Мера и средство контроля и управления
Следует поддерживать единую структуру планов непрерывности бизнеса, чтобы обеспечить уверенность в том, что все планы согласованы в соответствии с рассматриваемыми требованиями информационной безопасности и установленными приоритетами для тестирования и обслуживания.
Рекомендация по реализации
В каждом плане обеспечения непрерывности бизнеса должен описываться подход к обеспечению непрерывности, например подход к обеспечению уверенности в доступности и безопасности информации или информационных систем. Каждый план должен определять план эскалации (расширения) и условия активизации, а также лиц, ответственных за выполнение каждого пункта плана. При появлении новых требований любые существующие процедуры на случай чрезвычайных ситуаций, например планы эвакуации или меры по переходу на аварийный режим, при необходимости следует корректировать. Процедуры должны быть включены в программу менеджмента изменений организации с целью обеспечения уверенности в том, что вопросы обеспечения непрерывности бизнеса рассматриваются всегда соответствующим образом.
Каждый план должен иметь определенного владельца. Процедуры на случай чрезвычайных ситуаций, планы по переходу на аварийный режим, планы по возобновлению следует включать в сферу ответственности владельцев соответствующих ресурсов бизнеса или вовлеченных процессов. Ответственность за меры по переходу на аварийный режим альтернативных технических услуг, таких как обработка информации и средства связи, обычно несут поставщики услуг.
В основу планирования непрерывности бизнеса должны быть заложены требования информационной безопасности, и предусмотрено следующее:
a) условия активизации планов, описывающие процесс, которому необходимо следовать (например как оценить ситуацию, кто должен принимать участие), прежде чем привести в действие каждый план;
b) процедуры, определяющие порядок действий при чрезвычайных ситуациях, которые должны быть предприняты после инцидента, ставящего под угрозу операции бизнеса;
c) процедуры перехода на аварийный режим, описывающие действия, которые должны быть предприняты, чтобы перенести важные операции бизнеса и услуги поддержки в альтернативное временное место размещения и восстановить процессы бизнеса в требуемые сроки;
d) временные эксплуатационные процедуры, которых следует придерживаться в ожидании завершения восстановления и возобновления;
e) процедуры возобновления, определяющие порядок действий, которые должны быть предприняты, чтобы вернуться к нормальному состоянию операций бизнеса;
f) график поддержки плана, который определяет способ и время проверки, а также процесс поддержки плана в актуальном состоянии;
g) информирование, обучение и тренинг, направленные на понимание процессов обеспечения непрерывности бизнеса и обеспечение уверенности в эффективности этих процессов;
h) обязанности лиц с указанием ответственных за выполнение каждого пункта плана, при необходимости должны быть указаны альтернативные ответственные лица;
i) важнейшие активы и ресурсы, необходимые для действий в чрезвычайных ситуациях, при переходе на аварийный режим и в процедурах возобновления.
47. Разработка н внедрение планов обеспечения непрерывности бизнеса, учитывающих информационную безопасность.
Мера и средство контроля и управления
Следует разработать и внедрить планы обеспечения непрерывности бизнеса с целью поддержки или восстановления операций и обеспечения доступности информации на требуемом уровне и в требуемые сроки после прерывания или сбоя критических процессов бизнеса.
Рекомендация по реализации
Процесс планирования непрерывности бизнеса должен предусматривать следующее:
a) определение и согласование всех обязанностей и процедур, связанных с обеспечением непрерывности бизнеса;
b) определение приемлемых потерь информации и услуг;
c) внедрение процедур, позволяющих восстановить и возобновить операции бизнеса и доступность информации в требуемые сроки; особое внимание следует уделить оценке внешних и внутренних зависимостей бизнеса и существующих договоров;
d) эксплуатационные процедуры, которым необходимо следовать в ожидании завершения восстановления и возобновления;
e) документальное оформление согласованных процедур и процессов;
f) соответствующее обучение сотрудников согласованным процедурам и процессам, включая управление в критических ситуациях;
g) тестирование и обновление планов.
Необходимо, чтобы в процессе планирования особое внимание было обращено на требуемые цели бизнеса, например восстановление определенных услуг связи для клиентов в приемлемые сроки. Следует учитывать потребность в необходимых для этого услугах и ресурсах, включая укомплектованность персоналом, ресурсы, не связанные с обработкой информации, а также меры по переходу на аварийный режим средств обработки информации. Такие меры по переходу на аварийный режим могут включать в себя договоренности с третьей стороной в виде взаимных соглашений или коммерческих абонируемых услуг.
Планы обеспечения непрерывности бизнеса должны учитывать уязвимости организации и поэтому могут содержать чувствительную информацию, нуждающуюся в соответствующей защите. Копии планов обеспечения непрерывности бизнеса следует хранить на достаточном расстоянии от основного здания, чтобы избежать их повреждения вследствие аварии в основном здании. Руководство должно обеспечить уверенность в том, что обновление и защита планов обеспечения непрерывности бизнеса осуществляется на том же уровне, что и в основном здании. Другие материалы, необходимые для выполнения планов по обеспечению непрерывности бизнеса, следует также хранить в удаленном месте.
Если для хранения используются различные временные помещения, то уровень реализуемых мер и средств контроля и управления безопасности в таких помещениях должен соответствовать уровню мер, реализуемых в основном здании.
Дополнительная информация
Следует заметить, что планы по управлению в критических ситуациях и действия (см. перечисление f) в 14.1.3) могут отличаться от менеджмента непрерывности бизнеса, т.е. кризис может быть улажен обычными процедурами управления
48. Соответствие требованиям информационной безопасности. Аудит информационных систем.
Мера и средство контроля и управления
Требования и процедуры аудита, включающие проверки эксплуатируемых систем, необходимо тщательно планировать и согласовывать, чтобы свести к минимуму риск нарушения процессов бизнеса.
Рекомендация по реализации
Необходимо учитывать следующие рекомендации:
а) требования аудита должны быть согласованы с соответствующим руководством;
b) область проверок следует согласовывать и контролировать;
c) при проведении проверок доступ к программному обеспечению и данным должен быть ограничен только чтением;
d) другие виды доступа, кроме доступа только для чтения, могут быть разрешены только в отношении изолированных копий файлов системы, которые необходимо удалить по завершении аудита или обеспечить соответствующей защитой, если необходимо хранить такие файлы в соответствии с требованиями документального оформления аудита;
e) ресурсы, необходимые для выполнения проверок, должны быть четко определены и сделаны доступными;
f) требования в отношении специальной или дополнительной обработки данных следует определить и согласовать;
g) весь доступ необходимо отслеживать и регистрировать для создания прослеживаемых ссылок; для критически важных данных и систем надлежит рассматривать использование датируемых прослеживаемых ссылок;
h) все процедуры, требования и обязанности следует оформлять документально;
i) лицо(а), проводящее(ие) аудит, должно(ы) быть независимым(и).