воскресенье, 17 октября 2010 г.

ISSP \ Домен 07. Непрерывность бизнеса и восстановление после аварий. Часть 1

В этой части рассмотрены следующие вопросы:
  • Непрерывность бизнеса и восстановление после аварий
  • Шаги планирования непрерывности бизнеса
  • BCP как часть Политики и Программы безопасности
  • Инициирование проекта

Мы не можем подготовиться к каждой потенциальной возможности, что доказали недавние события. В 2005 году ураган Катрина причинил огромный ущерб, он не просто затронул бизнес – были уничтожены многие здания, погибло много людей. Катастрофическое цунами в Индийском океане, произошедшее в декабре 2004 года, было полной неожиданностью. Падение башен Всемирного торгового центра после атаки террористов нарушило планы многих компаний, жителей США, правительства и даже всего мира – для большинства это было просто невообразимо. Каждый год тысячи компаний страдают от наводнений, пожаров, торнадо, террористических атак, вандализма. Все компании без исключений могут столкнуться с такими событиями, но лишь немногие пытаются подготовиться к ним, оценивают потенциальные последствия, внедряют необходимые защитные меры. Большинство компаний, в которых происходят подобные события, прекращают свое существование, поэтому всем компаниям следует подготовиться и иметь необходимые средства и процедуры специально для таких случаев.

Прибыль любой компании и ее существование на рынке зависят от ресурсов, персонала и непрерывного выполнения ежедневных задач. У большинства компаний есть материальные ресурсы, интеллектуальная собственность, компьютеры, коммуникационные каналы, здания. Если хотя бы что-то одно из этого перечня повреждено или недоступно по той или иной причине, компании может быть нанесен ущерб. Если повреждено или недоступно более одного пункта из этого списка, в компании может возникнуть чрезвычайная ситуация. Если чрезвычайная ситуация продолжается длительное время, это может стать катастрофой для компании. Многие компании уже никогда не восстанавливаются после катастроф. Однако компании, которые надлежащим образом подготовились к ним, и «не держат все яйца в одной корзине», имеют гораздо больше шансов продолжить свой бизнес и остаться на рынке после чрезвычайной ситуации или катастрофы.


Целью восстановления после аварий (disaster recovery) является снижение влияния аварии и выполнение шагов, необходимых для максимально быстрого восстановления деятельности компании, доступности необходимых для этого ресурсов, бизнес-процессов и персонала. Это отличается от планирования непрерывности (continuity planning), которое относится к методам и процедурам, связанным с длительными простоями и авариями. Целью плана DRP (disaster recovery plan – план восстановления после аварий) является выполнение правильных действий сразу после возникновения аварии; обычно план DRP связан в первую очередь с информационными технологиями.

Работа по плану DRP выполняется, пока что-то находится в аварийном состоянии, и кто-то работает над тем, чтобы вернуть все критичные системы в нормальную работу. BCP (business continuity plan – план обеспечения непрерывности бизнеса) использует более широкий подход к этой проблеме. Работа по плану BCP включает перевод критичных систем в другую среду на время восстановления основной среды, обеспечение наличия нужных людей на нужных местах, выполнение основной деятельности компании в аварийном режиме, пока не будут восстановлены обычные условия. BCP также может включать в себя взаимодействие с клиентами, партнерами и акционерами с помощью различных каналов, пока все не вернется в нормальное состояние. DRP отвечает на вопрос: «О, ужас! Небеса упали на землю! Как мы будем ставить их на место?», а BCP отвечает на другой вопрос: «Итак, небеса упали на землю. Как наша компания будет продолжать свою деятельность, чтобы остаться на рынке, пока кто-то будет ставить небеса на место?».

Тема доступности, целостности и конфиденциальности проходит различные Домены этой книги. Каждый Домен по-свому рассматривает эти компоненты безопасности. Например, в Домене 02, когда мы обсуждали управление доступом, понятие доступности означало, что ресурс должен быть доступен для использования пользователями и субъектами контролируемым и безопасным образом. Средства управления доступом должны защищать целостность и/или конфиденциальность ресурса. Фактически, средство управления доступом должно выполнять множество шагов для обеспечения конфиденциальности ресурса и отсутствия возможности несанкционированного изменения его содержимого в процессе использования. В этом Домене мы будем говорить о том, что целостность и конфиденциальность должны обеспечиваться не только при выполнении повседневных процедур, но и при выполнении процедур в случае возникновения аварии. Например, не следует оставлять без контроля сервер, на котором хранится конфиденциальная информация, когда все покинули здание, в котором он находится, и перешли в другое здание.

