Pl anu zachov an kontinuity podnik an,

Transkript

1 Pl anu zachov an kontinuity podnik an, Business Continuity Plan, BCP, dodatek predn asky k ISMS PV 017 Bezpecnost IT Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Jan Staudek Verze : podzim 2016

2 Uvodem Kontinuita podnik an, Business Continuity Strategie uveden proces u a procedur podnik an b ehem a po hav arii ( utoku) v mste, kter e organizace potrebuje k provozu Cl pl anu zachov an kontinuity podnik an Pl an jak zabr anit prerusen kritick ych sluzeb podnik an a jak obnovit upln y provoz tak rychle a hladce, jak je to mozn e. Jan Staudek, FI MU Brno PV017 { Pl an zachov an kontinuity podnikatelsk ych proces u 1

3 Uvodem Postup Prvn krok Rozhodnut, kter e z funkc organizaci jsou naprosto nezbytn e, kritick e. Vyclen en rozpoctu pro obnovu t echto funkc odpovdajcm zp usobem. Nemus b yt praktick e udrzet v provozu vsechny funkce organizace, pouze ty, kter e jsou nutn e pro funkcnost po dobu havarijn situace. Druh y krok urcit a zav est zotavovac postupu, kter e zajist, ze provoz m uze v prpad e hav arie pokracovat s minim alnm prerusenm cinnosti. V ide alnm prpad e organizace udrzuje aktu aln kopie dat v geogracky odd elen ych mstech, tak aby se udrzel bez prerusen prstup k dat um, pokud je jejich prim arn lokalita nedostupn a. Jan Staudek, FI MU Brno PV017 { Pl an zachov an kontinuity podnikatelsk ych proces u 2

4 Uvodem D ulezitou roli hraje Pl an zachov an kontinuity podnik an, BCP, Bussines Continuity Plan, kter y mus obsahovat Contingency Plan, Emergency Plan, Incident Control { Pl an cinnosti (IT) po utoku (bezpecnostnm incidentu) Dokumentuje { pl anovan e strategie v organizaci pro postupy po hav arii, { jak obnovit funkc v alternativnm umst en, { kter e z akladn sluzby v mste krize budou obnovov any, { akce by mely b yt provedena, pokud provoz nem uze pokracovat ani v alternativn umst en (dat) Disaster Recovery Plan { Pl an obnovy (Havarijn pl an) Jan Staudek, FI MU Brno PV017 { Pl an zachov an kontinuity podnikatelsk ych proces u 3

5 Terminologick e pozn amky Co je incident, utok,... { uplatnen hrozby, hrozba { potenci al utok u meriteln y v yznamem rizika riziko { pravd epodobnost uplatn en hrozby dan a urovn utocnka, vyuzitelnost zraniteln eho msta, urovn zp usoben e skody Co je hav arie incident / ud alost ohrozujc osoby, budovy, organizacn strukturu organizace a pozaduje uplatnit speci aln opatren pro n avrat v ec do norm alnho stavu Prklady hav arie poz ar, z aplava, boure terorismus { bomba vandalismus v ypadek energie, klimatizace ztr ata kritick e sluzby (telefony, doprava,... ) zjist en hrozby zivotnmu prostred (azbest ve star e budov e),... Jan Staudek, FI MU Brno PV017 { Pl an zachov an kontinuity podnikatelsk ych proces u 4

6 Pl anov an zachov an kontinuity podnik an, BCP Douglas Adams, Stopar uv pr uvodce po Galaxii { Z asadn rozdl mezi vecmi, kter e se mohou pokazit a vecmi, kter e se nemohou pokazit je: kdyz se pokaz veci, kter e se nemohou pokazit, pak je nelze opravit Cl BCP Co d elat po utoku (bezpecnostnm incidentu), po hav arii Jak udrzet kontinuitu cinnosti organizace po utoku, po hav arii syst emu Zvl adnut rizika zp usobivsho hav arii, minimalizace pravd epodobnosti v yskytu hav arii Redukce doby nutn e pro obnovu cinnosti po hav arii Minimalizace rizik pro rizika obnovovacho procesu Kritick a rozhodnut d elan a pod tlakem krize vykazuj vysokou rizikovost validity, neefektivnosti, vysok e ceny Hav arie se m uze st at kdykoliv Jan Staudek, FI MU Brno PV017 { Pl an zachov an kontinuity podnikatelsk ych proces u 5

