Непрерывность бизнеса

Назначение

Softline убеждена в том, что одним из важнейших условий устойчивого развития бизнеса является обеспечение выполнения всех принятых на себя обязательств в случае возникновения чрезвычайной ситуации.

Softline является поставщиком большого количества товаров и услуг на IT-рынке, поэтому при возникновении чрезвычайных ситуаций в рамках, применяемых по отношению к деятельности по обеспечению непрерывности бизнеса, планирует поддержание/установление уровня оказываемых услуг в краткосрочной перспективе.

Настоящая Политика декларирует соответствие требованиям лучших практик по защите организации от перебоев деятельности, снижения их вероятности и обеспечения условий для восстановления.

Цель политики

Обеспечение разработки, внедрения и пересмотра системы обеспечения непрерывности бизнеса.

Введение

Система обеспечения непрерывности бизнеса направлена на предотвращение, выявление и устранение рисков возникновения перебоев деятельности, а также на обеспечение условий восстановления деятельности при их возникновении.

Система обеспечения непрерывности бизнеса является одним из важнейших компонентов организации, позволяющим избежать и предотвращать риски возникновения перебоев в деятельности, сохраняя и увеличивая признание Softline потребителями, деловыми партнерами, государственными должностными лицами (далее – Заинтересованными сторонами), укреплять доверие к Softline и повышать уровень лояльности.

Область применения

Настоящая Политика применяется в отношении всех сотрудников, работников, нанятых по срочному трудовому договору, топ-менеджеров, членов Совета директоров Softline (далее — Сотрудники), а также для всех контрагентов, консультантов, дистрибьюторов, реселлеров и других представителей (далее — Деловые партнеры), выступающих от имени Softline.

Политика соответствует международным и национальным документам в области обеспечения непрерывности бизнеса.

Цели обеспечения непрерывности бизнеса

Система обеспечения непрерывности бизнеса Softline придерживается следующих направлений:

  • Предотвращение, выявление и устранение существующих и будущих угроз бизнесу Softline.
  • Упреждающий подход для минимизации воздействия инцидентов.
  • Обеспечение эффективности действий при возникновении прерывания бизнеса.
  • Минимизация длительности и последствий простоев во время инцидентов.
  • Сокращение длительности восстановительного периода.
  • Сохранение лояльности клиентов и поставщиков благодаря демонстрации устойчивости бизнеса, подтвержденной системой обеспечения непрерывности бизнеса.

Процесс

При реализации процессов обеспечения непрерывности бизнеса используется модель «Plan-Do-Check-Act» – «Планирование-Действие-Проверка-Корректировка». Основные элементы этого подхода:

  • Политика обеспечения непрерывности бизнеса – документ, который регламентирует работу в области обеспечения непрерывности бизнеса в Softline.
  • Оценка рисков – выявление, анализ и оценка влияния рисков на бизнес Softline.
  • Анализ влияния инцидентов на бизнес – это анализ и оценка возможного влияния инцидентов на рабочие процессы в Softline.
  • Кризисное управление (планирование) – стратегическое планирование для обеспечения непрерывности бизнеса Softline, включающее в себя разработанные заранее принципы кризисного управления при следующих сценариях: недоступность персонала, недоступность здания/ офиса, недоступность инфраструктуры, недоступность данных и недоступность поставщиков.
  • План обеспечения непрерывности бизнеса – задокументированная процедура или ряд процедур для использования при ситуации прерывания бизнеса.
  • План восстановления – процесс восстановления и защиты инфраструктуры.
  • Управление инцидентами (планирование) – план действий для минимизации влияния инцидентов на персонал и бизнес-процессы.
  • Кризисные коммуникации (планирование) – установленные ранее и задокументированные приоритеты в коммуникациях и способах оповещениях при инцидентах.
  • Тестирование и тренинги – Softline проводит различные тренинги для сотрудников для подготовки к возникновению инцидентов, также Softline на регулярной основе проводит тестирования, используя различные сценарии развития событий.
  • Повышение эффективности – Softline регулярно пересматривает процедуры обеспечения непрерывности бизнеса.

Обязанности

Высшее руководство в лице Председателя совета директоров и руководителей компаний Softline несет ответственность за обеспечение того, чтобы система обеспечения непрерывности бизнеса адекватно управлялась во всех подразделениях, была результативной и постоянно улучшалась.

Каждый топ-менеджер и руководитель подразделения несет ответственность за обеспечение того, чтобы система обеспечения непрерывности бизнеса соответствовала лучшим практикам, была внедрена и функционировала в подотчетных ему подразделениях.

Каждый Сотрудник Softline имеет обязательства по обеспечению непрерывности бизнеса в области своих полномочий и работы, которую он выполняет согласно должностной инструкции.

Основные результаты внедрения Политики

  • Снижение уровня риска возникновения прерывания бизнеса.
  • Сохранение лояльности клиентов и поставщиков благодаря демонстрации устойчивости бизнеса, подтвержденной системой обеспечения непрерывности бизнеса.

Ответственность

Все Сотрудники несут ответственность за следование требованиям настоящей Политики и за исполнение любых других документов, направленных на ее реализацию. Несоответствие требованиям настоящей Политики служит основанием для дисциплинарных взысканий вплоть до увольнения Сотрудников.

Контроль за соблюдением данной Политики возлагается на всех топ‐менеджеров Softline.

Глобальный генеральный
директор Softline С.В. Черноволенко

Скачать политику в формате PDF

Бизнес в XXI веке немыслим без информационных технологий. Это мощный двигатель экономики, но в то же время и источник рисков. Непрерывность бизнес-процессов «завязана» на бесперебойности работы ИТ-сервисов. Их отказ грозит в лучшем случае простоями и финансовыми потерями, в худшем — катастрофическими последствиями. Какими средствами обеспечивается информационная безопасность и непрерывность бизнеса, читайте в нашем материале.

Составные элементы кризис-менеджмента: BCM, BCP, DRP

Чем больше используются в бизнесе информационные технологии, тем серьезнее он нуждается в обеспечении бесперебойности процессов. Это касается кредитно-финансовых, телекоммуникационных компаний, высокотехнологичных предприятий непрерывного производственного цикла, например атомных электростанций. Продуманная система кризис-менеджмента востребована в ритейле, электронной коммерции, государственном секторе — словом, практически везде, где критически важна непрерывность деловой активности.

Для ряда отраслей существуют специальные регламенты в отношении непрерывности бизнеса, которые должны соблюдаться для лицензирования деятельности.

Степень риска определяется теми последствиями, которыми грозит сбой в работе ИТ-сервисов. Например, для банков даже непродолжительный перерыв в деятельности чреват колоссальными материальными потерями. А если инцидент произойдет в авиакомпании или на предприятии ТЭК? Здесь уже под угрозой не только деньги — опасности подвергаются жизни людей.

Причины возникновения бизнес-рисков различны. Это и природные бедствия (вспомним ледяной дождь в Москве в 2010 году, экономический ущерб от которого для ОАО «МОЭСК» составил порядка 1,3 млрд рублей), и аварии в энергосистемах, не говоря уже о киберпреступлениях (их количество только в России ежегодно возрастает в три–четыре раза). В связи с многообразием рисков актуальность обеспечения информационной безопасности (ИБ) не вызывает сомнений.

