Auditam gatava atjaunošanas testēšana ISO 27001, NIS2 un DORA vajadzībām

Ir pirmdienas rīts, pulksten 07:40, un Sarah, strauji augoša finanšu tehnoloģiju uzņēmuma informācijas drošības vadītāja (CISO), reāllaikā redz, kā veidojas krīze. CFO nevar atvērt maksājumu apstiprināšanas platformu. Lietotāju atbalsta dienests uzskata, ka tā ir krātuves problēma. Infrastruktūras komanda pieļauj izspiedējprogrammatūras uzbrukumu, jo vairākās koplietojamās mapēs tagad redzami šifrēti failu nosaukumi. CEO vēlas zināt, vai algu izmaksu dati ir drošībā. Juridiskais dienests jautā, vai jāinformē regulatori.

Sarah atver rezerves kopiju informācijas paneli. Tas ir pilns ar zaļām atzīmēm.

Tam vajadzētu nomierināt, bet tā nenotiek. Veiksmīgi izpildīts rezerves kopēšanas uzdevums nav pierādījums veiksmīgai atjaunošanai. Tas ir kā redzēt ugunsdzēšamo aparātu pie sienas, nezinot, vai tas ir uzpildīts, pieejams un izmantojams spriedzes apstākļos.

Sarah uzņēmums ietilpst ISO 27001:2022 darbības jomā, saskaņā ar NIS2 tiek uzskatīts par svarīgu vienību un kā finanšu vienība ir pakļauts DORA prasībām. Jautājums vairs nav, vai organizācija veido rezerves kopijas. Jautājums ir, vai tā spēj atjaunot pareizās sistēmas pareizajā laika punktā, apstiprināto atjaunošanas laika mērķu (RTO) un atjaunošanas punkta mērķu (RPO) ietvaros, ar pietiekami pārliecinošiem pierādījumiem auditoram, regulatoram, klientam, apdrošinātājam un valdei.

Tieši šeit daudzas rezerves kopiju programmas izgāžas. Tām ir rezerves kopēšanas uzdevumi. Tām ir informācijas paneļi. Tām ir momentuzņēmumi. Tām var būt pat mākoņkrātuve. Taču brīdī, kad rodas spiediens, tās nespēj pierādīt, ka kritiskās sistēmas ir atjaunojamas, ka atjaunošanas testi ir veikti, ka neveiksmīgi testi ir izraisījuši korektīvās darbības un ka pierādījumi ir skaidri sasaistāmi ar ISO 27001:2022, NIS2, DORA, NIST un COBIT 2019 prasībām.

Rezerves kopiju veidošana un atjaunošanas testēšana ir kļuvusi par valdes līmeņa darbības noturības jautājumu. NIS2 paaugstina prasības kiberdrošības risku pārvaldībai un darbības nepārtrauktībai. DORA padara IKT darbības noturību par pamatpienākumu finanšu vienībām un to kritiskajiem IKT pakalpojumu sniedzējiem. ISO 27001:2022 nodrošina pārvaldības sistēmas struktūru darbības jomai, riskiem, kontroles pasākumu atlasei, pierādījumiem, auditam un nepārtrauktai uzlabošanai.

Praktiskais izaicinājums ir tehnisku atjaunošanas testu pārvērst auditam gatavos pierādījumos.

Rezerves kopija nav pierādījums, kamēr nav pierādīta atjaunošana

Veiksmīgi pabeigts rezerves kopēšanas uzdevums ir tikai daļējs signāls. Tas pasaka, ka dati kaut kur tika nokopēti. Tas nepierāda, ka datus var atjaunot, ka lietojumprogrammu atkarības ir neskartas, ka šifrēšanas atslēgas ir pieejamas, ka identitātes pakalpojumi joprojām darbojas vai ka atjaunotā sistēma atbalsta reālas biznesa operācijas.

Auditori to zina. Regulatori to zina. Uzbrucēji to zina.

