Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Üzletmenet-folytonosság Krasznay Csaba. Mi az az üzletmenet-folytonosság?  Az üzletmenet-folytonosság menedzsment az a folyamat, melynek során felkészülünk.

Hasonló előadás


Az előadások a következő témára: "Üzletmenet-folytonosság Krasznay Csaba. Mi az az üzletmenet-folytonosság?  Az üzletmenet-folytonosság menedzsment az a folyamat, melynek során felkészülünk."— Előadás másolata:

1 Üzletmenet-folytonosság Krasznay Csaba

2 Mi az az üzletmenet-folytonosság?  Az üzletmenet-folytonosság menedzsment az a folyamat, melynek során felkészülünk a kritikus üzleti folyamatok sérülés vagy leállás utáni visszaállítására, lehetőleg a legkisebb kieséssel.  Természetesen megfelelő tervezéssel, teszteléssel, oktatással és karbantartással lehet csak kezelni a kérdéskört.  A gyakorlatban ez elsősorban rengeteg dokumentum elkészítését jelenti, amitől sokan ódzkodnak.  De ha egyszer beüt a krach, hirtelen minden leírt oldalnak és teszteléssel eltöltött időnek értelme lesz.  Márpedig az üzletmenet folyamatosan fennakad, akár látja ezt a főnök, akár nem.  Tulajdonképpen a kockázatmenedzsment egyik eredménye, hiszen abból derül ki, hogy mire kell felkészülnünk.

3 Hogyan érhető el a cél?  Kipróbált, jól definiált eljárások vs. ott helyben kellene kitalálni  Tudatosan viselkedő személyzet vs. fejetlenség  Döntéshozó potenciál vs. egymásra mutogatás  Rendelkezésre álló erőforrások vs. fennakadások, végeláthatatlan csúszások  Üzleti oldal elvárásai  IT lehetőségei

4 Tervek, dokumentumok  A NIST SP szerint egy jó üzletmenet-folytonossági dokumentáció az alábbi terveket és dokumentumokat tartalmazza:  Üzletmenet-folytonossági terv (Business Continuity Plan – BCP): annak leírása, hogy hogyan lehet egy üzleti funkciót fenntartani annak megzavarása alatt és után. Ez a leírás minden kulcsfunkcióra elkészül, azokat egyesével tárgyalva.  Helyreállítási Terv (Business Resumption Plan – BRP): leírja, hogy egy üzleti folyamatot hogyan kell visszaállítani egy nem kívánt esemény után. Szemben a BCP-vel, nem mondja meg, hogy a vészhelyzet alatt hogyan biztosítsuk a folytonosságot. Általában a BCP része.

5 Tervek, dokumentumok  Működés folytatásának terve (Continuity of Operations Plan – COOP): feladata annak a definiálása, hogy a szervezeti működést hogyan lehet visszaállítani egy nem kívánt esemény után. A BCP-től függetlenül készül. Mivel elsősorban a cég menedzsment funkcióinak visszaállítását tartalmazza, nem IT megközelítésű.  A támogatás folyamatossági terve (Continuity of Support Plan): az üzleti folyamatokat támogató rendszerek folyamatos üzemelésére vonatkozó terv.  Krízis kommunikációs terv (Crisis Communication Plan): a katasztrófa esetén szükséges belső és külső kommunikációs stratégiát leíró dokumentum. A BCP egyik melléklete. A legfontosabb része, hogy megnevezi azt a kizárólagos személyt, aki ilyenkor megszólalhat a nyilvánosság előtt.

6 Tervek, dokumentumok  Informatikai incidenskezelési terv (Cyber Incident Response Plan): azokat a lépéseket tartalmazza, melyeket egy informatikai támadás során kell a szervezetnek megtennie. A BCP melléklete.  Katasztrófa helyreállítási terv (DRP): akkor alkalmazzák, ha a szervezetet valóban katasztrofális esemény éri. Lényegében leírja, hogy hogyan lehet a teljes IT-t egy alternatív helyen újjáépíteni és üzemeltetni. A BCP része.  Létesítményekre vonatkozó vészhelyzeti terv (Occupant Emergency Plan – OEP): a létesítményeket fenyegető veszélyek bekövetkezése esetén szükséges lépések leírása. Tartalmazza pl. a tűzeset vagy valamilyen bűncselekmény miatt életbelépő cselekményeket. A BCP-be beleírható, de attól elválasztva hajtják végre.

7 Tervek, dokumentumok Forrás: NIST SP

8 Mikor beszélünk katasztrófáról?  A katasztrófa olyan hirtelen, nem tervezett, szerencsétlen esemény, ami nagy károkat vagy veszteséget okoz.  Ez az üzlet szempontjából akkor jelentkezik, amikor a szervezet egy előre meghatározott időn túl nem képes a kritikus üzleti funkciókat működtetni.  A katasztrófa kimondása ezen az előre meghatározott időn múlik, pl. ha egy szervezet egy hétig nem képes egy funkciót működni, akkor az már katasztrófa.  Minden kritikus funkcióra más időbeliség vonatkozhat.

9 Mikor beszélünk katasztrófáról?  A katasztrófa jellemzői:  Nem tervezett szolgáltatásleállás,  Hosszan tartó szolgáltatásleállás,  Olyan leállás, amit a normális problémamenedzsment eljárásokon belül nem lehet megoldani,  Komoly károkat vagy veszteségeket okoz.  Katasztrófát kimondani nagyon komoly döntés!!!

10 Az üzletmenet-folytonosság céljai  A kockázatmenedzsment során nem lehet mindenre felkészülni, vagy minden kockázatot eltűntetni, de az ilyen események során is fenn kell tartani a szervezet működőképességét.  Néhány cél, amit a BCP megold:  Azonnali, megfelelő és felmért válasz a vészhelyzetekre.  Megkönnyíti az üzleti működés visszaállítását az esemény hatásának csökkentésével, miközben a kritikus üzleti funkciókat egy előre meghatározott időn belül újra lehet indítani.  Csökkenti a kár mértékét.

11 Az üzletmenet-folytonosság céljai  Eljárások és erőforrások listája, amit a visszaállítás során fel kell használni.  Világos leírás, amit a felelősök végre tudnak hajtani.  Azon partnerek azonosítása, akik bevonása indokolt lehet a visszaállítás során.  Segíti a zavar elkerülését vészhelyzet során a világos útmutatók és a tesztelés segítségével.  Tartalmazza a visszaállításhoz szükséges információk listáját.  Leírja a tartalék helyen történő működés szabályait, ha az elsődleges hely nem elérhető.  Az elsődleges helyre való visszatérés eljárásait is meghatározza.

12 A BCP elkészítésének lépései  BCP-t készíteni és karbantartani sokáig tart és drága, ráadásul talán sosem lesz rá szükség.  Igazából csak akkor hiányzik, amikor már megtörtént a baj, és nincs. De akkor nagyon tud hiányozni!  Lépései:  Projektindítás és irányítás,  Üzleti hatások elemzése,  Visszaállítási stratégiák meghatározása,  Tervezés és megvalósítás,  Tesztelés, karbantartás, tudatosság és képzés.

13 Projektindítás és irányítás  Részei:  Győződjünk meg arról, hogy egyáltalán szükségünk van-e BCP-re! Erre kiváló megoldás egy fókuszált kockázatelemzés.  Szerezzük meg a menedzsment támogatását!  Határozzuk meg a belső és külső stratégiai erőforrásokat, akik meg tudják mondani, hogy a BCP megvalósítható-e!  Alakítsuk meg a BCP csoportot, amiben szervezeti és műszaki szempontból is kompetens emberek vannak!  Készüljön projektindítási dokumentáció!  Döntsük el, hogy kellenek-e automatizált adatgyűjtő eszközök!  Ezeket a lépéseket és a továbbiakat jelentsük a menedzsmentnek!  Legyenek formális, tervezett megbeszélések!  Az egésznek legyen egy koordinátora!

