Řízení kontinuity činností organizace z hlediska bezpečnosti informací
14.1 Aspekty řízení kontinuity činností organizace z hlediska
bezpečnosti informací
Cíl: Bránit přerušení provozních činností a chránit kritické procesy organizace před následky
závažných selhání informačních systémů nebo katastrof a zajistit jejich včasnou obnovu.
Pro minimalizaci následků a zotavení se ze ztráty informačních aktiv (které může být např.
výsledkem přírodních pohrom, nehod, chyb zařízení a úmyslného jednání) na přijatelnou
úroveň, za pomoci preventivních a zotavovacích opatření, by měl být zaveden proces řízení
kontinuity činností organizace. Tento proces by měl identifikovat kritické činnosti organizace
a začlenit požadavky řízení bezpečnosti informací s ohledem na požadavky provozní,
personální, materiální, dopravní a požadavků na zařízení.
Důsledky pohrom, bezpečnostních chyb a ztráty/dostupnosti služeb by měly být identifikovány
v rámci analýzy dopadů. Pro zajištění toho, aby mohly být obnoveny klíčové činnost organizace
v požadovaných lhůtách, je vhodné připravit a implementovat plány kontinuity. Bezpečnost
informací by se měla stát nedílnou součástí procesu řízení kontinuity činností a dalších řídících
procesů v rámci organizace.
Řízení kontinuity činností organizace by mělo zahrnovat opatření k identifikaci a minimalizaci
rizik, omezovat důsledky škodlivých incidentů a zajistit včasnou dostupnost informací
potřebných pro obnovení nezbytných činností.
14.1.1 Zahrnutí bezpečnosti informací do procesu řízení kontinuity činností
organizace
Opatření
V rámci organizace by měl existovat řízený proces pro rozvoj a udržování kontinuity činností
organizace.
Doporučení k realizaci
Proces by měl v sobě zahrnovat následující klíčové prvky řízení kontinuity činností organizace:
c) pochopení rizik, kterým organizace čelí z hlediska jejich pravděpodobnosti a dopadu,
včetně identifikace a stanovení priority kritických procesů organizace (viz 14.1.2);
d) identifikace všech aktiv, které jsou součástí kritických procesů organizace (viz 7.1.1);
e) pochopení dopadů, které může přerušení mít na činnosti organizace (je důležité, aby
byla nalezena taková řešení, která pokryjí malé, stejně tak jako velké incidenty
ohrožující životaschopnost organizace), a stanovení cílů v oblasti zařízení pro
zpracování informací;
f) zvážení možnosti uzavření pojistky, která může tvořit součást celého procesu zajištění
kontinuity činností a řízené provozních rizik;
g) identifikace a zvážení implementace dodatečných preventivních a nápravných opatření;
h) identifikace dostatečných finančních, organizačních, technických a okolních zdrojů na
pokrytí identifikovaných požadavků na bezpečnost informací;
i) zajištění bezpečnosti personálu, ochrany majetku organizace a ochrany zařízení na
zpracování informací;
j) formulace a dokumentace plánů kontinuity činností, pokrývajících požadavky na
bezpečnost informací a v souladu s odsouhlasenou strategií řízení kontinuity činností
organizace (viz 14.1.3);
k) zavedení pravidelného testování a aktualizace plánů a postupů (viz 14.1.5);
l) zajištění, aby řízení kontinuity činností organizace bylo součástí procesů a struktury
organizace. Odpovědnost za proces koordinace řízení kontinuity by měla být v rámci
organizace stanovena na odpovídající úrovni (viz 6.1.1).
14.1.2 Kontinuita činností organizace a hodnocení rizik
Opatření
Měly by být identifikovány možné příčiny přerušení činností organizace, včetně jejich
pravděpodobnosti, velikosti dopadu a možných následků na bezpečnost informací.
Doporučení k realizaci
Kontinuita činností organizace z pohledu bezpečnosti informací, by měla být založena na
identifikaci událostí (nebo sledu událostí), které mohou být příčinou přerušení procesů, např.
chyba zařízení, povodeň, požár. Poté by mělo následovat hodnocení rizik, k určení
pravděpodobnosti a velikosti dopadu těchto druhů přerušení jak z hlediska rozsahu škod, tak
doby jejich obnovení.
