ΕΛΕΓΧΟΣ ΠΡΟΓΡΑΜΜΑΤΟΣ ΕΠΙΧΕΙΡΗΣΙΑΚΗΣ ΣΥΝΕΧΕΙΑΣ (Auditing Business Continuity Plan & Disaster Recovery Plan) CISA, CGEIT, CRISC Project Management Office (PMO)
ΘΕΜΑΤΙΚΕΣ ΕΝΟΤΗΤΕΣ ΕΙΣΑΓΩΓΗ ΑΠΑΙΤΗΣΕΙΣ ΚΑΝΟΝΙΣΤΙΚΗΣ ΣΥΜΜΟΡΦΩΣΗΣ ΠΡΟΤΥΠΑ & ΒΕΛΤΙΣΤΕΣ ΠΡΑΚΤΙΚΕΣ ΣΚΟΠΟΣ & ΣΤΟΧΟΙ ΤΟΥ ΣΣΕ ΕΛΕΓΧΟΣ ΤΟΥ ΣΣΕ ΣΗΜΕΙΟ ΕΚΚΙΝΗΣΗΣ ΕΛΕΓΧΟΥ ΣΗΜΑΝΤΙΚΕΣ ΠΕΡΙΟΧΕΣ ΤΟΥ ΕΛΕΓΧΟΥ ΤΟΥ ΣΣΕ ΕΠΙΒΕΒΑΙΩΣΗ ΠΛΗΡΟΤΗΤΑΣ & ΟΡΘΟΤΗΤΑΣ ΤΟΥ ΣΧΕΔΙΟΥ ΣΥΝΕΧΕΙΑΣ ΕΡΓΑΣΙΩΝ ΕΠΙΒΕΒΑΙΩΣΗ & ΕΠΑΛΗΘΕΥΣΗ ΠΡΟΛΗΤΠΤΙΚΩΝ & ΔΙΟΡΘΩΤΙΚΩΝ ΜΕΤΡΩΝ ΕΠΙΧΕΙΡΗΣΙΑΚΗΣ ΣΥΝΕΧΕΙΑΣ ΕΞΑΚΡΙΒΩΣΗ ΥΠΑΡΞΗΣ ΣΤΟΙΧΕΙΩΝ ΕΞΑΣΦΑΛΙΣΗΣ ΤΗΣ ΕΠΙΧΕΙΡΗΣΙΑΚΗΣ ΣΥΝΕΧΕΙΑΣ ΚΑΙ ΑΝΑΚΑΜΨΗΣ ΣΥΝΟΠΣΗ & ΣΥΜΠΕΡΑΣΜΑΤΑ 2
3
ΕΙΣΑΓΩΓΗ Τα τρία χαρακτηριστικά ασφάλειας για την προστασία των Πληροφοριακών Αγαθών από κινδύνους είναι: ΕΜΠΙΣΤΕΥΤΙΚΟΤΗΤΑ (Confidentiality) ΑΚΕΡΑΙΟΤΗΤΑ (Integrity) ΔΙΑΘΕΣΙΜΟΤΗΤΑ (Availability) Διαθεσιμότητα (Availability) «Το χαρακτηριστικό εκείνο των πληροφοριακών αγαθών το οποίο τους επιτρέπει να είναι προσβάσιμα και αξιοποιήσιμα από εξουσιοδοτημένα άτομα, οντότητες και διαδικασίες όποτε αυτό ζητείται και με τον τρόπο που απαιτείται» Η Διαθεσιμότητα (Availability) καλύπτεται πλήρως από την ομπρέλα του Σχεδίου Συνέχειας Εργασιών (ΣΣΕ) και του Σχεδίου Ανάκαμψης από Καταστροφή (ΣΑΚ) ΟΙ ΔΙΑΔΙΚΑΣΙΕΣ; 4
ΕΙΣΑΓΩΓΗ ΣΧΕΔΙΟ ΣΥΝΕΧΕΙΑΣ ΕΡΓΑΣΙΩΝ (ΣΣΕ) & ΣΧΕΔΙΟ ΑΝΑΚΑΜΨΗΣ ΑΠΌ ΚΑΤΑΣΤΡΟΦΗ (ΣΑΚ) Σχέδια ενεργειών τα οποία παρέχουν στο Μηχανισμό Αποκατάστασης τις πληροφορίες για τη: Διατήρηση σε Ομαλή Λειτουργία των Κρίσιμων Επιχειρησιακών Λειτουργιών Ανάκαμψη των Επιχειρησιακών Λειτουργιών και των Πληροφοριακών Συστημάτων από Καταστροφικό Γεγονός Επιστροφή όλων των Επιχειρησιακών Λειτουργιών και Πληροφορικών Συστημάτων σε Ομαλή Λειτουργία 5
