Ittestjar tar-restawr lest għall-awditjar għal ISO 27001, NIS2 u DORA
Huma s-07:40 ta’ nhar ta’ Tnejn filgħodu, u Sarah, is-CISO ta’ kumpanija tat-teknoloġija finanzjarja li qed tikber malajr, qed tara kriżi tiżviluppa f’ħin reali. Is-CFO ma jistax jaċċessa l-pjattaforma tal-approvazzjoni tal-pagamenti. Is-service desk jaħseb li hija kwistjoni ta’ ħażna. It-tim tal-infrastruttura jissuspetta ransomware għaliex diversi folders kondiviżi issa qed juru ismijiet ta’ fajls iċċifrati. Is-CEO irid ikun jaf jekk il-payroll huwiex sigur. Il-funzjoni legali tistaqsi jekk ir-regolaturi għandhomx jiġu nnotifikati.
Sarah tiftaħ id-dashboard tal-backup. Huwa mimli indikaturi ħodor ta’ suċċess.
Dan suppost iserraħ moħħha, iżda ma jagħmilx hekk. Xogħol ta’ backup li jirnexxi mhuwiex prova ta’ restawr li jirnexxi. Huwa bħal meta tara estintur tan-nar mal-ħajt mingħajr ma tkun taf jekk hux iċċarġjat, aċċessibbli u utilizzabbli taħt pressjoni.
Il-kumpanija ta’ Sarah tinsab fil-kamp ta’ applikazzjoni ta’ ISO 27001:2022, hija trattata bħala entità importanti taħt NIS2, u hija soġġetta għal DORA bħala entità finanzjarja. Il-mistoqsija m’għadhiex jekk l-organizzazzjoni tagħmilx backups. Il-mistoqsija hija jekk tistax tirrestawra s-sistemi t-tajba, għall-punt it-tajjeb fiż-żmien, fi ħdan Recovery Time Objectives u Recovery Point Objectives approvati, b’evidenza robusta biżżejjed għal awditur, regolatur, klijent, assiguratur u bord.
Hawnhekk ifallu ħafna programmi tal-backup. Għandhom xogħlijiet ta’ backup. Għandhom dashboards. Għandhom snapshots. Jista’ jkun ukoll li għandhom ħażna cloud. Iżda meta tasal il-pressjoni, ma jistgħux jippruvaw li sistemi kritiċi huma rkuprabbli, li saru testijiet tar-restawr, li testijiet li fallew skattaw azzjoni korrettiva, u li l-evidenza timmappa b’mod ċar għall-aspettattivi ta’ ISO 27001:2022, NIS2, DORA, NIST u COBIT 2019.
Il-backup u l-ittestjar tar-restawr saru kwistjoni ta’ reżiljenza operattiva fil-livell tal-bord. NIS2 jgħolli l-aspettattivi għall-ġestjoni tar-riskji taċ-ċibersigurtà u l-kontinwità tan-negozju. DORA jagħmel ir-reżiljenza operattiva tal-ICT obbligu ewlieni għall-entitajiet finanzjarji u għall-fornituri kritiċi tagħhom ta’ servizzi tal-ICT. ISO 27001:2022 jipprovdi l-istruttura tas-sistema ta’ ġestjoni għall-kamp ta’ applikazzjoni, ir-riskju, l-għażla tal-kontrolli, l-evidenza, l-awditjar u t-titjib kontinwu.
L-isfida prattika hija li test tekniku tar-restawr jinbidel f’evidenza lesta għall-awditjar.
Il-backup mhuwiex evidenza sakemm ir-restawr ma jiġix ippruvat
Xogħol ta’ backup li jitlesta b’suċċess huwa biss indikatur parzjali. Jgħidlek li d-data ġiet ikkupjata xi mkien. Ma jippruvax li d-data tista’ tiġi rrestawrata, li d-dipendenzi tal-applikazzjoni huma intatti, li ċ-ċwievet tal-iċċifrar huma disponibbli, li s-servizzi tal-identità għadhom jaħdmu, jew li s-sistema rkuprata tappoġġa operazzjonijiet reali tan-negozju.
L-awdituri jafu dan. Ir-regolaturi jafu dan. L-attakkanti jafu dan.
Awditur teknikament matur mhux se jieqaf fuq screenshot li juri 97 fil-mija ta’ suċċess fix-xogħlijiet tal-backup. Se jistaqsi:
- Liema sistemi huma kritiċi jew b’impatt għoli?
- Liema RTO u RPO japplikaw għal kull sistema?
- Meta sar l-aħħar test tar-restawr?
- It-test kien sħiħ, parzjali, fil-livell tal-applikazzjoni, fil-livell tad-database jew fil-livell tal-fajl?
- Min ivverifika l-proċess tan-negozju wara r-restawr?
- Il-fallimenti ġew irreġistrati bħala nuqqasijiet ta’ konformità jew azzjonijiet ta’ titjib?
- Għal kemm żmien jinżammu l-logs u r-reġistri tat-testijiet tar-restawr?
- Il-kopji tal-backup huma segregati bejn postijiet differenti?
- Kif timmappa l-evidenza mar-Reġistru tar-Riskji u mad-Dikjarazzjoni ta’ Applikabbiltà?
Għalhekk il-lingwaġġ tal-politiki ta’ Clarysec huwa intenzjonalment dirett. Il-Backup and Restore Policy-sme [BRP-SME], fit-taqsima Rekwiżiti ta’ governanza, klawżola tal-politika 5.3.3, teħtieġ:
It-testijiet tar-restawr jitwettqu mill-inqas kull tliet xhur, u r-riżultati jiġu dokumentati biex tiġi vverifikata l-irkuprabbiltà
Dik is-sentenza waħda tbiddel il-konverżazzjoni tal-awditjar. Tmexxi lill-organizzazzjoni minn “għandna backups” għal “nivverifikaw l-irkuprabbiltà fuq kadenzata definita u nżommu r-riżultati.”
