Zavádzanie BCM do organizácie a štandardy

Činnosť inštitúcií verejnej správy, ale aj súkromného sektora, dnes vo veľkej miere závisí od informačných a komunikačných technológií. V prípade ich zlyhania alebo prerušenia ich prevádzky by mohla nastať situácia, kedy štát nebude schopný poskytovať dôležité služby svojim občanom a firmy budú nútené prerušiť svoju činnosť.

Riadenie kontinuity činnosti (BCM – Business Continuity Management) predstavuje súbor aktivít, ktorý je potrebné vykonávať na to, aby bola organizácia schopná pokračovať v prevádzke aj v prípade prerušenia bežnej prevádzky, havárie či počas krízovej situácie. Pretože takéto neželané udalosti môžu nastať kedykoľvek, je pre organizáciu výhodné, aby bola na ne vopred pripravená. Vytvorenie plánov kontinuity činností spočíva v ustanovení postupov a informácií potrebných na udržanie behu aspoň kritických procesov, systémov a sietí.

Na čo všetko je dobré byť pripravený? BCM a s ním súvisiace plány, napr. plány obnovy alebo havarijné plány, by mali pokrývať udalosti alebo incidenty, ku ktorým patria okrem iného aj:

• prírodné katastrofy (záplavy, zemetrasenia, hurikány, požiare),
• sociálne nepokoje, terorizmus,
• zlyhanie hardvéru alebo zariadenia (pevný disk, klimatizácia),
• výpadok podporných služieb (elektrická energia, telekomunikačné linky),
• zlyhanie aplikačného vybavenia alebo poškodenie databázy,
• ľudské zlyhania alebo sabotáž,
• škodlivý softvér, kybernetický útok.

Pri príprave na tieto a  iné hrozby je výhodné použiť niektorý z existujúcich štandardov pre BCM. V tomto článku sa budeme venovať medzinárodnému štandardu ISO 22301:2012, americkému štandardu NFPA 1600, špeciálnej publikácií NIST 800-34 a nemeckému štandardu BSI 100-4.

ISO 22301:2012
Tento štandard je nástupcom britského štandardu BS25999, ktorý mal dve časti.  Časť 1 z roku 2006  mala formu všeobecného návodu ako pristupovať k jednotlivým procesom, princípom a terminológií v oblasti BCM. Časť 2 mala formu súboru požiadaviek na implementáciu, prevádzku a zlepšovanie systému BCM.

Oficiálny názov štandardu ISO 22301:2012 je Bezpečnosť spoločnosti – Systémy riadenia kontinuity činností – Požiadavky (Societal security - Business continuity management systems – Requirements) a je rozdelený do siedmich kapitol:

• Kontext,
• Vedenie,
• Plánovanie,
• Podpora,
• Prevádzka,
• Vyhodnocovanie a
• Zlepšovanie.

Cieľom tohto štandardu je ukázať ako zaviesť a riadiť systém BCM, ktorý pozostáva z navzájom súvisiacich prvkov akými sú ľudia, politiky, plány, postupy, procesy, štruktúry a zdroje. Všetky tieto prvky sú potrebné na zaistenie toho, aby boli produkty a služby  dodávané vo vopred definovanej kvalite, kritické procesy boli schopné prevádzky a aby reputácia a záujmy zainteresovaných strán boli chránené aj v prípade incidentov. Tento štandard, podobne ako mnohé iné štandardy zaoberajúce sa systémami riadenia, je postavený na metóde PDCA (Demingov model), ktorý zaisťuje neustále zlepšovanie systému v štyroch cyklických krokoch – plánuj, vykonaj, preskúmaj a zlepšuj (plan – do – check – act).

