Polityka kopii zapasowych

Polityka kopii zapasowych

 

I. Zakres przedmiotowy polityki

1. Polityka kopii zapasowych, zwana dalej Polityką, określa:

1) zasady i sposób tworzenia i przechowywania kopii bezpieczeństwa systemów,

2) zasady weryfikacji kopii bezpieczeństwa systemów,

3) Zasady niszczenia kopii bezpieczeństwa systemów.

2. Polityka dotyczy wszystkich systemów baz danych oraz systemów operacyjnych, w których następuje przetwarzanie danych osobowych.

 

II. Zakres podmiotowy polityki

1. Do stosowania postanowień niniejszej Polityki zobowiązane są wszystkie osoby wykonujące czynności związane z tworzeniem, weryfikacją, przechowywaniem lub niszczeniem kopii bezpieczeństwa systemów.

2. Zadania określone w niniejszej Polityce będą wykonywane przez informatyków zatrudnionych na następujących stanowiskach:

Administrator Systemów Informatycznych, Specjalista ds. Bezpieczeństwa IT

 

III. Wyjaśnienie pojęć i skrótów

Pojęcia występujące w niniejszej Polityce otrzymują znaczenie wskazane poniżej:

1) Administrator – osoba zarządzająca systemami informatycznymi.

2) Dane osobowe – wszelkie informacje identyfikujące osobę fizyczną.

3) Przetwarzanie – operacja lub zestaw operacji wykonywanych na danych osobowych.

4) RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

5) Kopia zapasowa, backup – kopia bezpieczeństwa;

6) Kopia pełna – kopia wszystkich danych.

7) Kopia przyrostowa/różnicowa – kopia zmian od ostatniej kopii pełnej lub przyrostowej.

8) Urządzenie magazynujące – serwer, macierz dyskowa, taśma.

9) Dysk w chmurze – usługa przechowywania danych online.

10) Wirtualna maszyna – emulacja komputera.

11) Przechowywanie krzyżowe – przechowywanie kopii w dwóch różnych lokalizacjach.

 

IV. Tworzenie kopii zapasowych

Przyjmuje się następujące zasady tworzenia kopii zapasowych:

1. Tworzenie codziennych pełnych kopii zapasowych odbywa się każdego dnia automatycznie, w godzinach od 23:00 do 01:00 na dysku serwera lub innym urządzeniu magazynującym dane.

2. 7 ostatnich pełnych backup’ów przechowywanych jest na dysku serwera (może być także przechowywane na innym urządzeniu magazynującym), z zachowaniem zasady, że najstarsza kopia zostaje nadpisana następną.

3. Ostatnią pełną kopię zapasową należy kopiować automatycznie krzyżowo, w celu zapewnienia przechowywania kopii w dwóch różnych lokalizacjach.

4. Ostatnią pełną kopię zapasową należy przenosić w każdy piąty dzień roboczy tygodnia na dodatkowy nośnik danych (np. płyta DVD, taśma, chmura, macierz). Czynność ta wykonywana jest automatycznie lub przez Administratora Systemów.

5. Raz na 30 dni w automatyczny sposób tworzy się kopia zapasowa kompletnego środowiska, czyli baz danych oraz systemów operacyjnych serwerów i/lub maszyn wirtualnych, a następnie przechowywana jest na urządzeniu magazynującym dane lub krzyżowo na poszczególnych serwerach.

6. Kopie zapasowe są tworzone i przechowywane w cyklach (sugerowane jest używanie minimum 3 z nich – należy dostosować do bieżących potrzeb):

1) Dzienny (każdego dnia) – w kolejnym cyklu dopuszcza się nadpisanie najstarszej kopii (o ile istnieje cykl tygodniowy/miesięczny;

2) Tygodniowy (jedna kopia tygodniowo) – w kolejnym cyklu dopuszcza się nadpisanie najstarszej kopii z poprzedniego miesiąca (o ile istnieje miesięczny);

3) Miesięcznym (jedna kopia miesięcznie);

4) Rocznym (jedna kopia rocznie).

