DORA TLPT pierādījumi ar ISO 27001 kontroles pasākumiem

Ir pirmdienas rīts, plkst. 07.40, un vidēja lieluma maksājumu iestādes informācijas drošības vadītājs skatās uz trim vienas un tās pašas neērtās jautājuma versijām.

Valde vēlas zināt, vai organizācija spēj izturēt izspiedējprogrammatūras izraisītu klientu maksājumu portāla dīkstāvi. Regulators vēlas pierādījumus, ka digitālās darbības noturības testēšana nav PowerPoint vingrinājums. Iekšējais audits vēlas skaidru izsekojamību no DORA pienākumiem līdz IKT riskam, ISO 27001 kontroles pasākumiem, testu rezultātiem, trūkumu novēršanas plāniem, piegādātāju pierādījumiem un vadības apstiprinājumam.

Informācijas drošības vadītājam ir Red Team pārskats. SOC rīcībā ir brīdinājumu ekrānuzņēmumi. Infrastruktūras komandai ir rezerves kopijas atjaunošanas žurnāls. Juridiskajam dienestam ir DORA gatavības izsekotājs. Iepirkumu komandai ir mākoņpakalpojumu sniedzēja apliecinājumi.

Taču nekas no tā nav savienots.

Tieši šeit daudzas DORA TLPT un noturības testēšanas programmas cieš neveiksmi. Nevis tāpēc, ka testēšana būtu vāja, bet tāpēc, ka pierādījumi ir sadrumstaloti. Kad auditors jautā: “Parādiet, kā šis tests pierāda kritiskas vai svarīgas funkcijas noturību,” atbilde nevar būt mape ar ekrānuzņēmumiem. Tai jābūt pamatotai pierādījumu ķēdei.

Šī ķēde ir vieta, kur ar ISO/IEC 27001:2022 saskaņota IDPS ISO/IEC 27001:2022 kļūst īpaši vērtīga. ISO 27001 nodrošina struktūru darbības jomai, risku novērtēšanai, kontroles pasākumu izvēlei, Piemērojamības paziņojumam, darbības kontrolei, iekšējam auditam, vadības pārskatīšanai un nepārtrauktai uzlabošanai. DORA pievieno nozares specifisko spiedienu. Clarysec metodoloģija un atbilstības kartēšanas rīki savieno abus vienotā, auditam gatavā pierādījumu modelī.

DORA TLPT ir pārvaldības tests, ne tikai uzbrukuma simulācija

Draudu vadītu ielaušanās testēšanu jeb TLPT ir viegli pārprast. Tehniski tā var izskatīties kā sarežģīts Red Team vingrinājums: draudu izlūkošana, reālistiski uzbrukuma ceļi, slēpta darbība, izmantošanas mēģinājumi, laterālās pārvietošanās scenāriji un Blue Team reaģēšanas validācija.

DORA kontekstā būtiskākais jautājums ir digitālās darbības noturība. Vai finanšu iestāde spēj izturēt nopietnus IKT traucējumus, kas ietekmē biznesa procesus, reaģēt uz tiem un atjaunoties pēc tiem? Vai tā spēj pierādīt, ka kritiskas vai svarīgas funkcijas paliek noteikto ietekmes toleranču robežās? Vai vadība spēj pierādīt, ka IKT risks tiek pārvaldīts, finansēts, testēts, novērsts un uzlabots?

DORA 1. pants nosaka vienotu ES ietvaru to tīklu un informācijas sistēmu drošībai, kas atbalsta finanšu iestāžu biznesa procesus. Tas aptver IKT risku pārvaldību, ziņošanu par būtiskiem ar IKT saistītiem incidentiem, digitālās darbības noturības testēšanu, IKT trešo pušu risku pārvaldību, obligātās IKT piegādātāju līgumu prasības, kritisku IKT trešo pušu pakalpojumu sniedzēju pārraudzību un uzraudzības sadarbību. DORA piemēro no 2025. gada 17. janvāra.

Organizācijām, uz kurām attiecas arī NIS2, DORA darbojas kā nozares specifisks Savienības tiesību akts attiecībā uz pārklājošām kiberdrošības prasībām. Praktiski tas nozīmē, ka finanšu iestādēm DORA jāpiemēro prioritāri IKT risku pārvaldībā, incidentu ziņošanā, testēšanā un IKT trešo pušu risku jomās, kur režīmi pārklājas, vienlaikus izprotot NIS2 gaidas attiecībā uz grupas struktūrām, piegādātājiem un nefinanšu digitālajiem pakalpojumiem.

DORA arī nosaka pārskatatbildību augstākajā līmenī. 5. pants prasa, lai vadības institūcija definētu, apstiprinātu, pārraudzītu un ieviestu IKT riska pārvaldības kārtību. Tas ietver digitālās darbības noturības stratēģiju, IKT darbības nepārtrauktības politiku, reaģēšanas un atjaunošanas plānus, audita plānus, budžetus, IKT trešo pušu politikas, ziņošanas kanālus un pietiekamas IKT riska zināšanas, ko nodrošina regulāras apmācības.