Po všeobecných kapitolách 1 -3 sa štandard začína venovať požiadavkám na BCM v kapitole 4 (Kontext), kde požaduje porozumenie celkovému fungovaniu organizácie a jej okoliu pred samotným budovaním systému BCM. Kladie požiadavky na identifikovanie zainteresovaných strán v organizácii, objasnenie ich záujmov a očakávaní a identifikáciu relevantných legislatívnych a regulačných požiadaviek. Výsledkom týchto aktivít má byť formálne definovanie rozsahu systému BCM – teda určenie rozsahu, na ktorý sa bude tento systém aplikovať. Štandard pozostáva z nasledovných kapitol:

• Kapitola 5 (Vedenie) prezentuje požiadavky na získanie podpory vedenia pri zavádzaní systému BCM, určenie rol a zodpovedností za jednotlivé činnosti a vytvorenie politiky kontinuity činností.
• Kapitola 6 (Plánovanie) organizácii ukladá prípravu plánov na reakcie na okolnosti, ktoré môžu vplývať na systém BCM a definovať ciele pre kontinuitu činností a plány, ktoré umožnia ich plnenie.
• Kapitola 7 (Podpora) organizáciu vedie k podporovaniu systému BCM tým, že na zavedenie a prevádzku tohto systému vyčlení potrebné zdroje. Rovnako požaduje, aby zamestnanci, ktorí majú v rámci tohto systému pridelené role boli kompetentní tieto role vykonávať a boli si vedomí svojich zodpovedností. Potrebné je tiež riadiť informačné aktíva a zaviesť komunikačné postupy.
• Kapitola 8 (Prevádzka) vyžaduje plánovanie, implementáciu a riadenie procesov spojených so systémom BCM. Rovnako požaduje posúdenie rizík, stanovenie priorít pre obnovu systémov a identifikáciu možností ošetrenia rizík. Ďalšími požadovanými úlohami sú vykonanie analýzy dopadov, vytvorenie stratégie pre kontinuitu činností a zavedenie plánov a postupov kontinuity činností. Tiež prezentuje potrebu vykonávania cvičení a testovanie týchto plánov a postupov.
• Kapitola 9 (Vyhodnocovanie) predpisuje monitorovanie, meranie, vykonanie auditov a vyhodnocovanie systému BCM a preskúmanie jeho výkonnosti v pravidelných intervaloch.
• Záverečná kapitola 10 (Zlepšovanie) požaduje implementáciu nápravných opatrení na odstránenie identifikovaných nezhôd s požiadavkami tohto štandardu, legislatívnymi a regulačnými požiadavkami a s vlastnými vnútornými predpismi.

NFPA 1600
Tento americký štandard, ktorého úplný názov je Štandard pre manažment katastrof, mimoriadnych situácií a programov kontinuity činností (Standard on Disaster/Emergency Management and Business Continuity Programs), je navrhnutý ako popis základných kritérií pre komplexný program na obnovu po haváriách, pre krízový manažment a kontinuitu činností. Bol vyvinutý Národnou asociáciou pre ochranu pred požiarmi (NFPA – National Fire Protection Association) v roku 1995 ako odporúčaný postup pre zvládanie katastrof a odvtedy prešiel vývojom a mnohými úpravami až do dnešnej podoby štandardu, ktorý sa vzťahuje na súkromný aj verejný sektor a poskytuje techniky a procesy pre manažment mimoriadnych situácií.

Hlavnými kapitolami tohto štandardu sú:

• definície,
• riadenie programu,
• plánovanie,
• implementácia,
• školenia a vzdelávanie,
• cvičenia a testy,
• údržba a zlepšovanie programu a
• prílohy (informatívne vysvetlenie jednotlivých požiadaviek, zdroje pre vývoj programu, formulár pre vykonanie vyhodnotenia súladu s týmto štandardom, modely vyspelosti a ďalšie prílohy).

V kapitole o riadení programu tento štandard požaduje, aby vedenie organizácie jasne deklarovalo svoj záväzok a odhodlanie k realizácií programu na prevenciu, minimalizáciu dôsledkov, prípravu a riešenie incidentov, kontinuitu činností počas nich a zotavenie sa z incidentov po ich vyriešení. Na toto je potrebné, aby organizácia menovala koordinátora programu a vytvorila komisiu programu. Tento program musí byť dokumentovaný a má zahŕňať vrcholovú politiku, roly a zodpovednosti, rozsah organizácie, na ktorý je program aplikovaný, jeho ciele a metriky na ich vyhodnocovanie. Rovnako je potrebné do neho zahrnúť aj relevantnú legislatívu, autority, regulácie, rozpočet, zdroje a spôsob vedenia záznamov a proces manažmentu zmien. Kapitola Plánovanie hovorí o návrhu celkového procesu vývoja stratégií, plánov a požadovaných schopností na vykonávanie programu. Požaduje vykonanie posúdenia rizík, v rámci ktorého je potrebné vyhodnotiť hrozby prírodného, ľudského alebo technologického pôvodu. Rovnako je potrebné vyhodnotiť zraniteľnosti prvkov organizácie ako sú zamestnanci, majetok, prevádzka či prostredie a tieto prvky identifikovať, vyhodnotiť a priebežne monitorovať. Organizácia by mala vykonať analýzu dôsledkov materializácie rizík aspoň v týchto oblastiach:

