8.1. Yedekleme Politikası
8.1.1. Kurum Yedekleme Politikası
i. Verilerin yedeklenmesi iş sürekliliğinin en temel prensipleri arasında yer alır. Donanım arızaları, yazılım hataları, kullanıcıdan kaynaklanan sorunlar ya da doğal tehditler gibi nedenlerle veri kayıpları yaşanabilir. Başarılı bir yedekleme işlemi ve yedeklenen verinin ihtiyaç anında veri kaybı olmadan kurtarılabilmesi veri yedekleme sistemlerinin en temel iki bileşenidir.
ii. Yedeklerin kurumun gereksinimleri dikkate alınarak hazırlanmış olması, yönetimin konuya bakış açısını yansıtan bir yedekleme politikası doğrultusunda alınıp güvenliğinin sağlanması, saklanması ve belirli sıklıkta geri dönüş testlerinin yapılması veri kaybı riskini minimum seviyeye indirecektir. Yedekleme sisteminin kurulumu; yedeklenecek veri miktarı, yedekleme sıklığı, yedeklenen verinin zaman içerisinde değişme oranı, kabul edilebilir maksimum veri kaybı gibi parametrelere bağlıdır.
iii. Her kurumun kendine özgü yasal veya sözleşmeden doğan gereksinimleri ile verinin saklanma ve korunma gerekliliklerini karşılayacak şekilde bir politika oluşturması gerekir.
iv. Yedekleme politikası; olası bir felaket durumu ya da sistem hatası sonrası gerekli tüm verilerin geri getirilebilmesini sağlayacak şekilde yedekleme kuralları tanımlanmış, etkin, yönetilebilir ve izlenebilir bir yedekleme sistemi kurulması ve işletilmesine imkân verecek şekilde hazırlanmalıdır.
v. Yedekleme politikasının yerine getirilmesi için bir yedekleme planı ortaya koyulmalıdır.
Yedekleme planı; Yedekleme sıklığı, hangi saklama ortamında ne kadar süre tutulacağı, hangi yedekleme türü ile yedekleneceği, kabul edilebilir geri dönüş süresi ve kabul edilebilir veri kaybı süresi bilgilerini içermelidir.
8.2. Yedekleme Planlarının Oluşturulması
8.2.1. Kurumun sistem gereklilikleri göz önüne alınarak; Sunucular, Sanal Sunucular, Veri Tabanları, Etki Alanı Denetleyicisi, Güvenlik ve Ağ Cihazları gibi veri içeren platformların yedeklenmesi planlanmalıdır.
8.2.2. Yedeklenecek veriler bilgi işleme süreci içerisinde değişiklik gösterebileceğinden yedekleme listesi oluşturularak en az yılda 2 (iki) kez gözden geçirilmeli ve güncellenmelidir.
8.2.3. Başarılı bir yedekleme sistemi için kategorize edilmiş ve önceliklendirilmiş verilerin yedekleme planları oluşturulur.
8.2.4. Yedekleme planları asgari olarak; yedeklenecek bileşenin adı (host name), ulaşım yolu (ip adresi), yedekleme tipi ve sıklığı, yedek geri dönüş testi raporları gibi bilgileri içerir.
8.2.5. Yedekleme planına göre yedeklerin düzenli aralıklarla alınması ve sürekli olarak gözden geçirilmesi gerekir.
8.3. Yedekleme Çalışmaları
8.3.1. Kritik veriler yedeklenirken iki farklı şekilde yedeklenmek üzere bir yedekleme sistemi oluşturulmalıdır. Bunlardan ilki; canlı çalışma ortamında eş zamanlı olarak kümelenmiş disk sisteminin farklı disk bölümlerine; ikincisi ise, çevrimdışı olarak varsa yedekleme sunucusu yoksa şifrelenmiş olarak harici depolama ortamlarında yedeklenmesidir.
8.3.2. Kritik olmayan veriler yedeklenirken, verilerin bir kopyası mevcut sunucular üzerinde, diğer bir kopyası çevrimdışı olarak yedekleme sunucusu veya harici depolama ortamlarında tutulur.
8.3.3. Yedekleme politikası ve planları doğrultusunda yapılan yedekleme işlemleri düzenli olarak kontrol edilmelidir.
8.3.4. Özel nitelikli kişisel veri kategorisinde bulunan sağlık kayıtlarının yer aldığı yedekleme ortamları şifrelenir.
8.3.5. Yedekleme medyalarının acil durumlarda kullanılması gerekebileceğinden güvenilir ürünlerden seçilmeli ve düzenli periyotlarda test edilmelidir.
8.3.6. Yedekleme medyalarının bulundurulduğu ortamların fiziksel uygunluğu ve güvenliği sağlanmalı ve herhangi bir felaket anında etkilenmeyecek şekilde bilgi işlem odalarından farklı odalarda veya binalarda saklanmalıdır.
