Politika varnostnega kopiranja in obnovitve

Politika varnostnega kopiranja in obnovitve (P15) določa obvezne zahteve organizacije za varnostno kopiranje in obnovitev podatkov, sistemov in aplikacij. Njen primarni namen je varovanje operativne odpornosti organizacije in celovitosti podatkov ter podpora neprekinjenemu poslovanju tudi med večjimi motnjami, kot so odpovedi sistemov, kibernetski napadi ali nenamerni izbrisi. V jedru politika opredeljuje standardiziran pristop k operacijam varnostnega kopiranja in zagotavlja jasne parametre obnovitve, zlasti z določitvijo pričakovanj RTO (Recovery Time Objective) in RPO (Recovery Point Objective). Te zahteve so tesno usklajene z okvirom sistema upravljanja informacijske varnosti (ISMS) organizacije in načrti neprekinjenega poslovanja, kar zagotavlja pravno, regulativno in operativno skladnost. Obseg politike je celovit: vpliva na vse poslovno kritične in operativne sisteme, zajete v obsegu ISMS, vključno s strukturiranimi in nestrukturiranimi podatki, kot so podatkovne baze, datoteke, e-pošta in konfiguracijske nastavitve. Razteza se na vse vrste operativnih okolij (v lastnih prostorih, hibridna okolja, oblak), medije varnostnega kopiranja (fizični, virtualni, izven lokacije) ter osebje, ki nadzira ali izvaja procese varnostnega kopiranja. Sistemi, ki naj bi bili izključeni iz operacij varnostnega kopiranja, morajo biti predmet ocene tveganja, dokumentirani in formalno odobreni, kar poudarja osredotočenost politike na obvladovanje tveganj in odgovornost. V okviru ciljev politika določa, da morajo biti vsa kritična sredstva varnostno kopirana z ustrezno pogostostjo, redundanco in šifriranjem, pri čemer se dokumentirajo vsi postopki, urniki hrambe in dodeljene vloge. Mehanizmi obnovitve morajo izpolnjevati vnaprej določene pragove RTO in RPO na podlagi ocen vpliva na poslovanje. Celovitost in učinkovitost okolja varnostnega kopiranja se validirata z rednim testiranjem obnovitve in vzdrževanjem revizijske sledi. Za regulativno uskladitev politika neposredno uveljavlja kontrole iz ISO/IEC 27001:2022 (vključno z operativno neprekinjenostjo in varnim odstranjevanjem), ISO/IEC 27002:2022 (kot sta celovitost in načrtovanje obnovitve) ter zahteve iz NIST SP 800-53, GDPR, EU NIS2 in DORA. Pogodbe s ponudniki storitev tretjih oseb za varnostno kopiranje morajo odražati pričakovanja organizacije glede šifriranja, odstranjevanja, obveščanja o incidentih in revizijskih dokazov o testiranju. Vloge in odgovornosti so izrecno podrobno opredeljene: strateški nadzor je dodeljen izvršnemu vodstvu in vodji informacijske varnosti (CISO), operativna izvedba ekipam IT in operacij, specializirano upravljanje pa pooblaščencu za varstvo podatkov (DPO), lastnikom poslovnih aplikacij in relevantnim dobaviteljem. Politika zahteva glavni urnik varnostnega kopiranja, redne cikle pregledov, močno šifriranje, ločena okolja varnostnega kopiranja in stroge kontrole upravljanja sprememb. Strogo upravljanje zagotavlja, da se revizijsko beleženje vzdržuje, izjeme so skrbno nadzorovane in predmet ocene tveganja, zmožnosti obnovitve pa se testirajo v določenih intervalih. Poleg tega neskladnost sproži disciplinske ukrepe za interno osebje ter kazni ali eskalacijo za dobavitelje, pri čemer redni pregled dnevnikov, urnikov in povezane dokumentacije predstavlja del procesov presoje in skladnosti ter zagotavljanja. Na koncu se politika pregleda vsaj letno, da posodobitve odražajo strateške, pravne ali tehnološke spremembe, ter se komunicira vsem prizadetim stranem. S povezovanjem z naborom dokumentov upravljanja (obvladovanje tveganj, upravljanje sredstev, razvrščanje podatkov, politika hrambe podatkov, maskiranje podatkov in odziv na incidente) je ta politika vgrajena v celovit pristop organizacije k varnosti podatkov, neprekinjenosti in skladnosti s predpisi.