Отвъд възстановяването: ръководство за CISO за изграждане на реална оперативна устойчивост с ISO 27001:2022
Мария, CISO в разрастваща се финтех компания, представя показателите за риска за третото тримесечие пред съвета на директорите. Слайдовете ѝ са ясни и показват намаляващ брой уязвимости и успешни фишинг симулации. Изведнъж телефонът ѝ започва настойчиво да вибрира. Приоритетно предупреждение от ръководителя на SOC: „Открит е рансъмуер. Разпространява се странично. Засегнати са основни банкови услуги.“
Атмосферата в залата се променя от уверена в напрегната. Главният изпълнителен директор задава неизбежния въпрос: „Колко бързо можем да възстановим от резервно копие?“
Мария знае, че имат резервни копия. Те се тестват на тримесечна база. Но докато екипът ѝ се подготвя за аварийно превключване към резервен ресурс, в съзнанието ѝ нахлуват още десетина въпроса. Сигурни ли са средите за възстановяване, или просто ще заразят повторно възстановените системи? Работи ли все още журнализирането на инциденти на резервната площадка, или сме без видимост? Кой има аварийни администраторски права и проследяват ли се действията му? В бързането услугите да бъдат върнати онлайн, няма ли някой да изпрати чувствителни клиентски данни от личен акаунт?
Това е критичният момент, в който традиционният план за аварийно възстановяване се проваля и реалната оперативна устойчивост се подлага на изпитание. Не става дума само да се възстановите; става дума да се възстановите със запазена целостност. Това е фундаменталната промяна в мисленето, която изисква ISO/IEC 27001:2022: преход от обикновено възстановяване към поддържане на цялостно и непрекъснато състояние на сигурността дори в разгара на хаоса.
Съвременното определение за устойчивост: сигурността не спира
В продължение на години планирането на непрекъснатостта на дейността беше силно фокусирано върху целевото време за възстановяване (RTO) и целевата точка на възстановяване (RPO). Макар да са съществени, тези показатели разказват само част от историята. Те измерват скоростта и загубата на данни, но не измерват състоянието на сигурността по време на самата криза.
ISO/IEC 27001:2022, особено чрез контролите от Приложение A, извежда разговора на друго ниво. Стандартът признава, че прекъсването не е бутон „пауза“ за информационната сигурност. Всъщност хаосът на кризата е именно моментът, в който контролите за сигурност са най-важни. Нападателите процъфтяват в объркване, като експлоатират точно онези обходни процедури и аварийни действия, предназначени да възстановят услугата.
Устойчивостта в ISO/IEC 27001:2022 означава поддържане на информационна сигурност при прекъсване (контрол 5.29 от Приложение A), надеждна ИКТ готовност за непрекъснатост на дейността (5.30) и надеждно резервно копиране на информация (8.13). Целта е да се гарантира, че реакцията ви не създава нови и по-опасни уязвимости. Както е описано в Clarysec Zenith Blueprint: 30-стъпкова пътна карта за одитори Zenith Blueprint, „одиторите ще търсят съгласуваност не само с политиката, но и с реалността“. Точно тук повечето организации се провалят — те планират непрекъснатост на работата, но не и поддържане на съответствие в хаоса.
Основата: защо устойчивостта започва с контекст, а не с контроли
Преди да можете ефективно да внедрите конкретни контроли за устойчивост, трябва да изградите стабилна система за управление на информационната сигурност (СУИС). Много организации се провалят именно тук, като преминават директно към Приложение A, без да са положили необходимата основа.
Zenith Blueprint подчертава, че трябва да се започне с основните клаузи за СУИС, тъй като тази фундаментална работа е основата на устойчивостта. Процесът започва с разбиране на уникалната среда на организацията:
- Клауза 4: Контекст на организацията: Разбиране на контекста на организацията, включително вътрешните и външните въпроси и изискванията на заинтересованите страни, както и определяне на обхвата на СУИС.
- Клауза 5: Лидерство: Осигуряване на ангажираност на висшето ръководство, утвърждаване на политика за информационна сигурност и определяне на организационните роли и отговорности.
- Клауза 6: Планиране: Провеждане на задълбочена оценка на риска и планиране на третирането на риска, както и определяне на ясни цели за информационна сигурност.
За финтех компанията на Мария задълбоченият анализ по клауза 4 би идентифицирал регулаторния натиск от DORA и NIS2 като ключови външни фактори. Оценка на риска по клауза 6 би моделирала точния сценарий с рансъмуер, пред който тя е изправена в момента, като подчертае риска от компрометирани среди за възстановяване и недостатъчно журнализиране по време на инцидент. Без този контекст всеки план за устойчивост е просто изстрел в тъмното.
