İşletmelerin neredeyse büyük bir kısmı sadece verilerini yedekleyerek kendilerini güvende hissetmektedir. Ancak durum tam olarak böyle değildir. Geri dönüşü yapılabileceğinden emin olunmayan, Gizlilik, Bütünlük ve Erişilebilirlik unsurlarının sağlanamadığı bir yedek büyük risk taşır. Dolayısıyla alınan veri yedeklerinin kuruluşun gereksinimleri doğrultusunda alınıp, korunması, saklanması ve belirli sıklıkta geri dönüş testlerinin yapılması bu riski minimum seviyeye indirecektir. Referans aldığımız ISO 27001, ISO 27002 ve ISO 22301 standartları yedekleme ve yedekten geri dönüş testlerinin nasıl yapılması gerektiği konusunda bize yol göstermektedir.
ISO 27001 Standardının Ek-A (A.12.3.1) kontrollerine göre Bilgi, yazılım ve sistem imajlarının yedekleme kopyaları alınmalı ve üzerinde anlaşılmış bir yedekleme politikası doğrultusunda düzenli olarak test edilmelidir.
Her işletmenin kendi gereksinimlerini belirleyerek bu gereksinimleri karşılayacak şekilde Bilgi, Yazılım ve Sistemlerin yedeklenmesini sağlamak üzere bir politika oluşturmalıdır. İlgili yedekleme politikası, bilginin saklama ve koruma gereklerini de tanımlamalıdır. Olası bir felaket durumu yada sistem hatası sonrası gerekli tüm bilgi ve yazılımın telafi edilebilir olmasını sağlayacak şekilde yeterli, etkin bir yedekleme sistemi kurulmalı ve yönetilmelidir.
ISO 27002 Standardı çerçevesinde yedekleme planı hazırlanırken aşağıdaki konular dikkate alınmalıdır:
- Yedekleme kopyaları ve geri dönüş prosedürlerinin dokümantasyonunun tam ve doğru kaydı üretilmelidir,
- Yedeklerin türü (örneğin; tam veya diferansiyel yedekleme) ve sıklığının kuruluşun iş gereksinimlerini, ilgili bilgilerin güvenlik gereksinimlerini ve kuruluşun sürekli çalışması için bilginin kritikliğini yansıtması gerekir,
- Yedekler, merkezde bir felaketten dolayı görülecek hasardan kaçınmak için yeterli bir mesafede olan uzak bir yerde muhafaza edilmelidir,
- Yedekler uygun fiziksel ve çevresel şartlarda korunmalıdır. Bu fiziksel ve çevresel şartların gereksinimleri kurumun uyguladığı standartlara göre değişiklik gösterebilir. (Bkz. ISO 27001 A.11 Md.)
- Yedekleme ortamı, acil durumlarda kullanmak gerektiğinde güvenerek kullanmak için düzenli aralıklar ile test edilmelidir; bu ortam geri yükleme prosedürlerinin testi ve geri yükleme zamanı gerekliliğine karşı kontrol ile kombine edilmelidir. Yedeklenen verilerin geri dönüş testi özel test ortamında yapılmalıdır, canlı sistemlerde yedekleme ya da geri yükleme sürecinin başarısız olması durumunda onarılamaz veri kaybına ya da hasarına neden olacağından dolayı geri dönüş testleri canlı sistemlerde yapılmamalıdır,
- Gizliliğin önemli olduğu durumlarda, yedeklemenin şifreleme yoluyla korunması gerekir.
- Planlanan yedeklemelerin tamamlanmasını sağlamak için ilgili süreçlerin izlenmesi ve zamanlanmış yedeklemelerin başarısız olması durumunda ilgili hatalar, yedeklemeyi engelleyen unsurlar ele alınmalıdır.
- Yedeklerin saklanma süresi iş gereksinimleri, yasal ve regülatif gereksinimler dikkate alınarak belirlenmelidir.
- Sistem yedeklerinin planlanmasında MTPD, RPO ve RTO değerleri de göz önünde bulundurulmalıdır.