Семь шагов к непрерывности бизнеса
В настоящее время существует огромное количество методик управления непрерывностью бизнеса, которые помогают в проведении планирования, улучшения доступности критически важных бизнес-процессов компании. Но эти методики содержат теоретические основы непрерывности бизнеса и не отвечают на вопрос «Как реализовать такой проект?». В настоящей статье описана последовательность действий, которые дадут вам представление о том, как внедряется система управления непрерывностью бизнеса, и какие результаты вы получите на каждом этапе.
Жизненный цикл процесса управления непрерывностью бизнеса
Управление непрерывностью бизнеса компании является циклическим процессом, который должен учитывать возможные изменения в бизнесе, сфере ИТ, законодательстве и других областях, влияющие на деятельность организации, а также помогать ей адаптироваться к этим изменениям. Другими словами, управление непрерывностью бизнеса является процессом его постоянного совершенствования, что, в свою очередь, повышает уверенность компании в надежности планов обеспечения непрерывности бизнеса.
Жизненный цикл процесса управления непрерывностью бизнеса включает 7 этапов, на каждом из которых определены последовательность шагов и результат (перечень этапов был построен на основе цикла BCM Institute[8]).
Инициация проекта
Проект — это деятельность, направленная на создание уникального продукта, услуги или результата.
План управления проектом / Project Management Plan — документ, описывающий, как проект будет исполняться, как будет происходить его мониторинг и контроль.
Руководство PMBOK — Пятое издание
На данном этапе определяется содержание проекта обеспечения непрерывности бизнеса и разрабатывается его пошаговый план. В нем определяется, как будет исполняться проект, как будет проводиться его мониторинг, контроль и закрытие, а также определяются границы проекта, роли членов проектной команды и цели проекта.
Помимо вышеперечисленных действий, необходимо определить потребность в проекте. Для некоторых компаний непрерывность бизнеса — это обеспечение эффективности критически важных бизнес-функций, а также демонстрация устойчивости бизнеса клиентам. Но нельзя забывать, что существуют требования нормативно-правовых актов и регулирующих органов к непрерывности бизнеса. Далее в таблице перечислены и описаны стандарты / нормативно-правовые акты (НПА) широко использующиеся на территории Российской Федерации, а также ряд требований, которые предъявляют данные стандарты / НПА к системе непрерывности бизнеса.
| Стандарт/ НПА | Требование | Описание | Статус |
|---|---|---|---|
| ISO/IEC 27001:2013 «Information technology — Security techniques — Information security management systems — Requirements» (Информационная технология. Методы обеспечения безопасности. Системы менеджмента информационной безопасности) | A.17 Information security aspects of business continuity management (Аспекты информационной безопасности в управлении непрерывностью бизнеса) |
Непрерывность информационной безопасности должна быть встроена в систему непрерывности бизнеса компании Для этого необходимо: - спланировать непрерывность информационной безопасности; — внедрить непрерывность информационной безопасности; — проверить, оценить непрерывность информационной безопасности. |
Непрерывность информационной безопасности является одним из требований в том случае, если компания стремится получить сертификат соответствия требованиям ISO/IEC 27001:2013 «Information technology — Security techniques — Information security management systems — Requirements». |
| ISO 22301:2012 «Societal security — Business continuity management systems — Requirements» (Социальная безопасность. Системы менеджмента непрерывности бизнеса) | Данный стандарт посвящен непрерывности бизнеса. | В стандарте прописаны: — требования, необходимые для установления системы менеджмента непрерывности бизнеса в компании; — требования к функциям высшего руководства в системе менеджмента непрерывности бизнеса; — требования к установлению стратегических целей и руководящих принципов системы менеджмента непрерывности бизнеса; — требования к обеспечению непрерывности бизнеса, порядок разработки процедур управления в условиях инцидента. |
Наличие планов BCP/DRP (данные планы рассмотрены в разделе «Разработка и внедрение планов») является обязательным условием в том случае, если компания стремится получить сертификат соответствия требованиям ISO 22301:2012 «Societal security — Business continuity management systems — Requirements». |
| ГОСТ Р 53647 «Менеджмент непрерывности бизнеса» | Данный стандарт посвящен непрерывности бизнеса. | Настоящий стандарт устанавливает требования к планированию, созданию, функционированию, мониторингу, анализу, проведению учений, поддержке и улучшению документированной системы менеджмента непрерывности бизнеса. | Носит рекомендательный характер. |
| СТО БР ИББС-1.0–2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» | 8.11. Требования к организации обеспечения непрерывности бизнеса и его восстановления после прерываний |
В организации банковской системы должен быть определен план обеспечения непрерывности бизнеса и его восстановления после возможного прерывания. План должен содержать инструкции и порядок действий работников организации банковской системы по восстановлению бизнеса. В частности, в состав плана должны быть включены: — условия активации плана; — действия, которые должны быть предприняты после инцидента ИБ; — процедуры восстановления; — процедуры тестирования и проверки плана; - план обучения и повышения осведомленности сотрудников; - обязанности сотрудников с указанием ответственных за выполнение каждого из положений плана. Также должны быть установлены требования по обеспечению ИБ, регламентирующие вопросы обеспечения непрерывности бизнеса и его восстановлению после прерывания, в том числе требования к мероприятиям по восстановлению необходимой информации, программного обеспечения, технических средств, а также каналов связи. |
Носит рекомендательный характер. |
| Приказ ФСТЭК России от 11.02.2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» | X. Обеспечение доступности информации (ОДТ) | В соответствии с Приказом ФСТЭК России от 11.02.2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» необходимо: — использовать отказоустойчивые технические средства; — резервировать технические средства, программное обеспечения, каналы передачи информации, средства обеспечения функционирования информационной системы; — контролировать безотказное функционирование технических средств; — обеспечить обнаружение и локализацию отказов функционирования технических средств; — принимать меры по восстановлению отказавших средств; — тестировать технические средства; — осуществлять периодическое резервное копирование информации на резервные машинные носители; — обеспечить возможность восстановления информации с резервных машинных носителей информации (резервных копий) в течении установленного временного интервала; — контролировать состояние и качество предоставления уполномоченным лицом вычислительных ресурсов (мощностей), в том числе по передаче информации. |
В случае если система классифицирована по 1 или 2 классу защищенности, описанные в приказе требования носят обязательный характер. |
| Приказ ФСТЭК России от 18.02.2013 г.№ 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» |
X. Обеспечение доступности персональных данных (ОДТ) | В соответствии с Приказом ФСТЭК России от 18.02.2013 г.№ 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» необходимо обеспечить: — контроль безотказного функционирования технических средств; - обнаружение и локализацию отказов функционирования; — принятие мер по восстановлению отказавших средств и их тестирование; — резервное копирование персональных данных на резервные машинные носители персональных данных; — возможность восстановления персональных данных с резервных машинных носителей персональных данных (резервных копий) в течение установленного временного интервала. |
В том случае, если для информационной системы персональных данных определен 1 или 2 уровень защищенности, описанные в приказе требования носят обязательный характер. |
После того, как план проекта окончательно сформирован и разработан, его необходимо направить руководству компании для утверждения. Работа по плану должна начинаться только после согласования с руководством.
Обратите внимание! В некоторых компаниях спонсор проекта не уделяет ему должного внимания, и ответственность возлагается на менеджера среднего звена. Это может привести к проблемам в коммуникации заинтересованных сторон и снижению поддержки высшего руководства компании. Данную проблему можно решить путем создания проектного комитета, куда войдут представители всех заинтересованных сторон. Комитет должен периодически проводить встречи, решать проблемы и обсуждать ход проекта.
Анализ воздействия на бизнес
Анализ воздействия на бизнес — метод позволяющий исследовать воздействие инцидентов на ключевые виды деятельности и процессы компании.
На данном этапе предусмотрено детальное изучение процессов компании. Для этого консультант проводит интервью с руководством отделов, входящих в область проекта. В ходе беседы запрашивается информация о деятельности отдела и составляется перечень процессов / функций, которые он осуществляет. Далее для детального изучения процессов / функций, интервьюируются владельцы процессов и определяется тип воздействия на бизнес (материальный, репутационный) и степень зависимости процесса от ИТ и внешних сервисов. А затем определяется максимально допустимое время простоя (Maximum Allowable Outage).
Maximum Allowable Outage — период времени, по истечении которого существует угроза окончательной утраты жизнеспособности организации, в том случае, если поставка продукции и/или предоставление услуг не будут возобновлены.
ГОСТ Р ИСО/МЭК 31010—2011 «Менеджмент риска. Методы оценки риска»
После того как владельцем процесса / функции был определен MAO, ИТ-департаментом (на основе MAO) определяются показатели RTO, RPO, SDO.
— Recovery Time Objective (RTO). Время, в течение которого должно происходить восстановление бизнес-функции или ресурса при наступлении нештатных ситуаций.
— Recovery Point Objective (RPO). Целевая точка восстановления определяет объем допустимых потерь данных в случае прерывания операций. Например, если RPO равен 15 минутам — допускается потеря данных за последние 15 минут.
— Service Delivery Objective (SDO). Уровень доступности сервиса в определенный момент времени.
На рисунке изображено, как определяются вышеперечисленные метрики.
Результатом проведения анализа воздействия на бизнес являются:
— перечень ранжированных по приоритетам критических процессов и соответствующих взаимозависимостей;
— зарегистрированные экономические и производственные воздействия, вызванные нарушением критических процессов;
— вспомогательные ресурсы, необходимые для идентифицированных критических процессов;
— возможные сроки простоя и восстановления критических процессов и взаимосвязанных информационных технологий.
Обратите внимание! Зачастую владельцы бизнес-процессов намеренно или неосознанно завышают целевые значение нормативов восстановления, что способствует искажению анализа и влечет за собой необоснованные расходы. Чтобы избежать этой проблемы, необходимо вместе с проектной группой, а также с заинтересованными сторонами рассмотреть ценность бизнес-функции в контексте происшествия, которое затронуло всю компанию. Этот подход позволит объективно определить нормативы восстановления.
Оценка рисков
Риск — влияние неопределенности на цели.
Отступление: в данной статье не рассматриваются детали оценки рисков.
Оценка риска / risk assessment — процесс, охватывающий идентификацию риска, анализ риска и оценку риска.
ISO 73:2009 «Менеджмент рисков. Словарь»
Целью оценки рисков в рамках управления непрерывностью бизнеса является определение событий, которые могут привести к нарушению деятельности компании, а также их последствий (ущерб).
Оценка риска обеспечивает:
— понимание потенциальных опасностей и воздействия их последствий на достижение установленных целей компании;
— понимание угроз и их источников;
— идентификацию ключевых факторов, формирующих риск; уязвимых мест компании и ее систем;
— выбор способов обработки риска;
— соответствие требованиям стандартов.
Процесс оценки рисков состоит из:
— Идентификации риска — процесс определения элементов риска, описания каждого из них, составления их перечня. Целью идентификации риска является составление перечня источников риска и угроз, которые могут повлиять на достижение каждой из установленных целей компании;
— Анализ риска — процесс исследования информации о риске. Анализ риска обеспечивает входные данные процесса общей оценки риска, помогает в принятии решений относительно необходимости обработки риска, а также в выборе соответствующей стратегии и методов обработки;
— Сравнительная оценка риска — сопоставление его уровня с критериями, установленными при определении области применения менеджмента риска, для определения типа риска и его значимости.
Оценка рисков в дальнейшем позволит обоснованно выработать стратегию непрерывности бизнеса, а также поможет определить оптимальный сценарий ее реализации.
