Business Continuity Plan podle ZKB: jak připravit organizaci na výpadek služby

Business continuity plan

Kybernetický bezpečnostní incident se neposuzuje jen podle toho, jak rychle se podaří odstranit technický problém. Pro vrcholné vedení organizace je rozhodující hlavně to, zda dokáže i během narušení obnovit regulovanou službu v přijatelném čase, komunikovat se zákazníky a plnit své zákonné povinnosti.

Právě k tomu slouží Business Continuity Plan, zkráceně BCP. V českém prostředí se obvykle používá označení plán kontinuity činností. Jde o soubor postupů, rolí a odpovědností, které určují, jak bude organizace fungovat v omezeném režimu, kdo rozhodne o aktivaci stanoveného plánu a jak se zajistí návrat k běžnému provozu.

V kontextu zákona o kybernetické bezpečnosti má BCP důležitou roli. Pomáhá organizaci prokázat, že nepřistupuje ke kybernetické bezpečnosti pouze formálně, ale že má připravené reálné scénáře, odpovědnosti a postupy pro zvládnutí narušení regulované služby.

Co je Business Continuity Plan

BCP popisuje, jak organizace zajistí kontinuitu svých klíčových činností při incidentu nebo krizové situaci. Nejde pouze o technický dokument pro IT oddělení. BCP se týká celé organizace, protože výpadek služby obvykle zasahuje procesy, lidi, dodavatele, komunikaci, zákazníky i vrcholné vedení.

Dobře zpracovaný plán kontinuity odpovídá na několik praktických otázek: které služby musí fungovat i během incidentu, kdo rozhoduje o aktivaci plánu, jaké náhradní postupy se použijí, kdo komunikuje se zákazníky a dodavateli, jaké systémy se obnovují jako první a jak se ověřuje, že je služba znovu dostupná.

Cílem BCP není popsat všechny možné incidenty do posledního detailu. Jeho hlavním účelem je zajistit, aby organizace v krizové situaci věděla, co má dělat, kdo za co odpovídá a jaké priority má dodržet.

Jak BCP souvisí s Business Impact Analysis

BCP by neměl vznikat izolovaně. Jeho základem má být Business Impact Analysis (BIA), tedy analýza dopadů narušení činností. BIA pomáhá určit, které procesy a služby jsou kritické, jaké dopady by měl jejich výpadek a v jakém čase musí být obnoveny.

Zatímco BIA odpovídá na otázku, co je pro organizaci nejdůležitější a jak dlouho si může dovolit výpadek, BCP řeší, jak se organizace při výpadku zachová. BIA stanovuje priority, BCP nastaví postup.

Pokud například BIA ukáže, že určitá služba musí být obnovena do čtyř hodin, musí BCP obsahovat konkrétní postupy, odpovědnosti a návaznosti, které takovou obnovu umožní. Bez této vazby zůstávají hodnoty RTO a RPO pouze teoretickými údaji v dokumentaci.

Co by měl BCP obsahovat

Obsah BCP se bude lišit podle velikosti organizace, typu regulované služby a složitosti provozu. Vždy by ale měl být praktický a použitelný v reálné situaci.

Základem je vymezení rozsahu plánu. Organizace musí vědět, pro které služby, procesy, systémy nebo lokality se plán používá. Součástí by měla být také evidence aktiv a závislostí, které jsou pro poskytování služby zásadní.

Dále je potřeba určit role a odpovědnosti. V krizové situaci musí být jasné, kdo plán aktivuje, kdo řídí obnovu, kdo komunikuje s vrcholným vedením, kdo informuje zákazníky a kdo řeší technické kroky obnovy.

Plán kontinuity by měl obsahovat také scénáře narušení. Nemusí jít o dlouhý katalog všech incidentů, ale alespoň o základní typy situací, například nedostupnost klíčového systému, výpadek dodavatele, ztrátu dat, nedostupnost pracoviště nebo kybernetický útok.

Důležitou součástí jsou náhradní postupy. Organizace by měla vědět, jak bude dočasně fungovat, pokud běžné systémy nebo procesy nejsou dostupné. Může jít například o alternativní komunikační kanály, ruční zpracování vybraných činností, přesměrování provozu nebo využití záložního pracoviště.

BCP by měl také navazovat na plán obnovy po havárii, tedy DRP. Zatímco BCP řeší kontinuitu činností organizace, DRP se obvykle více zaměřuje na technickou obnovu systémů, infrastruktury a dat.

Jak BCP zpracovat v praxi

1. Vycházejte z BIA

Začněte u kritických procesů, služeb a dopadů jejich výpadku. Pokud už máte zpracovanou BIA, použijte ji jako hlavní vstup. Právě z ní by měly vycházet stanovené priority obnovy, RTO, RPO a požadavky na dostupnost.

2. Určete scénáře narušení

Popište situace, které mohou ohrozit poskytování služby. Typicky půjde o kybernetický bezpečnostní incident, výpadek systému, nedostupnost dat, selhání dodavatele, nedostupnost zaměstnanců nebo výpadek lokality.

