Když ICT nefungují řízení kontinuity činností organizace 1



Podobné dokumenty
MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

Business Continuity Management jako jeden z nástrojů zvládání rizik. Ing. Martin Tobolka AEC, spol. s r.o.

ISO 9000, 20000, Informační management VIKMA07 Mgr. Jan Matula, PhD. III. blok

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004

ČESKÁ TECHNICKÁ NORMA

WS PŘÍKLADY DOBRÉ PRAXE

ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

Příspěvek je věnován základním informacím o způsobu volby vhodné strategie řízení kontinuity činností v organizaci.

Řízení rizik ICT účelně a prakticky?

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Představení služeb DC SPCSS Státní pokladna Centrum sdílených služeb

Jak na jakost v podnikovém IT Evropský týden kvality Praha

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

AUDITY Hlavním cílem každého auditu musí být zjišťování faktů, nikoli chyb!

Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005

Řízení kontinuity činností ve veřejné správě výsledky empirického výzkumu

Bezpečnostní normy a standardy KS - 6

MONITORING NEKALÝCH OBCHODNÍCH PRAKTIK

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Jan Hřídel Regional Sales Manager - Public Administration

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

Management informační bezpečnosti

Zásady managementu incidentů

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

ČESKÁ TECHNICKÁ NORMA

MFF UK Praha, 29. duben 2008

Postupy pro zavedení a řízení bezpečnosti informací

Představení normy ČSN ISO/IEC Management služeb

BUSINESS CONTINUITY MANAGEMENT

MODUL MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI V PODMÍNKÁCH UNIVERZITY OBRANY

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.

SMĚRNICE DĚKANA Č. 4/2013

Řízení informační bezpečnosti a veřejná správa

Z K B V P R O S T Ř E D Í

TVORBA BEZPEČNOSTNÍ POLITIKY ORGANIZACE A HAVARIJNÍHO PLÁNU

ISO 9001:2009 a ISO 27001:2005 dobrá praxe. Ing. Martin Havel, MBA

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Přednáší: doc. Ing. Jan Skrbek, Dr. - KIN. Konzultace: pondělí nebo dle dohody Spojení: jan.skrbek@tul.cz tel.

MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.4/2007

ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi října 2011 r

KIV/SI. Přednáška č.2. Jan Valdman, Ph.D.

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

Bezpečnostní politika společnosti synlab czech s.r.o.

Pelantová Věra Technická univerzita v Liberci. Předmět RJS. TU v Liberci

Implementace systému ISMS

S T R A T E G I C K Ý M A N A G E M E N T

Úvod. Projektový záměr

Manažerská ekonomika

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI

HODNOCENÍ VÝKONNOSTI PODNIKU VE SPOJITOSTI SE STRATEGICKÝMI CÍLY

POZNÁMKA Zvláštní schválení požadavků nebo dokumentů souvisejících s bezpečností smí být vyžadováno zákazníkem nebo interními procesy organizace.

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

Příklad I.vrstvy integrované dokumentace

AUDITOR EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.9/2007

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

Překlad a interpretace pro české prostředí

Metodický dohled - jak správně ošetřit požadavky legislativy ICT projektu Jan Heisler, Relsie, spol. s r.o.

Standardy a definice pojmů bezpečnosti informací

Věstník ČNB částka 18/2010 ze dne 21. prosince ÚŘEDNÍ SDĚLENÍ ČESKÉ NÁRODNÍ BANKY ze dne 10. prosince 2010

ISO 9001 : Certifikační praxe po velké revizi

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

1. Politika integrovaného systému řízení

MANAŽER SM BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.10/2007

Obsah. ÚVOD 1 Poděkování 3

Státní pokladna. Centrum sdílených služeb

Ochrana & Bezpečnost 2013, ročník II., č. 3 (podzim), ISSN Ing. Ondřej Bos, Politika a program řízení kontinuity činností (2013_C_02)

Spolupráce veřejného a soukromého sektoru při prevenci a zvládání kybernetického kolapsu

Vysoká škola finanční a správní, o.p.s. Katedra řízení podniku a podnikové ekonomiky. Metodické listy pro předmět ŘÍZENÍ PODNIKU 2

ČESKÁ TECHNICKÁ NORMA

ČESKÁ TECHNICKÁ NORMA

ČESKÁ TECHNICKÁ NORMA

Co je a co není implementace ISMS dle ISO a jak měřit její efektivnost. Ing. Václav Štverka, CISA Versa Systems s.r.o.

