BCP intro
-
Upload
vladimir-matviychuk -
Category
Documents
-
view
4 -
download
0
description
Transcript of BCP intro
18 ноября 2010 г.
Устойчивость систем и риски. Что важно знать ИТ- руководителю?«ALL OVER ANTIRISK IT» УСТОЙЧИВЫЕ СИСТЕМЫ И РИСКИ: ТРЕБОВАНИЯ. ОГРАНИЧЕНИЯ. ПРОБЛЕМЫВладимир Матвийчук, CISA, CISM, ITILF
18 ноября 2010 г. Страница 2
Зависимость работы процессов
Бизнес-процессыОборудование
Коммунальные услуги
Здания Персонал
Производители / поставщики услуг
ИТ системы / данные
18 ноября 2010 г. Страница 3
Зачем компании необходимо планирование непрерывности бизнеса?
► Обеспечить немедленную и правильную реакцию в чрезвычайной ситуации► Защитить жизни людей и гарантировать их безопасность ► Минимизировать негативное влияние на бизнес компании► Возобновить выполнение критичных для бизнеса функций► Снизить беспорядок и неразбериху во время кризиса► Обеспечить выживание бизнеса компании► Обеспечить максимально быстрое восстановление функционирования после
аварии
18 ноября 2010 г. Страница 4
Пять приоритетных направления деятельности в области безопасности на предстоящие 12 месяцев*
1%
1%
1%
1%
1%
2%
1%
2%
3%
3%
4%
5%
7%
7%
8%
10%
16%
28%
1%
2%
3%
3%
3%
3%
4%
4%
5%
5%
10%
10%
9%
12%
12%
11%
3%
4%
4%
3%
4%
5%
5%
7%
6%
4%
8%
7%
10%
10%
9%
9%
2%
1%
4%
4%
5%
6%
6%
6%
5%
9%
5%
4%
8%
6%
9%
7%
5%
7%
1%
1%
2%
6%
3%
5%
7%
7%
6%
3%
11%
5%
5%
7%
5%
9%
5%
4%
7%
Найм сотрудников информационной безопасностиУлучшение процессов расследования / борьбе с мошенничествомПередача функций информационной безопасности на аутсорсинг
Внедрение метрик информационной безопасности и отчетности по нимВнедрение или улучшение внутренних процессов разработки ПО
Планы и средства реакции на инцидентыОбеспечение безопасности новых технологий
Тестирование функции обеспечения информационной безопасностиТехнологии и процессы управления уязвимостями
Защита интеллектуальной собственностиРазработка внутренних программ повышения осведомленности и обучения …
Защита персональной информацииВнедрение стандартов безопасности (например, ISO/IEC 27002:2005)
Внедрение или совершенствование технологий и процессов управления доступом и …Соблюдение нормативных требований организацииУправление рисками информационной безопасности
Внедрение или совершенствование технологий и процессов по предотвращению …Соблюдение нормативных требований регуляторов
Планы и средства обеспечения восстановления после сбоев / непрерывности бизнеса
1й приоритет 2й приоритет 3й приоритет 4й приоритет 5й приоритет
* Результаты международного исследование в области информационной безопасности Ernst & Young за 2010 годВ исследовании принимали участие 1,598 компаний из 56 стран
18 ноября 2010 г. Страница 5
Основные международные методологии и стандарты
Комплексные► BCI (Business Continuity Institute)
► методология GPG (Good Practice Guide)► 10 Standards BCI
► Стандарт BS 25999 (Управление непрерывностью бизнеса)► BS 25999-1 (Code of practice)► BS 25999-2 (Specification)
Только ИТ часть► NIST SP 800-34 (Руководство по планированию непрерывности для ИТ-
систем)► CobiT 4.1 (раздел «Обеспечение непрерывности услуг»)► ISO 27001 (раздел «Управление непрерывностью бизнеса»)► ITIL (раздел «Управление доступностью и непрерывностью»)Отраслевые► Постановление (№265) об обеспечении непрерывного функционирования
информационных систем Национального банка Украины и банков Украины
18 ноября 2010 г. Страница 6
Перед началом
► Заручиться поддержкой руководства► Назначить координатора (обычно выделенный business continuity manager)► Сформировать комитет по планированию непрерывности из представителей
следующих подразделений:► Высшее руководство► Бизнес-подразделения► Департамент ИТ► Департамент безопасности► Департамент по связям с общественностью► Юридический департамент
18 ноября 2010 г. Страница 7
Ключевые шаги при разработке плана обеспечения непрерывности бизнеса
Разработкастратегии
обеспечениянепрерывности
Тестирование,поддержка иизменение
Оценка угроз и рисков
Оценка влияниясбоев и
прерыванийна бизнес
Разработка планов
восстановленияпосле сбоев
Разработка плананепрерывности
бизнеса
Разработкапрограммы
антикризисного управления
Фаза 1 Фаза 2 Фаза 3 Фаза 4
18 ноября 2010 г. Страница 8
Оценка влияния сбоев и прерываний на бизнес
► Определить приоритеты для всех критических процессов, функций, активов ИТ подразделения и описать профили устойчивости к простою для этих критичных ИТ процессов, функций и активов
► Определить области действия планов обеспечения непрерывности и целевое время восстановления для наиболее критичных ИТ процессов, функций и активов согласно их приоритету
18 ноября 2010 г. Страница 9
Проанализировать сценарии, которые приведут к недоступности критичных компонентов
Бизнес-процессыОборудование
Коммунальные услуги
Здания Персонал
Производители / поставщики услуг
ИТ системы / данные
18 ноября 2010 г. Страница 10
Пример оценки влияния сбоев и прерываний
Оценка ущерба для бизнесаДоступность
Знач. Вид ущерба
Уровень ущербаA-Очень высокий, B-Высокий, C-Средний, D-Низкий, E-Очень низкий
Длительность простояЧас День 2-3 дня Неделя Месяц
ФинансовыеF1 Потеря продаж, заказов или контрактов B B B A AF2 Потеря материальных активов E D C C CF3 Штрафные санкции / правовая ответственность E D C C CF4 Увеличение затрат E D C C B
Операционные O1 Потеря административного контроля E D C B BO2 Утрата конкурентного преимущества E D C C CO3 Задержка инвестиционных проектов E D B B AO4 Нарушение действующих процедур и политик E E E E E
Относящиеся к клиентуC1 Потеря покупателей или клиентов E D C C CC2 Потеря доверия ключевыми сторонами E D C C BC3 Задержки в поставках продукции E D C C CC4 Урон репутации E D C C C
Относящиеся к сотрудникуE1 Ущерб или смерть E E E E E
Общая оценка
Какой наибольший итоговый ущерб возможен в результате простоя системы? Час День 2-3 дня Неделя Месяц
C B B A A
Общая оценка
Какое время восстановления системы является критичным для бизнеса (например, временной промежуток, простой более которого является неприемлемым для бизнеса)?