• zdravie a bezpečnosť osôb v postihnutej oblasti,
• zdravie a bezpečnosť zamestnancov riešiacich incident,
• kontinuita prevádzky,
• majetok, zariadenia, aktíva a kritická infraštruktúra,
• dodávanie služieb,
• prostredie,
• ekonomické a finančné podmienky,
• regulačné a zmluvné požiadavky,
• reputácia a dôvera.

Štandard tiež organizácii v procese plánovania ukladá vykonanie Analýzy dopadov (BIA – Business Impact Analysis), prostredníctvom ktorej budú vyhodnotené potenciálne dopady vyplývajúce z prerušenia či narušenia individuálnych funkcií, procesov a aplikácií. Počas BIA sa identifikujú kritické funkcie, procesy, infraštruktúra, systémy a aplikácie a bod v čase, kedy už prerušenie či narušenie nebude pre organizáciu akceptovateľné – tzv. cieľová doba obnovy (RTO – Recovery Time Objective). Počas BIA sa tiež vyhodnotí potenciálna strata informácií a bod v čase – tzv. cieľový bod obnovy (RPO – Recovery Point Objective), ktorý definuje rozdiel medzi časom vytvorenia poslednej zálohy informácií a časom prerušenia alebo narušenia. Počas plánovania je tiež potrebné vyhodnotiť nároky na zdroje (ľudské zdroje, vybavenie, školenia, informácie atď.) a zaviesť ciele pre výkonnosť programu.

V kapitole Implementácia štandard uvádza požiadavky na prevenciu, zmierňovanie dôsledkov krízy, krízovú komunikáciu, varovania, operatívne postupy a riadenie počas incidentov. Rovnako stanovuje aj požiadavky na tzv. Pohotovostné operačné centrum (EOC - Emergency Operations Center), ktoré po svojej aktivácií skoordinuje a komunikuje svoje aktivity s riešiteľmi incidentu. Pre koordináciu zmierňovania dôsledkov, prípravu na ich riešenie, kontinuitu činností a obnovu systémov musia byť zavedené postupy a politiky. Na vykonávanie špecifických úloh počas pohotovosti musí organizácia definovať tzv. plány pohotovostnej prevádzky a riešenia na ochranu ľudí, majetku, prevádzky a prostredia. Plán musí zahŕňať aspoň:

• ochranné aktivity pre ochranu zdravia,
• varovania, notifikácie a komunikačné plány,
• krízová komunikácia a zverejňovanie informácií,
• manažment zdrojov.

V ďalších kapitolách štandardu sú popísané aspekty školení, vzdelávania, cvičení a testov. Spoločným znakom týchto aspektov je potreba ich plánovitosti, formulácie cieľov, vedenie záznamov a ich vyhodnocovanie a zlepšovanie. V záverečnej kapitole štandardu sú popísané požiadavky ne údržbu a neustále zlepšovanie celkového programu.

NIST SP-800-34 Rev.1
Špeciálna publikácia amerického Národného inštitútu pre štandardy a technológie NIST má názov Návod pre plánovanie nepredvídaných skutočností/havarijné plánovanie pre federálne informačné systémy (Contingency Planning Guide for Federal Information Systems). Poskytuje inštrukcie, odporúčania a prezentuje oblasti, ktorým je potrebné venovať pozornosť pri havarijnom plánovaní. Havarijným plánovaním sa v kontexte tohto návodu rozumejú opatrenia, potrebné na obnovu služieb informačných systémov po prerušení. K týmto opatreniam môžu patriť napr. presunutie funkcií IS na záložnú lokalitu alebo použitie záložného vybavenia a technológií. Tento návod pokrýva tri hlavné oblasti, ku ktorým patria:

• systémy klient – server,
• telekomunikačné systémy a
• mainframe systémy.

