Scribd Logo
Upload

Welcome to Scribd!

  • IKT Spremnost Za Upravljanje Kontinuitetom Poslovanja

    Uploaded by

    Nedzad Altumbabic
    61 views9 pages
    danas nam je ikt spremnost najbitnijaa

    Original Title

    IKT Spremnost Za Upravljanje Kontinuitetom Poslovanja(1)

    Copyright

    © © All Rights Reserved

    Available Formats

    PDF or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document
    danas nam je ikt spremnost najbitnijaa

    Copyright:

    © All Rights Reserved
    Download as PDF or read online from Scribd
    Flag for inappropriate content
    61 views9 pages

    IKT Spremnost Za Upravljanje Kontinuitetom Poslovanja

    Uploaded by

    Nedzad Altumbabic
    danas nam je ikt spremnost najbitnijaa

    Copyright:

    © All Rights Reserved
    Download as PDF or read online from Scribd
    Flag for inappropriate content
    of 9
    mr. Haris Hamidovié, dip. ing. el. IKT spremnost za upravijanje kontinuitetom poslovanja ICT Readiness for business continuity Saietak Elomentame nepogode, djela terorizma, tehnolo&ke nesrete | ekolo&Ki inci- denti jasno su pokazali da ni javni ni privatni sektor nisu imuni od kriza, iza- zvanih namjemo ili nenamjemo. Ovo je coveio do stvaranja globaine svijest! o tome da organizacie ujavnom i privatnom sektoru moraju znati kako se pripre- mit za, i cdgovorii na, neotekivane i potencjaino razome incidente, Eflkasno upravijanje kontinuitetom poslovanja Gesto ovis! 0 djelotvomj IKT pripravno- sti, kako bi se osiguralo da ée se ciljevi organizacija ostvarivati i za vrieme poremetaja. U ovom radu predstavijamo znaéaj IKT spremnost za upraviianje kontinuitetom posiovanja. Kijuéne rijegi: upravijanje kontinuitetom postovania, BCM, IKT spremnost Abstarct Natural disasters, acts of terror, technology-related accidents and environmen- tal incidents have clearly demonstrated that neither public nor private sectors, are immune from crises, either intentionally or unintentionally provoked. This has led to a global awareness that organizations in the public and private sec- tors must know how to prepare for and respond to unexpected and potentially devastating incidents. Etfectve business continuity management often depen- ds on effective ICT preparedness to ensure that the goals of the organization will be realized during the time of disturbances. In this paper we prosont the importance of ICT readiness for business continuity management. Key words: Business Continuity Menagement, BCM, ICT readinesst 1, UVOD Sve poslovne aktivnosti podlodne su pre- kidima, kao Sto su kvar tehnologije, po- plava, prestanak rada opreme i terorizam, Istrazivanje provedeno od Instituta 2 Kontinuitet poslovanja iz Velike Britani- Je, britanske Nacionalne antiteroristiske ‘habe sigumosti i poslovne grupacije London First ukazuju dau prosjeku 1-5 organizacijaiskusi neki oblik neplanira- nog Stetnog dogadaja svake godine. Posljedice incidenata se razlikuju i ‘mogu biti dalekoseine. Ove posljedice ‘mogu ukljutivati Ijudske értve, gubitke imovine ili prods ili nemoguénostispo- ruke proizvoda i usiuga 0 Kojima moze ovisiti strategija, ugled si &ak opstanak organizacije. Upravijanje kontinuitetom