Двата стълба на оперативната устойчивост в ISO/IEC 27001:2022
В рамката на ISO/IEC 27001:2022 два контрола от Приложение A се открояват като стълбове на оперативната устойчивост: резервно копиране на информация (8.13) и информационна сигурност при прекъсване (5.29).
Контрол 8.13: резервно копиране на информация — основната предпазна мрежа
Това е контролът, за който всички смятат, че вече са го покрили. Но действително ефективната стратегия за резервни копия е повече от копиране на файлове. Тя е коригиращ контрол, фокусиран върху целостността и наличността, и е тясно свързана с множество други контроли.
Атрибути: коригиращ; целостност, наличност; възстановяване; непрекъснатост; защита.
Оперативна способност: непрекъснатост.
Домейн на сигурността: защита.
Одиторски поглед: Одиторът ще изисква повече от отговор „да“ на въпроса „Имате ли резервни копия?“. Той ще поиска журнали, доказващи, че съществуват скорошни резервни копия, доказателства, че тестовете за възстановяване са успешни, и доказателства, че носителите за резервни копия са криптирани, съхраняват се сигурно и обхващат всички критични активи, определени в инвентара ви.
Сценарий: Система е изтрита от рансъмуер или поради критична грешка в конфигурацията. Способността ви да възстановите със запазена целостност зависи от зряла стратегия за резервни копия. Одиторите ще проверят дали тази стратегия не е изолирана, а е свързана с други критични контроли:
- 5.9 Инвентар на информацията и други свързани активи: Не можете да създавате резервни копия на нещо, за което не знаете, че притежавате. Пълният инвентар не подлежи на компромис.
- 8.7 Защита от зловреден софтуер: Резервните копия трябва да бъдат изолирани и защитени от същия рансъмуер, срещу който са предназначени да служат. Това включва използване на неизменяемо съхранение или изолирани копия.
- 5.31 Правни, нормативни, регулаторни и договорни изисквания: Съобразени ли са сроковете за съхранение на резервни копия и местата за съхранение със законите за местонахождение на данните и договорните задължения?
- 5.33 Защита на записите: Отговарят ли резервните ви копия на изискванията за съхранение и поверителност за лична информация (PII), финансови записи или други регулирани данни?
Контрол 5.29: информационна сигурност при прекъсване — пазителят на целостността
Това е контролът, който отличава съответстваща СУИС от устойчива СУИС. Той директно адресира критичните въпроси, които тревожат Мария по време на кризата: как поддържаме сигурността, когато основните ни инструменти и процеси са недостъпни? Контрол 5.29 изисква мерките за сигурност да останат планирани и ефективни през цялото прекъсващо събитие.
Атрибути: превантивен, коригиращ; защита, реагиране; поверителност, целостност, наличност.
Оперативна способност: непрекъснатост.
Домейн на сигурността: защита, устойчивост.
Одиторски поглед: Одиторите преглеждат плановете за непрекъснатост на дейността и аварийно възстановяване специално за доказателства, че съображенията за сигурност са включени. Те проверяват конфигурациите за сигурност на алтернативните площадки, потвърждават, че журнализирането и контролите на достъпа се поддържат, и разглеждат подробно всички резервни процеси за слабости в сигурността, а не само за способността им да възстановят услугата.
Сценарий: Основният ви център за данни е офлайн и премествате операциите към резервна площадка. Одиторите очакват да видят доказателства — доклади от посещения на място, конфигурационни файлове, журнали за достъп — че вторичната площадка отговаря на основните ви изисквания за сигурност. Разшири ли аварийният ви преход към дистанционна работа защитата на крайните точки и сигурния достъп до всички устройства? Документирахте ли решенията за временно облекчаване и последващо възстановяване на контролите?
Zenith Blueprint улавя същността му прецизно: „Същественото е, че сигурността не спира, докато системите се възстановяват. Контролите може да променят формата си, но целта остава същата: информацията да бъде защитена дори под натиск.“ Този контрол ви принуждава да планирате за сложната реалност на кризата и е тясно свързан с други контроли:
- 5.30 ИКТ готовност за непрекъснатост на дейността: Гарантира, че техническият план за възстановяване не пренебрегва плана за сигурност.
- 8.16 Дейности по мониторинг: Изисква да имате начин да поддържате видимост дори когато основните инструменти за мониторинг са офлайн.