L-istess Backup and Restore Policy-sme, fit-taqsima Applikazzjoni u konformità, klawżola tal-politika 8.2.2, issaħħaħ l-obbligu tal-evidenza:
Il-logs u r-reġistri tat-testijiet tar-restawr jinżammu għal skopijiet ta’ awditjar
Dik il-klawżola tipprevjeni li l-ittestjar tar-restawr isir memorja informali mhux dokumentata. Jekk inġinier tal-infrastruttura jgħid, “Ittestjajna dak f’Marzu,” iżda ma jeżisti l-ebda reġistru, mhijiex evidenza lesta għall-awditjar.
L-istess politika tindirizza wkoll is-sopravivenza permezz tad-diversità tal-ħażna. Fit-taqsima Rekwiżiti għall-implimentazzjoni tal-politika, klawżola tal-politika 6.3.1.1, il-backups għandhom ikunu:
Maħżuna f’mill-inqas żewġ postijiet (lokali u cloud)
Din hija linja bażi prattika. Ma tissostitwixxix valutazzjoni tar-riskju, iżda tnaqqas il-probabbiltà li dominju wieħed ta’ falliment fiżiku jew loġiku jeqred kemm id-data tal-produzzjoni kif ukoll id-data tal-backup.
Il-katina tal-evidenza ta’ ISO 27001:2022 tibda qabel it-test
L-organizzazzjonijiet ħafna drabi jittrattaw il-konformità tal-backup bħala suġġett tal-Operazzjonijiet tal-IT. F’termini ta’ ISO 27001:2022, dan huwa wisq dejjaq. Il-backup u l-ittestjar tar-restawr għandhom jiġu inkorporati fis-Sistema ta’ Ġestjoni tas-Sigurtà tal-Informazzjoni, u marbuta mal-kamp ta’ applikazzjoni, ir-riskju, l-għażla tal-kontrolli, il-monitoraġġ, l-Awditjar Intern u t-titjib kontinwu.
Il-Zenith Blueprint: An Auditor’s 30-Step Roadmap [ZB] ta’ Clarysec jibda din il-katina tal-evidenza qabel ma jsir kwalunkwe test tar-restawr.
Fil-fażi tal-Fondazzjoni u t-Tmexxija tal-ISMS, Pass 2, Ħtiġijiet tal-partijiet interessati u kamp ta’ applikazzjoni tal-ISMS, Zenith Blueprint jiggwida lill-organizzazzjonijiet biex jiddefinixxu x’inhu inkluż fl-ISMS:
Punt ta’ azzjoni 4.3: Abbozza dikjarazzjoni tal-kamp ta’ applikazzjoni tal-ISMS. Elenka x’inhu inkluż (unitajiet tan-negozju, postijiet, sistemi) u kwalunkwe esklużjoni. Aqsam dan l-abbozz mat-tmexxija għolja għall-kontribut – għandhom jaqblu dwar liema partijiet tan-negozju se jkunu soġġetti għall-ISMS. Huwa għaqli wkoll li tivverifika dan il-kamp ta’ applikazzjoni mal-lista preċedenti tiegħek tar-rekwiżiti tal-partijiet interessati: il-kamp ta’ applikazzjoni tiegħek ikopri l-oqsma kollha meħtieġa biex jiġu ssodisfati dawk ir-rekwiżiti?
Għall-ittestjar tar-restawr, il-kamp ta’ applikazzjoni jiddefinixxi l-univers tal-irkupru. Jekk il-pjattaforma tal-pagamenti, il-fornitur tal-identità, id-database ERP, is-server tal-ġestjoni tal-endpoints u l-ħażna ta’ oġġetti fil-cloud huma fil-kamp ta’ applikazzjoni, l-evidenza tar-restawr trid tinkludihom jew tiġġustifika għaliex le. Jekk sistema tiġi eskluża, l-esklużjoni trid tkun difensibbli kontra r-rekwiżiti tal-partijiet interessati, l-obbligi kuntrattwali, id-dmirijiet regolatorji u l-ħtiġijiet tal-kontinwità tan-negozju.
Ir-rabta li jmiss hija r-riskju. Fil-fażi tal-Ġestjoni tar-Riskji, Pass 11, Bini u dokumentazzjoni tar-Reġistru tar-Riskji, Zenith Blueprint jiddeskrivi r-Reġistru tar-Riskji bħala r-reġistru prinċipali tar-riskji, l-assi, it-theddid, il-vulnerabbiltajiet, il-kontrolli attwali, is-sidien u d-deċiżjonijiet tat-trattament.
Entrata tar-riskju relatata mal-backup għandha tkun prattika, mhux teoretika.
| Element tar-riskju | Eżempju ta’ entrata |
|---|---|
| Assi | Pjattaforma tal-approvazzjoni tal-pagamenti u database ta’ appoġġ |
| Theddida | Iċċifrar minn ransomware jew azzjoni distruttiva ta’ amministratur |
| Vulnerabbiltà | Backups mhux irrestawrati kull tliet xhur u dipendenzi tal-applikazzjoni mhux ivverifikati |
| Impatt | Dewmien fil-payroll, espożizzjoni regolatorja, impatt fuq il-fiduċja tal-klijenti |
| Kontrolli attwali | Xogħlijiet ta’ backup ta’ kuljum, ħażna cloud immutabbli, test tar-restawr kull tliet xhur |
| Sid tar-riskju | Kap tal-Infrastruttura |
| Deċiżjoni tat-trattament | Mitigazzjoni permezz ta’ backups ittestjati, evidenza dokumentata tar-restawr u aġġornamenti tal-BCP |
Hawnhekk il-backup isir awditabbli. M’għadux “għandna backups.” Issa huwa “identifikajna riskju tan-negozju, għażilna kontrolli, assenjajna sjieda, ittestjajna l-kontroll u żammejna l-evidenza.”
