BCP intro

18 ноября 2010 г.

Устойчивость систем и риски. Что важно знать ИТ- руководителю?«ALL OVER ANTIRISK IT» УСТОЙЧИВЫЕ СИСТЕМЫ И РИСКИ: ТРЕБОВАНИЯ. ОГРАНИЧЕНИЯ. ПРОБЛЕМЫВладимир Матвийчук, CISA, CISM, ITILF

18 ноября 2010 г. Страница 2

Зависимость работы процессов

Бизнес-процессыОборудование

Коммунальные услуги

Здания Персонал

Производители / поставщики услуг

ИТ системы / данные


Зачем компании необходимо планирование непрерывности бизнеса?

► Обеспечить немедленную и правильную реакцию в чрезвычайной ситуации► Защитить жизни людей и гарантировать их безопасность ► Минимизировать негативное влияние на бизнес компании► Возобновить выполнение критичных для бизнеса функций► Снизить беспорядок и неразбериху во время кризиса► Обеспечить выживание бизнеса компании► Обеспечить максимально быстрое восстановление функционирования после

аварии


Пять приоритетных направления деятельности в области безопасности на предстоящие 12 месяцев*

1%

1%

1%

1%

1%

2%

1%

2%

3%

3%

4%

5%

7%

7%

8%

10%

16%

28%

1%

2%

3%

3%

3%

3%

4%

4%

5%

5%

10%

10%

9%

12%

12%

11%

3%

4%

4%

3%

4%

5%

5%

7%

6%

4%

8%

7%

10%

10%

9%

9%

2%

1%

4%

4%

5%

6%

6%

6%

5%

9%

5%

4%

8%

6%

9%

7%

5%

7%

1%

1%

2%

6%

3%

5%

7%

7%

6%

3%

11%

5%

5%

7%

5%

9%

5%

4%

7%

Найм сотрудников информационной безопасностиУлучшение процессов расследования / борьбе с мошенничествомПередача функций информационной безопасности на аутсорсинг

Внедрение метрик информационной безопасности и отчетности по нимВнедрение или улучшение внутренних процессов разработки ПО

Планы и средства реакции на инцидентыОбеспечение безопасности новых технологий

Тестирование функции обеспечения информационной безопасностиТехнологии и процессы управления уязвимостями

Защита интеллектуальной собственностиРазработка внутренних программ повышения осведомленности и обучения …

Защита персональной информацииВнедрение стандартов безопасности (например, ISO/IEC 27002:2005)

Внедрение или совершенствование технологий и процессов управления доступом и …Соблюдение нормативных требований организацииУправление рисками информационной безопасности

Внедрение или совершенствование технологий и процессов по предотвращению …Соблюдение нормативных требований регуляторов

Планы и средства обеспечения восстановления после сбоев / непрерывности бизнеса

1й приоритет 2й приоритет 3й приоритет 4й приоритет 5й приоритет

* Результаты международного исследование в области информационной безопасности Ernst & Young за 2010 годВ исследовании принимали участие 1,598 компаний из 56 стран


Основные международные методологии и стандарты

Комплексные► BCI (Business Continuity Institute)

► методология GPG (Good Practice Guide)► 10 Standards BCI

► Стандарт BS 25999 (Управление непрерывностью бизнеса)► BS 25999-1 (Code of practice)► BS 25999-2 (Specification)

Только ИТ часть► NIST SP 800-34 (Руководство по планированию непрерывности для ИТ-

систем)► CobiT 4.1 (раздел «Обеспечение непрерывности услуг»)► ISO 27001 (раздел «Управление непрерывностью бизнеса»)► ITIL (раздел «Управление доступностью и непрерывностью»)Отраслевые► Постановление (№265) об обеспечении непрерывного функционирования

информационных систем Национального банка Украины и банков Украины


Перед началом

► Заручиться поддержкой руководства► Назначить координатора (обычно выделенный business continuity manager)► Сформировать комитет по планированию непрерывности из представителей

следующих подразделений:► Высшее руководство► Бизнес-подразделения► Департамент ИТ► Департамент безопасности► Департамент по связям с общественностью► Юридический департамент


Ключевые шаги при разработке плана обеспечения непрерывности бизнеса

Разработкастратегии

обеспечениянепрерывности

Тестирование,поддержка иизменение

Оценка угроз и рисков

Оценка влияниясбоев и

прерыванийна бизнес

Разработка планов

восстановленияпосле сбоев

Разработка плананепрерывности

бизнеса

Разработкапрограммы

антикризисного управления

Фаза 1 Фаза 2 Фаза 3 Фаза 4


Оценка влияния сбоев и прерываний на бизнес

► Определить приоритеты для всех критических процессов, функций, активов ИТ подразделения и описать профили устойчивости к простою для этих критичных ИТ процессов, функций и активов

► Определить области действия планов обеспечения непрерывности и целевое время восстановления для наиболее критичных ИТ процессов, функций и активов согласно их приоритету


Проанализировать сценарии, которые приведут к недоступности критичных компонентов

