Серия статей по безопасности: цели и этапы аварийного восстановления (часть 4 из 6)

Опубликовано: 13 Апреля, 2023

Содержание

  • Глава 1: Тактика аварийного восстановления, обеспечивающая непрерывность бизнеса
  • Глава 2: Цель аварийного восстановления
  • Глава 3: Формулировка плана обеспечения непрерывности бизнеса
  • Глава 4: Цели и этапы аварийного восстановления
  • Глава 5: Подготовка здания
  • Глава 6. Последние советы по обратному отсчету для аварийного восстановления и обеспечения непрерывности бизнеса

Чтобы группа проекта Плана обеспечения непрерывности бизнеса (BCP) могла сосредоточить свои усилия на ключевых вопросах и гарантировать, что выполняемая работа применима к потребностям проекта, цели и результаты проекта должны быть четко определены. Следующий список целей и результатов был утвержден Советом директоров.

Были установлены реалистичные и достижимые этапы проекта, чтобы можно было измерить прогресс в соответствии с утвержденным графиком. Были согласованы следующие этапы проекта.

Менеджер проекта BCP выпускает ежемесячный отчет руководителям бизнеса. Команда проекта BCP подготовила следующий список документов и информации, которые требуются для процесса BCP. (Примечание. Если сюда входят документы, содержащие конфиденциальную информацию, необходимо позаботиться о том, чтобы конфиденциальность не была нарушена.) Документы должны быть зашифрованы, а информация для расшифровки должна быть задокументирована и храниться отдельно и вне офиса.

Ключевой частью процесса BCP является оценка потенциальных рисков для бизнеса, которые могут быть вызваны стихийными бедствиями или чрезвычайными ситуациями. Необходимо рассмотреть все возможные инциденты и влияние каждого из них на способность организации продолжать предоставлять свои обычные бизнес-услуги. В этом разделе BCP будут рассмотрены перспективы серьезных ситуаций, нарушающих деловые операции, и потенциальное влияние таких событий.

Каждая потенциальная экологическая катастрофа или чрезвычайная ситуация были изучены проектной группой BCP. Основное внимание здесь уделяется уровню нарушения работы бизнеса, который может возникнуть в результате каждого типа стихийного бедствия. Представляется необходимым, чтобы группа проекта BCP рассмотрела критичность всех бизнес-процессов организации и определила влияние и последствия потери обслуживания или снижения нормального уровня обслуживания.

Предлагаемая формулировка цели

Основная цель проекта может быть сформулирована так: «Разработка и тестирование хорошо структурированного и согласованного плана, который позволит организации как можно быстрее и эффективнее восстановиться после непредвиденной катастрофы или чрезвычайной ситуации, которая прерывает нормальную работу бизнеса».

Кроме того, организация может иметь ряд подцелей, которые могут охватывать такие вопросы, как специализированные исследования и разработки, необходимость обеспечения полного понимания всеми сотрудниками своих обязанностей при реализации такого плана, необходимость обеспечения соблюдения политик информационной безопасности. в рамках всех запланированных мероприятий или необходимость обеспечения того, чтобы предлагаемые меры на случай непредвиденных обстоятельств были экономически эффективными.

Основные этапы проекта

Важно установить реалистичные и достижимые этапы проекта, чтобы отслеживать прогресс в соответствии с согласованным графиком. Предлагается рассмотреть следующие основные этапы проекта и установить даты для этих мероприятий:

  • Утверждение проекта
  • Инициация проекта
  • Завершение этапа инициации проекта
  • Начало плана анализа бизнес-рисков и последствий
  • Завершение плана анализа бизнес-рисков и последствий
  • Начало плана «Подготовки к возможной чрезвычайной ситуации»
  • Завершение плана «Подготовка к возможной чрезвычайной ситуации»
  • Начало реализации плана «Преодоление начальной чрезвычайной ситуации»
  • Завершение плана «Работа с начальной чрезвычайной ситуацией»
  • Завершение плана тестирования процесса BCP
  • Завершение плана обучения персонала процессу восстановления бизнеса
  • Утверждение ПП
  • Начало деятельности по тестированию BCP
  • Завершение мероприятий по тестированию BCP
  • Начало учебных мероприятий BCP
  • Завершение учебных мероприятий BCP

Приоритет для установления процедур восстановления ИТ

  1. Краткое изложение существующих процедур резервного копирования и восстановления ИТ должно быть задокументировано в BCP (План обеспечения непрерывности бизнеса). Эта информация должна охватывать как аппаратные, так и программные системы в дополнение к процессам резервного копирования и восстановления данных. В случае экстренного обращения с большим пальцем необходимо задокументировать контактные данные и другую соответствующую информацию.
  2. Должна быть также включена информация о любых механизмах хранения данных за пределами площадки.

Предлагаемая информация для документирования в BCP выглядит следующим образом:

«Ежедневная резервная копия всех данных записывается на ленту и хранится в сейфе. Еженедельно одна лента, содержащая копию всех данных, хранится вне офиса. Системный администратор ежедневно просматривает системные журналы, чтобы убедиться, что процесс резервного копирования выполнен успешно. Процесс восстановления периодически тестируется, чтобы убедиться, что процедуры восстановления работоспособны и действительны.

Копия всех исходных системных программ хранится на месте в ИТ-библиотеке, а дополнительная копия хранится за пределами предприятия. Ежемесячно создается резервная копия системных программ, чтобы гарантировать, что все соответствующие программные исправления будут включены в процессы восстановления. Эта ежемесячная резервная копия также периодически тестируется, чтобы убедиться, что процесс восстановления действителен.

У организации есть соглашение об обслуживании ИТ-сети и оборудования с поставщиком услуг, который обязан отвечать на запросы о вызовах в течение четырех часов. Соглашение включает процедуры эскалации, если неисправность не будет устранена в течение 6 часов».

Оценка бизнес-рисков

Группе проекта BCP необходимо оценить критичность всех бизнес-процессов организации и определить влияние и последствия потери обслуживания или снижения нормального уровня обслуживания клиентов.

План обеспечения непрерывности бизнеса будет содержать информацию об угрозах для нормального уровня обслуживания и влиянии на прибыльность и дальнейшую жизнеспособность. В этом разделе перечислены ключевые области бизнеса и оценены риски, которые могут повлиять на каждый из бизнес-процессов.

Предлагаемая формулировка заявления Правления или Руководящего органа выглядит следующим образом:

«Совет или Руководящий орган принял первоочередной проект по формализации процесса аварийного восстановления организации. Он признает, что существуют значительные риски для его основных бизнес-процессов из-за потенциальных и неожиданных разрушительных событий. Растущее развитие технологических процессов и связанный с этим высокий уровень зависимости от таких процессов для ведения нашего бизнеса делают разумным инициировать проект аварийного восстановления с немедленным вступлением в силу».

Материалы, хранящиеся за пределами сайта

Копии важнейших документов, резервные копии компьютеров/ПК на дискетах и лентах, контактная информация соответствующего персонала, важные материалы и т. д. могут быть доступны из ряда источников:

  • В других учреждениях Первого банка могут быть аналогичные ресурсы или копии важных документов.
  • Клиенты или подрядчики могут иметь копии важных документов.
  • Коммерческие хранилища обычно собирают резервные копии лент и документов и хранят их в безопасном помещении с контролируемым климатом.

Коробка восстановления

Рассмотрите возможность создания «Recovery Box» для вашего бизнес-подразделения. Это похоже на захват на яхте, который берут, когда судно идет ко дну. Этот ящик для восстановления может содержать определенные предметы, которые потребуются вашему бизнес-подразделению, если ваше здание будет недоступно. Некоторые предметы, которые могут содержаться в этой коробке, включают:

  • Копии форм, которые потребуются вашему бизнес-подразделению в случае частичной или полной катастрофы.
  • Копии руководств по процедурам, они необходимы для начала процесса восстановления.
  • Небольшой запас уникальных расходных материалов, которые могут понадобиться вашему бизнес-подразделению прямо сейчас, пригодятся компьютерные вилки для мобильных телефонов и удлинители.

Эта коробка должна храниться за пределами площадки. Коробка и опись ее содержимого являются важными записями и должны быть соответствующим образом задокументированы. Также может быть необходимо хранить электронную копию ваших документов на удаленном от вашего сайта интернет-сервере. Например, в учетной записи Gmail. Затем вам необходимо убедиться, что у вас будет доступ к Интернету на вашем сайте восстановления.

Критические ресурсы, которые необходимо получить

Большинство стихийных бедствий не приводят к полному разрушению содержимого офисов. В зависимости от ситуации можно очистить и высушить бумагу, микрофильм или микрофишу. Даже если компьютерные дискеты, кассеты и жесткие диски повреждены водой, дымом или копотью, информацию с них можно извлечь. Не пытайтесь сделать это самостоятельно. В случае возникновения инцидента обратитесь за помощью в службу технической поддержки или к персоналу объекта. Но не стоит рассчитывать на то, что это может произойти или не произойти. Я видел, как многие организации теряют сотни и тысячи часов или работы, а это, в свою очередь, равняется десяткам тысяч, если не миллионам долларов ущерба. Всех этих потерь можно было бы легко избежать, если бы была проведена подготовка к аварийному восстановлению.

После инцидента, если власти и обслуживающий персонал решат, что вход в пострадавшее здание безопасен, вам может быть разрешено войти в здание на короткое время. Это может быть всего 15 минут или полчаса. Составьте список критически важных предметов, которые вам нужно будет найти, если вы сможете попасть в свое здание. Это предполагает, конечно, что предметы можно спасти.

Это рекомендуется только в крайнем случае, и настоятельно рекомендуется использовать внешний носитель, если он вообще подлежит восстановлению (при условии, что целостность резервного носителя безупречна).

Назначенный персонал должен перечислить эти пункты в порядке важности. К элементам, которые вам могут понадобиться, относятся: компьютерные диски, компьютеры, выбранные бумажные файлы и незавершенное производство, жесткие диски и другие носители информации. Некоторые элементы не стоят риска, и рекомендуется, чтобы ваш список не включал: семейные фотографии, неважные файлы и информацию, которая дублируется где-то еще, по этой причине рекомендуется, чтобы восстановление выполнялось с уже имеющимся носителем и носителем, который было возвращено из внеплощадочных хранилищ.

Резюме

В четвертой части серии статей о аварийном восстановлении рассматриваются все важные определения проекта, поскольку на этом этапе организация указывает, что будет включено в стратегию аварийного восстановления, а также основные этапы проекта и материалы, которые следует хранить вне офиса. Эти части головоломки являются важным элементом для завершения всего документа Плана обеспечения непрерывности бизнеса.



Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023