8.4. Geri Dönüş Testleri
8.4.1. Yedeklenen verilerin orijinal verileri yansıtması ve başarılı bir şekilde yedeklenip yedeklenmediğinden emin olunması için yılda en az 2 (iki) kez geri dönüş testlerinin yapılması gerekir. Yedekten geri yükleme testlerinin, başarısız olması nedeniyle veri kaybı olabileceği durumu göz önüne alınarak, canlı ortamda değil gerçek ortamın aynısı olan test ortamında yapılması gerekmektedir.
8.5. Yedekleme Süreci Görev ve Sorumlulukları
8.5.1. Yedekleme politikasının işletilmesi ve zaman içerisinde günün ihtiyaçlarına göre güncellenmesi veri kaybı durumunda kurumun göreceği zararı en aza indirecektir.
8.5.2. Yedekleme sistemlerinin yönetimi, yedekleme politikasının ve yedekleme planının hazırlanması, uygulanması ve güncellenmesinden sorumlu personelin görevlendirilmesi gerekmektedir.
8.5.3. Yedekleme işleminin gerekli eğitimi almış personel tarafından yapılması sağlanmalıdır.
8.6. Yedekleme Prosedürü
Bilgi teknolojileri sistemlerine ilişkin gelişmiş iş sürekliliği ve bilgi güvenliği önlemleri kullanılmasına rağmen, prosedürlerin ve işletilen sistem çözümlerinin başarısız olabileceği, bunun sonucunda da bilgi, veri ve sistemlere erişimin kısıtlanabileceği bilinciyle, bilgi ve verilerin mümkün olan en etkin yöntemlerle yedeklenmesi ve güvenli bir şekilde geri dönülebilmesi için aşağıdaki uygulama kuralları belirlenmiştir.
8.6.1. Veri Yedekleme
8.6.1. Müdürlüğümüzde bilgi varlıklarına ilişkin yedekleme işlemleri, lisansı satın alınan Veeam Backup ve Acronis Backup yedekleme yazılımları ile merkezi olarak gerçekleştirilmektedir.
8.6.2. Yedekleme işlemi Sağlık Bilgi Sistemleri Birimi’nde görevli yedekleme eğitimi almış sorumlu personeller tarafından yapılır.
8.6.3. Yedekleri alınacak sistem, sunucu, dosya ve veriler belirlenir.
8.6.4. Yedeği alınacak sistemleri gösteren bir yedekleme planı oluşturulur.
8.6.5. Oluşturulan yedekleme planında yedeği alınacak sistemler, yedekleme türü, yedekleme uygulaması, yedekleme periyodu ve yetkili personel bilgileri yer alır.
8.6.6. Yedekleme üniteleri üzerinde gereksiz yer işgal edilmemesi için kritiklik düzeyi düşük olan ve sürekli büyüyen log dosyaları yedekleme planına dahil edilmemelidir.
8.6.7. Yedeklenecek bilgiler değişiklik gösterebileceğinden yedekleme planı düzenli olarak gözden geçirilmeli ve güncellenmelidir.
8.6.8. Yeni sistem ve uygulamalar devreye alındığında yedekleme planı güncellenmelidir.
8.6.9. Yedekleme işlemi için yeterli kapasitede yedekleme alanı temin edilmelidir.
Yedekleme kapasitesi artış gereksinimi periyodik olarak gözden geçirilmelidir.
8.6.10. Geri yükleme prosedürlerinin düzenli olarak kontrol edilmesi ve test edilerek etkinliklerinin doğrulanması ve operasyonel prosedürlerin öngördüğü süreler dâhilinde tamamlanabileceğinden emin olunması gerekmektedir. Kritik sistemlerin yedekleri öncelikli olmak üzere 3 aylık periyotlarda yedekten geri dönüş ve veri doğrulama testleri yapılır. Test sonuçları tutanak altına alınır.
8.6.11. Yedekleme işlemini yapan ajan sunucular mümkün olduğunca yedeği alınacak kaynak ile aynı alt ağda tesis edilir. Güvenlik duvarı üzerinde oluşacak yükün asgariye indirilmesi hedeflenir.
8.6.12. Geri yükleme işlemi sırasında karşılaşılabilecek yedekleme medyası bozulması, yedeğin eksik alınmış olması gibi problemlerden dolayı geri yükleme işleminin başarısız
20
sonuçlanması ihtimal dahilindedir. Bu sebeple alınan yedeğin farklı bir ortama geri dönüşü sağlanır, kesinlikle orijinal verinin (sanal sunucu, veri tabanı, dosyalar vb.) üzerine yazma işlemi yapılmaz.
8.7. Yöntem
8.7.1. Dosya Yedekleme (File Backup)
8.7.1.1. Dosya ve klasör yedeklemeleri yedekleme planına uygun olarak mesai saatleri dışında yapılır. Acronis Backup yedekleme yazılımı ajan sunucular kullanarak yedekleme işlemini icra eder. Ajan sunucular yedeği alınacak kaynak ile iletişime geçerek veriyi okur, daha sonra depolama alanına yazarlar.