14 Üzleti hatások elemzése (BIA)  Üzleti és nem műszaki döntések meghozatalát igényli!  Célja a nem kívánt esemény hatásának elemzése az üzleti folyamatra.  A hatás azzal a maximálisan megengedhető idővel mérhető, ami még nem okoz visszafordíthatatlan kárt az üzleti folyamatokban, és azzal, hogy a szervezet milyen működési és gazdasági károkkal tud visszaállni a megfelelő működésre.  A BIA célja az, hogy a menedzsment elfogadja a maximálisan elfogadható kiesést (Maximum Tolerable Downtime – MTD) minden kritikus üzleti folyamatra.  Ezen kívül meg kell határozni, hogy az MTD-n túli leállás mekkora anyagi kárt okoz (pl. kár/nap).  A BIA a kiváltó okot nem elemzi, csak az okozott hatást!!!

15 Üzleti hatások elemzése (BIA)  A BIA céljai:  Leírás a menedzsment részére a lehetséges nem kívánt események hatásairól.  Az üzleti folyamatok kritikusságának meghatározása.  Segít elképzelni a szervezet nem optimális működését.  Prioritást állapít meg a kritikus rendszerek között.  Megvizsgálja egy leállás anyagi hatásait.  Megállapítja a kritikus funkciók visszaállítási ablakait.

16 Üzleti hatások elemzésének lépései  1. lépés: Határozzuk meg az információgyűjtés technikáját! Ez lehet elektronikus vagy papíralapú, személyes vagy csoportos interjú, stb.  2. lépés: Válasszuk ki az interjúalanyokat! Lehetőleg minden üzleti egységből egy vezetőt és egy dolgozót illik kiválasztani.  3. lépés: Készítsünk személyre (szervezetre) szabott kérdőívet! Nincs egyenkérdőív! A kérdések kvalitatív (anyagi) és kvantitatív (hírnév) veszteségekre vonatkoznak.  4. lépés: Elemezzük az információkat! A harmadik lépésből származó információkat szerkeszteni, analizálni és összesíteni kell.

17 Üzleti hatások elemzésének lépései  5. lépés: Határozzuk meg az időkritikus üzleti funkciókat! Az analízis eredményeképp meg lehet ezeket határozni. Ezen funkciókat kell az MTD-n belül visszaállítani. Figyeljünk a függőségekre is!  6. lépés: Határozzuk meg a maximálisan elfogadható kiesés (MTD) mértékét!  7. lépés: Az MTD alapján állapítsunk meg prioritást a kritikus üzleti funkciók alapján! Minél kisebb az MTD, annál fontosabb a funkció, és annál drágább visszaállítani.  8. lépés: Írjuk le a visszaállítási ajánlásokat! Ennek jóváhagyása még a következő lépés előtt történjen!

18 Példa a BIA-ra Forrás: NIST SP

19 Visszaállítási stratégiák meghatározása  Célja olyan stratégiák meghatározása, amik segítségével az előző lépésben definiált időkeretek betarthatók.  Lépései:  A költségek meghatározása minden lehetséges megoldáshoz,  Árajánlat kérése külső szállítóktól,  Szerződések megkötése,  A kockázatok csökkenésének értékelése,  Az értékelés alapján az időkeretek és prioritások esetleges újragondolása,  A visszaállítási stratégiák bemutatása a menedzsmentnek.

20 Üzleti visszaállítási stratégia  Elsősorban a kritikus erőforrásokra és az üzleti funkciók MTD-jére koncentrál.  Prioritásai egyenesen a BIA-ból származnak.  Kidolgozásához azonosítani kell a következőket:  Kritikus üzleti egységek és a hozzájuk tartozó üzleti funkciók.  Az ezekhez tartozó kritikus IT infrastruktúra.  Az IT infrastruktúrához való kapcsolódás módja.  A kritikus funkciók ellátásához szükséges eszközök.  A szükséges irodai terület.  Kulcsemberek az adott területen.

21 Létesítmény visszaállítási stratégia  Annak meghatározása, hogy egy helyettesítő létesítményben hogyan lehet a munkát folytatni.  Leírásra kerül:  A minimálisan szükséges hely (munkaterületek, tárgyalók, stb.), ami a kritikus funkcióhoz kell.  A kevésbé kritikus erőforrások által igényel hely.  A helyettesítő létesítménnyel kapcsolatos biztonsági követelmények.  Tűzvédelmi elvárások.  A szükséges berendezési tárgyak listája.  A kábelezési elvárások.  Épületgépészeti igények.  Irodaszerek listája.

22 Emberi erőforrással történő újraindítása stratégia  Feladata azon eljárások azonosítása, amit manuálisan is el lehet végezni.  Ezeket a műveleteket megfelelően kell dokumentálni, bizonylatolni, hogy a későbbi elektronikus feldolgozás egyszerű legyen.  A következő dolgokat kell megfontolni:  A kritikus folyamat elvégezhető-e manuálisan?  Milyen dokumentálási eljárással lehet biztosítani, hogy semmilyen adat vagy tranzakció nem fog elveszni?  Mik az alapvető fizikai rekord tárolási követelmények?  Hogyan lehet a munkaerőt biztosítani ezekhez a folyamatokhoz?  Hogyan lehet a kapcsolattartást biztosítani?

23 Műszaki visszaállítási stratégia  A tartalék telephelyen történő működés feltételeinek megteremtését tartalmazza.  Alapvetően négy megoldás létezik:  Előfizetéses szolgáltatás  Megállapodás kölcsönös segítségnyújtásról  Több adatfeldolgozó központ  Szolgáltató iroda

24 Előfizetéses szolgáltatások  Forró tartalék (hot site): teljesen berendezett helyet jelent, a szervezet által megkövetelt hardver és szoftver környezettel.  Előnyei:  Néhány óra alatt működőképessé tehető  Kizárólagos használatú  Lehetőséget ad rendszeres tesztelésre  A szolgáltató általában több telephelyen is tudja nyújtani a szolgáltatást  Hátrányai:  Nagyon drága  Környezeti katasztrófa esetén előfordulhat, hogy nincs szabad hely  Speciális hardver és szoftver igények teljesítése gondot okozhat

25 Előfizetéses szolgáltatások  Melegtartalék (warm site): hasonló a forró tartalékhoz, de a nagyon drága és speciális hardverek nem állnak rendelkezésre. Ezek beszerzése után néhány óra alatt működőképessé tehető.  Előnyei:  Hosszú ideig rendelkezésre áll  A szervezet több megfelelő hely közül választhat  Kizárólagosan a szervezet részére áll rendelkezésre  Kevésbé drága, mint a forró tartalék  Kevésbé elterjedt hardverkonfigurációk esetén jól használható  Hátrányai:  A működési teszt nem kivitelezhető  A szükséges erőforrások nem állnak azonnal rendelkezésre  Még ez is elég drága

26 Előfizetéses szolgáltatások  Hidegtartalék (cold site): csak a gépészetet és a kábelezést tartalmazza. Minden más hardver és szoftver eszközt be kell építeni. Néhány nap alatt lehet működőképessé tenni.  Előnyei:  Hosszú ideig rendelkezésre áll  Több telephelyen is tudják biztosítani  Kevésbé drága, mint a többi megoldás  Hátrányai:  A működési tesztelés nem kivitelezhető  A szükséges eszközök nem állnak azonnal rendelkezésre  A költségek nagyobbak, mintha már létezne egy belső megoldás

27 Előfizetéses szolgáltatások  Tükör tartalék (mirror site): az infrastruktúra megegyezik az elsődleges telephellyel, minden tranzakció megjelenik itt is. Tipikusan egy nagysebességű hálózati kapcsolat van kiépítve az elsődleges telephely felé.  Előnyei:  Nincs adatvesztés, ha az elsődleges helyen katasztrófa történik  Azonnal át lehet állni  Hátrányai:  Nagyon-nagyon drága

28 Előfizetéses szolgáltatások  Mobil tartalék (mobile site): olyan kamion, amin bizonyos IT eszközök rendelkezésre állnak.  Előnyök:  A katasztrófa után az eredeti telephelyen lehet vele elkezdeni a munkát  Egy szolgáltató ki tud szolgálni egy decentralizált szervezetet  Hátrányai:  A működési tesztelés nem kivitelezhető  A szükséges erőforrások nem állnak azonnal rendelkezésre