Odůvodnění účelnosti veřejné zakázky Vybudování a ověřovací provoz systému Cyber Threat Intelligence

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Řízení kybernetické a informační bezpečnosti

Normy ISO/IEC NISS. V Brně dne 7. listopadu 2013

Kybernetická bezpečnost - nový trend ve vzdělávání. pplk. Ing. Petr HRŮZA, Ph.D. Univerzita obrany Brno, Česká republika

KRIZOVÉ ŘÍZENÍ PRO INŽENÝRSKÉ OBORY

Praktické zkušenosti s certifikací na ISO/IEC 20000

Spisová služba a Zákon o kybernetické bezpečnosti (181/2014 Sb.)

ISMS. Bezpečnostní projekt. V Brně dne 10. října 2013

Profesionální a bezpečný úřad Kraje Vysočina

Návrh aktualizace rámce COSO vymezení ŘKS 2. setkání interních auditorů z finančních institucí

Systém managementu jakosti ISO 9001

Business impact analýza a zvládání rizik spojených s provozem nedůvěryhodných zařízení BVS. František Sobotka NOVICOM s.r.o

Současný stav a rozvoj elektronického zdravotnictví - pohled Ministerstva zdravotnictví

Bezpečnostní incidenty IS/ICT a jejich řešení

KRIZOVÉ ŘÍZENÍ PRO INŽENÝRSKÉ OBORY

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

V Brně dne 10. a

ENVIRONMENTÁLNÍ BEZPEČNOST

Systém řízení informační bezpečnosti Information security management systém

Zajištění dostupnosti vybraných IT služeb

PŘÍLOHA 8 BEZPEČNOST, OCHRANA MAJETKU A OSOB

Jak eliminovat rizika spojená s provozem nedůvěryhodných zařízení v síti? BVS. Jindřich Šavel NOVICOM s.r.o

HOSPODÁŘSKÁ SFÉRA A HOSPODÁŘSKÁ OPATŘENÍ PRO KRIZOVÉ STAVY

komplexní podpora zvyšování výkonnosti strana 1 Využití Referenčního modelu integrovaného systému řízení veřejnoprávní korporace Město Hořovice

Transkript:

Když ICT nefungují řízení kontinuity činností organizace 1 Petr Doucek Vysoká škola ekonomická katedra systémové analýz W. Churchilla 4, 130 67 Praha 3 doucek@vse.cz Luděk Novák ISACA CRC Španělská 2, 120 00 Praha 2 novak@isaca.cz Abstrakt: Mimořádné situace, které omezují činnosti organizací, představují významné operační riziko. Pokud se jedná o kritické činnosti organizace, tak na jejich úspěšném vyřešení často závisí přežití organizace. Příspěvek obsahuje některé základní návody, jak řešit přerušení činností organizace (koncept normy BS 25999 a NIST SP 800-34). Tento základní pohled je doplněn o řízení kontinuity činností v oblasti ICT (norma BS 25777). Kromě teoretické části, obsahuje příspěvek i zkušenosti z praktického zavádění norem britského standardu do praxe. Klíčová slova: Řízení kontinuity činností organizace (), plán obnovy po havárii (DRP), audit, mezinárodní normy. Abstract: Business continuity and related recovery activities are strong tools for support of solving of critical activities and processes for all organizations. This contribution presents three main international standards (BS 25777, BS 25999 and NIST SP 800-34) for business continuity and for ICT continuity and disaster management. Common ideas of these standards are primary presented on theoretical dimension and in the second plan are shown practical experience by their improvement. Keywords: Business continuity management (), disaster recovery planning (DRP), audit, international standards. 1. Úvod Permanentní vývoj a inovace v oblasti podnikových informačních systémů (IS) a informačních a komunikačních technologií (ICT) vedou k integraci ICT do činností organizace a tím i na druhou stranu k rostoucí závislosti podniků i organizací na jejich funkčnosti. V současné době je téměř nepředstavitelné, aby procesy a činnosti organizací nebyly podporovány funkcemi ICT. Důležitost ICT na jedné straně představuje významný potenciál konkurenční výhody v globalizujícím se prostředí, na straně druhé představují významné operační riziko. Největším rizikem ICT je, že samy nebudou buď vůbec schopny podporovat požadované procesy, nebo je budou podporovat pouze omezeně. To znamená, že organizace, resp. všichni jejich pracovníci, kteří jsou odpovědni za průběh některého z procesů a 1 Příspěvek byl zpracován v rámci řešení grantu GAČR 201/07/0455 Model vztahů mezi výkonností podnikání, účinností podnikových procesů a efektivností podnikových procesů. SYSTÉMOVÁ INTEGRACE 2/2010 43

