Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание




НазваниеАудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание
страница14/17
Дата30.01.2013
Размер2.05 Mb.
ТипУчебное пособие
1   ...   9   10   11   12   13   14   15   16   17

5.2. Аудит управления непрерывностью бизнеса и восстановления после сбоев

5.2.1. Предпосылки

Поворотным моментом в области управления непрерывностью бизнеса послужили события 11 сентября 2001 г. в США. В частности, было продемонстрировано, что некоторые из крупных финансовых организаций смогли достаточно быстро восстановить свою деятельность, используя антикризисные программы и планы непрерывности бизнеса (Business Continuity Plan). Сегодня практически все ведущие организации отмечают, что наличие подготовленных технических решений, работающего плана непрерывности бизнеса, а также внедрение корпоративных регулирующих норм в области поддержания непрерывности являются одними из основных компонентов успешного бизнеса.

Последние тенденции в области управления ИТ и информационной безопасностью также показывают, что вопросы обеспечения доступности сервисов и ресурсов выходят на первое место.

Террористический акт - не единственная угроза для непрерывности критичных бизнес-процессов компании. Существуют гораздо более «прозаичные» и наиболее часто случающиеся инциденты, которые приводят к сбоям и остановкам бизнеса или же вообще к фатальным последствиям для компаний. Это различного рода сбои телекоммуникационных и энергетических систем, серверов и приложений.

Пожары, наводнения, техногенные катастрофы, принудительная эвакуация и т.п. также являются ключевыми рисками прерываний бизнеса. Особую роль играет человеческий фактор — ошибки персонала или преднамеренные действия, уход ключевых сотрудников.

Проблемы обеспечения непрерывности деятельности приобретают все большее значение в современных условиях, когда деятельность организаций в значительной степени зависит от информационных систем. В случае сбоя для компании чрезвычайно важно оперативно и с наименьшими затратами возобновить деятельность критичных бизнес-процессов, восстановить функционирование систем, процессов и данных. Поэтому способность организаций восстанавливать и продолжать деятельность в экстренных ситуациях, а также минимизировать риски сбоев и негативные последствия прерываний имеет ключевое значение для жизнеспособности бизнеса и его развития.


5.2.2, Немного о терминах

«Планирование непрерывности бизнеса» (Business Continuity Planning) можно определить как «многогранную деятельность, направленную на разработку мер по снижению рисков прерывания бизнеса, негативных последствий таких сбоев, разработку и внедрение превентивных

мер и оптимальных стратегий восстановления ключевых бизнес-процессов до приемлемого уровня в определенной последовательности и установленные сроки, начиная с момента прерывания». Почему многогранную? Потому, что современные методологии покрывают не только вопросы полнофункционального восстановления широкого спектра составляющих элементов инфраструктуры информационных технологий, но и аспекты внутрихозяйственных отношений, договор- ных отношений с внешними компаниями, производственной и информационной безопасности, взаимодействия с регулирующими органами, персоналом, а также многие другие направления, которые относятся к областям риск- и кризис-менеджмента.

Таким образом, «План непрерывности бизнеса» (Business Continuity Plan) направлен на обеспечение непрерывности критичных бизнес- процессов и их восстановление после сбоев.

«План восстановления после сбоя» (Disaster Recovery Plan) является составной частью «Плана непрерывности бизнеса» и направлен на восстановление специфичной функции или бизнес-процесса до уровня, требуемого для «выживания».

При этом «Управление непрерывностью бизнеса» (Business Continuity Management) — это процессы, методы и техника управления, направленные на обеспечение непрерывности функционирования критичных бизнес-процессов.


5.2.3. Методологии, стандарты и нормативные требования в области управления непрерывностью бизнеса

В настоящее время существует достаточно большой ряд нормативных актов (международных и российских), которые так или иначе связаны с вопросами обеспечения непрерывности бизнеса и восстановления после сбоев и регулируют отношения в данной области.

