В предыдущихзаметках ( 1 и 2 ) я рассмотрел, почему с точки зрения ИБ необходимо заниматьсяобеспечением непрерывности бизнеса и восстановлением деятельности и выполнениякаких требований надо достичь.
Теперь рассмотримс чего можно начать, если вы решили заняться обеспечение непрерывности бизнесаи восстановления деятельности в организации и что надо включить в планреализации этого проекта.
Обратимся кстандартам ИБ в порядке уменьшения их популярности в целом:
· ISO/IEC 27002. Информационные технологии. Свод правил по управлению защитойинформации
· СТО БР ИББС. Обеспечениеинформационной безопасности организаций банковской системы Российской Федерации.
· COBIT. Control Objectives forInformation and Related Technology
· Стандарт АРБ. Система управлениянепрерывностью деятельности кредитных организаций банковской системы российскойфедерации.
В соответствии с ISO/IEC 27002необходимо:
1. Приказом руководства создатьрабочую группу по обеспечение непрерывности бизнеса и восстановлениядеятельности;
2. Включить в состав рабочей группывладельцев активов;
3. Разработать стратегию обеспечениянепрерывности бизнеса
o Провести оценку рисков (в томчисле определить приемлемые и неприемлемые), если она ещё не была проведена;
o Идентифицировать все активывходящие в критические процессы, если идентификация активов ещё не былапроведена;
o Учесть договорные обязательстваперед клиентами и третьими лицами;
o Разработать структуру плановобеспечения непрерывности;
4. Разработать планы обеспечениянепрерывности бизнеса и восстановления после прерываний
o Назначить владельца каждому плану;
o При планировании непрерывности бизнеса необходимо учитыватьинформацию из базы произошедших в организации инцидентов;
o Определить условия активациипланов;
o Разработать процедуры действий внештатных ситуациях (от перехода в аварийный режим и до восстановления);
o Определить ответственных зареализацию плана;
o Определить активы и ресурсынеобходимые для восстановления;
5. Разработать программу внедрения планови процедуры обеспечения непрерывности бизнеса
o Внести изменения в программуобучения сотрудников
o Разработать программу испытания планов
6. Утвердить и внедрить планы ипроцедуры обеспечения непрерывности бизнеса
o Обучить персонал действиям пообеспечению непрерывности, действиям в нештатных ситуациях, действиям повосстановлению бизнеса;
o Провести тестирование планов и корректировкупо результатам тестирования.
В следующихзаметках напишу как можно объединить это с рекомендациями остальных стандартов.
Основные цитаты изISO/IEC 27002касающиесянепрерывности:
“14.Менеджмент непрерывности бизнеса
Процессменеджмента непрерывности бизнеса должен быть реализован … посредством комбинациипредупреждающих и восстанавливающих средств управления.
Этотпроцесс должен идентифицировать критические деловые процессы …
Долженбыть разработан и должен поддерживаться по всей организации управляемый процессдля обеспечения непрерывности бизнеса, который рассматривает требования защитыинформации, необходимые для обеспечения непрерывности бизнеса организации.
Процессдолжен свести воедино следующие ключевые аспекты менеджмента непрерывностибизнеса:
a)понимание рисков, с которыми сталкивается организация, с точки зрениявероятности и влияния со временем, включая выявление и присваивание приоритетовкритическим деловым процессам (см. 14.1.2);
b)выявление всех активов, вовлеченных в критические деловые процессы (см. 7.1.1);
c)понимание влияния, которое прерывания, вызванные инцидентами в системе защитыинформации, могут оказать на бизнес (важно, чтобы были найдены решения, которыесправятся с инцидентами, вызывающими меньшее влияние, равно как и с серьезнымиинцидентами, которые могут угрожать жизнеспособности организации) иустановление деловых целей средств обработки информации;
d)рассмотрение приобретения подходящей страховки, которая может образовать частьобщего процесса обеспечения непрерывности, также являясь частью менеджментаоперационных рисков;
e)выявление и рассмотрение реализации дополнительных предупреждающих иуменьшающих средств управления;
f)выявление достаточных финансовых, организационных, технических ресурсов иресурсов окружающей среды для того, чтобы учесть определенные требования защитыинформации;
g)обеспечение безопасности персонала и защиты средств обработки информации, атакже организационной собственности;
h)формулировка и документирование планов обеспечения непрерывности бизнеса,учитывающие требования защиты информации в соответствии с согласованнойстратегией обеспечения непрерывности бизнеса (см. 14.1.3);
i)регулярное испытание и обновление реализованных планов и процессов (см.14.1.5);
j)обеспечение того, чтобы менеджмент непрерывности бизнеса был включен в процессыи структуру организации; ответственность за процесс менеджмента непрерывностибизнеса должна быть назначена на подходящем уровне в организации (см. 6.1.1).
