Inhaltsverzeichnis

Obnova po katastrofi

Kritično: Ta navodila je treba redno preizkušati!
Ciljna skupina: PKI administratorji, varnostna ekipa

Postopki v sili za izpade CA, kompromitacije in obnovitev.

Pregled

flowchart TB subgraph PREVENT["PREVENCIJA"] P1[Strategija varnostnega kopiranja] P2[Ceremonija ključev] P3[HSM redundanca] end subgraph DETECT["ZAZNAVA"] D1[Zaznana kompromitacija] D2[Odpoved strojne opreme] D3[Izguba podatkov] end subgraph RESPOND["ODZIV"] R1[Preklic v sili] R2[Obnova CA] R3[Komunikacija] end subgraph RECOVER["OBNOVITEV"] C1[Nov CA] C2[Ponovna izdaja certifikatov] C3[Shrambe zaupanja] end P1 & P2 & P3 --> D1 & D2 & D3 D1 --> R1 D2 --> R2 D3 --> R2 R1 & R2 --> C1 --> C2 --> C3 style D1 fill:#ffebee style R1 fill:#fff3e0

Scenariji

Scenarij Opis RTO RPO
CA varnostna kopija/obnova Varnostno kopiranje in obnova CA ključev 4h 24h
Ceremonija ključev Varna generacija ključev s kontrolami N/A N/A
Preklic v sili Množični preklic ob kompromitaciji 1h 0

Eskalacijska matrika

Resnost Primer Prvi odziv Eskalacija
—————–————————
SEV-1 CA ključ kompromitiran Preklic v sili CISO, vodstvo
SEV-2 CA strežnik nedelujoč Obnova iz varnostne kopije Vodja IT-Ops
SEV-3 Intermediate kompromitiran Preklic Sub-CA PKI-Admin
SEV-4 End-Entity kompromitiran Posamezen certifikat PKI operater

Kontakti

Kontakti v sili morajo biti aktualni!

Vloga Ime Dosegljivost
——-—–————–
PKI-Admin (primarni) <Ime> Tel., E-pošta
PKI-Admin (rezervni) <Ime> Tel., E-pošta
Varnostna ekipa security@example.com 24/7
HSM ponudnik podpora <Ponudnik> Podporna linija

Definicije RTO/RPO

Metrika Definicija Cilj
—————————
RTO Recovery Time Objective - Maks. čas do obnovitve 4h
RPO Recovery Point Objective - Maks. sprejemljiva izguba podatkov 24h
MTTR Mean Time To Repair < 2h

Povezana dokumentacija

« ← Scenariji za operaterje | → CA varnostna kopija/obnova »

Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional

, , ,