Auditivalmis taastetestimine ISO 27001, NIS2 ja DORA jaoks
On esmaspäeva hommik kell 07.40 ja kiiresti kasvava finantstehnoloogia ettevõtte infoturbejuht Sarah näeb kriisi kujunemist reaalajas. Finantsjuht ei saa avada maksete kinnitamise platvormi. Kasutajatugi arvab, et tegemist on salvestusprobleemiga. Taristumeeskond kahtlustab lunavara, sest mitmes ühiskaustas kuvatakse nüüd krüpteeritud failinimesid. Tegevjuht tahab teada, kas palgaarvestus on kaitstud. Õigusosakond küsib, kas regulaatoreid tuleb teavitada.
Sarah avab varunduse juhtpaneeli. See on täis rohelisi linnukesi.
See peaks mõjuma rahustavalt, kuid ei mõju. Edukas varundustöö ei ole tõend edukast taastamisest. See on nagu näha seinal tulekustutit teadmata, kas see on täidetud, kättesaadav ja surveolukorras kasutatav.
Sarah’ ettevõte kuulub ISO 27001:2022 kohaldamisalasse, seda käsitatakse NIS2 järgi olulise üksusena ning finantsüksusena kohaldub sellele DORA. Küsimus ei ole enam selles, kas organisatsioon teeb varukoopiaid. Küsimus on selles, kas ta suudab taastada õiged süsteemid õigesse ajahetke kinnitatud taasteaja eesmärkide (RTO) ja taastepunkti eesmärkide (RPO) piires ning esitada tõendusmaterjali, mis on piisavalt tugev audiitori, regulaatori, kliendi, kindlustusandja ja juhatuse jaoks.
Siin kukuvad paljud varundusprogrammid läbi. Neil on varundustööd. Neil on juhtpaneelid. Neil on hetktõmmised. Neil võib olla isegi pilvsalvestus. Kuid surveolukorras ei suuda nad tõendada, et kriitilised süsteemid on taastatavad, et taastetestid tehti, et ebaõnnestunud testid käivitasid parandusmeetmed ning et tõendusmaterjal seostub selgelt ISO 27001:2022, NIS2, DORA, NIST ja COBIT 2019 ootustega.
Varundamise ja taastetestimisest on saanud juhatuse tasandi talitluspidevuse teema. NIS2 tõstab ootusi küberturbe riskijuhtimise ja talitluspidevuse suhtes. DORA muudab digitaalse tegevuskerksuse finantsüksuste ja nende kriitiliste IKT-teenuseosutajate keskseks kohustuseks. ISO 27001:2022 annab juhtimissüsteemi struktuuri kohaldamisala, riskide, kontrollimeetmete valiku, tõendusmaterjali, auditi ja pideva täiustamise jaoks.
Praktiline väljakutse on muuta tehniline taastetest auditikõlblikuks tõendusmaterjaliks.
Varukoopia ei ole tõendusmaterjal enne, kui taastamine on tõendatud
Edukalt lõppenud varundustöö on ainult osaline signaal. See näitab, et andmed kopeeriti kuhugi. See ei tõenda, et andmeid saab taastada, et rakendussõltuvused on korras, et krüptimisvõtmed on kättesaadavad, et identiteediteenused töötavad endiselt või et taastatud süsteem toetab tegelikke äritegevusi.
Audiitorid teavad seda. Regulaatorid teavad seda. Ründajad teavad seda.
Tehniliselt küps audiitor ei piirdu ekraanipildiga, mis näitab 97-protsendilist varundustööde õnnestumise määra. Ta küsib:
- Millised süsteemid on kriitilised või suure mõjuga?
- Milline RTO ja RPO kehtib iga süsteemi kohta?
- Millal tehti viimane taastetest?
- Kas test oli täielik, osaline, rakendustaseme, andmebaasitaseme või failitaseme test?
- Kes valideeris äriprotsessi pärast taastamist?
- Kas tõrked registreeriti mittevastavuste või parendustegevustena?
- Kui kaua säilitatakse logisid ja taastetestide kirjeid?
- Kas varukoopiad on asukohtade lõikes eraldatud?
- Kuidas seostub tõendusmaterjal riskiregistri ja kohaldatavusdeklaratsiooniga (SoA)?
Seetõttu on Claryseci poliitikakeel teadlikult otsekohene. VKE varundamise ja taastamise poliitika [BRP-SME] jaotise „Juhtimisnõuded“ poliitikaklausel 5.3.3 nõuab:
Taasteteste tehakse vähemalt kord kvartalis ning tulemused dokumenteeritakse taastatavuse kontrollimiseks.
See üks lause muudab auditiarutelu. See viib organisatsiooni väitest „meil on varukoopiad“ väiteni „me kontrollime taastatavust määratud sagedusega ja säilitame tulemused“.
Sama VKE varundamise ja taastamise poliitika jaotise „Rakendamine ja vastavus“ poliitikaklausel 8.2.2 tugevdab tõendusmaterjali kohustust:
Logid ja taastetestide kirjed säilitatakse auditi eesmärgil.
See klausel takistab taastetestimise muutumist dokumenteerimata meeskonnamäluks. Kui taristuinsener ütleb: „Me testisime seda märtsis“, kuid ühtegi kirjet ei ole, ei ole see auditivalmis tõendusmaterjal.
Sama poliitika käsitleb ka vastupidavust salvestuskohtade mitmekesisuse kaudu. Jaotise „Poliitika rakendamise nõuded“ poliitikaklausel 6.3.1.1 nõuab, et varukoopiad oleksid:
Säilitatud vähemalt kahes asukohas (kohalikult ja pilves).
See on praktiline baastase. See ei asenda riskihindamist, kuid vähendab tõenäosust, et üks füüsiline või loogiline rikkedomeen hävitab nii tootmisandmed kui ka varundusandmed.
ISO 27001:2022 tõendusahel algab enne testi
Organisatsioonid käsitlevad varunduse vastavust sageli IT-operatsioonide teemana. ISO 27001:2022 vaates on see liiga kitsas. Varundamise ja taastetestimine peab olema lõimitud infoturbe juhtimissüsteemi ning seotud kohaldamisala, riskide, kontrollimeetmete valiku, seire, siseauditi ja pideva täiustamisega.
Claryseci Zenith Blueprint: audiitori 30-sammuline teekaart [ZB] alustab seda tõendusahelat enne mis tahes taastetesti tegemist.
ISMS-i aluste ja juhtimise faasis, 2. sammus „Sidusrühmade vajadused ja ISMS-i kohaldamisala“, juhendab Zenith Blueprint organisatsioone määratlema, mis kuulub ISMS-i:
Tegevuspunkt 4.3: Koosta ISMS-i kohaldamisala avaldus. Loetle, mis on hõlmatud (äriüksused, asukohad, süsteemid) ja mis tahes välistused. Jaga kavandit tippjuhtkonnaga sisendi saamiseks – nad peavad kokku leppima, millised ettevõtte osad kuuluvad ISMS-i alla. Samuti on mõistlik kontrollida seda kohaldamisala varasema sidusrühmade nõuete loendi suhtes: kas kohaldamisala katab kõik vajalikud valdkonnad nende nõuete täitmiseks?
Taastetestimise puhul määratleb kohaldamisala taastamise universumi. Kui maksete kinnitamise platvorm, identiteedipakkuja, ERP andmebaas, lõppseadmete halduse server ja pilve objektisalvestus kuuluvad kohaldamisalasse, peab taastamise tõendusmaterjal neid hõlmama või põhjendama, miks mitte. Kui süsteem on välistatud, peab välistus olema kaitstav sidusrühmade nõuete, lepinguliste kohustuste, regulatiivsete kohustuste ja talitluspidevuse vajaduste suhtes.
Järgmine lüli on risk. Riskijuhtimise faasis, 11. sammus „Riskiregistri koostamine ja dokumenteerimine“, kirjeldab Zenith Blueprint riskiregistrit riskide, varade, ohtude, nõrkuste, olemasolevate kontrollimeetmete, omanike ja käsitlusotsuste põhiregistrina.
Varundusega seotud riskikirje peab olema praktiline, mitte teoreetiline.
| Riskielement | Näidiskirje |
|---|---|
| Vara | Maksete kinnitamise platvorm ja seda toetav andmebaas |
| Oht | Lunavaraga krüpteerimine või administraatori hävitav tegevus |
| Nõrkus | Varukoopiaid ei taastata kord kvartalis ning rakendussõltuvusi ei valideerita |
| Mõju | Palgamaksete viivitus, regulatiivne kokkupuude, mõju klientide usaldusele |
| Olemasolevad kontrollimeetmed | Igapäevased varundustööd, muutmatu pilvsalvestus, kvartaalne taastetest |
| Riskiomanik | Taristu juht |
| Käsitlusotsus | Maandada testitud varukoopiate, dokumenteeritud taastamistõendite ja BCP uuenduste kaudu |
Siin muutub varundus auditeeritavaks. See ei ole enam „meil on varukoopiad“. See on „me tuvastasime äririski, valisime kontrollimeetmed, määrasime vastutuse, testisime kontrollimeedet ja säilitasime tõendusmaterjali“.
Zenith Blueprint riskijuhtimise faasi 13. samm „Riskikäsitluse planeerimine ja kohaldatavusdeklaratsioon“ sulgeb jälgitavuse ahela:
Kaardista kontrollimeetmed riskide ja punktidega (jälgitavus)
Nüüd, kui sul on nii riskikäsitlusplaan kui ka SoA:
✓ Kaardista kontrollimeetmed riskidega: riskiregistri käsitlusplaanis loetlesid iga riski kohta kindlad kontrollimeetmed. Saad lisada igale riskile veeru „lisa A kontrollimeetme viide“ ja märkida sinna kontrollimeetmete numbrid.
