VALERIU CERNEI

ORGANIZAREA PROCESELOR DE ASIGURARE A CONTINUITII N AFACERI

Cuvinte cheie: plan, risc, securitate, continuitate, informaional, tehnologii, for major, afaceri.
Adnotare
Scopul lucrrii este de a reda o viziune de ansamblu asupra ntregului proces de Asigurare a
Continuitii n Afaceri i Restabilire a Informaiei (ACARI) i de a elucida activitile, necesar
de a fi realizate la fiecare etap.
n lucrare este prezentat procesul de elaborare, testare i implementare a Planului ACARI.
Actualitatea problemei puse n discuie reiese din impactul tehnologiilor informaionale asupra
procesului de afaceri, dat fiind faptul c acestea (tehnologiile informaionale), dein un rol
central n activitatea cotidian a organizaiilor.
n prezent, tot mai mult se contientizieaz faptul, c elaborarea i implementarea acestor planuri,
scutete organizaiile de pierderi enorme. Cu prere de ru, ns, deciziile de implementare, se
adopt dup realizarea aciunilor malefice.
Introducere
n condiiile informatizrii societii, sistemele informaionale ocup un loc central n desfurarea
activitii ntreprinderilor. Lund n considerare impactul tehnologiilor informaionale asupra
procesului de afaceri, dereglarea parial sau complet a strii de securitate a sistemului
informaional al organizaiei poate provoca consecine imprevizibile.
Astfel, n scopul meninerii unui nivel de securitate acceptabil, este necesar elaborarea planurilor
de asigurare a continuitii n activitate i restabilirea informaiei (ACARI), care presupun
elaborarea i implementarea planurilor, msurilor organizatorice i tehnice, ce permit restabilirea
rapid i eficient a activitii normale a sistemelor informaionale n cazul devierilor majore de la
starea / strile de securitate existente.
Procesul are nu numai un caracter tehnic, ci este necesar de a fi acordat o atenie deosebit
msurilor organizatorice. Procedurile de reacie la incidente i consecutivitatea aciunilor vor fi
descrise amnunit i testate de ctre personalul autorizat.
I. TIPURI DE PLANURI
Abordnd complex sistemul informaional, constatm c planuri de asigurare a continuitii pot fi
ntocmite pentru orice proces critic, ns este necesar de a analiza necesitatea.
Planul ACARI reprezint planul de baz al organizaiei i include 3 compartimente de baz:
-

aciuni de prentmpinare a incidentelor;

aciuni n timpul incidentului;

aciuni de nlturare i restabilire a funcionalitii sistemului informaional;

