СОИБ. Проектирование. Обеспечение непрерывности бизнеса и восстановления деятельности.

СОИБ. Проектирование. Обеспечение непрерывности бизнеса и восстановления деятельности.


Одна из актуальных тем, озвученныхна недавней IV Межбанковской конференции - обеспечение непрерывности бизнеса ивосстановления деятельности.

1.                 Необходимость обеспечения непрерывности бизнесапонятна любому руководителю организации. Но обязательно обратите внимание на внешниетребования по обеспечению непрерывности:
·        161-ФЗ Онациональной платежной системе:
“Статья 12. Операторэлектронных денежных средств и требования к его деятельности
6. Операторэлектронных денежных средств обязан обеспечить бесперебойностьосуществленияперевода электронных денежных средств в соответствии с требованиями,установленными нормативными актами Банка России.
4. Операторэлектронных денежных средств обязан уведомить Банк России в установленном импорядке о начале деятельности по осуществлению перевода электронных денежныхсредств не позднее 10 рабочих дней со дня первого увеличения остаткаэлектронных денежных средств. В уведомлении должны быть указаны:
4) порядок обеспечениябесперебойностиосуществления перевода электронных денежных средств;
Статья 24. Требованияк значимой платежной системе
1. Банк Россииустанавливает следующие требования к системно значимой платежной системе:
4) обеспечениегарантированного уровня бесперебойностиоказания операционных услуг;
Статья 28. Системауправления рисками в платежной системе
3. Система управлениярисками должна предусматривать следующие мероприятия:
4) определение показателейбесперебойностифункционирования платежной системы в соответствии стребованиями нормативных актов Банка России;
5) определение порядкаобеспечения бесперебойности функционирования платежной системы в соответствии стребованиями нормативных актов Банка России;
Статья 33. Порядокпроведения инспекционных проверок поднадзорных организаций
2. При нарушениибесперебойностифункционирования значимой платежной системы Банк Россиипроводит внеплановые инспекционные проверки.
Статья 34. Действия имеры принуждения, применяемые Банком России в случае нарушения поднадзорнойорганизацией требований настоящего Федерального закона или принятых всоответствии с ним нормативных актов Банка России
2. В случаях, еслинарушения требований настоящего Федерального закона или принятых в соответствиис ним нормативных актов Банка России поднадзорной организацией влияют набесперебойность функционированияплатежной системы либо на услуги, оказываемыеучастникам платежной системы и их клиентам, Банк России применяет одну изследующих мер принуждения:
1) направляетпредписание об устранении нарушения с указанием срока для его устранения;
2) ограничивает(приостанавливает) предписанием оказание операционных услуг, в том числе припривлечении операционного центра, находящегося за пределами РоссийскойФедерации, и (или) услуг платежного клиринга.”
·        УказаниеЦБФР 2695-У О требованиях к обеспечению бесперебойности осуществления переводаэлектронных денежных средств
“3. Операторэлектронных денежных средств обязан принимать следующие меры, направленные наобеспечение бесперебойностиосуществления перевода электронных денежныхсредств:
    осуществлять меры, направленные нанедопущение нарушений функционированияоперационных и технологических средств,устройств, информационных систем, обеспечивающих учет информации об остаткахэлектронных денежных средств и их перевод, а в случае возникновения указанныхнарушений осуществлять меры по их устранению;
    проводить анализ причин нарушенийфункционирования операционных и технологических средств, устройств,информационных систем, выработку и реализацию мер по их устранению;
    обеспечивать сохранение функциональныхвозможностейоперационных и технологических средств, устройств, информационныхсистем при сбояхв их работе (далее - отказоустойчивость), осуществлять ихтестированиев целях выявления недостатков функционирования, а в случаевыявления указанных недостатковпринимать меры по их устранению.
    4. Для организации деятельности, связаннойс обеспечением бесперебойности осуществления перевода электронных денежныхсредств, оператор по переводу электронных денежных средств утверждает,внутренние документы в соответствии с пунктом 4 части 5 статьи 12 Федеральногозакона N 161-ФЗ (далее - внутренние документы).
Внутренние документыдолжны содержать:
   перечень возможных причин нарушенияфункционирования операционных и технологических средств, устройств,информационных систем, влекущих прекращение осуществления перевода электронныхденежных средств или его ненадлежащее осуществление, и сроки их устранения;
    план действийв случае нарушенияфункционирования операционных и технологических средств, устройств,информационных систем, направленный на восстановление их функционирования, втом числе путем применения резервных операционных и технологических средств,устройств, информационных систем, а также сроки проведения мероприятий в рамкахприменяемого плана;
    перечень и периодичностьпроведениярегламентных работпо обеспечению отказоустойчивости;
    порядок резервного копирования информацииоб осуществленном переводе электронных денежных средств, об остаткахэлектронных денежных средств, а также хранения такой информации, в том числесроки ее хранения;
   порядок контроляза обеспечениембесперебойности осуществления перевода электронных денежных средств.
    Внутренние документы могут включать иныеположения, направленные на обеспечение бесперебойности осуществления переводаэлектронных денежных средств.
    6. Оператор по переводу электронныхденежных средств разрабатывает и утверждает внутренние документы,предусмотренные настоящим Указанием, втечение одного месяцасо дня вступления в силу настоящего Указания.”
·        ПоложениеЦБ РФ 242-П Об организации внутреннего контроля в кредитных  организациях и банковских группах:
“3.5. Контроль за управлениеминформационными потоками (получением и передачей информации) и обеспечениеминформационной безопасности.
3.5.3. Общий контрольавтоматизированных информационных систем предусматривает контроль компьютерныхсистем (контроль за главным компьютером, системой клиент-сервер и рабочимиместами конечных пользователей и т.д.), проводимый с целью обеспечениябесперебойной и непрерывной работы.
Общий контроль состоитиз осуществляемых кредитной организацией процедур резервирования (копирования)данных и процедурвосстановленияфункций автоматизированных информационныхсистем, осуществления поддержки в течение времени использованияавтоматизированных информационных систем, включая определение правилприобретения, разработки и обслуживания (сопровождения) программногообеспечения, порядка осуществления контроля за безопасностью физическогодоступа.
3.7. Кредитнаяорганизация должна иметь разработанные планы действийна случай непредвиденныхобстоятельств с использованием дублирующих (резервных) автоматизированныхсистем и (или) устройств, включая восстановление критических для деятельностикредитной организации систем, поддерживаемых внешним поставщиком (провайдером)услуг. Внутренними документами должен быть определен порядок проверки этихплановв части их выполнимости в случаях возникновения непредвиденныхобстоятельств, а также перечень непредвиденных обстоятельств, в отношениикоторых разрабатываются планы действий.
4.4. Службавнутреннего контроля осуществляет следующие функции:
4.4.3. Проверканадежности функционирования системы внутреннего контроля за использованиемавтоматизированных информационных систем, включая контроль целостности базданных и их защиты от несанкционированного доступа и (или) использования,наличие планов действий на случай непредвиденных обстоятельств;“
·        149-ФЗ Обинформации, информационных технологиях и о защите информации:
“Статья 8. Право надоступ к информации
5. Государственныеорганы и органы местного самоуправления обязаны обеспечивать доступ, в томчисле с использованием информационно-телекоммуникационных сетей, в том числесети "Интернет", к информации о своей деятельности на русском языке игосударственном языке соответствующей республики в составе Российской Федерациив соответствии с федеральными законами, законами субъектов Российской Федерациии нормативными правовыми актами органов местного самоуправления. Лицо, желающееполучить доступ к такой информации, не обязано обосновывать необходимость ееполучения.
7. В случае, если врезультате неправомерного отказа в доступе к информации, несвоевременного еепредоставления, предоставления заведомо недостоверной или не соответствующейсодержанию запроса информации были причинены убытки, такие убытки подлежатвозмещению в соответствии с гражданским законодательством.”
Статья 16. Защитаинформации
4. Обладательинформации, оператор информационной системы в случаях, установленныхзаконодательством Российской Федерации, обязаны обеспечить:
5) возможностьнезамедлительного восстановления информации, модифицированной или уничтоженнойвследствие несанкционированного доступа к ней;”