Аспектыобеспечения непрерывности бизнеса, связанные с защитой информации, должны бытьоснованы на выявлении событий (или последовательности событий), которые могутвызвать прерывания в деловых процессах организаций, например, сбойоборудования, человеческие ошибки, кражи, пожар, стихийные бедствия и актытерроризма.
Оценкирисков для непрерывности бизнеса должны проводиться с полным вовлечениемвладельцев деловых ресурсов и процессов. Эта оценка должна рассматривать вседеловые процессы и не должна быть ограниченной средствами обработки информации,но должна включить результаты, специфичные для защиты информации. …
Взависимости от результатов оценки рисков, должна быть разработана стратегия обеспечениянепрерывности бизнеса для определения общего подхода к непрерывности бизнеса.Как только эта стратегия будет создана, руководством должно быть предоставленоподтверждение, и должен быть создан и претворен в жизнь план для реализацииэтой стратегии.
Должныбыть разработаны и реализованы планы для поддержания или восстановленияопераций и обеспечения доступности информации на необходимом уровне и в рамкахнеобходимого времени, выполнение которых следует за прерыванием или сбоемкритических деловых процессов.
Процесспланирования обеспечения непрерывности бизнеса должен учитывать следующее:
a)выявление и согласование всех обязанностей и процедур обеспечения непрерывностибизнеса;
b)определение приемлемой потери информации и невыполнения обслуживания;
c) реализацияпроцедур с целью сделать возможным возвращение к исходному режиму ивосстановление деловых операций и доступности информации в необходимое время;особое внимание должно быть уделено оценке внутренних и внешних зависимостейбизнеса и имеющихся договоров;
d)эксплуатационные процедуры, которым надо следовать в ожидании завершениявозвращения к исходному режиму и восстановления;
f)соответствующее образование персонала в области согласованных процедур и процессов…;
g)испытание и обновление планов.
Процесспланирования должен сфокусироваться на необходимых деловых задачах, например,восстановление конкретных услуг связи потребителям в приемлемое время. Должныбыть выявлены услуги и ресурсы, способствующие этому, включая кадровоеобеспечение, неинформационные обрабатывающие ресурсы, а также мероприятияперехода средств обработки информации в аварийный режим.
Должнаподдерживаться единая структура планов обеспечения непрерывности бизнеса ….
Структурапланирования непрерывности бизнеса должна учитывать выявленные требованиязащиты информации и рассмотреть следующее:
a) условия для активациипланов, описывающих процесс, который предстоит выполнить (например, как оценитьситуацию, кто должен быть задействован) прежде, чем каждый план будетактивирован;
b) чрезвычайные процедуры,описывающие действия, которые будут предприняты вслед за инцидентом,подвергающим опасности деловые операции;
c) процедуры перехода ваварийный режим…;
d)временные эксплуатационные процедуры, которым надлежит следовать в ожидании завершениявосстановления и возврата в обычный режим;
e)процедуры возобновления, описывающие действия, которые надлежит предпринять длявозврата к нормальным деловым операциям;
f)график обслуживания, который определяет, как и когда план будет испытан, и процессдля обслуживания плана;
g)деятельность по повышению осведомленности, образованию и подготовке, которыепредназначены для того, чтобы создать понимание процессов обеспечениянепрерывности бизнеса и обеспечить, что процессы продолжают оставаться результативными;
h)обязанности лиц, описывающие, кто за выполнение какой компоненты планаответственен. Если требуется, то должны быть назначены альтернативы;
i)критические активы и ресурсы, необходимые для того, чтобы быть способнымвыполнить чрезвычайные процедуры, процедуры перехода в аварийный режим ипроцедуры возобновления.
Испытанияплана обеспечения непрерывности бизнеса должны гарантировать, что все членыгруппы по восстановлению и другой имеющий отношение к делу персонал осведомленыо планах и о своей ответственности за непрерывность бизнеса и защитуинформации, и знают о своей роли при осуществлении плана.
Программаиспытаний для плана (планов) обеспечения деловой непрерывности должнауказывать, как и когда должен быть испытан каждый элемент плана. Каждый элементплана (планов) должен испытываться часто.”
