ICT sigurnost za kontinuitet poslovanja - kontrola 5.30 u ISO 27001

Nesmetano funkcioniranje informacijske i komunikacijske tehnologije (ICT) ključno je za održavanje poslovnih procesa u kontekstu digitalizacije. Čak i najkraći zastoji i prekidi često su popraćeni velikim financijskim gubicima. Hakeri iskorištavaju ovu mogućnost štete kada šifriraju podatke i sustave u sofisticiranim napadima putem ucjenjivačkog softvera i puštaju ih tek nakon što su plaćene visoke otkupnine.

Ažuriranja međunarodnih standarda za informacijsku sigurnost, ISO 27001 i ISO 27002, sada imaju za cilj zaustaviti ovakav razvoj: Sigurnosna mjera (kontrola) 5.30 "ICT spremnost za kontinuitet poslovanja" u Dodatku A obvezuje poduzeća da osiguraju dostupnost ICT čak i u slučaju prekida. Novi ISO 27001:2022 svojim kontrolama daje jasan znak i pomaže poduzećima da pravovremeno naoružaju svoje organizacijske strukture i sigurnosne arhitekture protiv slučaja prijetnji. Pročitajte sljedeći članak na blogu kako biste saznali što kontrola 5.30 znači za vaš sustav upravljanja sigurnošću informacija i kako će utjecati na buduće audite.

SADRŽAJ

ICT sigurnost u organizaciji i njezina važnost za današnje poslovne procese
Upravljanje kontinuitetom poslovanja
Analiza utjecaja na poslovanje
ISO 27001:2022 je okosnica kontinuiteta poslovanja
Utjecaj kontrole 5.30 na certifikaciju
ICT sigurnost za kontinuitet poslovanja - zaključak
DQS: Simply leveraging Security.

ICT sigurnost u organizaciji i njezina važnost za današnje poslovne procese

Alati za suradnju kao što su Microsoft Teams, aplikacije u oblaku na platformama velikih hiperskalera, korištenje usluga u oblaku i umrežena proizvodnja (Industrija 4.0) postali su dio svakodnevice modernih kompanija, i to ne samo od pandemije koronavirusa. Suvremene informacijske i komunikacijske tehnologije omogućuju brze i učinkovite tijekove rada te su postale nezamjenjiv alat za održavanje poslovnih procesa u svim industrijama.

Suprotno tome, to znači da su sigurnost i dostupnost ICT-a vrlo važni - i moraju se sustavno nadzirati i štititi od smetnji odgovarajućim mjerama i procesima kako bi se zajamčili nesmetani procesi i svela potencijalna šteta na minimum. Ovo postaje sve važnije, posebno u vremenima pojačanih kibernetičkih prijetnji potaknutih geopolitičkim sukobima. Tvrtke imaju niz alata na raspolaganju u tu svrhu, koji su općenito objašnjeni u nastavku, a zatim razmatrani u kontekstu kontrole 5.30 u ISO 27001.

whitepaper-ISO 27001-faq-dqs-cover picture

Pitanja i odgovori o novom ISO 27001:2022

Što trebate znati o "novom klincu" za informacijsku sigurnost: 38 odgovora naših stručnjaka na 38 pitanja korisnika.

Na što se odnose nove kontrole?
Kada bismo trebali prijeći na novi standard?
Gdje mogu pronaći popis usporedbi starog i novog?
... kao i još 35 drugih!

Preuzmite FAQ za novi ISO 27001 i profitirajte od iskustva naših stručnjaka

Upravljanje kontinuitetom poslovanja

Upravljanje kontinuitetom poslovanja (Business continuity management - BCM), na primjer u skladu s ISO 22301, je upravljački proces koji osigurava da se kritične poslovne funkcije ne prekidaju dugoročno tijekom i nakon smetnji ili da se mogu ponovno pokrenuti što je brže moguće stvaranjem, provedbom i pregledom (hitnih) planova i strategija.

Norma opisuje preventivne mjere u smislu organizacije pripravnosti za (izvanredne) situacije i planiranja u izvanrednim situacijama kako bi se povećala pouzdanost poslovnih procesa. Osim toga, planiraju se i poduzimaju reaktivne mjere (oporavak od katastrofe) u sklopu organizacije odgovora (na hitne slučajeve) kako bi se omogućio brz i ciljani odgovor u slučaju poremećaja IT procesa i smanjilo vrijeme zastoja, primjerice kroz visoku ICT sigurnost u poduzeću.

BCM kao dio strateškog planiranja uključuje prepoznavanje potencijalnih rizika i ranjivosti, procjenu kritičnosti poslovnih procesa, razvoj planova za odgovor na smetnje i testiranje tih planova kroz redovite vježbe i simulacije. Cilj upravljanja kontinuitetom poslovanja je osigurati da poduzeće može brzo i učinkovito odgovoriti na smetnje te da se poboljša povjerenje njegovih dionika u njegovu sposobnost pružanja usluga i rada.

Analiza utjecaja na poslovanje

Analiza utjecaja na poslovanje (Business impact analysis - BIA) je metoda koja se koristi u upravljanju kontinuitetom poslovanja za bilježenje kritičnih procesa i poslovnih funkcija unutar organizacije i za prepoznavanje međuovisnosti između njih i njihovih temeljnih resursa. Stoga je to strateški proces koji pomaže identificirati i procijeniti utjecaj smetnji na poslovne aktivnosti. BIA čini osnovu za određivanje potrebnih vremena ponovnog pokretanja.

BIA obično uključuje procjenu kritičnosti poslovnih procesa, identificiranje resursa potrebnih za podršku tim procesima i određivanje utjecaja smetnji na te procese i resurse. Analiza pomaže poduzećima da razumiju potencijalne posljedice smetnji i da u skladu s tim odrede prioritet svojim naporima za odgovor i oporavak.

Rezultati BIA mogu poslužiti kao podloga za razvoj plana kontinuiteta poslovanja (Business continuity plan - BCP) i drugih strategija upravljanja rizikom kako bi se osiguralo da poduzeće bude bolje pripremljeno za upravljanje neočekivanim događajima i minimiziranje njihovog utjecaja kroz visoku dostupnost sustava i struktura.

Daljnje preporuke za provođenje analize utjecaja na poslovanje (BIA) također se mogu pronaći u smjernicama ISO/TS 22317.

ISO 27001:2022 je okosnica kontinuiteta poslovanja

Informacijska i komunikacijska tehnologija (ICT) ima značajan utjecaj na kontinuitet poslovanja unutar poduzeća. Smetnje mogu imati značajan utjecaj, posebice, na primjer, u području kritične infrastrukture (KRITIS). Zbog ovog razloga je kontrola 5.30 "ICT spremnost za kontinuitet poslovanja" u Dodatku A novog ISO/IEC 27001:2022 od velike važnosti.

Svrha mjere je osigurati visoku razinu dostupnosti kritičnog ICT sustava na temelju ciljeva kontinuiteta poslovanja i iz njih izvedenih, implementiranih i verificiranih zahtjeva za kontinuitet ICT-a. To uključuje definiranje vrsta utjecaja i kriterija utjecaja unutar BIA procesa.

Na temelju toga utvrđuju se prioritetne operativne aktivnosti i dodjeljuje im se ciljno vrijeme oporavka (Recovery time objective - RTO). BIA zatim utvrđuje koji su resursi potrebni za ove prioritetne aktivnosti i također im dodjeljuje RTO. Podskup ovih resursa uključivat će ICT usluge. Osim toga, točke oporavka (RPO - Recovery Point Objective) i njihove udaljenosti također bi trebale biti definirane za prioritetne ICT resurse.

Na temelju rezultata svih ovih procesa, organizacije trebaju identificirati i odabrati strategije kontinuiteta ICT-a koje razmatraju mogućnosti prije, tijekom i nakon smetnji. Na temelju toga se razvijaju, provode i testiraju planovi kontinuiteta (uključujući postupke odgovora i oporavka) kako bi se ispunila potrebna ICT spremnost.

U tom kontekstu treba se pozvati i na ISO standard ISO/IEC 27031, vodič za ICT spremnost za kontinuitet poslovanja, koji tvrtkama daje preporuke za osiguranje dostupnosti ICT sustava.

Utjecaj kontrole 5.30 na certifikaciju

Da bi bile certificirane prema revidiranom standardu ISO 27001:2022, organizacije moraju ...

imati odgovarajuću organizacijsku strukturu za pripremu, kontrolu i odgovor na incident. Ovo također zahtijeva da postoje zaposlene osobe s potrebnom odgovornošću, ovlastima i kompetencijama.
razviti obvezujuće planove kontinuiteta ICT-a, uključujući postupke odgovora i oporavka, koji detaljno navode kako se organizacija namjerava nositi sa smetnjama u ICT uslugama. Ove planove mora odobriti više rukovodstvo i moraju se redovito ocjenjivati kroz vježbe i testiranja.
uključivati sljedeće informacije u svoje planove kontinuiteta:
- Specifikacije performansi i kapaciteta za ispunjavanje zahtjeva i ciljeva kontinuiteta poslovanja definiranih u BIA
- RTO svake prioritetne ICT usluge i postupci za ponovno uspostavljanje tih komponenti
- RPO prioritetnih ICT resursa definiranih kao informacije i postupci za vraćanje informacija

ISO 27001 certifikat

Koliko uloženog truda u certifikaciju možete očekivati? Saznajte sada. Bez obveze i besplatno.

Više o ISO 27001 certifikaciji

ICT sigurnost za kontinuitet poslovanja - zaključak

Istaknuti primjer administrativnog hakiranja u Anhalt-Bitterfeldu, zbog kojeg su neke općinske službe bile nedostupne tjednima ili mjesecima, pokazuje veliku važnost informacijske i komunikacijske tehnologije u današnjem svijetu. No, taj primjer također pokazuje koliko su važni kontinuitet i uspostavljeni planovi za slučaj opasnosti.

Sigurnosna mjera kontrole 5.30 "ICT spremnost za kontinuitet poslovanja" stoga je važan aspekt revidiranih standarda informacijske sigurnosti ISO/IEC 27001:2022 i ISO/IEC 27002:2022 u cilju jačanja otpornosti tvrtki.

Međutim, organizacijama je ponekad teško procijeniti kritičnost korištenih informacijskih i komunikacijskih tehnologija i njihov potencijal rizika tijekom implementacije, što zauzvrat ima izravan utjecaj na lanac određivanja prioriteta. BIA i analiza rizika su, tako rečeno, okosnica upravljanja kontinuitetom poslovanja. Uoči certifikacije stoga je vrijedno pregledati i optimizirati vlastite napore za kontinuitet poslovanja i dostupnost ICT rješenja s iskusnim stručnjacima.

DQS: Simply leveraging Security.

Zahvaljujući prijelaznim razdobljima, poduzeća imaju dovoljno vremena da svoje upravljanje informacijskom sigurnošću prilagode novim zahtjevima i da ga certificiraju. Međutim, ne treba podcijeniti trajanje i napor cjelokupnog procesa promjene. Ako želite biti sigurni, bolje je suočiti se s novim zahtjevima i prijelazom na novi standard prije nego kasnije.

Rado ćemo odgovoriti na vaša pitanja

Saznajte više o ... bez obveze i besplatno.

Tu smo za vas. Kontaktirajte nas.

Kao stručnjaci za audite i certifikaciju s gotovo 40 godina stručnosti, rado ćemo vas podržati u procjeni vašeg trenutnog statusa, na primjer u sklopu delta audita. Doznajte od naših stručnjaka o najvažnijim promjenama i njihovoj važnosti za vašu organizaciju.

Povjerenje i stručnost

Naše tekstove pišu isključivo naši interni stručnjaci za sustave upravljanja i dugogodišnji auditori. Ako imate pitanja za autora, slobodno nas kontaktirajte.