Auditing Business Continuity Plan/Disaster Recovery Plan

Γεώργιος Παπούλιας CISA, CGEIT, CRISCSenior Project Manager

Project Management Office (PMO)ΕΘΝΙΚΗ ΤΡΑΠΕΖΑ

ΕΛΕΓΧΟΣ ΠΡΟΓΡΑΜΜΑΤΟΣ ΕΠΙΧΕΙΡΗΣΙΑΚΗΣ ΣΥΝΕΧΕΙΑΣ

(Auditing Business Continuity Plan& Disaster Recovery Plan)

ΘΕΜΑΤΙΚΕΣ ΕΝΟΤΗΤΕΣ

ΕΙΣΑΓΩΓΗ

ΑΠΑΙΤΗΣΕΙΣ ΚΑΝΟΝΙΣΤΙΚΗΣ ΣΥΜΜΟΡΦΩΣΗΣ – ΠΡΟΤΥΠΑ & ΒΕΛΤΙΣΤΕΣ ΠΡΑΚΤΙΚΕΣ

ΣΚΟΠΟΣ & ΣΤΟΧΟΙ ΤΟΥ ΣΣΕ

ΕΛΕΓΧΟΣ ΤΟΥ ΣΣΕ

ΣΗΜΕΙΟ ΕΚΚΙΝΗΣΗΣ ΕΛΕΓΧΟΥ

ΣΗΜΑΝΤΙΚΕΣ ΠΕΡΙΟΧΕΣ ΤΟΥ ΕΛΕΓΧΟΥ ΤΟΥ ΣΣΕ

ΕΠΙΒΕΒΑΙΩΣΗ ΠΛΗΡΟΤΗΤΑΣ & ΟΡΘΟΤΗΤΑΣ ΤΟΥ ΣΧΕΔΙΟΥ ΣΥΝΕΧΕΙΑΣ ΕΡΓΑΣΙΩΝ

ΕΠΙΒΕΒΑΙΩΣΗ & ΕΠΑΛΗΘΕΥΣΗ ΠΡΟΛΗΤΠΤΙΚΩΝ & ΔΙΟΡΘΩΤΙΚΩΝ ΜΕΤΡΩΝ ΕΠΙΧΕΙΡΗΣΙΑΚΗΣ ΣΥΝΕΧΕΙΑΣ

ΕΞΑΚΡΙΒΩΣΗ ΥΠΑΡΞΗΣ ΣΤΟΙΧΕΙΩΝ ΕΞΑΣΦΑΛΙΣΗΣ ΤΗΣ ΕΠΙΧΕΙΡΗΣΙΑΚΗΣ ΣΥΝΕΧΕΙΑΣ ΚΑΙ ΑΝΑΚΑΜΨΗΣ

ΣΥΝΟΠΣΗ & ΣΥΜΠΕΡΑΣΜΑΤΑ

15/10/2012 ‐ Παρουσίαση στο ΕΙΕΕ

2

Γεώργιος ΠαπούλιαςSenior Project Manager

ΕΘΝΙΚΗ ΤΡΑΠΕΖΑ

ΕΙΣΑΓΩΓΗ

4

Η Διαθεσιμότητα (Availability) καλύπτεται πλήρως από την ομπρέλα τουΣχεδίου Συνέχειας Εργασιών (ΣΣΕ) και του Σχεδίου Ανάκαμψης απόΚαταστροφή (ΣΑΚ)

ΕΜΠΙΣΤΕΥΤΙΚΟΤΗΤΑ (Confidentiality)ΑΚΕΡΑΙΟΤΗΤΑ (Integrity)ΔΙΑΘΕΣΙΜΟΤΗΤΑ (Availability)

Τα τρία χαρακτηριστικά ασφάλειας για την προστασία των Πληροφοριακών Αγαθών από κινδύνους είναι:

Διαθεσιμότητα (Availability) «Το χαρακτηριστικό εκείνο τωνπληροφοριακών αγαθών το οποίο τους επιτρέπει να είναι προσβάσιμα καιαξιοποιήσιμα από εξουσιοδοτημένα άτομα, οντότητες και διαδικασίεςόποτε αυτό ζητείται και με τον τρόπο που απαιτείται»




ΟΙ ΔΙΑΔΙΚΑΣΙΕΣ;

