Семь шагов к непрерывности бизнеса
Жизненный цикл процесса управления непрерывностью бизнеса
Управление непрерывностью бизнеса компании является циклическим процессом, который должен учитывать возможные изменения в бизнесе, сфере IT, законодательстве и других областях, влияющих на деятельность организации, а также помогать ей адаптироваться к этим изменениям. Другими словами, управление непрерывностью бизнеса является процессом его постоянного совершенствования, что, в свою очередь, повышает уверенность компании в надежности планов обеспечения непрерывности бизнеса.
Жизненный цикл процесса управления непрерывностью бизнеса включает 7 этапов, на каждом из которых определены последовательность шагов и результат (перечень этапов был построен на основе цикла BCM Institute[8]).
Инициация проекта
Проект – это деятельность, направленная на создание уникального продукта, услуги или результата.
План управления проектом / Project Management Plan – документ, описывающий, как проект будет исполняться, как будет происходить его мониторинг и контроль.
Руководство PMBOK – Пятое издание
На данном этапе определяется содержание проекта обеспечения непрерывности бизнеса и разрабатывается его пошаговый план. В нем определяется, как будет исполняться проект, как будет проводиться его мониторинг, контроль и закрытие, а также определяются границы проекта, роли членов проектной команды и цели проекта.
Помимо вышеперечисленных действий, необходимо определить потребность в проекте. Для некоторых компаний непрерывность бизнеса – это обеспечение эффективности критически важных бизнес-функций, а также демонстрация устойчивости бизнеса клиентам. Но нельзя забывать, что существуют требования нормативно-правовых актов и регулирующих органов к непрерывности бизнеса. Далее в таблице перечислены и описаны стандарты / нормативно-правовые акты (НПА), широко использующиеся на территории Российской Федерации, а также ряд требований, которые предъявляют данные стандарты / НПА к системе непрерывности бизнеса.
| Стандарт / НПА | Требование | Описание | Статус |
|---|---|---|---|
| ISO/IEC 27001:2013 «Information technology – Security techniques – Information security management systems – Requirements» (Информационная технология. Методы обеспечения безопасности. Системы менеджмента информационной безопасности) | A.17 Information security aspects of business continuity management (Аспекты информационной безопасности в управлении непрерывностью бизнеса) |
Непрерывность информационной безопасности должна быть встроена в систему непрерывности бизнеса компании. Для этого необходимо: – спланировать непрерывность информационной безопасности; |
Непрерывность информационной безопасности является одним из требований в том случае, если компания стремится получить сертификат соответствия требованиям ISO/IEC 27001:2013 «Information technology – Security techniques – Information security management systems – Requirements». |
| ISO 22301:2012 «Societal security – Business continuity management systems – Requirements» (Социальная безопасность. Системы менеджмента непрерывности бизнеса) | Данный стандарт посвящен непрерывности бизнеса. | В стандарте прописаны: – требования, необходимые для установления системы менеджмента непрерывности бизнеса в компании; – требования к функциям высшего руководства в системе менеджмента непрерывности бизнеса; – требования к установлению стратегических целей и руководящих принципов системы менеджмента непрерывности бизнеса; – требования к обеспечению непрерывности бизнеса, порядок разработки процедур управления в условиях инцидента. |
Наличие планов BCP/DRP (данные планы рассмотрены в разделе «Разработка и внедрение планов») является обязательным условием в том случае, если компания стремится получить сертификат соответствия требованиям ISO 22301:2012 «Societal security – Business continuity management systems – Requirements». |
| ГОСТ Р 53647 «Менеджмент непрерывности бизнеса» | Данный стандарт посвящен непрерывности бизнеса. | Настоящий стандарт устанавливает требования к планированию, созданию, функционированию, мониторингу, анализу, проведению учений, поддержке и улучшению документированной системы менеджмента непрерывности бизнеса. | Носит рекомендательный характер. |
| СТО БР ИББС-1.0-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» | 8.11. Требования к организации обеспечения непрерывности бизнеса и его восстановления после прерываний |
В организации банковской системы должен быть определен план обеспечения непрерывности бизнеса и его восстановления после возможного прерывания. План должен содержать инструкции и порядок действий работников организации банковской системы по восстановлению бизнеса. В частности, в состав плана должны быть включены: – условия активации плана; – действия, которые должны быть предприняты после инцидента ИБ; – процедуры восстановления; – процедуры тестирования и проверки плана; – план обучения и повышения осведомленности сотрудников; – обязанности сотрудников с указанием ответственных за выполнение каждого из положений плана. Также должны быть установлены требования по обеспечению ИБ, регламентирующие вопросы обеспечения непрерывности бизнеса и его восстановление после прерывания, в том числе требования к мероприятиям по восстановлению необходимой информации, программного обеспечения, технических средств, а также каналов связи. |
Носит рекомендательный характер. |
| Приказ ФСТЭК России от 11.02.2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» | X. Обеспечение доступности информации (ОДТ) | В соответствии с Приказом ФСТЭК России от 11.02.2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» необходимо: – использовать отказоустойчивые технические средства; – резервировать технические средства, программное обеспечение, каналы передачи информации, средства обеспечения функционирования информационной системы; – контролировать безотказное функционирование технических средств; – обеспечить обнаружение и локализацию отказов функционирования технических средств; – принимать меры по восстановлению отказавших средств; – тестировать технические средства; – осуществлять периодическое резервное копирование информации на резервные машинные носители; – обеспечить возможность восстановления информации с резервных машинных носителей информации (резервных копий) в течение установленного временного интервала; – контролировать состояние и качество предоставления уполномоченным лицом вычислительных ресурсов (мощностей), в том числе по передаче информации. |
В случае если система классифицирована по 1 или 2 классу защищенности, описанные в приказе требования носят обязательный характер. |
| Приказ ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» |
X. Обеспечение доступности персональных данных (ОДТ) | В соответствии с Приказом ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» необходимо обеспечить: – контроль безотказного функционирования технических средств; – обнаружение и локализацию отказов функционирования; – принятие мер по восстановлению отказавших средств и их тестирование; – резервное копирование персональных данных на резервные машинные носители персональных данных; – возможность восстановления персональных данных с резервных машинных носителей персональных данных (резервных копий) в течение установленного временного интервала. |
В том случае, если для информационной системы персональных данных определен 1 или 2 уровень защищенности, описанные в приказе требования носят обязательный характер. |
После того как план проекта окончательно сформирован и разработан, его необходимо направить руководству компании для утверждения. Работа по плану должна начинаться только после согласования с руководством.
Обратите внимание! В некоторых компаниях спонсор проекта не уделяет ему должного внимания, и ответственность возлагается на менеджера среднего звена. Это может привести к проблемам в коммуникации заинтересованных сторон и снижению поддержки высшего руководства компании. Данную проблему можно решить путем создания проектного комитета, куда войдут представители всех заинтересованных сторон. Комитет должен периодически проводить встречи, решать проблемы и обсуждать ход проекта.
Анализ воздействия на бизнес
Анализ воздействия на бизнес – метод, позволяющий исследовать воздействие инцидентов на ключевые виды деятельности и процессы компании.
На данном этапе предусмотрено детальное изучение процессов компании. Для этого консультант проводит интервью с руководством отделов, входящих в область проекта. В ходе беседы запрашивается информация о деятельности отдела и составляется перечень процессов / функций, которые он осуществляет. Далее для детального изучения процессов / функций интервьюируются владельцы процессов и определяется тип воздействия на бизнес (материальный, репутационный) и степень зависимости процесса от IT и внешних сервисов. А затем определяется максимально допустимое время простоя (Maximum Allowable Outage).
Maximum Allowable Outage – период времени, по истечении которого существует угроза окончательной утраты жизнеспособности организации, в том случае, если поставка продукции и/или предоставление услуг не будут возобновлены.
ГОСТ Р ИСО/МЭК 31010-2011 «Менеджмент риска. Методы оценки риска»
После того как владельцем процесса / функции был определен MAO, IT-департаментом (на основе MAO) определяются показатели RTO, RPO, SDO.
— Recovery Time Objective (RTO). Время, в течение которого должно происходить восстановление бизнес-функции или ресурса при наступлении нештатных ситуаций.
— Recovery Point Objective (RPO). Целевая точка восстановления определяет объем допустимых потерь данных в случае прерывания операций. Например, если RPO равен 15 минутам – допускается потеря данных за последние 15 минут.
— Service Delivery Objective (SDO). Уровень доступности сервиса в определенный момент времени.
На рисунке изображено, как определяются вышеперечисленные метрики:
Результатом проведения анализа воздействия на бизнес являются:
— перечень ранжированных по приоритетам критических процессов и соответствующих взаимозависимостей;
— зарегистрированные экономические и производственные воздействия, вызванные нарушением критических процессов;
— вспомогательные ресурсы, необходимые для идентифицированных критических процессов;
— возможные сроки простоя и восстановления критических процессов и взаимосвязанных информационных технологий.