Tehniski kompetents auditors neapstāsies pie ekrānuzņēmuma, kurā redzams 97 procentu rezerves kopēšanas uzdevumu sekmīgas izpildes rādītājs. Viņš jautās:

• Kuras sistēmas ir kritiskas vai ar augstu ietekmi?
• Kādi RTO un RPO attiecas uz katru sistēmu?
• Kad tika veikts pēdējais atjaunošanas tests?
• Vai tests bija pilns, daļējs, lietojumprogrammas līmeņa, datubāzes līmeņa vai faila līmeņa tests?
• Kurš validēja biznesa procesu pēc atjaunošanas?
• Vai atteices tika reģistrētas kā neatbilstības vai uzlabošanas darbības?
• Cik ilgi tiek glabāti žurnāli un atjaunošanas testu ieraksti?
• Vai rezerves kopijas ir nodalītas dažādās atrašanās vietās?
• Kā pierādījumi tiek sasaistīti ar riska reģistru un piemērojamības deklarāciju (SoA)?

Tāpēc Clarysec politikas valoda ir apzināti tieša. Rezerves kopiju veidošanas un atjaunošanas politika MVU [BRP-SME], sadaļā Pārvaldības prasības, politikas punkts 5.3.3, nosaka:

Atjaunošanas testi tiek veikti vismaz reizi ceturksnī, un rezultāti tiek dokumentēti, lai verificētu atjaunojamību

Šis viens teikums maina audita sarunu. Tas pārvieto organizāciju no “mums ir rezerves kopijas” uz “mēs noteiktā regularitātē verificējam atjaunojamību un glabājam rezultātus”.

Tā pati Rezerves kopiju veidošanas un atjaunošanas politika MVU, sadaļā Ievērošana un atbilstība, politikas punkts 8.2.2, pastiprina pierādījumu pienākumu:

Žurnāli un atjaunošanas testu ieraksti tiek glabāti audita vajadzībām

Šis punkts novērš to, ka atjaunošanas testēšana kļūst par nedokumentētu komandas atmiņu. Ja infrastruktūras inženieris saka: “Mēs to testējām martā”, bet ieraksts nepastāv, tas nav auditam gatavs pierādījums.

Tā pati politika risina arī izdzīvojamību, izmantojot glabāšanas daudzveidību. Sadaļā Politikas ieviešanas prasības, politikas punkts 6.3.1.1, rezerves kopijām jābūt:

Glabātām vismaz divās vietās (lokāli un mākonī)

Tas ir praktisks pamatlīmenis. Tas neaizstāj riska izvērtēšanu, bet samazina iespēju, ka viens fizisks vai loģisks atteices domēns iznīcina gan ražošanas datus, gan rezerves kopiju datus.

ISO 27001:2022 pierādījumu ķēde sākas pirms testa

Organizācijas bieži uztver rezerves kopiju atbilstību kā IT operāciju jautājumu. ISO 27001:2022 izpratnē tas ir pārāk šauri. Rezerves kopiju veidošanai un atjaunošanas testēšanai jābūt iekļautai informācijas drošības pārvaldības sistēmā, sasaistītai ar darbības jomu, riskiem, kontroles pasākumu atlasi, uzraudzību, iekšējo auditu un nepārtrauktu uzlabošanu.

Clarysec Zenith Blueprint: auditora 30 soļu ceļvedis [ZB] sāk šo pierādījumu ķēdi vēl pirms jebkura atjaunošanas testa veikšanas.

IDPS pamatu un vadības posmā, 2. solī “Ieinteresēto pušu vajadzības un IDPS darbības joma”, Zenith Blueprint uzdod organizācijām definēt, kas ietilpst IDPS:

Darbības punkts 4.3: Sagatavojiet IDPS darbības jomas paziņojuma projektu. Uzskaitiet, kas ir iekļauts (biznesa struktūrvienības, atrašanās vietas, sistēmas) un visus izņēmumus. Kopīgojiet šo projektu ar augstāko vadību, lai saņemtu ievadi — tai jāvienojas, kuras uzņēmuma daļas būs pakļautas IDPS. Ieteicams arī pārbaudīt šo darbības jomu pret iepriekš sagatavoto ieinteresēto pušu prasību sarakstu: vai darbības joma aptver visas jomas, kas nepieciešamas, lai izpildītu šīs prasības?

Atjaunošanas testēšanā darbības joma nosaka atjaunošanas tvērumu. Ja maksājumu platforma, identitātes nodrošinātājs, ERP datubāze, galapunktu pārvaldības serveris un mākoņa objektu krātuve ietilpst darbības jomā, atjaunošanas pierādījumos tie ir jāiekļauj vai jāpamato, kāpēc tie nav iekļauti. Ja sistēma ir izslēgta, izņēmumam jābūt pamatotam pret ieinteresēto pušu prasībām, līgumsaistībām, regulatīvajiem pienākumiem un darbības nepārtrauktības vajadzībām.

Nākamais posms ir risks. Risku pārvaldības posmā, 11. solī “Riska reģistra izveide un dokumentēšana”, Zenith Blueprint apraksta riska reģistru kā galveno ierakstu par riskiem, aktīviem, apdraudējumiem, ievainojamībām, esošajiem kontroles pasākumiem, īpašniekiem un riska apstrādes lēmumiem.

Ar rezerves kopijām saistītam riska ierakstam jābūt praktiskam, nevis teorētiskam.

Šeit rezerves kopija kļūst auditējama. Tas vairs nav “mums ir rezerves kopijas”. Tas ir “mēs identificējām biznesa risku, izvēlējāmies kontroles pasākumus, piešķīrām atbildību, testējām kontroles pasākumu un saglabājām pierādījumus”.

Zenith Blueprint, Risku pārvaldības posms, 13. solis “Risku apstrādes plānošana un piemērojamības deklarācija”, noslēdz izsekojamības ciklu:

Kartējiet kontroles pasākumus uz riskiem un punktiem (izsekojamība)

Tagad, kad jums ir gan Risku apstrādes plāns, gan SoA:

✓ Kartējiet kontroles pasākumus uz riskiem: sava Riska reģistra apstrādes plānā jūs katram riskam uzskaitījāt konkrētus kontroles pasākumus. Katram riskam varat pievienot kolonnu “A pielikuma kontroles atsauce” un uzskaitīt kontroles numurus.

Rezerves kopiju veidošanai un atjaunošanas testēšanai piemērojamības deklarācijai (SoA) jāsasaista riska scenārijs ar ISO/IEC 27001:2022 A pielikuma kontroles pasākumiem, jo īpaši 8.13 Informācijas rezerves kopēšana, 5.30 IKT gatavība darbības nepārtrauktībai, 8.14 Informācijas apstrādes iekārtu redundance un 5.29 Informācijas drošība traucējumu laikā.

SoA nedrīkst šos kontroles pasākumus tikai atzīmēt kā piemērojamus. Tajā jāpaskaidro, kāpēc tie ir piemērojami, kādi ieviešanas pierādījumi pastāv, kam pieder kontroles pasākums un kā tiek pārvaldīti izņēmumi.

Kontroles karte, ko auditori sagaida redzēt

Clarysec Zenith Controls: The Cross-Compliance Guide [ZC] neveido atsevišķus vai patentētus kontroles pasākumus. Tas sakārto oficiālos standartus un ietvarus praktiskā starpatbilstības skatījumā, lai organizācijas saprastu, kā viena operacionāla prakse, piemēram, atjaunošanas testēšana, atbalsta vairākus pienākumus.

ISO/IEC 27002:2022 kontrolei 8.13 Informācijas rezerves kopēšana Zenith Controls klasificē kontroles pasākumu kā koriģējošu, sasaistītu ar integritāti un pieejamību, saskaņotu ar kiberdrošības konceptu “Recover”, atbalstošu nepārtrauktības operacionālo spēju un ietilpstošu aizsardzības drošības jomā. Šis profils pārdefinē rezerves kopijas kā atjaunošanas spēju, nevis tikai glabāšanas procesu.