5

• Σχέδια ενεργειών τα οποία παρέχουν στο Μηχανισμό Αποκατάστασης τιςπληροφορίες για τη:

Διατήρηση σε Ομαλή Λειτουργία των Κρίσιμων ΕπιχειρησιακώνΛειτουργιώνΑνάκαμψη των Επιχειρησιακών Λειτουργιών και τωνΠληροφοριακών Συστημάτων από Καταστροφικό ΓεγονόςΕπιστροφή όλων των Επιχειρησιακών Λειτουργιών καιΠληροφορικών Συστημάτων σε Ομαλή Λειτουργία

ΣΧΕΔΙΟ ΣΥΝΕΧΕΙΑΣ ΕΡΓΑΣΙΩΝ (ΣΣΕ) &ΣΧΕΔΙΟ ΑΝΑΚΑΜΨΗΣ ΑΠΌ ΚΑΤΑΣΤΡΟΦΗ (ΣΑΚ)

ΕΙΣΑΓΩΓΗ




ΕΙΣΑΓΩΓΗ

6

Η ΔΙΑΦΟΡΑ ΜΕΤΑΞΥ ΤΟΥ ΣΧΕΔΙΟΥ ΣΥΝΕΧΕΙΑΣ ΕΡΓΑΣΙΩΝ (ΣΣΕ) &ΤΟΥ ΣΧΕΔΙΟΥ ΑΝΑΚΑΜΨΗΣ ΑΠΟ ΚΑΤΑΣΤΡΟΦΗ (ΣΑΚ)

• Το Σχέδιο Συνέχειας Εργασιών (ΣΣΕ) στοχεύει στη ΠΡΟΛΗΨΗ.Εστιάζει στην αποτροπή ή τον περιορισμό των επιπτώσεων απόκινδύνους.

• Το Σχέδιο Ανάκαμψης από Καταστροφή (ΣΑΚ) στοχεύει στην ΑΝΑΚΤΗΣΗ.Εστιάζει στην αποκατάσταση σε ομαλή λειτουργία τωνΕπιχειρησιακών Λειτουργιών και των Πληροφορικών Συστημάτωνμετά το καταστροφικό γεγονός.

ΤΟ ΣΧΕΔΙΟ ΑΝΑΚΑΜΨΗΣ ΑΠΟ ΚΑΤΑΣΤΡΟΦΗ (ΣΑΚ) αποτελείαναπόσπαστο μέρος του ΣΧΕΔΙΟΥ ΣΥΝΕΧΕΙΑΣ ΕΡΓΑΣΙΩΝ (ΣΣΕ)




ΕΙΣΑΓΩΓΗ

7

Η ΔΙΑΦΟΡΑ ΜΕΤΑΞΥ ΤΟΥ ΣΧΕΔΙΟΥ ΣΥΝΕΧΕΙΑΣ ΕΡΓΑΣΙΩΝ (ΣΣΕ) &ΤΟΥ ΣΧΕΔΙΟΥ ΑΝΑΚΑΜΨΗΣ ΑΠΟ ΚΑΤΑΣΤΡΟΦΗ (ΣΑΚ) (Συν/χεια)




Πηγή: http://www.fromtheranks.com/1692/it-management/noteson-risk-management-disaster-recovery-versus-business-continuity/

ΣΚΟΠΟΣ & ΣΤΟΧΟΙ ΤΟΥ ΣΣΕ

8

• Ο σκοπός του ΣΣΕ είναι η διατήρηση του ελάχιστου επιπέδου παρεχόμενωνυπηρεσιών προς του πελάτες του Οργανισμού ενώ βρίσκονται σε εξέλιξη οιδιαδικασίες αποκατάστασης σε ομαλή λειτουργία των ΕπιχειρησιακώνΛειτουργιών και των Πληροφοριακών Συστημάτων του

ΣΚΟΠΟΣ

ΣΤΟΧΟΙ• Προστασία των εργαζομένων• Αποκατάσταση των κρίσιμων επιχειρησιακών διαδικασιών και λειτουργιών για

την ελαχιστοποίηση των δυσμενών οικονομικών επιπτώσεων μετά απόκαταστροφικό γεγονός