Návod definuje sedem hlavných krokov v procese havarijného plánovania, ktoré sú navrhnuté takým spôsobom, aby boli integrovateľné do každej fázy životného cyklu IS. Sú nimi:

• vytvorenie vyhlásenia politiky pre havarijné plánovanie,
• vykonanie BIA,
• identifikácia preventívnych opatrení,
• vytvorenie stratégii pre havarijné plánovanie,
• vytvorenie havarijného plánu pre informačné systémy,
• testovanie plánu, školenia a cvičenia,
• údržba plánu.

Návod ponúka tri šablóny havarijných plánov pre jednotlivé kategórie IS podľa dopadu, definované v štandarde FIPS – nízky, stredný a vysoký dopad. Každá šablóna definuje tri fázy počas riešenia prerušení IS. Fáza aktivácie/notifikácie popisuje proces aktivácie plánov založených na dôsledkoch výpadku a notifikovanie zamestnancov, poverených obnovou. Fáza obnovy špecifikuje návrh sledu činností pre vykonanie obnovy prevádzky na záložnom pracovisku. Posledná fáza rekonštitúcie predstavuje aktivity na testovanie systému a jeho prinavrátenie do bežnej prevádzky a vykonanie opatrení na  jeho lepšiu pripravenosť pre prípad výskytu výpadkov v budúcnosti.

BSI-Standard 100-4
Tento štandard nemeckého Federálneho úradu pre bezpečnosť informačných technológií (BSI – Bundesamt für Sicherheit in der Informationstechnik), ktorého celý názov je BSI-Standard 100-4 Business Continuity Management,  je súčasťou rodiny štandardov s názvom IT Grundschutz. Okrem systému BCM sem patrí aj BSI-Standard 100-1, postavený na štandarde ISO 27001, s ktorým je plne kompatibilný. Ďalej sem patrí aj štandard BSI-Standard 100-2, ktorý prezentuje metodológiu  IT Grundschutz a BSI-Standard 100-3, ktorý predstavuje spôsob vykonávania analýzy rizík. Okrem samotných štandardov poskytuje IT Grundschutz aj veľmi obsiahly katalóg hrozieb a opatrení informačnej bezpečnosti.

Tento štandard  pokrýva oblasti havarijného plánovania, kontinuity činností a obnovy. Tento proces pozostáva z nasledovných fáz:

• inicializácia pohotovostného riadenia (emergency management),
• havarijné plánovanie (contingency planning),
• implementácia konceptu havarijného plánovania,
• riešenie pohotovosti,
• testovanie a cvičenia,
• údržba a neustále zlepšovanie procesu pohotovostného riadenia.

Model fungovania tohto štandardu je podobný ako pri systémoch BCM v iných štandardoch. Jeho výhodou však je jeho podrobné spracovanie, ktoré je zároveň ľahko zrozumiteľné. Poskytuje návod na inicializáciu procesu BCM, v rámci ktorej je potrebné stanoviť plánovanie tohto procesu, ciele a požiadavky na tento proces, stanovenie rol a zodpovedností, vytvorenie politiky BCM, poskytnutie zdrojov a zahrnutie všetkých zamestnancov do tohto procesu. Štandard ďalej poskytuje návod ako vykonať BIA, analýzu rizík, vytvorenie stratégií kontinuity činností a havarijné plánovanie. Okrem návodu tiež ponúka množstvo príkladov a vyplnených formulárov ako ukážku krokov v rámci jednotlivých činností v BCM. V časti o reakcii v rámci kontinuity činností a krízovom manažmente sú diskutované odporúčania na štruktúru prevádzky, psychologické aspekty práce v krízovom tíme, krízová komunikácia a návod na vytvorenie príručky pre kontinuitu činností (Business continuity handbook), ktorá obsahu všetky dokumenty potrebné pre riešenie BCM a sumarizuje štruktúry, informácie, opatrenia a činnosti potrebné na zvládnutie havárie a vykonanie obnovy prevádzky. Posledné kapitoly sa venujú plánovaniu a vykonávaniu testov a cvičení, údržbe, neustálom zlepšovaní systému BCM a outsourcingu BCM. Prílohy tohto štandardu prinášajú možnosti stratégií v BCM, preventívne opatrenia, obsah príručky pre kontinuitu činností a obsah plánu kontinuity činností.