postovanja (engl. Business Continuity Management BCM) je dopuna okosaice uprevijanja rizikom koja omoguéuje razumijevanje rizika. postupaka ili poslovanja i poslje- dice th rizika, Upravijanje rizikom zahtijeva nadzor rizika u vezi s kljuénim proizvodima i uuslugama koje organizacija isporuévje. Isporuka proizvoda i usluga moze se pre- kinutiusljed mnostva incidenata od kojih jemnoge tedko predvidjet il &ije uzroke je tesko analizirat Time Sto se ustedototuje na utjeca) prekida, BCM utvrduje one proizvode i usluge o kojima ovisi opstanak organiza cije i moze utviditi sta je potrebno da bi ‘organizacija nastavilas ispanjenjem svo- jih obaveza. Putem BCM-a, organizacijs mo2e prepoznati Sta je potrebno ueinit prije nego se dogodi incident, da bi se zaStitil njeni ljudi, prostori tehnologija, informacije, lanac dobave, zainteresirani iivgled ' tim spoznajama, orgenizacija mode zatim realno sagledati potrebne vjero vatne akcije ako i kad se dogodi prekid, tako da se maze pouedati upreviadavanje bilo kakvih posljedica bez. nepritwatljve odgode u isporuci njenih proizvoda il usluga. (BS 25999-1:2006) Tokom godina, informacijske i ko munikacijske tehnologije (IKT) postale su sastavni dio mnogih aktivnosti koje suelementikrititne infrastrukture u svir= TELEKOMUNIKACLE 10,38, 29 corganizacijskim sektorima, bilo javnim, privatnim ili dobrovoljaim, Sirenje in- temeta i drugih elektronickih. mreznih usluga, te danainje moguénosti sistema i aplikacija, Cine da organizacife postaju sve vise ovisne o pouzdanim i sigurnim IKT infrastrukturama i uslugama. (SO! IEC 270312011) Poremetaji [KT usluga, ukljuéujuéi i pejave siguenosnih pitanja, kao 80 su upa- di usisteme i zaraze maliciozaim kodom, utjecat 6e na kontinuitet poslovanja. Stoza Uupravijanje IKT kontinuitetom i odgova- rajuéim aspektima informacijske sigurno- sti Gini kijuéni dio zahtjeva kontinuiteta poslovanja, Osim toga, u vedni shutajeva, [kititne poslovne funkeije koje zahtijevaju ontinuitet poslovanja obigno su ovisne 0 IKT.u, Ova ovisnost aati da poremeés} IKT.a moze predstavljatistrateSkirizik za cugled organizacije i njenu sposotnost za izvetavanje posloynih operacija Efikasno upravijanje kentinaitetom poslovanja Cesto ovisio djelotvorno} IKT pripeavnosti, kako bi se osiguralo da ée se ciljevi onganizacije ostvarivati i za vrije- ‘me poremeésja, Kako bi organizactja ostvarila IKT spremnost za Koatinuitet poslovanja (engl. ICT Readiness for Business Con- timity — IRBC), potrebno je uspostavit sistematski proses za spreavanje, pred- ‘vidanje i upravijenje IK poreme¢ajima i incidentima Koji imaju potencijal da cometaju IKT usluge. 2, RALUMIJEVANJE ORGANIZACIJSKIH BCM POTREBA « Organizacija postavlja svoje BCM pri oritete i oni su ti koji odreduju IRBC aktivnosti, (SOMEC 270312011) U ontekstu kontinuiteta poslovanja, razu- mijevanje organizacije ostvaruje se pu- tem: (BS 25999-1:2006) = prepoznavanja.cijeva.organizacie, obaveza.zainteresiranih, zakonskit obaveza i okoline w kojoj onganizacija jetyje; — prepozaavanje aktivnosti, sredstava i resus, ukljudujuéi i one’ izvan o ganizacije, koje podZavaju isporuku ovih proizvoda i ustuga; ‘TELEKOMUNKACUE 10,28, 2011 — procjenjivanje uijecaja i postjedica tokom vremena prekida ovih aktivno- sti, sredstava iresursa; = prepoznavanje i vrednovanje opaie- nih prijetnji koje bi mogle prekinati june proizvode i usluge organiza- ‘ij i kljutne aktivnosti,sredstua i re surse koji ih podrzavaju. 2.1, Analiza utjecaja na poslovanje Organizacija bi trebalo da odredi i doku- mentira utjecaj prekida aktivnosti koje podréavaju kijutne proizvode i usiuge Ovaj postupak se obiéno naziva analizom utjecaja_na poslovanje (engl. Business Impact Analysis — BIA), Za svaku aktivnost koje podrdava is- porukcu kijucnih proizvoda i usluga unu- tar opsega svog BCM programa, organi- zacija bi trebalo da: a) procijeni, okom vremena,uijecale do kkojth Ge doi ako se aktivnost preli- te; b) utvidi najéuti dozvoljeni period prekida svake aktivnosti time Sto ée cared: 1. najdui period, od potetka preki- da, nakon kojeg je potrebno nasta- viti aktivnost, 2. najniéu razinu uspostaviianja ak- tivnosti nakon njenog nastavka, 3. period unutar kojeg je potrebno nastaviti s nomalnim razinama aktivnosti ©) utvrdi meduovisne aktivnosti, sred- stva, infrastrukturnu podrSku ili re- surse koje je, takoder, potrebno ne prestano ocirzavat ii oporaviti tokom vyremena, ‘Tokom prckida, 5 yremenom se ute caji obi¢no povecavaju i narazliite nati- ne uitjeéu na ravlitite aktivnosti. Utjecaji sc, takoder, moga razlikovati ovisno © danu, mjesecu ili fazi Zivotnog cikluse peslovanja Priliko procjenjivanja utjecaj, orga nizavija bi trebalo da razmotri one ulje- caje koji se odnose na njene poslovne tein, ciljeve i zainteresirane. Oni mogu sadreavat = utjecaj na osoblje ili javnu dobrobit; — utjecaj Stete na, ili gubitak, prostora, ‘tehnologiie, informaeija; 29 = utjecaj krenja zakonskih obaveza ili nadzomih zahtjeva; — Stetu ugledu: — Hetu finansijske odrzivost: — pogorianje kvaliteta proizvoda i uslu- Ba — Stetan utjecaj na okoli. 2.2, Utvrdivanje kijugnih aktivnosti ‘Najdu2i podnoSijivi period prekida ée pri odredivanjuu BCM strategija utjecati na ino vrijeme oporavka svake aktivnosti. Organizacija moze razvrstati svo- je aktivnosti prema njihovom prioritetu ‘oporavka. One aktivnosti &iji Ge gubi ‘ak, utvrden tokom analize utjecaja na poslovanje (BIA), imati najveti utjecaj ‘v najiragem yremena i koje je potrebno ‘uspostaviti u najkraGem periodu, mogu se ‘oznakiti kao “kljuéne aktivnosti”. Svaka kljugna aktivnost podréava jedan ili vie Aljucnih proizvoda ii usluga. ‘Organizacija moze htjeti_ustje fi svoje aktivnosti planiranja na Kljutne aktivnosti, medutim, mora biti svjesna da i ostale aktivnosti treba oporaviti unutar jihovog najveseg dozvoljenog perioda prekida. [Najduii period za uspostavlianje ak- tivnosti moze biti od nekoliko sekund do nckoliko mjeseci, ovisno 9 prirodi aktivnosti. Aktivnosti koje su vremenski ‘osjetljive mogu zahtijevati utvrdivanie s yelikim siepenom preciznosti, naprimjer, do minute ii sata, Aktivnosti koje su ma- je vremenski osjetjive zahtijevaju ma- ju precimost. 