- 5.24 Планиране и подготовка за управление на инциденти по информационна сигурност: Екипите за кризи и непрекъснатост трябва да работят паралелно, като се гарантира, че осведомеността за реагиране при инциденти се поддържа по време на прекъсването.
- 5.28 Събиране на доказателства: Гарантира, че в бързането да възстановите услугата няма да унищожите ключови форензични доказателства, необходими за разследване и регулаторно докладване.
Практическо ръководство за внедряване на устойчива среда, подлежаща на одит
Превръщането на тези контроли от теория в практика изисква ясни, приложими политики и процедури. Шаблоните за политики на Clarysec са разработени така, че да вградят тези принципи директно във вашата СУИС. Например нашата Политика за резервно копиране и възстановяване Политика за резервно копиране и възстановяване предоставя рамка, която надхвърля обикновените графици за резервно копиране:
„Политиката прилага контролите на ISO/IEC 27001:2022, свързани със събиране на доказателства (5.28), устойчивост при прекъсване (5.29), оперативно възстановяване (8.13) и изтриване на информация (8.10), и се съпоставя с добри практики от ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, GDPR, DORA и NIS2.“
Този цялостен подход превръща устойчивостта от абстрактно понятие в набор от оперативни задачи, които могат да бъдат одитирани.
Практически контролен списък: одит на стратегията ви за резервни копия и устойчивост
Използвайте този контролен списък, подкрепен от цялостна политика, за да подготвите доказателствата, които одиторът ще изиска.
| Одиторски въпрос | Референция към контрол | Насоки от политиката на Clarysec | Доказателства за подготовка |
|---|---|---|---|
| Съгласуван ли е обхватът на резервните копия с вашия анализ на въздействието върху дейността (BIA) и инвентар на активите? | 8.13, 5.9 | Политиката изисква графикът за резервно копиране да бъде свързан с класификацията по критичност на информационните активи. | Инвентар на активите с оценки за критичност; конфигурация за резервно копиране, показваща приоритизирани системи. |
| Провеждат ли се редовно тестове за възстановяване и документират ли се резултатите? | 8.13, 9.2 | Политиката определя минимална честота на тестване и изисква създаване на доклад от теста, включително показатели за време до възстановяване и проверки на целостността на данните. | Планове и доклади от тестове за възстановяване за последните 12 месеца; записи за предприети коригиращи действия. |
| Как са защитени резервните копия от рансъмуер? | 8.13, 8.7 | Политиката определя изисквания за неизменяемо съхранение, изолирани копия или изолирани мрежи за резервни копия, съгласувани с контролите за защита от зловреден софтуер. | Мрежови схеми; конфигурационни данни за хранилището за резервни копия; сканирания за уязвимости на средата за резервни копия. |
| Поддържат ли се контролите за сигурност по време на операция по възстановяване? | 5.29, 8.16 | Политиката посочва необходимостта от сигурни среди за възстановяване и продължаващо журнализиране, като гарантира съгласуваност с плана за реагиране при инциденти на организацията. | План за реагиране при инциденти; документация на сигурната „sandbox“ среда за възстановяване; журнали от скорошен тест за възстановяване. |
| Съгласувани ли са сроковете за съхранение на резервни копия със законите за защита на данните? | 8.13, 5.34, 8.10 | Политиката изисква правилата за съхранение на резервни копия да съответстват на графика за съхранение на данни, за да се избегне безсрочно съхранение на лична информация (PII), в подкрепа на правото на изтриване по GDPR. | График за съхранение на данни; конфигурации на задачи за резервно копиране, показващи срокове за съхранение; процедури за изтриване на данни от резервни копия. |
Императивът за кръстосано съответствие: съпоставяне на устойчивостта с DORA, NIS2 и отвъд тях
За организациите в критични сектори устойчивостта не е просто добра практика по ISO/IEC 27001:2022; тя е правно задължение. Регулации като Регламента за оперативна устойчивост на цифровия сектор (DORA) и Директивата NIS2 поставят огромен акцент върху способността за издържане и възстановяване след ИКТ прекъсвания.
За щастие работата, която извършвате за ISO/IEC 27001:2022, ви дава силна преднина. Clarysec Zenith Controls: ръководство за кръстосано съответствие Zenith Controls е разработено, за да създава ясни таблици за съпоставяне, които демонстрират тази съгласуваност пред одитори и регулатори. Проактивната документация показва, че управлявате сигурността в пълния ѝ правен контекст.
Нашите политики са изградени с тази цел. Политика за защита на данните и поверителност Политика за защита на данните и поверителност например изрично посочва ролята си за укрепване на съответствието с DORA и NIS2 наред с ISO/IEC 27001:2022.
Тази таблица за съпоставяне показва как основните контроли за устойчивост удовлетворяват изискванията в няколко основни рамки.
| Рамка | Ключови клаузи/членове | Как се съпоставят контролите за устойчивост (5.29, 8.13) | Очаквания при одит |
|---|---|---|---|
| GDPR | Art. 32, 34, 5(1)(f), 17(1) | Защитата на данните продължава под натиск; системите за резервни копия трябва да поддържат възстановяване и права на изтриване; уведомяване за нарушения се изисква при уязвимости, възникнали по време на кризи. | Преглед на журнали за резервни копия, тестове за възстановяване, доказателства за изтриване на данни от резервни копия и журнали за инциденти по време на прекъсване. |
| NIS2 | Art. 21(2)(d), 21(2)(f), 21(2)(h), 23 | Оперативната устойчивост не подлежи на компромис; контролите трябва да гарантират непрекъснатост на дейността и валидност на резервните копия; кризисното управление трябва да запази информацията защитена. | Подробен преглед на планове за непрекъснатост на дейността, графици за резервно копиране, доказателства, че контролите за резервни копия работят според изискванията, и доклади за обработване на инциденти. |
| DORA | Art. 10(1), 11(1), 15(3), 17, 18 | Изисква се задължително тестване на устойчивостта с кръстосана препратка към обработването на инциденти, възстановяването от резервни копия и контролите за доставчици на ИКТ услуги. | Одит на упражнения за устойчивост, журнали от възстановяване на резервни копия, клаузи за възстановяване на данни при доставчици и доклади за инциденти. |
| COBIT 2019 | DSS04.02, DSS04, DSS01, APO12 | Непрекъснатостта на дейността и управлението на риска трябва да бъдат взаимно свързани; способностите за резервно копиране и възстановяване се доказват чрез показатели, журнали и цикли на непрекъснато подобрение. | Одит на прегледи на непрекъснатостта, показатели за резултатността на резервните копия, журнали и записи за ремедиация и подобрения. |
| NIST SP 800-53 | CP-9, CP-10, MP-5, SI-12 | Решенията за резервни копия и реагирането при инциденти са основни контроли за възстановяване; журнализирането и тестовете за възстановяване са задължителни за доказване на способност. | Проверка на способностите за възстановяване, сигурността на резервните копия, управлението на съхранението и процедурите за обработване на инциденти. |
Като изграждате своята СУИС около стабилната рамка на ISO/IEC 27001:2022, едновременно изграждате и защитима позиция спрямо тези други строги регулации.
През погледа на одитора: как ще бъде тествана вашата устойчивост
Одиторите са обучени да гледат отвъд политиките и да търсят доказателства за внедряване. Когато става дума за устойчивост, те искат да видят доказателства за дисциплина под натиск. Одитът на вашите способности за устойчивост ще бъде многоаспектен, като различните одитори ще се фокусират върху различни видове доказателства.
| Призма на одитора (рамка) | Ключова област на фокус | Видове изисквани доказателства |
|---|---|---|
| ISO/IEC 27001:2022 / 19011 | Интегриране на сигурността в плановете за непрекъснатост на дейността и аварийно възстановяване (BC/DR) | Преглед на документацията за BC/DR, за да се потвърди, че съображенията за сигурност са вградени, а не добавени формално. Проверка, че алтернативните площадки имат еквивалентни контроли за сигурност. |
| COBIT 2019 (DSS04) | Непрекъснато подобрение и преглед след инцидент | Разглеждане на доклади след действия от реални прекъсвания или упражнения. Фокусът е върху това дали пропуските в сигурността, установени по време на събитието, са документирани и отстранени. |
| NIST SP 800-53A (CP-10) | Валидиране на възстановяването и възстановяването на работното състояние | Тестване по сценарии чрез настолни упражнения или практически учения. Одиторите оценяват способността на организацията да поддържа контролите за сигурност по време на процеса на възстановяване. |
| ISACA ITAF | Документирано приемане на риска | Документация и преглед на решенията за приемане на риска, взети по време на прекъсване. Доказателствата трябва да са в регистъра на риска или в плана за непрекъснатост на дейността, с ясна оторизация. |
Чести слабости: къде плановете за устойчивост се провалят на практика
Одитните констатации на Clarysec показват повтарящи се слабости, които подкопават дори най-добре написаните планове. Избягвайте тези чести капани:
- Ръчните резервни процеси нямат достатъчна сигурност. Когато системите спрат, служителите се връщат към електронни таблици и имейл. Тези ръчни процеси често нямат физическата или логическата сигурност на основните системи.
