Varundamise ja taastamise poliitika – VKE

Varundamise ja taastamise poliitika (P15S) annab tervikliku lähenemise, et tagada kogu oluline äriandmestik on kaitstud kaotsimineku eest ning seda saab häire korral kiiresti taastada. Spetsiaalselt väikestele ja keskmise suurusega ettevõtetele (VKE-dele) loodud poliitika arvestab organisatsioonide struktuurset reaalsust, kus puuduvad keerukad IT-osakonnad, näiteks pühendunud turbeoperatsioonide keskuse (SOC) meeskonnad või infoturbejuht. Seetõttu määrab see peamise järelevalve ja otsustusvastutuse tegevjuhile (GM), muutes poliitika nii praktiliseks kui ka ISO/IEC 27001:2022 nõuetega kooskõlas olevaks. Poliitika keskmes on jõustatavad reeglid, mis nõuavad kogu kriitilise andmestiku regulaarset varundamist, sh finants-, kliendi-, HR- ja ärisüsteemide teave lauaarvutites, serverites ja pilverakendustes. Poliitika on täpne kohaldamisala osas, nõudes varundusmeedia, näiteks USB-mälupulkade või pilvepõhiste lahenduste, kaasamist. See suunab kõiki töötajaid, kellel on vastutus andmete käitlemise eest, koos väliste IT-toe teenuseosutajatega rangelt järgima ettenähtud protokolle varundamiseks ja turvaliseks säilitamiseks. P15S sätestab selged eesmärgid: tagada, et kogu kriitiline andmestik on turvaliselt varundatud riskihindamistega kooskõlas olevate intervallidega; tagada õigeaegne ja täielik andmete taastamine; ning vältida volitamata juurdepääsu või manipuleerimist tugeva krüpteerimise ja säilituskontrolli kaudu. Rollid ja vastutused on selgelt piiritletud: tegevjuht vastutab poliitika jõustamise, ressursside eraldamise, iga-aastaste ülevaatuste ja intsidentide järelevalve eest, samas kui IT-teenuseosutajad tegelevad tehnilise rakendamise ja aruandlusega. Töötajad peavad salvestama töö ainult heakskiidetud süsteemidesse, vähendades täiendavalt riski. Poliitika nõuab dokumenteeritud varundusplaani, mis kirjeldab, mida varundatakse, millise sagedusega, säilitamisreegleid ning turvalise kustutamise suuniseid, mis tuginevad seotud poliitikatele. Varundused tuleb teha kindlate ajakavade alusel, näiteks igapäevaselt või iganädalaselt finantskirjete jaoks, igakuiselt süsteemikonfiguratsioonide jaoks ning võimalusel inkrementaalselt jagatud failide jaoks. Kriitilised kontrollimeetmed nõuavad, et andmeid hoitakse vähemalt kahes asukohas (nt kohalik ja pilv), krüpteeritakse väljaspool asukohta ning on kättesaadavad rangelt ainult volitatud personalile. Logid, aruanded ja taastamisprotseduuride perioodiline testimine on kohustuslikud, toetades nii operatiivset töökindlust kui ka auditinõudeid standardite, nagu ISO/IEC 27001 ja GDPR, jaoks. Riski- ja erandite haldus on sisse ehitatud: iga kõrvalekalle, lünk või tehniline rike tuleb dokumenteerida, põhjendada ja tegevjuhi poolt heaks kiita. Keelatud tegevused, nagu kriitiliste andmete salvestamine heakskiitmata seadmetesse või taastamistestide vahelejätmine, on selgesõnaliselt välja toodud. Iga-aastased ja intsidentidest ajendatud poliitika ülevaatused tagavad jätkuva kooskõla õiguslike, regulatiivsete ja tehniliste arengutega. Varundust või taastet mõjutavate probleemide korral toimub eskaleerimine ja dokumenteerimine vastavalt intsidentidele reageerimise poliitika (P30S) nõuetele, kinnistades integreeritud juhtimise VKE infoturbe juhtimise maastikul. Seega võimaldab see poliitika VKE-del täita rahvusvahelisi vastavusnõudeid struktuuriga, mis on kohandatud nende operatiivsele reaalsusele.