Также, важно отметить, что компания при возникновении аварии или чрезвычайной ситуации может стать значительно более уязвимой, поскольку используемые для ее защиты сервисы безопасности могут оказаться недоступны или работать с ограниченными возможностями. Поэтому для компании, которая имеет множество различных секретов, очень важно обеспечить конфиденциальность и целостность данных и систем даже в случае, если люди и сама компания находятся в сложном положении. Доступность – это один из основных аспектов планирования непрерывности бизнеса, требуется обеспечить гарантии постоянной доступности критичных ресурсов людям и системам, которым они необходимы. Для этого может потребоваться надлежащее выполнение резервного копирования, обеспечение избыточности в архитектуре систем, сетей и выполняемой деятельности. На случай недоступности коммуникационных каналов в течение длительного периода времени, должен существовать быстрый и проверенный способ создания альтернативных коммуникаций и связанных с ними сервисов.

При планировании непрерывности бизнеса, некоторые компании уделяют основное внимание вопросам резервного копирования и обеспечении избыточности используемого оборудования. Хотя эти вещи безусловно очень важны, они являются лишь маленькой частью огромной картины функционирования компании. Компьютеры и оборудование бесполезны без людей, которые настроят их и которые будут работать на них, а данные обычно бесполезны, если они недоступны другим системам и, возможно, внешним субъектам. Поэтому, картина совместной работы всех процессов в рамках всей компании должна быть изучена и понятна перед началом планирования непрерывности бизнеса. Планирование должно включать в себя, в частности, обеспечение наличия нужных людей на нужных местах, документирование необходимых конфигураций, создание альтернативных коммуникационных каналов (для голоса и данных), обеспечение резервного электроснабжения. Для этого необходима уверенность в том, что все зависимости и взаимосвязи, включая процессы и приложения, полностью понятны и учтены. Например, может оказаться невозможным восстановить работу критичного сервера приложения, если в сети недоступен контроллер домена или DNS-сервер.

Также важно понять, каким образом автоматизированные задачи при необходимости можно выполнять вручную, какие изменения можно безопасно произвести в организации бизнес-процессов для продолжения выполнения критичных для компании операций в чрезвычайной ситуации. Это может быть крайне важным для обеспения уверенности, что компания сможет выжить при воздействии неблагоприятных обстоятельств, а их влияние на бизнес компании будет минимальным. Без понимания этих вопросов и надлежащего планирования, может оказаться, что в чрезвычайной ситуации у компании есть и резервные копии данных, и физически доступные отказоустойчивые сервера на альтернативной площадке, но люди, ответственные за введение их в работу, могут находиться в шоковом состоянии, и не знать, с чего начать и как выполнять обычную работу в альтернативной среде.
Планирование непрерывности бизнеса. Заранее запланированные процедуры позволяют компании:
  • Обеспечить немедленную и правильную реакцию в чрезвычайной ситуации
  • Защитить жизни людей и гарантировать их безопасность
  • Минимизировать негативное влияние на бизнес компании
  • Возобновить выполнение критичных для бизнеса функций
  • Воспользоваться услугами внешних поставщиков на период восстановления
  • Снизить беспорядок и неразбериху во время кризиса
  • Обеспечить выживание бизнеса компании
  • Обеспечить максимально быстрое восстановление функционирования после аварии
Должны быть приняты, в частности, следующие решения:
  • Позволить бизнес-партнерам знать о готовности вашей компании к чрезвычайным ситуациям
  • Повысить доверие со стороны акционеров и правления информированием их о готовности к чрезвычайным ситуациям
  • Выполнить требования отраслевых регуляторов в области ВСР (при наличии таких требований)

Хотя нет четкого маршрута, по которому нужно пройти для создания плана BCP, время от времени появляются различные лучшие практики на этот счет. В частности, NIST (National Institute of Standards and Technology - Национальный институт стандартов и технологий США) отвечает за разработку лучших практик и обеспечение общего доступа к ним. NIST предусмотрел следующие шаги в документе SP 800-34 «Руководство по планированию непрерывности для ИТ-систем» (http://csrc.nist.gov/publications/nistpubs/800-34-rev1/sp800-34-rev1.pdf):
  1. Разработать политику планирования непрерывности бизнеса (continuity planning policy statement). Написать политику, которая будет содержать необходимые руководящие принципы для разработки плана ВСР и определит необходимые ролям полномочия для выполнения возложенных на них задач.
  2. Провести Анализ воздействия на бизнес (BIA – business impact analysis). Идентифицировать критичные функции и системы, категорировать (приоритезировать) их на основе степени их критичности. Выявить уязвимости и угрозы, рассчитать риски.
  3. Определить превентивные защитные меры. После выявления угроз, выбрать и внедрить защитные меры и контроли для снижения уровня рисков компании экономически целесообразным способом.
  4. Разработать стратегии восстановления (recovery strategy). Описать методы, обеспечивающие оперативное восстановление работоспособности критичных систем и функций.
  5. Разработать план действий на случай чрезвычайных ситуаций (contingency plan). Описать процедуры, разработать руководства, которые обеспечат продолжение функционирования компании в аварийном состоянии.
  6. Протестировать план, провести тренинги и учения. Проверить план для выявления недостатков в нем, провести тренинги и учения для надлежащей подготовки людей к выполнению задач на случай чрезвычайной ситуации.
  7. Поддерживать актуальность плана. Предпринять шаги для своевременной актуализации плана.
В различных руководствах и планах компаний предусматриваются шаги, аналогичные указанным в SP800-34, но они иногда используют несколько иную терминологию. Например, (ISC)2 использует следующие шаги:
  1. Инициирование проекта
  2. BIA
  3. Стратегия восстановления
  4. Проектирование и разработка плана
  5. Внедрение
  6. Тестирование
  7. Постоянная поддержка
Сначала нужно понять, как работает компания. Компания не может рассчитывать на восстановление процессов после аварии, если у нее нет хорошего понимания того, как она (компания) работает. Это может показаться абсурдным на первый взгляд. Вы можете подумать: «Ну, конечно же, компания прекрасно знает как она работает!». Но вы будете удивлены тем, как на самом деле сложно полностью понимать на детальном (низком) уровне работу компании, детальные требования к воссозданию низкоуровневых процессов при необходимости. Каждый сотрудник компании знает и понимает свою маленькую часть общей работы компании, но изучить и полностью понять работу всех и каждого из бизнес-процессов компании – крайне сложная задача для любой компании. В задачи этой книги не входит детальное рассмотрение бизнес-процессов и корпоративной архитектуры, вы можете посмотреть хорошую модель здесь: www.intervista-institute.com/resources/zachman-poster.html. Это один из самых всеобъемлющих подходов к пониманию архитектуры компании и всех частей, из которых она состоит. Эта модель разбивает корпоративную архитектуру компании на ключевые компоненты, чтобы показать всевозможные требования к каждому бизнес-процессу. Она рассматривает такие компоненты инфраструктуры компании, как данные, функции, сети, персонал, время, мотивация, а также их взаимосвязь с ролями в компании. Преимущество этой модели состоит в том, что она разбивает бизнес-процессы до уровня атомов и показывает существующие взаимозависимости, каждая из которых должна работать надлежащим образом для эффективной и результативной работы процессов.

Модель на приведенной выше ссылке может помочь компании классифицировать различные корпоративные компоненты. На том же сайте содержатся и другие ресурсы, относящиеся к этой модели. Эта модель может оказаться очень полезной для команды ВСР, она может помочь понять ключевые компоненты компании, обеспечить уверенность что работа компании может быть воссоздана при необходимости.

Необходимые для реализации процесса планирования непрерывности бизнеса шаги показаны на Рисунке 7-1.

Рисунок 7-1. Составляющие процесса разработки плана непрерывности бизнеса

Хотя документ NIST SP800-34 относится к планам действий на случай чрезвычайных ситуаций в ИТ, те же шаги применимы для планирования непрерывности бизнеса в масштабах всей компании. В этом Домене рассмотрены эти шаги, позволяющие создать эффективный и полезный план ВСР.

