Post on 14-Apr-2017
Стандарты и «лучшие практики» по ИБ. Часть 2.4
Стандарты серии ISO 22301
Прозоров Андрей 2014-05
Термин по ГОСТ
• Непрерывность бизнеса – стратегическая и тактическая особенность организации планировать свою работу в случае инцидентов и нарушения ее деятельности, направленная на обеспечение непрерывности деловых операций на установленном приемлемом уровне.
• МНБ – менеджмент непрерывности бизнеса
Зачем изучать НБ?
• Кто отвечает за непрерывность бизнеса? ИТ, ИБ, бизнес?
• А если произойдет крупный инцидент, то кто будет виноват?
• Классическая триада ИБ: к, ц, Д
• Комплексные стандарты ИБ содержат блок «непрерывность»
Если не планировать НБ
Где искать стандарты?
• ISO: – iso.org/iso/home.html
• ГОСТы: – gost.ru/wps/portal/pages.CatalogOfStandarts
– gostexpert.ru
– gostinfo.ru/PRI (здесь можно посмотреть текст документов)
Сокращения в названиях (ISO)
• Under development («в разработке») PWI-> NP or NWIP-> AWI-> WD-> CD-> FCD-> DIS-> FDIS-> PRF-> IS
– WD - Working Draft – CD - Committee Draft – DIS - Draft International Standard – … – IS - International Standard
• TR - Technical Report • PAS - Publicly Available Specification (Общедоступные
технические требования) • PD - Published Document (рекомендации) • BIP - Business Information Publication («Code of
Practice»)
«Классика» BS 25999
• BS 25999-1:2006 «Business continuity management Code of practice»
• BS NHS 25999-1:2009 «Business continuity management Part 1: Code of practice»
• BS 25999-2:2007 «Business continuity management. Specification»
BS 25999-2 -> ISO 22301 BS 25999-1 -> ISO 22313
Переход от BS 25999 к ISO 22301
http://shop.bsigroup.com/upload/22301-Transition-Guide.pdf
12 страниц
«Societal security» на ISO.org
ISO 2230k (базовые)
• ISO 22300:2012 «Societal security. Terminology»
• ISO 22301:2012 «Societal security. Business continuity management systems. Requirements»
• ISO 22313:2012 «Societal security. Business continuity management systems. Guidance»
Societal security (1)
• ISO/TR 22312:2011 «Societal security. Technological capabilities»
• ISO/FDIS 22315 «Societal security. Mass evacuation. Guidelines for planning»
• ISO/NP 22316 «Societal security. Organizational resilience. Principles and guidelines»
• ISO/WD 22317 «Societal security. Business continuity management systems. Business impact analysis (BIA)»
• ISO/WD TS 22318 «Societal Security. Business continuity management. Guidance for supply chain continuity»
Societal security (2)
• ISO 22320:2011 «Societal security. Emergency management. Requirements for incident response»
• ISO/DIS 22322 Societal security. Emergency management. Public warning»
• ISO/DIS 22324 «Societal security. Emergency management. Colour-coded alert»
• ISO/CD 22325 «Societal security. Emergency management. Guidelines for emergency management capability assessment»
• ISO/DTR 22351 «Societal security. Emergency management. Message structure for exchange of information»
• ISO/FDIS 22397 «Societal security. Guidelines for establishing partnering arrangements»
• ISO 22398:2013 «Societal security. Guidelines for exercises»
Прочие
• BS 25777:2008 «Information and communications
technology continuity management. Code of practice» • ISO/IEC 27031:2011 «Information technology. Security
techniques. Guidelines for information and communication technology readiness for business continuity»
• ISO/IEC 24762:2008 «Information technology. Security techniques. Guidelines for information and communications technology disaster recovery services»
• ISO 27001/27002-2013 … A.17 Information security aspects of business continuity management
PAS. Business continuity
• PAS 56:2003 «Guide to business continuity management» (£104.00/£52.00)