Zenith Blueprint, fil-fażi tal-Ġestjoni tar-Riskji, Pass 13, Ippjanar tat-Trattament tar-Riskju u Dikjarazzjoni ta’ Applikabbiltà, jagħlaq iċ-ċiklu tat-traċċabbiltà:
Immappa l-kontrolli mar-riskji u l-klawżoli (traċċabbiltà)
Issa li għandek kemm il-Pjan ta’ Trattament tar-Riskju kif ukoll is-SoA:
✓ Immappa l-kontrolli mar-riskji: fil-pjan tat-trattament tar-Reġistru tar-Riskji tiegħek, elenkajt ċerti kontrolli għal kull riskju. Tista’ żżid kolonna “Referenza tal-Kontroll tal-Anness A” ma’ kull riskju u telenka n-numri tal-kontrolli.
Għall-backup u l-ittestjar tar-restawr, id-Dikjarazzjoni ta’ Applikabbiltà għandha torbot ix-xenarju tar-riskju mal-kontrolli tal-Anness A ta’ ISO/IEC 27001:2022, speċjalment 8.13 backup tal-informazzjoni, 5.30 tħejjija tal-ICT għall-kontinwità tan-negozju, 8.14 ridondanza tal-faċilitajiet tal-ipproċessar tal-informazzjoni, u 5.29 sigurtà tal-informazzjoni waqt tfixkil.
Is-SoA m’għandhiex sempliċement timmarka dawn il-kontrolli bħala applikabbli. Għandha tispjega għaliex huma applikabbli, liema evidenza ta’ implimentazzjoni teżisti, min hu sid il-kontroll u kif jiġu mmaniġġjati l-eċċezzjonijiet.
Il-mappa tal-kontrolli li l-awdituri jistennew jaraw
Il-Zenith Controls: The Cross-Compliance Guide [ZC] ta’ Clarysec ma joħloqx kontrolli separati jew proprjetarji. Jorganizza standards u oqfsa uffiċjali f’veduta prattika ta’ konformità trasversali sabiex l-organizzazzjonijiet jifhmu kif prattika operattiva waħda, bħall-ittestjar tar-restawr, tappoġġa obbligi multipli.
Għall-kontroll 8.13 backup tal-informazzjoni ta’ ISO/IEC 27002:2022, Zenith Controls jikklassifika l-kontroll bħala korrettiv, marbut mal-Integrità u d-Disponibbiltà, allinjat mal-kunċett taċ-ċibersigurtà Recover, li jappoġġa l-kapaċità operattiva tal-Kontinwità, u mqiegħed fid-dominju tas-sigurtà tal-Protezzjoni. Dak il-profil jerġa’ jqiegħed il-backups bħala kapaċità ta’ rkupru, mhux sempliċement proċess ta’ ħażna.
Għall-kontroll 5.30 tħejjija tal-ICT għall-kontinwità tan-negozju ta’ ISO/IEC 27002:2022, Zenith Controls jikklassifika l-kontroll bħala korrettiv, iffukat fuq id-Disponibbiltà, allinjat ma’ Respond, li jappoġġa l-Kontinwità, u pożizzjonat fid-dominju tas-sigurtà tar-Reżiljenza. Hawnhekk l-ittestjar tar-restawr jorbot direttament mar-reżiljenza operattiva.
Għall-kontroll 8.14 ridondanza tal-faċilitajiet tal-ipproċessar tal-informazzjoni ta’ ISO/IEC 27002:2022, Zenith Controls jidentifika kontroll preventiv iffukat fuq id-Disponibbiltà, allinjat ma’ Protect, li jappoġġa l-Kontinwità u l-ġestjoni tal-assi, u marbut mad-dominji tal-Protezzjoni u r-Reżiljenza. Ir-ridondanza u l-backups mhumiex l-istess. Ir-ridondanza tgħin tipprevjeni l-interruzzjoni. Il-backups jippermettu l-irkupru wara telf, korruzzjoni jew attakk.
Għall-kontroll 5.29 sigurtà tal-informazzjoni waqt tfixkil ta’ ISO/IEC 27002:2022, Zenith Controls juri profil usa’: preventiv u korrettiv, li jkopri l-Kunfidenzjalità, l-Integrità u d-Disponibbiltà, allinjat ma’ Protect u Respond, li jappoġġa l-Kontinwità, u marbut mal-Protezzjoni u r-Reżiljenza. Dan huwa importanti waqt irkupru minn ransomware għaliex ir-restawr m’għandux joħloq fallimenti ġodda tas-sigurtà, bħar-restawr ta’ immaġnijiet vulnerabbli, it-teħid ta’ shortcuts billi jiġi evitat il-logging, jew ir-riattivazzjoni ta’ privileġġi eċċessivi.
| Kontroll tal-Anness A ta’ ISO/IEC 27001:2022 | Rwol fir-reżiljenza | Evidenza li l-awdituri jistennew |
|---|---|---|
| 8.13 Backup tal-informazzjoni | Jipprova li d-data u s-sistemi jistgħu jiġu rkuprati wara telf, korruzzjoni jew attakk | Skeda tal-backup, reġistri tat-testijiet tar-restawr, kriterji ta’ suċċess, logs, eċċezzjonijiet, evidenza taż-żamma |
| 5.30 Tħejjija tal-ICT għall-kontinwità tan-negozju | Turi li l-kapaċitajiet tal-ICT jappoġġaw l-objettivi tal-kontinwità | BIA, immappjar tar-RTO/RPO, runbooks ta’ rkupru, rapporti tat-testijiet, lessons learned |
| 8.14 Ridondanza tal-faċilitajiet tal-ipproċessar tal-informazzjoni | Tnaqqas id-dipendenza fuq faċilità waħda ta’ pproċessar jew passaġġ wieħed ta’ servizz | Dijagrammi tal-arkitettura, riżultati tat-testijiet tal-failover, rieżami tal-kapaċità, immappjar tad-dipendenzi |
| 5.29 Sigurtà tal-informazzjoni waqt tfixkil | Iżżomm is-sigurtà waqt operazzjonijiet degradati u rkupru | Reġistri tal-aċċess waqt kriżi, approvazzjonijiet ta’ tibdil ta’ emerġenza, logging, kronoloġija tal-inċident, verifika tas-sigurtà wara r-restawr |
Il-lezzjoni prattika hija sempliċi. Test tar-restawr mhuwiex kontroll wieħed iżolat. Huwa evidenza tul katina ta’ reżiljenza.
Il-lakuna moħbija tal-awditjar: RTO u RPO mingħajr prova
Waħda mill-aktar sejbiet komuni fl-awditjar tal-kontinwità hija l-lakuna bejn RTO/RPO dokumentati u kapaċità reali ta’ restawr.
Il-pjan tal-kontinwità tan-negozju jista’ jgħid li l-portal tal-klijenti għandu RTO ta’ erba’ sigħat u RPO ta’ siegħa. Il-pjattaforma tal-backup tista’ taħdem kull siegħa. Iżda waqt l-ewwel eżerċizzju realistiku tar-restawr, it-tim jiskopri li r-restawr tad-database jieħu tliet sigħat, bidliet fid-DNS jeħtieġu siegħa oħra, iċ-ċertifikat tal-applikazzjoni skada, u l-integrazzjoni tal-identità qatt ma ġiet inkluża fir-runbook. Il-ħin reali tal-irkupru huwa tmien sigħat.
L-RTO dokumentat kien fizzjoni.
Il-Business Continuity Policy and Disaster Recovery Policy-sme [BCDR-SME] ta’ Clarysec, fit-taqsima Rekwiżiti ta’ governanza, klawżola tal-politika 5.2.1.4, tagħmel ir-rekwiżit tal-kontinwità espliċitu:
Recovery Time Objectives (RTOs) u Recovery Point Objectives (RPOs) għal kull sistema
Dan huwa importanti għaliex “irrestawra servizzi kritiċi malajr” mhuwiex miżurabbli. “Irrestawra d-database tal-approvazzjoni tal-pagamenti fi żmien erba’ sigħat b’telf ta’ data ta’ mhux aktar minn siegħa” huwa miżurabbli.
L-istess Business Continuity Policy and Disaster Recovery Policy-sme, fit-taqsima Rekwiżiti għall-implimentazzjoni tal-politika, klawżola tal-politika 6.4.2, tibdel l-ittestjar f’titjib:
Ir-riżultati kollha tat-testijiet għandhom jiġu dokumentati, u l-lessons learned għandhom jiġu rreġistrati u użati biex jiġi aġġornat il-BCP.
Restawr li jfalli mhuwiex awtomatikament diżastru tal-awditjar. Restawr li jfalli mingħajr lezzjoni dokumentata, sid, korrezzjoni u test mill-ġdid huwa.
Għal ambjenti tal-intrapriża, il-Backup and Restore Policy [BRP] ta’ Clarysec jipprovdi governanza aktar formali. Fit-taqsima Rekwiżiti ta’ governanza, klawżola tal-politika 5.1, jgħid:
Għandha tinżamm u tiġi rieżaminata kull sena Skeda Prinċipali tal-Backup. Din għandha tispeċifika:
Dak ir-rekwiżit inizjali jistabbilixxi l-artefatt ewlieni tal-governanza. Skeda Prinċipali tal-Backup għandha tidentifika sistemi, settijiet ta’ data, frekwenza tal-backup, żamma, post, sjieda, klassifikazzjoni, dipendenzi u kadenzata tal-ittestjar.
L-istess Backup and Restore Policy, fit-taqsima Rekwiżiti ta’ governanza, klawżola tal-politika 5.2, torbot l-aspettattivi tal-backup mal-impatt fuq in-negozju:
Is-sistemi u l-applikazzjonijiet kollha kklassifikati bħala Kritiċi jew b’impatt Għoli fil-Business Impact Analysis (BIA) għandhom:
Hawnhekk il-BIA u l-governanza tal-backup jiltaqgħu. Sistemi kritiċi u b’impatt għoli jeħtieġu assigurazzjoni aktar b’saħħitha tal-irkupru, ittestjar aktar frekwenti, immappjar aħjar tad-dipendenzi u evidenza aktar dixxiplinata.
Mudell wieħed ta’ evidenza għal ISO 27001:2022, NIS2, DORA, NIST u COBIT 2019
It-timijiet tal-konformità ħafna drabi jitħabtu mad-duplikazzjoni tal-oqfsa. ISO 27001:2022 jitlob għażla ta’ kontrolli bbażata fuq ir-riskju u evidenza. NIS2 jistenna miżuri ta’ ġestjoni tar-riskji taċ-ċibersigurtà, inkluża l-kontinwità tan-negozju. DORA jistenna reżiljenza operattiva tal-ICT, rispons u rkupru, proċeduri ta’ backup u restawr, u ttestjar tar-reżiljenza operattiva diġitali. NIST u COBIT 2019 jużaw lingwaġġ differenti għal darb’oħra.
It-tweġiba mhijiex li jinbnew programmi separati tal-backup għal kull qafas. It-tweġiba hija li jinbena mudell wieħed ta’ evidenza li jista’ jiġi osservat minn diversi perspettivi ta’ awditjar.
