ГОСТ Р 55235.3-2012 Практические аспекты менеджмента непрерывности бизнеса. Применение к информационным и коммуникационным технологиям.

ГОСТ Р 55235.3-2012 Практические аспекты менеджмента непрерывности бизнеса. Применение к информационным и коммуникационным технологиям.

ГОСТ Р 55235.3-2012

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

ПРАКТИЧЕСКИЕ АСПЕКТЫ МЕНЕДЖМЕНТА НЕПРЕРЫВНОСТИ БИЗНЕСА

Применение к информационным и коммуникационным технологиям

Practical aspects of business continuity management. Code of practice for information and communications technologies

ОКС 03.100.01

Дата введения 2013-12-01

Предисловие

1 ПОДГОТОВЛЕН Автономной некоммерческой организацией "Научно-исследовательский центр контроля и диагностики технических систем" (АНО "НИЦ КД") на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в разделе 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 10 "Менеджмент риска"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 29 ноября 2012 г. N 1278-ст

4 Настоящий стандарт идентичен международному стандарту BS 25777:2008* "Менеджмент непрерывности информационных и коммуникационных технологий. Практическое руководство" ("Information and communications technology continuity management - Code of practice", IDT).

Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5-2012 (пункт 3.5).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов, указанных в библиографии настоящего стандарта, соответствующие им национальные и межгосударственный стандарты, сведения о которых приведены в дополнительном приложении ДА

5 ВВЕДЕН ВПЕРВЫЕ

6 ПЕРЕИЗДАНИЕ. Июнь 2020 г.

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение

Менеджмент непрерывности информационных и коммуникационных технологий и его взаимосвязь с менеджментом непрерывности бизнеса

Процессы производства продукции и предоставления услуг во многих организациях напрямую зависят от информационных и коммуникационных технологий (ИКТ). Сбои в работе информационных и коммуникационных технологий могут представлять собой стратегическую опасность для организации, при возникновении которой может быть нарушены нормальный ход деятельности организации и ее репутация. Последствия нарушения услуг информационных и коммуникационных технологий могут быть разноплановыми, зачастую неочевидными в момент сбоя.

Менеджмент непрерывности информационных и коммуникационных технологий является частью общего процесса менеджмента непрерывности бизнеса (МНБ) организации. Основной целью МНБ является обеспечение непрерывности процессов организации и ее способность быстро и эффективно реагировать на все нарушения и сбои в работе. Поэтому наряду с установленными приоритетами в области МНБ, организация также должна проанализировать и определить требования к обеспечению непрерывности информационных и коммуникационных технологий. Менеджмент непрерывности информационных и коммуникационных технологий обеспечивает непрерывность предоставления услуг информационных и коммуникационных технологий

и возможность их восстановления до требуемого уровня в сроки, устанавливаемые высшим руководством. Результативность МНБ зависит от менеджмента непрерывности информационно-коммуникационных технологий, обеспечивающего достижение установленных целей организации, особенно в моменты сбоев в их работе. Для успешного внедрения МНБ и менеджмента непрерывности информационно-коммуникационных технологий необходимо, чтобы они стали неотъемлемой частью культуры организации (см. рисунок 1).

________________

Включая поддерживающую информационную и телекоммуникационную инфраструктуру (сети и их компоненты), компьютерные аппаратные средства, программное обеспечение, услуги информационных и коммуникационных технологий и сопровождение (например, служба технической поддержки).

МНБ и менеджмент непрерывности информационно-коммуникационных технологий обеспечивают эффективность стратегического и оперативного менеджмента, а также устойчивость развития организации. Ответственность за поддержание непрерывности работы организации, в том числе в период нарушений и сбоев, несет высшее руководство. В соответствии с законодательными и обязательными требованиями организации должны иметь выбранные с учетом оценки риска эффективные средства управления, включая МНБ.

Менеджмент непрерывности информационных и коммуникационных технологий и общая стратегия организации

Менеджмент непрерывности информационных и коммуникационных технологий является важным элементом общей стратегии менеджмента информационных и коммуникационных технологий и оказываемых услуг, необходимых для достижения установленных целей организации, а также ее способности непрерывно поставлять ключевые продукцию и услуги при возникновении неблагоприятных ситуаций.

