PD 25666:2010 – проводим учения правильно
04.08.2010
В дополнение к уже существующим стандартам и спецификациям BS 25999, BS 25777, ISO/PAS 22399 и BS ISO/IEC 27001, BSI выпустил документ PD 25666 ‘Guidance on exercising and testing for continuity and contingency programmes’, содержащий рекомендации по проведению учений, тестированию отдельных элементов системы обеспечения непрерывности бизнеса и т.п. Доступен на сайте BSI за 95 фунтов.
Похоже, что знаменитый исландский вулкан никак не успокоится, и еще будет некоторое время доставлять нам неудобства. Постараемся извлечь из этого неприятного факта хоть какую-то пользу, и посмотрим на конкретных примерах, как нужно правильно взаимодействовать с потребителями в случае, если вы не можете предоставлять им свой сервис.
Итак, немного истории. То извержение вулкана, после которого начались серьезные перебои с авиасообщением, случилось 14 апреля. Утром 15 апреля начали закрываться европейские аэропорты (историю развития событий можно освежить в памяти здесь). Через какое-то время люди начали понимать, что помимо неожиданно исчезнувшего способа перемещаться в пространстве, они начали сталкиваться с такими проблемами, как задержки грузов, и т.п.
Любопытства ради я решил посмотреть, как компании, занимающиеся экспресс-доставкой, планируют выполнять свои обязательства. Заглянув 17 апреля на сайты основных игроков рынка, только у UPS я обнаружил какую-либо информацию на данную тему. К сожалению, я не знаю, было ли это прописано в планах обеспечения непрерывности бизнеса UPS, или было просто продиктовано здравым смыслом (если этот пост читают коллеги из UPS – буду признателен за комментарий), но представители компании сделали сразу несколько правильных вещей: Прочитать сообщение полностью »
Все знают, что регулярное резервное копирование это хорошо и правильно. Этот тезис даже не обсуждается, а поговорим мы о том, как данный процесс, обеспечивая доступность данных, влияет на их защищенность. Кроме того, отдельно мы посмотрим на то, как осуществлять резервное копирование собственно средств шифрования. Данный пост не содержит рекомендаций по выбору или настройке решений по резервному копированию, а посвящен исключительно вопросам проектирования архитектуры.
Часть 1. Резервные копии
Что происходит с резервными копиями после того, как вы их сделали? Существует несколько вариантов – носитель лежит под замком в том же офисе, носитель регулярно выносится за пределы помещения, либо отчуждаемого носителя как такового нет, потому что резервное копирование делается на СХД внешнего провайдера, либо на СХД на другой площадке организации, т.н. cross-site backup. В большинстве случае, надо исходить из того, что уровень защиты этих данных на «периметре» практически нулевой. Чтобы не быть голословным – несколько заметных примеров хищения лент с резервными копиями.
Итак, правило №1 – обязательное шифрование резервных копий, предназначенных для хранения на отчуждаемых носителях. Прочитать сообщение полностью »
29 апреля в 15:00 я постараюсь в течение одного часа дать обзор текущей продуктовой линейки SunGard Continuity Management Solution, и как с помощью этих продуктов автоматизировать жизненный цикл управления непрерывностью бизнеса.
С декабря прошлого года линейка SunGard CMS заметно расширилась, и про все решения в комплексе мы еще ни разу не рассказывали.
Из новых решений речь пройдет про три продукта, дополнивших BIA Professional:
Кроме того, будет рассказано и про функциональность, появившуюся в новых версиях продуктов LDRPS и BIA Professional.
Как всегда, Вебинар проходит на русском языке и абсолютно бесплатен 
Update 1: Запись Вебинара доступна здесь.
На этой неделе посетил конференцию Citrix. Встретил массу добрых знакомых, послушал про последние достижения науки и техники, и даже (хотя и после некоторых шаманских ритуалов) смог убедиться в том, что мой телефон на Андроиде вполне способен выступать в качестве клиентского устройства для Citrix XenApp. Но кроме всего этого основной лейтмотив конференции побудил меня написать про тему, которую давно уже собирался осветить – восстановление рабочих мест.
Не претендуя на то, чтобы в одном посте дать комплексный набор рекомендаций, постараюсь обозначить основные области, заслуживающие внимание. Прочитать сообщение полностью »
Поговорим немного о такой теме, как оценка готовности ваших поставщиков (товаров, услуг, связи и т.п.) противостоять чрезвычайным ситуациям. На эту тему меня натолкнули два случившихся почти одновременно события. На прошлой неделе случился серьезный пожар у украинского хостинг-провайдера hosting.ua, и примерно тогда же SunGard объявил о выходе нового продукта из семейства Continuity Management Solution – Vendor Assessment. Основной интерес заключается не столько в самом продукте, сколько в заложенной в нем методологии – как надо оценивать своих поставщиков с тем, чтобы они не стали узким местом в вашей системе обеспечения непрерывности бизнеса.