Plán kontinuity činností
Plán kontinuity činností by mal byť navrhnutý takým spôsobom, aby aj iný človek, ktorý na jeho návrhu nepracoval, mohol vykonávať opatrenia a činnosti stanovené v tomto pláne. BSI Standard 100-4 poskytuje v prílohe návrh obsahu plánu kontinuity činností, ktorá môže poslúžiť ako základ pre jeho vytvorenie.

Obsah
1. Úvod

• Všeobecné informácie: názov organizácie, názov plánu, ciele plánu, rozsah
• Aktivácia a deaktivácia plánu
• Riadenie dokumentu: verzia, autor, zodpovedný pracovník, oddelenie, klasifikačný stupeň
• Zoznam skratiek
• Relevantné a súvisiace dokumenty

2. Štáb pre kontinuitu činností pre organizačnú zložku

• Zodpovedná osoba
• Tím pre kontinuitu činností, povinnosti a právomoci
•  Výstrahy a eskalácia

3. Obnova prevádzkových procesov

• Stratégia obnovy
• Ciele obnovy a maximálna doba pohotovostnej prevádzky
• Požiadavky na zdroje jednotlivých procesov
• Náhrady pre pohotovostnú a náhradnú prevádzku
• Návrat do bežnej prevádzky
• Následné úlohy

4. Scenáre

• Scenár pre zlyhanie jednej lokality
  • Požiadavky na náhradnú lokalitu
  • Požiadavky na náhradnú lokalitu
  • Reaktívne opatrenia pre obnovu
  • Zmeny v prevádzkových postupoch počas pohotovostnej prevádzky
  • Opatrenia na obnovu a návrat do bežnej prevádzky
• Scenár pre zlyhanie technológie
  • Následné scenáre
  • Požiadavky na pohotovostnú prevádzku
  • Preskúmanie jednotlivých aplikácií/IS
  • Plán nákupu náhradných technológií
• Scenár pre stratu zamestnancov
  • Následné scenáre
  • Požiadavky na pohotovostnú prevádzku
  • Reaktívne opatrenia pre obnovu
  • Zmeny v prevádzkových postupoch počas pohotovostnej prevádzky
  • Opatrenia na obnovu a návrat do bežnej prevádzky
•  Scenár pre zlyhanie poskytovateľa služieb
  • Následné scenáre
  • Reaktívne opatrenia pre obnovu
  • Zmeny v prevádzkových postupoch počas pohotovostnej prevádzky
  • Opatrenia na obnovu a návrat do bežnej prevádzky
  • ...

5.  Dodatočné informácie

• Lokality
• Pokyny pre príchod na lokality
• ...

6. Prílohy

• Formuláre
• Šablóny
• Kontrolné zoznamy

7. Referenčné dokumenty

Záver
Bezpečnostný incident alebo iná neočakávaná udalosť sa môžu prihodiť kedykoľvek a je preto v záujme zachovania prevádzky byť na takéto udalosti pripravený. Pri plánovaní a implementácii systému BCM nám môže napomôcť viacero známych štandardov, ktoré predstavujú v súčasnosti najlepšie praktiky v tejto oblasti a poskytujú návody pre prípravu dokumentácie a procesov BCM. Je možné si tak vybrať spôsob riešenia tejto problematiky tak, aby spĺňal individuálne potreby organizácii. Dobre fungujúci BCM môže v prípade incidentu zachrániť organizácii nemalé finančné prostriedky a hlavne veľmi dôležitý faktor organizácie, jej dobré meno.

Viac o štandardoch informačnej bezpečnosti vo všeobecnosti sa môžete dočítať v Bezpečnostnej študovni, časť Súlad, na tomto odkaze: https://www.csirt.gov.sk/standardy-informacnej-bezpecnosti-877.html

Referencie:

• ISO 22301:2012
• SANS Institute - Introduction to Business Continuity Planning
• NIST Special Publication 800-34 Rev. 1 - Contingency Planning Guide for Federal Information Systems
• NFPA® 1600 - Standard on Disaster/Emergency Management and Business Continuity Programs
• Financial Services Authority - Business Continuity Management Practice Guide
• Intel Security - Building and Maintaining a Business Continuity Program
• Queensland Government - Business Continuity Management Framework 2014 -18
• Protiviti – Guide to Business Continuity Management, Frequently Asked Questions
• BSI-Standard 100-4 - Business Continuity Management