4 Восстановление и обеспечение информационной безопасности информационных и телекоммуникационных систем организации при чрезвычайной ситуации и обеспечение непрерывности деятельности организации
4.1 Общая информация
4.1.1 Одним из основных условий, определяющих надежность и устойчивость деятельности организации, является обеспечение ею непрерывности своего бизнеса, т.е. способности выполнять процессы своей деятельности и поддерживать их непрерывное и согласованное взаимодействие в условиях проявления (а отношении организации) различных деструктивных воздействий, определяемых нестабильностью и (или) недружественностью внешней и внутренней среды организации.
Таким образом, непрерывность бизнеса организации предусматривает обеспечение двух взаимосвязанных слагаемых — непрерывности бизнес-процессов и качественного (адекватного и непрерывного) управления ими.
4.1.2 Основными причинами (источниками риска) возможного нарушения непрерывности бизнес-деятельности организации могут быть:
— неприемлемое для бизнеса состояние технологической среды и информационно-технологического обеспечения организации, включающего ИТС, связанное с нарушением функционирования или некачественным функционированием их компонентов из-за отсутствия и (или) недоступности качественных (и в необходимом объеме) ресурсов и услуг, требуемых для выполнения бизнес-процессов и процессов управления;
— действия (случайные или преднамеренные) субъектов (организованных групп субъектов)—собственных работников организации или сторонних лиц, противоречащие интересам организации и способные нарушить реализацию процессов основной, вспомогательной и управленческой деятельности;
— недостаточное качество самих бизнес-процессов и несовершенство общекорпоративного менеджмента, выражаемое, например, в неудовлетворительной организации деятельности, несовершенстве организационной структуры, ошибках управления;
— внешние обстоятельства — события, явления и процессы во внешней среде организации, неблагоприятным образом влияющие на ее деятельность.
4.1.3 Информационная составляющая деятельности организации и процессов ее управления, представляемая совокупностью информации и информационных процессов (технологий), которые обеспечивают каждый процесс деятельности организации и (или) являются его частью, в значительной степени подвержена воздействию различных деструктивных факторов внешней и внутренней среды организации.
Это означает, что значительная часть рисков организации, включая риск прерывания ее деловой деятельности, связана с информацией, а уровень и условия проявления этих рисков во многом определены качеством информации и информационных услуг (сервисов ИТ по подготовке, обработке, передаче, хранению и отображению информации), которые могут быть предоставлены бизнесу информационно-технологическим комплексом организации и (или) сторонними организациями (провайдерами услуг).
4.1.4 К свойствам ИБ организации, нарушение которых способно привести к неприемлемому для бизнеса снижению качества и безопасности услуг ИТС и, как следствие, к прерыванию деятельности организации, следует отнести:
— для информации — полезность (адекватность), конфиденциальность, доступность, целостность (достоверность и полноту), объективность, актуальность, согласованность;
— для технических и программных средств — функциональность, доступность и целостность;
— для ИТС и информационных процессов — функциональность, доступность, целостность и подотчетность.
Перечень приведенных свойств может быть расширен и уточнен в зависимости от конкретных потребностей бизнеса организации.
4.1.5 Для поддержания своей деятельности в ЧС организация должна:
— решить в первую очередь производственные проблемы, возникшие в результате ЧС;
— срочно задействовать утвержденные процедуры необходимых изменений в эксплуатационной среде, включая информационную сферу организации;
— инструктировать персонал, задействованный в локализации (ликвидации) ЧС, и документировать все реализованные изменения;
— пересмотреть все реально выполненные изменения при ЧС с точки зрения целей деятельности организации, включая переоценку рисков деятельности и рисков ИБ.
4.2 Аспекты обеспечения условий непрерывности в информационной сфере организации
4.2.1 Обеспечение непрерывности в информационной сфере организаций представляет собой совокупность политик, процессов деятельности и инструментальных средств, с помощью которых организации повышают не только свою потенциальную возможность реагирования на крупномасштабные отказы функционирующих систем, но также и устойчивость к крупным инцидентам ИБ в целях избежания отказа критических систем и сервисов.
4.2.2 Данная деятельность связана с решением ряда задач в рамках корпоративного управления и должна быть реализована в полном соответствии с принятыми в организации политиками, стандартами, процессами деятельности для обеспечения:
— требований системы менеджмента непрерывности бизнеса организации;
— поддержки менеджмента серьезных инцидентов ИБ и антикризисного менеджмента;
— корпоративного управления и менеджмента риска;
— менеджмента информационных технологий в организации;
— менеджмента информационной безопасности организации.