Преимущества внедрения эффективного менеджмента непрерывности информационных и коммуникационных технологий

Все виды деятельности организации могут быть подвергнуты нарушениям и сбоям под воздействием внутренних и внешних событий, таких как технологические отказы, пожары, наводнения, сбои в работе коммунальных сетей, заболевания персонала или преднамеренное нанесение ущерба. Менеджмент непрерывности информационных и коммуникационных технологий обеспечивает устойчивость работы организации путем предупреждения нарушений и сбоев информационных и коммуникационных технологий и восстановления после их возникновения.

Преимуществами внедрения организацией эффективного менеджмента непрерывности информационных и коммуникационных технологий являются:

- анализ, понимание угроз и уязвимостей при предоставлении услуг информационных и коммуникационных технологий;

Рисунок 1 - Взаимосвязь между менеджментом непрерывности информационных и коммуникационных технологий и менеджментом непрерывности бизнеса

- идентификация воздействий нарушений и сбоев информационных и коммуникационных технологий;

- обеспечение эффективного сотрудничества между персоналом организации и поставщиками услуг информационных и коммуникационных технологий (внутренними и внешними);

- повышение компетентности персонала в области информационных и коммуникационных технологий путем демонстрации навыков применения ответных мер в соответствии с планами обеспечения непрерывности информационных и коммуникационных технологий и реализации мероприятий по тестированию непрерывности работы информационных и коммуникационных технологий;

- обеспечение гарантированного уровня предоставления услуг информационных и коммуникационных технологий и получения необходимой технической поддержки и обмена информацией в случае сбоя;

- повышение доверия к стратегии непрерывности бизнеса организации путем установления связи между инвестициями в информационные и коммуникационные технологии и требованиями бизнеса, а также предоставление гарантированной защиты услуг информационных и коммуникационных технологий на установленном уровне в соответствии с их приоритетностью для организации;

- обеспечение достаточности инвестиций и экономической эффективности услуг информационных и коммуникационных технологий с учетом:

- уровня зависимости организации от услуг информационных и коммуникационных технологий;

- характера, расположения, взаимозависимости и использования компонентов услуг информационных и коммуникационных технологий;

- повышение репутации организации от внедрения услуг информационных и коммуникационных технологий;

- получение дополнительных конкурентных преимуществ путем демонстрации способности обеспечить непрерывность бизнеса и поставки продукции и услуг в момент возникновения нарушений и сбоев;

- анализ и регистрация ожиданий всех причастных к деятельности организации сторон и связь этих ожиданий с использованием услуг информационных и коммуникационных технологий.

Непрерывность информационных и коммуникационных технологий в рамках общей стратегии их развития можно обеспечить с меньшими затратами уже на стадии проектирования и разработки услуг информационных и коммуникационных технологий. Внедрение элементов менеджмента непрерывности бизнеса на стадии проектирования помогает лучше интегрировать, понять, уменьшить затраты и упростить поддержку услуг информационных и коммуникационных технологий. Внедрение системы менеджмента непрерывности услуг информационных и коммуникационных технологий может быть сложной и дорогостоящей задачей. Содержание программы обеспечения непрерывности информационных и коммуникационных технологий часто зависит от склонности организации к риску.

Основные направления менеджмента непрерывности информационных и коммуникационных технологий

Менеджмент непрерывности информационных и коммуникационных технологий направлен на определение вероятности и последствий нарушений и/или сбоев, а также на обеспечение способности организации к быстрому их обнаружению и принятию необходимых ответных мер по восстановлению нормального хода деятельности. Для этого организация должна проводить мониторинг услуг информационных и коммуникационных технологий, направленный на обеспечение:

- жизнеспособности услуг и возможности их восстановления на установленном уровне;

- своевременного выявления, анализа и обработки непредвиденных событий при предоставлении услуги;

- исследования связи между услугами информационных и коммуникационных технологий и изменениями внешних факторов

и использования полученной информации для оценки риска и воздействия изменений;

________________

Такие как продавцы, клиенты, партнеры в цепи поставок и поставщики услуг по аутсорсингу.