“III. Требования кинформационной безопасности СЭД ФОИВ, в том числе при обработке служебнойинформации ограниченного распространения
31. Для обеспечениябезопасности электронных документов СЭД ФОИВ должна предусматривать возможностьрегулярного резервного копирования электронных документов (электронных образовдокументов), метаданных, восстановления электронных документов (электронныхобразов документов), метаданных из резервных копий. Регулярноеавтоматизированное резервное копирование и восстановление могут бытьреализованы либо в самой СЭД ФОИВ за счет интеграции со средствами,используемой в СЭД ФОИВ, системы управления базами данных, либо с инымпрограммным приложением.
32. Для обеспечениярезервного копирования и восстановления СЭД ФОИВ должна соответствоватьследующим функциональным требованиям:
иметьавтоматизированные процедуры резервного копирования и восстановления,позволяющие проводить регулярное полное или выборочное резервное копированиеразделов (подразделов) классификационной схемы, электронных документов(электронных образов документов), метаданных, параметров администрирования иконтрольной информации, а также, при необходимости, их восстановление;“
·        ПП 424 Обособенностях подключения федеральных государственных систем к информационно-телекоммуникационнымсетям:
“а) операторыфедеральных государственных информационных систем, созданных или используемых вцелях реализации полномочий федеральных органов исполнительной власти … (далее– информационные системы общего пользования), при подключении информационныхсистем общего пользования к информационно-телекоммуникационным сетям, доступ ккоторым не ограничен определенным кругом лиц, обязаны обеспечить:
восстановлениеинформации, измененной или уничтоженной вследствие несанкционированного доступак ней, в течение не более 8 часов;”
·        Приказ МинкомсвязиN 104 Об утверждении Требований по обеспечению целостности, устойчивостифункционирования и безопасности информационных систем общего пользования:
“2.Организационно-техническое обеспечение устойчивого и безопасногофункционирования информационных систем общего пользования представляет собойсовокупность мероприятий, направленных на поддержание:
2) устойчивостифункционирования информационной системы общего пользования как ее способностисохранять свою целостность при отказе части компонентов системы, а также вусловиях внутренних и внешних деструктивных информационных воздействий ивозвращаться в исходное состояние;
4. Устойчивостьфункционирования информационной системы общего пользования обеспечивается:
1) разработкой мер припроектировании информационной системы общего пользования, направленных навыполнение требований к показателям надежностиэтой информационной системыобщего пользования;
2) соблюдением условийэксплуатации, установленных в технической и эксплуатационной документациисоответствующих технических и программных средств информационной системы общегопользования;
3) выполнениемтребований к информационной системе общего пользования в части техническогообслуживанияее технических и программных средств;
4) выполнениемтребований к управлению информационной системой общего пользования в частиконтроля функционирования и анализа технических неисправностейв информационнойсистеме общего пользования.”
·        ПриказФСБ/ФСТЭК 416/489:
“11. В информационныхсистемах общего пользования должны быть обеспечены:
поддержаниецелостности и доступности информации;
предупреждениевозможных неблагоприятных последствий нарушения порядка доступа к информации;
возможностьоперативного восстановления информации, модифицированной или уничтоженнойвследствие неправомерных действий;”
·        Общиетребования по обеспечению безопасности информации в КСИИ:
“Требования пообеспечению действий в непредвиденных ситуациях предъявляются:
-         к планудействий в непредвиденных ситуациях;
-         к обучениюдействиям в непредвиденных ситуациях;
-         попроверке плана действий в непредвиденных ситуациях;
-         пообновлению плана действий в непредвиденных ситуациях;
-         к местамрезервного хранения носителей информации;
-         к резервнымместам обработки информации;
-         крезервированию телекоммуникационных сервисов (услуг);
-         крезервному копированию информации;
-         повосстановлению ИУС.”
·        ПП 781Положение об обеспечении безопасности персональных данных:
“11. При обработкеперсональных данных в информационной системе должно быть обеспечено:
г) возможностьнезамедлительного восстановленияперсональных данных, модифицированных илиуничтоженных вследствие несанкционированного доступа к ним;”
Таким образом, при обеспечениинепрерывности бизнеса и восстановления деятельности в части информационныхсистем обязательные требования надо учитывать:
·        Банкам;
·        Государственным органам и органам местногосамоуправления;
·        КСИИ
·        Операторам персональных данных.

2.                 Рекомендации и стандарты в РФ по обеспечениюнепрерывности, которые можно использовать при обеспечении непрерывности ивосстановлении работоспособности:
·        СТО БР ИББС–1.0.      8.11. Требования к организацииобеспечения непрерывности бизнеса и его восстановления после прерываний
·        ГОСТ Р ИСО/МЭК27002.    14 Менеджмент непрерывностибизнеса.

Стандарт АРБ является наиболее свежими интересным.  Именно ему был посвящен интереснейший курс, проведенный 22-23 февраля компаниейМикротест. “Стандарт АРБ. Обеспечение непрерывности бизнеса и восстановлениядеятельности для Банков в соответствии с требованиями ЦБ РФ” .  Автор курса: Алексей Бореалис, руководительгруппы разработчиков стандарта АРБ.

Немного подробностей про курс напишув следующей заметке.
системы общего доступа СОИБ СЭД обеспечение непрерывности бизнеса
Alt text

Баги в софте могут влиять на судьбы заключенных в тюрьмах, недобросовестные полицейские находят слабые места в копирайт-защите соцсетей. Смотрите новый выпуск на нашем Yotube канале