Operatorzy Usług Kluczowych, a zarządzanie ciągłością działania
Operatorzy Usług Kluczowych
Ustawa o Krajowym Systemie Cyberbezpieczeństwa, nakłada na wyznaczonych Operatorów Usług Kluczowych (OUK) określone obowiązki, które są związane z zapewnieniem odpowiedniego poziomu bezpieczeństwa w organizacji. Obowiązki te dotyczą w głównej mierze bezpieczeństwa informacji, czyli szeroko pojętego bezpieczeństwa teleinformatycznego, ochrony danych osobowych, zarządzania ryzykiem, jak również zarządzaniem ciągłością działania w sytuacjach awaryjnych.
Nawiązując do realizacji zarządzania ciągłością działania, OUK są zobligowani do zagwarantowania bezpieczeństwa oraz zachowania ciągłości działania procesów, świadczonych usług kluczowych. Operatorzy usług kluczowych, w celu zapewnienia optymalnego poziomu bezpieczeństwa procesów, muszą w pełni objąć swój system informacyjny, który jest przez nich wykorzystywany do świadczenia usługi, w tym w szczególności system monitorowania, który będzie działał w organizacji w trybie ciągłym. Operatorzy muszą także zapewnić ciągłość działania, zgodnie z normą PN-EN ISO 22301, usłudze reagowania na incydenty bezpieczeństwa, w zakresie rejestrowania i obsługi zdarzeń naruszających bezpieczeństwo systemów informacyjnych.
Operatorzy, wewnątrz swoich struktur, muszą zapewnić wdrożenie, dokumentowanie oraz utrzymanie planów działania, które zagwarantują ciągłe i niezakłócone świadczenie usługi kluczowej. Operatorzy usług kluczowych muszą być świadomi, że dana dokumentacja systemu zarządzania ciągłością działania, musi zostać wygenerowana zgodnie z wymaganiami normy PN-EN ISO 22301. Do takiej dokumentacji można zaliczyć Plan utrzymania ciągłości działania określonej organizacji, który powinien w sobie zawierać m.in.: listę procesów krytycznych, listę zasobów krytycznych, analizę BIA (ang. Business Impact Analysis) i dokumentację BCM (ang. Business Continuity Management). Nadrzędnymi celami analizy BIA jest identyfikacja wszystkich procesów, które w organizacji mogą zostać uznane za krytyczne oraz wskazanie wszelkich zasobów, które są niezbędne z punktu widzenia utrzymania ciągłości działania kluczowych usług Operatora. Z punktu widzenia Operatora usług kluczowych, dokumentacja BCM jest priorytetowa dla optymalnego zarządzania i utrzymania ciągłości działania. Do powyższej dokumentacji możemy zaliczyć m.in.:
- Plany zarządzania incydentami;
- Plany zarządzania kryzysowego i komunikacji;
- Plany aktywacji witryny odzyskania;
- Plany operacyjne lub naprawcze;
- Plany ciągłości biznesowej;
- Plany naprawy technologii.
W organizacji, która otrzymała status Operatora usług kluczowych, istotne jest aby funkcjonowały struktury ds. cyberbezpieczeństwa, w tym ciągłości działania. Ich głównym zadaniem, z punktu widzenia ciągłości działania, powinno być nadzorowanie i stałe uaktualnianie planów BCM.
O Autorze