- исследования зависимости деятельности организации от технических компонентов

и использования полученной информации для оценки риска и воздействия изменений.

________________

Примеры приведены в разделе "Элементы услуг информационных и коммуникационных технологий".

Процессы и решения в области менеджмента непрерывности информационных и коммуникационных технологий необходимы для обеспечения выполнения законодательных и обязательных требований, таких как защита персональных данных.

Принципы менеджмента непрерывности информационных и коммуникационных технологий

Основой непрерывности информационных и коммуникационных технологий являются шесть ключевых принципов:

a) Защита: Защита среды информационных и коммуникационных технологий от инцидентов, сбоев и нарушений путем повышения жизнеспособности услуг информационных и коммуникационных технологий крайне важна для поддержания необходимого уровня доступности услуги для организации.

b) Выявление: Выявление инцидентов на ранней стадии минимизирует их воздействие на услуги, уменьшает объем работы по восстановлению и сохраняет качество услуги информационных и коммуникационных технологий.

c) Реагирование: Адекватное реагирование на инцидент приводит к более эффективному восстановлению и позволяет снизить время простоя. Неадекватная реакция может привести к превращению незначительного инцидента в серьезную проблему.

d) Восстановление: Идентификация и внедрение соответствующей стратегии восстановления обеспечивают своевременное восстановление предоставления услуг и поддержку целостности данных. Расстановка приоритетов при восстановлении позволяет в первую очередь восстановить наиболее важные для организации услуги. Менее важные услуги могут быть восстановлены позднее или, в некоторых случаях не подлежат восстановлению.

e) Эксплуатация: Обеспечение возможности предоставления услуг в режиме аварийного восстановления до полного возвращения системы к рабочему состоянию. Восстановление может потребовать определенного времени и увеличения масштаба операций по аварийному восстановлению услуг, удовлетворяющих возрастающие потребности бизнеса.

f) Возврат: Разработка стратегии для каждого плана непрерывности информационных и коммуникационных технологий, обеспечивающей переход организации из режима аварийного восстановления информационных и коммуникационных технологий к состоянию, при котором услуги могут поддерживать нормальный режим функционирования бизнеса.

Элементы услуг информационных и коммуникационных технологий

Ключевые элементы услуг информационных и коммуникационных технологий включают (см. также приложение А):

a) персонал: специалисты (включая их заместителей), обладающие соответствующими знаниями и способные замещать смежные функции;

b) производственные площади: физическая среда расположения ресурсов в области информационных и коммуникационных технологий;

c) технологии:

1) серверы, средства хранения информации, устройства записи, стеллажи, а также другие аппаратные средства и приспособления;

2) информационно-коммуникационные сети, включая средства передачи данных и голосовой связи, в том числе коммутаторы и маршрутизаторы;

3) программное обеспечение, включая программное обеспечение операционной системы и прикладное программное обеспечение, взаимосвязи и интерфейсы между приложениями и процедурами пакетной обработки.

d) информация: данные приложений, голосовые данные и прочие типы данных;

e) процессы: включая сопроводительную документацию, описывающую конфигурацию ресурсов информационных и коммуникационных технологий и обеспечивающую эффективное функционирование, восстановление и сопровождение услуг информационных и коммуникационных технологий;

f) поставщики: прочие компоненты услуг полного цикла

в случае, если предоставление услуг информационных и коммуникационных технологий зависит от стороннего поставщика услуг или другой организации в цепи поставки, например поставщика данных о финансовом рынке, телекоммуникационного оператора или поставщика услуг доступа в Интернет.

________________

От компьютерного зала (который может быть центром данных и узлом связи) к рабочему столу пользователя или другому каналу доставки, такому как веб-приложение, мобильный телефон, пункт продажи и банкомат.

1 Область применения

Настоящий стандарт содержит рекомендации по менеджменту непрерывности информационных и коммуникационных технологий в рамках общей структуры менеджмента непрерывности бизнеса

________________

Общая структура менеджмента непрерывности бизнеса установлена в [1].

2 Термины и определения

В настоящем стандарте применены следующие термины с соответствующими определениями.

