Embed Size (px)
Citation preview
Energy Consulting/Integration
Ключевые аспектыреализации проекта BCP –взгляд консультанта
Голов Андрей, CISSP, CISA
Руководитель направления ИБ
План презентации
Анализ бизнес-процессов, последствий и рисков ЧСПринципы и основыобеспечения
непрерывностиСтратегия создания системы
защитыот ЧС
Критичные факторы успехав BCP
Определение основных бизнес процессов, в том числеинформацию о требуемых ресурсах, трафике, количестве работ пообеспечению каждого бизнес процесса в течение нормальногобизнес дня, недели, месяца.Оценка риска (Risk assessment) и идентификация возможныхпрерывателей бизнеса (ранжирование по степени важности), уменьшение нежелательных последствий от наступления событий, связанных с риском (Risk analysis), в том числе и определение RTO (recovery time objective) для жизненно важных б.п.Анализ воздействия на бизнес (Business impact analysis), в томчисле диаграммы бизнес процессов с привязкой к ИТ ресурсам.Оценка рисков в проекции на ИТ сервисы.Оценка инфраструктурных решений на достаточность поддержкисуществующих DRP процедур.Привязка критичных ИТ сервисов к компонентам, составляющимИТ инфраструктуру.Оценка достаточности персонала для проведения BCP с нужнымипараметрамиВыделение критичных ресурсов из всей ИТ инфраструктуры.
BCP
BIA
Идентификация и классификация рисков ЧС;Оценка негативных последствий нарушения штатного режимавыполнения отдельных бизнес-процессов и функциональнойработоспособности в целом;Определение области недопустимых (неприемлемых) последствийи максимально допустимого времени простоя/восстановлениябизнес-процессов;Выявление критических бизнес-процессов; определение длякаждого из них требований к ключевым параметрамвосстановления – к времени восстановления работоспособностибизнес-процесса и к времени его стабилизации (возврата вштатный режим выполнения);Определение цены рисков ЧС, в том числе убытков и другихнегативных последствий, с учетом вероятностных характеристикугроз ЧС, а также уязвимости объектов и бизнес-процессов;Анализ интегральных рисков ЧС и определение исходныхориентиров для последующей оценки приемлемых затрат наобеспечение непрерывности функционирования и компенсациюубытков.
Практика
Business Function RL RTO RPO
PRODUCTION
Develop & maintain procurement policies Low
727 = 1 month
727 = 1 month
Maintain supplier certification & monitor performance Low
727 = 1 month
727 = 1 month
Manage procurement contracts and RFQs Low
727 = 1 month
727 = 1 month
Monitor and manage supplier contractsLow
727 = 1 month
727 = 1 month
Create & maintain purchase requisitions / orders High
168 = 1 week
727 = 1 month
Purchase materials & servicesHigh
168 = 1 week
727 = 1 month
Enable paymentHigh
168 = 1 week
727 = 1 month
Purchasing Management
Supplier Selection & Management
BUY
так
Практика
Классификация ЧС по области распространения и масштабам последствий
Виды чрезвычайных ситуацийХарактеристики
ЧС Локальн. Местные Территор. Регион. Федеральн.
Числопострадавших
до5 ⁄ 50
до50 ⁄ 300
до500 ⁄ 500
до500 ⁄ 1000
свыше500 ⁄ 1000
Стоимостьпотерь [МРОТ] до 0,5 тыс. до 2 тыс. до 300
тыс. до 3 млн. свыше3 млн.
Областьраспространения
в пределахтерритори
иобъекта
в пределахтерритори
ирайонаМосквы
в пределахтерритори
иМосквы
в пределахтерриторииМосквы иМосковскойобласти
запределамитерриторииМосквы,
Московскойобласти
Отв. заликвидациюпоследствий
илитак
Динамика роста объемов невыполненных обязательств, убытков и т.п. вследствие простоя коммерческих операций
Строим процесс…
• Процесс действий в условиях аварии.• Процесс уведомления.• Процесс объявления аварии.• Процесс восстановления систем.• Процесс восстановления сети.• Процесс восстановления пользователя.• Процесс спасения имущества.• Процесс переезда на новую площадку.