4.2.3 Менеджмент непрерывности в информационной сфере организации должен установить требования к стратегии применения ИТ в организации в целях идентификации информационных систем и сервисов, нуждающихся в обеспечении устойчивости, доступности и возможностях высокого уровня.
4.2.4 Менеджмент непрерывности в информационной сфере организации должен учитывать риски, способные оказать возможное или ожидаемое серьезное воздействие (иметь негативное последствие), которое может создать угрозу непрерывности бизнеса.
К таким рискам относят:
— потерю, ущерб или отказ в предоставлении доступа к ключевым сервисам инфраструктуры;
— потерю или искажение информации;
— саботаж, вымогательство или коммерческий шпионаж;
— преднамеренное проникновение или атаку на критические информационные системы.
4.2.5 Непрерывность бизнеса организации может быть достигнута управлением рисками организации в целях оценки и обеспечения уверенности в том, что в любое время организация сможет продолжать работу по крайней мере на заранее определенном минимальном уровне. Процесс менеджмента непрерывности бизнеса включает снижение риска до приемлемого уровня и планирование восстановления бизнес-процессов в случае реализации факторов риска и нарушения штатной деятельности организации.
Менеджмент непрерывности в информационной сфере организации должен быть частью общего плана обеспечения непрерывности деятельности организации, а не отдельным самодостаточным процессом.
Деятельность, включая услуги по восстановлению после ЧС защитных мер (функций и механизмов) безопасности информационных и телекоммуникационных технологий, следует планировать в рамках менеджмента непрерывности в информационной сфере организации с учетом влияния факторов рисков информационной природы на деятельность организации в процессе восстановления ее деятельности и работы в новых условиях.
4.2.6 При разработке стратегии менеджмента непрерывности в информационной сфере организации рекомендуется учитывать следующие четыре отдельных, но взаимосвязанных этапа в менеджменте серьезных инцидентов ИБ, имеющие отношение к обеспечению ИБ организации:
1) начальное (первичное) реагирование — охватывает начальные действия, требуемые для обеспечения безопасности и благополучия людей, затронутых инцидентом (ЧС) ИБ, в целях активизации соответствующих групп менеджмента инцидентов и определения уровня реагирования, адекватного инциденту ИБ;
2) восстановление сервисов (услуг) информационной сферы организации — можно осуществлять на нескольких этапах в зависимости от потребностей и масштаба организации. Особенность этапа заключается в восстановлении всех требуемых сервисов в приоритетном порядке до заранее согласованных (возможно, ухудшившихся) уровней сервиса;
3) предоставление услуг по временной (промежуточной) схеме деятельности — в случае, если организация будет не готова и не способна возобновить операции штатного обслуживания; в этом случае будет востребовано предоставление необходимых услуг на заранее согласованных уровнях обслуживания, пока обстоятельства не позволят перевести эти нештатные услуги снова в режим обычного функционирования бизнеса или аннулировать их;
4) возобновление штатных (нормальных) услуг — как в случае с восстановлением сервисов, может иметь место на этапах, соответствующих потребностям и приоритетам организации, когда каждый сервис был проверен и было подтверждено его соответствие требованиям штатного функционирования. Все временные дополнительные сервисы должны быть выведены из эксплуатации. Завершением данного этапа является восстановление до штатных (нормальных) уровней услуг всех информационных процессов организации.
4.2.7 Стратегию менеджмента непрерывности в информационной сфере организации необходимо строить на четком понимании потребности организации в согласованных уровнях услуг ИТС и их безопасности с учетом:
— приоритетов ключевых бизнес-подразделений в конкретные периоды времени;
— пиковых нагрузок на бизнес;
— стратегически важных периодов ведения бизнеса, например, периодов отчетности, предельных сроков изготовления и т. п.;
— соответствия с планами и целями менеджмента непрерывности бизнеса;
— воздействия отказа или потери;
— требований ко времени восстановления;
— приемлемых уровней простоя и функционирования;
— изменений и обновлений систем;
— новых проектов;
— взаимозависимости уровней услуг ИТС и их безопасности;
— соблюдения законодательства;
— соблюдения предельных сроков;
— имитации ЧС и обучения действиям при ЧС согласно планам восстановления функций и механизмов безопасности ИКТ после ЧС;
— защиты критически важных данных.
