Kontinuitet for IKT systemer

Størrelse: px

Begynne med side:

Download "Kontinuitet for IKT systemer"

Hilde Aas
7 år siden
Visninger:

1 Kontinuitet for IKT systemer Innledning til kontinuitetsplanlegging for IKT Rolf Sture Normann, CSO UNINETT AS

3 Introduksjon IKT og andre automatiserte systemer er sentrale i de fleste organisasjoner i dag Det er avgjørende for en organisasjon å etablere prosesser som sikrer at disse systemene er operative uten kritisk lange avbrudd Kontinuitetsplanlegging bidrar til å etablere grundige planer og prosedyrer som kan bidra til at systemene på en effektiv måte kan reetableres etter et avbrudd som kan komme til å vedvare.

4 Inneholder IKT Kontinuitetsplanlegging består av planer, prosedyrer og tekniske beskrivelser som muliggjør en reetablering av kritiske IT systemer, operasjoner og data etter et avbrudd, enten dette skyldes katastrofe eller andre hendelser. Generelt inneholder kontinuitetsplanlegging en eller flere av følgende: Reetablere IKT operasjoner på en alternativ lokalisering Reetablere IKT operasjoner ved hjelp av alternativt IT utstyr Reetablere ved å benytte manuelle operasjoner for å gjøre virksomhetsprosesser (typisk bare for korte avbrudd).

5 Formål Bidra til at institusjonene utvikler og opprettholder en effektiv IKT kontinuitetsplan (ISCP) Bidra til å øke forståelsen av systemer og prosesser slik at man kan evaluere IKT systemene og hvilke prosesser de understøtter. Dermed gjøre riktige valg med tanke på hvor kritiske systemene er og gjøre riktige prioriteringer dersom en hendelse skulle oppstå Bidra til at man kan etablere reetableringsprosedyrer (recovery procedures).

6 Risikovurdering Alle IKT systemer er sårbare for forstyrrelser eller nedetid, enten dette er korte, mindre alvorlige eller lange, mer katastrofelignende hendelser Kontinuitetsplanlegging skal bidra til å redusere risikoen for at systemene uteblir ved å ha et spesielt fokus på kontinuitet av tjenester eller systemer. (SDLC) Risikostyring skal beskytte IT systemer fra 3 klassifiserte trusler: Natur (Storm, tornado, flom, brann etc..) Menneskelig (Brukerfeil, sabotasje, ødeleggende programvare, terror, hærverk etc) Miljø (Utstyrsfeil, programvarefeil, kommunikasjonsfeil, nettverk, strøm etc..) Risikostyringen skal avdekke trusler og sårbarheter slik at man kan etablere risikoreduserende tiltak. Det vil allikevel være en restrisiko. Det er her kontinuitetsplanlegging kommer inn i bildet. Risikostyring er viktig for kontinuitetsplanen!

7 Mange planer Kilde: NIST Special Publication

8 Ulike planers relasjoner Kilde: NIST Special Publication

9 Oppgaver IT Kontinuitetsplan (ISCP) Utarbeide kontinuitetsplan policy dokument Gjennomføre business impact analysis (BIA) Identifisere preventive tiltak som allerede er etablert Utvikle en kontinuitets-strategi Utvikle selve kontinuitetsplanen Planlegge testing av kontinuitetsplan og opplæring av denne Planlegge vedlikehold av planen

10 Kontinuitetsplanleggingen Kilde: NIST Special Publication

11 Utvikle Business Impact Analysis (BIA) Dette er en nøkkel aktivitet i ISCP Formål: Finne kritiske virksomhetsprosesser Linke kritiske virksomhetsprosesser til IKT systemer. På bakgrunn av dette komme frem til prioriteringer i reetableringen

12 BIA ny versjon Kilde: NIST Special Publication

13 BIAs 3 steg Bestemme virksomhetskritiske prosesser og tjenester Finne hvilke kritiske virksomhetsprosesser de ulike systemene betjener og vurdere konsekvensen ved bortfall. Vurdere maksimalt tillatt nedetid Identifisere krav til ressurser for reetablering Bestemme prioritet for reetablering (recovery) av systemer/ressurser Systemer linkes enda tettere til kritiske virksomhetsprosesser, og ved å vurdere kritikalitet og behov for ressurser kan man bestemme en prioritering av reetableringen Gjøres sammen med relevant representant fra ledelsen Systemeier/tjenesteeier

14 Identifisere konsekvens av nedetid og bestemme akseptable rammer for nedetid Nedetid og konsekvens av nedetid MTD: Maksimalt Tillatt Nedetid RTO: Recovery Time Objective RPO: Recovery Point Objective RTO og MTD henger sammen. RTO kan ikke være større enn MTD

15 ISCP Information Systems Contingency Plan Planen skal være: -Formet for å kunne leses raskt -Tydelig -Konsis -Enkel å implementere -Bruk sjekklister -Step by step prosedyrer Kilde: NIST Special Publication

16 Erfaringer Gjør problemstillingen så enkel å forstå som mulig Toppledelse må enes om hvilke tjenester som må være på plass Skjemavelde og for avanserte modeller kan være en felle Hvem skal aktivere planen? Det bli væl likar i mårrå?? Røyk ut egentlig MTD Be tjenesteeiere om en vurdering, presenter deretter regninga ;-) Prosedyrer for reetablering er mye arbeid

17 Prosjekt sammen HiOA Startfasen Komme frem til riktig nivå på skjematikk Høste erfaringer og utvikle beste praksis i UH Erfaringer skal deles

Like dokumenter

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,