V dnešnom digitálne prepojenom svete je kontinuita informačných a komunikačných technológií (ICT) kľúčová pre nepretržitú prevádzku každej organizácie. Zabezpečenie digitálnej odolnosti sa stáva prioritou, čo podčiarkujú nové nariadenia, ako napríklad NIS 2 a DORA, ktoré kladú na subjekty značné nároky. Norma ISO/IEC 27031 poskytuje cenný návod na riadenie pripravenosti na kontinuitu činností ICT (IRBC), ktorá je nevyhnutným pilierom na dosiahnutie celkovej kontinuity činností.
Kontinuita prevádzky vs. kontinuita ICT
Je dôležité rozlišovať medzi kontinuitou prevádzky a kontinuitou ICT. Kontinuita činností je schopnosť organizácie pokračovať v poskytovaní produktov a služieb v prijateľnom časovom rámci a vo vopred definovanej kapacite počas narušenia. Obnova ICT po havárii alebo obnovenie ICT po havárii sa potom zameriava na schopnosť prvkov ICT podporovať kritické procesy a činnosti organizácie na prijateľnej úrovni po prerušení. Hoci riziko narušenia kontinuity môže mať veľmi nízku pravdepodobnosť výskytu, jeho vplyv na organizáciu môže byť katastrofálny. Medzi ciele riadenia kontinuity činností patrí zlepšenie detekcie incidentov, prevencia zlyhania, minimalizácia následkov a skrátenie času obnovy.
Regulačný rámec a normy
Súčasný regulačný rámec, najmä zákon o digitálnej prevádzkovej odolnosti (DORA) a smernica NIS 2, výrazne zvyšuje požiadavky na digitálnu odolnosť. DORA sa zameriava na finančný sektor a vyžaduje komplexný rámec pre riadenie rizík ICT vrátane analýzy vplyvu na činnosť (BIA), kontinuity činnosti ICT, plánov reakcie a obnovy a pravidelného testovania. NIS 2 potom rozširuje povinnosti v oblasti kybernetickej bezpečnosti na širší okruh subjektov a zdôrazňuje riadenie kontinuity činností, riadenie zálohovania, obnovu po havárii a krízové riadenie. Vykonávacie nariadenie (EÚ) 2024/2690 a návrh vyhlášky o bezpečnostných opatreniach pre regulované služby ďalej špecifikujú technické a metodické požiadavky.
Normy ISO zohrávajú kľúčovú úlohu pri implementácii týchto požiadaviek ISO/IEC 27001:2022, norma pre systém riadenia informačnej bezpečnosti (ISMS), zahŕňa opatrenia týkajúce sa bezpečnosti informácií počas narušenia a pripravenosti ICT na zabezpečenie kontinuity činnosti organizácie. Norma ISO/IEC 27031:2025 potom poskytuje konkrétne usmernenia týkajúce sa pripravenosti na kontinuitu činností ICT (IRBC) vrátane prevencie, reakcie a obnovy po narušení súvisiacom s ICT. Táto norma podporuje kontinuitu podnikania, posilňuje súlad medzi ICT, bezpečnosťou a kontinuitou, skracuje čas obnovy a zvyšuje odolnosť organizácie.
Kľúčové aspekty riadenia kontinuity ICT
Efektívne riadenie kontinuity ICT zahŕňa niekoľko kľúčových prvkov:
- Analýza vplyvu na činnosť (BIA) a hodnotenie rizík: BIA je proces analýzy vplyvu narušenia na organizáciu v čase, ktorého výsledkom sú požiadavky na kontinuitu činností, ako sú ciele času obnovy (RTO) a ciele bodu obnovy (RPO). Cieľ času obnovy (RTO) je cieľový čas po incidente, v ktorom by sa mala obnoviť prevádzka produktu, služby alebo činnosti. RPO (Recovery Point Objective – cieľ bodu obnovy) je bod, v ktorom sa obnovia informácie používané pri činnosti. Minimálny cieľ kontinuity činností (MBCO) definuje minimálnu úroveň služieb a/alebo produktov, ktorá je prijateľná pre organizáciu na dosiahnutie jej obchodných cieľov počas narušenia. Pri posudzovaní vplyvu sa musí zohľadniť najhorší možný scenár. Hodnotenie rizík zahŕňa identifikáciu hrozieb, zraniteľností, pravdepodobnosti výskytu a dopadu udalostí.
- Analýza vplyvu na činnosť (BIA ): BIA je proces analýzy vplyvu narušenia na organizáciu v čase, ktorého výsledkom sú požiadavky na kontinuitu činností, ako napríklad cieľ času obnovy (RTO), cieľ bodu obnovy (RPO) a minimálny cieľ kontinuity činností (MBCO). RTO (cieľ času obnovy) je cieľový čas po incidente, v ktorom by sa mala obnoviť prevádzka produktu, služby alebo činnosti. RPO (Recovery Point Objective – cieľ bodu obnovy) je bod, do ktorého sa obnovia informácie používané v činnosti. MBCO (Minimum Business Continuity Objective) definuje minimálnu úroveň služieb a/alebo produktov, ktorá je prijateľná pre organizáciu na dosiahnutie jej obchodných cieľov počas narušenia.
- Posúdenie rizika kontinuity ICT: Posúdenie rizika zahŕňa identifikáciu hrozieb (príčin udalostí), zraniteľnosti aktív, obávaných udalostí, ich dopadu a pravdepodobnosti výskytu. Medzi hlavné hrozby patria prírodné udalosti, technické poruchy, neúmyselné a úmyselné ľudské činy (vrátane kybernetických útokov) alebo špecifické hrozby pre dodávateľský reťazec ICT.
- Stratégie pripravenosti na kontinuitu ICT: Stratégie by mali byť prispôsobené zložitosti architektúry ICT a mali by zohľadňovať rôzne scenáre. Medzi príklady stratégií patrí duálne umiestnenie, spolupráca, návrat do bezpečného stavu, obnova údajov, prevzatie dodávateľa, alternatívne zdroje a minimalizácia prevádzky.
- Plány obnovy ICT: Organizácie by mali vypracovať plány a postupy pre strategickú, taktickú a operačnú úroveň. Postupy by mali byť jasne zdokumentované a pravidelne testované.
- Nácvik a testovanie: Pravidelné testovanie a cvičenia sú potrebné na overenie funkčnosti plánov obnovy a postupov. Program by mal zahŕňať rôzne úrovne cvičení, od obnovy údajov až po testy odolnosti počítačovej miestnosti.
Na záver možno konštatovať, že zabezpečenie kontinuity ICT je komplexný proces, ktorý si vyžaduje systematický prístup, dodržiavanie regulačných požiadaviek a používanie príslušných noriem a metodík. Pravidelné hodnotenie rizík, vypracovanie a testovanie plánov a neustále zlepšovanie sú kľúčom k udržaniu digitálnej odolnosti v dynamickom kybernetickom prostredí.