Varundamise ja taastetestimise puhul peaks kohaldatavusdeklaratsioon seostama riskistsenaariumi ISO/IEC 27001:2022 lisa A kontrollimeetmetega, eelkõige 8.13 Teabe varundamine, 5.30 IKT valmidus talitluspidevuseks, 8.14 Infotöötlusrajatiste liiasus ja 5.29 Infoturve katkestuse ajal.
SoA ei tohiks neid kontrollimeetmeid lihtsalt kohaldatavaks märkida. See peaks selgitama, miks need on kohaldatavad, milline rakendustõendus on olemas, kes kontrollimeedet omab ja kuidas erandeid käsitletakse.
Kontrollimeetmete kaart, mida audiitorid eeldavad
Claryseci Zenith Controls: valdkondadeülese vastavuse juhend [ZC] ei loo eraldi ega omandipõhiseid kontrollimeetmeid. See korrastab ametlikud standardid ja raamistikud praktiliseks valdkondadeülese vastavuse vaateks, et organisatsioonid mõistaksid, kuidas üks operatiivne praktika, näiteks taastetestimine, toetab mitut kohustust.
ISO/IEC 27002:2022 kontrollimeetme 8.13 Teabe varundamine puhul liigitab Zenith Controls kontrollimeetme korrigeerivaks, seob selle tervikluse ja käideldavusega, joondab Recover-funktsiooniga, toetab talitluspidevuse operatiivset võimekust ning paigutab selle kaitse turbevaldkonda. See profiil sõnastab varukoopiad ümber taastamisvõimekusena, mitte pelgalt salvestusprotsessina.
ISO/IEC 27002:2022 kontrollimeetme 5.30 IKT valmidus talitluspidevuseks puhul liigitab Zenith Controls kontrollimeetme korrigeerivaks, käideldavusele keskenduvaks, Respond-funktsiooniga joondatuks, talitluspidevust toetavaks ning vastupidavuse turbevaldkonda kuuluvaks. Siin seostub taastetestimine otse digitaalse tegevuskerksusega.
ISO/IEC 27002:2022 kontrollimeetme 8.14 Infotöötlusrajatiste liiasus puhul määratleb Zenith Controls ennetava kontrollimeetme, mis keskendub käideldavusele, on joondatud Protect-funktsiooniga, toetab talitluspidevust ja varahaldust ning on seotud kaitse ja vastupidavuse valdkondadega. Liiasus ja varukoopiad ei ole sama asi. Liiasus aitab katkestust ennetada. Varukoopiad võimaldavad taastamist pärast kaotust, rikkumist või rünnet.
ISO/IEC 27002:2022 kontrollimeetme 5.29 Infoturve katkestuse ajal puhul näitab Zenith Controls laiemat profiili: ennetav ja korrigeeriv, hõlmates konfidentsiaalsust, terviklust ja käideldavust, joondatud Protect- ja Respond-funktsioonidega, toetades talitluspidevust ning seotuna kaitse ja vastupidavusega. See on oluline lunavarast taastamise ajal, sest taastamine ei tohi tekitada uusi turbetõrkeid, näiteks haavatavate kujutiste taastamist, logimisest möödahiilimist või ülemääraste õiguste taasaktiveerimist.
| ISO/IEC 27001:2022 lisa A kontrollimeede | Roll toimepidevuses | Tõendusmaterjal, mida audiitorid eeldavad |
|---|---|---|
| 8.13 Teabe varundamine | Tõendab, et andmeid ja süsteeme saab pärast kaotust, rikkumist või rünnet taastada | Varundusgraafik, taastetestide kirjed, edukriteeriumid, logid, erandid, säilitamise tõendusmaterjal |
| 5.30 IKT valmidus talitluspidevuseks | Näitab, et IKT-võimekused toetavad talitluspidevuse eesmärke | BIA, RTO/RPO kaardistus, taastamise tööjuhised, testiaruanded, õppetunnid |
| 8.14 Infotöötlusrajatiste liiasus | Vähendab sõltuvust ühest töötlusrajatisest või teenuseteest | Arhitektuuriskeemid, ümberlülituse testitulemused, võimsuse ülevaatus, sõltuvuste kaardistus |
| 5.29 Infoturve katkestuse ajal | Säilitab turvalisuse piiratud talitluse ja taastamise ajal | Kriisijuhtumi juurdepääsukirjed, erakorraliste muudatuste kinnitused, logimine, intsidendi ajajoon, taastamisjärgne turbe valideerimine |
Praktiline järeldus on lihtne. Taastetest ei ole üksik eraldiseisev kontrollimeede. See on tõendusmaterjal kogu toimepidevuse ahelas.
Varjatud auditilünk: RTO ja RPO ilma tõenditeta
Üks levinumaid talitluspidevuse auditi leide on lõhe dokumenteeritud RTO/RPO ja tegeliku taastamisvõimekuse vahel.
Talitluspidevuse plaan võib väita, et kliendiportaalil on neljatunnine RTO ja ühetunnine RPO. Varundusplatvorm võib töötada iga tund. Kuid esimese realistliku taastamisharjutuse käigus avastab meeskond, et andmebaasi taastamine võtab kolm tundi, DNS-muudatused nõuavad veel ühe tunni, rakenduse sertifikaat on aegunud ja identiteediintegratsiooni ei ole kunagi tööjuhisesse lisatud. Tegelik taastamisaeg on kaheksa tundi.
Dokumenteeritud RTO oli fiktsioon.
Claryseci VKE talitluspidevuse ja katastroofitaaste poliitika [BCDR-SME] jaotise „Juhtimisnõuded“ poliitikaklausel 5.2.1.4 teeb talitluspidevuse nõude selgesõnaliseks:
Taasteaja eesmärgid (RTO-d) ja taastepunkti eesmärgid (RPO-d) iga süsteemi kohta.
See on oluline, sest „taasta kriitilised teenused kiiresti“ ei ole mõõdetav. „Taasta maksete kinnitamise andmebaas nelja tunni jooksul kuni ühe tunni andmekaoga“ on mõõdetav.
Sama VKE talitluspidevuse ja katastroofitaaste poliitika jaotise „Poliitika rakendamise nõuded“ poliitikaklausel 6.4.2 muudab testimise täiustamise sisendiks:
Kõik testitulemused tuleb dokumenteerida ning õppetunnid tuleb kirja panna ja kasutada BCP ajakohastamiseks.
Ebaõnnestunud taastamine ei ole automaatselt auditikatastroof. Auditikatastroof on ebaõnnestunud taastamine ilma dokumenteeritud õppetunni, omaniku, paranduse ja kordustestita.
Ettevõttekeskkondade jaoks annab Claryseci Varundamise ja taastamise poliitika [BRP] formaalsema juhtimiskorralduse. Jaotise „Juhtimisnõuded“ poliitikaklausel 5.1 sätestab:
Varunduse põhiplaani tuleb hallata ja igal aastal läbi vaadata. See peab täpsustama:
See algnõue kehtestab keskse juhtimisartefakti. Varunduse põhiplaan peaks tuvastama süsteemid, andmekogumid, varundussageduse, säilitamise, asukoha, omandi, klassifikatsiooni, sõltuvused ja testimise sageduse.
Sama Varundamise ja taastamise poliitika jaotise „Juhtimisnõuded“ poliitikaklausel 5.2 seob varundusootused ärimõjuga:
Kõik süsteemid ja rakendused, mis on ärimõju analüüsis (BIA) klassifitseeritud kriitilise või suure mõjuga süsteemideks, peavad:
Siin koonduvad BIA ja varunduse juhtimine. Kriitilised ja suure mõjuga süsteemid nõuavad tugevamat taastamiskindlust, sagedasemat testimist, paremat sõltuvuste kaardistust ja distsiplineeritumat tõendusmaterjali.
Üks tõendusmudel ISO 27001:2022, NIS2, DORA, NIST ja COBIT 2019 jaoks
Vastavusmeeskonnad on sageli hädas raamistike dubleerimisega. ISO 27001:2022 nõuab riskipõhist kontrollimeetmete valikut ja tõendusmaterjali. NIS2 eeldab küberturbe riskijuhtimismeetmeid, sealhulgas talitluspidevust. DORA eeldab IKT-riskide juhtimist, reageerimist ja taastamist, varundus- ja taastamisprotseduure ning digitaalse tegevuskerksuse testimist. NIST ja COBIT 2019 kasutavad taas teistsugust keelt.
Lahendus ei ole luua iga raamistiku jaoks eraldi varundusprogrammi. Lahendus on luua üks tõendusmudel, mida saab vaadelda eri auditiperspektiividest.
| Raamistiku vaade | Mida varundamise ja taastetestimine tõendab | Tõendusmaterjal, mida hoida auditivalmina |
|---|---|---|
| ISO 27001:2022 | Riske käsitletakse valitud kontrollimeetmetega, neid testitakse, seiratakse ja täiustatakse ISMS-i kaudu | Kohaldamisala, riskiregister, SoA, varundusgraafik, taastamiskirjed, siseauditi tulemused, CAPA register |
| NIS2 | Elutähtsad või olulised teenused taluvad küberhäireid ja taastuvad neist | Talitluspidevuse plaanid, kriisiprotseduurid, varundustestid, seosed intsidentidele reageerimisega, juhtkonna järelevalve |
| DORA | Kriitilisi või olulisi funktsioone toetavad IKT-teenused on tegevuskerksed ja taastatavad | IKT-varade kaardistus, RTO/RPO, taastetestide aruanded, kolmandate osapoolte sõltuvuste tõendusmaterjal, taastamisprotseduurid |
| NIST CSF | Taastevõimekused toetavad vastupidavaid küberturbe tulemusi | Taasteplaanid, varukoopiate tervikluskontrollid, kommunikatsiooniprotseduurid, õppetunnid |
| COBIT 2019 | Valitsemis- ja juhtimiseesmärke toetavad mõõdetavad kontrollimeetmed ja määratud vastutus | Protsessi omamine, mõõdikud, kontrollimeetmete toimivus, probleemide jälgimine, juhtkonnale aruandlus |
NIS2 puhul on kõige otsesem viide Article 21 küberturbe riskijuhtimismeetmete kohta. Article 21(2)(c) hõlmab konkreetselt talitluspidevust, näiteks varunduse haldust, katastroofitaastet ja kriisijuhtimist. Article 21(2)(f) on samuti oluline, sest see käsitleb poliitikaid ja protseduure küberturbe riskijuhtimismeetmete tõhususe hindamiseks. Taastetestimine on täpselt see: tõendusmaterjal, et meede toimib.
DORA puhul on tugevaimad seosed Article 11 reageerimise ja taastamise kohta, Article 12 varunduspoliitikate ja -protseduuride, taastamisprotseduuride ja -meetodite kohta ning Article 24 digitaalse tegevuskerksuse testimise üldnõuete kohta. Finantsüksuste puhul ei pruugi üksnes andmebaasi taastetest olla piisav, kui äriteenus sõltub pilveidentiteedist, makselüüsi ühenduvusest, allhanke korras majutusest või hallatud seirest. DORA-tüüpi tõendusmaterjal peab olema teenusetasemel, mitte ainult serveritasemel.
| ISO/IEC 27001:2022 kontrollimeede | Seos DORA-ga | Seos NIS2-ga |
|---|---|---|
| 8.13 Teabe varundamine | Article 12 nõuab varunduspoliitikaid, taastamisprotseduure ja -meetodeid | Article 21(2)(c) hõlmab varunduse haldust ja katastroofitaastet talitluspidevuse meetmetena |
| 5.30 IKT valmidus talitluspidevuseks | Article 11 nõuab reageerimis- ja taastevõimekust ning Article 24 nõuab tegevuskerksuse testimist | Article 21(2)(c) hõlmab talitluspidevust ja kriisijuhtimist |
| 8.14 Infotöötlusrajatiste liiasus | Articles 6 ja 9 toetavad IKT-riski juhtimist, kaitset, ennetust ja üksikute rikkepunktide vähendamist | Article 21 nõuab asjakohaseid ja proportsionaalseid meetmeid võrgu- ja infosüsteemide riskide juhtimiseks |
| 5.29 Infoturve katkestuse ajal | Article 11 reageerimine ja taastamine nõuab kontrollitud taastamist intsidentide ajal | Article 21 riskijuhtimismeetmed nõuavad talitluspidevust ilma turbekontrollidest loobumata |
See on ühtse vastavusstrateegia tõhusus. Kvartaalne taastetest maksesüsteemi jaoks võib toetada ISO 27001:2022 lisa A tõendusmaterjali, NIS2 talitluspidevuse ootusi, DORA IKT-taaste nõudeid, NIST CSF Recover-tulemusi ja COBIT 2019 juhtimisaruandlust, kui tõendusmaterjal on õigesti struktureeritud.
Praktiline taastetest, millest saab auditivalmis tõendusmaterjal
Naaseme Sarah’ esmaspäevahommikuse stsenaariumi juurde, kuid kujutame ette, et tema organisatsioon valmistus Claryseci tööriistakomplekti abil.
Maksete kinnitamise platvorm on BIA-s klassifitseeritud kriitiliseks. Kinnitatud RTO on neli tundi. Kinnitatud RPO on üks tund. Platvorm sõltub andmebaasiklastrist, identiteedipakkujast, saladuste hoidlast, logimistorustikust, DNS-ist, sertifikaatidest ja väljuva e-posti releest.
Sarah’ meeskond koostab kvartaalset taastetesti kuue sammu ümber.
1. samm: kinnita kohaldamisala ja sõltuvused
Kasutades Zenith Blueprint 2. sammu, kinnitab Sarah, et makseplatvorm, andmebaas, identiteediintegratsioon, varundustaristu ja taastekeskkond kuuluvad ISMS-i kohaldamisalasse. Õigusosakond kinnitab regulatiivse asjakohasuse. Finantsfunktsioon kinnitab ärimõju. IT kinnitab sõltuvused.
See väldib klassikalist viga, kus taastatakse ainult andmebaas, kuid eiratakse autentimisteenust, mida on vaja rakendusele juurdepääsuks.
2. samm: seo test riskiregistriga
Kasutades Zenith Blueprint 11. sammu, sisaldab riskiregister stsenaariumi: „Maksete kinnitamise platvormi andmete kaotus või krüpteerimine takistab maksetoiminguid ja tekitab regulatiivse kokkupuute.“
Olemasolevad kontrollimeetmed hõlmavad igapäevaseid varukoopiaid, muutmatut pilvsalvestust, mitme asukohaga varukoopiaid, kvartaalset taastetestimist ja dokumenteeritud taastamise tööjuhiseid. Riskiomanik on taristu juht. Äriomanik on finantstoimingute omanik. Käsitlusotsus on maandamine.
3. samm: kaardista riskikäsitlus SoA-sse
Kasutades Zenith Blueprint 13. sammu, kaardistab SoA riski ISO/IEC 27001:2022 lisa A kontrollimeetmetega 8.13, 5.30, 8.14 ja 5.29. SoA selgitab, et varunduse testimine annab korrigeeriva taastevõimekuse, IKT talitluspidevuse protseduurid toetavad talitluspidevust, liiasus vähendab katkestuse tõenäosust ning infoturve häire ajal takistab ebaturvalisi taastamise otseteid.
4. samm: kasuta poliitikaklausleid testikriteeriumidena
Meeskond kasutab VKE varundamise ja taastamise poliitika klauslit 5.3.3 kvartaalsete taastetestide jaoks, klauslit 8.2.2 tõendusmaterjali säilitamiseks ja klauslit 6.3.1.1 mitme asukohaga salvestuse jaoks. Lisaks kasutatakse VKE talitluspidevuse ja katastroofitaaste poliitika klauslit 5.2.1.4 RTO/RPO sihttasemete jaoks ning klauslit 6.4.2 õppetundide ja BCP uuenduste jaoks.
| Testikriteerium | Sihttase | Tõendusmaterjal |
|---|---|---|
| Taastamise sagedus | Kord kvartalis | Testikalender ja kinnitatud ajakava |
| RTO | 4 tundi | Algusaeg, lõppaeg, möödunud taastamisaeg |
| RPO | 1 tund | Varukoopia ajatempel ja tehingu valideerimine |
| Asukohad | Kohalikud ja pilve varukoopiaallikad on saadaval | Varukoopiate hoidla aruanne |
| Terviklus | Andmebaasi konsistentsikontrollid läbivad testi | Valideerimislogid |
| Rakendus | Finantskasutaja saab testmakse kinnitada | Äripoole valideerimiskinnitus |
| Turvalisus | Logimine, juurdepääsukontrollid ja saladused valideeritakse pärast taastamist | Turbekontrollnimekiri ja ekraanipildid |
5. samm: tee taastamine ja salvesta faktid
Taastamine tehakse isoleeritud taastekeskkonnas. Meeskond salvestab ajatemplid, varukoopiakomplekti tunnused, taastamissammud, vead, valideerimistulemused ja kinnitused.
Tugev taastetesti kirje peaks sisaldama järgmist:
| Taastetesti väli | Näide |
|---|---|
| Testi ID | Q2-2026-PAY-RESTORE |
| Testitud süsteem | Maksete kinnitamise platvorm |
| Kasutatud varukoopiakomplekt | Makseplatvormi varukoopia kinnitatud taastepunktist |
| Taastamiskoht | Isoleeritud taastekeskkond |
| RTO sihttase | 4 tundi |
| RPO sihttase | 1 tund |
| Tegelik taastamisaeg | 2 tundi 45 minutit |
| Tegelik taastepunkt | 42 minutit |
| Tervikluse valideerimine | Andmebaasi konsistentsikontrollid läbitud |
| Äripoole valideerimine | Finantskasutaja kinnitas testmakse |
| Turbe valideerimine | Logimine, juurdepääsukontrollid, saladused ja seire kinnitatud |
| Tulemus | Läbitud tingimusega |
| Kinnitus | Infoturbejuht, taristu juht, finantstoimingute omanik |
Testi käigus avastab meeskond ühe probleemi. Taastatud rakendus ei saa saata teavituskirju, sest e-posti relee lubatud loend ei sisalda taastekeskkonna alamvõrku. Põhiline maksete kinnitamine töötab, kuid töövoog on piiratud.
6. samm: dokumenteeri õppetunnid ja parandusmeetmed
Siin lõpetavad paljud organisatsioonid liiga vara. Claryseci lähenemine suunab probleemi parendussüsteemi.
Auditi, läbivaatamise ja täiustamise faasis, 29. sammus „Pidev täiustamine“, kasutab Zenith Blueprint CAPA registrit, et jälgida probleemi kirjeldust, algpõhjust, parandusmeedet, omanikku, sihtkuupäeva ja staatust.
| CAPA väli | Näide |
|---|---|
| Probleemi kirjeldus | Taastatud makseplatvorm ei saanud taastekeskkonna alamvõrgust e-posti teavitusi saata |
| Algpõhjus | Taastevõrku ei olnud e-posti relee lubatud loendi disainis arvesse võetud |
| Parandusmeede | Uuendada taastearhitektuuri ja e-posti relee lubatud loendi protseduuri |
| Omanik | Taristu juht |
| Sihtkuupäev | 15 tööpäeva |
| Staatus | Avatud, ootab kordustesti |
See üks taastetest loob nüüd auditivalmis tõendusahela: poliitikanõue, kohaldamisala kinnitus, riskikaardistus, SoA kaardistus, testiplaan, täitmiskirje, äripoole valideerimine, turbe valideerimine, probleemikirje, parandusmeede ja BCP uuendus.
Kuidas eri audiitorid sama tõendusmaterjali hindavad
Tugev tõenduspakett arvestab audiitori vaatenurka.
ISO 27001:2022 audiitor alustab tavaliselt juhtimissüsteemist. Ta küsib, kas varundamise ja taastamise nõuded on kohaldamisalasse hõlmatud, riskipõhised, rakendatud, seiratud, siseauditeeritud ja täiustatud. Ta eeldab jälgitavust riskiregistrist SoA-ni ja sealt operatiivsete kirjeteni. Samuti võib ta seostada ebaõnnestunud testid ja parandusmeetmed ISO/IEC 27001:2022 clause 10.2 nõuetega mittevastavuse ja parandusmeetmete kohta.
DORA läbivaataja keskendub kriitiliste või oluliste funktsioonide digitaalsele tegevuskerksusele. Ta soovib näha teenusetaseme taastamist, kolmandate osapoolte IKT-sõltuvusi, stsenaariumipõhist testimist, juhtorgani järelevalvet ja tõendusmaterjali selle kohta, et taastamisprotseduurid on tõhusad.
NIS2 järelevalveperspektiiv otsib asjakohaseid ja proportsionaalseid küberturbe riskijuhtimismeetmeid. Varunduse ja katastroofitaaste tõendusmaterjal peab näitama, et elutähtsad või olulised teenused suudavad pärast intsidente tegevust säilitada või taastada ning juhtkond on jääkriskist teadlik.
NIST-põhine hindaja keskendub küberturbe tulemitele funktsioonide Identify, Protect, Detect, Respond ja Recover lõikes. Ta võib küsida muutmatute varukoopiate, privilegeeritud juurdepääsu kohta varukoopiate hoidlatesse, taastamise kohta puhastesse keskkondadesse, kommunikatsiooni ja õppetundide kohta.
COBIT 2019 või ISACA-stiilis audiitor rõhutab valitsemist, protsessi omamist, mõõdikuid, juhtkonnale aruandlust ja probleemide jälgimist. Tehniliselt elegantne taastamine avaldab talle vähem muljet, kui omanikud ja aruandlus on ebaselged.
Sama tõendusmaterjal võib rahuldada kõiki neid vaatenurki, kuid ainult siis, kui see on täielik.
Levinud taastetestimise puudused, mis tekitavad auditileide
Clarysec näeb korduvalt samu ennetatavaid tõenduslünki.
| Puuduse muster | Miks see tekitab auditiriski | Praktiline parandus |
|---|---|---|
| Varunduse õnnestumist käsitatakse taastamise õnnestumisena | Kopeerimise lõpuleviimine ei tõenda taastatavust | Tee dokumenteeritud taasteteste koos valideerimisega |
| RTO ja RPO on määratletud, kuid testimata | Talitluspidevuse eesmärgid võivad olla ebarealistlikud | Mõõda testide käigus tegelik taastamisaeg ja taastepunkt |
| Taastamist valideerib ainult taristu | Äriprotsess võib endiselt olla kasutuskõlbmatu | Nõua kriitiliste süsteemide puhul äriomaniku kinnitust |
| Testikirjed on hajutatud | Audiitorid ei saa järjepidevust kontrollida | Kasuta standardset taastetesti aruande malli ja tõendusmaterjali kausta |
| Ebaõnnestunud teste arutatakse, kuid neid ei jälgita | Pideva täiustamise tõendusmaterjal puudub | Logi probleemid CAPA-sse koos omaniku, tähtaja ja kordustestiga |
| Varukoopiad asuvad ühes loogilises rikkedomeenis | Lunavara või väärkonfiguratsioon võib taastatavuse hävitada | Kasuta eraldatud asukohti, muutmatut salvestust ja juurdepääsukontrolli |
| Sõltuvused jäetakse välja | Taastatud rakendused ei pruugi töötada | Kaardista identiteet, DNS, saladused, sertifikaadid, integratsioonid ja logimine |
| Turvalisust eiratakse taastamise ajal | Taastatud teenused võivad olla haavatavad või seireta | Lisa taastamisjärgne turbe valideerimine |
Eesmärk ei ole bürokraatia. Eesmärk on usaldusväärne taastamine surveolukorras ja kaitstav tõendusmaterjal auditi ajal.
Loo juhatuse tasandi taastamistõendite pakett
Tippjuhid ei vaja tooreid varundusloge. Nad vajavad kindlust, et kriitilised teenused on taastatavad, erandid on teada ja parendustegevused liiguvad edasi.
Iga kriitilise teenuse kohta esita:
- Teenuse nimi ja äriomanik
- Kriitilisus BIA järgi
- Kinnitatud RTO ja RPO
- Viimase taastetesti kuupäev
- Saavutatud RTO ja RPO
- Testi tulemus
- Avatud parandusmeetmed
- Taastamist mõjutavad kolmandate osapoolte sõltuvused
- Jääkriski avaldus
- Järgmine planeeritud test
| Kriitiline teenus | RTO/RPO | Viimane test | Tulemus | Avatud probleem | Sõnum juhtkonnale |
|---|---|---|---|---|---|
| Maksete kinnitamise platvorm | 4h/1h | 2026-04-12 | Läbitud tingimusega | E-posti relee taastekeskkonna alamvõrgu lubatud loend | Põhiline maksete kinnitamine taastati sihttaseme piires, teavitustöövoo parandus on käimas |
| Kliendiportaal | 8h/2h | 2026-03-20 | Ebaõnnestus | Andmebaasi taastamine ületas RTO-d 90 minuti võrra | Vajalik on võimsuse ja taastamisprotsessi parendamine |
| Identiteedipakkuja taastamine | 2h/15m | 2026-04-05 | Läbitud | Puudub | Toetab sõltuvate kriitiliste teenuste taastamist |
Selline aruandlus loob silla tehniliste meeskondade, audiitorite ja juhtkonna vahel. See toetab ka ISMS-i juhtkonnapoolset läbivaatust ning toimepidevuse järelevalvet NIS2 ja DORA raames.
Praktiline auditi kontrollnimekiri järgmiseks 30–90 päevaks
Kui audit läheneb, alusta olemasolevast tõendusmaterjalist ja sulge kõige suurema riskiga lüngad esimesena.
- Tuvasta BIA põhjal kõik kriitilised ja suure mõjuga süsteemid.
- Kinnita iga kriitilise süsteemi RTO ja RPO.
- Kontrolli, et iga kriitiline süsteem on varunduse põhiplaanis.
- Kinnita varukoopiate asukohad, sealhulgas kohalikud, pilvepõhised, muutmatud või eraldatud hoidlad.
- Vali iga kriitilise teenuse kohta vähemalt üks hiljutine taastetest või planeeri test kohe.
- Veendu, et taastetestide kirjed näitavad kohaldamisala, ajatempleid, varukoopiakomplekti, tulemust, saavutatud RTO/RPO-d ja valideerimist.
- Hangi rakendustaseme taastamise kohta äriomaniku kinnitus.
- Valideeri turvalisus pärast taastamist, sealhulgas juurdepääsukontroll, logimine, seire, saladused, sertifikaadid ja kokkupuude haavatavustega.
- Kaardista tõendusmaterjal riskiregistri ja SoA-ga.
- Kirjenda probleemid CAPA-s, määra omanikud ja jälgi kordustesti.
- Tee juhtkonnapoolseks läbivaatuseks tulemuste kokkuvõte.
- Valmista ISO 27001:2022, NIS2, DORA, NIST CSF ja COBIT 2019 auditiaruteludeks ette valdkondadeülene vastavusvaade.
Kui sa ei jõua enne auditit kõiki punkte täita, ole läbipaistev. Audiitorid reageerivad tavaliselt paremini dokumenteeritud lüngale koos parandusmeetmete plaaniga kui ebamäärastele väidetele küpsuse kohta.
Tee taastetestimisest oma tugevaim toimepidevuse tõendusmaterjal
Varundamise ja taastetestimine on üks selgemaid viise digitaalse tegevuskerksuse tõendamiseks. See on käegakatsutav, mõõdetav, äriliselt asjakohane ning otseselt seotud ISO 27001:2022, NIS2, DORA, NIST, COBIT 2019, juhatusele aruandluse, kliendikindluse ja kindlustusandjate ootustega.
Aga ainult siis, kui see on nõuetekohaselt dokumenteeritud.
Clarysec aitab organisatsioonidel muuta varundustoimingud auditivalmis tõendusmaterjaliks järgmiste lahenduste kaudu: Varundamise ja taastamise poliitika, VKE varundamise ja taastamise poliitika, VKE talitluspidevuse ja katastroofitaaste poliitika, Zenith Blueprint ja Zenith Controls.
Sinu järgmine praktiline samm on lihtne. Vali sel nädalal üks kriitiline teenus. Tee taastetest selle kinnitatud RTO ja RPO suhtes. Dokumenteeri tulemus. Kaardista see riskiregistri ja SoA-ga. Logi iga õppetund.
Kui soovid, et see protsess oleks korratav ISO 27001:2022, NIS2, DORA, NIST ja COBIT 2019 üleselt, annab Claryseci tööriistakomplekt struktuuri taastamise tõendamiseks ilma vastavuslabürinti nullist ehitamata.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