Tādēļ audita jautājums nav vienkārši: “Vai jūs veicāt TLPT?”

Tas ir:

• Vai TLPT bija saistīts ar kritiskām vai svarīgām funkcijām?
• Vai tas bija autorizēts, ar noteiktu darbības jomu, drošs un balstīts riska novērtējumā?
• Vai attiecīgajos gadījumos tika iekļauti piegādātāji, mākoņpakalpojumu atkarības un ārpakalpojumā nodoti IKT pakalpojumi?
• Vai tests radīja pierādījumus par atklāšanu, reaģēšanu, atjaunošanu un gūtajām mācībām?
• Vai konstatējumi tika pārvērsti riska apstrādē, izsekojamā trūkumu novēršanā, atkārtotā testēšanā un vadības ziņošanā?
• Vai Piemērojamības paziņojums paskaidroja, kuri ISO 27001 A pielikuma kontroles pasākumi tika atlasīti riska pārvaldībai?

Tāpēc Clarysec DORA TLPT pierādījumus traktē kā IDPS pierādījumu jautājumu, ne tikai kā ielaušanās testēšanas nodevumu.

Izveidojiet ISO 27001 pierādījumu mugurkaulu pirms testa sākuma

ISO 27001 prasa organizācijai izveidot, ieviest, uzturēt un nepārtraukti uzlabot IDPS, kas ar risku pārvaldības procesa palīdzību saglabā konfidencialitāti, integritāti un pieejamību. 4.1.–4.4. punkti prasa organizācijai izprast iekšējos un ārējos jautājumus, ieinteresētās puses, juridiskos un regulatīvos pienākumus, saskarnes, atkarības un pēc tam dokumentēt IDPS darbības jomu.

DORA regulētai iestādei šajā darbības jomas noteikšanas posmā skaidri jāiekļauj kritiskas vai svarīgas funkcijas, IKT aktīvi, mākoņplatformas, ārpakalpojumā nodotas operācijas, maksājumu sistēmas, klientu portāli, identitātes pakalpojumi, žurnālēšanas platformas, atjaunošanas vides un IKT trešo pušu pakalpojumu sniedzēji. Ja TLPT darbības joma nav sasaistīta ar IDPS darbības jomu, audita pēda jau ir vāja.

ISO 27001 6.1.1., 6.1.2. un 6.1.3. punkts kopā ar 8.2. un 8.3. punktu prasa risku novērtēšanas un riska apstrādes procesu. Riski jāidentificē attiecībā uz konfidencialitāti, integritāti un pieejamību. Jāpiešķir riska īpašnieki. Jānovērtē varbūtība un sekas. Jāatlasa kontroles pasākumi un jāsalīdzina ar A pielikumu. Atlikušais risks jāpieņem riska īpašniekiem.

Tas ir tilts starp DORA un auditam gatavu testēšanu.

Clarysec Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint Risku pārvaldības posma 13. solis skaidri apraksta šo izsekojamības lomu:

SoA faktiski ir savienojošs dokuments: tas sasaista jūsu risku izvērtēšanu/apstrādi ar faktiskajiem kontroles pasākumiem, kas jums ir ieviesti. To aizpildot, jūs vienlaikus pārbaudāt, vai nav izlaists kāds kontroles pasākums.

DORA TLPT kontekstā Piemērojamības paziņojumam nevajadzētu būt statiskam sertifikācijas artefaktam. Tam jāpaskaidro, kāpēc tādi kontroles pasākumi kā piegādātāju drošība, incidentu pārvaldība, IKT gatavība darbības nepārtrauktībai, žurnālēšana, uzraudzība, tehniskā ievainojamību pārvaldība, rezerves kopijas, droša izstrāde un drošības testēšana ir piemērojami noturības scenārijam.

Praktisks riska scenārijs varētu būt šāds:

“Priviliģētu identitātes nodrošinātāja autentifikācijas datu kompromitēšana ļauj uzbrucējam piekļūt maksājumu apstrādes administrēšanas sistēmām, mainīt maršrutēšanas konfigurācijas un traucēt kritisku maksājumu funkciju, izraisot pakalpojuma dīkstāvi, regulatīvos ziņošanas pienākumus, kaitējumu klientiem un reputācijas kaitējumu.”

Šis viens scenārijs var noteikt TLPT darbības jomu, atklāšanas lietošanas gadījumus, piegādātāju iesaisti, atjaunošanas vingrinājumu, ziņošanu valdei un pierādījumu kopu.

Zenith Blueprint arī iesaka regulatīvo izsekojamību padarīt nepārprotamu:

Veidojiet krusteniskās atsauces ar regulējumiem: ja noteikti kontroles pasākumi ir ieviesti tieši, lai nodrošinātu atbilstību GDPR, NIS2 vai DORA, to var norādīt vai nu Riska reģistrā (kā daļu no riska ietekmes pamatojuma), vai SoA piezīmēs.

