PARTNER SEMINARIUM:

PARTNER SEMINARIUM:

AGENDA 9.30 – 10.00 Rejestracja Uczestników10.00 – 10.20 Powitanie Gości10.20 – 11.20 Zarządzanie Bezpieczeństwem Informacji zgodnie z wymaganiami ISO 27001

Prowadzący: Radosław Frydrych, Dyrektor Pionu Doradztwa Biznesowego Comp Safe Support SA

11.20 – 11.40  Przerwa11.40 – 12.20 Zarządzanie Ciągłością Działania zgodnie ze standardem BS 25999

Prowadzący: dr Janusz Zawiła Niedźwiecki, Ekspert Comp Safe Support SA12.20 – 12.50 Obiad12.50 – 13.30 Analiza ryzyka a dobór teleinformatycznych środków zapewnienia ciągłości działania

Prowadzący: Paweł Nowicki, Dyrektor Działu Technicznego Comp Safe Support SA13.30 – 14.10 Bezpieczeństwo firmy bit po bicie

Prowadzący: Paweł Odor, Kroll Ontrack14.10 – 14.30 Sesja pytań i odpowiedzi, losowanie upominków14.30                Zakończenie

Dlaczego Ciągłość Działania?

O COMP SAFE SUPPORT SA

Znacie nas i nie znacie

Comp SA

+

Computer Service Support SA

=

COMP SAFE SUPPORT SA

Oferta Comp Safe Support SA

STABILNA POZYCJA COMP SAFE SUPPORT SA

BEZPIECZEŃSTWO OUTSOURCING IT INFRASTRUKTURA EDUKACJA

Kilka liczb

• Zatrudnienie: 650 osób

• Sprzedaż w 2007 roku: >180 mln zł

• Zysk w 2007 roku: > 24 mln zł

• Filie i oddziały w każdym województwie

Zarządzanie bezpieczeństwem informacji zgodnie z ISO 27001:2005.

KONCEPCJA ZARZĄDZANIA BEZPIECZEŃSTWEM

INFORMACJI

Biznes i bezpieczeństwo

Dobrze wprowadzony system zarządzania powinien wspierać

procesy operacyjne: elastyczność

Pytanie: czy wprowadzenie zasad bezpieczeństwa informacji może wpływać negatywnie na

procesy?

Elementy bezpieczeństwa informacji

Dostępność

Integralność

Poufność C.I.A

To nie to samo !

Bezpieczeństwo informacji=

Bezpieczeństwo teleinformatyczne

Elementy bezpieczeństwa

Zarządzanie Bezpieczeństwem Informacji

BezpieczeństwoIT

Bezpieczeństwoosobowe

Bezpieczeństwofizyczne

Zarządzanieciągłościądziałania

Szkolenia

14

Odpowiedzialny za zarządzanie BI

Polska 34%

Europa 48%

0 20 40 60

ZARZĄDZANIE BI ZGODNIE Z ISO 27001:2005

16

Ciągłe doskonalenie (PDCA)

UstanowienieSZBI

Utrzymanie i doskonalenie

SZBI

Wdrożenie ifunkcjonowanie

SZBI

Pomiary i przeglądy

SZBI

Zai

nter

esow

ane

stro

ny

Wymagania i oczekiwania

dla bezpieczeństwainformacji

Zai

nter

esow

ane

stro

ny

Zarządzanebezpieczeństwo

informacji

17

Informowanie kierownictwa BI

Polska 18%Europa 32%

0 5 10 15 20 25 30 35

18

ISO 27001:2005 - budowa0. Wprowadzenie1. Zakres normy2. Powołania3. Terminologia i definicje4. System zarządzania bezpieczeństwem

informacji5. Odpowiedzialność kierownictwa6. Wewnętrzne audyty ISMS 7. Przegląd zarządzania ISMS8. Doskonalenie ISMS

Zał. A. Cele zabezpieczeń i zabezpieczenia

19

Załącznik A do normy ISO 27001

5. Polityka bezpieczeństwa6. Organizacja bezpieczeństwa informacji 7. Zarządzanie aktywami 8. Bezpieczeństwo zasobów ludzkich (osobowe)9. Bezpieczeństwo fizyczne i środowiskowe10. Zarządzanie systemami i sieciami 11. Kontrola dostępu 12. Pozyskiwanie, rozwój i utrzymanie systemów

informacyjnych 13. Zarządzanie incydentami bezpieczeństwa informacji 14. Zarządzanie ciągłością działania 15. Zgodność

