ISO/IEC 27031 Sajber bezbednost – Spremnost informaciono-komunikacionih tehnologija za kontinuitet poslovanja

Šta je ISO/IEC 27031?

Standard ISO/IEC 27031 pruža smernice za obezbeđivanje spremnosti informaciono-komunikacionih tehnologija (IKT) za podršku kontinuitetu poslovanja. Standard definiše okvir za spremnost IKT-a koji je usklađen sa širim ciljevima kontinuiteta poslovanja i pomaže kompanijama da spreče, da adekvatno reaguju i da se oporave od poremećaja povezanih sa IKT-om koji mogu imati uticaj na kritične poslovne operacije. Standard ISO/IEC 27031 uzima u obzir savremena ICT okruženja, uključujući oslanjanje na eksterne usluge poput cloud platformi, i podstiče kompanije da ih procene i integrišu u svoje planove spremnosti.

Kome je namenjen ISO/IEC 27031?

Standard ISO/IEC 27031 namenjen je svakoj kompaniji koja se oslanja na IKT sisteme i želi da obezbedi da ti sistemi mogu da podrže kontinuitet poslovanja tokom i nakon poremećaja. U današnjem digitalnom okruženju kompanije se u velikoj meri oslanjaju na IKT sisteme kako bi obavljale poslovne aktivnosti, pružale usluge i održavale poverenje zainteresovanih strana. Poremećaji u radu ovih sistema – od sajber napada do tehničkih kvarova – mogu imati ozbiljne posledice.

Standard ISO/IEC 27031 pomaže kompanijama da izgrade otpornost IKT sistema kroz integraciju planiranja spremnosti u prakse kontinuiteta poslovanja i upravljanja informacionom bezbednošću. Standard obezbeđuje da se IKT usluge mogu obnoviti u unapred dogovorenim vremenskim okvirima, čime se štite poslovne operacije, reputacija i poverenje korisnika. Ova spremnost ne odnosi se samo na interne sisteme, već obuhvata i zavisnosti od usluga trećih strana, kao što su provajderi cloud usluga. Standard ISO/IEC 27031 dopunjuje standard ISO/IEC 27001 tako što se bavi kontinuitetom IKT-a u kontekstu informacione bezbednosti, i pruža podršku standardu ISO 22301 kroz usklađivanje spremnosti IKT-a sa širim ciljevima kontinuiteta poslovanja.

Struktura standarda ISO/IEC 27031?

Standard ISO 27031 se zasniva na standard ISO 22301 PDCA sistemu upravljanja, ali je prilagođen tehničkim aspektima IRBC-a. Standard ISO 27031 se oslanja na rezultate Analize uticaja na poslovanje (BIA) koja je izvršena i prihvaćena kao deo šireg BCMS-a kompanije, uz tehnička prilagođavanja PDCA metodologije. PDCA sistem upravljanja u okviru IRBC-a može se sažeto prikazati na sledeći način:

  • Planiranje (Plan) — U prvoj fazi uspostavlja se i održava sveobuhvatna struktura upravljanja IRBC sistemom. Kao rezultat aktivnosti sprovedenih u fazi Planiranja, kompanija će imati IRBC politiku, kao i niz potencijalnih rešenja IT strategije među kojima može odabrati ona koja najbolje zadovoljavaju poslovne potrebe.
  • Sprovođenje (Do) — U ovoj fazi zaposleni izvršavaju zadatke i implementiraju rešenja koja omogućavaju kompaniji da prati stanje i brzo se oporavi nakon prekida ICT usluga. Kada je u pitanju osiguranje pouzdanosti ICT usluga, glavni rezultati faze Sprovođenja uključuju realizaciju navedenih strategija, izradu planova, kao i sprovođenje treninga i aktivnosti podizanja svesti.
  • Proveri (Check) — Pregled i analiza rezultata sistema upravljanja IRBC deo su faze „Proveri“. Ključni ishodi ove faze uključuju redovne inspekcije sposobnosti ICT-a za reagovanje i oporavak, kao i kontinuirano praćenje ICT-a radi otkrivanja smetnji i nivoa performansi.
  • Deluj (Act) — U fazi „Deluj“, rukovodstvo može proceniti koliko efikasno funkcioniše IRBC inicijativa i naložiti preduzimanje korektivnih mera kako bi se poboljšala efikasnost sistema upravljanja i/ili smanjila verovatnoća budućih prekida u ICT uslugama.

Prednosti uvođenja ISO/IEC 27031?

Prednosti uvođenja standarda ISO/IEC 27031 su:

  • Omogućava neprekidno poslovanje tokom poremećaja u radu IKT Sistema.
  • Jača usklađenost između IKT-a, informacionе bezbednosti i strategija kontinuiteta poslovanja.
  • Smanjuje vreme oporavka i gubitak podataka nakon incidenata.
  • Unapređuje otpornost kompanije i poverenje zainteresovanih strana.
  • Omogućava jednostavnu integraciju sa praksama standarda ISO/IEC 27001 i standarda ISO 22301.

Standard ISO 27031 određuje da IRBC planovi treba da sadrže šest komponenti kako bi efikasno pratili, reagovali na i oporavljali se od prekida u informacionim i komunikacionim tehnologijama. Tih šest komponenti su:

  1. Veštine

U slučaju prekida, biće potrebno ponovo uspostaviti pružanje ICT usluga; zato planovi oporavka moraju to uzeti u obzir. Prilikom planiranja rada informacionih i komunikacionih tehnologija (ICT) u kompaniji, važno je imati na umu da nijedan pojedinačni zaposleni možda ne poseduje sve potrebne stručnosti.

  1. Objekti

Sprečavanje gubitaka koji bi mogli nastati ako se ICT sistemi koriste samo iz jedne lokacije predstavlja važan deo svake strategije oporavka. Planiranje u vezi sa objektima osigurava da ICT sistemi mogu nastaviti da funkcionišu u slučaju kvara primarnog objekta.

  1. Tehnologije

Prilikom izrade plana oporavka, važno je uzeti u obzir tehničke specifikacije potrebne za postizanje cilja vremena oporavka (RTO) i cilja tačke oporavka (RPO) koje je postavila kompanija.

Prilikom planiranja strategije, važno je uračunati vreme i resurse potrebne za vraćanje opreme i softvera u funkcionalno stanje. Napajanje, hlađenje, osoblje, podrška dobavljača i veza širokopojasne mreže su ključni faktori koji se moraju uzeti u obzir.

  1. Podaci

Prilikom planiranja oporavka, važno je razmisliti o zaštiti ključnih informacija na kojima se kompanija oslanja. Strategije koje uzimaju u obzir podatke osiguravaju da korisnici mogu pristupiti, koristiti i verovati informacijama koje su im potrebne.

  1. Procesi

Planiranje kontinuiranih aktivnosti potrebnih za praćenje, upravljanje i oporavak ICT sistema kako bi se zadovoljile poslovne potrebe je sastavni deo svake efikasne strategije oporavka. Strategije koje uzimaju u obzir procese definišu IT operacije koje se moraju izvršiti pre, tokom i nakon prekida.

  1. Dobavljači

Oporavak i rad ICT sistema zahteva angažovanje više dobavljača trećih strana, koji moraju biti uključeni tokom procesa oporavka. Strategije koje uzimaju u obzir dobavljače određuju u kojoj meri kompanije pomažu u održavanju i vraćanju ICT sistema pre, tokom i nakon prekida.

Iako standard ISO 27031 pruža robustan okvir za oporavak IT sistema nakon katastrofa, važno je razumeti njegovu povezanost sa standardom ISO 27001, još jednim ključnim standardom iz ISO 27000 porodice.