Auditui parengtas atkūrimo testavimas pagal ISO 27001, NIS2 ir DORA

Pirmadienio rytą 07:40 Sara, sparčiai augančios finansinių technologijų įmonės informacijos saugumo vadovė (CISO), realiuoju laiku stebi besiformuojančią krizę. Finansų direktorius negali atidaryti mokėjimų patvirtinimo platformos. Pagalbos tarnyba mano, kad tai saugyklos problema. Infrastruktūros komanda įtaria išpirkos reikalaujančią kenkimo programinę įrangą, nes keliuose bendrinamuose aplankuose dabar matomi užšifruoti failų pavadinimai. Generalinis direktorius nori žinoti, ar darbo užmokesčio duomenys saugūs. Teisės skyrius klausia, ar būtina informuoti reguliavimo institucijas.

Sara atidaro atsarginių kopijų valdymo skydą. Jis pilnas žalių varnelių.

Tai turėtų raminti, bet neramina. Sėkminga atsarginės kopijos užduotis nėra sėkmingo atkūrimo įrodymas. Tai tas pats, kas matyti gesintuvą ant sienos nežinant, ar jis užpildytas, pasiekiamas ir tinkamas naudoti esant spaudimui.

Saros įmonė patenka į ISO 27001:2022 taikymo sritį, pagal NIS2 laikoma svarbiu subjektu ir kaip finansų subjektas patenka į DORA taikymo sritį. Klausimas nebėra, ar organizacija kuria atsargines kopijas. Klausimas yra, ar ji gali atkurti tinkamas sistemas į tinkamą laiko tašką, per patvirtintus atkūrimo laiko tikslus ir atkūrimo taško tikslus, turėdama pakankamai patikimus įrodymus auditoriui, reguliavimo institucijai, klientui, draudikui ir valdybai.

Būtent čia daugelis atsarginių kopijų programų žlunga. Jos turi atsarginių kopijų užduotis. Turi valdymo skydus. Turi momentines kopijas. Galbūt net turi debesijos saugyklą. Tačiau atsiradus spaudimui jos negali įrodyti, kad kritinės sistemos yra atkuriamos, kad atkūrimo testai buvo atlikti, kad nesėkmingi testai inicijavo korekcinius veiksmus ir kad įrodymai aiškiai susiejami su ISO 27001:2022, NIS2, DORA, NIST ir COBIT 2019 lūkesčiais.

Atsarginių kopijų kūrimo ir atkūrimo testavimas tapo valdybos lygmens operacinio atsparumo klausimu. NIS2 kelia aukštesnius lūkesčius kibernetinio saugumo rizikos valdymui ir veiklos tęstinumui. DORA IRT operacinį atsparumą paverčia pagrindine finansų subjektų ir jų kritinių IRT paslaugų teikėjų pareiga. ISO 27001:2022 suteikia valdymo sistemos struktūrą taikymo sričiai, rizikai, kontrolių parinkimui, įrodymams, auditui ir nuolatiniam tobulinimui.

Praktinis iššūkis — techninį atkūrimo testą paversti auditui parengtais įrodymais.

Atsarginė kopija nėra įrodymas, kol neįrodytas atkūrimas

Sėkmingai užbaigta atsarginės kopijos užduotis yra tik dalinis signalas. Ji parodo, kad duomenys kažkur buvo nukopijuoti. Ji neįrodo, kad duomenis galima atkurti, kad taikomosios programos priklausomybės nepažeistos, kad šifravimo raktai prieinami, kad tapatybės paslaugos vis dar veikia arba kad atkurta sistema palaiko realias verslo operacijas.

Auditoriai tai žino. Reguliavimo institucijos tai žino. Užpuolikai tai žino.

