1. Milleks see dokumentide komplekt on?

NIS2 ja KüTS ei nõua lihtsalt varunduse "olemasolu". Nad eeldavad, et varundamine on juhitud, testitud ja tõendatav.

See ei ole üks dokument. See on süsteem:

• poliitika ütleb, mida sa lubad
  
• protseduur ütleb, kuidas sa seda teed
  
• register tõendab, et sa päriselt tegid
  

Just see kolmik eristab: "meil on backup olemas" vs "me suudame andmed taastada ja seda ka tõendada"

Pakett aitab sul:

• määrata varundamise nõuded vastavalt riskitasemele ja CIA-le
  
• defineerida RTO ja RPO nii, et need pole lihtsalt ilusad numbrid
  
• rakendada 3-2-1 varundusmudelit (sh isoleeritud koopiad)
  
• luua taastamise protsess (sh lunavararünnaku stsenaarium)
  
• tagada, et varundus ei ole oletus — vaid testitud reaalsus
  
• tõendada audiitorile, et kontrollid töötavad
  

Ehk: sa liigud "backup olemas" tasemelt "risk on juhitud" tasemele.

2. Kellele sobib?

See komplekt on loodud organisatsioonidele, kes:

• peavad täitma ISO 27001, NIS2 või KüTS nõudeid
  
• tahavad läbida auditi ilma improviseerimiseta
  
• sõltuvad oma andmetest (ehk praktiliselt kõik ettevõtted)
  
• on aru saanud, et varundus ei ole IT detail — vaid äririsk
  

Sobib eriti hästi:

• väikesele ja keskmise suurusega ettevõttele
  
• organisatsioonile, kus puudub eraldi infoturbetiim
  
• CISO-le / IT-juhile, kes peab kiiresti süsteemi üles ehitama
  

3. Mida saad?

Sa ei saa lihtsalt Word faili. Sa saad tööriista, mida saab kohe kasutada.

3.1. Varundamise dokumentide asutusjuhend

Selgitab, kuidas need 3 dokumenti koos töötavad:

• õige täitmise järjekord (alusta poliitikast, mitte registrist)
  
• väldib kõige levinumaid vigu (nt tühi register, testimata backup)
  
• seosed teiste dokumentidega (riskihindamine, varade register, intsidendihaldus)

3.2. Varundamise poliitika vorm

Juhtkonna taseme dokument, mis määrab reeglid ja põhimõtted:

• ulatus ja kontekst
  
• rollid ja vastutus
  
• RPO/RTO nõuded kriitilisuse järgi
  
• 3-2-1 reegel kohustusena, mitte soovitusena
  
• seotud ISO 27001 nõuetega
  

3.3. Varundamise protseduuri vorm

IT-tiimi praktiline töövahend — samm-sammuline tegevus:

• varundamine, taastamine, testimine
  
• varundamise ajakava tabel päriselt kasutusel olevate süsteemidega
  
• tõrkeotsingu loogika veakoodide ja eskalatsioonitingimustega
  
• sisaldab ka lunavararünnaku eriprotseduuri — sest see stsenaarium nõuab teistsugust lähenemist
  

3.4. Varundamise registri vorm

Audititõend, mitte "täitmiseks loodud tabel":

• automaatlogi + käsitsi kokkuvõtted
  
• KPI ülevaate leht (MTTD, taastamise testitulemused)
  
• erandite register infoturbejuhi kinnituse ja tähtajaga
  
• toetab päriselu, mitte fiktiivset compliance'i

4. KKK

Kas pilves on andmed automaatselt varundatud? Mitte tingimata. Pilv kaitseb taristu rikete eest — aga mitte kasutajate vigade, pahavara ega seadistamata varunduse eest. Azure ja AWS pakuvad varunduse teenuseid, aga neid tuleb seadistada. Pilv + varundus = kaks erinevat otsust.

Kas see pakett sobib ka siis, kui meil ei ole veel ISO 27001 sertifikaati? Jah — pakett on loodud just selleks, et aidata sul varunduse süsteem nullist üles ehitada. ISO 27001 sertifitseerimine on järgmine samm, mitte eeldus.

Kas see vastab ka E-ITS nõuetele? E-ITS kohaldub avaliku sektori asutustele. Kui sinu organisatsioon ei ole avaliku sektori asutus, siis E-ITS märkused ei kohaldu.

5. Õiguslik teave

Dokument on näidismaterjal ja praktiline töövahend, mis vajab kohandamist vastavalt organisatsiooni tegevusele, struktuurile ja riskitasemele. Dokument ei kujuta endast õigusnõustamist ega asenda ametlikke juhiseid või järelevalveasutuse nõudeid.

Toote kasutamisel kehtivad Defending Data litsentsitingimused ja kasutus- ja ostutingimused.

6. Taganemisõigus

Digitaalse sisu puhul ei kohaldu 14-päevane taganemisõigus, kui tarbija on andnud nõusoleku sisu koheseks edastamiseks (VÕS § 53 lg 4).

Defending Data dokumendid on loodud juhatuse, mitte bürokraatia jaoks.