V. Weryfikacja kopii zapasowych

1. Sprawdzenie kopii zapasowych odbywa się poprzez weryfikację, poprzez następujące działania:

2) Raz w tygodniu – sprawdzenie kopii zapasowych na nośnikach;

3) Aby sprawdzić, czy kopia jest prawidłowa należy przywrócić kopię zapasową w środowisku testowym;

4) Weryfikacja poprawności danych w kopii bezpieczeństwa, odbywa się poprzez uruchomienie aplikacji korzystających z odpowiednich baz danych i sprawdzenie losowo wybranych danych;

5) Następnie odnotowuje się wyniki weryfikacji w prowadzonej ewidencji kopii zapasowych;

6) Wynik – jeżeli wynik weryfikacji wskazuje na występowanie nieprawidłowości/odchyleń, wykonuje się następną kopię i postępuje według punktów 2-4, aż do uzyskania pozytywnego rezultatu.

2. Każda kopia jest weryfikowana po jej utworzeniu (np. dniu roboczym, najpóźniej następnego dnia roboczego po ich planowanym wykonaniu). Jeżeli wynik sprawdzenia jest negatywny (nie doszło do wykonania kopii), należy wykonać ją manualnie.

3. Każdy okresowy backup należy oznaczyć odpowiednią etykietą. Każda etykieta powinna wskazywać na: nazwę systemu, datę, czas wykonania kopii oraz oznaczenie wskazujące na jej charakter, np. „kopia bezpieczeństwa/zapasowa”. Nazwa systemu. Przykładowy format zapisu etykiety na płycie: „Kopia_CRM_2024-10-26”.

 

VI. Przechowywanie kopii zapasowych

1. Przechowywanie kopii na nośnikach przenośnych:

1) Należy wykonać kopię zapasową na nośniku przenośnym;

2) Następnie należy umieścić nośnik w sejfie ognioodpornym;

3) Sejf musi znajdować się w innym pomieszczeniu niż serwerownia;

4) Należy zachować chronologiczną kolejność magazynowania kopii zaczynając od najstarszej;

5) Wszystkie wykonywane w tym punkcie czynności należy odnotować w dokumentacji (ewidencji kopii zapasowych).

2. Przechowywanie kopii na urządzeniach magazynujących:

1) Dostęp sieciowy/chmurowy do urządzeń magazynujących jest możliwy tylko i wyłącznie dla Administratora Systemów i Specjalisty ds. Bezpieczeństwa IT;

2) Dostęp powinien być zabezpieczony i odnotowywany automatycznie;

3) Poziom zabezpieczeń powinien być wystarczający/adekwatny i zgodny z Polityką Bezpieczeństwa Informacji;

4) Kopie zapasowe, o ile to możliwe, powinny być przechowywane krzyżowo na urządzeniach magazynujących, najlepiej stosując redundancję;

5) Dostęp fizyczny do urządzeń magazynujących jest możliwy tylko i wyłącznie dla Administratora Systemów.

 

VII. Czasy przechowywania kopii

Ustala się następujące czasy przechowywania kopii bezpieczeństwa:

1) Nośniki – minimalny czas przechowywania kopii bezpieczeństwa to 6 miesięcy,

2) Urządzenia magazynujące – minimalny czas przechowywania kopii bezpieczeństwa to 12 miesięcy.

 

VIII. Niszczenie kopii

Niszczenie kopii zapasowych przebiega według następujących zasad:

1. Kopie zapasowe mogą być niszczone nie wcześniej niż po 12 miesiącach od ich utworzenia.

2. Kopie zapasowe należy za każdym razem niszczyć komisyjnie, skład komisji powinien być co najmniej 2-osobowym, o ile nie odbywa się to automatycznie.

3. Sposób niszczenia:

1) W przypadku, gdy nośnikiem kopii zapasowej jest płyta CD/DVD, jej niszczenie wykonywane jest przy użyciu niszczarki do płyt, o ile umożliwia ona bardzo drobne pocięcie takiego nośnika;

2) W przypadku, gdy kopie przechowywane na serwerach i innych urządzeniach magazynujących należy je skasować lub nadpisać kolejnymi kopiami.

4. Zniszczenie nośnika należy potwierdzić protokołem.

 

IX. Ewidencja kopii zapasowych

1. Każda wykonana kopia zapasowa powinna być opisana w ewidencji kopii zapasowych.

2. Przy automatycznym tworzeniu kopii zapasowych, konieczne jest odnotowanie tego zdarzenia (logi operacji). W takim przypadku utworzony plik stanowi ewidencję kopii zapasowych (automatycznych).

3. Ewidencja kopii zapasowych odnotowuje wszystkie zmiany dotyczące tworzonych kopii zapasowych.