Testy odtwarzania gotowe do audytu dla ISO 27001, NIS2 i DORA
Jest 07:40 w poniedziałek rano, a Sarah, CISO szybko rosnącej firmy z sektora technologii finansowych, obserwuje narastający kryzys w czasie rzeczywistym. CFO nie może otworzyć platformy zatwierdzania płatności. Service desk uważa, że to problem z pamięcią masową. Zespół infrastruktury podejrzewa ransomware, ponieważ kilka dysków współdzielonych pokazuje teraz zaszyfrowane nazwy plików. CEO chce wiedzieć, czy naliczanie wynagrodzeń jest bezpieczne. Dział prawny pyta, czy należy powiadomić organy regulacyjne.
Sarah otwiera panel kopii zapasowych. Wszędzie widzi zielone znaczniki wyboru.
Powinno to uspokajać, ale nie uspokaja. Pomyślnie zakończone zadanie kopii zapasowej nie jest dowodem pomyślnego odtworzenia. To jak widok gaśnicy na ścianie bez pewności, czy jest naładowana, dostępna i możliwa do użycia pod presją.
Firma Sarah znajduje się w zakresie ISO 27001:2022, jest traktowana jako podmiot ważny w rozumieniu NIS2 i podlega DORA jako podmiot finansowy. Pytanie nie brzmi już, czy organizacja wykonuje kopie zapasowe. Pytanie brzmi, czy potrafi odtworzyć właściwe systemy, do właściwego punktu w czasie, w ramach zatwierdzonych docelowych czasów odtworzenia i docelowych punktów odtworzenia, dysponując dowodami wystarczająco mocnymi dla audytora, regulatora, klienta, ubezpieczyciela i zarządu.
W tym miejscu wiele programów kopii zapasowych zawodzi. Mają zadania kopii zapasowych. Mają pulpity. Mają migawki. Mogą mieć nawet chmurową pamięć masową. Jednak gdy pojawia się presja, nie potrafią wykazać, że systemy krytyczne są możliwe do odzyskania, że testy odtwarzania zostały przeprowadzone, że nieudane testy uruchomiły działania korygujące oraz że dowody można jednoznacznie powiązać z oczekiwaniami ISO 27001:2022, NIS2, DORA, NIST i COBIT 2019.
Testowanie kopii zapasowych i odtwarzania stało się zagadnieniem odporności operacyjnej na poziomie zarządu. NIS2 podnosi oczekiwania dotyczące zarządzania ryzykiem cyberbezpieczeństwa i ciągłości działania. DORA ustanawia odporność operacyjną ICT jako podstawowy obowiązek podmiotów finansowych i ich krytycznych dostawców usług ICT. ISO 27001:2022 zapewnia strukturę systemu zarządzania dla zakresu, ryzyka, doboru zabezpieczeń, dowodów, audytu i ciągłego doskonalenia.
Praktyczne wyzwanie polega na przekształceniu technicznego testu odtwarzania w dowody gotowe do audytu.
Kopia zapasowa nie jest dowodem, dopóki odtwarzanie nie zostanie potwierdzone
Pomyślnie zakończone zadanie kopii zapasowej jest tylko częściowym sygnałem. Informuje, że dane zostały gdzieś skopiowane. Nie potwierdza, że dane można odtworzyć, że zależności aplikacyjne są zachowane, że klucze szyfrowania są dostępne, że usługi tożsamości nadal działają ani że odtworzony system wspiera rzeczywiste operacje biznesowe.
Audytorzy o tym wiedzą. Regulatorzy o tym wiedzą. Atakujący o tym wiedzą.
Technicznie dojrzały audytor nie poprzestanie na zrzucie ekranu pokazującym 97 procent skutecznie zakończonych zadań kopii zapasowych. Zapyta:
- Które systemy są krytyczne lub mają wysoki wpływ?
- Jakie RTO i RPO mają zastosowanie do każdego systemu?
- Kiedy przeprowadzono ostatni test odtwarzania?
- Czy test był pełny, częściowy, na poziomie aplikacji, bazy danych czy plików?
- Kto zwalidował proces biznesowy po odtworzeniu?
- Czy niepowodzenia zostały zarejestrowane jako niezgodności lub działania doskonalące?
- Jak długo przechowywane są logi i zapisy z testów odtwarzania?
- Czy kopie zapasowe są segregowane między lokalizacjami?
- Jak dowody mapują się na rejestr ryzyk i Deklarację stosowania?
Dlatego język polityk Clarysec jest celowo bezpośredni. Polityka tworzenia kopii zapasowych i odtwarzania dla MŚP [BRP-SME], sekcja Wymagania dotyczące ładu i nadzoru, klauzula polityki 5.3.3, wymaga:
Testy odtwarzania są przeprowadzane co najmniej kwartalnie, a ich wyniki są dokumentowane w celu weryfikacji możliwości odzyskania danych
To jedno zdanie zmienia rozmowę audytową. Przenosi organizację z poziomu „mamy kopie zapasowe” do poziomu „weryfikujemy możliwość odzyskania danych w określonej częstotliwości i przechowujemy wyniki”.
Ta sama Polityka tworzenia kopii zapasowych i odtwarzania dla MŚP, sekcja Egzekwowanie i zgodność, klauzula polityki 8.2.2, wzmacnia obowiązek dowodowy:
Logi i zapisy z testów odtwarzania są przechowywane do celów audytowych
Ta klauzula zapobiega sytuacji, w której testowanie odtwarzania pozostaje nieudokumentowaną wiedzą zespołową. Jeżeli inżynier infrastruktury mówi: „Testowaliśmy to w marcu”, ale nie istnieje żaden zapis, nie jest to dowód gotowy do audytu.
Ta sama polityka adresuje również odporność poprzez zróżnicowanie lokalizacji przechowywania. W sekcji Wymagania dotyczące wdrożenia polityki, klauzula polityki 6.3.1.1, kopie zapasowe muszą być:
Przechowywane w co najmniej dwóch lokalizacjach (lokalnej i chmurowej)
To praktyczna konfiguracja bazowa. Nie zastępuje oceny ryzyka, ale ogranicza prawdopodobieństwo, że jedna fizyczna lub logiczna domena awarii zniszczy zarówno dane produkcyjne, jak i kopie zapasowe.
Łańcuch dowodowy ISO 27001:2022 zaczyna się przed testem
Organizacje często traktują zgodność w zakresie kopii zapasowych jako temat operacji IT. W ujęciu ISO 27001:2022 jest to zbyt wąskie podejście. Testowanie kopii zapasowych i odtwarzania powinno być osadzone w Systemie Zarządzania Bezpieczeństwem Informacji, powiązane z zakresem, ryzykiem, doborem zabezpieczeń, monitorowaniem, audytem wewnętrznym i ciągłym doskonaleniem.
Zenith Blueprint: 30-etapowa mapa drogowa audytora [ZB] od Clarysec rozpoczyna ten łańcuch dowodowy, zanim zostanie wykonany jakikolwiek test odtwarzania.
W fazie Fundamenty i przywództwo SZBI, krok 2, Potrzeby interesariuszy i zakres SZBI, Zenith Blueprint wskazuje organizacjom, aby określiły, co znajduje się w SZBI:
Działanie 4.3: Przygotuj projekt deklaracji zakresu SZBI. Wymień, co jest objęte zakresem (jednostki biznesowe, lokalizacje, systemy) oraz wszelkie wyłączenia. Udostępnij ten projekt najwyższemu kierownictwu do zaopiniowania – musi ono uzgodnić, które części działalności będą podlegać SZBI. Warto również zweryfikować ten zakres względem wcześniejszej listy wymagań interesariuszy: czy zakres obejmuje wszystkie obszary potrzebne do spełnienia tych wymagań?
W przypadku testów odtwarzania zakres definiuje obszar odzyskiwania. Jeżeli platforma zatwierdzania płatności, dostawca tożsamości, baza danych ERP, serwer zarządzania punktami końcowymi i obiektowa pamięć masowa w chmurze są w zakresie, dowody odtwarzania muszą je obejmować albo uzasadniać, dlaczego nie. Jeżeli system jest wyłączony, wyłączenie musi być możliwe do obrony wobec wymagań interesariuszy, zobowiązań umownych, obowiązków regulacyjnych i potrzeb ciągłości działania.
Kolejnym ogniwem jest ryzyko. W fazie Zarządzanie ryzykiem, krok 11, Budowa i dokumentowanie rejestru ryzyk, Zenith Blueprint opisuje rejestr ryzyk jako główny zapis ryzyk, aktywów, zagrożeń, podatności, istniejących zabezpieczeń, właścicieli i decyzji dotyczących postępowania z ryzykiem.
Wpis ryzyka związanego z kopiami zapasowymi powinien być praktyczny, a nie teoretyczny.
| Element ryzyka | Przykładowy wpis |
|---|---|
| Aktywo | Platforma zatwierdzania płatności i wspierająca ją baza danych |
| Zagrożenie | Szyfrowanie przez ransomware lub destrukcyjne działanie administratora |
| Podatność | Kopie zapasowe nie są odtwarzane kwartalnie, a zależności aplikacyjne nie są walidowane |
| Wpływ | Opóźnienie naliczania wynagrodzeń, ekspozycja regulacyjna, wpływ na zaufanie klientów |
| Istniejące zabezpieczenia | Codzienne zadania kopii zapasowych, niemodyfikowalna pamięć masowa w chmurze, kwartalny test odtwarzania |
| Właściciel ryzyka | Kierownik infrastruktury |
| Decyzja dotycząca postępowania z ryzykiem | Ograniczyć poprzez przetestowane kopie zapasowe, udokumentowane dowody odtwarzania i aktualizacje BCP |
W tym miejscu kopia zapasowa staje się możliwa do prześledzenia audytowo. To już nie „mamy kopie zapasowe”. To „zidentyfikowaliśmy ryzyko biznesowe, dobraliśmy zabezpieczenia, przypisaliśmy właściciela, przetestowaliśmy zabezpieczenie i zachowaliśmy dowody”.
Zenith Blueprint, faza Zarządzanie ryzykiem, krok 13, Planowanie postępowania z ryzykiem i Deklaracja stosowania, domyka pętlę identyfikowalności:
Mapuj zabezpieczenia do ryzyk i klauzul (identyfikowalność)
Skoro masz już zarówno Plan postępowania z ryzykiem, jak i SoA:
✓ Mapuj zabezpieczenia do ryzyk: W planie postępowania w Rejestrze ryzyk wskazano określone zabezpieczenia dla każdego ryzyka. Możesz dodać kolumnę „Odniesienie do zabezpieczenia z Załącznika A” do każdego ryzyka i podać numery zabezpieczeń.
W przypadku kopii zapasowych i testów odtwarzania Deklaracja stosowania powinna łączyć scenariusz ryzyka z zabezpieczeniami Załącznika A ISO/IEC 27001:2022, w szczególności 8.13 Kopie zapasowe informacji, 5.30 Gotowość ICT do zapewnienia ciągłości działania, 8.14 Redundancja urządzeń przetwarzających informacje oraz 5.29 Bezpieczeństwo informacji podczas zakłóceń.
SoA nie powinna jedynie oznaczać tych zabezpieczeń jako mających zastosowanie. Powinna wyjaśniać, dlaczego mają zastosowanie, jakie istnieją dowody wdrożenia, kto jest właścicielem zabezpieczenia i jak obsługiwane są wyjątki.
Mapa zabezpieczeń, której oczekują audytorzy
Zenith Controls: przewodnik po zgodności krzyżowej [ZC] od Clarysec nie tworzy odrębnych ani zastrzeżonych zabezpieczeń. Porządkuje oficjalne normy i ramy w praktycznym ujęciu zgodności krzyżowej, aby organizacje mogły zrozumieć, w jaki sposób jedna praktyka operacyjna, taka jak testowanie odtwarzania, wspiera wiele obowiązków.
Dla zabezpieczenia ISO/IEC 27002:2022 8.13 Kopie zapasowe informacji Zenith Controls klasyfikuje zabezpieczenie jako korygujące, powiązane z integralnością i dostępnością, dostosowane do funkcji Recover, wspierające zdolność operacyjną ciągłości oraz umieszczone w domenie bezpieczeństwa Protection. Ten profil przekształca kopie zapasowe w zdolność odzyskiwania, a nie jedynie proces przechowywania.
Dla zabezpieczenia ISO/IEC 27002:2022 5.30 Gotowość ICT do zapewnienia ciągłości działania Zenith Controls klasyfikuje zabezpieczenie jako korygujące, skoncentrowane na dostępności, dostosowane do funkcji Respond, wspierające ciągłość i umieszczone w domenie bezpieczeństwa Resilience. W tym miejscu testowanie odtwarzania łączy się bezpośrednio z odpornością operacyjną.
Dla zabezpieczenia ISO/IEC 27002:2022 8.14 Redundancja urządzeń przetwarzających informacje Zenith Controls wskazuje zabezpieczenie prewencyjne skoncentrowane na dostępności, dostosowane do funkcji Protect, wspierające ciągłość i zarządzanie aktywami oraz powiązane z domenami Protection i Resilience. Redundancja i kopie zapasowe to nie to samo. Redundancja pomaga zapobiegać przerwom. Kopie zapasowe umożliwiają odzyskiwanie po utracie, uszkodzeniu lub ataku.
Dla zabezpieczenia ISO/IEC 27002:2022 5.29 Bezpieczeństwo informacji podczas zakłóceń Zenith Controls pokazuje szerszy profil: prewencyjny i korygujący, obejmujący poufność, integralność i dostępność, dostosowany do funkcji Protect i Respond, wspierający ciągłość oraz powiązany z Protection i Resilience. Ma to znaczenie podczas odzyskiwania po ransomware, ponieważ odtwarzanie nie może tworzyć nowych słabości bezpieczeństwa, takich jak przywracanie podatnych obrazów, omijanie rejestrowania czy reaktywacja nadmiernych uprawnień.
| Zabezpieczenie z Załącznika A ISO/IEC 27001:2022 | Rola w odporności | Dowody oczekiwane przez audytorów |
|---|---|---|
| 8.13 Kopie zapasowe informacji | Potwierdza, że dane i systemy można odzyskać po utracie, uszkodzeniu lub ataku | Harmonogram kopii zapasowych, zapisy z testów odtwarzania, kryteria sukcesu, logi, wyjątki, dowody okresu przechowywania |
| 5.30 Gotowość ICT do zapewnienia ciągłości działania | Wykazuje, że zdolności ICT wspierają cele ciągłości działania | BIA, mapowanie RTO/RPO, procedury operacyjne odzyskiwania, raporty z testów, wnioski z doświadczeń |
| 8.14 Redundancja urządzeń przetwarzających informacje | Ogranicza zależność od pojedynczej lokalizacji przetwarzania lub ścieżki świadczenia usługi | Diagramy architektury, wyniki testów przełączenia awaryjnego, przegląd pojemności, mapowanie zależności |
| 5.29 Bezpieczeństwo informacji podczas zakłóceń | Utrzymuje bezpieczeństwo podczas pracy w trybie zdegradowanym i odzyskiwania | Zapisy dostępu awaryjnego, zatwierdzenia zmian awaryjnych, rejestrowanie, oś czasu incydentu, walidacja bezpieczeństwa po odtworzeniu |
Praktyczna lekcja jest prosta. Test odtwarzania nie jest pojedynczym zabezpieczeniem działającym w izolacji. Jest dowodem w całym łańcuchu odporności.
