manažment bezpečnosti
DESCRIPTION
Manažment bezpečnosti. Manažérske metódy v riadení bezpečnosti CRAMM, ITIL, BCM, IBA,. 34 slide. Metodika a nástroj CRAMM. ( C CTA R isk A nalysis and M anagement M ethod – účel: podpora pri vykonávaní analýzy rizík informačného systému (3.x) - PowerPoint PPT PresentationTRANSCRIPT
![Page 1: Manažment bezpečnosti](https://reader035.vdocuments.site/reader035/viewer/2022062308/56812b59550346895d8f79a2/html5/thumbnails/1.jpg)
Manažment bezpečnosti
Manažérske metódy v riadení bezpečnosti
CRAMM, ITIL, BCM, IBA, ...
34 slide
![Page 2: Manažment bezpečnosti](https://reader035.vdocuments.site/reader035/viewer/2022062308/56812b59550346895d8f79a2/html5/thumbnails/2.jpg)
Metodika a nástroj CRAMM
(CCTA Risk Analysis and Management Method – účel:
podpora pri vykonávaní analýzy rizík informačného systému (3.x)
analýza stavu voči norme BS7799-2 (Gap Analysis 4.x)
certifikácia ISO/IEC 27001:2005 (5.x)
©JV- MBIS ´11 2
![Page 3: Manažment bezpečnosti](https://reader035.vdocuments.site/reader035/viewer/2022062308/56812b59550346895d8f79a2/html5/thumbnails/3.jpg)
prípravu na certifikáciu podľa ISO/IEC 27001:2005; vykonanie detailného aj expresného hodnotenia rizík
informačných systémov; návrh opatrení na zvyšovanie úrovne informačnej
bezpečnosti; vykonávanie analýzy stavu voči ISO/IEC 27001:2005; riadenie informačných rizík; tvorbu bezpečnostnej dokumentácie; vytváranie havarijných plánov, a plánov na zaistenie
kontinuity prevádzky (DRP, BCM).
©JV- MBIS ´11 3
![Page 4: Manažment bezpečnosti](https://reader035.vdocuments.site/reader035/viewer/2022062308/56812b59550346895d8f79a2/html5/thumbnails/4.jpg)
Metodika CRAMM
aplikovaná vo všetkých fázach životného cyklu plánovanie vývoj realizácia ostrá prevádzku
pre všetky podniky
©JV- MBIS ´11 4
![Page 5: Manažment bezpečnosti](https://reader035.vdocuments.site/reader035/viewer/2022062308/56812b59550346895d8f79a2/html5/thumbnails/5.jpg)
Typy analýz
typy analýzy poskytujú dostatočnú variabilitu pri voľbe štýlu práce, dĺžky analýzy, objemu vstupov aj výstupov a pod
CRAMM Expert CRAMM Express Analýza BS7799 (ISO 27001)
©JV- MBIS ´11 5
![Page 6: Manažment bezpečnosti](https://reader035.vdocuments.site/reader035/viewer/2022062308/56812b59550346895d8f79a2/html5/thumbnails/6.jpg)
Identifikácia rizík
aktív (komponentov) hodnoteného systému,
ich zraniteľnosti, vplyvu prostredia (sily hrozieb) potenciálneho negatívneho vplyvu na
činnosť systému (dopadov).
©JV- MBIS ´11 6
![Page 7: Manažment bezpečnosti](https://reader035.vdocuments.site/reader035/viewer/2022062308/56812b59550346895d8f79a2/html5/thumbnails/7.jpg)
Oblasti pokrytia
bezpečnosť informačného systému,
objektová bezpečnosť, fyzická personálna bezpečnosť bezpečnosť podpornej infraštruktúry
©JV- MBIS ´11 7
![Page 8: Manažment bezpečnosti](https://reader035.vdocuments.site/reader035/viewer/2022062308/56812b59550346895d8f79a2/html5/thumbnails/8.jpg)
F1 - identifikácia aktív
Vytvorenie modelov a ohodnotenie aktív:
Identifikácia aktív - dát, služieb nad údajmi, programového vybavenia,
fyzických aktív a priestorov, vytvorenie modelov aktív, ktoré definujú
závislosť medzi rôznymi typmi aktív,
©JV- MBIS ´11 8
![Page 9: Manažment bezpečnosti](https://reader035.vdocuments.site/reader035/viewer/2022062308/56812b59550346895d8f79a2/html5/thumbnails/9.jpg)
Identifikácia aktív
ohodnotenie dátových aktív (dopad pri prezradení, modifikácii, zničení, neprístupnosti),
ohodnotenie fyzických a programových aktív (náklady na obnovu, rekonštrukciu).