2.3. Odredivanje zahtjeva kontinuiteta Organizacija bi trebalo da procijeniresur se potrebne za svaku aktivnost prilikom njenog nastavka. Oni mogu sadréavati — osoblje, ulljutujuéi broj, strusnost i zavaaja (judi); — potrebne radne prostore i opremu (prostor): ~ tehnologiju podeSke, postrojenja i ‘opremu (tehnologija) ~ pripremu informacija (u elekiron- ‘kom ili Stampanom obliku) 0 pret- hhocnom tit ‘ekuéem radu, koje su u dovoljnoj meri asvjedene da bi omo- ‘guéile eikasan nastavak aktivnosti na informacje) | ~_ vanjske usluge i dabavjaze (zal), Tehnologija_podrazumijevaupotre bu opreme u najSirem smislu i vazna je za organizaciju. Tehnologiia moze sadr- Yavati, medatim, nije ogranigena samo na, softver, hardver,telekomunikecijshu ‘opremu ili bilo koje drugo postrojenje i alate koji su btn 2a sposobnost obrade i Froizvodnje. 2.4, Procjenivanje rizika kljuénih aktivnosti U kontekstu BCM-, razinu izika bi trebalo razumjeti posebno u odnost na ijutne aktivnosti organizacije iriziknji- hnovog prekida, Resursi, kao Sto su fudi, prostori, tehnologija,informacije, doba- va i zainteresirani, podr¥avaju Kljuéne aktivnosti. Organizacija bi trebalo da ra- ‘zumije prijeinie ovim resursima, ranjivo- sti evakog resursa i utjeca] koji bi ako prijetnje postane incident i uzzokuje prekid poslovanja Koji pristup procjenjivanja rizika cdabrat, u potpunosti je odluka organi- zacije, medutim, yaano je da je pristup pogodan i da odgovara zahijevima orgs- nizacije. 2.5, Odredivanje izbora Kao rezultat analize utjecaja na poslova- nje (BIA) i procjenjivanje rizike, organi- zacije bi trebalo da utvidi mere 2a: ~ smanjenie vjerovatnosti prekida; — skraGenje perioda prekida; ~ ograniavanje uijecaja prekida na Kejutne proizvode i usluge organiza- ij. ‘Ove mjere su poznate kao “ublazava- je gubitka i obrada rizika’ Strategije za ublazavanje rizike mogu se koristiti zajedno s drugim opeijama, budusi da nije moguée sprijetiti sve ri- ike ili th smanjti na peihvatljiva razinu, Organizacija bi mogla za svaku Kijuénu aktivnost ukljutijednu ili sve strategie navedene u nastavku. (BS 25999-1:2006) 2.5.1, Kontinuitet posiovanja ‘Ako se 2a kijutni proizvod ili uslugu ‘odlabere Kontinuitet poslovanja kao stra- tegija,trebalo bi utvrditi ciljno vrijeme ‘oporavka (engl. Recovery Time Object TELEKOMUNIKAQUE 10, 33,2019 ye ~ RTO) i prema tom cilju procijeniti strategie Kontinuiteta, Strategije kontinuitete zahtijevaju po~ boljSanje organizacijske prilagodljivosti na prekid time Sto Ge nastaviti s kijuenim .stima na prihvatjivaj najniPoj rae Zini, ili 6eth oporaviti do te razine, unutar ‘remena utyrdenog analizom utjecaja na poslovanje (BIA) 2.8.2, Prihvaéanje Rizik bi mogao biti prihvatliy bez podu- ahaeaid iota alata: Cak ain Whe prihvatjiv, sposobnost da se u vezi s rie zikom bilo sta uéini mogla bi biti ograni- ena ili bi troSak poduzimanja bilo kakve akefje mogao biti zratno veei od poten cijalnog dobitka. U ovim slucajevima, reakeija bi mogla tolerirati postojeéu ra- zinu rizika, ukoliko glayna yprava odluéi a je rizik prinvatjiv 1 unutar sklonosti organizacie riziku.. Pod nekim.okolno- stima, utjeea rizika bi mo, normalne sklonosti organi medutim, usljed male vjerovainosti poja- ve rizika Vili neekonomitnog tro8ka kon- twole, glavna uprava moze prilvatitirizik. Prihvaéanje moze biti dopunjeno pla~ nom 2a obradu utjecaja koji é nas ako se rizik ostvari, 2.53, Prijenos Za neke rizike, najbolja reakeija