Restul planurilor pot fi elaborate ca anexe la planul de baz, ns e de menionat c aceste trebuie s
fie suficiente i totodat s nu dubleze n nici un caz aciunile.
Dintre planurile suplimentare pot fi menionat Planul de asigurare a continuitii n deservire,
necesar pentru a asigura suportul i deservirea sistemelor i aplicaiilor principale. Pentru fiecare
aplicaie trebuie s fie elaborate instruciuni de administrare i meninere a funcionalitii. Aceste
instruciuni vor include caracteristicile funcionrii normale, aciunile planificate, destinate de a
menine sistemul, responsabili, localizare copii, etc.
Un alt plan este Planul de asigurare a continuitii executrii operaiilor. Acesta va asigura
restabilirea funciilor cele mai importante n activitatea organizaiei n momentul i dup realizarea
incidentului, iar pentru aceasta, vor fi alocate toate resursele de baz. De obicei, planul respectiv
vizeaz restabilirea funciilor de baz a oficiilor centrale i se realizeaz n perioada de restabilire
complet a funcionalitii. n plan se menioneaz procedura de delegare a responsabilitilor,
numire a lociitorilor, salvarea documentelor critice i a bazelor de date, condiiile de utilizare a
ncperilor pentru servere de rezerv, s.a.
Planul de asigurare a continuitii executrii operaiilor poate fi ntocmit ca anex la planul de
baz i reglementeaz procesul de restabilire a proceselor de afaceri dup realizarea incidentelor.
Planul de reaciune la incidente legate de tehnica de calcul stabilete consecutivitatea aciunilor n
cazul incidentelor legate de tehnica de calcul. Elaborarea i implementarea procedurilor i a
procedurilor este o prioritate a colaboratorilor competeni n TI i sunt orientate spre depistarea
atacurilor, minimizarea nivelului de aciune distrugtor al rufctorilor i restabilirea sistemelor
dup incidente.
Planul de restabilire n caz de for major se aplic n cazul evenimentelor catastrofice
uragane, incendii, cutremur, altele. n acest caz, planul va conine consecutivitatea aciunilor
legate de restabilire a activitii - sisteme, aplicaii, tehnic de calcul cu preluarea activitii
de ncperea de rezerv.
Planul de reacie n situaii extreme include aciunile personalului n cazul apariiei situaiilor ce
prezint pericol pentru sntatea i viaa oamenilor, mediului nconjurtor sau activelor. Planul va fi
anexat la planul de baz ns toate aciunile stabilite vor fi realizate de sine stttor.
Planul de restabilire a funcionalitii sistemului informaional conine procedurile de rezervare a
componentelor sistemului informatic, instalare i configurare a sistemelor i a aplicaiilor critice.
Este necesar de a descrie consecutivitatea aciunilor, responsabilii i rechizitele de contact ale lor,
amplasarea copiilor de rezerv, timpul aproximativ de restabilire, altele.
Interaciunea dintre planurile menionate este prezentat n schema 1.

MENTINERE

P
R
O
T
E
C
T

Asigurarea
continuitii
executrii
operaiilor

Asigurarea
continuitii n
deservire

PLAN de asigurare a
continuitii n activitate i
restabilirea informaiei

Restabilirea
funcionalitii
sistemului
informaional

Reacie n situaii
extreme

I
E
Restabilire n caz de
for major

Reaciune la
incidente legate
de tehnica de
calcul

R
E
S
T
A
B
I
L
I
R

Schema 1. Locul planurilor concrete in procesul de asigurare a continuitii n activitate i

restabilirea informaiei.
Din schem se poate observa, ca activitatea de ACARI este un proces continuu, procedurile
trebuiesc rennoite permanent i meninute astfel nct sa reflecte starea real a componentelor
sistemului informaional.
II. PROCESUL DE PLANIFICARE
Implementarea procedurilor de asigurare a continuitii n afaceri poate fi delimitat n mai multe
etape. Astfel, pot fi evideniate 9 etape de baz.
1. Acordul conducerii
Iniierea procesului depinde n special de acordul persoanelor de decizie din organizatie.
ntemeierea necesitii de a investi n planul ACARI trebuie s fie prezentat n termeni accesibili
conducerii, s se evite noiunile tehnice, de dorit de a fi prezentat o analiz cantitativ a posibilelor
pierderi n urma realizrii incidentelor. Dat fiind faptul c nu e posibil de a observa rezultate
imediate i sunt necesare sume destul de mari, conducerea de obicei refuz s investeasc n
planurile de asigurare a continuitii.
2. Elaborarea tezelor Politicii ACARI
Pentru a asigura o abordare corect a planului, este necesar de a stabili cerinele ctre politica de
asigurare a continuitii. Acest document va descrie structura i aria de acoperire a planului,
responsabilitile, cerine ctre resurse i instruirea personalului, cerine ctre testarea i
antrenamentul personalului, stabilirea cerinelor de meninere a planului.
3. Iniializarea Proiectului
Etapa respectiv este necesar pentru a obine o imagine de ansamblu a sistemului informaional al
organizaiei. La etapa respectiv vor fi stabilite scopurile proiectului, se ntocmete planul de lucru,

se identific incidentele posibile i se asociaz resurselor concrete. De asemenea, informaia

acumulat la etapa respectiv va permite elaborarea planurilor iniiale de restabilire.
4. Analiza impactului asupra afacerii n urma incidentelor n sistemele informatice
Etapa poate fi delimitat n 3 sub etape. Toate au scop de a stabili cerinele de sistem i procesele
critice pentru stabilirea prioritilor de restabilire. Schematic aceast etap este prezentat mai jos.
Intrari
informatie