Час День 2-3 дня Неделя Месяц
X
18 ноября 2010 г. Страница 11
Показатели восстановления
► Срок восстановления (Recovery Time Objective, RTO) – максимальное время, за которое процесс (или система) должен быть восстановлен с обеспечением требуемого уровня качества
► Допустимый размер потерь информации (Recovery Point Objective, RPO) –максимальное время, потеря данных за которое допустима для данного бизнес процесса
Утерянная информация
Последняя резервная копия/
репликация
Системы и ресурсы недоступны
Восстановление с последней резервной копии и выполнение операций в очереди
Восстановление системы/ ресурса
RTO
Инцидент
RPO
Возобновление работы
Допустимый уровень операции
Потеря данных Потеря услуги
18 ноября 2010 г. Страница 12
Оценка угроз и рисков
► Идентифицировать определенные события и угрозы, которые могут оказать негативное влияние на деятельность компании и ее ресурсы
► Определить последствия таких событий, а также высокоуровневые контроли, нацеленные на предотвращение или минимизацию потенциальных убытков
► Провести анализ последствий каждой из угроз и вычисление относительного веса (чем выше относительный вес угрозы, тем более критично наличие в стратегии ее минимизации)
► Провести оценку текущего состояния контролей, нацеленных на минимизацию выявленных угроз
► Разработать план по улучшению системы контролей и/или внедрению дополнительных контрольных мер
18 ноября 2010 г. Страница 13
13
Разработка стратегии обеспечения непрерывности
Восстановление«с нуля»
«Холодная» площадка
«Горячая» площадка
Период простоя
Стоимость решения
Потери
«Теплая» площадка
День Дни НеделиЧасы
18 ноября 2010 г. Страница 14
Разработка стратегии обеспечения непрерывности
► Разработать необходимое количество стратегических сценариев обеспечения непрерывности бизнеса, основываясь на категориях процессов, определенных в ходе анализа влияния на бизнес
► Провести оценку каждого из стратегических сценариев на основе предварительно определенных и согласованных критериев (таких как результаты анализа стоимости и выгод, осуществимости и т.д.)
18 ноября 2010 г. Страница 15
Разработка плана обеспечения непрерывности
► Разработать план обеспечения непрерывности деятельности, который должен соответствовать выбранной стратегии и обеспечивать достижение целей восстановления в рамках установленного времени
► Разработать план восстановления работоспособности после сбоев
18 ноября 2010 г. Страница 16
Содержание плана восстановления работоспособности
► Цель► Необходимые ресурсы► Требования к резервированию► Целевые временные рамки восстановления► Приоритеты► Количество пользователей системы► Информация о бизнес-владельцах и технических владельцах► Взаимосвязи с другими системами
18 ноября 2010 г. Страница 17
Содержание плана обеспечения непрерывности
► Процедура инициирования► Постановка задачи► Структура плана обеспечения непрерывности деятельности► Детальные роли, обязанности, ответственность и квалификация персонала,
вовлеченного в процесс► Инструкции по оповещению, активации плана и эскалации► Поддержка плана в актуальном состоянии► Кризисное управление► Взаимодействие с соответствующими внешними сторонами
18 ноября 2010 г. Страница 18
Тестирование, поддержка и изменение
► Разработать нормативную базу обеспечения непрерывности:► Политики и процедуры обеспечения непрерывности► Организационная структура
► Разработать нормативную базу для поддержания планов обеспечения непрерывности бизнеса в адекватном состоянии
► Провести тестирование планов и выполнять его в дальнейшем не реже раза в год
18 ноября 2010 г. Страница 19
Что осталось «за кадром»
► Альтернативы собственным резервным площадкам► Арендованные ЦОДы► Распределенные системы и виртуализация► Облачные вычисления
► Вопросы обеспечения безопасности► Помещения, системы и т.д. на резервной площадке должны
соответствовать требованиям информационной безопасности► Сервисы информационной безопасности могут быть не доступны в
результате инцидента
18 ноября 2010 г. Страница 20
Вопросы?
Спасибо за внимание!
Владимир Матвийчук, CISA, CISM, ITILFУслуги в области информационных технологий и ИТ рисков+38 (067) [email protected]