Stratégie ukončenia spolupráce s poskytovateľmi IKT služieb podľa DORA a opatrenia ISO 27001
V pondelok o 07:42 dostane vedúci prevádzky fintech spoločnosti správu, ktorú nechce čítať nikto: poskytovateľ cloudového monitorovania transakcií spoločnosti zaznamenal závažný regionálny výpadok. O 08:15 sa riaditeľ riadenia rizík pýta, či dotknutá služba podporuje kritickú alebo dôležitú funkciu. O 08:40 chce právne oddelenie vedieť, či zmluva dáva spoločnosti právo na podporu pri prechode, export údajov, výmaz a audit. O 09:05 CISO hľadá dôkazy, že plán ukončenia spolupráce bol otestovaný, nielen napísaný.
V inej spoločnosti poskytujúcej finančné služby otvára Sarah, CISO rýchlo rastúcej fintech platformy, pred auditom požiadavku na informácie k posúdeniu súladu s DORA. Otázky sú známe, až kým sa nedostane k časti o externých poskytovateľoch IKT služieb podporujúcich kritické alebo dôležité funkcie. Audítori sa nepýtajú, či má spoločnosť politiku pre dodávateľov. Žiadajú zdokumentované, otestované a uskutočniteľné stratégie ukončenia spolupráce.
V mysli sa okamžite presunie ku kľúčovému poskytovateľovi cloudových služieb, ktorý hostuje platformu, a potom k poskytovateľovi riadených bezpečnostných služieb, ktorý nepretržite monitoruje hrozby. Čo ak poskytovateľ cloudových služieb utrpí geopolitické narušenie? Čo ak MSSP kúpi konkurent? Čo ak sa kritický poskytovateľ SaaS stane insolventným, ukončí službu alebo po významnom incidente stratí dôveru zákazníkov?
Nepríjemná odpoveď je v mnohých organizáciách rovnaká. Existuje posúdenie rizík dodávateľa, plán kontinuity činností, zložka so zmluvami, inventár cloudových služieb a možno aj správa o zálohovaní. Neexistuje však jedna ucelená stratégia ukončenia spolupráce s externým poskytovateľom IKT služieb podľa DORA pripravená na audit, ktorá prepája kritickosť pre činnosť organizácie, zmluvné práva, technickú prenositeľnosť, plány kontinuity, dôkazy o zálohách, povinnosti ochrany súkromia a schválenie vedením.
DORA mení prístup k riadeniu dodávateľov. Podľa nariadenia (EÚ) 2022/2554 musia finančné subjekty riadiť riziká IKT tretích strán ako súčasť rámca riadenia rizík IKT. Naďalej nesú plnú zodpovednosť za súlad, vedú register zmluvných dojednaní o IKT službách, rozlišujú dojednania v oblasti IKT podporujúce kritické alebo dôležité funkcie, posudzujú riziká koncentrácie a subdodávok a udržiavajú stratégie ukončenia spolupráce pre kritické závislosti od externých poskytovateľov IKT služieb. DORA sa uplatňuje od 17. januára 2025 a stanovuje jednotné požiadavky EÚ na riadenie rizík IKT, nahlasovanie incidentov, testovanie odolnosti, výmenu informácií a riadenie rizík IKT tretích strán v širokom okruhu finančných subjektov.
Stratégia ukončenia spolupráce podľa DORA nie je odsek v dodávateľskej zmluve. Je to systém opatrení. Musí mať správu a riadenie, posúdenie rizík, technickú uskutočniteľnosť, zmluvnú vynútiteľnosť, testovanie, dôkazy a priebežné zlepšovanie.
Prístup Clarysec kombinuje Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint, podnikové šablóny politík a Zenith Controls: The Cross-Compliance Guide Zenith Controls, aby sa z pondelkovej rannej otázky stala pripravená odpoveď.
Prečo stratégie ukončenia spolupráce podľa DORA zlyhávajú v reálnych auditoch
Väčšina zlyhaní stratégií ukončenia spolupráce s poskytovateľmi IKT služieb podľa DORA je skôr štrukturálna než technická. Organizácia má vlastníka dodávateľa, ale nemá zodpovedného vlastníka rizika. Má zálohovacie úlohy, ale nemá dôkazy o obnove. Má dotazník due diligence dodávateľa, ale nemá zdokumentované rozhodnutie, či poskytovateľ podporuje kritickú alebo dôležitú funkciu. Má zmluvnú formuláciu o ukončení, ale nemá prechodné obdobie zosúladené s plánom kontinuity činností.
DORA núti tieto prvky spojiť. Article 28 stanovuje všeobecné zásady riadenia rizík IKT tretích strán vrátane potreby riadiť riziko externých poskytovateľov IKT služieb počas celého životného cyklu a udržiavať primerané stratégie ukončenia spolupráce. Article 30 stanovuje podrobné zmluvné požiadavky pre IKT služby podporujúce kritické alebo dôležité funkcie vrátane opisov služieb, miest spracúvania údajov, bezpečnostných opatrení, prístupových a auditných práv, podpory pri incidentoch, spolupráce s príslušnými orgánmi a práv na ukončenie.