29 Előfizetéses szolgáltatások TartalékÁrHardverTávközlésFelállítási időHely HidegtartalékAlacsonyNincs HosszúFix MelegtartalékKözepesRészbenRészben/ Teljesen KözepesFix Forró tartalékKözepes/ Magas Teljes RövidFix Mobil tartalékMagasFüggő Mobil Tükör tartalékMagasTeljes NincsFix

30 Megállapodás kölcsönös segítségnyújtásról  Olyan megállapodás, amit közel azonos infrastruktúrával működő cégek kötnek, hogy katasztrófa esetén használhassák egymás telephelyét.  Előnyei:  Ingyen vagy nagyon olcsón áll rendelkezésre a szerződő feleknek  Hasznos, ha a résztvevők ugyanazokat a speciális hardvereket és szoftvereket használják  Hátrányai:  Általában szóban köttetnek az ilyen megállapodások  Valószínűleg nem fér el egymás mellett két működő szervezet  A működési tesztelés nehezen kivitelezhető  A szükséges erőforrások nem állnak azonnal rendelkezésre  Csak rövid ideig tartó kiesések esetén használható  Az együttes működés biztonsági kérdéseket vet fel  Nehéz a konfigurációkat szinkronban tartani, idővel óhatatlanul sérül a kompatibilitás  Nincs semmilyen támogatás

31 Több adatfeldolgozó központ  A szervezet egyszerre több, saját fennhatóság alatt álló központban dolgozik  Előnyei:  A kompatibilitás és rendelkezésre állás teljesen a szervezet által kontrollált  Minden támogatás rendelkezésre áll  Hátrányai:  Nem biztos, hogy az egyik telephely kiesése után a másik elbírja a terhelést  A többletkapacitás fenntartása drága  Problémákat okozhat a konfigurációmenedzsment

32 Szolgáltató iroda  Adatfeldolgozási szolgáltatást nyújtó cégeknél érhető el.  Ezek a cégek általában szinte teljes kapacitással dolgoznak normál üzletmenetben, de a megrendelőknél történt katasztrófa esetén be tudnak segíteni.  Előnyei:  Gyors válasz és rendelkezésre állás a meglevő ügyfeleknél  Lehetőség van tesztelésre  Hátrányai:  Kevés szolgáltató tud nagy szervezetet kiszolgálni  Drága  Gond lehet a konfigurációmenedzsment.

33 Adatvisszaállítási stratégia  Feladatok: menteni a szoftvereket és adatokat, ezeket egy távoli helyen tárolni, és minél hamarabb visszaállítani.  Mentési stratégiák:  Teljes mentés  Inkrementális mentés  Differenciális mentés  Folyamatos mentés  Ezek leírását ld. Az 5. előadás anyagában!

34 Adatvisszaállítási stratégia  A távoli hellyel kapcsolatos igényeket is meg kell határozni  A létesítmény rendelkezzen:  Fizikai biztonsági megoldásokkal (pl. hozzáférés-ellenőrzés)  Megfelelő gépészettel  Tűz és vízvédelemmel  Megfelelően messze legyen a fő telephelytől  A mentések továbbításánál meg kell oldani:  A mentési média biztonságos eljuttatását  A megfelelő járművek megválasztását  A megfelelő személyek kiválasztását  A 7/24-es hozzáférést a mentett anyagokhoz

35 Adatvisszaállítási stratégia  A személyek kiválasztásánál figyelembe kell venni:  Megfelelően ellenőrizni kell a továbbítással és kezeléssel megbízott személyeket  Folyamatosan teszteket kell végezniük, hogy aktuális tudással rendelkezzenek  Ismerniük kell a tárolási, elválasztási, visszaállítási és megsemmisítési eljárásokat.  Bizonyos esetekben a gyártók letétbe helyezik a szoftverek forráskódját (software escrow), így az bármikor rendelkezésre áll.