Ukryta luka audytowa: RTO i RPO bez dowodu
Jednym z najczęstszych ustaleń z audytu ciągłości działania jest luka między udokumentowanymi RTO/RPO a rzeczywistą zdolnością odtwarzania.
Plan ciągłości działania może wskazywać, że portal klienta ma czterogodzinne RTO i jednogodzinne RPO. Platforma kopii zapasowych może uruchamiać się co godzinę. Jednak podczas pierwszego realistycznego ćwiczenia odtwarzania zespół odkrywa, że odtworzenie bazy danych trwa trzy godziny, zmiany DNS wymagają kolejnej godziny, certyfikat aplikacji wygasł, a integracja tożsamości nigdy nie została ujęta w procedurze operacyjnej. Rzeczywisty czas odtworzenia wynosi osiem godzin.
Udokumentowane RTO było fikcją.
Polityka ciągłości działania i odtwarzania po awarii dla MŚP [BCDR-SME] od Clarysec, sekcja Wymagania dotyczące ładu i nadzoru, klauzula polityki 5.2.1.4, jednoznacznie określa wymóg ciągłości:
Docelowe czasy odtworzenia (RTO) i docelowe punkty odtworzenia (RPO) dla każdego systemu
To istotne, ponieważ „szybko odtworzyć usługi krytyczne” nie jest mierzalne. „Odtworzyć bazę danych zatwierdzania płatności w ciągu czterech godzin przy utracie danych nie większej niż jedna godzina” jest mierzalne.
Ta sama Polityka ciągłości działania i odtwarzania po awarii dla MŚP, sekcja Wymagania dotyczące wdrożenia polityki, klauzula polityki 6.4.2, przekształca testowanie w doskonalenie:
Wszystkie wyniki testów muszą być udokumentowane, a wnioski z doświadczeń muszą zostać zapisane i wykorzystane do aktualizacji BCP.
Nieudane odtworzenie nie jest automatycznie katastrofą audytową. Katastrofą jest nieudane odtworzenie bez udokumentowanego wniosku, właściciela, korekty i ponownego testu.
Dla środowisk korporacyjnych Polityka tworzenia kopii zapasowych i odtwarzania [BRP] od Clarysec zapewnia bardziej formalny nadzór. W sekcji Wymagania dotyczące ładu i nadzoru, klauzula polityki 5.1, stanowi:
Główny harmonogram kopii zapasowych powinien być utrzymywany i poddawany corocznemu przeglądowi. Musi określać:
Ten wymóg początkowy ustanawia podstawowy artefakt ładu i nadzoru. Główny harmonogram kopii zapasowych powinien identyfikować systemy, zbiory danych, częstotliwość kopii zapasowych, okres przechowywania, lokalizację, właścicielstwo, klasyfikację, zależności i częstotliwość testów.
Ta sama Polityka tworzenia kopii zapasowych i odtwarzania, sekcja Wymagania dotyczące ładu i nadzoru, klauzula polityki 5.2, łączy oczekiwania wobec kopii zapasowych z wpływem na działalność:
Wszystkie systemy i aplikacje sklasyfikowane jako krytyczne lub o wysokim wpływie w analizie wpływu na biznes (BIA) muszą:
W tym miejscu BIA i nadzór nad kopiami zapasowymi zbiegają się. Systemy krytyczne i o wysokim wpływie wymagają silniejszego zapewnienia odtwarzania, częstszych testów, lepszego mapowania zależności i bardziej zdyscyplinowanych dowodów.
Jeden model dowodowy dla ISO 27001:2022, NIS2, DORA, NIST i COBIT 2019
Zespoły ds. zgodności często zmagają się z duplikacją wymagań pochodzących z różnych ram. ISO 27001:2022 wymaga opartego na ryzyku doboru zabezpieczeń i dowodów. NIS2 oczekuje środków zarządzania ryzykiem cyberbezpieczeństwa, w tym ciągłości działania. DORA oczekuje odporności operacyjnej ICT, reagowania i odzyskiwania, procedur tworzenia kopii zapasowych i odtwarzania oraz testowania cyfrowej odporności operacyjnej. NIST i COBIT 2019 używają jeszcze innego języka.
Rozwiązaniem nie jest budowa odrębnych programów kopii zapasowych dla każdej ramy. Rozwiązaniem jest zbudowanie jednego modelu dowodowego, który można oglądać z wielu perspektyw audytowych.
