Δοκιμές επαναφοράς με ετοιμότητα ελέγχου για ISO 27001, NIS2 και DORA

Είναι 07:40 το πρωί μιας Δευτέρας και η Sarah, η Υπεύθυνη Ασφάλειας Πληροφοριών μιας ταχέως αναπτυσσόμενης εταιρείας χρηματοοικονομικής τεχνολογίας, παρακολουθεί μια κρίση να εξελίσσεται σε πραγματικό χρόνο. Ο Οικονομικός Διευθυντής δεν μπορεί να ανοίξει την πλατφόρμα έγκρισης πληρωμών. Το γραφείο υποστήριξης θεωρεί ότι πρόκειται για ζήτημα αποθηκευτικού χώρου. Η ομάδα υποδομών υποψιάζεται ransomware, επειδή αρκετοί κοινόχρηστοι φάκελοι εμφανίζουν πλέον κρυπτογραφημένα ονόματα αρχείων. Ο Διευθύνων Σύμβουλος θέλει να μάθει αν η μισθοδοσία είναι ασφαλής. Το Νομικό Τμήμα ρωτά αν πρέπει να ενημερωθούν οι ρυθμιστικές αρχές.

Η Sarah ανοίγει τον πίνακα ελέγχου αντιγράφων ασφαλείας. Είναι γεμάτος πράσινα σημάδια ελέγχου.

Αυτό θα έπρεπε να είναι καθησυχαστικό, αλλά δεν είναι. Μια επιτυχής εργασία αντιγράφου ασφαλείας δεν αποτελεί απόδειξη επιτυχούς επαναφοράς. Είναι σαν να βλέπεις έναν πυροσβεστήρα στον τοίχο χωρίς να γνωρίζεις αν είναι γεμάτος, προσβάσιμος και χρησιμοποιήσιμος υπό πίεση.

Η εταιρεία της Sarah εμπίπτει στο πεδίο εφαρμογής του ISO 27001:2022, αντιμετωπίζεται ως σημαντική οντότητα βάσει NIS2 και υπόκειται στο DORA ως χρηματοοικονομική οντότητα. Το ερώτημα δεν είναι πλέον αν ο οργανισμός λαμβάνει αντίγραφα ασφαλείας. Το ερώτημα είναι αν μπορεί να επαναφέρει τα σωστά συστήματα, στο σωστό χρονικό σημείο, εντός εγκεκριμένων Στόχων Χρόνου Ανάκαμψης και Στόχων Σημείου Ανάκαμψης, με τεκμήρια επαρκώς ισχυρά για ελεγκτή, ρυθμιστική αρχή, πελάτη, ασφαλιστή και Διοικητικό Συμβούλιο.

Εκεί αποτυγχάνουν πολλά προγράμματα αντιγράφων ασφαλείας. Διαθέτουν εργασίες αντιγράφων ασφαλείας. Διαθέτουν πίνακες ελέγχου. Διαθέτουν στιγμιότυπα. Ενδέχεται ακόμη και να διαθέτουν αποθήκευση στο νέφος. Όταν όμως ασκηθεί πίεση, δεν μπορούν να αποδείξουν ότι τα κρίσιμα συστήματα είναι ανακτήσιμα, ότι οι δοκιμές επαναφοράς πραγματοποιήθηκαν, ότι οι αποτυχημένες δοκιμές ενεργοποίησαν διορθωτικές ενέργειες και ότι τα τεκμήρια χαρτογραφούνται καθαρά στις προσδοκίες των ISO 27001:2022, NIS2, DORA, NIST και COBIT 2019.

Οι δοκιμές αντιγράφων ασφαλείας και επαναφοράς έχουν καταστεί ζήτημα λειτουργικής ανθεκτικότητας σε επίπεδο Διοικητικού Συμβουλίου. Το NIS2 αυξάνει τις προσδοκίες για διαχείριση κινδύνων κυβερνοασφάλειας και επιχειρησιακή συνέχεια. Το DORA καθιστά την ψηφιακή επιχειρησιακή ανθεκτικότητα των ΤΠΕ βασική υποχρέωση για τις χρηματοοικονομικές οντότητες και τους κρίσιμους παρόχους υπηρεσιών ΤΠΕ. Το ISO 27001:2022 παρέχει τη δομή του συστήματος διαχείρισης για το πεδίο εφαρμογής, τον κίνδυνο, την επιλογή ελέγχων, τα τεκμήρια, τον έλεγχο και τη συνεχή βελτίωση.

Η πρακτική πρόκληση είναι η μετατροπή μιας τεχνικής δοκιμής επαναφοράς σε ελεγκτικά τεκμήρια.

Το αντίγραφο ασφαλείας δεν αποτελεί τεκμήριο έως ότου αποδειχθεί η επαναφορά

Μια εργασία αντιγράφου ασφαλείας που ολοκληρώνεται επιτυχώς είναι μόνο μερική ένδειξη. Δείχνει ότι τα δεδομένα αντιγράφηκαν κάπου. Δεν αποδεικνύει ότι τα δεδομένα μπορούν να επαναφερθούν, ότι οι εξαρτήσεις εφαρμογών είναι ακέραιες, ότι τα κλειδιά κρυπτογράφησης είναι διαθέσιμα, ότι οι υπηρεσίες ταυτότητας εξακολουθούν να λειτουργούν ή ότι το ανακτημένο σύστημα υποστηρίζει πραγματικές επιχειρησιακές λειτουργίες.

Οι ελεγκτές το γνωρίζουν. Οι ρυθμιστικές αρχές το γνωρίζουν. Οι επιτιθέμενοι το γνωρίζουν.