7 Pl anov an zachov an kontinuity podnik an, BCP Rysy, v ystupy BCP Contingency Plan, Emergency Plan, Incident Control { Pl an cinnosti (IT) po utoku (bezp. incidentu) { Pl an cinnosti ve stavu nouze, { N avody jak postupovat pri poskytov an sluzeb po zjist en utoku pomoc (napadnut ych) provoznch prostredk u { dohody o poskytov an n ahradnch resen a o uveden IS/elektronick ych dat do p uvodnho stavu Disaster Recovery Plan { Pl an obnovy (Havarijn pl an) { Hav arie { vesmes znac, ze doslo k tot aln likvidace nebo zneprstupn en provoznch prostredk u { n avod, jak postupovat pri obnove cinnosti IT po hav arii { obnova citliv ych proces u podnik an rzenm obnovacch akc specializovan ych t ym u Jan Staudek, FI MU Brno PV017 { Pl an zachov an kontinuity podnikatelsk ych proces u 6

8 Pl an obnovy, Havarijn pl an (Disaster Recovery Plan) Typick y obsah Krit eria denujc co se ch ape za hav arii Odpov ednosti za aktivaci obnovy jako takov e Odpov ednosti za aktivaci dlcch cinnost podle pl anu obnovy N avody k prov aden cinnost podle pl anu obnovy Jan Staudek, FI MU Brno PV017 { Pl an zachov an kontinuity podnikatelsk ych proces u 7

9 Pl an obnovy, Havarijn pl an (Disaster Recovery Plan) Zajist en kontinuity kancel arsk ych sluzeb (budovy, vybaven, kancel arsk e potreby,... ) informacnch technologi (komunikace, poctace,... ) lidsk ych zdroj u (v edomost o alternativnm prostred, dostupnost a produktivn vyuzitelnost potrebn ych zroj u) Klcov e ukoly BCP identikace proces u potrebn ych pro restart po hav arii identikace casov ych limit u identikace zdroj u potrebn ych pro restart v yb er n akladov e efektivn strategie proces u obnovy vypracov an Pl anu obnovy denujcho postup obnovy otestov an Pl anu obnovy, zajist en jeho aktu alnosti, tr enov an zamestnanc u jak se jm rdit Jan Staudek, FI MU Brno PV017 { Pl an zachov an kontinuity podnikatelsk ych proces u 8

10 Pl an obnovy, Havarijn pl an (Disaster Recovery Plan) Mus pokr yt vsechny urovn e rzen organizace Mus denovat akce spousten e po hav arii odpov edn e zam estnance (role) za konkr etn ukoly nejd ulezit ejs procesy a syst emy konkr etn akce vyzadovan e pro restart uspor ad an nouzov eho rezimu zpracov an dat pozadavky na podporu ze z aloznch mst mimo hav arii pozadavky na z asoby zajist en informovanosti zam estnanc u Jan Staudek, FI MU Brno PV017 { Pl an zachov an kontinuity podnikatelsk ych proces u 9

11 Contingency Plan, Incident Control, Pl an cinnosti po utoku Cl { zajist en nouzov e cinnosti prevence eskalace utoku do formy hav arie redukce a zvl ad an ucink u incidentu co nejvcasn ejs spust en bezpecn ych z achrann ych akc a oprav Jan Staudek, FI MU Brno PV017 { Pl an zachov an kontinuity podnikatelsk ych proces u 10

12 3-f azov y pr ubeh reakce na utok 1. F aze { nastupuj t ymy prvn reakce obvykle denovan e t ymy z b ezn ych provoznch pracovnk u ambulantn z asah informov an odpov edn eho pracovnka za vyresen incidentu 2. F aze { nastupuj t ymy pro resen incidentu obvykle denovan e t ymy ze znal ych pracovnk u dostupn strdave po 24 x 7 telefonem,... uv adej IT do provozu v adekv atne omezen ych provoznch podmnk ach prov ad ej posouzen d usledk u 3. F aze { nastupuj t ymy pro obnovu speci aln dovednosti, speci aln vybaven dlouhodob ejs termny Jan Staudek, FI MU Brno PV017 { Pl an zachov an kontinuity podnikatelsk ych proces u 11

