Auditra kész helyreállítási tesztelés ISO 27001, NIS2 és DORA szerint

Hétfő reggel 07:40 van, és Sarah, egy gyorsan növekvő pénzügyi technológiai vállalat információbiztonsági vezetője valós időben figyeli, ahogy válsághelyzet bontakozik ki. A pénzügyi igazgató nem tudja megnyitni a fizetésjóváhagyási platformot. A service desk tárolási problémára gyanakszik. Az infrastruktúra-csapat zsarolóvírusra gyanakszik, mert több megosztott mappában már titkosított fájlnevek láthatók. A vezérigazgató azt szeretné tudni, hogy a bérszámfejtés biztonságban van-e. A jogi osztály azt kérdezi, szükséges-e értesíteni a felügyeleti hatóságokat.

Sarah megnyitja a biztonsági mentési irányítópultot. Tele van zöld pipákkal.

Ennek megnyugtatónak kellene lennie, de nem az. Egy sikeres biztonsági mentési feladat nem bizonyítja a sikeres helyreállítást. Olyan ez, mintha látnánk egy tűzoltó készüléket a falon, de nem tudnánk, fel van-e töltve, hozzáférhető-e, és nyomás alatt működik-e.

Sarah vállalata az ISO 27001:2022 hatálya alá tartozik, a NIS2 szerint fontos szervezetnek minősül, és pénzügyi szervezetként a DORA hatálya is kiterjed rá. A kérdés már nem az, hogy a szervezet készít-e biztonsági mentéseket. A kérdés az, hogy képes-e a megfelelő rendszereket a megfelelő időpontra helyreállítani, a jóváhagyott helyreállítási időcélokon (RTO) és helyreállítási pontcélokon (RPO) belül, olyan erős bizonyítékokkal, amelyek egy auditor, felügyeleti hatóság, ügyfél, biztosító és az igazgatóság előtt is megállják a helyüket.

Itt bukik el sok biztonsági mentési program. Vannak biztonsági mentési feladataik. Vannak irányítópultjaik. Vannak pillanatképeik. Akár felhőalapú tárolásuk is lehet. Amikor azonban nyomás alá kerülnek, nem tudják igazolni, hogy a kritikus rendszerek helyreállíthatók, hogy a helyreállítási teszteket elvégezték, hogy a sikertelen tesztek helyesbítő intézkedést indítottak, és hogy a bizonyítékok egyértelműen megfeleltethetők az ISO 27001:2022, NIS2, DORA, NIST és COBIT 2019 elvárásainak.

A biztonsági mentési és helyreállítási tesztelés igazgatósági szintű működési reziliencia kérdéssé vált. A NIS2 magasabb elvárásokat támaszt a kiberbiztonsági kockázatkezeléssel és az üzletmenet-folytonossággal szemben. A DORA a digitális működési rezilienciát a pénzügyi szervezetek és kritikus IKT-szolgáltatóik alapvető kötelezettségévé teszi. Az ISO 27001:2022 biztosítja az irányítási rendszer keretét a hatókör, a kockázat, a kontrollkiválasztás, a bizonyítékok, az audit és a folyamatos fejlesztés kezeléséhez.

A gyakorlati kihívás az, hogyan válik egy technikai helyreállítási teszt auditra alkalmas bizonyítékká.

A biztonsági mentés nem bizonyíték, amíg a helyreállítás nincs igazolva

Egy sikeresen befejeződő biztonsági mentési feladat csak részleges jelzés. Azt mutatja, hogy az adatok valahová átmásolódtak. Nem bizonyítja, hogy az adatok helyreállíthatók, hogy az alkalmazásfüggőségek épek, hogy a titkosítási kulcsok rendelkezésre állnak, hogy az identitásszolgáltatások továbbra is működnek, vagy hogy a helyreállított rendszer támogatja a valós üzleti működést.

Az auditorok tudják ezt. A felügyeleti hatóságok tudják ezt. A támadók is tudják ezt.

