Atsarginių kopijų kūrimo ir atkūrimo politika

Atsarginių kopijų kūrimo ir atkūrimo politika (P15) nustato organizacijos privalomus reikalavimus duomenų, sistemų ir taikomųjų programų atsarginių kopijų kūrimui ir atkūrimui. Pagrindinis jos tikslas – apsaugoti organizacijos veiklos atsparumą ir duomenų vientisumą, palaikant veiklos tęstinumą net ir didelių sutrikimų metu, pvz., sistemų gedimų, kibernetinių atakų ar atsitiktinių ištrynimų atvejais. Politika apibrėžia standartizuotą atsarginių kopijų operacijų metodą ir nustato aiškius atkūrimo parametrus, ypač apibrėždama RTO (Recovery Time Objective) ir RPO (Recovery Point Objective) lūkesčius. Šie reikalavimai glaudžiai suderinti su organizacijos Informacijos saugumo valdymo sistema (ISVS) ir veiklos tęstinumo planais, užtikrinant teisinę, reglamentavimo ir operacinę atitiktį. Politikos taikymo sritis yra išsami: ji taikoma visoms ISVS apimamoms kritinės svarbos verslo ir operacinėms sistemoms, įskaitant struktūrizuotus ir nestruktūruotus duomenis, pvz., duomenų bazes, failus, el. laiškus ir sistemų konfigūracijas. Ji apima visų tipų operacines aplinkas (vietines, hibridines, debesijos), atsarginių kopijų laikmenas (fizines, virtualias, už organizacijos ribų) ir personalą, prižiūrintį ar vykdantį atsarginių kopijų procesus. Sistemos, kurios turi būti neįtrauktos į atsarginių kopijų operacijas, turi būti įvertintos pagal rizikos vertinimą, dokumentuotos ir formaliai patvirtintos, pabrėžiant politikos dėmesį rizikos valdymui ir atskaitomybei. Politikos tiksluose nurodoma, kad visas kritinis turtas turi būti kopijuojamas tinkamu dažniu, su redundancija ir šifravimu, dokumentuojant visas procedūras, saugojimo grafikus ir paskirtus vaidmenis. Atkūrimo mechanizmai turi atitikti iš anksto nustatytus RTO ir RPO slenksčius pagal verslo poveikio analizę. Atsarginių kopijų aplinkos vientisumas ir veiksmingumas validuojami reguliariais atkūrimo testavimais ir audito pėdsako palaikymu. Siekiant suderinimo su reglamentavimo reikalavimais, politika tiesiogiai įgyvendina ISO/IEC 27001:2022 (įskaitant operacinį tęstinumą ir saugų šalinimą), ISO/IEC 27002:2022 (pvz., vientisumą ir atkūrimo planavimą), taip pat reikalavimus iš NIST SP 800-53, GDPR, ES NIS2 ir DORA. Sutartys su trečiųjų šalių paslaugų teikėjais, teikiančiais atsarginių kopijų paslaugas, turi atspindėti organizacijos lūkesčius dėl šifravimo, šalinimo, incidentų pranešimų ir testavimo įrodymų. Vaidmenys ir atsakomybės aprašyti aiškiai: strateginė priežiūra priskiriama Vykdomajai vadovybei ir CISO, operacinis vykdymas – IT ir operacijoms, o specializuota valdysena – DPO, taikomųjų programų savininkams ir atitinkamiems tiekėjams. Politika reikalauja pagrindinio atsarginių kopijų grafiko, reguliarių peržiūros ciklų, stipraus šifravimo, atskirų atsarginių kopijų aplinkų ir griežtų pokyčių valdymo kontrolės priemonių. Griežta valdysena užtikrina, kad žurnalai būtų palaikomi, išimtys būtų kruopščiai kontroliuojamos ir įvertintos pagal riziką, o atkūrimo galimybės būtų testuojamos nustatytais intervalais. Be to, neatitiktis sukelia drausmines priemones vidaus darbuotojams ir sankcijas arba eskalavimą tiekėjams; reguliarios žurnalų, grafikų ir susijusios dokumentacijos peržiūros yra audito ir kontrolės užtikrinimo procesų dalis. Galiausiai, politika peržiūrima bent kartą per metus, kad atnaujinimai atspindėtų strateginius, teisinius ar technologinius pokyčius, ir komunikuojama visoms paveiktoms šalims. Susieta su valdysenos dokumentų rinkiniu (Rizikos valdymas, Turto valdymas, Duomenų klasifikavimas, Duomenų saugojimas, Duomenų maskavimas ir reagavimas į incidentus), ši politika yra integruota į organizacijos visapusišką požiūrį į duomenų saugumą, tęstinumą ir atitiktį reglamentavimo reikalavimams.