ГОСТ Р ИСО МЭК 17799 (1027767), страница 21
Текст из файла (страница 21)
Следует учитывать потребности в необходимых для этого сервиса ресурсов, включая укомплектование персоналом, альтернативными ресурсами для средств обработки информации, а такжемеры по переходу на аварийный режим работы для этих средств .11.1.4 Структура планов обеспечения непрерывности бизнесаСледует поддерживать единую структуру планов обеспечения непрерывности бизнеса в целяхобеспечения непротиворечивости всех планов и определения приоритетов для тестирования и обслуживания средств и систем обработки информации. Необходимо, чтобы каждый план обеспечениянепрерывности бизнеса четко определял условия его реализации, а также должностных лиц, ответственных за выполнение каждого его пункта. При выявлении новых требований необходимо вноситьсоответствующие корректировки в процедуры на случай чрезвычайных ситуаций, например в планыэвакуации или в любые существующие планы по переходу на аварийный режим работы.Необходимо, чтобы в структуре планов обеспечения непрерывности бизнеса предусматривалосьследующее:- условия реализации планов, которые определяют порядок действий должностных лиц, которомунеобходимо следовать (как оценивать ситуацию, кто должен принимать участие, и т.
д.) перед введением в действие каждого пункта плана;- процедуры на случай чрезвычайных ситуаций, которые должны быть предприняты после инцидента, подвергающего опасности бизнес-операции и/или человеческую жизнь. Необходимо, чтобы онивключали также меры по управлению связями с общественностью и эффективное взаимодействие ссоответствующими государственными органами, например с милицией, пожарной охраной и местнымиорганами власти;- процедуры перехода на аварийный режим работы, которые описывают необходимые действия попереносу важных бизнес-операций или сервисов-поддержки в альтернативное временное место размещения и по восстановлению бизнес-процессов в требуемые периоды времени;- процедуры возобновления работы, которые описывают необходимые действия для возвращенияк нормальному режиму ведения бизнеса;- график поддержки плана, который определяет сроки и методы тестирования, а также описаниепроцесса поддержки плана;48- мероприятия по обучению персонала, которые направлены на понимание процессов обеспечения непрерывности бизнеса сотрудниками, и поддержание постоя иной эффективности этих процессов;- обязанности должностных лиц, ответственных за выполнение каждого пункта плана.
При необходимости должны быть указаны альтернативные ответственные.Необходимо, чтобы за каждый план отвечал конкретный руководитель (сотрудник). Чрезвычайныемеры, планы по переходу на аварийный режим ручной обработки, планы по возобновлению работы следует включать в сферу ответственности владельцев соответствующих бизнес-ресурсов или участниковзатрагиваемых процессов. За меры по переходу на аварийный режим работы с использованием альтернативных технических средств, таких как средства обработки информации и связи, ответственностьнесут поставщики услуг.11.1.5 Тестирование, поддержка и пересмотр планов по обеспечению непрерывности бизнеса11.1.5.1 Тестирование плановПланы по обеспечению непрерывности бизнеса могут оказаться несостоятельными при тестировании из-за неправильных предпосылок разработки, недосмотру или вследствие изменений, связанныхс заменой оборудования или персонала. Поэтому планы необходимо регулярно тестировать для обеспечения уверенности в их актуальности и эффективности.
Такие тесты необходимы также для обеспечения знания своих обязанностей всеми членами команды восстановления и другим персоналом,имеющим к этому отношение.Необходимо, чтобы в графике тестирования плана по обеспечению непрерывности бизнеса указывалось, как и когда следует проверять каждый пункт плана. Периодичность и методы тестированияотдельных пунктов плана могут быть различными. При этом могут использоваться следующие методы:- тестирование («имитация прогона») различных сценариев (обсуждение мер по восстановлениюбизнеса на различных примерах прерываний);- моделирование (особенно для тренировки персонала по выполнению своих функций после инцидента и перехода к кризисному управлению);- тестирование технического восстановления (обеспечение уверенности в эффективном восстановлении информационных систем);- проверка восстановления в альтернативном месте (бизнес-процессы осуществляются параллельно с операциями по восстановлению в удаленном альтернативном месте);- тестирование средств и сервисов-поставщиков (обеспечение уверенности в том, что предоставленныесторонними организациями сервисы и программные продукты удовлетворяют контрактным обязательствам);- «генеральные репетиции» (тестирование того, что организация, персонал, оборудование, средства и процессы могут справляться с прерываниями).Методы тестирования могут использоваться любой организацией и необходимо, чтобы они отражали специфику конкретного плана по восстановлению.11.1.5.2 Поддержка и пересмотр плановПланы по обеспечению непрерывности бизнеса необходимо поддерживать в актуальном состоянии путем проведения регулярных пересмотров и обновлений с целью обеспечения уверенности в ихпостоянной эффективности (11.1.5.1).