Nariadenie je zároveň proporcionálne. Articles 4 a 16 umožňujú určitým menším alebo vyňatým subjektom uplatňovať zjednodušený rámec riadenia rizík IKT. Zjednodušený však neznamená nezdokumentovaný. Menšie finančné subjekty stále potrebujú zdokumentované riadenie rizík IKT, priebežné monitorovanie, odolné systémy, rýchlu identifikáciu incidentov IKT, identifikáciu kľúčových závislostí od externých poskytovateľov IKT služieb, zálohovanie a obnovu, kontinuitu činností, reakciu a obnovu, testovanie, získané poznatky a školenia.
Malý fintech nemôže povedať: „Sme príliš malí na plánovanie ukončenia spolupráce.“ Môže povedať: „Naša stratégia ukončenia spolupráce podľa DORA je primeraná našej veľkosti, rizikovému profilu a zložitosti služby.“ Rozdielom sú dôkazy.
Pre subjekty, ktoré zároveň spadajú do vnútroštátneho rozsahu NIS2, DORA pôsobí ako odvetvovo špecifický právny akt Únie pre prekrývajúce sa povinnosti kybernetickej bezpečnosti vo finančnom sektore. NIS2 má naďalej význam v širšom ekosystéme, najmä pre poskytovateľov riadených služieb, poskytovateľov riadených bezpečnostných služieb, poskytovateľov cloudových služieb, dátové centrá a subjekty digitálnej infraštruktúry. NIS2 Article 21 posilňuje tie isté témy: analýzu rizík, riešenie incidentov, kontinuitu činností, bezpečnosť dodávateľského reťazca, bezpečné obstarávanie, posúdenie účinnosti, školenie, kryptografiu, riadenie prístupu, správu aktív a autentifikáciu.
Orgány dohľadu, zákazníci, audítori a predstavenstvo môžu otázku položiť rôzne, ale podstata je rovnaká: dokážete ukončiť spoluprácu s kritickým poskytovateľom IKT služieb bez straty kontroly nad kontinuitou služby, údajmi, dôkazmi alebo dopadom na zákazníkov?
Urobte zo stratégie ukončenia spolupráce súčasť ISMS
ISO/IEC 27001:2022 poskytuje riadiacu kostru pre plánovanie ukončenia spolupráce podľa DORA.
Kapitoly 4.1 až 4.4 vyžadujú, aby organizácia definovala svoj kontext, zainteresované strany, právne, regulačné a zmluvné požiadavky, rozsah ISMS, rozhrania, závislosti a procesy. Práve tu finančný subjekt identifikuje DORA, záväzky voči zákazníkom, očakávania outsourcingu, cloudové závislosti, povinnosti ochrany súkromia, subdodávateľov a IKT služby v hraniciach ISMS.
Kapitoly 5.1 až 5.3 vyžadujú vedenie, politiku, zdroje, pridelenie rolí a zodpovedností. To je v súlade s modelom správy a riadenia podľa DORA, v ktorom riadiaci orgán definuje, schvaľuje, dohliada a zostáva zodpovedný za riadenie rizík IKT vrátane kontinuity činností IKT, plánov reakcie a obnovy, plánov auditov IKT, rozpočtov, stratégie odolnosti a politiky rizík IKT tretích strán.
Kapitoly 6.1.1 až 6.1.3 premieňajú plánovanie ukončenia spolupráce na ošetrenie rizík. Organizácia definuje kritériá rizík, vykonáva opakovateľné posúdenia rizík, identifikuje riziká pre dôvernosť, integritu a dostupnosť, priraďuje vlastníkov rizík, hodnotí dôsledky a pravdepodobnosť, vyberá možnosti ošetrenia, porovnáva opatrenia s prílohou A, vypracúva Vyhlásenie o uplatniteľnosti, pripravuje plán ošetrenia rizík a získava schválenie vlastníka rizika aj akceptáciu zostatkového rizika.
Kapitola 8.1 následne vyžaduje prevádzkové plánovanie a riadenie. Organizácia musí plánovať, implementovať a riadiť procesy ISMS, uchovávať zdokumentované informácie preukazujúce, že procesy boli vykonané podľa plánu, riadiť zmeny a kontrolovať externe poskytované procesy, produkty alebo služby relevantné pre ISMS.
ISO/IEC 27005:2022 tento prístup posilňuje. Kapitola 6.2 odporúča organizáciám identifikovať požiadavky zainteresovaných strán vrátane opatrení prílohy A ISO/IEC 27001:2022, odvetvovo špecifických noriem, národných a medzinárodných predpisov, interných pravidiel, zmluvných požiadaviek a existujúcich opatrení z predchádzajúceho ošetrenia rizík. Kapitoly 6.4.1 až 6.4.3 vysvetľujú, že kritériá rizík majú zohľadňovať právne a regulačné aspekty, vzťahy s dodávateľmi, ochranu súkromia, prevádzkové dopady, porušenia zmlúv, činnosti tretích strán a reputačné dôsledky. Kapitoly 8.2 až 8.6 podporujú knižnicu opatrení a plán ošetrenia, ktoré môžu kombinovať prílohu A ISO/IEC 27001:2022 s DORA, NIS2, GDPR, záväzkami voči zákazníkom a internými politikami.
Prevádzkový model je jednoduchý: jeden inventár požiadaviek, jeden register rizík dodávateľov, jedno Vyhlásenie o uplatniteľnosti, jeden plán ošetrenia rizík a jeden balík dôkazov pre každý kritický scenár ukončenia spolupráce.
Opatrenia ISO/IEC 27001:2022, ktoré ukotvujú plánovanie ukončenia spolupráce podľa DORA
Stratégie ukončenia spolupráce podľa DORA sú pripravené na audit vtedy, keď sa správa dodávateľov, prenositeľnosť cloudových služieb, plánovanie kontinuity a dôkazy o zálohách riadia ako jeden prepojený reťazec opatrení.
Zenith Controls od Clarysec mapuje opatrenia prílohy A ISO/IEC 27001:2022 na atribúty opatrení, auditné dôkazy a očakávania naprieč rámcami súladu. Nejde o samostatný kontrolný rámec. Je to sprievodca Clarysec pre súlad naprieč rámcami, ktorý pomáha pochopiť, ako opatrenia ISO/IEC 27001:2022 podporujú auditné, regulačné a prevádzkové výsledky.
| Opatrenie prílohy A ISO/IEC 27001:2022 | Úloha v stratégii ukončenia spolupráce | Dôkazy podľa DORA, ktoré podporuje | Zameranie audítora |
|---|---|---|---|
| A.5.19 Informačná bezpečnosť vo vzťahoch s dodávateľmi | Zavádza proces riadenia rizík dodávateľov | Klasifikácia dodávateľov, vlastníctvo závislostí, posúdenie rizík | Riadi sa riziko dodávateľov konzistentne? |
| A.5.20 Riešenie informačnej bezpečnosti v dohodách s dodávateľmi | Premieňa očakávania pri ukončení spolupráce na vynútiteľné zmluvné podmienky | Práva na ukončenie, práva na audit, podpora pri prechode, podpora pri incidentoch, vrátenie a výmaz údajov | Podporuje zmluva skutočne plán ukončenia spolupráce? |
| A.5.21 Riadenie informačnej bezpečnosti v dodávateľskom reťazci IKT | Rozširuje preverovanie na subdodávateľov a nadväzujúce závislosti | Viditeľnosť subdodávateľov, riziko v dodávateľskom reťazci, posúdenie koncentrácie | Rozumie spoločnosť skrytým závislostiam? |
| A.5.22 Monitorovanie, preskúmanie a riadenie zmien služieb dodávateľov | Udržiava riziko dodávateľa aktuálne počas zmien služby | Záznamy o preskúmaní, posúdenia zmien služby, sledovanie nápravných opatrení | Je dohľad nad dodávateľmi priebežný? |
| A.5.23 Informačná bezpečnosť pri používaní cloudových služieb | Riadi zavedenie, používanie, správu, prenositeľnosť a ukončenie používania cloudových služieb | Export údajov, výmaz, podpora migrácie, dôkazy o závislosti od dodávateľa | Dokáže spoločnosť získať údaje späť a bezpečne ich odstrániť? |
| A.5.30 Pripravenosť IKT na kontinuitu činností | Testuje, či kritické IKT služby možno obnoviť alebo nahradiť v rámci tolerancií organizácie | Plány kontinuity, ciele obnovy, náhradné opatrenia, otestované náhradné postupy | Je ukončenie spolupráce technicky uskutočniteľné počas narušenia? |
| A.8.13 Zálohovanie informácií | Poskytuje obnoviteľné údaje pre scenáre ukončenia spolupráce alebo zlyhania | Harmonogramy zálohovania, výsledky testov obnovy, kontroly integrity | Možno údaje obnoviť v rámci RTO a RPO? |
Pri stratégii ukončenia spolupráce s externým poskytovateľom IKT služieb podľa DORA má auditná stopa preukazovať, že:
- dodávateľ je klasifikovaný a prepojený s obchodnými procesmi;
- služba je posúdená z hľadiska podpory kritickej alebo dôležitej funkcie;
- riziko ukončenia spolupráce je zaznamenané so zodpovedným vlastníkom rizika;
- zmluvné doložky podporujú prechod, prístup, audit, vrátenie údajov, výmaz údajov, spoluprácu a kontinuitu;
- prenositeľnosť a interoperabilita cloudových služieb boli overené;
- zálohy a testy obnovy preukazujú obnoviteľnosť;
- dočasná náhrada alebo alternatívne spracovanie sú zdokumentované;
- výsledky testovania ukončenia spolupráce boli preskúmané, ošetrené nápravnými opatreniami a nahlásené vedeniu.
