Управление инцидентами
04.03.2010
Главное в управлении инцидентами – это правильно донести до участников, что им надо делать 
Думаю, что почти все из вас хоть раз, да видели Центр управления инцидентами (ЦУИ). Большая часть – в кино или в новостях, а некоторые и в жизни. Вне зависимости от используемых технологий, специфики отрасли, места нахождения и т.п. функции у такого центра примерно одинаковые:
- Сбор информации о происходящем из всех доступных источников
- Консолидация, верификация и анализ информации
- Управление командами восстановления
- Информирование всех вовлеченных сторон – прессы, официальных органов, родственников потерпевших и т.п.
Теперь немного о технологиях. В течение долгого времени неизменными атрибутами такого центра были:
- Телефоны (много)
- Доски (whiteboards), на которых записывалась вся информация
- Карты, в которые втыкались разнообразные флажки.
В принципе, как и любая проверенная десятилетиями, если не веками, технология, она работает. Надежно? Да. Эффективно? Не очень. Давайте посмотрим, какие основные проблемы возникают.
А если завтра снег?
15.01.2010
Сегодня попалась на глаза статья уважаемого человека, Charlie Maclean-Bristol, написанная им по следам сурового похолодания и снежных заносов, выпавших на долю Великобритании в этом году. Не буду пересказывать статью целиком, но остановлюсь на нескольких моментах, показавшихся мне наиболее интересными, дополнив своими мыслями и рассуждениями.
Случится то происшествие, которого вы не ждете.
Казалось бы, ничего нового, про это говорится от раза к разу, но, несмотря ни на что, зачастую готовимся мы именно к тому, с чем уже сталкивались в обозримом прошлом. Типичный пример тому – меры, принимаемые TSA по обеспечению безопасности полетов после очередных [попыток] терактов, когда защитные меры почему то выстраиваются исходя из предположения, что следующая попытка теракта произойдет в точности по сценарию предыдущей. Мораль – планы обеспечения непрерывности деятельности должны быть:
а) достаточно гибкими
б) рассчитывать на самые худшие сценарии развития ситуации
Не рассчитывайте на работоспособность коммунальных служб
Типовой план ОНиВД для банков
03.12.2009
Анализируя запросы, по которым читатели попадают на этот блог, я обратил внимание, что достаточно большой процент запросов посвящен поиску типовых планов ОНиВД для банков. Потребность вполне обоснованная – банковская сфера на сегодняшний день единственная в России, где присутствует четкое регулирование в области непрерывности деятельности (Положение Банка России №242-П). При этом, если крупные банки могут себе позволить выделенный персонал и привлечение внешних консультантов для выполнения этой работы, то в средних и малых банках функция ОНиВД как правило дается «в нагрузку» кому-то из уже существующих сотрудников.
Внутри своей компании мы уже обсуждали возможность сделать типовое решение для банков, которое позволит провести анализ воздействия на бизнес, оценку рисков и на основе собранной информации сформировать типовой план ОНиВД. В США такое решение достаточно успешно функционирует – система PlaNET, разработанная SunGard Availability Solutions на основе продуктов LDRPS и BIA Professional с ограниченной функциональностью. Основные ограничения, внесенные в продукт - это невозможность изменения шаблонов планов, опросных листов и т.п. Взамен этого заказчик получает встроенную в продукт методологию проведения анализа воздействия на бизнес, оценки рисков и типовые планы, учитывающие специфику банковской деятельности.
Со своей стороны, мы (Алмитек) готовы сделать типовое решение по созданию планов ОНиВД на движке Continuity Management Solution, включающем в себя BIA Professional, Risc Assessment и LDRPS. Но для того, чтобы этот проект был успешен, нам необходимо две вещи:
- Реальный интерес к продукту со стороны рынка, подтвержденный готовностью платить за такой сервис сумму порядка 30 тыс. рублей в месяц;
- Несколько банков, которые согласятся выступить первыми пользователями решения, и примут участие в опытной эксплуатации продукта. Взамен эти банки получат более выгодные условия предоставления данного сервиса.
Если вы представляете банк, которому может быть интересно либо использовать готовый сервис, либо принять участие в его создании, я буду признателен за короткое письмо на адрес bcp@almitech.ru, в котором вы обозначите ваш интерес к решению.
ЦБ по прежнему лидирует
27.07.2009
Банк России, который в этом году заметно вырвался вперед по отношению к остальным регуляторам, продолжает поддерживать статус лидера. На этот раз – в части информационной поддержки сообщества.
В 15 выпуске издания «Платежные и расчетные системы» ЦБ опубликовал переводы сразу двух документов в области непрерывности бизнеса в финансовой сфере: «Руководящие принципы обеспечения непрерывности бизнеса» Базельского банковского комитета (Банк по международным расчетам), и «Рекомендации по наблюдению за непрерывностью деятельности для системно значимых платежных систем» Европейского Центробанка.
Первый документ, как известно, послужил основой при выпуске изменений к Инструкции 242-П, поэтому на нем я остановлюсь поподробнее. Второй тоже достаточно любопытно прочитать, среди прочих моментов он дает чуть более широкий взгляд на целевые показатели обеспечения непрерывности деятельности, ставя для ряда участников рынка по главу угла влияние от прерывания деятельности не на их собственный бизнес, а на платежную систему на уровне страны (точнее говоря, Еврозоны). Несмотря на то, что документ ориентирован на финансовые организации стран Еврозоны, прочитать стоит, тем более, что документ небольшой. Единственное, рекомендую читать в оригинале, т.к. перевод этого документа, в отличие от «Руководящих принципов…», сильно оставляет желать лучшего.
