bezpe»cnosti informc do Zhrnut»r zen kontinuity»cinnosti procesu : podzim 010 Verze http://www.fi.muni.cz/usr/studek/vyuk/»r zen kontinuity»cinnosti, Bussines Continuity, BC Orgnizce má m t vyprcovný Continuity Pln BCP Bussines implementovný Continuity Mngement Process, BCPr, Bussines Pro zji»st»en toho, by mohly být obnoveny kl»cové»cinnost po»zdovných lh νutách, je nutné v implementovt proces»r zen kontinuity»cinnost, BCPr Jedná se o o proces (plán) minimlizce následk νu ktstrof»r zen c lených n zotven ze ztrát n ktivech»cinnost p»rijtelnou úrove»n pomoc preventivn ch zotvovc ch opt»ren n Dνusledky pohrom, bezpe»cnostn ch chyb ztráty/dostupnosti slu»zeb by být identifikovány v rámci nlýzy dopd νu, tj. p»ri hodnocen rizik m»ely Bezpe»cnost informc by se m»el stát ned lnou sou»cást procesu»r zen»cinnost dl»s ch»r d c ch proces νu v rámci. kontinuity»r zen kontinuity»cinnosti, Bussines Continuity, BC C l BC Orgnizce je schopn p»re»z t záv»zné incidenty ktstrofy bránit se záv»znému ru»sen svých»cinnost (ktstrofy, záv»zné ru»sen výsledek p»r rodn ch pohrom, nehod, výpdk νu z»r zen, úmyslných jednán,... totáln ch Orgnizce je schopn chránit své kritické procesy»r zen kontinuity»cinnosti, Bussines Continuity, BC vlstn mi silmi (+ extern testován, oponentury,...) p»red následky záv»zných selhán inform»cn ch systémνu zjistit v»csnou obnovu jejich»cinnosti Plán»r zen kontinuity»cinnost by m»el identifikovt kritické»cinnosti z»clenit po»zdvky»r zen bezpe»cnosti informc s ohledem n personáln, mteriáln, doprvn po»zdvky provozn, Proces»r zen kontinuity»cinnosti je t mto plánem»r zený PV 017 Π Bezpe»cnost IT Jn Studek w ΛΞΠ± ΦΩfffiflffi»μνοßρχψ!"#()+,-./01345<y A } Jn Studek, FI MU Brno j PV017 ISO/IEC 7000,»R zen kontinuity»cinnosti 1 Zp νusoby vyprcován / implementce BCP / BCPr n zkázku specilizovným dodvtelem C l»r zen kontinuity»cinnosti z hledisk ITSec Bránit p»reru»sen provozn ch»cinnost chránit kritické procesy vyprcovt plán kontinuity»cinnost, BCP, n po»zdvky n z»r zen Jn Studek, FI MU Brno j PV017 ISO/IEC 7000,»R zen kontinuity»cinnosti 3 Jn Studek, FI MU Brno j PV017 ISO/IEC 7000,»R zen kontinuity»cinnosti
BCPr»r zený proces rozvoje udr»zován kontinuity»cinnosti»r zený proces existuje ve»skále definovných proces νu dopd νu rizik, identifikci vymezen ochrných prvd»epodobnost kritických procesνu stnovených hodnocen m rizik priorit identifikci v»sech ktiv, která jsou sou»cást kritických proces νu porozum»en dopd νum, které mohou p»reru»sen m t n»cinnost mus být nlezen»re»sen, která pokryj jk,,mlé" incidenty (výpdek np»et, viry,...), tk i,,velké" incidenty (po»zár, záplv, terorismus) prvidelné testován ktulizován plán νu proces νu z»clen»en»r zen kontinuity»cinnost mezi procesy, konkrétn odpov»ednosti z proces koordince»r zen textbf-ur»cen v rámci n odpov dj c úrovni»r zen kontinuity identifikci dostte»cných finn»cn ch, orgniz»cn ch, technických zdrojνu pot»rebných n pokryt identifikovných environmentáln ch bezpe»cnost zm»estnnc νu, ochrnu mjetku orgniz»cn ch ktiv zvá»zen mo»znosti uzv»ren pojistky, která mνu»ze tvo»rit sou»cást celého zji»st»en kontinuity»cinnost, udr»zován dekvátn vý»se procesu formulován strtegie BC konzistentn s dokumentovnými c li jej odsouhlsen vrcholovým mngementem strtegiemi formulován detiln ch BCP, pokrývj c ch po»zdvky n bezpe»cnost inform»cn ch systém νu, které jsou v souldu s odsouhlsenou d l»c ch Orgnizce má m t vyvinutou strtegii plány kontinuity»cinnost (rekc n sledy bezpe»cnostn ch incident νu, svých by mohly p»reru»sit kritické procesy ) které z hodnocen rizik vycházej c vycház se z prvd»epodobnost incident νu z jejich dopd νu bezpe»cnost informc n záv»zn»ej»s extern p»r pdy bomby, teroristi, nepokoje, po»zár, záplv,... nbourán serverovny hvruj c m utem vn»e budovy,... p»repden osoby nesouc denn tr»zbu do bnky,... po»zdvkνu n bezpe»cnost informc BCPr má zjistit (doporu»cen k relizci) porozum»en rizik νum, kterým»cel z hledisk identifikci zvá»zen implementce dodte»cných preventivn ch opt»ren k zm r»nuj c ch negtivn dopdy opt»ren pojistného ( v»semi, kterých se to prvd»epodobn»e týká) strtegi BC, vyprcován dokumentce t»echto BCP ohro»zuj c»zivotschopnost Jn Studek, FI MU Brno j PV017 ISO/IEC 7000,»R zen kontinuity»cinnosti 4 Jn Studek, FI MU Brno j PV017 ISO/IEC 7000,»R zen kontinuity»cinnosti 5 Kontinuit»cinnost hodnocen rizik kulturu struktury mus se identifikovt sledy relevntn ch bezpe»cnostn ch incident νu Typy mo»zných p»reru»sen»cinnosti drobn»ej»s intern p»r p. viry,»skodlivý softwre, výpdek np»et,... vyprcuje se kompletn seznm relevntn ch p»r pd νu Jn Studek, FI MU Brno j PV017 ISO/IEC 7000,»R zen kontinuity»cinnosti 7 Jn Studek, FI MU Brno j PV017 ISO/IEC 7000,»R zen kontinuity»cinnosti 6
by m»elo zhrnout v»sechny procesy v orgnizci by obshovt výsledky týkj c se bezpe»cnosti informc m»elo nem»elo by být omezeno pouze n prost»redky pro zprcován informc. Vytvo»renou strtegii zji»st»en kontinuity»cinnosti schválit veden má BCP by se m»el soust»redit n dos»zen po»zdovných νu strtegie obnovy, c l n obnoven specifických slu»zeb zákzn k νum v p»rijtelném np»r. horizontu. M»ely by být zvá»zeny»csovém v»sechny slu»zby zdroje, kterých by se to mohlo týkt, v»cetn»e zm»estnnc νu zdroj νu neur»cených ke zprcován informc mo»znosti nouzového zji»st»en náhrdn ch prost»redk νu pro informc. Zji»st»en náhrdn ch prost»redk νu zprcováván být»re»seno formou dohody o recipro»cn výpomoci mνu»ze uzv»ren m komer»cn smlouvy. nebo vyprcován procedur postup νu obnovy jejich dokumentce BCP by m»ely pokrývt zji»st»ené zrnitelnosti proto mohou obshovt kopie BCP by m»ely být ukládány n dostte»cn»e vzdálených (zálo»zn loklity), by BCP nebyly zni»ceny v p»r pd»e hvárie m stech BCP plán pro udr»zen nebo obnovu»cinnost po nebo selhán kritických proces νu pro zji»st»en p»reru»sen informc v po»zdovném»cse n dostupnosti úrove»n po»zdovnou BCP má být vyprcovný pro k»zdý identifikovný proces BCP má být nvr»zený vlstn kem procesu / ktiv nvr»zený BCP má být oponovný bezpe»cnostn m pordcem existuje jsný popis (podepsný veden m) stnoven p»rijtelné úrovn»e ztrátu slu»zeb nebo informc pro zp νusob pro»skolen zm»estnnc νu o odsouhlsených hvrijn ch postupech, v»cetn»e krizového»r zen procedurách zji»st»en periodického testován ktulizc BCP z ktulizci udr»zován BCP, v»c. udr»zován konzistence úrove»n zvedených bezpe»cnostn ch opt»ren v zálo»zn ch loklitách být ekvivlentn úrovni bezpe»cnosti v hlvn loklit»e. má Vytvá»ren implementce plán νu kontinuity, BCP Kontinuit»cinnost hodnocen rizik Hodnocen rizik (podle seznmu relevntn ch p»r pd νu) by m»elo být provád»eno z plného zpojen vlstn k νu zdroj νu vlstn kνu procesνu má být vytvo»ren schválen plán jej implementce P»ri vytvá»ren BCP se má zvá»zit/zjistit (doporu»cen k relizci) existuje jsný popis (podepsný veden m) podm nek, z kterých se procedury obnovy spou»st kdo spu»st»en iniciuje Jn Studek, FI MU Brno j PV017 ISO/IEC 7000,»R zen kontinuity»cinnosti 9 Jn Studek, FI MU Brno j PV017 ISO/IEC 7000,»R zen kontinuity»cinnosti 8 Vytvá»ren implementce plán νu kontinuity, BCP Vytvá»ren implementce plán νu kontinuity, BCP centráln»e uchovávné kopie BCP, odpov dá vlstn k procesu citlivé informce, které je pot»rebné vhodným zp νusobem chránit. v hlvn loklit»e. Jn Studek, FI MU Brno j PV017 ISO/IEC 7000,»R zen kontinuity»cinnosti 11 Jn Studek, FI MU Brno j PV017 ISO/IEC 7000,»R zen kontinuity»cinnosti 10
BCP Frmework Pro zji»st»en konzistence BCP pro ur»cen priorit testován má být k dispozici jednotný systém plán νu kontinuity»cinnost údr»zby mus být veden seznm vzeb (mtice) plán νu, ktiv, osob,... odpov»edných jednotný systém BCP má být sou»cást systému zm»enového»r zen v orgnizci celkového BCP má popisovt p»r stup k zji»st»en kontinuity»cinnost np»r. zji»st»en dostupnosti bezpe»cnosti IS hrmonogrm ur»cuj c jk kdy bude plán testován ktulizce plánu proces vzd»elávc ktivity ktivity k zlep»sen pov»edom, zm»e»rené n proces νu plánován kontinuity pro zji»st»en jejich pochopen individuáln odpov»ednosti popisuj c, kdo odpov dá kterou slo»zku plánu. z kritická ktiv zdroje pot»rebné pro zji»st»en hvrijn ch postupνu, provoz νu postup νu náhrdn ch Systém BCP by m»el pokrývt identifikovné po»zdvky n informc m»el by tké zhrnovt: bezpe»cnost eskl»cn procedur podm nky ktivce plán νu, které popisuj návod postupovt (np»r. jk vyhodnotit situci, kdo to provede,...) jk záchrné procedury popisuj c»cinnosti pro p»resun dνule»zitých ktivit dl»s ch podp νurných slu»zeb n náhrdn do»csné m sto nouzové procedury do»csné provozn postupy»z do doby obnoven»cinnosti postupy popisuj c zp νusob op»etovného uveden do provozu normáln ho BCP mj být prvideln»e testovány ktulizovány, se zjistil jejich ktuálnost efektivnost z hledisk by νu n bezpe»cnost informc po»zdvk Testován BCP má být monitorováno výsledky test νu vyhodnocovány Doporu»cen pro implementci testνu kontrolovt úplnost nvr»zených testovc ch scéná»rνu pou»z vt simulci pro nácvik rol prov»e»rovt zd mohou být IS efektivn»e obnoveny prov»e»rovt zd mohou být IS efektivn»e obnoveny v náhrdn loklit»e prov»e»rovt,»ze extern»e poskytovné slu»zby produkty spl»nuj testovt úplné p»reru»sen, tj. testován toho,»ze se, z»r zen, prost»redky procesy mohou s p»reru»sen mi zm»estnnci, Systém plánován kontinuity»cinnost Systém plánován kontinuity»cinnost podporuj c jednotný formát v»sech BCP ne»z dojde k smotné ktivci k»zdého z BCP Dνuvody pro existenci jednotného systému BCP Zm»eny v jednom BPC, zm»eny v pokryt ktiv systémy (nový server), intern extern mobiliz»cn instruktá»zn procedury, které by m»ely provedeny po vzniku incidentu ohro»zuj c ho»cinnosti být nebo lidské»zivoty zm»en loklity,...mohou vyvolt zm»eny ve v ce BCP zji»s»tuj c obnoven»cinnosti v po»zdovné dob»e Jn Studek, FI MU Brno j PV017 ISO/IEC 7000,»R zen kontinuity»cinnosti 13 Jn Studek, FI MU Brno j PV017 ISO/IEC 7000,»R zen kontinuity»cinnosti 1 Testován, udr»zován p»rezkoumáván BCP Systém plánován kontinuity»cinnost efektivn ho pr νub»ehu; smluvn závzky vypo»rádt Jn Studek, FI MU Brno j PV017 ISO/IEC 7000,»R zen kontinuity»cinnosti 15 Jn Studek, FI MU Brno j PV017 ISO/IEC 7000,»R zen kontinuity»cinnosti 14
Kdy ktulizovt BCP? po nákupu nového z»r zen nebo p»ri modernizci provozn ho systému po proveden / uskute»cn»en zm»eny: Testován, udr»zován p»rezkoumáván BCP ) ve slo»zen zm»estnnc νu; b) v dresách nebo telefonn ch»c slech; c) v celkové strtegii ; d) loklity, z»r zen zdroj νu; e) v legisltiv»e; f) smluvn ch prtner νu, dodvtel νu kl»cových zákzn k νu; g) v procesech nebo v jejich vytvo»ren /zru»sen ; h) rizic ch (provozn ch ekonomických). Jn Studek, FI MU Brno j PV017 ISO/IEC 7000,»R zen kontinuity»cinnosti 16