Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



20.07.2020

Baramundi

Pomoc w czasie pandemii.
20.07.2020

Stop infekcjom

CloudGuard
17.07.2020

Analiza zagrożeń

Kaspersky Threat Attribution Engine
17.07.2020

Strażnik danych

QGD-1602P
16.07.2020

Dysk przemysłowy

Transcend MTE352T
16.07.2020

Połączenie sił

Fugaku
16.07.2020

Brama bezpieczeństwa

Check Point 1570R
23.06.2020

PLNOG Online

PLNOG Online
23.06.2020

Nowe zagrożenie

Ramsay

Planowanie Disaster Recovery

Data publikacji: 26-03-2020 Autor: Artur Cieślik

ROLA ANALIZY W CIĄGŁOŚCI DZIAŁANIA
Przestoje, awarie czy nawet katastrofy mogą się zdarzyć w dowolnym momencie i mieć poważne konsekwencje dla organizacji. Borykamy się z kataklizmami, wśród których szczególnie dotkliwe są powodzie, ale nie tylko – jednym z największych wyzwań związanych z katastrofami jest to, że mogą pochodzić z dowolnej liczby źródeł.

 

W ostatnim czasie ochrona danych staje się bardziej złożona i wymaga spełnienia wielu norm prawnych. Rodo (ramka Dyrektywy, ustawy i rozporządzenia) określa od 2016 roku zasady i wymagania dla podmiotów przetwarzających dane osobowe. Informacje pozwalające na identyfikację fizycznej osoby obecnie są przetwarzane głównie w postaci elektronicznej. Coraz większa ich część znajduje się w postaci dokumentów elektronicznych w bazach danych i plikach pakietów biurowych, a firmy oraz instytucje sektora publicznego digitalizują zasoby informacyjne. Ochrona danych osobowych jest procesem złożonym, wymagającym w zakresie utrzymania ciągłości działania uwzględnienia wielu przepisów prawa, określenia technicznych środków ochrony oraz implementacji odpowiednich konfiguracji urządzeń i oprogramowania zabezpieczającego dane przed ich utratą.


Ale nie tylko wymagania przepisów o ochronie danych osobowych są istotnym elementem wymagań. Przy planowaniu ciągłości działania należy wziąć pod uwagę wymagania procesów biznesowych, z których powinny wynikać parametry ciągłości działania dla systemów i usług informatycznych. Dodatkowo w zakresie wymagań biznesowych dochodzą również umowy z innymi podmiotami, które mogą zawierać zobowiązania do utrzymania ciągłości działania naszych procesów czy usług IT.


Do systemu zarządzania ciągłością działania niektórzy z nas muszą dodać wymagania cyberustawy, a jednostki realizujące zadania publiczne uwzględniają również wymagania rozporządzenia KRI. Systemy i usługi chroniące dane osobowe powinny być zlokalizowane w odpowiednich miejscach, minimalizując ryzyko wystąpienia zagrożenia. Miejsca przetwarzania i składowania informacji powinny być określone, a ryzyka i potencjalne zagrożenia zidentyfikowane w celu optymalnego dopasowania środków ochrony. Aby uzyskać sprawnie działający system informatyczny w zakresie ochrony danych osobowych, należy w pierwszej kolejności zastanowić się nad organizacją zarządzania bezpieczeństwem.


> WYMAGANIA


Z rodo wynika konieczność zapewnienia ciągłości działania usług i systemów informatycznych służących do przetwarzania danych osobowych. W rodo wyrażone zostało jako „zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego” oraz „zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania”.


Z cyberustawy również wynikają wymagania dotyczące utrzymania ciągłości działania. Cyberustawa w art. 8 wskazuje jako wymóg dla operatorów usług kluczowych wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy, w tym w punkcie C bezpieczeństwo i ciągłość dostaw usług, od których zależy świadczenie usługi kluczowej, oraz w D wdrażanie, dokumentowanie i utrzymywanie planów działania umożliwiających ciągłe i niezakłócone świadczenie usługi kluczowej oraz zapewniających poufność, integralność, dostępność i autentyczność informacji. Ponadto operator usługi kluczowej, którym może być zarówno podmiot komercyjny, jak i jednostka finansów publicznych, powinien zapewnić ciągłość działania usługom monitorowania bezpieczeństwa systemów i usług informatycznych wchodzących w skład usługi kluczowej.


Jednostki realizujące zadania publiczne podlegające pod rozporządzenie KRI zgodnie z § 20 ust. 1 są zobowiązane wdrożyć system zarządzania bezpieczeństwem informacji. Zgodnie z ust. 3 wymagania określone w ust. 1 i 2 uznaje się za spełnione, jeżeli system zarządzania bezpieczeństwem informacji został opracowany na podstawie Polskiej Normy PN-ISO/IEC 27001, a ustanawianie zabezpieczeń, zarządzanie ryzykiem oraz audytowanie odbywa się na podstawie Polskich Norm związanych z tą normą, w tym:

 

 

  1.  PN-ISO/IEC 27002 – w odniesieniu do ustanawiania zabezpieczeń;
  2. PN-ISO/IEC 27005 – w odniesieniu do zarządzania ryzykiem;
  3. PN-ISO/IEC 24762 – w odniesieniu do odtwarzania techniki informatycznej po katastrofie w ramach zarządzania ciągłością działania.

 

[...]

 

Autor jest redaktorem naczelnym miesięcznika „IT Professional” oraz audytorem wiodącym normy ISO/IEC 22301 oraz ISO/IEC 27001. Specjalizuje się w realizacji audytów bezpieczeństwa informacji, danych osobowych i zabezpieczeń sieci informatycznych. Jest konsultantem w obszarze projektowania i wdrażania Systemów Zarządzania Bezpieczeństwem Informacji. Trener i wykładowca z wieloletnim doświadczeniem.
 

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"