Теперь вернемся к «Руководящим принципам…»
Поскольку этот документ во многом лег в основу измений к 242-П, достаточно интересно посмотреть, что из семи принципов вошло в 242-П, и в каком виде. Итак, по порядку.
Принцип 1. Ответственность совета директоров и высшего руководства.
«Советы директоров и высшее руководство организаций несут коллективную ответственность за непрерывность бизнеса организации.»
Принцип безусловно разумный, и, среди прочего, пересекается с рекомендациями BS 25999. Однако, в 242-П по каким-то причинам эти рекомендации не вошли. Тем не менее, основываясь на своем опыте, я бы рекомендовал максимально стараться воплотить его в жизнь – система будет работать горадо эффективнее.
Принцип 2. Крупные операционные нарушения.
«Участники финансового сектора и финансовые органы при формировании подхода к управлению непрерывностью бизнеса должны учитывать риск крупного операционного нарушения. Финансовым органам также следует оценить их собственную реакцию на потенциальные крупные операционные нарушения, которые могут затруднить проведение операций участниками финансового сектора или финансовой системой, за работу которой они несут ответственность.»
Тезис о том, что планы ОНиВД должны предусматривать возможность масштабных ЧС в 242-П вошел, и даже был дополнен ссылками на Российские нормативные документы. А вот рекомендации по поводу альтернативных площадок остались за кадром.
Принцип 3. Цели восстановления
«Участники финансового сектора должны сформулировать для себя цели восстановления, учитывающие потенциальный риск, который они представляют для операций финансовой сферы. Предпочтительно, чтобы формулировки таких целей восстановления были согласованы с соответствующими финансовыми органами или разрабатывались ими.»
Если в «Принципах…» делается упор на возможной влияние на финансовую систему в целом, то 242-П больше сфокусировано на стандартных для анализа воздействия на бизнес аспектах, т.е. влияние на бизнес кредитной органиации, как таковой.
Принцип 4. Обмен информацией.
«Участники финансового сектора и финансовые органы должны включать в свои планы обеспечения непрерывности бизнеса процедуры для обмена информацией во время крупного операционного нарушения внутри организации и с соответствующими внешними сторонами.»
Принцип нашел свое отражение в 242-П (Пункт 7 Приложения 5), хотя и в более общей форме.
Принцип 5. Трансграничный обмен информацией.
«Процедуры обмена информацией для участников финансового сектора и финансовых органов на случай крупных операционных нарушений, затрагивающих несколько стран, должны предусматривать обмен информацией с финансовыми органами, действующими в пределах других юрисдикций.»
Пункт разумный, но учитывая не очень высокий уровень зрелости нашей банковской системы в области непрерывности бизнеса, а также не такой высокий уровень интеграции в мировую банковскую систему – пока не нашел своего отражения в 242-П.
Принцип 6. Проверки (тестирование).
«Участники финансового сектора и финансовые органы должны производить проверку своих планов
обеспечения непрерывности бизнеса, оценивать их эффективность и соответствующим образом совершенствовать управление непрерывностью бизнеса.»
Здесь 242-П раскрывает вопрос даже более подробно. Единственное, пожалуй, что было исключено – это крупномасштабное тестирование с вовлечением множества кредитных организаций. Наверное, не самое сейчас подходящее время – не все могут выдержать…
Принцип 7. Контроль за управлением непрерывностью бизнеса со стороны финансовых органов
«Финансовые органы должны включать в практику своей работы осуществление контроля за управлением непрерывностью бизнеса для проведения оценки участников финансового сектора, находящихся в сфере их ответственности.»
Этот пункт относится скорее к деятельности самого ЦБ, и появление изменений к 242-П можно считать первым шагом на пути выполнения этого принципа.
Обобщая все вышесказанное, можно рискнуть сделать следующие выводы:
- В некоторых аспектах «Руководящие принципы…» оказываются более подробными, чем 242-П, соответственно, и в этих вопросах ими можно и нужно пользоваться. Равно как и другими стандартами, такими как BS 25999, BS 25777.
- »Руководящие принципы…» дают некоторое представление, в какую сторону, скорее всего, будет развиваться регулирование со стороны ЦБ.
Teleworking и восстановление рабочих мест
26.06.2009
Буквально вчера встречались с крупным банком, обсуждали вопросы непрерывности бизнеса. Среди прочего речь зашла про восстановление рабочих мест в случае ЧС. Ну, естественно, как вариант предложили органзацию удаленной работы из дома - например с использованием виртуальных рабочих мест. Первой реакцией, которую мы получили (впрочем, вполне предсказуемо) - давайте вы сначала с ИБ договоритесь…
И вот сегодня в новостях прочитал, что NIST выпустил руководство по обеспечению безопасности при удаленной работе – Guide to Enterprise Telework and Remote Access Security (Special Publication 800-46 Revision 1).
Неплохой документ, имеет смысл прочитать, если проектируете решение для удаленного доступа. По крайней мере, можно ссылаться, что сделано в соответствии с авторитетными рекомендациями.