Identificarea resurselor
critice

utilizatori
posesori
procese
utilizatori
aplicaii
alte grupuri.

procese critice
(timpul de efectuare a
tranzaciilor, raportare,
aprobare, alte.)
resurse critice
(servere aplicaii, servere
BD, acces WAN i LAN,
mail, altele)

Stabilirea timp minim

de stagnare
resurse critice
(servere aplicaii, servere
BD, acces WAN i LAN,
mail, altele)
timp max de stagnare
impactul
(imposibilitate de
procesare, deservire, )

Stabilirea prioritilor
de restabilire
resurse
(LAN server, acces WAN,
email, altele)
prioritate
(nalt, mediu, joas)

Schema 2. Procesul de analiza a impactului asupra proceselor de afaceri.

-

identificarea resurselor critice

In baza informaiei acumulat utilizatori, surse tehnice, etc., se stabilesc sistemele i sub sistemele
implicate n realizarea funciilor critice i gradul de dependen de resurse concrete ale sistemului
informaional.
-

stabilirea timpului maxim acceptabil de stagnare

La etapa respectiv se evalueaz dependena sistemului de stagnarea unor componente. n acest caz
este foarte important de a lua n considerare, c odat cu sporirea timpului de stagnare sporete
impactul negativ. De asemenea se va lua n considerare i impactul malefic aspra componentelor
interdependente ale sistemului.
Este necesar de a stabili timpul optim de recuperare a componentelor critice n baza raportului
dintre valoarea pierderilor din cauza stagnrii sistemului i efortul de recuperare.
Funcia pierderi / cheltuieli restabilire poate fi prezentat sub form de grafic n felul urmtor:

Pierderi

COST

Cost de
restabilire

TIMP

stabilirea prioritilor de restabilire

n baza rezultatelor etapelor anterioare, lund n considerare importana informaiei prelucrate i

gradul ei de influen asupra afacerii, se stabilesc prioritile i strategiile de restabilire a
componentelor sistemului informaional.
n baza prioritilor stabilite se poate elabora planul astfel nct s fie mai informativ, este posibil
de a alege soluiile optime de amplasare i utilizare a resurselor, economisi resurse financiare,
umane i de timp.
5. Stabilirea msurilor de protecie i prentmpinare a incidentelor
Uneori valoarea pierderilor, stabilite la etapele anterioare, poate fi minimizat sau chiar complet
nlturat prin intermediul msurilor preventive. Dintre msurile de minimizare a riscurilor, sunt
cele ce monitorizeaz n regim real de timp starea sau strile sistemului informaional.

Msuri i mijloace de sporire a viabilitii sistemului informaional

Exist o mulime de masuri i mijloace de protecie preventiv pentru diferite tipuri i configuraii
ale sistemelor. Dintre acestea, la un nivel generalizat, le putem specifica pe urmtoarele:
-

surse de energie continu, utilizate pentru a preveni cderile de tensiune electric. Pot fi
utilizate pentru toate componentele sistemului;

generatoare de energie electric, sunt utilizate pentru asigurare cu energie electric n cazul
cderilor de energie pentru perioade ndelungate;

sisteme de condiionare a aerului folosite pentru a minima riscurile legate de

supranclzirea sau rcirea unor componente;

sisteme anti incendiu;

detectoare de fum i umiditate - de obicei se utilizeaz pentru ncperile de servere;

nveliuri de plastic pentru a limita posibilitatea mbibrii cu apa;

dulapuri de fier (seifuri) pentru a pstra suporturile de informaie;

ncperi teritorial amplasate diferit, pentru a pstra copiile suporturilor de date, documente,
alte componente critice;

mijloace tehnice de securitate de administrare a cheilor de cifrare, a accesului, etc;

mijloace de monitorizare a reelei;

efectuarea copiilor de rezerv;

echilibrarea efortului serverelor - permite optimizarea vitezei de lucru i accesibilitate la

date;

cifrarea datelor, etc.

E de menionat, nu este suficient utilizarea unui sau altui mecanism. Reieind din prioritile
organizaiei, va fi ales pachetul optim, care va minimiza pn la nivelul acceptabil riscurile aferente
utilizrii tehnologiilor informaionale. De asemenea, numai implementarea pachetului optim de
contra msuri iari nu este suficient. Este foarte important de a reglementa i documenta toate
aciunile i procesele, astfel n caz de necesitate s fie posibil utilizarea n timp optim a lor.
6. Elaborarea strategiilor de recuperare
Strategiile de recuperare stabilesc mijloacele rapide i eficiente de restabilire a funciilor de baza a
tehnologiilor informaionale. Strategiile se aleg n funcie de gravitatea urmrilor i timpului maxim
acceptabil de stagnare, stabilit la etapa analizei impactului asupra afacerii n urma incidentelor. n
acest caz, se recomand alegerea variantelor alternative, comparate dup preul de realizare,
cheltuieli de timp i posibilitatea de integrare n sistemul unic de restabilire.
Msurile de ACARI, trebuie s asigure strile de baz ale securitii informaionale i anume
accesibilitatea, integritatea i confidenialitatea datelor i a suporturilor. Pentru aceasta vor fi
utilizate i aplicate urmtoarele:
-

documentarea configuraiilor tehnicii de calcul, informaia despre productori i furnizori;

standardizarea i unificarea configuraiilor mijloacelor tehnice i program;

elaborarea instruciunilor referitoare la modalitatea de rezervare a datelor pe staiile de

lucru;
efectuarea copiilor de rezerva a datelor, aplicaiilor, sistemelor de operare;

pstrarea copiilor de rezerva i a etaloanelor sistemelor de operare n ncperi teritorial

diferite;

utilizarea rezultatelor analizei impactului asupra afacerilor;

testarea regulat a copiilor de rezerv, altele;

Strategiile alese vor include o combinaie de metode, ce se vor completa reciproc din punctul de
vedere a posibilitilor de recuperare pentru ntregul spectru de incidente.
7. Elaborarea planului ACARI
Planul ACARI include concretizarea funciilor responsabililor i echipelor participante la
procesul de recuperare. De asemenea n plan va fi inclus descrierea soluiilor tehnice, aplicate
pentru ACARI.
Structural, planul poate fi mprit n 5 pri:
1. Noiuni generale
2. Condiii de realizare a planului
3. Restabilirea funcionalitii
4. Aciuni de restabilire a sistemului de baz
5. Anexe

Necesar de menionat, c anexele trebuie s includ informaie ce are proprietatea de a se modifica

des, adic informaie despre personal, furnizori, copii ale documentelor importante, proceduri de
verificare i restabilire a proceselor din sistem, cerine ctre resurse hard i soft, descrierea ncperii
de rezerv, altele.
8. Elaborarea planului de testare a procedurilor, instruire i antrenament al personalului
Testarea planului este etapa cea mai important n procesul de elaborare a unui plan ACARI viabil.
Aceasta ne va ajuta s evalum posibilitile i pregtirea personalului implicat n realizarea rapid
i eficient a cerinelor de asigurare a continuitii. Pentru fiecare element al planului va fi
verificat corectitudinea procedurilor realizate i impactul lor asupra eficacitii de ansamblu a
planului. n mod obligatoriu vor fi verificate urmtoarele situaii:
-

Posibilitatea restabilirii de pe alte suporturi de date (rezerv).