Šis ieteikums ir vienkāršs, bet tas maina audita sarunu. Tā vietā, lai auditoram stāstītu, ka DORA ir ņemta vērā, organizācija var parādīt, kur DORA parādās riska reģistrā, SoA, testēšanas programmā, politiku kopā un vadības pārskatīšanā.

Kartējiet DORA testēšanu pret ISO 27001 kontroles pasākumiem, ko auditori atpazīst

DORA 6. pants sagaida dokumentētu IKT risku pārvaldības ietvaru, kas integrēts kopējā risku pārvaldībā. ISO 27001 A pielikums nodrošina kontroles katalogu, kas to padara operacionālu.

DORA TLPT un noturības testēšanai īpaši svarīgi ir šādi ISO/IEC 27001:2022 A pielikuma kontroles pasākumi:

Clarysec Zenith Controls: The Cross-Compliance Guide Zenith Controls palīdz organizācijām nepieļaut, ka šie kontroles pasākumi tiek uztverti kā izolēti kontrolsaraksta punkti. Tas kartē ISO/IEC 27002:2022 kontroles pasākumus pret atribūtiem, domēniem, darbības spējām, audita gaidām un starpietvaru modeļiem.

Piemēram, Zenith Controls klasificē ISO/IEC 27002:2022 kontroles pasākumu 5.30, IKT gatavība darbības nepārtrauktībai, kā “koriģējošu”, saskaņotu ar “Pieejamība”, saistītu ar kiberdrošības konceptu “Respond” un ievietotu “Noturības” domēnā. Šī klasifikācija ir noderīga, skaidrojot auditoriem, kāpēc atjaunošanas vingrinājums nav tikai IT operācija, bet gan noturības kontroles pasākums ar noteiktu lomu kontroles vidē.

Zenith Controls arī klasificē kontroles pasākumu 8.29, drošības testēšana izstrādē un pieņemšanā, kā preventīvu kontroles pasākumu, kas atbalsta konfidencialitāti, integritāti un pieejamību, ar darbības spējām lietojumprogrammu drošībā, informācijas drošības apliecinājumā un sistēmu un tīklu drošībā. TLPT konstatējumiem, kas izsekojami līdz lietojumprogrammas projektējuma vājai vietai, nedrošai API darbībai, nepietiekamai autentifikācijas plūsmai vai nepietiekamai validācijai, šis ir kontroles ceļš uz drošas izstrādes pārvaldību.

Kontroles pasākums 5.35, neatkarīga informācijas drošības pārskatīšana, arī ir svarīgs. Tas atbalsta neatkarīgu pārbaudi, pārvaldības apliecinājumu un koriģējošu uzlabošanu. Iekšējās komandas var koordinēt testēšanu, taču auditam gataviem pierādījumiem nepieciešama pārskatīšana, eskalācija un pārraudzība ārpus personām, kuras izveidoja vai ekspluatēja testētās sistēmas.

Aizsargājiet sistēmu, kamēr to testējat

Bīstams pieņēmums noturības testēšanā ir uzskats, ka testēšana automātiski ir laba. Patiesībā invazīva testēšana var izraisīt dīkstāves, eksponēt sensitīvus datus, piesārņot žurnālus, aktivizēt automatizētus aizsardzības mehānismus, pārtraukt klientu sesijas vai likt piegādātājiem iedarbināt ārkārtas procedūras.

Clarysec Drošības testēšanas un Red Team vingrinājumu politika Drošības testēšanas un Red Team vingrinājumu politika nodrošina organizācijām pārvaldības modeli drošai izpildei. 6.1. punkts nosaka:

Testu veidi: drošības testēšanas programmā vismaz jāiekļauj: (a) ievainojamību skenēšana, kas sastāv no automatizētas iknedēļas vai ikmēneša tīklu un lietojumprogrammu skenēšanas, lai identificētu zināmās ievainojamības; (b) ielaušanās testēšana, kas sastāv no konkrētu sistēmu vai lietojumprogrammu manuālas padziļinātas testēšanas, ko veic kvalificēti testētāji, lai identificētu sarežģītas vājās vietas; un (c) Red Team vingrinājumi, kas sastāv no scenārijos balstītām reālu uzbrukumu simulācijām, tostarp sociālās inženierijas un citām taktikām, lai pārbaudītu organizācijas atklāšanas un reaģēšanas spējas kopumā.

TLPT gadījumā Red Team elements ir acīmredzams, taču audita vērtība rodas no programmas dizaina. Ievainojamību skenēšanai, ielaušanās testēšanai, Red Team vingrinājumiem, noturības vingrinājumiem un atkārtotai testēšanai jāveido cikls, nevis nesaistītu testu kopums.

Tās pašas politikas 6.2. punkts aplūko drošu izpildi:

Darbības joma un iesaistes noteikumi: katram testam vai vingrinājumam STC jādefinē darbības joma, tostarp darbības jomā iekļautās sistēmas un IP diapazoni, atļautās testēšanas metodes, mērķi, laiks un ilgums. Iesaistes noteikumi ir jādokumentē. Piemēram, operacionāli jutīgas sistēmas var noteikt kā tikai uzraugāmas, lai izvairītos no traucējumiem, un jebkurai testēšanai ražošanas vidē jāietver atcelšanas un apturēšanas procedūras. Jāievieš drošības pasākumi, piemēram, noteikti laika logi un komunikācijas kanāli, lai novērstu neparedzētas pakalpojumu dīkstāves.