Опрос, проведенный компанией DEAC в 2019 году, продемонстрировал ситуацию относительно рисков непрерывности бизнеса в российской деловой среде. Согласно результатам решения по обеспечению бесперебойности процессов наиболее востребованы в двух сферах — финансовой и информационной. В случае недоступности ИТ-систем 40% опрошенных смогут продолжать работу не более часа, 24% — не более минуты. Максимальную угрозу непрерывности бизнеса несут риски, связанные с информационной безопасностью и изменениями в законодательстве страны. Причем почти половина респондентов считает, что в ближайшее время эти риски будут только расти.

Существуют инструменты кризис-менеджмента, через которые реализуется общая информационная безопасность предприятия. Это специальные технологические дисциплины — BCM (BCP & DRP). Они «вытекают» из системы ИБ, наследуя ее методологию и следующие основные принципы:

  • анализ рисков появления и влияния чрезвычайных ситуаций на деловые процессы и функции;
  • контроль и управление инцидентами;
  • стратегическое и тактическое планирование непрерывности информационно-коммуникационных технологий (ИКТ).

BCM (BCP & DRP) обеспечивают безопасность бизнеса в целом, что обозначено во многих международных, национальных и отраслевых стандартах. В частности, в ISO/IEC 27001, ISO 22301:2012. Первый международный стандарт посвящен вопросам ИБ в общем, второй касается конкретно применения BCM. Соответствие их требованиям следует учитывать при выборе дата-центра для хранения информации. Если же предполагается задействовать собственные ресурсы предприятия, стоит задуматься о внедрении данных стандартов — это станет залогом безопасности данных и непрерывности бизнес-процессов.

Однако рассматриваемые дисциплины не тождественны управлению ИБ, которое является для них лишь основой. Исторически начавшись с банального резервного копирования информации, система BCM постепенно охватила помимо вопросов ИБ практически все аспекты деловой активности, превратившись в целостную структуру взглядов на методы обеспечения непрерывности бизнеса — устойчивости организации к всевозможным сбоям, разрушениям и потерям, в первую очередь — финансовым.

Для справки

  • BCM (Business Continuity Management) — управление непрерывностью бизнеса.
  • BCP (Business Continuity Planning) — планирование непрерывности бизнеса.
  • DRP (Disaster Recovery Planning) — план восстановления после сбоев.

Основные понятия, цели и задачи управления непрерывностью бизнеса

Приоритетные цели и задачи BCM зависят от масштаба и сферы деятельности. Во главу угла ставится управление определенным типом или классом взаимосвязанных инцидентов.

  1. Incident management (IM), или управление инцидентами, охватывает целый комплекс происшествий высокой и средней вероятности возникновения — человеческий фактор, сбой в работе оборудования и прочее. На этом уровне ущерб бизнесу сравнительно невелик. Задачи и цели IM — обеспечить сохранность, доступность, целостность информации, отказоустойчивость оборудования.
  2. Business continuity & disaster recovery management, или управление непрерывностью бизнеса и аварийным восстановлением, нацелено на предотвращение инцидентов, которые могут привести к приостановке работы всей организации или ее важнейших бизнес-процессов. Вероятность их невелика, но ущерб может оказаться внушительным, вплоть до банкротства. По данным исследования, проведенного компанией Veeam Software в 2019 году, ежегодные мировые потери от простоев приложений превышают 20 млн долларов, по России эта цифра немного ниже — 19,8 млн долларов.
  3. Crisis & emergency management, или управление чрезвычайными (кризисными) ситуациями, ставит своей задачей предупреждение крайне редких, но катастрофических по последствиям инцидентов. Возможны экологические и гуманитарные катаклизмы, инфраструктурные разрушения в границах целого региона. Например, высокий уровень обеспечения непрерывности деятельности предприятий необходим в ТЭК (разведка, добыча, переработка углеводородов, производство электроэнергии).

На заметку

Ключевым понятием в управлении непрерывностью бизнеса (BCM) выступает «инцидент», под которым понимается любое незапланированное, внезапное происшествие, событие, ведущее к остановке ключевых, критичных процессов и функций, полной потере контроля над оборудованием.

О том, к каким драматическим последствиям для бизнеса может привести недооценка влияния инцидентов на непрерывность, красноречиво свидетельствуют следующие примеры.

12 мая 2017 года компьютеры по всему миру подверглись атаке вируса-вымогателя WannaCry. Он шифровал файлы на устройстве, а для восстановления доступа к ним требовал выкуп, причем неуплата в течение семи дней приводила к необратимой блокировке. Вредоносная программа атаковала более 200 стран, сильнее всего пострадали Россия, Украина, Индия и Тайвань. WannaCry парализовал работу больниц, аэропортов, заводов, банков, правительственных учреждений. Экономические потери от кибератаки составили около 4 млрд долларов. Есть мнение, что в Агентстве Национальной Безопасности США были данные об уязвимости Windows, которые похитили и использовали злоумышленники. Таким образом, при надлежащем уровне предусмотрительности ущерб можно было предотвратить.

Полтора месяца спустя инцидент повторился, но уже с другой вредоносной программой: печально известный вирус Petya действовал аналогичным образом. Самые масштабные потери от него понесли российские и украинские компании.

Внедрение и применение программ BCM позволило бы значительно сократить размеры потерь, а возможно, и вовсе избежать катастрофических происшествий. Управление непрерывностью бизнеса — залог сохранности вложенных владельцами и акционерами средств. Если основная площадка дата-центра в результате сбоя или по другой причине временно выйдет из строя, работа будет в кратчайшие сроки продолжена на резервной площадке.

Статистика

По данным The Impact of Catastrophes on Shareholder Value (Rory J. Knight и Deborah J. Pretty), кумулятивный доход сверх нормы (разница между ожидаемой и реальной стоимостью акций) компаний, успешно восстановивших деятельность после крупномасштабной аварии, через год составляет в среднем 10%. В то же время корпорации, не внедрившие BCM, получают те же 10% и даже 15%, но со знаком минус.

Этапы внедрения BCM

Управление непрерывностью бизнеса (BCM) начинается с определения стратегии и планирования. Одновременно используются инструменты риск-менеджмента (Risk Management, RM). Таким образом, внедрение системы BCM в организации означает комплексный и многоэтапный подход, подразумевающий освоение технических и программных средств, регламентацию действий, распределение ответственности, обучение персонала. Осуществить все это силами самой компании, мягко говоря, проблематично. Выход — обратиться за помощью к ИТ-экспертам. Они не только грамотно разработают план мероприятий и подберут оптимальные для компании решения, но и помогут воплотить проект системы в жизнь.

