Professional Documents
Culture Documents
Revizija I Kontrola IT Sistema
Revizija I Kontrola IT Sistema
Lekcija 05
P L A N I R A N J E KO N T I N U I T E TA
P O S L O VA N J A I O P O R AV K A O D
K ATA S T R O FA ( 2 . D E O )
Metropolitan
PRIRUČNIK ZA STUDENTE
Copyright © 2010 – UNIVERZITET METROPOLITAN, Beograd. Sva prava
zadržana. Bez prethodne pismene dozvole od strane Univerziteta
METROPOLITAN zabranjena je reprodukcija, transfer, distribucija ili
memorisanje nekog dela ili čitavih sadržaja ovog dokumenta.,
kopiranjem, snimanjem, elektronskim putem, skeniranjem ili na bilo koji
drugi način.
Lekcija 05
PLANIRANJE KONTINUITETA
POSLOVANJA I OPORAVKA OD
KATASTROFA (2.DEO)
Planiranje kontinuiteta poslovanja i oporavka od katastrofa
(2.deo)
Poglavlje 1: Plan oporavka od katastrofa: uvod
Poglavlje 2: Metodologija za razvoj plana oporavka od katastrofa
Poglavlje 3: Testiranje plana oporavka od katastrofa
Poglavlje 4: Alati i tehnike za reviziju plana oporavka od
katastrofa
Poglavlje 5: Osiguranje imovine i poslovanja organizacije
Poglavlje 6: Revizija plana oporavka od katastrofa i BCP
Poglavlje 7: Vežbe
Poglavlje 8: 1. Domaći zadatak
ZAKLJUČAK
Lekcija 05: Planiranje kontinuiteta poslovanja i oporavka od katastrofa (2.deo)
ISHODI UČENJA
3. Koje sve vrste testova DRP postoje, i koji su njihovi ključni elementi?
4
Planiranje kontinuiteta poslovanja i oporavka od katastrofa (2.deo)
Ključne reči
5
Lekcija 05: Planiranje kontinuiteta poslovanja i oporavka od katastrofa (2.deo)
POTREBA ZA DRP
6
Poglavlje 1: Plan oporavka od katastrofa: uvod
b.) Poverenje klijenata; kada se kompaniji, vladinoj instituciji ili bilo kojoj
organizaciji dogodi prekid poslovanja ili još gore - gubljenje baze
podataka, klijenti mogu izgubiti poverenje u takvu instituciju, i gubici u
narednom periodu mogu se udesetrostručiti.
7
Lekcija 05: Planiranje kontinuiteta poslovanja i oporavka od katastrofa (2.deo)
8
Poglavlje 1: Plan oporavka od katastrofa: uvod
9
Lekcija 05: Planiranje kontinuiteta poslovanja i oporavka od katastrofa (2.deo)
.
Primer
10
Poglavlje 1: Plan oporavka od katastrofa: uvod
DRP: TEME
11
Lekcija 05: Planiranje kontinuiteta poslovanja i oporavka od katastrofa (2.deo)
Primer: Narodna banka Srbije kao što je već pomenuti, uvela je standar
svim bankama, međutim, samo nekoliko banaka (među kojima je najviše
uradila Banca Intesa AD) osposobila Hot site, isto tako manji broj
banaka je osposbio Warm site,dok je većina osposobila Cold site.
4. Koncept velikog broja centara. Ovaj koncept je deljenje svojih
resursa na veći broj lokacija. Ovaj sistem može biti: a.) ˝In home˝
odnosno u okviru firme (npr banka rasporedi backup delove svoje baze
po sektorima / filijalama): b.). Udruži se veći broj firmi koji čuvaju baze
jedni drugima.
5.) Servisni biroi. Ovo su organizacije koje se profesionalno bave
čuvanjem podataka, takođe mogu biti opcija (HP, IBM..).
6.) Ostale alternativne metode čuvanja baza podataka koje
predstavljaju kombinaciju svih gore pomenutih opcija, uključuje čak i
mobilne baze podataka na kamionima koji imaj HVAC.
12
Poglavlje 1: Plan oporavka od katastrofa: uvod
1. Dešavanje katastrofe;
2. Prekid operacija;
3. Restauracija / oporavak operacija;
4. Prekid / prestanak katastrofe;
5. Rekonstrukcija operacija;
6. Normalni režim rada operacija.
13
Lekcija 05: Planiranje kontinuiteta poslovanja i oporavka od katastrofa (2.deo)
14
Poglavlje 1: Plan oporavka od katastrofa: uvod
b.) Ako nije moguće oporaviti ključne poslovne proese u okviru MTD,
vrši se iniciranje strategije za oporavak od katastrofa, što poddrazumeva
zvaničnu izjavu da se desila katastroa i da je neophodno aktivirati
strategiju za oporavak od katastrofa. Zatim sledi detaljna analiza
incidenta i ocena sveobuhvatna njegovog uticaja, u smislu razumevanja
punog uticaja katastrofe na poslovanje, i procene da li je moguć nastavak
rada u ovkiru MTD ili mora biti izveden oporavak na nekoj drugoj,
alternativnoj - eksternoj lokaciji.
Slika 1.1.2 Primer dijagrama
toka aktivnosti za oporavak
od katastrofa
15
Lekcija 05: Planiranje kontinuiteta poslovanja i oporavka od katastrofa (2.deo)
16
Poglavlje 1: Plan oporavka od katastrofa: uvod
17
Lekcija 05: Planiranje kontinuiteta poslovanja i oporavka od katastrofa (2.deo)
(http://pic.dhe.ibm.com/infocenter/iseries/v7r1m0/
index.jsp?topic=%2Frzarm%2Frzarmdisastr.htm)
*****************************************************************************
Sekcija 2. Zaposleni
*****************************************************************************
18
Poglavlje 1: Plan oporavka od katastrofa: uvod
*****************************************************************************
19
Lekcija 05: Planiranje kontinuiteta poslovanja i oporavka od katastrofa (2.deo)
*****************************************************************************
*****************************************************************************
20
Poglavlje 1: Plan oporavka od katastrofa: uvod
21
Lekcija 05: Planiranje kontinuiteta poslovanja i oporavka od katastrofa (2.deo)
22
Poglavlje 1: Plan oporavka od katastrofa: uvod
23
Lekcija 05: Planiranje kontinuiteta poslovanja i oporavka od katastrofa (2.deo)
24
Poglavlje 1: Plan oporavka od katastrofa: uvod
http://www.youtube.com/watch?v=QT_tymQSDIg
25
Lekcija 05: Planiranje kontinuiteta poslovanja i oporavka od katastrofa (2.deo)
26
Poglavlje 2: Metodologija za razvoj plana oporavka od katastrofa
27
Lekcija 05: Planiranje kontinuiteta poslovanja i oporavka od katastrofa (2.deo)
c.) Rizici IT sistema (i ICT sistema) – rizici instrastrukture IT, kao npr.:
telekomunikaciona mreža i sistem, deljeni servisi, virusi, backup
podataka i sistem skladištenja, softverske aplikacije i bug-ovi;
28
Poglavlje 2: Metodologija za razvoj plana oporavka od katastrofa
a.) Troškovi ,
29
Lekcija 05: Planiranje kontinuiteta poslovanja i oporavka od katastrofa (2.deo)
OBAVEŠTAVANJE U SLUČAJU
KATASTROFA: ILUSTRACIJA
30
Poglavlje 2: Metodologija za razvoj plana oporavka od katastrofa
31
Lekcija 05: Planiranje kontinuiteta poslovanja i oporavka od katastrofa (2.deo)
32
Poglavlje 2: Metodologija za razvoj plana oporavka od katastrofa
33
Lekcija 05: Planiranje kontinuiteta poslovanja i oporavka od katastrofa (2.deo)
TESTIRANJE DRP
34
Poglavlje 3: Testiranje plana oporavka od katastrofa
Sledi kraći video zapis na temu važnosti testiranja DRP, kao I praktičnih
problema u vezi testiranja DRP.
http://www.youtube.com/watch?v=A9EgOjtfvl8
35
Lekcija 05: Planiranje kontinuiteta poslovanja i oporavka od katastrofa (2.deo)
1. Hipotetički test.
3. Test modula
36
Poglavlje 3: Testiranje plana oporavka od katastrofa
37
Lekcija 05: Planiranje kontinuiteta poslovanja i oporavka od katastrofa (2.deo)
- Ciljevi tima
- Scenario katastrofe
- Vreme testiranja
- Lokacija tima
- Pretpostavke testa
- Ukupne rezultate
38
Poglavlje 3: Testiranje plana oporavka od katastrofa
- Rezultate timova
- Zapažanja I komentare
- Izveštaj
1. Ček-lista za dokumentaciju:
- Opšta dokumentacija;
- Procedure tima,
- Aktivnosti tima,
39
Lekcija 05: Planiranje kontinuiteta poslovanja i oporavka od katastrofa (2.deo)
http://www.disasterrecoverytemplates.com/bs25599-business-
continuity-and-disaster-recovery-documentation-checklist
Na slici je dat prikaz ček - liste za testiranje DRP koji se zahteva prema
britanskom standardu BS 25599 DRP Documentation Checklist - sa
sledećim elementima za koje je potrebno ispitati status: politika
oporavka od katastrofa; domen DRP, procedure i kontrole koje
podržavaju DRP; osnovne informacije o DRP i terminologija; izveštaj o
analizi uticaja katastrofe; izveštaj o proceni rizika; detaljni strategije
DRP; procedure za oporavak od katastrofa i menadžment u incidentnim
situacijama; planovi za oporavak od katastrofa i menadžment u
incidentnim situacijama; ažurirai kontakt podaci svih lica, agencija,
organizacija i resursa koji mogu biti podtrebni za podršku realizaciju
strategije odgovora na incidente; procedure kontrola promene u
organizaciji; registar rizika i problema; plan testiranja i tegistar
aktivnosti, kao i rezultata testiranja; log - fajlovi u vezi incidentnih
situacija; program obuke u vezi
40
Poglavlje 3: Testiranje plana oporavka od katastrofa
41
Lekcija 05: Planiranje kontinuiteta poslovanja i oporavka od katastrofa (2.deo)
http://www.youtube.com/watch?v=-KcTIMfO7JI
42
Poglavlje 4: Alati i tehnike za reviziju plana oporavka od katastrofa
1. Automatizovani alati
Ovo su ček - liste koje pomažu pri reviziji DRP. One su bazirane su na
osnovu DRP politike, odnosno politika vezanih za odgovor na katastrofe,
uspostavljenih na nivou organizacije. Takođe, ove ček - liste se mogu
koristiti za verifikaciju promena sistema.
4. Testovi penetracije
43
Lekcija 05: Planiranje kontinuiteta poslovanja i oporavka od katastrofa (2.deo)
TEST PENETRACIJE
Ovaj test uključuje metode napada koje koriste hakeri. Iako je ovaj test
prilično sveobuhvatan, on ne zamenjuje odit / reviziju bezbednosti
IS, odnosno reviziju BCP i DRP. Rezultati ovog testa se dokumentuju
I prezentuju “vlasnicima” sistema I menadžmentu.
44
Poglavlje 4: Alati i tehnike za reviziju plana oporavka od katastrofa
Kako je prikazano na sllici, upad u sistem se vrši preko ranjive mreže koja
je formirana za deo sistema koji ne sadrži poverljive podatke, a preko
koje je moguće pristupiti delu sistema sa poverljivim informacijama i to
preko dvosmerne relacije. Sa drgu strane prikaza je bezbedna mreža za
deo sistema sa poverljivim podacima, ali ona više nije bezbedna jer je
napadnta preko pomenute dvosmerne relacije. Zbog toga je neophodno
da BCP / DRP tim tretira i visoko- i nisko- rizične aplikacije / sisteme na
isti način, jer je relativno lako upasti u visoko -rizične sisteme preko nisko
- rizičnih sistema.
45
Lekcija 05: Planiranje kontinuiteta poslovanja i oporavka od katastrofa (2.deo)
(http://www.isaca.org/Journal/Past-Issues/2012/Volume-2/Pages/
Security-Through-Effective-Penetration-Testing.aspx)
- Konfiguracija aplikacija,
46
Poglavlje 4: Alati i tehnike za reviziju plana oporavka od katastrofa
47
Lekcija 05: Planiranje kontinuiteta poslovanja i oporavka od katastrofa (2.deo)
1. Izviđanje (Reconnaissance)
48
Poglavlje 4: Alati i tehnike za reviziju plana oporavka od katastrofa
49
Lekcija 05: Planiranje kontinuiteta poslovanja i oporavka od katastrofa (2.deo)
- ZGRADE, SOBE,
- VAŽNI DOKUMENTI,
- TRANSPORT,
50
