Operatorzy Usług Kluczowych, a zarządzanie ciągłością działania

Operatorzy Usług Kluczowych

Ustawa o Krajowym Systemie Cyberbezpieczeństwa, nakłada na wyznaczonych Operatorów Usług Kluczowych (OUK) określone obowiązki, które są związane z zapewnieniem odpowiedniego poziomu bezpieczeństwa w organizacji. Obowiązki te dotyczą w głównej mierze bezpieczeństwa informacji, czyli szeroko pojętego bezpieczeństwa teleinformatycznego, ochrony danych osobowych, zarządzania ryzykiem, jak również zarządzaniem ciągłością działania w sytuacjach awaryjnych.
Nawiązując do realizacji zarządzania ciągłością działania, OUK są zobligowani do zagwarantowania bezpieczeństwa oraz zachowania ciągłości działania procesów, świadczonych usług kluczowych. Operatorzy usług kluczowych, w celu zapewnienia optymalnego poziomu bezpieczeństwa procesów, muszą w pełni objąć swój system informacyjny, który jest przez nich wykorzystywany do świadczenia usługi, w tym w szczególności system monitorowania, który będzie działał w organizacji w trybie ciągłym. Operatorzy muszą także zapewnić ciągłość działania, zgodnie z normą PN-EN ISO 22301, usłudze reagowania na incydenty bezpieczeństwa, w zakresie rejestrowania i obsługi zdarzeń naruszających bezpieczeństwo systemów informacyjnych.

zarządzanie ciągłością działania ouk

Operatorzy, wewnątrz swoich struktur, muszą zapewnić wdrożenie, dokumentowanie oraz utrzymanie planów działania, które zagwarantują ciągłe i niezakłócone świadczenie usługi kluczowej. Operatorzy usług kluczowych muszą być świadomi, że dana dokumentacja systemu zarządzania ciągłością działania, musi zostać wygenerowana zgodnie z wymaganiami normy PN-EN ISO 22301. Do takiej dokumentacji można zaliczyć Plan utrzymania ciągłości działania określonej organizacji, który powinien w sobie zawierać m.in.: listę procesów krytycznych, listę zasobów krytycznych, analizę BIA (ang. Business Impact Analysis) i dokumentację BCM (ang. Business Continuity Management). Nadrzędnymi celami analizy BIA jest identyfikacja wszystkich procesów, które w organizacji mogą zostać uznane za krytyczne oraz wskazanie wszelkich zasobów, które są niezbędne z punktu widzenia utrzymania ciągłości działania kluczowych usług Operatora. Z punktu widzenia Operatora usług kluczowych, dokumentacja BCM jest priorytetowa dla optymalnego zarządzania i utrzymania ciągłości działania. Do powyższej dokumentacji możemy zaliczyć m.in.:

  • Plany zarządzania incydentami;
  • Plany zarządzania kryzysowego i komunikacji;
  • Plany aktywacji witryny odzyskania;
  • Plany operacyjne lub naprawcze;
  • Plany ciągłości biznesowej;
  • Plany naprawy technologii.

W organizacji, która otrzymała status Operatora usług kluczowych, istotne jest aby funkcjonowały struktury ds. cyberbezpieczeństwa, w tym ciągłości działania. Ich głównym zadaniem, z punktu widzenia ciągłości działania, powinno być nadzorowanie i stałe uaktualnianie planów BCM.

O Autorze

PBSG
Od 2006 roku pomagamy polskim przedsiębiorcom i organizacjom administracji publicznej w zarządzaniu bezpieczeństwem danych i systemów teleinformatycznych. Przez kilkanaście lat działalności zdobyliśmy niezbędne doświadczenie, dzięki któremu wypracowaliśmy pozycję lidera w obszarze systemowego zarządzania organizacją. Dzisiaj zatrudniamy ponad 180 ekspertów biznesowych i technicznych w ramach grupy kapitałowej. Ponadto współpracujemy z kilkudziesięcioma specjalistami z różnych dziedzin w zakresie zarządzania i wymagań branżowych, aby jak najbardziej dopasować ofertę do realiów i potrzeb polskich firm.