©JV- MBIS ´11 9
![Page 10: Manažment bezpečnosti](https://reader035.vdocuments.site/reader035/viewer/2022062308/56812b59550346895d8f79a2/html5/thumbnails/10.jpg)
F2- Stanovenie rizík
Výpočet rizík, vyplývajúcich z hrozieb pôsobiacich na systém, alebo sieť, založených na ohodnotení aktív a
hodnotenie úrovne hrozieb a zraniteľnosti.
©JV- MBIS ´11 10
![Page 11: Manažment bezpečnosti](https://reader035.vdocuments.site/reader035/viewer/2022062308/56812b59550346895d8f79a2/html5/thumbnails/11.jpg)
F3 - Riadenie rizík zahŕňa identifikáciu, výber a zavedenie
vhodných bezpečnostných opatrení pre zníženie rizika na prijateľnú úroveň
opatrenia z knižnice opatrení tak, aby pokryli všetky možné hrozby identifikované v druhej fáze s ohľadom na vypočítanú mieru rizika.
Takýmto spôsobom vznikne bezpečnostný profil IS.
©JV- MBIS ´11 11
![Page 12: Manažment bezpečnosti](https://reader035.vdocuments.site/reader035/viewer/2022062308/56812b59550346895d8f79a2/html5/thumbnails/12.jpg)
Základné fázy
©JV- MBIS ´11 12
![Page 13: Manažment bezpečnosti](https://reader035.vdocuments.site/reader035/viewer/2022062308/56812b59550346895d8f79a2/html5/thumbnails/13.jpg)
Výstupy z analýzy Prehľad o dátových hodnotách - Obsahuje
hodnotenie následkov, ktoré môžu pri dátach nastať. Tieto hodnoty sú jedným z parametrov pre stanovenie miery rizika.
Prehľad o miere rizika - Obsahuje hodnoty pre každé aktívum a hrozbu. Podľa miery rizík sú odporúčané protiopatrenia rôznej „sily“ a efektivity.
©JV- MBIS ´11 13
![Page 14: Manažment bezpečnosti](https://reader035.vdocuments.site/reader035/viewer/2022062308/56812b59550346895d8f79a2/html5/thumbnails/14.jpg)
Výstupy z analýzy ...
Prehľad o hrozbách a skupinách aktív - Každú hrozbu je nutné pokryť určitými protiopatreniami. V tomto prehľade je väzba medzi hrozbou a skupinou protiopatrení.
©JV- MBIS ´11 14
![Page 15: Manažment bezpečnosti](https://reader035.vdocuments.site/reader035/viewer/2022062308/56812b59550346895d8f79a2/html5/thumbnails/15.jpg)
Výstupy z analýzy ... Zoznam odporučených
protiopatrení - Najdôležitejší prehľad z expresnej analýzy obsahuje celý rad (počet závisí na miere rizika) bezpečnostných protiopatrení, ktoré sú odporučené k pokrytiu rizík.
©JV- MBIS ´11 15
![Page 16: Manažment bezpečnosti](https://reader035.vdocuments.site/reader035/viewer/2022062308/56812b59550346895d8f79a2/html5/thumbnails/16.jpg)
Analýza BS7799 (ISO 27001)
Analýzy stavu prípravy Prehlásenia o aplikovaní
protiopatrení Tento typ analýzy CRAMM je vhodný,
pokiaľ sa organizácia rozhodne zaviesť a prevádzkovať ISMS a následne ho certifikovať
©JV- MBIS ´11 16
![Page 17: Manažment bezpečnosti](https://reader035.vdocuments.site/reader035/viewer/2022062308/56812b59550346895d8f79a2/html5/thumbnails/17.jpg)
An. BS7799 umožňuje: Bezpečnostnú politiku organizácie, Správu o rozsahu ISMS, Prehlásenie o aplikovaní protiopatrení,
dokumenty o systéme riadenia bezpečnosti Vykonávať hodnotenie rizika, ktorého
výsledky sa priamo vzťahujú k častiam tém obsiahnutých v norme BS 7799
©JV- MBIS ´11 17
![Page 18: Manažment bezpečnosti](https://reader035.vdocuments.site/reader035/viewer/2022062308/56812b59550346895d8f79a2/html5/thumbnails/18.jpg)
A BS7799 umožňuje:
Zaznamenávať názory manažmentu na potrebu určitých typov protiopatrení
Zaznamenávať, ktoré zdroje zaisťujú dané protiopatrenia
Vytvárať Program zvyšovania úrovne bezpečnosti.
