BEZPIECZEŃSTWO DANYCH - IT

BEZPIECZEŃSTWO DANYCH - IT

BACKUP - ZWIĘKSZ BEZPIECZEŃSTWO SWOICH DANYCH

BACKUP = BEZPIECZEŃSTWO

Polityka backupu oraz archiwizacji to kluczowe elementy bezpieczeństwa informatycznego. Posiadanie dokładnie określonego scenariusza na wypadek awarii na ogół doceniamy dopiero w momencie kiedy awaria już wystąpiła. Udostępniamy Państwu wiedzę, jak powinna wyglądać polityka backupu w Banku i na co należy zwrócić szczególną uwagę podczas jej opracowywania.

 W CELU ZMINIMALIZOWANIA RYZYKA UTRATY DANYCH W RAZIE AWARII,
DLA ZACHOWANIA CIĄGŁOŚCI DZIAŁANIA ORAZ REALIZACJI ZALECEŃ
Z ANALIZY RYZYKA ADMINISTRATOR SYSTEMÓW INFORMATYCZNYCH
WRAZ Z PRZESZKOLONYMI PRACOWNIKAMI
ZOBLIGOWANY JEST DO WYKONYWANIA CODZIENNEGO BACKUPU DANYCH
WG OPRACOWANEGO SCHEMATU

ZALECENIA DO POLITYKI BACKUPU

Polityka backupu powinna być ujęta w analizie ryzyka, jako jeden z ważniejszych elementów eksploatacji całego systemu Banku. To przecież pełnowartościowy backup ma zapewnić przywrócenie danych w razie braku stabilności podstawowego systemu i zachowanie ciągłości działania Banku w razie utraty stabilności podstawowego systemu bankowego.

Szczególnie zalecamy:

  • Wykonywanie codziennie kopii bezpieczeństwa oraz ich zdublowanie
  • Kopie bezpieczeństwa powinny być wykonywane na trwałych nośnikach magnetycznych – tu należy zdecydowanie podkreślić, że używane powszechnie klucze USB nie służą do przechowywania backupów, a jedynie mogą służyć do chwilowego magazynowania danych lub ich przenoszenia.
  • W miarę możliwości powinna się odbywać cykliczna weryfikacja stwierdzająca poprawność wykonanych kopii – plików. Może się zdarzyć tak, że urządzenie potwierdza wykonanie kopii, ale ta kopia jest uszkodzona i w razie konieczności nie będzie można z niej uruchomić potrzebnych plików
  • Zalecamy np. raz na kwartał lub raz na pół roku (im częściej tym lepiej) sprawdzanie poprawności wykonanych kopii przez próbne uruchomienie skopiowanego pliku. Najlepszym modelem byłoby, żeby plik był uruchomiony w środowisku testowym na faktycznym systemie.
  • Należy prowadzić elektroniczny lub papierowy rejestr, w którym operator potwierdza wykonanie czynności backupu. Potwierdzenie powinno zawierać: opisanie czynności, wielkość pliku, który powstał po wykonaniu backupu, datę i godzinę wykonania oraz potwierdzenie wykonania czynności własnoręcznym podpisem operatora wykonującego backup. Dodatkowo w Banku powinny być wyznaczone osoby uprawnione do wykonywania backupu.
  • Kopie repozytoriów powinny być wykonywane cykliczne i backupowane do znanej nam lokalizacji. Ma to ogromne znaczenie, bo w razie uszkodzenia oprogramowania zarządzającego danym urządzeniem, w każdej chwili możemy wgrać ustawienie z kopii bezpieczeństwa.

W Bankach Spółdzielczych w Polsce dominującymi dostawcami głównych systemów Bankowych są trzy firmy:

  • Firma SoftNet z Krakowa
  • Firma NOVUM z Łomży
  • Asecco Polska z Rzeszowa

Głównym celem backupu w tych systemach jest pełne bezpieczeństwo baz danych i zapewnienie użytkownikowi pewności, że w razie utraty danych – utraty stabilności zapewni przywrócenie pełnej funkcjonalności. Wymienieni dostawcy systemów zapewniają narzędzia do wykonywania backupów.

