ГОСТ Р ИСО/МЭК 27031-2012
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Информационная технология
МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ
Руководство по готовности информационно-коммуникационных технологий к обеспечению непрерывности бизнеса
Information technology. Security techniques. Guidelines for information and communication technology readiness for business continuity
ОКС 35.040
Дата введения 2014-01-01
1 ПОДГОТОВЛЕН Обществом с ограниченной ответственностью "Научно-производственная фирма "Кристалл" (ООО "НПФ "Кристалл") и Обществом с ограниченной ответственностью "Информационный аналитический вычислительный центр" (ООО "ИАВЦ") на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 22 "Информационные технологии"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ приказом Федерального агентства по техническому регулированию и метрологии от 24 сентября 2012 г. N 426-ст
4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27031:2011* "Информационная технология. Методы и средства обеспечения безопасности. Руководство по готовности информационно-коммуникационных технологий к обеспечению непрерывности бизнеса" (ISO/IEC 27031:2011 "Information technology - Security techniques - Guidelines for information and communication technology readiness for business continuity", IDT).
________________
* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА
5 ВВЕДЕН ВПЕРВЫЕ
6 ПЕРЕИЗДАНИЕ. Октябрь 2019 г.
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
Информационно-коммуникационные технологии (ИКТ) со временем стали составной частью многих видов деятельности, являющихся элементами критических инфраструктур во всех секторах: государственном, частном или общественном. Распространение Интернета и других электронных сетевых услуг и современные возможности систем и прикладных программ также означают, что организации стали еще более зависимы от заслуживающих доверия, надежных и безопасных инфраструктур ИКТ.
Между тем потребность в менеджменте непрерывности бизнеса (МНБ), включая готовность к инцидентам, планирование восстановления после бедствия, реагирование на чрезвычайные ситуации и их менеджмент, была признана и поддерживается в конкретных областях знаниями, опытом и разработанными и опубликованными за последние годы стандартами, включая международные стандарты по менеджменту непрерывности бизнеса, разработанные ИСО/ТК 223.
Примечание - В ИСО/ТК 223 находится в процессе разработки соответствующий международный стандарт по менеджменту непрерывности бизнеса (ИСО 22301).
Сбои услуг ИКТ, включая возникновение таких проблем безопасности, как вторжение в систему или инфицирование вредоносной программой, будут оказывать влияние на непрерывность операций бизнеса. Следовательно, менеджмент ИКТ и связанная с ними непрерывность, а также другие аспекты безопасности формируют ключевую часть требований по обеспечению непрерывности бизнеса. Кроме того, в большинстве случаев критические функции бизнеса, которые необходимы для обеспечения непрерывности бизнеса, обычно зависят от ИКТ. Такая зависимость означает, что нарушения ИКТ могут создавать стратегические риски для репутации организации и ее возможности функционирования.
Для многих организаций готовность ИКТ является важнейшей составляющей в реализации менеджмента непрерывности бизнеса и менеджмента информационной безопасности. Частью реализации и функционирования системы менеджмента информационной безопасности (СМИБ), определенной в ИСО/МЭК 27001, и системы менеджмента непрерывности бизнеса (СМНБ), соответственно, является необходимость разработки и реализации плана обеспечения готовности услуг ИКТ для обеспечения уверенности в непрерывности бизнеса.
В результате эффективность менеджмента непрерывности бизнеса часто зависит от фактической готовности ИКТ, обеспечивающей уверенность в том, что в период нарушения продолжают выполняться цели организации. Это особенно важно в связи с тем, что последствия нарушений ИКТ часто имеют дополнительные осложнения, будучи скрытыми и (или) трудно обнаруживаемыми.
Чтобы организация достигла готовности ИКТ к обеспечению непрерывности бизнеса (ГИКТОНБ), ей необходимо ввести систематический процесс предупреждения, прогнозирования и менеджмента нарушений ИКТ и инцидентов, обладающих возможностью нарушения услуг ИКТ. Лучше всего этого можно достичь путем применения фаз цикла "планирование - осуществление - проверка - действие" (РДСА - Plan-Do-Check-Act) как части системы менеджмента в ГИКТОНБ. Таким способом ГИКТОНБ будет поддерживать менеджмент непрерывности бизнеса, обеспечивая уверенность в соответствующей устойчивости услуг ИКТ и возможности их восстановления до заранее определенных уровней в рамках временных сроков, требуемых и согласованных организацией.
