Pl anu zachov an kontinuity podnik an,

Uvodem

Planu zachovan kontinuity podnikan ,

2

Kontinuita podnikan , Business Continuity

2

Strategie uveden procesu a procedur podnikan behem a po havarii (utoku) v mste, ktere organizace potrebuje k provozu Cl planu zachovan kontinuity podnikan

Business Continuity Plan, BCP, dodatek predna sky k ISMS PV 017 Bezpecnost IT

Plan jak zabranit prerusen kritickych sluzeb podnikan a jak obnovit upln y provoz tak rychle a hladce, jak je to mozne.

Jan Staudek http://www. .muni.cz/usr/staudek/vyuka/ }

w A| y < 5 4 23 1 0 / -. , )+ ( %&' $ # !"

Æ

Verze : podzim 2016 Jan Staudek, FI MU Brno

Uvodem

2

2

X Prvn krok

Rozhodnut, ktere z funkc organizaci jsou naprosto nezbytne, kriticke. Vyclenen rozpoctu pro obnovu techto funkc odpovdajcm zpusobem. Nemus byt prakticke udrzet v provozu vsechny funkce organizace, pouze ty, ktere jsou nutne pro funkcnost po dobu havarijn situace. X Druhy krok urcit a zavest zotavovac postupu, ktere zajist, z e provoz mu ze v prpade havarie pokracovat s minimaln m prerusenm c innosti. V idealn m prpade organizace udrzuje aktualn kopie dat v geogra cky oddelenych mstech, tak aby se udrzel bez prerusen prstup k datum, pokud je jejich primarn lokalita nedostupna.

|

PV017 { Plan zachovan kontinuity podnikatelskych procesu


1

Uvodem

Postup

Jan Staudek, FI MU Brno

|

2

Dule zitou roli hraje Plan zachovan kontinuity podnikan , BCP, Bussines Continuity Plan, ktery mus obsahovat X Contingency Plan, Emergency Plan, Incident Control {

Plan c innosti (IT) po utoku (bezpecnostnm incidentu) Dokumentuje { planovan e strategie v organizaci pro postupy po havarii, { jak obnovit funkc v alternativnm umsten, { ktere zakladn sluzby v mste krize budou obnovovany, { akce by mely byt provedena, pokud provoz nemu ze pokracovat ani v alternativn umsten (dat) X Disaster Recovery Plan { Plan obnovy (Havarijn plan)


|


3

Terminologicke poznamky

2

Planov an zachovan kontinuity podnikan , BCP

Co je incident, utok, . . . { uplatnen hrozby,

Douglas Adams, Stopa ruv pruvodce po Galaxii { Zasadn rozdl mezi vecmi, ktere se mohou pokazit a vecmi, ktere se nemohou pokazit je:

X hrozba { potencial utok u mer itelny vyznamem rizika X riziko { pravdepodobnost uplatnen hrozby dana urovn uto cnka,

kdy z se pokaz veci, ktere se nemohou pokazit, pak je nelze opravit

2

vyuzitelnost zranitelneho msta, urovn zpusoben e s kody

2

Co je havarie

X Co delat po utoku (bezpecnostnm incidentu), po havarii X Jak udrzet kontinuitu c innosti organizace po utoku, po havarii systemu X Zvladnut rizika zpusobiv sho havarii,

X incident / udalost ohrozujc osoby, budovy,

organizacn strukturu organizace a

X pozaduje uplatnit specialn opatren pro navrat vec

minimalizace pravdepodobnosti vyskytu havarii X Redukce doby nutne pro obnovu c innosti po havarii X Minimalizace rizik pro rizika obnovovacho procesu

do normaln ho stavu

2

Prklady havarie X X X X X X

pozar, zaplava, boure terorismus { bomba vandalismus vypadek energie, klimatizace ztrata kriticke sluzby (telefony, doprava, . . . ) zjisten hrozby z ivotnmu prostred (azbest ve stare budove), . . . Jan Staudek, FI MU Brno

|


2 2


2

Plan c innosti (IT) po utoku (bezp. incidentu) { Plan c innosti ve stavu nouze, { Navody jak postupovat pri poskytovan sluzeb po zjisten utoku pomoc (napadnutych) provoznch prostredku { dohody o poskytovan nahradn ch r esen a o uveden IS/elektronickych dat do puvodn ho stavu X Disaster Recovery Plan { Plan obnovy (Havarijn plan) { Havarie { vesmes znac, z e doslo k totaln likvidace nebo zneprstupnen provoznch prostredku { navod, jak postupovat pri obnove c innosti IT po havarii { obnova citlivych procesu podnikan r zenm obnovacch akc specializovanych tym u PV017 { Plan zachovan kontinuity podnikatelskych procesu