Ссылки по теме:


Как было указано в Домене 01, каждая компания должна иметь политики безопасности, процедуры, стандарты и руководства. Наличие всех этих документов является частью хорошо управляемой среды, и дает преимущества с точки зрения функционирования и экономии средств. Все вместе они обеспечивают основу для программы безопасности компании. Эта программа также необходима для «выживания» компании. Поскольку в компании время от времени происходят изменения, следует обеспечить поддержание актуальности, выполнимости и эффективности программы безопасности.

Непрерывность бизнеса должна быть частью программы безопасности, должна учитываться при принятии бизнес-решений, а не просто упоминаться где-то в стороне. При ее надлежащей интеграции с процессами управления изменениями, обеспечивается возможность ее постоянной актуализаии и совершенствования. Непрерывность бизнеса является фундаментальной частью эффективной программы безопасности, поэтому очень важно убедиться в их соответствии друг другу.

Очень важным вопросом при первичной разработке плана ВСР является вопрос – зачем он разрабатывается. Может показаться, что ответ на этот вопрос очевиден, но это не всегда так. Можно предположить, что причиной является потребноть в плане на случай непредвиденной ситуации, позволяющем быстро и безопасно обеспечить возможность продолжения персоналом выполнения своих задач, но истинные причины часто являются несколько иными. Зачем работает большинство компаний? Чтобы зарабатывать деньги и получать прибыль. А раз это обычно является основной целью бизнеса, значит ВСР должна разрабатываться для помощи компании в получении прибыли и поддержании необходимых для этого процессов. Основной причиной разработки плана BCP является снижение рисков финансовых потерь посредством реализации способности компании быстро восстановиться и продолжить работу. Целью является минимизация влияния аварий и чрезвычайных ситуаций.

Не все компании работают для получения прибыли. Например, правительственные и военные службы, некоммерческие организации и т.п., существуют для обеспечения защиты или предоставления услуг государству или обществу. Таким образом, одни компании должны создавать свои планы ВСР для обеспечения непрерывного получения доходов, чтобы остаться на рынке, другие компании должны создавать ВСР для обеспечения выполнения возложенных на них важных задач. Хотя сферы внимания и бизнес-драйверы таких компаний могут отличаться, их планы ВСР часто имеют похожую структуру, обеспечивающую возможность восстановления работы их критичных процессов.

Обеспечить защиту самого важного для компании гораздо сложнее, если это «самое важное» не было предварительно идентифицировано. К этой задаче обычно привлекается высшее руководство компании, поскольку оно видит далеко вперед, дальше любого функционального руководителя, сосредоточенного на той области, за которую он отвечает. Бизнес-план компании обычно определяет миссию компании и критичные бизнес-функции. Для этих функций должны быть установлены приоритеты, указывающие, какие из них более критичны для выживания компании.

Для многих компаний наиболее критичными являются финансовые операции. Например, на автомобильную компанию значительно больше влияния окажет остановка на день работы ее финансовых служб, чем остановка на день ее сборочной линии. Для других компаний наиболее критичной областью может быть, например, клиентские службы.

При планировании действий в чрезвычайных ситуациях, учитываются предполагаемые и прогнозируемые проблемы. Однако может возникнуть и множество других проблем, которые не были учтены в этом плане, поэтому одним из наиболее важных свойств плана является его гибкость. План реализует систематический подход, предоставляя список действий, которые должны быть выполнены в случае чрезвычайной ситуации. План направлен на повышение эффективности и результативности выполнения необходимых работ в опасной ситуации.

Самым критичным аспектом при создании и поддержке актуальности плана непрерывности, является поддержка руководства. Руководство должно быть уверено в необходимости наличия этого плана. Должна существовать потребность бизнеса в получении и поддержке этого плана. Потребность бизнеса может быть вызвана наличием уязвимостей, требованиями регуляторов и законодательства, текущим состоянием планов восстановления и рекомендациями. Руководство сосредоточено главным образом на вопросах доходов и расходов, поэтому должно быть сделаны предварительные оценки и рассчитаны потенциальные потери. Решение о том, как компании следует восстанавливаться – это полностью бизнес-решение, и это всегда должно быть только так.


Сначала давайте разберемся с этапом инициирования проекта. На этом этапе компании нужно понять, что она делает и зачем.

