ikt-security-for-business-continuity-dqs-in the system control centre a woman gives instructions via

IKT sigurnost za kontinuitet poslovanja - kontrola 5.30 u ISO 27001

Hans-Jürgen Fengler

DQS ekspert za upravljanje kontinuitetom poslovanja
aug 11 , 2023
# Sigurnost informacija i upravljanje rizicima

Neometano funkcioniranje informacijske i komunikacijske tehnologije (IKT) je od suštinskog značaja za održavanje poslovnih procesa u kontekstu digitalizacije. Čak i najkraći prekidi često su praćeni ozbiljnim finansijskim gubicima. Hakeri iskorištavaju ovaj potencijal štete kada šifriraju podatke i sisteme u sofisticiranim napadima ransomwarea i puštaju ih tek nakon što su plaćeni visoki otkupnini.

Ažuriranja međunarodnih standarda za sigurnost informacija, ISO 27001 i ISO 27002, sada imaju za cilj da zaustave ovaj razvoj: Sigurnosna mjera (kontrola) 5.30 „IKT spremnost za kontinuitet poslovanja“ u Aneksu A obavezuje kompanije da osiguraju dostupnost IKT čak i u slučaju prekida. Novi ISO 27001:2022 postavlja snažan signal kontrolama i pomaže kompanijama da naoružaju svoje organizacione strukture i sigurnosne arhitekture protiv scenarija prijetnji na vrijeme. Pročitajte sljedeći blog post da saznate šta kontrola 5.30 znači za vaš sistem upravljanja sigurnošću informacija i kako će uticati na buduće audite.

SADRŽAJ

 

IKT sigurnost u organizaciji i relevantnost za današnje poslovne procese

Alati za saradnju kao što su Microsoft Teams, aplikacije u oblaku na platformama velikih hiperskalera, korištenje cloud servisa i umrežena proizvodnja (Industrija 4.0) postali su dio svakodnevnog života modernih kompanija, a ne samo od pandemije koronavirusa. Savremene informacione i komunikacione tehnologije omogućavaju brze i efikasne tokove rada i postale su nezamjenjivi alati za održavanje poslovnih procesa u svim industrijama.

Suprotno tome, to znači da je sigurnost i dostupnost IKT-a veoma važna - i mora se sistematski pratiti i štititi od poremećaja odgovarajućim mjerama i procesima kako bi se garantovali nesmetani procesi i svela potencijalna šteta na minimum. Ovo postaje sve važnije, posebno u vremenima pojačanih sajber prijetnji podstaknutih geopolitičkim sukobima. Kompanije imaju na raspolaganju niz alata za ovu svrhu, koji su u nastavku objašnjeni u opštim terminima, a zatim se razmatraju u kontekstu kontrole 5.30 u ISO 27001.

whitepaper-ISO 27001-faq-dqs-cover picture

Pitanja i odgovori na novi ISO 27001:2022

Šta trebate znati o "novom klincu u bloku" za sigurnost informacija: 38 odgovora naših stručnjaka na 38 korisničkih pitanja.

  • O čemu su sve nove kontrole?
  • Kada treba da pređemo na novi standard?
  • Gdje mogu pronaći listu starih i novih korespondencija?
  • ... kao i još 35!
Preuzmite sada

Upravljanje kontinuitetom poslovanja

Upravljanje kontinuitetom poslovanja (BCM), na primjer u skladu sa ISO 22301, je proces upravljanja koji osigurava da se kritične poslovne funkcije ne prekidaju dugo tokom i nakon prekida ili da se mogu ponovo pokrenuti što je prije moguće kreiranjem, implementacijom i pregledom (hitnih) planova i strategija.

Standard opisuje preventivne mjere predostrožnosti u smislu organizacije pripravnosti (hitne) i planiranja u vanrednim situacijama kako bi se povećala pouzdanost poslovnih procesa. Osim toga, reaktivne mjere (oporavak od katastrofe) planiraju se i poduzimaju kao dio organizacije za reagovanje (hitne) kako bi se omogućilo brzo i ciljano reagovanje u slučaju poremećaja u IT procesima i kako bi se smanjilo vrijeme zastoja, na primjer kroz visoku IKT sigurnost u kompaniji.

BCM kao dio strateškog planiranja uključuje identifikaciju potencijalnih rizika i ranjivosti, procjenu kritičnosti poslovnih procesa, razvoj planova za odgovor na poremećaje i testiranje ovih planova kroz redovne vježbe i simulacije. Cilj upravljanja kontinuitetom poslovanja je da obezbijedi da kompanija može brzo i efikasno da reaguje na poremećaj i da se poveća poverenje njenih zainteresiranih strana u njenu sposobnost da isporuči i posluje.

Analiza poslovnog uticaja

Analiza poslovnog uticaja (BIA) je metoda koja se koristi u upravljanju kontinuitetom poslovanja za snimanje kritičnih procesa i poslovnih funkcija unutar organizacije i za identifikaciju međuzavisnosti između njih i njihovih osnovnih resursa. Stoga je to strateški proces koji pomaže u identifikaciji i procjeni uticaja poremećaja na poslovne aktivnosti. BIA čini osnovu za određivanje potrebnih vremena ponovnog pokretanja.

BIA obično uključuje procjenu kritičnosti poslovnih procesa, identifikaciju resursa potrebnih za podršku ovim procesima i određivanje uticaja poremećaja na te procese i resurse. Analiza pomaže kompanijama da shvate potencijalne posljedice poremećaja i da u skladu s tim daju prioritet svom odgovoru i oporavku.

Rezultati BIA mogu poslužiti za razvoj plana kontinuiteta poslovanja (BCP) i drugih strategija upravljanja rizicima kako bi se osiguralo da je kompanija bolje pripremljena za upravljanje neočekivanim događajima i minimizira njihov uticaj kroz visoku dostupnost sistema i struktura.

Dalje preporuke za provođenje analize uticaja na poslovanje (BIA) također se mogu naći u smjernicama ISO/TS 22317.

 

ISO 27001:2022 je okosnica kontinuiteta poslovanja

Informaciono-komunikacione tehnologije (IKT) imaju značajan uticaj na kontinuitet poslovanja unutar kompanije. Poremećaji mogu imati značajan uticaj, posebno u oblasti kritične infrastrukture (KRITIS), na primjer. Iz tog razloga, kontrola 5.30 " IKT spremnost za kontinuitet poslovanja" u Aneksu A novog ISO/IEC 27001:2022 je od velikog značaja.

Svrha mjere je osigurati visok nivo dostupnosti kritičnog IKT sistema na osnovu ciljeva kontinuiteta poslovanja i zahtjeva za kontinuitetom IKT koji su izvedeni, implementirani i verifikovani iz njih. Ovo uključuje definisanje tipova uticaja i kriterija uticaja u okviru BIA procesa.

Prioritetne operativne aktivnosti su identificirane na ovoj osnovi i dodijeljen im je cilj vremena oporavka (RTO). BIA zatim utvrđuje koji su resursi potrebni za ove prioritetne aktivnosti i takođe im dodeljuje RTO. Podskup ovih resursa će uključivati IKT usluge. Pored toga, tačke oporavka (RPO = Cilj tačke oporavka) i njihove udaljenosti treba takođe definisati za prioritetne IKT resurse.

Na osnovu rezultata svih ovih procesa, organizacije treba da identifikuju i odaberu strategije kontinuiteta IKT koje razmatraju opcije za prije, tokom i poslije prekida. Na osnovu toga, planovi kontinuiteta (uključujući postupke odgovora i oporavka) se razvijaju, provode i testiraju kako bi se ispunila potrebna IKT spremnost.

U tom kontekstu treba se osvrnuti i na ISO standard ISO/IEC 27031, vodič za IKT spremnost za kontinuitet poslovanja, koji kompanijama daje preporuke za osiguranje dostupnosti IKT sistema.

Uticaj kontrole 5.30 na certifikaciju

Da bi bile certificirane prema revidiranom standardu ISO 27001:2022, organizacije moraju ...

  • imaju odgovarajuću organizacionu strukturu za pripremu, obuzdavanje i reagovanje na incident. Ovo također zahtijeva osoblje sa potrebnom odgovornošću, ovlaštenjima i kompetencijama.
  • razviti obavezujuće planove kontinuiteta ICT-a, uključujući postupke odgovora i oporavka, koji detaljno navode kako organizacija namjerava da se nosi sa prekidom IKT usluga. Ove planove mora odobriti viši menadžment i redovno evaluirati kroz vježbe i testiranje.
  • uključiti sljedeće informacije u svoje planove kontinuiteta:
    - Specifikacije performansi i kapaciteta za ispunjavanje zahtjeva i ciljeva kontinuiteta poslovanja definisanih u BIA
    - RTO svake prioritetne IKT usluge i procedure za obnavljanje ovih komponenti
    - RPO prioritetnih IKT resursa definisanih kao informacije i procedure za vraćanje informacija

ISO 27001 certifikacija

Koje napore trebate očekivati za certifikaciju? Saznajte sada. Bez obaveza i besplatno.

Više o ISO 27001 certifikaciji

IKT sigurnost za kontinuitet poslovanja - zaključak

Istaknuti primjer administrativnog hakovanja u Anhalt-Bitterfeldu, zbog kojeg su neke općinske službe bile nedostupne sedmicama ili mjesecima, pokazuje visoku relevantnost informacijske i komunikacijske tehnologije u današnjem svijetu. Međutim, primjer također pokazuje koliko su važni kontinuitet i uspostavljeni planovi za vanredne situacije.

Kontrola sigurnosnih mjera 5.30 "IKT spremnost za kontinuitet poslovanja" je stoga važan aspekt revidiranih standarda sigurnosti informacija ISO/IEC 27001:2022 i ISO/IEC 27002:2022 kako bi se ojačala otpornost kompanija.

Međutim, organizacijama je ponekad teško procijeniti kritičnost korištenih informacionih i komunikacionih tehnologija i njihov potencijal rizika tokom implementacije, što zauzvrat ima direktan uticaj na lanac određivanja prioriteta. BIA i analiza rizika su okosnica upravljanja kontinuitetom poslovanja. Uoči certifikacije, stoga je vrijedno pregledati i optimizirati vlastite napore za kontinuitet poslovanja i dostupnost IKT rješenja s iskusnim stručnjacima.

DQS: Simply leveraging Security. 

Zahvaljujući prijelaznim periodima, kompanije imaju dovoljno vremena da prilagode svoje upravljanje sigurnošću informacija novim zahtjevima i da ga certificiraju. Međutim, trajanje i napor cijelog procesa promjene ne treba potcijeniti. Ako želite da budete sigurni, bolje je da se pozabavite novim zahtjevima i prelaskom na novi standard prije nego kasnije.

Rado ćemo odgovoriti na vaša pitanja

Saznajte više ... bez obaveze i besplatno.

Tu smo za vas. Kontaktirajte nas.

Kao stručnjaci za audit i certifikaciju sa skoro 40 godina iskustva, rado ćemo vam pružiti podršku u procjeni vašeg trenutnog statusa, na primjer kao dio delta audita. Saznajte od naših stručnjaka o najvažnijim promjenama i njihovoj važnosti za vašu organizaciju.

Povjerenje i ekspertiza

Naše tekstove pišu isključivo naši interni stručnjaci za sisteme upravljanja i dugogodišnji auditori. Ako imate pitanja za autora, slobodno nas kontaktirajte

Autor
Hans-Jürgen Fengler

Hans-Jürgen Fengler je ekspert i menadžer proizvoda za sisteme upravljanja kontinuitetom poslovanja (ISO 22301), specijalista za njemački BSI-Kritisverordnung (BSI-KritisV) i auditor za propise u oblasti informacione sigurnosti.

Pitanja?

Mi smo tu za vas.
Kontaktirajte nas