richardk/iso27diy-corp
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
iso27diy-corp/Corpus/Information Security/BCP_Bedrijfscontinuïteitsplanning.md

7.3 KiB
Raw Blame History

Bedrijfscontinuïteitsplanning

In het Engels: Business Continuity Planning (BCP)

Producten:

Literatuur

  • BCP.mindnode op iCloud > Best Practices
  • evt. CIS Controls als raamwerk
  • ISO-22301-2019 'Business continuity management systems' en ISO-22313-2020 'Guidance on the use of ISO 22301'
  • CISSP, Chapter 3

Bedrijfscontinuïteitsplanning is een continu proces, met als doel het implementeren en onderhouden van beleid, procedures en processen om de impact van verstoringen te beheersen. Met andere woorden: bedrijfscontinuïteitsplanning richt zich op de continuïteit van bedrijfsprocessen, zo nodig met andere middelen.

Belangrijke onderdelen van Bedrijfscontinuïteitsplanning zijn de Bedrijfsimpact Analyse (BIA) en het Herstelplan ('Disaster Recovery Plan' / DRP). De BIA richt zich op het identificeren van de impact van verstoringen op de bedrijfsprocessen, en het Herstelplan richt zich op het herstel van de normale bedrijfsprocessen na een verstoring en de eventuele inzet van alternatieve middelen of werkwijzen .

Zie ook: Het belang van een Bedrijfscontinuïteitsplan / The importance of having a business continuity plan.

Aanpak

  1. Analyse
  2. Planning maatregelen
  3. Testen: scenario's simuleren en aanpassingen maken
  4. Implementatie maatregelen
  5. Testen maatregelen
  6. Oefen periodiek de scenario's en pas ze aan waar nodig

NOG TOEVOEGEN Het proces (Beleid) volgens welke dit hele plan tot stand komt en beoordeeld/herzien wordt, en wie daarvoor verantwoordelijk zijn.

Analyse

Zie: Business Impact Analysis (BIA)

Stappen:

  • Bepalen bedrijfskritische processen (prioriteiten bepalen) en informatie-assets
  • Dreigingsanalyse
  • Belangen stakeholders, wet- en regelgeving, compliance verplichtingen
  • Bepalen minimaal acceptabel niveau van functioneren tijdens verstoringen (tov Normaal)
  • Analyseren processen en afhankelijkheden
    • intern en extern, mensen en middelen, systemen en verbindingen

Bedrijfskritische processen en assets

Tabel vullen:

Kritisch proces Kritische middelen Alternatief bij verstoring Fail-over scenario Recovery scenario

Dreigingsanalyse

  • Bepaal dreigingen  mens & natuur, bijvoorbeeld:
    • Wegvallen van kritische IT-componenten of diensten (defecten, gerichte aanvallen, ransomware, interruption of service)
    • Wegvallen van medewerkers op sleutelposities (epidemie!)
    • Onbereikbaarheid pand
    • Brand
  • Bepaal kans en impact H/M/L, voor prioriteit
    • Bepaal impact op kritische assets
    • Bepaal impact op processen en belangen stakeholders intern en extern

Planning maatregelen

  1. Bepaal doelen
  2. Ontwerp Fail-over scenarios
  3. Identificeer noodvoorzieningen
  4. Bepaal Recovery strategies
  5. Stel draaiboeken op

Bepaal doelen

  • MTPD Maximum tolerable period of disruption (business process)
  • MTD Maximum Tolerable Downtime (assets) uit de lucht zijn
  • RPO Recovery Point Objective (assets) acceptable data loss; the point in time that you wish to recover to
  • RTO Recovery Time Objective (processen) hersteltijd tot normaal

Fail-over scenarios

Zoek alternatieve invulling van de bedrijfskritische processen. Voorbeelden:

  • Mobiele hotspots i.p.v. vaste internetverbinding
  • Gebruik Acceptatie-omgeving als Productie-omgeving
  • Uitwijklocatie, noodstroomvoorziening

Aandachtspunten: - De dreiging moet niet dezelfde impact hebben op de alternatieve oplossing - Werk processen uit voor switch-over en switch-back

Identificeer noodvoorzieningen

Identificeer bestaande noodvoorzieningen en bepaal of ze voldoen

Bepaal Recovery strategies

  • Back-ups test restores!
  • Hot/warm/cold standbys
  • High-availability systems
  • Proces uitwerken en testen

Stel Draaiboeken op

Aspecten:

  • Mensen
  • Middelen
  • Externe partijen
  • Rollen en Verantwoordelijkheden (RASCI)
  • Communicatie naar stakeholders
    • inhoud voorbereiden
    • contactpersonen en -gegevens

Scenario's simuleren

Scenario's opstellen o.b.v. risicoanalyse

Implementatie maatregelen

  • Betrek stakeholders, w/o leveranciers, autoriteiten, nooddiensten
  • Maak duidelijke afspraken, zorg voor periodieke check!
  • Stel procedures en instructies op, incl. het Pre-disaster proces
  • Train de direct betrokkenen adhv scenarios
  • Stel Emergency-Response guidelines op ook BHV
  • COMMUNICEER!

Aandachtspunten vanuit ISO 27001

  • Uitgangspunt: handhaven van de beveiligingsniveaus in een ongunstige situatie
  • Vaststellen hoe en in welke omstandigheden van het beleid mag worden afgeweken
  • Compenserende IB-maatregelen als handhaven niet mogelijk is (noodmaatregelen)
  • Documenteer afwijkingen in een logboek

Aandachtspunten Uitvoering BCP

  • Turbulentie geeft extra risicos
  • Focus ligt op Beschikbaarheid, Vertrouwelijkheid en Integriteit naar de achtergrond
  • Let op Data in Transit
  • Patching and configuration management on backup systems
  • Toegang tot netwerken, systemen, faciliteiten en ruimtes
  • Fysieke beveiliging op uitwijklocaties

Links

See also:

ISO controls: