Zarządzanie ciągłością działania
Transkrypt
Zarządzanie ciągłością działania
System Zarządzania Bezpieczeństwem Informacji od dobrych praktyk do certyfikacji ISO/IEC 27001 Zarządzanie ciągłością działania Zarządzanie ciągłością działania polega na przygotowaniu planów na wypadek wystąpienia zdarzeń, które mogą stanowić zagrożenie dla dalszego funkcjonowania Organizacji. Przykładami takich zdarzeń może być pożar, powódź, atak terrorystyczny lub konflikt zbrojny – ale również długotrwała awaria systemu zasilania lub kanałów telekomunikacyjnych. Zarządzanie ciągłością działania jest przedmiotem normy BS 25999 (British Standard – Business Continuity Management) i opiera się na analizie zagrożeń i podatności i w konsekwencji ocenia ryzyk z nimi związanych. Cechą zarządzania ciągłością działania jest konieczność podejmowania decyzji i realizacji działań w warunkach silnego stresu i wysokiej niepewności co do dalszego rozwoju sytuacji. System Zarządzania Bezpieczeństwem Informacji powinien być zintegrowany z zarządzaniem ciągłością działania i działania zmierzające w kierunku zapewnienia bezpieczeństwa informacji powinny być częścią planów oraz szkoleń przygotowanych na wypadek zdarzeń zagrażających ciągłości działania Organizacji (np. pożaru, powodzi itp.). Z całym naciskiem należy podkreślić, że w przypadku zagrożenia życia ludzi absolutnym priorytetem podejmowanych działań powinna być ochrona ludzi, a nie jakichkolwiek aktywów i zasobów – materialnych lub nie. Zdarzenia, które mogą zagrozić ciągłości działania można podzielić na dwie grupy: • zdarzenia, które występują nagle – np. gwałtowny pożar, wybuch, wypadek komunikacyjny, atak terrorystyczny itp. Plany związane z takimi zdarzeniami muszą więc uwzględniać czynnik zaskoczenia. • Zmiany środowiska działania, które powodują stopniowy wzrost zagrożenia – np. powódź (z wyjątkiem terenów górskich), dłuższa awaria zasilania elektrycznego itp. W tym przypadku możliwe jest odpowiednio wczesne podjęcie działań mogących zapobiec choć w części skutkom tych zdarzeń, lub przynajmniej próbować je zminimalizować. Opracowanie planów na wypadek wystąpienia zdarzeń zagrażających ciągłości działania oraz zapoznanie z nimi pracowników Organizacji ma absolutnie kluczowe znaczenie, ponieważ w warunkach nawet widocznego i przewidywalnego zagrożenia wiele osob nie zachowuje się racjonalnie – np. W Krakowie pod Wawelem w maju 2010 r. (najwyższy odnotowany poziom Wisły) wiele samochodów parkowało tuż pod wałem znacznie poniżej poziomu lustra wody. Instrukcje i plany działania opracowywane przez Organizację na wypadek wystąpienia zdarzeń zagrażających ciągłości działania (np. Instrukcja przeciwpożarowa) powinny uwzględniać działania zmierzające do zapewnienia możliwie największego bezpieczeństwa aktywów informacyjnych w warunkach działań kryzysowych. Należy przy tym brać pod uwagę nie tylko zagrożenia bezpośrednie (np. wysoka temperatura podczas pożaru) lecz także wtórne (zalanie pomieszczeń podczas akcji gaśniczej Straży Pożarnej). Rozdział 11: Zarządzanie ciągłością działania (C) Tomasz Barbaszewski Materiał szkoleniowy str. 1 z 2 System Zarządzania Bezpieczeństwem Informacji od dobrych praktyk do certyfikacji ISO/IEC 27001 Plan działania opracowywany na wypadek sytuacji awaryjnej powinien uwzględniać wartość informacji dla Organizacji wyznaczoną podczas analizy ryzyka. Pozwoli to na określenie priorytetów działań w przypadku wystąpienia zagrożenia. Przygotowują plan działań na wypadek sytuacji kryzysowej powinniśmy w pierwszej kolejności starać sie uchronić i zabezpieczyć te aktywa, których nie można łatwo odtworzyć. Oczywiście w pierwszej kolejności należy zadbać o bezpieczeństwo ludzi, a w drugiej kolejności informacje, które posiadają największą wartość dla organizacji. Zabezpieczenie informacji nie musi (i nie powinno) się wiązać z zabezpieczeniem sprzętu, który może zostać przecież bez problemów ubezpieczony (przeniesienie ryzyka). Również oprogramowanie systemowe i użytkowe jest łatwe do odtworzenia. Najtrudniejsze do odtworzenia są aktywa informacyjne specyficzne dla Organizacji lub wręcz przez nią tworzone – dlatego też nie należy tych aktywów rozpraszać – przechowując ważne informacje na dyskach komputerów osobistych lub przenośnych. Należy dążyć do tego, aby informacje były zgromadzone dobrze chronionym pomieszczeniu, oraz aby zawsze była dostępna możliwie jak najbardziej aktualna ich kopia awaryjna, przechowywana w innym budynku, lub co najmniej w innym pomieszczeniu. Podobnie należy postępować z informacjami w formie klasycznej (na nośnikach papierowych). W warunkach stresu związanego z zagrożeniem nie ma czasu na zastanawianie się, gdzie jeszcze może być zmagazynowana informacja o znacznej wartości. Organizacja powinna więc przygotować Politykę ciągłości działania, przetestować jej skuteczność oraz zapoznać z nią wszystkich pracowników. Zarówno Polityka, jak związane z nią plany działania powinny być okresowo testowane i w razie potrzeby korygowane. Uwagi końcowe Plany związane z utrzymaniem ciągłości działania nie powinny być zbyt skomplikowane. Pracownicy powinni rozumieć powody, dla których powinni wykonać odpowiednie czynności oraz jak je wykonywać. Wymaga to przeprowadzania okresowych ćwiczeń – np. próbnych alarmów pożarowych lub powodziowych. Plany związane z zabezpieczeniem informacji powinny być skorelowane z innymi instrukcjami działania w sytuacjach kryzysowych -np. instrukcją p-poż. Rozdział 11: Zarządzanie ciągłością działania (C) Tomasz Barbaszewski Materiał szkoleniowy str. 2 z 2