Canadian Centre for Cyber Security がIT復旧計画の策定に関する文書を公開していましたね。。。at 2021.01.14
こんにちは、丸山満彦です。
Canadian Centre for Cyber Security が2021.01.14にIT復旧計画の策定に関する文書を公開していました。。。
回復のために策定を検討すべき計画には、
- Disaster Recovery Plan: 災害復旧計画
- Incident Response Plan: インシデント対応計画
の2つがあると説明していますね。
- 災害復旧計画:主な目的は、計画外の停電やサービスの中断時に事業の継続性を確保すること
- インシデント対応計画:主な目標は、セキュリティ侵害が発生した際に機密情報を保護すること
という説明をしていますね。。。
で、これは復旧計画の方ですね。。。
これは、原因が地震等の自然災害だけでなく、ランサムウェアやサイバー攻撃による中断に対しても参考になると思います。。。
しかもかなりコンパクト(^^)
● Canadian Centre for Cyber Security
・2021.01.14 Developing Your IT Recovery Plan (ITSAP.40.004)
・[PDF]バージョン
復旧計画に重要な3つの指標
Maximum tolerable downtime (MTD) | 最大許容ダウンタイム(MTD |
The total length of time that a process can be unavailable without causing significant harm to your business. | 事業に大きな損害を与えずにプロセスが利用できなくなる合計時間。 |
Recovery point objective (RPO) | 回復ポイント目標 (RPO) |
The measurement of data loss that is tolerable to your organization. | 組織にとって許容可能なデータ損失の測定。 |
Recovery time objective (RTO) | 復旧時間の目標(RTO |
The planned time and level of service needed to meet the system owner's minimum expectations. | システムオーナの最低限の期待に応えるために必要な計画された時間とサービスレベル。 |
復旧計画の策定(10ステップ)
1. Identify stakeholders including clients, vendors, business owners, systems owners, and managers. | 1. 顧客、ベンダー、ビジネスオーナ、システムオーナ、管理者などの利害関係者を特定する。 |
2. Identify your response team members, as well as their roles and responsibilities. | 2. 対応チームのメンバーとその役割と責任を特定する。 |
3. Take inventory of all your hardware and software assets. | 3. すべてのハードウェアおよびソフトウェア資産の棚卸しを行う。 |
4. Identify and prioritize critical business functions, applications, and data. | 4. 重要なビジネス機能、アプリケーション、データを特定し、優先順位をつける。 |
5. Set clear recovery objectives. | 5. 明確な復旧目標を設定する。 |
6. Define backup and recovery strategies. | 6. バックアップとリカバリー戦略を定義する。 |
7. Test your plan. | 7. 計画をテストする。 |
8. Develop a communications plan to inform key stakeholders. | 8. 主要な利害関係者に情報を提供するためのコミュニケーション計画を策定する。 |
9. Develop a training program for employees to ensure everyone is aware of their roles, responsibilities, and order of operations during an unplanned outage. | 9. 従業員を対象としたトレーニングプログラムを作成し、計画外の障害が発生した場合に、全員が自分の役割、責任、業務の順序を認識していることを確認する。 |
10. Optionally, engage with your Managed Service Providers (MSPs) to identify areas in which they can assist you with your recovery efforts. | 10. 必要ならば、マネージド サービス プロバイダ(MSP)と協力して、MSPが復旧作業を支援できる領域を特定する。 |
訓練(テスト)の手法例
Checklist: Read through and explain the steps of the recovery plan. |
チェックリスト: 通読して回復計画のステップを説明します。 |
Walkthrough: Walk through steps without enacting them. |
ウォークスルー: それらを実行しないでステップを通って歩きなさい。 |
Simulation: Use a simulated incident or disaster to familiarize the recovery team with their roles and responsibilities. |
シミュレーション: 模擬的な事件または災害を使用して回復チームに役割および責任に慣れるために。 |
Parallel test: Set up and test recovery systems to see if they can perform operations to support key processes. You keep your main systems in full production mode. |
パラレルテスト: 復旧システムをセットアップしてテストし、主要なプロセスをサポートするための操作を実行できるかどうかを確認します。メインシステムを完全な本番モードにしておきます。 |
Cutover test: Your recovery systems are set up to assume all your business operations, and you disconnect primary systems. This type of test causes business interruptions, requiring additional pre-planning. |
カットオーバーテスト: 復旧システムがすべての業務を引き受けるように設定され、プライマリシステムを切断します。このタイプのテストでは、業務の中断が発生するため、追加の事前計画が必要になります。 |
« 欧州評議会 108号条約委員会が「顔認識に関するガイドライン」を採択しましたね。。。 | Main | 英国 NCAが「なりすました投資会社(clone firm)」の投資詐欺で2020年に78Mポンド(112億円)の被害が出たと警告していますね。。。 »
Comments