iso27diy-corp/Corpus/Literature notes/BCP_Bedrijfscontinuïteitsplanning.md

Bedrijfscontinuïteitsplanning

In het Engels: Business Continuity Planning (BCP)

Producten:

• BCP Workshops

Literatuur

• BCP.mindnode op iCloud > Best Practices
• evt. CIS Critical Security Controls als raamwerk
• ISO-22301-2019 'Business continuity management systems' en ISO-22313-2020 'Guidance on the use of ISO 22301'
• CISSP, Chapter 3

Bedrijfscontinuïteitsplanning is een continu proces, met als doel het implementeren en onderhouden van beleid, procedures en processen om de impact van verstoringen te beheersen. Met andere woorden: bedrijfscontinuïteitsplanning richt zich op de continuïteit van bedrijfsprocessen, zo nodig met andere middelen.

Belangrijke onderdelen van Bedrijfscontinuïteitsplanning zijn de Bedrijfsimpact Analyse (BIA) en het Herstelplan ('Disaster Recovery Plan' / DRP). De BIA richt zich op het identificeren van de impact van verstoringen op de bedrijfsprocessen, en het Herstelplan richt zich op het herstel van de normale bedrijfsprocessen na een verstoring en de eventuele inzet van alternatieve middelen of werkwijzen .

Zie ook: Het belang van een Bedrijfscontinuïteitsplan / The importance of having a business continuity plan.

Aanpak

1. Analyse
2. Planning maatregelen
3. Testen: scenario's simuleren en aanpassingen maken
4. Implementatie maatregelen
5. Testen maatregelen
6. Oefen periodiek de scenario's en pas ze aan waar nodig

NOG TOEVOEGEN Het proces (Beleid) volgens welke dit hele plan tot stand komt en beoordeeld/herzien wordt, en wie daarvoor verantwoordelijk zijn.

Analyse

Zie: Business Impact Analysis (BIA)

Stappen:

• Bepalen bedrijfskritische processen (prioriteiten bepalen) en informatie-assets
• Dreigingsanalyse
• Belangen stakeholders, wet- en regelgeving, compliance verplichtingen
• Bepalen minimaal acceptabel niveau van functioneren tijdens verstoringen (tov Normaal)
• Analyseren processen en afhankelijkheden
  • intern en extern, mensen en middelen, systemen en verbindingen

Bedrijfskritische processen en assets

Tabel vullen:

Kritisch proces	Kritische middelen	Alternatief bij verstoring	Fail-over scenario	Recovery scenario

Dreigingsanalyse

• Bepaal dreigingen – mens & natuur, bijvoorbeeld:
  • Wegvallen van kritische IT-componenten of diensten (defecten, gerichte aanvallen, ransomware, interruption of service)
  • Wegvallen van medewerkers op sleutelposities (epidemie!)
  • Onbereikbaarheid pand
  • Brand
• Bepaal kans en impact – H/M/L, voor prioriteit
  • Bepaal impact op kritische assets
  • Bepaal impact op processen en belangen stakeholders – intern en extern

Planning maatregelen

1. Bepaal doelen
2. Ontwerp Fail-over scenario’s
3. Identificeer noodvoorzieningen
4. Bepaal Recovery strategies
5. Stel draaiboeken op

Bepaal doelen

• MTPD – Maximum tolerable period of disruption (business process)
• MTD – Maximum Tolerable Downtime (assets) – uit de lucht zijn
• RPO – Recovery Point Objective (assets) – acceptable data loss; the point in time that you wish to recover to
• RTO – Recovery Time Objective (processen) – hersteltijd tot normaal

Fail-over scenario’s

Zoek alternatieve invulling van de bedrijfskritische processen. Voorbeelden:

• Mobiele hotspots i.p.v. vaste internetverbinding
• Gebruik Acceptatie-omgeving als Productie-omgeving
• Uitwijklocatie, noodstroomvoorziening

Aandachtspunten: - De dreiging moet niet dezelfde impact hebben op de alternatieve oplossing - Werk processen uit voor switch-over en switch-back

Identificeer noodvoorzieningen

Identificeer bestaande noodvoorzieningen en bepaal of ze voldoen

Bepaal Recovery strategies

• Back-ups – test restores!
• Hot/warm/cold standbys
• High-availability systems
• Proces uitwerken en testen

Stel Draaiboeken op

Aspecten:

• Mensen
• Middelen
• Externe partijen
• Rollen en Verantwoordelijkheden (RASCI)
• Communicatie naar stakeholders
  • inhoud voorbereiden
  • contactpersonen en -gegevens

Scenario's simuleren

Scenario's opstellen o.b.v. risicoanalyse

Implementatie maatregelen

• Betrek stakeholders, w/o leveranciers, autoriteiten, nooddiensten
• Maak duidelijke afspraken, zorg voor periodieke check!
• Stel procedures en instructies op, incl. het Pre-disaster proces
• Train de direct betrokkenen adhv scenario’s
• Stel Emergency-Response guidelines op – ook BHV
• COMMUNICEER!

Aandachtspunten vanuit ISO 27001

• Uitgangspunt: handhaven van de beveiligingsniveaus in een ongunstige situatie
• Vaststellen hoe en in welke omstandigheden van het beleid mag worden afgeweken
• Compenserende IB-maatregelen als handhaven niet mogelijk is (noodmaatregelen)
• Documenteer afwijkingen in een logboek

Aandachtspunten Uitvoering BCP

• Turbulentie geeft extra risico’s
• Focus ligt op Beschikbaarheid, Vertrouwelijkheid en Integriteit naar de achtergrond
• Let op Data in Transit
• Patching and configuration management on backup systems
• Toegang tot netwerken, systemen, faciliteiten en ruimtes
• Fysieke beveiliging op uitwijklocaties

Links

See also:

• Disaster Recovery Planning
• Checklist for auditing Business Continuity and Disaster Recovery
• Ransomware Playbook

ISO controls:

• 5.29:
  • a-5.29-Information-security-during-disruption
  • ISO_27002_2022_NL_BT 5.29 Informatiebeveiliging tijdens een verstoring
  • ISO_27002_2022_NL_NN 5.29 Informatiebeveiliging tijdens een verstoring
• 5.30:
  • a-5.30-ICT-readiness-for-business-continuity
  • ISO_27002_2022_5.30_PE ICT readiness for business continuity
  • a-5.30-ICT-gereedheid-voor-bedrijfscontinuiteit
  • ISO_27002_2022_NL_NN 5.30 ICT-gereedheid voor bedrijfscontinuïteit
• 5.31:
  • ISO_27002_2022_5.31_OT Legal, statutory, regulatory and contractual requirements
• 5.24:
  • a-5.24-Information-security-incident-management-planning-and-preparation