Inhaltsverzeichnis
Disaster Recovery
Kritično: Ovi runbooks trebaju se redovito testirati!
Ciljana skupina: PKI administratori, Sigurnosni tim
Hitni postupci za ispade CA-a, kompromitacije i oporavak.
Pregled
flowchart TB
subgraph PREVENT["PREVENCIJA"]
P1[Strategija sigurnosnog kopiranja]
P2[Key Ceremony]
P3[HSM redundancija]
end
subgraph DETECT["DETEKCIJA"]
D1[Kompromitacija otkrivena]
D2[Ispad hardvera]
D3[Gubitak podataka]
end
subgraph RESPOND["REAKCIJA"]
R1[Hitni opoziv]
R2[Oporavak CA]
R3[Komunikacija]
end
subgraph RECOVER["OPORAVAK"]
C1[Novi CA]
C2[Ponovno izdavanje certifikata]
C3[Trust Stores]
end
P1 & P2 & P3 --> D1 & D2 & D3
D1 --> R1
D2 --> R2
D3 --> R2
R1 & R2 --> C1 --> C2 --> C3
style D1 fill:#ffebee
style R1 fill:#fff3e0
Scenariji
| Scenarij | Opis | RTO | RPO |
|---|---|---|---|
| CA Backup/Restore | Sigurnosna kopija i vraćanje CA ključeva | 4h | 24h |
| Key Ceremony | Sigurno generiranje ključeva s kontrolama | N/A | N/A |
| Hitni opoziv | Masovni opoziv pri kompromitaciji | 1h | 0 |
Matrica eskalacije
| Ozbiljnost | Primjer | Prva reakcija | Eskalacija |
| ———— | ——— | ————— | ———— |
| SEV-1 | CA ključ kompromitiran | Hitni opoziv | CISO, Uprava |
| SEV-2 | Ispad CA servera | Vraćanje iz sigurnosne kopije | IT-Ops voditelj |
| SEV-3 | Intermediate kompromitiran | Opoziv Sub-CA | PKI-Admin |
| SEV-4 | End-Entity kompromitiran | Pojedinačni certifikat | PKI-Operator |
Kontakti
Držati hitne kontakte ažurnima!
| Uloga | Ime | Dostupnost |
| ——- | —– | ———— |
| PKI-Admin (Primarni) | <Ime> | Tel., E-mail |
| PKI-Admin (Zamjenski) | <Ime> | Tel., E-mail |
| Sigurnosni tim | security@example.com | 24/7 |
| HSM dobavljač podrška | <Dobavljač> | Hotline za podršku |
Definicije RTO/RPO
| Metrika | Definicija | Cilj |
| ——— | ———— | —— |
| RTO | Recovery Time Objective - Maks. vrijeme do oporavka | 4h |
| RPO | Recovery Point Objective - Maks. prihvatljivi gubitak podataka | 24h |
| MTTR | Mean Time To Repair | < 2h |
Povezana dokumentacija
- Rollback strategija - Rollback migracije
- Opoziv certifikata - Pojedinačni opoziv
- Rad - Svakodnevno održavanje
« <- Operatorski scenariji | -> CA Backup/Restore »
Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional
Zuletzt geändert: 30.01.2026. u 01:38