Но сначала – небольшой экскурс в события недавних дней – пожар у украинского хостинг-провайдера hosting.ua. Как правило, выбирая внешний хостинг, мы подразумеваем, что наш провайдер уделяет серьезное внимание безопасности своей (и нашей) инфраструктуры, обеспечивает надежное резервное копирование и т.п. – волшебная формула »аутсорсинг – теперь ваши проблемы становятся нашими». Человеку вообще по природе своей свойственно надеяться на лучшее и верить в сказки . 27 марта случилось то, чего точно не ожидали клиенты провайдера – ЦОД сгорел. Не дотла, но сильно. При этом система газового пожаротушения не сработала (оставим этот факт на совести строителей ЦОДа), а приехавшие пожарные водой довершили то, что не успел сделать огонь. Прочитать сообщение полностью »
BCI Good Practice Guidelines 2010
30.03.2010
The Business Continuity Institute опубликовал новую версию своих рекомендаций – BCI Good Practice Guidelines 2010. Документ однозначно заслуживает внимания как начинающих специалистов в области непрерывности бизнеса, так и опытных практикующих экспертов. Тем более, что в отличие от BS25999, GPG распространяется абсолютно свободно.
Внимательно прочитать еще не успел, но даже при беглом просмотре наткнулся на новые слова, такие как CRA – Continuity Requirements Analysis, MTDL – Maximum Tolerable Data Loss – методология не стоит на месте .
Впрочем, не буду заниматься пересказом документа – читайте на здоровье.
Update 1: Теперь BCI берет деньги за этот документ… бесплатно дают «highlights».
Неплохая идея на тему использования Twitter для внешних коммуникаций промелькнула в статье Steve Dance. И действительно, если Твиттером пользуются даже террористы, почему бы не использовать этот инструмент в мирных целях для внешних коммуникаций?
Важной задачей в коммуникациях после ЧС является обеспечение достаточного уровня открытости, чтобы ваши клиенты, пресса, и прочие заинтересованные лица обладали достоверной информацией о том, как проходят восстановительные работы. В противном случае слухи и домыслы с большой вероятностью будут гораздо хуже, чем реальное положение дел (если вы, конечно, занимаетесь процессом восстановления). И здесь Твиттер может оказаться весьма неплохим подспорьем. Очевидно, что как у любого решения, у него есть плюсы и минусы.
Плюсы:
- Получать твиты легко, для этого может использоваться масса устройств, в том числе мобильных.
- Завести учетную запись в Твиттере, даже если у ваших клиентов ее нет – дело 5 минут.
- Это абсолютно бесплатно и не зависит от вашей инфраструктуры.
- Вы можете использовать Твиттер также и как инструмент обратной связи. По крайней мере для части ваших клиентов (например VIP, пресса).
- Сохраняется история коммуникаций, что важно как для пользователей, которые начали отслеживать происходящее не с начала событий, так и для последующего «разбора полетов».
Минусы:
- Практически полное отсутствие конфиденциальности информации (впрочем, иногда это может являться и плюсом).
- Относительно невысокий (пока) уровень использования Твиттер массами.
- Негарантированная доставка сообщений (пока пользователь его сам не прочтет).
Глядя на эти плюсы и минусы, можно отвести для Твиттера достаточно четкую нишу – один из каналов информирования широкой общественности о ходе восстановительных работ. При этом вы не выходите за рамки вашей целевой аудитории (сообщения читают только те, кто подписался), и можете избирательно устанавливать двухсторонние коммуникации.
Для внутренней же коммуникации (команды восстановления, сотрудники) лучше все-таки использовать классические способы, позволяющие убедиться в том, что сообщение доставлено – телефон (с использованием иерархических списков обзвона), либо специализированные решения, которые будут пытаться использовать все доступные каналы (телефоны, почта, SMS и пр.) для того, чтобы найти человека и получить подтверждение о том, что сообщение получено.
Итак, 21 декабря 2012 года у нас кончается календарь. Достойный, проверенный тысячелетиями, один из трех календарей индейцев Майя. Поскольку некоторая часть земного шара считает это событие весьма тревожным (действительно, жить без календаря крайне неудобно), я планирую посвятить некоторое количество постов, объединенных темой 2012, «проблеме 2012 года».
Оговорюсь сразу – я не планирую разводить у себя в блоге дискуссию о том, случится что-нибудь в 2012 году, или нет, основываясь на предсказаниях индейцев Майя, Нострадамуса, пересказа статей из желтой прессы и проч. Более того, такого рода флейм будет безжалостно вычищаться. Тем не менее, есть два направления, которым я буду уделять внимание. Это:
- Достоверная статистика, касающаяся чрезвычайных происшествий природного характера – землетрясения, наводнения, сели, ураганы и прочая нечисть. Такая информация позволяет оценивать ситуацию максимально объективно, и взвешенно определять стратегию собственного поведения.
- Методология того, как противостоять масштабным чрезвычайным происшествиям природного характера. К сожалению, вне зависимости от близости к «концу света», такие происшествия случаются, и лучше, если вы (как отдельный человек, семья, или организация в целом) окажетесь к ним готовы. Если предчувствие «конца света» поможет вам, например, убедить руководство компании уделять больше внимания вопросам непрерывности бизнеса - ну что же, будет хоть какая-то польза от этого ажиотажа.
Управление инцидентами
04.03.2010
Главное в управлении инцидентами – это правильно донести до участников, что им надо делать