©JV- MBIS ´11 18
![Page 19: Manažment bezpečnosti](https://reader035.vdocuments.site/reader035/viewer/2022062308/56812b59550346895d8f79a2/html5/thumbnails/19.jpg)
ITIL
Information Technology Infrastructure Library
©JV- MBIS ´11 19
![Page 20: Manažment bezpečnosti](https://reader035.vdocuments.site/reader035/viewer/2022062308/56812b59550346895d8f79a2/html5/thumbnails/20.jpg)
je súbor konceptov a postupov, ktoré umožňujú lepšie plánovať, využívať a skvalitňovať využitie informačných technológií (IT)
©JV- MBIS ´11 20
![Page 21: Manažment bezpečnosti](https://reader035.vdocuments.site/reader035/viewer/2022062308/56812b59550346895d8f79a2/html5/thumbnails/21.jpg)
©JV- MBIS ´11 21
![Page 22: Manažment bezpečnosti](https://reader035.vdocuments.site/reader035/viewer/2022062308/56812b59550346895d8f79a2/html5/thumbnails/22.jpg)
ITIL v2
Dodávka IT služieb (IT Service Delivery)
Podpora IT služieb (IT service Support)
bežne dohromady označované ako IT Service Management (ITSM).
©JV- MBIS ´11 22
![Page 23: Manažment bezpečnosti](https://reader035.vdocuments.site/reader035/viewer/2022062308/56812b59550346895d8f79a2/html5/thumbnails/23.jpg)
ITIL v3
Podnikateľský pohľad (Business Perspectives) Správa aplikácií IT (Application Management) Dodávka IT služieb (IT Services Delivery) Podpora IT služieb (IT Services Support) Správa IT infraštruktúry (IT Infrastructure
Management) Riadenie IT projektov (IT Project Management) Správa bezpečnosti (Security Management).
©JV- MBIS ´11 23
![Page 24: Manažment bezpečnosti](https://reader035.vdocuments.site/reader035/viewer/2022062308/56812b59550346895d8f79a2/html5/thumbnails/24.jpg)
Charakteristické rysy ITIL
Procesné riadenie Zákaznícky orientovaný prístup Jednoznačná terminológia Nezávislosť na platforme Public Domain
©JV- MBIS ´11 24
![Page 25: Manažment bezpečnosti](https://reader035.vdocuments.site/reader035/viewer/2022062308/56812b59550346895d8f79a2/html5/thumbnails/25.jpg)
Procesné riadenie ITIL prináša moderný, procesne orientovaný prístup k
riadeniu IT služieb (na rozdiel od tradičného funkčne - líniového riadenia).
Proces je logický sled činností transformujúcich nejaký vstup na nejaký výstup, pričom plnenie jednotlivých činností v procese je zaisťované úlohami (rolami) s jasne definovanou zodpovednosťou.
Celý proces je riadený, monitorovaný, meraný, vyhodnocovaný a neustále vylepšovaný, čo je zodpovednosťou vlastníka procesu.
©JV- MBIS ´11 25
![Page 26: Manažment bezpečnosti](https://reader035.vdocuments.site/reader035/viewer/2022062308/56812b59550346895d8f79a2/html5/thumbnails/26.jpg)
Zákaznícky orientovaný prístup
Tento rys vyplýva priamo zo samotnej podstaty ITSM; všetky procesy sa navrhujú s ohľadom na potreby zákazníka, tzn. každá aktivita, každý úkon v každom procese musí prinášať nejakú pridanú hodnotu pre zákazníka - pokiaľ nie, potom je taká činnosť nadbytočná
©JV- MBIS ´11 26
![Page 27: Manažment bezpečnosti](https://reader035.vdocuments.site/reader035/viewer/2022062308/56812b59550346895d8f79a2/html5/thumbnails/27.jpg)
Jednoznačná terminológia
Jednoznačná terminológia je niekedy málo doceňovanou alebo úplne opomínanou charakteristikou ITIL, ale len do tej doby, než budeme v praxi prvý raz riešiť nedorozumenia plynúce z toho, že niekto používa rovnaký termín v inom význame, než očakávame.