Petr Doucek, Luděk Novák činností organizace, si budou muset nalézt způsoby náhradního zpracování dat a tím i stanovit jejich náhradní průběh po dobu výpadku ICT musí plánovat řízení kontinuity činností organizace. Pro odborníky a pracovníky ICT pak bude ještě následovat druhá povinnost a tou je uvedení ICT do chodu tak, aby podporovaly činnosti organizací, alespoň v původním rozsahu to znamená zajistit obnovu podpory podnikových procesů prostředky ICT. Různé pohledy na kontinuitu činností organizací odráží současná literatura [7], [12]. Jedním z nich je i širší pojetí kontinuity činností organizací: telefonické a datové komunikace, zpracování dat prostřednictvím počítačů a počítačových sítí, zajištění chodu životně důležitých zařízení (klimatizace, řízení přístupů do prostor apod.) zpracování kritických procesů organizací. [12] V dalším textu se bude zabývat zejména posledními třemi odrážkami s rozšířením pohledu na zajištění kontinuity činností v oblasti ICT. Vlastní pohled na plánování kontinuity činností organizací je v různých částech světa různý a tyto pohledy také odrážejí mezinárodní standardy, které upravují problematiku kontinuity činností v jednotlivých zemích nebo na určitých kontinentech. Základem pro tento příspěvek je pojetí, které vyšlo z nejlepších zkušeností ve Velké Británii [1], [2]. Druhým pojetím je to, které využívají organizace státní správy v USA [13]. 2. Mezinárodní přístupy k řízení kontinuity činností Při hodnocení mezinárodních pohledů na řízení kontinuity je možné rozeznat dva důležité zdroje doporučení. V současnosti nejvýznamnějším tvůrcem doporučení je mezinárodní Institut po řízení kontinuity činností (Business Continuity Institute BCI), který vyvinul a dlouhodobě rozvíjí Směrnice nejlepší praxe BCI [15]. Postavení tohoto konceptu řízení kontinuity se promítlo do britského standardu BS 25999, který se stává uznávaným schématem pro certifikaci organizací s vyzrálým systémem řízení kontinuity. Druhý pohled lze spojovat se zákonem FISMA (Federal Information Security Management Act, přijatý do právního systému USA v roce 2002), který reguluje bezpečnost amerických vládních informačních systémů. V rámci definovaných pravidel Národní institut pro standardy a technologie publikuje mnoho doporučení, která jsou určena pro zvýšení bezpečnosti vládních informačních systémů USA. Nicméně tato pravidla a doporučení jsou intenzivně využívána i pro řadu komerčních či nevládních informačních systémů. Mezi organizací NIST publikované dokumenty patří i směrnice pro řešení mimořádných a krizových situací včetně dokumentů pro řízení podpory kontinuity managementu. 1.1 Směrnice nejlepší praxe BCI Institut pro řízení kontinuity činností je odborné sdružení pracovníků, kteří se věnují problematice řízení kontinuity činností. Existující zkušenosti členů BCI, který byl založen ve Velké Británii v roce 1994, jsou soustředěny do dokumentu, který je nazýván Směrnice nejlepší praxe BCI (BCI Good Practice Guidelines GPG). Poslední verze GPG byla vydána v roce 2008 [15]. 44 SYSTÉMOVÁ INTEGRACE 2/2010

