ikt-security-for-business-continuity-dqs-in the system control centre a woman gives instructions via

Bezpečnosť IKT pre kontinuitu podnikania - kontrola 5.30 v ISO 27001

# Bezpečnosť informácií a riadenie rizík

Bezproblémové fungovanie informačných a komunikačných technológií (IKT) je v kontexte digitalizácie nevyhnutné na zachovanie obchodných procesov. Aj tie najkratšie výpadky a narušenia sú často sprevádzané vážnymi finančnými stratami. Hackeri využívajú tento potenciál škôd, keď pri sofistikovaných útokoch ransomvéru šifrujú údaje a systémy a uvoľňujú ich až po zaplatení vysokého výkupného.

Aktualizácie medzinárodných noriem pre informačnú bezpečnosť ISO 27001 a ISO 27002 majú teraz tento vývoj zastaviť: Bezpečnostné opatrenie (kontrola) 5.30 "Pripravenosť IKT na kontinuitu činnosti" v prílohe A zaväzuje spoločnosti zabezpečiť dostupnosť IKT aj v prípade narušenia. Nová norma ISO 27001:2022 tu kontrolnými opatreniami vysiela silný signál a pomáha spoločnostiam včas vyzbrojiť svoje organizačné štruktúry a bezpečnostné architektúry proti scenárom ohrozenia. Prečítajte si nasledujúci príspevok na blogu a zistite, čo kontrola 5.30 znamená pre váš systém riadenia bezpečnosti informácií a ako ovplyvní budúce audity.

OBSAH

Bezpečnosť IKT v organizácii a jej význam pre dnešné obchodné procesy

Nástroje na spoluprácu, ako napríklad Microsoft Teams, cloudové aplikácie na platformách najväčších hyperskalárov, využívanie cloudových služieb a sieťová výroba (Industry 4.0) sa stali súčasťou každodenného života moderných spoločností, a to nielen od pandémie koronavírusu. Moderné informačné a komunikačné technológie umožňujú rýchle a efektívne pracovné postupy a stali sa nenahraditeľnými nástrojmi na udržiavanie podnikových procesov vo všetkých odvetviach.

Na druhej strane to znamená, že bezpečnosť a dostupnosť IKT je veľmi dôležitá - a musí byť systematicky monitorovaná a chránená pred narušením vhodnými opatreniami a procesmi, aby sa zaručil plynulý priebeh procesov a prípadné škody boli minimálne. To je čoraz dôležitejšie, najmä v čase zvýšených kybernetických hrozieb podnecovaných geopolitickými konfliktami. Spoločnosti majú na tento účel k dispozícii celý rad nástrojov, ktoré sú ďalej všeobecne vysvetlené a následne posúdené v kontexte kontroly 5.30 v norme ISO 27001.

whitepaper-ISO 27001-faq-dqs-cover picture

Otázky a odpovede k novej norme ISO 27001:2022

Čo potrebujete vedieť o "novom dieťati v bloku" pre informačnú bezpečnosť: 38 odpovedí našich odborníkov na 38 otázok používateľov.

  • O čom sú nové kontroly?
  • Kedy by sme mali prejsť na novú normu?
  • Kde nájdem zoznam korešpondencie stará verzus nová?
  • ... ako aj 35 ďalších!
Stiahnite si FAQ k novej norme ISO 27001 a využite odborné znalosti našich expertov

Riadenie kontinuity činností

Riadenie kontinuity činností (BCM), napríklad v súlade s normou ISO 22301, je proces riadenia, ktorý zabezpečuje, aby kritické podnikové funkcie neboli na dlhý čas prerušené počas a po prerušení alebo aby mohli byť čo najrýchlejšie znovu spustené prostredníctvom vytvárania, implementácie a preskúmania (núdzových) plánov a stratégií.

