Az ISO szabványcsalád elemei: ICT készültség működésfolytonossághoz ISO/IEC 27031:2011 Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
2 Szabványcsalád Áttekintés és szótár Követelmények Útmutatók Code practice Bevezetés Auditorok, auditálás Követelmények ISMS tanúsítóknak ISMS auditálás útmutató IS kontroll audit útmutató Bizt. területek, ágazatok Mérés Kockázat mgmt Incidens mgmt Folytonosság Kiberbiztonság x Hálózat bizt x Alkalmazás bizt for telecom ISM eü-ben
3 A szabvány címe ISO/IEC 27031:2011 Information technology – Security techniques – Guidelines for information and communication technology readiness for business continuity Információtechnológia – Biztonságtechnikák – Útmutató információs és kommunikációs technológia készültségre működésfolytonossághoz 36 oldal
4 Alkalmazási terület mindazon események, incidensek (beleértve biztonsági incidenseket is) kezelése, melyek hatással lehetnek az ICT infrastruktúrára és rendszerekre IRBC tartalmazza/kiterjed: információbiztonsági incidensek kezelése, menedzsmentje ICT készültség tervezése, nyújtása és gyakorlata leírja ICT készültség BC-hez fogalmait és alapelveit módszer és folyamat keretet minden szempont azonosítására, specifikálására (teljesítmény kritérium, tervezés, megvalósítás) bármilyen szervezet IRBC programjához…
tartalomjegyzék 1 Alkalmazási terület 2 Hivatkozások 3 Fogalom-meghatározások 4 Rövidítések 5 Áttekintés 6 IRBC tervezés 7 Bevezetés és működtetés 8 Figyelemmel kísérés és átvizsgálás 9 IRBC fejlesztés Mellékletek A. IRBC és mérföldkövek egy megszakadás során B. Magas rendelkezésre állású rendszerek C. Hiba forgatókönyvek felmérése D. Teljesítmény kritériumok kifejlesztése
6 IRBC helye a BCM-ben működésfolytonosság menedzsment (BCM) keretrendszer BCM lépések (kockázatfelmérés, BIA, stratégia, BC terv, teszt és gyakorlat, tudatosítás, program menedzsment és karbantartás komponensei: politikák, folyamatok, emberek, infrastruktúra BCM ICT kimenete: ICT válaszok és helyreállítások ICT kockázatcsökkentő kontrollok elvárt eredmény üzlet rugalmasság, ellenálló képesség
7 IRBC koncepció Time
Áttekintés alapelvek IRBC minden lépésre megelőzés, észlelés, válasz, helyreállítás, fejlesztés készültségi tevékenységek segítenek incidens észlelési képesség váratlan és súlyos hibák megelőzése képesség a működési állapot hibás leállásának elfogadható szintre csökkentésre helyreállítási idő további rövidítése a ténylegesen előforduló incidensek hatásának minimalizálása IRBC kimenetek és előnyök a szervezet számára
Áttekintés (folytatás) IRBC elemei: ember létesítmény technológia (hw, hálózat, sw) adatok folyamatok szállítók IRBC felállítása: PDCA elv vezetés felelőssége vezetési kultúra, elkötelezettség, IRBC policy
IRBC tervezés cél: követelmények felállítása stratégia és IRBC terv (üzleti, jogi, szabályozási megfeleléshez, BCM céljaihoz) teljesítmény kritériumok erőforrások meghatározás és gondoskodás felelősségek (fenntartásért, közreműködésért) IRBC személyzet kompetencia követelmények meghatározása tevékenységek prioritása, min folyt szint, helyreállítási idő célérték kritikus ICT szolgáltatások megértése, kapacitás/követelmények gap-ek azonosítása
IRBC tervezés (folytatás) IRBC stratégia opciók meghatározása figyelembe veendők: költségvetés, erőforrások, költség/haszon, technológia, kockázattűrés, meglevő IRBC stratégia, szabályozói elvárások emberek (készségek és ismeretbázis), létesítmények, technológia, adatok, folyamatok, szállítók kiválasztás, aláírás IRBC képesség növelése (9. fejezet, B, C mellékletek) teljesítmény kritérium azonosítás (8.4 fejezet, D melléklet)
Bevezetés és működtetés IRBC stratégia elemek bevezetése ember (tudatosság, készség, tudásbázis) létesítmény, technológia (tartalékok, megállapodások), adat, folyamat, szállító incidens válasz szituáció kontroll, incidens lefedése, kommunikáció, akció indítás IRBC terv dokumentumok terv dokumentumok tartalma, ICT válasz és helyreállítási terv dokumentáció tudatosság, kompetencia és képzési program dokumentumok kezelése (előírások, feljegyzések)
Figyelemmel kísérés és átvizsgálás IRBC fenntartás/karbantartás változások kezelése fenyegetések figyelemmel kísérése, észlelése, elemzése teszt és gyakorlás (program, cél, szolgáltatás helyreállítás elemei, gyakorlat terv, gyakorlat irányítás, átvizsgálás-jelentés-követés) IRBC belső audit vezetőségi átvizsgálás készültség teljesítmény kritérium mérés mennyiségi és minőségi kritériumok figyelemmel kísérése, mérése (példák, módszerek)
IRBC fejlesztés 9. IRBC fejlesztés 9.1 folyamatos fejlesztés 9.2 helyesbítő tevékenység 9.3 megelőző tevékenység
15 A. melléklet IRBC és mérföldkövek egy megszakadás során
16 B. mellékletek Magas rendelkezésre állású rendszerek Szempontok lehetnek: 99,999 % Pl. áramellátásra UPS/generátor/kettős betáp Raid, SAN, alkalmazásokra claster-ek alternatív telephely ha túl nagy erőforrás kell, szolgáltató bevonása de lehet, hogy jól tervezett és tesztelt DR a válasz
17 C és D melléklet C melléklet: Hiba forgatókönyvek felmérése Módszertan lehet FMEA (Failure Mode Effect Analysis), CFIA (Component Failure Impact Analysis) D melléklet: Teljesítmény kritériumok kifejlesztése 10 lépésből álló lépéssor
18 Elérhetőség Móricz Pál Mobil: Szenzor Gazdaságmérnöki Kft Budapest, Könyves Kálmán körút 76. Telefon: (+36) Fax: (+36) Honlap: „Változással a sikerért”