Řízení kontinuity činností

Toto bezpečnostní opatření cílí na schopnost organizace rychle a účinně reagovat na situace související s nepříznivými vlivy, např. přírodními katastrofami nebo kybernetickými bezpečnostními incidenty. V případě nepřipravenosti na takové situace hrozí částečné nebo úplné přerušení poskytování regulované služby na nepřijatelně dlouhou dobu. Řízení kontinuity činností je jak proaktivním, tak i reaktivním opatřením pro tyto mimořádné situace.

Co je potřeba učinit

  • Stanovit prioritu technických aktiv.
  • Na základě této prioritizace jasně určit, v jakém pořadí budou jednotlivá technická aktiva obnovována.
  • Stanovit postupy obnovy technických aktiv.
    • Při stanovení prioritizace technických aktiv musí být zohledněny vrcholným vedením stanovené priority relevantního primárního aktiva dle § 4 písm. f) vyhlášky.
  • Stanovit povinnosti a odpovědnosti konkrétních osob.
    • V souladu s řízením kontinuity činností a s postupy obnovy definovat, kdo je odpovědný za proces obnovy, případně za konkrétní úseky procesu. Právě tyto osoby jsou klíčové při obnově během mimořádné situace.
  • Vytvořené postupy obnovy (zejména plány, ale i postupy a jiné) je třeba pravidelně testovat a aktualizovat.
    • Je žádoucí zahrnout do postupů kontakty na odpovědné osoby potřebné pro obnovu. V rámci těchto kontaktů je dále nutné stanovit i dílčí odpovědnosti a povinnosti relevantních osob při obnově daných aktiv.

Příklady plnění:

  • Vrcholné vedení definuje jasné priority pro obnovu informací a služeb v případě kybernetického bezpečnostního incidentu.
  • Vrcholné vedení stanovuje, že nejdříve budou obnoveny systémy kritické pro zákaznické služby, následně interní systémy, jako jsou například účetní a personální databáze.
  • Plány obnovy jsou pravidelně aktualizovány a testovány prostřednictvím simulací.
  • Vrcholné vedení definuje, kdo je odpovědný za proces obnovy v případě mimořádné události.
  • V plánech postupů obnov jsou zahrnuty kontakty na odpovědné osoby včetně kontaktů na dodavatele potřebné při obnově.
  • Dále je definováno, kdo provádí samotné kroky k obnově technických aktiv.
  • Tyto role, jejich povinnosti a odpovědnosti jsou stanoveny v řízené dokumentaci.

Zálohování

Nedílnou součástí je stanovení pravidel zálohování. Pro předcházení ztrátě dat je třeba, aby poskytovatel regulované služby vytvářel pravidelné zálohy informací, dat, konfigurací a nastavení technických aktiv v návaznosti na stanovené priority obnovy technických aktiv.

  • Není stanoveno, jakého typu mají být zálohy (off-line, on-line, hybridní), to záleží na potřebách povinné osoby. Je nutné mít na paměti, že každý z těchto typů má svá specifika, výhody a omezení.

Příklady plnění:

  • Jsou prováděny zálohy informací, dat, konfigurací a nastavení technických aktiv nezbytných zejména pro účely obnovy regulované služby.
  • Postupně jsou do procesu záloh přidávána další technická aktiva dle priority.