Když ICT nefungují řízení kontinuity činností organizace Směrnice nejlepší praxe BCI má své nezastupitelné místo, které sehrává důležitou roli v rozvoji teorie řízení kontinuity. V tomto článku se jim ale věnovat nebudeme a případné zájemce odkazujeme na stránky http://thebci.org/gpg.htm, kde je možné si po registraci dokument volně stáhnout. S ohledem na skutečnost, že z jeho základních principů je odvozen i britský standard BS 25999, se v dalším textu budeme již věnovat pouze tomuto standardu s tím, že všechna pravidla uváděná ve standardu jsou pouze zobecněním Směrnice nejlepší praxe BCI. 1.2 Normy pro řízení kontinuity Řízení kontinuity činností organizace je organizací vlastněný a řízený proces, který zakládá pro svůj účel vhodné strategie a operační rámec. Řízení kontinuity především: proaktivně zvyšuje odolnost organizace proti narušení její schopnosti dosahovat soustavy svých klíčových cílů, poskytuje vyzkoušenou metodu obnovy její schopnosti realizovat klíčové produkty a služby na stanovené úrovni a ve stanovený čas po přerušení, přináší prokazatelnou způsobilost zvládat přerušení činností organizace a chránit její reputaci a dobré jméno. Britský standard Norma BS 25999 ustavuje proces, principy a terminologii řízení kontinuity činností organizace (Business Continuity Management ). Účelem této normy je poskytnout základní podklady pro porozumění, vytváření a implementaci kontinuity činností v organizaci a tím zajistit důvěru ve vztazích organizace se zákazníky a ostatními subjekty. Zároveň umožňuje organizaci konzistentním a uznávaným způsobem hodnotit způsobilost k zajištění kontinuity činností. Celý proces kontinuity činností organizace probíhá, dle BS 25999, životním cyklem, který je znázorněn na následujícím obrázku Obr. 1. Prověřování, udržování a přezkoumání Porozumění podniku Řízení programu Vytváření a implementace odezvy Určení strategie Obr.1: Životní cyklus řízení kontinuity činností organizace Zdroj: [2] Dle normy BS 25999, se životní cyklus řízení kontinuity činností organizace skládá ze šesti následujících částí. Řízení programu umožňuje rozvíjet zajištění kontinuity činností podniku jako soustavu dílčích projektů. SYSTÉMOVÁ INTEGRACE 2/2010 45

Petr Doucek, Luděk Novák Porozumění podniku je etapa shromažďování informací o důležitosti dílčích činností a pro jejich význam z pohledu podniku jako celku. Určení strategie stanoví přístupy ke zvýšení odolnosti podniku a způsoby reakce na krizové události. Vytváření a implementace odezvy je etapa realizace potřebných opatření a jednotlivých dílčích projektů vypracování plánů a scénářů pro krizové události. Prověřování, udržování a přezkoumání by mělo prověřit reálnost připravených plánů a postupů a vést k jejich postupnému zdokonalování. (Postup zdokonalování je podobně jako u jiné norem z oblasti řízení bezpečnosti probíhá v souladu s konceptem PDCA). Ukotvení v kultuře podniku umožňuje, aby se rozvoj kontinuity stál jednou ze základních hodnot podniku. Jádrem řízení kontinuity činností organizace je vyhledání tzv. kritických činností organizace, které jsou nezbytné pro dodávku kritických produktů a služeb klíčovým odběratelům. Jinými slovy pro účelné řízení kontinuity procesů organizace je nezbytné věnovat zvláštní pozornost pouze činnostem, které jsou důležité pro její přežití během jakékoli krize. Právě nalezení kritických produktů a služeb a jejich klíčových odběratelů určuje, které činnosti je nutné považovat za kritické v rámci řízení celé organizace. Řízení kontinuity se pak věnuje výhradně těmto kritickým činnostem. Jeho cílem je koncentrace na vše podstatné a ignorování všeho nepodstatného, což je velmi silná a revoluční myšlenka, která dodává řízení kontinuity opravdové strategické rozměry krizového řízení. NIST Ekonomika Spojených států amerických, která řeší problém kontinuity činností organizací i ICT nejdelší dobu, vychází zejména ve státním sektoru z normy NIST SP 800-34, Contingency Planning Guide for Federal Information Systems [13]. Základní koncept této normy řeší otázky systému řízení kontinuity činností podniků a státních organizací, počínaje formulací strategického záměru zajištění chodu podnikových procesů při výpadku ICT, přes tvorbu plánů (včetně plánů dílčích) až po doporučené postupy testování těchto plánů. Součástí normy jsou i části, věnující se obnově podpory podnikových procesů prostředky ICT. Všechny části normy jsou propojeny do jednoho celku, který umožňuje řešit krizové situace v organizaci včetně návaznosti na ICT. Podle zaměření rozdělují doporučení NIST SP 800-34 krizové plánování na následující oblasti: Plán kontinuity organizace (Business Continuity Plan BCP) Cílem plánu je poskytnout návod organizaci, jak vykonávat svoje procesy po mimořádné události, která naruší jejich standardní výkon. Plán je navrhován ve shodě s ustanoveními Plánu kontinuity činností. Kromě toho musí brát plán v úvahu i fakt, že většina podnikových procesů je v současné době podporována informačními systémy (resp. informačními a komunikačními technologiemi) a proto jeho ustanoven bývají koordinována i s plány nouzového chodu podnikových informačních systémů. Plán kontinuity činností (Continuity of Operations Plan COOP) připravuje koncept zajištění náhradního zpracování činností organizace na jiném místě, než byla činnost původně vykonávána. Jedná se kromě jiného 46 SYSTÉMOVÁ INTEGRACE 2/2010

Když ICT nefungují řízení kontinuity činností organizace o služby ICT. Činnosti, pro něž není potřeba měnit místo jejich výkonu, nebývají obvykle tímto plánem řešeny. Plán krizové komunikace (Crisis Communication Plan) obsahuje základní pravidla a postupy pro zajištění interní i externí komunikace v případě krizových situací. Plán ochrany kritické infrastruktury (Critical Infrastructure Protection Plan CIP) představuje souhrn politik a procedur, které slouží k ochraně a obnově technických prostředků, které byly zničeny incidentem (včetně prostředků ICT). Cílem plánu je minimalizovat rizika a zranitelnosti (efektivní působení hrozeb) těchto prostředků. Plán reakce na kybernetické incidenty (Cyber Incident Response Plan) definuje postupy, které souvisejí s řešením kybernetických útoků na prostředí informačních systémů, a obsahuje postupy pro odhalení útoků, určuje způsoby správné a vhodné reakce a postupy pro sběr důkazů. Plán obnovy po havárii (Disaster Recovery Plan DRP) se obyčejně soustředí na obnovení činností organizace po významných katastrofách či rozsáhlých haváriích. Velký význam má DRP pro informační technologie, na jejichž podpoře je obvykle závislý výkon většiny činností organizace. Plán zvládání mimořádných událostí informačního systému (Information System Contingency Plan ISCP) obsahuje postupy pro ohodnocení rozsahu škod, které byly v rámci informačního systému způsobeny neočekávanou událostí, a určení správného postupu obnovy chodu systému. Plán evakuace osob (Occupant Emergency Plan OEP) je základním nástrojem pro evakuaci osob v případech, kdy jsou ohroženy životy nebo zdraví těchto osob. Samo o sobě je krizové plánování pro mnohé organizace problémem, ale kromě toho by se měli manažeři organizací zamýšlet i nad plánováním krizových situací pro případ omezené funkčnosti nebo úplného výpadku ICT. Jejich plánování se vyznačuje dvěma hlavními rysy: není možné jej provádět bez úzké součinnosti s krizovým plánováním ostatních činností organizací (je zde jedno, jedná-li se o procesy hlavní nebo vedlejší), protože ICT jsou fenoménem, který prostupuje celou organizací, má určité specifické vlastnosti, které jsou právě dány možnostmi technologií např. přesun zpracování dat a tím i podpory činností organizace do jiné lokality, možnost zpracovávat data na zapůjčené technice nebo zpracování dat formou outsourcingu. 3. Specifické požadavky na řízení kontinuity činností ICT Z pohledu norem pak na požadavky BS 25999 úzce navazuje norma BS 25777, která se soustředí na specifika spojená s řízení kontinuity službami ICT, na kterých je dnes řízení kontinuity činností organizace většinou silně závislé. Snahou je sladění přístupů a řízení kontinuity služeb IT tak, aby byly efektivně a spolehlivě naplněny potřeby podniku. Řízení kontinuity činností ICT se opírá o šest následujících principů. SYSTÉMOVÁ INTEGRACE 2/2010 47

