Сім кроків до безперервності бізнесу

В даний час існує величезна кількість методик управління безперервністю бізнесу, які допомагають у проведенні планування, поліпшення доступності критично важливих бізнес-процесів компанії. Але ці методики містять теоретичні основи безперервності бізнесу і не відповідають на питання «Як реалізувати такий проект?». У цій статті описана послідовність дій, які дадуть вам уявлення про те, як впроваджується система управління безперервністю бізнесу, і які результати ви отримаєте на кожному етапі.



Життєвий цикл процесу управління безперервністю бізнесу

Управління безперервністю бізнесу компанії є циклічним процесом, який повинен враховувати можливі зміни в бізнесі, сфері ІТ, законодавстві та інших областях, які впливають на діяльність організації, а також допомагати їй адаптуватися до цих змін. Іншими словами, управління безперервністю бізнесу є процесом його постійного вдосконалення, що, в свою чергу, підвищує впевненість компанії в надійності планів забезпечення безперервності бізнесу.

Життєвий цикл процесу управління безперервністю бізнесу включає 7 етапів, на кожному з яких визначено послідовність кроків і результат (перелік етапів був побудований на основі циклу BCM Institute[8]).

Ініціація проекту

Проект — це діяльність, спрямована на створення унікального продукту, послуги або результату.



План управління проектом / Project Management Plan – документ, який описує, як проект буде виконуватися, як буде відбуватися його моніторинг і контроль.
Керівництво PMBOK — П'яте видання


На даному етапі визначається зміст проекту забезпечення безперервності бізнесу і розробляється його покроковий план. У ньому визначається, як буде виконуватися проект, як буде проводитися його моніторинг, контроль і закриття, а також визначаються межі проекту, ролі членів проектної команди і мети проекту.

Крім перерахованих вище дій, необхідно визначити потребу в проекті. Для деяких компаній безперервність бізнесу — це забезпечення ефективності критично важливих бізнес-функцій, а також демонстрація стійкості бізнесу клієнтам. Але не можна забувати, що існують вимоги нормативно-правових актів та регулюючих органів до безперервності бізнесу. Далі в таблиці перераховані і описані стандарти / нормативно-правові акти (НПА) широко використовуються на території Російської Федерації, а також ряд вимог, які пред'являють ці стандарти / НПА до системи безперервності бізнесу.

Стандарт/ НПА Вимогу Опис Статус
ISO/IEC 27001:2013 «Information technology — Security techniques — Information security management systems — Requirements» (Інформаційна технологія. Методи забезпечення безпеки. Системи менеджменту інформаційної безпеки) A. 17 Information security aspects of business continuity management
(Аспекти інформаційної безпеки в управлінні безперервністю бізнесу)
Безперервність інформаційної безпеки повинна бути вбудована в систему безперервності бізнесу компанії
Для цього необхідно:
— спланувати безперервність інформаційної безпеки;
— впровадити безперервність інформаційної безпеки;
— перевірити, оцінити безперервність інформаційної безпеки.
Безперервність інформаційної безпеки є однією з вимог в тому випадку, якщо компанія прагне отримати сертифікат відповідності вимогам ISO/IEC 27001:2013 «Information technology — Security techniques — Information security management systems — Requirements».
ISO 22301:2012 «Societal security — Business continuity management systems — Requirements» (Соціальна безпека. Системи менеджменту безперервності бізнесу) Даний стандарт присвячений безперервності бізнесу. В стандарті прописані:
— вимоги, необхідні для встановлення системи менеджменту безперервності бізнесу компанії;
— вимоги до функцій вищого керівництва в системі менеджменту безперервності бізнесу;
— вимоги до встановлення стратегічних цілей та принципів системи менеджменту безперервності бізнесу;
— вимоги до забезпечення безперервності бізнесу, порядок розробки процедур управління в умовах інциденту.
Наявність планів BCP/DRP (дані плани розглянуті в розділі «Розробка і впровадження планів») є обов'язковою умовою в тому випадку, якщо компанія прагне отримати сертифікат відповідності вимогам ISO 22301:2012 «Societal security — Business continuity management systems — Requirements».
ГОСТ Р 53647 «Менеджмент безперервності бізнесу» Даний стандарт присвячений безперервності бізнесу. Справжній стандарт встановлює вимоги до планування, створення, функціонування, моніторингу, аналізу, проведення навчань, підтримки і поліпшення документованої системи менеджменту безперервності бізнесу. Носить рекомендаційний характер.
СТО БР ІББС-1.0-2014 «Забезпечення інформаційної безпеки організацій банківської системи Російської Федерації» 8.11. Вимоги до організації забезпечення безперервності бізнесу
і його відновлення після переривань
В організації банківської системи повинен бути визначений план забезпечення безперервності бізнесу і його відновлення після можливого переривання. План повинен містити інструкції і порядок дій працівників організації банківської системи з відновлення бізнесу. Зокрема, до складу плану повинні бути включені:
— умови активації плану;
— дії, які повинні бути зроблені після інциденту ІБ;
— процедури відновлення;
— процедури тестування та перевірки плану;
— план навчання та підвищення обізнаності співробітників;
— обов'язки співробітників із зазначенням відповідальних за виконання кожного з положень плану.
Також повинні бути встановлені вимоги щодо забезпечення ІБ, що регламентують питання забезпечення безперервності бізнесу і його відновлення після переривання, у тому числі вимоги до заходів по відновленню необхідної інформації, програмного забезпечення, технічних засобів, а також каналів зв'язку.
Носить рекомендаційний характер.
Наказ ФСТЕК Росії від 11.02.2013 р. № 17 «Про затвердження вимог щодо захисту інформації, яка не становить державну таємницю, міститься в державних інформаційних системах» X. Забезпечення доступності інформації (ОДТ) згідно з Наказом ФСТЕК Росії від 11.02.2013 р. № 17 «Про затвердження Вимог щодо захисту інформації, яка не становить державну таємницю, міститься в державних інформаційних системах» необхідно:
— використовувати відмовостійкі технічні засоби;
— резервувати технічні засоби, програмне забезпечення, канали передачі інформації, засоби забезпечення функціонування інформаційної системи;
— контролювати безвідмовне функціонування технічних засобів;
— забезпечити виявлення та локалізацію відмов функціонування технічних засобів;
— приймати заходи по відновленню відмовили коштів;
— тестувати технічні засоби;
— здійснювати періодичне резервне копіювання інформації на резервні машинні носії;
— забезпечити можливість відновлення інформації з резервних машинних носіїв інформації (резервних копій) протягом встановленого часового інтервалу;
— контролювати стан та якість надання уповноваженою особою обчислювальних ресурсів (потужностей), у тому числі передачі інформації.
У разі якщо система класифікована по 1 або 2 класу захищеності, описані в наказі вимоги носять обов'язковий характер.
Наказ ФСТЕК Росії від 18.02.2013 р.№ 21
«Про затвердження Складу та змісту організаційних та технічних заходів щодо забезпечення безпеки персональних даних при їх обробці в інформаційних системах персональних даних»
X. Забезпечення доступності персональних даних (ОДТ) згідно з Наказом ФСТЕК Росії від 18.02.2013 р.№ 21 «Про затвердження Складу та змісту організаційних та технічних заходів щодо забезпечення безпеки персональних даних при їх обробці в інформаційних системах персональних даних» необхідно забезпечити:
— контроль безвідмовного функціонування технічних засобів;
— виявлення та локалізацію відмов функціонування;
— прийняття заходів по відновленню відмовили коштів та їх тестування;
— резервне копіювання персональних даних на резервні машинні носії персональних даних;
— можливість відновлення персональних даних з резервних машинних носіїв персональних даних (резервних копій) протягом встановленого часового інтервалу.
У тому випадку, якщо для інформаційної системи персональних даних визначено 1 або 2 рівень захищеності, описані в наказі вимоги носять обов'язковий характер.


Після того, як план проекту остаточно сформований і розроблений, його необхідно направити керівництву компанії для затвердження. Робота за планом повинна починатися тільки після узгодження з керівництвом.

Зверніть увагу! У деяких компаніях спонсор проекту не приділяє йому належної уваги, і відповідальність покладається на менеджера середньої ланки. Це може призвести до проблем у комунікації зацікавлених сторін і зниження підтримки вищого керівництва компанії. Дану проблему можна вирішити шляхом створення проектного комітету, куди увійдуть представники всіх зацікавлених сторін. Комітет повинен періодично проводити зустрічі, вирішувати проблеми і обговорювати хід проекту.

Аналіз впливу на бізнес

Аналіз впливу на бізнес — метод дозволяє досліджувати вплив інцидентів на ключові види діяльності і процеси компанії.

На даному етапі передбачено детальне вивчення процесів компанії. Для цього консультант проводить інтерв'ю з керівництвом відділів, що входять в область проекту. У ході бесіди запитується інформація про діяльність відділу і складається перелік процесів / функцій, які він здійснює. Далі для детального вивчення процесів / функцій, опитують власники процесів і визначається тип впливу на бізнес (матеріальний, репутаційний) і ступінь залежності процесу від ІТ і зовнішніх сервісів. А потім визначається максимально допустимий час простою (Maximum Allowable Outage).

Maximum Allowable Outage — період часу, після закінчення якого існує загроза остаточної втрати життєздатності організації, в тому випадку, якщо поставка продукції та/або надання послуг не будуть відновлені.
ГОСТ Р ІСО/МЕК 31010-2011 «Менеджмент ризику. Методи оцінки ризику»


Після того, як власником процесу / функції було визначено MAO, ІТ-департаментом (на основі MAO) визначаються показники RTO, RPO, SDO.
Recovery Time Objective (RTO). Час, протягом якого має відбуватися відновлення бізнес-функції або ресурсу при настанні нештатних ситуацій.
Recovery Point Objective (RPO). Цільова точка відновлення визначає обсяг допустимих втрат даних у разі переривання операцій. Наприклад, якщо RPO дорівнює 15 хвилин – допускається втрата даних за останні 15 хвилин.
Service Delivery Objective (SDO). Рівень доступності сервісу в певний момент часу.

На малюнку зображено, як визначаються вищеперелічені метрики.



Результатом проведення аналізу впливу на бізнес є:
— перелік ранжованих за пріоритетами критичних процесів і відповідних взаємозалежностей;
— зареєстровані економічні і виробничі впливу, викликані порушенням критичних процесів;
— допоміжні ресурси, необхідні для ідентифікованих критичних процесів;
— можливі терміни простою і відновлення критичних процесів і взаємопов'язаних інформаційних технологій.

Зверніть увагу! Найчастіше власники бізнес-процесів навмисно чи несвідомо завищують цільові значення нормативів відновлення, що сприяє спотворенню аналізу і спричиняє необґрунтовані витрати. Щоб уникнути цієї проблеми, необхідно разом з проектною групою, а також із зацікавленими сторонами розглянути цінність бізнес-функції в контексті події, яке торкнулося всю компанію. Цей підхід дозволить об'єктивно визначити нормативи відновлення.

Оцінка ризиків

Ризик — вплив невизначеності на цілі.
Відступ: у даній статті не розглядаються деталі оцінки ризиків.


Оцінка ризику / risk assessment — процес, що охоплює ідентифікацію ризику, аналіз ризику та оцінку ризику.
ISO 73:2009 «Менеджмент ризиків. Словник»


Метою оцінки ризиків у рамках управління безперервністю бізнесу є визначення подій, які можуть призвести до порушення діяльності компанії, а також їх наслідків (шкоди).

Оцінка ризику забезпечує:
— розуміння потенційних небезпек та впливу їх наслідків на досягнення встановлених цілей компанії;
— розуміння загроз і їх джерел;
— ідентифікацію ключових факторів, що формують ризик; вразливих місць компанії і її систем;
— вибір способів обробки ризику;
— відповідність вимогам стандартів.

Процес оцінки ризиків складається з:
— Ідентифікації ризику — процес визначення елементів ризику, опису кожного з них, складання їх переліку. Метою ідентифікації ризику є складання переліку джерел ризику і загроз, які можуть вплинути на досягнення кожної зі встановлених цілей компанії;
— Аналіз ризику — процес дослідження інформації про ризик. Аналіз ризику забезпечує вхідні дані процесу загальної оцінки ризику, допомагає у прийнятті рішень щодо необхідності обробки ризику, а також у виборі відповідної стратегії і методів обробки;
— Порівняльна оцінка ризику — порівняння його рівня з критеріями, встановленими при визначенні сфери застосування менеджменту ризику, для визначення типу ризику і його значущості.

