K čemu slouží BCP, DRP a plán zvládání rizik v kyberbezpečnosti?

BCP, DRP, plán zvládání rizik
Plán zvládání rizik

Tento dokument je součástí řízení rizik a je zpravidla výstupem z analýzy rizik. Neobsahuje však pouze rizika, která vyplynou přímo z analýzy rizik, ale například i varování Národního úřadu pro informační a kybernetickou bezpečnost (NÚKIB) před určitým softwarem apod. V souladu s plánem zvládání rizik pak společnost zavádí konkrétní bezpečnostní opatření.

Ze všeho nejdříve se zaměříme na to, jak určit svá aktiva. K tomu je dobré si zodpovědět pár základních otázek, díky kterým zjistíte, co má pro vaši společnost nejvyšší hodnotu a co je tedy potřeba chránit. Ptejte se například: Co je pro chod vaší společnosti nejdůležitější? nebo Co potřebujete proto, abyste mohli poskytovat své služby nebo prodávat produkty?

Nová kybernetická legislativa implementující směrnici NIS2 přichází s povinností mít ve společnosti určité dokumenty. Kromě bezpečnostních politik jde také o tzv. plány, které by měly mít konkrétní a praktický obsah a slouží k realizaci těchto politik. Mezi tyto plány patří například plán zvládání rizik, plán kontinuity činností, plán obnovy nebo i plán rozvoje bezpečnostního povědomí a plán auditu. Zaměříme se nyní na první tři z nich. Tyto dokumenty vyžaduje vyhláška ve vyšším režimu, ale jsou natolik praktické, že je využijí i společnosti v nižším režimu. K čemu slouží a co by měly obsahovat?

O tom, která aktiva si jako společnost určíte (rozdělují se na primární a podpůrná) byste měli vést bezpečnostní dokumentaci. Po identifikaci aktiv je dalším krokem jejich odhodnocení z hlediska dostupnosti, důvěrnosti a integrity.

Jakmile máte evidována a ohodnocená aktiva, čeká vás určení zranitelností a hrozeb. Tedy potenciálních rizik, která vaše aktiva mohou ohrozit. Zranitelnosti a hrozby se také hodnotí z hlediska jejich pravděpodobnosti. Výsledkem risk analýzy tak je tak seznam vypočtených rizik o určité hodnotě (ta vychází z hodnot aktiv, zranitelností a hrozeb).

Znáte dobře tyto pojmy?

Aktivum

Cokoliv, co má pro společnost hodnotu a mělo by být chráněno. To může zahrnovat vše od fyzických zařízení, jako jsou počítače a servery, po digitální informace, jako jsou zákaznické databáze nebo firemní e-maily a procesy.

Zranitelnost

Slabina v systému, kterou by mohl útočník využít k získání přístupu. To může být něco jednoduchého, jako je slabé heslo, nebo něco složitějšího, jako je chyba v softwaru.

Hrozba

Jakákoliv událost, která může způsobit narušení aktiva.

Riziko

Pravděpodobnost, že hrozba zneužije zranitelnost a způsobí narušení aktiv. Nebo-li, pravděpodobnost, že nastane incident.

Incident

Situace, kdy došlo k narušení bezpečnostních opatření a data nebo systémy byly kompromitovány. Může to být vše od úniku dat, po infekci malwarem.

Evidence aktiv a rizik obsahuje hrozby a zranitelnosti k aktivům obecně. Ne všechna výsledná rizika však vyžadují bezpečnostní opatření, některá z nich lze totiž akceptovat. Evidence rizik včetně navržených bezpečnostních opatřeních je uvedena právě v dokumentu plán zvládání rizik.

Podle vyhlášky ve vyšším režimu by měl plán zvládání rizik zohledňovat zejména významné změny, kybernetické bezpečností incidenty, výsledky auditů kybernetické bezpečnosti ale i výsledky penetračního testování a skenování zranitelností. Stejně jako forma risk analýzy, tak i plán zvládání rizik může být vytvořen ve speciálním nástroji, ale funkční bude i v obyčejné excel tabulce.

Plány zvládání rizik zpravidla obsahují několik základních oblastí:

  • Zdroj zjištění – například analýza rizik, nebo varování NÚKIB. 
  • Uvedení aktiva, u kterého vyšlo zvýšené riziko – včetně hodnoty rizika, konkrétní zranitelnosti a hrozby, která k němu vedla. 
  • Konkrétní opatření ke snížení rizika – to by mělo obsahovat prioritu řešení, odpovědnou osobu (vlastník rizika by měl být pro každé riziko), termín splnění bezpečnostních opatření apod. 
  • Kontrola provedení – kdy byl plán zvládání rizik a konkrétní riziko revidováno, a zda došlo k jeho snížení, odstranění nebo bylo přeneseno apod. 
Plán kontinuity činností a plán obnovy

Víte, co budete dělat, když nastane nouzová situace? A ví to všichni, kdo se na jejím řešení mají podílet? V rámci řízení kontinuity činností se vypracovávají plány kontinuity činností (tzv. business continuity plan = BCP) a plány obnovy (tzv. disaster recovery plan = DRP). Jak se liší a s čím vám pomůžou při řešení nouzové situace?

Vypracování analýzy dopadů (tzv. businesss impact anlysis = BIA) je pro řízení kontinuity velmi užitečné. Oproti risk analýze se analýza dopadů nezpracovává pro velké množství aktiv, ale zpravidla pouze pro ta nejdůležitější. Hlavním cílem této analýzy je zjistit, dokdy je klíčové aktivum potřeba v případě problému uvést zpět do chodu a jaké jsou mezi těmito aktivy priority a vazby

Hodnotí se zejména jaký vliv má nedostupnost aktiva, ztráta dat od zálohy a ztráta důvěrnosti na stanovené oblasti dopadu. Mezi tyto oblasti patřínapříklad finanční ztráty, narušení běžných činností, zákonné a smluvní povinnosti a mnohé další. Z BIA pak vyplynou dvě hodnoty pro dané aktivum:

  • Hodnota RTO (tzv. recovery time objective) – určuje maximální čas, do kdy je aktivum třeba obnovit a vyplývá z potřeby dostupnosti. 
  • Hodnota RPO (tzv. recovery point objective) – určuje, jak maximálně staré zálohy jsou třeba. To vyplývá z maximální přijatelné ztráty dat. 
Plán kontinuity (BCP)

Tento dokument by měl obsahovat přehled činností, tak aby při negativní události (například při kybernetickém bezpečnostním incidentu), mohla společnost co nejdříve pokračovat ve svém podnikání. Plány kontinuity jsou širší než plány obnovy.

Plány kontinuity obsahují zejména popis havarijní situace (kterých bývá více), postupy při zvládání této konkrétní situace (včetně jednotlivých činností), odhadovaný čas realizace, komunikační matici a matici zastupitelnosti těchto osob. 

Nejlépe si to představíme na příkladu: Výrobní společnost má linku na výrobu hraček pro psy. V rámci svého řízení kontinuity si připravila plány, co a jak bude řešit, pokud by o tuto linku náhle přišla. Jaké komunikační postupy zvolit? Co bude její náhradní řešení? Na tyto otázky si v rámci řízení kontinuity musela odpovědět. 

Řízení kontinuity se připravuje na jakoukoliv příčinu, nejen kybernetická rizika. Například výrobní linka přestane fungovat z důvodu záplav, tornáda ale i ransomware útoku. Hlavní je jasně definovat postupy a odpovědnosti při řešení.

Plán obnovy (DRP)

Říká se, že disaster recovery plány jsou víc o disaster než o recovery. Plán obnovy si můžeme představit jako podrobný manuál pro IT. V rámci plánu kontinuity se aktivuje plán obnovy, který se zaměřuje výhradně na IT a určuje konkrétní kroky, které je třeba provést k nápravě. I když jsou jednotlivé body plánu obnovy splněny, tak plán kontinuity tím nekončí.

Pokud je například v analýze dopadů u obnovy poštovních služeb uvedeno, že obnova e-mailových služeb má trvat 4 hodiny (tzv. RTO), znamená to, že IT zvládne obnovit možnost odesílání e-mailů za tuto dobu. To však neznamená, že celý plán kontinuity činností je dokončen – k tomu může dojít klidně až o další 2 dny později, když jsou obnovená všechna data z archivů e-mailových schránek a kdy společnosti opět plně funguje, téměř jako před nouzovou situací.

Testovat a aktualizovat

Zajistit testování plánu kontinuity činností a plánů obnovy (včetně procesů spojených se zvládáním kybernetických bezpečnostních incidentů) je mimo jiné i jedním z požadavků na vrcholné vedení společností ve vyšším režimu povinností.  Testování těchto plánů je důležité proto, že pravidla v nich nastavená jsou funkční a v případě reálné nouzové situace budou plnit svůj účel efektivně.  

Stejně jako u všech bezpečnostních politik a jiné dokumentace je nezbytné plány přezkoumávat a aktualizovat. To se pak týká i plánu zvládání rizik. Nastane-li například nouzová situace, jistě oceníte, že na kontakt uvedený v BCP nebo DRP se skutečně dovoláte nebo dopíšete a že očekávané časy obnovy jsou dosažené, nikoliv násobně delší, než by bylo potřeba.

Buďte připraveni

Pomůžeme Vám vytvořit základy, principy a dokumentaci pro efektivní zabezpečení Vašeho podnikání.

Další články

Ani při práci z domova nejste mimo dosah kybernetických hrozeb. Jak se na home office chránit? Přinášíme tipy, které pomohou udržet firemní data v bezpečí.
I díky certifikaci mohou společnosti posílit svou bezpečnost. Jak k zajištění compliance může přispět certifikace podle Aktu o kybernetické bezpečnosti?
Předvánoční sezóna přináší skvělé slevy, ale také zvýšené riziko podvodů. Jak se chránit? Přinášíme 8 tipů, jak na bezpečné nakupování online.

Newsletter

Chcete mít jistotu, že Vaše firma je chráněna před kybernetickými hrozbami a zároveň být v souladu s platnou legislativou? Přihlaste se k odběru newsletteru a získejte praktické rady od našich konzultantů s právním vzděláním.

Kliknutím na odeslat vyjadřujete souhlas se zpracováním osobních údajů pro marketingové účely.