Управление непрерывностью бизнеса




Для минимизации отрицательных последствий, вызванных бедствиями и нарушениями безопасности, до приемлемого уровня с помощью профилактических и восстановительных мероприятий по управлению информационной безопасностью, необходимо создать управляемый процесс развития и поддержания непрерывности бизнеса для всей организации.

Этот процесс должен объединять ключевые элементы:

- понимание рисков, с которыми сталкивается организация;

- понимание возможных последствий нарушения бизнес-процессов в случае инцидентов;
- организацию оптимального страхования результатов обработки информациие;

- формулирование и документирование стратегии непрерывности бизнеса в соответствии с согласованными бизнес-целями и приоритетами;
- формулирование и документирование планов обеспечения непрерывности бизнеса в соответствии с согласованной стратегией;
- регулярное тестирование и обновление планов развития информационных технологий и существующих процессов;

- обеспечение органичного включения в процессы и структуру организации планов управления непрерывностью бизнеса.

Ответственность за координацию процесса управления непрерывностью бизнеса следует возлагать на орган, обладающий соответствующими полномочиями в организации, например на управляющий совет по информационной безопасности.

Планы обеспечения непрерывности бизнеса должны содержать следующее:
- условия реализации планов, которые определяют порядок действий должностных лиц, (как оценивать ситуацию, кто должен принимать участие, и т.д.)

- процедуры на случай чрезвычайных ситуаций, которые должны быть предприняты после инцидента. Необходимо, чтобы они включали также меры по управлению связями с общественностью и эффективное взаимодействие с соответствующими государственными органами, например с милицией, пожарной охраной и местными органами власти;
- процедуры перехода на аварийный режим работы, которые описывают необходимые действия по переносу важных бизнес-операций или сервисов-поддержки в альтернативное временное место размещения и по восстановлению бизнес-процессов в требуемые периоды времени;
- процедуры возобновления работы, которые описывают необходимые действия для возвращения к нормальному режиму ведения бизнеса;
- график поддержки плана, который определяет сроки и методы тестирования, а также описание процесса поддержки плана;
- мероприятия по обучению персонала, которые направлены на понимание процессов обеспечения непрерывности бизнеса сотрудниками, и поддержание постоянной эффективности этих процессов;
- обязанности должностных лиц, ответственных за выполнение каждого пункта плана. При необходимости должны быть указаны альтернативные ответственные.

Планы по обеспечению непрерывности бизнеса необходимо поддерживать в актуальном состоянии путем проведения регулярных пересмотров и обновлений с целью обеспечения уверенности в их постоянной эффективности.

Примеры ситуаций, которые могли бы потребовать обновления планов, включают приобретение нового оборудования или обновление операционных систем, а также изменения, связанные с:

- персоналом;

- адресами или номерами телефонов;

- стратегией бизнеса;

- местоположением, средствами и ресурсами;

- законодательством;

- подрядчиками, поставщиками и основными клиентами;

- процессами (как новыми, так и изъятыми);

- рисками (операционными и финансовыми).

12 Соответствие требованиям

Соответствие требованиям законодательства (соответствие политики)

Разработка, эксплуатация и управление информационными системами может попадать под действие требований к безопасности, определенных в законах, нормативных актах и контрактах. Необходимо обратиться к юрисконсультам организации или имеющим необходимую квалификацию юристам, чтобы получить консультации по вопросам, связанным с законодательством.

Для каждой информационной системы необходимо четко определить и задокументировать все имеющие к ней отношение требования законов, нормативных актов и контрактов. Подобным образом необходимо определить и задокументировать конкретные меры и обязанности отдельных сотрудников по соблюдению этих требований.

Необходимо реализовать процедуры, обеспечивающие соответствие законодательным ограничениям на использование материалов, на которые могут распространяться права интеллектуальной собственности (авторское право, право разработки, торговые марки и т. п.). Нарушение авторского права может привести к правовым действиям, в том числе и к уголовному преследованию.

Требования законов, нормативных актов и контрактов могут налагать ограничения на копирование материалов, являющихся интеллектуальной собственностью. В частности, эти требования могут разрешать использование только тех материалов, которые были разработаны в самой организации, лицензированы или предоставлены организации разработчиками.

Программные продукты, являющиеся предметом интеллектуальной собственности, обычно распространяются на основе лицензионного соглашения, которое ограничивает использование этих продуктов отдельными компьютерами и может разрешать копирование только для создания резервных копий.

Требования законодательства могут отличаться в различных странах и при передаче информации, созданной в одной стране, в другую страну (т. е. при передаче данных через границы).

 



Поделиться:




Поиск по сайту

©2015-2024 poisk-ru.ru
Все права принадлежать их авторам. Данный сайт не претендует на авторства, а предоставляет бесплатное использование.
Дата создания страницы: 2016-02-13 Нарушение авторских прав и Нарушение персональных данных


Поиск по сайту: