BEZPIECZEŃSTWO DANYCH - IT
BACKUP = BEZPIECZEŃSTWO
W CELU ZMINIMALIZOWANIA RYZYKA UTRATY DANYCH W RAZIE AWARII,
DLA ZACHOWANIA CIĄGŁOŚCI DZIAŁANIA ORAZ REALIZACJI ZALECEŃ
Z ANALIZY RYZYKA ADMINISTRATOR SYSTEMÓW INFORMATYCZNYCH
WRAZ Z PRZESZKOLONYMI PRACOWNIKAMI
ZOBLIGOWANY JEST DO WYKONYWANIA CODZIENNEGO BACKUPU DANYCH
WG OPRACOWANEGO SCHEMATU
ZALECENIA DO POLITYKI BACKUPU
Polityka backupu powinna być ujęta w analizie ryzyka, jako jeden z ważniejszych elementów eksploatacji całego systemu Banku. To przecież pełnowartościowy backup ma zapewnić przywrócenie danych w razie braku stabilności podstawowego systemu i zachowanie ciągłości działania Banku w razie utraty stabilności podstawowego systemu bankowego.
Szczególnie zalecamy:
- Wykonywanie codziennie kopii bezpieczeństwa oraz ich zdublowanie
- Kopie bezpieczeństwa powinny być wykonywane na trwałych nośnikach magnetycznych – tu należy zdecydowanie podkreślić, że używane powszechnie klucze USB nie służą do przechowywania backupów, a jedynie mogą służyć do chwilowego magazynowania danych lub ich przenoszenia.
- W miarę możliwości powinna się odbywać cykliczna weryfikacja stwierdzająca poprawność wykonanych kopii – plików. Może się zdarzyć tak, że urządzenie potwierdza wykonanie kopii, ale ta kopia jest uszkodzona i w razie konieczności nie będzie można z niej uruchomić potrzebnych plików
- Zalecamy np. raz na kwartał lub raz na pół roku (im częściej tym lepiej) sprawdzanie poprawności wykonanych kopii przez próbne uruchomienie skopiowanego pliku. Najlepszym modelem byłoby, żeby plik był uruchomiony w środowisku testowym na faktycznym systemie.
- Należy prowadzić elektroniczny lub papierowy rejestr, w którym operator potwierdza wykonanie czynności backupu. Potwierdzenie powinno zawierać: opisanie czynności, wielkość pliku, który powstał po wykonaniu backupu, datę i godzinę wykonania oraz potwierdzenie wykonania czynności własnoręcznym podpisem operatora wykonującego backup. Dodatkowo w Banku powinny być wyznaczone osoby uprawnione do wykonywania backupu.
- Kopie repozytoriów powinny być wykonywane cykliczne i backupowane do znanej nam lokalizacji. Ma to ogromne znaczenie, bo w razie uszkodzenia oprogramowania zarządzającego danym urządzeniem, w każdej chwili możemy wgrać ustawienie z kopii bezpieczeństwa.
W Bankach Spółdzielczych w Polsce dominującymi dostawcami głównych systemów Bankowych są trzy firmy:
- Firma SoftNet z Krakowa
- Firma NOVUM z Łomży
- Asecco Polska z Rzeszowa
Głównym celem backupu w tych systemach jest pełne bezpieczeństwo baz danych i zapewnienie użytkownikowi pewności, że w razie utraty danych – utraty stabilności zapewni przywrócenie pełnej funkcjonalności. Wymienieni dostawcy systemów zapewniają narzędzia do wykonywania backupów.
Jeżeli standardowy backup nie jest dla nas optymalnym rozwiązaniem,
to warto określić:
RTO – Recovery Time Objective
(czas potrzebny na odtworzenie danych po awarii do momentu przywrócenia pełnej funkcjonalności) oraz:
RPO - Recovery Point Objective
(jak dużą ilość danych utraconych możemy sobie pozwolić oczekując na przywrócenie pełnej funkcjonalności systemu. Określa występowanie rozbieżności sprzed awarii i po uruchomieniu systemu po awarii. Często, po uruchomieniu systemu po awarii sporządzana jest lista rozbieżności, która dokładnie określa, które dane zostały utracone).
