Prezantim i krijimit dhe implementimit te nje Disaster Recovery Plan - Plani i Rimëkëmbjes ndaj katastrofave (DRP)
Një plan i rimëkëmbjes ndaj katastrofave (DRP) është një qasje e dokumentuar dhe e strukturuar me udhëzime për t'u përgjigjur incidenteve të paplanifikuara.
Ky plan hap pas hapi përbëhet nga masat paraprake për të minimizuar efektet e një katastrofe në mënyrë që organizata të vazhdojë të operojë ose të rifillojë shpejt funksionet kritike të misionit. Në mënyrë tipike, planifikimi i rikuperimit të fatkeqësive përfshin një analizë të proceseve të biznesit dhe nevojave të vazhdimësisë.
2. HYRJE ( DRP )
■ Një plan i rimëkëmbjes ndaj katastrofave (DRP) është një qasje e dokumentuar dhe
e strukturuar me udhëzime për t'u përgjigjur incidenteve të paplanifikuara.
■ Ky plan hap pas hapi përbëhet nga masat paraprake për të minimizuar efektet e një
katastrofe në mënyrë që organizata të vazhdojë të operojë ose të rifillojë shpejt
funksionet kritike të misionit. Në mënyrë tipike, planifikimi i rikuperimit të
fatkeqësive përfshin një analizë të proceseve të biznesit dhe nevojave të
vazhdimësisë.
■ Procedurat e hollësishme të rimëkëmbjes dhe supozimet e individit ose të një grupi
të burimeve të informacionit elektronik kritik të misionit të ndërvarur ose
shërbimeve thelbësore të IT-së ruhen në Planin e Kontigjentit të Sistemit të
Informacionit të Departamentit / Njësisë (ISCP
3. ▪ Strategjia e rimëkëmbjes nga katastrofat duhet të fillojë në nivelin e biznesit dhe të
përcaktojë se cilat aplikacione janë më të rëndësishme për drejtimin e organizatës
▪ Në përcaktimin e një strategjie të rimëkëmbjes, organizatat duhet të konsiderojnë
çështje të tilla si:
▪ Buxhetin
▪ Burimet - njerëzit dhe objektet fizike
▪ Pozicioni i menaxhmentit mbi rreziqet
▪ Teknologjia
▪ Të dhënat
▪ Furnizuesit
Strategjitë e rimëkëmbjes
4. Procesi i DRP është më shumë se një
dokument
■ Përpara shkrimit, analiza e rrezikut dhe analiza e ndikimit të biznesit ndihmojnë në
përcaktimin se ku duhet të përqendrohen burimet në procesin e planifikimit të
rikuperimit të fatkeqësive
■ RA identifikon kërcënimet dhe dobësitë që mund të prishin funksionimin e
sistemeve dhe proceseve të theksuara në BIA. RA vlerëson gjasat e një ngjarjeje
shkatërruese dhe përshkruan ashpërsinë e saj të mundshme
■ Plani duhet të përcaktojë rolet dhe përgjegjësitë e anëtarëve të ekipit të shërimit të
fatkeqësive dhe të përshkruajë kriteret për të nisur planin në veprim.
■ Plani pastaj specifikon, në detaje, reagimin e incidentit dhe aktivitetet e
rimëkëmbjes.
5. Lista e kontrollit të planit DR përfshin
hapat e mëposhtëm
■ Vendosjen e fushës së veprimtarisë;
■ Mbledhjen e dokumenteve relevante të infrastrukturës së rrjetit;
■ Identifikimin e kërcënimeve dhe dobësive më serioze, si dhe mjeteve më kritike;
■ Rishikimin e historisë së incidenteve dhe ndërprerjeve të paplanifikuara, dhe mënyrës së trajtimit të tyre;
■ Identifikimin e strategjive aktuale DR;
■ Identifikimin e ekipit të reagimit emergjent;
■ Duke pasur parasysh rishikimin dhe miratimin e planit të rimëkëmbjes nga fatkeqësitë;
■ Testimin e planit;
■ Përditësimin e planit; dhe
■ Zbatimin e një auditimi të planit DR.
6. Elementet që formojnë DRP
Elemente të tjerë të rëndësishëm të një plani të planit të rimëkëmbjes të fatkeqësive
përfshijnë
■ Deklarata e qëllimit dhe deklarata e politikës DR
■ Plani i qëllimeve
■ Mjetet e autentifikimit, të tilla si fjalëkalimet
■ Rreziqet gjeografike dhe faktorët
Këshilla për t'u marrë me median
Informacioni financiar dhe ligjor dhe hapat e veprimit
Plani i historisë.
