Sistemul de management al securităţii informaţiei. Cerinţe ISO 27001:2013 comentate. Aspectele privind managementul continuării activităţii

Motivul dezvoltării unui plan de continuare a activităţii este de a asigura conti­nuitatea unei activităţi în timpul şi după oricare incident critic, care rezultă în urma întreruperii capacităţii operaţionale normale şi anume: nStabilirea legăturilor de comunicare internă şi externă nColectarea şi evaluarea informaţiilor privind gravitatea distrugerilor şi a pagu­belor nIdentificarea resurselor disponibile pentru reluarea activităţii.

Terminologie:

• Incident - întâmplare neaşteptată şi neplă­cută, care apare în desfăşurarea unei acţiuni, a unei activităţi;
• Avarie - deteriorare însemnată a unui bun (construcţie, infrastructură, echipament etc.);
• Dezastru - incident sever (tragedie, cala­mitate, catastrofă), care influenţează activitatea unei organizaţii (în contextul prezentei lucrări) astfel încât pentru reluarea activităţii, punerea în aplicare a unui plan de acţiune este de maximă necesitate;
• Reluarea activităţii - set de proceduri, strategii, acţiuni având ca obiectiv minimizarea influenţelor unei întreruperi a activităţii şi restabilirea condiţiilor iniţiale;
• Echipele de acţiune în caz de incident/avarie/dezastru - echipele (totalitatea echipelor) cărora le revine responsabilitatea imple­mentării şi executării planului de continuare a activităţii;
• Echipa de coordonare a crizei - această echipă coordonează activitatea celorlalte echipe pe parcursul procesului de redresare a activităţii;
• Activităţi cheie - activităţi esenţiale pentru a oferi rezultate şi realizarea obiectivelor de afaceri;
• Plan de Continuare a Activităţii/Busi­ness Continuity Plan – PCA/BCP  - un proces care ajută la dezvoltarea unui document-plan pentru gestiunea riscurilor unei afaceri, asigurându-se că aceasta poate funcţiona în caz de criză/dezastru;
• Plan de Continuare a Activităţii/Busi­ness Continuity Plan - document care conţine toate informaţiile necesare pentru a se asigura reluarea activităţilor în urma unor incidente;
• Analiza de impact - procesul de colectare a informaţiilor pentru determinarea cerinţelor de recuperare de bază pentru activităţile de afaceri cheie în caz de criză/dezastru;
• Timp de recuperare obiectiv (TRO) - timpul de la care se declară o criză/dezastru până la momentul în care funcţiile critice trebuie să fie pe deplin operaţionale, în scopul de a evita pierderi financiare grave.

În organizaţie trebuie implementat un proces de management al continuării activităţii pentru a reduce, la un nivel acceptabil, timpul de întrerupere a  proceselor critice cauzată de dezastre şi de căderi ale sistemelor (care pot fi rezultatul dezastrelor naturale, al accidentelor, al defectării echipamentelor sau al acţiunilor voluntare/involuntare).

Consecinţele întreruperilor trebuie analizate, pentru a exista siguranţa că procesele pot fi repuse în funcţiune; în acest scop trebuie implementate planuri de continuitate a activităţii. Astfel de pla­nuri trebuie menţinute şi exersate pentru a deveni o parte integrantă a tuturor celorlalte procese de management.

Managementul continuării activităţii trebuie să includă controale pentru identificarea şi reducerea riscurilor, pentru limitarea consecinţelor incidentelor şi pentru asigurarea reluării în timp util a proceselor critice.

 Obiective urmărite prin implementarea planurilor de continuare a activităţii: contra­cararea întreruperii proceselor critice, protecţia proceselor critice ale activităţii, restabilirea într-un timp definit a proceselor critice şi protecţia îm­­potriva efectelor căderilor sistemelor sau a dezastrelor.

Planificarea continuării activităţii

Este implementat un proces managerial pentru dezvoltarea şi menţinerea continuităţii activităţii.

Continuitatea activităţii începe prin identificarea evenimentelor care pot cauza întreruperi ale proceselor critice, de exemplu disfuncţionalităţi ale echipamentelor, incendii, personal indisponibil, întreruperea unor servicii suport.

După identificarea proceselor critice, trebuie realizată o analiză a riscului, pentru determina­rea impactului acestor întreruperi (din punct de vedere al nivelului daunelor şi al timpului de repunere în funcţiune a activităţii).

Activităţile trebuie îndeplinite cu implicarea părţilor responsabile în activităţile critice.

