Pl anu zachov an kontinuity podnik an,

Transkript

1 Uvodem Pl anu zachov an kontinuity podnik an, Business Continuity Plan, BCP, dodatek predn asky k ISMS PV 017 Bezpecnost IT Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Jan Staudek Kontinuita podnik an, Business Continuity Strategie uveden proces u a procedur podnik an b ehem a po hav arii ( utoku) v mste, kter e organizace potrebuje k provozu Cl pl anu zachov an kontinuity podnik an Pl an jak zabr anit prerusen kritick ych sluzeb podnik an a jak obnovit upln y provoz tak rychle a hladce, jak je to mozn e. Verze : podzim 2016 Jan Staudek, FI MU Brno PV017 { Plan zachovan kontinuity podnikatelskych procesu 1 Postup Prvn krok Uvodem Rozhodnut, kter e z funkc organizaci jsou naprosto nezbytn e, kritick e. Vyclenen rozpoctu pro obnovu techto funkc odpovdajcm zp usobem. Nemus b yt praktick e udrzet v provozu vsechny funkce organizace, pouze ty, kter e jsou nutn e pro funkcnost po dobu havarijn situace. Druh y krok urcit a zav est zotavovac postupu, kter e zajist, ze provoz m uze v prpade hav arie pokracovat s minim alnm prerusenm cinnosti. V ide alnm prpade organizace udrzuje aktu aln kopie dat v geogracky oddelen ych mstech, tak aby se udrzel bez prerusen prstup k dat um, pokud je jejich prim arn lokalita nedostupn a. Uvodem D ulezitou roli hraje Pl an zachov an kontinuity podnik an, BCP, Bussines Continuity Plan, kter y mus obsahovat Contingency Plan, Emergency Plan, Incident Control { Pl an cinnosti (IT) po utoku (bezpecnostnm incidentu) Dokumentuje { pl anovan e strategie v organizaci pro postupy po hav arii, { jak obnovit funkc v alternativnm umsten, { kter e z akladn sluzby v mste krize budou obnovov any, { akce by mely b yt provedena, pokud provoz nem uze pokracovat ani v alternativn umsten (dat) Disaster Recovery Plan { Pl an obnovy (Havarijn pl an) Jan Staudek, FI MU Brno PV017 { Plan zachovan kontinuity podnikatelskych procesu 2 Jan Staudek, FI MU Brno PV017 { Plan zachovan kontinuity podnikatelskych procesu 3

2 Terminologick e pozn amky Co je incident, utok,... { uplatnen hrozby, hrozba { potenci al utok u meriteln y v yznamem rizika riziko { pravdepodobnost uplatnen hrozby dan a urovn utocnka, vyuzitelnost zraniteln eho msta, urovn zp usoben e skody Co je hav arie incident / ud alost ohrozujc osoby, budovy, organizacn strukturu organizace a pozaduje uplatnit speci aln opatren pro n avrat vec do norm alnho stavu Prklady hav arie poz ar, z aplava, boure terorismus { bomba vandalismus v ypadek energie, klimatizace ztr ata kritick e sluzby (telefony, doprava,... ) zjisten hrozby zivotnmu prostred (azbest ve star e budove),... Pl anov an zachov an kontinuity podnik an, BCP Douglas Adams, Stopar uv pr uvodce po Galaxii { Z asadn rozdl mezi vecmi, kter e se mohou pokazit a vecmi, kter e se nemohou pokazit je: kdyz se pokaz veci, kter e se nemohou pokazit, pak je nelze opravit Cl BCP Co delat po utoku (bezpecnostnm incidentu), po hav arii Jak udrzet kontinuitu cinnosti organizace po utoku, po hav arii syst emu Zvl adnut rizika zp usobivsho hav arii, minimalizace pravdepodobnosti v yskytu hav arii Redukce doby nutn e pro obnovu cinnosti po hav arii Minimalizace rizik pro rizika obnovovacho procesu Kritick a rozhodnut d elan a pod tlakem krize vykazuj vysokou rizikovost validity, neefektivnosti, vysok e ceny Hav arie se m uze st at kdykoliv Jan Staudek, FI MU Brno PV017 { Plan zachovan kontinuity podnikatelskych procesu 4 Jan Staudek, FI MU Brno PV017 { Plan zachovan kontinuity