3. Mis on BCP?
Äri jätkuvuse planeerimine.
Business continuity planning (BCP).
BCP eesmärgiks on kaitsta organisatsiooni juhuse eest,
kui kõik või osa ta tegevustest ja/või infosüsteemi
teenustest on osutunud mittekasutatavateks ja aidata
organisatsioonil tegevused taastada.
Kaitseme andmeid: hävimine, riknemine, lekkimine
Eesmärgiks on teenuste ja andmete saadavus
4
4. Mis on BCP?
BCP ehk äri jätkuvuse plaani komponendid:
1. Äri mõjude analüüs (Business impact analyse)
2. Varunduse planeerimine (Backup planning)
3. Avariist taastamse planeerimine (Disaster recovery
planning)
5
5. Äri mõjude analüüs
• Hulgifirma näide: Päeva käive 600 000 kr = saamata
jäänud tulu
• Usaldusväärsuse kaotus
Jaga infosüsteemid põhitegevuse kriitilisuse alusel
klassidesse. Hinda seisakutest tingitud mõju.
Kui pikk võib olla maksimaalselt lubatud katkestus?
ISKE = Infosüsteemide kolmeastmeline etalonturbe
süsteem
6
6. BCP plaani loomise sammud
Võimalike äri riskide ja Plaani algatamine ja meeskonna moodustamine.
mõjude hindamine Riskide tuvastamine ja hindamine
Valmistumine Varunduse ja taastamise strateegiate valik
avariideks
Taastamisplaan Taastamisplaani protseduuride koostamine
Taastamisplaani test Taastamisplaani test võimalikes avarii olukordades
Meeskonna koolitus Kogu meeskonna koolitus taastamisprotsessi
läbiviimiseks
Plaani uuendamine Taastamisplaani tuleb pidevalt ajakohastada
7
7. BCP tegevused
• Tuvasta põhitegevusele kriitilised info ressursid
• Hinda äriprotsesside kriitilisust: inimeste tervisele, seaduste
nõuetele ja mõju käibele
• Tuvasta võimalikud riskid
• Koosta tegevusplaan riskide ärahoidmiseks ja ennetamiseks, määra
vastutajad
• Määra prioriteedid taastamisel
• Tööta välja meetmed ja taasteplaanid tuvastatud riskide ilmnemisel
• Tutvusta taasteplaani ja koolita IT meeskond taastamiseks, testi
taasteplaani
• Uuenda regulaarselt taasteplaani
8
8. BCP plaani teemad
Tüüpilised teemad:
• Miks seda on vaja teha?
• Kuidas see peab tehtud saama?
• Kes seda teeb?
• Mida on vaja teha?
• Millal seda teha vaja on?
• Kus seda tehakse?
• Millistest reeglitest ja standarditest tuleb lähtuda?
• Mis tingimustel ja kes võib plaani muuta?
• Mis tingimustel saab avarii lõppenuks lugeda?
9
9. Varunduse planeerimine
• Varundusplaan:
•Mis andmetest
•Millise sagedusega ja mis ajal koopia tehakse
•Millisele meediale ja kus hoitakse. Mis ajahetkede koopiad
säilitatakse.
•Kui kiiresti teenus on taastatav ja kes vastutab varunduse ja
taastamise eest
•Varunduse kontrolli protseduur
• Varundusviisid
•Täiskoopia
•Inkrementaalne koopia
Varukoopialt taastamist tuleb regulaarselt testida!!!
10
10. Pideva teenuse tagamise tegevused
• IT järkuvuse raamistiku/põhimõtete väljatöötamine
• Äri mõjude analüüsi ja riskide hindamise läbiviimine
• IT taasteplaani loomine
• Kategoriseeri IT ressursid vastavalt taastuse nõuetele
• Taasteplaani uuendamise protseduuri sisseseadmine
• Taasteplaani testimine ja tulemuste põhjal tegevused
• Taasteplaani tutvustamine meeskonnale ja koolituse läbiviimine
• IT teenuste taastamise planeerimine
• Varunduse planeerimine ja juurutamine
11
11. IT taastatavuse raamistik
• Taasteplaani eest vastutajad
• Prioretiseeritud taastamise tegevuskava
• Minimaalsed taastuse nõuded
• Avarii- ja taastamisprotseduurid
• Hoolduse ja testimise graafik
• Koolitustegevused
• Väljakutse kontaktandmed
• Alternatiivsed tarnijad kriitilistele tegevustele
• Kommunikatsiooniplaan (kriisi kommunikatsioon)
12
12. Avariist taastamse planeerimine
• Taasteplaan koostatakse igale info ressursile instruktsioonidega, mis
sammudega toimivus saab taastatud, kui on hävinenud kogu riistvara ja
tarkvara (op. süsteem, rakendus, seadistused).
• Instruktsioonid peavad olema piisavad, et nende järgi saab taastada ka
võõras osapool.
•Vajalik riistvara konfiguratsioon, võrguühendused
•Operatsioonisüsteemi install
•Lisatarkvara install, liidesed teiste süsteemidega
•Rakenduse install
•Seadistused
•Andmete taastamine
•Toimivuse testi protseduurid (mida ja kuidas)
Taasteplaani tuleb testida ja hinnata kuluvat aega!
13
13. BCP strateegiad
• Hot site – kuum reserveerimine
• Cold site – külm reserveerimine
• Andmesalvestus paralleelselt kahte eri asukohta
• Varundusmeedia panga seifi (või teise asukohta)
• Kriitiliste varuosade reserv
• Alternatiivsed teenusepakkujad, võrguühendused
14
14. Eduka BCP eeldused
• Infosüsteemide kriitilisus põhitegevusele on hinnatud
• Võimalikud riskid ja avariiolukorrad on tuvastatud
• Infosüsteemid ja andmed on kaitstud varundusega ja
varundatus testitud
• Tegevusplaanid avariiolukordade jaoks on välja
töötatud, taasteplaanid koostatud
• Taasteplaanid on testitud, taasteajad hinnatud
• Meeskond on koolitatud ja informeeritud
• Taasteplaane uuendatakse regulaarselt
15
15. Avarii-järgne analüüs
• Avarii katkestuse põhjus, olemus ja tõsidus
• Mõju ulatus personalile, infrastruktuurile ja seadmetele
• Mõju tagajärgede pehmendamise tegevused
• Mõjutatud teenused ja äriprotsessid
• Kahjustatud ühikud, mida saab parandada, taastada ja/või
asendada
• Kindlustusnõuded
• IT protsesside taastamise aeg
• Taastamisplaan; meeskond, rollid ja vastutused
16
16. Kuidas planeerida äri
jätkusuutlikuks?
Küsimused?
TÄNAN KUULAMAST!
Avo Aasma, CISA, Webit OÜ
avo.aasma@ariko.ee
17
Editor's Notes
Inteli protsessor töötab sinise suitsu peal, kui see välja pääseb, siis protsessor enam ei tööta. Seminari nimi
Eestis varundus üldjuhul olemas, taasteplaan üldjuhul puudub Seminari nimi
Kriitilisus: Raamatupidamine vs. kassasüsteem Seminari nimi
Strateegia valik=ennetavad tegevused, tehnoloogiate valik Taasteplaani test: toide välja Seminari nimi