Tas tieši kartējas uz Zenith Blueprint Controls in Action posma 21. soli, kas fokusējas uz ISO 27001 A pielikuma kontroles pasākumu 8.34, informācijas sistēmu aizsardzību audita testēšanas laikā. Zenith Blueprint brīdina, ka auditi, ielaušanās testi, kriminālistiskās pārbaudes un operacionālie novērtējumi var ietvert paaugstinātas piekļuves tiesības, invazīvus rīkus vai pagaidu izmaiņas sistēmas uzvedībā. Tas uzsver autorizāciju, darbības jomu, laika logus, sistēmas īpašnieka apstiprinājumu, atcelšanu, uzraudzību un drošu rīcību ar testa datiem.

Auditam gatavā pierādījumu pakā jāiekļauj:

• TLPT mandāts un mērķi
• Draudu izlūkošanas kopsavilkums un scenārija pamatojums
• Darbības jomā iekļautās kritiskās vai svarīgās funkcijas
• Darbības jomā iekļautās sistēmas, IP diapazoni, identitātes, piegādātāji un vides
• Izņēmumi un tikai uzraugāmās sistēmas
• Iesaistes noteikumi
• Ražošanas vides testēšanas riska novērtējums
• Atcelšanas un apturēšanas procedūras
• SOC informēšanas modelis, tostarp tas, kas tiek atklāts un kas tiek noklusēts
• Juridiskie, privātuma un piegādātāju apstiprinājumi
• Testa kontu izveides un atsaukšanas pierādījumi
• Droša testa artefaktu un žurnālu glabāšanas vieta

DORA TLPT, kas nevar parādīt drošu autorizāciju un testa darbību kontroli, var atklāt noturības trūkumus, taču vienlaikus rada arī pārvaldības trūkumus.

Pārvērtiet TLPT rezultātus riska apstrādē

Visbiežākā kļūda pēc testa ir Red Team pārskata nolikšana plauktā. Kvalitatīvs pārskats tiek piegādāts, izplatīts, apspriests un pēc tam pakāpeniski zaudē virzību. Konstatējumi paliek atvērti. Kompensējošie kontroles pasākumi netiek dokumentēti. Pieņemtie riski ir neformāli. Atkārtota testēšana nenotiek.

Drošības testēšanas un Red Team vingrinājumu politika to padara nepieņemamu. 6.6. punkts nosaka:

Konstatējumu novēršana: visas identificētās ievainojamības vai vājās vietas jādokumentē konstatējumu pārskatā ar smaguma pakāpes vērtējumiem. Pēc pārskata saņemšanas sistēmu īpašnieki ir atbildīgi par trūkumu novēršanas plāna izveidi ar noteiktajiem termiņiem; piemēram, kritiskie konstatējumi jānovērš 30 dienu laikā un augstas smaguma pakāpes konstatējumi — 60 dienu laikā saskaņā ar organizācijas Ievainojamību un ielāpu pārvaldības politiku. STC jāizseko trūkumu novēršanas progress. Atkārtota testēšana jāveic, lai apstiprinātu, ka kritiskās problēmas ir novērstas vai pietiekami mazinātas.

6.7. punkts pievieno pārvaldības slāni:

Ziņošana: katra testa noslēgumā jāizdod formāls pārskats. Ielaušanās testēšanai pārskatā jāiekļauj vadības kopsavilkums, metodoloģija un detalizēti konstatējumi ar atbalsta pierādījumiem un ieteikumiem. Red Team vingrinājumiem pārskatā jāapraksta scenāriji, kuri uzbrukuma ceļi bija sekmīgi, ko atklāja Blue Team, un gūtās mācības par atklāšanas un reaģēšanas trūkumiem. Informācijas drošības vadītājam jāprezentē apkopotie rezultāti un trūkumu novēršanas statuss augstākajai vadībai un, attiecīgajos gadījumos, jāiekļauj tie ikgadējā drošības pārskatā valdei.

Tas saskan ar ISO/IEC 27005:2022 riska apstrādes norādījumiem: atlasīt apstrādes iespējas, noteikt kontroles pasākumus no ISO 27001 A pielikuma un nozares specifiskām prasībām, izveidot risku apstrādes plānu, piešķirt atbildīgās personas, definēt termiņus, izsekot statusam, iegūt riska īpašnieka apstiprinājumu un dokumentēt atlikušā riska pieņemšanu.

Katram būtiskam TLPT konstatējumam jākļūst par vienu no četrām lietām: trūkumu novēršanas pasākumu, kontroles pasākuma uzlabojumu, formālu riska pieņemšanu vai atkārtotas testēšanas prasību.

Mērķis nav radīt vairāk dokumentu. Mērķis ir panākt, lai katrs dokuments izskaidrotu nākamo lēmumu.

