СОИБ. Обеспечение непрерывности бизнеса и восстановления деятельности (Часть 2)


В продолжение предыдущей заметки об обеспечении непрерывности бизнеса и учебном курсе “Стандарт АРБ. Обеспечение непрерывности бизнеса и восстановлениядеятельности для Банков в соответствии с требованиями ЦБ РФ”, проведенном в учебном центре Микротест, 
привожу интервью с автором курса - Алексеем Бореалисом, руководителем группы разработчиков стандарта АРБ.


Почему нужна непрерывность бизнеса?
В условиях больших мегаполисов существует большое число чрезвычайных ситуаций, происходящих в любом районе города - от элементарного пожара до блокировки здания правоохранительными органами. Риски могут быть как технологического характера (просадка здания, обрыв кабеля из-за строительных работ, сбой в серверной из-за прорвавшейся водопроводной трубы или отключившегося в непредвиденно жаркую погоду кондиционера и т.д.), природного характера (подмыв грунтовыми водами, сильнейшие морозы и т.д.), юридического характера (неправильно оформленный договор аренды с последующим вынужденным выселением), так и социального характера (беспорядки в районе, эпидемия и т.д.). Не важно в чем именно риск, важно, что последствие риска – недоступность:
·        здания;
·        персонала;
·        ИТ и телекоммуникаций;
·        информации;
·        прочих технологий;
·        резерва ликвидных средств (для финансовых организаций);
·        внешних ключевых провайдеров, без которых немыслима деятельность организации
Как следствие работа всего или существенной части офиса (филиала) компании прерывается. На ликвидацию последствий ЧС и восстановления деятельности обычно уходит от нескольких недель до нескольких месяцев. Именно в этот период существует серьезная вероятность не выполнить минимальный объем обязательств (перед клиентами, регуляторами, иными заинтересованными сторонами) и, как следствие, потерять ключевые позиции на рынке, потерять ключевых клиентов, потерять лицензию на деятельность, понести потери, после которых просто невозможно восстановить деятельность и т.д. То есть в этот период существует риск потери всего или существенной части нормального бизнеса. По статистике DRII 93% компаний, не имевших систему непрерывности бизнеса, не продержались и 5 лет на рынке после ЧС, а 50% компаний, которые восстанавливали свою деятельность более 10 дней, уже не смогли восстановить ее вовсе.
Непрерывность бизнеса позволяет заранее спланировать и отрепетировать работы по аварийному восстановлению и продолжению ключевой деятельности бизнеса вне зоны поражения на время ликвидации последствий ЧС. То есть, фактически, спасти бизнес в кризисной ситуации. Это по-военному отлаженная методология, пришедшая к нам с Запада. 


Чем стандарт АРБ может помочь в вопросах обеспечения непрерывности и восстановления деятельности?
Существующие рекомендации, содержащиеся в положении 242-П касательно ОНиВД носят весьма общий характер. Стандарт четко структурирует требования к системе обеспечения непрерывности, включая все этапы ее создания, иерархию документов и т.д. Это сильно облегчает жизнь банкам, следующим рекомендациям ЦБ.


Какое обучение проводится на базе учебного центра компании Микротест по этой теме?
Компания Регул совместно с УЦ Микротест проводит ряд семинаров именно по теме обеспечение непрерывности бизнеса. 21-го и 22-го февраля прошел первый семинар из этого цикла - знакомство со стандартом Ассоциации Российских Банков в области обеспечения непрерывности и восстановления деятельности (ОНиВД), который был создан в поддержку инициативы ЦБ о вводе планов ОНиВД (положение 242-П) на территории всех кредитных организаций Российской Федерации.



В чем ценность семинара “Стандарт АРБ. Обеспечение непрерывности бизнеса и восстановления деятельности для Банков в соответствии с требованиями ЦБ РФ” по сравнению с самостоятельным прочтением стандарта?
Стандарт, в общем-то, сухой и скучный документ. Более того, многие пункты могут потребовать устного разъяснения. Его самостоятельное прочтение дает определенную картину, но оставляет массу вопросов, в особенности в области практической реализации требования стандарта. В будущем, в рамках АРБ будут создаваться методические пособия - приложения к стандарту. Но даже они не заменят живого диалога и практических упражнений, проходящих в рамках семинара.
От себя добавлю, что это наиболее быстрый способ войти в тему, по сравнению с самостоятельным изучением.


Каким вы видите участие подразделений ИБ в обеспечении непрерывности бизнеса?
Во-первых, задача ИБ и непрерывности бизнеса полностью пересекаются в области обеспечения доступности данных в условиях ЧС. СТО БР, равно как и 27001 ссылаются на планы обеспечения непрерывности бизнеса (обеспечения доступности в кризисной ситуации).