Анализ и оценка рисков

  1. Анализ бизнес-процессов (Business Environment Analysis, BEA). Характер рисков для различных организаций зависит от сферы и масштаба их деятельности. Например, в медицинском учреждении отказ системы учета пациентов не будет критичным, чего нельзя сказать о сбое в работе высокотехнологичного реанимационного оборудования. Отказ приложения для автоматизации совместной деятельности рабочих групп в телекоммуникационной компании, вероятно, к кризису не приведет, но вот сбой в системе биллинга, несомненно, обернется существенными финансовыми потерями. Эти примеры демонстрируют, что в разном бизнесе существуют специфичные точки критичности. Анализ бизнес-процессов позволяет выделить эти точки и ранжировать по степени влияния на непрерывность деловой активности компании.
  2. Анализ рисков (Risk Analysis, RA). Сами риски можно разделить на две группы: зависимые и независимые от ИТ (ИКТ). После того, как были проведены выделение и градация бизнес-процессов по важности влияния на бизнес, из этой иерархии необходимо выделить группу ИТ-зависимых бизнес-процессов. Но что может повлиять на их бесперебойность? Для ответа на этот вопрос следует проверить достаточность и действенность технических и организационных механизмов, направленных на предупреждение прерываний бизнес-процессов, выделить и оценить наиболее уязвимые точки и значимые угрозы. В итоге формируются группы рисков, влияющих на ИТ, разделенные по степени важности.
  3. Оценка воздействия на бизнес (Business Impact Analysis, BIA). На основе полученных данных составляется карта ключевых бизнес-процессов с указанием нарушений, способных привести к убыткам. Далее строится модель, иллюстрирующая связь между этими нарушениями и категориями (масштабами) возможных потерь, которые могут быть зафиксированы как количественно, так и качественно. К группам потерь могут относиться: деловая репутация, рыночная стоимость, уровень операционных издержек, возврат на инвестиции, штрафные санкции из-за нарушения контрактных обязательств и так далее.

    Для аналитиков крайне важно получить достоверную информацию о бизнесе организации, в особенности финансовую, узнать о текущем положении дел в ИТ-комплексе и планах его развития.

    Аналогичным образом следует провести детальный анализ информационных сервисов с привязкой к бизнес-процессам и информационным потокам. Результатом оценки возможного ущерба станет полноценная картина бизнеса, показывающая уровень критичности всех бизнес-процессов в целом, а также отдельных нарушений их функционирования в соотношении с величиной потерь.

    Все перечисленные выше задачи решаются в процессе аудита, который проводится аналитиками перед началом сотрудничества. В ходе такой всесторонней оценки четко вырисовываются слабые места в системе информационной безопасности клиента и становятся понятны способы укрепления уязвимых точек.

    Расчет экономического эффекта (стоимости простоя бизнес-процессов) предполагает наличие справедливых допущений о вероятности наступления тех или иных инцидентов в рассматриваемый период, что в дальнейшем позволяет выбрать наиболее приемлемую стратегию.

    В итоге собственники и руководство компании должны совместно с аналитиками определиться с установлением так называемых тайм-аутов и производительной мощности для отдельных бизнес-процессов на случай чрезвычайной ситуации, а именно:

    • Допустимого времени восстановления (Recovery Time Objective, RTO), или интервала вынужденного простоя, который технически может быть сведен к секундам, но из-за дороговизны не всегда оправдывает себя экономически.
    • Целевой точки восстановления (Recovery Point Objective, RPO), или временного диапазона перед наступлением ЧС, за который все данные могут быть утрачены. Сегодня он может быть сведен к нулю, так как все зависит от частоты и технологии резервного копирования информации.
    • Уровня непрерывности бизнеса (Level of Business Continuity, LBC), или допустимого уровня производительности (доли нагрузки) в чрезвычайных ситуациях в процентах от режима штатной работы.

Планирование

Планирование — это динамический процесс, а не разовая процедура. Следует поддерживать планы в актуальном и «синхронизированном» состоянии. С этой целью их нужно регулярно тестировать, при необходимости дополняя свежими данными.

  • Определение стратегии непрерывности бизнеса. Она должна затрагивать такие ключевые аспекты, как безопасность сотрудников, обеспечение их рабочими помещениями, техническими средствами и необходимыми материалами, доступ к критически важной информации, беспрепятственные коммуникации с партнерами, клиентами, поставщиками и подрядчиками. Для каждого направления вырабатывается отдельная подстратегия, призванная «указывать дорогу» к скорейшему восстановлению в соответствии с параметрами, определенными на этапах анализа рисков. Обеспечение непрерывности включает три стадии: реагирование на событие, продолжение выполнения критичных для бизнеса процессов в условиях ЧС, восстановление штатной работы.
  • Выбор организационных и технических решений определяется стратегией BCM. Разрабатываются политики, которые формализуют приоритетные цели и задачи поддержания непрерывности бизнеса, процедуры реагирования и области распространения системы BCM, устанавливаются кадровые потребности и степень вовлеченности персонала в реализацию программы внедрения (проекта) BCM.
  • Создание технической и организационной систем BCM. В настоящее время все более широкое распространение приобретают «облачные» услуги. Для защиты информации при помощи облака существует решение — DRaaS (Disaster-Recovery-as-a-Service). Его суть состоит в том, чтобы предоставлять в облачных средах корпоративного уровня услугу аварийного восстановления данных. Это позволяет снизить расходы на обеспечение безопасности, одновременно поддерживая ее на уровне принятых в индустрии стандартов. Предусмотрены разные варианты, но все они основаны на резервном копировании ИТ-инфраструктуры или наиболее критичных ее элементов:
    1. Резервные копии ИТ-инфраструктуры создаются по расписанию, заданному в соответствии с нужными RTO и RPO, и помещаются в хранилище. Восстановление занимает до нескольких часов. Такая схема подходит для малого бизнеса, где некритична непрерывность, но важны экономия и надежная сохранность данных. Однако комплексную защиту резервное копирование не обеспечивает.
    2. Инфраструктура копируется полностью, изменения в непрерывном режиме переносятся в облако, извлечение и восстановление информации происходит за минуты.
    3. Запускается резервная облачная инфраструктура, полностью идентичная основной. Обновления в них происходят синхронно. Восстановление возможно за несколько секунд. Решение актуально для крупных финансовых и ИТ-компаний, госсектора — для любых организаций, где нельзя терять ни минуты на простой.
  • Построение отказоустойчивых ЦОД. В зависимости от потребностей бизнеса может понадобиться построение энергоэффективных отказоустойчивых центров обработки данных (ЦОДов) или их оптимизация. Решение данной задачи возможно за счет реализации комплекса мероприятий по строительству специализированных зданий, организации инженерной, телекоммуникационной и ИТ-инфраструктуры, их автоматизации, сервисного сопровождения подсистем ЦОДов или создания мобильного ЦОДа. Более простой путь — доверить организацию ИТ-инфраструктуры надежному провайдеру.
  • Разработка планов BCP и DRP. По мере роста бизнеса, а значит — наращивания вычислительных мощностей и усложнения ИТ-систем компании сталкиваются с тем, что вычислительные центры сами по себе становятся фактором угрозы непрерывности деловой активности, «точкой сбоя». Таким образом, необходим план восстановления системы после инцидента (DRP), являющийся составной частью более крупного плана обеспечения непрерывности бизнеса (BCP). Если DRP призван максимально быстро восстановить работоспособность ИТ-систем, поддерживающих и критичные бизнес-процессы, и обычные операции, то BCP должен обеспечить восстановление бизнес-процессов в целом.
  • Формирование программы сопровождения и эксплуатации систем BCM. Определение мер по обеспечению нормального функционирования системы, периодичности ее проверок, реагирования обслуживающего персонала на возникновение инцидентов.
  • Встраивание процессов в корпоративную культуру. На этом этапе необходима разработка мер и осведомление персонала о мерах, предпринимаемых в случае возникновения угроз, а также о мерах по устранению последствий внештатной ситуации. От подготовки компетентного персонала будет напрямую зависеть успех планирования восстановления после происшествия.