ISO/IEC 27002:2022 kontrolei 5.30 IKT gatavība darbības nepārtrauktībai Zenith Controls klasificē kontroles pasākumu kā koriģējošu, fokusētu uz pieejamību, saskaņotu ar “Respond”, atbalstošu nepārtrauktību un izvietotu noturības drošības jomā. Šeit atjaunošanas testēšana tieši sasaistās ar darbības noturību.

ISO/IEC 27002:2022 kontrolei 8.14 Informācijas apstrādes iekārtu redundance Zenith Controls identificē preventīvu kontroles pasākumu, kas fokusēts uz pieejamību, saskaņots ar “Protect”, atbalsta nepārtrauktību un aktīvu pārvaldību, kā arī ir sasaistīts ar aizsardzības un noturības jomām. Redundance un rezerves kopijas nav viens un tas pats. Redundance palīdz novērst pārtraukumu. Rezerves kopijas nodrošina atjaunošanu pēc zuduma, bojājuma vai uzbrukuma.

ISO/IEC 27002:2022 kontrolei 5.29 Informācijas drošība traucējumu laikā Zenith Controls rāda plašāku profilu: preventīvs un koriģējošs, aptver konfidencialitāti, integritāti un pieejamību, ir saskaņots ar “Protect” un “Respond”, atbalsta nepārtrauktību un ir saistīts ar aizsardzību un noturību. Tas ir būtiski izspiedējprogrammatūras atjaunošanas laikā, jo atjaunošana nedrīkst radīt jaunas drošības kļūmes, piemēram, atjaunot ievainojamus attēlus, apiet žurnālu veidošanu vai atkārtoti aktivizēt pārmērīgas privilēģijas.

Praktiskā mācība ir vienkārša. Atjaunošanas tests nav viens izolēts kontroles pasākums. Tas ir pierādījums visā noturības ķēdē.

Slēptā audita plaisa: RTO un RPO bez pierādījumiem

Viens no biežākajiem darbības nepārtrauktības audita konstatējumiem ir plaisa starp dokumentēto RTO/RPO un reālo atjaunošanas spēju.

Darbības nepārtrauktības plānā var būt norādīts, ka klientu portālam ir četru stundu RTO un vienas stundas RPO. Rezerves kopiju platforma var darboties katru stundu. Taču pirmā reālistiskā atjaunošanas vingrinājuma laikā komanda konstatē, ka datubāzes atjaunošana aizņem trīs stundas, DNS izmaiņām vajadzīga vēl viena stunda, lietojumprogrammas sertifikātam ir beidzies derīguma termiņš un identitātes integrācija nekad nav iekļauta rokasgrāmatā. Reālais atjaunošanas laiks ir astoņas stundas.

Dokumentētais RTO bija fikcija.

Clarysec Darbības nepārtrauktības un avārijas atjaunošanas politika MVU [BCDR-SME], sadaļā Pārvaldības prasības, politikas punkts 5.2.1.4, nepārtrauktības prasību padara skaidru:

Atjaunošanas laika mērķi (RTO) un atjaunošanas punkta mērķi (RPO) katrai sistēmai

Tas ir svarīgi, jo “ātri atjaunot kritiskos pakalpojumus” nav izmērāms. “Atjaunot maksājumu apstiprināšanas datubāzi četru stundu laikā ar ne vairāk kā vienas stundas datu zudumu” ir izmērāms.

Tā pati Darbības nepārtrauktības un avārijas atjaunošanas politika MVU, sadaļā Politikas ieviešanas prasības, politikas punkts 6.4.2, pārvērš testēšanu uzlabošanā:

Visi testu rezultāti jādokumentē, un gūtās mācības jāreģistrē un jāizmanto BCP atjaunināšanai.

Neveiksmīga atjaunošana pati par sevi nav audita katastrofa. Neveiksmīga atjaunošana bez dokumentētas mācības, īpašnieka, korekcijas un atkārtota testa — ir.