Так, например, некоторые из таких актов определяют степень ответственности компаний и индивидуумов за невозможностью организаций продолжать деятельность, правила хранения документации, предоставления отчетности, регулируют договорные отношения, вопросы производственной безопасности персонала, охраны личных сведений и частной жизни и многие другие. При этом спектр, действие и применимость конкретных законодательных и других регулирующих актов напрямую зависят от специфики бизнеса конкретного предприятия. Например, существует ряд специфичных требований к организациям финансового сектора, медицинским учреждениям, организациям, чьи акции «котируются» на биржах, и т.д.

Соответственно также развита и методологическая база в области «управления непрерывностью бизнеса». Ниже приведены лишь некоторые фрагменты требований действующих стандартов и нормативных актов Банка России.


5.2.3.1. Международные стандарты

В стандарте C0BIT вопросы обеспечения непрерывности бизнеса рассматриваются в области процессов «Эксплуатация и Сопровождение», а именно: процессе DS.4 «Обеспечение

непрерывности обслуживания».

«Обеспечение непрерывности» по C0BIT определяется как контроль процессов, связанных с обеспечением непрерывности предоставления ИТ-услуг с целью удовлетворения бизнес-требованиям в части соответствия требованиям по обеспечению доступности требуемых ИТ-услуг и гарантированию минимального ущерба в случае крупного сбоя. Это обеспечивается наличием действующего и протестированного плана непрерывности и восстановления ИТ, который соответствует общему плану непрерывности бизнеса, а также бизнес- требованиям.

В стандартах ISO/IEC 17799/IS0/IEC 27001 обеспечение непрерывности бизнеса определяется как одна из важнейших задач в области информационной безопасности, что непосредственно отражено в разделе 11 стандарта IS0/IEC 17799 следующими требованиями:

11.1. Аспекты управления непрерывностью бизнеса.

11.1.1. Процесс управления непрерывностью бизнеса.

11.1.2. Непрерывность бизнеса и анализ влияния.

11.1.3. Разработка и внедрение планов непрерывности.

11.1.4. Компоненты планирования непрерывности бизнеса.

11.1.5. Тестирование, поддержка и переоценка планов

непрерывности бизнеса.

11.1.5.1. Тестирование планов.

11.1.5.2. Поддержка и переоценка планов.

Стандарты института непрерывности бизнеса (BCI — (the Business Continuity Institute) представляют целевое рассмотрение всех связанных с обеспечением непрерывности бизнеса вопросов. BCI — это международная некоммерческая организация профессионалов в сфере обеспечения непрерывности бизнеса. Цель и роль BCI — продвижение высших профессиональных стандартов и коммерческой этики в области поддержки планирования непрерывности бизнеса и предоставления услуг в данном направлении.

BCI определяет 10 стандартов/направлений в области управления непрерывностью бизнеса:

1. Организация и управление проектом.

2. Оценка и контроль рисков. Анализ влияния на бизнес.

4. Разработка стратегий обеспечения непрерывности.

5. Реакция на чрезвычайные ситуации.

6. Разработка и внедрение планов непрерывности бизнеса.

7. Программы обучения и повышения осведомленности персонала.

8. Поддержка и тестирование планов непрерывности бизнеса.

9. Связи с общественностью и управление кризисом.

10. Взаимодействие с регулирующими органами.

BCI также издал методологию Good Practice Guide (или GPG) и совместно с BSI специализированный стандарт PAS-56. На конец 2006 г. на замену PAS-56 запланированы к выходу также следующие стандарты по управлению непрерывностью бизнеса:

  • BS 25999-1 (Code of practice) (в настоящее время уже вышел проект документа);

  • BS 25999-2 (Specification).



