План непрерывности бизнеса

Как показывает опыт, во многих организациях сегодня отсутствует план непрерывности бизнеса, либо в нем не учтены многие из вопросов, которые сегодня все чаще задает жизнь. Многие со мной не согласятся, но это факт!

Согласно аналитическому исследованию «Непрерывность бизнеса в России», проведенному в марте 2019 года компанией PWC, компании, развивая свои процессы, не планируют проводить сертификацию на соответствие требованиям международного стандарта ISO 22301 «Система управления непрерывностью бизнеса». Только 20% заявили о наличии соответствующих планов.

Что такое план непрерывности бизнеса?

План непрерывности бизнеса (Business Continuity Plan — BCP) – набор документов, позволяющих создать план непрерывности бизнеса вашей компании при возникновении различных происшествий и инцидентов. Результат – достижение такого состояния, при котором не происходит прерывания деятельности в случае наступления события «Ч» работоспособности информационных систем или их компонент в конечные временные рамки.

Выделяют основные составляющие данного процесса:

1. Управление инцидентами (Incident Management). Это оперативный уровень. На данном уровне рассматривается комплекс управления внутренними и внешними происшествиями высокой и средней вероятности возникновения, например, мошенничество, человеческий фактор, сбой в работе оборудования. Задача управления инцидентами – восстановление минимального функционала в минимальный срок; а еще — своевременная идентификация и классификация инцидента.
2. Управление непрерывностью бизнеса и аварийным восстановлением (Business continuity & disaster recovery management). Это тактический уровень. Фактически на данном уровне рассматриваем процессы, определяем приоритеты, оцениваем потенциальный ущерб и меры его предотвращения. Несмотря на небольшую вероятность, ущерб может оказаться значительным, вплоть до банкротства.
3. Управление чрезвычайными (кризисными) ситуациями (Crisis & emergency management) – на данном уровне рассматривается как задействовать планы во время кризиса, и оперативно принимать решения до окончания критической ситуации.
4. Восстановление бизнеса (Business recovery). Возвращение к нормальному функционированию, выполнение задач, отложенных во время кризиса. Компенсация потерь, анализ произошедшего, меры по предотвращению

Результат опроса показывает, что как минимум 40% компаний столкнулись в своей деятельности со значительным инцидентом. Среди причин длительного простоя респонденты в основном отметили сбой в информационной системе, прекращение подачи электроэнергии, обрыв канала связи.

Цели и задачи плана BCP

Основными целями BCP являются:

1. поддержание способности компании выполнять принятые на себя обязательства перед клиентами и партнерами, предупреждение и предотвращение возможного нарушения режима повседневного функционирования компании;
2. обеспечение соответствия всех механизмов BCP требованиям государственных органов, а также требованиям нормативно-правовых актов и принятым в компании политикам, процедурам и планам;
3. снижение тяжести последствий нарушения режима повседневного функционирования компании (в том числе размера материальных потерь, потерь информации, потери деловой репутации);
4. сохранение уровня управления компании, позволяющего обеспечить условия для принятия обоснованных и оптимальных управленческих решений, их своевременную и полную реализацию;
5. обеспечение благоприятных условий труда и безопасности работников, безопасности посетителей, находящихся в помещениях компании;
6. определение перечня критичных процессов компании и перечня сценариев негативного развития событий, способных привести к остановке бизнес-процессов;
7. обеспечение непрерывности деятельности критичных бизнес-процессов за счет определения, внедрения и документирования механизмов контроля.

Кроме того, в компании могут устанавливаться дополнительные требования, процедуры, регламенты BCP. Они могут быть более детализированы, предусматривать дополнительные ограничения.

План непрерывности бизнеса включает в себя:

1. определение областей, в рамках которых организация может быть подвержена рискам непрерывности;
2. определение рисков, которые могут повлиять на функционирование организации;
3. рассмотрение и анализ риска возникновения природных, техногенных катастроф, равно, как и других непредвиденных обстоятельств, применимых к офисам местонахождения компании;
4. рассмотрение рисков, реализация которых наносит существенный ущерб материальным и нематериальным активам компании;
5. анализ факторов, влияющих на вероятность наступления чрезвычайной ситуации (ЧС);
6. анализ степени влияния ЧС на:
   1. работников;
   1. инфраструктуру;
   1. информационные активы.

С целью обеспечения полноценного анализа факторов влияния, анализ должен проводиться для каждого бизнес-процесса во всех структурных подразделениях.

К задачам обеспечения нормальной деятельности в условиях ЧС относятся:

1. определение перечня процессов и операций, подлежащих дополнительной защите;
2. обеспечение создания на ежедневной основе резервных копий информации;
3. разработка и доведение до сведения работников компании плана мероприятий на случай возникновения ЧС, а также проведение периодического обучения работников по вопросам их действий в условиях ЧС;
4. доведение до сведения всех партнеров информацию о порядке действий в случае возникновения ЧС.