Обратите внимание! Зачастую владельцы бизнес-процессов намеренно или неосознанно завышают целевые значения нормативов восстановления, что способствует искажению анализа и влечет за собой необоснованные расходы. Чтобы избежать этой проблемы, необходимо вместе с проектной группой, а также с заинтересованными сторонами рассмотреть ценность бизнес-функции в контексте происшествия, которое затронуло всю компанию. Этот подход позволит объективно определить нормативы восстановления.
Оценка рисков
Риск – влияние неопределенности на цели.
Отступление: в данной статье не рассматриваются детали оценки рисков.
Оценка риска / risk assessment – процесс, охватывающий идентификацию риска, анализ риска и оценку риска.
ISO 73:2009 «Менеджмент рисков. Словарь»
Целью оценки рисков в рамках управления непрерывностью бизнеса является определение событий, которые могут привести к нарушению деятельности компании, а также их последствий (ущерб).
Оценка риска обеспечивает:
— понимание потенциальных опасностей и воздействия их последствий на достижение установленных целей компании;
— понимание угроз и их источников;
— идентификацию ключевых факторов, формирующих риск; уязвимых мест компании и ее систем;
— выбор способов обработки риска;
— соответствие требованиям стандартов.
Процесс оценки рисков состоит из:
— Идентификации риска – процесс определения элементов риска, описания каждого из них, составления их перечня. Целью идентификации риска является составление перечня источников риска и угроз, которые могут повлиять на достижение каждой из установленных целей компании;
— Анализ риска – процесс исследования информации о риске. Анализ риска обеспечивает входные данные процесса общей оценки риска, помогает в принятии решений относительно необходимости обработки риска, а также в выборе соответствующей стратегии и методов обработки;
— Сравнительная оценка риска – сопоставление его уровня с критериями, установленными при определении области применения менеджмента риска, для определения типа риска и его значимости.
Оценка рисков в дальнейшем позволит обоснованно выработать стратегию непрерывности бизнеса, а также поможет определить оптимальный сценарий ее реализации.
Разработка стратегии непрерывности бизнеса
После того как были проанализировали требования к непрерывности, необходимо выбрать и обосновать возможные технические и организационные решения. В процессе выбора решения необходимо детально рассмотреть возможные действия в отношении помещений, технологий, информационных активов, контрагентов, а также партнеров. Данные решения, как правило, выбираются с целью:
— защиты приоритетных видов деятельности компании;
— их эффективного восстановления;
— смягчения последствий инцидентов, разработки ответных и превентивных мер.
Примечание: выбор решения должен основываться на стоимости восстановления и стоимости простоя.
Данные решения могут включать в себя:
— «зеркальные» площадки;
— «горячие» площадки;
— «теплые» площадки;
— «холодные» площадки;
— площадки динамического распределения нагрузки;
— аутсорсинг / соглашение;
— мобильные площадки.
Основными отличиями вышеперечисленных решений являются стоимость и время восстановления деятельности компании.
Обратите внимание! Решения помогают в реализации эффективной стратегии непрерывности бизнеса. Но для того, чтобы определить оптимальный вариант, необходимо выбирать стратегические решения, исходя из результатов анализа воздействий на бизнес и оценки рисков (этот подход поможет обосновать руководству необходимость инвестиций в проект управления непрерывностью бизнеса).
Разработка и внедрение планов непрерывности бизнеса
План – это заранее намеченная система мероприятий, предусматривающая порядок, последовательность и сроки выполнения работ.
В соответствии с лучшими практиками [1, 2, 4], планы управления непрерывностью должны состоять из трех компонентов:
1. Реагирование на чрезвычайные ситуации – определяет последовательность действий, которые необходимо осуществить при обнаружении инцидента.
2. Управление инцидентами – определяет методы, необходимые для смягчения или уменьшения размера происшествия.
3. Восстановление деятельности – определяет последовательность действий, которые необходимо осуществить для того, чтобы восстановить сервис на заданном уровне.
Примечание: для наглядности используйте блок-схемы и другие графические способы представления информации.
Примерная структура плана обеспечения непрерывности бизнеса:
1. Введение
1.1. Исходная информация
1.2. Границы действия плана
1.3. Предпосылки создания плана
2. Концепция
2.1. Описание системы обеспечения непрерывности
2.2. Описание этапов восстановления непрерывности
2.3. Роли и их обязанности
3. Активация плана
3.1. Критерии и порядок активации
3.2. Порядок уведомления заинтересованных лиц
3.3. Порядок оценки происшествия
4. Контроль
5. Восстановление
5.1. Последовательность восстановления непрерывности
Специалистами NIST было разработано руководство [1], которое достаточно подробно описывает необходимые планы обеспечения непрерывности бизнеса. Далее приведена таблица, где описан каждый из планов (указанных в руководстве NIST), а также даны ссылки на стандарты / НПА, которые предписывают разработку таких планов.
| Наименование плана | Описание плана | Стандарт / НПА |
|---|---|---|
| Business Continuity Plan (BCP) – План обеспечения непрерывности бизнеса | Набор задокументированных процедур, которые разработаны, обобщены и актуализированы с целью их использования в случае возникновения инцидента, и направлены на обеспечение возможности продолжения выполнения компанией критических важных видов деятельности на установленном приемлемом уровне. | ISO 22301 «Социальная безопасность. Системы менеджмента непрерывности бизнеса»: 8.4.4 Планы непрерывности бизнеса (Business continuity plans) |
| Continuity of Operations Plan (COOP) – План непрерывности операций | Фокусируется на восстановлении критически важных функций компании на альтернативной площадке и на их выполнении в течение 30 дней. |
– |
| Crisis Communication Plan – План антикризисных коммуникаций | В данном плане задокументированы процедуры и правила внешних и внутренних коммуникаций в случае чрезвычайных ситуаций. | Федеральный закон от 21.12.1994 № 68 «О защите населения и территорий от чрезвычайных ситуаций природного и техногенного характера»: Статья 14. Обязанности организаций в области защиты населения и территорий от чрезвычайных ситуаций («Организации обязаны предоставлять в установленном порядке информацию в области защиты населения и территорий от чрезвычайных ситуаций, а также оповещать работников организаций об угрозе возникновения или о возникновении чрезвычайных ситуаций»). |
| Critical Infrastructure Protection Plan (CIP) – План защиты критических инфраструктур | План направлен на защиту ключевых ресурсов и компонентов национальной инфраструктуры. | Указ Президента Российской Федерации от 15 января 2013 г. N 31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации». |
| Cyber Incident Response Plan – План реагирования на киберинциденты | План, описывающий процедуры реакции на инциденты, связанные с атаками хакеров, вторжения в информационную систему и другие проблемы безопасности. | ГОСТ Р ИСО/МЭК ТО 18044-2007 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности»; NIST 800-61 «Computer Security. Incident Handling Guide». |
| Disaster Recovery Plan (DRP) – План восстановления после сбоя | План восстановления инфраструктуры компании после возникновения аварии. | ISO 22301 «Социальная безопасность. Системы менеджмента непрерывности бизнеса»: 8.4.5 Восстановление (Recovery). |
| Information System Contingency Plan (ISCP) – План на случай непредвиденных ситуаций в информационных системах | План восстановления системы, сетей и основных приложений после аварии. Данный план необходимо разработать для каждой критической системы и/или приложения. |
– |
| Occupant Emergency Plan (OEP) – План действия персонала в случае чрезвычайной ситуации | В данном плане определяется порядок обеспечения безопасности персонала и процедуры эвакуации в случае чрезвычайных ситуаций. | Федеральный закон от 21.12.1994 г. № 68 «О защите населения и территории от чрезвычайных ситуаций природного и техногенного характера»; Федеральный закон от 21.12.1994 № 69 «О пожарной безопасности». |
Вышеперечисленные документы составляются исходя из потребностей компании, но на практике чаще всего применяются следующие виды планов:
— План реагирования на инциденты – данный вид плана может включать в себя план реагирования на киберинциденты, план на случай непредвиденных ситуаций в информационных системах. Данный план поможет уменьшить масштабы катастрофы и смягчить ее последствия, что даст возможность сэкономить время и дополнительное преимущество при активации остальных типов планов.
— План действия персонала в чрезвычайных ситуациях – в соответствии с требованиями Федерального закона от 21.12.1994 г. №68 68 «О защите населения и территории от чрезвычайных ситуаций природного и техногенного характера» и Федерального закона от 21.12.1994 г. №69 «О пожарной безопасности» этот план является обязательным для всех компаний.
— План восстановления после сбоя – сфокусирован на восстановлении критически важных информационных систем. Данный вид плана осуществляет поддержу плана обеспечения непрерывности бизнеса и направлен на восстановление работоспособности отдельных систем и приложений.
— План обеспечения непрерывности бизнеса – сфокусирован на поддержке бизнес-процессов компании во время и после чрезвычайной ситуации; направлен на обеспечение возможности продолжения выполнения компанией критических важных для нее видов деятельности на установленном приемлемом уровне.
— План антикризисных коммуникаций – данный план поможет сохранить репутацию компании в кризисной ситуации. В нем документируется порядок взаимодействия со СМИ, правоохранительными органами, МЧС и т.д.
Обратите внимание! На этапе составления планов непрерывности бизнеса некоторые компании сосредоточиваются на технических решениях и не придают значения организационным мерам. В связи с этим необходимо указать на важность применения организационных мер наравне с техническими. Для этого проводятся обучающие семинары, тестирование планов, выпускаются учебные материалы.
Тестирование и пересмотр планов
Тестирование осуществляется для проверки работоспособности планов при возникновении определенного набора обстоятельств, влияющих на деятельность компании. План тестирования выбирается с учетом типа компании и ее целей.
Тесты – инструменты оценки, которые используют количественные метрики для проверки работоспособности IT-системы или ее компонента.
NIST Special Publication 800-84 «Guide to Test, Training, and Exercise Programs for IT Plans and Capabilities»
К целям тестирования можно отнести:
— получение подтверждений работоспособности планов;
— проверку достаточности методического и технического обеспечения;
— получение необходимых навыков и знаний.
После того как была определена цель тестирования, разрабатывается сценарий, определяется метод тестирования и согласовывается с руководством. Чаще всего применяются следующие методы [2]:
— настольная проверка (Tabletop);
— имитация (Imitation);
— полное тестирование (Full business continuity testing).
После проведения тестирования составляются отчеты, в которых указываются сценарии и результаты тестирования, а также предложения по улучшению планов непрерывности деятельности.
Обратите внимание! Компании должны выбирать способ тестирования исходя из своих целей и финансовых возможностей.
Важно! Полное тестирование является самым эффективным, так как оно позволяет выявить множество недостатков, но из-за высоких рисков почти не используется на практике. Если компания решила использовать данный вид тестирования, необходимо заручиться поддержкой партнеров или воспользоваться услугами подрядчиков, чтобы минимизировать риски и предупредить значительные простои.
Обслуживание и обновление планов
Как уже отмечалось выше, управление непрерывностью бизнеса компании является циклическим процессом. А это значит, что нельзя ограничиваться одним только формированием планов, необходимо сопровождать, обновлять и совершенствовать их ежегодно, а иногда и чаще, например, в следующих случаях:
1. Изменение IT-инфраструктуры.
2. Изменение организационной структуры компании.
3. Изменения в законодательстве.
4. Обнаружение недостатков в планах при их тестировании.
Чтобы сохранить актуальность планов, необходимо выполнять следующие действия:
— проводить внутренние аудиты, включающие проверку восстановления после аварий, документации по обеспечению непрерывности и соответствующих процедур;
— проводить регулярные практические тренинги по выполнению плана;
— интегрировать вопросы непрерывности бизнеса в процесс управления изменениями компании.
Заключение
Управление непрерывностью бизнеса обеспечивает объединение всех применяемых на предприятии мер в целостный, адекватный реальным угрозам и управляемый комплекс, позволяющий компании непрерывно предоставлять услуги, избегать влияния чрезвычайных ситуаций на деятельность и минимизировать возможный ущерб.
Этот комплекс состоит из семи этапов, которые должны быть реализованы в компании для обеспечения непрерывности предоставления услуг и производства продуктов.
В данной статье описан каждый этап с привязкой к российским реалиям, а также указаны моменты, на которые стоит обратить внимание при реализации данного проекта.
Литература
1. ISO 22301 Societal security – Business continuity management systems – Requirements.
2. ГОСТ Р 53647 «Менеджмент непрерывности бизнеса».
3. ГОСТ Р ИСО/МЭК 31010 – 2011. «Менеджмент риска. Методы оценки риска».
4. NIST Special Publication 800-34 Rev. 1 «Contingency Planning Guide for Federal Information Systems».
5. NIST Special Publication 800-84 «Guide to Test, Training, and Exercise Programs for IT Plans and Capabilities».
6. The Definitive Handbook of Business Continuity Management Second Edition Copyright © 2007 John Wiley & Sons Ltd.
7. Business Continuity Management How to protect your company from danger MICHAEL GALLAGHER Pearson Education Limited 2003.
8. www.bcmpedia.org/wiki/BCM_Body_of_Knowledge (BCMBoK).
Информация о проекте на сайте Softline: services.softline.ru/security/upravleniya-ib
