5.7.1. Процедури обробки інцидентів і компрометації

Центри Сертифікації должны иметь План реагирования на инциденты и План аварийного восстановления.

CA SHALL (РАЗРЕШАЕТСЯ, НУЖНО, должно быть) документувати процедури безперервності бізнесу та аварійного відновлення, призначені для повідомлення та обґрунтованого захисту постачальників програмного забезпечення, передплатників та перевіряючих сторін у разі стихійного лиха, компромісу безпеки або невдачі бізнесу. КА не зобов'язаний публічно розкривати плани своєї безперервності бізнесу, але SHALL (РАЗРЕШАЕТСЯ, НУЖНО, должно быть) робити свій план по забезпеченню безперервності бізнесу та планів безпеки для аудиторів ЦА на вимогу. CA щорічно SHALL (РАЗРЕШАЕТСЯ, НУЖНО, должно быть) переглядата та оновлювати ці процедури.

План безперервності бізнесу MUST (НЕОБХОДИМО, обязательно должно быть) включати:
1. Условия активации плана,
2. Аварийные процедуры,
3. Редукционные процедуры,
4. Процедуры возобновления,
5. График технического обслуживания плана;
6. Требования к осведомленности и образованию;
7. Обязанности отдельных лиц;
8. Цель времени восстановления (RTO);
9. Регулярное тестирование планов на случай непредвиденных обстоятельств.
10. Планы ЦС поддерживать или восстанавливать бизнес-операции ЦС своевременно после прерывания или отказа от критических бизнес-процессов
11. Требование хранить критические криптографические материалы (то есть защищенное криптографическое устройство и материалы активации) в другом месте;
12. Что представляет собой приемлемое время отключения системы и времени восстановления
13. Как часто копируются резервные копии важной деловой информации и программного обеспечения;
14. Расстояние до объекта восстановления до основного сайта ЦА; а также
15. Процедуры обеспечения безопасности своего объекта в максимально возможной степени в течение периода времени после стихийного бедствия и до восстановления безопасной среды либо на исходном, либо на удаленном объекте.