null


Digitaal Vlaanderen | Team Informatieveiligheid (TIV)

Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 25 Next »

De continuïteit van de dienstverlening van de organisatie, is in toenemende mate afhankelijk van de beschikbaarheid van ICT-systemen. Het is dan ook belangrijk om de nodige maatregelen te implementeren om verstoringen van ICT-systemen tot een minimum te beperken.

Inhoud

Doel

Beleid

ICT-continuïteit voor bedrijfscontinuïteit

De ICT-continuïteit dient te worden gepland, geïmplementeerd, onderhouden en getest op basis van bedrijfscontinuïteitsdoelstellingen die zich moeten vertalen in ICT-continuïteitseisen. De ICT-continuïteit voor bedrijfscontinuïteit is een fundamenteel onderdeel van bedrijfscontinuïteitsbeheer en informatiebeveiligingsbeheer om te bewerkstelligen dat ook tijdens een verstoring aan de doelstellingen van de organisatie kan blijven worden voldaan.

Business Impact Assessment (BIA)

Een business impact assessment (BIA) van een ICT-dienst is een proces waarbij de potentiële effecten van een verstoring van de ICT-dienst op de bedrijfsactiviteiten worden geïdentificeerd en geëvalueerd. Het richt zich op het bepalen van de impact van een gebeurtenis op de bedrijfsvoering, financiën en reputatie. Een BIA geeft organisaties objectieve parameters om prioriteit aan herstelmaatregelen en middelen toe te wijzen op basis van de ernst van de impact.

Implementatiemaatregel

De ICT-continuïteitseisen voor elke ICT-dienst MOETEN het resultaat zijn van een business impact assessment.

Implementatiemaatregel

Voor iedere kritische ICT-dienst MOET een business impact assessment onderhouden worden.

Een BIA heeft als als uitkomst een Recovery Time Objective (RTO) en een Recovery Point Objective (RPO).

Deze en andere termen worden gedefinieerd in het algemene Strategiedocument “Business Continuity Management” van Digitaal Vlaanderen, editie 2024. Hieronder worden ze specifiek verwoord voor de ICT-diensten.

Recovery Time Objective (RTO)

RTO staat voor Recovery Time Objective en is de maximale toegestane tijd die kan verstrijken na een onderbreking voordat de continuïteit van de bedrijfsvoering en de ICT-diensten hersteld moeten zijn om onaanvaardbare gevolgen te voorkomen. Het bepaalt de tijdslimieten voor herstelwerkzaamheden, inclusief het herstellen van systemen, netwerken en applicaties na een incident. Het vaststellen van een RTO helpt organisaties bij het prioriteren van herstelinspanningen en het toewijzen van de benodigde middelen om de bedrijfscontinuïteit te waarborgen.

Implementatiemaatregel

Een business impact assessment MOET gebruik maken van impactsoorten en -criteria om de impact in de tijd als gevolg van een verstoring van de bedrijfsactiviteiten te beoordelen. De omvang en de duur van de daaruit voortvloeiende gevolgen MOETEN worden gebruikt om geprioriteerde activiteiten te identificeren en een hersteltijdsdoelstelling (RTO) toe te kennen.

Recovery Point Objective (RPO)

RPO staat voor Recovery Point Objective en verwijst naar het maximale toegestane verlies van informatie ten gevolge van een incident. Het vertegenwoordigt de hoeveelheid gegevens die een organisatie zich kan veroorloven te verliezen zonder significante negatieve gevolgen. Het definiëren van een RPO is cruciaal voor het plannen van gegevensherstelstrategieën en het implementeren van een passend back-up schema en replicatiemethoden.

Implementatiemaatregel

Een business impact assessment MOET gebruik maken van impactsoorten en -criteria om de impact op gegevens als gevolg van een verstoring van de bedrijfsactiviteiten te beoordelen. De omvang van de daaruit voortvloeiende gevolgen MOETEN worden gebruikt om te bepalen of er gegevens moeten hersteld worden en een datahersteldoelstelling (RPO) toe te kennen.