Ένας τεχνικά ώριμος ελεγκτής δεν θα σταματήσει σε ένα στιγμιότυπο οθόνης που δείχνει ποσοστό επιτυχίας 97 τοις εκατό για εργασίες αντιγράφων ασφαλείας. Θα ρωτήσει:

• Ποια συστήματα είναι κρίσιμα ή υψηλού αντικτύπου;
• Ποια RTO και RPO ισχύουν για κάθε σύστημα;
• Πότε πραγματοποιήθηκε η τελευταία δοκιμή επαναφοράς;
• Ήταν η δοκιμή πλήρης, μερική, σε επίπεδο εφαρμογής, σε επίπεδο βάσης δεδομένων ή σε επίπεδο αρχείου;
• Ποιος επικύρωσε την επιχειρησιακή διαδικασία μετά την επαναφορά;
• Καταγράφηκαν οι αποτυχίες ως μη συμμορφώσεις ή ως ενέργειες βελτίωσης;
• Για πόσο χρονικό διάστημα διατηρούνται τα αρχεία καταγραφής και τα αρχεία δοκιμών επαναφοράς;
• Είναι τα αντίγραφα ασφαλείας διαχωρισμένα σε διαφορετικές τοποθεσίες;
• Πώς χαρτογραφούνται τα τεκμήρια στο Μητρώο Κινδύνων και στη Δήλωση Εφαρμοσιμότητας;

Γι’ αυτό η γλώσσα πολιτικής της Clarysec είναι σκόπιμα άμεση. Η Πολιτική Αντιγράφων Ασφαλείας και Επαναφοράς για ΜΜΕ [BRP-SME], στην ενότητα Απαιτήσεις διακυβέρνησης, ρήτρα πολιτικής 5.3.3, απαιτεί:

Οι δοκιμές επαναφοράς διενεργούνται τουλάχιστον ανά τρίμηνο και τα αποτελέσματα τεκμηριώνονται για την επαλήθευση της δυνατότητας ανάκτησης

Αυτή η μία πρόταση αλλάζει τη συζήτηση στον έλεγχο. Μετακινεί τον οργανισμό από το «έχουμε αντίγραφα ασφαλείας» στο «επαληθεύουμε τη δυνατότητα ανάκτησης σε καθορισμένη περιοδικότητα και διατηρούμε τα αποτελέσματα».

Η ίδια Πολιτική Αντιγράφων Ασφαλείας και Επαναφοράς για ΜΜΕ, στην ενότητα Εφαρμογή και συμμόρφωση, ρήτρα πολιτικής 8.2.2, ενισχύει την υποχρέωση τεκμηρίωσης:

Τα αρχεία καταγραφής και τα αρχεία δοκιμών επαναφοράς διατηρούνται για σκοπούς ελέγχου

Η ρήτρα αυτή αποτρέπει τη μετατροπή των δοκιμών επαναφοράς σε άτυπη οργανωτική μνήμη χωρίς τεκμηρίωση. Αν ένας μηχανικός υποδομών πει «το δοκιμάσαμε τον Μάρτιο», αλλά δεν υπάρχει αρχείο, αυτό δεν αποτελεί ελεγκτικό τεκμήριο.

Η ίδια πολιτική αντιμετωπίζει επίσης την ανθεκτικότητα μέσω διαφοροποίησης του αποθηκευτικού χώρου. Στην ενότητα Απαιτήσεις εφαρμογής της πολιτικής, ρήτρα πολιτικής 6.3.1.1, τα αντίγραφα ασφαλείας πρέπει να είναι:

Αποθηκευμένα σε τουλάχιστον δύο τοποθεσίες (τοπικά και στο νέφος)

Αυτή είναι μια πρακτική γραμμή βάσης. Δεν αντικαθιστά την αξιολόγηση κινδύνου, αλλά μειώνει την πιθανότητα ένας φυσικός ή λογικός τομέας αστοχίας να καταστρέψει τόσο τα δεδομένα παραγωγής όσο και τα δεδομένα αντιγράφων ασφαλείας.

Η αλυσίδα τεκμηρίωσης του ISO 27001:2022 ξεκινά πριν από τη δοκιμή

Οι οργανισμοί συχνά αντιμετωπίζουν τη συμμόρφωση των αντιγράφων ασφαλείας ως θέμα λειτουργιών Πληροφορικής. Με όρους ISO 27001:2022, αυτό είναι υπερβολικά περιοριστικό. Οι δοκιμές αντιγράφων ασφαλείας και επαναφοράς πρέπει να ενσωματώνονται στο Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών και να συνδέονται με το πεδίο εφαρμογής, τον κίνδυνο, την επιλογή ελέγχων, την παρακολούθηση, τον εσωτερικό έλεγχο και τη συνεχή βελτίωση.

Το Zenith Blueprint: An Auditor’s 30-Step Roadmap της Clarysec [ZB] ξεκινά αυτή την αλυσίδα τεκμηρίωσης πριν πραγματοποιηθεί οποιαδήποτε δοκιμή επαναφοράς.

Στη φάση Βάση και ηγεσία του ISMS, Βήμα 2, Ανάγκες ενδιαφερόμενων μερών και πεδίο εφαρμογής του ISMS, το Zenith Blueprint καθοδηγεί τους οργανισμούς να ορίσουν τι περιλαμβάνεται στο ISMS:

Ενέργεια 4.3: Συντάξτε δήλωση πεδίου εφαρμογής του ISMS. Καταγράψτε τι περιλαμβάνεται (επιχειρησιακές μονάδες, τοποθεσίες, συστήματα) και τυχόν εξαιρέσεις. Κοινοποιήστε το προσχέδιο στην ανώτατη διοίκηση για σχόλια – πρέπει να συμφωνήσει ποια τμήματα της επιχείρησης θα υπαχθούν στο ISMS. Είναι επίσης σκόπιμο να ελέγξετε τη λογική συνέπεια αυτού του πεδίου εφαρμογής σε σχέση με τον προηγούμενο κατάλογο απαιτήσεων των ενδιαφερόμενων μερών: Καλύπτει το πεδίο εφαρμογής σας όλες τις περιοχές που απαιτούνται για την εκπλήρωση αυτών των απαιτήσεων;

Για τις δοκιμές επαναφοράς, το πεδίο εφαρμογής ορίζει το σύμπαν της ανάκαμψης. Αν η πλατφόρμα πληρωμών, ο πάροχος ταυτότητας, η βάση δεδομένων ERP, ο διακομιστής διαχείρισης τερματικών σημείων και η αποθήκευση αντικειμένων στο νέφος εμπίπτουν στο πεδίο εφαρμογής, τα τεκμήρια επαναφοράς πρέπει να τα περιλαμβάνουν ή να αιτιολογούν γιατί όχι. Αν ένα σύστημα εξαιρείται, η εξαίρεση πρέπει να μπορεί να τεκμηριωθεί έναντι των απαιτήσεων των ενδιαφερόμενων μερών, των συμβατικών υποχρεώσεων, των ρυθμιστικών υποχρεώσεων και των αναγκών επιχειρησιακής συνέχειας.

Ο επόμενος κρίκος είναι ο κίνδυνος. Στη φάση Διαχείριση κινδύνων, Βήμα 11, Δημιουργία και τεκμηρίωση του Μητρώου Κινδύνων, το Zenith Blueprint περιγράφει το Μητρώο Κινδύνων ως το κύριο αρχείο κινδύνων, περιουσιακών στοιχείων, απειλών, ευπαθειών, υφιστάμενων ελέγχων, ιδιοκτητών και αποφάσεων αντιμετώπισης κινδύνων.

Μια καταχώριση κινδύνου σχετική με τα αντίγραφα ασφαλείας πρέπει να είναι πρακτική και όχι θεωρητική.

Εδώ τα αντίγραφα ασφαλείας καθίστανται ελέγξιμα. Δεν πρόκειται πλέον για «έχουμε αντίγραφα ασφαλείας». Πρόκειται για «αναγνωρίσαμε έναν επιχειρησιακό κίνδυνο, επιλέξαμε ελέγχους, αναθέσαμε ιδιοκτησία, δοκιμάσαμε τον έλεγχο και διατηρήσαμε τεκμήρια».

Το Zenith Blueprint, στη φάση Διαχείριση κινδύνων, Βήμα 13, Σχεδιασμός αντιμετώπισης κινδύνων και Δήλωση Εφαρμοσιμότητας, κλείνει τον κύκλο ιχνηλασιμότητας:

Χαρτογραφήστε τους ελέγχους σε κινδύνους και ρήτρες (Ιχνηλασιμότητα)

Τώρα που έχετε τόσο το Σχέδιο Αντιμετώπισης Κινδύνων όσο και τη SoA:

✓ Χαρτογραφήστε τους ελέγχους στους κινδύνους: Στο σχέδιο αντιμετώπισης του Μητρώου Κινδύνων σας, καταγράψατε συγκεκριμένους ελέγχους για κάθε κίνδυνο. Μπορείτε να προσθέσετε μια στήλη «Αναφορά ελέγχου Παραρτήματος A» σε κάθε κίνδυνο και να καταχωρίσετε τους αριθμούς ελέγχων.

Για τις δοκιμές αντιγράφων ασφαλείας και επαναφοράς, η Δήλωση Εφαρμοσιμότητας πρέπει να συνδέει το σενάριο κινδύνου με τους ελέγχους του Παραρτήματος A του ISO/IEC 27001:2022, ιδίως τους 8.13 Αντίγραφα ασφαλείας πληροφοριών, 5.30 Ετοιμότητα ΤΠΕ για επιχειρησιακή συνέχεια, 8.14 Πλεονασμός εγκαταστάσεων επεξεργασίας πληροφοριών και 5.29 Ασφάλεια πληροφοριών κατά τη διάρκεια διατάραξης.

Η SoA δεν πρέπει απλώς να χαρακτηρίζει αυτούς τους ελέγχους ως εφαρμόσιμους. Πρέπει να εξηγεί γιατί είναι εφαρμόσιμοι, ποια τεκμήρια υλοποίησης υπάρχουν, ποιος είναι ο ιδιοκτήτης του ελέγχου και πώς διαχειρίζονται οι εξαιρέσεις.

Ο χάρτης ελέγχων που αναμένουν να δουν οι ελεγκτές

Το Zenith Controls: The Cross-Compliance Guide της Clarysec [ZC] δεν δημιουργεί ξεχωριστούς ή ιδιοταγείς ελέγχους. Οργανώνει επίσημα πρότυπα και πλαίσια σε μια πρακτική προβολή διασταυρούμενης συμμόρφωσης, ώστε οι οργανισμοί να κατανοούν πώς μία επιχειρησιακή πρακτική, όπως οι δοκιμές επαναφοράς, υποστηρίζει πολλαπλές υποχρεώσεις.

Για τον έλεγχο 8.13 Αντίγραφα ασφαλείας πληροφοριών του ISO/IEC 27002:2022, το Zenith Controls ταξινομεί τον έλεγχο ως διορθωτικό, συνδεδεμένο με την ακεραιότητα και τη διαθεσιμότητα, ευθυγραμμισμένο με την έννοια κυβερνοασφάλειας Ανάκαμψη, υποστηρικτικό της επιχειρησιακής ικανότητας Συνέχεια και ενταγμένο στον τομέα ασφάλειας Προστασία. Αυτό το προφίλ επαναπροσδιορίζει τα αντίγραφα ασφαλείας ως ικανότητα ανάκαμψης και όχι απλώς ως διαδικασία αποθήκευσης.

