Zarządzanie ciągłością działania

System Zarządzania Bezpieczeństwem Informacji
od dobrych praktyk do certyfikacji ISO/IEC 27001
Zarządzanie ciągłością działania
Zarządzanie ciągłością działania polega na przygotowaniu planów na wypadek wystąpienia
zdarzeń, które mogą stanowić zagrożenie dla dalszego funkcjonowania Organizacji. Przykładami
takich zdarzeń może być pożar, powódź, atak terrorystyczny lub konflikt zbrojny – ale również
długotrwała awaria systemu zasilania lub kanałów telekomunikacyjnych.
Zarządzanie ciągłością działania jest przedmiotem normy BS 25999 (British Standard – Business
Continuity Management) i opiera się na analizie zagrożeń i podatności i w konsekwencji ocenia
ryzyk z nimi związanych. Cechą zarządzania ciągłością działania jest konieczność podejmowania
decyzji i realizacji działań w warunkach silnego stresu i wysokiej niepewności co do dalszego
rozwoju sytuacji.
System Zarządzania Bezpieczeństwem Informacji powinien być zintegrowany z zarządzaniem
ciągłością działania i działania zmierzające w kierunku zapewnienia bezpieczeństwa informacji
powinny być częścią planów oraz szkoleń przygotowanych na wypadek zdarzeń zagrażających
ciągłości działania Organizacji (np. pożaru, powodzi itp.).
Z całym naciskiem należy podkreślić, że w przypadku zagrożenia życia ludzi absolutnym
priorytetem podejmowanych działań powinna być ochrona ludzi, a nie jakichkolwiek
aktywów i zasobów – materialnych lub nie.
Zdarzenia, które mogą zagrozić ciągłości działania można podzielić na dwie grupy:
• zdarzenia, które występują nagle – np. gwałtowny pożar, wybuch, wypadek komunikacyjny,
atak terrorystyczny itp.
Plany związane z takimi zdarzeniami muszą więc uwzględniać czynnik zaskoczenia.
• Zmiany środowiska działania, które powodują stopniowy wzrost zagrożenia – np. powódź
(z wyjątkiem terenów górskich), dłuższa awaria zasilania elektrycznego itp. W tym
przypadku możliwe jest odpowiednio wczesne podjęcie działań mogących zapobiec choć w
części skutkom tych zdarzeń, lub przynajmniej próbować je zminimalizować.
Opracowanie planów na wypadek wystąpienia zdarzeń zagrażających ciągłości działania oraz
zapoznanie z nimi pracowników Organizacji ma absolutnie kluczowe znaczenie, ponieważ w
warunkach nawet widocznego i przewidywalnego zagrożenia wiele osob nie zachowuje się
racjonalnie – np. W Krakowie pod Wawelem w maju 2010 r. (najwyższy odnotowany poziom
Wisły) wiele samochodów parkowało tuż pod wałem znacznie poniżej poziomu lustra wody.
Instrukcje i plany działania opracowywane przez Organizację na wypadek wystąpienia zdarzeń
zagrażających ciągłości działania (np. Instrukcja przeciwpożarowa) powinny uwzględniać działania
zmierzające do zapewnienia możliwie największego bezpieczeństwa aktywów informacyjnych w
warunkach działań kryzysowych. Należy przy tym brać pod uwagę nie tylko zagrożenia
bezpośrednie (np. wysoka temperatura podczas pożaru) lecz także wtórne (zalanie pomieszczeń
podczas akcji gaśniczej Straży Pożarnej).
Rozdział 11: Zarządzanie ciągłością działania
(C) Tomasz Barbaszewski
Materiał szkoleniowy
str. 1 z 2
System Zarządzania Bezpieczeństwem Informacji
od dobrych praktyk do certyfikacji ISO/IEC 27001
Plan działania opracowywany na wypadek sytuacji awaryjnej powinien uwzględniać wartość
informacji dla Organizacji wyznaczoną podczas analizy ryzyka. Pozwoli to na określenie
priorytetów działań w przypadku wystąpienia zagrożenia.
Przygotowują plan działań na wypadek sytuacji kryzysowej powinniśmy w pierwszej kolejności
starać sie uchronić i zabezpieczyć te aktywa, których nie można łatwo odtworzyć. Oczywiście w
pierwszej kolejności należy zadbać o bezpieczeństwo ludzi, a w drugiej kolejności informacje, które
posiadają największą wartość dla organizacji. Zabezpieczenie informacji nie musi (i nie powinno)
się wiązać z zabezpieczeniem sprzętu, który może zostać przecież bez problemów ubezpieczony
(przeniesienie ryzyka). Również oprogramowanie systemowe i użytkowe jest łatwe do odtworzenia.
Najtrudniejsze do odtworzenia są aktywa informacyjne specyficzne dla Organizacji lub wręcz
przez nią tworzone – dlatego też nie należy tych aktywów rozpraszać – przechowując ważne
informacje na dyskach komputerów osobistych lub przenośnych. Należy dążyć do tego, aby
informacje były zgromadzone dobrze chronionym pomieszczeniu, oraz aby zawsze była dostępna
możliwie jak najbardziej aktualna ich kopia awaryjna, przechowywana w innym budynku, lub co
najmniej w innym pomieszczeniu. Podobnie należy postępować z informacjami w formie
klasycznej (na nośnikach papierowych). W warunkach stresu związanego z zagrożeniem nie ma
czasu na zastanawianie się, gdzie jeszcze może być zmagazynowana informacja o znacznej
wartości.
Organizacja powinna więc przygotować Politykę ciągłości działania, przetestować jej
skuteczność oraz zapoznać z nią wszystkich pracowników. Zarówno Polityka, jak związane z nią
plany działania powinny być okresowo testowane i w razie potrzeby korygowane.
Uwagi końcowe
Plany związane z utrzymaniem ciągłości działania nie powinny być zbyt skomplikowane.
Pracownicy powinni rozumieć powody, dla których powinni wykonać odpowiednie czynności oraz
jak je wykonywać. Wymaga to przeprowadzania okresowych ćwiczeń – np. próbnych alarmów
pożarowych lub powodziowych.
Plany związane z zabezpieczeniem informacji powinny być skorelowane z innymi instrukcjami
działania w sytuacjach kryzysowych -np. instrukcją p-poż.
Rozdział 11: Zarządzanie ciągłością działania
(C) Tomasz Barbaszewski
Materiał szkoleniowy
str. 2 z 2