| Perspektywa ram | Co potwierdza testowanie kopii zapasowych i odtwarzania | Dowody, które należy utrzymywać jako gotowe do audytu |
|---|---|---|
| ISO 27001:2022 | Ryzyka są obsługiwane poprzez dobrane zabezpieczenia, testowane, monitorowane i doskonalone w ramach SZBI | Zakres, rejestr ryzyk, SoA, harmonogram kopii zapasowych, zapisy odtwarzania, wyniki audytu wewnętrznego, rejestr CAPA |
| NIS2 | Usługi kluczowe lub ważne potrafią przetrwać zakłócenie wynikające z cyberzagrożenia i odzyskać działanie | Plany ciągłości działania, procedury kryzysowe, testy kopii zapasowych, powiązania z reagowaniem na incydenty, nadzór kierownictwa |
| DORA | Usługi ICT wspierające funkcje krytyczne lub istotne są odporne i możliwe do odtworzenia | Mapowanie aktywów ICT, RTO/RPO, raporty z testów odtwarzania, dowody zależności od stron trzecich, procedury odzyskiwania |
| NIST CSF | Zdolności odzyskiwania wspierają odporne wyniki w zakresie cyberbezpieczeństwa | Plany odzyskiwania, kontrole integralności kopii zapasowych, procedury komunikacji, wnioski z doświadczeń |
| COBIT 2019 | Cele ładu i zarządzania są wspierane przez mierzalne zabezpieczenia i rozliczalne właścicielstwo | Właścicielstwo procesów, wskaźniki, skuteczność zabezpieczeń, śledzenie problemów, raportowanie zarządcze |
W przypadku NIS2 najbardziej bezpośrednim odniesieniem jest Article 21 dotyczący środków zarządzania ryzykiem cyberbezpieczeństwa. Article 21(2)(c) obejmuje wprost ciągłość działania, taką jak zarządzanie kopiami zapasowymi, odtwarzanie po awarii i zarządzanie kryzysowe. Article 21(2)(f) również ma znaczenie, ponieważ dotyczy polityk i procedur oceny skuteczności środków zarządzania ryzykiem cyberbezpieczeństwa. Testowanie odtwarzania jest właśnie tym: dowodem, że środek działa.
W przypadku DORA najsilniejsze powiązania to Article 11 dotyczący reagowania i odzyskiwania, Article 12 dotyczący polityk i procedur tworzenia kopii zapasowych, procedur i metod odtwarzania oraz odzyskiwania, a także Article 24 dotyczący ogólnych wymagań dla testowania cyfrowej odporności operacyjnej. Dla podmiotów finansowych sam test odtworzenia bazy danych może być niewystarczający, jeżeli usługa biznesowa zależy od tożsamości w chmurze, łączności z bramką płatniczą, outsourcingu hostingu lub zarządzanego monitorowania. Dowody w stylu DORA powinny być na poziomie usługi, a nie tylko serwera.
| Zabezpieczenie ISO/IEC 27001:2022 | Powiązanie z DORA | Powiązanie z NIS2 |
|---|---|---|
| 8.13 Kopie zapasowe informacji | Article 12 wymaga polityk kopii zapasowych oraz procedur i metod odtwarzania i odzyskiwania | Article 21(2)(c) obejmuje zarządzanie kopiami zapasowymi i odtwarzanie po awarii jako środki ciągłości działania |
| 5.30 Gotowość ICT do zapewnienia ciągłości działania | Article 11 wymaga zdolności reagowania i odzyskiwania, a Article 24 wymaga testowania odporności | Article 21(2)(c) obejmuje ciągłość działania i zarządzanie kryzysowe |
| 8.14 Redundancja urządzeń przetwarzających informacje | Articles 6 i 9 wspierają zarządzanie ryzykiem ICT, ochronę, zapobieganie i ograniczanie pojedynczych punktów awarii | Article 21 wymaga odpowiednich i proporcjonalnych środków zarządzania ryzykiem dla systemów sieciowych i informacyjnych |
| 5.29 Bezpieczeństwo informacji podczas zakłóceń | Reagowanie i odzyskiwanie z Article 11 wymaga kontrolowanego odzyskiwania podczas incydentów | Środki zarządzania ryzykiem z Article 21 wymagają ciągłości bez rezygnacji z zabezpieczeń |
Na tym polega efektywność ujednoliconej strategii zgodności. Kwartalny test odtwarzania dla systemu płatności może wspierać dowody dla Załącznika A ISO 27001:2022, oczekiwania ciągłości z NIS2, wymagania odzyskiwania ICT z DORA, wyniki NIST CSF Recover oraz raportowanie ładu COBIT 2019, jeżeli dowody są właściwie ustrukturyzowane.
Praktyczny test odtwarzania, który staje się dowodem gotowym do audytu
Wróćmy do poniedziałkowego scenariusza Sarah, ale załóżmy, że jej organizacja przygotowała się z użyciem narzędzi Clarysec.
Platforma zatwierdzania płatności jest sklasyfikowana jako krytyczna w BIA. Zatwierdzone RTO wynosi cztery godziny. Zatwierdzone RPO wynosi jedną godzinę. Platforma zależy od klastra baz danych, dostawcy tożsamości, sejfu sekretów, potoku rejestrowania, DNS, certyfikatów i wychodzącego przekaźnika poczty elektronicznej.
Zespół Sarah buduje kwartalny test odtwarzania wokół sześciu kroków.
Krok 1: Potwierdź zakres i zależności
Korzystając z kroku 2 Zenith Blueprint, Sarah potwierdza, że platforma płatności, baza danych, integracja tożsamości, infrastruktura kopii zapasowych i środowisko odzyskiwania znajdują się w zakresie SZBI. Dział prawny potwierdza znaczenie regulacyjne. Finanse potwierdzają wpływ biznesowy. IT potwierdza zależności.
Pozwala to uniknąć klasycznego błędu polegającego na odtworzeniu wyłącznie bazy danych przy pominięciu usługi uwierzytelniania wymaganej do uzyskania dostępu do aplikacji.
Krok 2: Powiąż test z rejestrem ryzyk
Korzystając z kroku 11 Zenith Blueprint, rejestr ryzyk obejmuje scenariusz: „Utrata lub zaszyfrowanie danych platformy zatwierdzania płatności uniemożliwia operacje płatnicze i tworzy ekspozycję regulacyjną”.