Egy technikailag felkészült auditor nem áll meg egy olyan képernyőkép láttán, amely 97 százalékos biztonsági mentési feladatsikert mutat. A következőket fogja kérdezni:

• Mely rendszerek kritikusak vagy magas hatásúak?
• Milyen RTO és RPO vonatkozik az egyes rendszerekre?
• Mikor történt az utolsó helyreállítási teszt?
• A teszt teljes, részleges, alkalmazásszintű, adatbázisszintű vagy fájlszintű volt?
• Ki ellenőrizte az üzleti folyamatot a helyreállítás után?
• A hibákat meg nem felelésként vagy fejlesztési intézkedésként rögzítették?
• Mennyi ideig őrzik meg a naplókat és a helyreállítási tesztek nyilvántartásait?
• A biztonsági mentési példányokat elkülönített helyszíneken tárolják?
• Hogyan képezhető le a bizonyíték a kockázati nyilvántartásra és az alkalmazhatósági nyilatkozatra?

Ezért szándékosan közvetlen a Clarysec szabályzati nyelvezete. A Biztonsági mentési és helyreállítási szabályzat – SME [BRP-SME] Irányítási követelmények szakaszának 5.3.3 szabályzati pontja előírja:

A helyreállítási teszteket legalább negyedévente el kell végezni, és az eredményeket dokumentálni kell a helyreállíthatóság ellenőrzése érdekében

Ez az egy mondat megváltoztatja az auditbeszélgetést. A szervezetet elmozdítja a „vannak biztonsági mentéseink” állítástól oda, hogy „meghatározott gyakorisággal ellenőrizzük a helyreállíthatóságot, és megőrizzük az eredményeket”.

Ugyanezen Biztonsági mentési és helyreállítási szabályzat – SME Betartatás és megfelelés szakaszának 8.2.2 szabályzati pontja megerősíti a bizonyítékokkal kapcsolatos kötelezettséget:

A naplókat és a helyreállítási tesztek nyilvántartásait auditcélokra meg kell őrizni

Ez a pont megakadályozza, hogy a helyreállítási tesztelés dokumentálatlan szervezeti emlékezetté váljon. Ha egy infrastruktúramérnök azt mondja: „Ezt márciusban teszteltük”, de nincs róla bejegyzés, az nem auditra alkalmas bizonyíték.

Ugyanez a szabályzat a tárolási diverzitáson keresztüli túlélőképességet is kezeli. A szabályzat végrehajtási követelményei szakasz 6.3.1.1 pontja szerint a biztonsági mentéseket:

Legalább két helyen kell tárolni (helyben és felhőben)

Ez gyakorlati alapkövetelmény. Nem helyettesíti a kockázatértékelést, de csökkenti annak esélyét, hogy egyetlen fizikai vagy logikai hibadomén megsemmisítse az éles adatokat és a biztonsági mentési adatokat is.

Az ISO 27001:2022 szerinti bizonyítéklánc a teszt előtt kezdődik

A szervezetek gyakran IT-üzemeltetési témaként kezelik a biztonsági mentési megfelelést. ISO 27001:2022 szempontból ez túl szűk megközelítés. A biztonsági mentési és helyreállítási tesztelést be kell építeni az információbiztonsági irányítási rendszerbe, és kapcsolni kell a hatókörhöz, a kockázatokhoz, a kontrollkiválasztáshoz, a monitorozáshoz, a belső audithoz és a folyamatos fejlesztéshez.

A Clarysec Zenith Blueprint: egy auditor 30 lépéses ütemterve [ZB] ezt a bizonyítékláncot még azelőtt elindítja, hogy bármilyen helyreállítási teszt megtörténne.

Az IBIR-alapok és vezetés fázisában, a 2. lépésben, az érdekelt felek igényei és az IBIR hatóköre résznél a Zenith Blueprint arra utasítja a szervezeteket, hogy határozzák meg, mi tartozik az IBIR-be:

4.3 intézkedési pont: Készítsen IBIR hatókör-nyilatkozatot. Sorolja fel, mi tartozik bele (üzleti egységek, helyszínek, rendszerek), és milyen kizárások vannak. Ossza meg ezt a tervezetet a felső vezetéssel véleményezésre – nekik egyet kell érteniük abban, hogy az üzlet mely részei tartoznak az IBIR hatálya alá. Célszerű ezt a hatókört összevetni a korábbi érdekelt felekre vonatkozó követelménylistával is: lefedi-e a hatókör mindazokat a területeket, amelyek e követelmények teljesítéséhez szükségesek?

A helyreállítási tesztelésnél a hatókör határozza meg a helyreállítási univerzumot. Ha a fizetésjóváhagyási platform, az identitásszolgáltató, az ERP-adatbázis, a végpontkezelő szerver és a felhőalapú objektumtároló hatókörben van, akkor a helyreállítási bizonyítékoknak ezeket tartalmazniuk kell, vagy indokolniuk kell, miért nem. Ha egy rendszer ki van zárva, a kizárást igazolni kell az érdekelt felek követelményei, a szerződéses kötelezettségek, a szabályozói kötelezettségek és az üzletmenet-folytonossági igények alapján.

A következő láncszem a kockázat. A Kockázatkezelés fázis 11. lépésében, a kockázati nyilvántartás kialakítása és dokumentálása résznél a Zenith Blueprint a kockázati nyilvántartást a kockázatok, eszközök, fenyegetések, sérülékenységek, aktuális kontrollok, tulajdonosok és kockázatkezelési döntések fő nyilvántartásaként írja le.

Egy biztonsági mentéshez kapcsolódó kockázati bejegyzésnek gyakorlati jellegűnek kell lennie, nem elméletinek.

Itt válik a biztonsági mentés auditálhatóvá. Már nem arról van szó, hogy „vannak biztonsági mentéseink”. Hanem arról, hogy „azonosítottunk egy üzleti kockázatot, kontrollokat választottunk ki, felelőst rendeltünk hozzá, teszteltük a kontrollt, és megőriztük a bizonyítékokat”.

A Zenith Blueprint Kockázatkezelés fázisának 13. lépése, a kockázatkezelési tervezés és az alkalmazhatósági nyilatkozat, lezárja a visszakövethetőségi kört:

Kontrollok leképezése kockázatokra és pontokra (visszakövethetőség)

Most, hogy rendelkezik a kockázatkezelési tervvel és az SoA-val is:

✓ Képezze le a kontrollokat a kockázatokra: a kockázati nyilvántartás kockázatkezelési tervében bizonyos kontrollokat sorolt fel minden kockázathoz. Hozzáadhat egy „Annex A kontrollhivatkozás” oszlopot minden kockázathoz, és felsorolhatja benne a kontrollszámokat.

A biztonsági mentési és helyreállítási tesztelésnél az alkalmazhatósági nyilatkozatnak (SoA) össze kell kapcsolnia a kockázati forgatókönyvet az ISO/IEC 27001:2022 A melléklet szerinti kontrolljaival, különösen a 8.13 Információk biztonsági mentése, 5.30 IKT-felkészültség az üzletmenet-folytonosságra, 8.14 Információfeldolgozó létesítmények redundanciája és 5.29 Információbiztonság zavart működés során kontrollokkal.

Az SoA-nak nem elég pusztán alkalmazandóként megjelölnie ezeket a kontrollokat. Meg kell magyaráznia, miért alkalmazandók, milyen bevezetési bizonyíték áll rendelkezésre, ki a kontrollgazda, és hogyan kezelik a kivételeket.

Az auditorok által elvárt kontrolltérkép

A Clarysec Zenith Controls: keresztmegfelelési útmutató [ZC] nem hoz létre különálló vagy saját fejlesztésű kontrollokat. A hivatalos szabványokat és keretrendszereket gyakorlati keresztmegfelelési nézetbe rendezi, hogy a szervezetek megértsék, miként támogat több kötelezettséget egyetlen operatív gyakorlat, például a helyreállítási tesztelés.

Az ISO/IEC 27002:2022 8.13 Információk biztonsági mentése kontroll esetében a Zenith Controls a kontrollt helyesbítő kontrollként sorolja be, amely a sértetlenséghez és a rendelkezésre álláshoz kapcsolódik, a Recover kiberbiztonsági koncepcióhoz igazodik, támogatja a folytonossági működési képességet, és a Védelmi biztonsági tartományban helyezkedik el. Ez a profil a biztonsági mentéseket helyreállítási képességként keretezi újra, nem pusztán tárolási folyamatként.

