Zarzadzanie ciegloscia dzialania Bezpieczenstwo teleinformatyczne WAT
14 Zarządzanie ciągłością działania
(1)
Zarządzanie ciągłością działania
14.1 Aspekty zarządzania ciągłością działania
zgodnie z ISO/IEC 27001 i ISO/IEC
Cel: Przeciwdziałanie przerwom
17799:2005
w działalności biznesowej oraz
ochrona krytycznych procesów biznesowych
przed rozległymi awariami systemów informacyjnych
lub katastrofami oraz
dr inż. Bolesław Szomański
zapewnienie wznowienia działalności
w wymaganym czasie
b.szomanski@wip.pw.edu.pl
14 Zarządzanie ciągłością działania 14 Zarządzanie ciągłością działania
(1) (1a)
Kluczowe elementy zarządzania ciągłością działania:
A.14.1. Włączanie bezpieczeństwa informacji do procesu
identyfikowanie i
zarządzania ciągłością działania
o nadawanie priorytetów
Powinno się opracować i
o krytycznym procesom biznesowym;
v utrzymywać
rozważenie wykupienia
zarządzany proces zapewnienia ciągłości działania w
organizacji,
o odpowiedniego ubezpieczenia,
który określa wymagania bezpieczeństwa potrzebne
" które może stanowić część
o procesu zapewnienia ciągłości działania;
do zapewnienia ciągłości działania organizacji.
22/04/2007 (c) B.Sz WAT
Zarzadzanie ciegloscia dzialania Bezpieczenstwo teleinformatyczne WAT
14 Zarządzanie ciągłością działania (2) 14 Zarządzanie ciągłością działania (3)
14.1 Aspekty zarządzania ciągłością działania 14.1 Aspekty zarządzania ciągłością działania
sformułowanie i
A.14.1.2.Ciągłość działania i szacowanie ryzyka
o opisanie strategii ciągłości działania
Powinno się
o zgodnej z ustalonymi celami i
o priorytetami biznesowymi;
zidentyfikować zdarzenia, które
sformułowanie i
mogą spowodować
opisanie planów zapewnienia ciągłości działania
przerwanie procesów biznesowych,
zgodnych z przyjętą strategią;
łącznie z prawdopodobieństwem ich wystąpienia oraz
regularne testowanie i
konsekwencjami dla bezpieczeństwa informacji.
aktualizowanie przyjętych planów i procesów;
zapewnienie, że zarządzanie ciągłością działania jest włączone w
procesy i strukturę organizacji.
14 Zarządzanie ciągłością działania
14 Zarządzanie ciągłością działania (4)
(3)
14.1 Aspekty zarządzania ciągłością działania
14.1 Aspekty zarządzania ciągłością działania
A.14.1.3. Opracowanie i wdrażanie planów ciągłości działania
Zaleca się oparcie aspektów zapewnienia ciągłości działania
Powinno się
związanych z bezpieczeństwem informacji
opracować i
na określeniu zdarzeń lub
wdrożyć
ciągów zdarzeń, które
o mogą spowodować przerwy procesów biznesowych organizacji,
plany utrzymania lub
o np.. awarie sprzętu, błędy ludzkie, kradzież, pożar, katastrofy naturalne
odtworzenia działalności,
oraz akty terroryzmu
zapewniające dostępność informacji
Następnie zaleca się szacowanie ryzyka, tak aby
na wymaganym poziomie i
określić skutki tych przerw
w wymaganym czasie
o (zarówno pod względem skali uszkodzeń, jak i czasu jaki upłynął do
po wystąpieniu przerwy lub
momentu przywrócenia normalnego funkcjonowania)
awarii
krytycznych procesów biznesowych
22/04/2007 (c) B.Sz WAT
Zarzadzanie ciegloscia dzialania Bezpieczenstwo teleinformatyczne WAT
14 Zarządzanie ciągłością działania (5)
14 Zarządzanie ciągłością działania
14.1 Aspekty zarządzania ciągłością działania
(4)
A.14.1.4. Struktura planowania ciągłości działania
14.1 Aspekty zarządzania ciągłością działania
Powinno się zachować
rozpoznanie i uzgodnienie wszystkich zakresów
jednolitą strukturę planów ciągłości działania,
odpowiedzialności i procedur awaryjnych;
aby zapewnić się, że
wdrożenie procedur awaryjnych, tak aby umożliwić
wszystkie plany ciągłości oraz
naprawę i przywrócenie działania w wymaganym czasie; wymagania bezpieczeństwa informacji
są ze sobą zgodne oraz
dokumentację uzgodnionych procedur i procesów;
w celu zidentyfikowania
odpowiednie przeszkolenie personelu w zakresie
priorytetów
uzgodnionych awaryjnych procedur i procesów, w tym
testowania i
utrzymania
zarządzania w sytuacjach kryzysowych;
testowanie i aktualizacja tych planów.