| Lenti tal-qafas | X’jipprova l-backup u l-ittestjar tar-restawr | Evidenza li għandha tinżamm lesta għall-awditjar |
|---|---|---|
| ISO 27001:2022 | Ir-riskji jiġu ttrattati permezz ta’ kontrolli magħżula, ittestjati, immonitorjati u mtejba permezz tal-ISMS | Kamp ta’ applikazzjoni, Reġistru tar-Riskji, SoA, skeda tal-backup, reġistri tar-restawr, riżultati tal-awditjar intern, log CAPA |
| NIS2 | Servizzi essenzjali jew importanti jistgħu jifilħu u jirkupraw minn tfixkil ċibernetiku | Pjanijiet tal-kontinwità tan-negozju, proċeduri ta’ kriżi, testijiet tal-backup, rabtiet mar-rispons għall-inċidenti, sorveljanza tal-maniġment |
| DORA | Servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti huma reżiljenti u rkuprabbli | Immappjar tal-assi tal-ICT, RTO/RPO, rapporti tat-testijiet tar-restawr, evidenza tad-dipendenzi fuq partijiet terzi, proċeduri ta’ rkupru |
| NIST CSF | Kapaċitajiet ta’ rkupru jappoġġaw riżultati reżiljenti taċ-ċibersigurtà | Pjanijiet ta’ rkupru, kontrolli tal-integrità tal-backup, proċeduri ta’ komunikazzjoni, lessons learned |
| COBIT 2019 | Objettivi ta’ governanza u ġestjoni huma appoġġati minn kontrolli miżurabbli u sjieda responsabbli | Sjieda tal-proċessi, metriċi, prestazzjoni tal-kontrolli, traċċar tal-kwistjonijiet, rappurtar lill-maniġment |
Għal NIS2, l-aktar referenza diretta hija Article 21 dwar miżuri ta’ ġestjoni tar-riskji taċ-ċibersigurtà. Article 21(2)(c) jinkludi speċifikament il-kontinwità tan-negozju, bħall-ġestjoni tal-backup, l-irkupru minn diżastru u l-ġestjoni tal-kriżijiet. Article 21(2)(f) huwa importanti wkoll għaliex jindirizza politiki u proċeduri biex tiġi evalwata l-effettività tal-miżuri ta’ ġestjoni tar-riskji taċ-ċibersigurtà. L-ittestjar tar-restawr huwa eżattament dan: evidenza li l-miżura taħdem.
Għal DORA, l-aktar rabtiet b’saħħithom huma Article 11 dwar rispons u rkupru, Article 12 dwar politiki u proċeduri tal-backup, proċeduri u metodi ta’ restawr u rkupru, u Article 24 dwar rekwiżiti ġenerali għall-ittestjar tar-reżiljenza operattiva diġitali. Għal entitajiet finanzjarji, test tar-restawr ta’ database waħda jista’ ma jkunx biżżejjed jekk is-servizz tan-negozju jiddependi fuq identità cloud, konnettività tal-gateway tal-pagamenti, hosting esternalizzat jew monitoraġġ immaniġġjat. Evidenza fl-istil DORA għandha tkun fil-livell tas-servizz, mhux biss fil-livell tas-server.
| Kontroll ta’ ISO/IEC 27001:2022 | Rabta ma’ DORA | Rabta ma’ NIS2 |
|---|---|---|
| 8.13 Backup tal-informazzjoni | Article 12 jeħtieġ politiki tal-backup, u proċeduri u metodi ta’ restawr u rkupru | Article 21(2)(c) jinkludi ġestjoni tal-backup u rkupru minn diżastru bħala miżuri tal-kontinwità tan-negozju |
| 5.30 Tħejjija tal-ICT għall-kontinwità tan-negozju | Article 11 jeħtieġ kapaċità ta’ rispons u rkupru, u Article 24 jeħtieġ ittestjar tar-reżiljenza | Article 21(2)(c) jinkludi kontinwità tan-negozju u ġestjoni tal-kriżijiet |
| 8.14 Ridondanza tal-faċilitajiet tal-ipproċessar tal-informazzjoni | Articles 6 u 9 jappoġġaw il-ġestjoni tar-riskji tal-ICT, il-protezzjoni, il-prevenzjoni u t-tnaqqis ta’ punti uniċi ta’ falliment | Article 21 jeħtieġ miżuri xierqa u proporzjonati biex jiġu ġestiti r-riskji għas-sistemi tan-network u tal-informazzjoni |
| 5.29 Sigurtà tal-informazzjoni waqt tfixkil | Ir-rispons u l-irkupru taħt Article 11 jeħtieġu rkupru kkontrollat waqt inċidenti | Il-miżuri ta’ ġestjoni tar-riskji taħt Article 21 jeħtieġu kontinwità mingħajr ma jiġu abbandunati l-kontrolli tas-sigurtà |
Din hija l-effiċjenza ta’ strateġija unifikata ta’ konformità. Test tar-restawr kull tliet xhur għal sistema tal-pagamenti jista’ jappoġġa evidenza tal-Anness A ta’ ISO 27001:2022, aspettattivi ta’ kontinwità ta’ NIS2, rekwiżiti ta’ rkupru tal-ICT ta’ DORA, riżultati Recover ta’ NIST CSF, u rappurtar tal-governanza ta’ COBIT 2019, jekk l-evidenza tkun strutturata b’mod korrett.
Test prattiku tar-restawr li jsir evidenza lesta għall-awditjar
Nerġgħu lura għax-xenarju ta’ Sarah ta’ nhar it-Tnejn filgħodu, iżda nimmaġinaw li l-organizzazzjoni tagħha ħejjiet ruħha billi użat it-toolkit ta’ Clarysec.
Il-pjattaforma tal-approvazzjoni tal-pagamenti hija kklassifikata bħala Kritika fil-BIA. L-RTO approvat huwa erba’ sigħat. L-RPO approvat huwa siegħa. Il-pjattaforma tiddependi fuq cluster tad-database, fornitur tal-identità, vault tas-sigrieti, pipeline tal-logging, DNS, ċertifikati u relay tal-email li joħroġ.
It-tim ta’ Sarah jibni test tar-restawr kull tliet xhur madwar sitt passi.
Pass 1: Ikkonferma l-kamp ta’ applikazzjoni u d-dipendenzi
Bl-użu ta’ Zenith Blueprint Pass 2, Sarah tikkonferma li l-pjattaforma tal-pagamenti, id-database, l-integrazzjoni tal-identità, l-infrastruttura tal-backup u l-ambjent ta’ rkupru jinsabu fil-kamp ta’ applikazzjoni tal-ISMS. Il-funzjoni legali tikkonferma r-rilevanza regolatorja. Il-finanzi jikkonfermaw l-impatt fuq in-negozju. L-IT tikkonferma d-dipendenzi.
Dan jevita l-iżball klassiku li tirrestawra biss id-database filwaqt li tinjora s-servizz ta’ awtentikazzjoni meħtieġ biex taċċessa l-applikazzjoni.
Pass 2: Orbot it-test mar-Reġistru tar-Riskji
Bl-użu ta’ Zenith Blueprint Pass 11, ir-Reġistru tar-Riskji jinkludi x-xenarju: “Telf jew iċċifrar tad-data tal-pjattaforma tal-approvazzjoni tal-pagamenti jipprevjeni l-operazzjonijiet tal-pagamenti u joħloq espożizzjoni regolatorja.”
Il-kontrolli attwali jinkludu backups ta’ kuljum, ħażna cloud immutabbli, kopji tal-backup f’diversi postijiet, ittestjar tar-restawr kull tliet xhur u runbooks ta’ rkupru dokumentati. Is-sid tar-riskju huwa l-Kap tal-Infrastruttura. Is-sid tan-negozju huwa Finance Operations. Id-deċiżjoni tat-trattament hija Mitigazzjoni.
Pass 3: Immappa t-trattament mas-SoA
Bl-użu ta’ Zenith Blueprint Pass 13, is-SoA timmappa r-riskju mal-kontrolli tal-Anness A ta’ ISO/IEC 27001:2022 8.13, 5.30, 8.14, u 5.29. Is-SoA tispjega li l-ittestjar tal-backup jipprovdi kapaċità korrettiva ta’ rkupru, li l-proċeduri tal-kontinwità tal-ICT jappoġġaw il-kontinwità tan-negozju, li r-ridondanza tnaqqas il-probabbiltà ta’ qtugħ fis-servizz, u li s-sigurtà waqt tfixkil tipprevjeni shortcuts mhux siguri waqt l-irkupru.
Pass 4: Uża l-klawżoli tal-politika bħala kriterji tat-test
It-tim juża l-klawżola 5.3.3 tal-Backup and Restore Policy-sme għall-ittestjar tar-restawr kull tliet xhur, il-klawżola 8.2.2 għaż-żamma tal-evidenza, u l-klawżola 6.3.1.1 għall-ħażna f’diversi postijiet. Juża l-klawżola 5.2.1.4 tal-Business Continuity Policy and Disaster Recovery Policy-sme għall-miri tar-RTO/RPO u l-klawżola 6.4.2 għal lessons learned u aġġornamenti tal-BCP.
| Kriterju tat-test | Mira | Evidenza |
|---|---|---|
| Kadenzata tar-restawr | Kull tliet xhur | Kalendarju tat-testijiet u skeda approvata |
| RTO | 4 sigħat | Ħin tal-bidu, ħin tat-tmiem, ħin tal-irkupru li għadda |
| RPO | Siegħa | Timestamp tal-backup u verifika tat-tranżazzjonijiet |
| Postijiet | Sorsi tal-backup lokali u cloud disponibbli | Rapport tar-repożitorju tal-backup |
| Integrità | Kontrolli tal-konsistenza tad-database jgħaddu | Logs tal-verifika |
| Applikazzjoni | Utent tal-finanzi jista’ japprova pagament tat-test | Sign-off tal-verifika tan-negozju |
| Sigurtà | Logging, kontrolli tal-aċċess u sigrieti vverifikati wara r-restawr | Lista ta’ kontroll tas-sigurtà u screenshots |
Pass 5: Esegwixxi r-restawr u rreġistra l-fatti
Ir-restawr jitwettaq f’ambjent ta’ rkupru iżolat. It-tim jirreġistra timestamps, identifikaturi tas-sett tal-backup, passi tar-restawr, żbalji, riżultati tal-verifika u approvazzjonijiet.
Reġistru robust tat-test tar-restawr għandu jinkludi:
| Qasam tat-test tar-restawr | Eżempju |
|---|---|
| ID tat-test | Q2-2026-PAY-RESTORE |
| Sistema ttestjata | Pjattaforma tal-approvazzjoni tal-pagamenti |
| Sett tal-backup użat | Backup tal-pjattaforma tal-pagamenti minn punt ta’ rkupru approvat |
| Post tar-restawr | Ambjent ta’ rkupru iżolat |
| Mira tar-RTO | 4 sigħat |
| Mira tar-RPO | Siegħa |
| Ħin reali tal-irkupru | Sagħtejn u 45 minuta |
| Punt reali tal-irkupru | 42 minuta |
| Verifika tal-integrità | Kontrolli tal-konsistenza tad-database għaddew |
| Verifika tan-negozju | Utent tal-finanzi approva pagament tat-test |
| Verifika tas-sigurtà | Logging, kontrolli tal-aċċess, sigrieti u monitoraġġ ikkonfermati |
| Riżultat | Għadda b’kundizzjoni |
| Sign-off | CISO, Responsabbli tal-Infrastruttura, Sid tal-Finance Operations |
Waqt it-test, it-tim jiskopri kwistjoni waħda. L-applikazzjoni rrestawrata ma tistax tibgħat emails ta’ notifika għaliex l-allowlist tar-relay tal-email ma tinkludix is-subnet tal-irkupru. L-approvazzjoni ewlenija tal-pagamenti taħdem, iżda l-fluss tax-xogħol huwa degradat.
Pass 6: Irreġistra lessons learned u azzjoni korrettiva
Hawnhekk ħafna organizzazzjonijiet jieqfu kmieni wisq. L-approċċ ta’ Clarysec imexxi l-kwistjoni fis-sistema tat-titjib.