Για τον έλεγχο 5.30 Ετοιμότητα ΤΠΕ για επιχειρησιακή συνέχεια του ISO/IEC 27002:2022, το Zenith Controls ταξινομεί τον έλεγχο ως διορθωτικό, εστιασμένο στη διαθεσιμότητα, ευθυγραμμισμένο με την Απόκριση, υποστηρικτικό της Συνέχειας και τοποθετημένο στον τομέα ασφάλειας Ανθεκτικότητα. Εδώ οι δοκιμές επαναφοράς συνδέονται άμεσα με τη λειτουργική ανθεκτικότητα.

Για τον έλεγχο 8.14 Πλεονασμός εγκαταστάσεων επεξεργασίας πληροφοριών του ISO/IEC 27002:2022, το Zenith Controls αναγνωρίζει έναν προληπτικό έλεγχο εστιασμένο στη διαθεσιμότητα, ευθυγραμμισμένο με την Προστασία, υποστηρικτικό της συνέχειας και της διαχείρισης περιουσιακών στοιχείων και συνδεδεμένο με τους τομείς Προστασία και Ανθεκτικότητα. Η πλεονασματικότητα και τα αντίγραφα ασφαλείας δεν είναι το ίδιο. Η πλεονασματικότητα συμβάλλει στην αποτροπή διακοπής. Τα αντίγραφα ασφαλείας επιτρέπουν την ανάκαμψη μετά από απώλεια, αλλοίωση ή επίθεση.

Για τον έλεγχο 5.29 Ασφάλεια πληροφοριών κατά τη διάρκεια διατάραξης του ISO/IEC 27002:2022, το Zenith Controls παρουσιάζει ευρύτερο προφίλ: προληπτικό και διορθωτικό, που καλύπτει την εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα, ευθυγραμμισμένο με την Προστασία και την Απόκριση, υποστηρικτικό της συνέχειας και συνδεδεμένο με την Προστασία και την Ανθεκτικότητα. Αυτό έχει σημασία κατά την ανάκαμψη από ransomware, επειδή η αποκατάσταση δεν πρέπει να δημιουργεί νέες αστοχίες ασφάλειας, όπως επαναφορά ευάλωτων εικόνων, παράκαμψη καταγραφής ή επανενεργοποίηση υπερβολικών προνομίων.

Το πρακτικό συμπέρασμα είναι απλό. Μια δοκιμή επαναφοράς δεν είναι ένας έλεγχος μεμονωμένα. Είναι τεκμήριο σε ολόκληρη την αλυσίδα ανθεκτικότητας.

Το κρυφό κενό ελέγχου: RTO και RPO χωρίς απόδειξη

Ένα από τα συνηθέστερα ευρήματα ελέγχου συνέχειας είναι το κενό μεταξύ τεκμηριωμένων RTO/RPO και πραγματικής ικανότητας επαναφοράς.

Το σχέδιο επιχειρησιακής συνέχειας μπορεί να δηλώνει ότι η πύλη πελατών έχει RTO τεσσάρων ωρών και RPO μίας ώρας. Η πλατφόρμα αντιγράφων ασφαλείας μπορεί να εκτελείται κάθε ώρα. Όμως κατά την πρώτη ρεαλιστική άσκηση επαναφοράς, η ομάδα διαπιστώνει ότι η επαναφορά της βάσης δεδομένων απαιτεί τρεις ώρες, οι αλλαγές DNS απαιτούν άλλη μία ώρα, το πιστοποιητικό της εφαρμογής έχει λήξει και η ενσωμάτωση ταυτότητας δεν είχε συμπεριληφθεί ποτέ στο εγχειρίδιο διαδικασιών. Ο πραγματικός χρόνος ανάκαμψης είναι οκτώ ώρες.

Το τεκμηριωμένο RTO ήταν πλασματικό.

Η Πολιτική Επιχειρησιακής Συνέχειας και Ανάκαμψης από Καταστροφή για ΜΜΕ της Clarysec [BCDR-SME], στην ενότητα Απαιτήσεις διακυβέρνησης, ρήτρα πολιτικής 5.2.1.4, καθιστά ρητή την απαίτηση συνέχειας:

Στόχοι Χρόνου Ανάκαμψης (RTOs) και Στόχοι Σημείου Ανάκαμψης (RPOs) για κάθε σύστημα

Αυτό έχει σημασία, επειδή το «επαναφορά κρίσιμων υπηρεσιών γρήγορα» δεν είναι μετρήσιμο. Το «επαναφορά της βάσης δεδομένων έγκρισης πληρωμών εντός τεσσάρων ωρών με απώλεια δεδομένων όχι μεγαλύτερη της μίας ώρας» είναι μετρήσιμο.

Η ίδια Πολιτική Επιχειρησιακής Συνέχειας και Ανάκαμψης από Καταστροφή για ΜΜΕ, στην ενότητα Απαιτήσεις εφαρμογής της πολιτικής, ρήτρα πολιτικής 6.4.2, μετατρέπει τις δοκιμές σε βελτίωση:

Όλα τα αποτελέσματα δοκιμών πρέπει να τεκμηριώνονται και τα διδάγματα που αντλήθηκαν πρέπει να καταγράφονται και να χρησιμοποιούνται για την επικαιροποίηση του BCP.

Μια αποτυχημένη επαναφορά δεν αποτελεί αυτομάτως καταστροφή σε έλεγχο. Μια αποτυχημένη επαναφορά χωρίς τεκμηριωμένο δίδαγμα, ιδιοκτήτη, διόρθωση και επαναληπτική δοκιμή αποτελεί.

