[Muokattu: 7.7.2017]

Varautumisen ja valmiuden suunnitelmia (3-A) [ < Tietoturvan rak... < Hallinto ]

Varautumissuunnitelma (contingency plan) kertoo, mitä tehdään kun tietojenkäsittely häiriytyy. Tämä on yläkäsite. Kun varaudutaan poikkeusoloihin (sodasta suuronnettomuuksiin), puhutaan valmiussuunnittelusta, joskin tätä termiä käytetään myös yleisemmin varautumissuunnitelmista.

Toipumissuunnitelma (recovery plan, joskus myös disaster recovery plan, DRP) on yksi kolmesta varautumissuunnittelun osasta ja asettuu vaikutusaikansa puolesta kahden muun väliin. Aivan aluksi toteutetaan vastesuunnitelmaa ((incidence) response plan), joka koskee aktiivisten hyökkäysten tai muiden meneillään olevien häiriöiden torjuntaa. Se kertoo esim., miten katkaistaan hyökkääjän yhteys, kenelle tiedotetaan, miten pelastaudutaan. Pitemmällä aikavälillä puolestaan tarvitaan jatkuvuussuunnitelmaa liiketoiminnan turvaamiseksi ((business) continuity plan, BCP).

Toipumissuunnitelmaa kutsutaan myös elpymissuunnitelmaksi. Huoltovarmuuskeskuksen määritelmän mukaan "se sisältää ohjeet katastrofista toipumiseen, toiminnan jatkamisesta ja paluusta normaaliin toimintaan, määrittelee (esim.) tärkeille tietojärjestelmille varajärjestelmävaatimukset, vastuut ja toimet valmiuden luomiseksi sekä antaa ohjeet toiminnasta poikkeustilanteissa."

Tuota määritelmää täytyy hieman avata. Ensinnäkin on selvää, että suunnitelman täytyy olla kirjallinen ja siinä annetaan joitakin normaalin tason ylittäviä valtuuksia. Siinä kerrotaan siis

Suunnitelma ei välttämättä ole toteutuskelpoinen, ellei itse järjestelmiä ole dokumentoitu. Riittävän tarkkojen kuvausten perusteella ulkopuolinen apu on tehokkaampaa ja nopeampaa.

Toipumissuunnitelma perustuu tietoturvapolitiikkaan ja sisältää sen mukaisesti dokumentoidun tiedon, kuinka nopeaa toipumisen täytyy olla suhteessa siihen, miten paljon se vaatii resursseja.

Esimerkkejä toipumissuunnitelmista on linkitetty Disaster Recovery Journal -lehden sivulle.

Valmiussuunnittelusta hyvin yleisellä tasolla on VAHTI-ohje ICT-toiminnan varautuminen häiriö- ja erityistilanteisiin ( 2/2009 ). Suunnitelmista ja niiden asemasta tietoturvallisuuden hallinnossa kertoo Yleisohje tietoturvallisuuden johtamiseen ja hallintaan ( VAHTI 3/2007 , ks. esim. s. 91).

Tämän kurssimateriaalin määritelmien mukaan ongelmaan ensin "vastataan", sitten "toivutaan" ja sen jälkeen "jatketaan" vastaavien suunnitelmien mukaan. Eri yhteyksissä - ja erilaisten tapahtumien varalta - voidaan suunnitelmia painottaa ja jäsentää eri tavoin. Esimerkiksi CISSP-tutkinnon materiaali toteaa: "DRP picks up where BCP leaves off" eli ensin jatketaan bisnestä tavalla tai toisella mutta suunnitelman mukaan, esim. varatiloissa , ja sen jälkeen toivutaan esim. rakentamalla liiketilat ym. uudestaan.