После получения надлежащей поддержки руководства, должен быть определен координатор по непрерывности бизнеса (business continuity coordinator). Это руководитель команды ВСР, он будет руководить разработкой, тестированием и внедрением планов непрерывности и восстановления после аварий. Желательно, чтобы этот человек обладал хорошими коммуникативными и «политическими» навыками, а также имел достаточно времени для выполнения своих обязанностей в рамках этой роли, поскольку он должен будет координировать деятельность множества различных подразделений. Этот человек должен иметь возможность напрямую обращаться к руководству, уметь убеждать и иметь полномочия для выполнения своих руководящих задач.

Руководителю нужна команда, для этого следует организовать Комитет по ВСР. Руководство и координатор должны совместно отобрать квалифицированных людей для работы в этом Комитете. Команда должна быть составлена из людей, находящихся в хороших отношениях с различными подразделениями компании, поскольку каждое подразделение имеет уникальные функции, а также свои особые риски и угрозы. Желательно все проблемы и угрозы проработать, обсудить с заинтересованными лицами и свести в одну таблицу. Представители от каждого подразделения должны быть привлечены к этой работе не только на этапе планирования, но и на этапах тестирования и реализации. Также следует обеспечить, чтобы в разработке плана BCP участвовали люди, которым предстоит выполнять его. Если необходимо, чтобы в критической ситуации люди выполнили определенные задачи, следует особо обратить на это их внимание на этапах планирования и тестирования.

Как минимум, в Комитет должны войти представители следующих подразделений:
  • Бизнес-подразделения
  • Высшее руководство
  • Департамент ИТ
  • Департамент безопасности
  • Департамент по связям с общественностью
  • Юридический департамент

После этого команда совместно с руководством должна проработать конечные цели плана, определить критичные для бизнеса аспекты, которые должны быть учтены в первую очередь при возникновении чрезвычайной ситуации, а также определить приоритеты подразделений и задач. Руководство должно напрямую оказывать помощь команде при определении границ проекта и конкретизации его целей. Казалось бы, что границы и цели проекта очевидны – нужно защитить компанию. Но на самом деле все не так просто. Предполагается, что команда должна разработать план ВСР для одного офиса компании или для всех? Должны ли быть учтены широкомасштабные угрозы, такие, как ураганы, торнадо, наводнения, террористические акты, либо достаточно будет учесть только локальные проблемы, например, неработоспособность коммуникационного канала, нарушение электроснабжения, отсутствие интернет-соединения? Каков профиль угроз для компании? Ведь если границы проекта не определены надлежащим образом, как вы узнаете, что проект завершен?
ПРИМЕЧАНИЕ. Большинство компаний включает в область проекта по разработке плана ВСР только широкомасштабные угрозы. Небольшие локальные угрозы покрываются независимыми планами действий на случай аварий и чрезвычайных ситуаций на уровне отдельных подразделений.
На этом этапе, команда совместно с руководством должна разработать политику планирования непрерывности бизнеса (continuity planning policy statement). Эта политика должна определить границы проекта ВСР, роли членов команды и цели проекта. Обычно этот документ описывает, что должно быть сделано после переговоров команды с руководством и достижения соглашения по срокам проекта. Этот документ должен быть одобрен руководством, чтобы гарантировать отсутствие предположений и недомолвок, принятие достигнутых соглашений всеми участниками.

Затем координатору проекта ВСР нужно воспользоваться нексколькими хорошими, проверенными навыками управления проектами (см. Таблицу 7-1). При разработке плана проекта, должны быть учтены следующие вопросы:
  • Связь целей с задачами
  • Связь ресурсов с задачами
  • Промежуточные итоги
  • Сметы затрат
  • Факторы успеха
  • Сроки
Таблица 7-1. Шаги, которые должны быть задокументированы и приняты

После разработки плана проекта, его следует направить руководству для формального утверждения. Работа по плану должна начаться только после его утверждения. Очень важно, чтобы в этом плане не было предположений, и чтобы координатору было предоставлено официальное разрешение на использование необходимых для проекта ресурсов. Только после этого можно двигаться дальше.

2 комментария:

Joy комментирует...

Пожалуйста добавьте кнопочку
"Стать постоянным читателем"... очень интересный материал...
спасибо)))

eagle комментирует...

Пожалуйста :)
Добавил