Uzņēmuma vidēm Clarysec Rezerves kopiju veidošanas un atjaunošanas politika [BRP] nodrošina formālāku pārvaldību. Sadaļā Pārvaldības prasības, politikas punkts 5.1, tajā noteikts:

Galvenais rezerves kopiju grafiks jāuztur un jāpārskata reizi gadā. Tajā jānorāda:

Šī sākotnējā prasība izveido galveno pārvaldības artefaktu. Galvenajam rezerves kopiju grafikam jāidentificē sistēmas, datu kopas, rezerves kopiju veidošanas biežums, glabāšanas termiņi, atrašanās vieta, īpašumtiesības, klasifikācija, atkarības un testēšanas regularitāte.

Tā pati Rezerves kopiju veidošanas un atjaunošanas politika, sadaļā Pārvaldības prasības, politikas punkts 5.2, sasaista rezerves kopiju prasības ar biznesa ietekmi:

Visām sistēmām un lietojumprogrammām, kas biznesa ietekmes analīzē (BIA) klasificētas kā kritiskas vai ar augstu ietekmi, jānodrošina:

Šeit BIA un rezerves kopiju pārvaldība saplūst. Kritiskām un augstas ietekmes sistēmām nepieciešama spēcīgāka atjaunošanas pārliecība, biežāka testēšana, labāka atkarību kartēšana un disciplinētāki pierādījumi.

Viens pierādījumu modelis ISO 27001:2022, NIS2, DORA, NIST un COBIT 2019 vajadzībām

Atbilstības komandas bieži saskaras ar ietvaru dublēšanos. ISO 27001:2022 prasa uz risku balstītu kontroles pasākumu atlasi un pierādījumus. NIS2 sagaida kiberdrošības risku pārvaldības pasākumus, tostarp darbības nepārtrauktību. DORA sagaida IKT darbības noturību, reaģēšanu un atjaunošanu, rezerves kopiju un atjaunošanas procedūras, kā arī digitālās darbības noturības testēšanu. NIST un COBIT 2019 izmanto vēl citu valodu.

Risinājums nav katram ietvaram veidot atsevišķu rezerves kopiju programmu. Risinājums ir izveidot vienu pierādījumu modeli, kuru var skatīt no vairākiem audita skatpunktiem.

NIS2 gadījumā vistiešākā atsauce ir Article 21 par kiberdrošības risku pārvaldības pasākumiem. Article 21(2)(c) īpaši ietver darbības nepārtrauktību, piemēram, rezerves kopiju pārvaldību, avārijas atjaunošanu un krīzes pārvaldību. Svarīgs ir arī Article 21(2)(f), jo tas attiecas uz politikām un procedūrām kiberdrošības risku pārvaldības pasākumu efektivitātes izvērtēšanai. Atjaunošanas testēšana ir tieši tas: pierādījums, ka pasākums darbojas.

DORA gadījumā spēcīgākās saites ir Article 11 par reaģēšanu un atjaunošanu, Article 12 par rezerves kopiju politikām un procedūrām, atjaunošanas procedūrām un metodēm, kā arī Article 24 par vispārīgajām prasībām digitālās darbības noturības testēšanai. Finanšu vienībām tikai datubāzes atjaunošanas tests var būt nepietiekams, ja biznesa pakalpojums ir atkarīgs no mākoņa identitātes, maksājumu vārtejas savienojamības, ārpakalpojuma mitināšanas vai pārvaldītas uzraudzības. DORA stila pierādījumiem jābūt pakalpojuma līmenī, ne tikai servera līmenī.

Tā ir vienotas atbilstības stratēģijas efektivitāte. Ceturkšņa atjaunošanas tests maksājumu sistēmai var atbalstīt ISO 27001:2022 A pielikuma pierādījumus, NIS2 nepārtrauktības prasības, DORA IKT atjaunošanas prasības, NIST CSF Recover rezultātus un COBIT 2019 pārvaldības ziņošanu, ja pierādījumi ir pareizi strukturēti.

Praktisks atjaunošanas tests, kas kļūst par auditam gatavu pierādījumu

Atgriezīsimies pie Sarah pirmdienas rīta scenārija, bet iedomāsimies, ka viņas organizācija ir sagatavojusies, izmantojot Clarysec rīkkopu.

Maksājumu apstiprināšanas platforma BIA ir klasificēta kā kritiska. Apstiprinātais RTO ir četras stundas. Apstiprinātais RPO ir viena stunda. Platforma ir atkarīga no datubāzes klastera, identitātes nodrošinātāja, noslēpumu glabātuves, žurnālfiksēšanas konveijera, DNS, sertifikātiem un izejošā e-pasta releja.

Sarah komanda izveido ceturkšņa atjaunošanas testu sešos soļos.

1. solis: Apstipriniet darbības jomu un atkarības

Izmantojot Zenith Blueprint 2. soli, Sarah apstiprina, ka maksājumu platforma, datubāze, identitātes integrācija, rezerves kopiju infrastruktūra un atjaunošanas vide ietilpst IDPS darbības jomā. Juridiskais dienests apstiprina regulatīvo nozīmīgumu. Finanšu funkcija apstiprina biznesa ietekmi. IT apstiprina atkarības.

Tas ļauj izvairīties no klasiskas kļūdas — atjaunot tikai datubāzi, ignorējot autentifikācijas pakalpojumu, kas nepieciešams piekļuvei lietojumprogrammai.

2. solis: Sasaistiet testu ar riska reģistru

Izmantojot Zenith Blueprint 11. soli, riska reģistrā iekļauts scenārijs: “Maksājumu apstiprināšanas platformas datu zudums vai šifrēšana aptur maksājumu operācijas un rada regulatīvo ietekmi.”

Esošie kontroles pasākumi ietver ikdienas rezerves kopijas, nemaināmu mākoņkrātuvi, rezerves kopijas vairākās atrašanās vietās, ceturkšņa atjaunošanas testēšanu un dokumentētas atjaunošanas rokasgrāmatas. Riska īpašnieks ir infrastruktūras vadītājs. Biznesa īpašnieks ir finanšu operāciju funkcija. Riska apstrādes lēmums ir mazināt.

3. solis: Kartējiet riska apstrādi uz SoA

Izmantojot Zenith Blueprint 13. soli, SoA kartē risku uz ISO/IEC 27001:2022 A pielikuma kontroles pasākumiem 8.13, 5.30, 8.14 un 5.29. SoA paskaidro, ka rezerves kopiju testēšana nodrošina koriģējošu atjaunošanas spēju, IKT nepārtrauktības procedūras atbalsta darbības nepārtrauktību, redundance samazina dīkstāves iespējamību, un drošība traucējumu laikā novērš nedrošus atjaunošanas īsceļus.

4. solis: Izmantojiet politikas punktus kā testēšanas kritērijus

Komanda izmanto Rezerves kopiju veidošanas un atjaunošanas politika MVU 5.3.3. punktu ceturkšņa atjaunošanas testēšanai, 8.2.2. punktu pierādījumu glabāšanai un 6.3.1.1. punktu glabāšanai vairākās atrašanās vietās. Tā izmanto Darbības nepārtrauktības un avārijas atjaunošanas politika MVU 5.2.1.4. punktu RTO/RPO mērķiem un 6.4.2. punktu gūtajām mācībām un BCP atjauninājumiem.

5. solis: Veiciet atjaunošanu un reģistrējiet faktus

Atjaunošana tiek veikta izolētā atjaunošanas vidē. Komanda reģistrē laikspiedolus, rezerves kopiju kopas identifikatorus, atjaunošanas soļus, kļūdas, validācijas rezultātus un apstiprinājumus.

Spēcīgam atjaunošanas testa ierakstam jāietver:

Testa laikā komanda konstatē vienu problēmu. Atjaunotā lietojumprogramma nevar nosūtīt paziņojumu e-pastus, jo e-pasta releja atļauto saraksts neietver atjaunošanas apakštīklu. Pamata maksājumu apstiprināšana darbojas, bet darbplūsma ir degradēta.

6. solis: Reģistrējiet gūtās mācības un korektīvo darbību

Šeit daudzas organizācijas apstājas pārāk agri. Clarysec pieeja virza problēmu uz uzlabošanas sistēmu.

