Testovanie obnovy pripravené na audit pre ISO 27001, NIS2 a DORA

Je 07:40 v pondelok ráno a Sarah, CISO rýchlo rastúcej fintechovej spoločnosti, sleduje vznikajúcu krízu v reálnom čase. CFO nevie otvoriť platformu na schvaľovanie platieb. Service desk predpokladá problém s úložiskom. Tím infraštruktúry má podozrenie na ransomvér, pretože viaceré zdieľané priečinky už zobrazujú zašifrované názvy súborov. CEO chce vedieť, či je výplata miezd v bezpečí. Právne oddelenie sa pýta, či je potrebné informovať regulátorov.

Sarah otvorí prehľadový panel zálohovania. Je plný zelených zaškrtnutí.

To by malo pôsobiť upokojujúco, ale nepôsobí. Úspešná zálohovacia úloha nie je dôkazom úspešnej obnovy. Je to ako vidieť hasiaci prístroj na stene bez istoty, či je natlakovaný, prístupný a použiteľný pod tlakom.

Spoločnosť Sarah patrí do rozsahu ISO 27001:2022, podľa NIS2 je dôležitým subjektom a ako finančný subjekt podlieha DORA. Otázka už neznie, či organizácia vykonáva zálohy. Otázka znie, či dokáže obnoviť správne systémy, do správneho bodu v čase, v rámci schválených cieľových časov obnovy a cieľových bodov obnovy, s dôkazmi dostatočne silnými pre audítora, regulátora, zákazníka, poisťovateľa aj predstavenstvo.

Práve tu mnohé programy zálohovania zlyhávajú. Majú zálohovacie úlohy. Majú prehľadové panely. Majú snapshoty. Možno majú aj cloudové úložisko. Keď však príde tlak, nedokážu preukázať, že kritické systémy sú obnoviteľné, že boli vykonané testy obnovy, že neúspešné testy vyvolali nápravné opatrenia a že dôkazy sa čisto mapujú na očakávania ISO 27001:2022, NIS2, DORA, NIST a COBIT 2019.

Zálohovanie a testovanie obnovy sa stali otázkou prevádzkovej odolnosti na úrovni predstavenstva. NIS2 zvyšuje očakávania v oblasti riadenia kybernetických rizík a kontinuity činností. DORA robí z digitálnej prevádzkovej odolnosti IKT základnú povinnosť finančných subjektov a ich kritických externých poskytovateľov IKT. ISO 27001:2022 poskytuje štruktúru systému riadenia pre rozsah, riziká, výber kontrol, dôkazy, audit a neustále zlepšovanie.

Praktickou výzvou je premeniť technický test obnovy na dôkazy pripravené na audit.

Záloha nie je dôkazom, kým nie je preukázaná obnova

Zálohovacia úloha, ktorá sa úspešne dokončí, je iba čiastočný signál. Hovorí, že údaje boli niekam skopírované. Nepreukazuje, že údaje možno obnoviť, že aplikačné závislosti sú neporušené, že šifrovacie kľúče sú dostupné, že služby identít stále fungujú ani že obnovený systém podporuje reálne činnosti organizácie.

Audítori to vedia. Regulátori to vedia. Útočníci to vedia.

Technicky skúsený audítor sa nezastaví pri snímke obrazovky, ktorá ukazuje 97-percentnú úspešnosť zálohovacích úloh. Bude sa pýtať:

• Ktoré systémy sú kritické alebo majú vysoký dopad?
• Aké RTO a RPO sa vzťahujú na jednotlivé systémy?
• Kedy bol vykonaný posledný test obnovy?
• Bol test úplný, čiastočný, na úrovni aplikácie, databázy alebo súborov?
• Kto validoval podnikový proces po obnove?
• Boli zlyhania zaznamenané ako nezhody alebo opatrenia na zlepšenie?
• Ako dlho sa uchovávajú logy a záznamy o testoch obnovy?
• Sú kópie záloh oddelené naprieč lokalitami?
• Ako sa dôkazy mapujú na register rizík a vyhlásenie o uplatniteľnosti (SoA)?

