B 1.3 Hädaolukorraks valmisoleku kontseptsioon

NB! Käesolevas peatükis ei peeta hädaolukorra all silmas hädaolukorda Eesti Vabariigi hädaolukorra seaduse mõttes.

Hädaolukord on kahju tekitav olukord, kus institutsiooni protsessid või ressursid ei toimi nii, nagu nad peaksid toimima. Vajalike protsesside ja ressursside käideldavust ei õnnestu selleks ette nähtud aja jooksul taastada. Igapäevased tööprotsessid on tugevalt pärsitud. Võimalikke teenindusleppeid (Service Level Agreements(SLA)) ei suudeta täita. Tekivad suured kuni väga suured kahjud, mis mõjutavad märkimisväärselt ja vastuvõetamatult suurel määral ettevõtte aasta tulemit või ametiasutuste ülesannete täitmist. Hädaolukordade kõrvaldamiseks igapäevastest tööprotsessidest enam ei piisa. Nende kõrvaldamiseks läheb eraldi tarvis hädaolukordade likvideerimiseks mõeldud töökorraldust.

Hädaolukordade kohta saab lisa lugeda BSI standardist 100.-4 „hädaolukordade haldus“, mis on kättesaadav Riigi Infosüsteemi Ameti veebilehelt www.ria.ee/27220

Hädaolukorraks valmisolek hõlmab meetmeid, mis on suunatud infosüsteemi talitlusvõime taastamisele pärast (tehnilistel põhjustel, lohaka või tahtliku tegevuse tõttu) toimunud avariid.

Et hoida tegevuses majanduslikult otstarbekat hädaolukorraks valmisoleku kontseptsiooni, tuleb sellega kaasnevaid kulusid võrrelda potentsiaalsete kahjudega (kulud hädaolukorra tõttu tekkiva puuduliku talitlusvõime korral) ning anda kokkuvõtlik hinnang. Kulude hulka tuleb arvestada:
  • hädaolukorraks valmisoleku kontseptsiooni koostamise kulud,
  • IT-tegevusega kaasnevate hädaolukorraks valmisoleku meetmete realiseerimise ja käigushoidmise kulud,
  • hädaolukorras tegutsemise harjutamiseks korraldatavate õppuste kulud
  • süsteemi talitlusvõime taastamise kulud.

Nimetatud mooduli ülesandeks on näidata süstemaatilisel viisil, kuidas koostada hädaolukorraprotseduuride juhend ning harjutada selle rakendamist. Kulutused hädaolukorraprotseduuride juhendi koostamiseks koos selle juurde kuuluvate vajalike meetmetega on küllaltki suured. Seepärast on seda moodulit eriti mõttekas kasutada:
  • väga head talitlusvõimet vajavate IT-süsteemide,
  • suuremate IT-süsteemide (suurarvutid, serverid, laiaulatuslikud võrgud) või
  • ühte kohta kontsentreeritud suhteliselt suurema arvu IT-süsteemide korral.

Ohud

Kõikide infoturbe ohtude asemel käsitletakse käesolevas moodulis alljärgnevat ohtu, mis võib esile kutsuda süsteemi avarii.

Vääramatu jõud

Soovitatavad meetmed

Vaadeldava IT-süsteemi turvalisuse tagamiseks tuleb lisaks käesolevale moodulile rakendada veel teisigi mooduleid vastavalt infosüsteemide etalonturbe rakendusjuhendi modelleerimise tulemustele.
Hädaolukorraks valmisoleku kontseptsiooni koostamiseks tuleb rakendada terve rida meetmeid, alustades strateegilise planeerimisega, millele järgneb tähtsate tegevusprotsesside kaasamine ning lõpetades konkreetsete meetmetega, mida rakendatakse kõnealuste protsesside juurde kuuluvatele IT-süsteemidele. Alljärgnevalt kirjeldatakse etappe, mis tuleb seejuures läbida, ning meetmeid, millele teatud etappidel tuleb tähelepanu pöörata.
Planeerimine ja kontseptsioon
Erinevate tegevusprotsesside või organisatsiooniüksuste jaoks tuleb koostada individuaalsed hädaolukorraks valmisoleku kontseptsioonid, milles arvestatakse konkreetseid asjaolusid. Valitakse välja IT-valdkonnale sobivad ning majanduslikult tasuvad meetmed. Kaitsevajaduste kindlaksmääramise käigus selgunud andmete käideldavusnõuete baasil määratakse kindlaks vajalikud ennetavad meetmed IT-süsteemi talitluse ajaks (nt suitsetamiskeeld, katkematu elektrivooluga varustamine, hooldus, andmekaitse) (vt M 6.1 Käideldavusnõuete inventuur), et vältida hädaolukordi või vähendada hädaolukordade tagajärjel tekkivaid kahjusid.
Kui käideldavusnõuete kindlaksmääramise tulemusena selgub, et infosüsteemi talitluseks on vajalik alternatiivsüsteem, tuleb hädaolukorraprotseduuride juhendis kirjeldada ajutise või püsiva alternatiivsüsteemi tingimused ja protseduurid.
Hädaolukorraprotseduuride juhend peab olema koostatud nii, et kriitilised tegevusprotsessid ja IT-objektid oleks nõutud ajavahemiku jooksul jälle käideldavad. Eeskätt tuleb dokumenteerida personali võtmepositsioonid ning nende ülesanded ja volitused. Seejuures fikseeritakse hädaolukorraprotseduuride plaanis, mis on hädaolukorraprotseduuride juhendi koostisosa, milliseid meetmeid mingi hädaolukorra esinemisel tuleb rakendada. Hädaolukorraprotseduuride juhend tuleb tehnilisi, organisatsioonilisi ja personaliga seotud muudatusi silmas pidades alati kaasaegsena hoida. Erinevatele valdkondadele suunatud hädaolukorraks valmisoleku meetmed peavad hädaolukorraprotseduuride juhendis olema kirjeldatud nii, et nende rakendamisega saaks hakkama asjatundlik kolmas isik.
Rakendamine
Hädaolukorraprotseduuride juhend peab olema kohandatud ettevõtte või asutuse spetsiifilisele IT-situatsioonile. Selles tuleb detailselt fikseerida vastutavad ja kaasatud isikud, vastuvõtmist vajavad otsused, hädaolukorra kindlakstegemisel koheselt rakendatavad meetmed ning tegevusjuhised erisündmuste korral. Kirjeldatakse nii ennetavaid meetmeid kui ka meetmeid, mida rakendatakse kahju korvamiseks, IT-süsteemide hädaolukorrajärgseks taastamiseks ning asendushangeteks.
Hädaolukorraprotseduuride juhend peab olema hädaolukorral kiiresti kättesaadav ja transporditav. Kui dokument on olemas vaid elektroonilisel kujul või tööriistadele tugineval kujul, on vajalik ühe või mitme hädaolukorra-sülearvuti valmisolek.
Kasutamine
Erilist tähtsust tuleb omistada valmisoleku harjutamiseks läbiviidavatele õppustele. Lisaks sellele tuleks pidevalt tegelda hädaolukorra jaoks vajaliku võtmepersonali (avariiülema) koolitamise ja teadlikkuse tõstmisega. Kui kasutatakse hädaolukorra-sülearvuteid, tuleb seda teha lühiajaliselt.

Planeerimine ja kontseptsioon

Rakendamine

Kasutamine

Aste H: Turvameetmed kataloogist H, lisada astme M meetmetele

Kohustuslikud üldmeetmed

Teabe käideldavus (K)

Teabe terviklus (T)

-

Teabe konfidentsiaalsus (S)
-