Az ISO/IEC 27002:2022 5.30 IKT-felkészültség az üzletmenet-folytonosságra kontroll esetében a Zenith Controls a kontrollt helyesbítő kontrollként sorolja be, amely a rendelkezésre állásra fókuszál, a Respond elemhez igazodik, támogatja a folytonosságot, és a Reziliencia biztonsági tartományban helyezkedik el. Itt kapcsolódik a helyreállítási tesztelés közvetlenül a működési rezilienciához.

Az ISO/IEC 27002:2022 8.14 Információfeldolgozó létesítmények redundanciája kontroll esetében a Zenith Controls megelőző kontrollt azonosít, amely a rendelkezésre állásra fókuszál, a Protect elemhez igazodik, támogatja a folytonosságot és az eszközkezelést, valamint kapcsolódik a Védelem és Reziliencia tartományokhoz. A redundancia és a biztonsági mentés nem ugyanaz. A redundancia segít megelőzni a kiesést. A biztonsági mentések lehetővé teszik a helyreállítást adatvesztés, adatsérülés vagy támadás után.

Az ISO/IEC 27002:2022 5.29 Információbiztonság zavart működés során kontroll esetében a Zenith Controls tágabb profilt mutat: megelőző és helyesbítő kontroll, amely lefedi a bizalmasságot, sértetlenséget és rendelkezésre állást, a Protect és Respond elemekhez igazodik, támogatja a folytonosságot, és kapcsolódik a Védelem és Reziliencia területekhez. Ez zsarolóvírus utáni helyreállításkor azért fontos, mert a helyreállítás nem hozhat létre új biztonsági hibákat, például sérülékeny rendszerképek visszaállításával, a naplózás megkerülésével vagy túlzott jogosultságok újraaktiválásával.

A gyakorlati tanulság egyszerű. A helyreállítási teszt nem elszigetelt kontroll. Egy teljes reziliencialáncon átívelő bizonyíték.

A rejtett auditkockázat: RTO és RPO bizonyíték nélkül

Az egyik leggyakoribb folytonossági auditmegállapítás a dokumentált RTO/RPO és a valós helyreállítási képesség közötti rés.

Az üzletmenet-folytonossági terv szerint az ügyfélportál RTO-ja négy óra, RPO-ja egy óra lehet. A biztonsági mentési platform óránként fut. Az első reális helyreállítási gyakorlat során azonban a csapat rájön, hogy az adatbázis visszaállítása három órát vesz igénybe, a DNS-módosítások további egy órát igényelnek, az alkalmazástanúsítvány lejárt, és az identitásintegráció soha nem került be a helyreállítási forgatókönyvbe. A tényleges helyreállítási idő nyolc óra.

A dokumentált RTO fikció volt.

A Clarysec Üzletmenet-folytonossági és katasztrófa utáni helyreállítási szabályzat – SME [BCDR-SME] Irányítási követelmények szakaszának 5.2.1.4 szabályzati pontja egyértelművé teszi a folytonossági követelményt:

Helyreállítási időcélok (RTO-k) és helyreállítási pont célértékek (RPO-k) minden rendszerre

Ez azért fontos, mert a „kritikus szolgáltatások gyors helyreállítása” nem mérhető. Az viszont mérhető, hogy „a fizetésjóváhagyási adatbázist négy órán belül, legfeljebb egy órányi adatvesztéssel kell helyreállítani”.

Ugyanezen Üzletmenet-folytonossági és katasztrófa utáni helyreállítási szabályzat – SME A szabályzat végrehajtási követelményei szakaszának 6.4.2 szabályzati pontja a tesztelést fejlesztéssé alakítja:

Minden teszteredményt dokumentálni kell, a levont tanulságokat rögzíteni kell, és fel kell használni a BCP frissítéséhez.

Egy sikertelen helyreállítás önmagában nem feltétlenül auditkatasztrófa. Az viszont igen, ha a sikertelen helyreállításhoz nem tartozik dokumentált tanulság, felelős, korrekció és újratesztelés.

Vállalati környezetekhez a Clarysec Biztonsági mentési és helyreállítási szabályzat [BRP] formálisabb irányítást biztosít. Az Irányítási követelmények szakasz 5.1 szabályzati pontja kimondja:

Központi biztonsági mentési ütemtervet kell fenntartani és évente felülvizsgálni. Ennek tartalmaznia kell:

Ez a nyitókövetelmény hozza létre az alapvető irányítási artefaktumot. A központi biztonsági mentési ütemtervnek azonosítania kell a rendszereket, adatkészleteket, biztonsági mentési gyakoriságot, megőrzést, helyet, tulajdonosi felelősséget, osztályozást, függőségeket és tesztelési gyakoriságot.

Ugyanezen Biztonsági mentési és helyreállítási szabályzat Irányítási követelmények szakaszának 5.2 szabályzati pontja a biztonsági mentési elvárásokat az üzleti hatáshoz kapcsolja:

Az üzleti hatásvizsgálatban (BIA) Kritikus vagy Magas hatásúként besorolt minden rendszernek és alkalmazásnak:

Itt találkozik a BIA és a biztonsági mentési irányítás. A kritikus és magas hatású rendszerek erősebb helyreállítási bizonyosságot, gyakoribb tesztelést, jobb függőségfeltérképezést és fegyelmezettebb bizonyítékkezelést igényelnek.

Egyetlen bizonyítékmodell ISO 27001:2022, NIS2, DORA, NIST és COBIT 2019 szerint

A megfelelőségi csapatok gyakran küzdenek a keretrendszerek közötti duplikációval. Az ISO 27001:2022 kockázatalapú kontrollkiválasztást és bizonyítékokat vár el. A NIS2 kiberbiztonsági kockázatkezelési intézkedéseket vár el, beleértve az üzletmenet-folytonosságot. A DORA digitális működési rezilienciát, reagálási és helyreállítási képességet, biztonsági mentési és helyreállítási eljárásokat, valamint digitális működési reziliencia tesztelést vár el. A NIST és a COBIT 2019 ismét más nyelvezetet használ.

A megoldás nem az, hogy minden keretrendszerhez külön biztonsági mentési programot építünk. A megoldás egy olyan egységes bizonyítékmodell kialakítása, amely több auditnézőponton keresztül is értelmezhető.

A NIS2 esetében a legközvetlenebb hivatkozás a kiberbiztonsági kockázatkezelési intézkedésekről szóló Article 21. Az Article 21(2)(c) kifejezetten tartalmazza az üzletmenet-folytonosságot, például a biztonsági mentések kezelését, a katasztrófa utáni helyreállítást és a válságkezelést. Az Article 21(2)(f) szintén fontos, mert a kiberbiztonsági kockázatkezelési intézkedések eredményességének értékelésére szolgáló szabályzatokat és eljárásokat érinti. A helyreállítási tesztelés pontosan ez: bizonyíték arra, hogy az intézkedés működik.

A DORA esetében a legerősebb kapcsolódások az Article 11 a reagálásról és helyreállításról, az Article 12 a biztonsági mentési szabályzatokról és eljárásokról, a helyreállítási eljárásokról és módszerekről, valamint az Article 24 a digitális működési reziliencia tesztelésének általános követelményeiről. Pénzügyi szervezeteknél önmagában egy adatbázis-helyreállítási teszt nem feltétlenül elegendő, ha az üzleti szolgáltatás felhőalapú identitásra, fizetési átjáró-kapcsolatra, kiszervezett tárhelyre vagy menedzselt monitorozásra támaszkodik. A DORA szerinti bizonyítéknak szolgáltatásszintűnek kell lennie, nem csupán szerver szintűnek.

Ez az egységes megfelelési stratégia hatékonysága. Egy fizetési rendszer negyedéves helyreállítási tesztje támogatni tudja az ISO 27001:2022 A melléklet szerinti bizonyítékokat, a NIS2 folytonossági elvárásait, a DORA IKT-helyreállítási követelményeit, a NIST CSF Recover eredményeit és a COBIT 2019 irányítási jelentéstételét, ha a bizonyíték megfelelően strukturált.

Gyakorlati helyreállítási teszt, amely auditra alkalmas bizonyítékká válik

Térjünk vissza Sarah hétfő reggeli forgatókönyvéhez, de képzeljük el, hogy a szervezete a Clarysec eszköztárával készült fel.

A fizetésjóváhagyási platform a BIA-ban Kritikus besorolású. A jóváhagyott RTO négy óra. A jóváhagyott RPO egy óra. A platform adatbázis-klasztertől, identitásszolgáltatótól, titoktártól, naplózási pipeline-tól, DNS-től, tanúsítványoktól és kimenő e-mail relaytől függ.

Sarah csapata hat lépés köré épít negyedéves helyreállítási tesztet.

1. lépés: Hatókör és függőségek megerősítése

A Zenith Blueprint 2. lépését használva Sarah megerősíti, hogy a fizetési platform, az adatbázis, az identitásintegráció, a biztonsági mentési infrastruktúra és a helyreállítási környezet az IBIR hatókörébe tartozik. A jogi osztály megerősíti a szabályozási relevanciát. A pénzügy megerősíti az üzleti hatást. Az IT megerősíti a függőségeket.

Ez elkerüli azt a klasszikus hibát, hogy csak az adatbázist állítják vissza, miközben figyelmen kívül hagyják az alkalmazáshoz való hozzáféréshez szükséges hitelesítési szolgáltatást.

2. lépés: A teszt összekapcsolása a kockázati nyilvántartással

A Zenith Blueprint 11. lépését használva a kockázati nyilvántartás tartalmazza a következő forgatókönyvet: „A fizetésjóváhagyási platform adatainak elvesztése vagy titkosítása megakadályozza a fizetési műveleteket, és szabályozói kitettséget okoz.”

A jelenlegi kontrollok közé tartoznak a napi biztonsági mentések, a módosíthatatlan felhőalapú tárolás, a több helyszínen tárolt biztonsági mentési példányok, a negyedéves helyreállítási tesztelés és a dokumentált helyreállítási forgatókönyvek. A kockázatgazda az Infrastruktúra vezetője. Az üzleti tulajdonos a Pénzügyi műveletek területe. A kockázatkezelési döntés: kockázatcsökkentés.

3. lépés: A kockázatkezelés leképezése az SoA-ra

A Zenith Blueprint 13. lépését használva az SoA a kockázatot az ISO/IEC 27001:2022 A melléklet 8.13, 5.30, 8.14 és 5.29 kontrolljaira képezi le. Az SoA kifejti, hogy a biztonsági mentések tesztelése helyesbítő helyreállítási képességet biztosít, az IKT-folytonossági eljárások támogatják az üzletmenet-folytonosságot, a redundancia csökkenti a kiesés valószínűségét, a zavart működés alatti biztonság pedig megelőzi a nem biztonságos helyreállítási rövidítéseket.

4. lépés: Szabályzati pontok használata tesztkritériumként

A csapat a Biztonsági mentési és helyreállítási szabályzat – SME 5.3.3 pontját használja a negyedéves helyreállítási teszteléshez, a 8.2.2 pontot a bizonyítékok megőrzéséhez, valamint a 6.3.1.1 pontot a több helyszínes tároláshoz. Az Üzletmenet-folytonossági és katasztrófa utáni helyreállítási szabályzat – SME 5.2.1.4 pontját használja az RTO/RPO célértékekhez, valamint a 6.4.2 pontot a levont tanulságokhoz és a BCP-frissítésekhez.

5. lépés: A helyreállítás végrehajtása és a tények rögzítése

A helyreállítást elkülönített helyreállítási környezetben végzik el. A csapat rögzíti az időbélyegeket, a biztonsági mentési készlet azonosítóit, a helyreállítási lépéseket, a hibákat, az ellenőrzési eredményeket és a jóváhagyásokat.

Egy erős helyreállítási tesztnyilvántartásnak tartalmaznia kell:

A teszt során a csapat egy problémát tár fel. A helyreállított alkalmazás nem tud értesítő e-maileket küldeni, mert az e-mail relay engedélyezési listája nem tartalmazza a helyreállítási alhálózatot. Az alapvető fizetésjóváhagyás működik, de a munkafolyamat csökkentett funkcionalitású.

6. lépés: Levont tanulságok és helyesbítő intézkedés rögzítése

Itt áll meg túl korán sok szervezet. A Clarysec megközelítése a problémát a fejlesztési rendszerbe vezeti át.

Az Audit, felülvizsgálat és fejlesztés fázis 29. lépésében, a folyamatos fejlesztésnél a Zenith Blueprint CAPA-naplót használ a probléma leírásának, a gyökérok, a helyesbítő intézkedés, a felelős, a tervezett határidő és az állapot nyomon követésére.

Ez az egyetlen helyreállítási teszt most auditra alkalmas bizonyítékláncot eredményez: szabályzati követelmény, hatókör-megerősítés, kockázati leképezés, SoA-leképezés, tesztterv, végrehajtási nyilvántartás, üzleti ellenőrzés, biztonsági ellenőrzés, problémanyilvántartás, helyesbítő intézkedés és BCP-frissítés.

Hogyan vizsgálják különböző auditorok ugyanazt a bizonyítékot

Egy erős bizonyítékcsomag előre számol az auditor nézőpontjával.

Egy ISO 27001:2022 auditor általában az irányítási rendszerrel kezdi. Azt fogja kérdezni, hogy a biztonsági mentési és helyreállítási követelmények hatókörben vannak-e, kockázatalapúak-e, bevezették-e, nyomon követik-e, belső audit tárgyát képezik-e, és fejlesztik-e őket. Visszakövethetőséget vár el a kockázati nyilvántartástól az SoA-n át az operatív nyilvántartásokig. A sikertelen teszteket és a helyesbítő intézkedéseket az ISO/IEC 27001:2022 10.2 pontjában szereplő meg nem feleléshez és helyesbítő intézkedéshez is kapcsolhatja.

Egy DORA-felülvizsgáló a kritikus vagy fontos funkciók digitális működési rezilienciájára összpontosít. Szolgáltatásszintű helyreállítást, harmadik fél IKT-függőségeket, forgatókönyv-alapú tesztelést, irányító testületi felügyeletet és annak bizonyítékát akarja látni, hogy a helyreállítási eljárások eredményesek.

Egy NIS2 felügyeleti nézőpont megfelelő és arányos kiberbiztonsági kockázatkezelési intézkedéseket keres. A biztonsági mentési és katasztrófa utáni helyreállítási bizonyítékoknak azt kell mutatniuk, hogy az alapvető vagy fontos szolgáltatások incidensek után képesek fenntartani vagy helyreállítani a működésüket, miközben a vezetés tisztában van a maradványkockázattal.

Egy NIST-orientált értékelő az Identify, Protect, Detect, Respond és Recover funkciókon átívelő kiberbiztonsági eredményekre fókuszál. Kérdezhet a módosíthatatlan biztonsági mentésekről, a biztonsági mentési adattárakhoz való emelt jogosultságú hozzáférésről, a tiszta környezetbe történő helyreállításról, a kommunikációról és a levont tanulságokról.

Egy COBIT 2019 vagy ISACA-stílusú auditor az irányítást, a folyamatgazdai felelősséget, a mutatókat, a vezetői jelentéstételt és a problémakövetést helyezi előtérbe. Kevésbé fogja lenyűgözni egy technikailag elegáns helyreállítás, ha a tulajdonosi felelősség és a jelentéstétel nem egyértelmű.

Ugyanaz a bizonyíték mindezeket a nézőpontokat ki tudja szolgálni, de csak akkor, ha teljes.

Gyakori helyreállítási tesztelési hibák, amelyek auditmegállapítást eredményeznek

A Clarysec ismétlődően ugyanazokat a megelőzhető bizonyítékhiányokat látja.

A cél nem a bürokrácia. A cél a megbízható helyreállítás nyomás alatt és az igazolható bizonyíték audit során.

Igazgatósági szintű helyreállítási bizonyítékcsomag kialakítása

A felsővezetőknek nincs szükségük nyers biztonsági mentési naplókra. Arra van szükségük, hogy bizonyosságot kapjanak: a kritikus szolgáltatások helyreállíthatók, a kivételek ismertek, és a fejlesztési intézkedések haladnak.

Minden kritikus szolgáltatásról jelenteni kell:

• Szolgáltatás neve és üzleti tulajdonosa
• Kritikalitás a BIA alapján
• Jóváhagyott RTO és RPO
• Utolsó helyreállítási teszt dátuma
• Elért RTO és RPO
• Teszteredmény
• Nyitott helyesbítő intézkedések
• Helyreállítást érintő harmadik fél függőségek
• Maradványkockázati nyilatkozat
• Következő ütemezett teszt

Ez a jelentési forma hidat képez a technikai csapatok, az auditorok és a vezetés között. Támogatja az IBIR vezetőségi átvizsgálását, valamint a NIS2 és DORA szerinti rezilienciafelügyeletet is.

Gyakorlati auditellenőrző lista a következő 30–90 napra

Ha közeledik az audit, kezdje a már meglévő bizonyítékokkal, és először a legmagasabb kockázatú hiányosságokat zárja le.

• Azonosítsa az összes Kritikus és Magas hatású rendszert a BIA alapján.
• Erősítse meg minden kritikus rendszer RTO és RPO értékét.
• Ellenőrizze, hogy minden kritikus rendszer szerepel-e a központi biztonsági mentési ütemtervben.
• Erősítse meg a biztonsági mentési helyszíneket, beleértve a helyi, felhőalapú, módosíthatatlan vagy elkülönített adattárakat.
• Válasszon legalább egy friss helyreállítási tesztet kritikus szolgáltatásonként, vagy azonnal ütemezzen tesztet.
• Gondoskodjon arról, hogy a helyreállítási tesztek nyilvántartásai tartalmazzák a hatókört, az időbélyegeket, a biztonsági mentési készletet, az eredményt, az elért RTO/RPO értékeket és az ellenőrzést.
• Szerezzen üzleti tulajdonosi jóváhagyást az alkalmazásszintű helyreállításhoz.
• Ellenőrizze a biztonságot a helyreállítás után, beleértve a hozzáférés-szabályozást, a naplózást, a monitorozást, a titkokat, a tanúsítványokat és a sérülékenységi kitettséget.
• Képezze le a bizonyítékokat a kockázati nyilvántartásra és az SoA-ra.
• Rögzítse a problémákat CAPA-ban, rendeljen hozzá felelősöket, és kövesse az újratesztelést.
• Foglalja össze az eredményeket vezetőségi átvizsgálásra.
• Készítsen keresztmegfelelési nézetet az ISO 27001:2022, NIS2, DORA, NIST CSF és COBIT 2019 auditbeszélgetésekhez.

Ha nem tud minden pontot teljesíteni az audit előtt, legyen átlátható. Az auditorok általában kedvezőbben fogadják a dokumentált hiányosságot helyesbítő intézkedési tervvel, mint az érettségre vonatkozó homályos állításokat.

Tegye a helyreállítási tesztelést a legerősebb rezilienciabizonyítékává

A biztonsági mentési és helyreállítási tesztelés a működési reziliencia igazolásának egyik legegyértelműbb módja. Kézzelfogható, mérhető, üzleti szempontból releváns, és közvetlenül kapcsolódik az ISO 27001:2022, NIS2, DORA, NIST, COBIT 2019, igazgatósági jelentéstételi, ügyfélbizonyossági és biztosítói elvárásokhoz.

De csak akkor, ha megfelelően dokumentált.

A Clarysec segít a szervezeteknek abban, hogy a biztonsági mentési műveleteket auditra alkalmas bizonyítékká alakítsák a Biztonsági mentési és helyreállítási szabályzat, a Biztonsági mentési és helyreállítási szabályzat – SME, az Üzletmenet-folytonossági és katasztrófa utáni helyreállítási szabályzat – SME, a Zenith Blueprint és a Zenith Controls segítségével.

A következő gyakorlati lépés egyszerű. Válasszon ki ezen a héten egy kritikus szolgáltatást. Futtasson helyreállítási tesztet a jóváhagyott RTO és RPO alapján. Dokumentálja az eredményt. Képezze le a kockázati nyilvántartásra és az SoA-ra. Rögzítsen minden levont tanulságot.

Ha azt szeretné, hogy ez a folyamat ismételhető legyen az ISO 27001:2022, NIS2, DORA, NIST és COBIT 2019 szerint, a Clarysec eszköztára megadja a szerkezetet a helyreállítás igazolásához anélkül, hogy a semmiből kellene megfelelési labirintust építenie.