14 Zarządzanie ciągłością działania
14 Zarządzanie ciągłością działania
(6)
(5)
14.1 Aspekty zarządzania ciągłością działania
14.1 Aspekty zarządzania ciągłością działania
W strukturze planowania ciągłości działania powinny harmonogram utrzymania, który określa, jak i kiedy
plan będzie testowany oraz proces związany z
znalez
ć się:
utrzymaniem tego planu;
warunki uruchomienia planów;
działania edukacyjne i podnoszące świadomość;
procedury awaryjne, które opisują działania
obowiązki poszczególnych osób ze wskazaniem, kto jest
podejmowane po wystąpieniu incydentu; ustalenia
odpowiedzialny za wykonanie którego elementu planu.
dotyczące zarządzania kontaktami z mediami i
efektywnej współpracy z odpowiednimi władzami, np. Krytyczne aktywa i zasoby potrzebne do wykonywania
policją, strażą pożarną i samorządem lokalnym; procedur awaryjnych odtwarzania i wznowienia
procedury przywracania do stanu normalnego;
procedury wznowienia działalności,
22/04/2007 (c) B.Sz WAT
Zarzadzanie ciegloscia dzialania Bezpieczenstwo teleinformatyczne WAT
14 Zarządzanie ciągłością działania (7)
14 Zarządzanie ciągłością działania
14.1 Aspekty zarządzania ciągłością działania
(7)
A.14.5. Testowanie, utrzymywanie i ponowna ocena planów 14.1 Aspekty zarządzania ciągłością działania
Uwzględnienie podczas testowania:
ciągłości działania
Powinno się regularnie
testowanie różnych scenariuszy na  papierze ;
testować i symulacje;
uaktualniać plany ciągłości działania,
testowanie technicznych możliwości przywrócenia stanu
tak aby zapewnić
sprzed awarii (efektywności przywrócenia systemów
ich aktualność i
informacyjnych do stanu poprzedniego)
efektywność.
testowanie odtworzenia stanu poprzedniego w
alternatywnej siedzibie (procesy biznesowe biegną
równolegle z działaniami związanymi z przywracaniem
stanu poprzedniego, poza główną lokalizacją);
14 Zarządzanie ciągłością działania (8) 14 Zarządzanie ciągłością działania (9)
14.1 Aspekty zarządzania ciągłością działania 14.1 Aspekty zarządzania ciągłością działania
Do przykładowych sytuacji, które mogą wymagać
testy urządzeń i usług dostawców (zapewnienie, że usługi
aktualizacji planów, należą:
i produkty dostarczane przez zewnętrznych dostawców
pozyskanie nowego sprzętu,
będą odpowiadać umowom);
wprowadzenie nowej wersji systemu operacyjnego oraz
próby generalne (sprawdzanie, czy organizacja, personel,
zmiany:
sprzęt, instalacje i procesy radzą sobie z przerwami w
o personelu;
działaniu).
o adresów i numerów telefonów;
o strategii biznesowej;
o lokalizacji, urządzeń i zasobów;
o przepisów prawnych;
o kontrahentów, dostawców i głównych klientów;
o procesów, w tym
" wprowadzenie nowych, bądz

" wycofanie starych;
o ryzyka (operacyjnego i finansowego).
22/04/2007 (c) B.Sz WAT
Zarzadzanie ciegloscia dzialania Bezpieczenstwo teleinformatyczne WAT
SZBI  normy związane....