moze bith njihov prijenos. Ovo bi se moglo ivesti standardnim osiguranjem ili ugo- uzimanje rizika na drugatiji natin, Ova ‘opeija je posebno dobra za ublazavanje finansijskih rizika ili rizika kojem je izlo- 1. Riziei se mogu prenijeti umaniila izlozenost organizaciie zato Ho druga organizaci yece moguénosti efkasnog upravijanja rizikom, Vaino je napomenti da se neki rizici ne mogu (potpuno) prenijti, kon- Kretno, opéenito vrijedi da nije mogué Minos rzika ugleda, Cak niti raskidom Lugovora o isporuei usluge Ugovaranje osiguranja moze biti dio strategie obrade rizika, koje Ce donije- Ui finansijsku naknadu za. neke gubitke. Narayno, neke gubitke nije moguée u ci- jelosti osigurati (kao Sto su neosigurani TELEKOMUNIKACKIE 10,39 2011 incidenti, stete nanesene marki il ugleda, subitak vrijednosti zainteresiranih, sma- njenje udjela u tistu i ljudske posljedi 2), Sam finansijski dogovor ge teSko u potpunosti zastiti organizaciju na natin koji ée zadovolliti o&ekivanja zaintere- siranih. Pokrige osigurania é¢ se, vjero- ‘ani, Koristiti zajedno s jednom ili vide drugih strategiia 2.5.4. Promjena, obustava ili raskid Pod nekim okolnostima modds é¢ biti po- godno promijenti, obustavit ili raskimuti uslugu, proizvod, aktivnost, funkeiju ili proces. Ovu opeiju treba razmotriti samo ‘amo géje nema sukoba ciljevima orga- nizacije, zakonskim obavezama i o¥eki- vanjima zainteresiranih. Ova) pristup 6e se, najyjerovatnije, razmotrti tamo gdje usluga, proizvod, aktivnost, fankeija ili proces imaju ograni¢en vijek tajanja 3. ULOGA IRBC-A U UPRAVLJANJU KONTINUITETOM POSLOVANJA Kao dio BCM procesa, IRBC se odnost na sistem upraviianja koji nadopunjuje i podrava organizacijski BCM program, kako bi se unaprijedila spremnost organi- zacije da: (ISO/EC 2703 1:2011) ‘dgovori na stalno mijenjajuse ririke izoknuzenja; — osigura nastavak kriticnih posiovnih operacija podr?anih 1KT uslugama: codgovori prije nego se dogode pore- meéaji IKT ustuga, nakon detekcije jednog ili niza povezanih dogadaja koji mogu postati incidenti i — odgovori i oporavi se od incidenata/ katastrofa i prekida. Aktivnosti ukljugene u BCM obu- hvataju incident pripravnost, upravljanje ‘operaiivnim kontinuitetom, planirania ‘oporavaka od katastrofa (engl. disaster recovery planning ~ DRP) i ublazavanje rizika Koji se fokusiraju na poveéanje fleksibilnosti organizacije i pripremu 2a cfikasno djelovanje u sluéaju incidenata i oporavak unutar unaprijed odredenog ‘vremenskog intervals 31 BCM ovisi o IRBC-u, kako bi se o guralo da organizacija maze sve vrijeme ispuniti svojeciljeva u vezi s kontinuite- tom, a osobito u vnijeme poremetaja, Aktivnosti IKT spremnostiimaju cil ~ poboljati sposobnostotkrivanja inci- dents; — sprijtiti gle ili drasténe kvarove; — omoguéiti prihvathivu degradaciju operativaog statusa, ukoliko je kvar nezaustavli shratit vrijeme oporavka i ~ minimizirati ujecaj uzrokovan evea~ tualnom pojavom incidenta 3.1. Prineipi IRBC-2 IRBC se uspostavija na temeljusljedecih Mintnih pdel: (SOMEC 270312011 Prevencija incidenata — Zattita IKT usluga os prijemji, kao to su okoliSni i hardverski kvarovi, operativne greS- ke, alonamjerni napadi i prone ka- tastrofe, jeste kritina za