Istniejące zabezpieczenia obejmują codzienne kopie zapasowe, niemodyfikowalną pamięć masową w chmurze, kopie zapasowe w wielu lokalizacjach, kwartalne testy odtwarzania oraz udokumentowane procedury operacyjne odzyskiwania. Właścicielem ryzyka jest Kierownik infrastruktury. Właścicielem biznesowym są Operacje finansowe. Decyzja dotycząca postępowania to ograniczenie ryzyka.
Krok 3: Zmapuj postępowanie z ryzykiem do SoA
Korzystając z kroku 13 Zenith Blueprint, SoA mapuje ryzyko na zabezpieczenia z Załącznika A ISO/IEC 27001:2022: 8.13, 5.30, 8.14 i 5.29. SoA wyjaśnia, że testowanie kopii zapasowych zapewnia korygującą zdolność odzyskiwania, procedury ciągłości ICT wspierają ciągłość działania, redundancja zmniejsza prawdopodobieństwo niedostępności, a bezpieczeństwo podczas zakłócenia zapobiega niebezpiecznym skrótom w trakcie odzyskiwania.
Krok 4: Wykorzystaj zapisy polityk jako kryteria testu
Zespół wykorzystuje klauzulę 5.3.3 Polityki tworzenia kopii zapasowych i odtwarzania dla MŚP dla kwartalnych testów odtwarzania, klauzulę 8.2.2 dla przechowywania dowodów oraz klauzulę 6.3.1.1 dla przechowywania w wielu lokalizacjach. Wykorzystuje również klauzulę 5.2.1.4 Polityki ciągłości działania i odtwarzania po awarii dla MŚP dla docelowych wartości RTO/RPO oraz klauzulę 6.4.2 dla wniosków z doświadczeń i aktualizacji BCP.
| Kryterium testu | Cel | Dowód |
|---|---|---|
| Częstotliwość odtwarzania | Kwartalnie | Kalendarz testów i zatwierdzony harmonogram |
| RTO | 4 godziny | Czas rozpoczęcia, czas zakończenia, upływ czasu odzyskiwania |
| RPO | 1 godzina | Znacznik czasu kopii zapasowej i walidacja transakcji |
| Lokalizacje | Dostępne lokalne i chmurowe źródła kopii zapasowych | Raport repozytorium kopii zapasowych |
| Integralność | Kontrole spójności bazy danych zakończone powodzeniem | Logi walidacyjne |
| Aplikacja | Użytkownik z finansów może zatwierdzić płatność testową | Akceptacja walidacji biznesowej |
| Bezpieczeństwo | Rejestrowanie, kontrola dostępu i sekrety zwalidowane po odtworzeniu | Lista kontrolna bezpieczeństwa i zrzuty ekranu |
Krok 5: Wykonaj odtwarzanie i zapisz fakty
Odtwarzanie jest wykonywane w izolowanym środowisku odzyskiwania. Zespół rejestruje znaczniki czasu, identyfikatory zestawu kopii zapasowej, kroki odtwarzania, błędy, wyniki walidacji i akceptacje.
Solidny zapis z testu odtwarzania powinien obejmować:
| Pole testu odtwarzania | Przykład |
|---|---|
| Identyfikator testu | Q2-2026-PAY-RESTORE |
| Testowany system | Platforma zatwierdzania płatności |
| Użyty zestaw kopii zapasowej | Kopia zapasowa platformy płatności z zatwierdzonego punktu odtworzenia |
| Lokalizacja odtwarzania | Izolowane środowisko odzyskiwania |
| Docelowe RTO | 4 godziny |
| Docelowe RPO | 1 godzina |
| Faktyczny czas odzyskiwania | 2 godziny 45 minut |
| Faktyczny punkt odtworzenia | 42 minuty |
| Walidacja integralności | Kontrole spójności bazy danych zakończone powodzeniem |
| Walidacja biznesowa | Użytkownik z finansów zatwierdził płatność testową |
| Walidacja bezpieczeństwa | Potwierdzono rejestrowanie, kontrolę dostępu, sekrety i monitorowanie |
| Wynik | Zaliczone warunkowo |
| Akceptacja | CISO, Kierownik infrastruktury, Właściciel operacji finansowych |
Podczas testu zespół wykrywa jeden problem. Odtworzona aplikacja nie może wysyłać wiadomości e-mail z powiadomieniami, ponieważ lista dozwolonych przekaźnika poczty nie obejmuje podsieci odzyskiwania. Podstawowe zatwierdzanie płatności działa, ale przepływ pracy jest zdegradowany.
Krok 6: Zapisz wnioski z doświadczeń i działanie korygujące
W tym miejscu wiele organizacji zatrzymuje się zbyt wcześnie. Podejście Clarysec przenosi problem do systemu doskonalenia.