Technologiškai brandus auditorius nesustos ties ekrano kopija, kurioje rodoma 97 procentų atsarginių kopijų užduočių sėkmė. Jis klaus:

• Kurios sistemos yra kritinės arba didelio poveikio?
• Kokie RTO ir RPO taikomi kiekvienai sistemai?
• Kada buvo atliktas paskutinis atkūrimo testas?
• Ar testas buvo pilnas, dalinis, taikomosios programos lygmens, duomenų bazės lygmens ar failų lygmens?
• Kas po atkūrimo validavo verslo procesą?
• Ar nesėkmės buvo registruotos kaip neatitiktys arba tobulinimo veiksmai?
• Kiek laiko saugomi žurnalai ir atkūrimo testų įrašai?
• Ar atsarginės kopijos atskirtos pagal vietas?
• Kaip įrodymai susiejami su rizikų registru ir Taikomumo pareiškimu?

Todėl Clarysec politikų kalba sąmoningai tiesioginė. MVĮ skirta atsarginių kopijų ir atkūrimo politika [BRP-SME], skyriaus Valdysenos reikalavimai politikos nuostata 5.3.3, reikalauja:

Atkūrimo testai atliekami bent kas ketvirtį, o rezultatai dokumentuojami atkuriamumui patikrinti

Šis vienas sakinys pakeičia audito pokalbį. Jis perkelia organizaciją nuo „turime atsargines kopijas“ prie „nustatytu periodiškumu tikriname atkuriamumą ir saugome rezultatus“.

Ta pati MVĮ skirta atsarginių kopijų ir atkūrimo politika, skyriaus Įgyvendinimas ir atitiktis politikos nuostata 8.2.2, sustiprina įrodymų pareigą:

Žurnalai ir atkūrimo testų įrašai saugomi audito tikslais

Ši nuostata neleidžia atkūrimo testavimui tapti nedokumentuotomis vidinėmis žiniomis. Jei infrastruktūros inžinierius sako „tai testavome kovą“, bet įrašo nėra, tai nėra auditui parengtas įrodymas.

Ta pati politika taip pat sprendžia išgyvenamumo klausimą per saugojimo vietų įvairovę. Skyriaus Politikos įgyvendinimo reikalavimai politikos nuostata 6.3.1.1 nustato, kad atsarginės kopijos turi būti:

Saugomos bent dviejose vietose (vietinėje ir debesijoje)

Tai praktinis bazinis reikalavimas. Jis nepakeičia rizikos vertinimo, tačiau sumažina tikimybę, kad viena fizinė ar loginė gedimo sritis sunaikins ir produkcinius, ir atsarginių kopijų duomenis.

ISO 27001:2022 įrodymų grandinė prasideda iki testo

Organizacijos atsarginių kopijų atitiktį dažnai vertina kaip IT operacijų temą. ISO 27001:2022 požiūriu tai per siaura. Atsarginių kopijų kūrimo ir atkūrimo testavimas turi būti integruotas į informacijos saugumo valdymo sistemą, susietas su taikymo sritimi, rizika, kontrolių parinkimu, stebėsena, vidaus auditu ir nuolatiniu tobulinimu.

Clarysec Zenith Blueprint: auditoriaus 30 žingsnių veiksmų planas [ZB] šią įrodymų grandinę pradeda dar prieš atliekant bet kokį atkūrimo testą.

ISVS pagrindų ir lyderystės etape, 2 žingsnyje „Suinteresuotųjų šalių poreikiai ir ISVS taikymo sritis“, Zenith Blueprint nurodo organizacijoms apibrėžti, kas patenka į ISVS:

Veiksmas 4.3: Parenkite ISVS taikymo srities aprašą. Išvardykite, kas įtraukta (verslo padaliniai, vietos, sistemos), ir visas išimtis. Pasidalykite šiuo projektu su aukščiausiąja vadovybe, kad ji pateiktų pastabas – ji turi susitarti, kurioms verslo dalims bus taikoma ISVS. Taip pat verta sveiku protu patikrinti šią taikymo sritį pagal ankstesnį suinteresuotųjų šalių reikalavimų sąrašą: ar jūsų taikymo sritis apima visas sritis, reikalingas tiems reikalavimams įvykdyti?

