Polityka kopii zapasowych i odtwarzania

Polityka kopii zapasowych i odtwarzania (P15) ustanawia obowiązkowe wymagania organizacji dotyczące tworzenia kopii zapasowych i odtwarzania danych, systemów i aplikacji. Jej głównym celem jest ochrona odporności operacyjnej organizacji oraz integralności danych, wspierając ciągłość działania nawet podczas poważnych zakłóceń, takich jak awarie systemów, cyberataki lub przypadkowe usunięcia. U podstaw polityka zarówno opisuje ustandaryzowane podejście do operacji kopii zapasowych, jak i zapewnia jasne parametry odzyskiwania, w szczególności poprzez zdefiniowanie oczekiwań dotyczących RTO (Recovery Time Objective) oraz RPO (Recovery Point Objective). Wymagania te są ściśle powiązane z ramami Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) organizacji oraz planami ciągłości działania, zapewniając zgodność prawną, regulacyjną i operacyjną. Zakres polityki jest kompleksowy: obejmuje wszystkie systemy krytyczne dla działalności i systemy operacyjne objęte zakresem SZBI, w tym dane ustrukturyzowane i dane nieustrukturyzowane, takie jak bazy danych, pliki, wiadomości e-mail oraz ustawienia konfiguracyjne systemów. Obejmuje wszystkie typy środowisk operacyjnych (infrastruktura lokalna, środowiska hybrydowe, chmura obliczeniowa), nośniki kopii zapasowych (fizyczne, wirtualne, poza lokalizacją) oraz personel nadzorujący lub realizujący procesy kopii zapasowych. Systemy wyłączane z operacji kopii zapasowych muszą zostać poddane ocenie ryzyka, udokumentowane oraz formalnie zatwierdzone, co podkreśla nacisk polityki na zarządzanie ryzykiem i rozliczalność. W ramach celów polityka określa, że wszystkie aktywa krytyczne muszą być objęte kopiami zapasowymi z właściwą częstotliwością, redundancją oraz szyfrowaniem, przy jednoczesnym dokumentowaniu wszystkich procedur, harmonogramów retencji oraz wyznaczonych ról. Mechanizmy odtwarzania muszą spełniać zdefiniowane progi RTO i RPO w oparciu o analizę wpływu na działalność. Integralność i skuteczność środowiska kopii zapasowych są potwierdzane poprzez regularne testy odtwarzania oraz utrzymywanie ścieżki audytu. Dla zapewnienia zgodności regulacyjnej polityka bezpośrednio egzekwuje środki kontrolne z ISO/IEC 27001:2022 (w tym ciągłość operacyjna i bezpieczna utylizacja), ISO/IEC 27002:2022 (np. integralność i planowanie odtwarzania), a także wymagania wynikające z NIST SP 800-53, GDPR, EU NIS2 oraz DORA. Umowy z dostawcami usług stron trzecich w zakresie kopii zapasowych muszą odzwierciedlać oczekiwania organizacji dotyczące szyfrowania, utylizacji, powiadamiania o incydentach oraz dowodów z audytu z testów. Role i odpowiedzialności są szczegółowo określone, przypisując nadzór strategiczny kierownictwu wykonawczemu oraz dyrektorowi ds. bezpieczeństwa informacji (CISO), realizację operacyjną zespołom IT i operacyjnym oraz wyspecjalizowany nadzór inspektorowi ochrony danych (DPO), właścicielom aplikacji oraz właściwym dostawcom. Polityka wymaga głównego harmonogramu kopii zapasowych, regularnych cykli przeglądu, silnego szyfrowania, odseparowanych środowisk kopii zapasowych oraz rygorystycznych zabezpieczeń zarządzania zmianami. Ścisłe zarządzanie zapewnia utrzymywanie rejestrowania audytowego, staranne kontrolowanie i ocenę ryzyka odstępstw oraz testowanie możliwości odtwarzania w ustalonych odstępach. Dodatkowo niezgodność uruchamia środki dyscyplinarne wobec personelu wewnętrznego oraz kary lub eskalację wobec dostawców, a regularny przegląd dzienników, harmonogramów i powiązanej dokumentacji stanowi element procesów audytu i zapewnienia. Na koniec polityka jest przeglądana co najmniej raz w roku, aby aktualizacje odzwierciedlały zmiany strategiczne, prawne lub technologiczne, wraz z komunikacją do wszystkich stron objętych zakresem. W powiązaniu z zestawem dokumentów zarządczych (zarządzanie ryzykiem, zarządzanie aktywami, klasyfikacja danych, polityka retencji danych, maskowanie danych oraz reagowanie na incydenty), polityka ta jest osadzona w kompleksowym podejściu organizacji do bezpieczeństwa danych, ciągłości działania i zgodności regulacyjnej.