В рамках программы развития организации необходимо предусматривать соответствующие процедуры, обеспечивающие непрерывность бизнеса.Необходимо назначать ответственных за проведение регулярных пересмотров плана по обеспечению непрерывности бизнеса; идентифицированные изменения в бизнес-процессах, еще не отраженные в планах по обеспечению непрерывности бизнеса, должны быть учтены путем соответствующихобновлений планов.
Формализованный процесс управления изменениями должен обеспечивать рассылку и ввод в действие обновленных планов в рамках их регулярных пересмотров.Примеры ситуаций, которые могли бы потребовать обновления планов, включают приобретениенового оборудования или обновление операционных систем, а также изменения, связанные с:- персоналом;- адресами или номерами телефонов;- стратегией бизнеса;- местоположением, средствами и ресурсами;- законодательством;- подрядчиками, поставщиками и основными клиентами;- процессами (как новыми, так и изъятыми);- рисками (операционными и финансовыми).4912 Соответствие требованиям12.1 Соответствие требованиям законодательстваЦель: предотвращение любых нарушений норм уголовного и гражданского права, обязательныхпредписаний и регулирующих требований или договорных обязательств, а также требований безопасности.Проектирование и функционирование информационных систем, их использование и управлениеими могут быть предметом обязательных предписаний, регулирующих требований, а также требованийбезопасности в договорных обязательствах.Следует консультироваться с юристами организации или с практикующими юристами, имеющимисоответствующую квалификацию, в отношении конкретных юридических вопросов.
Следует иметь ввиду, что законодательные требования в отношении информации, созданной в одной стране и переданной в другую страну (например, информационный поток, передаваемый за границу государства), различаются в разных странах.12.1.1 Определение применимого законодательстваВсе применяемые нормы законодательства, обязательные предписания, регулирующие требования и договорные обязательства, следует четко определять и документировать для каждой информационной системы. Конкретные мероприятия по обеспечению информационной безопасности ииндивидуальные обязанности должностных лиц по выполнению этих требований необходимо соответствующим образом определять и документировать.12.1.2 Права интеллектуальной собственности12.1.2.1 Авторское правоНеобходимо внедрять процедуры, обеспечивающие соответствие законодательным ограничениям на использование материала, в отношении которого могут существовать права на интеллектуальнуюсобственность, такие как авторское право, права на проект, торговые марки.
Нарушение авторского права может привести к судебным процессам, предполагающим возможность уголовной ответственности.Законодательные, регулирующие и договорные требования могут вводить ограничения на копирование материалов, являющихся предметом собственности. В частности, эти ограничения могут содержать требования к использованию только тех материалов, которые или разработаны организацией, илилицензированы, или предоставляются разработчиком для организации.12.1.2.2 Авторское право на программное обеспечениеПрограммные продукты, являющиеся предметом чьей-то собственности, обычно поставляются врамках лицензионного соглашения, которое ограничивает использование продуктов определеннымикомпьютерами, а также может ограничивать копирование их с целью создания резервных копий.
В этихслучаях для обеспечения информационной безопасности следует предусматривать применение следующих мероприятий:- строгое следование требованиям авторского права на программное обеспечение, которое определяет законное использование программных и информационных продуктов;- определение порядка и правил приобретения программных продуктов;- обеспечение осведомленности сотрудников по вопросам авторского права на программное обеспечение принятых правил в отношении закупок, а также уведомление о применении дисциплинарныхсанкций к нарушителям;- ведение соответствующих регистров активов;- ведение подтверждений и доказательств собственности на лицензии, дистрибутивные диски,руководства и т.д.;- контроль за соблюдением ограничений максимального числа разрешенных пользователей программными продуктами;- регулярные проверки применения только авторизованного программного обеспечения и лицензированных продуктов;- реализация политики по обеспечению выполнения условий соответствующих лицензионныхсоглашений;- выполнение правил утилизации или передачи программного обеспечения в другие организации;- организация регулярного аудита;- соблюдение условий получения из общедоступных сетей программного обеспечения и информации (8.7.6).5012.1.3 Защита учетных записей организацииВажные данные организации необходимо защищать от утраты, разрушения и фальсификации.
Вотношении некоторых данных может потребоваться обеспечение безопасности хранения с цельювыполнения законодательных или регулирующих требований, а также поддержки важных бизнес-приложений, В качестве примеров можно привести данные, которые могут потребоваться для доказательстватого, что организация работает в рамках установленных законом норм или регулирующих требований,или с целью адекватной защиты от гражданского или уголовного преследования, а также подтвержденияфинансового состояния организации для акционеров, партнеров и аудиторов. Период времени хранения и содержание данных могут быть установлены в соответствии с государственными законами илирегулирующими требованиями.Данные необходимо классифицировать по типам, например, бухгалтерские записи, записи базданных, журналы транзакций, журналы аудита и операционных процедур, каждый с указанием периодовхранения и типов носителей хранимыхданных(бумага, микрофильм, магнитные или оптические носители).