Atkūrimo testavime taikymo sritis apibrėžia atkūrimo visumą. Jei mokėjimų platforma, tapatybės teikėjas, ERP duomenų bazė, galinių įrenginių valdymo serveris ir debesijos objektinė saugykla yra taikymo srityje, atkūrimo įrodymai turi juos apimti arba pagrįsti, kodėl ne. Jei sistema neįtraukta, išimtis turi būti pagrįsta suinteresuotųjų šalių reikalavimų, sutartinių įsipareigojimų, reguliacinių pareigų ir veiklos tęstinumo poreikių atžvilgiu.

Kita grandis yra rizika. Rizikos valdymo etape, 11 žingsnyje „Rizikų registro kūrimas ir dokumentavimas“, Zenith Blueprint apibūdina rizikų registrą kaip pagrindinį rizikų, turto, grėsmių, pažeidžiamumų, esamų kontrolių, savininkų ir tvarkymo sprendimų įrašą.

Su atsarginėmis kopijomis susijęs rizikos įrašas turėtų būti praktiškas, o ne teorinis.

Čia atsarginės kopijos tampa audituojamos. Tai nebėra „turime atsargines kopijas“. Tai yra „identifikavome verslo riziką, parinkome kontrolės priemones, priskyrėme savininkystę, ištestavome kontrolę ir išsaugojome įrodymus“.

Zenith Blueprint, Rizikos valdymo etapas, 13 žingsnis „Rizikos tvarkymo planavimas ir Taikomumo pareiškimas“, uždaro atsekamumo ciklą:

Susiekite kontrolės priemones su rizikomis ir nuostatomis (atsekamumas)

Dabar, kai turite ir Rizikos tvarkymo planą, ir SoA:

✓ Susiekite kontrolės priemones su rizikomis: savo Rizikų registro tvarkymo plane nurodėte tam tikras kontrolės priemones kiekvienai rizikai. Prie kiekvienos rizikos galite pridėti stulpelį „A priedo kontrolės nuoroda“ ir įrašyti kontrolės numerius.

Atsarginių kopijų kūrimo ir atkūrimo testavimui Taikomumo pareiškimas turėtų susieti rizikos scenarijų su ISO/IEC 27001:2022 A priedo kontrolėmis, ypač 8.13 Informacijos atsarginės kopijos, 5.30 IRT pasirengimas veiklos tęstinumui, 8.14 Informacijos apdorojimo priemonių dubliavimas ir 5.29 Informacijos saugumas sutrikimų metu.

SoA neturėtų vien tik pažymėti šių kontrolių kaip taikomų. Jame turi būti paaiškinta, kodėl jos taikomos, kokie įgyvendinimo įrodymai egzistuoja, kas yra kontrolės savininkas ir kaip tvarkomos išimtys.

Kontrolių susiejimas, kurio tikisi auditoriai

Clarysec Zenith Controls: kryžminės atitikties vadovas [ZC] nekuria atskirų ar nuosavybinių kontrolių. Jis struktūruoja oficialius standartus ir sistemas į praktišką kryžminės atitikties vaizdą, kad organizacijos suprastų, kaip viena operacinė praktika, pvz., atkūrimo testavimas, palaiko kelis įpareigojimus.

ISO/IEC 27002:2022 kontrolę 8.13 Informacijos atsarginės kopijos Zenith Controls klasifikuoja kaip korekcinę kontrolę, susietą su vientisumu ir prieinamumu, suderintą su kibernetinio saugumo „Recover“ koncepcija, palaikančią tęstinumo operacinį pajėgumą ir esančią apsaugos saugumo srityje. Toks profilis atsargines kopijas perrėmina kaip atkūrimo pajėgumą, o ne vien saugojimo procesą.

ISO/IEC 27002:2022 kontrolę 5.30 IRT pasirengimas veiklos tęstinumui Zenith Controls klasifikuoja kaip korekcinę kontrolę, orientuotą į prieinamumą, suderintą su „Respond“, palaikančią tęstinumą ir priskirtą atsparumo saugumo sričiai. Čia atkūrimo testavimas tiesiogiai susijungia su operaciniu atsparumu.

