Řízení kontinuity činností organizace z hlediska bezpečnosti informací

14.1 Aspekty řízení kontinuity činností organizace z hlediska

bezpečnosti informací

Cíl: Bránit přerušení provozních činností a chránit kritické procesy organizace před následky

závažných selhání informačních systémů nebo katastrof a zajistit jejich včasnou obnovu.

Pro minimalizaci následků a zotavení se ze ztráty informačních aktiv (které může být např.

výsledkem přírodních pohrom, nehod, chyb zařízení a úmyslného jednání) na přijatelnou

úroveň, za pomoci preventivních a zotavovacích opatření, by měl být zaveden proces řízení

kontinuity činností organizace. Tento proces by měl identifikovat kritické činnosti organizace

a začlenit požadavky řízení bezpečnosti informací s ohledem na požadavky provozní,

personální, materiální, dopravní a požadavků na zařízení.

Důsledky pohrom, bezpečnostních chyb a ztráty/dostupnosti služeb by měly být identifikovány

v rámci analýzy dopadů. Pro zajištění toho, aby mohly být obnoveny klíčové činnost organizace

v požadovaných lhůtách, je vhodné připravit a implementovat plány kontinuity. Bezpečnost

informací by se měla stát nedílnou součástí procesu řízení kontinuity činností a dalších řídících

procesů v rámci organizace.

Řízení kontinuity činností organizace by mělo zahrnovat opatření k identifikaci a minimalizaci

rizik, omezovat důsledky škodlivých incidentů a zajistit včasnou dostupnost informací

potřebných pro obnovení nezbytných činností.

14.1.1 Zahrnutí bezpečnosti informací do procesu řízení kontinuity činností

organizace

Opatření

V rámci organizace by měl existovat řízený proces pro rozvoj a udržování kontinuity činností

organizace.

Doporučení k realizaci

Proces by měl v sobě zahrnovat následující klíčové prvky řízení kontinuity činností organizace:

c) pochopení rizik, kterým organizace čelí z hlediska jejich pravděpodobnosti a dopadu,

včetně identifikace a stanovení priority kritických procesů organizace (viz 14.1.2);

d) identifikace všech aktiv, které jsou součástí kritických procesů organizace (viz 7.1.1);

e) pochopení dopadů, které může přerušení mít na činnosti organizace (je důležité, aby

byla nalezena taková řešení, která pokryjí malé, stejně tak jako velké incidenty

ohrožující životaschopnost organizace), a stanovení cílů v oblasti zařízení pro

zpracování informací;

f) zvážení možnosti uzavření pojistky, která může tvořit součást celého procesu zajištění

kontinuity činností a řízené provozních rizik;

g) identifikace a zvážení implementace dodatečných preventivních a nápravných opatření;

h) identifikace dostatečných finančních, organizačních, technických a okolních zdrojů na

pokrytí identifikovaných požadavků na bezpečnost informací;

i) zajištění bezpečnosti personálu, ochrany majetku organizace a ochrany zařízení na

zpracování informací;

j) formulace a dokumentace plánů kontinuity činností, pokrývajících požadavky na

bezpečnost informací a v souladu s odsouhlasenou strategií řízení kontinuity činností

organizace (viz 14.1.3);

k) zavedení pravidelného testování a aktualizace plánů a postupů (viz 14.1.5);

l) zajištění, aby řízení kontinuity činností organizace bylo součástí procesů a struktury

organizace. Odpovědnost za proces koordinace řízení kontinuity by měla být v rámci

organizace stanovena na odpovídající úrovni (viz 6.1.1).

14.1.2 Kontinuita činností organizace a hodnocení rizik

Opatření

Měly by být identifikovány možné příčiny přerušení činností organizace, včetně jejich

pravděpodobnosti, velikosti dopadu a možných následků na bezpečnost informací.

Doporučení k realizaci

Kontinuita činností organizace z pohledu bezpečnosti informací, by měla být založena na

identifikaci událostí (nebo sledu událostí), které mohou být příčinou přerušení procesů, např.

chyba zařízení, povodeň, požár. Poté by mělo následovat hodnocení rizik, k určení

pravděpodobnosti a velikosti dopadu těchto druhů přerušení jak z hlediska rozsahu škod, tak

doby jejich obnovení.

Hodnocení rizik by mělo být prováděno za plného zapojení vlastníků zdrojů a vlastníků procesů

organizace. Toto hodnocení by mělo zahrnout všechny procesy v organizaci a mělo by

obsahovat výsledky týkající se bezpečnosti informací, nemělo by být omezeno pouze na

zařízení pro zpracování informací. K získání celkového pohledu na požadavky kontinuity

činností organizace je důležité dát dohromady jednotlivé aspekty rizika.

V závislosti na výsledcích hodnocení rizik by měla být vytvořena strategie stanovující celkový

přístup k problému kontinuity činností organizace. Takto vytvořená strategie by měla být

schválena vedením organizace a měl by být vytvořen a schválen plán její implementace.

14.1.3 Vytváření a implementace plánů kontinuity

Opatření

Pro udržení nebo obnovení provozních činností organizace po přerušení nebo selhání kritických

procesů a pro zajištění dostupnosti informací v požadovaném čase a na požadovanou úroveň

by měly být vytvořeny plány.

Doporučení k realizaci

V procesu plánování kontinuity činností organizace by mělo být zváženo:

a) určení a odsouhlasení všech odpovědností a postupů obnovy činností;

b) stanovení přijatelné úrovně pro ztrátu služeb nebo informací;

c) zavedení nouzových postupů tak, aby bylo možné dokončit zotavení a obnovu činností

v požadovaných lhůtách. Zvláštní pozornost je třeba věnovat ohodnocení vnitřních

a vnějších závislostí organizace a existujícím smlouvám;

d) provozní postupy až do obnovení činností;

e) dokumentace odsouhlasených procedur a postupů;

f) vhodné proškolení personálu o odsouhlasených havarijních procedurách a postupech,

včetně krizového řízení;

g) testování a aktualizace plánů.

Proces plánování by se měl soustředit na požadované cíle, např. obnovení specifických služeb

zákazníkům v přijatelném časovém horizontu. Měly by být zváženy všechny služby a zdroje,

kterých by se to mohlo týkat, včetně personálu, zdrojů nepředstavujících zařízení pro

zpracování informací, jakož i možnosti nouzového zajištění náhradních prostředků pro

zpracovávání informací. Zajištění náhradních prostředků může být řešeno formou dohody

o reciproční výpomoci a nebo uzavřením komerční smlouvy.

Plány kontinuity činností organizace by měly pokrývat zjištěné zranitelnosti a proto také mohou

obsahovat citlivé informace, které je potřebné vhodným způsobem chránit. Kopie plánu by tedy

měly být ukládány na dostatečně vzdálených místech (záložní lokalita), aby nebyly zničeny

v případě havárie v hlavní lokalitě. Vedení organizace by mělo zajistit pravidelnou aktualizaci

plánů kontinuity a zajistit, aby úroveň jejich ochrany byla stejná jako v hlavní lokalitě. Veškeré

další materiály potřebné pro spuštění činností obnovy dle plánů by měly být také dostupné

v záložní lokalitě.

Úroveň zavedených bezpečnostních opatření v záložních lokalitách by měla být ekvivalentní

úrovni bezpečnosti v hlavní lokalitě.

Další informace

Plány a činnosti krizového řízení nemusí být nutně shodné s činnostmi a plány řízení kontinuity,

tj. krize může být zvládnuta běžnými řídícími postupy.

14.1.4 Systém plánování kontinuity činností organizace

Opatření

Pro zajištění konzistentnosti plánů a pro určení priorit testování a údržby by měl být k dispozici

jednotný systém plánů kontinuity činností organizace.

Doporučení k realizaci

Každý plán by měl popisovat přístup k zajištění kontinuity činností organizace, např. zajištění

dostupnosti a bezpečnosti informací a informačních systémů. Každý plán kontinuity by měl

jasně specifikovat podmínky své aktivace, stejně jako osoby s odpovědností za vykonávání

každého bodu plánu. Při vzniku nových požadavků by havarijní postupy, jako např. evakuační

plány nebo jakékoliv existující dohody o zajištění náhradního provozu, měly být adekvátním

způsobem doplněny. Revize postupů by měla být začleněna do programu řízení změn

v organizaci, aby bylo zajištěno, že problematika kontinuity činností je vždy náležitě zajištěna.

Každý plán by měl mít stanoveného vlastníka. Havarijní postupy, plány manuálního náhradního

provozu a plány na znovuobnovení činnosti by měly být v odpovědnosti vlastníků daných

prostředků nebo vlastníků procesů organizace. Prostředky pro zajištění náhradních technických

služeb, jako jsou zařízení pro zpracování a výměnu informací, jsou obvykle v odpovědnosti

poskytovatelů servisních služeb.

