Pl anu zachov an kontinuity podnik an,

Planu zachovan kontinuity podnikan ,

Business Continuity Plan, BCP, dodatek predna sky k ISMS PV 017 Bezpecnost IT

Jan Staudek http://www. .muni.cz/usr/staudek/vyuka/ }

w A| y < 5 4 23 1 0 / -. , )+ ( %&' $ # !"

Æ

Verze : podzim 2016

Uvodem

2

Kontinuita podnikan , Business Continuity

2

Strategie uveden procesu a procedur podnikan behem a po havarii (utoku) v mste, ktere organizace potrebuje k provozu Cl planu zachovan kontinuity podnikan Plan jak zabranit prerusen kritickych sluzeb podnikan a jak obnovit upln y provoz tak rychle a hladce, jak je to mozne.

Jan Staudek, FI MU Brno

|

PV017 { Plan zachovan kontinuity podnikatelskych procesu

1

Uvodem

2

Postup X Prvn krok

Rozhodnut, ktere z funkc organizaci jsou naprosto nezbytne, kriticke. Vyclenen rozpoctu pro obnovu techto funkc odpovdajcm zpusobem. Nemus byt prakticke udrzet v provozu vsechny funkce organizace, pouze ty, ktere jsou nutne pro funkcnost po dobu havarijn situace. X Druhy krok urcit a zavest zotavovac postupu, ktere zajist, z e provoz mu ze v prpade havarie pokracovat s minimaln m prerusenm c innosti. V idealn m prpade organizace udrzuje aktualn kopie dat v geogra cky oddelenych mstech, tak aby se udrzel bez prerusen prstup k datum, pokud je jejich primarn lokalita nedostupna.


|


2

Uvodem

2

Dule zitou roli hraje Plan zachovan kontinuity podnikan , BCP, Bussines Continuity Plan, ktery mus obsahovat X Contingency Plan, Emergency Plan, Incident Control {

Plan c innosti (IT) po utoku (bezpecnostnm incidentu) Dokumentuje { planovan e strategie v organizaci pro postupy po havarii, { jak obnovit funkc v alternativnm umsten, { ktere zakladn sluzby v mste krize budou obnovovany, { akce by mely byt provedena, pokud provoz nemu ze pokracovat ani v alternativn umsten (dat) X Disaster Recovery Plan { Plan obnovy (Havarijn plan)


|


3

Terminologicke poznamky

2

Co je incident, utok, . . . { uplatnen hrozby,

X hrozba { potencial utok u mer itelny vyznamem rizika X riziko { pravdepodobnost uplatnen hrozby dana urovn uto cnka,

vyuzitelnost zranitelneho msta, urovn zpusoben e s kody

2

Co je havarie

X incident / udalost ohrozujc osoby, budovy,

organizacn strukturu organizace a X pozaduje uplatnit specialn opatren pro navrat vec do normaln ho stavu 2

Prklady havarie X X X X X X

pozar, zaplava, boure terorismus { bomba vandalismus vypadek energie, klimatizace ztrata kriticke sluzby (telefony, doprava, . . . ) zjisten hrozby z ivotnmu prostred (azbest ve stare budove), . . . Jan Staudek, FI MU Brno

|


4

Planov an zachovan kontinuity podnikan , BCP

Douglas Adams, Stopa ruv pruvodce po Galaxii { Zasadn rozdl mezi vecmi, ktere se mohou pokazit a vecmi, ktere se nemohou pokazit je: kdy z se pokaz veci, ktere se nemohou pokazit, pak je nelze opravit

2

Cl BCP X Co delat po utoku (bezpecnostnm incidentu), po havarii X Jak udrzet kontinuitu c innosti organizace po utoku, po havarii systemu X Zvladnut rizika zpusobiv sho havarii,

minimalizace pravdepodobnosti vyskytu havarii X Redukce doby nutne pro obnovu c innosti po havarii X Minimalizace rizik pro rizika obnovovacho procesu 2 2