8.7.1.2. Yedeklenen dosya ve klasörlerden örnekleme seçilerek 3 ayda bir geri dönüş testi yapılır. Geri dönüş testleri aktif kullanılan dosya ve klasörlere zarar vermemek amacıyla farklı bir ortamda gerçekleştirilir.
8.7.1.3. Oluşturulan takvime göre Acronis Backup yedekleme yazılımı ile periyodik olarak yapılan yedekleme işlemlerine ait sonuç raporu sistem yöneticilerine e-posta ile gönderilir.
8.7.1.4. Yedekleme sonuç raporunda listelenen başarısız yedekleme işlemleri kontrol edilerek yedekleme işleminin tekrar yapılması sağlanır.
8.7.2. Sanal Sunucu Yedekleme (Virtual Server Backup)
8.7.2.1. Vmware sanallaştırma sistemleri üzerinde kurulu olan sanal sunucuların yedeklemesi Veeam Backup yedekleme yazılımı ile mesai saatleri dışında yedekleme planına uygun olarak yapılır.
8.7.2.2. Sanal sunucu yedeklerinin depolama alanı üzerinde fazla yer kaplaması ve uzun süre tutulmasına gerek olmaması nedeniyle farkı dönemlerde alınan 3 yedek saklanır.
8.7.2.3. Yedeklenen sanal sunuculardan örnekleme seçilerek 3 ayda bir geri dönüş testi yapılır. Geri dönüş testleri aktif sunucuya zarar vermemesi amacıyla farklı bir ortamda gerçekleştirilir.
8.7.2.4. Oluşturulan takvime göre Veeam Backup yedekleme yazılımı ile periyodik olarak yapılan yedekleme işlemlerine ait sonuç raporu sistem yöneticilerine e-posta ile gönderilir.
8.7.2.5. Yedekleme sonuç raporunda listelenen başarısız yedekleme işlemleri kontrol edilerek yedekleme işleminin tekrar yapılması sağlanır.
8.7.3. Veri tabanı Yedekleme (Database Backup)
8.7.3.1. Microsoft SQL Server veri tabanı uygulaması üzerinden yapılan yedekleme işlemi mesai saatleri dışında yedekleme planına uygun olarak yapılır.
8.7.3.2. Veri tabanı yedekleme dosyaları veri tabanının çalıştığı sunucu haricindeki bir depolama alanında saklanır. Oluşturulan yedekleme dosyaları yedekleme tarih ve saatine göre isimlendirilir.
8.7.3.3. Hızlı geri dönüş yapabilmek amacıyla en son alınan yedekleme dosyasının bir kopyası veri tabanı sunucusunda saklanır.
8.7.3.4. Sistem yöneticileri tarafından veri tabanlarının yedeklenip yedeklenmediği günlük olarak kontrol edilir. Başarısız yedekleme işlemlerinin tekrar yapılması sağlanır.
8.7.3.5. Yedeklenen veri tabanı yedekleme dosyalarından örnekleme seçilerek 3 ayda bir geri dönüş testi yapılır. Geri dönüş testleri aktif kullanılan veri tabanına zarar vermemek amacıyla farklı bir ortamda gerçekleştirilir.
8.7.4. Yapılandırma Yedekleme (Config Backup)
8.7.4.1. İzmir İl Sağlık Müdürlüğü ve bağlı birimlerinde kullanılan ağ cihazları, kamera sistemleri, güvenlik duvarları, loglama sistemleri, ortam izleme sistemleri vb. bilişim cihazlarının yapılandırma yedekleme işlemleri yedekleme planına uygun olarak yapılır.
8.7.4.2. Yedeklenen yapılandırma dosyaları harici depolama alanında saklanır.
8.7.5. Yedekleme Planı
8.7.5.1. Bu prosedürde belirtilen maddelere uygun olarak her yılın başında yedekleme planı oluşturulup ilgili amirin onayına sunulur.
8.7.5.2. Prosedürün içeriğinde bir değişiklik olması durumunda ayrıca ilgili amir tarafından onaylanmış yürürlükte bulunan yedekleme planında belirtilen başlıkların herhangi
birinde değişiklik olması durumunda yeni bir yedekleme planı oluşturulup ilgili amirin onayına sunulur.
8.7.5.3. Yedekleme planına göre gerekli iş ve işlemleri yürütmek, kontrolleri sağlamak yedekleme planında isimleri belirtilen personellerin sorumluluğundadır.
8.7.6. Kontrol Çizelgesi
8.7.6.1. Yedekleme planına uygun olarak aylık kontrol çizelgesi hazırlanır.
8.7.6.2. İlgili personel tarafından yapılan kontroller çizelgede belirtilir ve imza altına alınır.