5

Typicky obsah

X Contingency Plan, Emergency Plan, Incident Control {

|

|

Plan obnovy, Havarijn plan (Disaster Recovery Plan)

Rysy, vystupy BCP


Kriticka rozhodnut delana pod tlakem krize vykazuj vysokou rizikovost validity, neefektivnosti, vysoke ceny Havarie se mu ze stat kdykoliv

4

Planov an zachovan kontinuity podnikan , BCP

2

Cl BCP

2 2 2

6

Kriteria de nujc co se chape za havarii Odpovednosti za aktivaci obnovy jako takove Odpovednosti za aktivaci dlcch c innost podle planu obnovy Navody k provad en c innost podle planu obnovy


|


7


2


Zajisten kontinuity

2

X kancela rskych sluzeb (budovy, vybaven, kancela rske potreby, . . . ) X informacnch technologi (komunikace, poctace, . . . ) X lidskych zdroju (vedomost o alternativnm prostred, dostupnost

2

X X X X X X X X

a produktivn vyuzitelnost potrebnych zroju)

2

Klc ove ukoly BCP X X X X X X

identi kace procesu potrebnych pro restart po havarii identi kace c asovych limitu identi kace zdroju potrebnych pro restart vyb er nakladov e efektivn strategie procesu obnovy vypracovan Planu obnovy de nujcho postup obnovy otestovan Planu obnovy, zajisten jeho aktualnosti, trenov an zamestnancu jak se jm r dit Jan Staudek, FI MU Brno

|

Mus pokryt vsechny urovn e r zen organizace Mus de novat


8


Contingency Plan, Incident Control, Plan cinnosti po utoku

2

Cl { zajisten nouzove c innosti

akce spoustene po havarii odpovedne zamestnance (role) za konkretn ukoly nejdule zitejs procesy a systemy konkretn akce vyzadovane pro restart usporad an nouzoveho rezimu zpracovan dat pozadavky na podporu ze zalo znch mst mimo havarii pozadavky na zasoby zajisten informovanosti zamestnancu

|


9

3-fazov y prub eh reakce na utok

2

X prevence eskalace utoku do formy havarie X redukce a zvlad an u cinku incidentu X co nejvcasnejs spusten bezpecnych zachrann ych akc a oprav

1. Faze { nastupuj tymy prvn reakce X obvykle de novane tymy z bez nych provoznch pracovnku X ambulantn zasah X informovan odpovedneho pracovnka za vyresen incidentu

2

2. Faze { nastupuj tymy pro r esen incidentu X X X X

2

obvykle de novane tymy ze znalych pracovnku dostupn strdave po 24 x 7 telefonem, . . . uvad ej IT do provozu v adekvatn e omezenych provoznch podmnkach provad ej posouzen dusledk u

3. Faze { nastupuj tymy pro obnovu X specialn dovednosti, specialn vybaven X dlouhodobejs termny


|


10


|


11

Uvahy o havarii

Plan cinnosti po utoku (Contingency Plan)

2

Obsah { soubor scen a ru pro situace lisc se X X X X

2

2 2

delkou prerusen c innosti ztratou ruzn ych typu vybaven omezenm prstupu do arealu organizace potrebou navratu do puvodn ho stavu pred utokem

X kdy ? jakou formou ? co vse se zneprstupn /znic, jaky bude dopad ? 2

co se stalo a kdy r esila se reakce podle predem stanoveneho planu? Byl tento plan dostupny a adekvatn ? Co prs te delat jinak? Je treba modi kovat plan?


|


Rozsah X totaln destrukce budov a vseho co je v nich { X c aste cna destrukce { pred zaplavou jsou nektere lokality chran ene X bez fyzicke destrukce { v blzkosti se nasla bomba, je zakazan y prstup