Разработка стратегии непрерывности бизнеса
После того как были проанализировали требования к непрерывности, необходимо выбрать и обосновать возможные технические и организационные решения. В процессе выбора решения необходимо детально рассмотреть возможные действия в отношении помещений, технологий, информационных активов, контрагентов, а также партнеров. Данные решения, как правило, выбираются с целью:
— защиты приоритетных видов деятельности компании;
— их эффективного восстановления;
— смягчения последствий инцидентов, разработки ответных и превентивных мер.
Примечание: выбор решения должен основываться на стоимости восстановления и стоимости простоя.
Данные решения могут включать в себя:
— «Зеркальные» площадки;
— «Горячие» площадки;
— «Теплые» площадки;
— «Холодные» площадки;
— Площадки динамического распределения нагрузки;
— Аутсорсинг \ Соглашение;
— Мобильные площадки.
Отступление: подробно вышеперечисленные решения будут рассмотрены в отдельной статье.
Основными отличиями вышеперечисленных решений являются стоимость и время восстановления деятельности компании.
Обратите внимание! Решения помогают в реализации эффективной стратегии непрерывности бизнеса. Но для того, чтобы определить оптимальный вариант, необходимо выбирать стратегические решения, исходя из результатов анализа воздействий на бизнес и оценки рисков (этот подход поможет обосновать руководству необходимость инвестиций в проект управления непрерывностью бизнеса).
Разработка и внедрение планов непрерывности бизнеса
План — это заранее намеченная система мероприятий, предусматривающая порядок, последовательность и сроки выполнения работ.
В соответствии с лучшими практиками [1, 2, 4], планы управления непрерывностью должны состоять из трёх компонентов:
1. Реагирование на чрезвычайные ситуации — определяет последовательность действий, которые необходимо осуществить при обнаружении инцидента.
2. Управление инцидентами — определяет методы, необходимые для смягчения или уменьшения размера происшествия.
3. Восстановление деятельности — определяет последовательность действий, которые необходимо осуществить для того, чтобы восстановить сервис на заданном уровне.
Примечание: для наглядности используйте блок-схемы и другие графические способы представления информации.
Примерная структура плана обеспечения непрерывности бизнеса:
1. Введение
1.1. Исходная информация
1.2. Границы действия плана
1.3. Предпосылки создания плана
2.Концепция
2.1.Описание системы обеспечения непрерывности
2.2.Описание этапов восстановления непрерывности
2.3.Роли и их обязанности
3.Активация плана
3.1.Критерии и порядок активации
3.2.Порядок уведомления заинтересованных лиц
3.3.Порядок оценки происшествия
4.Контроль
5.Восстановление
5.1.Последовательность восстановления непрерывности
Специалистами NIST было разработано руководство [1], которое достаточно подробно описывает необходимые) планы обеспечения непрерывности бизнеса. Далее приведена таблица, где описан каждый из планов (указанных в руководстве NIST), а также даны ссылки на стандарты / НПА, которые предписывают разработку таких планов.
| Наименование плана | Описание плана | Стандарт/ НПА |
|---|---|---|
| Business Continuity Plan (BCP) План обеспечения непрерывности бизнеса |
Набор задокументированных процедур, которые разработаны, обобщены и актуализированы с целью их использования в случае возникновения инцидента, и направлены на обеспечение возможности продолжения выполнения компанией критических важных видов деятельности на установленном приемлемом уровне. | ISO 22301 «Социальная безопасность. Системы менеджмента непрерывности бизнеса»: 8.4.4 Планы непрерывности бизнеса (Business continuity plans) |
| Continuity of Operations Plan (COOP) План непрерывность операций |
Фокусируется на восстановлении критически важных функций компании на альтернативной площадке и на их выполнении в течение 30 дней. | - |
| Crisis Communication Plan План антикризисных коммуникаций |
В данном плане задокументированы процедуры и правила внешних и внутренних коммуникаций в случае чрезвычайных ситуаций. | Федеральный закон от 21.12.1994 № 68 «О защите населения и территорий от чрезвычайных ситуаций природного и техногенного характера»: Статья 14. Обязанности организаций в области защиты населения и территорий от чрезвычайных ситуаций («Организации обязаны предоставлять в установленном порядке информацию в области защиты населения и территорий от чрезвычайных ситуаций, а также оповещать работников организаций об угрозе возникновения или о возникновении чрезвычайных ситуаций»). |
| Critical Infrastructure Protection Plan (CIP) План защиты критических инфраструктур |
План направлен на защиту ключевых ресурсов и компонентов национальной инфраструктуры. | Указ Президента Российской Федерации от 15 января 2013 г. N 31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации». |
| Cyber Incident Response Plan План реагирования на кибер-инциденты |
План, описывающий процедуры реакции на инциденты, связанные с атаками хакеров, вторжения в информационную систему и другие проблемы безопасности. | ГОСТ Р ИСО/МЭК ТО 18044—2007 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности»; NIST 800–61 «Computer Security. Incident Handling Guide». |
| Disaster Recovery Plan (DRP) План восстановления после сбоя |
План восстановления инфраструктуры компании после возникновения аварии. | ISO 22301 «Социальная безопасность. Системы менеджмента непрерывности бизнеса»: 8.4.5 Восстановление (Recovery). |
| Information System Contingency Plan (ISCP) План на случай непредвиденных ситуаций в информационных системах |
План восстановления системы, сетей и основных приложений после аварии. Данный план необходимо разработать для каждой критической системы и/или приложения. | - |
| Occupant Emergency Plan (OEP) План действия персонала в случае чрезвычайной ситуации |
В данном плане определяется порядок обеспечения безопасности персонала и процедуры эвакуации в случае чрезвычайных ситуаций. | Федеральный закон от 21.12.1994 г. № 68 «О защите населения и территории от чрезвычайных ситуаций природного и техногенного характера»; Федеральный закон от 21.12.1994 № 69 «О пожарной безопасности». |
Вышеперечисленные документы составляются исходя из потребностей компании, но на практике чаще всего применяются следующие виды планов:
— План реагирования на инциденты — данный вид плана может включать в себя план реагирования на кибер-инциденты, план на случай непредвиденных ситуаций в информационных системах. Данный план поможет уменьшить масштабы катастрофы и смягчить ее последствия, что даст возможность сэкономить время и дополнительное преимущество при активации остальных типов планов;
— План действия персонала в чрезвычайных ситуациях — в соответствии с требованиями Федерального закона от 21.12.1994 г. №68 68 «О защите населения и территории от чрезвычайных ситуаций природного и техногенного характера» и Федерального закона от 21.12.1994 г. №69 «О пожарной безопасности» этот план является обязательным для всех компаний;
— План восстановления после сбоя — сфокусирован на восстановлении критически важных информационных систем. Данный вид плана осуществляет поддержу плана обеспечения непрерывности бизнеса и направлен на восстановление работоспособности отдельных систем и приложений;
— План обеспечения непрерывности бизнеса — сфокусирован на поддержке бизнес-процессов компании во время и после чрезвычайной ситуации; направлен на обеспечение возможности продолжения выполнения компанией критических важных для нее видов деятельности на установленном приемлемом уровне;
— План антикризисных коммуникаций — данный план поможет сохранить репутацию компании в кризисной ситуации. В нем документируется порядок взаимодействия со СМИ, правоохранительными органами, МЧС и т.д.
Обратите внимание! На этапе составления планов непрерывности бизнеса некоторые компании сосредоточиваются на технических решениях и не придают значения организационным мерам. В связи с этим необходимо указать на необходимость применения организационных мер наравне с техническими. Для этого проводятся обучающие семинары, тестирование планов, выпускаются учебные материалы.
Тестирование и пересмотр планов
Тестирование осуществляется для проверки работоспособности планов при возникновении определенного набора обстоятельств, влияющих на деятельность компании. План тестирования выбирается с учетом типа компании и ее целей.
Тесты — инструменты оценки, которые используют количественные метрики для проверки работоспособности ИТ-системы или ее компонента.
NIST Special Publication 800–84 «Guide to Test, Training, and Exercise Programs for IT Plans and Capabilities»
К целям тестирования можно отнести:
— получение подтверждений работоспособности планов;
— проверка достаточности методического и технического обеспечения;
— получение необходимых навыков и знаний.
После того как была определена цель тестирования, разрабатывается сценарий, определяется метод тестирования и согласовывается с руководством. Чаще всего применяются следующие методы [2]:
— Настольная проверка (Tabletop);
— Имитация (Imitation);
— Полное тестирование (Full business continuity testing).
Отступление: подробно вышеперечисленные методы тестирования будут рассмотрены в отдельной статье.
После проведения тестирования составляются отчеты, в которых указываются сценарии и результаты тестирования, а также предложения по улучшению планов непрерывности деятельности.
Обратите внимание! Компании должны выбирать способ тестирования исходя из своих целей и финансовых возможностей.
Обратите внимание! Полное тестирование является самым эффективным так как оно позволяет выявить множество недостатков, но из-за высоких рисков почти не используется на практике. Если компания решила использовать данный вид тестирования, необходимо заручиться поддержкой партнеров или воспользоваться услугами подрядчиков, чтобы минимизировать риски и предупредить значительные простои.
Обслуживание и обновление планов
Как уже отмечалось выше, управление непрерывностью бизнеса компании является циклическим процессом. А это значит, что нельзя ограничиваться одним только формированием планов, необходимо сопровождать, обновлять и совершенствовать их ежегодно, а иногда и чаще, например, в следующих случаях:
1. Изменение ИТ-инфраструктуры;
2. Изменение организационной структуры компании;
3. Изменения в законодательстве;
4. Обнаружение недостатков в планах при их тестировании.
Чтобы сохранить актуальность планов, необходимо выполнять следующие действия:
— проводить внутренние аудиты, включающие проверку восстановления после аварий, документации по обеспечению непрерывности и соответствующих процедур;
- проводить регулярные практические тренинги по выполнению плана;
— интегрировать вопросы непрерывности бизнеса в процесс управления изменениями компании.
Заключение
Управление непрерывностью бизнеса обеспечивает объединение всех применяемых на предприятии мер в целостный, адекватный реальным угрозам и управляемый комплекс, позволяющий компании непрерывно предоставлять услуги, избежать влияния чрезвычайных ситуаций на деятельность и минимизировать возможный ущерб.
Этот комплекс состоит из семи этапов, которые должны быть реализованы в компании для обеспечения непрерывности предоставления услуг и производства продуктов.
В данной статье описан каждый этап с привязкой к российским реалиям, а также указаны моменты, на которые стоит обратить внимание при реализации данного проекта.
Литература
1. ISO 22301 Societal security — Business continuity management systems — Requirements
2. ГОСТ Р 53647 «Менеджмент непрерывности бизнеса»
3. ГОСТ Р ИСО/МЭК 31010 — 2011. «Менеджмент риска. Методы оценки риска»
4. NIST Special Publication 800–34 Rev. 1 «Contingency Planning Guide for Federal Information Systems»
5. NIST Special Publication 800–84 «Guide to Test, Training, and Exercise Programs for IT Plans and Capabilities»
6. The Definitive Handbook of Business Continuity Management Second Edition Copyright © 2007 John Wiley & Sons Ltd,
7. Business Continuity Management How to protect your company from danger MICHAEL GALLAGHER Pearson Education Limited 2003
8. www.bcmpedia.org/wiki/BCM_Body_of_Knowledge_(BCMBoK)
Информация о проекте на сайте Softline: services.softline.ru/security/upravleniya-ib
