PARTNER SEMINARIUM:
description
Transcript of PARTNER SEMINARIUM:
PARTNER SEMINARIUM:
AGENDA 9.30 – 10.00 Rejestracja Uczestników10.00 – 10.20 Powitanie Gości10.20 – 11.20 Zarządzanie Bezpieczeństwem Informacji zgodnie z wymaganiami ISO 27001
Prowadzący: Radosław Frydrych, Dyrektor Pionu Doradztwa Biznesowego Comp Safe Support SA
11.20 – 11.40 Przerwa11.40 – 12.20 Zarządzanie Ciągłością Działania zgodnie ze standardem BS 25999
Prowadzący: dr Janusz Zawiła Niedźwiecki, Ekspert Comp Safe Support SA12.20 – 12.50 Obiad12.50 – 13.30 Analiza ryzyka a dobór teleinformatycznych środków zapewnienia ciągłości działania
Prowadzący: Paweł Nowicki, Dyrektor Działu Technicznego Comp Safe Support SA13.30 – 14.10 Bezpieczeństwo firmy bit po bicie
Prowadzący: Paweł Odor, Kroll Ontrack14.10 – 14.30 Sesja pytań i odpowiedzi, losowanie upominków14.30 Zakończenie
Dlaczego Ciągłość Działania?
O COMP SAFE SUPPORT SA
Znacie nas i nie znacie
Comp SA
+
Computer Service Support SA
=
COMP SAFE SUPPORT SA
Oferta Comp Safe Support SA
STABILNA POZYCJA COMP SAFE SUPPORT SA
BEZPIECZEŃSTWO OUTSOURCING IT INFRASTRUKTURA EDUKACJA
Kilka liczb
• Zatrudnienie: 650 osób
• Sprzedaż w 2007 roku: >180 mln zł
• Zysk w 2007 roku: > 24 mln zł
• Filie i oddziały w każdym województwie
Zarządzanie bezpieczeństwem informacji zgodnie z ISO 27001:2005.
KONCEPCJA ZARZĄDZANIA BEZPIECZEŃSTWEM
INFORMACJI
Biznes i bezpieczeństwo
Dobrze wprowadzony system zarządzania powinien wspierać
procesy operacyjne: elastyczność
Pytanie: czy wprowadzenie zasad bezpieczeństwa informacji może wpływać negatywnie na
procesy?
Elementy bezpieczeństwa informacji
Dostępność
Integralność
Poufność C.I.A
To nie to samo !
Bezpieczeństwo informacji=
Bezpieczeństwo teleinformatyczne
Elementy bezpieczeństwa
Zarządzanie Bezpieczeństwem Informacji
BezpieczeństwoIT
Bezpieczeństwoosobowe
Bezpieczeństwofizyczne
Zarządzanieciągłościądziałania
Szkolenia
14
Odpowiedzialny za zarządzanie BI
Polska 34%
Europa 48%
0 20 40 60
ZARZĄDZANIE BI ZGODNIE Z ISO 27001:2005
16
Ciągłe doskonalenie (PDCA)
UstanowienieSZBI
Utrzymanie i doskonalenie
SZBI
Wdrożenie ifunkcjonowanie
SZBI
Pomiary i przeglądy
SZBI
Zai
nter
esow
ane
stro
ny
Wymagania i oczekiwania
dla bezpieczeństwainformacji
Zai
nter
esow
ane
stro
ny
Zarządzanebezpieczeństwo
informacji
17
Informowanie kierownictwa BI
Polska 18%Europa 32%
0 5 10 15 20 25 30 35
18
ISO 27001:2005 - budowa0. Wprowadzenie1. Zakres normy2. Powołania3. Terminologia i definicje4. System zarządzania bezpieczeństwem
informacji5. Odpowiedzialność kierownictwa6. Wewnętrzne audyty ISMS 7. Przegląd zarządzania ISMS8. Doskonalenie ISMS
Zał. A. Cele zabezpieczeń i zabezpieczenia
19
Załącznik A do normy ISO 27001
5. Polityka bezpieczeństwa6. Organizacja bezpieczeństwa informacji 7. Zarządzanie aktywami 8. Bezpieczeństwo zasobów ludzkich (osobowe)9. Bezpieczeństwo fizyczne i środowiskowe10. Zarządzanie systemami i sieciami 11. Kontrola dostępu 12. Pozyskiwanie, rozwój i utrzymanie systemów
informacyjnych 13. Zarządzanie incydentami bezpieczeństwa informacji 14. Zarządzanie ciągłością działania 15. Zgodność
Logika postępowania
AnalizaAnaliza
PolitykaPolityka
ZasadyZasady
AABB DD
CC
EE
21
Mapa procesów
Pozyskanie klienta
Realizacja zleceń
Zamknięcie i ocena efektów
Zarządzanie personelem
Utrzymanie systemuzarządzania
Proces
zarządzania
Proces
pomocniczy
Proces
główny
KlientKlient KlientKlient
Zarządzanie IT
22
Integracja z istniejącym systemem
1 2 3a 4
3bwe wy
AA
BB
DDCC
EE
USŁUGI COMP SAFE SUPPORT W ZAKRESIE SZBI
Oferta COMP Safe Support w zakresie SZBI
1. Wdrażanie systemów zarządzania bezpieczeństwem informacji ISO 27001:2005.
2. Tworzenie Polityk Bezpieczeństwa Informacji3. Tworzenie Polityk Bezpieczeństwa Danych
Osobowych4. Tworzenie Planów Ciągłości Działania (PCD i DRP)5. Testy bezpieczeństwa – penetracyjne6. Analizy ryzyka bezpieczeństwa informacji, audyty
stanu bieżącego7. Szkolenia w zakresie zarządzania
bezpieczeństwem informacji
24
dr inż. Janusz Zawiła-Niedźwiecki Ekspert Comp Safe Support
Zarządzanie ciągłością działania wg normy BS 25999
Program prezentacji1. Zakres stosowania
2. Terminologia i definicje
3. Ogólnie o BCM
4. Polityka zarządzania ciągłością działania
5. Program zarządzania ciągłością działania
6. Zrozumienie organizacji
7. Ustalanie strategii ciągłości biznesu
8. Rozwijanie i wdrażanie rozwiązań BCM
9. Testowanie, utrzymywanie i przeglądy zdolności do BCM
10.Wtapianie BCM w kulturę organizacji
Business Continuity Management
to holistyczny proces zarządzania, który ma na celu
określenie potencjalnego wpływu zakłóceń na
organizację i stworzenie warunków budowania
odporności na nie oraz zdolności skutecznej reakcji w
zakresie ochrony kluczowych interesów właścicieli,
reputacji i marki organizacji, a także wartości
osiągniętych w jej dotychczasowej działalności.
(definicja The Business Continuity Institute)
Cykl BCM
(5) Wdrażać
rozwiązania i doskonalić
je
BCM
(1) Zrozumieć swój biznes
(2) Określić strategię
zapewniania ciągłości działania
(4) Wprowadzić kulturę dbania
o ciągłość działania
(3) Opracować rozwiązania
organizacyjne: zapobiegawcze i naprawcze
Terminologia
Wskazano i zdefiniowano pojęcia takie jak:
działanie, ciągłość działania,
zarządzanie ciągłością działania, cykl BCM,
plan ciągłości, strategia ciągłości, BIA,
działalność krytyczna (newralgiczna) organizacji,
dopuszczalny czas awarii, czas odtworzenia,
dopuszczalny poziom ryzyka, interesariusze,
oszacowanie ryzyka, zarządzanie ryzykiem itp.
Ogólnie o BCM
Prewencja wobec zagrożeń
Naprawa uszkodzeń
Zastępcze wykonywanie zadań
Dlaczego dostrzegamy ryzyko ?
System idealnyZakłócenie (podatność)
ZagrożenieRyzyko
DecyzjaDziałanie
Niepewność
Zagrożenie w ujęciu ogólnym
Ryzyko w ujęciu
popularnym
Ryzyko
to iloczyn: wagi zagrożenia
i prawdopodobieństwa jego wystąpienia
R = Wz x Pw
Relacje wobec ryzyka
Zarządzanie ryzykiem
Sprzężenie zwrotne
Analiza ryzyka
Identyfikacja ryzyka
Ocena ryzyka
Planowanie
Manipulowanie ryzykiem
Monitorowanie ryzyka
Dokumentowanie w ramach zarządzania
ryzykiem
Analiza ryzyka
Identyfikacja zagrożeń
Identyfikacja
podatności
Potencjalne zakłócenia
Manipulowanie ryzykiem
Potencjalne straty
Koszty zabezpieczeń
ryzyko szczątkowe
prawdopodobieństwo100% 0%
koszt
BCM a ryzyko
Zarządzanie ryzykiem
Zarządzanie bezpieczeństwem
Zarządzanie ciągłością działania
Niepewność
Ryzyko
Zagrożenie
Prewencja (ograniczanie podatności)
Zakłócenie
Postępowanie ze skutkami
Odtwarzanie stanu sprzed wystąpienia
zakłócenia
Zapewnianie funkcjonowania
w warunkach występowania zakłócenia
lub jego skutków
Polityka i program zarządzania BCM
określenie odpowiedzialności
wdrożenie podejścia BCM w organizacji
bieżące zarządzanie BCM(rozumienie istoty działania organizacji,
zapewnianie właściwej reakcji na incydenty,wypełnianie obowiązków prawa,ochrona dobrego imienia firmy)
dokumentacja BCM
Cykl BCM
(5) Wdrażać
rozwiązania i doskonalić
je
BCM
(1) Zrozumieć swój biznes
(2) Określić strategię
zapewniania ciągłości działania
(4) Wprowadzić kulturę dbania
o ciągłość działania
(3) Opracować rozwiązania
organizacyjne: zapobiegawcze i naprawcze
Zrozumieć swój biznes
BIA (business impact analysis)
procesy i operacje krytyczne
wymagania ciągłości
oszacowanie ryzyka operacyjnego
określenie jak postępować z zagrożeniami
procesy
podatności
zagrożenia
Cykl BCM
(5) Wdrażać
rozwiązania i doskonalić
je
BCM
(1) Zrozumieć swój biznes
(2) Określić strategię
zapewniania ciągłości działania
(4) Wprowadzić kulturę dbania
o ciągłość działania
(3) Opracować rozwiązania
organizacyjne: zapobiegawcze i naprawcze
Strategia zapewniania ciągłości
cele i metody
oczekiwania (dopuszczalny czas przerwy, koszt zapewniania
ciągłości, konsekwencje braku dostatecznej reakcji)
zapotrzebowanie na zasoby i wsparcie
Cykl BCM
(5) Wdrażać
rozwiązania i doskonalić
je
BCM
(1) Zrozumieć swój biznes
(2) Określić strategię
zapewniania ciągłości działania
(4) Wprowadzić kulturę dbania
o ciągłość działania
(3) Opracować rozwiązania
organizacyjne: zapobiegawcze i naprawcze
Podejścia projektowania
DRII – (Disaster Recovery Institute International) – metoda maksymalnego scenariusza
TSM-BCP – (total security management
– business continuity planning) – metoda ewolucyjnego nabywania
umiejętności
Metoda TSM-BCP
Faza wstępna
Faza przygotowania
Faza analizy
Faza projektowania
Faza wdrożenia
Faza kontroli
spirala spirala doskonaleniadoskonalenia
Rozwiązania
reakcja na incydent
działanie w warunkach zastępczych
powrót do warunków normalnych
plany (scenariusze, zadania, dokumenty)
Podejścia reagowania na zagrożenia
DW
DPMP
MW
P Z
MpodejścieTolerowania (T)
Przede wszystkim działania o charakterze prawnym, a w następnej kolejności organizacyjnym
Podejścia reagowania na zagrożenia
DW
DPMP
MW
P Z
podejścieMonitorowania (M)
T
Przede wszystkim działania o charakterze organizacyjnym, a w następnej kolejności regulacyjnym
Podejścia reagowania na zagrożenia
DW
DPMP
MW
P
podejście Zapobiegania (Z)
MT
Przede wszystkim działania o charakterze inwestycyjnym, a do czasu realizacji inwestycji działania z zakresu podejścia P
Podejścia reagowania na zagrożenia
DW
DPMP
MW
podejście Planu Ciągłości Działania
(P)Z
MT
Działania rozumiane stricte zgodnie z popularnympojmowaniem celu i zakresu zapewniania ciągłości działania
Dokument scenariusza
• Zakłócenie
• Model reakcji
• Działanie
• Przygotowanie
Cykl BCM
(5) Wdrażać
rozwiązania i doskonalić
je
BCM
(1) Zrozumieć swój biznes
(2) Określić strategię
zapewniania ciągłości działania
(4) Wprowadzić kulturę dbania
o ciągłość działania
(3) Opracować rozwiązania
organizacyjne: zapobiegawcze i naprawcze
Wtopić BCM w kulturę organizacji
liderzy
powszechny udział i odpowiedzialność
powszechna świadomość
rozwijanie umiejętności reagowania
ćwiczenia
Cykl BCM
(5) Wdrażać
rozwiązania i doskonalić
je
BCM
(1) Zrozumieć swój biznes
(2) Określić strategię
zapewniania ciągłości działania
(4) Wprowadzić kulturę dbania
o ciągłość działania
(3) Opracować rozwiązania
organizacyjne: zapobiegawcze i naprawcze
Wdrażanie
testy
przeglądy
stałe doskonalenie
Dziękuję za uwagę
Analiza ryzyka a dobór teleinformatycznych metod zapewnienia
ciągłości działania
Prowadzący:Paweł Nowicki
RYZYKO A CIĄGŁOŚĆ DZIAŁANIA
61
ZASOBY
•Personel
•Systemy
•Środowisko
Zagrożenia
Zagrożenia
RYZYKOto iloczyn wagi zagrożenia i prawdopodobieństwa
jego wystąpienia
R= Wz x Pw
Baza do analizy:•statystyka•metoda ekspercka
Proces analizy ryzyka
Opracowanie wytycznych
Zebranie danych
Przeprowadzenie szacowania
Zatwierdzenie przezKierownictwo
Cykliczne powtarzanie
64
Kto odpowiada za BI?