Pozadavek provad en analyzy incidentu a jej dokumentace X X X X X

Nikdy se nastane ,,ve vhodne dobe" Je nepredvdatelna

2

Faze havarie X X X X

krize nouzovy rezim obnova vracen do puvodn ho stavu Jan Staudek, FI MU Brno

12

Faze havarie

2

krize

2

nouzovy rezim aktivovany co nejdrve po vzniku krize nastupuj tymy pro r esen incidentu posouzen situace rozhodnut o aktivaci procesu obnovy a vracen do puvodn ho stavu


|


13

obnova X X X X X

nouze

X X X X


Faze havarie

X prvn okamziky po incidentu nebo identi kaci bezprostredn hrozby X spoust se procesy prvn reakce X aktivace nouzovych sluzeb { aktivace tym u r escch zaveden stavu 2

|

2

nastupuj tymy pro obnovu mu ze trvat hodiny, dny, mesce, . . . konc vracen m podnikatelskych procesu do normaln c innosti mus byt stanovene priority obnovy citlivych procesu obnovene citlive procesy mus operovat v formou predepsanou pro rezim obnovy az do obnovy normaln ch podmnek

vracen do puvodn ho stavu X je provedena renovace vsech zdroju X vsechny podnikatelske procesy bez v normaln ch podmnkach

14


|


15

Faze a procesy planov an zachovan cinnosti

2

Faze vyvoje BCP

Faze zapojen managementu

2

X spravn e, vhodne stanovit odpovednost za vyvoj BCP,

plan mus pripravovat osoba (tym) ,,znala"

2

X posouzen rizik a BCP planov an patr mezi nejcitlivejs procesy

2

na urovn vyss ho managementu X do diskuse o planov an je potreba ale zapojit s efy odboru/odd elen, usp es na obnova bude vyzadovat kooperaci X projekt BCP mus byt odsouhlaseny na vsech urovn ch managementu X Vyvoj BCP je podstatne nakladn ejs proces nez jeho udr zba, testovan , trenov an zamestnancu 2

2 2 2 2

Faze vyvoje BCP { globaln pozdavek

2

X na konci kazde faze se vypracuje technicka zprava X technickou zpravu odsouhlas odpovdajc amanagement pred

Inicialn faze Prozatmn plan Posouzen rizik Prezkouman dopadu na podnikatelske procesy Volby zpusob u zachovan c innost Strategie obnovy Vypracovan planu a jeho implementace Zajisten znalosti planu, testovan , vychova, udr zba

spustenm dals faze X technicka zprava faze n je vstupem pro fazi n+1 Jan Staudek, FI MU Brno

|


16


Faze vyvoje BCP, Inicialn faze

2 2 2 2

|



17

Faze vyvoje BCP, Prozatmn plan

Participuje cely vyss management Vytvoren / zaveden projektu BCP Pridelen odpovednosti za projekt BCP jmenovan s efa odpovedneho za organizaci procesu vyvoje a dozor nad prpravou, Business Continuity Officer, BCO


|

2 2 2

18

Plan uplatnovan y do doby nez se dokonc proces vyvoje BCP Pokud se vypracovav a, nesm byt ponechan jako nahrada validne vypracovavan eho BCP Neco jako docasny meziprodukt, vypracovany napr. na zaklad e podobnosti


|


19

Faze vyvoje BCP, Posouzen rizik

2 2 2

Faze vyvoje BCP, P rezkouman dopadu na podnik. procesy

Klasicke uplatnen procesu z oblasti r zen rizik viz samostatna predna ska Vstupy pro posouzen

2 2

X identi kace rizika pro podnikatelske procesy (IT) X identi kace um erne nakladn ych preventivnch opatren 2

2

Clem je unosn a redukce pravdepodobnost a dopadu havari a vyvolav an akc podle Planu zachovan kontinuity (Incident Control)


|


2 2

20


Faze vyvoje BCP, Volby zpusob u zachovan cinnost

2

2 2 2

|


|


21

Faze vyvoje BCP, Strategie obnovy

Identi kace ruzn ych voleb pro zskan vymenovan ych c i nahrazovanych zdroju pri obnove ze ztraty puvodn ch zdroju poctace, komunikace, databaze, ... cena ? jistota zskan ? jak zskat ? meze ? na jak dlouho ? smluvn vazby pro zskav an zdroju


Identi kace citlivych podnikatelskych procesu Stanoven maximaln akceptovatelne doby vypadku c innosti citlivych podnikatelskych procesu Maximum Acceptable Outage Time (MAOT) Zdroj informac { interview, zpravy o c innosti, diskuse Metoda { strukturovane dotaznky, diskuse Deatiln popis dopadu s kod na citlivych procesech, vyjadreno ve vhodne s kale

2

Identi kace alternativnch strategi obnovy X lis se c asovym prostorem, jistotou obnovitelnosti, naklady

2 2 2

22

Volba nejvhodnejs, nakladov e nejprijatelnejs strategie obnovy citlivych procesu Melo by se vypracovat vce (?? 3) strategi Finaln vyb er provede vyss management


|


23

Faze vyvoje BCP, Vypracovan planu a jeho implementace

2 2

Faze vyvoje BCP, Zajist en znalosti, testovan , vychova, ...

Vypracovan planu a jeho implementace

2

X dokumentace procedur, jmenovan odpovednost, . . .

2

Struktura

2

X Uvod { strucny popis proc a c eho se tyk a, popis strategie, rol X Informace o tymech pro r esen incidentu a tymech pro r esen obnovy

2

s kolen treningov e nacviky testovan u cinnosti alespon 1 rocne prehodnocen

vc. kontaktnch informac a procedur X Ukoly tym u pro r esen incidentu a tym u pro r esen obnovy X Odpovednosti a identi kace procesu c innych ve stavu nouze 2 2 2 2

Oponentura 1. verze Vypracovan relevantnch procedur a procesu Oponentura naln verze Distribuce nastroj u a dokumentace Jan Staudek, FI MU Brno

|


24


Vybrane rady pro tvorbu BCP

2 2 2 2 2 2 2

|



25


Informacn zdroje c lenit do kategori podle priority obnovy Zajistit shodnost porad obnovy v cele organizaci Provad et (rocn) vyhodnocovan kriticnosti a priorit multi-uzivatelskych aplikac Soucast BCP ma byt ,,Plan c innosti organizace ve stavu nouze" Zajistit udrzovan pohotovosti tymu 1. reakce Vypracovat system varovan o podezren na prunik (porusen bezpecnosti) Provozovat system sberu informac o podezrench na prunik


|

2

Typicke c innosti po podezren na prunik do systemu X X X X X X

2 2 2

26

nepominutelne (minimaln ) ukoly spravce systemu odstaven kompromitovaneho poctace od ostatn ste uschovan logovacch zaznam u identi kace provedenych zmen obnova software z duv eryhodneho zdroje re-inicializace systemu r zen prstupu (zmena hesel, . . . )

Zakotvit v pracovnch r adech povinnost u casti zamestnance na procesu obnovy po porusen bezpecnosti Rocne vyhodnocovat pokryt funkc predepsanych v BP Organizacne zajistit periodicke provad en archivace Jan Staudek, FI MU Brno

|


27


2 2 2 2 2 2 2


zajistit archivaci kritickych dat na mobilnch poctacch stanovit system r zen prstupu k archivnm kopim zajistit duv ernost o{line uschovavan ych archivnch kopi zajistit nasobnost archivnch kopi (alespon duplicita) provad et inventurn evidence archivnch kopi Automatizovat archivaci na serveru Volba archivnho media

2

X X X X 2 2 2

X zaruka zachovan duv ernosti X legislativn zavazky pro periodu uchovav an kopi dat |


28

|


29

zen kontinuity cinnosti R organizace, ISO/IEC 27000

Zalohy dat

2

ISO/IEC 27031 | Guidelines for information and communications technology readiness for business continuity

(energeticka zavislost, fyzicka bezpecnost, organizovanost), X nasobnost zaloh, X zpusob distribuce zaloh do mst uchovav an

2

a branit se zava znemu rusen svych c innost { katastrofy, zava zne rusen { vysledek prrodnch pohrom, nehod, totaln ch vypadk u zarzen, umysln ych jednan , ... X Organizace je schopna chranit sve kriticke procesy

X Nutna znalost lokality umsten

|


Cl kontinuity c innosti organizace X Organizace je schopna prezt zava zne incidenty { katastrofy