4.2.8 На этапах начального (первичного) реагирования, восстановления сервисов (услуг) информационной сферы организации, а также предоставления услуг по временной (промежуточной) схеме деятельности менеджмент непрерывности в информационной сфере организации должен включать рассмотрение реализации соответствующих мер обеспечения ИБ ИТС. Все решения об использовании (неиспользовании) мер обеспечения ИБ ИТС применительно к идентифицированным факторам рисков ИБ должны быть санкционированы высшим руководством организации.
На этапе возобновления штатных (нормальных) услуг информационной сферы организации необходимые меры обеспечения ИБ ИТС должны функционировать в штатном режиме, а их эффективность — оцениваться в рамках СМИБ организации.
4.3 Роль совета директоров и исполнительных органов организации
4.3.1 Приоритеты бизнеса должны быть установлены на уровне совета директоров или высшего исполнительного органа организации с учетом договорных обязательств, требований к срокам и порядку финансовой и иной отчетности и т. д.
Данная система приоритетов должна быть основой планирования в рамках менеджмента непрерывности в информационной сфере организации, а также основой установления приоритетов при восстановлении после ЧС функций и механизмов безопасности ИКТ.
4.3.2 Лицо, ответственное за обеспечение ИБ организации, должно совместно с руководителем отдела информатизации определить, от каких информационных процессов и автоматизированных систем зависят ключевые приоритетные виды деятельности организации.
Это лицо должно инициировать процесс определения потребностей в мерах обеспечения ИБ ИТС с участием владельцев риска и лиц, ответственных за ключевые приоритетные виды деятельности организации. Лицо, ответственное за обеспечение ИБ организации, должно довести до сведения руководителя отдела информатизации порядок реализации мер обеспечения ИБ ИТС и согласовать с ним порядок соответствующих действии.
4.3.3 Совет директоров (или равный ему по значимости орган) должен санкционировать порядок реализации мер обеспечения ИБ ИТС в условиях ЧС и в периоды восстановления деятельности организации.
4.4 Идентификация недостатков
4.4.1 Основа стратегии менеджмента непрерывности в информационной сфере организации — обеспечение стабильности деятельности в границах всей информационной инфраструктуры организации. Необходимо проводить внутренние проверки всех возможных недостатков от отдельных точек прерываний до избыточности, зависимости от каналов поставки и общих процессов, связанных со вспомогательными служебными операциями в информационной сфере, такими, как технологии безопасного резервирования и восстановления.
4.4.2 Необходимо планировать, проверять и оценивать улучшение информационной инфраструктуры организации. Для этого должны быть разработаны четкие планы работ в условиях ЧС и определена потребность в использовании конкретных мер безопасности в условиях восстановления после ЧС.
Необходимо достичь соглашения об уровнях инвестиций и приоритетах, связанных с затратами на обеспечение непрерывности в информационной сфере и конкретными затратами на обеспечение ИБ ИТ, на уровне совета директоров или высшего исполнительного органа.
4.5 Непрерывность сервисов в изменяющейся среде и обеспечение информационной безопасности информационных и телекоммуникационных систем
Ключевые факторы, которые должны быть рассмотрены для обеспечения уверенности в том, что стратегия менеджмента непрерывности в информационной сфере организации и планы восстановления деятельности остаются актуальными и эффективными для организации по мере внесения изменений в деятельность организации и ее среду, включают:
— ответственность и подотчетность на уровне совета директоров за стратегию менеджмента непрерывности в информационной сфере эксплуатационной среды организации в цепях оценки ее актуальности при изменениях, развитии и росте организации;
— лиц, ответственных за стратегию менеджмента непрерывности в информационной сфере эксплуатационной среды организации. Никакое внесение изменений в информационную инфраструктуру не должно рассматриваться до тех пор, пока последствия изменения не будут оценены и поняты, а планы работ в ЧС не будут проверены;
— обеспечение процесса сопровождения приобретения новых систем проверкой отсутствия компрометации непрерывности в информационной сфере организации;
— учет последствий деятельности, связанной со слияниями и поглощениями организаций. Зачастую деятельность, связанная со слияниями и поглощениями организаций, может обеспечить ощутимые преимущества, выражающиеся в экономии денежных средств. С другой стороны, слияние и поглощение организаций может снизить способности организации по обеспечению требуемой непрерывности в информационной сфере вследствие утраты резервных узлов, дублирующих систем и создаваемой ими избыточности;
— оценку способности поставщиков поддерживать соответствующие уровни услуг;
— внутренний/внешний аудит планов организации. |