Бизнес-процессыОборудование

Коммунальные услуги

Здания Персонал

Производители / поставщики услуг

ИТ системы / данные


Пример оценки влияния сбоев и прерываний

Оценка ущерба для бизнесаДоступность

Знач. Вид ущерба

Уровень ущербаA-Очень высокий, B-Высокий, C-Средний, D-Низкий, E-Очень низкий

Длительность простояЧас День 2-3 дня Неделя Месяц

ФинансовыеF1 Потеря продаж, заказов или контрактов B B B A AF2 Потеря материальных активов E D C C CF3 Штрафные санкции / правовая ответственность E D C C CF4 Увеличение затрат E D C C B

Операционные O1 Потеря административного контроля E D C B BO2 Утрата конкурентного преимущества E D C C CO3 Задержка инвестиционных проектов E D B B AO4 Нарушение действующих процедур и политик E E E E E

Относящиеся к клиентуC1 Потеря покупателей или клиентов E D C C CC2 Потеря доверия ключевыми сторонами E D C C BC3 Задержки в поставках продукции E D C C CC4 Урон репутации E D C C C

Относящиеся к сотрудникуE1 Ущерб или смерть E E E E E

Общая оценка

Какой наибольший итоговый ущерб возможен в результате простоя системы? Час День 2-3 дня Неделя Месяц

C B B A A

Общая оценка

Какое время восстановления системы является критичным для бизнеса (например, временной промежуток, простой более которого является неприемлемым для бизнеса)?

Час День 2-3 дня Неделя Месяц

X


Показатели восстановления

► Срок восстановления (Recovery Time Objective, RTO) – максимальное время, за которое процесс (или система) должен быть восстановлен с обеспечением требуемого уровня качества

► Допустимый размер потерь информации (Recovery Point Objective, RPO) –максимальное время, потеря данных за которое допустима для данного бизнес процесса

Утерянная информация

Последняя резервная копия/

репликация

Системы и ресурсы недоступны

Восстановление с последней резервной копии и выполнение операций в очереди

Восстановление системы/ ресурса

RTO

Инцидент

RPO

Возобновление работы

Допустимый уровень операции

Потеря данных Потеря услуги


Оценка угроз и рисков

► Идентифицировать определенные события и угрозы, которые могут оказать негативное влияние на деятельность компании и ее ресурсы

► Определить последствия таких событий, а также высокоуровневые контроли, нацеленные на предотвращение или минимизацию потенциальных убытков

► Провести анализ последствий каждой из угроз и вычисление относительного веса (чем выше относительный вес угрозы, тем более критично наличие в стратегии ее минимизации)

► Провести оценку текущего состояния контролей, нацеленных на минимизацию выявленных угроз

► Разработать план по улучшению системы контролей и/или внедрению дополнительных контрольных мер


13

Разработка стратегии обеспечения непрерывности

Восстановление«с нуля»

«Холодная» площадка

«Горячая» площадка

Период простоя

Стоимость решения

Потери

«Теплая» площадка

День Дни НеделиЧасы


Разработка стратегии обеспечения непрерывности

► Разработать необходимое количество стратегических сценариев обеспечения непрерывности бизнеса, основываясь на категориях процессов, определенных в ходе анализа влияния на бизнес

► Провести оценку каждого из стратегических сценариев на основе предварительно определенных и согласованных критериев (таких как результаты анализа стоимости и выгод, осуществимости и т.д.)


Разработка плана обеспечения непрерывности

► Разработать план обеспечения непрерывности деятельности, который должен соответствовать выбранной стратегии и обеспечивать достижение целей восстановления в рамках установленного времени

► Разработать план восстановления работоспособности после сбоев


Содержание плана восстановления работоспособности

► Цель► Необходимые ресурсы► Требования к резервированию► Целевые временные рамки восстановления► Приоритеты► Количество пользователей системы► Информация о бизнес-владельцах и технических владельцах► Взаимосвязи с другими системами


Содержание плана обеспечения непрерывности

► Процедура инициирования► Постановка задачи► Структура плана обеспечения непрерывности деятельности► Детальные роли, обязанности, ответственность и квалификация персонала,

вовлеченного в процесс► Инструкции по оповещению, активации плана и эскалации► Поддержка плана в актуальном состоянии► Кризисное управление► Взаимодействие с соответствующими внешними сторонами


Тестирование, поддержка и изменение

► Разработать нормативную базу обеспечения непрерывности:► Политики и процедуры обеспечения непрерывности► Организационная структура

► Разработать нормативную базу для поддержания планов обеспечения непрерывности бизнеса в адекватном состоянии

► Провести тестирование планов и выполнять его в дальнейшем не реже раза в год


Что осталось «за кадром»

► Альтернативы собственным резервным площадкам► Арендованные ЦОДы► Распределенные системы и виртуализация► Облачные вычисления

► Вопросы обеспечения безопасности► Помещения, системы и т.д. на резервной площадке должны

соответствовать требованиям информационной безопасности► Сервисы информационной безопасности могут быть не доступны в

результате инцидента


Вопросы?

Спасибо за внимание!

Владимир Матвийчук, CISA, CISM, ITILFУслуги в области информационных технологий и ИТ рисков+38 (067) [email protected]

mailto:[email protected]

BCP intro

Documents

Transcript of BCP intro