Оцінка ризиків у подальшому дозволить обґрунтовано виробити стратегію безперервності бізнесу, а також допоможе визначити оптимальний сценарій її реалізації.

Розробка стратегії безперервності бізнесу

Після того як були проаналізували вимоги до безперервності, необхідно вибрати і обґрунтувати можливі технічні та організаційні рішення. В процесі вибору рішення необхідно детально розглянути можливі дії щодо приміщень, технологій, інформаційних активів, контрагентів, а також партнерів. Ці рішення, як правило, вибираються з метою:
— захисту пріоритетних видів діяльності компанії;
— їх ефективного відновлення;
— пом'якшення наслідків інцидентів, розробки відповідних і превентивних заходів.
Примітка: вибір рішення повинен грунтуватися на вартості відновлення і вартості простою.

Дані рішення можуть включати в себе:
— «Дзеркальні» майданчики;
— «Гарячі» майданчики;
— «Теплі» майданчики;
— «Холодні» майданчики;
— Майданчики динамічного розподілу навантаження;
— Аутсорсинг \ Угода;
— Мобільні майданчика.

Відступ: докладно перераховані вище рішення будуть розглянуті в окремій статті.



Основними відмінностями перерахованих вище рішень є вартість і час відновлення діяльності компанії.
Зверніть увагу! Рішення допомагають в реалізації ефективної стратегії безперервності бізнесу. Але для того, щоб визначити оптимальний варіант, необхідно вибирати стратегічні рішення, виходячи з результатів аналізу впливів на бізнес та оцінки ризиків (цей підхід допоможе обґрунтувати керівництву необхідність інвестицій в проект управління безперервністю бізнесу).

Розробка та впровадження планів безперервності бізнесу

План – це заздалегідь намічена система заходів, що передбачає порядок, послідовність і терміни виконання робіт.

У відповідності з кращими практиками [1, 2, 4], плани управління безперервністю повинні складатися з трьох компонентів:
1. Реагування на надзвичайні ситуації — визначає послідовність дій, які необхідно здійснити при виявленні інциденту.
2. Управління інцидентами — визначає методи, необхідні для пом'якшення або зменшення розміру події.
3. Відновлення діяльності — визначає послідовність дій, які необхідно здійснити для того, щоб відновити сервіс на заданому рівні.

Примітка: для наочності використайте блок-схеми та інші графічні способи представлення інформації.

Орієнтовна структура плану забезпечення безперервності бізнесу:

1. Введення
1.1. Вихідна інформація
1.2. Межі дії плану
1.3. Передумови створення плану
2.Концепція
2.1.Опис системи забезпечення безперервності
2.2.Опис етапів відновлення безперервності
2.3.Ролі та їх обов'язки
3.Активація плану
3.1.Критерії і порядок активації
3.2.Порядок повідомлення зацікавлених осіб
3.3.Порядок оцінки пригоди
4.Контроль
5.Відновлення
5.1.Послідовність відновлення безперервності

Фахівцями NIST було розроблено посібник [1], яке досить детально описує необхідні) плани забезпечення безперервності бізнесу. Далі наведена таблиця, де описаний кожен з планів (зазначених в керівництві NIST), а також надані посилання на стандарти / НПА, які передбачають розробку таких планів.