Zalohy dokumentace, manual u


problem zalohov an system u provozovanych 24 x 7 Jan Staudek, FI MU Brno

X kde vytva ret zalohy

2

Zajisten dostupnosti zalo znho hardware X kontroln body, z urnal transakc, tandemove a zrcadlove zpracovan


2

umsten dualn ho (zalo znho) datoveho centra organizace X smluvn system oprav a udr zby, nahradn zdroje

Likvidace dale nepotrebnych informac


95 % pracovn doby { vyrobn organizace 99,98 % pracovn doby { telefonn spolecnost 80 % pracovn doby { akademicke organizace vy se je funkce pozadavku na plnen poslan organizace, urcuje vrcholovy management

X separace lokality

X Predpisuje systemov a bezpecnostn politika X Nutnost provad et periodicke testovan pouzitelnosti media 2

Kvantitativn cle zajisten dostupnosti zdroju, aby uzivatele meli sdlene poctace dostupne po dobu rovnou alespon

30


|


31

zen kontinuity cinnosti R organizace, Bussines Continuity, BC

2

Organizace ma mt vypracovany Bussines Continuity Plan { BCP a implementovany Bussines Continuity Management Process , BCPr,

2

v pozadovanych lhut ach, je nutne { vypracovat plan kontinuity c innost organizace, BCP, a { implementovat proces r zen kontinuity c innost organizace, BCPr X Jedna se o o proces (plan) minimalizace nasledk u katastrof a r zen c innost clenych na zotaven organizace ze ztrat na aktivech na prijatelnou urove n pomoc preventivnch a zotavovacch opatren X Dusledky pohrom, bezpecnostnch chyb a ztraty/dostupnosti sluzeb se identi kuj v ramci analyzy dopadu, tj. pri ohodnocovan rizik X Bezpecnost informac by se mela stat nedlnou soucast r dcch procesu v ramci organizace a tudz i procesu r zen kontinuity c innost |


Zpusoby vypracovan / implementace BCP / BCPr X na zakazku specializovanym dodavatelem X vlastnmi silami organizace (+ extern testovan , oponentury, . . . )

X Pro zajisten toho, aby mohly byt obnoveny klc ove c innost organizace


zen kontinuity cinnosti R organizace, Bussines Continuity, BC

2

Cl r zen kontinuity c innosti organizace z hlediska bezpecnosti informac X Branit prerusen provoznch c innost a chranit kriticke procesy

organizace pred nasledky zava znych selhan informacnch system u a zajistit vcasnou obnovu c innosti techto system u X Plan r zen kontinuity c innost organizace by mel { identi kovat kriticke c innosti organizace a { zaclenit pozadavky r zen bezpecnosti informac s ohledem na provozn, personaln , materialn , dopravn pozadavky a na pozadavky na zarzen X Proces r zen kontinuity c innosti organizace je tmto planem r zeny

32


Zahrnut bezpecnosti informac do BCPr

2

BCPr { r zeny proces rozvoje a udrzovan kontinuity c innosti organizace

X X

X porozumen rizikum, kterym organizace c el z hlediska

pravdepodobnost a dopadu rizik, a identi kaci a vymezen priorit kritickych procesu organizace z hlediska zajist'ovan kontinuity c innosti stanovenych ohodnocenm rizik X identi kaci vsech aktiv, ktera jsou soucast kritickych procesu organizace X porozumen dopadum, ktere mohou prerusen mt na c innost organizace { mus byt nalezena r esen, ktera pokryj { jak ,,male"incidenty (vypadek napet, viry, . . . ), { tak i ,,velke"incidenty (pozar, zaplava, terorismus) ohrozujc z ivotaschopnost organizace |


33

X identi kaci dostatecnych nancnch, organizacnch, technickych a

BCPr ma zajistit (doporucen k realizaci)