• Επαναφορά σε κανονική λειτουργία των σχετικών υποδομών, λειτουργικώνσυστημάτων και εφαρμογών για την υποστήριξη των κρίσιμων επιχειρησιακώνλειτουργιών

• Αποτροπή ή περιορισμός των επιπτώσεων ενός καταστροφικού γεγονότος στομέτρο του δυνατού

• Προστασία των εταιρικών περιουσιακών στοιχείων• Συμμόρφωση με το ισχύον Εθνικό, Ευρωπαϊκό και (εφόσον απαιτείται) Διεθνές

Κανονιστικό Πλαίσιο




ΑΠΑΙΤΗΣΕΙΣ ΚΑΝΟΝΙΣΤΙΚΗΣ ΣΥΜΜΟΡΦΩΣΗΣ – ΠΡΟΤΥΠΑ & ΒΕΛΤΙΣΤΕΣ ΠΡΑΚΤΙΚΕΣ

9

• ISO 22301:2012 Business Continuity Management• ISO/IEC 27001:2005• BS5750/ISO 9000• COBIT 5 (ISACA)• SP800‐34 (National Institute of Standard And Technology‐NIST) (USA)• Good Practice Guidelines from Business Continuity Institute (BCI)• Professional Practices for Business Continuity Practitioners from

Disaster Recovery Institute International (DRII)• Business Continuity Management Audit/Assurance Program (ISACA)

• ΠΔΤΕ 2577/09.03.2006 (Τράπεζα της Ελλάδος ‐ αφορά σε Πιστωτικά καιΧρηματοδοτικά Ιδρύματα)

• Regulation (EC) No 1875/2006 (Ευρωπαϊκή Ένωση)

ΚΑΝΟΝΙΣΤΙΚΗ ΣΥΜΜΟΡΦΩΣΗ

ΠΡΟΤΥΠΑ & ΒΕΛΤΙΣΤΕΣ ΠΡΑΚΤΙΚΕΣ




ΕΛΕΓΧΟΣ ΤΟΥ ΣΣΕ

10

Ο έλεγχος της Επιχειρησιακής Συνέχειας του Οργανισμού είναι ουσιαστικά ο έλεγχος τους Σχεδίου Συνέχειας Εργασιών (ΣΣΕ) σε σχέση με τη(ν):

• Επάρκεια, Πληρότητα και Καταλληλότητά του• Διαθεσιμότητα των Διαδικασιών και του Προσωπικού για την εφαρμογή

του• Υλοποίηση των Δοκιμών του• Επιβεβαίωση της ύπαρξης όλων εκείνων των καθημερινών εργασιών των

οποίων η ακριβής εκτέλεση διασφαλίζει την αποτελεσματικότητα και τηνετοιμότητά του




11

ΣΗΜΕΙΟ ΕΚΚΙΝΗΣΗΣ ΕΛΕΓΧΟΥ

Audit/Assurance Program Step

1. PLANNING AND SCOPING THE BUSINESS CONTINUITY AUDIT

2. BUSINESS CONTINUITY PLAN MANAGEMENT

3. BCM POLICY, STANDARDS AND PROCEDURES

4. BUSINESS IMPACT ASSESSMENT (BIA)

5. RISK ASSESSMENT

6. DOCUMENTATION

7. PLAN TESTING

Πηγή: http://www.isaca.org/Knowledge-Center/ITAF-IT-Assurance-Audit-/Audit-Programs/Documents/WAPBC-Mgmt-1Sept2011.doc




http://www.isaca.org/Knowledge-Center/ITAF-IT-Assurance-Audit-/Audit-Programs/Documents/WAPBC-Mgmt-1Sept2011.doc

ΣΗΜΑΝΤΙΚΕΣ ΠΕΡΙΟΧΕΣ ΤΟΥ ΕΛΕΓΧΟΥ ΤΟΥ ΣΣΕ

12

Ο έλεγχος της Επιχειρησιακής Συνέχειας βασίζεται στις ακόλουθες τρείς συνιστώσες:

1. Επιβεβαίωση της ύπαρξης επικυρωμένου Σχεδίου Συνέχειας Εργασιών (ΣΣΕ)2. Έλεγχος και επαλήθευση των προληπτικών μέτρων που εξασφαλίζουν και

υποβοηθούν την Επιχειρησιακή Συνέχεια του Οργανισμού3. Εξακρίβωση της ύπαρξης όλων των στοιχείων εκείνων που αποδεδειγμένα

μπορούν να εξασφαλίσουν την Επιχειρησιακή Συνέχεια και την ανάκτησηαπό καταστροφή των κρίσιμων λειτουργιών και πληροφοριακώνσυστημάτων του Οργανισμού




ΕΠΙΒΕΒΑΙΩΣΗ ΠΛΗΡΟΤΗΤΑΣ & ΟΡΘΟΤΗΤΑΣ ΤΟΥ ΣΧΕΔΙΟΥ ΣΥΝΕΧΕΙΑΣ ΕΡΓΑΣΙΩΝ

13

• Κρίσιμα πληροφοριακά συστήματα, επιχειρησιακές λειτουργίες και πόρους• Συστηματική ανάλυση και αξιολόγηση των επιχειρησιακών επιπτώσεων

(Business Impact Analysis)• Επιθυμητός Χρόνος Αποκατάστασης Συστημάτων (Recovery Time Objectives ‐

RTO) και Επιθυμητός Χρόνος Αποκατάστασης Δεδομένων (Recovery PointObjectives ‐ RPO)

• Περιοδικότητα ενημέρωσης του ΣΣΕ• Συχνότητα, πληρότητα και ικανοποίηση των απαιτήσεων και των

αποτελεσμάτων των Δοκιμών• Διαδικασία για την σταδιακή ανάκαμψη αλλά και την πλήρη λειτουργία των

συστημάτων από το Κύριο Μηχανογραφικό Κέντρο

1. Ο έλεγχος Ύπαρξης Επικυρωμένου ΣΣΕ περιλαμβάνει:




14

ΕΠΙΒΕΒΑΙΩΣΗ & ΕΠΑΛΗΘΕΥΣΗ ΠΡΟΛΗΠΤΙΚΩΝ & ΔΙΟΡΘΩΤΙΚΩΝ ΜΕΤΡΩΝ ΕΠΙΧΕΙΡΗΣΙΑΚΗΣ ΣΥΝΕΧΕΙΑΣ

• Επιβεβαίωση της πληρότητας του ΣΣΕ• Έλεγχος του Κέντρου Ανάκαμψης από Καταστροφή ως προς τη τοποθεσία

(δηλαδή, την απόσταση από το Κύριο Μηχανογραφικό Κέντρο, την προσβασιμότητα,και την ευπάθεια σε παρόμοιες απειλές) και την ασφάλεια του

• Φύλαξη των μαγνητικών μέσων αποθήκευσης δεδομένων σε επαρκώς ασφαλήδιαφορετικό χώρο από το Κέντρο Ανάκαμψης από Καταστροφή

• Έλεγχος των συμβολαίων παροχής υπηρεσιών και των περιοδικών δοκιμών σεπερίπτωση ανάθεσης διαχείρισης και λειτουργίας του Κέντρου Ανάκαμψης απόΚαταστροφή σε εξωτερικό πάροχο

• Συνεχή υποστήριξη εξοπλισμού (καύσιμα για τις γεννήτριες ρεύματος) και διατήρησησε κατάσταση ετοιμότητας προς ενεργοποίηση των διακομιστών (servers) και Η/Υ καιτων προμηθειών

• Χρήση εναλλακτικών διαδρομών του δικτύου υπολογιστών, και διαθεσιμότητα τουδικτύου στο Κέντρο Ανάκαμψης από Καταστροφή για τη μετάβαση από το ΚύριοΜηχανογραφικό Κέντρο σε αυτό

2. Ο έλεγχος προληπτικών & διορθωτικών μέτρων περιλαμβάνει:




15

ΕΞΑΚΡΙΒΩΣΗ ΥΠΑΡΞΗΣ ΣΤΟΙΧΕΙΩΝ ΕΞΑΣΦΑΛΙΣΗΣ ΤΗΣ ΕΠΙΧΕΙΡΗΣΙΑΚΗΣ ΣΥΝΕΧΕΙΑΣ ΚΑΙ ΑΝΑΚΑΜΨΗΣ

• Διαθεσιμότητα και αποθήκευση όλων των συστατικών μερών των κρίσιμωνπληροφοριακών συστημάτων από το Κέντρο Ανάκαμψης από Καταστροφή

• Επιτυχή λειτουργία των κρίσιμων συστημάτων και Δικτύων από το ΚέντροΑνάκαμψης από Καταστροφή σύμφωνα με τις απαιτήσεις του επιθυμητού ΧρόνουΑποκατάστασης Συστημάτων (RTO).