Эффективность внедрения системы

Об эффективности внедрения ВСМ на предприятии будут свидетельствовать:

  • Готовность организации к продолжению работы в случае возникновения аварий в ИТ-системах.
  • Оцененная вероятность простоя (недоступности) информационных систем в случае возникновения внештатной ситуации и возможные убытки.
  • Прохождение аудита и соответствие требованиям регулирующих органов.

Разумеется, силами самого предприятия обеспечить создание и эффективное внедрение системы — задача практически невыполнимая. Для этого потребуются огромные финансовые, кадровые и временные ресурсы, которые есть далеко не у каждой компании.

Куда обратиться для разработки и внедрения системы BCM?

За комментарием мы обратились к генеральному директору компании DEAC Андрису Гайлитису:

«В условиях цифровой экономики важнейшим шагом в создании системы управления непрерывностью бизнеса становится резервирование ИТ-инфраструктуры. Размещение критически важных приложений на дополнительных физических или облачных серверах позволит диверсифицировать риски, а в случае сбоя быстро и с минимальными потерями восстановить данные. Перед руководителями компаний и ИТ-директорами стоит ответственная задача — выбрать надежного поставщика услуг дата-центров, который должен, во-первых, обладать широкими техническими возможностями и опытом для реализации различных решений, во-вторых, соблюдать стандарты информационной безопасности.

Дата-центры DEAC в России и Европе предоставляют услуги аренды оборудования, облачных систем хранения данных, выделенные интернет-каналы со скоростью до 10 Гб/с, осуществляют удаленное администрирование ИТ-инфраструктуры клиентов. Широта территориального охвата DEAC позволяет выстраивать системы основных и резервных дата-центров по всей Европе.

Понимая, насколько важна конфиденциальность корпоративной информации для каждого клиента, мы уделяем большое внимание обеспечению высокого уровня защиты данных. DEAC работает в соответствии с международными стандартами качества и безопасности, в частности ISO 22301:2012, ISO/IEC 27001, PCI DSS. Надежность компании как поставщика ИТ-услуг подтверждается ежегодными аудиторскими проверками, а также доверием многих клиентов (только для российских предприятий мы уже выполнили более 900 проектов)».

P. S. Компания DEAC — поставщик услуг дата-центров и ИТ-аутсорсинга, работает на территории России, в странах Прибалтики, в Великобритании, Германии и Нидерландах.

6.1. Управление непрерывностью услуг

Управление непрерывностью услуг (IT Service Continuity Management или ITSCM) — процесс, ответственный за управление рисками, которые влияют на услуги. ITSCM обеспечивает возможность поставщику услуг постоянно предоставлять минимально согласованный Уровень услуг, через снижение рисков до приемлемого уровня и Планирование восстановления услуг.

Основная цель Управления непрерывностью услуг (далее просто Управление непрерывностью) — поддерживать процесс Управления непрерывностью бизнеса. Управление непрерывностью бизнеса (Business Continuity Management или BCM) — бизнес-процесс, отвечающий за управление рисками, которые могут серьезно повлиять на бизнес. BCM защищает интересы ключевых заинтересованных сторон, репутацию, бренд и деятельность по созданию ценности. Процесс BCM включает в себя снижение рисков до приемлемого уровня и планирование способов восстановления бизнес-процессов в случае нарушения бизнеса. BCM устанавливает цели, охват и требования по отношению к Управлению непрерывности ИТ-услуг.

В настоящее время технологии являются основным компонентом многих бизнес процессов, поэтому обеспечение их непрерывности и доступности является необходимым для существования бизнеса в целом. ITSCM управляет способностью услуг и их компонентов к восстановлению.

Промежуточные цели ITSCM:

  1. управление набором Планов обеспечения непрерывности услуг и Планов восстановления услуг, которые являются частью Планов обеспечения непрерывности бизнеса. План обеспечения непрерывности услуг (IT Service Continuity Plan) — план, определяющий шаги, необходимые для восстановления одной или нескольких услуг. План также должен определять события, которые являются основанием для его инициации, людей, которые должны быть задействованы, средства коммуникаций и т.п.

    План обеспечения непрерывности бизнеса (Business Continuity Plan или BCP) — план определяет шаги, необходимые для восстановления бизнес-процессов в случае нарушения их функционирования. План также должен содержать информацию о событиях, которые являются основанием для его инициирования; людях, которые должны быть задействованы в реализации плана; средствах коммуникаций и т.п.

  2. завершение Анализа влияния на бизнес в части гарантии управления планами обеспечения непрерывности в соответствии с изменяющимися требованиями и потребностями бизнеса;
  3. сопровождение Анализа рисков и менеджмента, в частности при взаимодействии с бизнесом и процессами Управления доступностью и Управления безопасностью, которые управляют услугами в соответствии с согласованным Уровнем услуг;
  4. предоставление рекомендаций и руководств другим областям IT в вопросах, связанных с непрерывностью и восстановлением услуг;
  5. обеспечение механизмов непрерывности и восстановления, которые позволят достигнуть целевых показателей, установленных бизнесом;
  6. оценка влияния изменений на Планы обеспечения непрерывности услуг и Планы восстановления услуг;
  7. проактивное улучшение непрерывности услуг там, где это экономически эффективно;
  8. ведение переговоров и заключение контрактов с поставщиками об обеспечении необходимой способности к восстановлению в целях поддержки непрерывности (с участием процесса Управления поставщиками).

Управление непрерывностью фокусируется на значимых негативных событиях, которые ITIL называет «катастрофами» для бизнеса. Менее значимые события рассматриваются в рамках процесса Управления инцидентами. То, является ли какое-то конкретное событие катастрофой, зависит от организации, в которой оно произошло. Размер и значимость негативного влияния события на бизнес, например, финансовые потери или потеря репутации, измеряется в рамках Анализа влияния на бизнес. Анализ влияния на бизнес определяет минимальные требования к критичности, конкретные требования к технологиям и услугам определяются в рамках Управления непрерывностью.

ITSCM главным образом рассматривает активы IT и конфигурации, которые поддерживают бизнес-процессы. В случае катастрофы бизнесу необходимо перестроиться на альтернативную рабочую локацию. При этом необходимо предоставить такие элементы как удобство офиса для персонала, копии критических бумажных отчетов, услуги курьеров и телефонную связь для связи с клиентами и партнерами. В этой связи Управление непрерывностью должно учитывать количество и месторасположение офисов организации, а также услуги, предоставляемые в каждом из них.

В рамках Управления непрерывностью должны выполняться следующие деятельности:

  1. Согласование границ ITSCM и применяемых политик;
  2. Анализ влияния на бизнес для количественной оценки влияния потери услуги на бизнес;
  3. Анализ рисков — идентификация и оценка рисков с целью определения потенциальных угроз непрерывности и оценки вероятности их осуществления. Сюда также входит применение механизмов управления угрозами там, где это экономически эффективно;
  4. формирование стратегии ITSCM, интегрированной в стратегию BCM.
  5. формирование Планов обеспечения непрерывности, интегрированных в планы BCM.
  6. Тестирование планов обеспечения непрерывности;
  7. Непрерывное осуществление планов и управление ими.

На рис. 6.1 показан жизненный цикл ITSCM.


Рис. 6.1. Жизненный цикл ITSCM

ITSCM циклически повторяется на всем жизненном цикле услуги и гарантирует то, что однажды разработанные планы по восстановлению и обеспечению непрерывности услуг будут соответствовать в дальнейшем приоритетам бизнеса и Планам обеспечения непрерывности бизнеса. На рис. 6.1 также показана роль BCM в ITSCM.

Стадии инициализации и формирования требований относятся к BCM. ITSCM должен только участвовать в этих стадиях, чтобы поддержать BCM и понять связи между бизнес-процессами и влияние потери услуг на них. В результате этих начальных стадий BCM формирует Стратегию обеспечения непрерывности бизнеса. Для ITSCM первой серьезной задачей становится сформировать свою стратегию, которая сделает возможной и поддержит Стратегию непрерывности бизнеса. Рассмотрим стадии жизненного цикла ITSCM.

Стадия 1 — Запуск

Эта стадия ITSCM состоит из следующих действий:

  • формирование политики обеспечения непрерывности — должно быть осуществлено как можно быстрее. Политика, как минимум, должна определять цели и моменты и вопросы, на которые менеджмент должен обратить внимание;
  • определение терминов охвата и компетенции — определение границ ITSCM и распределение ответственности для всего персонала в организации;
  • распределение ресурсов — формирование окружения для обеспечения непрерывности бизнеса, требующего значительных ресурсов как денежных, так и людских.
  • определение проекта для организации процесса ITSCM и структуры его контроля — ITSCM и BCM являются сложными процессами, требующими тщательной организации и контроля.
  • согласование проекта и планов качества — планы обеспечивают контроль проекта и его применимость для различных ситуаций.

Стадия 2 — Требования и стратегия

Установление требований бизнеса к непрерывности услуг является критически важным, так как именно от этого этапа зависит устойчивость организации к катастрофам и соответствующие затраты. Если требования некорректны или пропущена какая-то важная информация, все механизмы ITSCM будут неэффективны. Эта стадия разделяется на две подстадии:

  • требования — Анализ влияния на бизнес и оценка рисков
  • стратегия — стратегия формулирует меры уменьшения риска и опции восстановления.

Анализ влияния на бизнес (Business Impact Analysis или BIA) — деятельность в рамках процесса Управления непрерывностью бизнеса, которая определяет критичные бизнес-функции и их зависимость от факторов окружения. Этими факторами могут быть поставщики, люди, другие бизнес-процессы, услуги и т.д. BIA определяет последствия потери услуг для бизнеса. Потери могут быть значительными, например, крупные финансовые потери, и «мягкими» — моральные потери, потеря репутации, конкурентного преимущества и т.п.

Анализ влияния на бизнес определяет:

  • форму, которую может приобретать разрушение или потеря, например:
    • потерянный доход;
    • дополнительные затраты;
    • вред репутации;
    • потеря благосклонности клиентов;
    • потеря конкурентного преимущества;
    • повреждение и нарушение здоровья, законности и безопасности;
    • риск безопасности персонала;
    • потеря рынка сбыта в краткосрочном и долгосрочном периодах;
    • потеря операционных возможностей, например, контроля.
  • как будут увеличиваться негативные последствия разрушения или потери после неблагоприятного события, а также время суток, недели, месяца, когда они будут наиболее серьезными;
  • кадровое обеспечение, навыки, аппаратура и услуги, которые необходимы для поддержки минимальных уровней непрерывности критичных бизнес-процессов;
  • временные рамки, в пределах которых необходимо обеспечить минимальный уровень восстановления кадрового обеспечения, аппаратуры, услуг и других возможностей;
  • временные рамки, в пределах которых необходимо полностью восстановить критичные бизнес-процессы и поддерживающие их кадровое обеспечение, аппаратуру, услуги и другие возможности;
  • приоритеты восстановления для услуг.

Одним из основных выходов BIA является построение диаграммы оценки влияния потери услуги или бизнес-процесса на бизнес в целом (рис. 6.2).


увеличить изображение
Рис. 6.2. Графическое представление влияния на бизнес

Анализ влияния на бизнес предоставляет базис для осуществления ITSCM. На основе анализа формируется перечень услуг, приложений и других компонентов, которые станут предметами рассмотрения ITSCM.

Второй этап определения требований для ITSCM заключается в оценке вероятности возникновения неприятных событий.

Оценка рисков (Risk Assessment) — начальные шаги Управления рисками. Анализируется ценность активов для бизнеса, идентифицируются угрозы по отношению к этим активам, и оценивается уязвимость активов по отношению к этим угрозам.

Для оценки рисков и управления ими применяется стандартная методология M_o_R (Management of Risks), которая состоит из следующего:

  • принципы M_o_R — базируются на принципах управления организацией и являются необходимыми для эффективного управления рисками;
  • подход M_o_R — подход организации к указанным выше принципам должен быть отображен в ряде документов, в частности, в Политике управления рисками.
  • процессы M_o_R. Выделяют четыре процесса в рамках M_o_R:
    • Определение — определение угроз для деятельности, которые могут повлиять на достижение ею намеченного результата;
    • Оценка — оценка суммарного влияния всех определенных угроз;
    • Планирование — определение набора управленческих действий, которые уменьшат риски;
    • Реализация — осуществление запланированных управленческих действий, их контроль, определение эффективности и корректирование в случае необходимости.
  • пересмотр и внедрение M_o_R — внедрение процессов, политик и подхода M_o_R так, чтобы они непрерывно контролировались и оставались эффективными;
  • взаимодействие — обеспечение взаимодействия всех действий в рамках M_o_R с целью поддержки актуальности информации об угрозах, возможностях и других аспектах Управления рисками.

Жизненный цикл процесса управления непрерывностью бизнеса

Управление непрерывностью бизнеса компании является циклическим процессом, который должен учитывать возможные изменения в бизнесе, сфере IT, законодательстве и других областях, влияющих на деятельность организации, а также помогать ей адаптироваться к этим изменениям. Другими словами, управление непрерывностью бизнеса является процессом его постоянного совершенствования, что, в свою очередь, повышает уверенность компании в надежности планов обеспечения непрерывности бизнеса.
Жизненный цикл процесса управления непрерывностью бизнеса включает 7 этапов, на каждом из которых определены последовательность шагов и результат (перечень этапов был построен на основе цикла BCM Institute).

Инициация проекта

Проект – это деятельность, направленная на создание уникального продукта, услуги или результата.

