Varundamise ja taastamise poliitika

Varundamise ja taastamise poliitika (P15) kehtestab organisatsiooni kohustuslikud nõuded andmete, süsteemide ja rakenduste varundamiseks ja taastamiseks. Selle peamine eesmärk on kaitsta organisatsiooni operatiivset vastupidavust ja andmete terviklust, toetades ärijätkuvust ka suurte häirete ajal, nagu süsteemitõrked, küberrünnakud või juhuslikud kustutamised. Poliitika keskmes on nii standardiseeritud lähenemine varundusoperatsioonidele kui ka selged taastamisparameetrid, eelkõige RTO (taastamisaja eesmärk) ja RPO (taastepunkti eesmärk) ootuste määratlemine. Need nõuded on tihedalt kooskõlas organisatsiooni infoturbe juhtimissüsteemi (ISMS) raamistikuga ja ärijätkuvuse plaanidega, tagades õigusliku, regulatiivse ja operatiivse vastavuse. Poliitika kohaldamisala on terviklik: see mõjutab kõiki ISMS-i alla kuuluvaid ärikriitilisi ja operatiivseid süsteeme, sh struktureeritud ja struktureerimata andmeid, nagu andmebaasid, failid, e-kirjad ja süsteemikonfiguratsioonid. See laieneb kõigile operatiivkeskkondadele (kohapealne, hübriidne, pilv), varundusmeediale (füüsiline, virtuaalne, väljaspool asukohta) ning personalile, kes varundusprotsesse juhib või teostab. Eriti oluline on, et süsteemid, mis jäetakse varundusoperatsioonidest välja, peavad olema riskihinnatud, dokumenteeritud ja ametlikult heaks kiidetud, rõhutades poliitika fookust riskijuhtimisele ning volitustele ja aruandekohustusele. Eesmärkide raames täpsustab poliitika, et kõik kriitilised varad tuleb varundada sobiva sageduse, redundantsi ja krüpteerimisega, dokumenteerides kõik protseduurid, säilitamisgraafikud ja määratud rollid. Taastamismehhanismid peavad vastama eelnevalt määratletud RTO ja RPO lävenditele vastavalt ärimõjule. Varunduskeskkonna terviklust ja tõhusust valideeritakse regulaarse taastamistestimise ja auditijälje säilitamise kaudu. Regulatiivse ühtlustamise jaoks jõustab poliitika otseselt ISO/IEC 27001:2022 kontrollimeetmeid (sh operatiivne järjepidevus ja turvaline kõrvaldamine), ISO/IEC 27002:2022 nõudeid (nt terviklus ja taastamise planeerimine) ning NIST SP 800-53, GDPR, EL NIS2 ja DORA nõudeid. Lepingud kolmanda osapoole varundusteenuseosutajatega peavad kajastama organisatsiooni ootusi krüpteerimise, kõrvaldamise, intsidentidest teavitamise ja testitõendite osas. Rollid ja vastutused on selgelt kirjeldatud, määrates strateegilise järelevalve juhtkonnale ja infoturbejuhile, operatiivse teostuse IT-le ja operatsioonidele ning spetsialiseeritud juhtimise andmekaitseametnikule, rakenduste omanikele ja asjakohastele tarnijatele. Poliitika nõuab varundamise põhigraafikut, regulaarseid läbivaatamistsükleid, tugevat krüpteerimist, eraldiseisvaid varunduskeskkondi ja rangeid muudatuste juhtimise kontrollimeetmeid. Range juhtimine tagab, et auditilogid on säilitatud, erandid on hoolikalt kontrollitud ja riskihinnatud ning taastamisvõimekust testitakse kindlate intervallidega. Lisaks käivitab mittevastavus sisepersonali suhtes distsiplinaarmeetmed ning tarnijate puhul sanktsioonid või eskaleerimise; logide, graafikute ja seotud dokumentatsiooni regulaarne läbivaatamine on osa auditist ja kontrollide tagamisest. Lõpuks vaadatakse poliitika läbi vähemalt kord aastas, tagades, et ajakohastused kajastavad strateegilisi, õiguslikke või tehnoloogilisi muutusi, ning teavitatakse kõiki mõjutatud osapooli. Seostudes juhtimisdokumentide komplektiga (riskijuhtimine, varade haldus, andmete klassifitseerimine, andmete säilitamine, andmete maskeerimine ja intsidentidele reageerimine), on see poliitika osa organisatsiooni terviklikust lähenemisest andmeturbele, järjepidevusele ja õigusnormidele vastavusele.