ΕΙΣΑΓΩΓΗ Η ΔΙΑΦΟΡΑ ΜΕΤΑΞΥ ΤΟΥ ΣΧΕΔΙΟΥ ΣΥΝΕΧΕΙΑΣ ΕΡΓΑΣΙΩΝ (ΣΣΕ) & ΤΟΥ ΣΧΕΔΙΟΥ ΑΝΑΚΑΜΨΗΣ ΑΠΟ ΚΑΤΑΣΤΡΟΦΗ (ΣΑΚ) Το Σχέδιο Συνέχειας Εργασιών (ΣΣΕ) στοχεύει στη ΠΡΟΛΗΨΗ. Εστιάζει στην αποτροπή ή τον περιορισμό των επιπτώσεων από κινδύνους. Το Σχέδιο Ανάκαμψης από Καταστροφή (ΣΑΚ) στοχεύει στην ΑΝΑΚΤΗΣΗ. Εστιάζει στην αποκατάσταση σε ομαλή λειτουργία των Επιχειρησιακών Λειτουργιών και των Πληροφορικών Συστημάτων μετά το καταστροφικό γεγονός. ΤΟ ΣΧΕΔΙΟ ΑΝΑΚΑΜΨΗΣ ΑΠΟ ΚΑΤΑΣΤΡΟΦΗ (ΣΑΚ) αποτελεί αναπόσπαστο μέρος του ΣΧΕΔΙΟΥ ΣΥΝΕΧΕΙΑΣ ΕΡΓΑΣΙΩΝ (ΣΣΕ) 6
ΕΙΣΑΓΩΓΗ Η ΔΙΑΦΟΡΑ ΜΕΤΑΞΥ ΤΟΥ ΣΧΕΔΙΟΥ ΣΥΝΕΧΕΙΑΣ ΕΡΓΑΣΙΩΝ (ΣΣΕ) & ΤΟΥ ΣΧΕΔΙΟΥ ΑΝΑΚΑΜΨΗΣ ΑΠΟ ΚΑΤΑΣΤΡΟΦΗ (ΣΑΚ) (Συν/χεια) Πηγή: http://www.fromtheranks.com/1692/it-management/noteson-risk-management-disaster-recovery-versus-businesscontinuity/ 7
ΣΚΟΠΟΣ & ΣΤΟΧΟΙ ΤΟΥ ΣΣΕ ΣΚΟΠΟΣ Ο σκοπός του ΣΣΕ είναι η διατήρηση του ελάχιστου επιπέδου παρεχόμενων υπηρεσιών προς του πελάτες του Οργανισμού ενώ βρίσκονται σε εξέλιξη οι διαδικασίες αποκατάστασης σε ομαλή λειτουργία των Επιχειρησιακών Λειτουργιών και των Πληροφοριακών Συστημάτων του ΣΤΟΧΟΙ Προστασία των εργαζομένων Αποκατάσταση των κρίσιμων επιχειρησιακών διαδικασιών και λειτουργιών για την ελαχιστοποίηση των δυσμενών οικονομικών επιπτώσεων μετά από καταστροφικό γεγονός Επαναφορά σε κανονική λειτουργία των σχετικών υποδομών, λειτουργικών συστημάτων και εφαρμογών για την υποστήριξη των κρίσιμων επιχειρησιακών λειτουργιών Αποτροπή ή περιορισμός των επιπτώσεων ενός καταστροφικού γεγονότος στο μέτρο του δυνατού Προστασία των εταιρικών περιουσιακών στοιχείων Συμμόρφωση με το ισχύον Εθνικό, Ευρωπαϊκό και (εφόσον απαιτείται) Διεθνές Κανονιστικό Πλαίσιο 8
ΑΠΑΙΤΗΣΕΙΣ ΚΑΝΟΝΙΣΤΙΚΗΣ ΣΥΜΜΟΡΦΩΣΗΣ ΠΡΟΤΥΠΑ & ΒΕΛΤΙΣΤΕΣ ΠΡΑΚΤΙΚΕΣ ΚΑΝΟΝΙΣΤΙΚΗ ΣΥΜΜΟΡΦΩΣΗ ΠΔΤΕ 2577/09.03.2006 (Τράπεζα της Ελλάδος - αφορά σε Πιστωτικά και Χρηματοδοτικά Ιδρύματα) Regulation (EC) No 1875/2006 (Ευρωπαϊκή Ένωση) ΠΡΟΤΥΠΑ & ΒΕΛΤΙΣΤΕΣ ΠΡΑΚΤΙΚΕΣ ISO 22301:2012 Business Continuity Management ISO/IEC 27001:2005 BS5750/ISO 9000 COBIT 5 (ISACA) SP800-34 (National Institute of Standard And Technology-NIST) (USA) Good Practice Guidelines from Business Continuity Institute (BCI) Professional Practices for Business Continuity Practitioners from Disaster Recovery Institute International (DRII) Business Continuity Management Audit/Assurance Program (ISACA) 9
ΕΛΕΓΧΟΣ ΤΟΥ ΣΣΕ Ο έλεγχος της Επιχειρησιακής Συνέχειας του Οργανισμού είναι ουσιαστικά ο έλεγχος τους Σχεδίου Συνέχειας Εργασιών (ΣΣΕ) σε σχέση με τη(ν): Επάρκεια, Πληρότητα και Καταλληλότητά του Διαθεσιμότητα των Διαδικασιών και του Προσωπικού για την εφαρμογή του Υλοποίηση των Δοκιμών του Επιβεβαίωση της ύπαρξης όλων εκείνων των καθημερινών εργασιών των οποίων η ακριβής εκτέλεση διασφαλίζει την αποτελεσματικότητα και την ετοιμότητά του 10
ΣΗΜΕΙΟ ΕΚΚΙΝΗΣΗΣ ΕΛΕΓΧΟΥ Audit/Assurance Program Step 1. PLANNING AND SCOPING THE BUSINESS CONTINUITY AUDIT 2. BUSINESS CONTINUITY PLAN MANAGEMENT 3. BCM POLICY, STANDARDS AND PROCEDURES 4. BUSINESS IMPACT ASSESSMENT (BIA) 5. RISK ASSESSMENT 6. DOCUMENTATION 7. PLAN TESTING Πηγή: http://www.isaca.org/knowledge-center/itaf-it-assurance-audit-/audit-programs/documents/wapbc-mgmt-1sept2011.doc 11
ΣΗΜΑΝΤΙΚΕΣ ΠΕΡΙΟΧΕΣ ΤΟΥ ΕΛΕΓΧΟΥ ΤΟΥ ΣΣΕ Ο έλεγχος της Επιχειρησιακής Συνέχειας βασίζεται στις ακόλουθες τρείς συνιστώσες: 1. Επιβεβαίωση της ύπαρξης επικυρωμένου Σχεδίου Συνέχειας Εργασιών (ΣΣΕ) 2. Έλεγχος και επαλήθευση των προληπτικών μέτρων που εξασφαλίζουν και υποβοηθούν την Επιχειρησιακή Συνέχεια του Οργανισμού 3. Εξακρίβωση της ύπαρξης όλων των στοιχείων εκείνων που αποδεδειγμένα μπορούν να εξασφαλίσουν την Επιχειρησιακή Συνέχεια και την ανάκτηση από καταστροφή των κρίσιμων λειτουργιών και πληροφοριακών συστημάτων του Οργανισμού 12
ΕΠΙΒΕΒΑΙΩΣΗ ΠΛΗΡΟΤΗΤΑΣ & ΟΡΘΟΤΗΤΑΣ ΤΟΥ ΣΧΕΔΙΟΥ ΣΥΝΕΧΕΙΑΣ ΕΡΓΑΣΙΩΝ 1. Ο έλεγχος Ύπαρξης Επικυρωμένου ΣΣΕ περιλαμβάνει: Κρίσιμα πληροφοριακά συστήματα, επιχειρησιακές λειτουργίες και πόρους Συστηματική ανάλυση και αξιολόγηση των επιχειρησιακών επιπτώσεων (Business Impact Analysis) Επιθυμητός Χρόνος Αποκατάστασης Συστημάτων (Recovery Time Objectives - RTO) και Επιθυμητός Χρόνος Αποκατάστασης Δεδομένων (Recovery Point Objectives - RPO) Περιοδικότητα ενημέρωσης του ΣΣΕ Συχνότητα, πληρότητα και ικανοποίηση των απαιτήσεων και των αποτελεσμάτων των Δοκιμών Διαδικασία για την σταδιακή ανάκαμψη αλλά και την πλήρη λειτουργία των συστημάτων από το Κύριο Μηχανογραφικό Κέντρο 13
ΕΠΙΒΕΒΑΙΩΣΗ & ΕΠΑΛΗΘΕΥΣΗ ΠΡΟΛΗΠΤΙΚΩΝ & ΔΙΟΡΘΩΤΙΚΩΝ ΜΕΤΡΩΝ ΕΠΙΧΕΙΡΗΣΙΑΚΗΣ ΣΥΝΕΧΕΙΑΣ 2. Ο έλεγχος προληπτικών & διορθωτικών μέτρων περιλαμβάνει: Επιβεβαίωση της πληρότητας του ΣΣΕ Έλεγχος του Κέντρου Ανάκαμψης από Καταστροφή ως προς τη τοποθεσία (δηλαδή, την απόσταση από το Κύριο Μηχανογραφικό Κέντρο, την προσβασιμότητα, και την ευπάθεια σε παρόμοιες απειλές) και την ασφάλεια του Φύλαξη των μαγνητικών μέσων αποθήκευσης δεδομένων σε επαρκώς ασφαλή διαφορετικό χώρο από το Κέντρο Ανάκαμψης από Καταστροφή Έλεγχος των συμβολαίων παροχής υπηρεσιών και των περιοδικών δοκιμών σε περίπτωση ανάθεσης διαχείρισης και λειτουργίας του Κέντρου Ανάκαμψης από Καταστροφή σε εξωτερικό πάροχο Συνεχή υποστήριξη εξοπλισμού (καύσιμα για τις γεννήτριες ρεύματος) και διατήρηση σε κατάσταση ετοιμότητας προς ενεργοποίηση των διακομιστών (servers) και Η/Υ και των προμηθειών Χρήση εναλλακτικών διαδρομών του δικτύου υπολογιστών, και διαθεσιμότητα του δικτύου στο Κέντρο Ανάκαμψης από Καταστροφή για τη μετάβαση από το Κύριο Μηχανογραφικό Κέντρο σε αυτό 14
ΕΞΑΚΡΙΒΩΣΗ ΥΠΑΡΞΗΣ ΣΤΟΙΧΕΙΩΝ ΕΞΑΣΦΑΛΙΣΗΣ ΤΗΣ ΕΠΙΧΕΙΡΗΣΙΑΚΗΣ ΣΥΝΕΧΕΙΑΣ ΚΑΙ ΑΝΑΚΑΜΨΗΣ 3. Ο έλεγχος ύπαρξης στοιχείων εξασφάλισης της Επιχειρησιακής Συνέχειας και Ανάκαμψης περιλαμβάνει: Διαθεσιμότητα και αποθήκευση όλων των συστατικών μερών των κρίσιμων πληροφοριακών συστημάτων από το Κέντρο Ανάκαμψης από Καταστροφή Επιτυχή λειτουργία των κρίσιμων συστημάτων και Δικτύων από το Κέντρο Ανάκαμψης από Καταστροφή σύμφωνα με τις απαιτήσεις του επιθυμητού Χρόνου Αποκατάστασης Συστημάτων (RTO). Επιτυχή αντιγραφής και αποθήκευσης των δεδομένων και αρχείων στο Κέντρο