Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Polecamy

Rodo w praktyce – odpowiedzi na 273 najtrudniejsze pytania

Rodo w praktyce – odpowiedzi na 273 najtrudniejsze pytania
 

Bartosz Marcinkowski, Robert Brodzik, Klaudia Czarniecka, Michał Kluska, Katarzyna Kulesza, Olga Legat, Justyna Tyc

Cena: 128,00 zł

Zamów

Plan ciągłości działania dla IT

13-11-2019 Autor: Mariola Więckowska

W poprzednim Niezbędniku zostały opisane dobre praktyki i wskazówki do przygotowania planu ciągłości działania (dalej: PCD) dla organizacji. W tym artykule zostanie omówione tworzenie planu ciągłości działania (dalej: CD) i odzyskiwania dostępu do systemów informatycznych (dalej: SI) po awarii.

 

PCD umożliwia spełnienie obowiązku wynikającego z art. 32 rodo: „zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego”. Ciągłość działania systemów informatycznych po awarii to element podstawowy i niezbędny do zapewnienia zdolności do prowadzenia nieprzerwanej działalności organizacji i obejmuje zarówno systemy, aplikacje i infrastrukturę IT, jak i ludzi, którzy te systemy obsługują.

 

Czym jest PCD dla IT?

 

PCD przygotowane dla obszaru IT, krok po kroku, opisują czynności, które należy wykonać dla odzyskania dostępu i prawidłowego działania SI, łączności sieciowej oraz przywrócenia normalnego działania procesów w organizacji. Celem tych działań jest zminimalizowanie negatywnego wpływu na działalność organizacji oraz osób, których dane są przetwarzane w tych systemach.

 

PCD składa się z wielu elementów, dlatego pomocne może być użycie jednego szablonu odzyskiwania dostępu po awarii dla poszczególnych SI dopasowanego do potrzeb organizacji.

 

Dlaczego PCD jest ważny dla IT?

 

Każdy przestój SI to strata dla organizacji – raport Gartnera wycenia średni koszt utraty dostępu do krytycznych aplikacji na 5600 dolarów za minutę. Przygotowanie organizacji na awarie zasilania, cyberataki czy awarie sprzętu zmniejsza ryzyko takich strat.

 

Odpowiednio skonstruowany PCD zapewnia organizacjom ustrukturyzowane podejście do reagowania na nieplanowane incydenty zagrażające ich infrastrukturze IT, sprzętowi, oprogramowaniu, sieci, procesom oraz ludziom. Jest to szczególnie ważne dla przedsiębiorstw, które muszą spełniać obowiązki prawne, jak np. przesyłanie rozliczeń i raportów w określonym terminie czy sporządzanie raportów opisujących odzyskiwanie danych po awarii w ramach strategii analizy wpływu na działalność.

 

Różnice między SI a PCD

 

Odzyskiwanie danych po awarii służy przywróceniu działania SI po zdarzeniu zakłócającym, spowodowanym np. wirusem komputerowym. PCD stanowi natomiast kompleksowe podejście do zaplanowania CD organizacji w sytuacjach awaryjnych, np. w przypadku:

  • niepożądanych czynników wewnętrznych lub zewnętrznych, w tym klęsk żywiołowych;
  • zakłóceń w działaniach SI;
  • niedostępności kluczowych pracowników;
  • problemów partnerów, z którymi współpracuje organizacja.

Mimo różnic oba te terminy są jednak często łączone z powodu wielu wspólnych cech.

 

Plan odzyskiwania danych po awarii SI

 

Praktyka pokazuje, że opracowując PCD, warto rozważyć 7 poniższych aspektów:

 

1. Analiza potencjalnych zagrożeń i opracowanie planu reakcji na nie – to opracowanie scenariusza działań dla możliwych do przewidzenia zdarzeń, w szczególności przez zaplanowanie działań w przypadku cyberataków;

 

2. Analiza wpływu na biznes w kontekście dostępności SI – pozwoli określić priorytety dla systemów i opracować strategię odzyskiwania danych z uwzględnieniem atrybutów bezpieczeństwa: poufność, integralność i dostępność;

 

3. Ludzie to najważniejsze ogniwo CD, które pozwala na poprawne użycie technologii – w PCD należy uwzględnić dostępność osób posiadających określone kompetencje, wymieniając je w planie z nazwiska wraz z danymi kontaktowymi, jak np. adresy e-mail, numery telefonów komórkowych i numery domowe; osoby te muszą znać zasady wzywania ich do pracy w wypadku zdarzenia oraz zasady przekazywania informacji wewnątrz i na zewnątrz organizacji;

 

4. Aktualizacje planów odzyskiwania danych po awarii po wprowadzeniu zmian w SI i infrastrukturze IT oraz aktualizacjach oprogramowania – w planie powinny znaleźć się opisy odnoszące się do wykorzystania nowych technologii, które zapewniają większą odporność SI na incydenty, np. uczenie maszynowe, sztuczna inteligencja, duże bazy;

 

5. Nadanie priorytetów – pozwoli zidentyfikować najważniejsze obszary i ustalić scenariusze działań;

 

6. Przeprowadzanie regularnych testów CD – pozwoli na przećwiczenie przyjętych scenariuszy; nawet najlepszy plan nie zadziała, jeżeli osoby nie będą przechodziły regularnych testów praktycznych;

 

[...]

 

Autorka pracuje w LexDigital jako Head of Privacy Innovative Technologies; pomaga wykorzystywać i wdrożyć nowe technologie w zgodzie z obowiązującymi zasadami ochrony i bezpieczeństwa danych osobowych.

 


Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2019 PRESSCOM Sp. z o.o.