Вместе с тем я ни разу не видел включение в такие планы таких событий как массовые беспорядки, эпидемии с возможностью заключения в карантин целых городов, а, возможно, и областей.

Если еще 10 лет назад такие события считались маловероятными, то сегодня нет. Стоит вспомнить события 2014 года в Донбассе или эпидемию COVID 19 2019-2020 года, распространившуюся по всему миру.

Эпидемия (коронавирус) и ИБ.

Угрозы включают:

1. влияние на доступность ресурса «ЧЕЛОВЕК»;
2. деградация (вплоть до краха) инфраструктуры и СЗИ в связи с попытками их трансформации для удаленного доступа и других мероприятий в режиме паники;
3. запрет массовых мероприятий (для компаний-организаторов мероприятий это может означать банкротство);
4. Командировки (сотрудники не могут вернуться из зон карантина либо, наоборот, не могут не могут въехать в страну, которая закрыла свои границы в связи с режимом чрезвычайной ситуации. Это может нести дополнительные расходы.
5. Угрозы туристическим и транспортным компаниям в данной статье не рассматриваются.

Основным решением в данном случае является работа с помощью удаленного доступа и здесь возникает сразу несколько вопросов:

1. Есть ли у вас инструменты удаленной работы, настроены ли и отлажены ли они?
2. Знаете ли вы, есть ли компьютерное оборудование у ваших сотрудников дома?
3. Какое это оборудование?
4. Разрешат ли ваши сотрудники установку дополнительного программного обеспечения для работы из дома?
5. Удовлетворяют ли их компьютеры требованиям информационной безопасности и лицензионной чистоты?
6. Как быть с тем, что на персональном компьютере сотрудника есть и его домашняя информация и корпоративная? Как отследить утечки?

Как видите, вопросов масса. Но подготовиться заранее вы просто обязаны. Что посоветовать?

1. Заранее провести опрос и определить готовность сотрудников к работе из дома.
2. Определить готовность аппаратных средств к работе.
3. Там, где компьютеры поддерживают Windows 10, заранее подготовить флешки (внешние SSD) с Windows To Go и возможностью подключения по USB 3.0. Подробнее этот процесс описан в журнале CIS (Выпуск #4 (10) 2019) https://cismag.ru/ . Статья «Работаем из дома?».
4. Для других ОС решение будет, безусловно, иным. Основная задача, подготовить ОС на сменном носителе таким образом, чтобы фактически домашний компьютер не имел доступа к своему жесткому диску, а работал как удаленный терминал.
5. Возможно и другое решение на базе Citrix. Достаточно подключиться к терминальным сервисам и с помощью политик заблокировать доступ к локальным устройствам и проброс их в сессию. В частности, дополнительное решение App Protections это анти-кейлоггер и анти-скринграббер для клиентского рабочего места при установке на него клиентского ПО Citrix. Правда для такого решения необходимо чтобы сотрудник согласился на установку на его домашнем ПК дополнительного ПО. А соглашаются, увы, далеко не все.

Правда стоит отметить, что сделать это нужно заранее, тем более что введение карантина может быть внезапным.

Однако кроме карантина у нас есть масса других вопросов.

Электропитание

Итак, на вашем предприятии предусмотрены действия при отключении электропитания. Попробуйте ответить себе на следующие вопросы:

1. Как давно вы проверяли свои источники питания (имеются в виду не только ваши ИБП, а и дизель-генераторы, вводы электропитания, возможность автоматического переключения между источниками)?
2. Существует ли у вас график их проверки?
3. Ваша компания имеет два входа по электропитанию? С двух питающих ТП?
4. Есть ли у вас дизель-генератор?

Итак, у вас все есть. И формально все хорошо. А фактически? В моей практике было несколько очень неприятных случаев.

1. На заводе было заведено две линии электроэнергии. Однако при попытке автоматического переключения переключение не удалось. При более тщательной проверке выяснилось, что две линии подачи электроэнергии подавали электричество в противофазе, в результате автоматическое переключение не срабатывало. Если спросить, является ли это проблемой ИТ? Нет, конечно. Но заодно выяснилось, что за все время такого подключения, а это более 10 лет, никто ни разу этого не проверял.
2. Второй случай был куда хуже. Если в первом через месяц все же удалось «победить», то во втором победить не удалось, пришлось искать другую подстанцию. Проблема была в том, что подаваемое электричество было различным по частоте. Как и почему? Ответить я не смогу. Одна линия была с частотой 49.5 Гц, а вторая 49.8 Гц. Естественно переключение невозможно. Однако самым страшным был случай третий.
3. Внезапное отключение электричества сразу на двух входящих линиях потребовало включения резервного дизель-генератора. К несчастью, оказалось, что это невозможно, так как уже два года как уволен дизелист по сокращению штатов, в генераторе нет дизтоплива и вообще, его два года никто не включал.