Petr Doucek, Luděk Novák Chránit ochrana prostředí ICT vůči incidentům, selháním a přerušením chodu zvyšováním odolnosti služeb ICT je základem pro udržování potřebné úrovně dostupnosti. Odhalovat zjištění incidentu v počátečním stádiu omezuje škody a dopady incidentu, snižuje míru úsilí, kterou je potřeba vynaložit pro obnovení chodu ICT. Reagovat volba nejvhodnějšího způsobu odezvy znamená nejúčinnější postup obnovy chodu IT a snižuje rozsah výpadku služeb ICT. Naopak špatný postup obnovy podřadného incidentu může přerůst ve vážné problémy. Obnovit použitím přiměření strategie oživení chodu ICT zajistí očekávaný rámec obnovení chodu služeb a udržení požadované kvality dat. Pochopení priorit při oživování služeb ICT dovolí přednostní obnovení kritických služeb a odložení méně zbytných činností na pozdější dobu. Provozovat je možný chod ICT v nouzovém režimu, který zajistí poskytování kritických služeb s omezením výkonových parametrů apod. Navrátit Navržení postupů pro dotažení návratu chodu ICT do stavu, který byl před bezpečnostním incidentem a kdy jsou služby ICT schopny podporovat běžný chod organizace. Řízení kontinuity činnosti ICT je úzce spojeno s řízením kontinuity činností celé organizace, což je zachyceno na Obrázek 2. Ukotvení řízení kontinuity Prověřování, udržování a přezkoumání Porozumění podniku Řízení programu Vytváření a implementace odezvy Určení strategie Prověřování, testování, udržování a přezkoumání Porozumění požadavkům na kontinuitu ICT Řízení programu kontinuity ICT Vytváření a implementace strategie kontinuity ICT Určení strategie kontinuity ICT v kultuře podniku Obr.2: Vztah mezi řízením kontinuity činností podniku a řízením kontinuity ICT Zdroj: [1] V současné době je na základě britského standardu BS 25777 připravována nová mezinárodní norma ISO/IEC 27031 Směrnice pro připravenost ICT na (Guidelines for ICT Readeness For Business Continuity [11]). Norma je postavena na společném manažerském konceptu PDCA [4]. Jejím cílem je připravit organizaci na zavedení systému. 48 SYSTÉMOVÁ INTEGRACE 2/2010

Když ICT nefungují řízení kontinuity činností organizace Obr.3: Znázornění procesu IRBC v konceptu PDCA Zdroj: [11] Samotná norma, jak již její identifikace ukazuje, patří do rodiny norem ISO/IEC 27000 a jej její integrální součástí. Vychází z tvorby systému řízení bezpečnosti informací (ISMS) v organizaci a sama se věnuje jedné jeho části. Připravenost ICT organizací na (ICT Readeness For Business Continuity IRBC) představuje pro mnohé organizace základ při zavádění, ISMS a systému řízení a řešení bezpečnostních incidentů [5]. Příprava plánu pro připravenost na je prvním krokem při přípravě prakticky ve všech organizacích. Účinnost i účelnost systému je velmi často závislá na předem zhotoveném plánu připravenosti, který zajistí, aby svých cílů organizace dosahovala i v případě výpadků svých činností. Vlastní přípravenost a příprava na ni představuje proces, jehož cílem predikovat a řídit nežádoucí jevy (incidenty) v oblasti ICT, které mohou ohrozit chod organizace např. formou omezení nebo přerušení dodávky ICT služby. A na základě analýzy zajistit preventivní ochranu před nimi. Tím systém IRBC podporuje, neboť zajistí, že dodávky ICT služeb mohou být obnoveny v požadované úrovni a v čase, který schválila celá organizace, včetně odběratelů těchto služeb. 4. Zkušenosti s budováním systému řízení kontinuity činností Tolik z šedivého stromu teorie a dikce mezinárodních norem, nyní se podívejme, jak se uvedené normy používají v praxi a s jakými způsobem je můžeme aplikovat. Pro ukázku problémů jsme vzhledem k omezenému prostoru příspěvku zvolili dva následující příklady. SYSTÉMOVÁ INTEGRACE 2/2010 49

