№ 4 июль-август 2008 г. Тема номера: УПРАВЛЕНИЕ ВНУТРЕННЕЙ БЕЗОПАСНОСТЬЮ
		ЖИТЬ ПО ПРАВИЛАМ НЕПРЕРЫВНОСТИ С. А. Петренко, CISO

В настоящее время в разных странах появилось новое поколение стандартов в области управления непрерывностью бизнеса, содержащие лучшие практики управления непрерывностью бизнеса и восстановления инфраструктуры компании в чрезвычайных ситуациях. Это, прежде всего:

• лучшие практики непрерывности бизнеса американских институтов SANS (www.sans.org) и DRI (www.drii.com), британского института BCI (www.thebsi.org);
• британские стандарты и спецификации BS 25999, Publicly Available Specification, PAS 56, Publicly Available Specification, PAS 77;
• стандарты США NIST SP800-34, Contingency Planning Guide for Information Technology, США NYSE Rule 446 – Business Continuity and Contingency (SR-NYSE-2002-35), США NFPA 1600 «Standard on Disaster/Emergency Management and Business Continuity Programs»;
• австралийские руководства ANAO, в частности, Business Continuity Ma-nagement Handbook HB 221:2003;
• 14 раздел международного стандарта по информационной безопасности ISO/IEC 27001; стандарты и библиотеки COBIT, ITIL, MOF в части непрерывности бизнеса и некоторые другие, аналогичные им.

В соответствие с названными стандартами корпоративная программа управления непрерывностью бизнеса – Enterprise Continuity Program – должна явно содержать следующие этапы:

• анализ бизнес-процессов предметной области – Business Environment Analysis (BEA), подразумевающий выделение и ранжирование значимых для бизнеса процессов и определение требований по непрерывности к ним;
• анализ рисков – Risk Analysis (RA), предполагающий оценку и ранжирование значимых угроз и уязвимостей непрерывности бизнес-процессов, а также оценку достаточности существующих организационных и технических мер обеспечения непрерывности бизнеса;
• оценку воздействия на бизнес – Business Impact Analysis (BIA) – анализ влияния на бизнес-процессы и определение целей восстановления каждого упомянутого бизнес-процесса и поддерживающей его инфраструктуры;
• определение стратегии непрерывности бизнеса – BC Strategy definition, определение RPO (recovery point objective – допустимого уровня потери данных) и RTO (re-covery time objective – допустимого времени восстановления) для каждого рассматриваемого бизнес-процесса и выбор соответствующих организационных и технических решений для обеспечения непрерывности бизнеса;
• разработку и сопровождение планов непрерывности бизнеса – Business Continuity Plan (BCP), а также Disaster Recovery Plan (DRP) для документального оформления надлежащих решений обеспечения непрерывности бизнеса и восстановления инфраструктуры бизнеса в чрезвычайных происшествиях.

Далее мы попытаемся выяснить, насколько рекомендации перечисленных стандартов безопасности могут оказаться полезными для отечественных компаний.

< ... >

Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»

Обращайтесь!!!
e-mail:    magazine@inside-zi.ru
тел.:        +7 (921) 958-25-50, +7 (911) 921-68-24

Предыдущая статья    СОДЕРЖАНИЕ НОМЕРА    Следующая статья

| Начало | О журнале | План выхода | Подписка | Интернет-магазин | Реклама | Координаты |

Copyright © 2004-2013 «Защита информации. Инсайд». Все права защищены
webmaster@inside-zi.ru