Fil-fażi Awditu, Rieżami u Titjib, Pass 29, Titjib kontinwu, Zenith Blueprint juża Log CAPA biex jittraċċa d-deskrizzjoni tal-kwistjoni, l-analiżi tal-kawża ewlenija, l-azzjoni korrettiva, is-sid, id-data fil-mira u l-istatus.
| Qasam CAPA | Eżempju |
|---|---|
| Deskrizzjoni tal-kwistjoni | Il-pjattaforma tal-pagamenti rrestawrata ma setgħetx tibgħat notifiki bl-email mis-subnet tal-irkupru |
| Analiżi tal-kawża ewlenija | In-network tal-irkupru ma kienx inkluż fid-disinn tal-allowlist tar-relay tal-email |
| Azzjoni korrettiva | Aġġorna l-arkitettura tal-irkupru u l-proċedura tal-allowlist tar-relay tal-email |
| Sid | Responsabbli tal-Infrastruttura |
| Data fil-mira | 15-il jum tax-xogħol |
| Status | Miftuħ, pendenti test mill-ġdid |
Dan it-test wieħed tar-restawr issa jipproduċi katina ta’ evidenza lesta għall-awditjar: rekwiżit tal-politika, konferma tal-kamp ta’ applikazzjoni, immappjar tar-riskju, immappjar tas-SoA, pjan tat-test, reġistru tal-eżekuzzjoni, verifika tan-negozju, verifika tas-sigurtà, reġistru tal-kwistjoni, azzjoni korrettiva u aġġornament tal-BCP.
Kif awdituri differenti jispezzjonaw l-istess evidenza
Pakkett robust ta’ evidenza jantiċipa l-lenti tal-awditur.
Awditur ta’ ISO 27001:2022 normalment jibda mis-sistema ta’ ġestjoni. Se jistaqsi jekk ir-rekwiżiti tal-backup u tar-restawr humiex fil-kamp ta’ applikazzjoni, ibbażati fuq ir-riskju, implimentati, immonitorjati, awditjati internament u mtejba. Se jistenna traċċabbiltà mir-Reġistru tar-Riskji għas-SoA u għar-reġistri operattivi. Jista’ wkoll jgħaqqad testijiet li fallew u azzjonijiet korrettivi mal-klawżola 10.2 ta’ ISO/IEC 27001:2022 dwar nuqqas ta’ konformità u azzjoni korrettiva.
Rieżaminatur ta’ DORA se jiffoka fuq ir-reżiljenza operattiva tal-ICT għal funzjonijiet kritiċi jew importanti. Se jkun irid jara rkupru fil-livell tas-servizz, dipendenzi fuq partijiet terzi tal-ICT, ittestjar ibbażat fuq xenarji, sorveljanza mill-korp maniġerjali u evidenza li l-proċeduri tar-restawr huma effettivi.
Perspettiva superviżorja ta’ NIS2 se tfittex miżuri xierqa u proporzjonati ta’ ġestjoni tar-riskji taċ-ċibersigurtà. L-evidenza tal-backup u tal-irkupru minn diżastru għandha turi li servizzi essenzjali jew importanti jistgħu jżommu jew jirrestawraw l-operazzjonijiet wara inċidenti, bil-maniġment konxju tar-riskju residwu.
Valutatur orjentat lejn NIST se jiffoka fuq ir-riżultati taċ-ċibersigurtà madwar Identify, Protect, Detect, Respond u Recover. Jista’ jistaqsi dwar backups immutabbli, aċċess privileġġjat għar-repożitorji tal-backup, restawr f’ambjenti nodfa, komunikazzjonijiet u lessons learned.
Awditur ta’ stil COBIT 2019 jew ISACA se jenfasizza l-governanza, is-sjieda tal-proċessi, il-metriċi, ir-rappurtar lill-maniġment u t-traċċar tal-kwistjonijiet. Se jkun inqas impressjonat minn restawr teknikament eleganti jekk is-sjieda u r-rappurtar ma jkunux ċari.
L-istess evidenza tista’ tissodisfa dawn il-perspettivi kollha, iżda biss jekk tkun kompluta.
Fallimenti komuni fl-ittestjar tar-restawr li joħolqu sejbiet tal-awditjar
Clarysec ripetutament jara l-istess lakuni fl-evidenza li jistgħu jiġu evitati.
| Mudell ta’ falliment | Għaliex joħloq riskju ta’ awditjar | Soluzzjoni prattika |
|---|---|---|
| Is-suċċess tal-backup jiġi trattat bħala suċċess tar-restawr | It-tlestija tal-kopja ma tippruvax l-irkuprabbiltà | Wettaq testijiet tar-restawr dokumentati b’verifika |
| RTO u RPO huma definiti iżda mhux ittestjati | L-objettivi tal-kontinwità jistgħu jkunu mhux realistiċi | Kejjel il-ħin reali tal-irkupru u l-punt reali tal-irkupru waqt it-testijiet |
| L-infrastruttura biss tivverifika r-restawr | Il-proċess tan-negozju xorta jista’ ma jkunx utilizzabbli | Itlob sign-off mis-sid tan-negozju għal sistemi kritiċi |
| Ir-reġistri tat-testijiet huma mxerrda | L-awdituri ma jistgħux jivverifikaw il-konsistenza | Uża mudell standard ta’ rapport tat-test tar-restawr u folder tal-evidenza |
| Testijiet li fallew jiġu diskussi iżda mhux traċċati | Ma teżistix evidenza ta’ titjib kontinwu | Irreġistra l-kwistjonijiet f’CAPA b’sid, data ta’ skadenza u test mill-ġdid |
| Backups jinħażnu f’dominju wieħed ta’ falliment loġiku | Ransomware jew konfigurazzjoni ħażina jistgħu jeqirdu l-irkuprabbiltà | Uża postijiet segregati, ħażna immutabbli u kontroll tal-aċċess |
| Id-dipendenzi jiġu esklużi | Applikazzjonijiet rrestawrati jistgħu ma jiffunzjonawx | Immappa l-identità, DNS, sigrieti, ċertifikati, integrazzjonijiet u logging |
| Is-sigurtà tiġi injorata waqt l-irkupru | Servizzi rrestawrati jistgħu jkunu vulnerabbli jew mhux immonitorjati | Inkludi verifika tas-sigurtà wara r-restawr |
L-għan mhuwiex il-burokrazija. L-għan huwa rkupru affidabbli taħt pressjoni u evidenza difensibbli waqt awditjar.