 Во-вторых, задача ИБ в кризисной ситуации не ограничивается только восстановлением данных после их потери. Решения по обеспечению непрерывной деятельности, восстановленной вне зоны поражения на время ликвидации последствий ЧС, как правило подразумевают защиту информации. Например, переход в режим работы на дому (скажем в условиях карантина или иной причины, повлекшей блокировку офиса), требует защищенных каналов связи и выполнения пользователями процедур ИБ. Или, скажем, транспортировка резервных копий к месту их восстановления, или обработка данных уже в резервном ЦОД, когда работа переключена именно на него, также требуют четкого обеспечения ИБ. Даже элементарный вынос информационных активов (жестких дисков, ноутбуков, ПК и т.д.) из здания во время пожара требует обеспечения их физической безопасности на улице. И так далее. У ИБ  достаточно большой спектр работ в кризисной ситуации.


Какое подразделение обычно руководит или курирует систему управления непрерывностью?
У всех по-разному. В России этим часто занимаются департамент ИТ или департамент ИБ, но это малоэффективно, хотя бы потому, что у этих отделов не хватает полномочий для формирования и тестирования планов, касаемо восстановления бизнес-процессов и поведения сотрудников в других департаментах. В западных организациях часто создается специальная структура - орган управления, состоящий из руководителей бизнес и ИТ подразделений, курируемый непосредственно высшим руководством организации. И это эффективный подход. В частности, именно такой подход описан в стандарте АРБ.


Сколько времени в среднем занимает внедрение системы управления непрерывностью?
От 4 до 6 месяцев в одном отделении (офисе), если двигаться в очень хорошем темпе, то есть быстро согласовывать промежуточные результаты. 

Комментарии

Artem Ageev написал(а)…
и совсем не реклама :)
24 февраля 2012 г. в 05:32
Сергей Борисов написал(а)…
Решил попробовать новый формат заметок для блога - интервью с экспертом.
24 февраля 2012 г. в 06:50
Отправить комментарий

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Изображение
Как показывает практика, немногие организации помнят и руководствуются приказом ФАПСИ (правопреемником которой является ФСБ России) от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну ". А ведь Инструкция является обязательной при использовании сертифицированных СКЗИ для обеспечения безопасности информации ограниченного доступа (подлежащей защите в соответствии с законодательством РФ).     А это ПДн, все виды тайн, ГИСы, НПСы, будущие КИИ. С 2008 по 2012 год для ПДн действовало послабление в виде “Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обесп
Далее...

Модель угроз безопасности клиента финансовой организации

Изображение
  Уже более 2 месяцев как вступил в силу методический документ ФСТЭК по моделированию угроз, а ни одного публичного примера модели угроз информационной безопасности сообществом не было опубликовано. Как мы обсуждали на межблогерском вебинаре по моделированию угроз ИБ , такой пример мог бы сильно помочь ответственным лицам, обязанным руководствоваться данной методикой. Пример модели угроз обещал сделать Алексей Лукацкий, но пока у него получилась серия публикаций про проблемы моделирования и примера ещё нет. В УЦСБ в рамках услуг по моделированию угроз, коллеги уже провели необходимую аналитику и подготовили внутренние средства автоматизации для разработки МУ, что уже говорит о возможности моделирования угроз по новой Методике.  К последнему межблогерскому вебинару по безопасности клиентов финансовых организаций я решил проверить насколько адекватной получится модель угроз для типового сегмента клиента ФО (а для данной статьи ещё и обновил графическое оформление). Давайте посмот
Далее...

КИИ. Категорирование объектов, часть 3

Изображение
Продолжаем проводить категорирование объекта КИИ на примере организации сферы здравоохранения. На предыдущем этапе мы выявили критические процессы организации. Теперь определяем объекты КИИ и отправляем их на согласование (этап простой и очевидный, но постараюсь добавить несколько полезных моментов) 3. Определение объектов КИИ Продолжаем начатое на прошлых этапах (а можно и совместить 1-3) общение с руководителями подразделений. Спрашиваем какие ИС или АСУ обрабатывают информацию, необходимую для обеспечения выявленных критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов. Отдельно в ИТ подразделении получаем полный перечень ИС (он должен был готовится в рамках мероприятий по ПДн) и АСУ, совместно с ИТ выкидываем из перечня ИС, не связанные с критическими процессами (как правило, кадровые, бухгалтерские, отчетность, банк-клиенты). В результате, того, что данные об ИС и АСУ получены не из одного источника, гарантируется его
Далее...