3. Stanovte odpovědnosti

U každého scénáře musí být jasné, kdo rozhoduje, kdo plán aktivuje, kdo řídí obnovu a kdo komunikuje dovnitř i ven z organizace. BCP nesmí stát na jedné osobě bez zastupitelnosti.

4. Popište konkrétní postupy

Plán kontinuity má obsahovat praktické kroky, ne pouze obecné formulace. Mělo by být jasné, jak se postupuje při aktivaci plánu, jaké náhradní procesy se použijí, jaké kontakty se využijí a jak se ověřuje obnovení služby.

5. Propojte BCP s DRP a řízením incidentů

BCP musí navazovat na technické plány obnovy, zálohování, eskalační postupy a řízení kybernetických bezpečnostních incidentů. Pokud tyto dokumenty nejsou sladěné, může při skutečném incidentu vzniknout zmatek.

6. Testujte a aktualizujte

BCP má hodnotu pouze tehdy, pokud je pravidelně testovaný a aktualizovaný. Testování může odhalit neaktuální kontakty, nereálné časy obnovy, chybějící odpovědnosti nebo závislosti, které při tvorbě plánu nebyly zohledněny.

Testování BCP přitom nemusí znamenat plnohodnotnou simulaci výpadku. U některých systémů, například těch, které nelze z provozních důvodů vypnout, nebo u systémů, jejichž odstavení by způsobilo nepřiměřené škody či náklady, je reálný test obtížně proveditelný nebo příliš rizikový. V takových případech je vhodnou alternativou table-top cvičení, při kterém se krizový scénář prochází formou diskuze s klíčovými lidmi (např. vrcholné vedení, zástupci IT oddělení a manažer kybernetické bezpečnosti), bez skutečného zásahu do provozu. I tato forma ověření dokáže odhalit nesrovnalosti ve stanovených plánech a zároveň prověřit, zda zúčastnění rozumí svým rolím, odpovědnostem a stanoveným postupům.

Jak může pomoct Cybreg

V praxi je nejtěžší udržet BCP aktuální a propojený s ostatními oblastmi kybernetické bezpečnosti. Pokud je plán vedený odděleně v dokumentu nebo tabulce, rychle se může odtrhnout od evidence aktiv, řízení rizik, dodavatelů, bezpečnostních opatření a odpovědných osob.

Cybreg pomáhá tyto vazby udržovat na jednom místě. Organizace může evidovat regulované služby, aktiva, rizika, bezpečnostní opatření, dodavatele a odpovědnosti v jednotném prostředí. Díky tomu lze lépe sledovat, které služby jsou kritické, jaká aktiva je podporují, jaká rizika je ohrožují a jaká bezpečnostní opatření jsou nastavena pro jejich ochranu a obnovu.

BCP se tak nestává izolovaným dokumentem, ale součástí systému řízení kybernetické bezpečnosti. To organizaci pomáhá nejen při auditu, ale hlavně při reálném zvládání incidentů a udržení provozu regulovaných služeb.

Závěr

BCP je praktický nástroj pro zvládání narušení provozu. Pomáhá organizaci připravit se na situace, kdy klíčová služba, systém, dodavatel nebo proces přestane fungovat běžným způsobem.

V kontextu zákona o kybernetické bezpečnosti a jeho prováděcích nařízení by BCP neměl být pouze formální přílohou stanovené dokumentace. Má vycházet z BIA, navazovat na řízení rizik, být propojený s evidencí aktiv a promítat se do konkrétních postupů obnovy, komunikace a řízení incidentů.

Organizace, která má plán kontinuity prakticky zpracovaný, pravidelně testovaný a průběžně aktualizovaný, získává mnohem větší jistotu, že zvládne incident nejen technicky, ale i provozně a manažersky.

Závěr

BCP je praktický nástroj pro zvládání narušení provozu. Pomáhá organizaci připravit se na situace, kdy klíčová služba, systém, dodavatel nebo proces přestane fungovat běžným způsobem.

V kontextu zákona o kybernetické bezpečnosti a jeho prováděcích nařízení by BCP neměl být pouze formální přílohou stanovené dokumentace. Má vycházet z BIA, navazovat na řízení rizik, být propojený s evidencí aktiv a promítat se do konkrétních postupů obnovy, komunikace a řízení incidentů.

Organizace, která má plán kontinuity prakticky zpracovaný, pravidelně testovaný a průběžně aktualizovaný, získává mnohem větší jistotu, že zvládne incident nejen technicky, ale i provozně a manažersky.

Sdílejte:

Klíčové kontakty:

Související příspěvky

Digitální služby pod drobnohledem EU

Digitální služby pod drobnohledem EU

Nařízení o digitálních službách: regulace, na kterou se často zapomíná V poslední době se prakticky nemluví o ničem jiném než o směrnici NIS2 a novém zákoně o kybernetické bezpečnosti. Firmy intenzivně řeší, zda do nové regulace spadnou, v jakém režimu a jaké povinnosti z toho pro ně vyplynou.

Přečtěte si více ...