Zmluvné ustanovenia sú prvým opatrením kontinuity
Zmluva má byť prvým opatrením kontinuity, nie prekážkou kontinuity. Ak poskytovateľ môže službu rýchlo ukončiť, zdržiavať exporty, obmedziť prístup k logom, účtovať nedefinované poplatky za prechod alebo odmietnuť podporu migrácie, stratégia ukončenia spolupráce je krehká.
V Zenith Blueprint, vo fáze Uvedenie opatrení do praxe, krok 23, opatrenie 5.20, sa vysvetľuje, že dohody s dodávateľmi majú obsahovať praktické bezpečnostné požiadavky, ktoré umožňujú ukončenie spolupráce:
Kľúčové oblasti, ktoré sa zvyčajne riešia v dohodách s dodávateľmi, zahŕňajú:
✓ povinnosti zachovávať dôvernosť vrátane rozsahu, trvania a obmedzení zverejnenia tretím stranám;
✓ zodpovednosti v oblasti riadenia prístupu, napríklad kto môže pristupovať k vašim údajom, ako sa spravujú prihlasovacie údaje a aké monitorovanie je zavedené;
✓ technické a organizačné opatrenia na ochranu údajov, šifrovanie, bezpečný prenos, zálohovanie a záväzky dostupnosti;
✓ lehoty a protokoly nahlasovania incidentov, často s definovanými časovými rámcami;
✓ právo na audit vrátane frekvencie, rozsahu a prístupu k relevantným dôkazom;
✓ kontroly subdodávateľov, ktoré vyžadujú, aby dodávateľ preniesol rovnocenné bezpečnostné povinnosti na svojich nadväzujúcich partnerov;
✓ ustanovenia pri ukončení zmluvy, ako je vrátenie alebo zničenie údajov, obnova aktív a deaktivácia účtov.
Tento zoznam prepája zmluvné očakávania podľa DORA Article 30 a opatrenie A.5.20 prílohy A ISO/IEC 27001:2022.
Podniková formulácia politík Clarysec vyjadruje rovnaký bod prevádzkovo. V Supplier Dependency Risk Management Policy Supplier Dependency Risk Management Policy, v časti „Požiadavky na implementáciu“, bod 6.4.3 uvádza:
Technické náhradné riešenia: zabezpečte prenositeľnosť údajov a interoperabilitu na podporu prechodu služby, ak je to potrebné (napr. pravidelné zálohy v štandardných formátoch od poskytovateľa SaaS na umožnenie migrácie).
Tá istá politika v bode 6.8.2 vyžaduje:
Právo na podporu pri prechode (ustanovenie o pomoci pri ukončení), ak je potrebná zmena poskytovateľa, vrátane pokračovania služby počas definovaného prechodného obdobia.
Toto ustanovenie často rozhoduje o tom, či stratégia ukončenia spolupráce obstojí v audite. Mení ukončenie spolupráce z náhleho zlomu na riadený prechod.
Pre menšie subjekty Third-Party and Supplier Security Policy-sme Third-Party and Supplier Security Policy - SME, časť „Požiadavky na správu a riadenie“, bod 5.3.6 vyžaduje:
Podmienky ukončenia vrátane bezpečného vrátenia alebo zničenia údajov
Pre podnikové prostredia Third party and supplier security policy Third party and supplier security policy, časť „Požiadavky na implementáciu politiky“, bod 6.5.1.2 vyžaduje:
Vrátenie alebo certifikované zničenie všetkých informácií vo vlastníctve organizácie
Tieto požiadavky politík majú byť priamo sledovateľné k zmluvným doložkám, postupom dodávateľov, prevádzkovým príručkám ukončenia spolupráce a auditným dôkazom.
Ukončenie používania cloudových služieb: otestujte prenositeľnosť skôr, než ju budete potrebovať
Cloudové služby sú oblasťou, v ktorej sa stratégie ukončenia spolupráce podľa DORA často stávajú neurčitými. Spoločnosť predpokladá, že dokáže exportovať údaje, ale nikto neotestoval formát. Predpokladá, že výmaz prebehne, ale model uchovávania poskytovateľa zahŕňa zálohy a replikované úložiská. Predpokladá, že alternatívny poskytovateľ dokáže údaje prijať, ale schémy, integrácie identít, šifrovacie kľúče, tajomstvá, logy, rozhrania API a obmedzovanie rýchlosti požiadaviek spôsobia, že migrácia trvá dlhšie, než umožňuje tolerancia dopadu.
Opatrenie A.5.23 prílohy A ISO/IEC 27001:2022 rieši tento problém životného cyklu tým, že vyžaduje opatrenia informačnej bezpečnosti pre obstaranie, používanie, správu a ukončenie používania cloudových služieb.
Cloud Usage Policy-sme od Clarysec Cloud Usage Policy - SME, časť „Požiadavky na implementáciu politiky“, bod 6.3.4 vyžaduje:
Potvrdenie schopnosti exportu údajov pred zaradením služby (napr. na zabránenie závislosti od dodávateľa)
Bod 6.3.5 vyžaduje:
Potvrdenie postupov bezpečného výmazu pred uzavretím účtu
Tieto požiadavky patria na začiatok životného cyklu dodávateľa. Nečakajte do ukončenia zmluvy, aby ste sa pýtali, či možno údaje exportovať. Nečakajte do uzavretia účtu, aby ste sa pýtali, či existujú dôkazy o výmaze.
