ГОСТ Р 55235.3-2012
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
ПРАКТИЧЕСКИЕ АСПЕКТЫ МЕНЕДЖМЕНТА НЕПРЕРЫВНОСТИ БИЗНЕСА
Применение к информационным и коммуникационным технологиям
Practical aspects of business continuity management. Code of practice for information and communications technologies
ОКС 03.100.01
Дата введения 2013-12-01
1 ПОДГОТОВЛЕН Автономной некоммерческой организацией "Научно-исследовательский центр контроля и диагностики технических систем" (АНО "НИЦ КД") на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в разделе 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 10 "Менеджмент риска"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 29 ноября 2012 г. N 1278-ст
4 Настоящий стандарт идентичен международному стандарту BS 25777:2008* "Менеджмент непрерывности информационных и коммуникационных технологий. Практическое руководство" ("Information and communications technology continuity management - Code of practice", IDT).
________________
* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.
Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5-2012 (пункт 3.5).
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов, указанных в библиографии настоящего стандарта, соответствующие им национальные и межгосударственный стандарты, сведения о которых приведены в дополнительном приложении ДА
5 ВВЕДЕН ВПЕРВЫЕ
6 ПЕРЕИЗДАНИЕ. Июнь 2020 г.
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
Менеджмент непрерывности информационных и коммуникационных технологий и его взаимосвязь с менеджментом непрерывности бизнеса
Процессы производства продукции и предоставления услуг во многих организациях напрямую зависят от информационных и коммуникационных технологий (ИКТ). Сбои в работе информационных и коммуникационных технологий могут представлять собой стратегическую опасность для организации, при возникновении которой может быть нарушены нормальный ход деятельности организации и ее репутация. Последствия нарушения услуг информационных и коммуникационных технологий могут быть разноплановыми, зачастую неочевидными в момент сбоя.
Менеджмент непрерывности информационных и коммуникационных технологий является частью общего процесса менеджмента непрерывности бизнеса (МНБ) организации. Основной целью МНБ является обеспечение непрерывности процессов организации и ее способность быстро и эффективно реагировать на все нарушения и сбои в работе. Поэтому наряду с установленными приоритетами в области МНБ, организация также должна проанализировать и определить требования к обеспечению непрерывности информационных и коммуникационных технологий. Менеджмент непрерывности информационных и коммуникационных технологий обеспечивает непрерывность предоставления услуг информационных и коммуникационных технологий и возможность их восстановления до требуемого уровня в сроки, устанавливаемые высшим руководством. Результативность МНБ зависит от менеджмента непрерывности информационно-коммуникационных технологий, обеспечивающего достижение установленных целей организации, особенно в моменты сбоев в их работе. Для успешного внедрения МНБ и менеджмента непрерывности информационно-коммуникационных технологий необходимо, чтобы они стали неотъемлемой частью культуры организации (см. рисунок 1).
________________
Включая поддерживающую информационную и телекоммуникационную инфраструктуру (сети и их компоненты), компьютерные аппаратные средства, программное обеспечение, услуги информационных и коммуникационных технологий и сопровождение (например, служба технической поддержки).
МНБ и менеджмент непрерывности информационно-коммуникационных технологий обеспечивают эффективность стратегического и оперативного менеджмента, а также устойчивость развития организации. Ответственность за поддержание непрерывности работы организации, в том числе в период нарушений и сбоев, несет высшее руководство. В соответствии с законодательными и обязательными требованиями организации должны иметь выбранные с учетом оценки риска эффективные средства управления, включая МНБ.
Менеджмент непрерывности информационных и коммуникационных технологий и общая стратегия организации
Менеджмент непрерывности информационных и коммуникационных технологий является важным элементом общей стратегии менеджмента информационных и коммуникационных технологий и оказываемых услуг, необходимых для достижения установленных целей организации, а также ее способности непрерывно поставлять ключевые продукцию и услуги при возникновении неблагоприятных ситуаций.
Преимущества внедрения эффективного менеджмента непрерывности информационных и коммуникационных технологий
Все виды деятельности организации могут быть подвергнуты нарушениям и сбоям под воздействием внутренних и внешних событий, таких как технологические отказы, пожары, наводнения, сбои в работе коммунальных сетей, заболевания персонала или преднамеренное нанесение ущерба. Менеджмент непрерывности информационных и коммуникационных технологий обеспечивает устойчивость работы организации путем предупреждения нарушений и сбоев информационных и коммуникационных технологий и восстановления после их возникновения.
Преимуществами внедрения организацией эффективного менеджмента непрерывности информационных и коммуникационных технологий являются:
- анализ, понимание угроз и уязвимостей при предоставлении услуг информационных и коммуникационных технологий;
Рисунок 1 - Взаимосвязь между менеджментом непрерывности информационных и коммуникационных технологий и менеджментом непрерывности бизнеса
- идентификация воздействий нарушений и сбоев информационных и коммуникационных технологий;
- обеспечение эффективного сотрудничества между персоналом организации и поставщиками услуг информационных и коммуникационных технологий (внутренними и внешними);
- повышение компетентности персонала в области информационных и коммуникационных технологий путем демонстрации навыков применения ответных мер в соответствии с планами обеспечения непрерывности информационных и коммуникационных технологий и реализации мероприятий по тестированию непрерывности работы информационных и коммуникационных технологий;
- обеспечение гарантированного уровня предоставления услуг информационных и коммуникационных технологий и получения необходимой технической поддержки и обмена информацией в случае сбоя;
- повышение доверия к стратегии непрерывности бизнеса организации путем установления связи между инвестициями в информационные и коммуникационные технологии и требованиями бизнеса, а также предоставление гарантированной защиты услуг информационных и коммуникационных технологий на установленном уровне в соответствии с их приоритетностью для организации;
- обеспечение достаточности инвестиций и экономической эффективности услуг информационных и коммуникационных технологий с учетом:
- уровня зависимости организации от услуг информационных и коммуникационных технологий;
- характера, расположения, взаимозависимости и использования компонентов услуг информационных и коммуникационных технологий;
- повышение репутации организации от внедрения услуг информационных и коммуникационных технологий;
- получение дополнительных конкурентных преимуществ путем демонстрации способности обеспечить непрерывность бизнеса и поставки продукции и услуг в момент возникновения нарушений и сбоев;
- анализ и регистрация ожиданий всех причастных к деятельности организации сторон и связь этих ожиданий с использованием услуг информационных и коммуникационных технологий.
Непрерывность информационных и коммуникационных технологий в рамках общей стратегии их развития можно обеспечить с меньшими затратами уже на стадии проектирования и разработки услуг информационных и коммуникационных технологий. Внедрение элементов менеджмента непрерывности бизнеса на стадии проектирования помогает лучше интегрировать, понять, уменьшить затраты и упростить поддержку услуг информационных и коммуникационных технологий. Внедрение системы менеджмента непрерывности услуг информационных и коммуникационных технологий может быть сложной и дорогостоящей задачей. Содержание программы обеспечения непрерывности информационных и коммуникационных технологий часто зависит от склонности организации к риску.
Основные направления менеджмента непрерывности информационных и коммуникационных технологий
Менеджмент непрерывности информационных и коммуникационных технологий направлен на определение вероятности и последствий нарушений и/или сбоев, а также на обеспечение способности организации к быстрому их обнаружению и принятию необходимых ответных мер по восстановлению нормального хода деятельности. Для этого организация должна проводить мониторинг услуг информационных и коммуникационных технологий, направленный на обеспечение:
- жизнеспособности услуг и возможности их восстановления на установленном уровне;
- своевременного выявления, анализа и обработки непредвиденных событий при предоставлении услуги;
- исследования связи между услугами информационных и коммуникационных технологий и изменениями внешних факторов и использования полученной информации для оценки риска и воздействия изменений;
________________
Такие как продавцы, клиенты, партнеры в цепи поставок и поставщики услуг по аутсорсингу.
- исследования зависимости деятельности организации от технических компонентов и использования полученной информации для оценки риска и воздействия изменений.
________________
Примеры приведены в разделе "Элементы услуг информационных и коммуникационных технологий".
Процессы и решения в области менеджмента непрерывности информационных и коммуникационных технологий необходимы для обеспечения выполнения законодательных и обязательных требований, таких как защита персональных данных.
Принципы менеджмента непрерывности информационных и коммуникационных технологий
Основой непрерывности информационных и коммуникационных технологий являются шесть ключевых принципов:
a) Защита: Защита среды информационных и коммуникационных технологий от инцидентов, сбоев и нарушений путем повышения жизнеспособности услуг информационных и коммуникационных технологий крайне важна для поддержания необходимого уровня доступности услуги для организации.
b) Выявление: Выявление инцидентов на ранней стадии минимизирует их воздействие на услуги, уменьшает объем работы по восстановлению и сохраняет качество услуги информационных и коммуникационных технологий.
c) Реагирование: Адекватное реагирование на инцидент приводит к более эффективному восстановлению и позволяет снизить время простоя. Неадекватная реакция может привести к превращению незначительного инцидента в серьезную проблему.
d) Восстановление: Идентификация и внедрение соответствующей стратегии восстановления обеспечивают своевременное восстановление предоставления услуг и поддержку целостности данных. Расстановка приоритетов при восстановлении позволяет в первую очередь восстановить наиболее важные для организации услуги. Менее важные услуги могут быть восстановлены позднее или, в некоторых случаях не подлежат восстановлению.
e) Эксплуатация: Обеспечение возможности предоставления услуг в режиме аварийного восстановления до полного возвращения системы к рабочему состоянию. Восстановление может потребовать определенного времени и увеличения масштаба операций по аварийному восстановлению услуг, удовлетворяющих возрастающие потребности бизнеса.
f) Возврат: Разработка стратегии для каждого плана непрерывности информационных и коммуникационных технологий, обеспечивающей переход организации из режима аварийного восстановления информационных и коммуникационных технологий к состоянию, при котором услуги могут поддерживать нормальный режим функционирования бизнеса.
Элементы услуг информационных и коммуникационных технологий
Ключевые элементы услуг информационных и коммуникационных технологий включают (см. также приложение А):
a) персонал: специалисты (включая их заместителей), обладающие соответствующими знаниями и способные замещать смежные функции;
b) производственные площади: физическая среда расположения ресурсов в области информационных и коммуникационных технологий;
c) технологии:
1) серверы, средства хранения информации, устройства записи, стеллажи, а также другие аппаратные средства и приспособления;
2) информационно-коммуникационные сети, включая средства передачи данных и голосовой связи, в том числе коммутаторы и маршрутизаторы;
3) программное обеспечение, включая программное обеспечение операционной системы и прикладное программное обеспечение, взаимосвязи и интерфейсы между приложениями и процедурами пакетной обработки.
d) информация: данные приложений, голосовые данные и прочие типы данных;
e) процессы: включая сопроводительную документацию, описывающую конфигурацию ресурсов информационных и коммуникационных технологий и обеспечивающую эффективное функционирование, восстановление и сопровождение услуг информационных и коммуникационных технологий;
f) поставщики: прочие компоненты услуг полного цикла в случае, если предоставление услуг информационных и коммуникационных технологий зависит от стороннего поставщика услуг или другой организации в цепи поставки, например поставщика данных о финансовом рынке, телекоммуникационного оператора или поставщика услуг доступа в Интернет.
________________
От компьютерного зала (который может быть центром данных и узлом связи) к рабочему столу пользователя или другому каналу доставки, такому как веб-приложение, мобильный телефон, пункт продажи и банкомат.