odrzavanje Zeljene razine raspoloFivesti sistema 2a organizaciju. ~ Detekoija incidenata ~ Otkrivanje in- cidenata unaikragem roku ée minimi- iratiutjecajna usluge, smanijiti napor ‘oporavka ji ofuvati kvaltem usluge ~ Odgoyor — odgovor na incidente na najprimjerenijinatin dovestée do ef- s operavaka i smanjivanja 23- stoja. Slaba reaketja moze wéiniti da ‘manjiincident eskairau neSto mnogo = Oporavak — Iéentifciranje 1 proved- ba odgovarajuse strategije oporava- ka Ge osigurati pravovremeni nasia- vak usluga i odravanje integriteta podataka. Razumijevanje prioriteta ‘oporavka omogusuje da najkritinije usluge budu prve ebnovljenje, Uslu- ‘ge manje kritigne prirode mogu biti ‘ponovno uspostavljene naknadno ili, ‘unekim okolnostima, ne moraju biti ‘uopée obnovijenje. = Poboljfanje — Iskustva nauiena iz malih i velikih incidenata treba do- kumentirai, analizirati i pregledat. Razumijevanje ovih lekeija omogusit €e da se cxganizacije bolic pripreme, kontroliraju i izbjegavaju incidents | prekide 4, IRBC OPCUE STRATEGIE Orpanizacija bi trebalo da razmotsi stra~ tedke opeije 2a svoje kljuéne aktivnosti { resurse koje svaka aktivnost zahtijeva kod svog obnavljanja. Najpogodnija stra- tegijailistrategije ovisit Ge 0 nizn faktora ao Sto su: = najduzi podnostjivi period prekida kljuéne aktivnosti; = troskovi primjene strategie ii strate- sia = posljedice w stuéaju ne poduzimanja nikakye akcije. Strategije bi mogle zantijevati sijede- 6 organizacijske resurse: strudnost i znanje; — prostore; ~ tehnologiiu informacje; ~ dobavijate. 41. Struénosti iznanja Organizacija bi trebalo da uividi odgova- rajuée strategiie za odr2avanje temeljne IKT strugnosti i zmanja. Ova analiza bi trebalo da obuinvati sve, od zaposteni do ‘ugovornih saradnika i drugih zainterest- ranih koji posjeduju opse”nu struénost i ‘manje. Strategie za zastitu ili osiguranje ‘ovih strugnin znanja mogu sadrzava 2), dokamentaciju nagina na koji se izvo- de kijuéne aktivnosti; ») visestrucno obucavanje osoblja i ugzo- -vorni saradnika; ¢) odvajanje temeljnih stragnih ananja dda bi se smanjila koncentracijarizika (ovo bi moglo znatitifizitko odvaja- nije osoblja s temeljnim strugnim zna- nijima ili osiguranje da dvije ili vise soba posieduju neophedna temelina strugna znanja); 4) oristenje tretih strana; ©) pilaniranje neprekinutog nastavka i 4) zade2avanje i upravijanje manjem 4.2. Prostori Organizacija bi trebalo da osmisli strate- giju za smanjenje utjecaja nedostupnosti svojin normalnit radnit prostora. Pritom. se moze obuhvaiit sliedete: “TELEVONUNIKACIE 10, 33,2011 4) alternativai prostori (lokacije) umutar organizacije, ukijweujui razmjestaj druzih aktivnost; ») alterativni prostori koje osiguravaju druge organizacije (bilo na temelju reciprociteta ili drugatijih sporazu- ma): «) alternativni prostori koje osiguravaju strucnjaci tree strane; ) rad kod kuée ili na udaljenim mjsti- €) rugi dogovoreni pogodni prostorii ) upotreba altemativne radne sile na utvedenom mjestu. ‘Napomena: Ako je potrebno preseliti cosoblje-u druge prostore, ovi prostori bi ‘morali biti dovoljno blizu da bi osoblje bilo voljno i u moguénosti tamo putova- ti, uzimajusi u obzir bilo koje moguce petetkode