ikt-security-for-business-continuity-dqs-in the system control centre a woman gives instructions via

IKT bezbednost za kontinuitet poslovanja - kontrola 5.30 u ISO 27001

# Bezbednost informacija i upravljanje rizicima

Neometano funkcionisanje informacione i komunikacione tehnologije (IKT) je od suštinskog značaja za održavanje poslovnih procesa u kontekstu digitalizacije. Čak i najkraći prekidi često su praćeni ozbiljnim finansijskim gubicima. Hakeri iskorišćavaju ovaj potencijal štete kada šifriraju podatke i sisteme u sofisticiranim napadima ransomwarea i puštaju ih tek nakon plaćanja visoke otkupnine.

Ažuriranja međunarodnih standarda za bezbednost informacija, ISO 27001 i ISO 27002 imaju za cilj da zaustave ovaj razvoj: Sigurnosna mera (kontrola) 5.30 „IKT spremnost za kontinuitet poslovanja“ u Aneksu A obavezuje kompanije da osiguraju dostupnost IKT čak i u slučaju prekida. Novi ISO 27001:2022 postavlja snažan signal kontrolama i pomaže kompanijama da naoružaju svoje organizacione strukture i sigurnosne arhitekture protiv scenarija pretnji na vreme.

U našem blog postu saznaćete šta kontrola 5.30 znači za vaš sistem upravljanja bezbednošću informacija i kako će uticati na buduće audite.

SADRŽAJ

 

IKT bezbednost u organizaciji i relevantnost za današnje poslovne procese

Alati za komunikaciju kao što su Microsoft Teams, aplikacije u oblaku na platformama velikih hiperskalera, korištenje cloud servisa i umrežena proizvodnja (Industrija 4.0) postali su deo svakodnevnog života modernih kompanija, a ne samo od pandemije koronavirusa. Savremene informacione i komunikacione tehnologije omogućavaju brze i efikasne tokove rada i postale su nezamenjivi alati za održavanje poslovnih procesa u svim industrijama.

Suprotno tome, to znači da je bezbednost i dostupnost IKT-a veoma važna - i mora se sistematski pratiti i štititi od poremećaja odgovarajućim merama i procesima kako bi se garantovali nesmetani procesi i potencijalna šteta svela na minimum. Ovo postaje sve važnije, posebno u vremenima pojačanih sajber pretnji podstaknutih geopolitičkim sukobima. Kompanije imaju na raspolaganju niz alata za ovu svrhu, koji su u nastavku objašnjeni u opštim terminima, a zatim se razmatraju u kontekstu kontrole 5.30 u ISO 27001.

whitepaper-ISO 27001-faq-dqs-cover picture

Pitanja i odgovori na novi ISO 27001:2022

Šta treba da znate o "novorođenčetu" za sigurnost informacija: 38 odgovora naših stručnjaka na 38 korisničkih pitanja.

  • O čemu su sve nove kontrole?
  • Kada treba da pređemo na novi standard?
  • Gdje mogu pronaći listu starih i novih korespondencija?
  • ... kao i još 35!
Preuzmite sada

Upravljanje kontinuitetom poslovanja

Upravljanje kontinuitetom poslovanja (BCM), na primer u skladu sa ISO 22301, je proces upravljanja koji osigurava da se kritične poslovne funkcije ne prekidaju dugo tokom i nakon prekida ili da se mogu ponovo pokrenuti što je pre moguće kreiranjem, implementacijom i pregledom (hitnih) planova i strategija.

Standard opisuje preventivne mere predostrožnosti u smislu organizacije pripravnosti (hitne) i planiranja u vanrednim situacijama kako bi se povećala pouzdanost poslovnih procesa. Osim toga, reaktivne mere (oporavak od katastrofe) planiraju se i preduzimaju kao deo organizacije za reagovanje (hitne) kako bi se omogućilo brzo i ciljano reagovanje u slučaju poremećaja u IT procesima i kako bi se smanjilo vreme zastoja, na primer kroz visoku IKT bezbednost u kompaniji.

BCM kao deo strateškog planiranja uključuje identifikaciju potencijalnih rizika i ranjivosti, procenu rizika poslovnih procesa, razvoj planova za odgovor na krizne situacije i testiranje ovih planova kroz redovne vežbe i simulacije. Cilj upravljanja kontinuitetom poslovanja je da obezbedi da kompanija može brzo i efikasno da reaguje na poremećaj i da se poveća poverenje njenih zainteresovanih strana u njenu sposobnost da isporuči i posluje.

Analiza poslovnog uticaja

Analiza poslovnog uticaja (BIA) je metoda koja se koristi u upravljanju kontinuitetom poslovanja za snimanje kritičnih procesa i poslovnih funkcija unutar organizacije i za identifikaciju međuzavisnosti između njih i njihovih osnovnih resursa. Stoga je to strateški proces koji pomaže u identifikaciji i proceni uticaja poremećaja na poslovne aktivnosti. BIA čini osnovu za određivanje potrebnih vremena ponovnog pokretanja.

BIA obično uključuje procenu kritičnosti poslovnih procesa, identifikaciju resursa potrebnih za podršku ovim procesima i određivanje uticaja poremećaja na te procese i resurse. Analiza pomaže kompanijama da shvate potencijalne posledice poremećaja i da u skladu s tim daju prioritet svom odgovoru i oporavku.

Rezultati BIA mogu poslužiti za razvoj plana kontinuiteta poslovanja (BCP) i drugih strategija upravljanja rizicima kako bi se osiguralo da je kompanija bolje pripremljena za upravljanje neočekivanim događajima i minimizira njihov uticaj kroz visoku dostupnost sistema i struktura.