Строим процесс…
Business Impact AnalysisRisk Analysis
Recovery Strategy
Group Plans and Procedures
Business Continuity Planning Initiation
Risk ReductionImplement
Standby Facilities
Create Planning Organization
PROCESSChange Management Education Testing Review
Policy ScopeResourcesOrganization
Project
Testing
Компоненты BCP
Люди
Технологии
Организация
BCP
Продукты/сервисы
Процессы
так
Компоненты BCP
или
так
Risk Analysis
Vital Applications and Datasets Identification
Business Resumption Plan Maintenance Process
Hotsite Testing
Conference Room Simulations
Off-site Data Backup Process
Business Resumption Plan
ArchitectureBackup
Processing Capability
Executable Business
Resumption Plan
Компоненты BCP
Identify Customer and Business Requirements
Identify External Requirements: Government, Industry, and
Legal
Define Criticality Criteria
Identify Vital Business
Processes, Applications and
Datasets
Determine Disaster Cost
Impact on Bus. Processes
Identify Inter-dependencies
Define Recovery Windows
Identify Off site Data Backup Alternatives
Identify Backup Processing Alternatives
Formulate Strgy. Based on Optimum Cost Benefit
Implement Off site Data And
Alternate Processing
Form Disaster Recovery
Teams
Develop Notification And Plan Activation
Procedures
Develop Detailed Recovery
Procedures
Develop Plan Distribution and Control Procedures
Develop Test Plans
Conduct “Conference
Room”Simulations
Perform Hotsite Tests
Evaluate Test Results
Perform Process Improvements Based on Test
Results
Develop Revised BRPs as Required
Consolidate Revision
Information
Develop BRP Maintenance
Process
Project Initiation
Business Impact
Analysis
Recovery Strategies
Plan Development
Testing Maintenance And Training
Perform Risk Assessment
Obtain Management
Support
Implement Proj. Planning/
Control Process
Identify Network Backup
Alternatives
Develop Emergency Response
Procedures
Develop Corporate Awareness Program
DevelopBRP-Specific
Training Program
Документация…
•Описание Crisis Management Team.•Описание процедуры запуска BCP, включая процедурыоповещения персонала, политики перемещений и т.п..•Описание стратегии восстановления и плана действий персоналав случаях наступления рисков, включая описание возможныхвариантов имитации бедствия/прерывания бизнеса.•Определение и описание процедуры поддержки и обновленияплана.•Описание процесса обучения.•Регламент сопровождения и программа поддержки плананепрерывности бизнеса•Программа тестирования плана непрерывности бизнеса.•Инструкции о порядке внесения изменений в планнепрерывности бизнеса.
Спонсоры…
How Are Continuity Costs Funded?
0,00% 5,00% 10,00% 15,00% 20,00% 25,00% 30,00% 35,00%
IT Department
Corporate
Business Unit
Other
The Disaster Recovery Journal SurveyThe Disaster Recovery Journal Survey
Сколько это стоит?
Вложения в % от стоимости обрабатываемых данных, сделанные в Business Continuity/Disaster Recovery по данным журнала Disaster Recovery
Journal
0.00% 10.00%
20.00%
30.00%
40.00%
50.00%
60.00%
70.00%
80.00%
Меньше чем 1/2%
Между 1% - 2%
Больше чем 5%
Ведение «Плана обеспечения бесперебойной деятельности» требует постоянныхвременных затрат и финансовых ресурсов
КОНТАКТЫ:
115093, Москва, Россия, Павловская ул. д. 7Тел: + 7 (495) 980-9081Факс: + 7 (495) 980-9082
e-mail: [email protected]
www.ec-group.ru
КОНТАКТЫ
Центральный офис115093, Москва, ул. Павловская, 7 Телефон: +7 (495) 980-9081 Факс: +7 (495) 980-9082 E-mail: [email protected]
Филиал в Санкт-Петербурге199106, Санкт-Петербург, Васильевский остров, Большой проспект, д. 80Телефон: +7 (812) 3321314Телефон/факс: +7 (812) 3322029
Офис в Казани420012, Казань, ул. Достоевского, д. 18/75Телефон/факс: +7 (843) 5265150
www.ec-group.ru