Bibliografia
Management
ISMS Standard - ISO/IEC 27001
System
Specifications Normy:
ISO/IEC Guide 2: 1996, Standardization and related activities -
Technical standards Guidelines Management
& specifications (processes) system
General vocabulary
audits,
ISO 27000 certification
ISO 27005 SSE -CMM
IT network security
& accreditation
ISO 21827
ISO/IEC Guide 73:2002, Risk management - Vocabulary - Guidelines
ISO 9001 ISO 20000 ISO Guide 62
Encryption
for use in standards
ISO 19011
Digital Signatures
ISO/IEC 13335-1:2004, Information technology - Security techniques
Guidelines
ISO 17021
(procedures)
ISO/IEC 27002
Time stamping
- Management of information and communications technology
& Control Catalogues
EN 45013
Information security incident management
security - Part 1: Concepts and models for information and
Authentication
ISO 27006
communications technology security management
Access control
Product & product
system testing
Common Criteria - ISO 15408:2005
ISO/IEC TR 13335-3:1998, Information technology - Guidelines for
Non -repudiation EN45011
Evaluation
the Management of IT Security - Part 3: Techniques for the
TTP Services NIST SP 800 -37
Protection Profile Framework for IT
Register Security Assurance
management of IT Security
NIST SP 800 -53
Key
System evaluation
Management
Protection Profile
ISO/IEC 13888-1 : 1997, Information technology - Security
NIST SP 800 -53A
Specification
Hash Functions techniques - Non-repudiation - Part 1: General
Crypto module evaluation  (FIPS 140 -2)
....w 2007 roku
/y
ródło: Draft justification study period - dokumenty wewnętrzne ISO/IEC JTC1/SC27/
Bibliografia 2 Bibliografia 3
Normy:
ISO/IEC 1 1770- 1 : 1996 Information technology - Security
ISO/IEC 14516:2002 Information technology - Security
techniques - Key management - Part 1: Framework
techniques - Guidelines for the use and management of
ISO/IEC 9796-2:2002 Information technology - Security techniques -
Trusted Third Party services
Digital signature schemes giving message recovery - Part 2: Integer
IS0 15489-1 :2001 Information and documentation -
factorization based mechanisms
Records management - Part 1 : General
ISO/IEC 9796-3:2000 Information technology - Security techniques -
IS0 10007:2003 Quality management systems - Guidelines
Digital signature schemes giving message recovery - Part 3: Discrete
for configuration management
logarithm based mechanisms
ISO/IEC 12207: 1995 Information technology - Software life
ISO/IEC 14888- 1 : 1998 Information technology - Security
cycle processes
techniques - Digital signatures with appendix - Part 1 : General
ISO/IEC 15408-1:1999 Information technology - Security techniques IS0 19011 :2002 Guidelines for quality and/or
- Evaluation Criteria for IT security - Part 1 : Introduction and
environmental management systems auditing
general model
22/04/2007 (c) B.Sz WAT
Zarzadzanie ciegloscia dzialania Bezpieczenstwo teleinformatyczne WAT
Bibliografia 4 Bibliografia Polska
Normy aktualne:
OECD Guidelines for the Security of Information Systems
PN-ISO/IEC 27001:2006 Technika Informatyczna
and Networks: 'Towards a Culture of Security', 2002
Techniki bezpieczeństwa Systemy zarządzania
bezpieczeństwem informacji  Specyfikacja i wytyczne do
OECD Guidelines for Cryptography Policy, 1997
stosowania
IEEE P1363-2000: Standard Specifications for Public-Key
PN ISO/IEC 17799:2006 Technika Informatyczna
Cryptography
Techniki Bezpieczenstwa Praktyczne zasady zarządzania
ISO/IEC 18028-4 Information technology - Security
bezpieczeństwem Informacji
techniques - IT Network security - Part 4: Securing remote
access
ISO/IEC TR 18044 Information technology - Security
techniques - Information security incident manegament
Bibliografia polska
Normy:
PN-I 13335-1 Wytyczne do zarządzania bezpieczeństwem systemów
informatycznych  wydanie nieaktualne
PN-I 13335-2 Wytyczne do zarządzania bezpieczeństwem systemów
informatycznych  będzie wycofane po wejściu 27005
PN-I 13335-3 Wytyczne do zarządzania bezpieczeństwem systemów
informatycznych  będzie wycofane
22/04/2007 (c) B.Sz WAT