Download as PDF, PPTX
Uuisg itgov 10_bcp
- 1. Особенности требований кдеятельности по управлению непрерывностью бизнеса стандартов семейств ISO2700х и BS25999 Собрание Ukrainian Information Security Group VI Алексей Назаренков, ITSM, CISA 19 мая 2011 г.
- 2. Требования стандарта ISO27002к деятельности по управлению непрерывностью бизнеса Цели Контроли Включение информационной ► Необходимо разработать и поддерживать управляемый процесс в безопасности в процесс области непрерывности деятельности, охватывающий всю организацию. управления непрерывностью Процесс должен соответствовать требованиям информационной бизнеса безопасности, касающихся непрерывности деятельности организации ► Необходимо идентифицировать события, которые могут вызвать Управление непрерывностью прерывание бизнес процессов, а также вероятность, и уровень влияния бизнеса и анализ рисков таких событий и их последствий на информационную безопасность Разработка и внедрение ► Необходимо подготовить и внедрить планы обеспечения непрерывности планов обеспечения либо восстановления операций, которые обеспечат необходимый уровень непрерывности бизнеса с доступности информации в рамках требуемого горизонта времени после учетом требований прерывания критичных бизнес процессов информационной безопасности ► Необходимо поддерживать единую систему планов управления непрерывностью бизнеса, для обеспечения их взаимной Система управления непротиворечивости , согласованности с требованиями информационной непрерывностью бизнеса безопасности, а также приоритизации процедур тестирования и поддержания в актуальном состоянии Тестирование, хранение и ► Планов обеспечения непрерывности бизнеса должны регулярно пересмотр планов тестироваться и обновляться для обеспечения и актуальности и обеспечения непрерывности эффективности бизнеса Страница 2
- 3. Стандартный структура проекта разработкиСУИБ Ключевые шаги: 2. Планирование 5. Разработка 3. Анализ 1. Инициация границ охвата детальной требований ИБ и 4. Анализ рисков проекта СУИБ и документации и классификация ИБ разработки СУИБ подготовка планов внедрения активов политики ИБ СУИБ Ключевые результаты: Требования ИБ Результаты инвентаризации ► Перечень критичных активов СУИБ информационных активов ► Перечень контейнеров критичных Результаты классификации информационных активов активов СУИБ ► Перечень критичных бизнес процессов и информация об их владельцах Страница 3
- 4. Стандартные типы ресурсов,рассматриваемые в системы управления непрерывностью бизнеса Требования по восстановлению должны Тип ресурсов быть описаны в рамках СУИБ Персонал û Помещения (включая оборудование стандартных рабочих мест) û Информационные системы и их данные ü Документация (информация на бумажных носителях) ü Специфичное оборудование ? Услуги внешних поставщиков ? Страница 4
- 5. Результат использования припостроении системы непрерывности бизнеса только информации об активах СУИБ: в случае кризиса компания сможет сохранить доступность критических информационных ресурсов, однако остается неясно кто (персонал) и где (помещения) будет с ними далее работать Страница 5
- 6. Возможная структура объединенногопроекта Разработка СУИБ разработки СУИБ и системы ВСМ 5. Разработка 2. Планирование 3. Анализ 1. Инициация детальной границ охвата требований ИБ и 4. Анализ рисков проекта разработки документации и СУИБ и подготовка классификация ИБ СУИБ планов внедрения политики ИБ активов СУИБ 2. Планирование 6. Разработка 1. Инициация границ охвата стратегии и планов Разработка системы ВСМ 3. Анализ влияния 5.Анализ рисков проекта разработки системы ВСМ и обеспечения на бизнес (BIA) ВСМ системы BCM подготовка непрерывности политики ВСМ бизнеса 4. Планирование ресурсов обеспечения непрерывности Страница 6
- 7. Вопросы Алексей Назаренков, ITSM,CISA Отдел услуг в области информационных технологий и ИТ рисков +38 044 490-3000 Oleksii.Nazarenkov@ua.ey.com Страница 7