©JV- MBIS ´11 27
![Page 28: Manažment bezpečnosti](https://reader035.vdocuments.site/reader035/viewer/2022062308/56812b59550346895d8f79a2/html5/thumbnails/28.jpg)
Nezávislosť na platforme
Rámec ITSM procesov podľa ITIL je nezávislý na akejkoľvek platforme. Dokonca je možné ITIL použiť aj pre navrhnutie procesov (úplne mimo oblasť ICT) v akejkoľvek firme, ktorá podniká v službách.
©JV- MBIS ´11 28
![Page 29: Manažment bezpečnosti](https://reader035.vdocuments.site/reader035/viewer/2022062308/56812b59550346895d8f79a2/html5/thumbnails/29.jpg)
Public domain
Knižnica je voľne dostupná, čo znamená, že každý si môže knihy ITIL kúpiť a procesy ITSM podľa ITIL vo svojom podniku implementovať, bez toho aby musel platiť akékoľvek ďalšie licenčné poplatky.
Táto skutočnosť o.i. prispela k rýchlemu celosvetovému rozšírení ITIL.
©JV- MBIS ´11 29
![Page 30: Manažment bezpečnosti](https://reader035.vdocuments.site/reader035/viewer/2022062308/56812b59550346895d8f79a2/html5/thumbnails/30.jpg)
Rámcový model ITIL poskytuje návody pre všetky aspekty (end-to-end)
Service Managementu na základe „najlepších praktík (Best practies)“ a pokrýva kompletné spektrum personálu, procesov, produktov a využitie partnerov. „prijať a prispôsobiť“ (adopt and adapt), kritické faktory úspechu kľúčové výkonnostné indikátory
©JV- MBIS ´11 30
![Page 31: Manažment bezpečnosti](https://reader035.vdocuments.site/reader035/viewer/2022062308/56812b59550346895d8f79a2/html5/thumbnails/31.jpg)
©JV- MBIS ´11 31
![Page 32: Manažment bezpečnosti](https://reader035.vdocuments.site/reader035/viewer/2022062308/56812b59550346895d8f79a2/html5/thumbnails/32.jpg)
Dodávka služieb
Service Delivery: pokrýva procesy potrebné pre plánovanie a dodávku kvalitných služieb IT a zameriava sa na procesy s dlhším časovým dopadom, spojené so zlepšovaním kvality dodávaných služieb IT
©JV- MBIS ´11 32
![Page 33: Manažment bezpečnosti](https://reader035.vdocuments.site/reader035/viewer/2022062308/56812b59550346895d8f79a2/html5/thumbnails/33.jpg)
Podpora služieb
Service Support: popisuje procesy spojené s každodennými aktivitami podpory a údržby spojenými s poskytovaním služieb IT
©JV- MBIS ´11 33
![Page 34: Manažment bezpečnosti](https://reader035.vdocuments.site/reader035/viewer/2022062308/56812b59550346895d8f79a2/html5/thumbnails/34.jpg)
Správa infraštruktúry ICT
ICT Infrastructure Management/ICT IM) pokrýva všetky aspekty ICT Infrastructure Managementu od identifikácie obchodných požiadaviek cez ponukový proces k testovaniu, inštalácii, rozšíreniu a k následným operáciám a optimalizácii komponentov ICT a služieb IT.
©JV- MBIS ´11 34
![Page 35: Manažment bezpečnosti](https://reader035.vdocuments.site/reader035/viewer/2022062308/56812b59550346895d8f79a2/html5/thumbnails/35.jpg)
Plánovánie implementácie Planning to Implement Service
Management: zameriava sa na problémy a úlohy súvisiace s plánovaním, zavádzaním a zlepšovaním procesov Správy služieb v organizácii.
Zameriava sa rovnako na problémy súvisiace s kultúrnymi a organizačnými zmenami, s rozvojom vízie a stratégie a s najvhodnejšími metódami prístupu.
©JV- MBIS ´11 35
![Page 36: Manažment bezpečnosti](https://reader035.vdocuments.site/reader035/viewer/2022062308/56812b59550346895d8f79a2/html5/thumbnails/36.jpg)
Správa aplikácií Application Management: popisuje, ako
spravovať aplikácie od východiskovej potreby businessu cez všetky fáze životného cyklu aplikácie až do vyradenie (vrátane).
kladie dôraz na to, aby boli projekty a stratégia IT boli v tesnom súlade s projektmi a stratégiami businessu v celom životnom cykle aplikácie, a tým aby bolo zaistené, že business získa za svoje investície najlepšiu hodnotu.
©JV- MBIS ´11 36
![Page 37: Manažment bezpečnosti](https://reader035.vdocuments.site/reader035/viewer/2022062308/56812b59550346895d8f79a2/html5/thumbnails/37.jpg)
Perspektíva businessu
The Business Perspective: poskytuje personálu IT radu a návod pre pochopenie, ako môžu prispieť k cieľom businessu a ako ich role a služby môžu byť lepšie prispôsobené a využité pre maximalizovania ich príspevku.
©JV- MBIS ´11 37
![Page 38: Manažment bezpečnosti](https://reader035.vdocuments.site/reader035/viewer/2022062308/56812b59550346895d8f79a2/html5/thumbnails/38.jpg)
Správa bezpečnosti
Security Management: popisuje proces plánovania a správy definovanej úrovne bezpečnosti informácií a služieb IT, rátajúc so všetkými aspektmi súvisiacich s reakciou na bezpečnostné incidenty.
Zahŕňa analýzu a správu rizík a zraniteľností a implementáciu zdôvodnených protiopatrení.
©JV- MBIS ´11 38
![Page 39: Manažment bezpečnosti](https://reader035.vdocuments.site/reader035/viewer/2022062308/56812b59550346895d8f79a2/html5/thumbnails/39.jpg)
IT Security Management
zaisťuje, že sú implementované a udržiavané bezpečnostné kontroly, ktoré sa zameriavajú na zmenené pomery, ako je zmena businessu požiadaviek na služby IT, prvkov architektúry IT, ohrození atd.
©JV- MBIS ´11 39
![Page 40: Manažment bezpečnosti](https://reader035.vdocuments.site/reader035/viewer/2022062308/56812b59550346895d8f79a2/html5/thumbnails/40.jpg)
IT Security Management
zaisťuje, že sú spravované bezpečnostné incidenty výsledky auditu ukazujú adekvátnosť
bezpečnostných kontrol a prijatých opatrení
sú produkované reporty, ktoré prezentujú stav informačnej bezpečnosti.
©JV- MBIS ´11 40
![Page 41: Manažment bezpečnosti](https://reader035.vdocuments.site/reader035/viewer/2022062308/56812b59550346895d8f79a2/html5/thumbnails/41.jpg)
©JV- MBIS ´11 41
![Page 42: Manažment bezpečnosti](https://reader035.vdocuments.site/reader035/viewer/2022062308/56812b59550346895d8f79a2/html5/thumbnails/42.jpg)
Proces Informač. bezpečnosti
Proces znázorňuje kompletnú cestu od zberu požiadaviek zákazníka cez plánovanie, implementáciu, vyhodnotenie a údržbu - pod dohľadom kontroly - s pravidelným reportovaním stavu zákazníkovi, čo celú slučku uzatvára.
©JV- MBIS ´11 42
![Page 43: Manažment bezpečnosti](https://reader035.vdocuments.site/reader035/viewer/2022062308/56812b59550346895d8f79a2/html5/thumbnails/43.jpg)
©JV- MBIS ´11 43
![Page 44: Manažment bezpečnosti](https://reader035.vdocuments.site/reader035/viewer/2022062308/56812b59550346895d8f79a2/html5/thumbnails/44.jpg)
BCM, BIA,
Business Continuity Management
©JV- MBIS ´11 44
![Page 45: Manažment bezpečnosti](https://reader035.vdocuments.site/reader035/viewer/2022062308/56812b59550346895d8f79a2/html5/thumbnails/45.jpg)
BCM
riadiaci proces, pri ktorom sú identifikované možné dopady udalostí, ohrozujúcich činnosť organizácie a ktorý definuje základný rámec prehlbovania schopností organizácie na takéto udalosti správne a úspešne reagovať.
