страна 1

Континуитет на деловното работење

Татјана Соколова-Најдова, CISA, CISM

Институт на овластени ревизори Скопје, 03.12.2014

страна 2

Климатски и временски ризици

Ризици за објекти и околината

Геополитички ризици

Технолошки ризик

Ризик при безбедност

на информации

Ризик за човечките

ресурси

Ризик за репутацијата

Стратешки ризик

Правни и регулаторни

ризици

Ризик при контрола во

работата Здравствени

ризици

Ризик од криминални

дејства

Корисниците очекуваат континуитет

на услугите и сервисите во било кои

услови.

Акционерите/сопствениците

очекуваат посветеност од страна на

менаџментот и потполна контрола во

кризни ситуации

Очекувања

страна 3

Може да биде посебна организациска единица

Полно работно време посветено за BCM

Може да бидат вработени од различни организациски единици со дел од

работното време посветено на BCM

Да се одреди кој ја има целокупна координација и одговорност за процесот

Може да биде надворешна компанија ангажирана за изработка на BCM Планот

Да се дефинираат услови во Договорот

Изборот зависи од големината,

типот, организацијата и

стратегијата на компанијата.

Процесот треба да биде

регулиран со интерни

регулативи/акти.

страна 4

Подготовка на BIA /RTO&RPO и

Проценка на ризици

Подготовка на BCP

Развој на DR решенија и

подготовка на DRP

Одобрување на BC&DRP

Тестирање на DRP

Предлози за подобрувања

BC&DR процес

страна 5

Главни фази

Собирање/ажурирање на влезни податоци потребни за анализата на влијанието

врз бизнисот

Анализа на влијанието врз бизнисот - BIA (Business Impact Analyses)

Идентификација на критични процеси/сервиси

Идентификација на критични системи и параметри (RTO, RPO)

Проценка на ризик – Risk assessment

Методи за анализа на ризици

Подготовка на BC/DR план

DR сценарија и DR решенија

Хармонизација и одобрување

Тестирање на BC/DR планот

Начини на тестирање, документирање и мониторинг

BC&DR Планот е наменет за да обезбеди рамка за развивање на активности за

да се осигура безбедност на вработените и продолжување на работата на

сензитивните критични операции, сервиси и услуги во случај на вонредна

состојба (на пример пожар, прекин на напојување, итн.)

страна 6

Главни елементи

Цели

Организациска поставеност

Методологија за BIA и Анализа на ризикот

Постапки во вонредни ситуации

Улоги за поддршка

Обуки, свесност

Одржување на BC&DRP

Постоечки процеси

Постоечка инфраструктура (IT, NT, итд)

Физичка и техничка заштита

Тим за кризни ситуации, BCM тим, DR тим –

контакт информации

Идентификација на критични процеси и системи

BIA

– Идентификација на RTO и RPO

– Анализа на ризик

Постоечки DR решенија

Листа на вендори – контакт информации

DR тест сценарија

Препораки за подобрување

Генерален општ дел –

не е подложен на

чести промени

Променлив дел –

подложен на чести

промени

Дел кој може да биде

и генерален и

променлив

страна 7

Одлука за дефинирање на пристапот:

Анализа на процесите

Анализа на сервисите

Анализа на продукти

Друг тип на пристап

Собирање на влезни податоци за соодветни критериуми:

Број на корисници по сервис,

Број на вработени по процес,

Годишен приход по сервис,

Регулаторни/законски барања ,

Договорни услови (SLA), итн.

страна 8

Идентификација на критични

процеси/сервиси/останато врз

основа на влезните

критериуми!

Идентификација на IT, NT и

останати системи кои ги

поддржуваат

процесите/сервисите!

Процеси/Сервиси

Критериум

1

Критериум

2 ххх

Процес 1/Сервис 1 x x x x x x

Процес 2/Сервис 2 x x x x x x

Процес 3/Сервис 3 x x x x x x

Процес 4/Сервис 4 x x x x x x

ххх x x x x x x

страна 9

Главни параметри

RTO – Recovery Time Objective - е временскиот период

во кој бизнис процесот мора да се опорави по

катастрофата (или прекинот), со цел да се избегнат

неприфатливи последици кои можат да настанат поради

прекинот

RPO – Recovery Point Objective – е временски период

за кои треба да се вратат податоците, односно

прифатлив износ на загуба на податоци во однос на

староста.