Dalje preporuke za provođenje analize uticaja na poslovanje (BIA) takođe se mogu naći u smernicama ISO/TS 22317.

 

ISO 27001:2022 je okosnica kontinuiteta poslovanja

Informaciono-komunikacione tehnologije (IKT) imaju značajan uticaj na kontinuitet poslovanja unutar kompanije. Poremećaji mogu imati značajan uticaj, posebno u oblasti kritične infrastrukture (KRITIS), na primer. Iz tog razloga, kontrola 5.30 " IKT spremnost za kontinuitet poslovanja" u Aneksu A novog ISO/IEC 27001:2022 je od velikog značaja.

Svrha mere je osiguranje visokog nivoa dostupnosti kritičnog IKT sistema na osnovu ciljeva kontinuiteta poslovanja i zahteva za kontinuitetom IKT koji su izvedeni, implementirani i verifikovani iz njih. Ovo uključuje definisanje tipova uticaja i kriterijuma uticaja u okviru BIA procesa.

Prioritetne operativne aktivnosti su identifikovane na ovoj osnovi i dodeljen im je cilj vremena oporavka (RTO). BIA zatim utvrđuje koji su resursi potrebni za ove prioritetne aktivnosti i takođe im dodeljuje RTO. Podskup ovih resursa će uključivati IKT usluge. Pored toga, tačke oporavka (RPO = Cilj tačke oporavka) i njihove udaljenosti treba takođe definisati za prioritetne IKT resurse.

Na osnovu rezultata svih ovih procesa, organizacije treba da identifikuju i odaberu strategije kontinuiteta IKT koje razmatraju opcije za pre, tokom i posle prekida. Na osnovu toga, planovi kontinuiteta (uključujući postupke odgovora i oporavka) se razvijaju, sprovode i testiraju kako bi se ispunila potrebna IKT spremnost.

U tom kontekstu treba se osvrnuti i na ISO standard ISO/IEC 27031, vodič za IKT spremnost za kontinuitet poslovanja, koji kompanijama daje preporuke za osiguranje dostupnosti IKT sistema.

Uticaj kontrole 5.30 na sertifikaciju

Da bi bile sertifikovane prema revidiranom standardu ISO 27001:2022, organizacije moraju ...

  • imati odgovarajuću organizacionu strukturu za pripremu, obuzdavanje i reagovanje na incident. Ovo takođe zahteva osoblje sa potrebnom odgovornošću, ovlašćenjima i kompetencijama.
  • razviti obavezujuće planove kontinuiteta ICT-a, uključujući postupke odgovora i oporavka, koji detaljno navode kako organizacija namerava da se nosi sa prekidom IKT usluga. Ove planove mora odobriti viši menadžment i redovno evaluirati kroz vežbe i testiranje.
  • uključiti sedeće informacije u svoje planove kontinuiteta:
    - Specifikacije performansi i kapaciteta za ispunjavanje zahteva i ciljeva kontinuiteta poslovanja definisanih u BIA
    - RTO svake prioritetne IKT usluge i procedure za obnavljanje ovih komponenti
    - RPO prioritetnih IKT resursa definisanih kao informacije i procedure za vraćanje informacija

ISO 27001 sertifikacija

Koje napore treba uložiti za sertifikaciju? Saznajte sada. Bez obaveza i besplatno.

Više o ISO 27001 sertifikaciji

IKT bezbednost za kontinuitet poslovanja - zaključak

Istaknuti primer administrativnog hakovanja u Anhalt-Bitterfeldu, zbog kojeg su neke opštinske službe bile nedostupne sedmicama ili mesecima, pokazuje visoku relevantnost informacione i komunikacione tehnologije u današnjem svetu. Međutim, primer takođe pokazuje koliko su važni kontinuitet i uspostavljeni planovi za vanredne situacije.

Kontrola sigurnosnih mera 5.30 "IKT spremnost za kontinuitet poslovanja" je stoga važan aspekt revidiranih standarda bezbednosti informacija ISO/IEC 27001:2022 i ISO/IEC 27002:2022 kako bi se ojačala otpornost kompanija.

Međutim, organizacijama je ponekad teško proceniti kritičnost korišćenih informacionih i komunikacionih tehnologija i njihov potencijal rizika tokom implementacije, što zauzvrat ima direktan uticaj na lanac određivanja prioriteta. BIA i analiza rizika su okosnica upravljanja kontinuitetom poslovanja. Uoči sertifikacije vredno je pregledati i optimizovati vlastite napore za kontinuitet poslovanja i dostupnost IKT rešenja sa iskusnim stručnjacima.

DQS: Simply leveraging Security. 

Zahvaljujući prelaznim periodima, kompanije imaju dovoljno vremena da prilagode svoje upravljanje bezbednošću informacija novim zahtevima i da ga sertifikuju. Međutim, trajanje i napor celog procesa promene ne treba potceniti. Ako želite da budete sigurni, najbolje je da se pravovremeno pozabavite novim zahtevima i prelaskom na novi standard.

Rado ćemo odgovoriti na vaša pitanja

Saznajte više ... bez obaveze i besplatno.

Tu smo za vas. Kontaktirajte nas.

Kao eksperti za audit i sertifikaciju sa skoro 40 godina iskustva, rado ćemo vam pružiti podršku u proceni vašeg trenutnog statusa, na primer kao deo delta audita. Saznajte od naših eksperata o najvažnijim promenama i njihovoj važnosti za vašu organizaciju.

Poverenje i stručnost

Naše tekstove pišu isključivo naši interni stručnjaci za sisteme upravljanja i dugogodišnji auditori sa bogatim iskustvom. Ukoliko imate pitanja za DQS autora, slobodno nas kontaktirajte

Pitanja?

Tu smo za vas.
Kontaktirajte nas.