Systém plánování kontinuity činností organizace by měl pokrývat identifikované požadavky na

bezpečnost informací a měl by brát v úvahu následující:

a) podmínky aktivace plánů, které popisují návod jak postupovat (např. jak vyhodnotit

situaci, kdo to provede atd.) než dojde k samotné aktivaci každého z plánů;

b) havarijní postupy, popisující činnosti, které by měly být provedeny po vzniku incidentu

ohrožujícího činnosti organizace nebo lidské životy. Měly by zahrnovat části věnované

vztahům s veřejností a efektivní spolupráci s odpovídajícími veřejnými institucemi, např.

policií, hasiči a představiteli místní správy;

c) postupy obnovy popisující činnosti pro přesun důležitých aktivit organizace a dalších

podpůrných služeb na náhradní dočasné místo a zajišťující obnovení činnosti

organizace v požadované době;

d) dočasné provozní postupy až do doby obnovení činnosti;

e) postupy popisující způsob opětovného uvedení organizace do normálního provozu;

f) harmonogram údržby, určující jak a kdy bude plán testován, a proces aktualizace plánu;

g) vzdělávací aktivity a aktivity k zlepšení povědomí, zaměřené na pochopení procesů

plánování kontinuity a pro zajištění jejich efektivního průběhu;

h) individuální odpovědnosti popisující kdo odpovídá za kterou složku plánu. Mohou být

podle potřeby stanoveny alternativy;

i) kritická aktiva a zdroje potřebné pro zajištění havarijních postupů, náhradních provozů

a postupů obnovení činnosti.

14.1.5 Testování, udržování a přezkoumání plánů kontinuity

Opatření

Plány kontinuity činností by měly být pravidelně testovány a aktualizovány, aby se zajistila jejich

aktuálnost a efektivnost.

Doporučení k realizaci

Testy plánů kontinuity by měly zajistit, že všichni členové týmu obnovy i ostatní dotčení

pracovníci mají plány v povědomí a jsou si vědomi svých odpovědností a rolí v případě aktivace

plánu.

Harmonogram testů plánů kontinuity by měl stanovovat, jak a kdy by měl být každý prvek plánu

testován. Jednotlivé komponenty plánu by měly být testovány v pravidelných intervalech.

Pro ověření, že plány budou fungovat i v reálném situaci, by měly být použity různé testovací

techniky, které by měly zahrnovat:

a) ověření různých scénářů u stolu (přezkoumání a kritické rozebrání obsahu

a realizovatelnosti plánu);

b) simulace (zejména pro nácvik rolí krizového řízení a činností následně po incidentu);

c) technické testy obnovy (prověření zda mohou být informační systémy efektivně

obnoveny);

d) testy obnovení v náhradní lokalitě (paralelní provoz procesů organizace v záložní

lokalitě);

e) testy externě zajišťovaných zařízení a služeb (prověření, že externě poskytované

služby a produkty splňují smluvní závazky);

f) testy úplného přerušení (testování toho, že se organizace, personál, zařízení,

prostředky a procesy mohou s přerušeními vypořádat).

Tyto techniky testování mohou být použity v libovolné organizaci s přihlédnutím k povaze

specifických plánů obnovy. Výsledky testů by měly být zaznamenány a zjištěné nedostatky

odstraněny.

Měla by být stanovena odpovědnost za provádění pravidelných revizí každého plánu kontinuity.

Po změně podmínek v organizaci, které se ještě neodrazily v plánech kontinuity, by měla

proběhnout odpovídající aktualizace těchto plánů. Tento formální změnový proces by měl

prostřednictvím pravidelných kontrol celého plánu zajistit, že jsou aktualizované plány

distribuovány a prosazovány.

Příklady situací, které si mohou vynutit aktualizaci plánů, zahrnují nákup nového zařízení nebo

modernizaci provozního systému a změny:

a) ve složení personálu;

b) v adresách nebo telefonních číslech;

c) v celkové strategii organizace;

d) lokality, zařízení a zdrojů;

e) v legislativě;

f) smluvních partnerů, dodavatelů a klíčových zákazníků;

g) v procesech nebo v jejich vytvoření/zrušení;

h) rizicích (provozních a ekonomických).