План управления проектом / Project Management Plan – документ, описывающий, как проект будет исполняться, как будет происходить его мониторинг и контроль.
Руководство PMBOK – Пятое издание

На данном этапе определяется содержание проекта обеспечения непрерывности бизнеса и разрабатывается его пошаговый план. В нем определяется, как будет исполняться проект, как будет проводиться его мониторинг, контроль и закрытие, а также определяются границы проекта, роли членов проектной команды и цели проекта.

Помимо вышеперечисленных действий, необходимо определить потребность в проекте. Для некоторых компаний непрерывность бизнеса – это обеспечение эффективности критически важных бизнес-функций, а также демонстрация устойчивости бизнеса клиентам. Но нельзя забывать, что существуют требования нормативно-правовых актов и регулирующих органов к непрерывности бизнеса. Далее в таблице перечислены и описаны стандарты / нормативно-правовые акты (НПА), широко использующиеся на территории Российской Федерации, а также ряд требований, которые предъявляют данные стандарты / НПА к системе непрерывности бизнеса.

Стандарт / НПА Требование Описание Статус
ISO/IEC 27001:2013 «Information technology – Security techniques – Information security management systems – Requirements» (Информационная технология. Методы обеспечения безопасности. Системы менеджмента информационной безопасности) A.17 Information security aspects of business continuity management
(Аспекты информационной безопасности в управлении непрерывностью бизнеса)

Непрерывность информационной безопасности должна быть встроена в систему непрерывности бизнеса компании. Для этого необходимо:

– спланировать непрерывность информационной безопасности;
– внедрить непрерывность информационной безопасности;
– проверить, оценить непрерывность информационной безопасности.

Непрерывность информационной безопасности является одним из требований в том случае, если компания стремится получить сертификат соответствия требованиям ISO/IEC 27001:2013 «Information technology – Security techniques – Information security management systems – Requirements».
ISO 22301:2012 «Societal security – Business continuity management systems – Requirements» (Социальная безопасность. Системы менеджмента непрерывности бизнеса) Данный стандарт посвящен непрерывности бизнеса. В стандарте прописаны:
– требования, необходимые для установления системы менеджмента непрерывности бизнеса в компании;
– требования к функциям высшего руководства в системе менеджмента непрерывности бизнеса;
– требования к установлению стратегических целей и руководящих принципов системы менеджмента непрерывности бизнеса;
– требования к обеспечению непрерывности бизнеса, порядок разработки процедур управления в условиях инцидента.
Наличие планов BCP/DRP (данные планы рассмотрены в разделе «Разработка и внедрение планов») является обязательным условием в том случае, если компания стремится получить сертификат соответствия требованиям ISO 22301:2012 «Societal security – Business continuity management systems – Requirements».
ГОСТ Р 53647 «Менеджмент непрерывности бизнеса» Данный стандарт посвящен непрерывности бизнеса. Настоящий стандарт устанавливает требования к планированию, созданию, функционированию, мониторингу, анализу, проведению учений, поддержке и улучшению документированной системы менеджмента непрерывности бизнеса. Носит рекомендательный характер.
СТО БР ИББС-1.0-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» 8.11. Требования к организации обеспечения непрерывности бизнеса
и его восстановления после прерываний
В организации банковской системы должен быть определен план обеспечения непрерывности бизнеса и его восстановления после возможного прерывания. План должен содержать инструкции и порядок действий работников организации банковской системы по восстановлению бизнеса. В частности, в состав плана должны быть включены:
– условия активации плана;
– действия, которые должны быть предприняты после инцидента ИБ;
– процедуры восстановления;
– ­процедуры тестирования и проверки плана;
­– план обучения и повышения осведомленности сотрудников;
­– обязанности сотрудников с указанием ответственных за выполнение каждого из положений плана.
Также должны быть установлены требования по обеспечению ИБ, регламентирующие вопросы обеспечения непрерывности бизнеса и его восстановление после прерывания, в том числе требования к мероприятиям по восстановлению необходимой информации, программного обеспечения, технических средств, а также каналов связи.
Носит рекомендательный характер.
Приказ ФСТЭК России от 11.02.2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» X. Обеспечение доступности информации (ОДТ) В соответствии с Приказом ФСТЭК России от 11.02.2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» необходимо:
– использовать отказоустойчивые технические средства;
– резервировать технические средства, программное обеспечение, каналы передачи информации, средства обеспечения функционирования информационной системы;
– контролировать безотказное функционирование технических средств;
– обеспечить обнаружение и локализацию отказов функционирования технических средств;
– принимать меры по восстановлению отказавших средств;
– тестировать технические средства;
– осуществлять периодическое резервное копирование информации на резервные машинные носители;
– обеспечить возможность восстановления информации с резервных машинных носителей информации (резервных копий) в течение установленного временного интервала;
– контролировать состояние и качество предоставления уполномоченным лицом вычислительных ресурсов (мощностей), в том числе по передаче информации.
В случае если система классифицирована по 1 или 2 классу защищенности, описанные в приказе требования носят обязательный характер.
Приказ ФСТЭК России от 18.02.2013 г. № 21
«Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
X. Обеспечение доступности персональных данных (ОДТ) В соответствии с Приказом ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» необходимо обеспечить:
– контроль безотказного функционирования технических средств;
­– обнаружение и локализацию отказов функционирования;
– принятие мер по восстановлению отказавших средств и их тестирование;
– резервное копирование персональных данных на резервные машинные носители персональных данных;
– возможность восстановления персональных данных с резервных машинных носителей персональных данных (резервных копий) в течение установленного временного интервала.
В том случае, если для информационной системы персональных данных определен 1 или 2 уровень защищенности, описанные в приказе требования носят обязательный характер.

После того как план проекта окончательно сформирован и разработан, его необходимо направить руководству компании для утверждения. Работа по плану должна начинаться только после согласования с руководством.
Обратите внимание! В некоторых компаниях спонсор проекта не уделяет ему должного внимания, и ответственность возлагается на менеджера среднего звена. Это может привести к проблемам в коммуникации заинтересованных сторон и снижению поддержки высшего руководства компании. Данную проблему можно решить путем создания проектного комитета, куда войдут представители всех заинтересованных сторон. Комитет должен периодически проводить встречи, решать проблемы и обсуждать ход проекта.
Анализ воздействия на бизнес
Анализ воздействия на бизнес – метод, позволяющий исследовать воздействие инцидентов на ключевые виды деятельности и процессы компании.
На данном этапе предусмотрено детальное изучение процессов компании. Для этого консультант проводит интервью с руководством отделов, входящих в область проекта. В ходе беседы запрашивается информация о деятельности отдела и составляется перечень процессов / функций, которые он осуществляет. Далее для детального изучения процессов / функций интервьюируются владельцы процессов и определяется тип воздействия на бизнес (материальный, репутационный) и степень зависимости процесса от IT и внешних сервисов. А затем определяется максимально допустимое время простоя (Maximum Allowable Outage).
Maximum Allowable Outage – период времени, по истечении которого существует угроза окончательной утраты жизнеспособности организации, в том случае, если поставка продукции и/или предоставление услуг не будут возобновлены.
ГОСТ Р ИСО/МЭК 31010-2011 «Менеджмент риска. Методы оценки риска»
После того как владельцем процесса / функции был определен MAO, IT-департаментом (на основе MAO) определяются показатели RTO, RPO, SDO.
— Recovery Time Objective (RTO). Время, в течение которого должно происходить восстановление бизнес-функции или ресурса при наступлении нештатных ситуаций.
— Recovery Point Objective (RPO). Целевая точка восстановления определяет объем допустимых потерь данных в случае прерывания операций. Например, если RPO равен 15 минутам – допускается потеря данных за последние 15 минут.
— Service Delivery Objective (SDO). Уровень доступности сервиса в определенный момент времени.
На рисунке изображено, как определяются вышеперечисленные метрики:

Результатом проведения анализа воздействия на бизнес являются:
— перечень ранжированных по приоритетам критических процессов и соответствующих взаимозависимостей;
— зарегистрированные экономические и производственные воздействия, вызванные нарушением критических процессов;
— вспомогательные ресурсы, необходимые для идентифицированных критических процессов;
— возможные сроки простоя и восстановления критических процессов и взаимосвязанных информационных технологий.
Обратите внимание! Зачастую владельцы бизнес-процессов намеренно или неосознанно завышают целевые значения нормативов восстановления, что способствует искажению анализа и влечет за собой необоснованные расходы. Чтобы избежать этой проблемы, необходимо вместе с проектной группой, а также с заинтересованными сторонами рассмотреть ценность бизнес-функции в контексте происшествия, которое затронуло всю компанию. Этот подход позволит объективно определить нормативы восстановления.
Оценка рисков
Риск – влияние неопределенности на цели.
Отступление: в данной статье не рассматриваются детали оценки рисков.
Оценка риска / risk assessment – процесс, охватывающий идентификацию риска, анализ риска и оценку риска.
ISO 73:2009 «Менеджмент рисков. Словарь»
Целью оценки рисков в рамках управления непрерывностью бизнеса является определение событий, которые могут привести к нарушению деятельности компании, а также их последствий (ущерб).
Оценка риска обеспечивает:
— понимание потенциальных опасностей и воздействия их последствий на достижение установленных целей компании;
— понимание угроз и их источников;
— идентификацию ключевых факторов, формирующих риск; уязвимых мест компании и ее систем;
— выбор способов обработки риска;
— соответствие требованиям стандартов.
Процесс оценки рисков состоит из:
— Идентификации риска – процесс определения элементов риска, описания каждого из них, составления их перечня. Целью идентификации риска является составление перечня источников риска и угроз, которые могут повлиять на достижение каждой из установленных целей компании;
— Анализ риска – процесс исследования информации о риске. Анализ риска обеспечивает входные данные процесса общей оценки риска, помогает в принятии решений относительно необходимости обработки риска, а также в выборе соответствующей стратегии и методов обработки;
— Сравнительная оценка риска – сопоставление его уровня с критериями, установленными при определении области применения менеджмента риска, для определения типа риска и его значимости.
Оценка рисков в дальнейшем позволит обоснованно выработать стратегию непрерывности бизнеса, а также поможет определить оптимальный сценарий ее реализации.
Разработка стратегии непрерывности бизнеса
После того как были проанализировали требования к непрерывности, необходимо выбрать и обосновать возможные технические и организационные решения. В процессе выбора решения необходимо детально рассмотреть возможные действия в отношении помещений, технологий, информационных активов, контрагентов, а также партнеров. Данные решения, как правило, выбираются с целью:
— защиты приоритетных видов деятельности компании;
— их эффективного восстановления;
— смягчения последствий инцидентов, разработки ответных и превентивных мер.
Примечание: выбор решения должен основываться на стоимости восстановления и стоимости простоя.
Данные решения могут включать в себя:
— «зеркальные» площадки;
— «горячие» площадки;
— «теплые» площадки;
— «холодные» площадки;
— площадки динамического распределения нагрузки;
— аутсорсинг / соглашение;
— мобильные площадки.

Основными отличиями вышеперечисленных решений являются стоимость и время восстановления деятельности компании.

Обратите внимание! Решения помогают в реализации эффективной стратегии непрерывности бизнеса. Но для того, чтобы определить оптимальный вариант, необходимо выбирать стратегические решения, исходя из результатов анализа воздействий на бизнес и оценки рисков (этот подход поможет обосновать руководству необходимость инвестиций в проект управления непрерывностью бизнеса).
Разработка и внедрение планов непрерывности бизнеса
План – это заранее намеченная система мероприятий, предусматривающая порядок, последовательность и сроки выполнения работ.
В соответствии с лучшими практиками , планы управления непрерывностью должны состоять из трех компонентов:
1. Реагирование на чрезвычайные ситуации – определяет последовательность действий, которые необходимо осуществить при обнаружении инцидента.
2. Управление инцидентами – определяет методы, необходимые для смягчения или уменьшения размера происшествия.
3. Восстановление деятельности – определяет последовательность действий, которые необходимо осуществить для того, чтобы восстановить сервис на заданном уровне.
Примечание: для наглядности используйте блок-схемы и другие графические способы представления информации.
Примерная структура плана обеспечения непрерывности бизнеса:
1. Введение
1.1. Исходная информация
1.2. Границы действия плана
1.3. Предпосылки создания плана
2. Концепция
2.1. Описание системы обеспечения непрерывности
2.2. Описание этапов восстановления непрерывности
2.3. Роли и их обязанности
3. Активация плана
3.1. Критерии и порядок активации
3.2. Порядок уведомления заинтересованных лиц
3.3. Порядок оценки происшествия
4. Контроль
5. Восстановление
5.1. Последовательность восстановления непрерывности
Специалистами NIST было разработано руководство , которое достаточно подробно описывает необходимые планы обеспечения непрерывности бизнеса. Далее приведена таблица, где описан каждый из планов (указанных в руководстве NIST), а также даны ссылки на стандарты / НПА, которые предписывают разработку таких планов.

Наименование плана Описание плана Стандарт / НПА
Business Continuity Plan (BCP) – План обеспечения непрерывности бизнеса Набор задокументированных процедур, которые разработаны, обобщены и актуализированы с целью их использования в случае возникновения инцидента, и направлены на обеспечение возможности продолжения выполнения компанией критических важных видов деятельности на установленном приемлемом уровне. ISO 22301 «Социальная безопасность. Системы менеджмента непрерывности бизнеса»:
8.4.4 Планы непрерывности бизнеса (Business continuity plans)
Continuity of Operations Plan (COOP) – План непрерывности операций Фокусируется на восстановлении критически важных функций компании на альтернативной площадке и на их выполнении в течение 30 дней.

Crisis Communication Plan – План антикризисных коммуникаций В данном плане задокументированы процедуры и правила внешних и внутренних коммуникаций в случае чрезвычайных ситуаций. Федеральный закон от 21.12.1994 № 68 «О защите населения и территорий от чрезвычайных ситуаций природного и техногенного характера»:
Статья 14. Обязанности организаций в области защиты населения и территорий от чрезвычайных ситуаций («Организации обязаны предоставлять в установленном порядке информацию в области защиты населения и территорий от чрезвычайных ситуаций, а также оповещать работников организаций об угрозе возникновения или о возникновении чрезвычайных ситуаций»).
Critical Infrastructure Protection Plan (CIP) – План защиты критических инфраструктур План направлен на защиту ключевых ресурсов и компонентов национальной инфраструктуры. Указ Президента Российской Федерации от 15 января 2013 г. N 31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации».
Cyber Incident Response Plan – План реагирования на киберинциденты План, описывающий процедуры реакции на инциденты, связанные с атаками хакеров, вторжения в информационную систему и другие проблемы безопасности. ГОСТ Р ИСО/МЭК ТО 18044-2007 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности»;
NIST 800-61 «Computer Security. Incident Handling Guide».
Disaster Recovery Plan (DRP) – План восстановления после сбоя План восстановления инфраструктуры компании после возникновения аварии. ISO 22301 «Социальная безопасность. Системы менеджмента непрерывности бизнеса»:
8.4.5 Восстановление (Recovery).
Information System Contingency Plan (ISCP) – План на случай непредвиденных ситуаций в информационных системах План восстановления системы, сетей и основных приложений после аварии. Данный план необходимо разработать для каждой критической системы и/или приложения.

Occupant Emergency Plan (OEP) – План действия персонала в случае чрезвычайной ситуации В данном плане определяется порядок обеспечения безопасности персонала и процедуры эвакуации в случае чрезвычайных ситуаций. Федеральный закон от 21.12.1994 г. № 68 «О защите населения и территории от чрезвычайных ситуаций природного и техногенного характера»;
Федеральный закон от 21.12.1994 № 69 «О пожарной безопасности».

Вышеперечисленные документы составляются исходя из потребностей компании, но на практике чаще всего применяются следующие виды планов:
— План реагирования на инциденты – данный вид плана может включать в себя план реагирования на киберинциденты, план на случай непредвиденных ситуаций в информационных системах. Данный план поможет уменьшить масштабы катастрофы и смягчить ее последствия, что даст возможность сэкономить время и дополнительное преимущество при активации остальных типов планов.
— План действия персонала в чрезвычайных ситуациях – в соответствии с требованиями Федерального закона от 21.12.1994 г. №68 68 «О защите населения и территории от чрезвычайных ситуаций природного и техногенного характера» и Федерального закона от 21.12.1994 г. №69 «О пожарной безопасности» этот план является обязательным для всех компаний.
— План восстановления после сбоя – сфокусирован на восстановлении критически важных информационных систем. Данный вид плана осуществляет поддержу плана обеспечения непрерывности бизнеса и направлен на восстановление работоспособности отдельных систем и приложений.
— План обеспечения непрерывности бизнеса – сфокусирован на поддержке бизнес-процессов компании во время и после чрезвычайной ситуации; направлен на обеспечение возможности продолжения выполнения компанией критических важных для нее видов деятельности на установленном приемлемом уровне.
— План антикризисных коммуникаций – данный план поможет сохранить репутацию компании в кризисной ситуации. В нем документируется порядок взаимодействия со СМИ, правоохранительными органами, МЧС и т.д.
Обратите внимание! На этапе составления планов непрерывности бизнеса некоторые компании сосредоточиваются на технических решениях и не придают значения организационным мерам. В связи с этим необходимо указать на важность применения организационных мер наравне с техническими. Для этого проводятся обучающие семинары, тестирование планов, выпускаются учебные материалы.
Тестирование и пересмотр планов
Тестирование осуществляется для проверки работоспособности планов при возникновении определенного набора обстоятельств, влияющих на деятельность компании. План тестирования выбирается с учетом типа компании и ее целей.
Тесты – инструменты оценки, которые используют количественные метрики для проверки работоспособности IT-системы или ее компонента.
NIST Special Publication 800-84 «Guide to Test, Training, and Exercise Programs for IT Plans and Capabilities»
К целям тестирования можно отнести:
— получение подтверждений работоспособности планов;
— проверку достаточности методического и технического обеспечения;
— получение необходимых навыков и знаний.
После того как была определена цель тестирования, разрабатывается сценарий, определяется метод тестирования и согласовывается с руководством. Чаще всего применяются следующие методы :
— настольная проверка (Tabletop);
— имитация (Imitation);
— полное тестирование (Full business continuity testing).
После проведения тестирования составляются отчеты, в которых указываются сценарии и результаты тестирования, а также предложения по улучшению планов непрерывности деятельности.
Обратите внимание! Компании должны выбирать способ тестирования исходя из своих целей и финансовых возможностей.

Важно! Полное тестирование является самым эффективным, так как оно позволяет выявить множество недостатков, но из-за высоких рисков почти не используется на практике. Если компания решила использовать данный вид тестирования, необходимо заручиться поддержкой партнеров или воспользоваться услугами подрядчиков, чтобы минимизировать риски и предупредить значительные простои.
Обслуживание и обновление планов
Как уже отмечалось выше, управление непрерывностью бизнеса компании является циклическим процессом. А это значит, что нельзя ограничиваться одним только формированием планов, необходимо сопровождать, обновлять и совершенствовать их ежегодно, а иногда и чаще, например, в следующих случаях:
1. Изменение IT-инфраструктуры.
2. Изменение организационной структуры компании.
3. Изменения в законодательстве.
4. Обнаружение недостатков в планах при их тестировании.
Чтобы сохранить актуальность планов, необходимо выполнять следующие действия:
— проводить внутренние аудиты, включающие проверку восстановления после аварий, документации по обеспечению непрерывности и соответствующих процедур;
­— проводить регулярные практические тренинги по выполнению плана;
— интегрировать вопросы непрерывности бизнеса в процесс управления изменениями компании.
Заключение
Управление непрерывностью бизнеса обеспечивает объединение всех применяемых на предприятии мер в целостный, адекватный реальным угрозам и управляемый комплекс, позволяющий компании непрерывно предоставлять услуги, избегать влияния чрезвычайных ситуаций на деятельность и минимизировать возможный ущерб.
Этот комплекс состоит из семи этапов, которые должны быть реализованы в компании для обеспечения непрерывности предоставления услуг и производства продуктов.
В данной статье описан каждый этап с привязкой к российским реалиям, а также указаны моменты, на которые стоит обратить внимание при реализации данного проекта.
Литература
1. ISO 22301 Societal security – Business continuity management systems – Requirements.
2. ГОСТ Р 53647 «Менеджмент непрерывности бизнеса».
3. ГОСТ Р ИСО/МЭК 31010 – 2011. «Менеджмент риска. Методы оценки риска».
4. NIST Special Publication 800-34 Rev. 1 «Contingency Planning Guide for Federal Information Systems».
5. NIST Special Publication 800-84 «Guide to Test, Training, and Exercise Programs for IT Plans and Capabilities».
6. The Definitive Handbook of Business Continuity Management Second Edition Copyright © 2007 John Wiley & Sons Ltd.
7. Business Continuity Management How to protect your company from danger MICHAEL GALLAGHER Pearson Education Limited 2003.
8. www.bcmpedia.org/wiki/BCM_Body_of_Knowledge (BCMBoK).
Информация о проекте на сайте Softline: services.softline.ru/security/upravleniya-ib

Записи созданы 8837

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Похожие записи

Начните вводить, то что вы ищите выше и нажмите кнопку Enter для поиска. Нажмите кнопку ESC для отмены.

Вернуться наверх