Yedeklemenin düzenli yapılmasının gerekliliği
Her geçen gün yenilenen teknoloji alt yapılarının, bir sonucu olarak günden güne artan ve
kontrolsüz bir biçimde büyüyen verilerimizin önemi, eskiye nazaran çok daha yüksek.
Bu kadar önemli verilerin yer aldığı cihazlarımızın ise, kapasitesi günden güne artmaktadır.
Geçmişte birçok işlem dijital ortama taşınamazken elde edilen bilgilerin önemine de farklı
bakış açılarıyla yaklaşırdık. Yeni dönemde ise, çoğumuzun telaffuz etmekte dahi zorlandığı bilgi
işlem terimleriyle birlikte, bilginin önemi, bütünlüğü, kullanılabilirliği ve yedekliliği gibi birçok
konu gündeme geliyor.
Kurumlar için her geçen gün önemi artan ve hayati bir öneme sahip olan verilerin,
yedeklenmemesi büyük risk oluşturmaktadır. Bu nedenle yapılacak her türlü yedekleme
operasyonunun belli süreçlerine bağlı olarak, yedekleme sistemleri kurulmalı ve yedekleme
işlemleri günlük hatta bazı durumlarda anlık olarak takip edilmelidir.
İşletmelerin neredeyse büyük bir kısmı sadece verilerini yedekleyerek kendilerini güvende
hissetmektedir. Ancak durum tam olarak böyle değildir. Geri dönüşü yapılabileceğinden emin
olunmayan, Gizlilik, Bütünlük ve Erişilebilirlik unsurlarının sağlanamadığı bir yedek büyük risk
taşır. Dolayısıyla alınan veri yedeklerinin kuruluşun gereksinimleri doğrultusunda alınıp,
korunması, saklanması ve belirli sıklıkta geri dönüş testlerinin yapılması bu riski minimum
seviyeye indirecektir. Referans aldığımız ISO 27001, ISO 27002 ve ISO 22301 standartları
yedekleme ve yedekten geri dönüş testlerinin nasıl yapılması gerektiği konusunda bize yol
göstermektedir.
ISO 27001 Standardının Ek-A (A.12.3.1) kontrollerine göre Bilgi, yazılım ve sistem imajlarının
yedekleme kopyaları alınmalı ve üzerinde anlaşılmış bir yedekleme politikası
doğrultusunda düzenli olarak test edilmelidir.
Her işletmenin kendi gereksinimlerini belirleyerek bu gereksinimleri karşılayacak şekilde Bilgi,
Yazılım ve Sistemlerin yedeklenmesini sağlamak üzere bir politika oluşturmalıdır. İlgili
yedekleme politikası, bilginin saklama ve koruma gereklerini de tanımlamalıdır. Olası bir
felaket durumu yada sistem hatası sonrası gerekli tüm bilgi ve yazılımın telafi edilebilir
olmasını sağlayacak şekilde yeterli, etkin bir yedekleme sistemi kurulmalı ve yönetilmelidir.
ISO 27002 Standardı çerçevesinde yedekleme planı hazırlanırken aşağıdaki konular dikkate
alınmalıdır:
kontrolsüz bir biçimde büyüyen verilerimizin önemi, eskiye nazaran çok daha yüksek.
Bu kadar önemli verilerin yer aldığı cihazlarımızın ise, kapasitesi günden güne artmaktadır.
Geçmişte birçok işlem dijital ortama taşınamazken elde edilen bilgilerin önemine de farklı
bakış açılarıyla yaklaşırdık. Yeni dönemde ise, çoğumuzun telaffuz etmekte dahi zorlandığı bilgi
işlem terimleriyle birlikte, bilginin önemi, bütünlüğü, kullanılabilirliği ve yedekliliği gibi birçok
konu gündeme geliyor.
Kurumlar için her geçen gün önemi artan ve hayati bir öneme sahip olan verilerin,
yedeklenmemesi büyük risk oluşturmaktadır. Bu nedenle yapılacak her türlü yedekleme
operasyonunun belli süreçlerine bağlı olarak, yedekleme sistemleri kurulmalı ve yedekleme
işlemleri günlük hatta bazı durumlarda anlık olarak takip edilmelidir.