Ibni pakkett ta’ evidenza tal-irkupru fil-livell tal-bord
L-eżekuttivi m’għandhomx bżonn logs mhux ipproċessati tal-backup. Għandhom bżonn assigurazzjoni li s-servizzi kritiċi huma rkuprabbli, li l-eċċezzjonijiet huma magħrufa, u li l-azzjonijiet ta’ titjib qed javvanzaw.
Għal kull servizz kritiku, irrapporta:
- Isem tas-servizz u sid tan-negozju
- Kritikalità mill-BIA
- RTO u RPO approvati
- Data tal-aħħar test tar-restawr
- RTO u RPO miksuba
- Riżultat tat-test
- Azzjonijiet korrettivi miftuħa
- Dipendenzi fuq partijiet terzi li jaffettwaw l-irkupru
- Dikjarazzjoni tar-riskju residwu
- It-test skedat li jmiss
| Servizz kritiku | RTO/RPO | L-aħħar test | Riżultat | Kwistjoni miftuħa | Messaġġ għall-maniġment |
|---|---|---|---|---|---|
| Pjattaforma tal-approvazzjoni tal-pagamenti | 4h/1h | 2026-04-12 | Għadda b’kundizzjoni | Allowlist tas-subnet tal-irkupru tar-relay tal-email | L-approvazzjoni ewlenija tal-pagamenti ġiet irrestawrata fi ħdan il-mira, rimedjazzjoni tal-fluss tan-notifiki għaddejja |
| Portal tal-klijenti | 8h/2h | 2026-03-20 | Falliment | Ir-restawr tad-database qabeż l-RTO b’90 minuta | Meħtieġ titjib fil-kapaċità u fil-proċess tar-restawr |
| Irkupru tal-fornitur tal-identità | 2h/15m | 2026-04-05 | Għadda | Xejn | Jappoġġa l-irkupru ta’ servizzi kritiċi dipendenti |
Dan l-istil ta’ rappurtar joħloq pont bejn it-timijiet tekniċi, l-awdituri u t-tmexxija. Jappoġġa wkoll ir-rieżami tal-ġestjoni tal-ISMS u s-sorveljanza tar-reżiljenza taħt NIS2 u DORA.
Lista ta’ kontroll prattika għall-awditjar għat-30 sa 90 jum li ġejjin
Jekk l-awditjar tiegħek qed joqrob, ibda bl-evidenza li diġà għandek u agħlaq l-ogħla lakuni tar-riskju l-ewwel.
- Identifika s-sistemi kollha Kritiċi u b’impatt Għoli mill-BIA.
- Ikkonferma l-RTO u l-RPO għal kull sistema kritika.
- Ivverifika li kull sistema kritika tidher fl-Iskeda Prinċipali tal-Backup.
- Ikkonferma l-postijiet tal-backup, inklużi repożitorji lokali, cloud, immutabbli jew segregati.
- Agħżel mill-inqas test reċenti wieħed tar-restawr għal kull servizz kritiku jew skeda test immedjatament.
- Żgura li r-reġistri tat-testijiet tar-restawr juru l-kamp ta’ applikazzjoni, timestamps, sett tal-backup, riżultat, RTO/RPO miksuba u verifika.
- Ikseb sign-off mis-sid tan-negozju għall-irkupru fil-livell tal-applikazzjoni.
- Ivverifika s-sigurtà wara r-restawr, inklużi kontroll tal-aċċess, logging, monitoraġġ, sigrieti, ċertifikati u espożizzjoni għal vulnerabbiltajiet.
- Immappa l-evidenza mar-Reġistru tar-Riskji u s-SoA.
- Irreġistra l-kwistjonijiet f’CAPA, assenja sidien u ttraċċa t-test mill-ġdid.
- Iġbor ir-riżultati għar-rieżami tal-ġestjoni.
- Ipprepara veduta ta’ konformità trasversali għal konverżazzjonijiet ta’ awditjar dwar ISO 27001:2022, NIS2, DORA, NIST CSF u COBIT 2019.
Jekk ma tistax tlesti kull punt qabel l-awditjar, kun trasparenti. L-awdituri normalment jirrispondu aħjar għal lakuna dokumentata b’pjan ta’ azzjoni korrettiva milli għal dikjarazzjonijiet vagi ta’ maturità.
Agħmel l-ittestjar tar-restawr l-aktar evidenza b’saħħitha tiegħek tar-reżiljenza
Il-backup u l-ittestjar tar-restawr huma wieħed mill-aktar modi ċari biex tipprova r-reżiljenza operattiva. Huma tanġibbli, miżurabbli, rilevanti għan-negozju, u marbuta direttament ma’ ISO 27001:2022, NIS2, DORA, NIST, COBIT 2019, rappurtar lill-bord, assigurazzjoni għall-klijenti u aspettattivi tal-assiguraturi.
Iżda biss jekk jiġu dokumentati kif suppost.
Clarysec jgħin lill-organizzazzjonijiet jibdlu l-operazzjonijiet tal-backup f’evidenza lesta għall-awditjar permezz tal-Backup and Restore Policy, Backup and Restore Policy-sme, Business Continuity Policy and Disaster Recovery Policy-sme, Zenith Blueprint, u Zenith Controls.
Il-pass prattiku li jmiss huwa sempliċi. Agħżel servizz kritiku wieħed din il-ġimgħa. Esegwixxi test tar-restawr kontra l-RTO u l-RPO approvati tiegħu. Iddokumenta r-riżultat. Immappjah mar-Reġistru tar-Riskji u s-SoA. Irreġistra kull lesson learned.
Jekk trid li dak il-proċess ikun ripetibbli madwar ISO 27001:2022, NIS2, DORA, NIST u COBIT 2019, it-toolkit ta’ Clarysec jagħtik l-istruttura biex tipprova l-irkupru mingħajr ma tibni labirint ta’ konformità mill-bidu.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