Για εταιρικά περιβάλλοντα, η Πολιτική Αντιγράφων Ασφαλείας και Επαναφοράς της Clarysec [BRP] παρέχει πιο επίσημη διακυβέρνηση. Στην ενότητα Απαιτήσεις διακυβέρνησης, ρήτρα πολιτικής 5.1, αναφέρει:

Πρέπει να τηρείται και να ανασκοπείται ετησίως Κύριο Χρονοδιάγραμμα Αντιγράφων Ασφαλείας. Πρέπει να καθορίζει:

Αυτή η αρχική απαίτηση καθιερώνει το βασικό τεχνούργημα διακυβέρνησης. Ένα Κύριο Χρονοδιάγραμμα Αντιγράφων Ασφαλείας πρέπει να προσδιορίζει συστήματα, σύνολα δεδομένων, συχνότητα αντιγράφων ασφαλείας, διατήρηση, τοποθεσία, ιδιοκτησία, ταξινόμηση, εξαρτήσεις και περιοδικότητα δοκιμών.

Η ίδια Πολιτική Αντιγράφων Ασφαλείας και Επαναφοράς, στην ενότητα Απαιτήσεις διακυβέρνησης, ρήτρα πολιτικής 5.2, συνδέει τις προσδοκίες αντιγράφων ασφαλείας με τον επιχειρησιακό αντίκτυπο:

Όλα τα συστήματα και οι εφαρμογές που ταξινομούνται ως κρίσιμα ή υψηλού αντικτύπου στην Ανάλυση Επιχειρησιακού Αντικτύπου (BIA) πρέπει:

Εδώ συγκλίνουν η BIA και η διακυβέρνηση αντιγράφων ασφαλείας. Τα κρίσιμα και υψηλού αντικτύπου συστήματα απαιτούν ισχυρότερη διασφάλιση ανάκαμψης, συχνότερες δοκιμές, καλύτερη χαρτογράφηση εξαρτήσεων και πιο πειθαρχημένη τεκμηρίωση.

Ένα μοντέλο τεκμηρίωσης για ISO 27001:2022, NIS2, DORA, NIST και COBIT 2019

Οι ομάδες συμμόρφωσης συχνά δυσκολεύονται με την επικάλυψη πλαισίων. Το ISO 27001:2022 ζητά επιλογή ελέγχων βάσει κινδύνου και τεκμήρια. Το NIS2 αναμένει μέτρα διαχείρισης κινδύνων κυβερνοασφάλειας, συμπεριλαμβανομένης της επιχειρησιακής συνέχειας. Το DORA αναμένει ψηφιακή επιχειρησιακή ανθεκτικότητα ΤΠΕ, απόκριση και ανάκαμψη, διαδικασίες αντιγράφων ασφαλείας και επαναφοράς, καθώς και δοκιμές ψηφιακής επιχειρησιακής ανθεκτικότητας. Τα NIST και COBIT 2019 χρησιμοποιούν και πάλι διαφορετική γλώσσα.

Η λύση δεν είναι η δημιουργία ξεχωριστών προγραμμάτων αντιγράφων ασφαλείας για κάθε πλαίσιο. Η λύση είναι η δημιουργία ενός ενιαίου μοντέλου τεκμηρίωσης που μπορεί να εξεταστεί μέσα από πολλαπλούς ελεγκτικούς φακούς.

Για το NIS2, η πιο άμεση αναφορά είναι το Article 21 σχετικά με τα μέτρα διαχείρισης κινδύνων κυβερνοασφάλειας. Το Article 21(2)(c) περιλαμβάνει ειδικά την επιχειρησιακή συνέχεια, όπως διαχείριση αντιγράφων ασφαλείας, ανάκαμψη από καταστροφή και διαχείριση κρίσεων. Το Article 21(2)(f) έχει επίσης σημασία, επειδή αφορά πολιτικές και διαδικασίες για την αξιολόγηση της αποτελεσματικότητας των μέτρων διαχείρισης κινδύνων κυβερνοασφάλειας. Οι δοκιμές επαναφοράς είναι ακριβώς αυτό: τεκμήρια ότι το μέτρο λειτουργεί.

Για το DORA, οι ισχυρότερες συνδέσεις είναι το Article 11 για την απόκριση και ανάκαμψη, το Article 12 για πολιτικές και διαδικασίες αντιγράφων ασφαλείας, διαδικασίες και μεθόδους επαναφοράς και ανάκαμψης, και το Article 24 για γενικές απαιτήσεις δοκιμών ψηφιακής επιχειρησιακής ανθεκτικότητας. Για τις χρηματοοικονομικές οντότητες, μια δοκιμή επαναφοράς βάσης δεδομένων από μόνη της μπορεί να είναι ανεπαρκής αν η επιχειρησιακή υπηρεσία εξαρτάται από ταυτότητα νέφους, συνδεσιμότητα με πύλη πληρωμών, εξωτερική ανάθεση φιλοξενίας ή διαχειριζόμενη παρακολούθηση. Τα τεκμήρια τύπου DORA πρέπει να είναι σε επίπεδο υπηρεσίας, όχι μόνο σε επίπεδο διακομιστή.

Αυτή είναι η αποδοτικότητα μιας ενοποιημένης στρατηγικής συμμόρφωσης. Μια τριμηνιαία δοκιμή επαναφοράς για ένα σύστημα πληρωμών μπορεί να υποστηρίξει τεκμήρια του Παραρτήματος A του ISO 27001:2022, προσδοκίες συνέχειας του NIS2, απαιτήσεις ανάκαμψης ΤΠΕ του DORA, αποτελέσματα Ανάκαμψης του NIST CSF και αναφορές διακυβέρνησης COBIT 2019, εφόσον τα τεκμήρια είναι σωστά δομημένα.

Μια πρακτική δοκιμή επαναφοράς που μετατρέπεται σε ελεγκτικό τεκμήριο

Επιστρέψτε στο σενάριο της Δευτέρας το πρωί της Sarah, αλλά φανταστείτε ότι ο οργανισμός της είχε προετοιμαστεί με τη χρήση της εργαλειοθήκης της Clarysec.

Η πλατφόρμα έγκρισης πληρωμών ταξινομείται ως κρίσιμη στην BIA. Το εγκεκριμένο RTO είναι τέσσερις ώρες. Το εγκεκριμένο RPO είναι μία ώρα. Η πλατφόρμα εξαρτάται από σύμπλεγμα βάσεων δεδομένων, πάροχο ταυτότητας, θησαυροφυλάκιο μυστικών, αγωγό καταγραφής, DNS, πιστοποιητικά και αναμεταδότη εξερχόμενου email.

Η ομάδα της Sarah οργανώνει μια τριμηνιαία δοκιμή επαναφοράς γύρω από έξι βήματα.

Βήμα 1: Επιβεβαίωση πεδίου εφαρμογής και εξαρτήσεων

Με χρήση του Βήματος 2 του Zenith Blueprint, η Sarah επιβεβαιώνει ότι η πλατφόρμα πληρωμών, η βάση δεδομένων, η ενσωμάτωση ταυτότητας, η υποδομή αντιγράφων ασφαλείας και το περιβάλλον ανάκαμψης βρίσκονται εντός του πεδίου εφαρμογής του ISMS. Το Νομικό Τμήμα επιβεβαιώνει τη ρυθμιστική συνάφεια. Το Οικονομικό Τμήμα επιβεβαιώνει τον επιχειρησιακό αντίκτυπο. Η Πληροφορική επιβεβαιώνει τις εξαρτήσεις.

Αυτό αποφεύγει το κλασικό λάθος της επαναφοράς μόνο της βάσης δεδομένων, αγνοώντας την υπηρεσία αυθεντικοποίησης που απαιτείται για την πρόσβαση στην εφαρμογή.

Βήμα 2: Σύνδεση της δοκιμής με το Μητρώο Κινδύνων

Με χρήση του Βήματος 11 του Zenith Blueprint, το Μητρώο Κινδύνων περιλαμβάνει το σενάριο: «Απώλεια ή κρυπτογράφηση των δεδομένων της πλατφόρμας έγκρισης πληρωμών εμποδίζει τις λειτουργίες πληρωμών και δημιουργεί ρυθμιστική έκθεση».

Οι υφιστάμενοι έλεγχοι περιλαμβάνουν ημερήσια αντίγραφα ασφαλείας, αμετάβλητη αποθήκευση στο νέφος, αντίγραφα ασφαλείας σε πολλαπλές τοποθεσίες, τριμηνιαίες δοκιμές επαναφοράς και τεκμηριωμένα εγχειρίδια διαδικασιών ανάκαμψης. Ο ιδιοκτήτης κινδύνου είναι ο Επικεφαλής Υποδομών. Ο επιχειρησιακός ιδιοκτήτης είναι οι Οικονομικές Λειτουργίες. Η απόφαση αντιμετώπισης είναι ο μετριασμός.

Βήμα 3: Χαρτογράφηση της αντιμετώπισης στη SoA

Με χρήση του Βήματος 13 του Zenith Blueprint, η SoA χαρτογραφεί τον κίνδυνο στους ελέγχους 8.13, 5.30, 8.14 και 5.29 του Παραρτήματος A του ISO/IEC 27001:2022. Η SoA εξηγεί ότι οι δοκιμές αντιγράφων ασφαλείας παρέχουν διορθωτική ικανότητα ανάκαμψης, οι διαδικασίες συνέχειας ΤΠΕ υποστηρίζουν την επιχειρησιακή συνέχεια, η πλεονασματικότητα μειώνει την πιθανότητα διακοπής και η ασφάλεια κατά τη διάρκεια διατάραξης αποτρέπει μη ασφαλείς παρακάμψεις κατά την ανάκαμψη.

Βήμα 4: Χρήση ρητρών πολιτικής ως κριτηρίων δοκιμής

Η ομάδα χρησιμοποιεί τη ρήτρα 5.3.3 της Πολιτικής Αντιγράφων Ασφαλείας και Επαναφοράς για ΜΜΕ για τις τριμηνιαίες δοκιμές επαναφοράς, τη ρήτρα 8.2.2 για τη διατήρηση τεκμηρίων και τη ρήτρα 6.3.1.1 για αποθήκευση σε πολλαπλές τοποθεσίες. Χρησιμοποιεί τη ρήτρα 5.2.1.4 της Πολιτικής Επιχειρησιακής Συνέχειας και Ανάκαμψης από Καταστροφή για ΜΜΕ για τους στόχους RTO/RPO και τη ρήτρα 6.4.2 για τα διδάγματα που αντλήθηκαν και τις επικαιροποιήσεις BCP.

Βήμα 5: Εκτέλεση της επαναφοράς και καταγραφή πραγματικών στοιχείων

Η επαναφορά πραγματοποιείται σε απομονωμένο περιβάλλον ανάκαμψης. Η ομάδα καταγράφει χρονοσημάνσεις, αναγνωριστικά συνόλων αντιγράφων ασφαλείας, βήματα επαναφοράς, σφάλματα, αποτελέσματα επικύρωσης και εγκρίσεις.

Ένα ισχυρό αρχείο δοκιμής επαναφοράς πρέπει να περιλαμβάνει:

Κατά τη δοκιμή, η ομάδα εντοπίζει ένα ζήτημα. Η επαναφερθείσα εφαρμογή δεν μπορεί να στείλει μηνύματα ειδοποίησης, επειδή η λίστα επιτρεπόμενων του αναμεταδότη email δεν περιλαμβάνει το υποδίκτυο ανάκαμψης. Η βασική έγκριση πληρωμών λειτουργεί, αλλά η ροή εργασίας είναι υποβαθμισμένη.