MTPD – Maximum Tolerable Period of Description -

Времетраењето по што одржливост на организацијата ќе

биде неповратно загрозена доколку процесите не се

опорават.

Анализа на ризикот

Параметри во анализата на ризик:

Probability

Severity of impact

Detectability

1 2 3 4 5

1 1 2 3 4 5

2 2 4 6 8 10

3 3 6 9 12 15

4 4 8 12 16 20

5 5 10 15 20 25

6 6 12 18 24 30

8 8 16 24 32 40

9 9 18 27 36 45

10 10 20 30 40 50

12 12 24 36 48 60

15 15 30 45 60 75

16 16 32 48 64 80

20 20 40 60 80 100

25 25 50 75 100 125

Ниво на ризик

ниско

средно

високо

страна 10

DR решенијата зависат од стратегијата за

опоравување

Стратегијата ја одлучува повисокиот менаџмент –

зависи од:

Критичноста на бизнис процесот

Трошоците

Времетраењето потребно за опоравување

Безбедност

Катастрофи (disasters) – се нарушувања кои предизвикуваат критичните

ресурси да бидат неоперативни во одреден временски период со што го

загрозуваат бизнисот.

Катастрофите можат да бидат предизвикани од: земјотрес, пожар, олуја,

поплава, молњи, прекин на електрично напојување, гас, тероризам,

хакерство, пад на комуникациски системи, епидемии ...

страна 11

Вообичаени DR стратегии:

Hot sites

Warm sites

Cold sites

Мобилни локации

Реципрочен договор со други компании

Во DR стратегија може да спаѓа и компаниската

осигурителната полиса

Редундантната локација треба да биде оддалечена

минимално 120 км и да не е во иста зона на природна

непогода како оригиналната локација

страна 12

Применливоста на BCDRPсе потврдува со тестирање.

Тестирањето може да биде во различни форми, на пр.

Технички/ИТ тестови , walk-through , или тестирања во

жива околина .

Тестирањата се реализираат, секогаш кога е можно,

по истата постапка како кога би бил реален настан.

Некои тестови можеби не можат да се реализираат

“in live“. Тогаш се користат ситуации на upgrade,

миграција и тест околини.

Периодот на тестирањето треба однапред да биде

договорен со соодветните организациски единици.

DR Тестови Период

Симулација на DR на Билинг систем

Q4 2015

Симулација на DR на системи за напојување

Q1 2015

Евакуација во случај на пожар

Q2 2015

ххххх хххх

Резултатите од тестирањата мора да

бидат евидентирани и документирани

со битните информации за самиот тест

(опис, системи, период, буџет) и за

резултатите од тестот (учесници,

времетраење, успешност, научени

лекции).

страна 13

Во процесот на подготовка на BCDRP и во процесот на тестирање може да

бидат идентификувани несоодветни/недоволни BC&DR решенија

За решавање на овие проблеми треба да се идентификуваат препораки за

подобрување

Препораките треба да бидат хармонизирани со соодветните организациски

единици

Препораките можат да бидат дел од BC&DR планот, а треба да бидат

образложени со поткрепувачки елементи, како на пр. во табелата:

Опис на

проблемот Статус Влијание Препорака Одговорен

ххх … … … …

ххх … … … …

ххх … … … …

Некои од препораките бараат финансиски инвестиции за реализација

За таквите препораки најчесто е потребно да се направи cost-benefit

анализа, со цел донесување одлука за имплементација или за

прифаќање на ризикот

страна 14

Вонредни состојби

Процесите/сервисите на

организацијата не работат како што

треба

Достапноста на соодветните

процеси или ресурси не може да се

врати во потребната временска

рамка.

Бизнис активностите се сериозно

афектирани

Висока штета, што значително

влијае вкупниот профит на

организацијата и /или на репутација

Вонредната состојба не може да се

реши во рамките на стандардна

организација

Кризни состојби

Постоењето на компанијата е

загрозена или нејзината основна

дејност е застаната

Имиџот на компанијата може да

биде трајно нарушен

Значителни финансиски загуби се во

тек

Постои опасност по живот и здравје

Инцидентот може да има такви

последици да потребни се одлуки од

топ менаџментот

страна 15

Криза

Вонредна/итна состојба

Инциденти/проблеми (вообичаени во

бизнисот)

Катастрофа Управување си

инциденти

Управување со

вонредни состојби

Управување со

кризни ситуации

Управување со вонредни состојби

Справување со моментална

состојба

Линиска организација

Оперативно-тактички активности

Активностите се одвиваат што

поблиску до настанот (on-site)

Цел: Управување со on-site

реакции и активности

Управување со кризи

Вонредните состојби можат да ескалираат и да станат кризни состојби !

Справување со долгорочни

последици

Посебна кризна организација

Стратешко – тактички активности

Активностите се одвиваат од

специјална просторија (crisis

office/situation room)

Цел: Управување со стратешки

прашања (донесување брзи одлуки)

страна 16

Инструкции за

случај на пожар

Инструкции за

случај на земјотрес

Инструкции за

случај на поплава

Инструкции за случај

на прекин

на комунални услуги/останато

BCM процесот ги опфаќа

инструкциите за постапување

во вонредни/кризни состојби

Овие инструкции треба да

бидат лесно достапни до

сите вработени

Припаѓаат и на делот за

заштита и спасување

Вонредна состојба постои кога се случува сериозно нарушување на

стандардните процедури /регуларните процеси и неопходни се дополнителни

ресурси (на пример, работна сила, капитал, знаење, итн) да се задржи работата

на бизнисот, а истите не се достапни во рамките на стандардните процедури.

Планирањето и инструкциите во случај на вонредни состојби претставуваат

технички и организациски подготовки на активности со цел справување со

загрозувачката ситуација од страна на одговорните организациони единици.

Кризата се случува кога мерките за вонредни состојби веќе не се доволни или

треба да бидат координирани преку неколку единици.

Во кризните состојби може да има недостаток на планови и инструкции поради

непредвидливоста или посебност на инцидентот што ја предизвикуваа кризата.

страна 17

Q1 2015 Q2 2015 Q3 2015 Q4 2015

Обука за целна група 1

При планирањето и организирањето на обуките треба да се има во

предвид:

Кои се фактори поради кои произлегува потребата за обука?

Која е целна група на публика?

Каков е приоритетот?

Која е фреквенцијата и методата?

BC&DRP треба да биде комунициран со вработените до ниво до кое е

потребно за да се запознаат со нивната улога во процесот

Обуките треба да имаат поддршка од раководните функции

Тука спаѓаат и вежбите за постапување во итни/вонредни ситуации.

Некои од нив се и законски обврски.

Секоја обука и вежба треба да се документира со потребните

информации

Временскиот период за реализација треба да биде усогласен со целната

група . Затоа се прави годишен план за динамика со распоред.

Обука за целна група 1

Обука за целна група 1

Обука за целна група 1

страна 18

Стандарди, Закони

Барања од стандардите:

ISO 27001 - Систем за Управување

со безбедност на информации

ISO 20000 - Систем за управување

со услуги ,

ISO 14000 - Системи за менаџмент

на животна средина

ISO 22301 – Континуитет на

деловното работење

Законски барања од:

Закон за заштита и спасување

Закон за електронски комуникации

(за оператори)

Закон за одбрана

Закон за управување со кризи

Закон за безбедност и здравје при

работа

Интерни релации

BCM

Продажба

Човечки ресурси

Набавки

Маркетинг Информа

тичка технологи

ја

Техника/мрежна

технологија

Финансии

Правно/Регулатива

Секоја организациска единица во

компанијата е одговорна да

соработува при подготовката на

BC&DRP потребите, барањата и

надлежностите:

страна 19

ISO – издавач: International Organization for Standardization

ISO 22301:2012 Societal security -- Business continuity management systems -

Requirements

ISO 22313:2012, Societal security -- Business continuity management systems -

Guidance

United Kingdom – издавач: British Standard Institution

BS 25999-1:2006 Business Continuity Management. Code of Practice

BS 25999-2:2007 Specification for Business Continuity Management

North America

NFPA 1600: Standard on Disaster/Emergency Management and Business

Continuity Programs.

ASIS/BSI BCM.01:2010 Business Continuity Management Systems -

Requirements with Guidance

ANSI/ASIS SPC.1-2009 Organizational Resilience: Security, Preparedness, and

Continuity Management Systems

Australia

HB 292-2006 : A practitioners guide to business continuity management

HB 293-2006 : Executive guide to business continuity management

Standard AS/NZS 5050

страна 20

Прва задача на ревизорот: Да стекне разбирање на бизнис целите на

компанијата во која се работи ревизијата

Дали постојат интерни регулативи - развиени, прифатени и

комуницирани низ компанијата?

Дали се земени во предвид стандарди и законските барања?

Како е поставена организациската структура за BCM?

Дали има дедицирани вработени за процесот?

Дали се дефинирани улогите, одговорностите и надлежностите?

Постои ли посветеност од страна на повисоките раководни функции

(BCM sponsors)?

Дали е процесот имплементиран во сите фази на животниот циклус

на услугите/продуктите?

Дали постојат IT алатки за поддршка на BCM процесот?

Ако процесот не е имплементиран, дали постојат

планови/програма да се имплементира во иднина?

страна 21

Дали топ менаџментот осигурува да процесот е соодветно вреднуван во

компаниската средина?

Дали вработените се свесни генерално за важноста на процесот како и

конкретно за нивната улога?

Постои ли план за обуки и дали обуките се реализираат? Дали се

документирани и има ли проверка на резултатите (follow up)?

Дали компанијата осигурува дека:

Нејзините вработени ги идентификуваат природата и опсегот на

нарушувањата на континуитетот на деловното работење

Нејзините вработени иницираат соодветни корективни мерки за

опоравување

Постојат процеси и процедури за да може мерките да се

имплементираат и комуницираат

Постојат неопходни ресурси (вклучиво буџет) за поддршка на

плановите за континуитет

страна 22

Дали постои методологија и дали истата обезбедува комплетна

идентификација на сите BCM релевантни процеси/сервиси/продукти?

Постојат ли дефинирани процес/сервис/продукт сопственици и дали ја

знаат својата улога?

Дали се идентификувани средствата и системите кои се користат во BCM

релевантните процеси/сервиси/продукти и нивните сопственици?

Постои ли анализа на влијанието врз бизнисот (BIA) и од кого е истата

направена?

Дали се дефинирани параметрите RTO, RPO, MTPD?

Дали е MTPD >= RTO?

Постои ли соодветна документација за подготвената BIA,

соодветните параметри, како и ажурирана листа на

процес/сервис/продукт сопственици?

Дали е методологијата како и документацијата со резултатите прифатена

и одобрена од топ менаџментот?

страна 23

Дали постојат документирани и имплементирани превентивни мерки за секој

критичен процес/сервис?

Има ли одлука за прифаќање на преостанатиот ризик од бизнис страната?

Ако нема имплементирани превентивни мерки, дали постои прифаќање на

ризикот од бизнис страната и топ менаџментот?

Да се провери дали BCP:

Е разбирлив и достапен за сите што се инволвирани во неговата

имплементација

Е регуларно одобрен, редовно прегледуван и ажуриран, при што

сегрегацијата на должност треба да биде запазена

Вклучува комуникација и инволвираност на надворешни ентитети во

активностите на опоравување

Дефинира дали и како ќе се опорави секој критичен

процес/сервис во зададените параметри (MTPD)

Дали BCP е навремено ажуриран со секоја организациска и

техничко / технолошка промена во компанијата?

Дали постои копија од BC&DRP на off-site локација?

страна 24

Која е прифатената стратегијата за опоравување од катастрофи?

Дали параметрите RTO и RPO се усогласени или договарани помеѓу бизнис

страната и IT/техничката страна?

Да се провери дали DRP содржи:

Листа на вработени (со контакт информации) за секоја функција во

реализација на DR решенијата

“step-by-step“ опис на целата постапка за опоравување

Контакт листа на сите добавувачи

Јасна идентификација на сите ресурси потребни во процесот на

опоравување и континуиирана оперативност на компанијата

Дали се прават DR тестирања и дали тие:

Се реализираат на редовна основа?

Дали секогаш се документираат соодветно со потребните податоци

Дали се задоволени параметрите RTO и RPO

Дали планот вклучува релокација на друг објект во случај да

примарниот неможе да се обнови?

страна 25

Дали се добро дефинирани и усвоени термините за катастрофа, вонредна

состојба, кризна состојба?

Дали се има случено ваков настан во последните 2-3 години?

Дали е документиран настанот, мерките кои биле превземени и евентуалните

препораки?

Како и со кого е настанот комунициран?

Дали постои наменета просторија за кризниот тим и дали просторијата ги

исполнува барањата за опременост?

страна 26

Проверка на регулативи, документација, планови, резултати од тестирања

Интервјуа со вработени инволвирани во реализација на BC&DRP (на

оперативно ниво и на одлучувачко ниво)

Тестирање, на пример:

Проверка на ажурност на телефонските броеви на вработените во

листите и дали го имаат BC&DRP

Реализација на “walk –through“ DR сценарио

Посета на локација, на пример:

Дата центар во примарна локација

Гео-редундантна локација

Просторија за кризен тим

Проверка на безбедносни услови

Проверка на осигурителната полиса на компанијата

Проверка на договори со даватели на услуги (SLA)

страна 27

Process assessment model (PAM):

ги комбинира ISACA COBIT и ISO/IEC 15504-2

ISACA (Information Systems Audit and Control Association) е

меѓународна професионална асоцијација фокусирана на IT

управување. ISACA во моментов има повеќе од 110.000 учесници

(членови и лица со ISACA сертификати), во повеќе од 180 земји.

Најчесто тоа се: ревизори, консултанти, едукатори, експерти за

безбедност, IT експерти, внатрешни ревизори кои работат во речиси

сите категории на индустрија. ISACA се ангажира во развојот,

прифаќањето и користењето на глобално прифатени и водечки во

индустријата знаења и практики за информатички системи.

COBIT (Control Objectives for Information and Related Technology) е

работна рамка создадени од ISACA, со цел истражување, развој,

објавување и промовирање на авторитативен, современ,

меѓународен сет на генерално прифатени контролни цели во

информатичката технологија за секојдневна употреба од страна на

бизнис менаџери, IT експерти и експерти.

страна 28

страна 29

DSS04.01 Define the business continuity policy, objectives and scope.

DSS04.02 Maintain a continuity strategy.

DSS04.03 Develop and implement a business continuity response.

DSS04.04 Exercise, test and review the BCP.

DSS04.05 Review, maintain and improve the continuity plan.

DSS04.06 Conduct continuity plan training.

DSS04.07 Manage backup arrangements.

DSS04.08 Conduct post-resumption review.

Пример

Контролен процес: Deliver, Service and Support (DSS)

Контролен подпроцес: 04 Manage continuity

Process capability level

(based on attributes)=>

Capability

level 0:

Incomplete

Capability

level 1:

Performed

Capability

level 2:

Managed

Capability

level 3:

Established

Capability

level 4:

Predictable

Capability

level 5:

Optimizing

Processes assessed

Process

performance

(PA1.1)

Performance

Management

(PA2.1)

Work Product

Management

(PA2.2)

Definition

(PA3.1)

Deployment

(PA3.2)

Measurement

(PA4.1)

Control

(PA4.2)

Innovation

(PA5.1)

Optimization

(PA5.2)

DSS04.01 Define the business continuity policy, objectives and scope. FALSE 45% 0% 0% 0% 0% 0% 0% N/A N/A

DSS04.02 Maintain a continuity strategy. FALSE 30% 35% 20% 20% 20% 0% 0% N/A N/A

DSS04.03 Develop and implement a business continuity response. FALSE 35% 10% 10% 10% 10% 0% 0% N/A N/A

DSS04.04 Exercise, test and review the BCP. FALSE 90% 90% 80% 60% 40% 10% 10% N/A N/A

DSS04.05 Review, maintain and improve the continuity plan. FALSE 90% 45% 45% 40% 40% 0% 0% N/A N/A

DSS04.06 Conduct continuity plan training. FALSE 90% 90% 90% 80% 50% 10% 10% N/A N/A

DSS04.07 Manage backup arrangements. FALSE 75% 70% 60% 60% 30% 0% 0% N/A N/A

DSS04.08 Conduct post-resumption review. FALSE 80% 80% 70% 70% 45% 10% 10% N/A N/A

страна 30

Прашања