СОИБ. Проектирование. Обеспечение непрерывности бизнеса и восстановления деятельности 3
В предыдущих
заметках (1 и 2) я рассмотрел, почему с точки зрения ИБ необходимо заниматься
обеспечением непрерывности бизнеса и восстановлением деятельности и выполнения
каких требований надо достичь.
Теперь рассмотрим
с чего можно начать, если вы решили заняться обеспечение непрерывности бизнеса
и восстановления деятельности в организации и что надо включить в план
реализации этого проекта.
Обратимся к
стандартам ИБ в порядке уменьшения их популярности в целом:
·
ISO/IEC 27002. Информационные технологии. Свод правил по управлению защитой
информации
·
СТО БР ИББС. Обеспечение
информационной безопасности организаций банковской системы Российской Федерации.
·
COBIT. Control Objectives for
Information and Related Technology
·
Стандарт АРБ. Система управления
непрерывностью деятельности кредитных организаций банковской системы российской
федерации.
В соответствии с ISO/IEC 27002 необходимо:
1.
Приказом руководства создать
рабочую группу по обеспечение непрерывности бизнеса и восстановления
деятельности;
2.
Включить в состав рабочей группы
владельцев активов;
3.
Разработать стратегию обеспечения
непрерывности бизнеса
o
Провести оценку рисков (в том
числе определить приемлемые и неприемлемые), если она ещё не была проведена;
o
Идентифицировать все активы
входящие в критические процессы, если идентификация активов ещё не была
проведена;
o
Учесть договорные обязательства
перед клиентами и третьими лицами;
o
Разработать структуру планов
обеспечения непрерывности;
4.
Разработать планы обеспечения
непрерывности бизнеса и восстановления после прерываний
o
Назначить владельца каждому плану;
o
При планировании непрерывности бизнеса необходимо учитывать
информацию из базы произошедших в организации инцидентов;
o
Определить условия активации
планов;
o
Разработать процедуры действий в
нештатных ситуациях (от перехода в аварийный режим и до восстановления);
o
Определить ответственных за
реализацию плана;
o
Определить активы и ресурсы
необходимые для восстановления;
5.
Разработать программу внедрения планов
и процедуры обеспечения непрерывности бизнеса
o
Внести изменения в программу
обучения сотрудников
o
Разработать программу испытания планов
6.
Утвердить и внедрить планы и
процедуры обеспечения непрерывности бизнеса
o
Обучить персонал действиям по
обеспечению непрерывности, действиям в нештатных ситуациях, действиям по
восстановлению бизнеса;
o
Провести тестирование планов и корректировку
по результатам тестирования.
В следующих заметках напишу как можно объединить это с рекомендациями остальных стандартов.
Основные цитаты из ISO/IEC 27002 касающиеся непрерывности:
“14.
Менеджмент непрерывности бизнеса
Процесс
менеджмента непрерывности бизнеса должен быть реализован … посредством комбинации
предупреждающих и восстанавливающих средств управления.
Этот
процесс должен идентифицировать критические деловые процессы …
Должен быть разработан и должен поддерживаться по всей организации управляемый процесс для обеспечения непрерывности бизнеса, который рассматривает требования защиты информации, необходимые для обеспечения непрерывности бизнеса организации.
Процесс должен свести воедино следующие ключевые аспекты менеджмента непрерывности бизнеса:
a)
понимание рисков, с которыми сталкивается организация, с точки зрения
вероятности и влияния со временем, включая выявление и присваивание приоритетов
критическим деловым процессам (см. 14.1.2);
b)
выявление всех активов, вовлеченных в критические деловые процессы (см. 7.1.1);
c)
понимание влияния, которое прерывания, вызванные инцидентами в системе защиты
информации, могут оказать на бизнес (важно, чтобы были найдены решения, которые
справятся с инцидентами, вызывающими меньшее влияние, равно как и с серьезными
инцидентами, которые могут угрожать жизнеспособности организации) и
установление деловых целей средств обработки информации;
d)
рассмотрение приобретения подходящей страховки, которая может образовать часть
общего процесса обеспечения непрерывности, также являясь частью менеджмента
операционных рисков;
e)
выявление и рассмотрение реализации дополнительных предупреждающих и
уменьшающих средств управления;
f)
выявление достаточных финансовых, организационных, технических ресурсов и
ресурсов окружающей среды для того, чтобы учесть определенные требования защиты
информации;
g)
обеспечение безопасности персонала и защиты средств обработки информации, а
также организационной собственности;
h)
формулировка и документирование планов обеспечения непрерывности бизнеса,
учитывающие требования защиты информации в соответствии с согласованной
стратегией обеспечения непрерывности бизнеса (см. 14.1.3);
i)
регулярное испытание и обновление реализованных планов и процессов (см.
14.1.5);
j)
обеспечение того, чтобы менеджмент непрерывности бизнеса был включен в процессы
и структуру организации; ответственность за процесс менеджмента непрерывности
бизнеса должна быть назначена на подходящем уровне в организации (см. 6.1.1).
Аспекты обеспечения непрерывности бизнеса, связанные с защитой информации, должны быть основаны на выявлении событий (или последовательности событий), которые могут вызвать прерывания в деловых процессах организаций, например, сбой оборудования, человеческие ошибки, кражи, пожар, стихийные бедствия и акты терроризма.
Оценки рисков для непрерывности бизнеса должны проводиться с полным вовлечением владельцев деловых ресурсов и процессов. Эта оценка должна рассматривать все деловые процессы и не должна быть ограниченной средствами обработки информации, но должна включить результаты, специфичные для защиты информации. …
В зависимости от результатов оценки рисков, должна быть разработана стратегия обеспечения непрерывности бизнеса для определения общего подхода к непрерывности бизнеса. Как только эта стратегия будет создана, руководством должно быть предоставлено подтверждение, и должен быть создан и претворен в жизнь план для реализации этой стратегии.
Должны быть разработаны и реализованы планы для поддержания или восстановления операций и обеспечения доступности информации на необходимом уровне и в рамках необходимого времени, выполнение которых следует за прерыванием или сбоем критических деловых процессов.
Процесс планирования обеспечения непрерывности бизнеса должен учитывать следующее:
a)
выявление и согласование всех обязанностей и процедур обеспечения непрерывности
бизнеса;
b)
определение приемлемой потери информации и невыполнения обслуживания;
c) реализация
процедур с целью сделать возможным возвращение к исходному режиму и
восстановление деловых операций и доступности информации в необходимое время;
особое внимание должно быть уделено оценке внутренних и внешних зависимостей
бизнеса и имеющихся договоров;
d)
эксплуатационные процедуры, которым надо следовать в ожидании завершения
возвращения к исходному режиму и восстановления;
f)
соответствующее образование персонала в области согласованных процедур и процессов
…;
g)
испытание и обновление планов.
Процесс планирования должен сфокусироваться на необходимых деловых задачах, например, восстановление конкретных услуг связи потребителям в приемлемое время.
Должны быть выявлены услуги и ресурсы, способствующие этому, включая кадровое обеспечение, неинформационные обрабатывающие ресурсы, а также мероприятия перехода средств обработки информации в аварийный режим.
Должна
поддерживаться единая структура планов обеспечения непрерывности бизнеса ….
Структура планирования непрерывности бизнеса должна учитывать выявленные требования защиты информации и рассмотреть следующее:
a) условия для активации
планов, описывающих процесс, который предстоит выполнить (например, как оценить
ситуацию, кто должен быть задействован) прежде, чем каждый план будет
активирован;
b) чрезвычайные процедуры,
описывающие действия, которые будут предприняты вслед за инцидентом,
подвергающим опасности деловые операции;
c) процедуры перехода в
аварийный режим…;
d)
временные эксплуатационные процедуры, которым надлежит следовать в ожидании завершения
восстановления и возврата в обычный режим;
e)
процедуры возобновления, описывающие действия, которые надлежит предпринять для
возврата к нормальным деловым операциям;
f)
график обслуживания, который определяет, как и когда план будет испытан, и процесс
для обслуживания плана;
g)
деятельность по повышению осведомленности, образованию и подготовке, которые
предназначены для того, чтобы создать понимание процессов обеспечения
непрерывности бизнеса и обеспечить, что процессы продолжают оставаться результативными;
h)
обязанности лиц, описывающие, кто за выполнение какой компоненты плана
ответственен. Если требуется, то должны быть назначены альтернативы;
i)
критические активы и ресурсы, необходимые для того, чтобы быть способным
выполнить чрезвычайные процедуры, процедуры перехода в аварийный режим и
процедуры возобновления.
Испытания плана обеспечения непрерывности бизнеса должны гарантировать, что все члены группы по восстановлению и другой имеющий отношение к делу персонал осведомлены о планах и о своей ответственности за непрерывность бизнеса и защиту информации, и знают о своей роли при осуществлении плана.
Программа
испытаний для плана (планов) обеспечения деловой непрерывности должна
указывать, как и когда должен быть испытан каждый элемент плана. Каждый элемент
плана (планов) должен испытываться часто.”
Комментарии
Спасибо за ваши статьи.