5.2.3.2. Стандарт, положения и требования Банка России

Банк России в свете законодательных, норм, определяющих сферу ответственности Банка России в рамках национальной финансовой системы, уделяет достаточно большое внимание вопросам обеспечения стабильности рынка банковских услуг и, как национальный банковский регулятор, издал ряд положений, указаний и других нормативных актов, которые так или иначе регулируют вопросы обеспечения непрерывности бизнеса, включая следующие документы:

  • Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» СТО БР ИББС-1.0-2006;

  • Письмо ЦБ РФ от 24.05.2005 № 76-т «Об организации управления операционным риском в кредитных организациях»;

  • Указание ЦБ РФ от 27.07.2004 № 1481-У «0 внесении изменений в Указание Банка России от 16 января 2004 года № 1376-У «О перечне, формах и порядке составления и представления форм отчетности кредитных организаций в Центральный банк Российской Федерации"»;

  • Указание ЦБ РФ от 16.01.2004 № 1376-У «0 перечне, формах и порядке составления и представления форм отчетности кредитных организаций в Центральный банк Российской Федерации»; «Положение об организации внутреннего контроля в кредитных организациях и банковских группах» (утв. ЦБ РФ 16.12.2003 № 242-П);

  • Письмо ЦБ РФ от 13.05.2002 № 59-Т «О рекомендациях Базельского комитета по банковскому надзору».

В частности, СТО БР ИББС-1.0-2006 устанавливает следующие требования обеспечения непрерывности бизнеса:

  • организации следует разработать и внедрить план обеспечения непрерывности бизнеса (деятельности) и восстановления после прерываний;

  • план и соответствующие процессы восстановления должны пересматриваться на регулярной основе и своевременно обновляться;

  • эффективность документированных процедур восстановления необходимо периодически проверять и тестировать;

  • с планом должны быть ознакомлены все сотрудники, отвечающие за его выполнение и вовлеченные в процессы восстановления.

Таким образом, в области обеспечения непрерывности бизнеса существует достаточно развитая и проработанная методологическая база. Необходимо лишь ясно осознавать сферу действия того или иного стандарта (например, стандарт C0BIT ориентирован на непрерывность непосредственно только ИТ-услуг) и уже после этого применять в соответствующих областях проверок. То есть необходимо убедиться, что выбираемая методология удовлетворяет целям организации и, следовательно, последующего аудита обеспечения непрерывности бизнеса и покрывает все критичные направления и аспекты деятельности аудируемого предприятия.


5.2.4. Основные цели аудита

Основной целью аудита управления (обеспечения) непрерывностью бизнеса и восстановления после сбоев является необходимость убедиться в том, что в организации внедрены контрольные механизмы, минимизирующие риски прерываний критичных бизнес-процессов и негативные последствия таких прерываний, в частности:

  • проведена оценка рисков прерываний, и разработан план действий по внедрению корректирующих мер контроля, и на данные меры выделены соответствующие бюджеты;

  • данный план действий выполняется и контролируется руководством;

  • соответствующие политики, стандарты, процедуры в области обеспечения непрерывности и соответствующие договорные соглашения исполняются, как это установлено;

  • ИТ-системы, данные и другие ресурсы, необходимые для восстановления, будут доступны в соответствии с установленными требованиями;

  • план непрерывности бизнеса и восстановления ИТ после сбоев разработан, адекватен и соответствует текущим потребностям организации;

  • разработаны и внедрены процедуры обеспечения безопасности персонала в критичных ситуациях.


5.2.5. Основные вопросы, рассматриваемые при аудите

В ходе аудита обычно рассматриваются следующие аспекты управления непрерывностью бизнеса:

  • политики и основы процессов управления непрерывностью бизнеса;

  • процедуры действий в чрезвычайных ситуациях;

  • оценка рисков и анализ влияния прерываний на бизнес, управление рисками;

  • компоненты планирования непрерывности бизнеса;

  • стратегии обеспечения непрерывности бизнеса и восстановления после сбоев;

  • ресурсы, требуемые для восстановления;

  • разработка и внедрение планов непрерывности бизнеса и восстановления ИТ после сбоев;

  • процедуры альтернативной работы подразделений;

  • удаленное хранение резервной информации;

  • резервная площадка; распространение планов;

  • обучение, тренировки;

  • тестирование, поддержка и пересмотр планов;

  • заключительные процедуры.