13 Pl an cinnosti po utoku (Contingency Plan) Obsah { soubor sc en ar u pro situace lisc se d elkou prerusen cinnosti ztr atou r uzn ych typ u vybaven omezenm prstupu do are alu organizace potrebou n avratu do p uvodnho stavu pred utokem Pozadavek prov ad en anal yzy incident u a jej dokumentace co se stalo a kdy resila se reakce podle predem stanoven eho pl anu? Byl tento pl an dostupn y a adekv atn? Co prste delat jinak? Je treba modikovat pl an? Jan Staudek, FI MU Brno PV017 { Pl an zachov an kontinuity podnikatelsk ych proces u 12

14 Uvahy o hav arii Nikdy se nastane,,ve vhodn e dobe" Je nepredvdateln a kdy? jakou formou? co vse se zneprstupn /znic, jak y bude dopad? Rozsah tot aln destrukce budov a vseho co je v nich { c astecn a destrukce { pred z aplavou jsou nekter e lokality chr anen e bez fyzick e destrukce { v blzkosti se nasla bomba, je zak azan y prstup F aze hav arie krize nouzov y rezim obnova vr acen do p uvodnho stavu Jan Staudek, FI MU Brno PV017 { Pl an zachov an kontinuity podnikatelsk ych proces u 13

15 F aze hav arie krize prvn okamziky po incidentu nebo identikaci bezprostredn hrozby spoust se procesy prvn reakce aktivace nouzov ych sluzeb { aktivace t ym u rescch zaveden stavu nouze nouzov y rezim aktivovan y co nejdrve po vzniku krize nastupuj t ymy pro resen incidentu posouzen situace rozhodnut o aktivaci proces u obnovy a vr acen do p uvodnho stavu Jan Staudek, FI MU Brno PV017 { Pl an zachov an kontinuity podnikatelsk ych proces u 14

16 F aze hav arie obnova nastupuj t ymy pro obnovu m uze trvat hodiny, dny, mesce,... konc vr acenm podnikatelsk ych proces u do norm aln cinnosti mus b yt stanoven e priority obnovy citliv ych proces u obnoven e citliv e procesy mus operovat v formou predepsanou pro rezim obnovy az do obnovy norm alnch podmnek vr acen do p uvodnho stavu je provedena renovace vsech zdroj u vsechny podnikatelsk e procesy b ez v norm alnch podmnk ach Jan Staudek, FI MU Brno PV017 { Pl an zachov an kontinuity podnikatelsk ych proces u 15

17 F aze a procesy pl anov an zachov an cinnosti F aze zapojen managementu spr avne, vhodne stanovit odpovednost za v yvoj BCP, pl an mus pripravovat osoba (t ym),,znal a" posouzen rizik a BCP pl anov an patr mezi nejcitliv ejs procesy na urovn vyssho managementu do diskuse o pl anov an je potreba ale zapojit s efy odbor u/oddelen, usp esn a obnova bude vyzadovat kooperaci projekt BCP mus b yt odsouhlasen y na vsech urovnch managementu V yvoj BCP je podstatne n akladnejs proces nez jeho udrzba, testov an, tr enov an zam estnanc u F aze v yvoje BCP { glob aln pozdavek na konci kazd e f aze se vypracuje technick a zpr ava technickou zpr avu odsouhlas odpovdajc amanagement pred spust enm dals f aze technick a zpr ava f aze n je vstupem pro f azi n+1 Jan Staudek, FI MU Brno PV017 { Pl an zachov an kontinuity podnikatelsk ych proces u 16

18 F aze v yvoje BCP Inici aln f aze Prozatmn pl an Posouzen rizik Prezkoum an dopad u na podnikatelsk e procesy Volby zp usob u zachov an cinnost Strategie obnovy Vypracov an pl anu a jeho implementace Zajist en znalosti pl anu, testov an, v ychova, udrzba Jan Staudek, FI MU Brno PV017 { Pl an zachov an kontinuity podnikatelsk ych proces u 17

19 F aze v yvoje BCP, Inici aln f aze Participuje cel y vyss management Vytvoren / zaveden projektu BCP Prid elen odpov ednosti za projekt BCP jmenov an s efa odpovedn eho za organizaci proces u v yvoje a dozor nad prpravou, Business Continuity Officer, BCO Jan Staudek, FI MU Brno PV017 { Pl an zachov an kontinuity podnikatelsk ych proces u 18

20 F aze v yvoje BCP, Prozatmn pl an Pl an uplat novan y do doby nez se dokonc proces v yvoje BCP Pokud se vypracov av a, nesm b yt ponech an jako n ahrada validn e vypracov avan eho BCP N eco jako docasn y meziprodukt, vypracovan y napr. na z aklad e podobnosti Jan Staudek, FI MU Brno PV017 { Pl an zachov an kontinuity podnikatelsk ych proces u 19

21 F aze v yvoje BCP, Posouzen rizik Klasick e uplatn en proces u z oblasti rzen rizik viz samostatn a predn aska Vstupy pro posouzen identikace rizika pro podnikatelsk e procesy (IT) identikace um ern e n akladn ych preventivnch opatren Clem je unosn a redukce pravd epodobnost a dopad u hav ari a vyvol av an akc podle Pl anu zachov an kontinuity (Incident Control) Jan Staudek, FI MU Brno PV017 { Pl an zachov an kontinuity podnikatelsk ych proces u 20

22 F aze v yvoje BCP, Prezkoum an dopad u na podnik. procesy Identikace citliv ych podnikatelsk ych proces u Stanoven maxim aln akceptovateln e doby v ypadku cinnosti citliv ych podnikatelsk ych proces u Maximum Acceptable Outage Time (MAOT) Zdroj informac { interview, zpr avy o cinnosti, diskuse Metoda { strukturovan e dotaznky, diskuse Deatiln popis dopad u skod na citliv ych procesech, vyjadreno ve vhodn e sk ale Jan Staudek, FI MU Brno PV017 { Pl an zachov an kontinuity podnikatelsk ych proces u 21

23 F aze v yvoje BCP, Volby zp usob u zachov an cinnost Identikace r uzn ych voleb pro zsk an vyme novan ych ci nahrazovan ych zdroj u pri obnove ze ztr aty p uvodnch zdroj u poctace, komunikace, datab aze,... cena? jistota zsk an? jak zskat? meze? na jak dlouho? smluvn vazby pro zsk av an zdroj u Jan Staudek, FI MU Brno PV017 { Pl an zachov an kontinuity podnikatelsk ych proces u 22

24 F aze v yvoje BCP, Strategie obnovy Identikace alternativnch strategi obnovy lis se casov ym prostorem, jistotou obnovitelnosti, n aklady Volba nejvhodn ejs, n akladov e nejprijateln ejs strategie obnovy citliv ych proces u Melo by se vypracovat vce (?? 3) strategi Fin aln v yb er provede vyss management Jan Staudek, FI MU Brno PV017 { Pl an zachov an kontinuity podnikatelsk ych proces u 23

25 F aze v yvoje BCP, Vypracov an pl anu a jeho implementace Vypracov an pl anu a jeho implementace dokumentace procedur, jmenov an odpov ednost,... Struktura Uvod { strucn y popis proc a ceho se t yk a, popis strategie, rol Informace o t ymech pro resen incident u a t ymech pro resen obnovy vc. kontaktnch informac a procedur Ukoly t ym u pro resen incident u a t ym u pro resen obnovy Odpov ednosti a identikace proces u cinn ych ve stavu nouze Oponentura 1. verze Vypracov an relevantnch procedur a proces u Oponentura n aln verze Distribuce n astroj u a dokumentace Jan Staudek, FI MU Brno PV017 { Pl an zachov an kontinuity podnikatelsk ych proces u 24

26 F aze v yvoje BCP, Zajisten znalosti, testov an, v ychova,... skolen tr eningov e n acviky testov an ucinnosti alespo n 1 rocn e prehodnocen Jan Staudek, FI MU Brno PV017 { Pl an zachov an kontinuity podnikatelsk ych proces u 25

27 Vybran e rady pro tvorbu BCP Informacn zdroje clenit do kategori podle priority obnovy Zajistit shodnost porad obnovy v cel e organizaci Prov ad et (rocn) vyhodnocov an kriticnosti a priorit multi-uzivatelsk ych aplikac Souc ast BCP m a b yt,,pl an cinnosti organizace ve stavu nouze" Zajistit udrzov an pohotovosti t ymu 1. reakce Vypracovat syst em varov an o podezren na pr unik (porusen bezpecnosti) Provozovat syst em sb eru informac o podezrench na pr unik Jan Staudek, FI MU Brno PV017 { Pl an zachov an kontinuity podnikatelsk ych proces u 26