©JV- MBIS ´11 45
![Page 46: Manažment bezpečnosti](https://reader035.vdocuments.site/reader035/viewer/2022062308/56812b59550346895d8f79a2/html5/thumbnails/46.jpg)
©JV- MBIS ´11 46
![Page 47: Manažment bezpečnosti](https://reader035.vdocuments.site/reader035/viewer/2022062308/56812b59550346895d8f79a2/html5/thumbnails/47.jpg)
Životný cyklus BCM
©JV- MBIS ´11 47
![Page 48: Manažment bezpečnosti](https://reader035.vdocuments.site/reader035/viewer/2022062308/56812b59550346895d8f79a2/html5/thumbnails/48.jpg)
1. Porozumenie činnosti identifikácia kritických činností, procesov a zdrojov, ktoré
podporujú kľúčové produkty alebo služby organizácie; vykonanie tzv. analýzy dopadov (Business Impact
Analysis, BIA), Kľúčovými výstupmi analýzy pre ďalšie kroky implementácie BCM sú stanovené maximálne tolerované doby narušenie procesu / činnosti (Maximum Tolerable Period of Disruption, MTPD alebo taktiež Maximum Tolerable Outage, MTO), cieľovej doby obnovy (Recovery Time Objectives, RTO) spolu s minimálnou požadovanou úrovňou funkčnosti služieb (Level of Business Continuity, LBC);
©JV- MBIS ´11 48
![Page 49: Manažment bezpečnosti](https://reader035.vdocuments.site/reader035/viewer/2022062308/56812b59550346895d8f79a2/html5/thumbnails/49.jpg)
Porozumenie ...
vykonanie hodnotenia rizík (Risk Assessment) vo vzťahu k zdrojom využívaných v identifikovaných kritických činnostiach. Organizácia by si mala zvoliť vhodnú metodiku hodnotenia rizík vyhovujúcu jej požiadavkám, ktorá umožní organizácii porozumieť hrozbám pôsobiacim na tieto zdroje, zraniteľnosti týchto zdrojov a dopadu na organizáciu, pokiaľ hrozby využití tieto zraniteľnosti a spôsobia incident s následkom narušenia / prerušenia činnosti;
©JV- MBIS ´11 49
![Page 50: Manažment bezpečnosti](https://reader035.vdocuments.site/reader035/viewer/2022062308/56812b59550346895d8f79a2/html5/thumbnails/50.jpg)
porozumenie ...
výber vhodných opatrení pre zvládnutie rizík, ktoré sú navrhnuté k zníženiu pravdepodobnosti narušenia, skrátenie doby narušenia činnosti a k obmedzeniu dopadu narušenia na kľúčové produkty a služby organizácie.
©JV- MBIS ´11 50
![Page 51: Manažment bezpečnosti](https://reader035.vdocuments.site/reader035/viewer/2022062308/56812b59550346895d8f79a2/html5/thumbnails/51.jpg)
2. Vytvorenie stratégií BCM
celková stratégia - reakcií na incidenty, postupy,
stratégie obnovy procesov stratégie obnovy zdrojov
©JV- MBIS ´11 51
![Page 52: Manažment bezpečnosti](https://reader035.vdocuments.site/reader035/viewer/2022062308/56812b59550346895d8f79a2/html5/thumbnails/52.jpg)
3. Vývoj a implementácia plánov
plán krízového riadenia plán kontinuity činností plán obnovy zdrojov
Účel a rozsah, Role a zodpovednosti, Podmienky a postupy aktivácie plánu
Alternatívne lokality, Prehľad úkolov a činností - čo sa má urobiť, kedy, kde a v akom poradí, Umiestenie alternatívnych zdrojov, Dôležité kontaktní údaje ...
