Havarijní plány

Úkolem havarijního plánování je předvídat, analyzovat a omezit následky událostí, které mohou významně narušit její funkčnost nebo – za zvláště závažných okolností – způsobit až její likvidaci. Cílem vytvoření havarijních plánů je připravit organizaci na zvládnutí možných havárií, na zvládnutí krizové situace a na uvedení procesů IS do normálního režimu. Vypracováním havarijních plánů předcházíme především potenciálním obchodním ztrátám vzniklých v důsledku havárie.

Hlavní přínosy:

  • Klíčové procesy IS budou havárií narušeny jen minimálně
  • Finanční ztráty způsobené havárií budou minimalizovány
  • Investice do preventivních opatření budou efektivně vynakládány

Pro vymezení sféry havarijního plánování je podstatné, že bezpečnostní opatření členíme na opatření preventivní a opatření nápravná. Účelem preventivních opatření je snížit rizika a předcházet možným incidentům. Rizika však ve většině případů nelze odstranit zcela, zejména z důvodu neúměrné ceny nutných opatření. Smyslem nápravných opatření je připravit se na neočekávané incidenty tak, aby nežádoucí dopady byly co nejmenší a aby zvládání mimořádných situací probíhalo optimálně. Právě tato oblast, tedy oblast nápravných opatření, je doménou havarijního plánování.

Havarijním plánováním rozumíme proces přípravy plánů, zavedení a ověřování jejich funkčnosti. Někdy bývá označováno zkratkou DRP (Disaster Recovery Planning) a chápáno jako součást nadřazeného systému opatření pro zajištění dlouhodobé funkčnosti podniku (BCP - Business Continuity Planning). Havarijní plánování, které máme na mysli zde, je zaměřeno na situace (incidenty), které mají dopad na funkčnost informačního systému podniku.

Havarijní plány se připravují v několika krocích. Jsou to:

  • analýza rizik
  • procesní mapování
  • vypracování havarijních plánů
  • zavedení havarijního plánování
  • ověřování funkčnosti

První dva kroky mohou být velmi rychlé a snadné, je-li projekt vhodně načasován a synchronizován s jinými podnikovými projekty. V takovém případě se jedná pouze o ověření a doplnění informací.

Analýza rizik obsahuje rozpoznání jednotlivých rizik a určení, která rizika bude nutno akceptovat a jejich dopady řešit formou havarijních plánů. Analýzu rizik je obvyklé provádět na začátku každého komplexního bezpečnostního projektu a výsledky je možno použít i pro přípravu havarijních plánů. Analýzu rizik je však možno provést i nezávisle na jiných projektech.

Procesní mapování (modelování) je nezbytné k poznání, které procesy ve společnosti probíhají a k určení jejich důležitosti a závislosti na IS. Popis procesů musí obsahovat i zdroje, které se na chodu procesů podílejí a jejichž selhání by tedy ohrozilo i samotné procesy.

Vypracování havarijních plánů. První návrhy havarijních plánů se vypracovávají pomocí sady vodítek (metodik) na základě vyhodnocení důležitosti procesů a nejvyšších rizik. Součástí plánů je určení rolí havarijních štábů, popis procedur, které je třeba zajistit, aby primární i sekundární následky havárie byly minimalizovány. Důležitým prvkem plánů jsou spouštěcí mechanismy, které určují, kdy, jak a kým má být havarijní plán aktivován, aby nevznikaly zbytečné prodlevy. Významným přínosem v této fázi přípravy jsou proto především zkušenosti konzultantů a jejich schopnost vyhodnotit vhodnou míru konkrétního (individuálního) přizpůsobení standardních postupů a všeobecných pravidel při přípravě havarijních plánů.

Zavedením havarijních plánů do provozu rozumíme proces seznamování havarijních štábů, i ostatních zaměstnanců s požadavky, které jsou na ně z titulu plánů kladeny. Po teoretickém vysvětlení následuje obvykle praktický výcvik, při kterém se ověřuje i funkčnost a účinnost vypracovaných plánů. Ověřuje se též dostupnost plánů pro havarijní štáby v závislosti na druhu havárie.

Ověřování funkčnosti plánů pak následuje obvykle v pravidelných ročních intervalech. Opakovaně se ověřuje funkčnost v měnících se podmínkách. Plány se aktualizují z důvodu změn v technologiích i podnikových procesech. Zacvičují se noví členové štábů, ale i noví řadoví zaměstnanci.

Vzhledem k tomu, že každá organizace představuje „živý celek“, tj. dochází v ní ke změnám organizační struktury, výměny osob na klíčových pozicích, změnám technologií apod., je nezbytné připravené havarijní plány neustále udržovat v aktuální podobě a zapracovávat do nich veškeré relevantní změny.

IT - Security s.r.o., Klatovská třída 7, 301 00 Plzeň - tel.: +420 377 320 571 / fax: +420 377 310 920