Preto je jazyk politík Clarysec zámerne priamy. Politika zálohovania a obnovy pre MSP [BRP-SME], časť Požiadavky na správu a riadenie, ustanovenie politiky 5.3.3, vyžaduje:

Testy obnovy sa musia vykonávať najmenej štvrťročne a výsledky sa musia dokumentovať na overenie obnoviteľnosti.

Táto jedna veta mení auditnú diskusiu. Posúva organizáciu od „máme zálohy“ k „overujeme obnoviteľnosť v stanovenej periodicite a uchovávame výsledky“.

Rovnaká Politika zálohovania a obnovy pre MSP, časť Uplatňovanie politiky a súlad, ustanovenie politiky 8.2.2, posilňuje povinnosť dôkazov:

Logy a záznamy o testoch obnovy sa musia uchovávať na účely auditu.

Toto ustanovenie bráni tomu, aby sa testovanie obnovy zmenilo na nezdokumentovanú kolektívnu pamäť. Ak inžinier infraštruktúry povie: „Testovali sme to v marci,“ ale neexistuje žiadny záznam, nejde o dôkaz pripravený na audit.

Tá istá politika rieši aj odolnosť prostredníctvom diverzity úložísk. V časti Požiadavky na implementáciu politiky, ustanovenie politiky 6.3.1.1, musia byť zálohy:

Uložené najmenej v dvoch lokalitách (lokálne a v cloude).

Ide o praktickú referenčnú úroveň. Nenahrádza posúdenie rizík, ale znižuje pravdepodobnosť, že jedna fyzická alebo logická zóna zlyhania zničí produkčné aj zálohované údaje.

Dôkazový reťazec ISO 27001:2022 sa začína pred testom

Organizácie často považujú súlad v oblasti zálohovania za tému prevádzky IT. Z pohľadu ISO 27001:2022 je to príliš úzke. Zálohovanie a testovanie obnovy majú byť začlenené do systému manažérstva informačnej bezpečnosti, prepojené s rozsahom, rizikami, výberom kontrol, monitorovaním, vnútorným auditom a neustálym zlepšovaním.

Clarysec Zenith Blueprint: 30-kroková cestovná mapa audítora [ZB] začína tento dôkazový reťazec ešte pred vykonaním akéhokoľvek testu obnovy.

Vo fáze Základy a vedenie ISMS, krok 2, Potreby zainteresovaných strán a rozsah ISMS, Zenith Blueprint usmerňuje organizácie, aby definovali, čo patrí do ISMS:

Akčný bod 4.3: Vypracujte návrh vyhlásenia o rozsahu ISMS. Uveďte, čo je zahrnuté (organizačné útvary, lokality, systémy) a všetky vylúčenia. Zdieľajte tento návrh s vrcholovým manažmentom na pripomienkovanie – musí súhlasiť s tým, ktoré časti organizácie budú podliehať ISMS. Je tiež vhodné overiť tento rozsah voči skoršiemu zoznamu požiadaviek zainteresovaných strán: Pokrýva váš rozsah všetky oblasti potrebné na splnenie týchto požiadaviek?

Pri testovaní obnovy rozsah definuje prostredie obnovy. Ak sú platforma na schvaľovanie platieb, poskytovateľ identít, databáza ERP, server správy koncových bodov a cloudové objektové úložisko v rozsahu, dôkazy obnovy ich musia zahŕňať alebo odôvodniť, prečo nie. Ak je systém vylúčený, vylúčenie musí byť obhájiteľné voči požiadavkám zainteresovaných strán, zmluvným povinnostiam, regulačným povinnostiam a potrebám kontinuity činností.

Ďalším článkom je riziko. Vo fáze Riadenie rizík, krok 11, Budovanie a dokumentovanie registra rizík, Zenith Blueprint opisuje register rizík ako hlavný záznam rizík, aktív, hrozieb, zraniteľností, aktuálnych kontrol, vlastníkov a rozhodnutí o ošetrení.

Záznam rizika súvisiaceho so zálohovaním má byť praktický, nie teoretický.

Tu sa zálohovanie stáva auditovateľným. Už nejde o „máme zálohy“. Ide o „identifikovali sme riziko pre činnosti organizácie, vybrali kontroly, priradili vlastníctvo, otestovali kontrolu a uchovali dôkazy“.

Zenith Blueprint, fáza Riadenie rizík, krok 13, Plánovanie ošetrenia rizík a vyhlásenie o uplatniteľnosti, uzatvára slučku sledovateľnosti:

Mapujte kontroly na riziká a kapitoly (sledovateľnosť)

Teraz, keď máte plán ošetrenia rizík aj SoA:

✓ Mapujte kontroly na riziká: V pláne ošetrenia v registri rizík ste pri každom riziku uviedli určité kontroly. Ku každému riziku môžete pridať stĺpec „Odkaz na kontrolu z prílohy A“ a uviesť čísla kontrol.

Pri zálohovaní a testovaní obnovy má vyhlásenie o uplatniteľnosti prepojiť rizikový scenár s kontrolami prílohy A ISO/IEC 27001:2022, najmä 8.13 zálohovanie informácií, 5.30 pripravenosť IKT na kontinuitu činností, 8.14 redundancia zariadení na spracúvanie informácií a 5.29 informačná bezpečnosť počas narušenia.

SoA nemá tieto kontroly iba označiť ako uplatniteľné. Má vysvetliť, prečo sú uplatniteľné, aké implementačné dôkazy existujú, kto kontrolu vlastní a ako sa riešia výnimky.

Mapa kontrol, ktorú audítori očakávajú

Clarysec Zenith Controls: Sprievodca krížovým súladom [ZC] nevytvára samostatné ani proprietárne kontroly. Organizuje oficiálne normy a rámce do praktického pohľadu krížového súladu, aby organizácie pochopili, ako jedna prevádzková prax, napríklad testovanie obnovy, podporuje viaceré povinnosti.

Pre kontrolu ISO/IEC 27002:2022 8.13 zálohovanie informácií Zenith Controls klasifikuje kontrolu ako nápravnú, viazanú na integritu a dostupnosť, zosúladenú s kybernetickým konceptom obnovy, podporujúcu prevádzkovú schopnosť kontinuity a zaradenú do bezpečnostnej domény ochrany. Tento profil rámcuje zálohy ako schopnosť obnovy, nie iba ako proces ukladania.

Pre kontrolu ISO/IEC 27002:2022 5.30 pripravenosť IKT na kontinuitu činností Zenith Controls klasifikuje kontrolu ako nápravnú, zameranú na dostupnosť, zosúladenú s reakciou, podporujúcu kontinuitu a umiestnenú v bezpečnostnej doméne odolnosti. Tu sa testovanie obnovy priamo prepája s prevádzkovou odolnosťou.

Pre kontrolu ISO/IEC 27002:2022 8.14 redundancia zariadení na spracúvanie informácií Zenith Controls identifikuje preventívnu kontrolu zameranú na dostupnosť, zosúladenú s ochranou, podporujúcu kontinuitu a správu aktív a prepojenú s doménami ochrany a odolnosti. Redundancia a zálohy nie sú to isté. Redundancia pomáha predchádzať prerušeniu. Zálohy umožňujú obnovu po strate, poškodení alebo útoku.

Pre kontrolu ISO/IEC 27002:2022 5.29 informačná bezpečnosť počas narušenia Zenith Controls ukazuje širší profil: preventívna a nápravná kontrola pokrývajúca dôvernosť, integritu a dostupnosť, zosúladená s ochranou a reakciou, podporujúca kontinuitu a prepojená s ochranou a odolnosťou. Pri obnove po ransomvéri je to dôležité, pretože obnova nesmie vytvoriť nové bezpečnostné zlyhania, napríklad obnoviť zraniteľné obrazy, obísť logovanie alebo znovu aktivovať nadmerné oprávnenia.

Praktické poučenie je jednoduché. Test obnovy nie je izolovanou kontrolou. Je dôkazom naprieč reťazcom odolnosti.

Skrytá auditná medzera: RTO a RPO bez dôkazu

Jedným z najčastejších auditných zistení v oblasti kontinuity je rozdiel medzi zdokumentovanými RTO/RPO a reálnou schopnosťou obnovy.

Plán kontinuity činností môže uvádzať, že zákaznícky portál má štvorhodinové RTO a hodinové RPO. Zálohovacia platforma môže bežať každú hodinu. Pri prvom realistickom cvičení obnovy však tím zistí, že obnova databázy trvá tri hodiny, zmeny DNS vyžadujú ďalšiu hodinu, aplikačný certifikát exspiroval a integrácia identít nikdy nebola zahrnutá do prevádzkovej príručky obnovy. Skutočný čas obnovy je osem hodín.

Zdokumentované RTO bolo fikciou.

Clarysec Politika kontinuity činností a obnovy po havárii pre MSP [BCDR-SME], časť Požiadavky na správu a riadenie, ustanovenie politiky 5.2.1.4, explicitne stanovuje požiadavku kontinuity:

Cieľové časy obnovy (RTO) a cieľové body obnovy (RPO) pre každý systém.

Je to dôležité, pretože „rýchlo obnoviť kritické služby“ nie je merateľné. „Obnoviť databázu schvaľovania platieb do štyroch hodín s najviac jednou hodinou straty údajov“ merateľné je.

Tá istá Politika kontinuity činností a obnovy po havárii pre MSP, časť Požiadavky na implementáciu politiky, ustanovenie politiky 6.4.2, mení testovanie na zlepšovanie:

Všetky výsledky testov musia byť zdokumentované a ponaučenia musia byť zaznamenané a použité na aktualizáciu BCP.

Neúspešná obnova nie je automaticky auditnou katastrofou. Neúspešná obnova bez zdokumentovaného ponaučenia, vlastníka, nápravy a opätovného testu ňou je.

Pre podnikové prostredia poskytuje Clarysec Politika zálohovania a obnovy [BRP] formálnejšiu správu a riadenie. V časti Požiadavky na správu a riadenie, ustanovenie politiky 5.1, uvádza:

Musí sa udržiavať a každoročne preskúmavať hlavný harmonogram zálohovania. Musí špecifikovať:

Táto úvodná požiadavka vytvára kľúčový artefakt správy a riadenia. Hlavný harmonogram zálohovania má identifikovať systémy, súbory údajov, frekvenciu zálohovania, uchovávanie, lokalitu, vlastníctvo, klasifikáciu, závislosti a periodicitu testovania.

Tá istá Politika zálohovania a obnovy, časť Požiadavky na správu a riadenie, ustanovenie politiky 5.2, prepája očakávania zálohovania s dopadom na organizáciu:

Všetky systémy a aplikácie klasifikované ako kritické alebo s vysokým dopadom v analýze vplyvov na podnikanie (BIA) musia:

Tu sa BIA a správa zálohovania stretávajú. Kritické systémy a systémy s vysokým dopadom vyžadujú silnejšie uistenie o obnove, častejšie testovanie, lepšie mapovanie závislostí a disciplinovanejšie dôkazy.

Jeden dôkazový model pre ISO 27001:2022, NIS2, DORA, NIST a COBIT 2019

Tímy pre súlad často zápasia s duplicitou rámcov. ISO 27001:2022 vyžaduje výber kontrol a dôkazy založené na rizikách. NIS2 očakáva opatrenia riadenia kybernetických rizík vrátane kontinuity činností. DORA očakáva digitálnu prevádzkovú odolnosť IKT, reakciu a obnovu, postupy zálohovania a obnovy a testovanie digitálnej prevádzkovej odolnosti. NIST a COBIT 2019 používajú opäť odlišný jazyk.

Riešením nie je budovať samostatné programy zálohovania pre každý rámec. Riešením je vybudovať jeden dôkazový model, ktorý možno posudzovať cez viacero auditných pohľadov.

Pre NIS2 je najpriamejším odkazom Article 21 o opatreniach riadenia kybernetických rizík. Article 21(2)(c) konkrétne zahŕňa kontinuitu činností, napríklad správu záloh, obnovu po havárii a krízové riadenie. Article 21(2)(f) je tiež dôležitý, pretože sa týka politík a postupov na posúdenie účinnosti opatrení riadenia kybernetických rizík. Testovanie obnovy je presne týmto: dôkazom, že opatrenie funguje.

Pre DORA sú najsilnejšími väzbami Article 11 o reakcii a obnove, Article 12 o politikách a postupoch zálohovania, postupoch a metódach obnovy a Article 24 o všeobecných požiadavkách na testovanie digitálnej prevádzkovej odolnosti. Pre finančné subjekty môže byť samotný test obnovy databázy nedostatočný, ak obchodná služba závisí od cloudovej identity, konektivity platobnej brány, outsourcovaného hostingu alebo spravovaného monitorovania. Dôkazy v štýle DORA majú byť na úrovni služby, nie iba na úrovni servera.

Toto je efektivita jednotnej stratégie súladu. Štvrťročný test obnovy platobného systému môže podporiť dôkazy podľa prílohy A ISO 27001:2022, očakávania kontinuity podľa NIS2, požiadavky DORA na obnovu IKT, výsledky Recover v NIST CSF a reportovanie správy a riadenia podľa COBIT 2019, ak sú dôkazy správne štruktúrované.

Praktický test obnovy, ktorý sa stáva dôkazom pripraveným na audit

Vráťme sa k pondelkovému rannému scenáru Sarah, ale predstavme si, že jej organizácia sa pripravila pomocou nástrojov Clarysec.

Platforma na schvaľovanie platieb je v BIA klasifikovaná ako kritická. Schválené RTO sú štyri hodiny. Schválené RPO je jedna hodina. Platforma závisí od databázového klastra, poskytovateľa identít, trezora tajomstiev, reťazca logovania, DNS, certifikátov a odchádzajúceho SMTP relay.

Tím Sarah vybuduje štvrťročný test obnovy okolo šiestich krokov.

Krok 1: Potvrďte rozsah a závislosti

Pomocou Zenith Blueprint kroku 2 Sarah potvrdí, že platobná platforma, databáza, integrácia identít, zálohovacia infraštruktúra a prostredie obnovy patria do rozsahu ISMS. Právne oddelenie potvrdí regulačnú relevantnosť. Financie potvrdia dopad na organizáciu. IT potvrdí závislosti.

Tým sa predíde klasickej chybe, keď sa obnoví iba databáza, ale ignoruje sa autentifikačná služba potrebná na prístup k aplikácii.

Krok 2: Prepojte test s registrom rizík

Pomocou Zenith Blueprint kroku 11 obsahuje register rizík scenár: „Strata alebo zašifrovanie údajov platformy na schvaľovanie platieb zabráni platobným operáciám a vytvorí regulačnú expozíciu.“

Aktuálne kontroly zahŕňajú denné zálohy, nemenné cloudové úložisko, kópie záloh vo viacerých lokalitách, štvrťročné testovanie obnovy a zdokumentované prevádzkové príručky obnovy. Vlastníkom rizika je vedúci infraštruktúry. Vlastníkom za organizáciu je finančná prevádzka. Rozhodnutie o ošetrení je zmierniť.

Krok 3: Mapujte ošetrenie na SoA

Pomocou Zenith Blueprint kroku 13 SoA mapuje riziko na kontroly prílohy A ISO/IEC 27001:2022 8.13, 5.30, 8.14 a 5.29. SoA vysvetľuje, že testovanie záloh poskytuje nápravnú schopnosť obnovy, postupy kontinuity IKT podporujú kontinuitu činností, redundancia znižuje pravdepodobnosť výpadku a bezpečnosť počas narušenia bráni nebezpečným skratkám pri obnove.

Krok 4: Použite ustanovenia politík ako testovacie kritériá

Tím použije ustanovenie 5.3.3 Politiky zálohovania a obnovy pre MSP pre štvrťročné testovanie obnovy, ustanovenie 8.2.2 pre uchovávanie dôkazov a ustanovenie 6.3.1.1 pre ukladanie vo viacerých lokalitách. Použije ustanovenie 5.2.1.4 Politiky kontinuity činností a obnovy po havárii pre MSP pre cieľové hodnoty RTO/RPO a ustanovenie 6.4.2 pre ponaučenia a aktualizácie BCP.

Krok 5: Vykonajte obnovu a zaznamenajte fakty

Obnova sa vykoná v izolovanom prostredí obnovy. Tím zaznamená časové pečiatky, identifikátory zálohovacej sady, kroky obnovy, chyby, výsledky validácie a schválenia.

Silný záznam o teste obnovy má obsahovať:

Počas testu tím zistí jeden problém. Obnovená aplikácia nedokáže odosielať notifikačné e-maily, pretože zoznam povolených zdrojov SMTP relay neobsahuje podsieť obnovy. Kľúčové schvaľovanie platieb funguje, ale pracovný tok je degradovaný.

Krok 6: Zaznamenajte ponaučenia a nápravné opatrenie

Práve tu mnohé organizácie končia priskoro. Prístup Clarysec posúva problém do systému zlepšovania.

Vo fáze Audit, preskúmanie a zlepšovanie, krok 29, Neustále zlepšovanie, Zenith Blueprint používa register CAPA na sledovanie popisu problému, koreňovej príčiny, nápravného opatrenia, vlastníka, cieľového dátumu a stavu.

Tento jediný test obnovy teraz vytvára dôkazový reťazec pripravený na audit: požiadavka politiky, potvrdenie rozsahu, mapovanie rizika, mapovanie SoA, testovací plán, záznam o vykonaní, podniková validácia, bezpečnostná validácia, záznam problému, nápravné opatrenie a aktualizácia BCP.

Ako rôzni audítori skúmajú tie isté dôkazy

Silný balík dôkazov predvída pohľad audítora.

Audítor ISO 27001:2022 zvyčajne začne systémom riadenia. Bude sa pýtať, či sú požiadavky na zálohovanie a obnovu zahrnuté do rozsahu, založené na rizikách, implementované, monitorované, interne auditované a zlepšované. Bude očakávať sledovateľnosť od registra rizík cez SoA až po prevádzkové záznamy. Môže tiež prepojiť neúspešné testy a nápravné opatrenia s kapitolou 10.2 ISO/IEC 27001:2022 o nezhode a nápravnom opatrení.

Hodnotiteľ DORA sa zameria na digitálnu prevádzkovú odolnosť IKT pre kritické alebo dôležité funkcie. Bude chcieť vidieť obnovu na úrovni služby, závislosti od tretích strán v oblasti IKT, testovanie založené na scenároch, dohľad riadiaceho orgánu a dôkazy o účinnosti postupov obnovy.

Dohľadová perspektíva NIS2 bude hľadať primerané a proporcionálne opatrenia riadenia kybernetických rizík. Dôkazy o zálohovaní a obnove po havárii majú ukázať, že základné alebo dôležité služby dokážu po incidentoch udržať alebo obnoviť prevádzku, pričom manažment pozná zostatkové riziko.

Posudzovateľ orientovaný na NIST sa zameria na výsledky kybernetickej bezpečnosti naprieč Identify, Protect, Detect, Respond a Recover. Môže sa pýtať na nemenné zálohy, privilegovaný prístup k úložiskám záloh, obnovu do čistých prostredí, komunikáciu a ponaučenia.

Audítor v štýle COBIT 2019 alebo ISACA bude zdôrazňovať správu a riadenie, vlastníctvo procesov, metriky, reportovanie manažmentu a sledovanie problémov. Technicky elegantná obnova ho zaujme menej, ak vlastníctvo a reportovanie nie sú jasné.

Tie isté dôkazy môžu uspokojiť všetky tieto pohľady, ale iba ak sú úplné.

Bežné zlyhania testovania obnovy, ktoré vytvárajú auditné zistenia

Clarysec opakovane vidí rovnaké preventabilné medzery v dôkazoch.

Cieľom nie je byrokracia. Cieľom je spoľahlivá obnova pod tlakom a obhájiteľné dôkazy pri audite.