În funcţie de rezultatele analizei de risc se dezvoltă un plan pentru a determina etapele, resursele necesare tratării continuării activităţii. Planul este aprobat de conducere.

Punerea în acţiune a planului de continuare a activităţii

Procesul managerial pentru dezvolta­rea şi menţinerea continuităţii activităţii ţine seama de următoarele elemente:

• înţelegerea riscurilorpe care organizaţia le înfruntă, considerând probabilitatea şi impactul acestora, incluzând identificarea şi prioritizarea proceselor critice pentru afacere;
• înţelegerea impactului pe care între­ruperile le pot produce asupra activităţii (este important să fie găsite soluţii care să rezolve incidentele serioase care pot afecta funcţionarea organizaţiei)
• luarea în considerare a încheierii unei poliţe de asigurare adecvate, care poate face parte din procesul de continuare a activităţii;
• formularea şi documentarea unui plan de continuare a activităţii, în acord cu obiectivele şi priorităţile organizaţiei;
• formularea şi documentarea planurilor de continuare a activităţii,în concordanţă cu strategia organizaţiei;
• instruirea personalului, testarea şi actua­lizarea periodică a planurilor.

Tehnicile de testare includ:

• testarea teoretică a diferitelor scenarii;
• simulări (pentru instruirea personalului pentru rolurile sale de management în situaţii post-incident);
• testarea recuperării tehnice (asigurarea faptului că sistemele informatice pot fi re­­puse efectiv în funcţiune);
• testarea recuperării într-o locaţie alter­nativă (rulând procesele activităţii în paralel cu operaţiunile de repunere în funcţiune, într-un loc depărtat de locaţia principală);
• testarea furnizării de echipamente teh­ni­ce şi a serviciilor (asigurându-se că serviciile şi produsele furnizate din exterior îndeplinesc obligaţiile contractuale);
• testarea faptului că organizaţia, persona­lul, echipamentele tehnice pot face faţă între­ruperilor.

Verificarea, analizarea şi evaluarea continuităţii

Testarea planurilor de continuare a activităţii se desfăşoară la intervale de timp planificate, pentru a fi actualizate. Astfel de teste asigură, de asemenea, faptul că toţi membrii echipei de recuperare şi alţi membri relevanţi ai personalului sunt conştienţi de importanţa acestor planuri.

Calendarul de testare pentru planul de continuare a activităţii indică cum şi când va fi testat fiecare element al planului.

Exemple de situaţii care pot necesita actua­lizări ale planurilor şi care includ achiziţia de noi echipamente sau actuali­zarea sistemelor operaţionale, precum şi schimbările de:

• personal;
• adrese sau numere de telefon;
• strategie a activităţii;
• locaţie, echipamente tehnice şi resurse;
• legislaţie;
• contractanţi, furnizori şi clienţi cheie;
• procese, fie procese noi, fie procese la care s-a renunţat;
• riscuri (operaţionale şi financiare).

Componentele planului de continuare a activităţii:

1. Scop;

2. Rezumatul planului de continuare a activităţii. Rezumatul este planul pe scurt, o pagină sau mai scurt. Ar trebui să conţină cantitatea de informaţie care să determine un cititor să fie familiarizat cu planul, fără ca acesta să citească întreg documentul.

În funcţie de proporţia activităţii şi de dimensiunea documentului, includerea rezumatului este opţională.

3. Obiectivele planului de continuare a activităţii. Obiectivele au rolul de a clarifica motivul planului şi ar trebui să prezinte rezultatele urmărite.

4. Lista de distribuţie.Pentru implementa­rea, actualizarea şi revizuirea planului se va realiza o listă a tuturor funcţiilor/persoanelor cărora li se va  furniza o copie a planului.

5. Documente de reglementare şi documente conexe. În această listă se vor include toate documentele care au impact asupra planului de continuare a activităţii.

6. Analiza riscurilor şi planul de tratare a riscurilor.Este necesară gestionarea riscurilor prin identificarea ameninţărilor şi a vulnerabilităţilor şi analiza acestora, care ar putea avea efecte adverse asupra activităţii, alegând cele mai bune măsuri pentru a diminua riscurile identificate.

Întrebările la care trebuie să găsiţi un răspuns sunt:

• Care sunt ameninţările?
• Care sunt vulnerabilităţile?
• Cât de grav ar putea fi?
• Care este probabilitatea apariţiei incidentului?
• Poate fi redus riscul?

Se va folosi metodologia de analiză şi de tratare a riscurilor, implementată în firmă.

7. Asigurări.Ca parte a planului de management de risc este necesar să se determine, ce tipuri de poliţe de asigurare sunt disponibile şi achiziţionarea celei de care afacerea are nevoie.

8. Securitatea datelor şi strategia de back-up.Vezi procedura de backup.

9. Analiza de impact a activităţii.Ca parte a planului de continuare a activităţii trebuie să realizeze o analiză de impact, care va fi utilă planului de management al riscului, pentru a evalua riscurile identificate şi impactul în relaţie cu activităţile critice şi identificarea unor cerinţe de bază pentru recuperare.

Activităţile critice trebuie să continue pentru susţinerea activităţii.

Trebuie identificate:

- Care sunt activităţile critice;

- Care va fi impactul asupra activităţii în cazul apariţiei unei întreruperi;

- Cât timp poate funcţiona afacerea fără a realiza această activitate.

Ca parte a analizei de impact, trebuie atribuit timpul de recuperare pentru fiecare funcţie (TRF).

TRO reprezintă timpul de la care se declară o criză, până la operarea completă a funcţiei critice pentru evitarea pierderilor financiare importante.

Următoarele întrebări ajută la determi­narea activităţilor critice:

1. În următorul tabel trebuie listate activităţile care trebuie să se desfăşoare astfel încât afacerea să funcţioneze eficient.

În cazul existenţei unor departamente diferite, tabelul trebuie completat pentru fiecare în parte.

2. Pentru fiecare din activităţile de mai sus, trebuie completate următoarele:

Activitatea: Departament ...........

Descrierea activităţii: .....................................

A: Care sunt pierderile dacă această activitate este întreruptă?

Pierderea veniturilor:

Costuri crescute:

Personal:

Produs/serviciu:

Amenzi sau penalităţi datorate termenelor ratate:

Răspunderea juridică, daune:

Pierderea de imagine:

Comentarii:

B: Pentru cât timp activitatea poate fi între­ruptă până la apariţia pierderilor?

Ore:

Zile:

Săptămâni:

Luni:

Comentarii:

C: Activitatea este dependentă de o sursă sau de un produs extern pentru rea­lizarea ei?

oNu   oDa – Dacă da, completaţi mai jos: 

oFurnizor singular oFurnizor majoritar  

oFurnizori alternativi

Comentarii:

D: Pe o scală de la 1 la 10 (1 cel mai important; 10 cel mai puţin important) unde se încadrează această activitate în cadrul unui departament?

o- 1   o- 2   o- 3   o- 4   o- 5  

o- 6   o- 7   o- 8   o- 9   o- 10

Comentarii:

10. Planul de răspuns în cazul incidente­lor.Acest plan este necesar pregătirii unui răspuns la timp, în cazul incidentelor critice şi a reducerii impactului acestor incidente asupra operaţiunilor identificate anterior. De asemenea, informează şi conştientizează personalul cheie pentru a oferi un răspuns eficient pentru minimizarea întreruperii operaţiilor în caz de urgenţă.

Lista de verificări în cazul unui răspuns prompt

11. Programe de formare şi antrenament/Simu­larea planului de continuare a activităţii.

A. Programele de formare şi antrenament

Detalii privind programul de formare şi de antrenament sunt prezentate mai jos:

B. Programe de simulare

Detalii privind programele de simulare sunt prezentate mai jos:

12. Istoricul evenimentului.Se va realiza un istoric/jurnal al evenimentului pentru a nota informaţiile, deciziile şi acţiunile din perioada imediată a evenimentului critic

13. Înregistrări şi anexe.

Anexa 1- Analiza riscurilor şi planul de tratate a riscurilor

Anexa 2- Lista angajaţilor care acţionează în situaţii de urgenţă şi telefoanele de contact

Anexa 3- Lista datelor de contact ale furnizorilor implicaţi în situaţia critică: pompieri, utilităţi, servicii funizare generator etc. (vezi formularul de mai jos)

14. Evidenţa modificărilor/Programul de revizuire a PCA 

Vom continua, în ediţiile viitoare ale revistei, cu alte cerinţe privind sistemul de management al securităţii informaţiei. A

English summary

This paper shows what needs to be done, what course of action needs to be taken, who does what, etc. for critical situations that a company may be faced with, in order to provide continuity with minimum damage.

Notions and procedures are displayed, that need to be elaborated and followed by managerial (and not only) personnel, in case such critical situations occur, measures for prevention, management and mitigation of risks, for assessment of results and not in the least for training of personnel assigned to manage such events.