Logika postępowania

AnalizaAnaliza

PolitykaPolityka

ZasadyZasady

AABB DD

CC

EE

21

Mapa procesów

Pozyskanie klienta

Realizacja zleceń

Zamknięcie i ocena efektów

Zarządzanie personelem

Utrzymanie systemuzarządzania

Proces

zarządzania

Proces

pomocniczy

Proces

główny

KlientKlient KlientKlient

Zarządzanie IT

22

Integracja z istniejącym systemem

1 2 3a 4

3bwe wy

AA

BB

DDCC

EE

USŁUGI COMP SAFE SUPPORT W ZAKRESIE SZBI

Oferta COMP Safe Support w zakresie SZBI

1. Wdrażanie systemów zarządzania bezpieczeństwem informacji ISO 27001:2005.

2. Tworzenie Polityk Bezpieczeństwa Informacji3. Tworzenie Polityk Bezpieczeństwa Danych

Osobowych4. Tworzenie Planów Ciągłości Działania (PCD i DRP)5. Testy bezpieczeństwa – penetracyjne6. Analizy ryzyka bezpieczeństwa informacji, audyty

stanu bieżącego7. Szkolenia w zakresie zarządzania

bezpieczeństwem informacji

24

dr inż. Janusz Zawiła-Niedźwiecki Ekspert Comp Safe Support

Zarządzanie ciągłością działania wg normy BS 25999

Program prezentacji1. Zakres stosowania

2. Terminologia i definicje

3. Ogólnie o BCM

4. Polityka zarządzania ciągłością działania

5. Program zarządzania ciągłością działania

6. Zrozumienie organizacji

7. Ustalanie strategii ciągłości biznesu

8. Rozwijanie i wdrażanie rozwiązań BCM

9. Testowanie, utrzymywanie i przeglądy zdolności do BCM

10.Wtapianie BCM w kulturę organizacji

Business Continuity Management

to holistyczny proces zarządzania, który ma na celu

określenie potencjalnego wpływu zakłóceń na

organizację i stworzenie warunków budowania

odporności na nie oraz zdolności skutecznej reakcji w

zakresie ochrony kluczowych interesów właścicieli,

reputacji i marki organizacji, a także wartości

osiągniętych w jej dotychczasowej działalności.

(definicja The Business Continuity Institute)

Cykl BCM

(5) Wdrażać

rozwiązania i doskonalić

je

BCM

(1) Zrozumieć swój biznes

(2) Określić strategię

zapewniania ciągłości działania

(4) Wprowadzić kulturę dbania

o ciągłość działania

(3) Opracować rozwiązania

organizacyjne: zapobiegawcze i naprawcze

Terminologia

Wskazano i zdefiniowano pojęcia takie jak:

działanie, ciągłość działania,

zarządzanie ciągłością działania, cykl BCM,

plan ciągłości, strategia ciągłości, BIA,

działalność krytyczna (newralgiczna) organizacji,

dopuszczalny czas awarii, czas odtworzenia,

dopuszczalny poziom ryzyka, interesariusze,

oszacowanie ryzyka, zarządzanie ryzykiem itp.

Ogólnie o BCM

Prewencja wobec zagrożeń

Naprawa uszkodzeń

Zastępcze wykonywanie zadań

Dlaczego dostrzegamy ryzyko ?

System idealnyZakłócenie (podatność)

ZagrożenieRyzyko

DecyzjaDziałanie

Niepewność

Zagrożenie w ujęciu ogólnym

Ryzyko w ujęciu

popularnym

Ryzyko

to iloczyn: wagi zagrożenia

i prawdopodobieństwa jego wystąpienia

R = Wz x Pw

Relacje wobec ryzyka

Zarządzanie ryzykiem

Sprzężenie zwrotne

Analiza ryzyka

Identyfikacja ryzyka

Ocena ryzyka

Planowanie

Manipulowanie ryzykiem

Monitorowanie ryzyka

Dokumentowanie w ramach zarządzania

ryzykiem

Analiza ryzyka

Identyfikacja zagrożeń

Identyfikacja

podatności

Potencjalne zakłócenia

Manipulowanie ryzykiem

Potencjalne straty

Koszty zabezpieczeń

ryzyko szczątkowe

prawdopodobieństwo100% 0%

koszt

BCM a ryzyko

Zarządzanie ryzykiem

Zarządzanie bezpieczeństwem

Zarządzanie ciągłością działania

Niepewność

Ryzyko

Zagrożenie

Prewencja (ograniczanie podatności)

Zakłócenie

Postępowanie ze skutkami

Odtwarzanie stanu sprzed wystąpienia

zakłócenia

Zapewnianie funkcjonowania

w warunkach występowania zakłócenia

lub jego skutków

Polityka i program zarządzania BCM

określenie odpowiedzialności

wdrożenie podejścia BCM w organizacji

bieżące zarządzanie BCM(rozumienie istoty działania organizacji,

zapewnianie właściwej reakcji na incydenty,wypełnianie obowiązków prawa,ochrona dobrego imienia firmy)

dokumentacja BCM

Cykl BCM

(5) Wdrażać

rozwiązania i doskonalić

je

BCM

(1) Zrozumieć swój biznes

(2) Określić strategię

zapewniania ciągłości działania

(4) Wprowadzić kulturę dbania

o ciągłość działania

(3) Opracować rozwiązania

organizacyjne: zapobiegawcze i naprawcze

Zrozumieć swój biznes

BIA (business impact analysis)

procesy i operacje krytyczne

wymagania ciągłości

oszacowanie ryzyka operacyjnego

określenie jak postępować z zagrożeniami

procesy

podatności

zagrożenia

Cykl BCM

(5) Wdrażać

rozwiązania i doskonalić

je

BCM

(1) Zrozumieć swój biznes

(2) Określić strategię

zapewniania ciągłości działania

(4) Wprowadzić kulturę dbania

o ciągłość działania

(3) Opracować rozwiązania

organizacyjne: zapobiegawcze i naprawcze

Strategia zapewniania ciągłości

cele i metody

oczekiwania (dopuszczalny czas przerwy, koszt zapewniania

ciągłości, konsekwencje braku dostatecznej reakcji)

zapotrzebowanie na zasoby i wsparcie

Cykl BCM

(5) Wdrażać

rozwiązania i doskonalić

je

BCM

(1) Zrozumieć swój biznes

(2) Określić strategię

zapewniania ciągłości działania

(4) Wprowadzić kulturę dbania

o ciągłość działania

(3) Opracować rozwiązania

organizacyjne: zapobiegawcze i naprawcze

Podejścia projektowania

DRII – (Disaster Recovery Institute International) – metoda maksymalnego scenariusza

TSM-BCP – (total security management

– business continuity planning) – metoda ewolucyjnego nabywania

umiejętności

Metoda TSM-BCP

Faza wstępna

Faza przygotowania

Faza analizy

Faza projektowania

Faza wdrożenia

Faza kontroli

spirala spirala doskonaleniadoskonalenia

Rozwiązania

reakcja na incydent

działanie w warunkach zastępczych

powrót do warunków normalnych

plany (scenariusze, zadania, dokumenty)

Podejścia reagowania na zagrożenia

DW

DPMP

MW

P Z

MpodejścieTolerowania (T)

Przede wszystkim działania o charakterze prawnym, a w następnej kolejności organizacyjnym

Podejścia reagowania na zagrożenia

DW

DPMP

MW

P Z

podejścieMonitorowania (M)

T

Przede wszystkim działania o charakterze organizacyjnym, a w następnej kolejności regulacyjnym

Podejścia reagowania na zagrożenia

DW

DPMP

MW

P

podejście Zapobiegania (Z)

MT

Przede wszystkim działania o charakterze inwestycyjnym, a do czasu realizacji inwestycji działania z zakresu podejścia P

Podejścia reagowania na zagrożenia

DW

DPMP

MW

podejście Planu Ciągłości Działania

(P)Z

MT

Działania rozumiane stricte zgodnie z popularnympojmowaniem celu i zakresu zapewniania ciągłości działania