Norma opisuje preventívne opatrenia v zmysle organizácie (havarijnej) pripravenosti a havarijného plánovania s cieľom zvýšiť spoľahlivosť podnikových procesov. Okrem toho sa v rámci organizácie (havarijnej) odozvy plánujú a prijímajú reaktívne opatrenia (zotavenie po havárii) s cieľom umožniť rýchlu a cielenú reakciu v prípade narušenia IT procesov a skrátiť výpadky, napríklad prostredníctvom vysokej bezpečnosti IKT v podniku.

BCM ako súčasť strategického plánovania zahŕňa identifikáciu potenciálnych rizík a zraniteľností, posúdenie kritickosti podnikových procesov, vypracovanie plánov reakcie na narušenie a testovanie týchto plánov prostredníctvom pravidelných cvičení a simulácií. Cieľom riadenia kontinuity činností je zabezpečiť, aby spoločnosť dokázala rýchlo a účinne reagovať na narušenie a aby sa zvýšila dôvera zainteresovaných strán v jej schopnosť plniť a fungovať.

Analýza vplyvu na podnikanie

Analýza dopadov na podnikanie (BIA) je metóda používaná v riadení kontinuity činností na zaznamenanie kritických procesov a obchodných funkcií v organizácii a na identifikáciu vzájomných závislostí medzi nimi a ich základnými zdrojmi. Ide teda o strategický proces, ktorý pomáha identifikovať a posúdiť vplyv narušenia obchodných činností. BIA tvorí základ pre určenie požadovaných časov opätovného spustenia.

BIA zvyčajne zahŕňa posúdenie kritickosti podnikových procesov, identifikáciu zdrojov potrebných na podporu týchto procesov a určenie vplyvu porúch na tieto procesy a zdroje. Analýza pomáha spoločnostiam pochopiť potenciálne dôsledky narušenia a podľa toho stanoviť priority ich úsilia o reakciu a obnovu.

Výsledky analýzy BIA môžu byť podkladom pre vypracovanie plánu kontinuity činností (BCP) a ďalších stratégií riadenia rizík s cieľom zabezpečiť, aby bola spoločnosť lepšie pripravená na zvládnutie neočakávaných udalostí a minimalizáciu ich vplyvu prostredníctvom vysokej dostupnosti systémov a štruktúr.

Ďalšie odporúčania na vykonanie analýzy vplyvu na činnosť (BIA) nájdete aj v usmerneniach normy ISO/TS 22317.

Norma ISO 27001:2022 je základom kontinuity činností

Informačné a komunikačné technológie (IKT) majú významný vplyv na kontinuitu činností v spoločnosti. Narušenie môže mať významný vplyv napríklad v oblasti kritickej infraštruktúry (KRITIS). Z tohto dôvodu má veľký význam kontrola 5.30 " Pripravenosť IKT na kontinuitu činností" v prílohe A novej normy ISO/IEC 27001:2022.

Účelom opatrenia je zabezpečiť vysokú úroveň dostupnosti kritického systému IKT na základe cieľov kontinuity činností a z nich odvodených, implementovaných a overených požiadaviek na kontinuitu IKT. To zahŕňa definovanie typov dopadov a kritérií dopadov v rámci procesu BIA.

Na tomto základe sa určia prioritné prevádzkové činnosti a priradí sa im cieľ času obnovy (RTO). V rámci BIA sa potom určí, ktoré zdroje sú potrebné pre tieto prioritné činnosti, a tiež sa im priradí RTO. Podskupina týchto zdrojov bude zahŕňať služby IKT. Okrem toho by sa pre prioritizované zdroje IKT mali definovať aj body obnovy (RPO = Recovery Point Objective) a ich vzdialenosti.

Na základe výsledkov všetkých týchto procesov musia organizácie identifikovať a vybrať stratégie kontinuity IKT, ktoré zohľadňujú možnosti pred, počas a po prerušení. Na základe toho sa vypracujú, implementujú a otestujú plány kontinuity (vrátane postupov reakcie a obnovy), aby sa splnila požadovaná pripravenosť IKT.

V tejto súvislosti treba odkázať aj na normu ISO/IEC 27031, príručku pripravenosti IKT na zabezpečenie kontinuity činností, ktorá poskytuje spoločnostiam odporúčania na zabezpečenie dostupnosti systémov IKT.

Vplyv kontroly 5.30 na certifikáciu

Na získanie certifikátu podľa revidovanej normy ISO 27001:2022 musia organizácie ...

  • mať vhodnú organizačnú štruktúru na prípravu, zvládnutie a reakciu na incident. To si vyžaduje aj personál s potrebnou zodpovednosťou, právomocami a kompetenciami.
  • mať vypracované záväzné plány kontinuity IKT vrátane postupov reakcie a obnovy, v ktorých je podrobne uvedené, ako organizácia plánuje riešiť narušenie služieb IKT. Tieto plány musí schváliť vrcholový manažment a pravidelne ich vyhodnocovať prostredníctvom cvičení a testovania.
  • do svojich plánov kontinuity zahrnuli tieto informácie:
    - špecifikácie výkonnosti a kapacity na splnenie požiadaviek a cieľov kontinuity činností definovaných v BIA
    - RTO každej prioritnej služby IKT a postupy na obnovenie týchto komponentov
    - RPO prioritných zdrojov IKT definovaných ako informácie a postupy na obnovenie informácií

Certifikácia podľa normy ISO 27001

Aké úsilie treba očakávať pri certifikácii? Zistite to teraz. Nezáväzne a bezplatne.

Viac o certifikácii ISO 27001

Bezpečnosť IKT pre kontinuitu podnikania - záver

Známy príklad administratívneho hackerského útoku v Anhalt-Bitterfelde, v dôsledku ktorého boli niektoré obecné služby nedostupné celé týždne alebo mesiace, poukazuje na veľký význam informačných a komunikačných technológií v dnešnom svete. Príklad však zároveň ukazuje, aká dôležitá je kontinuita a zavedené havarijné plány.

Kontrola bezpečnostného opatrenia 5.30 "Pripravenosť IKT na kontinuitu činností" je preto dôležitým aspektom revidovaných noriem informačnej bezpečnosti ISO/IEC 27001:2022 a ISO/IEC 27002:2022 s cieľom posilniť odolnosť spoločností.

Organizácie však niekedy majú problém posúdiť kritickosť používaných informačných a komunikačných technológií a ich rizikový potenciál počas implementácie, čo má zase priamy vplyv na reťazec stanovovania priorít. BIA a analýza rizík sú takpovediac základom riadenia kontinuity činností. V období pred certifikáciou sa preto oplatí preskúmať a optimalizovať vlastné úsilie o kontinuitu podnikania a dostupnosť IKT riešení so skúsenými odborníkmi.

DQS: Jednoduché využitie bezpečnosti.

Vďaka prechodným obdobiam majú spoločnosti dostatok času na to, aby prispôsobili svoje riadenie informačnej bezpečnosti novým požiadavkám a nechali si ho certifikovať. Nemali by však podceňovať trvanie a náročnosť celého procesu zmien. Ak chcete byť na bezpečnej strane, je lepšie zaoberať sa novými požiadavkami a prechodom na nový štandard skôr ako neskôr.

Radi vám odpovieme na vaše otázky

Zistite viac informácií o ... nezáväzne a bezplatne.

Sme tu pre vás. Kontaktujte nás.

Ako odborníci na audit a certifikáciu s takmer 40-ročnými skúsenosťami vám radi pomôžeme pri hodnotení vášho súčasného stavu, napríklad v rámci delta auditu. Od našich odborníkov sa dozviete o najdôležitejších zmenách a ich význame pre vašu organizáciu.

Dôvera a odbornosť

Naše texty píšu výlučne naši interní odborníci na systémy riadenia a dlhoroční audítori. Ak máte na autora nejaké otázky, kontaktujte nás.

Akékoľvek otázky?

Sme tu pre vás.
Kontaktujte nás