Załącznik nr 6 do Polityki Zarządzania Infrastrukturą Teleinformatyczną stanowiącej załącznik nr 14 do Polityki Bezpieczeństwa Informacji Szkoły Głównej Gospodarstwa Wiejskiego w Warszawie stanowiącej załącznik do Zarządzenia Rektora Szkoły Głównej Gospodarstwa Wiejskiego w Warszawie nr 27 z dnia 5 kwietnia 2022 r. w sprawie ustanowienia Systemu Zarządzania Bezpieczeństwem Informacji oraz Polityki Bezpieczeństwa Informacji w Szkole Głównej Gospodarstwa Wiejskiego w Warszawie
Procedura Nr Dokument główny/ proces Adresat Polityki obowiązuje
od
05.04.2022 r.
Polityka Zarządzania Infrastrukturą Teleinformatyczną
Centrum Informatyczne SGGW
Wersja Nr 01 Właściciel:
obowiązuje od
05.04.2022 r. Biuro Bezpieczeńs
twa Informacji
Imię i nazwisko zatwierdzającego
Data
zatwierdzenia Zatwierdzenie
Prof. dr hab. Michał Zasada
Rektor SGGW 05.04.2022 r. Zatwierdzono w systemie EZD
Tytuł: Procedura Tworzenia Kopii Zapasowych
Regulacje przywołane [procedury/instrukcje/formularze/schematy]
Kod Tytuł Krótka nazwa
2
S
PIS TREŚCIREJESTR ZMIAN PROCEDURY ... 3
1. CEL ... 4
2. DEFINICJE ... 4
3. ROLE I ODPOWIEDZIALNOŚCI ... 4
4. ZASADY OGÓLNE ... 4
3
REJESTR ZMIAN PROCEDURY
Wersja Data aktualizacji Opracował Zatwierdził Opis aktualizacji
4
1. Cel
Celem procedury jest:
• zapewnienie, że w przypadku sytuacji awaryjnej oraz w celu spełnienia wymogów regulacyjnych, prawnych i operacyjnych uczelni, informacje lub systemy można było przywrócić w jak najszybszym czasie i z jak największą kompletnością,
• uregulowanie zasad tworzenia kopii zapasowych informacji i oprogramowania w sposób zgodny z harmonogramem (w predefiniowanych regularnych cyklach) lub w sposób ciągły (za każdym razem, gdy dane są modyfikowane i testowane), aby zapewnić ich szybkie i skuteczne przywrócenie.
2. Definicje
Wszelkie używane w niniejszym dokumencie oraz w całej dokumentacji SZBI pojęcia i skróty są zdefiniowane w Załączniku nr 3 do PBI – Definicje.
3. Role i odpowiedzialności
Poszczególne role i odpowiedzialność opisane zostały w Załączniku nr 5 do PBI - Opis ról w ramach Struktury Organizacyjnej SZBI.
4. Zasady ogólne
1. W SGGW kopie zapasowe informacji i oprogramowania należy wykonywać w takich odstępach czasu, aby spełnić wymagania uczelni:
a) pomocnicze - dotyczące archiwizacji ważnych informacji,
b) prawne, regulacyjne i umowne – dotyczące przechowywania dokumentów, c) bezpieczeństwa – chroniąc informacji narażonych na utratę, kradzież lub
uszkodzenie.
2. W SGGW należy ustalić harmonogramy tworzenia kopii zapasowych, które określą częstotliwość wykonywania kopii zapasowych, uwzględniając:
a) krytyczne ramy czasowe przywracania informacji,
b) rodzaj informacji, które mają być uwzględnione w kopii zapasowej i gdzie są one przechowywane,
c) rodzaj kopii zapasowej do wykonania (np. różnicowa, przyrostowa lub pełna) w zależności od wymagań funkcjonalnych uczelni,
d) wymagania prawne, regulacyjne i umowne (np. postępowanie z danymi osobowymi),
e) plany ciągłości działania.