Praktický test ukončenia používania cloudových služieb podľa DORA má zahŕňať:
- Export reprezentatívneho súboru údajov v dohodnutom formáte.
- Overenie úplnosti, integrity, časových pečiatok, metadát a riadenia prístupu.
- Import súboru údajov do predprodukčného prostredia alebo alternatívneho nástroja.
- Potvrdenie nakladania so šifrovacími kľúčmi a rotácie tajomstiev.
- Potvrdenie exportu logov a uchovávania auditnej stopy.
- Zdokumentovanie postupov výmazu poskytovateľa vrátane uchovávania záloh a certifikácie výmazu.
- Zaznamenanie problémov, nápravných opatrení, vlastníkov a termínov.
- Aktualizáciu posúdenia rizík dodávateľa, Vyhlásenia o uplatniteľnosti a plánu ukončenia spolupráce.
Prenositeľnosť nie je prísľub z obstarávania. Je to otestovaná schopnosť.
Týždňový sprint pre plán ukončenia spolupráce podľa DORA pripravený na audit
Predstavme si platobnú inštitúciu, ktorá používa poskytovateľa SaaS na analytiku podvodov. Poskytovateľ prijíma transakčné údaje, identifikátory zákazníkov, telemetrické údaje zariadení, behaviorálne signály, pravidlá detekcie podvodov, skórovacie výstupy a poznámky k prípadom. Služba podporuje kritický proces detekcie podvodov. Spoločnosť zároveň používa cloudový dátový sklad na uchovávanie exportovaných analytických výsledkov.
CISO chce stratégiu ukončenia spolupráce s externým poskytovateľom IKT služieb podľa DORA, ktorá obstojí vo vnútornom audite aj pri dohľade. Týždňový sprint dokáže odkryť medzery a vybudovať reťazec dôkazov.
Deň 1: klasifikujte dodávateľa a definujte scenár ukončenia spolupráce
Pomocou Zenith Blueprint, vo fáze Uvedenie opatrení do praxe, krok 23, akčné úlohy pre opatrenia 5.19 až 5.37, tím začína preskúmaním a klasifikáciou portfólia dodávateľov:
Zostavte úplný zoznam súčasných dodávateľov a poskytovateľov služieb (5.19) a klasifikujte ich podľa prístupu k systémom, údajom alebo prevádzkovému riadeniu. Pri každom klasifikovanom dodávateľovi overte, že bezpečnostné očakávania sú jasne zakotvené v zmluvách (5.20), vrátane dôvernosti, prístupu, nahlasovania incidentov a povinností súladu.
Dodávateľ je klasifikovaný ako kritický, pretože podporuje kritickú alebo dôležitú funkciu, spracúva citlivé prevádzkové údaje a ovplyvňuje výsledky monitorovania transakcií.
Tím definuje tri spúšťače ukončenia spolupráce:
- Insolventnosť poskytovateľa alebo ukončenie služby.
- Závažné bezpečnostné porušenie alebo strata dôvery.
- Strategická migrácia na zníženie rizika koncentrácie.
Deň 2: vytvorte inventár požiadaviek a záznam o riziku
Tím vytvorí jeden inventár požiadaviek pokrývajúci riziká IKT tretích strán podľa DORA, dodávateľské a cloudové opatrenia ISO/IEC 27001:2022, povinnosti GDPR týkajúce sa osobných údajov, záväzky zo zmlúv so zákazníkmi a interný apetít na riziko.
Podľa GDPR spoločnosť potvrdí, či transakčné identifikátory, identifikátory zariadení, lokalizačné signály a behaviorálna analytika súvisia s identifikovanými alebo identifikovateľnými osobami. Zásady GDPR Article 5 vrátane integrity, dôvernosti, obmedzenia uchovávania a zodpovednosti sa stávajú súčasťou požiadaviek na dôkazy pri ukončení spolupráce. Ak ukončenie spolupráce zahŕňa prenos k novému poskytovateľovi, musia byť zdokumentované právny základ, účel, minimalizácia, uchovávanie, podmienky pre sprostredkovateľa a ochranné opatrenia.