Noturības testēšanai jāpierāda atjaunošana, ne tikai atklāšana

Sekmīgs TLPT var parādīt, ka SOC atklāja vadības un kontroles datplūsmu, bloķēja laterālu pārvietošanos un pareizi eskalēja. Tas ir vērtīgi, taču DORA noturības testēšana iet tālāk. Tā jautā, vai organizācija spēj turpināt vai atjaunot biznesa pakalpojumus.

Zenith Blueprint Controls in Action posma 23. solis skaidro kontroles pasākumu 5.30, IKT gatavību darbības nepārtrauktībai, valodā, ko katram informācijas drošības vadītājam vajadzētu lietot sarunā ar valdi:

No audita viedokļa šo kontroles pasākumu bieži testē ar vienu frāzi: Parādiet man. Parādiet pēdējo testa rezultātu. Parādiet atjaunošanas dokumentāciju. Parādiet, cik ilgs laiks bija nepieciešams pārslēgšanai uz rezerves vidi un atpakaļ. Parādiet pierādījumus, ka solīto var piegādāt.

Šis “Parādiet man” standarts ir atšķirība starp politiku briedumu un operacionālo noturību.

Clarysec Darbības nepārtrauktības politika un avārijas atjaunošanas politika-SME Darbības nepārtrauktības politika un avārijas atjaunošanas politika - SME, sadaļas “Politikas ieviešanas prasības” 6.4.1. punkts nosaka:

Organizācijai vismaz reizi gadā jātestē gan BCP, gan DR spējas. Testos jāiekļauj:

Tās pašas politikas ievērošanas sadaļas 8.5.1. punkts pierādījumu pārskatatbildību padara nepārprotamu:

GM jānodrošina, ka tiek uzturēti un auditam gatavi šādi elementi:

DORA regulētai finanšu iestādei ikgadēja testēšana var būt minimums, nevis mērķa līmenis. Augstāka riska kritiskas vai svarīgas funkcijas jātestē biežāk, īpaši pēc arhitektūras izmaiņām, migrācijas uz mākoņvidi, būtiskiem incidentiem, jauniem IKT piegādātājiem, nozīmīgiem lietojumprogrammu laidieniem vai izmaiņām draudu ekspozīcijā.

Spēcīgā noturības testa pierādījumu pakā jāiekļauj:

• Biznesa ietekmes analīze, kas kartē kritisko vai svarīgo funkciju
• RTO un RPO, ko apstiprinājuši biznesa īpašnieki
• Sistēmu atkarību karte, tostarp identitāte, DNS, tīkls, mākonis, datubāze, uzraudzība, rezerves kopijas un trešo pušu pakalpojumi
• Rezerves kopiju un atjaunošanas testu rezultāti
• Pārslēgšanās uz rezerves vidi un atgriešanās laikspiedoli
• Pierādījumi, ka drošības kontroles pasākumi darbojas traucējumu laikā
• Klientu, regulatora un iekšējās komunikācijas veidnes
• Incidenta vadītāja un krīzes komandas dalības žurnāli
• Gūtās mācības un uzlabošanas darbības
• Atkārtotās testēšanas pierādījumi par iepriekšējiem atjaunošanas trūkumiem

Šeit stāstā ienāk arī GDPR. GDPR 2. un 3. pants darbības jomā iekļauj lielāko daļu SaaS un fintech apstrādes, kas attiecas uz ES personas datiem. 4. pants definē personas datus, apstrādi, pārzini, apstrādātāju un personas datu aizsardzības pārkāpumu. 5. pants prasa integritāti, konfidencialitāti un pārskatatbildību, kas nozīmē, ka organizācijai jāspēj pierādīt atbilstību. Ja TLPT vai atjaunošanas testēšana izmanto ražošanas personas datus, kopē žurnālus ar identifikatoriem vai validē reaģēšanu uz pārkāpumu, privātuma drošības pasākumi ir jādokumentē.

Piegādātāju pierādījumi ir DORA aklā zona, ko auditori neignorēs

Mūsdienu finanšu pakalpojumi tiek veidoti no mākoņplatformām, SaaS lietojumprogrammām, pārvaldīto drošības pakalpojumu sniedzējiem, maksājumu apstrādātājiem, datu platformām, identitātes nodrošinātājiem, novērojamības rīkiem, ārpakalpojuma izstrādes komandām un rezerves kopiju nodrošinātājiem.

DORA 28. pants prasa finanšu iestādēm pārvaldīt IKT trešo pušu risku kā daļu no IKT risku pārvaldības ietvara un saglabāt pilnu atbildību arī tad, ja IKT pakalpojumi ir nodoti ārpakalpojumā. 30. pants prasa rakstiskus IKT pakalpojumu līgumus ar pakalpojumu aprakstiem, apakšuzņēmēju piesaistes nosacījumiem, apstrādes vietām, datu aizsardzību, piekļuvi un atjaunošanu, pakalpojumu līmeņiem, incidentu atbalstu, sadarbību ar iestādēm, izbeigšanas tiesībām, stingrākiem noteikumiem kritiskām vai svarīgām funkcijām, audita tiesībām, drošības pasākumiem, TLPT dalību attiecīgajos gadījumos un izstāšanās kārtību.

Tas nozīmē, ka TLPT scenārijs nevar apstāties pie organizācijas ugunsmūra, ja kritiskā funkcija ir atkarīga no piegādātāja.

Clarysec Trešo pušu un piegādātāju drošības politika-SME Trešo pušu un piegādātāju drošības politika - SME, sadaļas “Politikas ieviešanas prasības” 6.3.1. punkts nosaka:

Kritiskie vai augsta riska piegādātāji jāpārskata vismaz reizi gadā. Pārskatīšanai jāpārbauda:

Drošības testēšanas un Red Team vingrinājumu politika 6.9. punkts pievieno testēšanai specifisku piegādātāju prasību:

Trešo pušu testēšanas koordinācija: ja jebkurš kritisks piegādātājs vai pakalpojumu sniedzējs ietilpst organizācijas kopējās drošības darbības jomā, organizācijai saskaņā ar Trešo pušu un piegādātāju drošības politiku, ja iespējams, jāiegūst apliecinājums par tā drošības testēšanas praksēm vai jākoordinē kopīga testēšana. Piemēram, ja tiek izmantots Cloud Service Provider (CSP), organizācija var paļauties uz tā ielaušanās testu pārskatiem vai iekļaut to kopīgos Red Team scenārijos, ievērojot līguma noteikumus.

Auditam gataviem DORA pierādījumiem piegādātāju apliecinājumi jāsasaista ar to pašu riska scenāriju kā TLPT. Ja identitātes nodrošinātājs ir būtisks maksājumu atjaunošanai, pierādījumu pakā jāiekļauj piegādātāju pienācīga pārbaude, līgumiskās drošības prasības, incidentu atbalsta noteikumi, testēšanas koordinācija, apliecinājuma pārskati, pakalpojumu līmeņa pierādījumi, izstāšanās stratēģija un testēšanas ierobežojumi.

NIS2 21. pants ir svarīgs arī SaaS, mākoņpakalpojumu, pārvaldīto pakalpojumu, pārvaldītās drošības, datu centru, CDN, uzticamības pakalpojumu, DNS, TLD, tiešsaistes tirdzniecības vietu, meklēšanas un sociālo tīklu pakalpojumu sniedzējiem. Tas prasa visu apdraudējumu pieeju, kas aptver riska analīzi, incidentu apstrādi, darbības nepārtrauktību, piegādes ķēdes drošību, drošu izstrādi, efektivitātes novērtēšanu, apmācības, kriptogrāfiju, piekļuves kontroli, aktīvu pārvaldību, MFA un drošu saziņu.

Praktiskais rezultāts ir vienkāršs: finanšu iestādēm jāveido viens pierādījumu modelis, kas vispirms apmierina DORA prasības, un pēc tam jāveido krusteniskās atsauces uz NIS2 gaidām, ja iesaistīti piegādātāji, grupas uzņēmumi vai nefinanšu digitālie pakalpojumi.

Praktisks Clarysec TLPT pierādījumu žurnāls

Pieņemsim, ka scenārijs ir šāds:

“Apdraudējuma aktors kompromitē administratora kontu SaaS atbalsta platformā, pāriet uz maksājumu operāciju vidi, maina konfigurāciju un traucē darījumu apstrādi.”

Izveidojiet pierādījumu žurnālu ar vienu rindu katram pierādījumu objektam. Negaidiet līdz testa beigām. Aizpildiet to plānošanas, izpildes, trūkumu novēršanas un slēgšanas laikā.

Pēc tam izmantojiet Zenith Blueprint 13. soli, lai pievienotu izsekojamību riska reģistrā un Piemērojamības paziņojumā. Katram pierādījumu objektam jābūt saistītam ar riska scenāriju, riska īpašnieku, atlasīto kontroles pasākumu, apstrādes plānu un atlikušā riska lēmumu.

Ja konstatējums attiecas uz programmatūras vāju vietu, atsaucieties uz drošas izstrādes un testēšanas kontroles pasākumiem. Clarysec Drošas izstrādes politika-SME Drošas izstrādes politika - SME, sadaļas “Politikas ieviešanas prasības” 6.5.2. punkts prasa:

Testēšana jādokumentē ar:

Ja konstatējums rada digitālās kriminālistikas materiālus, saglabājiet pierādījumu glabāšanas ķēdi. Clarysec Digitālo pierādījumu iegūšanas un kriminālistikas politika-SME Digitālo pierādījumu iegūšanas un kriminālistikas politika - SME, sadaļas “Pārvaldības prasības” 5.2.1. punkts nosaka:

Katrs digitālais pierādījumu objekts jāreģistrē ar:

Šis ir punkts, ko daudzas komandas palaiž garām. Pierādījumi nav tikai galīgie pārskati. Tie ir kontrolēti ieraksti par to, kas apstiprināja, kas izpildīja, kas notika, kas tika atklāts, kas tika atjaunots, kas tika mainīts, kas joprojām ir pakļauts riskam un kas šo riska ekspozīciju pieņēma.