5.2.6. Реализация аудита

Информация по вышеперечисленным вопросам получается в рамках стандартных аудиторских процедур путем:

  • проведения интервью ключевого персонала организации (руководство организации, ключевые сотрудники основных бизнес-подразделений и подразделений поддержки, включая отдел кадров, физическую безопасность, администрацию и т.п., т.е. не ограничиваясь только сотрудниками ИТ-подразделений.);

  • анализа существующей нормативной базы (политики, корпоративные стандарты, планы непрерывности бизнеса и восстановления после сбоев и т.п.);

  • анализа контрактов с поставщиками услуг (в рамках проекта, концентрируясь на вопросах гарантирования непрерывного предоставления услуг и процедурах реагирования поставщика в

  • случае прерываний/сбоев);

  • проведения непосредственно обзоров (центров обработки данных, резервной площадки, мест хранения резервной информации и т.п.);

  • ограниченного тестирования отдельных процедур обеспечения непрерывности (контроль исполнения процедур архивирования, удаленного хранения резервной информации, оснащения

  • резервной площадки, настроек информационных систем и т.п.).

Соответственно перед началом аудита составляется аудиторская программа, которая может быть уточнена в ходе реализации проекта (например, после выявления существенных моментов, о которых не было известно до начала проекта).

Обобщая требования PAS-56, ISO/IEC17799/IS0/IEC 27001, а также так называемую хорошую практику, приведем пример (выдержку) возможной программы аудита вопросов управления непрерывностью бизнеса, который может служить некоторым ориентиром организациям, планирующим проведение такого аудита или самооценки.

Получение предварительной информации:

  • получить общее представление об организации, ее бизнесе, организационной структуре и используемых ИТ-технологий;

  • определить, какие политики и другие руководящие документы имеют отношение к обеспечению непрерывности бизнеса и восстановления после сбоев, если таковые имеются в наличии. Получить копии данных документов;

  • имеется ли у организации план восстановления после аварий и стихийных бедствий;

  • получить копию плана непрерывности бизнеса и восстановления после сбоев;

  • получить копию организационной структуры организации;

  • определить персонал для последующего интервью;

  • получить инвентарную опись используемых информационных систем, платформ и решений;

  • получить копии договоров на использование резервных площадок;

  • получить результаты последних проверок вопросов обеспечения непрерывности бизнеса;

  • ознакомиться с контрактами страхования;

  • уточнить и подтвердить план аудиторской проверки.

Проверка анализа рисков:

  • определить, был ли проведен анализ рисков и адекватны ли его результаты;

  • определить, проводился ли подобный анализ для критичных по времени бизнес-процессов (включая понимание зависимости данных процессов от ИТ-ресурсов, систем и технологий);

  • определить, проводились ли предварительная оценка потенциальных угроз и рисков и оценка влияния прерываний на ключевые бизнес-процессы организации.

Проверка ответственных лиц:

  • определить ответственного за разработку плана, а также степень вовлеченности в разработку плана всех ключевых пользователей, принимающих участие в восстановлении бизнеса;

  • определить, кто несет ответственность за управление/координацию в рамках плана;

  • несет ли администратор/координатор плана ответственность за поддержание плана в актуальном состоянии; назначены ли команды реализации плана (т.е. ответственные лица, которые должны предпринимать определенные действия в случае наступления нештатных ситуаций);

  • документированы ли обязанности каждой команды;

  • получить структуру команд восстановления и список членов команд;

  • определить, где хранятся контакты команд реализации плана (следует принять во внимание, что каждому руководителю группы восстановления должны быть доступны все контактные данные членов данной команды, включая имена, рабочий, домашний, мобильный телефоны и т.д.);

  • определить, насколько адекватно ведется контактная информация по ключевым лицам и организациям, которые могут потребоваться при восстановлении (внутренние и внешние контакты, включая контакты сотрудников, ключевых клиентов, регулирующих органов, поставщиков, страховой компании и т.п.);

  • определить, где хранится план непрерывности бизнеса и восстановления после сбоев (убедиться в том, что ключевые члены команды имеют копии плана как в офисе, так и дома).