Ανάκαμψης από Καταστροφή σχεδόν ταυτόχρονα με τη διενέργεια των συναλλαγών, σύμφωνα με τις απαιτήσεις του Επιθυμητού Χρόνου Αποκατάστασης Δεδομένων (RPO) Καταγραφή και τήρηση των αρχείων συντήρησης και δοκιμών όλου του υποστηρικτικού εξοπλισμού Διενέργεια του συνόλου των Δοκιμών και αξιολόγησης των αποτελεσμάτων τους σύμφωνα με το Πρόγραμμα Επιχειρησιακής Συνέχειας Συμμετοχή όλου του Προσωπικού που συμμετέχει στο ΣΣΕ στο κατάλληλο πρόγραμμα εκπαίδευσης 15
ΣΥΝΟΨΗ - ΣΥΜΠΕΡΑΣΜΑΤΑ Η σημερινή πραγματικότητα του κόσμου των Επιχειρήσεων : Μεγάλη εξάρτηση επιχειρήσεων από Πληροφορικά Συστήματα Η εξάρτηση απαιτεί ισχυρή στήριξη από κρίσιμα Πληροφοριακά Συστήματα (σφιχτά RTO & RPO) Πολυπλοκότητα και κόστος προγράμματος Επιχειρησιακής Συνέχειας ανάλογα του βαθμού εξάρτησης Ο προγραμματισμός των δοκιμών Σχεδίων Συνέχειας Εργασιών (ΣΣΕ) περιορίζει την αποτελεσματικότητα τους. Εντούτοις οι δοκιμές, με τη χρήση διαφόρων τεχνικών και ασκήσεων ετοιμότητας, παραμένουν ο καλύτερος δυνατός τρόπος διασφάλισης της επιτυχίας εκτέλεσης των Σχεδίων Συνέχειας Εργασιών (ΣΣΕ) 16
ΣΥΝΟΨΗ - ΣΥΜΠΕΡΑΣΜΑΤΑ Η αξιοπιστία της Επιχείρησης κρίνεται από την πελατεία της αλλά και από τις εποπτικές αρχές, από την όσο το δυνατόν μεγαλύτερη διαθεσιμότητα των πληροφοριακών συστημάτων της και την σωστή τήρηση κρίσιμων δεδομένων. Ο πλήρης και αποτελεσματικός έλεγχος από τον Ελεγκτή Συστημάτων Πληροφορικής μπορεί να βοηθήσει στην αποκάλυψη παραλείψεων και λειτουργικών αδυναμιών που δεν έχουν εντοπισθεί κατά την διάρκεια των Δοκιμών και έχουν αγνοηθεί κατά το σχεδιασμό του προγράμματος Επιχειρησιακής Συνέχειας (ΣΣΕ & ΣΑΚ) 17
ΣΥΝΕΠΩΣ. Ο Ελεγκτής θα πρέπει να είναι εξοικειωμένος με τα πολύπλοκα Πληροφοριακά Συστήματα, τις δυνατότητες και τους περιορισμούς τους, αλλά και τις Επιχειρηματικές Διαδικασίες που αυτά υποστηρίζουν για να μπορέσει να είναι αποτελεσματικός στον έλεγχό του 18
19
EΘΝΙΚΗ ΤΡΑΠΕΖΑ 210-3578506 papoulias.g@nbg.gr