- Решение: Интегрирайте физическа защита (заключени шкафове, журнали за достъп) и логически контроли (криптирани файлове, сигурни комуникации) в кризисните протоколи за ръчни обходни процедури.
- Алтернативните площадки не са напълно конфигурирани. Резервният център за данни има сървъри и данни, но може да няма еквивалентни правила на защитната стена, агенти за журнализиране или интеграции за контрол на достъпа.
- Решение: Документирайте еквивалентността на контролите за сигурност между основната и вторичната площадка. Провеждайте редовни технически одити на резервната площадка и включвайте представители по сигурността във всички упражнения за аварийно превключване.
- Тестовете за възстановяване са непълни или ad hoc. Организациите тестват дали даден сървър може да бъде възстановен, но не проверяват дали възстановеното приложение е сигурно, журнализирано и работи правилно под натоварване.
- Решение: Направете цялостните тестове за възстановяване от резервни копия, включително валидиране на сигурността, задължителна част от ученията за инциденти и годишните одитни прегледи.
- Защитата на личните данни в резервните копия се пренебрегва. Резервните копия могат да се превърнат в риск за съответствието, като съхраняват данни, които е трябвало да бъдат изтрити съгласно правото на изтриване по GDPR.
- Решение: Съгласувайте процедурите за съхранение и изтриване на резервни копия с политиките си за защита на личните данни. Уверете се, че имате документиран процес за изтриване на конкретни данни от набори с резервни копия, когато това се изисква по закон.
От съответстващи към устойчиви: изграждане на култура на непрекъснато подобрение
Постигането на устойчивост не е еднократен проект, който приключва със сертификация. То е постоянен ангажимент за подобрение, заложен в клауза 10 на ISO/IEC 27001:2022. Истински устойчивата организация е тази, която се учи от всеки инцидент, всеки предотвратен инцидент и всяка одитна констатация.
Това изисква преминаване отвъд реактивните поправки. Zenith Blueprint препоръчва непрекъснатото подобрение да бъде вградено в организационната култура чрез създаване на канали, по които служителите да предлагат подобрения в сигурността, провеждане на проактивни оценки на риска при значителни промени и извършване на задълбочени прегледи след инцидент за извличане на научените уроци.
Освен това контрол 5.35 (независим преглед на информационната сигурност) има ключова роля. Поканата към независима страна да прегледа вашата СУИС предоставя безпристрастна перспектива, която може да разкрие слепи петна, пропуснати от вътрешния екип. Както убедително заявява Zenith Blueprint: „…това, което отличава една съответстваща СУИС от истински устойчива такава, е следното: готовността да се задават трудни въпроси и да се слуша, когато отговорите са неудобни.“
Следващата ви стъпка: изграждане на непоклатима СУИС
Кризата на Мария подчертава универсална истина: прекъсването е неизбежно. Независимо дали става дума за рансъмуер, природно бедствие или отказ на критичен доставчик, организацията ви ще бъде подложена на изпитание. Въпросът не е дали, а как ще реагирате. Ще се възстановите ли просто, или ще реагирате устойчиво?
Изграждането на СУИС, която поддържа целостността под натиск, изисква стратегически и цялостен подход. То започва със стабилна основа, включва дълбоко взаимосвързани контроли и се развива чрез култура на непрекъснато подобрение. Не чакайте реално прекъсване да разкрие пропуските във вашата стратегия.
Готови ли сте да изградите СУИС, която не е само съответстваща, а наистина непоклатима?
- Изтеглете Clarysec Zenith Blueprint: 30-стъпкова пътна карта за одитори, за да ръководите внедряването си от начало до край.
- Използвайте нашите цялостни шаблони за политики, като Политика за резервно копиране и възстановяване, за да превърнете стандартите в конкретни действия, подлежащи на одит.
- Използвайте Zenith Controls: ръководство за кръстосано съответствие, за да гарантирате, че усилията ви отговарят на строгите изисквания на ISO/IEC 27001:2022, DORA и NIS2.
Свържете се с нас още днес за безплатна оценка на устойчивостта и позволете на експертите на Clarysec да ви помогнат да изградите СУИС, която работи надеждно под натиск.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
