Atsarginių kopijų ir duomenų atstatymo tvarka

Atsarginių kopijų ir duomenų atstatymo tvarka (angl. data backup and recovery  policy) – organizacijos vidaus dokumentas, nustatantis duomenų atstatymą, esant duomenų praradimui. Šis dokumentas yra susijęs veiklos tęstinumo procedūra – nutikus nenumatytam incidentui, duomenų atkūrimas galimas, jeigu atsarginių kopijų ir duomenų atstatymo tvarka buvo tinkamai įgyvendinta. Šio dokumento reikiamybė kyla iš (Bendrojo duomenų apsaugos reglamento (toliau – BDAR) 32 str., kuriame nustatyta duomenų valdytojo pareiga gebėti laiku atkurti sąlygas ir galimybes naudotis asmens duomenimis fizinio ar techninio incidento atveju.

Atsarginių kopijų ir duomenų atstatymo tvarka siekiama apsaugoti duomenų vientisumą ir užtikrinti, jog duomenys nebus prarasti. Esminis šios tvarkos siekis – nustatyti intervalus, kuomet daromos atsarginės kopijos ir užtikrinti tinkamą kopijų saugą[1]. Ši tvarka skirta tam, kad nutikus nenumatytam incidentui, duomenis būtų galima atkurti ir būtų užtikrinamas veiklos tęstinumas, valdoma veiklos tęstinumo rizika. Atsarginių kopijų ir duomenų atstatymo tvarka yra organizacijos informacinės saugos sistemos dalis.

Atsarginių kopijų ir duomenų atstatymo tvarka apima[2]:

• Nustatomas atsarginių kopijų reguliarus darymas – konkrečiai nurodoma, kokiu dažnumu ir kokios apimties kopijos padaromos. Pavyzdžiui, nurodoma kokios kopijos bus daromos kasdien, kas savaitę ar kas mėnesį;
• Atsarginių kopijų naikinimo terminai – suėjus tam tikram terminui, kopijos yra naikinamos;
• Atsarginių kopijų darymo ir laikymo patalpos stebėjimo tvarka;
• Saugojimo taisyklės – nors tai yra kopijos, tačiau jose yra tie patys duomenys, todėl būtina užtikrinti jų konfidencialumą ir vientisumą;
• Taisyklės, kaip duomenys atstatomi – esant nenumatytam incidentui kopijos panaudojamos duomenų atstatymui (dokumente nurodoma kur, kokia forma ir kokioms sąlygoms esant galima kreiptis dėl duomenų kopijų).

Pagal Valstybinės duomenų apsaugos inspekcijos (toliau – VDAI) išleistas 2018-10-31 gaires dėl „Tinkamų organizacinių ir techninių duomenų saugumo priemonių asmens duomenų valdytojams ir tvarkytojams“ (toliau – gairės) atsarginių kopijų ir duomenų atstatymo tvarkos įgyvendinimą turi užtikrinti techninės duomenų saugos priemonės. Kiekvienas iš aukščiau nurodytų tvarkos turinio elementų yra privalomas pagal minimalius gairėse išdėstytus reikalavimus. Tačiau vidaus dokumentacijoje bendrovės gali nusistatyti ir papildomas taisykles. Pavyzdžiui gairės nurodo, kad rekomenduojama atsargines kopijas daryti atitinkamai kasdien ir kas savaitę. Tačiau praktika rodo, kad esant vidiniam bendrovės poreikiui, gali būti nustatytos ir tikslesnės taisyklės – papildomai daromos kopijos kas mėnesį arba metus[3].

Nors imperatyviai BDAR nėra numatyto reikalavimo turėti parengtą Atsarginių kopijų ir duomenų atstatymo tvarką, tačiau šio dokumento reikiamybė išplaukia iš BDAR reikalavimo įtvirtino 32 1 d. c) punkte, t.y., gebėti laiku atkurti sąlygas ir galimybes naudotis asmens duomenimis fizinio ar techninio incidento atveju bei VDAI išleistų gairių.  Pažeidus nurodytą BDAR reikalavimą bendrovei gali kilti gali atsakomybė pagal BDAR 83 str. 4 d. ir užtraukti administracinę baudą iki 10 000 000 Eur arba iki 2% jos ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė, arba valdžios institucijoms ar įstaigoms pagal LR asmens duomenų teisinės apsaugos įstatymo 33 str. administracinę baudą iki 0,5% valdžios institucijos ar įstaigos einamųjų metų biudžeto ir kitų praėjusiais metais gautų bendrųjų metinių pajamų dydžio, bet ne didesnę kaip 30 000 Eur.

[1] Atsarginių kopijų ir duomenų atstatymo tvarka (pavyzdys 4)

[2] Atsarginių kopijų ir duomenų atstatymo tvarka (pavyzdys 5)

[3] Atsarginių kopijų ir duomenų atstatymo tvarka (pavyzdys 2)