PARTNER SEMINARIUM:

AGENDA 9.30 – 10.00 Rejestracja Uczestników 10.00 – 10.20 Powitanie Gości 10.20 – 11.20 Zarządzanie Bezpieczeństwem Informacji zgodnie z wymaganiami ISO 27001 Prowadzący: Radosław Frydrych, Dyrektor Pionu Doradztwa Biznesowego Comp Safe Support SA 11.20 – 11.40  Przerwa 11.40 – 12.20 Zarządzanie Ciągłością Działania zgodnie ze standardem BS 25999 Prowadzący: dr Janusz Zawiła Niedźwiecki, Ekspert Comp Safe Support SA 12.20 – 12.50 Obiad 12.50 – 13.30 Analiza ryzyka a dobór teleinformatycznych środków zapewnienia ciągłości działania Prowadzący: Paweł Nowicki, Dyrektor Działu Technicznego Comp Safe Support SA 13.30 – 14.10 Bezpieczeństwo firmy bit po bicie Prowadzący: Paweł Odor, Kroll Ontrack 14.10 – 14.30 Sesja pytań i odpowiedzi, losowanie upominków 14.30                Zakończenie

Dlaczego Ciągłość Działania?

O Comp safe Support sa

Znacie nas i nie znacie  Comp SA + Computer Service Support SA = COMP SAFE SUPPORT SA

Oferta Comp Safe Support SA STABILNA POZYCJA COMP SAFE SUPPORT SA BEZPIECZEŃSTWO OUTSOURCING IT INFRASTRUKTURA EDUKACJA

Sprzedaż w 2007 roku: >180 mln zł Zysk w 2007 roku: > 24 mln zł Kilka liczb Zatrudnienie: 650 osób Sprzedaż w 2007 roku: >180 mln zł Zysk w 2007 roku: > 24 mln zł Filie i oddziały w każdym województwie

Zarządzanie bezpieczeństwem informacji zgodnie z ISO 27001:2005.

Koncepcja zarządzania bezpieczeństwem informacji

Biznes i bezpieczeństwo Dobrze wprowadzony system zarządzania powinien wspierać procesy operacyjne: elastyczność Pytanie: czy wprowadzenie zasad bezpieczeństwa informacji może wpływać negatywnie na procesy?

Elementy bezpieczeństwa informacji C.I.A Poufność Integralność Dostępność

Bezpieczeństwo informacji = Bezpieczeństwo teleinformatyczne To nie to samo ! Bezpieczeństwo informacji = Bezpieczeństwo teleinformatyczne

Elementy bezpieczeństwa Zarządzanie Bezpieczeństwem Informacji Bezpieczeństwo IT osobowe fizyczne Zarządzanie ciągłością działania Szkolenia

Odpowiedzialny za zarządzanie BI

zarządzanie BI zgodnie z ISO 27001:2005

Ciągłe doskonalenie (PDCA) PLAN Ustanowienie SZBI Zainteresowane strony Zainteresowane strony DO ACT Wdrożenie i funkcjonowanie SZBI Utrzymanie i doskonalenie SZBI Pomiary i przeglądy SZBI Wymagania i oczekiwania dla bezpieczeństwa informacji Zarządzane bezpieczeństwo informacji CHECK

Informowanie kierownictwa BI

ISO 27001:2005 - budowa 0. Wprowadzenie 1. Zakres normy 2. Powołania 3. Terminologia i definicje 4. System zarządzania bezpieczeństwem informacji 5. Odpowiedzialność kierownictwa 6. Wewnętrzne audyty ISMS 7. Przegląd zarządzania ISMS 8. Doskonalenie ISMS Zał. A. Cele zabezpieczeń i zabezpieczenia

Załącznik A do normy ISO 27001 Polityka bezpieczeństwa Organizacja bezpieczeństwa informacji Zarządzanie aktywami Bezpieczeństwo zasobów ludzkich (osobowe) Bezpieczeństwo fizyczne i środowiskowe Zarządzanie systemami i sieciami Kontrola dostępu Pozyskiwanie, rozwój i utrzymanie systemów informacyjnych Zarządzanie incydentami bezpieczeństwa informacji Zarządzanie ciągłością działania Zgodność

Logika postępowania Analiza Polityka Zasady E A B D C

Mapa procesów Klient Klient Proces zarządzania Proces główny Proces Utrzymanie systemu zarządzania Klient Klient Pozyskanie klienta Realizacja zleceń Zamknięcie i ocena efektów Zarządzanie personelem Zarządzanie IT Proces pomocniczy

Integracja z istniejącym systemem D A C 1 2 3a 4 3b we wy B

UsŁugi COMP Safe support w zakresie SZBI

Oferta COMP Safe Support w zakresie SZBI Wdrażanie systemów zarządzania bezpieczeństwem informacji ISO 27001:2005. Tworzenie Polityk Bezpieczeństwa Informacji Tworzenie Polityk Bezpieczeństwa Danych Osobowych Tworzenie Planów Ciągłości Działania (PCD i DRP) Testy bezpieczeństwa – penetracyjne Analizy ryzyka bezpieczeństwa informacji, audyty stanu bieżącego Szkolenia w zakresie zarządzania bezpieczeństwem informacji

dr inż. Janusz Zawiła-Niedźwiecki Ekspert Comp Safe Support Zarządzanie ciągłością działania wg normy BS 25999 dr inż. Janusz Zawiła-Niedźwiecki Ekspert Comp Safe Support

Program prezentacji Zakres stosowania Terminologia i definicje Ogólnie o BCM Polityka zarządzania ciągłością działania Program zarządzania ciągłością działania Zrozumienie organizacji Ustalanie strategii ciągłości biznesu Rozwijanie i wdrażanie rozwiązań BCM Testowanie, utrzymywanie i przeglądy zdolności do BCM Wtapianie BCM w kulturę organizacji

Business Continuity Management to holistyczny proces zarządzania, który ma na celu określenie potencjalnego wpływu zakłóceń na organizację i stworzenie warunków budowania odporności na nie oraz zdolności skutecznej reakcji w zakresie ochrony kluczowych interesów właścicieli, reputacji i marki organizacji, a także wartości osiągniętych w jej dotychczasowej działalności. (definicja The Business Continuity Institute)

BCM Cykl BCM (2) Określić strategię zapewniania ciągłości działania (1) Zrozumieć swój biznes (2) Określić strategię zapewniania ciągłości działania (4) Wprowadzić kulturę dbania o ciągłość działania (3) Opracować rozwiązania organizacyjne: zapobiegawcze i naprawcze (5) Wdrażać rozwiązania i doskonalić je

Terminologia Wskazano i zdefiniowano pojęcia takie jak: działanie, ciągłość działania, zarządzanie ciągłością działania, cykl BCM, plan ciągłości, strategia ciągłości, BIA, działalność krytyczna (newralgiczna) organizacji, dopuszczalny czas awarii, czas odtworzenia, dopuszczalny poziom ryzyka, interesariusze, oszacowanie ryzyka, zarządzanie ryzykiem itp.

Prewencja wobec zagrożeń Zastępcze wykonywanie zadań Ogólnie o BCM Prewencja wobec zagrożeń Naprawa uszkodzeń Zastępcze wykonywanie zadań

Dlaczego dostrzegamy ryzyko ? System idealny Zakłócenie (podatność) Zagrożenie Ryzyko Decyzja Działanie Niepewność Zagrożenie w ujęciu ogólnym Ryzyko w ujęciu popularnym

i prawdopodobieństwa jego wystąpienia Ryzyko to iloczyn: wagi zagrożenia i prawdopodobieństwa jego wystąpienia R = Wz x Pw

Relacje wobec ryzyka

Manipulowanie ryzykiem Zarządzanie ryzykiem Sprzężenie zwrotne Analiza ryzyka Identyfikacja ryzyka Ocena ryzyka Planowanie Manipulowanie ryzykiem Monitorowanie ryzyka Dokumentowanie w ramach zarządzania ryzykiem

Identyfikacja zagrożeń Identyfikacja podatności Potencjalne zakłócenia Analiza ryzyka Identyfikacja zagrożeń Identyfikacja podatności Potencjalne zakłócenia

Manipulowanie ryzykiem koszt Koszty zabezpieczeń Potencjalne straty ryzyko szczątkowe 100% prawdopodobieństwo 0%

Zarządzanie bezpieczeństwem BCM a ryzyko Zarządzanie ryzykiem Zarządzanie bezpieczeństwem Zarządzanie ciągłością działania

Postępowanie ze skutkami Niepewność Ryzyko Zagrożenie Prewencja (ograniczanie podatności) Zakłócenie Postępowanie ze skutkami Odtwarzanie stanu sprzed wystąpienia zakłócenia Zapewnianie funkcjonowania w warunkach występowania zakłócenia lub jego skutków

Polityka i program zarządzania BCM określenie odpowiedzialności wdrożenie podejścia BCM w organizacji bieżące zarządzanie BCM (rozumienie istoty działania organizacji, zapewnianie właściwej reakcji na incydenty, wypełnianie obowiązków prawa, ochrona dobrego imienia firmy) dokumentacja BCM

BCM Cykl BCM (2) Określić strategię zapewniania ciągłości działania (1) Zrozumieć swój biznes (2) Określić strategię zapewniania ciągłości działania (4) Wprowadzić kulturę dbania o ciągłość działania (3) Opracować rozwiązania organizacyjne: zapobiegawcze i naprawcze (5) Wdrażać rozwiązania i doskonalić je

Zrozumieć swój biznes BIA (business impact analysis) procesy i operacje krytyczne wymagania ciągłości oszacowanie ryzyka operacyjnego określenie jak postępować z zagrożeniami

procesy podatności zagrożenia

BCM Cykl BCM (2) Określić strategię zapewniania ciągłości działania (1) Zrozumieć swój biznes (2) Określić strategię zapewniania ciągłości działania (4) Wprowadzić kulturę dbania o ciągłość działania (3) Opracować rozwiązania organizacyjne: zapobiegawcze i naprawcze (5) Wdrażać rozwiązania i doskonalić je

Strategia zapewniania ciągłości cele i metody oczekiwania (dopuszczalny czas przerwy, koszt zapewniania ciągłości, konsekwencje braku dostatecznej reakcji) zapotrzebowanie na zasoby i wsparcie

BCM Cykl BCM (2) Określić strategię zapewniania ciągłości działania (1) Zrozumieć swój biznes (2) Określić strategię zapewniania ciągłości działania (4) Wprowadzić kulturę dbania o ciągłość działania (3) Opracować rozwiązania organizacyjne: zapobiegawcze i naprawcze (5) Wdrażać rozwiązania i doskonalić je

Podejścia projektowania DRII – (Disaster Recovery Institute International) – metoda maksymalnego scenariusza TSM-BCP – (total security management – business continuity planning) – metoda ewolucyjnego nabywania umiejętności

Metoda TSM-BCP Faza wstępna Faza przygotowania Faza analizy Faza projektowania Faza wdrożenia Faza kontroli spirala doskonalenia Metoda TSM-BCP

działanie w warunkach zastępczych powrót do warunków normalnych Rozwiązania reakcja na incydent działanie w warunkach zastępczych powrót do warunków normalnych plany (scenariusze, zadania, dokumenty)

Podejścia reagowania na zagrożenia DW DP MP MW P Z M podejście Tolerowania (T) Przede wszystkim działania o charakterze prawnym, a w następnej kolejności organizacyjnym

Podejścia reagowania na zagrożenia DW DP MP MW P Z podejście Monitorowania (M) T Przede wszystkim działania o charakterze organizacyjnym, a w następnej kolejności regulacyjnym

Podejścia reagowania na zagrożenia DW DP MP MW P podejście Zapobiegania (Z) M T Przede wszystkim działania o charakterze inwestycyjnym, a do czasu realizacji inwestycji działania z zakresu podejścia P

Podejścia reagowania na zagrożenia DW DP MP MW podejście Planu Ciągłości Działania (P) Z M T Działania rozumiane stricte zgodnie z popularnym pojmowaniem celu i zakresu zapewniania ciągłości działania

Dokument scenariusza Zakłócenie Model reakcji Działanie Przygotowanie

BCM Cykl BCM (2) Określić strategię zapewniania ciągłości działania (1) Zrozumieć swój biznes (2) Określić strategię zapewniania ciągłości działania (4) Wprowadzić kulturę dbania o ciągłość działania (3) Opracować rozwiązania organizacyjne: zapobiegawcze i naprawcze (5) Wdrażać rozwiązania i doskonalić je

Wtopić BCM w kulturę organizacji liderzy powszechny udział i odpowiedzialność powszechna świadomość rozwijanie umiejętności reagowania ćwiczenia

BCM Cykl BCM (2) Określić strategię zapewniania ciągłości działania (1) Zrozumieć swój biznes (2) Określić strategię zapewniania ciągłości działania (4) Wprowadzić kulturę dbania o ciągłość działania (3) Opracować rozwiązania organizacyjne: zapobiegawcze i naprawcze (5) Wdrażać rozwiązania i doskonalić je

Wdrażanie testy przeglądy stałe doskonalenie

Dziękuję za uwagę

Prowadzący: Paweł Nowicki Analiza ryzyka a dobór teleinformatycznych metod zapewnienia ciągłości działania Prowadzący: Paweł Nowicki

Ryzyko a ciągłość Działania

Zagrożenia ZASOBY Personel Systemy Środowisko Zagrożenia 61

R= Wz x Pw Baza do analizy: statystyka metoda ekspercka RYZYKO to iloczyn wagi zagrożenia i prawdopodobieństwa jego wystąpienia R= Wz x Pw Baza do analizy: statystyka metoda ekspercka

Proces analizy ryzyka Opracowanie wytycznych Zebranie danych Przeprowadzenie szacowania Zatwierdzenie przez Kierownictwo Cykliczne powtarzanie

Kto odpowiada za BI? 64

Reagowanie na zagrożenia Duży wpływ Plany Ciągłości Działania Zapobieganie Małe prawdopodobieństwo lub częstotliwość Duże prawdopodobieństwo lub częstotliwość Tolerowanie Monitorowanie Mały wpływ 65

Zależności 66

Case Study

Przedstawienie Klienta Klient posiada 17 oddziałów w Polsce z centralą w Warszawie. System komputerowy obsługuje 1000 klientów. System działa w trybie ciągłym 24 godziny na dobę z restrykcyjnym czasem odpowiedzi. System posiada kilka podstawowych aplikacji i dwie główne współpracujące bazy danych 90% użytkowników systemu pracuje w godzinach 08.00-16.00.

Wymagania Klienta 1. System działa w trybie 24h/365dni 2. Czas odpowiedzi na zapytanie użytkownika nie może przekroczyć 4 minut. 3. Awaria systemu nie może spowodować przerwy w pracy produkcyjnej systemu ( monitorowanie i automatyzacja procesów) 4. Awaria systemu nie może spowodować utraty danych produkcyjnych.

Podstawowe zagrożenia Awaria urządzenia (uszkodzenie serwera, uszkodzenie aplikacji ) Awaria związana z lokalizacją (powódź, pożar, zanik zasilania dla budynku lub miasta) Obciążenie bazy danych w okresie produkcyjnym Ograniczona dostępność administratorów i użytkowników systemu

Tabela ryzyka Lp Zagrożenie Wpływ/ Prawdopodob. Obszar postępowania z ryzykiem Rozwiązanie 1 Awaria urządzenia (uszkodzenie serwera, uszkodzenie aplikacji ) B.wysoki/ Średnie zapobieganie Odpowiednia infrastruktura IT 2 Awaria związana z lokalizacją (powódź, pożar, zanik zasilania dla budynku lub miasta) Małe Plany ciągłości działania Dokumentacja PCD/Odpowiednia infrastruktura IT 3 Obciążenie bazy danych w okresie produkcyjnym Średni/ Monitorowanie 4 Ograniczona dostępność administratorów i użytkowników systemu Polityka bezpieczeństwa klienta/ odpowiednia infrastruktura IT

Przedstawienie rozwiązania Zastosowanie równolegle pracujących urządzeń Umieszczenie krytycznych elementów systemu w 2 centrach danych klasy DataCenter oddalonych od siebie o 25 km ( Warszawa centrum, Piaseczno) Zastosowanie mechanizmów automatycznego przełączania usług pomiędzy lokalizacjami ( dotyczy aplikacji , bazy danych i dostępu do systemu) Replikacje danych w sieci korporacyjnej WAN pomiędzy lokalizacjami Rozłożenie obciążenia pomiędzy lokalizacjami

Nadmiarowe serwery ( virtualizacje ) Klastry ( Veritas Cluster Server, HACMP, SUN Cluster.......) Oracle Real Application Cluster , Replikacje danych ( Mirror View, BCV, SRDF, VVR ........) Global Cluster Manager, Przełączniki treści - Alteon