Vybudujte balík dôkazov obnovy na úrovni predstavenstva

Vrcholový manažment nepotrebuje surové logy zálohovania. Potrebuje uistenie, že kritické služby sú obnoviteľné, výnimky sú známe a opatrenia na zlepšenie postupujú.

Pre každú kritickú službu reportujte:

• Názov služby a vlastník za organizáciu
• Kritickosť podľa BIA
• Schválené RTO a RPO
• Dátum posledného testu obnovy
• Dosiahnuté RTO a RPO
• Výsledok testu
• Otvorené nápravné opatrenia
• Závislosti od tretích strán ovplyvňujúce obnovu
• Vyhlásenie o zostatkovom riziku
• Ďalší plánovaný test

Tento štýl reportovania vytvára most medzi technickými tímami, audítormi a vedením. Podporuje aj preskúmanie ISMS manažmentom a dohľad nad odolnosťou podľa NIS2 a DORA.

Praktický auditný kontrolný zoznam na najbližších 30 až 90 dní

Ak sa blíži váš audit, začnite dôkazmi, ktoré už máte, a najprv uzavrite medzery s najvyšším rizikom.

• Identifikujte všetky kritické systémy a systémy s vysokým dopadom z BIA.
• Potvrďte RTO a RPO pre každý kritický systém.
• Overte, že každý kritický systém je uvedený v hlavnom harmonograme zálohovania.
• Potvrďte lokality záloh vrátane lokálnych, cloudových, nemenných alebo oddelených úložísk.
• Vyberte aspoň jeden nedávny test obnovy pre každú kritickú službu alebo test okamžite naplánujte.
• Zabezpečte, aby záznamy o testoch obnovy uvádzali rozsah, časové pečiatky, zálohovaciu sadu, výsledok, dosiahnuté RTO/RPO a validáciu.
• Získajte schválenie vlastníkom za organizáciu pre obnovu na úrovni aplikácie.
• Validujte bezpečnosť po obnove vrátane riadenia prístupu, logovania, monitorovania, tajomstiev, certifikátov a vystavenia zraniteľnostiam.
• Mapujte dôkazy na register rizík a SoA.
• Zaznamenajte problémy do CAPA, priraďte vlastníkov a sledujte opätovné testovanie.
• Zhrňte výsledky pre preskúmanie manažmentom.
• Pripravte pohľad krížového súladu pre auditné diskusie k ISO 27001:2022, NIS2, DORA, NIST CSF a COBIT 2019.

Ak nestihnete dokončiť všetky položky pred auditom, buďte transparentní. Audítori zvyčajne lepšie reagujú na zdokumentovanú medzeru s plánom nápravných opatrení než na neurčité tvrdenia o zrelosti.

Urobte z testovania obnovy najsilnejší dôkaz odolnosti

Zálohovanie a testovanie obnovy je jedným z najjasnejších spôsobov, ako preukázať prevádzkovú odolnosť. Je hmatateľné, merateľné, relevantné pre organizáciu a priamo prepojené s ISO 27001:2022, NIS2, DORA, NIST, COBIT 2019, reportovaním predstavenstvu, uistením zákazníkov a očakávaniami poisťovateľov.

Ale iba vtedy, ak je riadne zdokumentované.

Clarysec pomáha organizáciám premieňať operácie zálohovania na dôkazy pripravené na audit prostredníctvom Politiky zálohovania a obnovy, Politiky zálohovania a obnovy pre MSP, Politiky kontinuity činností a obnovy po havárii pre MSP, Zenith Blueprint a Zenith Controls.

Váš ďalší praktický krok je jednoduchý. Vyberte tento týždeň jednu kritickú službu. Vykonajte test obnovy voči jej schválenému RTO a RPO. Zdokumentujte výsledok. Namapujte ho na register rizík a SoA. Zaznamenajte každé ponaučenie.

Ak chcete, aby bol tento proces opakovateľný naprieč ISO 27001:2022, NIS2, DORA, NIST a COBIT 2019, nástroje Clarysec vám poskytnú štruktúru na preukázanie obnovy bez budovania labyrintu súladu od nuly.