Artykuł pochodzi z wydania: Styczeń 2022
Zgodnie z definicją, którą znajdziemy w normie ISO 223301, zarządzanie ciągłością działania jest kompleksowym procesem identyfikacji potencjalnych zagrożeń i ich wpływu oraz ramą budowania odporności i zdolności do efektywnej reakcji, zabezpieczającej interesy kluczowych udziałowców, reputację, markę i działania tworzące wartość.
Zarządzanie ciągłością działania przedsiębiorstwa to bardzo rozległy, złożony i niesamowicie istotny temat. Jak przekonują eksperci z Business Continuity Institute, ok. 80% firm, które nie mają wdrożonych Planów Ciągłości Działania (ang. Disaster Recovery Plans – DRP), wypadnie z biznesu w ciągu kilkunastu miesięcy od dużego incydentu. Czym są plany ciągłości działania (PCD) w praktyce, kto jest odpowiedzialny za ich stworzenie, stosowanie i ciągłe aktualizowanie, postaramy się odpowiedzieć w niniejszym artykule.
> PCD w teorii
PCD to tylko mały klocek w całej budowli, jaką tworzy zarządzanie bezpieczeństwem i ciągłością działania organizacji (rys. 1). W dużych korporacjach tworzy się specjalne zespoły, a nawet całe piony/departamenty, które kompleksowo zarządzają ryzykiem na wszystkich etapach działania przedsiębiorstwa. My skupimy się na kwestiach związanych z zarządzaniem ryzykiem w IT, a szczególnie planami DRP.
Plany ciągłości działania to zbiór procedur, dokumentów, technicznych pomiarów, które umożliwią przywrócenie infrastruktury IT, systemów oraz danych po zakłóceniu działania bądź utracie jednego centrum danych lub danej lokalizacji.
Już z tej definicji wynika jedna bardzo ważna rzecz – musimy mieć przynajmniej dwa ośrodki przetwarzania danych, aby mieć możliwość stworzenia PCD. Redundancja jest tutaj kluczowa. Najczęściej definiujemy podstawowy ośrodek przetwarzania danych jako Primary Data Center (PDC) oraz zapasowy ośrodek przetwarzania danych jako Disaster Recovery Center (DRC).
Na początek dobrze również wspomnieć o przepisach, standardach oraz źródłach dobrych praktyk, z których możemy korzystać przy opracowywaniu planów. Poniżej przedstawiamy kilka pozycji, które z pewnością będą przydatne:
- ISO 27001 – ciągłość działania w zarządzaniu bezpieczeństwem informacji;
- ISO 20000 – ciągłość działania w zarządzaniu informatyką;
- ISO 31000 – ciągłość działania jako konsekwencja zarządzania ryzykiem;
- ISO 27001: 2005 – „Technika informatyczna – Techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji – Wymagania”. Polskie wydanie: PN – ISO/IEC 27001:2007.
Norma ISO27001 będzie szczególnie niezastąpiona, gdyż opisuje szczegółowo 11 obszarów zabezpieczeń każdego przedsiębiorstwa. Zostały w niej opisane następujące zagadnienia:
- polityka bezpieczeństwa;
- organizacja bezpieczeństwa informacji;
- zarządzanie aktywami;•bezpieczeństwo zasobów ludzkich;
- bezpieczeństwo fizyczne i środowiskowe;
- zarządzanie systemami i sieciami;
- kontrola dostępu;
- pozyskanie, rozwój i utrzymanie systemów informacyjnych;
- zarządzanie incydentami naruszenia bezpieczeństwa informacji;
- zarządzanie ciągłością działania;
- zgodność z wymaganiami prawnymi.
[…]
Krzysztof Kęsicki
Autor jest specjalistą ds. utrzymania infrastruktury data center. Zajmuje się problematyką budowy, utrzymania i zarządzania centrami przetwarzania danych oraz koordynowaniem zmian dotyczących krytycznej infrastruktury IT.