Audita, pārskatīšanas un uzlabošanas posmā, 29. solī “Nepārtraukta uzlabošana”, Zenith Blueprint izmanto CAPA žurnālu, lai izsekotu problēmas aprakstu, pamatcēloni, korektīvo darbību, īpašnieku, mērķa datumu un statusu.

Šis viens atjaunošanas tests tagad rada auditam gatavu pierādījumu ķēdi: politikas prasība, darbības jomas apstiprinājums, riska kartējums, SoA kartējums, testēšanas plāns, izpildes ieraksts, biznesa validācija, drošības validācija, problēmas ieraksts, korektīvā darbība un BCP atjauninājums.

Kā dažādi auditori pārbauda vienus un tos pašus pierādījumus

Spēcīgs pierādījumu kopums paredz auditora skatījumu.

ISO 27001:2022 auditors parasti sāks ar pārvaldības sistēmu. Viņš jautās, vai rezerves kopiju un atjaunošanas prasības ir iekļautas darbības jomā, balstītas riskā, ieviestas, uzraudzītas, iekšēji auditētas un uzlabotas. Viņš sagaidīs izsekojamību no riska reģistra uz SoA un operacionālajiem ierakstiem. Viņš var sasaistīt arī neveiksmīgus testus un korektīvās darbības ar ISO/IEC 27001:2022 10.2. punktu par neatbilstību un korektīvo darbību.

DORA pārbaudītājs fokusēsies uz IKT darbības noturību kritiskām vai svarīgām funkcijām. Viņš vēlēsies redzēt pakalpojuma līmeņa atjaunošanu, trešo pušu IKT atkarības, scenārijos balstītu testēšanu, vadības institūcijas pārraudzību un pierādījumus, ka atjaunošanas procedūras ir efektīvas.

NIS2 uzraudzības skatījums meklēs atbilstošus un samērīgus kiberdrošības risku pārvaldības pasākumus. Rezerves kopiju un avārijas atjaunošanas pierādījumiem jāparāda, ka būtiski vai svarīgi pakalpojumi var uzturēt vai atjaunot operācijas pēc incidentiem, vadībai apzinoties atlikušo risku.

NIST orientēts izvērtētājs fokusēsies uz kiberdrošības rezultātiem visās funkcijās Identify, Protect, Detect, Respond un Recover. Viņš var jautāt par nemaināmām rezerves kopijām, privileģētu piekļuvi rezerves kopiju repozitorijiem, atjaunošanu tīrās vidēs, komunikāciju un gūtajām mācībām.

COBIT 2019 vai ISACA stila auditors uzsvērs pārvaldību, procesu īpašumtiesības, metrikas, vadības ziņošanu un problēmu izsekošanu. Tehniski eleganta atjaunošana viņu mazāk pārliecinās, ja īpašumtiesības un ziņošana būs neskaidras.

Vieni un tie paši pierādījumi var apmierināt visus šos skatījumus, bet tikai tad, ja tie ir pilnīgi.

Biežākās atjaunošanas testēšanas kļūmes, kas rada audita konstatējumus

Clarysec regulāri redz vienas un tās pašas novēršamās pierādījumu nepilnības.

Mērķis nav birokrātija. Mērķis ir uzticama atjaunošana spriedzes apstākļos un aizstāvami pierādījumi auditā.

Izveidojiet valdes līmeņa atjaunošanas pierādījumu pakotni

Vadītājiem nav vajadzīgi neapstrādāti rezerves kopiju žurnāli. Viņiem vajadzīga pārliecība, ka kritiskie pakalpojumi ir atjaunojami, izņēmumi ir zināmi un uzlabošanas darbības virzās uz priekšu.

