Datu rezerves kopēšanas un atjaunošanas politika

Datu rezerves kopēšanas un atjaunošanas politika (P15) nosaka organizācijas obligātās prasības datu, sistēmu un lietojumprogrammu rezerves kopēšanai un atjaunošanai. Tās galvenais mērķis ir aizsargāt organizācijas operatīvo noturību un datu integritāti, atbalstot biznesa nepārtrauktību pat būtisku traucējumu laikā, piemēram, sistēmu atteiču, kiberuzbrukumu vai nejaušas dzēšanas gadījumā. Politikas pamatā ir gan standartizēta pieeja rezerves kopēšanas operācijām, gan skaidri atjaunošanas parametri, jo īpaši definējot RTO (Recovery Time Objective) un RPO (Recovery Point Objective) gaidas. Šīs prasības ir cieši saskaņotas ar organizācijas informācijas drošības pārvaldības sistēmas ietvaru un biznesa nepārtrauktības plāniem, nodrošinot juridisko, regulatīvo un operatīvo atbilstību. Politikas darbības joma ir visaptveroša: tā attiecas uz visām biznesam kritiski svarīgām un operatīvajām sistēmām, uz kurām attiecas ISMS, tostarp strukturētiem datiem un nestrukturētiem datiem, piemēram, datubāzēm, failiem, e-pastiem un sistēmu konfigurācijām. Tā aptver visu veidu operatīvās vides (uz vietas, hibrīds, mākonis), rezerves kopiju nesējus (fiziskus, virtuālus, ārpus objekta) un personālu, kas uzrauga vai izpilda rezerves kopēšanas procesus. Sistēmām, kuras paredzēts izslēgt no rezerves kopēšanas operācijām, jāveic riska novērtēšana, tās jādokumentē un formāli jāapstiprina, uzsverot politikas uzsvaru uz risku pārvaldību un pārskatatbildību. Politikas mērķos ir noteikts, ka visi drošībai nozīmīgi aktīvi jārezervē ar atbilstošu biežumu, redundanci un šifrēšanu, dokumentējot visas procedūras, glabāšanas grafikus un noteiktās lomas. Atjaunošanas mehānismiem jāatbilst iepriekš definētiem RTO un RPO sliekšņiem, pamatojoties uz biznesa ietekmi. Rezerves kopēšanas vides integritāte un efektivitāte tiek validēta, regulāri veicot atjaunošanas testēšanu un uzturot audita pēdas. Regulatīvai saskaņošanai politika tieši ievieš kontroles no ISO/IEC 27001:2022 (tostarp operatīvā nepārtrauktība un droša likvidēšana), ISO/IEC 27002:2022 (piemēram, integritāte un atjaunošanas plānošana), kā arī prasības no NIST SP 800-53, GDPR, ES NIS2 un DORA. Līgumiem ar trešo pušu rezerves kopēšanas pakalpojumu sniedzējiem jāatspoguļo organizācijas gaidas attiecībā uz šifrēšanu, likvidēšanu, incidentu paziņošanu un testēšanas pierādījumiem. Lomas un pienākumi ir skaidri detalizēti, piešķirot stratēģisko uzraudzību Izpildu vadībai un Galvenajam informācijas drošības vadītājam (CISO), operatīvo izpildi IT un operācijām, kā arī specializētu pārvaldību DPO, biznesa lietojumprogrammu īpašniekiem un attiecīgajiem piegādātājiem. Politika nosaka galveno rezerves kopēšanas grafiku, regulārus pārskatīšanas ciklus, spēcīgu šifrēšanu, atsevišķas rezerves kopēšanas vides un stingras izmaiņu pārvaldības kontroles. Stingra pārvaldība nodrošina, ka audita žurnālu veidošana tiek uzturēta, izņēmumi tiek rūpīgi kontrolēti un novērtēti, un atjaunošanas iespējas tiek testētas noteiktos intervālos. Turklāt neatbilstība izraisa disciplināros pasākumus iekšējam personālam un sankcijas vai eskalāciju piegādātājiem, savukārt regulāra žurnālu, grafiku un saistītās dokumentācijas pārskatīšana ir daļa no audita un apliecinājuma procesiem. Visbeidzot, politika tiek pārskatīta vismaz reizi gadā, nodrošinot, ka atjauninājumi atspoguļo stratēģiskas, juridiskas vai tehnoloģiskas izmaiņas, un tiek komunicēti visām ietekmētajām pusēm. Sasaistē ar pārvaldības dokumentu kopumu (Riska pārvaldība, Aktīvu pārvaldība, Datu klasifikācija, Datu uzglabāšana, Datu maskēšana un incidentu reaģēšana) šī politika ir iekļauta organizācijas visaptverošajā pieejā datu drošībai, nepārtrauktībai un regulatīvajai atbilstībai.