Найменування плану Опис плану Стандарт/ НПА
Business Continuity Plan (BCP)
План забезпечення безперервності бізнесу
Набір задокументованих процедур, які розроблені, узагальнено та актуалізовані з метою їх використання у разі виникнення інциденту, і спрямовані на забезпечення можливості продовження виконання компанією критичних важливих видів діяльності на встановленому прийнятному рівні. ISO 22301 «Соціальна безпека. Системи менеджменту безперервності бізнесу»:
8.4.4 Плани безперервності бізнесу (Business continuity plans)
Continuity of Operations Plan (COOP)
План безперервність операцій
Фокусується на відновлення життєво важливих функцій компанії на альтернативному майданчику та на їх виконання протягом 30 днів. -
Crisis Communication Plan
План антикризових комунікацій
В даному плані задокументовані процедури та правила зовнішніх та внутрішніх комунікацій у разі надзвичайних ситуацій. Федеральний закон від 21.12.1994 № 68 «Про захист населення і територій від надзвичайних ситуацій природного і техногенного характеру»:
Стаття 14. Обов'язки організацій у сфері захисту населення і територій від надзвичайних ситуацій («Організації зобов'язані надавати у встановленому порядку інформацію у сфері захисту населення і територій від надзвичайних ситуацій, а також сповіщати працівників організацій про загрозу виникнення або про виникнення надзвичайних ситуацій»).
Critical Infrastructure Protection Plan (CIP)
План захисту критичних інфраструктур
План спрямований на захист ключових ресурсів і компонентів національної інфраструктури. Указ Президента Російської Федерації від 15 січня 2013 року N 31с «Про створення державної системи виявлення, попередження та ліквідації наслідків комп'ютерних атак на інформаційні ресурси Російської Федерації».
Cyber Incident Response Plan
План реагування на кібер-інциденти
План, що описує процедури реакції на інциденти, пов'язані з атаками хакерів, вторгнення в інформаційну систему та інші проблеми безпеки. ГОСТ Р ІСО/МЕК ТО 18044-2007 «Інформаційна технологія. Методи та засоби забезпечення безпеки. Менеджмент інцидентів інформаційної безпеки»;
NIST 800-61 «Computer Security. Incident Handling Guide».
Disaster Recovery Plan (DRP)
План відновлення після збою
План відновлення інфраструктури компанії після виникнення аварії. ISO 22301 «Соціальна безпека. Системи менеджменту безперервності бізнесу»:
8.4.5 Відновлення (Recovery).
Information System Contingency Plan (ISCP)
План на випадок непередбачених ситуацій в інформаційних системах
План відновлення системи, мереж та основних додатків після аварії. Даний план необхідно розробити для кожної критичної системи та/або додатка. -
Occupant Emergency Plan (OEP)
План дії персоналу в разі надзвичайної ситуації
В даному плані визначається порядок забезпечення безпеки персоналу та процедури евакуації в разі надзвичайних ситуацій. Федеральний закон від 21.12.1994 р. № 68 «Про захист населення і території від надзвичайних ситуацій природного і техногенного характеру»;
Федеральний закон від 21.12.1994 № 69 «Про пожежної безпеки».


Перераховані вище документи складаються виходячи з потреб компанії, але на практиці найчастіше застосовуються такі види планів:
— План реагування на інциденти – даний вид плану може включати в себе план реагування на кібер-інциденти, план на випадок непередбачених ситуацій в інформаційних системах. Цей план допоможе зменшити масштаби катастрофи і пом'якшити її наслідки, що дасть можливість заощадити час та додаткову перевагу при активації інших типів планів;
— План дій персоналу в надзвичайних ситуаціях – у відповідності з вимогами Федерального закону від 21.12.1994 р. №68 68 «Про захист населення і території від надзвичайних ситуацій природного і техногенного характеру» і Федерального закону від 21.12.1994 р. №69 «Про пожежної безпеки» цей план є обов'язковим для всіх компаній;
— План відновлення після збою – сфокусований на відновлення критично важливих інформаційних систем. Даний вид плану здійснює підтримаю плану забезпечення безперервності бізнесу і спрямований на відновлення працездатності окремих систем і додатків;
— План забезпечення безперервності бізнесу – сфокусований на підтримку бізнес-процесів компанії під час і після надзвичайної ситуації; спрямований на забезпечення можливості продовження виконання компанією критичних важливих для неї видів діяльності на встановленому прийнятному рівні;
— План антикризових комунікацій – цей план допоможе зберегти репутацію компанії в кризовій ситуації. У ньому документується порядок взаємодії зі ЗМІ, правоохоронними органами, МНС і т. д.

Зверніть увагу! На етапі складання планів безперервності бізнесу деякі компанії зосереджуються на технічних рішеннях і не надають значення організаційних заходів. У зв'язку з цим необхідно вказати на необхідність застосування організаційних заходів нарівні з технічними. Для цього проводяться навчальні семінари, тестування планів, випускаються навчальні матеріали.

Тестування та перегляд планів

Тестування здійснюється для перевірки працездатності планів при виникненні певного набору обставин, що впливають на діяльність компанії. План тестування вибирається з урахуванням типу компанії та її цілей.

Тести — інструменти оцінки, які використовують кількісні метрики для перевірки працездатності ІТ-системи або її компонента.
NIST Special Publication 800-84 «Guide to Test, Training, and Exercise Programs for IT Plans and Capabilities»


До цілям тестування можна віднести:
— отримання підтверджень працездатності планів;
— перевірка достатності методичного і технічного забезпечення;
— отримання необхідних навичок і знань.

Після того, як була визначена мета тестування, розробляється сценарій, визначається метод тестування і узгоджується з керівництвом. Найчастіше застосовуються наступні методи [2]:
— Настільна перевірка (Tabletop);
— Імітація (Imitation);
— Повне тестування (Full business continuity testing).

Відступ: докладно перераховані вище методи тестування будуть розглянуті в окремій статті.

Після проведення тестування складаються звіти, в яких зазначаються сценарії і результати тестування, а також пропозиції по поліпшенню планів безперервності діяльності.

Зверніть увагу! Компанії повинні вибирати спосіб тестування виходячи із своїх цілей і можливостей.
Зверніть увагу! Повне тестування є найбільш ефективним так як воно дозволяє виявити безліч недоліків, але з-за високих ризиків майже не використовується на практиці. Якщо компанія вирішила використовувати даний вид тестування, необхідно заручитися підтримкою партнерів або скористатися послугами підрядників, щоб мінімізувати ризики і попередити значні простої.

Обслуговування та оновлення планів

Як вже зазначалося вище, управління безперервністю бізнесу компанії є циклічним процесом. А це означає, що не можна обмежуватися одним тільки формуванням планів, необхідно супроводжувати, оновлювати та вдосконалювати їх щороку, а іноді й частіше, наприклад, в наступних випадках:
1. Зміна ІТ-інфраструктури;
2. Зміна організаційної структури компанії;
3. Зміни в законодавстві;
4. Виявлення недоліків у планах при їх тестуванні.
Щоб зберегти актуальність планів, необхідно виконувати наступні дії:
— проводити внутрішні аудити, що включають перевірку відновлення після аварій, документації щодо забезпечення безперервності і відповідних процедур;
— проводити регулярні практичні тренінги з виконання плану;
— інтегрувати питання безперервності бізнесу в процес управління змінами компанії.

Висновок

Управління безперервністю бізнесу забезпечує об'єднання всіх застосовуваних на підприємстві заходів у цілісний, адекватний реальним загрозам і керований комплекс, що дозволяє компанії безперервно надавати послуги, уникнути впливу надзвичайних ситуацій на діяльність і мінімізувати можливий збиток.
Цей комплекс складається з семи етапів, які повинні бути реалізовані в компанії для забезпечення безперервності надання послуг і виробництва продуктів.
У даній статті описаний кожен етап з прив'язкою до російських реалій, а також вказані моменти, на які варто звернути увагу при реалізації даного проекту.

Література
1. ISO 22301 Societal security — Business continuity management systems — Requirements
2. ГОСТ Р 53647 «Менеджмент безперервності бізнесу»
3. ГОСТ Р ІСО/МЕК 31010 — 2011. «Менеджмент ризику. Методи оцінки ризику»
4. NIST Special Publication 800-34 Rev. 1 «Contingency Planning Guide for Federal Information Systems»
5. NIST Special Publication 800-84 «Guide to Test, Training, and Exercise Programs for IT Plans and Capabilities»
6. The Definitive Handbook of Business Continuity Management Second Edition Copyright © 2007 John Wiley & Sons Ltd,
7. Business Continuity Management How to protect your company danger from MICHAEL GALLAGHER Pearson Education Limited 2003
8. www.bcmpedia.org/wiki/BCM_Body_of_Knowledge_(BCMBoK)

Інформація про проект на сайті Softline: services.softline.ua/security/upravleniya-ib

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.