Hodnocení rizik by mělo být prováděno za plného zapojení vlastníků zdrojů a vlastníků procesů
organizace. Toto hodnocení by mělo zahrnout všechny procesy v organizaci a mělo by
obsahovat výsledky týkající se bezpečnosti informací, nemělo by být omezeno pouze na
zařízení pro zpracování informací. K získání celkového pohledu na požadavky kontinuity
činností organizace je důležité dát dohromady jednotlivé aspekty rizika.
V závislosti na výsledcích hodnocení rizik by měla být vytvořena strategie stanovující celkový
přístup k problému kontinuity činností organizace. Takto vytvořená strategie by měla být
schválena vedením organizace a měl by být vytvořen a schválen plán její implementace.
14.1.3 Vytváření a implementace plánů kontinuity
Opatření
Pro udržení nebo obnovení provozních činností organizace po přerušení nebo selhání kritických
procesů a pro zajištění dostupnosti informací v požadovaném čase a na požadovanou úroveň
by měly být vytvořeny plány.
Doporučení k realizaci
V procesu plánování kontinuity činností organizace by mělo být zváženo:
a) určení a odsouhlasení všech odpovědností a postupů obnovy činností;
b) stanovení přijatelné úrovně pro ztrátu služeb nebo informací;
c) zavedení nouzových postupů tak, aby bylo možné dokončit zotavení a obnovu činností
v požadovaných lhůtách. Zvláštní pozornost je třeba věnovat ohodnocení vnitřních
a vnějších závislostí organizace a existujícím smlouvám;
d) provozní postupy až do obnovení činností;
e) dokumentace odsouhlasených procedur a postupů;
f) vhodné proškolení personálu o odsouhlasených havarijních procedurách a postupech,
včetně krizového řízení;
g) testování a aktualizace plánů.
Proces plánování by se měl soustředit na požadované cíle, např. obnovení specifických služeb
zákazníkům v přijatelném časovém horizontu. Měly by být zváženy všechny služby a zdroje,
kterých by se to mohlo týkat, včetně personálu, zdrojů nepředstavujících zařízení pro
zpracování informací, jakož i možnosti nouzového zajištění náhradních prostředků pro
zpracovávání informací. Zajištění náhradních prostředků může být řešeno formou dohody
o reciproční výpomoci a nebo uzavřením komerční smlouvy.
Plány kontinuity činností organizace by měly pokrývat zjištěné zranitelnosti a proto také mohou
obsahovat citlivé informace, které je potřebné vhodným způsobem chránit. Kopie plánu by tedy
měly být ukládány na dostatečně vzdálených místech (záložní lokalita), aby nebyly zničeny
v případě havárie v hlavní lokalitě. Vedení organizace by mělo zajistit pravidelnou aktualizaci
plánů kontinuity a zajistit, aby úroveň jejich ochrany byla stejná jako v hlavní lokalitě. Veškeré
další materiály potřebné pro spuštění činností obnovy dle plánů by měly být také dostupné
v záložní lokalitě.
Úroveň zavedených bezpečnostních opatření v záložních lokalitách by měla být ekvivalentní
úrovni bezpečnosti v hlavní lokalitě.
Další informace
Plány a činnosti krizového řízení nemusí být nutně shodné s činnostmi a plány řízení kontinuity,
tj. krize může být zvládnuta běžnými řídícími postupy.
14.1.4 Systém plánování kontinuity činností organizace
Opatření
Pro zajištění konzistentnosti plánů a pro určení priorit testování a údržby by měl být k dispozici
jednotný systém plánů kontinuity činností organizace.
Doporučení k realizaci
Každý plán by měl popisovat přístup k zajištění kontinuity činností organizace, např. zajištění
dostupnosti a bezpečnosti informací a informačních systémů. Každý plán kontinuity by měl
jasně specifikovat podmínky své aktivace, stejně jako osoby s odpovědností za vykonávání
každého bodu plánu. Při vzniku nových požadavků by havarijní postupy, jako např. evakuační
plány nebo jakékoliv existující dohody o zajištění náhradního provozu, měly být adekvátním
způsobem doplněny. Revize postupů by měla být začleněna do programu řízení změn
v organizaci, aby bylo zajištěno, že problematika kontinuity činností je vždy náležitě zajištěna.
Každý plán by měl mít stanoveného vlastníka. Havarijní postupy, plány manuálního náhradního
provozu a plány na znovuobnovení činnosti by měly být v odpovědnosti vlastníků daných
prostředků nebo vlastníků procesů organizace. Prostředky pro zajištění náhradních technických
služeb, jako jsou zařízení pro zpracování a výměnu informací, jsou obvykle v odpovědnosti
poskytovatelů servisních služeb.