28 Vybran e rady pro tvorbu BCP Typick e cinnosti po podezren na pr unik do syst emu nepominuteln e (minim aln) ukoly spr avce syst emu odstaven kompromitovan eho poctace od ostatn st e uschov an logovacch z aznam u identikace proveden ych zm en obnova software z d uv eryhodn eho zdroje re-inicializace syst emu rzen prstupu (zm ena hesel,... ) Zakotvit v pracovnch r adech povinnost ucasti zam estnance na procesu obnovy po porusen bezpecnosti Rocn e vyhodnocovat pokryt funkc predepsan ych v BP Organizacn e zajistit periodick e prov ad en archivace Jan Staudek, FI MU Brno PV017 { Pl an zachov an kontinuity podnikatelsk ych proces u 27

29 Vybran e rady pro tvorbu BCP zajistit archivaci kritick ych dat na mobilnch poctacch stanovit syst em rzen prstupu k archivnm kopim zajistit d uv ernost o{line uschov avan ych archivnch kopi zajistit n asobnost archivnch kopi (alespo n duplicita) prov ad et inventurn evidence archivnch kopi Automatizovat archivaci na serveru Volba archivnho m edia Predpisuje syst emov a bezpecnostn politika Nutnost prov ad et periodick e testov an pouzitelnosti m edia Likvidace d ale nepotrebn ych informac z aruka zachov an d uv ernosti legislativn z avazky pro periodu uchov av an kopi dat Jan Staudek, FI MU Brno PV017 { Pl an zachov an kontinuity podnikatelsk ych proces u 28

30 Vybran e rady pro tvorbu BCP Kvantitativn cle zajist en dostupnosti zdroj u, aby uzivatel e meli sdlen e poctace dostupn e po dobu rovnou alespo n 95 % pracovn doby { v yrobn organizace 99,98 % pracovn doby { telefonn spolecnost 80 % pracovn doby { akademick e organizace v yse je funkce pozadavk u na pln en posl an organizace, urcuje vrcholov y management umst en du alnho (z aloznho) datov eho centra organizace separace lokality Zajist en dostupnosti z aloznho hardware smluvn syst em oprav a udrzby, n ahradn zdroje probl em z alohov an syst em u provozovan ych 24 x 7 kontroln body, zurn al transakc, tandemov e a zrcadlov e zpracov an Jan Staudek, FI MU Brno PV017 { Pl an zachov an kontinuity podnikatelsk ych proces u 29

31 Vybran e rady pro tvorbu BCP Z alohy dat kde vytv aret z alohy (energetick a z avislost, fyzick a bezpecnost, organizovanost), n asobnost z aloh, zp usob distribuce z aloh do mst uchov av an Z alohy dokumentace, manu al u Nutn a znalost lokality umst en Jan Staudek, FI MU Brno PV017 { Pl an zachov an kontinuity podnikatelsk ych proces u 30

32 Rzen kontinuity cinnosti organizace, ISO/IEC ISO/IEC Guidelines for information and communications technology readiness for business continuity Cl kontinuity cinnosti organizace Organizace je schopna prezt z avazn e incidenty { katastrofy a br anit se z avazn emu rusen sv ych cinnost { katastrofy, z avazn e rusen { v ysledek prrodnch pohrom, nehod, tot alnch v ypadk u zarzen, umysln ych jedn an,... Organizace je schopna chr anit sv e kritick e procesy Jan Staudek, FI MU Brno PV017 { Pl an zachov an kontinuity podnikatelsk ych proces u 31

33 Rzen kontinuity cinnosti organizace, Bussines Continuity, BC Organizace m a mt vypracovan y Bussines Continuity Plan { BCP a implementovan y Bussines Continuity Management Process, BCPr, Pro zajist en toho, aby mohly b yt obnoveny klcov e cinnost organizace v pozadovan ych lh ut ach, je nutn e { vypracovat pl an kontinuity cinnost organizace, BCP, a { implementovat proces rzen kontinuity cinnost organizace, BCPr Jedn a se o o proces (pl an) minimalizace n asledk u katastrof a rzen cinnost clen ych na zotaven organizace ze ztr at na aktivech na prijatelnou urove n pomoc preventivnch a zotavovacch opatren D usledky pohrom, bezpecnostnch chyb a ztr aty/dostupnosti sluzeb se identikuj v r amci anal yzy dopad u, tj. pri ohodnocov an rizik Bezpecnost informac by se m ela st at nedlnou souc ast rdcch proces u v r amci organizace a tudz i procesu rzen kontinuity cinnost Jan Staudek, FI MU Brno PV017 { Pl an zachov an kontinuity podnikatelsk ych proces u 32

