iSecure logo
  • pl
  • en
    • Blog

    Co powinna zawierać procedura wykonywania kopii zapasowych?

    Michał Sztąberek
    Kategorie

    Procedura wykonywania kopii zapasowych (backupów) jest jednym z istotniejszych elementów budowania systemu ochrony danych osobowych, ale też zapewnienia ciągłości działania w kontekście szerszym, bo dotyczącym wszystkich istotnych dla organizacji informacji.

    Kiedy taka procedura może się przydać (przy założeniu, że została wdrożona i jest stosowana)? Na pewno w przypadku awarii systemu informatycznego, ale też w sytuacji popełnienia błędu ludzkiego, ataków hakerskich albo innych zagrożeń, które mogą mieć przełożenie na integralność lub dostępność danych.

    W niniejszym wpisie chciałbym wskazać co powinna zawierać taka procedura.

    Cel i zakres backupu

    Na początek oczywiście należy określić, jakie dane osobowe (oraz inne istotne dla organizacji informacje) są kluczowe dla organizacji i powinny być objęte kopią zapasową oraz jak często backupy powinny być tworzone. Przykładowo kopia zapasowa może obejmować pliki, bazy danych, konfiguracje systemu, itp. Warto zaznaczyć, że ten etap jest bardzo ważny z punktu widzenia realizacji nadrzędnego celu jakim ma być zapewnienie ciągłości działania (ale też zgodności m.in. z RODO albo normą ISO 27001).

    Metody wykonywania backupu

    Skoro wiemy już co powinno być przedmiotem backupu, czas najwyższy zastanowić się jaką metodą wykonywać nasze kopie zapasowe. Dla przypomnienia wskażę, że wyróżniamy backupy pełne, różnicowe oraz przyrostowe (inkrementalne).

    Backup pełny kopiuje wszystkie dane (dyski, foldery, pliki), backup różnicowy tylko zmiany od ostatniego pełnego backupu, a backup przyrostowy uwzględnia dane, które zostały zmienione lub dodane, od czasu utworzenia ostatniej, dowolnej kopii zapasowej.

    Harmonogram backupów

    Kolejny krok to ustalenie częstotliwości wykonywania kopii zapasowych. Można przyjąć, że kopie pełne są tworzone nieco rzadziej (np. co tydzień), a backupy różnicowe lub przyrostowe częściej (np. codziennie). Powyższe koniecznie trzeba ustalić z właścicielami biznesowymi przypisanymi do poszczególnych zasobów, które mają być zabezpieczone poprzez regularne wykonywanie kopii. Oczywiście nie bez znaczenia będzie tu też głos ze strony działu IT, który będzie odpowiedzialny za realizację tego procesu. A zatem konieczne jest tu współdziałanie zarówno IT jak i właścicieli biznesowych.

    Wybór lokalizacji przechowywania

    Miejsce przechowywania kopii to kolejny etap. Należy pamiętać o oczywistej oczywistości, czyli zapewnieniu, by wybrana przez nas lokalizacja zapewniała bezpieczeństwo – tak ze strony czynników zewnętrznych np. pożar, zalanie jak i wewnętrznych np. dostęp osób nieupoważnionych.

    Warto też wspomnieć, że kopie zapasowe mogą być tworzone na różnych nośnikach fizycznych np. zewnętrzne dyski twarde, taśmy magnetyczne albo – co zdarza się coraz częściej, zwłaszcza w mniejszych firmach – wykorzystywana może być do tego chmura obliczeniowa np. OneDrive od Microsoftu albo Dysk Google.

    Automatyzacja backupów

    Jeśli to możliwe, najlepiej zadbać o to, by kopie zapasowe wykonywane były w sposób automatyczny, przy czym automatyzm ten powinien opierać się na ustanowionym uprzednio harmonogramie. W ten sposób niwelujemy np. możliwość popełnienia jednego z najprostszych błędów ludzkich jakim może być najzwyklejsze na świecie zapomnienie o czymś co powinno zostać zrobione. Oczywiście niezbędny jest też nadzór nad tym, czy kopia została wykonana (patrz: niżej) – w tym celu administrator kopii powinien analizować logi w tym zakresie i w przypadku wykrycia błędów – poddać je analizie, ale nade wszystko zadbać o to, by kopia została wykonana.