ISO/IEC 27002:2022 kontrolę 8.14 Informacijos apdorojimo priemonių dubliavimas Zenith Controls identifikuoja kaip prevencinę kontrolę, orientuotą į prieinamumą, suderintą su „Protect“, palaikančią tęstinumą ir turto valdymą, taip pat susietą su apsaugos ir atsparumo sritimis. Dubliavimas ir atsarginės kopijos nėra tas pats. Dubliavimas padeda išvengti pertrūkių. Atsarginės kopijos leidžia atkurti po praradimo, sugadinimo ar atakos.

ISO/IEC 27002:2022 kontrolės 5.29 Informacijos saugumas sutrikimų metu atveju Zenith Controls rodo platesnį profilį: prevencinė ir korekcinė, apimanti konfidencialumą, vientisumą ir prieinamumą, suderinta su „Protect“ ir „Respond“, palaikanti tęstinumą ir susieta su apsauga bei atsparumu. Tai svarbu atkuriant po išpirkos reikalaujančios kenkimo programinės įrangos incidento, nes atkūrimas neturi sukurti naujų saugumo nesėkmių, pavyzdžiui, pažeidžiamų atvaizdų atkūrimo, žurnalavimo apėjimo ar perteklinių privilegijų pakartotinio aktyvinimo.

Praktinė išvada paprasta. Atkūrimo testas nėra viena izoliuota kontrolė. Tai įrodymai visoje atsparumo grandinėje.

Paslėpta audito spraga: RTO ir RPO be įrodymų

Viena dažniausių tęstinumo audito išvadų yra spraga tarp dokumentuotų RTO/RPO ir realaus atkūrimo pajėgumo.

Veiklos tęstinumo plane gali būti nurodyta, kad klientų portalui taikomas keturių valandų RTO ir vienos valandos RPO. Atsarginių kopijų platforma gali veikti kas valandą. Tačiau per pirmą realistišką atkūrimo pratybą komanda nustato, kad duomenų bazės atkūrimas trunka tris valandas, DNS pakeitimams reikia dar vienos valandos, taikomosios programos sertifikato galiojimas pasibaigęs, o tapatybės integracija niekada nebuvo įtraukta į atkūrimo instrukciją. Tikrasis atkūrimo laikas yra aštuonios valandos.

Dokumentuotas RTO buvo fikcija.

Clarysec MVĮ skirta veiklos tęstinumo ir atkūrimo po katastrofos politika [BCDR-SME], skyriaus Valdysenos reikalavimai politikos nuostata 5.2.1.4, aiškiai nustato tęstinumo reikalavimą:

Kiekvienos sistemos atkūrimo laiko tikslai (RTO) ir atkūrimo taško tikslai (RPO)

Tai svarbu, nes „greitai atkurti kritines paslaugas“ nėra išmatuojama. „Atkurti mokėjimų patvirtinimo duomenų bazę per keturias valandas, prarandant ne daugiau kaip vieną valandą duomenų“ yra išmatuojama.

Ta pati MVĮ skirta veiklos tęstinumo ir atkūrimo po katastrofos politika, skyriaus Politikos įgyvendinimo reikalavimai politikos nuostata 6.4.2, testavimą paverčia tobulinimu:

Visi testavimo rezultatai turi būti dokumentuojami, o įgyta patirtis turi būti registruojama ir naudojama BCP atnaujinti.

Nesėkmingas atkūrimas savaime nėra audito katastrofa. Nesėkmingas atkūrimas be dokumentuotos pamokos, savininko, taisymo ir pakartotinio testo — yra.

Įmonių aplinkoms Clarysec Atsarginių kopijų ir atkūrimo politika [BRP] suteikia formalesnę valdyseną. Skyriaus Valdysenos reikalavimai politikos nuostata 5.1 nurodo:

Pagrindinis atsarginių kopijų grafikas turi būti palaikomas ir peržiūrimas kasmet. Jame turi būti nurodyta:

Šis pradinis reikalavimas nustato pagrindinį valdysenos artefaktą. Pagrindinis atsarginių kopijų grafikas turėtų identifikuoti sistemas, duomenų rinkinius, atsarginių kopijų dažnį, saugojimą, vietą, savininkystę, klasifikaciją, priklausomybes ir testavimo periodiškumą.

Ta pati Atsarginių kopijų ir atkūrimo politika, skyriaus Valdysenos reikalavimai politikos nuostata 5.2, susieja atsarginių kopijų lūkesčius su poveikiu verslui:

Visos sistemos ir taikomosios programos, Verslo poveikio analizėje (BIA) suklasifikuotos kaip kritinės arba didelio poveikio, turi:

Čia BIA ir atsarginių kopijų valdysena susilieja. Kritinėms ir didelio poveikio sistemoms reikia stipresnio atkūrimo užtikrinimo, dažnesnio testavimo, geresnio priklausomybių atvaizdavimo ir drausmingesnių įrodymų.

Vienas įrodymų modelis ISO 27001:2022, NIS2, DORA, NIST ir COBIT 2019

Atitikties komandos dažnai susiduria su sistemų dubliavimu. ISO 27001:2022 reikalauja rizika grindžiamo kontrolių parinkimo ir įrodymų. NIS2 tikisi kibernetinio saugumo rizikos valdymo priemonių, įskaitant veiklos tęstinumą. DORA tikisi IRT operacinio atsparumo, reagavimo ir atkūrimo, atsarginių kopijų kūrimo ir atkūrimo procedūrų bei skaitmeninio operacinio atsparumo testavimo. NIST ir COBIT 2019 vartoja dar kitą kalbą.

Sprendimas nėra kurti atskiras atsarginių kopijų programas kiekvienai sistemai. Sprendimas — sukurti vieną įrodymų modelį, kurį galima vertinti per kelias audito prizmes.

NIS2 atveju tiesioginiausia nuoroda yra Article 21 dėl kibernetinio saugumo rizikos valdymo priemonių. Article 21(2)(c) konkrečiai apima veiklos tęstinumą, pavyzdžiui, atsarginių kopijų valdymą, atkūrimą po katastrofos ir krizių valdymą. Article 21(2)(f) taip pat svarbus, nes jis apima politikas ir procedūras kibernetinio saugumo rizikos valdymo priemonių veiksmingumui vertinti. Atkūrimo testavimas yra būtent tai: įrodymas, kad priemonė veikia.

DORA atveju stipriausios sąsajos yra Article 11 dėl reagavimo ir atkūrimo, Article 12 dėl atsarginių kopijų politikų ir procedūrų, atkūrimo procedūrų ir metodų, taip pat Article 24 dėl bendrųjų skaitmeninio operacinio atsparumo testavimo reikalavimų. Finansų subjektams vien duomenų bazės atkūrimo testo gali nepakakti, jei verslo paslauga priklauso nuo debesijos tapatybės, mokėjimų šliuzo junglumo, išorinio talpinimo ar valdomos stebėsenos. DORA tipo įrodymai turėtų būti paslaugos lygmens, ne tik serverio lygmens.

Tokia yra vieningos atitikties strategijos nauda. Ketvirtinis mokėjimų sistemos atkūrimo testas gali palaikyti ISO 27001:2022 A priedo įrodymus, NIS2 tęstinumo lūkesčius, DORA IRT atkūrimo reikalavimus, NIST CSF Recover rezultatus ir COBIT 2019 valdysenos ataskaitas, jei įrodymai struktūruoti tinkamai.

Praktinis atkūrimo testas, tampantis auditui parengtais įrodymais

Grįžkime prie Saros pirmadienio ryto scenarijaus, bet įsivaizduokime, kad jos organizacija pasirengė naudodama Clarysec priemonių rinkinį.

Mokėjimų patvirtinimo platforma BIA suklasifikuota kaip kritinė. Patvirtintas RTO yra keturios valandos. Patvirtintas RPO yra viena valanda. Platforma priklauso nuo duomenų bazės klasterio, tapatybės teikėjo, slaptųjų duomenų saugyklos, žurnalavimo konvejerio, DNS, sertifikatų ir išeinančio el. pašto perdavimo serverio.

Saros komanda ketvirtinį atkūrimo testą sudaro iš šešių žingsnių.

1 žingsnis: Patvirtinti taikymo sritį ir priklausomybes

Naudodama Zenith Blueprint 2 žingsnį, Sara patvirtina, kad mokėjimų platforma, duomenų bazė, tapatybės integracija, atsarginių kopijų infrastruktūra ir atkūrimo aplinka patenka į ISVS taikymo sritį. Teisės skyrius patvirtina reguliacinį aktualumą. Finansai patvirtina poveikį verslui. IT patvirtina priklausomybes.

Tai leidžia išvengti klasikinės klaidos, kai atkuriama tik duomenų bazė, ignoruojant autentifikavimo paslaugą, reikalingą prieigai prie taikomosios programos.

2 žingsnis: Susieti testą su rizikų registru

Naudojant Zenith Blueprint 11 žingsnį, rizikų registre įtraukiamas scenarijus: „Mokėjimų patvirtinimo platformos duomenų praradimas arba užšifravimas sustabdo mokėjimų operacijas ir sukuria reguliacinę riziką.“

Esamos kontrolės apima kasdienes atsarginių kopijų užduotis, nekintamą debesijos saugyklą, atsargines kopijas keliose vietose, ketvirtinį atkūrimo testavimą ir dokumentuotas atkūrimo instrukcijas. Rizikos savininkas yra Infrastruktūros vadovas. Verslo savininkas yra Finansų operacijos. Tvarkymo sprendimas — mažinti riziką.

3 žingsnis: Susieti tvarkymo priemonę su SoA

Naudojant Zenith Blueprint 13 žingsnį, SoA susieja riziką su ISO/IEC 27001:2022 A priedo kontrolėmis 8.13, 5.30, 8.14 ir 5.29. SoA paaiškina, kad atsarginių kopijų testavimas suteikia korekcinį atkūrimo pajėgumą, IRT tęstinumo procedūros palaiko veiklos tęstinumą, dubliavimas mažina prastovos tikimybę, o saugumas sutrikimų metu užkerta kelią nesaugiems atkūrimo trumpiniams.

4 žingsnis: Naudoti politikos nuostatas kaip testo kriterijus

Komanda naudoja MVĮ skirtos atsarginių kopijų ir atkūrimo politikos nuostatą 5.3.3 ketvirtiniam atkūrimo testavimui, nuostatą 8.2.2 įrodymų saugojimui ir nuostatą 6.3.1.1 saugojimui keliose vietose. Ji naudoja MVĮ skirtos veiklos tęstinumo ir atkūrimo po katastrofos politikos nuostatą 5.2.1.4 RTO/RPO tikslams ir nuostatą 6.4.2 įgytai patirčiai bei BCP atnaujinimams.

5 žingsnis: Atlikti atkūrimą ir užregistruoti faktus

Atkūrimas atliekamas izoliuotoje atkūrimo aplinkoje. Komanda registruoja laiko žymas, atsarginių kopijų rinkinio identifikatorius, atkūrimo veiksmus, klaidas, validavimo rezultatus ir patvirtinimus.

Tvirtas atkūrimo testo įrašas turėtų apimti:

Testo metu komanda nustato vieną problemą. Atkurta taikomoji programa negali siųsti pranešimų el. paštu, nes el. pašto perdavimo serverio leidžiamasis sąrašas neapima atkūrimo potinklio. Pagrindinis mokėjimų patvirtinimas veikia, tačiau darbo eiga yra degradavusi.

6 žingsnis: Užregistruoti įgytą patirtį ir korekcinį veiksmą

Čia daugelis organizacijų sustoja per anksti. Clarysec požiūris nukreipia problemą į tobulinimo sistemą.

