8.13 Tworzenie kopii zapasowych
Rodzaj kontroli: Informacja
Właściwości bezpieczeństwa: Korygujące, Integralność, Dostępność
Koncepcje cyberbezpieczeństwa: Odzyskiwanie, Ciągłość działania
Obszary operacyjne: Ochrona
Kontrola
Kopie zapasowe informacji, oprogramowania i systemów powinny być tworzone, przechowywane oraz regularnie testowane zgodnie z ustaloną polityką organizacyjną dotyczącą tworzenia kopii zapasowych.
Cel
Zapewnienie możliwości odzyskania danych i systemów w przypadku ich utraty.
Wytyczne
Ogólne zasady
Organizacja powinna opracować politykę dotyczącą tworzenia kopii zapasowych, uwzględniającą wymagania dotyczące retencji danych oraz bezpieczeństwa informacji.
Należy zapewnić odpowiednie środki do tworzenia kopii zapasowych, aby umożliwić odzyskanie wszystkich kluczowych informacji i oprogramowania w przypadku awarii, incydentu lub utraty nośników danych.
Powinny zostać opracowane i wdrożone plany dotyczące tworzenia kopii zapasowych informacji, oprogramowania i systemów zgodnie z polityką organizacyjną.
Elementy planu tworzenia kopii zapasowych
Podczas projektowania planu tworzenia kopii zapasowych należy uwzględnić:
- a) tworzenie dokładnych i kompletnych rejestrów kopii zapasowych oraz dokumentację procedur odtwarzania danych;
- b) określenie częstotliwości oraz zakresu kopii zapasowych (np. pełne, różnicowe) zgodnie z wymaganiami biznesowymi organizacji (np. Recovery Point Objective – RPO, zob. 5.30), wymaganiami dotyczącymi bezpieczeństwa informacji oraz krytycznością danych dla ciągłości działania organizacji;
- c) przechowywanie kopii zapasowych w bezpiecznej, oddalonej lokalizacji, aby uniknąć ryzyka uszkodzenia w przypadku katastrofy w głównej siedzibie organizacji;
- d) zapewnienie odpowiedniego poziomu ochrony fizycznej i środowiskowej dla kopii zapasowych (zob. sekcje 7 oraz 8.1) zgodnie ze standardami obowiązującymi w głównej lokalizacji organizacji;
- e) regularne testowanie nośników kopii zapasowych w celu zapewnienia ich niezawodności w sytuacjach awaryjnych. Testy powinny być przeprowadzane poprzez odtwarzanie danych na systemie testowym, a nie nadpisywanie oryginalnych danych, aby uniknąć nieodwracalnych strat w przypadku błędu;
- f) zabezpieczanie kopii zapasowych poprzez szyfrowanie, zgodnie z analizą ryzyka (np. w przypadkach, gdy kluczowa jest ochrona poufności danych);
- g) zapewnienie mechanizmów wykrywania przypadkowej utraty danych przed wykonaniem kopii zapasowej.
Procedury operacyjne powinny monitorować wykonywanie kopii zapasowych i wykrywać ewentualne awarie w celu zapewnienia ich kompletności, zgodnie z polityką tworzenia kopii zapasowych.
Testowanie i weryfikacja kopii zapasowych
Środki dotyczące kopii zapasowych dla poszczególnych systemów i usług powinny być regularnie testowane, aby zapewnić ich zgodność z wymaganiami dotyczącymi reagowania na incydenty i planami ciągłości działania (zob. 5.30).
Testowanie powinno obejmować również procesy odtwarzania systemów i danych oraz weryfikację, czy czas odtwarzania spełnia wymagania planów ciągłości działania. W przypadku systemów krytycznych kopie zapasowe powinny obejmować:
- pełne informacje systemowe,
- aplikacje,
- dane niezbędne do odzyskania systemu w przypadku katastrofy.
Kopie zapasowe w środowiskach chmurowych
Jeśli organizacja korzysta z usług chmurowych, powinna zapewnić tworzenie kopii zapasowych swoich danych, aplikacji i systemów w środowisku chmury. Organizacja powinna określić, czy oraz w jaki sposób spełnione są wymagania dotyczące kopii zapasowych w ramach usług dostawcy chmury.
Okres retencji danych i usuwanie kopii zapasowych
Okres przechowywania kluczowych informacji biznesowych powinien być określony, z uwzględnieniem wymogów dotyczących przechowywania archiwalnych kopii zapasowych.
Organizacja powinna rozważyć usuwanie informacji (zob. 8.10) z nośników kopii zapasowych po upływie okresu ich przechowywania oraz uwzględnić obowiązujące przepisy prawne i regulacyjne.
Inne informacje
Dodatkowe informacje na temat bezpieczeństwa przechowywania danych, w tym zasad retencji, można znaleźć w normie ISO/IEC 27040.