X r zeny proces { existuje ve s kale de novanych procesu organizace 2

|

34

X

X

X

environmentaln ch zdroju potrebnych na pokryt identi kovanych pozadavku na bezpecnost informac bezpecnost zamestnancu, ochranu majetku a organizacnch aktiv organizace identi kaci a zva zen implementace dodatecnych preventivnch opatren a opatren k zmrnuj cch negativn dopady zva zen moznosti uzavren pojistky, ktera mu ze tvorit soucast celeho procesu zajisten kontinuity c innost, a udrzovan adekvatn vy se pojistneho formulovan strategie BC konzistentn s dokumentovanymi cli a strategiemi organizace a jej odsouhlasen vrcholovym managementem (a vsemi, kterych se to pravdepodobne tyk a) formulovan detailnch BCP, pokryvaj cch pozadavky na bezpecnost dlcch informacnch system u, ktere jsou v souladu s odsouhlasenou strategi BC, a vypracovan dokumentace techto BCP Jan Staudek, FI MU Brno

|


35

Kontinuita cinnost organizace a ohodnocen rizik


2

X pravidelne testovan a aktualizovan plan u a procesu X zaclenen r zen kontinuity c innost organizace mezi procesy,

kulturu a struktury organizace a urcen konkretn odpovednosti za proces koordinace r zen kontinuity v ramci organizace na odpovdajc urovni r zen

Organizace ma mt vyvinutou strategii a plany kontinuity svych c innost (reakc na sledy bezpecnostnch incidentu, ktere by mohly prerusit kriticke procesy organizace) vychazej c z ohodnocen rizik X vychaz se z pravdepodobnost incidentu a z jejich dopadu

na bezpecnost informac X mus se identi kovat sledy relevantnch bezpecnostnch incidentu 2

Typy moznych prerusen c innosti X zava znejs extern prpady

{ bomby, teroristi, nepokoje, pozar, zaplava, ... { nabouran serverovny havarujcm autem vne budovy, . . . { prepaden osoby nesouc denn trzbu do banky, . . . X drobnejs intern prp. { viry, s kodlivy software, vypadek napet, . . . 2 Jan Staudek, FI MU Brno

|


36


Kontinuita cinnost organizace a hodnocen rizik

2

|


37

Vytva ren a implementace plan u kontinuity, BCP

Ohodnocen rizik (podle seznamu relevantnch prpadu)

2

X by melo byt provad eno za plneho zapojen vlastnku zdroju a

vlastnku procesu organizace X by melo zahrnout vsechny procesy v organizaci a melo by obsahovat vysledky tykaj c se bezpecnosti informac X nemelo by byt omezeno pouze na prostredky pro zpracovan informac. 2

vypracuje se kompletn seznam relevantnch prpadu

Vytvorenou strategii zajisten kontinuity c innosti organizace ma schvalit veden organizace a ma byt vytvoren a schvalen plan jej implementace

BCP { plan pro udrzen nebo obnovu c innost organizace po prerusen nebo selhan kritickych procesu a pro zajisten dostupnosti informac v pozadovanem c ase a na pozadovanou urove n X BCP ma byt vypracovany pro kazdy identi kovany proces X BCP ma byt navrzeny vlastnkem procesu / aktiva X navrzeny BCP ma byt oponovany bezpecnostnm poradcem

2

Pri vytva ren BCP se ma zva zit/zajistit (doporucen k realizaci) X existuje jasny popis (podepsany vedenm) podmnek,

za kterych se procedury obnovy spoust a kdo spusten iniciuje

X existuje jasny popis (podepsany vedenm) stanoven prijatelne urovn e

pro ztratu sluzeb nebo informac


|


38


|


39



X BCP by se mel soustredit na dosazen pozadovanych

X zpusob proskolen zamestnancu o odsouhlasenych havarijnch

clu strategie obnovy, napr. na obnoven speci ckych sluzeb zakazn kum v prijatelnem c asovem horizontu. Mely by byt zva zeny { vsechny sluzby a zdroje, kterych by se to mohlo tykat, { vcetne zamestnancu a zdroju neurcenych ke zpracovan informac { moznosti nouzoveho zajisten nahradn ch prostredku pro zpracovav an informac. Zajisten nahradn ch prostredku mu ze byt r eseno formou dohody o reciprocn vypomoci anebo uzavrenm komercn smlouvy. X vypracovan procedur a postupu obnovy a jejich dokumentace X BCP by mely pokryvat zjistene zranitelnosti a proto mohou obsahovat citlive informace, ktere je potrebne vhodnym zpusobem chranit. X kopie BCP by mely byt uklad any na dostatecne vzdalen ych mstech (zalo zn lokality), aby BCP nebyly zniceny v prpade havarie v hlavn lokalite. Jan Staudek, FI MU Brno

|


procedurach a postupech, vcetne krizoveho r zen X zajisten periodickeho testovan a aktualizac BCP X za aktualizaci a udrzovan BCP, vc. udrzovan konzistence centraln e uchovavan e kopie BCP, odpovda vlastnk procesu X urove n zavedenych bezpecnostnch opatren v zalo znch lokalitach ma byt ekvivalentn urovni bezpecnosti v hlavn lokalite.

40


BCP Framework

2

X Pro zajisten konzistence BCP a pro urcen priorit testovan a

udr zby ma byt k dispozici jednotny system plan u kontinuity c innost organizace podporujc jednotny format vsech BCP organizace

2

Duvody pro existenci jednotneho systemu BCP

System BCP by mel pokryvat identi kovane pozadavky na bezpecnost informac a mel by take zahrnovat:

X

zmena lokality, . . . mohou vyvolat zmeny ve vce BCP

X mus byt veden seznam vazeb (matice) plan u, aktiv,

X

odpovednych osob, . . . X jednotny system BCP ma byt soucast celkoveho systemu zmenoveho r zen v organizaci

X

BCP ma popisovat prstup k zajisten kontinuity c innost organizace { napr. zajisten dostupnosti a bezpecnosti IS Jan Staudek, FI MU Brno

|


41

X eskalacn procedury { podmnky aktivace plan u, ktere popisuj navod

X Zmeny v jednom BPC, zmeny v pokryt aktiv systemy (novy server),

2


System planov an kontinuity cinnost organizace


2

|

X

42

jak postupovat (napr. jak vyhodnotit situaci, kdo to provede, . . . ) nez dojde k samotne aktivaci kazdeho z BCP intern a extern mobilizacn a instrukta zn procedury, ktere by mely byt provedeny po vzniku incidentu ohrozujcho c innosti organizace nebo lidske z ivoty zachran e procedury { popisujc c innosti pro presun dule zitych aktivit organizace a dalsch podpurn ych sluzeb na nahradn docasne msto a zajist'ujc obnoven c innosti organizace v pozadovane dobe nouzove procedury { docasne provozn postupy az do doby obnoven c innosti postupy popisujc zpusob opetovneho uveden organizace do normaln ho provozu Jan Staudek, FI MU Brno

|


43

Testovan , udr zovan a p rezkoumav an BCP


2

X harmonogram urcujc jak a kdy bude plan testovan a

proces aktualizace planu X vzdelavac aktivity a aktivity k zlepsen povedom, zamer ene na pochopen procesu planov an kontinuity a pro zajisten jejich efektivnho prub ehu; X individualn odpovednosti popisujc, kdo odpovda za kterou slozku planu. X kriticka aktiva a zdroje potrebne pro zajisten havarijnch postupu, nahradn ch provozu a postupu


|


X Testovan BCP ma byt monitorovano a vysledky testu vyhodnocovany 2

kontrolovat uplnost navrzenych testovacch scen a ru pouzvat simulaci pro nacvik rol prover ovat zda mohou byt IS efektivne obnoveny prover ovat zda mohou byt IS efektivne obnoveny v nahradn lokalite prover ovat, z e externe poskytovane sluzby a produkty splnuj smluvn zavazky X testovat upln e prerusen, tj. testovan toho, z e se organizace, zamestnanci, zarzen, prostredky a procesy mohou s prerusenmi vyporadat 44

Kdy aktualizovat BCP ? X po nakupu noveho zarzen nebo pri modernizaci provoznho systemu X po proveden / uskutecnen zmeny:

a) ve slozen zamestnancu; b) v adresach nebo telefonnch c slech; c) v celkove strategii organizace; d) lokality, zarzen a zdroju; e) v legislative; f) smluvnch partneru, dodavatelu a klc ovych zakazn ku; g) v procesech nebo v jejich vytvoren/zrusen; h) rizicch (provoznch a ekonomickych).


|


Doporucen pro implementaci testu X X X X X

Testovan , udr zovan a p rezkoumav an BCP

2

BCP maj byt pravidelne testovany a aktualizovany, aby se zajistila jejich aktualnost a efektivnost z hlediska pozadavku na bezpecnost informac

46


|


45

Pl anu zachov an kontinuity podnik an,

Recommend Documents