podnikatelskych procesu 5 Pl anov an zachov an kontinuity podnik an, BCP Pl an obnovy, Havarijn pl an (Disaster Recovery Plan) Rysy, v ystupy BCP Contingency Plan, Emergency Plan, Incident Control { Pl an cinnosti (IT) po utoku (bezp. incidentu) { Pl an cinnosti ve stavu nouze, { N avody jak postupovat pri poskytov an sluzeb po zjisten utoku pomoc (napadnut ych) provoznch prostredk u { dohody o poskytov an n ahradnch resen a o uveden IS/elektronick ych dat do p uvodnho stavu Disaster Recovery Plan { Pl an obnovy (Havarijn pl an) { Hav arie { vesmes znac, ze doslo k tot aln likvidace nebo zneprstupnen provoznch prostredk u { n avod, jak postupovat pri obnove cinnosti IT po hav arii { obnova citliv ych proces u podnik an rzenm obnovacch akc specializovan ych t ym u Typick y obsah Krit eria denujc co se ch ape za hav arii Odpov ednosti za aktivaci obnovy jako takov e Odpov ednosti za aktivaci dlcch cinnost podle pl anu obnovy N avody k prov aden cinnost podle pl anu obnovy Jan Staudek, FI MU Brno PV017 { Plan zachovan kontinuity podnikatelskych procesu 6 Jan Staudek, FI MU Brno PV017 { Plan zachovan kontinuity podnikatelskych procesu 7

3 Pl an obnovy, Havarijn pl an (Disaster Recovery Plan) Zajist en kontinuity kancel arsk ych sluzeb (budovy, vybaven, kancel arsk e potreby,... ) informacnch technologi (komunikace, poctace,... ) lidsk ych zdroj u (vedomost o alternativnm prostred, dostupnost a produktivn vyuzitelnost potrebn ych zroj u) Klcov e ukoly BCP identikace proces u potrebn ych pro restart po hav arii identikace casov ych limit u identikace zdroj u potrebn ych pro restart v yber n akladove efektivn strategie proces u obnovy vypracov an Pl anu obnovy denujcho postup obnovy otestov an Pl anu obnovy, zajisten jeho aktu alnosti, tr enov an zamestnanc u jak se jm rdit Pl an obnovy, Havarijn pl an (Disaster Recovery Plan) Mus pokr yt vsechny urovn e rzen organizace Mus denovat akce spousten e po hav arii odpovedn e zamestnance (role) za konkr etn ukoly nejd ulezitejs procesy a syst emy konkr etn akce vyzadovan e pro restart uspor ad an nouzov eho rezimu zpracov an dat pozadavky na podporu ze z aloznch mst mimo hav arii pozadavky na z asoby zajisten informovanosti zamestnanc u Jan Staudek, FI MU Brno PV017 { Plan zachovan kontinuity podnikatelskych procesu 8 Jan Staudek, FI MU Brno PV017 { Plan zachovan kontinuity podnikatelskych procesu 9 Contingency Plan, Incident Control, Pl an cinnosti po utoku 3-f azov y pr ubeh reakce na utok Cl { zajist en nouzov e cinnosti prevence eskalace utoku do formy hav arie redukce a zvl ad an ucink u incidentu co nejvcasnejs spusten bezpecn ych z achrann ych akc a oprav 1. F aze { nastupuj t ymy prvn reakce obvykle denovan e t ymy z bezn ych provoznch pracovnk u ambulantn z asah informov an odpovedn eho pracovnka za vyresen incidentu 2. F aze { nastupuj t ymy pro resen incidentu obvykle denovan e t ymy ze znal ych pracovnk u dostupn strdave po 24 x 7 telefonem,... uv adej IT do provozu v adekv atne omezen ych provoznch podmnk ach prov adej posouzen d usledk u 3. F aze { nastupuj t ymy pro obnovu speci aln dovednosti, speci aln vybaven dlouhodobejs termny Jan Staudek, FI MU Brno PV017 { Plan zachovan kontinuity podnikatelskych procesu 10 Jan Staudek, FI MU Brno PV017 { Plan zachovan kontinuity podnikatelskych procesu 11