Business Continuity Management (BCM) en Business Continuity Plan (BCP)

Op het BCM-portaal wordt verder toegelicht hoe bedrijfscontinuïteit wordt beheerd voor Digitaal Vlaanderen. Hier vindt men onder meer een Business Continuity Plan (BCP) voor meerdere verschillende scenario’s dat telkens beschrijft hoe Digitaal Vlaanderen omgaat met een verstoring van bedrijfsactiviteiten. Een BCP is bijgevolg algemener dan een ICT-continuïteitsplan dat specifiek beschrijft hoe een specifieke ICT-dienst of kritisch systeem wordt behandeld in geval van een verstoring. Alsdusdanig zijn ICT-continuïteitsplannen een onderdeel van BCM en één of meerdere BCPs.

Implementatiemaatregel

Een Business Continuity Plan MOET als onderdeel een ICT-continuïteitsplan bevatten voor de ICT-diensten in het domein van het plan.

Implementatiemaatregel

Een Business Continuity Plan MOET beschrijven hoe tijdelijke ICT-diensten en activiteiten worden georganiseerd tijdens de verstoring zolang de normale bedrijfsvoering onderbroken is en tot deze volledig hersteld is.

ICT-continuïteitsplan

Het beheer van de ICT-continuïteit vormt een essentieel onderdeel van de bedrijfscontinuïteitseisen met betrekking tot beschikbaarheid om in staat te zijn:

  1. Te reageren op en te herstellen van verstoringen van ICT-diensten ongeacht de oorzaak;

  2. Te bewerkstelligen dat de continuïteit van geprioriteerde activiteiten door de vereiste ICT-diensten wordt ondersteund;

  3. Te reageren voordat er zich een verstoring van de ICT-diensten voordoet en zodra er ten minste één incident is waargenomen dat kan leiden tot een verstoring van de ICT-diensten.

Implementatiemaatregel

Op basis van de output van een Business Impact Assessment waarbij ICT-diensten worden betrokken, MOET de organisatie strategieën voor ICT-continuïteit identificeren en selecteren waarin mogelijke scenario’s voorafgaand aan, tijdens en na een verstoring in overweging worden genomen. De strategie voor ICT-continuïteit MOET de volgorde waarin systemen en middelen hersteld moeten worden, bepalen in functie van de kriticiteit van de bedrijfsprocessen (zie ook Disaster Recovery Plan).

Implementatiemaatregel

Voor iedere kritische ICT-dienst en/of systeem MOET een ICT-continuïteitsplan onderhouden worden.

Implementatiemaatregel

Een ICT-continuïteitsplan MOET de volgende informatie omvatten:

  1. Prestatie- en capaciteitsspecificaties om te voldoen aan de bedrijfscontinuïteitseisen en -doelstellingen zoals gespecificeerd in de BIA, zoals bijvoorbeeld de toegepaste back-up schema’s of de ICT-architectuur die aangeeft hoe redundantie is ingebouwd;

  2. De RTO van elke geprioriteerde ICT-dienst zoals gespecificeerd in de relevante BIA(s) en de procedures voor het tijdig herstel binnen de gestelde RTO(s);

  3. De RPO van elke geprioriteerde ICT-dienst zoals gespecificeerd in de relevante BIA(s) van de als informatie gedefinieerde geprioriteerde ICT-middelen en de procedures om de informatie te herstellen in overeenstemming met de gestelde RPO(s);

  4. gedetailleerde respons- en herstelprocedures.

Implementatiemaatregel

De organisatie MOET ervoor te zorgen dat ICT-continuïteitsplannen:

  1. Regelmatig door middel van oefeningen en tests worden geëvalueerd;

  2. Door het management worden goedgekeurd.

De organisatie MOET een test en review periode specificeren.

Implementatiemaatregel

De organisatie MOET in ICT-continuïteitsplannen de middelen bepalen die nodig zijn om de ICT-continuïteit te herstellen, zoals personeel, apparatuur, software en faciliteiten.

De organisatie MOET ervoor te zorgen dat er een adequate organisatiestructuur is die is voorbereid op een verstoring, deze verzacht en erop reageert, ondersteund door personeel met de nodige verantwoordelijkheid, autoriteit en competentie. Dit betekend dat de volgende maatregelen MOETEN worden onderhouden:

  1. De participanten in de organisatiestructuur zijn bekend en hebben geoefend met de implementatie van maatregelen binnen dit beleid;

  2. De participanten kunnen elkaar bereiken wanneer reguliere communicatie diensten niet beschikbaar zijn;

  3. Het benodigde materiaal, plannen, procedures, apparatuur is gestationeerd op een bekende plek inclusief terugval mogelijkheden.

De Digitaal Vlaanderen BCM-portaal bevat templates voor de verschillende benodigde documenten.

Disaster Recovery Plan (DRP)

Een DRP, oftewel Disaster Recovery Plan, is een uitgebreid plan dat de ICT-organisatie implementeert om de ICT-diensten en kritische systemen te herstellen na een grote calamiteit, zoals een natuurramp, brand, terroristische aanval, of pandemie.

Belangrijke onderdelen:

Implementatiemaatregel

De organisatie MOET een Disaster Recovery Plan (DRP) opstellen met de volgende onderdelen:

  1. Risicoanalyse en impactbeoordeling: Identificatie van potentiële rampscenario's en de mogelijke impact op de bedrijfsactiviteiten;

  2. Herstelstrategieën en procedures: Gedetailleerde plannen voor het herstel van bedrijfskritieke systemen na een ramp op basis van de ICT-continuïteitsplannen van deze systemen inclusief een prioritisering van opstart van systemen volgens kriticiteit;

  3. Communicatie en coördinatie: Procedures voor het communiceren met belanghebbenden, coördineren van reacties en het beheren van crisiscommunicatie;

  4. Testen en oefening: Regelmatige testen en oefening van het DRP om de effectiviteit ervan te waarborgen en eventuele zwakke punten te identificeren en aan te pakken.

Informatiebeveiliging tijdens een verstoring

De organisatie behoort plannen te maken om tijdens een verstoring het van toepassing zijnde niveau van de informatiebeveiliging te waarborgen. In de context van de bedrijfscontinuïteits- en ICT-continuïteitsplanning kan het nodig zijn de informatiebeveiligingseisen aan te passen, afhankelijk van de soort verstoring, in vergelijking met de normale operationele omstandigheden. Als onderdeel van de bedrijfsimpactanalyse en de risicobeoordeling die worden uitgevoerd binnen continuïteitsbeheer, behoren de gevolgen van het wegvallen van de geheimhouding en de integriteit van informatie, naast de noodzaak om de beschikbaarheid in stand te houden, te worden overwogen en geprioritiseerd.

Implementatiemaatregel

De organisatie MOET in het bijzonder ICT-continuïteitseisen vaststellen om:

  1. Informatieveiligheid te waarborgen;

  2. De continuïteit van de door verantwoordelijken gebruikte middelen voor het beheren van informatieveiligheid te waarborgen.

Implementatiemaatregel

De organisatie MOET procedures hebben om verstoring van informatieveiligheid zo spoedig mogelijk te herstellen.

Implementatiemaatregel

De organisatie MOET procedures en plannen hebben om er voor te zorgen dat er tijdens een verstoring aan de informatieveiligheidsdoelstellingen van de organisatie wordt voldaan.

Implementatiemaatregel

De organisatie MOET haar eisen vast te stellen voor het tijdens een verstoring aanpassen van beheersmaatregelen voor informatiebeveiliging. Deze informatiebeveiligingseisen MOETEN te worden opgenomen in de processen voor bedrijfscontinuïteitsbeheer van de organisatie.

Implementatiemaatregel

Er MOETEN plannen te worden ontwikkeld, geïmplementeerd, getest, beoordeeld en geëvalueerd om de beveiliging van informatie van essentiële bedrijfsprocessen in stand te houden of te herstellen na een verstoring. De beveiliging van informatie behoort op het vereiste niveau en binnen de vereiste tijdsbestekken te worden hersteld.

Implementatiemaatregel

De organisatie MOET het volgende implementeren en onderhouden:

  1. Beheersmaatregelen voor informatiebeveiliging, ondersteunende systemen en hulpmiddelen binnen bedrijfscontinuïteits- en ICT-continuïteitsplannen;

  2. Processen om bestaande beheersmaatregelen voor informatiebeveiliging tijdens een verstoring in stand te houden;

  3. Compenserende beheersmaatregelen voor beheersmaatregelen voor informatiebeveiliging die tijdens een verstoring niet kunnen worden gehandhaafd.

Implementatiemaatregel

De organisatie MOET het gebruik van compenserende beheersmaatregelen nauwkeurig documenteren.

Voorkomen van verstoringen van ICT-diensten

De organisatie moet rekening houden met ICT-continuïteitsvereisten bij het ontwerpen en implementeren van ICT-diensten met het oog op het voorkomen van verstoringen van geleverde ICT-diensten.

Naast onderstaande maatregelen dienen de volgende onderwerpen in acht genomen te worden:

Vereisten voor de back-up van informatie

Na het identificeren en classificeren van informatie dient bepaalt te worden welke vereisten van toepassing zijn voor de beschikbaarheid van de informatie.

Deze vereisten dienen te zijn gebaseerd op:

  • Informatieclassificatie,

  • Beschikbaarheidseisen,

  • Dreigingen en risico’s,

  • Back-up behoeften,

  • Beschikbare back-up technologieën,

  • Beschikbare en te ontwikkelen back-up procedures.

Voor specifieke vereisten dient er rekening gehouden te worden met:

  • Bevestigen dat de back-up en herstelstrategie voldoet aan:

    • Bedrijfscontinuïteitsplannen

    • Beleid, wet- en regelgeving en andere wettelijke verplichtingen.

  • Het documenteren van de back-up- en herstelprocessen, inclusief:

    • Soorten informatie waarvan een back-up moet worden gemaakt.

    • Schema's voor de back-up van informatie en informatiesystemen.

    • Beheer van back-up media (bijv. bewaartermijn, patroon van back-up cycli).

    • Methoden voor het uitvoeren, valideren en labelen van back-ups.

    • Methoden voor het valideren van het herstel van de informatie en het informatiesysteem.

Implementatiemaatregel

De organisatie MOET back-up- en herstelprocessen definiëren en documenteren die de informatiebeveiliging en de beschikbaarheidseisen van informatie en informatiesystemen weerspiegelen.

Redundantie van informatie-verwerkende faciliteiten

Redundantie duidt op het ontdubbelen van ICT-infrastructuur componenten. Op die manier blijft bij het uitvallen van één component het geheel wel goed functioneren omdat een andere component de taken overneemt.

Implementatiemaatregel

De organisatie MOET de infrastructuur zo structureren dat kritieke ICT-diensten en/of systemen beschikbaar blijven conform de waardebepaling van de informatie die wordt verwerkt. Zogenaamde “single point of failures” dienen gereduceerd te worden:

  1. Infrastructuur die informatie vanaf informatieklasse 4 verwerkt MOET volledig redundant zijn;

  2. Bij een lagere informatieklasse MOETEN reserveonderdelen beschikbaar zijn.

Implementatiemaatregel

Uitwijkstrategieën die het informatieveiligheidsbeleid en informatiebeveiliging in acht nemen MOETEN opgesteld, getest en onderhouden worden.

Implementatiemaatregel

De organisatie MOET de beschikbaarheidseisen uitwerken voor netwerkdiensten en netwerkcomponenten. Voor netwerkdiensten en -componenten die als kritiek worden beschouwd MOET de organisatie continuïteitsplannen opstellen conform dit beleid. Wanneer de beschikbaarheid van complexe netwerkdiensten of -componenten een hoge prioriteit heeft dienen de uitrol stappen zover mogelijk te worden geautomatiseerd. Dit betekent wel dat de beheerders in staat MOETEN zijn zonder ontwikkelde automatisering het component of de dienst te kunnen herstellen.

Implementatiemaatregel

De organisatie MOET het gebruik van Content Delivery Networks (CDN) en andere caching technologie te beperken tot gevallen waar met zekerheid kan worden vastgesteld dat er geen gevoelige data beschikbaar wordt gesteld.

Implementatiemaatregel

Kritieke data dient op verschillende fysieke locaties te worden opgeslagen.

Appendix

Relatie van het beleid met andere richtlijnen en standaarden

Regelgeving en standaarden (L1)

ISO 27001:2022 (Annex A)

Document status

Titel

Auteur

Datum

Versie

Status

Opmerkingen

Beleid voor ICT-continuïteit

Guido Calomme

14/05/2024

1.0

FINAAL CONCEPT

  • No labels