratēģija ir tikai līguma klauzula, tā nav gatava. Ja jūsu rezerves kopija nekad nav atjaunota, tā nav gatava. Ja jūsu mākoņpakalpojumu sniedzējs var eksportēt datus, bet neviens nav validējis pilnīgumu, tas nav gatavs. Ja jūsu valde neredz atlikušā riska lēmumu, tas nav gatavs.
Clarysec palīdz CISO, atbilstības vadītājiem, auditoriem un biznesa īpašniekiem izveidot DORA IKT trešo pušu izstāšanās stratēģijas, kas ir praktiskas, samērīgas un gatavas auditam. Mēs apvienojam Zenith Blueprint Zenith Blueprint ieviešanas secībai, Zenith Controls Zenith Controls savstarpējās atbilstības kartēšanai un politiku veidnes, piemēram, Piegādātāju atkarības risku pārvaldības politiku Piegādātāju atkarības risku pārvaldības politika, Mākoņpakalpojumu izmantošanas politiku - SME Mākoņpakalpojumu izmantošanas politika - SME, Trešo pušu un piegādātāju drošības politiku - SME Trešo pušu un piegādātāju drošības politika - SME un Darbības nepārtrauktības un avārijas atjaunošanas politiku Darbības nepārtrauktības un avārijas atjaunošanas politika, lai izveidotu pilnīgu kontroles pasākumu un pierādījumu ķēdi.
Jūsu nākamais solis ir vienkāršs un ar augstu vērtību: šonedēļ izvēlieties vienu kritisku IKT piegādātāju. Klasificējiet to, pārskatiet tā līgumu, testējiet vienu datu eksportu, pārbaudiet vienu atjaunošanu, dokumentējiet vienu aizstāšanas plānu un izveidojiet vienu pierādījumu paketi.
Šis viens vingrinājums parādīs, vai jūsu DORA izstāšanās stratēģija ir reāla noturības spēja vai tikai dokuments, kas gaida neveiksmi auditā.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