34 Rzen kontinuity cinnosti organizace, Bussines Continuity, BC Zp usoby vypracov an / implementace BCP / BCPr na zak azku specializovan ym dodavatelem vlastnmi silami organizace (+ extern testov an, oponentury,... ) Cl rzen kontinuity cinnosti organizace z hlediska bezpecnosti informac Br anit prerusen provoznch cinnost a chr anit kritick e procesy organizace pred n asledky z avazn ych selh an informacnch syst em u a zajistit vcasnou obnovu cinnosti t echto syst em u Pl an rzen kontinuity cinnost organizace by m el { identikovat kritick e cinnosti organizace a { zaclenit pozadavky rzen bezpecnosti informac s ohledem na provozn, person aln, materi aln, dopravn pozadavky a na pozadavky na zarzen Proces rzen kontinuity cinnosti organizace je tmto pl anem rzen y Jan Staudek, FI MU Brno PV017 { Pl an zachov an kontinuity podnikatelsk ych proces u 33

35 Zahrnut bezpecnosti informac do BCPr BCPr { rzen y proces rozvoje a udrzov an kontinuity cinnosti organizace rzen y proces { existuje ve sk ale denovan ych proces u organizace BCPr m a zajistit (doporucen k realizaci) porozum en rizik um, kter ym organizace cel z hlediska pravd epodobnost a dopad u rizik, a identikaci a vymezen priorit kritick ych proces u organizace z hlediska zajist'ov an kontinuity cinnosti stanoven ych ohodnocenm rizik identikaci vsech aktiv, kter a jsou souc ast kritick ych proces u organizace porozum en dopad um, kter e mohou prerusen mt na cinnost organizace { mus b yt nalezena resen, kter a pokryj { jak,,mal e"incidenty (v ypadek napet, viry,... ), { tak i,,velk e"incidenty (poz ar, z aplava, terorismus) ohrozujc zivotaschopnost organizace Jan Staudek, FI MU Brno PV017 { Pl an zachov an kontinuity podnikatelsk ych proces u 34

36 Zahrnut bezpecnosti informac do BCPr identikaci dostatecn ych nancnch, organizacnch, technick ych a environment alnch zdroj u potrebn ych na pokryt identikovan ych pozadavk u na bezpecnost informac bezpecnost zam estnanc u, ochranu majetku a organizacnch aktiv organizace identikaci a zv azen implementace dodatecn ych preventivnch opatren a opatren k zmr nujcch negativn dopady zv azen moznosti uzavren pojistky, kter a m uze tvorit souc ast cel eho procesu zajist en kontinuity cinnost, a udrzov an adekv atn v yse pojistn eho formulov an strategie BC konzistentn s dokumentovan ymi cli a strategiemi organizace a jej odsouhlasen vrcholov ym managementem (a vsemi, kter ych se to pravdepodobne t yk a) formulov an detailnch BCP, pokr yvajcch pozadavky na bezpecnost dlcch informacnch syst em u, kter e jsou v souladu s odsouhlasenou strategi BC, a vypracov an dokumentace t echto BCP Jan Staudek, FI MU Brno PV017 { Pl an zachov an kontinuity podnikatelsk ych proces u 35

37 Zahrnut bezpecnosti informac do BCPr pravideln e testov an a aktualizov an pl an u a proces u zaclen en rzen kontinuity cinnost organizace mezi procesy, kulturu a struktury organizace a urcen konkr etn odpov ednosti za proces koordinace rzen kontinuity v r amci organizace na odpovdajc urovni rzen Jan Staudek, FI MU Brno PV017 { Pl an zachov an kontinuity podnikatelsk ych proces u 36