Таблица 1 - Цикл "Планирование - осуществление - проверка - действие" в ГИКТОНБ
Планирование | Установление политики, целей, планов, процессов и процедур ГИКТОНБ, относящихся к менеджменту риска и совершенствованию готовности ИКТ, для достижения результатов в соответствии с общими политиками и целями обеспечения непрерывности бизнеса организации |
Осуществление | Внедрения и выполнение политики, мер и средств контроля и управления, процессов и процедур ГИКТОНБ |
Проверка | Оценка и, где это применимо, измерение показателей эффективности процесса по отношению к политике ГИКТОНБ, целям и практическому опыту, и уведомление о результатах руководства для рассмотрения |
Действие | Принятие корректирующих и превентивных мер на основе результатов проводимой руководством проверки для достижения постоянного совершенствования ГИКТОНБ |
Если организация применяет ИСО/МЭК 27001 для создания СМИБ и (или) применяет соответствующие стандарты для создания СМНБ, предпочтительно, чтобы при создании ГИКТОНБ учитывались существующие или планируемые процессы, связанные с этими стандартами. Такая связь поможет поддержать создание ГИКТОНБ, а также поможет избежать любых двойственных процессов для организации. На рисунке 1 показано взаимодействие ГИКТОНБ и СМНБ.
При планировании и реализации ГИКТОНБ организация может обращаться к ИСО/МЭК 24762:2008 по вопросу планирования и предоставления услуг по восстановлению ИКТ после бедствия независимо от того, предоставляются ли такие услуги самой организацией или привлеченным поставщиком услуг.
Рисунок 1 - Интеграция ГИКТОНБ и СМНБ
В настоящем стандарте описываются концепции и принципы готовности информационно-коммуникационных технологий (ИКТ) к обеспечению непрерывности бизнеса (ОНБ) и предоставляется система методов и процессов определения и точного изложения всех аспектов (таких как критерии эффективности, проектирование и реализация) для совершенствования готовности ИКТ организации к обеспечению непрерывности бизнеса. Он применим для любой организации (частной, государственной, негосударственной, независимо от ее размера), разрабатывающей программу готовности ИКТ к обеспечению непрерывности бизнеса (ГИКТОНБ) и требующей от своих услуг/инфраструктур ИКТ готовности к поддержке операций бизнеса в случае возникновения событий, инцидентов и связанных с ними нарушений, которые могут оказывать влияние на непрерывность (включая безопасность) критических функций бизнеса. Он также дает возможность организации измерять параметры эффективности, связанные с ГИКТОНБ, согласованным и признанным способом.
Область применения настоящего стандарта охватывает все события и инциденты (в том числе связанные с безопасностью), которые могут оказывать влияние на инфраструктуры и системы ИКТ. Он включает и развивает практические приемы урегулирования и менеджмента инцидентов информационной безопасности, а также услуг ИКТ и планирования готовности ИКТ.
В настоящем стандарте использованы нормативные ссылки на следующие стандарты. Для датированных ссылок применяют только указанное издание ссылочного стандарта, для недатированных - последнее издание (включая все изменения).
ISO/IEC TR 18044:2004, Information technology - Security techniques - Information security incident management (Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности)
________________
Заменен на ISO/IEC 27035:2011.
ISO/IEC 27000, Information technology - Security techniques - Information security management systems - Overview and vocabulary (Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Обзор и терминология)
ISO/IEC 27001, Information technology - Security techniques - Information security management systems - Requirements (Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования)
ISO/IEC 27002, Information technology - Security techniques - Code of practice for information security management (Информационная технология. Методы и средства обеспечения безопасности. Свод правил для менеджмента информационной безопасности)
ISO/IEC 27005, Information technology - Security techniques - Information security risk management (Информационная технология. Методы и средства обеспечения безопасности. Менеджмент рисков информационной безопасности)
В настоящем стандарте применены термины и определения, приведенные в ИСО/МЭК ТО 18044, ИСО/МЭК 27000, ИСО/МЭК 27001, ИСО/МЭК 27002, ИСО/МЭК 27005 и представленные ниже.