Βήμα 6: Καταγραφή διδαγμάτων και διορθωτικής ενέργειας

Εδώ πολλοί οργανισμοί σταματούν πρόωρα. Η προσέγγιση της Clarysec προωθεί το ζήτημα στο σύστημα βελτίωσης.

Στη φάση Έλεγχος, ανασκόπηση και βελτίωση, Βήμα 29, Συνεχής βελτίωση, το Zenith Blueprint χρησιμοποιεί αρχείο CAPA για την παρακολούθηση της περιγραφής ζητήματος, της βασικής αιτίας, της διορθωτικής ενέργειας, του ιδιοκτήτη, της ημερομηνίας-στόχου και της κατάστασης.

Αυτή η μία δοκιμή επαναφοράς παράγει πλέον μια αλυσίδα ελεγκτικών τεκμηρίων: απαίτηση πολιτικής, επιβεβαίωση πεδίου εφαρμογής, χαρτογράφηση κινδύνου, χαρτογράφηση SoA, σχέδιο δοκιμής, αρχείο εκτέλεσης, επιχειρησιακή επικύρωση, επικύρωση ασφάλειας, αρχείο ζητήματος, διορθωτική ενέργεια και επικαιροποίηση BCP.

Πώς διαφορετικοί ελεγκτές εξετάζουν τα ίδια τεκμήρια

Ένα ισχυρό πακέτο τεκμηρίων προλαμβάνει τον φακό του ελεγκτή.

Ένας ελεγκτής ISO 27001:2022 συνήθως θα ξεκινήσει από το σύστημα διαχείρισης. Θα ρωτήσει αν οι απαιτήσεις αντιγράφων ασφαλείας και επαναφοράς περιλαμβάνονται στο πεδίο εφαρμογής, βασίζονται στον κίνδυνο, έχουν υλοποιηθεί, παρακολουθούνται, ελέγχονται εσωτερικά και βελτιώνονται. Θα αναμένει ιχνηλασιμότητα από το Μητρώο Κινδύνων στη SoA και στα επιχειρησιακά αρχεία. Μπορεί επίσης να συνδέσει αποτυχημένες δοκιμές και διορθωτικές ενέργειες με τη ρήτρα 10.2 του ISO/IEC 27001:2022 για μη συμμόρφωση και διορθωτική ενέργεια.

Ένας αξιολογητής DORA θα εστιάσει στην ψηφιακή επιχειρησιακή ανθεκτικότητα ΤΠΕ για κρίσιμες ή σημαντικές λειτουργίες. Θα θέλει να δει ανάκαμψη σε επίπεδο υπηρεσίας, εξαρτήσεις από τρίτα μέρη ΤΠΕ, δοκιμές βάσει σεναρίων, εποπτεία από το διοικητικό όργανο και τεκμήρια ότι οι διαδικασίες επαναφοράς είναι αποτελεσματικές.

Μια εποπτική οπτική NIS2 θα αναζητήσει κατάλληλα και αναλογικά μέτρα διαχείρισης κινδύνων κυβερνοασφάλειας. Τα τεκμήρια αντιγράφων ασφαλείας και ανάκαμψης από καταστροφή πρέπει να δείχνουν ότι οι ουσιώδεις ή σημαντικές υπηρεσίες μπορούν να διατηρήσουν ή να αποκαταστήσουν λειτουργίες μετά από περιστατικά, με τη διοίκηση να γνωρίζει τον υπολειπόμενο κίνδυνο.

Ένας αξιολογητής με προσανατολισμό NIST θα εστιάσει στα αποτελέσματα κυβερνοασφάλειας σε όλο το φάσμα Αναγνώριση, Προστασία, Ανίχνευση, Απόκριση και Ανάκαμψη. Μπορεί να ρωτήσει για αμετάβλητα αντίγραφα ασφαλείας, προνομιούχα πρόσβαση σε αποθετήρια αντιγράφων ασφαλείας, επαναφορά σε καθαρά περιβάλλοντα, επικοινωνίες και διδάγματα που αντλήθηκαν.

Ένας ελεγκτής COBIT 2019 ή τύπου ISACA θα δώσει έμφαση στη διακυβέρνηση, την ιδιοκτησία διεργασιών, τις μετρικές, την αναφορά στη διοίκηση και την παρακολούθηση ζητημάτων. Θα εντυπωσιαστεί λιγότερο από μια τεχνικά άρτια επαναφορά αν η ιδιοκτησία και η αναφορά δεν είναι σαφείς.

Τα ίδια τεκμήρια μπορούν να ικανοποιήσουν όλες αυτές τις οπτικές, αλλά μόνο αν είναι πλήρη.

Συνήθεις αποτυχίες δοκιμών επαναφοράς που δημιουργούν ευρήματα ελέγχου

Η Clarysec βλέπει επανειλημμένα τα ίδια αποτρέψιμα κενά τεκμηρίωσης.

Ο στόχος δεν είναι η γραφειοκρατία. Ο στόχος είναι αξιόπιστη ανάκαμψη υπό πίεση και τεκμηριωμένη θέση σε έλεγχο.

Δημιουργήστε πακέτο τεκμηρίων ανάκαμψης για το Διοικητικό Συμβούλιο

Τα διευθυντικά στελέχη δεν χρειάζονται ακατέργαστα αρχεία καταγραφής αντιγράφων ασφαλείας. Χρειάζονται διαβεβαίωση ότι οι κρίσιμες υπηρεσίες είναι ανακτήσιμες, οι εξαιρέσεις είναι γνωστές και οι ενέργειες βελτίωσης προχωρούν.

