Řízení ostatních faktorů

7. Řízení kontinuity činností

Cílem řízení kontinuity činností je vytvořit postupy, podle kterých bude možné zajistit funkčnost klíčových procesů, obnovu dat a další činnosti organizace na předem stanovené minimální úrovni poskytovaných služeb v případě kybernetických bezpečnostních incidentů.

Níže je uvedeno schema životního cyklu řízení kontinuity činností.

Zdroj: www.nukib.cz

V rámci politiky řízení kontinuity činností (dle v přílohy č. 5 Vyhlášky o kybernetické bezpečnosti) jsou definovány cíle, které určují:

• minimální úroveň poskytovaných služeb, která je přijatelná pro užívání, provoz a správu informačního systému
• dobu obnovy chodu (Recovery Time Objective, dále jen „RTO“) - doba obnovení chodu označuje časový úsek, během kterého je nezbytné po kybernetickém bezpečnostním incidentu obnovit minimální úroveň poskytovaných služeb
• bod obnovy dat (Recovery Point Objective, dále jen „RPO“) - bod obnovení dat se definuje jako časové období, za které musí být data zpětně obnovena.

Schéma kybernetického bezpečnostního incidentu:

Pro řízení kontinuity činností je nutné zajistit:

• stanovení politiky řízení kontinuity činností, které zahrnuje pravidla a postupy pro vrcholové vedení, dodavatele atd.,
• posouzení možných rizik a dopadů kybernetických bezpečnostních incidentů ohrožujících kontinuitu činností, které vycházejí z hodnocení rizik a analýzy dopadů,
• stanovení práv a povinností administrátorů a osob zastávajících bezpečnostní role,
• provádění pravidelného testování, aktualizace a distribuce plánů kontinuity činností a havarijních plánů,
• realizaci opatření pro zvýšení odolnosti informačního systému.