3. W SGGW kopie zapasowe muszą być:
a) wykonywane za pomocą dedykowanego oprogramowania do zarządzania kopiami zapasowymi,
b) zapisane w dzienniku zdarzeń, który zawiera szczegółowe informacje o danych, które są zapisane na kopii, datę i godzinę, datę wygaśnięcia, użyte nośniki i ich fizyczną lokalizację,
c) związane z punktami kontrolnymi w aktywnych procesach (np. za pomocą znaczników czasu),
d) porównywane z kopią rzeczywistą i środowiskiem, z którego kopie są pobierane (np. poprzez sprawdzenie rozmiaru pliku, użycie metod hashowania lub
5
wdrożenie innych metod weryfikacji),
e) jasno i dokładnie oznakowane zgodnie z klasyfikacją informacji jaka obowiązuje na uczelni.
4. W SGGW narzędzia do wykonywania kopii zapasowych muszą umożliwiać korzystanie z systemów operacyjnych, oprogramowania użytkowego i oprogramowania systemowego infrastruktury technicznej (np. sprzęt komputerowy, systemy wirtualne, sprzęt sieciowy i infrastruktura krytyczna) oraz informacje, które należy przywrócić w krytycznych ramach czasowych przy użyciu:
a) serwera online, który zapewnia dostęp do kopii zapasowych informacji niemal natychmiast,
b) magazyn near-line, który umożliwia odtworzenie informacji w ciągu kilku minut,
c) przechowywanie w trybie offline, co często może skutkować dłuższym czasem przywracania.
5. W SGGW kopie zapasowe muszą być chronione przed utratą, uszkodzeniem i nieautoryzowanym dostępem poprzez:
a) przechowywanie nośników kopii zapasowych (np. płyt DVD, taśm magnetycznych, dysków komputerowych) zgodnie ze specyfikacjami producenta,
b) zapewnienie, że dane nie zostaną przypadkowo nadpisane (np. poprzez użycie podwójnej autoryzacji do usunięcia lub zniszczenia),
c) umieszczając je w zamkniętym, ognioodpornym sejfie komputerowym na miejscu, aby umożliwić szybkie przywrócenie ważnych informacji,
d) przechowywanie kopii w bezpiecznych obiektach poza siedzibą uczelni, w której znajduje się zabezpieczane środowisko produkcyjne, aby umożliwić przywracanie systemów teleinformatycznych przy użyciu alternatywnych urządzeń w przypadku katastrofy,
e) ograniczenie dostępu do ograniczonej liczby upoważnionych osób (np. poprzez wykorzystanie oprogramowania kontroli dostępu, fizyczne zamki i klucze).
6. W SGGW kopie zapasowe muszą być szyfrowane, aby chronić wrażliwe informacje, gdy:
a) są przesyłane za pośrednictwem sieci teleinformatycznych do zewnętrznych serwerowni, szczególnie w przypadku współpracy z podmiotami trzecimi do obsługi tworzenia kopii zapasowych,
b) są przechowywane na nośnikach fizycznych, aby zapobiec nieautoryzowanemu dostępowi w przypadku zgubienia lub kradzieży kopii zapasowych podczas transportu do alternatywnej lokalizacji, takiej jak serwerownia poza terenem danej lokalizacji uczelni.
7. W SGGW nośniki kopii zapasowych muszą być testowane, aby zapewnić skuteczne przywracanie kopii zapasowych oprogramowania i informacji, obejmujący:
a) testowanie odtworzenia i sprawdzanie, czy obecne procedury spełniają wymagany czas odtworzenia,
b) wykorzystując co najmniej jedno miejsce docelowe kopii zapasowych,
c) wykonanie odtwarzania w środowisku testowym i sprawdzenie czy odtwarzanie działa zgodnie z oczekiwaniami,
d) uzgadnianie przywróconych wersji do wersji aktywnej podczas wykonywania kopii (np. poprzez sprawdzenie rozmiaru pliku, użycie skrótu lub wdrażanie
6
innych metod weryfikacji).
W SGGW kopie zapasowe należy przechowywać i archiwizować, biorąc pod uwagę wymagania prawne i regulacyjne dotyczące danych z kopii zapasowych.