Оценка плана непрерывности бизнеса и восстановления после сбоев:

  • получить и проанализировать план непрерывности бизнеса и восстановления после сбоев;

  • определить, когда план последний раз пересматривался/дополнялся;

  • определить, являются ли план и процедуры восстановления актуальными и полными, а также утверждены ли они руководством;

  • убедиться, что план восстановления ИТ является составной частью плана непрерывности бизнеса и отражает текущее состояние бизнес-среды;

  • убедиться в адекватности плана непрерывности бизнеса и восстановления после сбоев в части поддержки возможности своевременного восстановления критичных бизнес-процессов и

  • компьютерных систем в случае сбоя;

  • присвоен ли в плане системам приоритет восстановления в зависимости от риска для бизнеса? определить, какие критичные системы рассмотрены в плане;

  • определить, все ли системы предполагается восстанавливать на одном объекте? Если нет, то каким образом будет обеспечиваться доступность информации на других объектах в случае необходимости;

  • позволяет ли план помочь произвести восстановление критичных бизнес-процессов и систем в рамках предварительно определенных отрезков времени (т.е. в случае невозможности восаановления определенных систем за определенное время последствия для бизнеса могут быть катастрофическими, и соответственно последующее восстановление данных систем будет бесполезным);

  • рассмотрены ли в плане требования по функционированию каждой из систем;

  • определить, какие системы не рассмотрены в плане и почему;

  • определить, какое оборудование не рассмотрено в плане и почему;

  • имеются ли в плане какие-либо допущения и какие именно;

  • каковы процедуры активации плана;

  • определить, установлены ли формальные требования по пересмотру плана и внесения в него изменений и дополнений с определенной периодичностью, например через б месяцев.

Проверка процедур резервного копирования и восаановления данных:

  • имеются ли в наличии формальные процедуры резервного копирования и восстановления данных?

  • какие функции/системы/компоненты рассмотрены в данных процедурах;

  • рассмотреть процедуры резервного копирования по каждой системе, включенной в план восстановления после сбоев;

  • определить, следует ли организация данным процедурам;

  • проводилось ли обучение персонала процедурам и использованию оборудования резервного копирования;

  • определить проводится ли периодическое формальное тестирование вопросов процедур восстановления данных с резервных копий;

  • включает ли документация по каждой системе, подлежащей восстановлению, описание процессов, а также оборудования, которое требуется восстанавливать (т.е. для приложения, использующего ПК для ввода данных и клиент-серверную архитектуру для хранения данных, это должно быть описано наряду с требуемым ПО).

Проверка удаленного хранения резервных данных:

  • определить, существуют ли формальные требования и процедуры по вопросам удаленного хранения резервных данных;

  • определить, где находится внешний центр хранения данных;

  • посетить объект удаленного хранения резервных данных. Определить адекватность объекта и процедур хранения (включая требования обеспечения конфиденциальности, целостности и

  • доступности данных), а также перечень реально хранимых данных;

  • убедиться в эффективности процедур проверки полноты получения отправленных данных, необходимых для бизнес-подразделений (не только проверка журнала полученных данных, но

  • и сверка с отправленными данными);

  • пределить периодичность и адекватность проверки журналов регистрации хранимых архивных копий на предмет полноты.

Проверка резервной площадки:

  • определить, где расположен резервный центр обработки информации;

  • существуют ли резервные площадки (следует иметь в виду, что резервные площадки не должны быть подвержены тем же рискам, что и основные площади);

  • предполагалось ли использование резервных объектов во время проведения последнего теста;

  • если нет, когда последний раз резервные объекты были использованы для целей тестирования;

  • если резервные объекты не использовались более года, каким образом организация определяет возможность функционирования используемых программ на резервном оборудовании;

  • каковы результаты тестирования;

  • получить и проанализировать соглашение об использовании резервной площадки (если такая услуга используется);

  • посетить резервную площадку;

  • проанализировать требования и рекомендации по созданию «горячих»/«холодных» резервов, включая создание резервной ИТ-инфраструктуры; оценить соответствие резервной площадки требованиям по восстановлению, включая вопросы совместимости с основной компьютерной инфраструктурой организации;

  • сравнить журнал оборудования на объекте с реально имеющимся в наличии оборудованием;

  • проверить полноту записей и актуальность журнала регистрации посетителей резервной площадки;

  • определить периодичность и адекватность проверки журналов регистрации на предмет полноты;

  • определить, осведомлены ли сотрудники, вовлеченные в процессы восстановления, о резервной площадке (адрес, контакты, процедуры переезда и т.п.), а также о действиях непосредственно на площадке;

  • определить адекватность существующего уровня доступности резервной площадки (например, 24x7x365);

  • удостовериться, что резервная площадка не подвержена тем же рискам, что и основная площадка.