Kā auditori pārbauda tos pašus TLPT pierādījumus

DORA TLPT pierādījumi tiks lasīti atšķirīgi atkarībā no auditora pieredzes. Clarysec izstrādā pierādījumu pakas tā, lai katra perspektīva varētu atrast nepieciešamo, nepiespiežot komandas dublēt darbu.

COBIT 2019 parādās Zenith Blueprint atbilstības kartēšanas atsaucē drošai audita un testēšanas izpildei, tostarp DSS05.03 un MEA03.04. Nozīme nav tajā, ka COBIT aizstātu DORA vai ISO 27001, bet tajā, ka ISACA stila apliecinājuma profesionāļi meklēs kontrolētu izpildi, uzraudzību, novērtēšanu un atbilstības pierādījumus.

Valdes naratīvs: kas vadībai jāapstiprina

Ziņošanai valdei jāizvairās no tehniska teātra. Valdei nav nepieciešamas izmantošanas izpildslodzes. Tai nepieciešami lēmumu pieņemšanai derīgi pierādījumi:

• Kura kritiskā vai svarīgā funkcija tika testēta?
• Kāds draudu scenārijs tika simulēts un kāpēc?
• Vai atklāšana darbojās?
• Vai reaģēšanas eskalācija darbojās?
• Vai atjaunošana izpildīja RTO un RPO?
• Kuri piegādātāji bija iesaistīti vai ierobežoja testēšanu?
• Kādas būtiskas vājās vietas paliek?
• Kādas ir trūkumu novēršanas izmaksas, īpašnieks un termiņš?
• Kuriem atlikušajiem riskiem nepieciešama formāla pieņemšana?
• Kas tiks testēts atkārtoti?

Šeit svarīgs kļūst ISO 27001 5. punkts. Augstākajai vadībai jānodrošina, ka informācijas drošības politika un mērķi ir izveidoti, saskaņoti ar stratēģisko virzienu, integrēti biznesa procesos, nodrošināti ar resursiem, komunicēti un nepārtraukti uzlaboti. Lomas un pienākumi jāpiešķir. Mērķiem jābūt izmērāmiem, kur tas ir praktiski iespējams, un jāņem vērā piemērojamās prasības un riska apstrādes rezultāti.

Ja TLPT identificē, ka atjaunošanas laiks ir sešas stundas pret četru stundu biznesa toleranci, tas nav tikai infrastruktūras neizpildīto darbu saraksta vienums. Tas ir vadības lēmums, kas ietver riska apetīti, budžetu, klientu saistības, regulatīvo ietekmi, līgumus, arhitektūru un operacionālo kapacitāti.

Biežākās pierādījumu nepilnības DORA noturības testēšanā

Clarysec pārskatīšanas bieži atklāj vienus un tos pašus pierādījumu trūkumus finanšu iestādēs un IKT pakalpojumu sniedzējos, kas gatavojas DORA.

Pirmkārt, TLPT darbības joma nav kartēta pret kritiskām vai svarīgām funkcijām. Tests var būt tehniski iespaidīgs, bet tas nepierāda tā biznesa procesa noturību, kas interesē regulatorus.

Otrkārt, piegādātāju atkarības tiek atzītas, bet nav pierādītas. Komandas saka, ka mākoņpakalpojumu sniedzējs, pārvaldītais SOC vai SaaS platforma ir darbības jomā, taču trūkst līgumu, audita tiesību, testēšanas atļauju, incidentu atbalsta noteikumu un izstāšanās plānu.

Treškārt, testēšana rada pierādījumus, bet ne apstrādi. Konstatējumi paliek Red Team pārskatā, nevis tiek pārvērsti Riska reģistra atjauninājumos, kontroles pasākumu izmaiņās, īpašniekos, datumos, atkārtotā testēšanā un atlikušā riska lēmumos.

Ceturtkārt, atjaunošana tiek pieņemta, nevis pierādīta. Rezerves kopiju politikas pastāv, bet neviens nevar parādīt pārslēgšanās laikspiedolus, atjaunošanas integritātes pārbaudes, piekļuves validāciju vai biznesa īpašnieka apstiprinājumu.

Piektkārt, privātuma un digitālās kriminālistikas pierādījumi netiek kontrolēti. Žurnāli un ekrānuzņēmumi satur personas datus, testa artefakti tiek glabāti koplietojamos diskos, pagaidu konti paliek aktīvi, un pierādījumu glabāšanas ķēde ir nepilnīga.

Sestkārt, vadības ziņošana ir pārāk tehniska. Augstākā vadība nevar redzēt, vai noturība ir uzlabojusies, vai risks ir riska apetītes robežās un kādi ieguldījumu lēmumi ir nepieciešami.

Katru no šiem trūkumiem var novērst, traktējot DORA TLPT kā strukturētu ISO 27001 pierādījumu darbplūsmu.

Clarysec integrētā pieeja auditam gatavai noturībai

Clarysec pieeja apvieno trīs slāņus.

Pirmais slānis ir Zenith Blueprint 30 soļu ieviešanas ceļkarte. Šajā tēmā 13. solis veido riska apstrādes un SoA izsekojamību, 21. solis aizsargā sistēmas audita testēšanas laikā, un 23. solis validē IKT gatavību darbības nepārtrauktībai. Šie soļi pārvērš TLPT no tehniska notikuma dokumentētā pārvaldības ciklā.

Otrais slānis ir Clarysec politiku bibliotēka. Drošības testēšanas un Red Team vingrinājumu politika definē testēšanas veidus, darbības jomu, iesaistes noteikumus, trūkumu novēršanu, ziņošanu un piegādātāju koordināciju. Darbības nepārtrauktības politika un avārijas atjaunošanas politika-SME nosaka gaidas ikgadējai BCP un DR testēšanai un auditam gataviem nepārtrauktības pierādījumiem. Trešo pušu un piegādātāju drošības politika-SME atbalsta piegādātāju apliecinājumu. Drošas izstrādes politika-SME nodrošina, ka drošības testēšana tiek dokumentēta. Digitālo pierādījumu iegūšanas un kriminālistikas politika-SME atbalsta pierādījumu reģistrēšanu un pierādījumu glabāšanas ķēdes disciplīnu.

Trešais slānis ir Zenith Controls, Clarysec atbilstības kartēšanas ceļvedis. Tas palīdz kartēt ISO/IEC 27002:2022 kontroles pasākumus pret atribūtiem, domēniem, darbības spējām un starpietvaru gaidām. DORA TLPT gadījumā svarīgākais modelis nav viens kontroles pasākums. Tā ir saikne starp testēšanu, nepārtrauktību, incidentu pārvaldību, piegādātāju pārvaldību, žurnālēšanu, uzraudzību, drošu izstrādi, neatkarīgu pārskatīšanu un pārvaldību.

Kad šie slāņi darbojas kopā, informācijas drošības vadītāja pirmdienas rīta problēma mainās. Trīs nesaistītu jautājumu vietā no valdes, regulatora un iekšējā audita organizācijai ir viens pierādījumu stāsts:

“Mēs identificējām kritisko funkciju. Mēs novērtējām IKT risku. Mēs atlasījām un pamatojām kontroles pasākumus. Mēs autorizējām un droši izpildījām TLPT. Mēs atklājām, reaģējām un atjaunojāmies. Mēs iesaistījām piegādātājus, kur tas bija nepieciešams. Mēs dokumentējām pierādījumus. Mēs novērsām konstatējumus. Mēs veicām atkārtotu testēšanu. Vadība pārskatīja un pieņēma atlikušo risku.”

Tā ir auditam gatava noturība.

Nākamie soļi

Ja jūsu DORA TLPT programma joprojām ir organizēta ap pārskatiem, nevis pierādījumu ķēdēm, sāciet ar Clarysec pierādījumu pārskatīšanu.

Izmantojiet Zenith Blueprint Zenith Blueprint 13. soli, lai TLPT scenārijus sasaistītu ar riskiem, kontroles pasākumiem un Piemērojamības paziņojumu. Izmantojiet 21. soli, lai pārbaudītu drošu autorizāciju, iesaistes noteikumus, atcelšanu, uzraudzību un attīrīšanu. Izmantojiet 23. soli, lai ar atjaunošanas pierādījumiem pierādītu IKT gatavību darbības nepārtrauktībai.

Pēc tam saskaņojiet savus operacionālos dokumentus ar Clarysec Drošības testēšanas un Red Team vingrinājumu politiku Drošības testēšanas un Red Team vingrinājumu politika, Darbības nepārtrauktības politiku un avārijas atjaunošanas politiku-SME Darbības nepārtrauktības politika un avārijas atjaunošanas politika - SME, Trešo pušu un piegādātāju drošības politiku-SME Trešo pušu un piegādātāju drošības politika - SME, Drošas izstrādes politiku-SME Drošas izstrādes politika - SME un Digitālo pierādījumu iegūšanas un kriminālistikas politiku-SME Digitālo pierādījumu iegūšanas un kriminālistikas politika - SME.

Visbeidzot izmantojiet Zenith Controls Zenith Controls, lai krusteniski kartētu savus DORA TLPT pierādījumus pret ISO 27001 kontroles pasākumiem, NIS2, GDPR, COBIT 2019 un auditoru gaidām.

Ja vēlaties, lai jūsu nākamais noturības tests radītu vairāk nekā tikai konstatējumus, izmantojiet Clarysec, lai to pārvērstu pamatotā pierādījumu ķēdē. Lejupielādējiet rīkkopas, ieplānojiet pierādījumu gatavības novērtēšanu vai pieprasiet pārskatu par to, kā Clarysec kartē DORA TLPT pret ISO 27001:2022 kontroles pasākumiem no plānošanas līdz valdes apstiprinājumam.