 

Jeżeli standardowy backup nie jest dla nas optymalnym rozwiązaniem,
to warto określić:

RTO – Recovery Time Objective

(czas potrzebny na odtworzenie danych po awarii do momentu przywrócenia pełnej funkcjonalności) oraz:

RPO - Recovery Point Objective

 (jak dużą ilość danych utraconych możemy sobie pozwolić oczekując na przywrócenie pełnej funkcjonalności systemu.  Określa występowanie rozbieżności sprzed awarii i po uruchomieniu systemu po awarii. Często, po uruchomieniu systemu po awarii sporządzana jest lista rozbieżności, która dokładnie określa, które dane zostały utracone).

Jeżeli analiza ryzyka, w której mamy określone wartości RPO i RTO wymaga od nas szybszego działania odnośnie przywrócenia system do pracy, to wtedy musimy zastanowić się nad wdrożeniem narzędzi, które oprócz standardowego backupu będą wykonywały replikacje danych w czasie rzeczywistym lub w czasie, w którym ryzyko utraty danych będzie minimalne. Odzyskanie stabilnej pracy osiągniemy szybciej, jeżeli w systemie w czasie rzeczywistym lub zbliżonym do rzeczywistego wykonywana jest replikacja. Przywrócenie systemu z backupu wymaga dłuższego przestoju systemu bankowego, w czasie którego ten system jest przywracany.

backup

W celu zapewnienia wykonywania pełnowartościowego backupu, Bank powinien opracować system backupu z wyborem optymalnego oprogramowania służącego do ochrony danych, które automatyzuje tworzenie kopii zapasowych. Oprogramowanie powinno być  zainstalowane na dedykowanym serwerze lub na dedykowanym środowisku wirtualnym serwera oraz na podłączonej do niego np. bibliotece taśmowej.

Oprogramowanie powinno mieć możliwość  zapisywania danych na różnych nośnikach danych takich jak dyski twarde, karty flash, taśmy magnetyczne, nośniki CD, DVD, BlueRay.

Przy wyborze oprogramowania do backupu warto się zastanowić, czy powinno zapewnić nam ono również deduplikację, czyli wyeliminowanie powtarzających się części w zbiorze danych. Dzięki takiemu rozwiązaniu, tylko niepowtarzalne dane zapisywane są na nośniku danych, dzięki czemu zyskujemy oszczędność ilości zajętego miejsca przez backup.

Program do backupu powinien nam umożliwić:

  • zarządzanie backupami poprzez bazę danych zawierającą dane o kopiach zapasowych
  • zarządzanie oprogramowaniem powinno odbywać się przez jego konsolę
  • ustawienia konfiguracji klienta, polityki, harmonogramów monitorowania, raportów i codziennych operacji kopii zapasowych

Na rynku dostępne są różne systemy do backupu. W przypadku Banków Spółdzielczych dostawą optymalnego rozwiązania zwykle zajmuje się dostawca głównego systemu bankowego. Z reguły są to trafne wskazania.

W ramach wykonywania Testów Warunków Skrajnych jednym z testów muszą być wykonywane następujące testy stwierdzające poprawność wykonanych kopii:

  • próbne odtworzenie danych z zautomatyzowanego procesu wykonanej kopii bezpieczeństwa. Kontrola ma na celu sprawdzenie czy kopiowane pliki nie są uszkodzone i będzie można w razie potrzeby odzyskać z nich dane.
  • próbne uruchomienie środowiska zapasowego w oparciu o wykonane kopie systemu bankowego. Test wykonuje się zwykle w środowisku testowym symulującym realny system. Ma on na celu określenie czy w razie uszkodzenia lub utraty stabilności głównego systemu lub infrastruktury zarządzającej tym środowiskiem, będzie można przepiąć Bank na środowisko zastępcze, z którego dzięki wykonywanym codziennym kopiom, system będzie pracował na realnych danych systemu bankowego.

 

Servus Comp Data Security , Świętokrzyska 12/403, 30-015 Kraków
tel.  +48 12 631 91 22biuro@servus-comp.pl
PODEJMIEMY DLA PAŃSTWA KAŻDE WYZWANIE!

 

POBIERZ PDFPOBIERZ OPRACOWANIE W PLIKU PDF

Nota prawna

1. Zaprezentowany materiał jest autorskim opracowaniem i jest objęty prawem autorskim.

2. Niniejszy materiał, ani żaden jego fragment nie może być reprodukowany, przetwarzany i rozpowszechniany w jakikolwiek sposób za pomocą urządzeń elektronicznych, mechanicznych, kopiujących, nagrywających i in. do celów innych niż realizacja przedmiotowej umowy u Klienta.