Политика за резервно копиране и възстановяване

Политиката за резервно копиране и възстановяване (P15) установява задължителните изисквания на организацията за резервно копиране и възстановяване на данни, системи и приложения. Основната ѝ цел е да защити оперативната устойчивост и цялостност на данните на организацията, като подпомага непрекъсваемостта на бизнеса дори при значителни прекъсвания като откази на системи, кибератаки или случайни изтривания. В основата си политиката формулира стандартизиран подход към операциите по резервно копиране и осигурява ясни параметри за възстановяване, по-специално чрез дефиниране на очаквания за RTO (Recovery Time Objective) и RPO (Recovery Point Objective). Тези изисквания са тясно съгласувани с рамката на Системата за управление на информационната сигурност (СУИС) на организацията и плановете за непрекъсваемост на бизнеса, като гарантират правно, регулаторно и оперативно съответствие. Обхватът на политиката е всеобхватен: тя засяга всички системи от критично значение за бизнеса и оперативни системи, обхванати от обхвата на СУИС, включително структурирани и неструктурирани данни като бази данни, файлове, имейли и конфигурационни настройки. Тя се прилага за всички видове оперативни среди (локална, хибридна, облачна), носители за резервно копиране (физически, виртуални, извън обекта) и персонал, който надзирава или изпълнява процесите по резервно копиране. Системите, които ще бъдат изключени от операциите по резервно копиране, трябва да бъдат подложени на оценка на риска, документирани и формално одобрени, което подчертава акцента на политиката върху управлението на риска и отчетността. В рамките на целите си политиката определя, че всички критични активи трябва да бъдат архивирани с подходяща честота, резервираност и шифроване, като се документират всички процедури, графици за съхранение и определени роли. Механизмите за възстановяване трябва да отговарят на предварително дефинирани прагове за RTO и RPO въз основа на оценки на въздействието върху бизнеса. Цялостността и ефективността на средата за резервно копиране се валидират чрез редовно тестване на възстановяването и поддържане на одитна следа. За регулаторно съгласуване политиката директно прилага контроли от ISO/IEC 27001:2022 (включително оперативна непрекъсваемост и метод на унищожаване), ISO/IEC 27002:2022 (като цялостност и планиране на възстановяването), както и изисквания, извлечени от NIST SP 800-53, GDPR, EU NIS2 и DORA. Договорите с доставчици на услуги на трети страни за резервно копиране трябва да отразяват очакванията на организацията относно шифроване, метод на унищожаване, уведомяване за инциденти и одиторско доказателство от тестове. Ролите и отговорностите са изрично детайлизирани, като се възлага стратегически надзор на висшето ръководство и директора по информационна сигурност (CISO), оперативно изпълнение на екипите по ИТ и операции и специализирано управление на DPO, собствениците на приложения и съответните доставчици. Политиката изисква главен календар на промените за резервните копия, регулярни цикли на преглед, силно шифроване, отделни среди за резервно копиране и строги контроли по управление на промените. Строгото управление гарантира, че логове и одитни записи се поддържат, изключенията се контролират внимателно и се подлагат на оценка на риска, а възможностите за възстановяване се тестват на определени интервали. Допълнително, несъответствието води до дисциплинарни мерки за вътрешния персонал и санкции или ескалация за доставчици, като регулярният преглед на регистрационните файлове, графици и свързана документация е част от процесите по одит и съответствие и уверение. Накрая, политиката се преглежда поне ежегодно, като се гарантира, че актуализациите отразяват стратегически, правни или технологични промени, с комуникация към всички засегнати страни. Чрез свързване с пакет от документи по управление (управление на риска, управление на активи, класификация на данни, политика за съхранение на данни, маскиране на данни и реагиране при инциденти), тази политика е вградена във всеобхватния подход на организацията към сигурността на данните, непрекъсваемостта и регулаторното съответствие.