• PAS 77:2006 «IT Service Continuity Management. Code of
Practice» (£49.00)
• PAS 200:2011 «Crisis management. Guidance and good practice» (£100.00)
PD. Business continuity management
• PD 25111:2010 «Business continuity management. Guidance on human aspects of business continuity» (£100.00/£50.00)
• PD 25222:2011 «Business continuity management. Guidance on supply chain continuity» (£100.00/£50.00)
• PD 25666:2010 «Business continuity management. Guidance on exercising and testing for continuity and contingency programmes» (£100.00/£50.00)
• PD 25888:2011 «Business continuity management. Guidance on organization recovery following disruptive incidents» (£100.00/£50.00)
BIP. Business continuity
• BIP 2020:2013 «The business improvement handbook» (£40.00)
• BIP 2121:2006 «A Risk management approach to business continuity. Aligning business continuity with corporate governance» (£55.00)
• BIP 2139:2007 «Principles and practices of business continuity: Tools and techniques» (£55.00)
• BIP 2217:2011 «Business continuity management for small and medium sized enterprises How to survive a major disaster or failure» (£27.00)
• BIP 2214:2011 «A practical approach to business impact analysis Understanding the organization through business continuity management» (£37.00)
А еще в РФ есть ГОСТы…
ГОСТы (1)
• ГОСТ Р 53647.1-2009 «Менеджмент непрерывности бизнеса. Часть 1. Практическое руководство»
• ГОСТ Р 53647.2-2009 «Менеджмент непрерывности бизнеса. Часть 2. Требования
• ГОСТ Р 53647.3-2010 «Менеджмент непрерывности бизнеса. Часть 3. Руководство по внедрению»
• ГОСТ Р 53647.4-2011 «Менеджмент непрерывности бизнеса. Руководящие указания по обеспечению готовности к инцидентам и непрерывности деятельности»
ГОСТы (2)
• ГОСТ Р 53647.5-2012 «Менеджмент непрерывности бизнеса. Готовность к опасным ситуациям и инцидентам»
• ГОСТ Р 53647.6-2012 «Менеджмент непрерывности бизнеса. Требования к системе менеджмента персональной информации для обеспечения защиты данных»
• ГОСТ Р 53647.8-2013 «Менеджмент непрерывности бизнеса. Управление человеческими ресурсами»
• ГОСТ Р 53647.9-2013 «Менеджмент непрерывности бизнеса. Управление организацией в условиях кризиса»
ГОСТы (3)
• ГОСТ Р 55235.1-2012 «Практические аспекты менеджмента непрерывности бизнеса. Менеджмент активов. Требования к оптимальному управлению производственными активами»
• ГОСТ Р 55235.2-2012 «Практические аспекты менеджмента непрерывности бизнеса. Менеджмент активов. Руководство по применению требований к оптимальному управлению производственными активами»
• ГОСТ Р 55235.2-2012 «Практические аспекты менеджмента непрерывности бизнеса. Менеджмент активов. Руководство по применению требований к оптимальному управлению производственными активами»
• ГОСТ Р ИСО/МЭК 27031-2012 «Информационная технология. Методы и средства обеспечения безопасности. Руководство по готовности информационно-коммуникационных технологий к обеспечению непрерывности бизнеса»
Основные идеи
Этапы жизненного цикла МНБ
• Персонал • Площади • Технологии • Информация • Запасы • 3и стороны
• Цели • Область действия
(критичные виды деятельности)
• Анализ угроз
Основная идея НБ
• Риски • Время
восстановления
Документация (1)
1. Политика 2. Анализ воздействия на бизнес (BIA) 3. Оценка риска 4. Стратегия
Документация (2)
5. Программа обеспечения компетентности
6. Программа обучения
7. Планы управления инцидентами
8. Планы обеспечения непрерывности
9. Планы восстановления
10.График и программа учений
11.Соглашения и договоры
Развитие инцидента во времени
RTO и RPO
RTO (Recovery Time Objective) – Целевое
время восстановления
RЗO (Recovery Point Objective) – Целевая точка
восстановления
Процесс восстановления