Coordonarea aciunilor ntre membrii grupurilor concrete.

Interaciunea dintre grupele implicate

Funcionarea sistemului pe resursele tehnice de rezerv

Proceduri de ntiinare a personalului

Planul de testare, de asemenea, trebuie s includ att realizarea procedurilor detaliate n timp ct i
concretizarea executorilor. n practic se cunosc 2 abordri de realizare a testelor:

Testarea de birou. Participanii la testare parcurg toate procedurile fr a realiza aciuni

de vre-un fel. Cheltuielile pentru realizarea acestor verificri sunt minime i trebuie s fie
urmate de testarea funcional.

Testarea funcional. Procesul este mai amplu i necesit imitarea realizrii incidentelor
i deficienelor n funcionare concrete. La aceast etapa pot fi imitate condiiile de
utilizarea a componentelor de rezerv i chiar dislocare la ncperea de rezerv.

Testarea se finalizeaz cu antrenamentul personalului implicat n realizarea planului ACARI.

Antrenamentele trebuie s fie efectuate permanent, cu periodicitate stabilit. Este de dorit ca
personalul implicat s fie capabil de a realiza toate aciunile fr oricare documentaie.
9. Suportul (meninerea, dezvoltarea, modernizarea) planului ACARI
Pentru ca Planul ACARI s fie realizabil i eficient, este necesar rennoirea permanent, astfel
nct el s reflecte cerinele actuale de sistem, procedurile, structura organizatoric i strategia TI,
etc. Procesul de rennoire va fi abordat ca o parte component n realizarea Planului ACARI.
Altfel spus, Planul ACARI trebuie s fie revzut anual sau n msura implementrii noilor procese
i aplicarea modificrilor de configuraii.

Dat fiind faptul c Planul ACARI include informaie confidenial, accesul trebuie limitat. Va fi
numit persoana responsabil de efectuarea modificrilor i toate modificrile aplicate vor fi
descrise n lista modificrilor, ataat la Planul ACARI.
Concluzii
n concluzie, ai dori s specific, c elaborarea Planurilor ACARI nu este o problem
subdiviziunilor responsabile de TI . Conform statisticilor companiei Ernst & Young, cu toate c
70% din companii intenioneaz s extind planurie ACARI, ca i pe cele de recuperare n caz de
dezastru, numai 29% trateaz asigurarea continuitii afacerii ca pe o cheltuial de tip unitate de
business separat, n vreme ce 45% o plaseaz n cadrul bugetului TI, ceea ce reprezint dovada, c
multe companii percep continuitatea afacerii ca pe o responsabilitate a subdiviziunilor responsabile
de TI i nu a consiliilor de administraie.
O alt problem este c multe companii dezvolt planuri tehnice de asigurare a securitii. Aceste
planuri includ politici, proceduri i meniuni privind anumite tehnologii folosite - cu alte cuvinte
sunt focalizate pe specificaiile tehnice. Dar pentru ca o strategie de securitate s funcioneze optim,
ea trebuie determinat de persoanele cu putere de decizie n toate subdiviziunile organizaiei,
trebuie s includ o analiz profund a naturii riscurilor n afacerea organizaiei, iar msurile de
securitate, trebuie s utilizeze combinaii de mijloace att tehnice ct i organizaionale.
Bibliografie:
1. Materialele Contingency Planning Guide for Information Technology Systems, National
Institute of Standards and Technology.
2. Janet G. Butler, Poul Badura Contingency Planning and Disaster Recovery : Protecting
Your Organization's Resources , Publisher: Computer Technology Research Corporation,
1997.
3. http://www.pcmagazine.ro/pcmag4-8/internet_business.shtml
4. http://vgalaktionoff.narod.ru/unpub/Crash.htm
5. http://www.datafort.ru/content/rus/rubr26/rubr-263.asp
6. http://www.utoronto.ca/security/drp.htm