Kriticka rozhodnut delana pod tlakem krize vykazuj vysokou rizikovost validity, neefektivnosti, vysoke ceny Havarie se mu ze stat kdykoliv Jan Staudek, FI MU Brno

|


5

Planov an zachovan kontinuity podnikan , BCP

2

Rysy, vystupy BCP X Contingency Plan, Emergency Plan, Incident Control {

Plan c innosti (IT) po utoku (bezp. incidentu) { Plan c innosti ve stavu nouze, { Navody jak postupovat pri poskytovan sluzeb po zjisten utoku pomoc (napadnutych) provoznch prostredku { dohody o poskytovan nahradn ch r esen a o uveden IS/elektronickych dat do puvodn ho stavu X Disaster Recovery Plan { Plan obnovy (Havarijn plan) { Havarie { vesmes znac, z e doslo k totaln likvidace nebo zneprstupnen provoznch prostredku { navod, jak postupovat pri obnove c innosti IT po havarii { obnova citlivych procesu podnikan r zenm obnovacch akc specializovanych tym u Jan Staudek, FI MU Brno

|


6

Plan obnovy, Havarijn plan (Disaster Recovery Plan)

Typicky obsah 2 2 2 2

Kriteria de nujc co se chape za havarii Odpovednosti za aktivaci obnovy jako takove Odpovednosti za aktivaci dlcch c innost podle planu obnovy Navody k provad en c innost podle planu obnovy


|


7


2

Zajisten kontinuity X kancela rskych sluzeb (budovy, vybaven, kancela rske potreby, . . . ) X informacnch technologi (komunikace, poctace, . . . ) X lidskych zdroju (vedomost o alternativnm prostred, dostupnost

a produktivn vyuzitelnost potrebnych zroju)

2

Klc ove ukoly BCP X X X X X X

identi kace procesu potrebnych pro restart po havarii identi kace c asovych limitu identi kace zdroju potrebnych pro restart vyb er nakladov e efektivn strategie procesu obnovy vypracovan Planu obnovy de nujcho postup obnovy otestovan Planu obnovy, zajisten jeho aktualnosti, trenov an zamestnancu jak se jm r dit Jan Staudek, FI MU Brno

|


8


2 2

Mus pokryt vsechny urovn e r zen organizace Mus de novat X X X X X X X X

akce spoustene po havarii odpovedne zamestnance (role) za konkretn ukoly nejdule zitejs procesy a systemy konkretn akce vyzadovane pro restart usporad an nouzoveho rezimu zpracovan dat pozadavky na podporu ze zalo znch mst mimo havarii pozadavky na zasoby zajisten informovanosti zamestnancu


|


9

Contingency Plan, Incident Control, Plan cinnosti po utoku

2

Cl { zajisten nouzove c innosti X prevence eskalace utoku do formy havarie X redukce a zvlad an u cinku incidentu X co nejvcasnejs spusten bezpecnych zachrann ych akc a oprav


|


10

3-fazov y prub eh reakce na utok

2

1. Faze { nastupuj tymy prvn reakce X obvykle de novane tymy z bez nych provoznch pracovnku X ambulantn zasah X informovan odpovedneho pracovnka za vyresen incidentu

2

2. Faze { nastupuj tymy pro r esen incidentu X X X X

2

obvykle de novane tymy ze znalych pracovnku dostupn strdave po 24 x 7 telefonem, . . . uvad ej IT do provozu v adekvatn e omezenych provoznch podmnkach provad ej posouzen dusledk u

3. Faze { nastupuj tymy pro obnovu X specialn dovednosti, specialn vybaven X dlouhodobejs termny


|


11

Plan cinnosti po utoku (Contingency Plan)

2

Obsah { soubor scen a ru pro situace lisc se X X X X

2

delkou prerusen c innosti ztratou ruzn ych typu vybaven omezenm prstupu do arealu organizace potrebou navratu do puvodn ho stavu pred utokem

Pozadavek provad en analyzy incidentu a jej dokumentace X X X X X

co se stalo a kdy r esila se reakce podle predem stanoveneho planu? Byl tento plan dostupny a adekvatn ? Co prs te delat jinak? Je treba modi kovat plan?


|


12

Uvahy o havarii

2 2

Nikdy se nastane ,,ve vhodne dobe" Je nepredvdatelna X kdy ? jakou formou ? co vse se zneprstupn /znic, jaky bude dopad ?

2

Rozsah X totaln destrukce budov a vseho co je v nich { X c aste cna destrukce { pred zaplavou jsou nektere lokality chran ene X bez fyzicke destrukce { v blzkosti se nasla bomba, je zakazan y prstup

2

Faze havarie X X X X

krize nouzovy rezim obnova vracen do puvodn ho stavu Jan Staudek, FI MU Brno

|


13

Faze havarie

2

krize X prvn okamziky po incidentu nebo identi kaci bezprostredn hrozby X spoust se procesy prvn reakce X aktivace nouzovych sluzeb { aktivace tym u r escch zaveden stavu

nouze 2

nouzovy rezim X X X X

aktivovany co nejdrve po vzniku krize nastupuj tymy pro r esen incidentu posouzen situace rozhodnut o aktivaci procesu obnovy a vracen do puvodn ho stavu


|


14

Faze havarie

2

obnova X X X X X

2

nastupuj tymy pro obnovu mu ze trvat hodiny, dny, mesce, . . . konc vracen m podnikatelskych procesu do normaln c innosti mus byt stanovene priority obnovy citlivych procesu obnovene citlive procesy mus operovat v formou predepsanou pro rezim obnovy az do obnovy normaln ch podmnek

vracen do puvodn ho stavu X je provedena renovace vsech zdroju X vsechny podnikatelske procesy bez v normaln ch podmnkach


|


15

Faze a procesy planov an zachovan cinnosti

2

Faze zapojen managementu X spravn e, vhodne stanovit odpovednost za vyvoj BCP, X X X X

2

plan mus pripravovat osoba (tym) ,,znala" posouzen rizik a BCP planov an patr mezi nejcitlivejs procesy na urovn vyss ho managementu do diskuse o planov an je potreba ale zapojit s efy odboru/odd elen, usp es na obnova bude vyzadovat kooperaci projekt BCP mus byt odsouhlaseny na vsech urovn ch managementu Vyvoj BCP je podstatne nakladn ejs proces nez jeho udr zba, testovan , trenov an zamestnancu

Faze vyvoje BCP { globaln pozdavek X na konci kazde faze se vypracuje technicka zprava X technickou zpravu odsouhlas odpovdajc amanagement pred

spustenm dals faze X technicka zprava faze n je vstupem pro fazi n+1 Jan Staudek, FI MU Brno

|


16

Faze vyvoje BCP

2 2 2 2 2 2 2 2

Inicialn faze Prozatmn plan Posouzen rizik Prezkouman dopadu na podnikatelske procesy Volby zpusob u zachovan c innost Strategie obnovy Vypracovan planu a jeho implementace Zajisten znalosti planu, testovan , vychova, udr zba


|


17

Faze vyvoje BCP, Inicialn faze

2 2 2 2

Participuje cely vyss management Vytvoren / zaveden projektu BCP Pridelen odpovednosti za projekt BCP jmenovan s efa odpovedneho za organizaci procesu vyvoje a dozor nad prpravou, Business Continuity Officer, BCO


|


18

Faze vyvoje BCP, Prozatmn plan

2 2 2

Plan uplatnovan y do doby nez se dokonc proces vyvoje BCP Pokud se vypracovav a, nesm byt ponechan jako nahrada validne vypracovavan eho BCP Neco jako docasny meziprodukt, vypracovany napr. na zaklad e podobnosti


|


19

Faze vyvoje BCP, Posouzen rizik

2 2 2

Klasicke uplatnen procesu z oblasti r zen rizik viz samostatna predna ska Vstupy pro posouzen X identi kace rizika pro podnikatelske procesy (IT) X identi kace um erne nakladn ych preventivnch opatren

2

Clem je unosn a redukce pravdepodobnost a dopadu havari a vyvolav an akc podle Planu zachovan kontinuity (Incident Control)


|


20

Faze vyvoje BCP, P rezkouman dopadu na podnik. procesy

2 2

2 2 2

Identi kace citlivych podnikatelskych procesu Stanoven maximaln akceptovatelne doby vypadku c innosti citlivych podnikatelskych procesu Maximum Acceptable Outage Time (MAOT) Zdroj informac { interview, zpravy o c innosti, diskuse Metoda { strukturovane dotaznky, diskuse Deatiln popis dopadu s kod na citlivych procesech, vyjadreno ve vhodne s kale


|


21

Faze vyvoje BCP, Volby zpusob u zachovan cinnost

2

2 2 2

Identi kace ruzn ych voleb pro zskan vymenovan ych c i nahrazovanych zdroju pri obnove ze ztraty puvodn ch zdroju poctace, komunikace, databaze, ... cena ? jistota zskan ? jak zskat ? meze ? na jak dlouho ? smluvn vazby pro zskav an zdroju


|


22

Faze vyvoje BCP, Strategie obnovy

2

Identi kace alternativnch strategi obnovy X lis se c asovym prostorem, jistotou obnovitelnosti, naklady

2 2 2

Volba nejvhodnejs, nakladov e nejprijatelnejs strategie obnovy citlivych procesu Melo by se vypracovat vce (?? 3) strategi Finaln vyb er provede vyss management


|


23

Faze vyvoje BCP, Vypracovan planu a jeho implementace

2

Vypracovan planu a jeho implementace X dokumentace procedur, jmenovan odpovednost, . . .

2

Struktura

X Uvod { strucny popis proc a c eho se tyk a, popis strategie, rol X Informace o tymech pro r esen incidentu a tymech pro r esen obnovy vc. kontaktnch informac a procedur X Ukoly tym u pro r esen incidentu a tym u pro r esen obnovy X Odpovednosti a identi kace procesu c innych ve stavu nouze

2 2 2 2

Oponentura 1. verze Vypracovan relevantnch procedur a procesu Oponentura naln verze Distribuce nastroj u a dokumentace Jan Staudek, FI MU Brno

|


24

Faze vyvoje BCP, Zajist en znalosti, testovan , vychova, ...

2 2 2 2

s kolen treningov e nacviky testovan u cinnosti alespon 1 rocne prehodnocen


|


25

Vybrane rady pro tvorbu BCP

2 2 2 2 2 2 2

Informacn zdroje c lenit do kategori podle priority obnovy Zajistit shodnost porad obnovy v cele organizaci Provad et (rocn) vyhodnocovan kriticnosti a priorit multi-uzivatelskych aplikac Soucast BCP ma byt ,,Plan c innosti organizace ve stavu nouze" Zajistit udrzovan pohotovosti tymu 1. reakce Vypracovat system varovan o podezren na prunik (porusen bezpecnosti) Provozovat system sberu informac o podezrench na prunik


|


26


2

Typicke c innosti po podezren na prunik do systemu X X X X X X

2 2 2

nepominutelne (minimaln ) ukoly spravce systemu odstaven kompromitovaneho poctace od ostatn ste uschovan logovacch zaznam u identi kace provedenych zmen obnova software z duv eryhodneho zdroje re-inicializace systemu r zen prstupu (zmena hesel, . . . )

Zakotvit v pracovnch r adech povinnost u casti zamestnance na procesu obnovy po porusen bezpecnosti Rocne vyhodnocovat pokryt funkc predepsanych v BP Organizacne zajistit periodicke provad en archivace Jan Staudek, FI MU Brno

|


27


2 2 2 2 2 2 2

zajistit archivaci kritickych dat na mobilnch poctacch stanovit system r zen prstupu k archivnm kopim zajistit duv ernost o{line uschovavan ych archivnch kopi zajistit nasobnost archivnch kopi (alespon duplicita) provad et inventurn evidence archivnch kopi Automatizovat archivaci na serveru Volba archivnho media X Predpisuje systemov a bezpecnostn politika X Nutnost provad et periodicke testovan pouzitelnosti media

2

Likvidace dale nepotrebnych informac X zaruka zachovan duv ernosti X legislativn zavazky pro periodu uchovav an kopi dat Jan Staudek, FI MU Brno

|


28


2

Kvantitativn cle zajisten dostupnosti zdroju, aby uzivatele meli sdlene poctace dostupne po dobu rovnou alespon X X X X

2

95 % pracovn doby { vyrobn organizace 99,98 % pracovn doby { telefonn spolecnost 80 % pracovn doby { akademicke organizace vy se je funkce pozadavku na plnen poslan organizace, urcuje vrcholovy management

umsten dualn ho (zalo znho) datoveho centra organizace X separace lokality

2

Zajisten dostupnosti zalo znho hardware X smluvn system oprav a udr zby, nahradn zdroje