81%
19%kierownictwo /wszyscy pracownicy
wyłącznie dział IT
65
Reagowanie na zagrożenia
Duży wpływ
Mały wpływ
Duże prawdopodobieństwolub częstotliwość
Małe prawdopodobieństwolub częstotliwość
Plany Ciągłości Działania
Zapobieganie
MonitorowanieTolerowanie
66
Zależności
CASE STUDY
Przedstawienie Klienta
- Klient posiada 17 oddziałów w Polsce z centralą w Warszawie.
- System komputerowy obsługuje 1000 klientów.- System działa w trybie ciągłym 24 godziny na
dobę z restrykcyjnym czasem odpowiedzi.- System posiada kilka podstawowych aplikacji i
dwie główne współpracujące bazy danych- 90% użytkowników systemu pracuje w
godzinach 08.00-16.00.
Wymagania Klienta
1. System działa w trybie 24h/365dni 2. Czas odpowiedzi na zapytanie
użytkownika nie może przekroczyć 4 minut.
3. Awaria systemu nie może spowodować przerwy w pracy produkcyjnej systemu ( monitorowanie i automatyzacja procesów)
4. Awaria systemu nie może spowodować utraty danych produkcyjnych.
Podstawowe zagrożenia
• Awaria urządzenia (uszkodzenie serwera, uszkodzenie aplikacji )
• Awaria związana z lokalizacją (powódź, pożar, zanik zasilania dla budynku lub miasta)
• Obciążenie bazy danych w okresie produkcyjnym
• Ograniczona dostępność administratorów i użytkowników systemu
Tabela ryzyka
Lp Zagrożenie Wpływ/Prawdopodob.
Obszar postępowania z ryzykiem
Rozwiązanie
1 Awaria urządzenia (uszkodzenie serwera, uszkodzenie aplikacji )
B.wysoki/Średnie
zapobieganie Odpowiednia infrastruktura IT
2 Awaria związana z lokalizacją (powódź, pożar, zanik zasilania dla budynku lub miasta)
B.wysoki/Małe
Plany ciągłości działania
Dokumentacja PCD/Odpowiednia infrastruktura IT
3 Obciążenie bazy danych w okresie produkcyjnym
Średni/Średnie
Monitorowanie
Odpowiednia infrastruktura IT
4 Ograniczona dostępność administratorów i użytkowników systemu
Średni/Średnie
Monitorowanie
Polityka bezpieczeństwa klienta/odpowiednia infrastruktura IT
Przedstawienie rozwiązania
1. Zastosowanie równolegle pracujących urządzeń2. Umieszczenie krytycznych elementów systemu w
2 centrach danych klasy DataCenter oddalonych od siebie o 25 km ( Warszawa centrum, Piaseczno)
3. Zastosowanie mechanizmów automatycznego przełączania usług pomiędzy lokalizacjami ( dotyczy aplikacji , bazy danych i dostępu do systemu)
4. Replikacje danych w sieci korporacyjnej WAN pomiędzy lokalizacjami
5. Rozłożenie obciążenia pomiędzy lokalizacjami
Nadmiarowe serwery ( virtualizacje )Klastry ( Veritas Cluster Server, HACMP, SUN
Cluster.......) Oracle Real Application Cluster , Replikacje danych ( Mirror View, BCV, SRDF,
VVR ........) Global Cluster Manager,Przełączniki treści - Alteon