Systém plánování kontinuity činností organizace by měl pokrývat identifikované požadavky na
bezpečnost informací a měl by brát v úvahu následující:
a) podmínky aktivace plánů, které popisují návod jak postupovat (např. jak vyhodnotit
situaci, kdo to provede atd.) než dojde k samotné aktivaci každého z plánů;
b) havarijní postupy, popisující činnosti, které by měly být provedeny po vzniku incidentu
ohrožujícího činnosti organizace nebo lidské životy. Měly by zahrnovat části věnované
vztahům s veřejností a efektivní spolupráci s odpovídajícími veřejnými institucemi, např.
policií, hasiči a představiteli místní správy;
c) postupy obnovy popisující činnosti pro přesun důležitých aktivit organizace a dalších
podpůrných služeb na náhradní dočasné místo a zajišťující obnovení činnosti
organizace v požadované době;
d) dočasné provozní postupy až do doby obnovení činnosti;
e) postupy popisující způsob opětovného uvedení organizace do normálního provozu;
f) harmonogram údržby, určující jak a kdy bude plán testován, a proces aktualizace plánu;
g) vzdělávací aktivity a aktivity k zlepšení povědomí, zaměřené na pochopení procesů
plánování kontinuity a pro zajištění jejich efektivního průběhu;
h) individuální odpovědnosti popisující kdo odpovídá za kterou složku plánu. Mohou být
podle potřeby stanoveny alternativy;
i) kritická aktiva a zdroje potřebné pro zajištění havarijních postupů, náhradních provozů
a postupů obnovení činnosti.
14.1.5 Testování, udržování a přezkoumání plánů kontinuity
Opatření
Plány kontinuity činností by měly být pravidelně testovány a aktualizovány, aby se zajistila jejich
aktuálnost a efektivnost.
Doporučení k realizaci
Testy plánů kontinuity by měly zajistit, že všichni členové týmu obnovy i ostatní dotčení
pracovníci mají plány v povědomí a jsou si vědomi svých odpovědností a rolí v případě aktivace
plánu.
Harmonogram testů plánů kontinuity by měl stanovovat, jak a kdy by měl být každý prvek plánu
testován. Jednotlivé komponenty plánu by měly být testovány v pravidelných intervalech.
Pro ověření, že plány budou fungovat i v reálném situaci, by měly být použity různé testovací
techniky, které by měly zahrnovat:
a) ověření různých scénářů u stolu (přezkoumání a kritické rozebrání obsahu
a realizovatelnosti plánu);
b) simulace (zejména pro nácvik rolí krizového řízení a činností následně po incidentu);
c) technické testy obnovy (prověření zda mohou být informační systémy efektivně
obnoveny);
d) testy obnovení v náhradní lokalitě (paralelní provoz procesů organizace v záložní
lokalitě);
e) testy externě zajišťovaných zařízení a služeb (prověření, že externě poskytované
služby a produkty splňují smluvní závazky);
f) testy úplného přerušení (testování toho, že se organizace, personál, zařízení,
prostředky a procesy mohou s přerušeními vypořádat).
Tyto techniky testování mohou být použity v libovolné organizaci s přihlédnutím k povaze
specifických plánů obnovy. Výsledky testů by měly být zaznamenány a zjištěné nedostatky
odstraněny.
Měla by být stanovena odpovědnost za provádění pravidelných revizí každého plánu kontinuity.
Po změně podmínek v organizaci, které se ještě neodrazily v plánech kontinuity, by měla
proběhnout odpovídající aktualizace těchto plánů. Tento formální změnový proces by měl
prostřednictvím pravidelných kontrol celého plánu zajistit, že jsou aktualizované plány
distribuovány a prosazovány.
Příklady situací, které si mohou vynutit aktualizaci plánů, zahrnují nákup nového zařízení nebo
modernizaci provozního systému a změny:
a) ve složení personálu;
b) v adresách nebo telefonních číslech;
c) v celkové strategii organizace;
d) lokality, zařízení a zdrojů;
e) v legislativě;
f) smluvních partnerů, dodavatelů a klíčových zákazníků;
g) v procesech nebo v jejich vytvoření/zrušení;
h) rizicích (provozních a ekonomických).