• Επιτυχή αντιγραφής και αποθήκευσης των δεδομένων και αρχείων στο ΚέντροΑνάκαμψης από Καταστροφή σχεδόν ταυτόχρονα με τη διενέργεια των συναλλαγών,σύμφωνα με τις απαιτήσεις του Επιθυμητού Χρόνου Αποκατάστασης Δεδομένων(RPO)

• Καταγραφή και τήρηση των αρχείων συντήρησης και δοκιμών όλου τουυποστηρικτικού εξοπλισμού

• Διενέργεια του συνόλου των Δοκιμών και αξιολόγησης των αποτελεσμάτων τουςσύμφωνα με το Πρόγραμμα Επιχειρησιακής Συνέχειας

• Συμμετοχή όλου του Προσωπικού που συμμετέχει στο ΣΣΕ στο κατάλληλο πρόγραμμαεκπαίδευσης

3. Ο έλεγχος ύπαρξης στοιχείων εξασφάλισης της Επιχειρησιακής Συνέχειας και Ανάκαμψης περιλαμβάνει:




ΣΥΝΟΨΗ ‐ ΣΥΜΠΕΡΑΣΜΑΤΑ

16

Η σημερινή πραγματικότητα του κόσμου των Επιχειρήσεων :

• Μεγάλη εξάρτηση επιχειρήσεων από Πληροφορικά Συστήματα

• Η εξάρτηση απαιτεί ισχυρή στήριξη από κρίσιμα Πληροφοριακά Συστήματα(σφιχτά RTO & RPO)

• Πολυπλοκότητα και κόστος προγράμματος Επιχειρησιακής Συνέχειαςανάλογα του βαθμού εξάρτησης

• Ο προγραμματισμός των δοκιμών Σχεδίων Συνέχειας Εργασιών (ΣΣΕ)περιορίζει την αποτελεσματικότητα τους. Εντούτοις οι δοκιμές, με τη χρήσηδιαφόρων τεχνικών και ασκήσεων ετοιμότητας, παραμένουν ο καλύτεροςδυνατός τρόπος διασφάλισης της επιτυχίας εκτέλεσης των Σχεδίων ΣυνέχειαςΕργασιών (ΣΣΕ)




ΣΥΝΟΨΗ ‐ ΣΥΜΠΕΡΑΣΜΑΤΑ

17

Η αξιοπιστία της Επιχείρησης κρίνεται από την πελατεία της αλλάκαι από τις εποπτικές αρχές, από την όσο το δυνατόν μεγαλύτερηδιαθεσιμότητα των πληροφοριακών συστημάτων της και τηνσωστή τήρηση κρίσιμων δεδομένων.

Ο πλήρης και αποτελεσματικός έλεγχος από τον ΕλεγκτήΣυστημάτων Πληροφορικής μπορεί να βοηθήσει στην αποκάλυψηπαραλείψεων και λειτουργικών αδυναμιών που δεν έχουνεντοπισθεί κατά την διάρκεια των Δοκιμών και έχουν αγνοηθεί κατάτο σχεδιασμό του προγράμματος Επιχειρησιακής Συνέχειας (ΣΣΕ &ΣΑΚ)




ΣΥΝΕΠΩΣ….




Ο Ελεγκτής θα πρέπει να είναι εξοικειωμένος με ταπολύπλοκα Πληροφοριακά Συστήματα, τις δυνατότητεςκαι τους περιορισμούς τους, αλλά και τιςΕπιχειρηματικές Διαδικασίες που αυτά υποστηρίζουνγια να μπορέσει να είναι αποτελεσματικός στον έλεγχότου

Γεώργιος Παπούλιας

EΘΝΙΚΗ ΤΡΑΠΕΖΑ

210‐3578506

[email protected]

Auditing Business Continuity Plan/Disaster Recovery Plan

Documents

Transcript of Auditing Business Continuity Plan/Disaster Recovery Plan