Par katru kritisko pakalpojumu ziņojiet:

• Pakalpojuma nosaukumu un biznesa īpašnieku
• Kritiskumu no BIA
• Apstiprināto RTO un RPO
• Pēdējā atjaunošanas testa datumu
• Sasniegto RTO un RPO
• Testa rezultātu
• Atvērtās korektīvās darbības
• Trešo pušu atkarības, kas ietekmē atjaunošanu
• Atlikušā riska paziņojumu
• Nākamo plānoto testu

Šāds ziņošanas stils veido tiltu starp tehniskajām komandām, auditoriem un vadību. Tas atbalsta arī IDPS vadības pārskatīšanu un noturības pārraudzību NIS2 un DORA ietvaros.

Praktisks audita kontrolsaraksts nākamajām 30 līdz 90 dienām

Ja audits tuvojas, sāciet ar pierādījumiem, kas jums jau ir, un vispirms novērsiet augstākā riska nepilnības.

• Identificējiet visas kritiskās un augstas ietekmes sistēmas no BIA.
• Apstipriniet RTO un RPO katrai kritiskajai sistēmai.
• Pārbaudiet, vai katra kritiskā sistēma ir iekļauta Galvenajā rezerves kopiju grafikā.
• Apstipriniet rezerves kopiju atrašanās vietas, tostarp lokālos, mākoņa, nemaināmos vai nodalītos repozitorijus.
• Izvēlieties vismaz vienu nesenu atjaunošanas testu katram kritiskajam pakalpojumam vai nekavējoties ieplānojiet testu.
• Pārliecinieties, ka atjaunošanas testu ieraksti parāda darbības jomu, laikspiedolus, rezerves kopiju kopu, rezultātu, sasniegto RTO/RPO un validāciju.
• Iegūstiet biznesa īpašnieka apstiprinājumu lietojumprogrammas līmeņa atjaunošanai.
• Validējiet drošību pēc atjaunošanas, tostarp piekļuves kontroli, žurnālu veidošanu, uzraudzību, noslēpumus, sertifikātus un ievainojamību ekspozīciju.
• Kartējiet pierādījumus uz riska reģistru un SoA.
• Reģistrējiet problēmas CAPA, piešķiriet īpašniekus un izsekojiet atkārtotai testēšanai.
• Apkopojiet rezultātus vadības pārskatīšanai.
• Sagatavojiet starpatbilstības skatījumu ISO 27001:2022, NIS2, DORA, NIST CSF un COBIT 2019 audita sarunām.

Ja pirms audita nevarat pabeigt katru punktu, esiet caurspīdīgi. Auditori parasti labāk reaģē uz dokumentētu nepilnību ar korektīvo darbību plānu nekā uz neskaidriem brieduma apgalvojumiem.

Padariet atjaunošanas testēšanu par spēcīgāko noturības pierādījumu

Rezerves kopiju veidošana un atjaunošanas testēšana ir viens no skaidrākajiem veidiem, kā pierādīt darbības noturību. Tā ir taustāma, izmērāma, biznesam nozīmīga un tieši sasaistīta ar ISO 27001:2022, NIS2, DORA, NIST, COBIT 2019, valdes ziņošanu, klientu apliecinājumu un apdrošinātāju prasībām.

Bet tikai tad, ja tā ir pienācīgi dokumentēta.

Clarysec palīdz organizācijām pārvērst rezerves kopiju operācijas auditam gatavos pierādījumos, izmantojot Rezerves kopiju veidošanas un atjaunošanas politiku, Rezerves kopiju veidošanas un atjaunošanas politiku MVU, Darbības nepārtrauktības un avārijas atjaunošanas politiku MVU, Zenith Blueprint un Zenith Controls.

Jūsu nākamais praktiskais solis ir vienkāršs. Šonedēļ izvēlieties vienu kritisku pakalpojumu. Veiciet atjaunošanas testu pret tā apstiprināto RTO un RPO. Dokumentējiet rezultātu. Kartējiet to uz riska reģistru un SoA. Reģistrējiet katru gūto mācību.

Ja vēlaties, lai šis process būtu atkārtojams ISO 27001:2022, NIS2, DORA, NIST un COBIT 2019 ietvaros, Clarysec rīkkopa nodrošina struktūru, lai pierādītu atjaunošanu, neveidojot atbilstības labirintu no nulles.