Poglavlje 5: Osiguranje imovine i poslovanja organizacije
51
Lekcija 05: Planiranje kontinuiteta poslovanja i oporavka od katastrofa (2.deo)
52
Poglavlje 6: Revizija plana oporavka od katastrofa i BCP
53
Lekcija 05: Planiranje kontinuiteta poslovanja i oporavka od katastrofa (2.deo)
- Neadekvatna komunikacija,
- Nedovoljna obuka,
54
Poglavlje 7: Vežbe
Poglavlje 7 Vežbe
Cilj vežbi
Sadržaj vežbi
55
Lekcija 05: Planiranje kontinuiteta poslovanja i oporavka od katastrofa (2.deo)
56
Poglavlje 7: Vežbe
PRIMER:
2. ANALIZA RIZIKA
57
Lekcija 05: Planiranje kontinuiteta poslovanja i oporavka od katastrofa (2.deo)
58
Poglavlje 7: Vežbe
59
Lekcija 05: Planiranje kontinuiteta poslovanja i oporavka od katastrofa (2.deo)
60
Poglavlje 7: Vežbe
PRIMER:
61
Lekcija 05: Planiranje kontinuiteta poslovanja i oporavka od katastrofa (2.deo)
(http://mjf.ie/wp-content/uploads/white-papers/
it_survival_guide_206707.pdf)
62
Poglavlje 7: Vežbe
Sumarizacija – zaključci:
63
Lekcija 05: Planiranje kontinuiteta poslovanja i oporavka od katastrofa (2.deo)
(http://mjf.ie/wp-content/uploads/white-papers/
it_survival_guide_206707.pdf )
64
Poglavlje 7: Vežbe
65
Lekcija 05: Planiranje kontinuiteta poslovanja i oporavka od katastrofa (2.deo)
Sumarizacija – zaključci:
http://www.youtube.com/watch?v=yt4yrj3ERgI
66
Poglavlje 7: Vežbe
(http://www.provenbackup.co.uk/server-backup-process.html - članak:
“Windows Server Backup- How the process works?“)
FUNKCIONISANJE SISTEMA
67
Lekcija 05: Planiranje kontinuiteta poslovanja i oporavka od katastrofa (2.deo)
68
Poglavlje 7: Vežbe
69
Lekcija 05: Planiranje kontinuiteta poslovanja i oporavka od katastrofa (2.deo)
DOMAĆI ZADATAK 1
70
Poglavlje 8: 1. Domaći zadatak
71
Lekcija 05: Planiranje kontinuiteta poslovanja i oporavka od katastrofa (2.deo)
ZAKLJUČAK
PITANJA ZA SAMOOCENJIVANJE
Pitanja
72
ZAKLJUČAK
Sastavni elementi DRP su: detaljan opis svrhe i cilja DRP, uslovi za
aktivaciju DRP, procedure u hitnim slučajevima , procedure za dislokaciju
poslovanja, procedure za neočekivane situacije, procedure za nastavak
rada, raspored održavanja I testiranja plana, aktivnosti obuke za
podizanje sveti o DRP, odgovornosti zaposlenih , kontakt podaci
dobavljača I ostalih trećih lica/entiteta za slučaj katastrofa, ugovori sa
trećim strana u vezi backup-a, ugovori sa osiguravajućim kućama,
primarna konfiguracija harvera, softvera I perfiferne opreme I softvera,
lokacije podataka, programa, itd. I backup medija.
Koje su faze razvoja DRP – metodologija razvoja DRP?
73
Lekcija 05: Planiranje kontinuiteta poslovanja i oporavka od katastrofa (2.deo)
74
ZAKLJUČAK
REFERENCE I LINKOVI
Reference:
http://www.cisco.com/en/US/technologies/collateral/tk869/tk769/
white_paper_c11-453495.pdf
http://pic.dhe.ibm.com/infocenter/iseries/v7r1m0/
index.jsp?topic=%2Frzarm%2Frzarmdisastr.htm
75
Lekcija 05: Planiranje kontinuiteta poslovanja i oporavka od katastrofa (2.deo)
http://www.cisco.com/en/US/technologies/collateral/tk869/tk769/
white_paper_c11-453495.pdf
http://www.sqlskills.com/blogs/paul/importance-of-testing-your-disaster-
recovery-plan/
http://www.disasterrecoverytemplates.com/bs25599-business-
continuity-and-disaster-recovery-documentation-checklist
http://www.isaca.org/Journal/Past-Issues/2012/Volume-2/Pages/Security-
Through-Effective-Penetration-Testing.aspx
http://www.caanes.com/services/securityAssessment.php
Linkovi – nastavak.
Linkovi – nastavak:
http://www.e-janco.com/DRP_BCP_Audit.html
http://mjf.ie/wp-content/uploads/white-papers/
it_survival_guide_206707.pdf - članak: Business Continuity Planning IT
Survival Guide
http://www.provenbackup.co.uk/server-backup-process.html - članak:
“Windows Server Backup- How the process works?
http://www.disasterrecoveryworld.com/guidelines.htm
hrcak.srce.hr/file/203357
http://www.coming.rs/pdf_dokumenti/coming_resenja/
oporavak_od_katastrofe
76