7. Fushëveprimi dhe objektivat e
planifikimit të DRP
■ Mund të jenë deri në 100 faqe të gjata.
■ Buxheti mund të ndryshojë gjatë përpilimit të tij.
■ Organizatat mund të përfitojnë nga burimet e lira, siç janë skemat e planit të DR online nga
SearchDisasterRecovery ose Agjencia e Menaxhimit të Emergjencave Federale.
■ Një listë kontrolluese e planeve të rimëkëmbjes fatkeqësisht përfshin identifikimin e sistemeve dhe
rrjeteve kritike të IT-së, duke i dhënë përparësi RTO-së, dhe duke përshkruar hapat e nevojshëm
për të rifilluar, rikonfiguruar dhe rimëkëmbur sistemet dhe rrjetet. Plani duhet së paku të
minimizojë çdo efekt negativ në operacionet e biznesit. Punonjësit duhet të njohin hapat bazë të
emergjencës në rast të një incidenti të paparashikuar.
■ Një vend për rikuperim të fatkeqësive që është afër qendrës primare të të dhënave mund të duket
ideale - në aspektin e kostos, komoditetit, gjerësisë së brezit dhe testimit - por ndërprerjet
ndryshojnë shumë në sferën. Një ngjarje e rëndë rajonale mund të shkatërrojë qendrën primare të
të dhënave dhe faqen e saj të DR nëse të dy janë të vendosura shumë afër së bashku.
8. Llojet specifike të planeve të rikuperimit
të fatkeqësive
■ Planet DR mund të jenë të përshtatura në mënyrë specifike për një mjedis të caktuar.
■ Plani virtual i rimëkëmbjes së fatkeqësive.
■ Virtualizimi ofron mundësi për të zbatuar shërimin e fatkeqësive në një mënyrë më
efikase dhe më të thjeshtë. Një mjedis i virtualizuar mund të krijojë instrumente të reja
të makinës virtuale (VM) brenda disa minutave dhe të sigurojë shërimin e aplikacioneve
nëpërmjet disponueshmërisë së lartë.
■ Testimi gjithashtu mund të jetë më i lehtë për t'u arritur, por plani duhet të përfshijë
aftësinë për të vërtetuar që aplikacionet mund të drejtohen në mënyrën e rikuperimit të
fatkeqësive dhe të kthehen në operacionet normale brenda RPO dhe RTO.
9. ■ Plani i rimekëmbjes të fatkeqësive në qendrën e të dhënave fokusohet ekskluzivisht
në objektin dhe infrastrukturën e qendrës së të dhënave.
■ Një vlerësim operacional i rrezikut është një element kyç në planifikimin e DRP .
■ Analizon komponentët kyç si vendndodhja e ndërtimit, sistemet e energjisë dhe
mbrojtja, siguria dhe hapësira e zyrave.
■ Plani duhet të trajtojë një gamë të gjerë të skenarëve të mundshëm
10. Planifikimi dhe menaxhimi
■ Agjencitë duhet të krijojnë një plan të vazhdueshmërisë së biznesit në ICT, planin e
ripërtëritjes së fatkeqësive të ICT dhe planin e përgjigjeve të incidenteve, në
përputhje me standardet e përcaktuara në Udhëzimet e Menaxhimit të Vazhdimit të
Biznesit të Komitetit të Sigurimit të WA WA dhe Udhëzimet për Menaxhimin e
Rrezikut.
■ Për të lehtësuar gatishmërinë e vazhdueshme, këto plane duhet të rishikohen,
testohen (ushtrohen) dhe të përditësohen çdo vit për të siguruar që ato të mbeten
bashkëkohore dhe efektive. Këto plane duhet të dorëzohen në Zyrën e Zyrtarit
Kryesor të Informacionit të Qeverisë për shqyrtim dhe përfundimisht të miratuar nga
Drejtori i Përgjithshëm i Agjencisë / Kryeshefi Ekzekutiv.
11. Parimet
■ Në vendosjen e një strategjie për vazhdimësinë e biznesit (Business Continuity Plan)
dhe rikuperimin e fatkeqësive, një agjensi ose organizatë duhet të marrë parasysh
aspektet e qeverisjes, njerëzve, procesit dhe teknologjisë në parimet e mëposhtme
të rekomanduara nga standardet ndërkombëtare për menaxhimin e vazhdimësisë
së biznesit:
■ Menaxhimi efektiv i rrezikut
■ Elasticitet i lartë
■ Përmirsim i shpejtë
■ Përgaditje e vazhdueshme
12. 1. Analiza e të gjitha kërcënimeve të
mundshme dhe reagimet e mundshme ndaj
tyre
■ DR duhet të marrë në konsideratë spektrin e plotë të "ndërhyrësve të mundshëm"
në biznesin tuaj, këshillon Phil Goodwin, drejtor hulumtues i mbrojtjes së të
dhënave, disponueshmërisë dhe rimëkëmbjes për firmën kërkimore IDC
■ Pastaj duhet të përcaktoni një plan të rimëkëmbjes për çdo skenar.