36 Tervezés és megvalósítás  Ebben a fázisban készítik el a teljes BCP-t, és dokumentálják is azt.  Lépései: 1. A menedzsment prioritásainak megvizsgálása 2. A terv hatókörének meghatározása 3. A kieséssel kapcsolatos feltételezések leírása 4. Védelmi intézkedések felsorolása 5. Az újrakezdési stratégiák leírása kritikus rendszerekre 6. Az újrakezdési stratégiák leírása nem kritikus rendszerekre 7. A szolgáltatási funkciók visszaállítási terveinek leírása 8. Az üzleti funkciók visszaállításának terve és eljárásai.

37 Tervezés és megvalósítás 9. A létesítmény visszaállításának terve 10. A vészhelyzetben szükséges lépések leírása 11. A terv véglegesítéséhez szükséges információk összegyűjtése (pl. személyek neve, elérhetősége) 12. A külső partnerekkel való kapcsolattartás módozatai

38 Tesztelés, karbantartás, tudatosság és képzés  Az üzletmenet-folytonossági tesztelés céljai a következők:  Meggyőződés a visszaállítási dokumentumok érthetőségéről  Az érintettek megismertetése a feladataikkal  A stratégia életképességének ellenőrzése  Az érintettek gyakorlati képzése  A terv hibáinak felderítése  Információszerzés a stratégia megvalósításának aktuális állapotáról  Annak bizonyítása, hogy a tartalék rendszer megfelel az élesüzemű infrastruktúrának  Az új követelmények alkalmazása a létező tervben.  A tervben szereplő összes komponens tesztelése

39 Tesztelés, karbantartás, tudatosság és képzés  A tesztelés típusai:  Átnézés: a terv felelősei egy asztal körül átnézik a tervet.  Chechklist: az egyes területek kapnak egy listát, amit végignéznek, és ellenőrzik annak tartalmát.  Szimuláció: a felelősök egy forgatókönyv alapján próbálják a terv működőképességét.  Párhuzamos tesztelés: a kritikus rendszereket üzembe is helyezik a tartalékhelyen.  Teljes megszakításos tesztelés: teljesen leállnak az élesüzemmel.

40 Tesztelés, karbantartás, tudatosság és képzés  Karbantartási technikák:  A változáskezelési eljárások között gondolni kell a tervek folyamatos karbantartására is.  A tesztelés során érzékelt összes problémát meg kell oldani.  Az auditoroknak jelenteniük kell a terv hatékonyságával kapcsolatos összes észrevételüket.  A karbantartási eljárásokat be kell építeni a napi rutinokba, pl. a felelősök munkaköri leírásába.  A változtatásokkal kapcsolatos döntéseket centralizálni kell.  A változásokat folyamatosan jelenteni kell az érintettek felé.

41 Tesztelés, karbantartás, tudatosság és képzés  A karbantartás folyamata:  Folyamatosan figyeljük, hogy az egyes üzleti egységek milyen változással kapcsolatos inputokat szolgáltatnak!  Időnként nézzük át teljesen az egész terveket! Ez lehet évente egyszer vagy egy nagyobb változás után.  A teljes terv egyes részeit sűrűbben is át lehet nézni, az üzleti terület működésétől függően.  A változásokat osszuk szét az érintetteknek!

42 Olvasnivaló  NIST SP , 34/sp pdf 34/sp pdf

43 Összefoglalás

44 A témához tartozó kérdések  Gondolja át, hogy mik lehetnének egy mintaszervezet üzletmenet-folytonossági tervének alapjai!  Mik azok a kritikus funkciók, amik érintettek lehetnek?  Mekkora MTD értékek tartozhatnak ezekhez a területekhez?  A telephely kiesése esetére milyen megoldást választana?  A két kérdésre összesen minimum 1 oldalt kérünk!

45 Köszönöm szépen! Az előadás letölthető:


Letölteni ppt "Üzletmenet-folytonosság Krasznay Csaba. Mi az az üzletmenet-folytonosság?  Az üzletmenet-folytonosság menedzsment az a folyamat, melynek során felkészülünk."

Hasonló előadás


Google Hirdetések