СОИБ. Обеспечение непрерывности бизнеса и восстановления деятельности (Часть 2)

СОИБ. Обеспечение непрерывности бизнеса и восстановления деятельности (Часть 2)

привожу интервью с автором курса - Алексеем Бореалисом,руководителем группы разработчиков стандарта АРБ.


Почему нужна непрерывность бизнеса?
В условиях больших мегаполисов существует большое числочрезвычайных ситуаций, происходящих в любом районе города - от элементарногопожара до блокировки здания правоохранительными органами. Риски могут быть кактехнологического характера (просадка здания, обрыв кабеля из-за строительныхработ, сбой в серверной из-за прорвавшейся водопроводной трубы илиотключившегося в непредвиденно жаркую погоду кондиционера и т.д.), природногохарактера (подмыв грунтовыми водами, сильнейшие морозы и т.д.), юридическогохарактера (неправильно оформленный договор аренды с последующим вынужденнымвыселением), так и социального характера (беспорядки в районе, эпидемия ит.д.). Не важно в чем именно риск, важно, что последствие риска – недоступность:
·       здания;
·       персонала;
·       ИТ и телекоммуникаций;
·       информации;
·       прочих технологий;
·       резерва ликвидных средств (для финансовых организаций);
·       внешних ключевых провайдеров, без которых немыслима деятельностьорганизации
Как следствие работа всего или существенной части офиса(филиала) компании прерывается. На ликвидацию последствий ЧС и восстановлениядеятельности обычно уходит от нескольких недель до нескольких месяцев. Именно вэтот период существует серьезная вероятность не выполнить минимальный объем обязательств(перед клиентами, регуляторами, иными заинтересованными сторонами) и, какследствие, потерять ключевые позиции на рынке, потерять ключевых клиентов,потерять лицензию на деятельность, понести потери, после которых простоневозможно восстановить деятельность и т.д. То есть в этот период существуетриск потери всего или существенной части нормального бизнеса. По статистикеDRII 93% компаний, не имевших систему непрерывности бизнеса, не продержались и5 лет на рынке после ЧС, а 50% компаний, которые восстанавливали своюдеятельность более 10 дней, уже не смогли восстановить ее вовсе.
Непрерывность бизнеса позволяет заранее спланировать иотрепетировать работы по аварийному восстановлению и продолжению ключевойдеятельности бизнеса вне зоны поражения на время ликвидации последствий ЧС. Тоесть, фактически, спасти бизнес в кризисной ситуации. Это по-военномуотлаженная методология, пришедшая к нам с Запада. 


Чем стандарт АРБ может помочь в вопросах обеспечениянепрерывности и восстановления деятельности?
Существующие рекомендации, содержащиеся в положении 242-Пкасательно ОНиВД носят весьма общий характер. Стандарт четко структурируеттребования к системе обеспечения непрерывности, включая все этапы ее создания,иерархию документов и т.д. Это сильно облегчает жизнь банкам, следующимрекомендациям ЦБ.


Какое обучение проводится на базе учебного центра компанииМикротест по этой теме?
Компания Регул совместно с УЦ Микротест проводитряд семинаров именно по теме обеспечение непрерывности бизнеса. 21-го и 22-гофевраля прошел первый семинар из этого цикла - знакомство со стандартом АссоциацииРоссийских Банков в области обеспечения непрерывности и восстановлениядеятельности (ОНиВД), который был создан в поддержку инициативы ЦБ о вводепланов ОНиВД (положение 242-П) на территории всех кредитных организацийРоссийской Федерации.



В чем ценность семинара “Стандарт АРБ. Обеспечениенепрерывности бизнеса и восстановления деятельности для Банков в соответствии стребованиями ЦБ РФ” по сравнению с самостоятельным прочтением стандарта?
Стандарт,в общем-то, сухой и скучный документ. Более того, многие пункты могутпотребовать устного разъяснения. Его самостоятельное прочтение дает определеннуюкартину, но оставляет массу вопросов, в особенности в области практическойреализации требования стандарта. В будущем, в рамках АРБ будут создаватьсяметодические пособия - приложения к стандарту. Но даже они не заменят живогодиалога и практических упражнений, проходящих в рамках семинара.
От себя добавлю,что это наиболее быстрый способ войти в тему, по сравнению с самостоятельнымизучением.


Каким вы видите участие подразделений ИБ в обеспечении непрерывностибизнеса?
Во-первых,задача ИБ и непрерывности бизнеса полностью пересекаются в области обеспечениядоступности данных в условиях ЧС. СТО БР, равно как и 27001 ссылаются на планыобеспечения непрерывности бизнеса (обеспечения доступности в кризиснойситуации).

 Во-вторых,задача ИБ в кризисной ситуации не ограничивается только восстановлением данныхпосле их потери. Решения по обеспечению непрерывной деятельности,восстановленной вне зоны поражения на время ликвидации последствий ЧС, какправило подразумевают защиту информации. Например, переход в режим работы надому (скажем в условиях карантина или иной причины, повлекшей блокировкуофиса), требует защищенных каналов связи и выполнения пользователями процедурИБ. Или, скажем, транспортировка резервных копий к месту их восстановления, илиобработка данных уже в резервном ЦОД, когда работа переключена именно на него,также требуют четкого обеспечения ИБ. Даже элементарный вынос информационныхактивов (жестких дисков, ноутбуков, ПК и т.д.) из здания во время пожаратребует обеспечения их физической безопасности на улице. И так далее. У ИБ достаточно большой спектр работ в кризисной ситуации.


Какое подразделение обычно руководит или курирует системууправления непрерывностью?
У всехпо-разному. В России этим часто занимаются департамент ИТ или департамент ИБ,но это малоэффективно, хотя бы потому, что у этих отделов не хватает полномочийдля формирования и тестирования планов, касаемо восстановления бизнес-процессови поведения сотрудников в других департаментах. В западных организациях частосоздается специальная структура - орган управления, состоящий из руководителейбизнес и ИТ подразделений, курируемый непосредственно высшим руководствоморганизации. И это эффективный подход. В частности, именно такой подход описанв стандарте АРБ.


Сколько времени в среднем занимает внедрение системыуправления непрерывностью?
От 4 до6 месяцев в одном отделении (офисе), если двигаться в очень хорошем темпе, тоесть быстро согласовывать промежуточные результаты. 
СОИБ Обучение Семинар обеспечение непрерывности бизнеса Банк России
Alt text

Баги в софте могут влиять на судьбы заключенных в тюрьмах, недобросовестные полицейские находят слабые места в копирайт-защите соцсетей. Смотрите новый выпуск на нашем Yotube канале