uzrokovane incidentom. Me- ddutim, alternativni prostori ne bi smjeli biti toliko blizu da bi ina njih utjecao ist incident. U planicanju kontinuiteta poslovanja, rezeryna rjesenja za obradu podataka i cmunikacijskih postrojenia postaju ko- risna tokom razdoblja. manjih ispada te neophodna za osiguranje informacija raspolovivosti usluga tokom katastrofa il neuspjeha za (poipuni) oporavak sktiv- host tokom yremena. Faktori kao Sto su stabilnost okruenja, dobra infrastruktura i dostupnost kvalifcirane radne snage na Jokalnoj razini, mogu pruZiti_ povoljno okrudenje za operaciju IKT DR lokacije 2a oporavak. (ISO/TEC 24762:2008) 43. Tehnologija IKT usluge od kojih kritiéne posiovne aaktivnosti ovise trebalo bi éa bud do- stupne prije obnavijanja o njima ovisaih kitignih poslovnih aktivnosti, Ovakva rjeSenja 9u potrebna kako bi se osigurala dostupnost aplikacija unutar odredenih rokova, npr. RTO-a odredenog tokom BIA. Tehnoloske platforme i aplikacijski ssoftver bi trebalo da bude postayjen vremenskom roku Koji zahtijeva organi- zacijau gjelin IKT tehnoloske strategije-mogu ukljudivat: ‘Vruéa rezerva (engl. Hot Standby), Kojoj se IKT infrastruktura replicira preko dva lokalite TELEKOMUNKACUE 10.38.2011 ~ ‘Topla rezerva (engl. Warm Standby), 1u kojoj se oporavak odvija na sekun- darnoj lokaciji na kojoj je IK infta- struktura djelomigno pripremliena: — Hladna razerva (engl. Cold Standby), 1u kojoj je infrastruktura izgradena ili konfigurirana od nule na altemativnoj lokseiji — Aranamani isporuke (engl. Ship-in arrangements), u kojoj vanjski pruza- telji usluga osiguravaju hardver i — MjeSovitiaranzmani prethodno nave- denih strategia. 4.4, Informacije Informacijske strategije bi trebalo da budu takve da osiguraju zaitite i mogvé- ost oporavka u skladu s_yremenskim okvirima opisanim u analizi utjecaja na poslovanje (BIA) onih informacija koje su kijucne za djelovanje organizacije. Svaka informacija potrebna za odvi- janje kijubnih aktivnosti organizaedje tre- balo bi da ime odgovarajucu: ~ povjeriivo — gelovitost; — dostupnost i = tekuéu valjanost. Informacijske strategije bi trebalo da budu dokumentirane radi oporavka infor- macija koje jo8 nisu kopirane ili pohra- ajene na sigumoj lokaef. Informacijske stratezije bi trebalo progiriti tako da sade: ~ fizitke formate (kopiie) i ~_ virtuaine (elektronicke) formate U svim sluéajevima, informac tucbalo obnoviti do onog vremena s ko- jim je upoznata i kojez je dogovorila sglavna uprava. Mogu se keristtirazligii hatini kopiranje, naprimjet, elektronitke rezervne kopije ili kopije na yrpei, mi kerofilmovi, fotokopije,iarada dvostrukih Kopija u trenutku proizvodnje i tako da- lie. Ovo poznato vriieme oporavka testo se naziva “ciljana tatka oporavka” 2a po- datke (Recovery Point Objective — RPO), ‘odnosno Koliko unatraz Ge biti moguée rekonstruirati podatke ukoliko podaci bud unisteni unezgodi ‘Arantmani za dostupmost podata- ka treba da budu uskladeni sa zahijevi- ima identificiranim unutar [KT stratexije 33 “upravijanja kontinuitetom, a mogu uklju- ivati: = Dodatnu pobrana podataka w formatu Koji osigurava njihovu dostupnost u ‘yremenskom interval utvidenom u programu kontinuiteta poslovanja i — Altemativne lokacije za pohranu po- dataka, koje mogu bit fizitke ili vir- tualne, pod uyjetom da se odrzava sigumost i povjerljivost podataka, na natin da odzovarajuce pristupne pro- cedure bud uspostavijene, Ukoliko je ugovorenapohrana_informacija preko treée strane, viasnici informa- cije tweba da se uvjete da su odgova- rajuée kontrole uspostavljene 45. Procesi Pri odabiru svojih IRBC strategija, ot- anizacije treba da razmotre procese ne- ophodne kako bi se osigurala odriivost strategija, ukljueujuéi i one neophodne u preveneijiinciderata, otkrivanju inci- denta, odgovora na incidente i oporavak 04 katastrofa. Organizacije,takoder, tre- ba ca idertificiaju sve Kijuéne faktore potrebne za efikasnu provedbu tih poje- dinasnih procesa, npr. kljucne vjestine, Kritiéni podaci, ‘kljusne podriavajuée tehnologij il kritiéna opremaiprostori. Procest kontinuiteta i oporavaka mo- raj biti dokumentirani, jasno i dovolino podrobno, kako bi se omogutilo kompe tentom osoblju da ih izvrSava. Ovi pro- cesi mogu se razlikovati od procesa unu- ‘ar uobigajenog poslovanog okrazenja 4.6. Dobavjaéi Organizacije treba da identificiraju i do- ‘kumentiraju vanjske ovisnosti koje po- dreavaju IKT usluge te poduzmu odgo- varajuce korake, kako bi se osiguralo da kritiéna oprema i usluge mogu biti ispo- ruceni od dobavljaca u unaprijed dogovo- renim rokovima, Takve ovisnosti most posto hardver, softver, telekomunikacije, apli- kacije, teéu stramu hosting usluge, ko- munalne usluge i okoliina pitanja, kao ‘to su Klimatizacija, pragenje stanja oko- lisa i suebijanje pozara. Strategije za te ushuge mogu ukljuditi Euvanje dedatne opreme i kopija sof- {vera na drugoj lokacii; = brz popravak i/ili zamjenu neisprav= nih dijelova u slutaju kvara opreme; = dvostruku opskrba Komunainih uslu- sa, kao Sto je energija i telekomuni- kacijes hjeve IKT Kontinuiteta i upravljanja Kontinuitetom postovanja u ugovore s partnerima i davateljima uslugs. Ugovor bi trebalo da ukljuduje stavke u vezi obavezama svake stranke, dogovorenim rarinama ustuge, planiranjem odgovora na veée incidente, trotkom angaziranja, ucestalosti vjezbanja i korektivmim rad- njama, 5. ZAKLJUCAK Elementame nepogode, djels terorizma, tchnoloSke nesteée i ckoloski incident Jasno su pokazali da ni javni ni privat- ni sektornisu imuni od Kriza, izvanih namjemo ili nenamjemo, Ovo je dovelo do stvaranja globalne svijesti o tome da organizacije u javnom i privatmom sekto- ‘a moraju znati kako se pripremiti za, i ‘odgovoriti na, neotekivane i potencijaino razome incidente. ‘Organizacijska clastiénost (engl. re- silience) zahtijevaproaktivne pripreme 1a potencijalne incidente i prekide, kako bi se izbjegle obustave krtiénih operas Ja usluga, ii ukoliko operacije i usluge budu prekinute, obmavijanje poslovanja i ‘usluga Sto je brde moguée, prema zahtje- ‘yu onih koji oviseo njima Efikasan incident pripravnosti i upravijanje operativnim kontinuitetom zahtijevaju temeljau kultumu promjenu unutar organizacije, koja ukljutuje pri- hvadanje neizvjesnosti i nesavrienost Na svim razinama organizacije treba ci- Jenit da je rzik svojstven u svakoj odluci iaktivnosti te dadio tog rizika ima poten

    You might also like