    Testowanie i weryfikacja backupów

    W poprzednim punkcie mówiliśmy o nadzorze nad wykonywaniem kopii, ale to zdecydowanie za mało. Pamiętaj, by okresowo sprawdzać, czy backupy są faktycznie przydatne. Przeprowadzaj testy przywracania danych z kopii, aby upewnić się, że proces przywracania działa poprawnie. To kluczowe zadanie, bo co nam po kopii, z której nie da się odtworzyć istotnych dla organizacji danych.

    Zabezpieczenie dostępu do kopii

    I znów banał, ale należy o tym wspomnieć. Pamiętaj, by dostęp do backupu miały tylko wyraźnie upoważnione do tego osoby. Przecież nie chcemy, żeby jakiś przypadkowy użytkownik usunął przez przypadek (albo z premedytacją) coś co ma zapewnić organizacji ciągłość działania.

    Monitorowanie procesu oraz aktualizacje procedury

    Jak z każdą procedurą, tak i w przypadku omawianego procesu konieczne jest ustanowienie mechanizmu monitorowania całości. W razie jakichkolwiek problemów, takich jak nieudane backupy, powinny być generowane alerty, aby można było szybko zareagować.

    Oprócz tego należy pamiętać o aktualizacji samej procedury, bo i ona powinna być poddawana regularnym przeglądom – przede wszystkim na okoliczność, czy funkcjonuje w sposób należyty, ale też każdorazowo np. w przypadku zmian w systemach informatycznych. Dbałość o to, aby procedura była zgodna z potrzebami biznesu, ma kluczowe znaczenie dla skuteczności backupów.

    Pobierz wpis w wersji pdf
    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Michał Sztąberek

    Obowiązek informacyjny w rekrutacji

    Czym jest obowiązek informacyjny? Uważni Czytelnicy bloga iSecure zdają sobie doskonale sprawę, że nie można (co do zasady) zbierać danych osobowych bez dopełnienia obowiązku informacyjnego. Ale zapewne znajdą się i tacy dla których ten wpis będzie ich pierwszym kontaktem z naszym blogiem. Dlatego na wstępie króciutko wyjaśnię czym jest cały ten „obowiązek informacyjny”. Generalna idea […]

    Czytaj więcej
    Jak przetwarzać dane – poradnik (cz. I)
    Agnieszka Rapcewicz

    Prewencyjny pomiar temperatury

    Pytanie o możliwość prewencyjnego pomiaru temperatury w dobie pandemii COVID-19 jest jednym z najczęściej zadawanych nam przez naszych klientów, z wielu różnych branż. Wychodząc naprzeciw tym oczekiwaniom zebraliśmy wjednym miejscu dotychczasowe przepisy i wytyczne odpowiednich organów, a następnie opatrzyliśmy je naszym komentarzem. Podsumowanie zostało przesłane do Związku Firm Ochrony Danych Osobowych (ZFODO) celem skonsultowania i przyjęcia jako wspólne stanowisko. Stanowisko iSecure w zakresie […]

    Czytaj więcej
    Olga Skotnicka

    Budowanie RODO świadomości w organizacji – bo pracownik stanowi jeden z kluczowych elementów systemu ochrony danych

    Mimo upływu czasu od wdrożenia RODO, temat świadomości pracowników i współpracowników w każdej organizacji jest tematem nadal interesującym. Pomimo stworzenia części prawno-proceduralnej w organizacji, czyli wdrożenia procedur, dostosowania witryny internetowej, zbudowania rejestrów, obowiązków informacyjnych czy zgód, u osób zarządzających nadal pojawia się niepewność. O szkoleniach i ich rodzajach pisaliśmy już wcześniej tutaj. W dzisiejszym artykule […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki