Для минимизации отрицательных последствий, вызванных бедствиями и нарушениями безопасности, до приемлемого уровня с помощью профилактических и восстановительных мероприятий по управлению информационной безопасностью, необходимо создать управляемый процесс развития и поддержания непрерывности бизнеса для всей организации.
Этот процесс должен объединять ключевые элементы:
- понимание рисков, с которыми сталкивается организация;
- понимание возможных последствий нарушения бизнес-процессов в случае инцидентов;
- организацию оптимального страхования результатов обработки информациие;
- формулирование и документирование стратегии непрерывности бизнеса в соответствии с согласованными бизнес-целями и приоритетами;
- формулирование и документирование планов обеспечения непрерывности бизнеса в соответствии с согласованной стратегией;
- регулярное тестирование и обновление планов развития информационных технологий и существующих процессов;
- обеспечение органичного включения в процессы и структуру организации планов управления непрерывностью бизнеса.
Ответственность за координацию процесса управления непрерывностью бизнеса следует возлагать на орган, обладающий соответствующими полномочиями в организации, например на управляющий совет по информационной безопасности.
Планы обеспечения непрерывности бизнеса должны содержать следующее:
- условия реализации планов, которые определяют порядок действий должностных лиц, (как оценивать ситуацию, кто должен принимать участие, и т.д.)
- процедуры на случай чрезвычайных ситуаций, которые должны быть предприняты после инцидента. Необходимо, чтобы они включали также меры по управлению связями с общественностью и эффективное взаимодействие с соответствующими государственными органами, например с милицией, пожарной охраной и местными органами власти;
- процедуры перехода на аварийный режим работы, которые описывают необходимые действия по переносу важных бизнес-операций или сервисов-поддержки в альтернативное временное место размещения и по восстановлению бизнес-процессов в требуемые периоды времени;
- процедуры возобновления работы, которые описывают необходимые действия для возвращения к нормальному режиму ведения бизнеса;
- график поддержки плана, который определяет сроки и методы тестирования, а также описание процесса поддержки плана;
- мероприятия по обучению персонала, которые направлены на понимание процессов обеспечения непрерывности бизнеса сотрудниками, и поддержание постоянной эффективности этих процессов;
- обязанности должностных лиц, ответственных за выполнение каждого пункта плана. При необходимости должны быть указаны альтернативные ответственные.
Планы по обеспечению непрерывности бизнеса необходимо поддерживать в актуальном состоянии путем проведения регулярных пересмотров и обновлений с целью обеспечения уверенности в их постоянной эффективности.
Примеры ситуаций, которые могли бы потребовать обновления планов, включают приобретение нового оборудования или обновление операционных систем, а также изменения, связанные с:
- персоналом;
- адресами или номерами телефонов;
- стратегией бизнеса;
- местоположением, средствами и ресурсами;
- законодательством;
- подрядчиками, поставщиками и основными клиентами;
- процессами (как новыми, так и изъятыми);
- рисками (операционными и финансовыми).
12 Соответствие требованиям
Соответствие требованиям законодательства (соответствие политики)
Разработка, эксплуатация и управление информационными системами может попадать под действие требований к безопасности, определенных в законах, нормативных актах и контрактах. Необходимо обратиться к юрисконсультам организации или имеющим необходимую квалификацию юристам, чтобы получить консультации по вопросам, связанным с законодательством.
Для каждой информационной системы необходимо четко определить и задокументировать все имеющие к ней отношение требования законов, нормативных актов и контрактов. Подобным образом необходимо определить и задокументировать конкретные меры и обязанности отдельных сотрудников по соблюдению этих требований.
Необходимо реализовать процедуры, обеспечивающие соответствие законодательным ограничениям на использование материалов, на которые могут распространяться права интеллектуальной собственности (авторское право, право разработки, торговые марки и т. п.). Нарушение авторского права может привести к правовым действиям, в том числе и к уголовному преследованию.
Требования законов, нормативных актов и контрактов могут налагать ограничения на копирование материалов, являющихся интеллектуальной собственностью. В частности, эти требования могут разрешать использование только тех материалов, которые были разработаны в самой организации, лицензированы или предоставлены организации разработчиками.
Программные продукты, являющиеся предметом интеллектуальной собственности, обычно распространяются на основе лицензионного соглашения, которое ограничивает использование этих продуктов отдельными компьютерами и может разрешать копирование только для создания резервных копий.
Требования законодательства могут отличаться в различных странах и при передаче информации, созданной в одной стране, в другую страну (т. е. при передаче данных через границы).