Audito, peržiūros ir tobulinimo etape, 29 žingsnyje „Nuolatinis tobulinimas“, Zenith Blueprint naudoja CAPA žurnalą problemos aprašymui, pagrindinei priežasčiai, korekciniam veiksmui, savininkui, tikslinei datai ir būsenai sekti.

Šis vienas atkūrimo testas dabar sukuria auditui parengtą įrodymų grandinę: politikos reikalavimą, taikymo srities patvirtinimą, rizikos susiejimą, SoA susiejimą, testavimo planą, vykdymo įrašą, verslo validavimą, saugumo validavimą, problemos įrašą, korekcinį veiksmą ir BCP atnaujinimą.

Kaip skirtingi auditoriai tikrina tuos pačius įrodymus

Tvirtas įrodymų paketas iš anksto numato auditoriaus požiūrio kampą.

ISO 27001:2022 auditorius paprastai pradės nuo valdymo sistemos. Jis klaus, ar atsarginių kopijų ir atkūrimo reikalavimai yra įtraukti į taikymo sritį, grindžiami rizika, įgyvendinti, stebimi, audituojami vidaus audito metu ir tobulinami. Jis tikėsis atsekamumo nuo rizikų registro iki SoA ir operacinių įrašų. Jis taip pat gali susieti nesėkmingus testus ir korekcinius veiksmus su ISO/IEC 27001:2022 10.2 punktu dėl neatitikties ir korekcinių veiksmų.

DORA vertintojas sutelks dėmesį į IRT operacinį atsparumą kritinėms arba svarbioms funkcijoms. Jis norės matyti paslaugos lygmens atkūrimą, trečiųjų šalių IRT priklausomybes, scenarijais pagrįstą testavimą, valdymo organo priežiūrą ir įrodymus, kad atkūrimo procedūros yra veiksmingos.

NIS2 priežiūros perspektyva ieškos tinkamų ir proporcingų kibernetinio saugumo rizikos valdymo priemonių. Atsarginių kopijų ir atkūrimo po katastrofos įrodymai turėtų parodyti, kad esminės arba svarbios paslaugos gali palaikyti arba atkurti operacijas po incidentų, o vadovybė žino apie liekamąją riziką.

Į NIST orientuotas vertintojas sutelks dėmesį į kibernetinio saugumo rezultatus per Identify, Protect, Detect, Respond ir Recover. Jis gali klausti apie nekintamas atsargines kopijas, privilegijuotą prieigą prie atsarginių kopijų saugyklų, atkūrimą į švarias aplinkas, komunikacijas ir įgytą patirtį.

COBIT 2019 arba ISACA stiliaus auditorius akcentuos valdyseną, procesų savininkystę, rodiklius, vadovybės ataskaitas ir problemų sekimą. Technologiškai elegantiškas atkūrimas jam darys mažesnį įspūdį, jei savininkystė ir ataskaitų teikimas neaiškūs.

Tie patys įrodymai gali patenkinti visas šias perspektyvas, bet tik tuo atveju, jei jie išsamūs.

Dažnos atkūrimo testavimo nesėkmės, sukuriančios audito išvadas

Clarysec nuolat mato tas pačias išvengiamas įrodymų spragas.

Tikslas nėra biurokratija. Tikslas — patikimas atkūrimas esant spaudimui ir pagrįsti įrodymai audito metu.

Sukurkite valdybos lygmens atkūrimo įrodymų paketą

Vadovybei nereikia neapdorotų atsarginių kopijų žurnalų. Jai reikia patikinimo, kad kritinės paslaugos yra atkuriamos, išimtys žinomos, o tobulinimo veiksmai juda į priekį.

