Estándar de copia de seguridad de datos

Temas:

Standards

Índice

Objetivo
Descripción general
Alcance
Definiciones
Elementos

Actualizaciones
Fecha de entrada en vigor
Aplicación
Exención

2 de septiembre de 2014

Objetivo

Prevenir la pérdida de todos los datos electrónicos operativos e históricos bajo la custodia del Estado, garantizando la capacidad de realizar copias de seguridad y restaurar datos de manera oportuna en caso de desastre.

Volver arriba

Descripción general

El estado de Iowa depende de los datos electrónicos para llevar a cabo sus funciones gubernamentales. En situaciones de emergencia y desastre, los ciudadanos de Iowa exigen al gobierno estatal los más altos estándares en cuanto a disponibilidad, retención y restauración de datos de respaldo a un estado operativo en el menor tiempo posible.

El gobierno estatal es responsable de implementar las mejores prácticas para la copia de seguridad de datos. Las agencias del estado de Iowa son responsables de lo siguiente: determinar la criticidad de los datos, establecer los cronogramas de copia de seguridad, evaluar la capacidad de copia de seguridad, garantizar la seguridad de los medios de almacenamiento, cumplir con los requisitos de almacenamiento externo y planificar la restauración de datos según los planes de contingencia y respuesta ante desastres de cada agencia.

Cada organismo deberá incorporar la copia de seguridad y la restauración de datos en sus planes de negocio y planes de desarrollo.

Volver arriba

Alcance

Todas las agencias participantes del estado de Iowa, así como sus proveedores que alojan o almacenan datos estatales, deberán cumplir con los requisitos de esta norma. Esta norma no se aplica a los proveedores de servicios en la nube.

Esta norma se aplica a todas las agencias participantes, según lo define el Código de Iowa 8A.101, y respalda la Ley SF396, aprobada por la 85.ª Asamblea General de Iowa. Se recomienda a las agencias no participantes que sigan las directrices de esta y otras políticas, normas, directrices, procesos y procedimientos a nivel institucional.

Volver arriba

Definiciones

A continuación se definen algunos términos seleccionados que se utilizan en el Estándar de Copia de Seguridad de Datos:

AES 256 (Estándar de Cifrado Avanzado) especifica un algoritmo criptográfico aprobado por el gobierno de EE. UU. que se puede utilizar para proteger datos electrónicos. El algoritmo AES es un cifrado de bloques simétrico que puede cifrar y descifrar información.
Plan de contingencia : Política y procedimientos de gestión diseñados para mantener o restablecer las operaciones comerciales, incluidas las operaciones informáticas, posiblemente en una ubicación alternativa, en caso de emergencias, fallos del sistema o desastres.
Copia de seguridad de datos : se refiere a la creación de copias de datos que pueden utilizarse para restaurar los datos originales después de una pérdida de datos.

Volver arriba

Elementos

Los siguientes son elementos del estándar de operación de copia de seguridad de datos empresariales:

Cada organismo deberá establecer políticas y procedimientos de respaldo.
Las copias de seguridad de datos se utilizarán para la recuperación ante desastres y la restauración de archivos. Esta norma no cumple con las leyes ni las políticas de gestión y retención de registros.
Cada organismo establecerá y seguirá un procedimiento escrito para la realización de copias de seguridad de datos que abarque las siguientes áreas:
- hardware de respaldo de datos
- configuración del software
- formación de técnicos
- Procedimientos de copia de seguridad de datos del técnico
- Datos identificados para copia de seguridad
- Programas de copia de seguridad de datos
- soporte del proveedor
- medidas de seguridad
- Requisitos de los medios de copia de seguridad de datos
- instalaciones de almacenamiento externo aprobadas
- planes de restauración
- cronogramas de restauración
- Procedimientos de restauración del técnico
- planes de adquisición de emergencia.
Cada organismo deberá establecer parámetros para determinar el estado mínimo aceptable (retención, reescrituras y longevidad óptica) de los medios de almacenamiento antes de guardar los datos de respaldo en el almacenamiento.
Cada organismo deberá probar los procedimientos de copia de seguridad y restauración de datos para las aplicaciones de hardware y software. Los planes de recuperación de datos deberán ponerse a prueba al menos una vez al año. El proceso de restauración deberá considerar los riesgos y no interferir con las operaciones en curso.
Cada organismo deberá cifrar los datos confidenciales de respaldo (según se definen en el Capítulo 22.7 del Código de Iowa) tanto en tránsito como en reposo. Los soportes que contengan datos de respaldo deberán estar cifrados. Se deberá utilizar un mínimo de AES 256.
Cada organismo que realice copias de seguridad de datos para otros organismos establecerá acuerdos entre sí de conformidad con las normas y requisitos de TI aplicables del Estado de Iowa:
- líneas de comunicación
- revisiones de seguridad
- análisis del registro de auditoría
- Informes y respuesta ante incidentes de seguridad
- planes de contingencia
- gestión del cambio
- mantenimiento del plan de seguridad
- desconexión planificada
- desconexión de emergencia
- restauración de la interconexión
- restauración de datos
- Política de sistemas de copia de seguridad de datos
- integridad de los datos
- Comportamiento esperado del/los servicio(s) de copia de seguridad de datos.
Se recomienda encarecidamente la colaboración entre organismos para minimizar el número de sistemas e implementaciones únicos y así reducir los costes para los contribuyentes.
Cada organismo deberá garantizar que los datos de respaldo permanezcan disponibles para cumplir con los requisitos del organismo.
Los organismos deberán determinar la criticidad de los datos y los sistemas.