38 Kontinuita cinnost organizace a ohodnocen rizik Organizace m a mt vyvinutou strategii a pl any kontinuity sv ych cinnost (reakc na sledy bezpecnostnch incident u, kter e by mohly prerusit kritick e procesy organizace) vych azejc z ohodnocen rizik vych az se z pravdepodobnost incident u a z jejich dopad u na bezpecnost informac mus se identikovat sledy relevantnch bezpecnostnch incident u Typy mozn ych prerusen cinnosti z avazn ejs extern prpady { bomby, teroristi, nepokoje, poz ar, z aplava,... { nabour an serverovny havarujcm autem vne budovy,... { prepaden osoby nesouc denn trzbu do banky,... drobnejs intern prp. { viry, skodliv y software, v ypadek napet,... vypracuje se kompletn seznam relevantnch prpad u Jan Staudek, FI MU Brno PV017 { Pl an zachov an kontinuity podnikatelsk ych proces u 37

39 Kontinuita cinnost organizace a hodnocen rizik Ohodnocen rizik (podle seznamu relevantnch prpad u) by melo b yt prov adeno za pln eho zapojen vlastnk u zdroj u a vlastnk u proces u organizace by m elo zahrnout vsechny procesy v organizaci a m elo by obsahovat v ysledky t ykajc se bezpecnosti informac nem elo by b yt omezeno pouze na prostredky pro zpracov an informac. Vytvorenou strategii zajist en kontinuity cinnosti organizace m a schv alit veden organizace a m a b yt vytvoren a schv alen pl an jej implementace Jan Staudek, FI MU Brno PV017 { Pl an zachov an kontinuity podnikatelsk ych proces u 38

40 Vytv aren a implementace pl an u kontinuity, BCP BCP { pl an pro udrzen nebo obnovu cinnost organizace po prerusen nebo selh an kritick ych proces u a pro zajist en dostupnosti informac v pozadovan em case a na pozadovanou urove n BCP m a b yt vypracovan y pro kazd y identikovan y proces BCP m a b yt navrzen y vlastnkem procesu / aktiva navrzen y BCP m a b yt oponovan y bezpecnostnm poradcem Pri vytv aren BCP se m a zv azit/zajistit (doporucen k realizaci) existuje jasn y popis (podepsan y vedenm) podmnek, za kter ych se procedury obnovy spoust a kdo spust en iniciuje existuje jasn y popis (podepsan y vedenm) stanoven prijateln e urovn e pro ztr atu sluzeb nebo informac Jan Staudek, FI MU Brno PV017 { Pl an zachov an kontinuity podnikatelsk ych proces u 39

41 Vytv aren a implementace pl an u kontinuity, BCP BCP by se m el soustredit na dosazen pozadovan ych cl u strategie obnovy, napr. na obnoven specick ych sluzeb z akaznk um v prijateln em casov em horizontu. Mely by b yt zv azeny { vsechny sluzby a zdroje, kter ych by se to mohlo t ykat, { vcetne zamestnanc u a zdroj u neurcen ych ke zpracov an informac { moznosti nouzov eho zajist en n ahradnch prostredk u pro zpracov av an informac. Zajist en n ahradnch prostredk u m uze b yt reseno formou dohody o reciprocn v ypomoci anebo uzavrenm komercn smlouvy. vypracov an procedur a postup u obnovy a jejich dokumentace BCP by mely pokr yvat zjisten e zranitelnosti a proto mohou obsahovat citliv e informace, kter e je potrebn e vhodn ym zp usobem chr anit. kopie BCP by mely b yt ukl ad any na dostatecne vzd alen ych mstech (z alozn lokality), aby BCP nebyly zniceny v prpad e hav arie v hlavn lokalit e. Jan Staudek, FI MU Brno PV017 { Pl an zachov an kontinuity podnikatelsk ych proces u 40

42 Vytv aren a implementace pl an u kontinuity, BCP zp usob proskolen zam estnanc u o odsouhlasen ych havarijnch procedur ach a postupech, vcetn e krizov eho rzen zajist en periodick eho testov an a aktualizac BCP za aktualizaci a udrzov an BCP, vc. udrzov an konzistence centr aln e uchov avan e kopie BCP, odpovd a vlastnk procesu urove n zaveden ych bezpecnostnch opatren v z aloznch lokalit ach m a b yt ekvivalentn urovni bezpecnosti v hlavn lokalit e. Jan Staudek, FI MU Brno PV017 { Pl an zachov an kontinuity podnikatelsk ych proces u 41

43 Syst em pl anov an kontinuity cinnost organizace BCP Framework Pro zajist en konzistence BCP a pro urcen priorit testov an a udrzby m a b yt k dispozici jednotn y syst em pl an u kontinuity cinnost organizace podporujc jednotn y form at vsech BCP organizace D uvody pro existenci jednotn eho syst emu BCP Zmeny v jednom BPC, zmeny v pokryt aktiv syst emy (nov y server), zmena lokality,... mohou vyvolat zmeny ve vce BCP mus b yt veden seznam vazeb (matice) pl an u, aktiv, odpovedn ych osob,... jednotn y syst em BCP m a b yt souc ast celkov eho syst emu zm enov eho rzen v organizaci BCP m a popisovat prstup k zajist en kontinuity cinnost organizace { napr. zajist en dostupnosti a bezpecnosti IS Jan Staudek, FI MU Brno PV017 { Pl an zachov an kontinuity podnikatelsk ych proces u 42

44 Syst em pl anov an kontinuity cinnost organizace Syst em BCP by mel pokr yvat identikovan e pozadavky na bezpecnost informac a m el by tak e zahrnovat: eskalacn procedury { podmnky aktivace pl an u, kter e popisuj n avod jak postupovat (napr. jak vyhodnotit situaci, kdo to provede,... ) nez dojde k samotn e aktivaci kazd eho z BCP intern a extern mobilizacn a instrukt azn procedury, kter e by m ely b yt provedeny po vzniku incidentu ohrozujcho cinnosti organizace nebo lidsk e zivoty z achran e procedury { popisujc cinnosti pro presun d ulezit ych aktivit organizace a dalsch podp urn ych sluzeb na n ahradn docasn e msto a zajist'ujc obnoven cinnosti organizace v pozadovan e dob e nouzov e procedury { docasn e provozn postupy az do doby obnoven cinnosti postupy popisujc zp usob op etovn eho uveden organizace do norm alnho provozu Jan Staudek, FI MU Brno PV017 { Pl an zachov an kontinuity podnikatelsk ych proces u 43

45 Syst em pl anov an kontinuity cinnost organizace harmonogram urcujc jak a kdy bude pl an testov an a proces aktualizace pl anu vzd el avac aktivity a aktivity k zlepsen pov edom, zam eren e na pochopen proces u pl anov an kontinuity a pro zajist en jejich efektivnho pr ub ehu; individu aln odpov ednosti popisujc, kdo odpovd a za kterou slozku pl anu. kritick a aktiva a zdroje potrebn e pro zajist en havarijnch postup u, n ahradnch provoz u a postup u Jan Staudek, FI MU Brno PV017 { Pl an zachov an kontinuity podnikatelsk ych proces u 44

46 Testov an, udrzov an a prezkoum av an BCP BCP maj b yt pravidelne testov any a aktualizov any, aby se zajistila jejich aktu alnost a efektivnost z hlediska pozadavk u na bezpecnost informac Testov an BCP m a b yt monitorov ano a v ysledky test u vyhodnocov any Doporucen pro implementaci test u kontrolovat uplnost navrzen ych testovacch sc en ar u pouzvat simulaci pro n acvik rol proverovat zda mohou b yt IS efektivne obnoveny proverovat zda mohou b yt IS efektivne obnoveny v n ahradn lokalite prov erovat, ze extern e poskytovan e sluzby a produkty spl nuj smluvn z avazky testovat upln e prerusen, tj. testov an toho, ze se organizace, zam estnanci, zarzen, prostredky a procesy mohou s prerusenmi vypor adat Jan Staudek, FI MU Brno PV017 { Pl an zachov an kontinuity podnikatelsk ych proces u 45

47 Testov an, udrzov an a prezkoum av an BCP Kdy aktualizovat BCP? po n akupu nov eho zarzen nebo pri modernizaci provoznho syst emu po proveden / uskutecn en zm eny: a) ve slozen zam estnanc u; b) v adres ach nebo telefonnch cslech; c) v celkov e strategii organizace; d) lokality, zarzen a zdroj u; e) v legislativ e; f) smluvnch partner u, dodavatel u a klcov ych z akaznk u; g) v procesech nebo v jejich vytvoren/zrusen; h) rizicch (provoznch a ekonomick ych). Jan Staudek, FI MU Brno PV017 { Pl an zachov an kontinuity podnikatelsk ych proces u 46