TFL Vsebine / TFLGlasnik

Napadi z izsiljevalskim programjem od prve polovice 2017 v Sloveniji in svetu nas opozarjajo, kako zelo smo ranljivi na tem področju. Prav tako nas je žled v delu Slovenije leta 2014 opozoril, kako smo ranljivi pri naravnih nesrečah. Zato moramo poskrbeti, da pri kibernetskih napadih in naravnih nesrečah svoje poslovanje ponovno vzpostavimo na vnaprej dogovorjeno sprejemljivo raven za uporabnike in lastnike. Z upravljanjem neprekinjenega poslovanja lahko organizacije zmanjšajo tveganja na tem področju. Preverjanje oziroma analiziranje stanja neprekinjenega poslovanja v organizaciji izvedemo s presojami, revizijami in drugimi analizami. Prispevek predstavlja izvedbo revizije učinkovitosti upravljanja neprekinjenega poslovanja v javni organizaciji, ki ga je izvedlo Računsko sodišče Republike Slovenije.

 

1. UVOD

Podatki, informacije in znanje so največje bogastvo posameznika in podjetij. Za učinkovito izvajanje poslovnih procesov je treba ustrezno usklajevati več dejavnikov, med katere spadajo: podatki, ki morajo biti celoviti, zaupni in razpoložljivi; zaposleni, ki morajo biti primerno informirani, kako izvajati dele procesov, za katere so zadolženi v rednih in izjemnih primerih delovanja; organizacija, ki mora upravljati in obvladovati svoje delovanje v skladu s strategijo in zahtevami lastnikov, tako v vsakodnevnem delovanju kot tudi v primeru incidentov, kriz in katastrof.

Napadi z izsiljevalskim programjem in drugi napadi, ki jih je omogočila ranljivost EternalBlue od prve polovice leta 2017 v Sloveniji in svetu, nas opozarjajo, kako zelo smo ranljivi na tem področju. V letu 2018 so se grožnje le še stopnjevale. ISACA (2018) je v svoji študiji, ki je zajela 2.366 udeležencev z vsega sveta, zapisala, da je 80 % sodelujočih organizacij ocenilo, da je velika možnost oziroma zelo velika možnost, da bodo doživeli v letu kibernetski napad.

V Republiki Sloveniji trenutno noben zakon od organizacij ne zahteva uvedbe ali še celo certificiranje po sistemu neprekinjenega poslovanja (ISO 22301:2012). Po naših informacijah je trenutno v Republiki Sloveniji samo ena organizacija, ki si je že pridobila certifikat po ISO 22301:2012.

Po drugi strani pa je Ministrstvo za javno upravo kot izvedbeni akt Zakonu o informacijski varnosti[1] pripravilo Uredbo o informacijski varnosti državnih organov[2], v katerem je zahteva, da vsak državni organ pripravi načrt neprekinjenega poslovanja.

Zaščito pred kibernetskimi grožnjami v posamezni organizaciji opredeljujemo s treh vidikov: s tehničnimi zaščitami in varovanji, z organiziranostjo in ozaveščanjem zaposlenih ter upravljanjem neprekinjenega poslovanja.

Organizacije, ki želijo ustrezno obvladovati tveganja in imajo vpeljan sistem upravljanja neprekinjenega poslovanja ali načrtujejo vpeljati tak sistem, lahko preverijo stanje s presojami in analizami ter tudi z revizijskim pregledom. V nadaljevanju prispevka je predstavljen možen pristop k dajanju zagotovil.

2. NEPREKINJENO POSLOVANJE

V tem poglavju predstavljamo pregled terminoloških izrazov ter tudi možne metodologije in pristope in opis standarda ISO 22301:2012.

2.1. Opredelitev izrazov

Motnja (angl. Incident) je situacija, ki je vodila ali lahko vodi k prekinitvi, izgubi, izpadu ali krizi.

Neprekinjeno poslovanje (angl. Business Continuity) je sposobnost organizacije, da nadaljuje dostavo izdelkov ali storitev na sprejemljivi vnaprej določeni ravni tudi po nastopu motenj.

Upravljanje neprekinjenega poslovanja (angl. Business Continuity System) je celovit proces upravljanja, ki opredeljuje morebitne grožnje za organizacijo in njihov vpliv na njeno poslovanje. Postopek upravljanja zagotavlja okvir za povečanje organizacijske odpornosti z zmožnostjo učinkovitega odziva, kar varuje interese ključnih udeležencev, ugled blagovne znamke in dejavnosti ustvarjanja vrednosti.

Sistem upravljanja neprekinjenega poslovanja (angl. Business Continuity Management System; v nadaljevanju SUNP) je del celovitega upravljanja organizacije, ki omogoča, uvaja, izvaja, nadzoruje, pregleduje, vzdržuje in izboljšuje neprekinjeno poslovanje.

Načrt neprekinjenega poslovanja (angl. Business Continuity Plan) je dokumentiran postopek, ki usmerja organizacijo, da se odzove, si opomore, obnovi ter nadaljuje poslovanje na predhodno določeno še sprejemljivo raven poslovanja.

Največji sprejemljivi izpad (angl. Maximal Acceptable Outage; v nadaljevanju: MAO) je najdaljše, še sprejemljivo časovno obdobje, ki bi lahko povzročilo nesprejemljive škodljive vplive zaradi nezagotavljanja storitve oziroma neizvajanja dejavnosti.

Največje sprejemljivo obdobje motnje (angl. Maximum Tolerable Period of Disruption; v nadaljevanju: MTPD) je najdaljše, še sprejemljivo časovno obdobje, ki bi lahko povzročilo nesprejemljive škodljive vplive zaradi motenj pri zagotavljanju storitve oziroma neizvajanja dejavnosti.

Najmanjši cilj neprekinjenega poslovanja (angl. Minimal Business Continuity Objective; v nadaljevanju: MBCO) je najmanjša raven storitev, ki je za organizacijo sprejemljiva za doseganje poslovnih ciljev med motnjo oziroma motnjami.

Čas ponovne vzpostavitve delovanja sistema (angl. Recovery Time Objective; v nadaljevanju: RTO) za posamezne procese je čas okrevanja, ko mora organizacija vzpostaviti informacijsko podporo posameznega procesa.

Ciljna točka obnovitve podatkov (angl. Recovery Point Objective; v nadaljevanju RPO) pomeni časovno obdobje, za katero lahko izgubimo podatke in jih mora organizacija kasneje ponovno pridobiti.

2.2. Pristopi, standardi in metodologija

Pojem neprekinjenega poslovanja ni nov, saj so organizacije že v preteklosti morale vzpostavljati pogoje za neprekinjeno poslovanje pri naravnih nesrečah oziroma drugih motnjah. Pred leti so organizacije za upravljanje neprekinjenega poslovanja pogosto uporabljale britanski javno dostopni standard BS PAS 56[3], ki ga je leta 2006 nadomestil britanski standard BS 25999[4]. Ta standard je po nekaj letih nadomestil mednarodni standard ISO 22301:2012 (več o njem v nadaljevanju). V nekaterih delih sveta uporabljajo lokalizirane standarde na osnovi BS 25999 ter tudi druge metode za upravljanje neprekinjenega poslovanja. Nemško govoreče države na primer uporabljajo standard BSI[5] 100-4.

2.3. Standard ISO 22301:2012

Jedro standarda ISO 22301:2012 je sestavljeno iz naslednjih poglavij:

Kontekst organizacije

• Razumevanje organizacije, kjer se predvideva opis storitev, produktov, deležnikov, dobaviteljev in vpliv nanje pri motnjah;
• povezave politike neprekinjenega poslovanja s cilji in drugimi politikami organizacije, vključno s skupno strategijo za upravljanje tveganj;
• odnos organizacije do tveganj;
• opredelitev organizacije do SUNP-ja;
• zakonske in predpisane zahteve za neprekinjenost poslovanja;
• opredelitev obsega SUNP-ja: katere organizacijske enote so vključene; kateri produkti in storitve so vključeni; kateri deležniki, stranke in dobavitelji so vključeni; kakšna so pričakovanja in interesi.

Vodstvo

• Zavezanost vodstva pri upravljanju neprekinjenega poslovanja;
• obveze vodstva pri vpeljavi in upravljanju sistema za neprekinjeno poslovanje;
• potrjevanje politike neprekinjenega poslovanja, ki je kot dokument dostopen v organizaciji in pri zainteresiranih straneh ter je redno posodobljen;
• zagotavljanje, da se opredelijo ustrezni organi z organizacijskimi vlogami, odgovornostmi in pooblastili.

Načrtovanje

• Opredelitev ukrepov za obravnavanje tveganj in priložnosti, tako da se preprečijo ali zmanjšajo nezaželeni učinki in izvaja nenehno izboljševanje
• organiziranje načrtovanja aktivnosti, ki bodo razreševala tveganja in opredeljevala oceno teh učinkov;
• določanje ciljev neprekinjenega poslovanja in načrt, kako to uresničiti, z implementacijo določenih funkcij v organizaciji, ki določajo, kdo je odgovoren, kaj bo izvedeno, kakšna sredstva so potrebna, ter ko bo zaključena, kako bodo rezultati ocenjeni.

Celoten članek je dostopen za naročnike!