Για κάθε κρίσιμη υπηρεσία, αναφέρετε:

• Όνομα υπηρεσίας και επιχειρησιακός ιδιοκτήτης
• Κρισιμότητα από την BIA
• Εγκεκριμένα RTO και RPO
• Ημερομηνία τελευταίας δοκιμής επαναφοράς
• RTO και RPO που επιτεύχθηκαν
• Αποτέλεσμα δοκιμής
• Ανοικτές διορθωτικές ενέργειες
• Εξαρτήσεις τρίτων μερών που επηρεάζουν την ανάκαμψη
• Δήλωση υπολειπόμενου κινδύνου
• Επόμενη προγραμματισμένη δοκιμή

Αυτό το ύφος αναφοράς δημιουργεί γέφυρα μεταξύ τεχνικών ομάδων, ελεγκτών και ηγεσίας. Υποστηρίζει επίσης την ανασκόπηση της διοίκησης του ISMS και την εποπτεία ανθεκτικότητας βάσει NIS2 και DORA.

Πρακτική λίστα ελέγχου για έλεγχο στις επόμενες 30 έως 90 ημέρες

Αν πλησιάζει ο έλεγχός σας, ξεκινήστε με τα τεκμήρια που ήδη διαθέτετε και κλείστε πρώτα τα κενά υψηλότερου κινδύνου.

• Αναγνωρίστε όλα τα κρίσιμα και υψηλού αντικτύπου συστήματα από την BIA.
• Επιβεβαιώστε το RTO και το RPO για κάθε κρίσιμο σύστημα.
• Επαληθεύστε ότι κάθε κρίσιμο σύστημα εμφανίζεται στο Κύριο Χρονοδιάγραμμα Αντιγράφων Ασφαλείας.
• Επιβεβαιώστε τις τοποθεσίες αντιγράφων ασφαλείας, συμπεριλαμβανομένων τοπικών, νέφους, αμετάβλητων ή διαχωρισμένων αποθετηρίων.
• Επιλέξτε τουλάχιστον μία πρόσφατη δοκιμή επαναφοράς ανά κρίσιμη υπηρεσία ή προγραμματίστε άμεσα μια δοκιμή.
• Διασφαλίστε ότι τα αρχεία δοκιμών επαναφοράς εμφανίζουν πεδίο εφαρμογής, χρονοσημάνσεις, σύνολο αντιγράφων ασφαλείας, αποτέλεσμα, RTO/RPO που επιτεύχθηκε και επικύρωση.
• Λάβετε επίσημη έγκριση του επιχειρησιακού ιδιοκτήτη για ανάκαμψη σε επίπεδο εφαρμογής.
• Επικυρώστε την ασφάλεια μετά την επαναφορά, συμπεριλαμβανομένων του ελέγχου πρόσβασης, της καταγραφής, της παρακολούθησης, των μυστικών, των πιστοποιητικών και της έκθεσης σε ευπάθειες.
• Χαρτογραφήστε τα τεκμήρια στο Μητρώο Κινδύνων και στη SoA.
• Καταγράψτε τα ζητήματα σε CAPA, αναθέστε ιδιοκτήτες και παρακολουθήστε την επαναληπτική δοκιμή.
• Συνοψίστε τα αποτελέσματα για την Ανασκόπηση της Διοίκησης.
• Προετοιμάστε προβολή διασταυρούμενης συμμόρφωσης για συζητήσεις ελέγχου σχετικά με ISO 27001:2022, NIS2, DORA, NIST CSF και COBIT 2019.

Αν δεν μπορείτε να ολοκληρώσετε κάθε στοιχείο πριν από τον έλεγχο, να είστε διαφανείς. Οι ελεγκτές συνήθως ανταποκρίνονται καλύτερα σε ένα τεκμηριωμένο κενό με σχέδιο διορθωτικών ενεργειών παρά σε αόριστους ισχυρισμούς ωριμότητας.

Κάντε τις δοκιμές επαναφοράς το ισχυρότερο τεκμήριο ανθεκτικότητας

Οι δοκιμές αντιγράφων ασφαλείας και επαναφοράς είναι ένας από τους πιο σαφείς τρόπους απόδειξης της λειτουργικής ανθεκτικότητας. Είναι απτές, μετρήσιμες, συναφείς με την επιχειρησιακή λειτουργία και άμεσα συνδεδεμένες με ISO 27001:2022, NIS2, DORA, NIST, COBIT 2019, αναφορές προς το Διοικητικό Συμβούλιο, διαβεβαιώσεις προς πελάτες και προσδοκίες ασφαλιστών.

Αλλά μόνο αν τεκμηριώνονται σωστά.

Η Clarysec βοηθά τους οργανισμούς να μετατρέπουν τις λειτουργίες αντιγράφων ασφαλείας σε ελεγκτικά τεκμήρια μέσω της Πολιτικής Αντιγράφων Ασφαλείας και Επαναφοράς, της Πολιτικής Αντιγράφων Ασφαλείας και Επαναφοράς για ΜΜΕ, της Πολιτικής Επιχειρησιακής Συνέχειας και Ανάκαμψης από Καταστροφή για ΜΜΕ, του Zenith Blueprint και του Zenith Controls.

Η επόμενη πρακτική σας κίνηση είναι απλή. Επιλέξτε μία κρίσιμη υπηρεσία αυτή την εβδομάδα. Εκτελέστε δοκιμή επαναφοράς έναντι των εγκεκριμένων RTO και RPO της. Τεκμηριώστε το αποτέλεσμα. Χαρτογραφήστε το στο Μητρώο Κινδύνων και στη SoA. Καταγράψτε κάθε δίδαγμα που αντλήθηκε.

Αν θέλετε αυτή η διαδικασία να είναι επαναλήψιμη σε ISO 27001:2022, NIS2, DORA, NIST και COBIT 2019, η εργαλειοθήκη της Clarysec σας δίνει τη δομή για να αποδεικνύετε την ανάκαμψη χωρίς να δημιουργείτε από την αρχή έναν λαβύρινθο συμμόρφωσης.