Az ISO szabványcsalád elemei: ICT készültség működésfolytonossághoz ISO/IEC 27031:2011 Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.

2 Szabványcsalád Áttekintés és szótár Követelmények Útmutatók Code practice Bevezetés Auditorok, auditálás Követelmények ISMS tanúsítóknak ISMS auditálás útmutató IS kontroll audit útmutató Bizt. területek, ágazatok Mérés Kockázat mgmt Incidens mgmt Folytonosság Kiberbiztonság x Hálózat bizt x Alkalmazás bizt for telecom ISM eü-ben

3 A szabvány címe ISO/IEC 27031:2011 Information technology – Security techniques – Guidelines for information and communication technology readiness for business continuity Információtechnológia – Biztonságtechnikák – Útmutató információs és kommunikációs technológia készültségre működésfolytonossághoz 36 oldal

4 Alkalmazási terület  mindazon események, incidensek (beleértve biztonsági incidenseket is) kezelése, melyek hatással lehetnek az ICT infrastruktúrára és rendszerekre  IRBC tartalmazza/kiterjed:  információbiztonsági incidensek kezelése, menedzsmentje  ICT készültség tervezése, nyújtása és gyakorlata  leírja  ICT készültség BC-hez fogalmait és alapelveit  módszer és folyamat keretet minden szempont azonosítására, specifikálására (teljesítmény kritérium, tervezés, megvalósítás)  bármilyen szervezet IRBC programjához…

tartalomjegyzék 1 Alkalmazási terület 2 Hivatkozások 3 Fogalom-meghatározások 4 Rövidítések 5 Áttekintés 6 IRBC tervezés 7 Bevezetés és működtetés 8 Figyelemmel kísérés és átvizsgálás 9 IRBC fejlesztés Mellékletek A. IRBC és mérföldkövek egy megszakadás során B. Magas rendelkezésre állású rendszerek C. Hiba forgatókönyvek felmérése D. Teljesítmény kritériumok kifejlesztése

6 IRBC helye a BCM-ben  működésfolytonosság menedzsment (BCM) keretrendszer  BCM lépések (kockázatfelmérés, BIA, stratégia, BC terv, teszt és gyakorlat, tudatosítás, program menedzsment és karbantartás  komponensei: politikák, folyamatok, emberek, infrastruktúra  BCM ICT kimenete:  ICT válaszok és helyreállítások  ICT kockázatcsökkentő kontrollok  elvárt eredmény  üzlet rugalmasság, ellenálló képesség

7 IRBC koncepció Time

Áttekintés  alapelvek IRBC minden lépésre  megelőzés, észlelés, válasz, helyreállítás, fejlesztés  készültségi tevékenységek segítenek  incidens észlelési képesség  váratlan és súlyos hibák megelőzése  képesség a működési állapot hibás leállásának elfogadható szintre csökkentésre  helyreállítási idő további rövidítése  a ténylegesen előforduló incidensek hatásának minimalizálása  IRBC kimenetek és előnyök a szervezet számára

Áttekintés (folytatás)  IRBC elemei:  ember  létesítmény  technológia (hw, hálózat, sw)  adatok  folyamatok  szállítók  IRBC felállítása: PDCA elv  vezetés felelőssége  vezetési kultúra, elkötelezettség, IRBC policy

IRBC tervezés  cél: követelmények felállítása  stratégia és IRBC terv (üzleti, jogi, szabályozási megfeleléshez, BCM céljaihoz)  teljesítmény kritériumok  erőforrások  meghatározás és gondoskodás  felelősségek (fenntartásért, közreműködésért)  IRBC személyzet kompetencia  követelmények meghatározása  tevékenységek prioritása, min folyt szint, helyreállítási idő célérték  kritikus ICT szolgáltatások megértése,  kapacitás/követelmények gap-ek azonosítása

IRBC tervezés (folytatás)  IRBC stratégia opciók meghatározása  figyelembe veendők: költségvetés, erőforrások, költség/haszon, technológia, kockázattűrés, meglevő IRBC stratégia, szabályozói elvárások  emberek (készségek és ismeretbázis), létesítmények, technológia, adatok, folyamatok, szállítók  kiválasztás, aláírás  IRBC képesség növelése (9. fejezet, B, C mellékletek)  teljesítmény kritérium azonosítás (8.4 fejezet, D melléklet)

Bevezetés és működtetés  IRBC stratégia elemek bevezetése  ember (tudatosság, készség, tudásbázis) létesítmény, technológia (tartalékok, megállapodások), adat, folyamat, szállító  incidens válasz  szituáció kontroll, incidens lefedése, kommunikáció, akció indítás  IRBC terv dokumentumok  terv dokumentumok tartalma, ICT válasz és helyreállítási terv dokumentáció  tudatosság, kompetencia és képzési program  dokumentumok kezelése  (előírások, feljegyzések)

Figyelemmel kísérés és átvizsgálás  IRBC fenntartás/karbantartás  változások kezelése  fenyegetések figyelemmel kísérése, észlelése, elemzése  teszt és gyakorlás (program, cél, szolgáltatás helyreállítás elemei, gyakorlat terv, gyakorlat irányítás, átvizsgálás-jelentés-követés)  IRBC belső audit  vezetőségi átvizsgálás  készültség teljesítmény kritérium mérés  mennyiségi és minőségi kritériumok figyelemmel kísérése, mérése (példák, módszerek)

IRBC fejlesztés  9. IRBC fejlesztés  9.1 folyamatos fejlesztés  9.2 helyesbítő tevékenység  9.3 megelőző tevékenység

15 A. melléklet IRBC és mérföldkövek egy megszakadás során

16 B. mellékletek Magas rendelkezésre állású rendszerek  Szempontok lehetnek:  99,999 %  Pl. áramellátásra UPS/generátor/kettős betáp  Raid, SAN, alkalmazásokra claster-ek  alternatív telephely  ha túl nagy erőforrás kell, szolgáltató bevonása  de lehet, hogy jól tervezett és tesztelt DR a válasz

17 C és D melléklet  C melléklet: Hiba forgatókönyvek felmérése  Módszertan lehet FMEA (Failure Mode Effect Analysis), CFIA (Component Failure Impact Analysis)  D melléklet: Teljesítmény kritériumok kifejlesztése  10 lépésből álló lépéssor

18 Elérhetőség Móricz Pál Mobil: Szenzor Gazdaságmérnöki Kft Budapest, Könyves Kálmán körút 76. Telefon: (+36) Fax: (+36) Honlap: „Változással a sikerért”