Ну и как это назвать? Естественно, никакого графика проверки источников питания не было. Более того, никто и никогда не поднимал этот вопрос.

Восстановление после аварии

В компании произошло ЧП, атака шифровальщика. В ночное время. Ситуация типичная? Вполне.

НО! В компании один системный администратор и тот болеет. Как быть? Не знаю.

Хорошо, администратор не один. И тут возникают вопросы:

1. Знает ли охранник кого вызывать?
2. Есть ли у него номера телефонов кого вызывать?
3. Есть ли журнал, в который он должен записать:
   1. Время аварии
   1. Кто заявил про аварию?
   1. Кто принял заявку?
   1. Кого вызвали?
4. Кто заплатит за такси? Вопрос не праздный. Сотрудник не должен сам оплачивать. В идеале должен быть договор со службой такси, а оплата проводится компанией по факту.
5. Увы, но, как правило, первым всегда приезжает наименее подготовленный сотрудник. Более того, ведь мы не в армии, следовательно, более подготовленный может и не приехать вообще (болезнь, ночует не дома, не может приехать и т.д.). Существует ли инструкция по восстановлению после аварии, причем написанная в виде комикса. Сотрудник не должен задумываться что ему делать. Увы, но в данном случае автоматические действия гарантируют меньшее количество ошибок.
6. Должен сказать, что чаще всего подобной инструкции просто нет!

Каналы связи

Я надеюсь, в вашей компании минимум два канала связи от двух провайдеров? Как давно проводились учения по переключению? А то не было бы как в одной компании из моей практики. Компания относится к агропромышленному сектору и находится в сельской местности. Однажды у них пропадает интернет по вполне банальной причине. Сельский тракторист копает яму и банально рвет кабель. Тут же идет команда – переключаемся. Однако все хорошо только на бумаге. В сво время с целью экономии оба кабеля от обоих провайдеров уложили под землю … в одной трубе! Вывод? Порвали оба!

Другая история была куда интереснее. Было два кабеля, к двум провайдерам, как положено. Но проблемой оказалось, что они оба были подключены к одному и тому же провайдеру более верхнего уровня и в результате разорвали именно связь между ними и верхним провайдером! При подключении компании этого никто не проверял!

И последнее.

Как давно у вас в компании проводились «действия по тревоге»? А ведь эти операции должны проводиться регулярно, в разное время суток. Безусловно, мы не в армии и не стоит уподобляться нашему командиру полка, проводившему подобные тревоги на следующее утро после зарплаты. Но люди должны понимать, что вызвать их могут в любое время. Естественно, и платить такой тревожной группе нужно дополнительно.

А как давно вы поводили у себя в компании подобные учения и проводили ли вообще?

Другими причинами аварийных ситуаций могут быть:

1. действия правоохранительных органов (маски-шоу);
2. действия Роскомнадзора и администраций облачных сервисов;
3. борьба между собственниками организации (собственниками сервис-провайдера).

Снизить расходы на собственную инфраструктуру, на мой взгляд, позволяет:

1. размещение оборудования в публичных дата центрах (colocation);
2. использование облачных сервисов.

Необходимо признать, правда, что в таком случае узким местом является наличие устойчивых каналов Интернет. Вполне возможно, что их потребуется не два, а больше. И тестировать придется их всех и регулярно!

Увы, даже наличие резервных копий с восстановлением в течение рабочего дня может привести к краху финансовой организации.

Сегодня не редкость ситуация когда в банк с численностью персонала (и компьютеров) 60 человек приходят 30 аудиторов (реальная ситуация) с требованием разместить их, выдать компьютеры, подключить их к инф. системам в течение 24 часов. Это ли не аварийная ситуация?

Вместе с тем хотелось бы, чтобы вы понимали, что далеко не все события, описываемые в Плане непрерывности бизнеса будут относиться к информационной безопасности. Но тем не менее, служба ИБ должна подключаться к составлению плана наравне с другими.

Безусловно, это не единственный вопрос. Но начинать с чего-то надо!

Заключение

Как видите, планы восстановления вашего бизнеса нуждаются не просто в создании, а и в постоянном пересмотре. Ведь угрозы в окружающем мире меняются на глазах. Более того, созданные вами планы нуждаются в регулярной проверке. Ведь план, написанный на бумаге, но не проверенный – это абсолютно бесполезное мероприятие.