3.1 альтернативная площадка (alternative site): Альтернативное рабочее помещение, выбранное организацией для использования в случае, если после аварии обычные операции бизнеса не могут осуществляться в обычном помещении.
3.2 менеджмент непрерывности бизнеса; МНБ (business continuity management - BCM): Целостный управленческий процесс, идентифицирующий потенциальные угрозы для организации и их влияние на операции бизнеса, и обеспечивающий основу для повышения устойчивости организации с возможностью эффективного реагирования, что обеспечивает защиту интересов основных причастных сторон организации, ее репутации, бренда и деятельности по созданию ценностей.
3.3 план обеспечения непрерывности бизнеса; ПНБ (business continuity plan - BCP): Документированные процедуры, которым следует организация при осуществлении реагирования, восстановления, возобновления и возвращения к заранее определенному уровню операций после нарушения.
Примечание - Обычно он охватывает ресурсы, услуги и мероприятия, необходимые для обеспечения непрерывности критических функций бизнеса.
3.4 анализ влияния на бизнес; АВБ (business impact analysis - BIA): Процесс анализа оперативных функций и влияния, которое может оказывать на них нарушение функционирования бизнеса.
3.5 критический (critical): Качественная характеристика, используемая, чтобы подчеркнуть важность ресурса, процесса или функции, которые должны быть постоянно доступными и действующими или доступными и действующими с наиболее раннего возможного момента времени после инцидента, чрезвычайной ситуации или бедствия.
3.6 нарушение (disruption): Ожидаемый (например, ураган) или непредвиденный (например, нарушение/прекращение энергоснабжения, землетрясение или атака на системы/инфраструктуру ИКТ) инцидент, который нарушает обычный ход операций на площадке организации.
3.7 восстановление ИКТ после бедствия (ICT disaster recovery): Способность элементов ИКТ организации поддерживать ее критические функции бизнеса на приемлемом уровне в течение определенного периода времени после нарушения.
3.8 план восстановления ИКТ после бедствия (ICT disaster recovery plan - ICT DRP): Четко определенный и документально оформленный план по восстановлению возможностей ИКТ в случае возникновения нарушения.
Примечание - В некоторых организациях его называют планом обеспечения непрерывности ИКТ.
3.9 характер отказа (failure mode): Признаки, посредством которых отказ проявляется.
Примечание - Характер отказа обычно описывает, как происходит отказ, и какое влияние он оказывает на функционирование системы.
3.10 готовность ИКТ к обеспечению непрерывности бизнеса; ГИКТОНБ (ICT readiness for business continuity - IRBC): Способность организации поддерживать свои операции бизнеса путем предупреждения, обнаружения, реагирования на нарушения и восстановления услуг ИКТ.
3.11 минимальная цель обеспечения непрерывности бизнеса; МЦНБ (minimum business continuity objective - MBCO): Обеспечение минимального уровня услуг и (или) продуктов, которые являются приемлемыми для организации в достижении ее целей бизнеса во время нарушения.
3.12 заданная точка восстановления; ЗТВ (recovery point objective - RPO): Момент времени, к которому должны быть восстановлены данные после произошедшего нарушения.
3.13 заданное время восстановления; ЗВВ (recovery time objective - RTO): Период времени после произошедшего нарушения, в течение которого должны быть восстановлены минимальные уровни услуг и (или) продукты, а также поддерживающие системы, прикладные программы или функции.
3.14 устойчивость (resilience): Способность организации противостоять нарушению, будучи затронутой им.
3.15 инициатор (trigger): Событие, которое инициирует реакцию системы.
Примечание - Также известен, как инициирующее событие.
3.16 важнейшая запись (vital record): Электронная или бумажная запись, которая необходима для сохранения, продолжения или восстановления деятельности организации и для защиты прав организации, ее служащих, клиентов и заинтересованных сторон.
В настоящем стандарте применяют следующие сокращения:
CFIA - анализ влияния отказа компонентов (component failure impact analysis);
DRP - планирование восстановления после бедствия (disaster recovery planning);
FMEA - анализ вида отказов и их влияния (failure mode effect analysis);
PDCA - планирование-осуществление-проверка-действие (Plan-Do-Check-Act);
RAID - избыточные дисковые массивы (redundant array of disks);
SAN - сеть хранения данных (storage area network);