W fazie Audyt, przegląd i doskonalenie, krok 29, Ciągłe doskonalenie, Zenith Blueprint wykorzystuje rejestr CAPA do śledzenia opisu problemu, analizy przyczyny źródłowej, działania korygującego, właściciela, terminu docelowego i statusu.
| Pole CAPA | Przykład |
|---|---|
| Opis problemu | Odtworzona platforma zatwierdzania płatności nie mogła wysyłać powiadomień e-mail z podsieci odzyskiwania |
| Przyczyna źródłowa | Sieć odzyskiwania nie została uwzględniona w projekcie listy dozwolonych przekaźnika poczty |
| Działanie korygujące | Zaktualizować architekturę odzyskiwania i procedurę listy dozwolonych przekaźnika poczty |
| Właściciel | Kierownik infrastruktury |
| Termin docelowy | 15 dni roboczych |
| Status | Otwarte, oczekuje na ponowny test |
Ten pojedynczy test odtwarzania tworzy teraz łańcuch dowodowy gotowy do audytu: wymóg polityki, potwierdzenie zakresu, mapowanie ryzyka, mapowanie SoA, plan testu, zapis wykonania, walidację biznesową, walidację bezpieczeństwa, zapis problemu, działanie korygujące i aktualizację BCP.
Jak różni audytorzy analizują te same dowody
Silny pakiet dowodowy uwzględnia perspektywę audytora.
Audytor ISO 27001:2022 zwykle zaczyna od systemu zarządzania. Zapyta, czy wymagania dotyczące kopii zapasowych i odtwarzania są objęte zakresem, oparte na ryzyku, wdrożone, monitorowane, audytowane wewnętrznie i doskonalone. Będzie oczekiwać identyfikowalności od rejestru ryzyk przez SoA do zapisów operacyjnych. Może również powiązać nieudane testy i działania korygujące z ISO/IEC 27001:2022 clause 10.2 dotyczącą niezgodności i działania korygującego.
Recenzent DORA skoncentruje się na odporności operacyjnej ICT dla funkcji krytycznych lub istotnych. Będzie chciał zobaczyć odzyskiwanie na poziomie usługi, zależności od zewnętrznych dostawców ICT, testowanie oparte na scenariuszach, nadzór organu zarządzającego oraz dowody skuteczności procedur odtwarzania.
Perspektywa nadzorcza NIS2 będzie szukać odpowiednich i proporcjonalnych środków zarządzania ryzykiem cyberbezpieczeństwa. Dowody dotyczące kopii zapasowych i odtwarzania po awarii powinny wykazywać, że usługi kluczowe lub ważne mogą utrzymać albo przywrócić działanie po incydentach, przy świadomości kierownictwa co do ryzyka rezydualnego.
Asesor zorientowany na NIST skupi się na wynikach cyberbezpieczeństwa w obszarach Identify, Protect, Detect, Respond i Recover. Może zapytać o niemodyfikowalne kopie zapasowe, uprzywilejowany dostęp do repozytoriów kopii zapasowych, odtwarzanie do czystych środowisk, komunikację i wnioski z doświadczeń.
Audytor w stylu COBIT 2019 lub ISACA położy nacisk na ład, właścicielstwo procesów, wskaźniki, raportowanie zarządcze i śledzenie problemów. Technicznie eleganckie odtworzenie zrobi mniejsze wrażenie, jeżeli właścicielstwo i raportowanie są niejasne.
Te same dowody mogą spełnić wszystkie te perspektywy, ale tylko wtedy, gdy są kompletne.
Typowe niepowodzenia testów odtwarzania, które tworzą ustalenia audytowe
Clarysec regularnie widzi te same możliwe do uniknięcia luki dowodowe.
| Wzorzec niepowodzenia | Dlaczego tworzy ryzyko audytowe | Praktyczna korekta |
|---|---|---|
| Sukces kopii zapasowej jest traktowany jak sukces odtwarzania | Zakończenie kopiowania nie potwierdza możliwości odzyskania danych | Przeprowadzaj udokumentowane testy odtwarzania z walidacją |
| RTO i RPO są zdefiniowane, ale nietestowane | Cele ciągłości mogą być nierealistyczne | Mierz faktyczny czas odzyskiwania i punkt odtworzenia podczas testów |
| Tylko infrastruktura waliduje odtworzenie | Proces biznesowy może nadal być nieużyteczny | Wymagaj akceptacji właściciela biznesowego dla systemów krytycznych |
| Zapisy z testów są rozproszone | Audytorzy nie mogą zweryfikować spójności | Stosuj standardowy szablon raportu z testu odtwarzania i folder dowodowy |
| Nieudane testy są omawiane, ale nieśledzone | Brak dowodów ciągłego doskonalenia | Rejestruj problemy w CAPA z właścicielem, terminem realizacji i ponownym testem |
| Kopie zapasowe są przechowywane w jednej logicznej domenie awarii | Ransomware lub błędna konfiguracja mogą zniszczyć możliwość odzyskania danych | Stosuj segregowane lokalizacje, niemodyfikowalną pamięć masową i kontrolę dostępu |
| Zależności są wyłączone | Odtworzone aplikacje mogą nie działać | Mapuj tożsamość, DNS, sekrety, certyfikaty, integracje i rejestrowanie |
| Bezpieczeństwo jest ignorowane podczas odzyskiwania | Odtworzone usługi mogą być podatne lub niemonitorowane | Uwzględnij walidację bezpieczeństwa po odtworzeniu |
Celem nie jest biurokracja. Celem jest niezawodne odzyskiwanie pod presją i możliwe do obrony dowody podczas audytu.
Zbuduj pakiet dowodów odzyskiwania na poziomie zarządu
Najwyższe kierownictwo nie potrzebuje surowych logów kopii zapasowych. Potrzebuje zapewnienia, że usługi krytyczne są możliwe do odzyskania, wyjątki są znane, a działania doskonalące postępują.
Dla każdej usługi krytycznej raportuj:
- Nazwę usługi i właściciela biznesowego
- Krytyczność z BIA
- Zatwierdzone RTO i RPO
- Datę ostatniego testu odtwarzania
- Osiągnięte RTO i RPO
- Wynik testu
- Otwarte działania korygujące
- Zależności od stron trzecich wpływające na odzyskiwanie
- Oświadczenie dotyczące ryzyka rezydualnego
- Następny zaplanowany test
| Usługa krytyczna | RTO/RPO | Ostatni test | Wynik | Otwarty problem | Komunikat dla kierownictwa |
|---|---|---|---|---|---|
| Platforma zatwierdzania płatności | 4h/1h | 2026-04-12 | Zaliczone warunkowo | Lista dozwolonych podsieci odzyskiwania dla przekaźnika e-mail | Podstawowe zatwierdzanie płatności odtworzono w ramach celu, remediacja przepływu powiadomień w toku |
| Portal klienta | 8h/2h | 2026-03-20 | Niezaliczone | Odtwarzanie bazy danych przekroczyło RTO o 90 minut | Wymagana poprawa pojemności i procesu odtwarzania |
| Odzyskiwanie dostawcy tożsamości | 2h/15m | 2026-04-05 | Zaliczone | Brak | Wspiera odzyskiwanie zależnych usług krytycznych |
Taki styl raportowania tworzy pomost między zespołami technicznymi, audytorami i kierownictwem. Wspiera również przegląd zarządzania SZBI i nadzór nad odpornością w ramach NIS2 i DORA.
Praktyczna lista kontrolna audytu na najbliższe 30–90 dni
Jeżeli zbliża się audyt, zacznij od dowodów, które już masz, i najpierw zamknij luki o najwyższym ryzyku.
- Zidentyfikuj wszystkie systemy krytyczne i o wysokim wpływie na podstawie BIA.
- Potwierdź RTO i RPO dla każdego systemu krytycznego.
- Zweryfikuj, czy każdy system krytyczny znajduje się w Głównym harmonogramie kopii zapasowych.
- Potwierdź lokalizacje kopii zapasowych, w tym lokalne, chmurowe, niemodyfikowalne lub segregowane repozytoria.
- Wybierz co najmniej jeden niedawny test odtwarzania dla każdej usługi krytycznej albo zaplanuj test natychmiast.
- Upewnij się, że zapisy z testów odtwarzania pokazują zakres, znaczniki czasu, zestaw kopii zapasowej, wynik, osiągnięte RTO/RPO i walidację.
- Uzyskaj akceptację właściciela biznesowego dla odzyskiwania na poziomie aplikacji.
- Zwaliduj bezpieczeństwo po odtworzeniu, w tym kontrolę dostępu, rejestrowanie, monitorowanie, sekrety, certyfikaty i ekspozycję na podatności.
- Zmapuj dowody do rejestru ryzyk i SoA.
- Zarejestruj problemy w CAPA, przypisz właścicieli i śledź ponowny test.
- Podsumuj wyniki na potrzeby przeglądu zarządzania.
- Przygotuj widok zgodności krzyżowej na potrzeby rozmów audytowych dotyczących ISO 27001:2022, NIS2, DORA, NIST CSF i COBIT 2019.
Jeżeli nie możesz zrealizować każdego punktu przed audytem, zachowaj transparentność. Audytorzy zwykle lepiej reagują na udokumentowaną lukę z planem działań korygujących niż na ogólne deklaracje dojrzałości.
Uczyń testowanie odtwarzania najsilniejszym dowodem odporności
Testowanie kopii zapasowych i odtwarzania jest jednym z najczytelniejszych sposobów wykazania odporności operacyjnej. Jest konkretne, mierzalne, istotne biznesowo i bezpośrednio powiązane z ISO 27001:2022, NIS2, DORA, NIST, COBIT 2019, raportowaniem do zarządu, zapewnieniem dla klientów i oczekiwaniami ubezpieczycieli.
Ale tylko wtedy, gdy jest właściwie udokumentowane.
Clarysec pomaga organizacjom przekształcać operacje kopii zapasowych w dowody gotowe do audytu poprzez Politykę tworzenia kopii zapasowych i odtwarzania, Politykę tworzenia kopii zapasowych i odtwarzania dla MŚP, Politykę ciągłości działania i odtwarzania po awarii dla MŚP, Zenith Blueprint oraz Zenith Controls.
Twój następny praktyczny krok jest prosty. Wybierz w tym tygodniu jedną usługę krytyczną. Przeprowadź test odtwarzania względem jej zatwierdzonych RTO i RPO. Udokumentuj wynik. Zmapuj go do rejestru ryzyk i SoA. Zapisz każdy wniosek z doświadczeń.
Jeżeli chcesz, aby ten proces był powtarzalny w ramach ISO 27001:2022, NIS2, DORA, NIST i COBIT 2019, zestaw narzędzi Clarysec zapewnia strukturę, która pozwala wykazać odzyskiwanie bez budowania od podstaw labiryntu zgodności.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