Záznam o riziku obsahuje:
| Prvok rizika | Príklad záznamu |
|---|---|
| Vyhlásenie o riziku | Neschopnosť ukončiť spoluprácu s poskytovateľom analytiky podvodov v rámci tolerancie dopadu |
| Dôsledok | Oneskorená detekcia podvodov, finančná strata, porušenie regulačných požiadaviek, ujma zákazníkov |
| Pravdepodobnosť | Stredná, na základe koncentrácie u poskytovateľa a proprietárnych formátov |
| Vlastník rizika | Vedúci technológií pre oblasť finančnej kriminality |
| Ošetrenie | Dodatok k zmluve, test exportu, posúdenie alternatívneho poskytovateľa, overenie záloh, test prevádzkovej príručky |
| Schválenie zostatkového rizika | Schválenie CRO po preskúmaní dôkazov z testu a nápravných opatrení |
Deň 3: odstráňte zmluvné medzery
Právne oddelenie a obstarávanie porovnajú zmluvu s dodávateľskými doložkami Clarysec. Doplnia podporu pri prechode, pokračovanie služby počas definovaného prechodného obdobia, prístup k auditu a dôkazom, notifikáciu subdodávateľov, formát exportu údajov, certifikáciu bezpečného výmazu, spoluprácu pri incidentoch a záväzky týkajúce sa časov obnovy.
Business Continuity Policy and Disaster Recovery Policy Business Continuity Policy and Disaster Recovery Policy, časť „Požiadavky na implementáciu politiky“, bod 6.5.1 uvádza:
Zmluvy s kritickými dodávateľmi musia obsahovať povinnosti v oblasti kontinuity a záväzky časov obnovy.
Pre MSP Business Continuity Policy and Disaster Recovery Policy-sme Business Continuity Policy and Disaster Recovery Policy - SME, časť „Ošetrenie rizík a výnimky“, bod 7.2.1.4 vyžaduje, aby tímy:
zdokumentovali dočasné plány náhrady dodávateľa alebo partnera
Tento bod premieňa vyhlásenie „zmigrujeme“ na vykonateľné náhradné riešenie: ktorý poskytovateľ, ktorý interný náhradný postup, ktorý manuálny proces, ktorý výpis údajov, ktorý vlastník a ktorá schvaľovacia cesta.
Deň 4: otestujte prenositeľnosť údajov a obnoviteľnosť zo záloh
Technologický tím exportuje pravidlá detekcie podvodov, údaje prípadov, výstupy skórovania transakcií, logy, konfiguráciu, dokumentáciu API a zoznamy riadenia prístupu používateľov. Testuje, či možno údaje obnoviť alebo opätovne použiť v kontrolovanom prostredí.
Backup and Restore Policy-sme Backup and Restore Policy - SME, časť „Požiadavky na správu a riadenie“, bod 5.3.3 vyžaduje:
Testy obnovy sa vykonávajú najmenej štvrťročne a výsledky sa dokumentujú na overenie obnoviteľnosti
Podniková Backup and Restore Policy Backup and Restore Policy, časť „Uplatňovanie politiky a súlad“, bod 8.3.1 dopĺňa:
Pravidelne auditujte logy zálohovania, konfiguračné nastavenia a výsledky testov
V Zenith Blueprint, vo fáze Uvedenie opatrení do praxe, krok 19, opatrenie 8.13, Clarysec upozorňuje, prečo je to dôležité:
Testovanie obnovy je oblasť, v ktorej väčšina organizácií zlyháva. Záloha, ktorú nemožno obnoviť včas alebo vôbec, je záväzkom, nie aktívom. Plánujte pravidelné cvičenia obnovy, aj keď len čiastočné, a zdokumentujte výsledok.
Tím zistí, že exportované poznámky k prípadom neobsahujú prílohy a obmedzenia rýchlosti API spôsobujú, že úplný export je príliš pomalý pre definovaný cieľ obnovy. Problém sa zaeviduje, priradí a napraví prostredníctvom dodatku k zmluve a technickej úpravy exportu.
Deň 5: vykonajte stolové cvičenie ukončenia spolupráce a preskúmanie dôkazov
Tím vykoná stolové cvičenie: dodávateľ po významnom incidente oznámi ukončenie zmluvy o 90 dní. Prevádzka musí pokračovať v monitorovaní podvodov počas migrácie údajov.
V Zenith Blueprint, vo fáze Uvedenie opatrení do praxe, krok 23, opatrenie 5.30, Clarysec vysvetľuje štandard testovania:
Pripravenosť IKT sa začína dávno pred tým, ako dôjde k narušeniu. Zahŕňa identifikáciu kritických systémov, pochopenie ich vzájomných závislostí a ich mapovanie na obchodné procesy.
Tá istá časť dodáva:
Cieľové časy obnovy (RTO) a cieľové body obnovy (RPO) definované v pláne kontinuity činností sa musia odrážať v technických konfiguráciách, zmluvách a návrhu infraštruktúry.
Balík dôkazov obsahuje klasifikáciu dodávateľa, posúdenie rizík, zmluvné doložky, prevádzkovú príručku ukončenia spolupráce, výsledky exportu údajov, dôkazy o obnove zo zálohy, postup výmazu, posúdenie alternatívneho poskytovateľa, zápisnicu zo stolového cvičenia, evidenciu nápravných opatrení, schválenie vedením a rozhodnutie o zostatkovom riziku.
CISO teraz dokáže odpovedať predstavenstvu dôkazmi, nie optimizmom.
Súlad naprieč rámcami: jeden plán ukončenia spolupráce, viacero auditných pohľadov
Silná stratégia ukončenia spolupráce podľa DORA znižuje duplicitnú prácu na súlade v rámci očakávaní správy a riadenia podľa ISO/IEC 27001:2022, NIS2, GDPR, NIST a COBIT 2019.
| Rámec alebo predpis | Čo požaduje z pohľadu plánovania ukončenia spolupráce | Dôkazy odporúčané Clarysec |
|---|---|---|
| DORA | Udržiavať stratégie ukončenia spolupráce pre kritické alebo dôležité IKT služby, riadiť riziká tretích strán, testovať odolnosť, dokumentovať zmluvy a závislosti | Register dodávateľov, klasifikácia kritickosti, zmluvné doložky, test ukončenia spolupráce, plán prechodu, práva na audit, posúdenie rizika koncentrácie |
| NIS2 | Pre relevantné subjekty riadiť bezpečnosť dodávateľského reťazca, kontinuitu činností, zálohovanie, obnovu po havárii, krízové riadenie, riešenie incidentov a zodpovednosť v oblasti správy a riadenia | Posúdenie rizík dodávateľa, plán kontinuity, postupy reakcie na incidenty, schválenie vedením, nápravné opatrenia |
| GDPR | Chrániť osobné údaje počas prenosu, vrátenia, výmazu, migrácie a uchovávania so zodpovednosťou a primeranými technickými a organizačnými opatreniami | Mapa údajov, podmienky pre sprostredkovateľa, dôkazy o exporte, certifikácia výmazu, pravidlá uchovávania, zosúladenie riešenia porušení ochrany osobných údajov |
| ISO/IEC 27001:2022 | Prevádzkovať dodávateľské, cloudové, kontinuitné, incidentové, auditné, monitorovacie a zlepšovacie opatrenia v rámci ISMS | Vyhlásenie o uplatniteľnosti, plán ošetrenia rizík, záznam vnútorného auditu, preskúmanie vedením, zdokumentované postupy |
| NIST Cybersecurity Framework 2.0 | Riadiť externé závislosti, identifikovať dodávateľov, chrániť služby, reagovať na narušenia a obnovovať prevádzku | Inventár závislostí, záznamy rizík dodávateľov, ochranné opatrenia, postup reakcie, test obnovy, získané poznatky |
| COBIT 2019 | Preukázať správu nad sourcingom, výkonnosťou dodávateľov, rizikom, kontinuitou služieb, uistením a súladom | Rozhodnutia v oblasti správy a riadenia, vlastníctvo, KPI, dohľad nad dodávateľmi, dôkazy kontinuity, správy o uistení |
Dôležité nie je, že jeden rámec nahrádza druhý. Hodnota spočíva v tom, že dobre vybudovaný ISMS umožňuje organizácii vytvoriť dôkazy raz a inteligentne ich opätovne použiť.
Zenith Controls od Clarysec pomáha tímom pripraviť sa na tieto auditné pohľady tým, že prepája opatrenia ISO/IEC 27001:2022 s auditnými dôkazmi a očakávaniami naprieč rámcami.
| Auditný pohľad | Pravdepodobná auditná otázka | Dôkazy, ktoré zvyčajne postačujú |
|---|---|---|
| Audítor ISO/IEC 27001:2022 | Je ukončenie spolupráce s dodávateľom a ukončenie používania cloudových služieb riadené v rámci ISMS, posúdenia rizík, SoA a programu vnútorného auditu? | Rozsah ISMS, posúdenie rizík, SoA, postup pre dodávateľov, postup ukončenia používania cloudových služieb, výsledky vnútorného auditu, opatrenia z preskúmania vedením |
| Orgán dohľadu podľa DORA alebo interný audit súladu s DORA | Dokážete ukončiť spoluprácu s kritickým poskytovateľom IKT služieb bez neprijateľného prerušenia, straty údajov alebo porušenia regulačných požiadaviek? | Posúdenie kritickosti, register dodávateľov DORA, stratégia ukončenia spolupráce, zmluvné doložky, test prechodu, posúdenie koncentrácie, evidencia nápravných opatrení |
| Posudzovateľ orientovaný na NIST | Máte riadené a identifikované externé závislosti, chránené kritické služby a otestované schopnosti reakcie a obnovy? | Inventár závislostí, riadenie prístupu, monitorovanie, eskalácia incidentov, test obnovy, získané poznatky |
| Audítor COBIT 2019 alebo ISACA | Je ukončenie spolupráce s dodávateľom riadené, vlastnené, merané a podložené uistením prostredníctvom cieľov riadenia, ako sú APO10 Managed Vendors a DSS04 Managed Continuity? | RACI, schválenie vedením, KPI, preskúmanie výkonnosti dodávateľa, dôkazy uistenia, sledovanie problémov |
| Audítor ochrany súkromia | Možno osobné údaje vrátiť, migrovať, obmedziť, vymazať alebo bezpečne uchovávať podľa povinností GDPR? | Register spracúvania údajov, doložky pre sprostredkovateľa, dôkazy o exporte, potvrdenie o výmaze, odôvodnenie uchovávania, pracovný tok riešenia porušenia ochrany osobných údajov |
Bežným auditným zlyhaním je fragmentácia dôkazov. Vlastník dodávateľa má zmluvu. IT má logy zálohovania. Právne oddelenie má zmluvu o spracúvaní osobných údajov. Funkcia riadenia rizík má posúdenie. Funkcia súladu má regulačné mapovanie. Nikto nemá celý príbeh.
Clarysec to rieši navrhnutím balíka dôkazov okolo scenára ukončenia spolupráce. Každý dokument odpovedá na jednu auditnú otázku: ktorá služba sa ukončuje, prečo je kritická, aké údaje a systémy sú dotknuté, kto vlastní riziko, aké zmluvné práva umožňujú ukončenie spolupráce, aké technické mechanizmy umožňujú migráciu, aké opatrenia kontinuity udržia činnosť organizácie, ktorý test preukazuje funkčnosť plánu, aké problémy boli napravené a kto schválil zostatkové riziko.
Kontrolný zoznam Clarysec pre stratégiu ukončenia spolupráce podľa DORA
Použite tento kontrolný zoznam na premenu stratégie ukončenia spolupráce s externým poskytovateľom IKT služieb podľa DORA z dokumentu na auditovateľný súbor opatrení.
| Oblasť opatrenia | Minimálne očakávanie | Dôkazy na uchovanie |
|---|---|---|
| Klasifikácia dodávateľa | Identifikovať, či dodávateľ podporuje kritické alebo dôležité funkcie | Register dodávateľov, rozhodnutie o kritickosti, mapa závislostí |
| Zmluvná vynútiteľnosť | Zahrnúť podporu pri prechode, export údajov, výmaz, audit, spoluprácu pri incidentoch a povinnosti kontinuity | Zmluvné doložky, dodatky, právne preskúmanie |
| Prenositeľnosť cloudových služieb | Potvrdiť schopnosť exportu pred zaradením služby a pravidelne počas prevádzky | Výsledky testov exportu, dokumentácia formátu údajov, migračné poznámky |
| Ochrana údajov | Riešiť vrátenie, výmaz, uchovávanie, prenos osobných údajov a povinnosti sprostredkovateľa | Mapa údajov, DPA, certifikácia výmazu, rozhodnutie o uchovávaní |
| Zálohovanie a obnova | Testovať obnoviteľnosť voči RTO a RPO | Logy obnovy, správa o teste, záznam nápravných opatrení |
| Plánovanie náhrady | Definovať alternatívneho poskytovateľa, manuálny náhradný postup alebo interný proces | Plán náhrady, zápisnica zo stolového cvičenia, zoznam vlastníkov |
| Správa a riadenie | Priradiť vlastníka rizika a schválenie vedením | Záznam o riziku, akceptácia zostatkového rizika, zápisnica z preskúmania vedením |
| Pripravenosť na audit | Prepojiť politiky, opatrenia, zmluvy, testy a nápravné opatrenia | Index balíka dôkazov, správa z vnútorného auditu, nástroj na sledovanie problémov |
Premeňte plánovanie ukončenia spolupráce na opatrenie odolnosti pripravené pre predstavenstvo
Ak je vaša stratégia ukončenia spolupráce podľa DORA len zmluvnou doložkou, nie je pripravená. Ak vaša záloha nikdy nebola obnovená, nie je pripravená. Ak váš poskytovateľ cloudových služieb dokáže exportovať údaje, ale nikto neoveril úplnosť, nie je pripravená. Ak predstavenstvo nevidí rozhodnutie o zostatkovom riziku, nie je pripravená.
Clarysec pomáha CISO, manažérom súladu, audítorom a vlastníkom organizácie budovať stratégie ukončenia spolupráce s externými poskytovateľmi IKT služieb podľa DORA, ktoré sú praktické, proporcionálne a pripravené na audit. Kombinujeme Zenith Blueprint Zenith Blueprint pre postupnosť implementácie, Zenith Controls Zenith Controls pre mapovanie súladu naprieč rámcami a šablóny politík, ako sú Supplier Dependency Risk Management Policy Supplier Dependency Risk Management Policy, Cloud Usage Policy - SME Cloud Usage Policy - SME, Third-Party and Supplier Security Policy - SME Third-Party and Supplier Security Policy - SME a Business Continuity Policy and Disaster Recovery Policy Business Continuity Policy and Disaster Recovery Policy, aby vznikol úplný reťazec od opatrenia k dôkazom.
Váš ďalší krok je jednoduchý a vysoko hodnotný: vyberte si tento týždeň jedného kritického dodávateľa IKT. Klasifikujte ho, preskúmajte jeho zmluvu, otestujte jeden export údajov, overte jednu obnovu, zdokumentujte jeden plán náhrady a vytvorte jeden balík dôkazov.
Toto jedno cvičenie ukáže, či je vaša stratégia ukončenia spolupráce podľa DORA skutočnou schopnosťou odolnosti alebo len dokumentom čakajúcim na zlyhanie pri audite.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