©JV- MBIS ´11 52
![Page 53: Manažment bezpečnosti](https://reader035.vdocuments.site/reader035/viewer/2022062308/56812b59550346895d8f79a2/html5/thumbnails/53.jpg)
4. Vytvorenie a upevňovanie kultúry
vyhodnotenie existujúceho povedomia návrh a realizácia školenia a zvyšovanie
povedomia monitorovanie zručnosti jednotlivcov a
kultúry
©JV- MBIS ´11 53
![Page 54: Manažment bezpečnosti](https://reader035.vdocuments.site/reader035/viewer/2022062308/56812b59550346895d8f79a2/html5/thumbnails/54.jpg)
PDCA cyklusPlan, Do, Control, Act
©JV- MBIS ´11 54
![Page 55: Manažment bezpečnosti](https://reader035.vdocuments.site/reader035/viewer/2022062308/56812b59550346895d8f79a2/html5/thumbnails/55.jpg)
5. Testovanie, udržovanie a auditovanie
testovanie plánov aktualizácia plánov audit BCM
©JV- MBIS ´11 55
![Page 56: Manažment bezpečnosti](https://reader035.vdocuments.site/reader035/viewer/2022062308/56812b59550346895d8f79a2/html5/thumbnails/56.jpg)
BIA Business Impact Analysis
je proces analýzy činností organizácie a dopadov, ktoré môžu byť spôsobené ich narušením.
Pozostáva z techník a metód, pomocou ktorých sa hodnotí aké dopady by na organizácii a ďalšie zainteresované strany malo narušenie dodávok kľúčových produktov alebo služieb organizácie a ich podporných kritických činností.
©JV- MBIS ´11 56
![Page 57: Manažment bezpečnosti](https://reader035.vdocuments.site/reader035/viewer/2022062308/56812b59550346895d8f79a2/html5/thumbnails/57.jpg)
Business Impact Analysis
Súčasťou BIA je stanovenie minimálnych úrovní zdrojov potrebných pre obnovenie kritických činností v stanovených časoch a na stanovených úrovniach.
©JV- MBIS ´11 57
![Page 58: Manažment bezpečnosti](https://reader035.vdocuments.site/reader035/viewer/2022062308/56812b59550346895d8f79a2/html5/thumbnails/58.jpg)
Kroky BIA
identifikovať činnosti, ktoré podporujú dodávku ich kľúčových produktov a služieb;
ohodnotiť dopady, pokiaľ dôjde k narušeniu týchto činností, a vývoj týchto dopadov v čase;
©JV- MBIS ´11 58
![Page 59: Manažment bezpečnosti](https://reader035.vdocuments.site/reader035/viewer/2022062308/56812b59550346895d8f79a2/html5/thumbnails/59.jpg)
Kroky BIA ... určiť maximálnu tolerovanú dobu narušenia
činnosti (Maximum Tolerable Period of Disruption, MTPD alebo také Maximum Tolerable Outage, MTO), po ktorú sú dopady pre organizáciu ešte akceptovateľné, t. j. po ktorú ešte nie je životaschchopnosť organizácie ohrozená v prípade narušenia dodávok produktov alebo služieb,
©JV- MBIS ´11 59
![Page 60: Manažment bezpečnosti](https://reader035.vdocuments.site/reader035/viewer/2022062308/56812b59550346895d8f79a2/html5/thumbnails/60.jpg)
Kroky BIA ...
identifikovať kritické činnosti a určiť priority ich obnovy na základe predchádzajúcich krokov určenia dopadu a MTPD pre jednotlivé činnosti.
Za kritické činnosti je možné považovať činnosti s najväčšími dopadmi v najkratších časoch - tieto činnosti by mali byť obnovené čo najskôr;
©JV- MBIS ´11 60
![Page 61: Manažment bezpečnosti](https://reader035.vdocuments.site/reader035/viewer/2022062308/56812b59550346895d8f79a2/html5/thumbnails/61.jpg)
Kroky BIA ... pre každou kritickou činnosť určiť dobu jej obnovy na
požadovanú (čiastočnú alebo plnú) úroveň (Recovery Time Objective, RTO).
Nastavenie RTO - optimálna hodnota RTO môže byť hodnota, kedy sa finančná strata, spôsobená narušením rovná nákladom na jej obnovu.
Musí byť menšia ako jej identifikovaná maximálna tolerovaná dobe narušenia (MTPD);
určiť minimálnu úroveň zdrojov potrebných k obnove činnosti (ľudia, budovy, technológie, informácie alebo dodávky služieb.
©JV- MBIS ´11 61