Dataherstel

BIO Thema Middleware is een nieuwe BIO Thema-uitwerking. Versie 1.0 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd. De ontsluiting in de Information Security Object Respository (ISOR) zal eind 2023 plaatsvinden.

Beveiligingsprincipe
ID:	MDW_U.10
Versie:	1.3
Status:	Actueel
Indeling
Beveiligingsaspect:	Uitvoering
Invalshoek:	Gedrag

Objectdefinitie

Herstel van data na een technische uitval of de vernietiging van opslagsystemen.

Objecttoelichting

Tijdens de normale bedrijfsvoering kunnen (opslag)systemen uitvallen en kan de opgeslagen data verminkt worden door een defect of door andere oorzaken. Een betrouwbare storage-architectuur moet in deze situaties inherente mogelijkheden te bieden voor herstel van de data.

Een traditionele methode is back-up en herstel. Bij grote informatiesystemen is de back-up en herstelprocedure vaak niet meer toepasbaar en wordt de data van uitgevallen elementen hersteld, gebruikmakend van andere methoden zoals mirroring, Redundant Array of Independent Disks (RAID), Journaling-technologie of combinaties daarvan.

Wanneer opslagsystemen uitvallen als gevolg van calamiteiten, waarbij de normale bedrijfsvoering van de leverancier niet meer mogelijk is, zijn zogenaamde Disaster Recovery (DR) methodieken nodig en andere maatregelen, bestuurd vanuit bedrijfscontinuïteitsmanagement. Ook uitwijkscenario’s zijn toegepaste oplossingen voor herstel van data en bedrijfsprocessen nadat een calamiteit is opgetreden.

Bij de uitwijk-oplossing worden systemen en hun dataopslag tijdelijk op een alternatieve fysieke locatie voortgezet totdat de bronsystemen hersteld zijn. Voor bedrijfscontinuïteit hanteren we in de BIO-thema-uitwerkingen de eisen en begrippen zoals die genormeerd zijn in ISO 22301 2019 Security and resilience.

Criterium

Regelmatig behoren back-upkopieën van informatie te worden gemaakt en getest in overeenstemming met een overeengekomen back-upbeleid.

Doelstelling

Het kunnen herstellen van data na storingen, diefstal, systeemuitval of calamiteiten. Het beschermen tegen het verlies van gegevens.

Risico

Wanneer voorzieningen voor dataherstel onvoldoende zijn ingericht of niet betrouwbaar functioneren, bestaat het risico dat gegevens na storingen, systeemuitval of calamiteiten niet (tijdig) kunnen worden hersteld, waardoor de continuïteit van de bedrijfsvoering in gevaar komt.

Indeling binnen ISOR

Dit beveiligingsprincipe:

is gericht op het Beveiligingsaspect Uitvoering;
valt binnen de Invalshoek Gedrag.

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten: Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is BIO (Baseline Informatiebeveiliging Overheid) 2 8.13

Onderliggende normen

ID	Conformiteitsindicator	Stelling
MDW_U.10.01	Back-upkopieën	Back-upinformatie is beschermd tegen ongeautoriseerde toegang, bijvoorbeeld met encryptie.
MDW_U.10.02	Back-upkopieën	Uitsluitend geautoriseerde personen hebben toegang tot back-upmedia.
MDW_U.10.03	Back-upkopieën	Kopieën voor bedrijfs-kritische informatie worden met passende zorg voor betrouwbaarheid, fout-tolerantie en performance gemaakt en beheerd.
MDW_U.10.04	Back-upkopieën	Op basis van een expliciete risicoafweging is bepaald wat het maximaal toegestane dataverlies is en wat de maximale hersteltijd is na een incident.
MDW_U.10.05	Getest	Periodiek (minimaal jaarlijks en na een grote wijziging) wordt getest of herstel van back-updata werkt en of disaster recovery van opslagsystemen functioneert.