■ Sa më mirë që mundeni, përpiquni të parashikoni se cilat pengues potencialë janë
më të mundshëm. Mjerisht, sulmet kibernetike po bëhen "një skenar më i
mundshëm" këto ditë.
■ Pra, mund ti japim përparësi planifikimit të Cyberattack mbi disa ndërhyrje natyrore
në planifikimin tonë
13. 2. Analiza e ndikimit të biznesit (BIA)
■ Një BIA "identifikon dhe vlerëson efektet e mundshme (financiar, jetë / siguri,
rregullatore, ligjore / kontraktuale, reputacionin dhe kështu me radhë) të ngjarjeve
natyrore dhe të bëra nga njeriu në operacionet e biznesit
■ Plotësimi i një BIA për sistemet e mëdha të TI do të lejojë identifikimin e prioriteteve
dhe varësive të sistemit.
■ Kjo lehtëson prioritizimin e sistemeve dhe kontribuon në zhvillimin e strategjive të
rimëkëmbjes dhe prioriteteve për minimizimin e humbjeve.
■ BIA shqyrton tre objektiva të sigurisë: konfidencialitetin, integritetin dhe
disponueshmërinë.
14. 3. Njerëzit
■ Një gabim i zakonshëm që shumë organizata bëjnë në planet e tyre të DR është
përqendrimi shumë në teknologji dhe jo mjaftueshëm për njerëzit dhe procesin .
■ Identifikoni me emër personat kritikë të ngarkuar për t'iu përgjigjur një krize.
■ Sigurohuni që keni emailin, qelinë dhe numrat në shtëpi.
■ Bëni të qartë se kush do të thirret për të punuar gjatë një krize.
■ Dhe vendosni paraprakisht se kush do të flasë për kompaninë tuaj tek viktimat,
klientët dhe punonjësit në rast të një fatkeqësie.
15. 4. Përditësimet
■ Mund të ketë teknologji të reja ose oferta që do të vijnë së bashku që kur keni bërë
planet tuaja DR.
■ Planet DR janë të bazuara në supozimet rreth proceseve dhe mjeteve në dispozicion
në kohën e përfundimit të planeve.
■ Por këto supozime mund të ndryshojnë ndjeshëm, pasi evolucioni i teknologjisë
është më i shpejtë se kurrë më parë dhe inovacionet vijnë nga vende të pamundura.
■ Përparimet në shkencat kompjuterike, algoritmet parashikuese dhe
disponueshmëria e një kapaciteti të madh llogaritës me një çmim të arsyeshëm,
mundësojnë shfaqjen e qasjeve dhe zgjidhjeve të reja për të garantuar
qëndrueshmërinë e sistemeve të TI, disponueshmërinë dhe shërimin e fatkeqësive.
16. 5. Prioritetet
■ Identifikoni atë që është më e rëndësishme.
■ Jo çdo gjë në biznesin tuaj është e vlefshme për të shpëtuar ose duhet të mbrohet.
Informacioni juaj i pronarit, natyrisht, është. Por çdo informacion që është për lirimin
publik nuk është aq i rëndësishëm.
17. 6. Simulimi i rregullt praktik
■ Vetëm të kesh një plan DR nuk mjafton, paralajmëron Kulkarni.
■ Plani duhet të testohet rregullisht dhe njerëzit duhet të praktikojnë procedura, ashtu
si një shkollë i përgatit nxënësit e saj për stërvitje zjarri dhe emergjence në baza të
rregullta.
■ Nëse nuk praktikohet rregullisht, plani është i paefektshëm .
18. 7. Një konsideratë e DRaaS
■ Shërimi i fatkeqësive si një shërbim (DRaaS) është riprodhimi dhe mbajtja e
serverëve fizikë ose virtualë nga një palë e tretë për të siguruar një failover në rast
të një katastrofe të bërë nga njeriu ose natyror.
■ Këto shërbime të kërkuara nga ofruesit e shërbimeve të tilla si iLand dhe IBM kanë
bërë DR më të lehtë dhe më ekonomike, gjë që nga ana tjetër i bën të mundur
organizatave të përgatitura më mirë për fatkeqësitë
■ Kur shqyrton DRaaS, pyesni se si ofruesi do të testojë dhe vërtetojë rikuperimin e të
dhënave dhe flukseve të punës, pasi disa testime janë më të gjera se të tjerat