Jeżeli analiza ryzyka, w której mamy określone wartości RPO i RTO wymaga od nas szybszego działania odnośnie przywrócenia system do pracy, to wtedy musimy zastanowić się nad wdrożeniem narzędzi, które oprócz standardowego backupu będą wykonywały replikacje danych w czasie rzeczywistym lub w czasie, w którym ryzyko utraty danych będzie minimalne. Odzyskanie stabilnej pracy osiągniemy szybciej, jeżeli w systemie w czasie rzeczywistym lub zbliżonym do rzeczywistego wykonywana jest replikacja. Przywrócenie systemu z backupu wymaga dłuższego przestoju systemu bankowego, w czasie którego ten system jest przywracany.
W celu zapewnienia wykonywania pełnowartościowego backupu, Bank powinien opracować system backupu z wyborem optymalnego oprogramowania służącego do ochrony danych, które automatyzuje tworzenie kopii zapasowych. Oprogramowanie powinno być zainstalowane na dedykowanym serwerze lub na dedykowanym środowisku wirtualnym serwera oraz na podłączonej do niego np. bibliotece taśmowej.
Oprogramowanie powinno mieć możliwość zapisywania danych na różnych nośnikach danych takich jak dyski twarde, karty flash, taśmy magnetyczne, nośniki CD, DVD, BlueRay.
Przy wyborze oprogramowania do backupu warto się zastanowić, czy powinno zapewnić nam ono również deduplikację, czyli wyeliminowanie powtarzających się części w zbiorze danych. Dzięki takiemu rozwiązaniu, tylko niepowtarzalne dane zapisywane są na nośniku danych, dzięki czemu zyskujemy oszczędność ilości zajętego miejsca przez backup.
Program do backupu powinien nam umożliwić:
- zarządzanie backupami poprzez bazę danych zawierającą dane o kopiach zapasowych
- zarządzanie oprogramowaniem powinno odbywać się przez jego konsolę
- ustawienia konfiguracji klienta, polityki, harmonogramów monitorowania, raportów i codziennych operacji kopii zapasowych
Na rynku dostępne są różne systemy do backupu. W przypadku Banków Spółdzielczych dostawą optymalnego rozwiązania zwykle zajmuje się dostawca głównego systemu bankowego. Z reguły są to trafne wskazania.
W ramach wykonywania Testów Warunków Skrajnych jednym z testów muszą być wykonywane następujące testy stwierdzające poprawność wykonanych kopii:
- próbne odtworzenie danych z zautomatyzowanego procesu wykonanej kopii bezpieczeństwa. Kontrola ma na celu sprawdzenie czy kopiowane pliki nie są uszkodzone i będzie można w razie potrzeby odzyskać z nich dane.
- próbne uruchomienie środowiska zapasowego w oparciu o wykonane kopie systemu bankowego. Test wykonuje się zwykle w środowisku testowym symulującym realny system. Ma on na celu określenie czy w razie uszkodzenia lub utraty stabilności głównego systemu lub infrastruktury zarządzającej tym środowiskiem, będzie można przepiąć Bank na środowisko zastępcze, z którego dzięki wykonywanym codziennym kopiom, system będzie pracował na realnych danych systemu bankowego.
PODEJMIEMY DLA PAŃSTWA KAŻDE WYZWANIE!
Nota prawna
1. Zaprezentowany materiał jest autorskim opracowaniem i jest objęty prawem autorskim.
2. Niniejszy materiał, ani żaden jego fragment nie może być reprodukowany, przetwarzany i rozpowszechniany w jakikolwiek sposób za pomocą urządzeń elektronicznych, mechanicznych, kopiujących, nagrywających i in. do celów innych niż realizacja przedmiotowej umowy u Klienta.