4 Pl an cinnosti po utoku (Contingency Plan) Uvahy o hav arii Obsah { soubor sc en ar u pro situace lisc se d elkou prerusen cinnosti ztr atou r uzn ych typ u vybaven omezenm prstupu do are alu organizace potrebou n avratu do p uvodnho stavu pred utokem Pozadavek prov ad en anal yzy incident u a jej dokumentace co se stalo a kdy resila se reakce podle predem stanoven eho pl anu? Byl tento pl an dostupn y a adekv atn? Co prste delat jinak? Je treba modikovat pl an? Nikdy se nastane,,ve vhodn e dobe" Je nepredvdateln a kdy? jakou formou? co vse se zneprstupn /znic, jak y bude dopad? Rozsah tot aln destrukce budov a vseho co je v nich { c astecn a destrukce { pred z aplavou jsou nekter e lokality chr anen e bez fyzick e destrukce { v blzkosti se nasla bomba, je zak azan y prstup F aze hav arie krize nouzov y rezim obnova vr acen do p uvodnho stavu Jan Staudek, FI MU Brno PV017 { Plan zachovan kontinuity podnikatelskych procesu 12 Jan Staudek, FI MU Brno PV017 { Plan zachovan kontinuity podnikatelskych procesu 13 F aze hav arie F aze hav arie krize prvn okamziky po incidentu nebo identikaci bezprostredn hrozby spoust se procesy prvn reakce aktivace nouzov ych sluzeb { aktivace t ym u rescch zaveden stavu nouze nouzov y rezim aktivovan y co nejdrve po vzniku krize nastupuj t ymy pro resen incidentu posouzen situace rozhodnut o aktivaci proces u obnovy a vr acen do p uvodnho stavu obnova nastupuj t ymy pro obnovu m uze trvat hodiny, dny, mesce,... konc vr acenm podnikatelsk ych proces u do norm aln cinnosti mus b yt stanoven e priority obnovy citliv ych proces u obnoven e citliv e procesy mus operovat v formou predepsanou pro rezim obnovy az do obnovy norm alnch podmnek vr acen do p uvodnho stavu je provedena renovace vsech zdroj u vsechny podnikatelsk e procesy bez v norm alnch podmnk ach Jan Staudek, FI MU Brno PV017 { Plan zachovan kontinuity podnikatelskych procesu 14 Jan Staudek, FI MU Brno PV017 { Plan zachovan kontinuity podnikatelskych procesu 15

5 F aze a procesy pl anov an zachov an cinnosti F aze zapojen managementu spr avne, vhodne stanovit odpovednost za v yvoj BCP, pl an mus pripravovat osoba (t ym),,znal a" posouzen rizik a BCP pl anov an patr mezi nejcitlivejs procesy na urovn vyssho managementu do diskuse o pl anov an je potreba ale zapojit s efy odbor u/oddelen, uspesn a obnova bude vyzadovat kooperaci projekt BCP mus b yt odsouhlasen y na vsech urovnch managementu V yvoj BCP je podstatne n akladnejs proces nez jeho udrzba, testov an, tr enov an zamestnanc u F aze v yvoje BCP { glob aln pozdavek na konci kazd e f aze se vypracuje technick a zpr ava technickou zpr avu odsouhlas odpovdajc amanagement pred spustenm dals f aze technick a zpr ava f aze n je vstupem pro f azi n+1 F aze v yvoje BCP Inici aln f aze Prozatmn pl an Posouzen rizik Prezkoum an dopad u na podnikatelsk e procesy Volby zp usob u zachov an cinnost Strategie obnovy Vypracov an pl anu a jeho implementace Zajist en znalosti pl anu, testov an, v ychova, udrzba Jan Staudek, FI MU Brno PV017 { Plan zachovan kontinuity podnikatelskych procesu 16 Jan Staudek, FI MU Brno PV017 { Plan zachovan kontinuity podnikatelskych procesu 17 F aze v yvoje BCP, Inici aln f aze F aze v yvoje BCP, Prozatmn pl an Participuje cel y vyss management Vytvoren / zaveden projektu BCP Prid elen odpov ednosti za projekt BCP jmenov an s efa odpovedn eho za organizaci proces u v yvoje a dozor nad prpravou, Business Continuity Officer, BCO Pl an uplat novan y do doby nez se dokonc proces v yvoje BCP Pokud se vypracov av a, nesm b yt ponech an jako n ahrada validn e vypracov avan eho BCP N eco jako docasn y meziprodukt, vypracovan y napr. na z aklad e podobnosti Jan Staudek, FI MU Brno PV017 { Plan zachovan kontinuity podnikatelskych procesu 18 Jan Staudek, FI MU Brno PV017 { Plan zachovan kontinuity podnikatelskych procesu 19

6 F aze v yvoje BCP, Posouzen rizik Klasick e uplatn en proces u z oblasti rzen rizik viz samostatn a predn aska Vstupy pro posouzen identikace rizika pro podnikatelsk e procesy (IT) identikace umerne n akladn ych preventivnch opatren Clem je unosn a redukce pravd epodobnost a dopad u hav ari a vyvol av an akc podle Pl anu zachov an kontinuity (Incident Control) F aze v yvoje BCP, Prezkoum an dopad u na podnik. procesy Identikace citliv ych podnikatelsk ych proces u Stanoven maxim aln akceptovateln e doby v ypadku cinnosti citliv ych podnikatelsk ych proces u Maximum Acceptable Outage Time (MAOT) Zdroj informac { interview, zpr avy o cinnosti, diskuse Metoda { strukturovan e dotaznky, diskuse Deatiln popis dopad u skod na citliv ych procesech, vyjadreno ve vhodn e sk ale Jan Staudek, FI MU Brno PV017 { Plan zachovan kontinuity podnikatelskych procesu 20 Jan Staudek, FI MU Brno PV017 { Plan zachovan kontinuity podnikatelskych procesu 21 F aze v yvoje BCP, Volby zp usob u zachov an cinnost Identikace r uzn ych voleb pro zsk an vyme novan ych ci nahrazovan ych zdroj u pri obnove ze ztr aty p uvodnch zdroj u poctace, komunikace, datab aze,... cena? jistota zsk an? jak zskat? meze? na jak dlouho? smluvn vazby pro zsk av an zdroj u F aze v yvoje BCP, Strategie obnovy Identikace alternativnch strategi obnovy lis se casov ym prostorem, jistotou obnovitelnosti, n aklady Volba nejvhodn ejs, n akladov e nejprijateln ejs strategie obnovy citliv ych proces u Melo by se vypracovat vce (?? 3) strategi Fin aln v yb er provede vyss management Jan Staudek, FI MU Brno PV017 { Plan zachovan kontinuity podnikatelskych procesu 22 Jan Staudek, FI MU Brno PV017 { Plan zachovan kontinuity podnikatelskych procesu 23

7 F aze v yvoje BCP, Vypracov an pl anu a jeho implementace Vypracov an pl anu a jeho implementace dokumentace procedur, jmenov an odpovednost,... Struktura Uvod { strucn y popis proc a ceho se t yk a, popis strategie, rol Informace o t ymech pro resen incident u a t ymech pro resen obnovy vc. kontaktnch informac a procedur Ukoly t ym u pro resen incident u a t ym u pro resen obnovy Odpovednosti a identikace proces u cinn ych ve stavu nouze Oponentura 1. verze Vypracov an relevantnch procedur a proces u Oponentura n aln verze Distribuce n astroj u a dokumentace F aze v yvoje BCP, Zajisten znalosti, testov an, v ychova,... skolen tr eningov e n acviky testov an ucinnosti alespo n 1 rocn e prehodnocen Jan Staudek, FI MU Brno PV017 { Plan zachovan kontinuity podnikatelskych procesu 24 Jan Staudek, FI MU Brno PV017 { Plan zachovan kontinuity podnikatelskych procesu 25 Vybran e rady pro tvorbu BCP Informacn zdroje clenit do kategori podle priority obnovy Zajistit shodnost porad obnovy v cel e organizaci Prov ad et (rocn) vyhodnocov an kriticnosti a priorit multi-uzivatelsk ych aplikac Souc ast BCP m a b yt,,pl an cinnosti organizace ve stavu nouze" Zajistit udrzov an pohotovosti t ymu 1. reakce Vypracovat syst em varov an o podezren na pr unik (porusen bezpecnosti) Provozovat syst em sb eru informac o podezrench na pr unik Vybran e rady pro tvorbu BCP Typick e cinnosti po podezren na pr unik do syst emu nepominuteln e (minim aln) ukoly spr avce syst emu odstaven kompromitovan eho poctace od ostatn ste uschov an logovacch z aznam u identikace proveden ych zmen obnova software z d uveryhodn eho zdroje re-inicializace syst emu rzen prstupu (zmena hesel,... ) Zakotvit v pracovnch r adech povinnost ucasti zam estnance na procesu obnovy po porusen bezpecnosti Rocn e vyhodnocovat pokryt funkc predepsan ych v BP Organizacn e zajistit periodick e prov ad en archivace Jan Staudek, FI MU Brno PV017 { Plan zachovan kontinuity podnikatelskych procesu 26 Jan Staudek, FI MU Brno PV017 { Plan zachovan kontinuity podnikatelskych procesu 27

8 Vybran e rady pro tvorbu BCP zajistit archivaci kritick ych dat na mobilnch poctacch stanovit syst em rzen prstupu k archivnm kopim zajistit d uv ernost o{line uschov avan ych archivnch kopi zajistit n asobnost archivnch kopi (alespo n duplicita) prov ad et inventurn evidence archivnch kopi Automatizovat archivaci na serveru Volba archivnho m edia Predpisuje syst emov a bezpecnostn politika Nutnost prov adet periodick e testov an pouzitelnosti m edia Likvidace d ale nepotrebn ych informac z aruka zachov an d uvernosti legislativn z avazky pro periodu uchov av an kopi dat Vybran e rady pro tvorbu BCP Kvantitativn cle zajist en dostupnosti zdroj u, aby uzivatel e meli sdlen e poctace dostupn e po dobu rovnou alespo n 95 % pracovn doby { v yrobn organizace 99,98 % pracovn doby { telefonn spolecnost 80 % pracovn doby { akademick e organizace v yse je funkce pozadavk u na plnen posl an organizace, urcuje vrcholov y management umst en du alnho (z aloznho) datov eho centra organizace separace lokality Zajist en dostupnosti z aloznho hardware smluvn syst em oprav a udrzby, n ahradn zdroje probl em z alohov an syst em u provozovan ych 24 x 7 kontroln body, zurn al transakc, tandemov e a zrcadlov e zpracov an Jan Staudek, FI MU Brno PV017 { Plan zachovan kontinuity podnikatelskych procesu 28 Jan Staudek, FI MU Brno PV017 { Plan zachovan kontinuity podnikatelskych procesu 29 Vybran e rady pro tvorbu BCP Rzen kontinuity cinnosti organizace, ISO/IEC Z alohy dat kde vytv aret z alohy (energetick a z avislost, fyzick a bezpecnost, organizovanost), n asobnost z aloh, zp usob distribuce z aloh do mst uchov av an Z alohy dokumentace, manu al u Nutn a znalost lokality umsten ISO/IEC Guidelines for information and communications technology readiness for business continuity Cl kontinuity cinnosti organizace Organizace je schopna prezt z avazn e incidenty { katastrofy a br anit se z avazn emu rusen sv ych cinnost { katastrofy, z avazn e rusen { v ysledek prrodnch pohrom, nehod, tot alnch v ypadk u zarzen, umysln ych jedn an,... Organizace je schopna chr anit sv e kritick e procesy Jan Staudek, FI MU Brno PV017 { Plan zachovan kontinuity podnikatelskych procesu 30 Jan Staudek, FI MU Brno PV017 { Plan zachovan kontinuity podnikatelskych procesu 31

9 Rzen kontinuity cinnosti organizace, Bussines Continuity, BC Rzen kontinuity cinnosti organizace, Bussines Continuity, BC Organizace m a mt vypracovan y Bussines Continuity Plan { BCP a implementovan y Bussines Continuity Management Process, BCPr, Pro zajisten toho, aby mohly b yt obnoveny klcov e cinnost organizace v pozadovan ych lh ut ach, je nutn e { vypracovat pl an kontinuity cinnost organizace, BCP, a { implementovat proces rzen kontinuity cinnost organizace, BCPr Jedn a se o o proces (pl an) minimalizace n asledk u katastrof a rzen cinnost clen ych na zotaven organizace ze ztr at na aktivech na prijatelnou urove n pomoc preventivnch a zotavovacch opatren D usledky pohrom, bezpecnostnch chyb a ztr aty/dostupnosti sluzeb se identikuj v r amci anal yzy dopad u, tj. pri ohodnocov an rizik Bezpecnost informac by se mela st at nedlnou souc ast rdcch proces u v r amci organizace a tudz i procesu rzen kontinuity cinnost Zp usoby vypracov an / implementace BCP / BCPr na zak azku specializovan ym dodavatelem vlastnmi silami organizace (+ extern testov an, oponentury,... ) Cl rzen kontinuity cinnosti organizace z hlediska bezpecnosti informac Br anit prerusen provoznch cinnost a chr anit kritick e procesy organizace pred n asledky z avazn ych selh an informacnch syst em u a zajistit vcasnou obnovu cinnosti techto syst em u Pl an rzen kontinuity cinnost organizace by mel { identikovat kritick e cinnosti organizace a { zaclenit pozadavky rzen bezpecnosti informac s ohledem na provozn, person aln, materi aln, dopravn pozadavky a na pozadavky na zarzen Proces rzen kontinuity cinnosti organizace je tmto pl anem rzen y Jan Staudek, FI MU Brno PV017 { Plan zachovan kontinuity podnikatelskych procesu 32 Jan Staudek, FI MU Brno PV017 { Plan zachovan kontinuity podnikatelskych procesu 33 Zahrnut bezpecnosti informac do BCPr BCPr { rzen y proces rozvoje a udrzov an kontinuity cinnosti organizace rzen y proces { existuje ve sk ale denovan ych proces u organizace BCPr m a zajistit (doporucen k realizaci) porozumen rizik um, kter ym organizace cel z hlediska pravdepodobnost a dopad u rizik, a identikaci a vymezen priorit kritick ych proces u organizace z hlediska zajist'ov an kontinuity cinnosti stanoven ych ohodnocenm rizik identikaci vsech aktiv, kter a jsou souc ast kritick ych proces u organizace porozumen dopad um, kter e mohou prerusen mt na cinnost organizace { mus b yt nalezena resen, kter a pokryj { jak,,mal e"incidenty (v ypadek napet, viry,... ), { tak i,,velk e"incidenty (poz ar, z aplava, terorismus) ohrozujc zivotaschopnost organizace Zahrnut bezpecnosti informac do BCPr identikaci dostatecn ych nancnch, organizacnch, technick ych a environment alnch zdroj u potrebn ych na pokryt identikovan ych pozadavk u na bezpecnost informac bezpecnost zamestnanc u, ochranu majetku a organizacnch aktiv organizace identikaci a zv azen implementace dodatecn ych preventivnch opatren a opatren k zmr nujcch negativn dopady zv azen moznosti uzavren pojistky, kter a m uze tvorit souc ast cel eho procesu zajisten kontinuity cinnost, a udrzov an adekv atn v yse pojistn eho formulov an strategie BC konzistentn s dokumentovan ymi cli a strategiemi organizace a jej odsouhlasen vrcholov ym managementem (a vsemi, kter ych se to pravdepodobne t yk a) formulov an detailnch BCP, pokr yvajcch pozadavky na bezpecnost dlcch informacnch syst em u, kter e jsou v souladu s odsouhlasenou strategi BC, a vypracov an dokumentace techto BCP Jan Staudek, FI MU Brno PV017 { Plan zachovan kontinuity podnikatelskych procesu 34 Jan Staudek, FI MU Brno PV017 { Plan zachovan kontinuity podnikatelskych procesu 35

10 Zahrnut bezpecnosti informac do BCPr Kontinuita cinnost organizace a ohodnocen rizik pravideln e testov an a aktualizov an pl an u a proces u zaclenen rzen kontinuity cinnost organizace mezi procesy, kulturu a struktury organizace a urcen konkr etn odpovednosti za proces koordinace rzen kontinuity v r amci organizace na odpovdajc urovni rzen Organizace m a mt vyvinutou strategii a pl any kontinuity sv ych cinnost (reakc na sledy bezpecnostnch incident u, kter e by mohly prerusit kritick e procesy organizace) vych azejc z ohodnocen rizik vych az se z pravdepodobnost incident u a z jejich dopad u na bezpecnost informac mus se identikovat sledy relevantnch bezpecnostnch incident u Typy mozn ych prerusen cinnosti z avaznejs extern prpady { bomby, teroristi, nepokoje, poz ar, z aplava,... { nabour an serverovny havarujcm autem vne budovy,... { prepaden osoby nesouc denn trzbu do banky,... drobnejs intern prp. { viry, skodliv y software, v ypadek napet,... vypracuje se kompletn seznam relevantnch prpad u Jan Staudek, FI MU Brno PV017 { Plan zachovan kontinuity podnikatelskych procesu 36 Jan Staudek, FI MU Brno PV017 { Plan zachovan kontinuity podnikatelskych procesu 37 Kontinuita cinnost organizace a hodnocen rizik Vytv aren a implementace pl an u kontinuity, BCP Ohodnocen rizik (podle seznamu relevantnch prpad u) by melo b yt prov adeno za pln eho zapojen vlastnk u zdroj u a vlastnk u proces u organizace by melo zahrnout vsechny procesy v organizaci a melo by obsahovat v ysledky t ykajc se bezpecnosti informac nemelo by b yt omezeno pouze na prostredky pro zpracov an informac. Vytvorenou strategii zajist en kontinuity cinnosti organizace m a schv alit veden organizace a m a b yt vytvoren a schv alen pl an jej implementace BCP { pl an pro udrzen nebo obnovu cinnost organizace po prerusen nebo selh an kritick ych proces u a pro zajist en dostupnosti informac v pozadovan em case a na pozadovanou urove n BCP m a b yt vypracovan y pro kazd y identikovan y proces BCP m a b yt navrzen y vlastnkem procesu / aktiva navrzen y BCP m a b yt oponovan y bezpecnostnm poradcem Pri vytv aren BCP se m a zv azit/zajistit (doporucen k realizaci) existuje jasn y popis (podepsan y vedenm) podmnek, za kter ych se procedury obnovy spoust a kdo spusten iniciuje existuje jasn y popis (podepsan y vedenm) stanoven prijateln e urovne pro ztr atu sluzeb nebo informac Jan Staudek, FI MU Brno PV017 { Plan zachovan kontinuity podnikatelskych procesu 38 Jan Staudek, FI MU Brno PV017 { Plan zachovan kontinuity podnikatelskych procesu 39

11 Vytv aren a implementace pl an u kontinuity, BCP Vytv aren a implementace pl an u kontinuity, BCP BCP by se mel soustredit na dosazen pozadovan ych cl u strategie obnovy, napr. na obnoven specick ych sluzeb z akaznk um v prijateln em casov em horizontu. Mely by b yt zv azeny { vsechny sluzby a zdroje, kter ych by se to mohlo t ykat, { vcetne zamestnanc u a zdroj u neurcen ych ke zpracov an informac { moznosti nouzov eho zajisten n ahradnch prostredk u pro zpracov av an informac. Zajisten n ahradnch prostredk u m uze b yt reseno formou dohody o reciprocn v ypomoci anebo uzavrenm komercn smlouvy. vypracov an procedur a postup u obnovy a jejich dokumentace BCP by mely pokr yvat zjisten e zranitelnosti a proto mohou obsahovat citliv e informace, kter e je potrebn e vhodn ym zp usobem chr anit. kopie BCP by mely b yt ukl ad any na dostatecne vzd alen ych mstech (z alozn lokality), aby BCP nebyly zniceny v prpade hav arie v hlavn lokalite. zp usob proskolen zamestnanc u o odsouhlasen ych havarijnch procedur ach a postupech, vcetne krizov eho rzen zajisten periodick eho testov an a aktualizac BCP za aktualizaci a udrzov an BCP, vc. udrzov an konzistence centr alne uchov avan e kopie BCP, odpovd a vlastnk procesu urove n zaveden ych bezpecnostnch opatren v z aloznch lokalit ach m a b yt ekvivalentn urovni bezpecnosti v hlavn lokalite. Jan Staudek, FI MU Brno PV017 { Plan zachovan kontinuity podnikatelskych procesu 40 Jan Staudek, FI MU Brno PV017 { Plan zachovan kontinuity podnikatelskych procesu 41 Syst em pl anov an kontinuity cinnost organizace BCP Framework Pro zajisten konzistence BCP a pro urcen priorit testov an a udrzby m a b yt k dispozici jednotn y syst em pl an u kontinuity cinnost organizace podporujc jednotn y form at vsech BCP organizace D uvody pro existenci jednotn eho syst emu BCP Zmeny v jednom BPC, zmeny v pokryt aktiv syst emy (nov y server), zmena lokality,... mohou vyvolat zmeny ve vce BCP mus b yt veden seznam vazeb (matice) pl an u, aktiv, odpovedn ych osob,... jednotn y syst em BCP m a b yt souc ast celkov eho syst emu zmenov eho rzen v organizaci BCP m a popisovat prstup k zajist en kontinuity cinnost organizace { napr. zajist en dostupnosti a bezpecnosti IS Syst em pl anov an kontinuity cinnost organizace Syst em BCP by mel pokr yvat identikovan e pozadavky na bezpecnost informac a m el by tak e zahrnovat: eskalacn procedury { podmnky aktivace pl an u, kter e popisuj n avod jak postupovat (napr. jak vyhodnotit situaci, kdo to provede,... ) nez dojde k samotn e aktivaci kazd eho z BCP intern a extern mobilizacn a instrukt azn procedury, kter e by mely b yt provedeny po vzniku incidentu ohrozujcho cinnosti organizace nebo lidsk e zivoty z achran e procedury { popisujc cinnosti pro presun d ulezit ych aktivit organizace a dalsch podp urn ych sluzeb na n ahradn docasn e msto a zajist'ujc obnoven cinnosti organizace v pozadovan e dobe nouzov e procedury { docasn e provozn postupy az do doby obnoven cinnosti postupy popisujc zp usob opetovn eho uveden organizace do norm alnho provozu Jan Staudek, FI MU Brno PV017 { Plan zachovan kontinuity podnikatelskych procesu 42 Jan Staudek, FI MU Brno PV017 { Plan zachovan kontinuity podnikatelskych procesu 43

12 Syst em pl anov an kontinuity cinnost organizace Testov an, udrzov an a prezkoum av an BCP harmonogram urcujc jak a kdy bude pl an testov an a proces aktualizace pl anu vzdel avac aktivity a aktivity k zlepsen povedom, zameren e na pochopen proces u pl anov an kontinuity a pro zajisten jejich efektivnho pr ubehu; individu aln odpovednosti popisujc, kdo odpovd a za kterou slozku pl anu. kritick a aktiva a zdroje potrebn e pro zajisten havarijnch postup u, n ahradnch provoz u a postup u BCP maj b yt pravidelne testov any a aktualizov any, aby se zajistila jejich aktu alnost a efektivnost z hlediska pozadavk u na bezpecnost informac Testov an BCP m a b yt monitorov ano a v ysledky test u vyhodnocov any Doporucen pro implementaci test u kontrolovat uplnost navrzen ych testovacch sc en ar u pouzvat simulaci pro n acvik rol proverovat zda mohou b yt IS efektivne obnoveny proverovat zda mohou b yt IS efektivne obnoveny v n ahradn lokalite proverovat, ze externe poskytovan e sluzby a produkty spl nuj smluvn z avazky testovat upln e prerusen, tj. testov an toho, ze se organizace, zamestnanci, zarzen, prostredky a procesy mohou s prerusenmi vypor adat Jan Staudek, FI MU Brno PV017 { Plan zachovan kontinuity podnikatelskych procesu 44 Jan Staudek, FI MU Brno PV017 { Plan zachovan kontinuity podnikatelskych procesu 45 Testov an, udrzov an a prezkoum av an BCP Kdy aktualizovat BCP? po n akupu nov eho zarzen nebo pri modernizaci provoznho syst emu po proveden / uskutecnen zmeny: a) ve slozen zamestnanc u; b) v adres ach nebo telefonnch cslech; c) v celkov e strategii organizace; d) lokality, zarzen a zdroj u; e) v legislative; f) smluvnch partner u, dodavatel u a klcov ych z akaznk u; g) v procesech nebo v jejich vytvoren/zrusen; h) rizicch (provoznch a ekonomick ych). Jan Staudek, FI MU Brno PV017 { Plan zachovan kontinuity podnikatelskych procesu 46