Petr Doucek, Luděk Novák 4.1 Cíle a priority Klíčovým principem je snaha určit kritické prvky a procesy organizace a to z hlediska klíčových produktů a služeb, které organizace vytváří, a z hlediska kritických zainteresovaných stran např. nejvýznamějších zákazníků. Stanovení kritičnosti je dano stutečností, zda je daná organizace schopna výpadek určitého produktu či odběratele rozumně překonat či nikoli. Realizace tohoto jednoduše daného principu v praxi není vůbec jednoduchá, protože vyžaduje značný předhled o interních činostech organizace, o jejích prioritách a o významu nejen hlavních i vedlejších a podpůrných procesů pro dosahování soustavy cílů orgnaizace. Často se stává, že organizace dobře nezná svoje klíčové produkty nebo prioritní zákazníky. Bez těcho znalostí není možné vytvořit dobré plány, protože se musí soustřeďovat pouze na podstatné skutečnosti a nepodstatné pochopitelně zcela ignoruje. Ve svém důsledku to znamená, že může fungovat pouze u organizací, které jsou si vědomy svého postavení, znají svoje klíčové produkty a vědí, kdo jsou jejich prioritní zákazníci. Nezanadbatelným přínosem implemantace je hledání business podstaty organizace, které nemá vliv pouze na řízení kontinuity, ale významně ovlivňuje i priority v běžném manažerském rozhodování. V tomto směru je zajímavé, že většina implementací, u kterých probíhala formální certifikace souhlasu s BS 25999, měla problémy právě v určení rozsahu. Jinými slovy dané organizace měly problém správně určit, co je jejich business podstatou. V tomto směru může mít zavádění nedozírné následky na skutečné řízení organizace i mimo sféru krizových situací. Uvědomění si business podstaty je největším přínosem, který se promítá i do dalších priorit každodenního řízení. Testování a prověřování. 1.2 Prověřování a testování Další praktickou zkušeností je skutečnost, že existuje nizké povědomí o možnostech testování a prověřování. Často se setkávám s názorem, že prověřit nelze, protože nikdo neodsouhlasí riziko možných následků spojených se zastavením chodu organizace. Tyto názory jsou hodně dány tím, že lidé neznají možnosti ověřování. Podle vzrůstající složitosti jsou způsoby prověřování rozděleny do následujících katagorií: Nácvik u stolu jedná se o prověření smyslupnosti plánů, které provádí autor případně další jeho spolupracovníci např. u plánů datového centra by byla prověřována úplnost činností spojených se spuštěním záložního prostředí a jejich rámcová časová náročnost. Cvičné procházení plánů je vyšší formou, při které jsou do testování plánů zapojeny prověrky schopností vzájemné komunikace různých útvarů organizace. Pro případ datového centra to znamená modelování komunikace s odpovědnými pracovníky koncových uživatelů a prověření jejich reakcí spojených se schopnostmi nouzového zpracování dat. Simulace je modelování možných forem havárií s tím, že v rámci cvičení jsou simulovány všechny potřebné činnosti např. při nácviku jsou činnosti spojené s aktivovánním datového centra pouze simulovány (činnosti nejsou 50 SYSTÉMOVÁ INTEGRACE 2/2010

Když ICT nefungují řízení kontinuity činností organizace reálně prováděny) a snahou je spíše prověřit dostupnost potřebných nástrojů a přípravenost zúčastněných osob. Nácvik kritických činností aktivace vybraných důležitých činností spojených s, při jejichž procvičování nesmí dojit k ohrožení chodu organizace např. reálné prověření plánů pro spuštění záložního datového centra bez toho, aniž by došlo k jeho provoznímu použití. Úplný nácvik celého plánu rozsáhlé cvičení, které prověřuje všechny aspekty tj v případě datového centra by bylo primární datové centrum vypnuto a v rámci testů bylo nutné převést všechny operace do záložního prostředí a poté zpět na primární technologie. Uvedené rozdělení prověrek podle náročnosti je důležitým vodítkem pro přípravu odpovídajícího rozsahu testů. Je zřejmé, že úplný nácvik je vysoce náročnou a často i rizkovou záležitostí. To ale neznamená, že organizace nemohou využít méně náročné možnosti tak, aby měly rozumnou záruku, že jsou jejich plány racionální a opírají se o reálné možnosti. Dalším důležitým momentem je skutečnost, jak koncipovat plány tak, aby je bylo možné prověřovat a testovat. Pouhý výčet činností nebývá v tomto směru dostatečným podkladem. V řadě případů je potřeba doplnit potřebné aktivity o upřesnění závislostí mezi jednotlivými činnostmi plánu a o jejich náročnost na zdroje lidské a zejména časové. Pouze tímto způsobem mohou vzniknout plány, u kterých je možné ověřit zda v plánu uvedené aktivity odpovídají stanoveným cílům pro obnovení činností a tím i k zajištění výkonu kritických činností organizace. 5. Závěry Moderní organizace v současném ekonomickém prostředí musí být připraveny na plnění svých závazků vůči odběratelům a tím i k plnění hlavních procesů bez ohledu na to, jaké nastaly podmínky. Mimořádné události, bezpečnostní incidenty a další události, které mohou narušit jak chod hlavních procesů organizací, tak i jejich podporu prostřednitcvím ICT a tím mohou významně ohrozit i samotnou existenci organizace. K mimořádným situacím musí vedení organizací přistupovat s rozmyslem a po dobré přípravě. Hlavní náměty, jak řešit tyto situace, jsou uvedeny v doporučených mezinárodních normách BS 25999, BS 25777 a NIST: SP 800-34. Kdybychom uvedená doporučení značně zjednodušili, tak se dopracujeme k podstatě řízení kontinuity organizace, kterou je možné spojit s frází Šteští přeje připraveným. V tomto duchu je vhodné a žádoucí, aby si každý občas udělal nějakou představu o tom, jak bude schopen fungovat v případě mimořádných událostí, kdy se nebude možné spolehnout na výkon některých prograsů organizace. Složitost pro organizace bývá v tom, že je potřeba sladit činnosti více pracovních týmů, oddělení nebo i divizí a to vyžaduje rozumnou míru přípravy. A navíc, když využijeme existující zkušenosti schromážděné v mezinárodních normách, nemusíme řadu věcí sami objevovat, čož bývá velmi nákladné a neefektivní.při řízení kontinuity je důležité ještě nezapomínat na další věc a to je skutečnost, že bychom měli řešit zcela mimořádné situace, ve kterých se jedná o přežití dané organizace. Tomu je potřeba podřídit i zvolené přístupy a priority. Ne vždy opravdu potřebujeme všechny organizační prvky a pohodlí, na které jsme zvyklí z běžného života organizace. Správné určení kritických prvků organizace a jejich minimální úrovně SYSTÉMOVÁ INTEGRACE 2/2010 51

Petr Doucek, Luděk Novák činností je pro řízení kontinuity klíčové. Nalezení této podstaty organizace nicméně nebývá zcela bez obtíží a vyžaduje poměrně značné úsilí, které se ale vyplatí. 6. Literatura [1] BS 25777: 2008 Information and communications technology continuity management Code of practice. [2] BS 25999: 2007 Business continuity management. Specification. [3] DOUCEK, P., NOVÁK, L.: Systém řízení bezpečnosti informací mezinárodní normy a zkušenosti z praxe. Praha 08.06.2009 09.06.2009. In: Role IT v době dynamických změn [CD-ROM]. Praha : Oeconomica, 2009, s. 1 9. ISBN 978-80-245-1534-2 [4] DOUCEK, P., NOVÁK, L., SVATÁ, V.: Řízení bezpečnosti informací, Professional Publishing 2008, ss. 239, ISBN 978-80-86946-88-7 [5] ČSN ISO/IEC 27001:2006, Informační technologie Bezpečnostní techniky Systém managementu bezpečnosti informací Požadavky. [6] ČSN ISO/IEC 27002:2006, Informační technologie Soubor postupů pro management bezpečnosti informací. [7] HILES, A.(ed.): The Definite Handbook of Business Continuity Management, John Wiley and Sons, Inc., 2008, ISBN 978-0-470-526138-6 [8] ISO/IEC 27006: 2007 Information technology Security techniques Requirements for bodies providing audit and certification of information security management systéme [9] ISO/IEC 27007: 2008 Information technology Security techniques Guidelines for security management systems auditing [10] ISO/IEC 24762: 2008 Information technology Security techniques Guidelines for information and communication technology disaster recovery services. [11] ISO/IEC 27031 Information Technology Security Techniques Giudelines for ICT Readness For Business Continuity. 1st CD [12] MYERS, K., N.: Business Continuity Strategies, Protection Against Unplanned Disaster, John Wiley and Sons, Inc., 2006, ISBN 0-470-04038-6 [13] NIST: SP 800-34, rev. 1, Continegency Planning Guide for Federal Information Systems, draft, NIST, 2009, http://csrc.nist.gov/publications, 29.12. 2009 [14] SNEDAKER,S.: Business Continuity and Disaster Recovery Planning for IT Professionals, Syngress Publishing, Inc., 2007, ISBN 978-1-59749-172-3 [15] Business Continuity Institute Good Practice Guidelines, BCI 2008, http://thebci.org/gpg.htm, 12.2.2010, Internet: www.iso.org 12.12. 2009 www.isaca.org 12.12. 2009 www.thebci.org/gpg.htm 12.2.2010 52 SYSTÉMOVÁ INTEGRACE 2/2010

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář