Politika zálohovania a obnovy

Politika zálohovania a obnovy (P15) stanovuje povinné požiadavky organizácie na zálohovanie a obnovu údajov, systémov a aplikácií. Jej primárnym účelom je chrániť prevádzkovú odolnosť organizácie a integritu údajov, podporovať kontinuitu podnikania aj počas významných narušení, ako sú zlyhania systémov, kybernetické útoky alebo náhodné vymazania. V jadre politika formuluje štandardizovaný prístup k zálohovacím operáciám a zabezpečuje jasné parametre obnovy, najmä definovaním očakávaní RTO (Recovery Time Objective) a RPO (Recovery Point Objective). Tieto požiadavky sú úzko zosúladené s rámcom ISMS organizácie a plánmi kontinuity podnikania, čím sa zabezpečuje právny, regulačný a prevádzkový súlad. Rozsah politiky je komplexný: ovplyvňuje všetky kriticky dôležité a prevádzkové systémy pokryté rozsahom ISMS, vrátane štruktúrovaných údajov a neštruktúrovaných údajov, ako sú databázy, súbory, e-maily a konfiguračné nastavenia. Vzťahuje sa na všetky typy prevádzkových prostredí (vo vlastných priestoroch, hybridné, cloud), zálohovacie médiá (fyzické, virtuálne, mimo lokality) a personál, ktorý dohliada na zálohovacie procesy alebo ich vykonáva. Systémy, ktoré majú byť vylúčené zo zálohovacích operácií, musia byť posúdené z hľadiska rizika, zdokumentované a formálne schválené, čo zdôrazňuje dôraz politiky na riadenie rizík a zodpovednosť. V rámci svojich cieľov politika špecifikuje, že všetky kritické aktíva musia byť zálohované so správnou frekvenciou, redundanciou a šifrovaním, pričom sa dokumentujú všetky postupy, harmonogramy uchovávania a určené roly. Mechanizmy obnovy musia spĺňať vopred definované prahové hodnoty RTO a RPO na základe posúdení vplyvu na podnikanie. Integrita a účinnosť zálohovacieho prostredia sa validujú prostredníctvom pravidelného testovania obnovy a udržiavania auditnej stopy. Pre regulačné zosúladenie politika priamo vynucuje kontroly z ISO/IEC 27001:2022 (vrátane prevádzkovej kontinuity a bezpečnej likvidácie), ISO/IEC 27002:2022 (napríklad integrita a plánovanie obnovy), ako aj požiadavky vychádzajúce z NIST SP 800-53, GDPR, EÚ NIS2 a DORA. Zmluvy s poskytovateľmi zálohovania tretích strán musia odrážať očakávania organizácie v oblasti šifrovania, likvidácie, notifikácie incidentov a testovacích dôkazov. Roly a zodpovednosti sú explicitne podrobne uvedené, pričom strategický dohľad je priradený výkonnému manažmentu a CISO, prevádzkové vykonávanie IT a prevádzke a špecializovaná správa DPO, vlastníkom podnikových aplikácií a príslušným dodávateľom. Politika vyžaduje hlavný harmonogram zálohovania, pravidelné cykly preskúmania, silné šifrovanie, oddelené zálohovacie prostredia a prísne kontroly riadenia zmien. Prísna správa zabezpečuje, že auditné záznamy sú udržiavané, výnimky sú starostlivo kontrolované a posúdené z hľadiska rizika a schopnosti obnovy sú testované v stanovených intervaloch. Okrem toho nesúlad spúšťa disciplinárne opatrenia pre interných zamestnancov a sankcie alebo eskaláciu pre dodávateľov, pričom pravidelné preskúmanie záznamov, harmonogramov a súvisiacej dokumentácie tvorí súčasť procesov auditu a uistenia. Napokon sa politika preskúmava aspoň raz ročne, aby sa zabezpečilo, že aktualizácie odrážajú strategické, právne alebo technologické zmeny, s komunikáciou všetkým dotknutým stranám. V prepojení so súborom dokumentov správy a riadenia (riadenie rizík, správa aktív, klasifikácia údajov, politika uchovávania údajov, maskovanie údajov a reakcia na incidenty) je táto politika súčasťou komplexného prístupu organizácie k bezpečnosti údajov, kontinuitě a dodržiavaniu predpisov.