Тестирование плана:

  • определить, выделен ли руководством бюджет на тестирование плана непрерывности бизнеса и восстановления после сбоев;

  • какова процедура пересмотра/дополнения плана;

  • каково расписание тестирования плана и степень вовлеченности ключевого персонала;

  • когда производилось последнее тестирование (следует оценить адекватность теста — «настольный/логический» тест может не выявить ряд потенциальных проблем);

  • каким образом тестирование помогло повысить готовность организации к нештатным ситуациям;

  • проверить результаты тестирования плана;

  • определить, были ли проведены мероприятия по устранению выявленных недостатков.

Проверка обучения персонала:

  • определить, проходили ли пользователи и ИТ-персонал обучение действиям в случае нештатных ситуаций или прерываний;

  • включала ли в себя программа обучения раздел о связи со сторонними организациями (включая представителей прессы и телевидения);

  • определить, осведомлены ли пользователи и ИТ-персонал о ручных или автоматизированных процедурах, предполагаемых к использованию в случае недоступности основных ИТ-систем на протяжении длительного периода времени;

  • опросить ИТ-персонал на предмет обучения/знаний смежных областей (на случай отсутствия основного сотрудника).

1   ...   9   10   11   12   13   14   15   16   17

Похожие:

Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебное пособие Издательство ТулГУ
Бродовская, Е. В. Переговоры: стратегии, тактики, техники: Учебное пособие [Текст] / Е. В. Бродовская, А. А. Лаврикова. – Тула: Изд-во...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconА. В. Непомнящий Рынок ценных бумаг Учебное пособие Москва 2008
Учебное пособие предназначено для студентов вузов специальностей «Менеджмент организаций», «Бухгалтерский учёт, анализ и аудит» и«Финансы...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебно-методическое пособие Для студентов, аспирантов Таганрог 2008
Учебное пособие предназначено для использования в учебном процессе при обучении студентов третьего и четвертого курсов специальностей...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебное пособие для студентов второго образовательного уровня Таганрог 2010
Учебное пособие предназначено для использования в учебном процессе при обучении студентов третьего и четвертого курсов специальностей...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconРеферат по дисциплине «Организация обеспечения информационной безопасности» на тему
«Концепция информационной безопасности, анализ безопасности информационных систем»
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебное пособие предназначено для студентов вузов, обучающихся по специальностям 090102 «Компьютерная безопасность»
Учебное пособие предназначено для студентов вузов, обучающихся по специальностям 090102 «Компьютерная безопасность», 090105 «Комплексное...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconКонтрольные вопросы по курсу «Технические средства предприятий сервиса» (сервиса электронных систем безопасности) Глава Сущность курса «Технические средства предприятий сервиса», оборудование и технические, средства предприятий и подразделений безопасности
«Технические средства предприятий сервиса» студентам специальности «Сервис» специализация «Сервис электронных систем безопасности...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебное пособие Москва 2008 удк машкин М. Н. Информационные технологии: Учебное пособие. М.: Вгна, 2008. 200 с
Учебное пособие по курсу Информационные технологии содержит учебный материал для подготовки к зачету по указанной дисциплине
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебное пособие. Таганрог: Изд-во трту, 2003
Учебное пособие cодержит описание теоретических и практических подходов к разработке и отбору инвестиционных проектов в условиях...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconН. Л. Михайлов архитектура вычислительных систем учебное пособие
Михайлов Н. Л. Архитектура вычислительных систем: Учебное пособие. – Рыбинск, ргата, 2008. – 87 с
Разместите кнопку на своём сайте:
Библиотека


База данных защищена авторским правом ©lib.znate.ru 2014
обратиться к администрации
Библиотека
Главная страница