Apie kiekvieną kritinę paslaugą teikite:

• Paslaugos pavadinimą ir verslo savininką
• Kritiškumą pagal BIA
• Patvirtintus RTO ir RPO
• Paskutinio atkūrimo testo datą
• Pasiektus RTO ir RPO
• Testo rezultatą
• Atvirus korekcinius veiksmus
• Trečiųjų šalių priklausomybes, darančias poveikį atkūrimui
• Liekamosios rizikos pareiškimą
• Kitą suplanuotą testą

Toks ataskaitų teikimo stilius sukuria tiltą tarp techninių komandų, auditorių ir vadovybės. Jis taip pat palaiko ISVS vadovybės peržiūras ir atsparumo priežiūrą pagal NIS2 ir DORA.

Praktinis audito kontrolinis sąrašas artimiausioms 30–90 dienų

Jei artėja auditas, pradėkite nuo jau turimų įrodymų ir pirmiausia užverkite didžiausios rizikos spragas.

• Identifikuokite visas kritines ir didelio poveikio sistemas iš BIA.
• Patvirtinkite kiekvienos kritinės sistemos RTO ir RPO.
• Patikrinkite, ar kiekviena kritinė sistema įtraukta į Pagrindinį atsarginių kopijų grafiką.
• Patvirtinkite atsarginių kopijų vietas, įskaitant vietines, debesijos, nekintamas arba atskirtas saugyklas.
• Pasirinkite bent vieną naujausią atkūrimo testą kiekvienai kritinei paslaugai arba nedelsdami suplanuokite testą.
• Užtikrinkite, kad atkūrimo testų įrašuose būtų matoma taikymo sritis, laiko žymos, atsarginių kopijų rinkinys, rezultatas, pasiekti RTO/RPO ir validavimas.
• Gaukite verslo savininko patvirtinimą dėl taikomosios programos lygmens atkūrimo.
• Validuokite saugumą po atkūrimo, įskaitant prieigos kontrolę, žurnalavimą, stebėseną, slaptuosius duomenis, sertifikatus ir pažeidžiamumų ekspoziciją.
• Susiekite įrodymus su rizikų registru ir SoA.
• Registruokite problemas CAPA, priskirkite savininkus ir sekite pakartotinį testą.
• Apibendrinkite rezultatus vadovybės peržiūrai.
• Parenkite kryžminės atitikties vaizdą ISO 27001:2022, NIS2, DORA, NIST CSF ir COBIT 2019 audito pokalbiams.

Jei iki audito negalite užbaigti kiekvieno punkto, būkite skaidrūs. Auditoriai paprastai geriau reaguoja į dokumentuotą spragą su korekcinių veiksmų planu nei į neaiškius brandos teiginius.

Paverskite atkūrimo testavimą stipriausiu atsparumo įrodymu

Atsarginių kopijų kūrimo ir atkūrimo testavimas yra vienas aiškiausių būdų įrodyti operacinį atsparumą. Jis apčiuopiamas, išmatuojamas, svarbus verslui ir tiesiogiai susijęs su ISO 27001:2022, NIS2, DORA, NIST, COBIT 2019, valdybos ataskaitomis, klientų patikinimu ir draudikų lūkesčiais.

Tačiau tik tada, kai jis tinkamai dokumentuotas.

Clarysec padeda organizacijoms paversti atsarginių kopijų operacijas auditui parengtais įrodymais naudodama Atsarginių kopijų ir atkūrimo politiką, MVĮ skirtą atsarginių kopijų ir atkūrimo politiką, MVĮ skirtą veiklos tęstinumo ir atkūrimo po katastrofos politiką, Zenith Blueprint ir Zenith Controls.

Kitas praktinis žingsnis paprastas. Šią savaitę pasirinkite vieną kritinę paslaugą. Atlikite atkūrimo testą pagal jos patvirtintus RTO ir RPO. Dokumentuokite rezultatą. Susiekite jį su rizikų registru ir SoA. Užregistruokite kiekvieną įgytą pamoką.

Jei norite, kad šis procesas būtų pakartojamas ISO 27001:2022, NIS2, DORA, NIST ir COBIT 2019 kontekstuose, Clarysec priemonių rinkinys suteikia struktūrą, leidžiančią įrodyti atkūrimą nekuriant atitikties labirinto nuo nulio.