İşletmelerin neredeyse büyük bir kısmı sadece verilerini yedekleyerek kendilerini güvende
hissetmektedir. Ancak durum tam olarak böyle değildir. Geri dönüşü yapılabileceğinden emin
olunmayan, Gizlilik, Bütünlük ve Erişilebilirlik unsurlarının sağlanamadığı bir yedek büyük risk
taşır. Dolayısıyla alınan veri yedeklerinin kuruluşun gereksinimleri doğrultusunda alınıp,
korunması, saklanması ve belirli sıklıkta geri dönüş testlerinin yapılması bu riski minimum
seviyeye indirecektir. Referans aldığımız ISO 27001, ISO 27002 ve ISO 22301 standartları
yedekleme ve yedekten geri dönüş testlerinin nasıl yapılması gerektiği konusunda bize yol
göstermektedir.
ISO 27001 Standardının Ek-A (A.12.3.1) kontrollerine göre Bilgi, yazılım ve sistem imajlarının
yedekleme kopyaları alınmalı ve üzerinde anlaşılmış bir yedekleme politikası
doğrultusunda düzenli olarak test edilmelidir.
Her işletmenin kendi gereksinimlerini belirleyerek bu gereksinimleri karşılayacak şekilde Bilgi,
Yazılım ve Sistemlerin yedeklenmesini sağlamak üzere bir politika oluşturmalıdır. İlgili
yedekleme politikası, bilginin saklama ve koruma gereklerini de tanımlamalıdır. Olası bir
felaket durumu yada sistem hatası sonrası gerekli tüm bilgi ve yazılımın telafi edilebilir
olmasını sağlayacak şekilde yeterli, etkin bir yedekleme sistemi kurulmalı ve yönetilmelidir.
ISO 27002 Standardı çerçevesinde yedekleme planı hazırlanırken aşağıdaki konular dikkate
alınmalıdır:
• Yedekleme kopyaları ve geri dönüş prosedürlerinin dokümantasyonunun tam ve
doğru kaydı üretilmelidir,
• Yedeklerin türü (örneğin; tam veya diferansiyel yedekleme) ve sıklığının kuruluşun iş
gereksinimlerini, ilgili bilgilerin güvenlik gereksinimlerini ve kuruluşun sürekli
çalışması için bilginin kritikliğini yansıtması gerekir,
• Yedekler, merkezde bir felaketten dolayı görülecek hasardan kaçınmak için yeterli bir
mesafede olan uzak bir yerde muhafaza edilmelidir,
• Yedekler uygun fiziksel ve çevresel şartlarda korunmalıdır. Bu fiziksel ve çevresel
şartların gereksinimleri kurumun uyguladığı standartlara göre değişiklik gösterebilir.
(Bkz. ISO 27001 A.11 Md.)
• Yedekleme ortamı, acil durumlarda kullanmak gerektiğinde güvenerek kullanmak için
düzenli aralıklar ile test edilmelidir; bu ortam geri yükleme prosedürlerinin testi ve
geri yükleme zamanı gerekliliğine karşı kontrol ile kombine edilmelidir. Yedeklenen
verilerin geri dönüş testi özel test ortamında yapılmalıdır, canlı
sistemlerde yedekleme ya da geri yükleme sürecinin başarısız olması durumunda
onarılamaz veri kaybına ya da hasarına neden olacağından dolayı geri dönüş testleri
canlı sistemlerde yapılmamalıdır,
• Gizliliğin önemli olduğu durumlarda, yedeklemenin şifreleme yoluyla korunması
gerekir.
• Planlanan yedeklemelerin tamamlanmasını sağlamak için ilgili süreçlerin izlenmesi ve
zamanlanmış yedeklemelerin başarısız olması durumunda ilgili hatalar, yedeklemeyi
engelleyen unsurlar ele alınmalıdır.
• Yedeklerin saklanma süresi iş gereksinimleri, yasal ve regülatif gereksinimler dikkate
alınarak belirlenmelidir.
• Sistem yedeklerinin planlanmasında MTPD, RPO ve RTO değerleri de göz önünde
bulundurulmalıdır.
Yorumlar
Yorum Gönder