1. Особенности требований к деятельности
по управлению непрерывностью бизнеса
стандартов семейств ISO2700х и BS25999
Собрание Ukrainian Information Security Group VI
Алексей Назаренков, ITSM, CISA
19 мая 2011 г.
2. Требования стандарта ISO27002 к деятельности по
управлению непрерывностью бизнеса
Цели Контроли
Включение информационной ► Необходимо разработать и поддерживать управляемый процесс в
безопасности в процесс области непрерывности деятельности, охватывающий всю организацию.
управления непрерывностью Процесс должен соответствовать требованиям информационной
бизнеса безопасности, касающихся непрерывности деятельности организации
► Необходимо идентифицировать события, которые могут вызвать
Управление непрерывностью
прерывание бизнес процессов, а также вероятность, и уровень влияния
бизнеса и анализ рисков
таких событий и их последствий на информационную безопасность
Разработка и внедрение
► Необходимо подготовить и внедрить планы обеспечения непрерывности
планов обеспечения
либо восстановления операций, которые обеспечат необходимый уровень
непрерывности бизнеса с
доступности информации в рамках требуемого горизонта времени после
учетом требований
прерывания критичных бизнес процессов
информационной безопасности
► Необходимо поддерживать единую систему планов управления
непрерывностью бизнеса, для обеспечения их взаимной
Система управления
непротиворечивости , согласованности с требованиями информационной
непрерывностью бизнеса
безопасности, а также приоритизации процедур тестирования и
поддержания в актуальном состоянии
Тестирование, хранение и
► Планов обеспечения непрерывности бизнеса должны регулярно
пересмотр планов
тестироваться и обновляться для обеспечения и актуальности и
обеспечения непрерывности
эффективности
бизнеса
Страница 2
3. Стандартный структура проекта
разработки СУИБ
Ключевые шаги:
2. Планирование 5. Разработка
3. Анализ
1. Инициация границ охвата детальной
требований ИБ и 4. Анализ рисков
проекта СУИБ и документации и
классификация ИБ
разработки СУИБ подготовка планов внедрения
активов
политики ИБ СУИБ
Ключевые результаты:
Требования ИБ
Результаты инвентаризации ► Перечень критичных
активов СУИБ информационных активов
► Перечень контейнеров критичных
Результаты классификации информационных активов
активов СУИБ
► Перечень критичных бизнес
процессов и информация об их
владельцах
Страница 3
4. Стандартные типы ресурсов, рассматриваемые в
системы управления непрерывностью бизнеса
Требования по восстановлению должны
Тип ресурсов
быть описаны в рамках СУИБ
Персонал û
Помещения (включая оборудование стандартных
рабочих мест)
û
Информационные системы и их данные ü
Документация (информация на бумажных
носителях)
ü
Специфичное оборудование ?
Услуги внешних поставщиков
?
Страница 4
5. Результат использования при построении системы
непрерывности бизнеса только информации об активах
СУИБ:
в случае кризиса компания сможет сохранить
доступность критических информационных
ресурсов, однако остается неясно кто (персонал) и
где (помещения) будет с ними далее работать
Страница 5
6. Возможная структура объединенного проекта
Разработка СУИБ разработки СУИБ и системы ВСМ
5. Разработка
2. Планирование 3. Анализ
1. Инициация детальной
границ охвата требований ИБ и 4. Анализ рисков
проекта разработки документации и
СУИБ и подготовка классификация ИБ
СУИБ планов внедрения
политики ИБ активов
СУИБ
2. Планирование 6. Разработка
1. Инициация границ охвата стратегии и планов
Разработка системы ВСМ
3. Анализ влияния 5.Анализ рисков
проекта разработки системы ВСМ и обеспечения
на бизнес (BIA) ВСМ
системы BCM подготовка непрерывности
политики ВСМ бизнеса
4. Планирование
ресурсов
обеспечения
непрерывности
Страница 6
7. Вопросы
Алексей Назаренков, ITSM, CISA
Отдел услуг в области информационных технологий и ИТ
рисков
+38 044 490-3000
Oleksii.Nazarenkov@ua.ey.com
Страница 7