Dokument scenariusza

• Zakłócenie

• Model reakcji

• Działanie

• Przygotowanie

Cykl BCM

(5) Wdrażać

rozwiązania i doskonalić

je

BCM

(1) Zrozumieć swój biznes

(2) Określić strategię

zapewniania ciągłości działania

(4) Wprowadzić kulturę dbania

o ciągłość działania

(3) Opracować rozwiązania

organizacyjne: zapobiegawcze i naprawcze

Wtopić BCM w kulturę organizacji

liderzy

powszechny udział i odpowiedzialność

powszechna świadomość

rozwijanie umiejętności reagowania

ćwiczenia

Cykl BCM

(5) Wdrażać

rozwiązania i doskonalić

je

BCM

(1) Zrozumieć swój biznes

(2) Określić strategię

zapewniania ciągłości działania

(4) Wprowadzić kulturę dbania

o ciągłość działania

(3) Opracować rozwiązania

organizacyjne: zapobiegawcze i naprawcze

Wdrażanie

testy

przeglądy

stałe doskonalenie

Dziękuję za uwagę

Analiza ryzyka a dobór teleinformatycznych metod zapewnienia

ciągłości działania

Prowadzący:Paweł Nowicki

RYZYKO A CIĄGŁOŚĆ DZIAŁANIA

61

ZASOBY

•Personel

•Systemy

•Środowisko

Zagrożenia

Zagrożenia

RYZYKOto iloczyn wagi zagrożenia i prawdopodobieństwa

jego wystąpienia

R= Wz x Pw

Baza do analizy:•statystyka•metoda ekspercka

Proces analizy ryzyka

Opracowanie wytycznych

Zebranie danych

Przeprowadzenie szacowania

Zatwierdzenie przezKierownictwo

Cykliczne powtarzanie

64

Kto odpowiada za BI?

81%

19%kierownictwo /wszyscy pracownicy

wyłącznie dział IT

65

Reagowanie na zagrożenia

Duży wpływ

Mały wpływ

Duże prawdopodobieństwolub częstotliwość

Małe prawdopodobieństwolub częstotliwość

Plany Ciągłości Działania

Zapobieganie

MonitorowanieTolerowanie

66

Zależności

CASE STUDY

Przedstawienie Klienta

- Klient posiada 17 oddziałów w Polsce z centralą w Warszawie.

- System komputerowy obsługuje 1000 klientów.- System działa w trybie ciągłym 24 godziny na

dobę z restrykcyjnym czasem odpowiedzi.- System posiada kilka podstawowych aplikacji i

dwie główne współpracujące bazy danych- 90% użytkowników systemu pracuje w

godzinach 08.00-16.00.

Wymagania Klienta

1. System działa w trybie 24h/365dni 2. Czas odpowiedzi na zapytanie

użytkownika nie może przekroczyć 4 minut.

3. Awaria systemu nie może spowodować przerwy w pracy produkcyjnej systemu ( monitorowanie i automatyzacja procesów)

4. Awaria systemu nie może spowodować utraty danych produkcyjnych.

Podstawowe zagrożenia

• Awaria urządzenia (uszkodzenie serwera, uszkodzenie aplikacji )

• Awaria związana z lokalizacją (powódź, pożar, zanik zasilania dla budynku lub miasta)

• Obciążenie bazy danych w okresie produkcyjnym

• Ograniczona dostępność administratorów i użytkowników systemu

Tabela ryzyka

Lp Zagrożenie Wpływ/Prawdopodob.

Obszar postępowania z ryzykiem

Rozwiązanie

1 Awaria urządzenia (uszkodzenie serwera, uszkodzenie aplikacji )

B.wysoki/Średnie

zapobieganie Odpowiednia infrastruktura IT

2 Awaria związana z lokalizacją (powódź, pożar, zanik zasilania dla budynku lub miasta)

B.wysoki/Małe

Plany ciągłości działania

Dokumentacja PCD/Odpowiednia infrastruktura IT

3 Obciążenie bazy danych w okresie produkcyjnym

Średni/Średnie

Monitorowanie

Odpowiednia infrastruktura IT

4 Ograniczona dostępność administratorów i użytkowników systemu

Średni/Średnie

Monitorowanie

Polityka bezpieczeństwa klienta/odpowiednia infrastruktura IT

Przedstawienie rozwiązania

1. Zastosowanie równolegle pracujących urządzeń2. Umieszczenie krytycznych elementów systemu w

2 centrach danych klasy DataCenter oddalonych od siebie o 25 km ( Warszawa centrum, Piaseczno)

3. Zastosowanie mechanizmów automatycznego przełączania usług pomiędzy lokalizacjami ( dotyczy aplikacji , bazy danych i dostępu do systemu)

4. Replikacje danych w sieci korporacyjnej WAN pomiędzy lokalizacjami

5. Rozłożenie obciążenia pomiędzy lokalizacjami

Nadmiarowe serwery ( virtualizacje )Klastry ( Veritas Cluster Server, HACMP, SUN

Cluster.......) Oracle Real Application Cluster , Replikacje danych ( Mirror View, BCV, SRDF,

VVR ........) Global Cluster Manager,Przełączniki treści - Alteon