A ChatGPT válasza a Business Continuity-val kapcsolatos kérdésekre
2023. 03. 13.
Mennyire hatékonyak a céged üzletmenet-folytonossági és válságkezelési gyakorlatai?
2023. 03. 28.
Vagyis nem a klasszikus értelemben vett Business Continuity, azaz üzletmenet-folytonosság.
De miről is van szó?
Az üzletmenet-folytonossági szakértői tevékenységem során nagyon gyakran találkoztam azzal az eljárással, amikor az információbiztonsági irányítás rendszer szabványban business continuity-ra hivatkozott feladatokat rögtön átadják -véleményem szerint tévesen – az üzletmenet-folytonossággal foglalkozó kollégának, (már ha van ilyen).
Az is bevett szokás, hogy az információbiztonsági audit tervben, vagy már az auditon elkéri az auditor az üzleti hatáselemzés (BIA), az üzletmenet-folytonossági terv (BCP), a katasztrófa helyreállítási terv (DRP) dokumentumokat. Itt megjegyezném, hogy nem minden vállalat rendelkezik valamilyen szintű üzletmenet-folytonossági érettséggel, a dokumentált formában történő elérésnek pedig még kisebb az esélye.
Cikkemben azért hivatkozom a 2014-ben kiadott szabványra is, mert jelenleg még ezen kontrollok mentén történnek az auditok, illetve a tanúsítás is.
A félreértés
A félreértés alapja a kontrollpont megtévesztő címe. A korábbi, 2014-ben kiadott információbiztonsági irányítási rendszer szabványban, az MSZ ISO/IEC 27001:2014 „A” melléklet 17-es kontrolljának címe: „Az információbiztonság üzletmenet-folytonossági menedzsment szempontjai”, (eredeti: „A.17 Information security aspects of business continuity management” – MSZ ISO/IEC 27001:2014).
Az új, 2022.októberében kiadott ISO/IEC 27001:2022 Információbiztonsági irányítási rendszer szabványban az „A” melléklet 5.30-as kontrollpontjában lelhető fel a business continuity, „IKT felkészültség az üzletmenet folytonossága érdekében” címmel. (eredeti: „5.30 ICT readiness for business continuity” – ISO/IEC 27001:2022) (IKT: Információs és kommunikációs technológia. – a szerző)
Valóban. Benne van a business continuity, azaz az üzletmenet-folytonosság szó. De itt véget is ér az egyezőség.
Az ok
Az ok egészen egyszerű: addig, amíg a Business Continuity Management egy irányítási rendszer, mely a nélkülözhetetlen működési folyamatok leállásának rövid időn belüli folytatását hivatott ellátni, addig az információbiztonságban szereplő business continuity a BAU tevékenységekre (business as usual vagyis a napi működésre) utal.
Nézzük meg közelebbről, miért mondom azt, hogy csak a kontroll címében szereplő business continuity az, amiben a klasszikus értelemben vett üzletmenet-folytonosság megegyezik az információbiztonsági irányítási rendszer szabvány fent említett kontrolljával.
A cél
Az információbiztonság és az üzletmenet-folytonosság alapvetően a céljában tér el egymástól.
Az információbiztonság az adatok, információk bizalmasságának, sértetlenségének és rendelkezésre állásának biztosítása, ahol a bizalmasság az adat azon tulajdonsága, hogy csak az arra jogosultak ismerhessék meg, a sértetlenség, mely során az elmentett adat „másnap” ugyanabban a formában, ugyanúgy jelenjen meg, a rendelkezésre állás pedig biztosítja, hogy „másnap” ugyanott, ugyanazon a helyen legyen megtalálható.
Vagyis az információbiztonság célja az, hogy az adatok, információk a megfelelő körülmények között rendelkezésre álljanak.
Az MSZ ISO/IEC 27001:2014 információbiztonsági irányítási rendszer szabvány A.17.1.2. pontja, mely az információbiztonság folytonosságának megvalósítási követelményét írja le, azt mondja, hogy „A szervezetnek olyan folyamatokat, eljárásokat és intézkedéseket kell létrehoznia, dokumentálnia, bevezetnie és fenntartania, amelyek biztosítják az információbiztonság folytonosságának elvárt szintjét egy kedvezőtlen helyzetben.” Kedvezőtlen helyzet lehet pl. egy válság, vagy katasztrófa.
Az új, ISO/IEC 27001:2022 információbiztonsági irányítási rendszer szabvány A.5.30 pontja, mely az IKT felkészültségét kéri az üzletmenet folytonossága érdekében, azt mondja, hogy „Az IKT felkészültséget az üzletmenet folytonossági célok és az IKT folytonossági követelmények alapján kell megtervezni, bevezetni, fenntartani és tesztelni.”
Tehát, meglátásom szerint itt nem azt kéri a szabvány, hogy a vállalat számára nélkülözhetetlen működési tevékenységek folytonosságát kell biztosítani, – ez lenne az üzletmenet-folytonosság lényege – hanem az információbiztonság által működtetett folyamatok, tevékenységek folytonosságára kell koncentrálni, azt megtervezni, kialakítani, dokumentálni.
Ezzel szemben az üzletmenet-folytonosság célja az, hogy amikor nincs rendelkezésre állás, vagyis leállnak kritikus működési folyamatok, vagy az abban kezelt adatok nem találhatóak, egy helyettesítő, ún. alternatív megoldással, csökkentett kapacitással, de tovább tudjon működni a vélhetően hosszabb időre leállni kényszerült normál működési tevékenység.
Az üzletmenet-folytonosság tehát csak akkor lép életbe, ha az információbiztonság működésében olyan esemény történik, mely megszakítja azt.
Összegzés
Összegezve elmondható, hogy bár a válság- vagy katasztrófa helyzetre való felkészülés (tervezés, megvalósítás, dokumentálás) mind az üzletmenet-folytonossági, mind pedig az információbiztonsági terület esetében hasonló, a két rendszer célja teljesen különböző. Míg az információbiztonsággal az adatok, információk rendelkezésre állását biztosítjuk, az üzletmenet-folytonosság a rendelkezésre állás megszakadására ad választ és megoldást.
Szerző: Joó Gabriella BCM szakértő, ISO22301 LA, ISO27001 LA, ISO27701 LA
Forrás: MSZ ISO/IEC 27001:2014, ISO/IEC 27001:2022