2

problem zalohov an system u provozovanych 24 x 7 X kontroln body, z urnal transakc, tandemove a zrcadlove zpracovan Jan Staudek, FI MU Brno

|


29


2

Zalohy dat X kde vytva ret zalohy

(energeticka zavislost, fyzicka bezpecnost, organizovanost), X nasobnost zaloh, X zpusob distribuce zaloh do mst uchovav an 2

Zalohy dokumentace, manual u X Nutna znalost lokality umsten


|


30

zen kontinuity cinnosti R organizace, ISO/IEC 27000

2

ISO/IEC 27031 | Guidelines for information and communications technology readiness for business continuity

2

Cl kontinuity c innosti organizace X Organizace je schopna prezt zava zne incidenty { katastrofy

a branit se zava znemu rusen svych c innost { katastrofy, zava zne rusen { vysledek prrodnch pohrom, nehod, totaln ch vypadk u zarzen, umysln ych jednan , ... X Organizace je schopna chranit sve kriticke procesy


|


31

zen kontinuity cinnosti R organizace, Bussines Continuity, BC

2

Organizace ma mt vypracovany Bussines Continuity Plan { BCP a implementovany Bussines Continuity Management Process , BCPr, X Pro zajisten toho, aby mohly byt obnoveny klc ove c innost organizace

v pozadovanych lhut ach, je nutne { vypracovat plan kontinuity c innost organizace, BCP, a { implementovat proces r zen kontinuity c innost organizace, BCPr X Jedna se o o proces (plan) minimalizace nasledk u katastrof a r zen c innost clenych na zotaven organizace ze ztrat na aktivech na prijatelnou urove n pomoc preventivnch a zotavovacch opatren X Dusledky pohrom, bezpecnostnch chyb a ztraty/dostupnosti sluzeb se identi kuj v ramci analyzy dopadu, tj. pri ohodnocovan rizik X Bezpecnost informac by se mela stat nedlnou soucast r dcch procesu v ramci organizace a tudz i procesu r zen kontinuity c innost Jan Staudek, FI MU Brno

|


32

zen kontinuity cinnosti R organizace, Bussines Continuity, BC

2

Zpusoby vypracovan / implementace BCP / BCPr X na zakazku specializovanym dodavatelem X vlastnmi silami organizace (+ extern testovan , oponentury, . . . )

2

Cl r zen kontinuity c innosti organizace z hlediska bezpecnosti informac X Branit prerusen provoznch c innost a chranit kriticke procesy

organizace pred nasledky zava znych selhan informacnch system u a zajistit vcasnou obnovu c innosti techto system u X Plan r zen kontinuity c innost organizace by mel { identi kovat kriticke c innosti organizace a { zaclenit pozadavky r zen bezpecnosti informac s ohledem na provozn, personaln , materialn , dopravn pozadavky a na pozadavky na zarzen X Proces r zen kontinuity c innosti organizace je tmto planem r zeny Jan Staudek, FI MU Brno

|


33

Zahrnut bezpecnosti informac do BCPr

2

BCPr { r zeny proces rozvoje a udrzovan kontinuity c innosti organizace X r zeny proces { existuje ve s kale de novanych procesu organizace

2

BCPr ma zajistit (doporucen k realizaci) X porozumen rizikum, kterym organizace c el z hlediska

pravdepodobnost a dopadu rizik, a identi kaci a vymezen priorit kritickych procesu organizace z hlediska zajist'ovan kontinuity c innosti stanovenych ohodnocenm rizik X identi kaci vsech aktiv, ktera jsou soucast kritickych procesu organizace X porozumen dopadum, ktere mohou prerusen mt na c innost organizace { mus byt nalezena r esen, ktera pokryj { jak ,,male"incidenty (vypadek napet, viry, . . . ), { tak i ,,velke"incidenty (pozar, zaplava, terorismus) ohrozujc z ivotaschopnost organizace Jan Staudek, FI MU Brno

|


34


X identi kaci dostatecnych nancnch, organizacnch, technickych a

X X X

X

X

environmentaln ch zdroju potrebnych na pokryt identi kovanych pozadavku na bezpecnost informac bezpecnost zamestnancu, ochranu majetku a organizacnch aktiv organizace identi kaci a zva zen implementace dodatecnych preventivnch opatren a opatren k zmrnuj cch negativn dopady zva zen moznosti uzavren pojistky, ktera mu ze tvorit soucast celeho procesu zajisten kontinuity c innost, a udrzovan adekvatn vy se pojistneho formulovan strategie BC konzistentn s dokumentovanymi cli a strategiemi organizace a jej odsouhlasen vrcholovym managementem (a vsemi, kterych se to pravdepodobne tyk a) formulovan detailnch BCP, pokryvaj cch pozadavky na bezpecnost dlcch informacnch system u, ktere jsou v souladu s odsouhlasenou strategi BC, a vypracovan dokumentace techto BCP Jan Staudek, FI MU Brno

|


35


X pravidelne testovan a aktualizovan plan u a procesu X zaclenen r zen kontinuity c innost organizace mezi procesy,

kulturu a struktury organizace a urcen konkretn odpovednosti za proces koordinace r zen kontinuity v ramci organizace na odpovdajc urovni r zen


|


36

Kontinuita cinnost organizace a ohodnocen rizik

2

Organizace ma mt vyvinutou strategii a plany kontinuity svych c innost (reakc na sledy bezpecnostnch incidentu, ktere by mohly prerusit kriticke procesy organizace) vychazej c z ohodnocen rizik X vychaz se z pravdepodobnost incidentu a z jejich dopadu

na bezpecnost informac X mus se identi kovat sledy relevantnch bezpecnostnch incidentu 2

Typy moznych prerusen c innosti X zava znejs extern prpady

{ bomby, teroristi, nepokoje, pozar, zaplava, ... { nabouran serverovny havarujcm autem vne budovy, . . . { prepaden osoby nesouc denn trzbu do banky, . . . X drobnejs intern prp. { viry, s kodlivy software, vypadek napet, . . . 2

vypracuje se kompletn seznam relevantnch prpadu Jan Staudek, FI MU Brno

|


37

Kontinuita cinnost organizace a hodnocen rizik

2

Ohodnocen rizik (podle seznamu relevantnch prpadu) X by melo byt provad eno za plneho zapojen vlastnku zdroju a

vlastnku procesu organizace X by melo zahrnout vsechny procesy v organizaci a melo by obsahovat vysledky tykaj c se bezpecnosti informac X nemelo by byt omezeno pouze na prostredky pro zpracovan informac. 2

Vytvorenou strategii zajisten kontinuity c innosti organizace ma schvalit veden organizace a ma byt vytvoren a schvalen plan jej implementace


|


38

Vytva ren a implementace plan u kontinuity, BCP

2

BCP { plan pro udrzen nebo obnovu c innost organizace po prerusen nebo selhan kritickych procesu a pro zajisten dostupnosti informac v pozadovanem c ase a na pozadovanou urove n X BCP ma byt vypracovany pro kazdy identi kovany proces X BCP ma byt navrzeny vlastnkem procesu / aktiva X navrzeny BCP ma byt oponovany bezpecnostnm poradcem

2

Pri vytva ren BCP se ma zva zit/zajistit (doporucen k realizaci) X existuje jasny popis (podepsany vedenm) podmnek,

za kterych se procedury obnovy spoust a kdo spusten iniciuje X existuje jasny popis (podepsany vedenm) stanoven prijatelne urovn e pro ztratu sluzeb nebo informac


|


39


X BCP by se mel soustredit na dosazen pozadovanych

clu strategie obnovy, napr. na obnoven speci ckych sluzeb zakazn kum v prijatelnem c asovem horizontu. Mely by byt zva zeny { vsechny sluzby a zdroje, kterych by se to mohlo tykat, { vcetne zamestnancu a zdroju neurcenych ke zpracovan informac { moznosti nouzoveho zajisten nahradn ch prostredku pro zpracovav an informac. Zajisten nahradn ch prostredku mu ze byt r eseno formou dohody o reciprocn vypomoci anebo uzavrenm komercn smlouvy. X vypracovan procedur a postupu obnovy a jejich dokumentace X BCP by mely pokryvat zjistene zranitelnosti a proto mohou obsahovat citlive informace, ktere je potrebne vhodnym zpusobem chranit. X kopie BCP by mely byt uklad any na dostatecne vzdalen ych mstech (zalo zn lokality), aby BCP nebyly zniceny v prpade havarie v hlavn lokalite. Jan Staudek, FI MU Brno

|


40


X zpusob proskolen zamestnancu o odsouhlasenych havarijnch

procedurach a postupech, vcetne krizoveho r zen X zajisten periodickeho testovan a aktualizac BCP X za aktualizaci a udrzovan BCP, vc. udrzovan konzistence centraln e uchovavan e kopie BCP, odpovda vlastnk procesu X urove n zavedenych bezpecnostnch opatren v zalo znch lokalitach ma byt ekvivalentn urovni bezpecnosti v hlavn lokalite.


|


41

System planov an kontinuity cinnost organizace

2

BCP Framework X Pro zajisten konzistence BCP a pro urcen priorit testovan a

udr zby ma byt k dispozici jednotny system plan u kontinuity c innost organizace podporujc jednotny format vsech BCP organizace

2

Duvody pro existenci jednotneho systemu BCP X Zmeny v jednom BPC, zmeny v pokryt aktiv systemy (novy server),

zmena lokality, . . . mohou vyvolat zmeny ve vce BCP X mus byt veden seznam vazeb (matice) plan u, aktiv, odpovednych osob, . . . X jednotny system BCP ma byt soucast celkoveho systemu zmenoveho r zen v organizaci 2

BCP ma popisovat prstup k zajisten kontinuity c innost organizace { napr. zajisten dostupnosti a bezpecnosti IS Jan Staudek, FI MU Brno

|


42


2

System BCP by mel pokryvat identi kovane pozadavky na bezpecnost informac a mel by take zahrnovat: X eskalacn procedury { podmnky aktivace plan u, ktere popisuj navod

X

X

X X

jak postupovat (napr. jak vyhodnotit situaci, kdo to provede, . . . ) nez dojde k samotne aktivaci kazdeho z BCP intern a extern mobilizacn a instrukta zn procedury, ktere by mely byt provedeny po vzniku incidentu ohrozujcho c innosti organizace nebo lidske z ivoty zachran e procedury { popisujc c innosti pro presun dule zitych aktivit organizace a dalsch podpurn ych sluzeb na nahradn docasne msto a zajist'ujc obnoven c innosti organizace v pozadovane dobe nouzove procedury { docasne provozn postupy az do doby obnoven c innosti postupy popisujc zpusob opetovneho uveden organizace do normaln ho provozu Jan Staudek, FI MU Brno

|


43


X harmonogram urcujc jak a kdy bude plan testovan a

proces aktualizace planu X vzdelavac aktivity a aktivity k zlepsen povedom, zamer ene na pochopen procesu planov an kontinuity a pro zajisten jejich efektivnho prub ehu; X individualn odpovednosti popisujc, kdo odpovda za kterou slozku planu. X kriticka aktiva a zdroje potrebne pro zajisten havarijnch postupu, nahradn ch provozu a postupu


|


44

Testovan , udr zovan a p rezkoumav an BCP

2

BCP maj byt pravidelne testovany a aktualizovany, aby se zajistila jejich aktualnost a efektivnost z hlediska pozadavku na bezpecnost informac X Testovan BCP ma byt monitorovano a vysledky testu vyhodnocovany

2

Doporucen pro implementaci testu kontrolovat uplnost navrzenych testovacch scen a ru pouzvat simulaci pro nacvik rol prover ovat zda mohou byt IS efektivne obnoveny prover ovat zda mohou byt IS efektivne obnoveny v nahradn lokalite prover ovat, z e externe poskytovane sluzby a produkty splnuj smluvn zavazky X testovat upln e prerusen, tj. testovan toho, z e se organizace, zamestnanci, zarzen, prostredky a procesy mohou s prerusenmi vyporadat X X X X X


|


45

Testovan , udr zovan a p rezkoumav an BCP

2

Kdy aktualizovat BCP ? X po nakupu noveho zarzen nebo pri modernizaci provoznho systemu X po proveden / uskutecnen zmeny:

a) ve slozen zamestnancu; b) v adresach nebo telefonnch c slech; c) v celkove strategii organizace; d) lokality, zarzen a zdroju; e) v legislative; f) smluvnch partneru, dodavatelu a klc ovych zakazn ku; g) v procesech nebo v jejich vytvoren/zrusen; h) rizicch (provoznch a ekonomickych).


|


46

Pl anu zachov an kontinuity podnik an,

Recommend Documents