2.1 деятельность (activity): Процесс или набор процессов, осуществляемых организацией (или от ее имени), который выпускает или поддерживает один или несколько видов продукции или услуг.

Примечание - Примеры таких процессов включают бухгалтерский учет, обработку вызовов, информационные технологии (ИТ), производство, распространение.

2.2 непрерывность бизнеса (business continuity): Стратегическая и тактическая способность организации планировать свою работу в случае инцидентов и нарушения ее деятельности, направленная на обеспечение непрерывности операций на установленном приемлемом уровне.

2.3 менеджмент непрерывности бизнеса (business continuity management; ВСМ); МНБ: Полный процесс управления, предусматривающий идентификацию потенциальных угроз и их воздействия на деятельность организации, который создает основу для повышения устойчивости деятельности организации к инцидентам и направлен на реализацию эффективных ответных мер, что обеспечивает защиту интересов ключевых причастных сторон, репутации организации, ее бренда и деятельности.

Примечание - Менеджмент непрерывности бизнеса включает в себя управление восстановлением или продолжением деятельности организации в случае нарушений в ее работе, а также общей программой обеспечения непрерывности бизнеса организации путем обучения, практического применения и анализа непрерывности бизнеса, направленных на осуществление и актуализацию планов непрерывности бизнеса.

2.4 жизненный цикл менеджмента непрерывности бизнеса (business continuity management lifecycle): Совокупность действий по обеспечению непрерывности бизнеса, охватывающих все аспекты и элементы программы менеджмента непрерывности бизнеса.

Примечание - Этапы жизненного цикла менеджмента непрерывности бизнеса показаны на рисунке 1.

2.5 план обеспечения непрерывности бизнеса; ПНБ (business continuity plan; ВСР): Набор документированных процедур и информации, которые разработаны, взаимоувязаны и актуализированы с целью их использования в случае возникновения инцидента и направлены на обеспечение возможности продолжения организацией выполнения критически важных для нее видов деятельности на установленном приемлемом уровне.

2.6 программа менеджмента непрерывности бизнеса (business continuity management programme): Программа менеджмента по непрерывному управлению и руководству действия по идентификации воздействия потенциальных потерь, поддержке стратегии непрерывности бизнеса и планов восстановления бизнеса, обеспечению непрерывности производства продукции и предоставления услуг, внедрению, анализу и поддержанию в рабочем состоянии менеджмента непрерывности бизнеса организации путем обучения и проведения учений, которая должна быть обеспечена необходимыми ресурсами.

2.7 стратегия непрерывности бизнеса (business continuity strategy): Способы обеспечения непрерывности бизнеса организации, направленные на восстановление и продолжение ее деятельности в случае возникновения инцидентов, вызывающих нарушение ее работы.

2.8 анализ воздействия на бизнес (business impact analysis): Процесс исследования функционирования бизнеса и последствий воздействия на него разрушающих факторов.

2.9 последствие (consequence): Результат инцидента, который может повлиять на достижение целей организации.

Примечания

1 Для каждого инцидента должно быть проведено ранжирование последствий.

2 Последствия могут быть определенными и неопределенными, а также могут иметь позитивное или негативное воздействие на достижение целей организации.

2.10 критические виды деятельности (critical activities): Виды деятельности организации, которые должны осуществляться для обеспечения поставки ключевой продукции и услуг, позволяющие достигать наиболее важных и первоочередных целей организации.

2.11 нарушение деятельности организации, сбой (disruption): Невозможность плановой поставки продукции или предоставления услуг или перебои в этой деятельности, вызванные ожидаемым (например забастовка рабочих) или непредвиденным (например отключение электрической энергии) событием или явлением.

2.12 учения (exercise): Мероприятия, предусмотренные планами обеспечения непрерывности бизнеса, в процессе которых частично или полностью происходит отработка действий (репетиция), направленные на то, чтобы планы содержали необходимую информацию и при их выполнении приводили к запланированным результатам.

Примечание - Учения обычно включают в себя инициирование процедуры непрерывности бизнеса, но чаще объявленную или необъявленную имитацию инцидента нарушения непрерывности бизнеса, в процессе которых участники инсценируют возможную ситуацию в целях выявления потенциальных проблем, их преодоления до наступления реального инцидента.

2.13 непрерывность информационных и коммуникационных технологий (ICT continuity): Способность организации осуществлять планирование и реагировать на инциденты и нарушения деятельности для обеспечения продолжения предоставления услуги информационных и коммуникационных технологий на приемлемом, заранее установленном уровне.

2.14 восстановление информационных и коммуникационных технологий после нарушения или сбоя (ICT disaster recovery): Действия и программы, выполняемые при выявлении нарушения, предназначенные для восстановления услуг информационных и коммуникационных технологий организации.

2.15

услуги

информационных и коммуникационных технологий

(ICT services): Обеспечение доступа к информации, ее использованию, а также внутреннего и внешнего обмена информацией, на основе данных, персонала, физических и логических активов, состоящих из средств и/или оборудования, которые поддерживают повседневную деятельность организации.

________________

В сфере информационных и коммуникационных технологий такие услуги часто называют сервисом.

2.16 воздействие (impact): Последствие для конкретной ситуации с установленной оценкой.

2.17 инцидент (incident): Ситуация, которая может произойти и привести к нарушению деятельности организации, разрушениям, потерям, чрезвычайной ситуации или кризису в бизнесе.

2.18 план управления в условиях инцидента (incident management plan): Установленный и документально оформленный план действий, предназначенный для использования при возникновении инцидента, который обычно охватывает вовлеченный персонал, необходимые ресурсы и действия, которые должны быть выполнены в условиях инцидента.

2.19 активация плана (invocation): Объявление о том, что план обеспечения непрерывности бизнеса организации должен быть введен в действие, чтобы продолжить предоставление ключевых услуг или продукции.

2.20 потери (loss): Негативные последствия.

2.21 организация (organization): Группа работников и необходимых средств с распределением ответственности, полномочий и взаимоотношений.

Пример - Компания, корпорация, фирма, предприятие, учреждение, благотворительная организация, предприятие розничной торговли, ассоциация, а также их подразделения или комбинации из них.

Примечание 1 - Распределение обычно является упорядоченным.

Примечание 2 - Организация может быть государственной или частной.

[ISO 9000:2005]

2.22 целевой срок восстановления, директивный срок восстановления (recovery point objective; RPO): Момент времени, к которому необходимо восстановить данные, чтобы возобновить предоставление услуги информационных и коммуникационных технологий.

2.23 целевое время восстановления (recovery time objective, RTO): Период времени, установленный для возобновления деятельности производства продукции, услуги после инцидента.

Примечание - В контексте управления непрерывностью информационных и коммуникационных технологий целевое время восстановления измеряется от момента активации плана до возобновления предоставления услуги. Целевое время восстановления информационных и коммуникационных технологий в целом меньше целевого времени восстановления для продукции, услуг или деятельности.

2.24 способность к восстановлению (resilience): Способность системы информационных и коммуникационных технологий обеспечивать и поддерживать приемлемый уровень обслуживания при различных нарушениях нормальной деятельности и сбоях.

2.25

риск

(risk): Следствие влияния неопределенности на достижение поставленных целей

________________

В соответствии с Федеральным Законом "О техническом регулировании" от 27.12.2002 г. N 184-ФЗ "риск - это вероятность причинения вреда жизни или здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу, окружающей среде, жизни или здоровью животных и растений с учетом тяжести этого вреда".

Примечание 1 - Под следствием влияния неопределенности необходимо понимать отклонение от ожидаемого результата или события (позитивное и/или негативное).

Примечание 2 - Цели могут быть различными по содержанию (в области экономики, здоровья, экологии и т.п.) и назначению (стратегические, общеорганизационные, относящиеся к разработке проекта, конкретной продукции и процессу).

Примечание 3 - Риск часто характеризуют путем описания возможного события и его последствий или их сочетания.

Примечание 4 - Риск часто представляют в виде последствий возможного события (включая изменения обстоятельств) и соответствующей вероятности.

Примечание 5 - Неопределенность - это состояние полного или частичного отсутствия информации, необходимой для понимания события, его последствий и их вероятностей.

2.26 аппетит риска (risk appetite): Общая величина риска, который организация готова принять, перенести или действию которого готова подвергнуться в любой момент времени.

2.27 оценка риска (risk assessment): Полный процесс идентификации, анализа и сравнительной оценки риска.

2.28 менеджмент риска (risk management): Скоординированные действия по руководству и управлению организацией в области риска.

2.29 причастные стороны (stakeholders): Лица, заинтересованные в достижении организацией ее целей.

Примечание - Этот термин охватывает штатных сотрудников и сотрудников сторонних организаций-соисполнителей, клиентов, поставщиков, партнеров, дистрибьюторов, инвесторов, страховщиков, акционеров, собственников, правительство и регулирующие органы.

2.30 тестирование (testing): Принудительно вызванный отказ всех или части систем информационных и коммуникационных технологий при определенных условиях с целью проверки качества проведенного восстановления.

2.31 высшее руководство (top management): Лицо или группа работников, осуществляющих направление деятельности и управление организацией на высшем уровне.

Примечание - Высшее руководство, особенно в крупной корпорации, не всегда может быть непосредственно вовлечено в МНБ, однако в этом случае высшее руководство несет ответственность за установленный в организации порядок соподчиненности. В малой организации высшее руководство может быть владельцем этого процесса.

[ISO 9000:2005]

2.32 уязвимость (vulnerability): Слабые стороны услуг информационных и коммуникационных технологий или деятельности, которые могут в определенный момент стать объектом воздействия угрозы.

Примечание - Примерами уязвимостей могут служить: несоответствующая нормативам противопожарная защита, коммунальное снабжение и неадекватность системы безопасности.

3 Менеджмент программы обеспечения непрерывности информационных и коммуникационных технологий

3.1 Создание системы менеджмента непрерывности информационных и коммуникационных технологий

Организация должна разрабатывать, внедрять, поддерживать и постоянно улучшать систему менеджмента непрерывности информационных и коммуникационных технологий. Менеджмент непрерывности информационных и коммуникационных технологий должен обеспечивать:

a) установление целей менеджмента непрерывности информационных и коммуникационных технологий, которые должны быть четко сформулированы, понятны и доведены до сведения соответствующих причастных сторон;

b) демонстрацию приверженности высшего руководства к менеджменту непрерывности информационных и коммуникационных технологий в рамках общего менеджмента непрерывности бизнеса;

c) выделение необходимых ресурсов;

d) обеспечение необходимой компетентности лиц, ответственных за менеджмент непрерывности информационных и коммуникационных технологий, достаточной для его осуществления.

3.2 Область применения системы менеджмента непрерывности информационных и коммуникационных технологий

3.2.1 Общие положения

Организация должна определить область применения и цели системы менеджмента непрерывности информационных и коммуникационных технологий с учетом:

a) требований к непрерывности информационных и коммуникационных технологий;

b) области применения, целей и требований системы менеджмента непрерывности бизнеса, включая законодательные, обязательные и иные требования;

c) приемлемого уровня риска и видов риска, связанных с информационными и коммуникационными технологиями;

d) требований к непрерывности бизнеса;

e) интересов ключевых причастных сторон.

Организация должна идентифицировать системы информационных и коммуникационных технологий, входящие в область применения системы менеджмента непрерывности бизнеса и информационных и коммуникационных технологий.

3.2.2 Политика в области непрерывности информационных и коммуникационных технологий

Высшее руководство должно разработать СМБ и продемонстрировать приверженность политике менеджмента непрерывности информационных и коммуникационных технологий в рамках общей политики МНБ.

Политика должна включать в себя или ссылаться на:

a) стратегию информационных и коммуникационных технологий организации;

b) область применения системы менеджмента непрерывности информационных и коммуникационных технологий, в том числе все ограничения и исключения.

Политика должна быть:

i) утверждена высшим руководством;

ii) доведена до сведения всего персонала, работающего в организации или от ее имени;

iii) проанализирована на постоянную пригодность через запланированные интервалы времени, а также в случае значительных изменений.

3.2.3 Обеспечение ресурсами

Организация должна определить и выделить ресурсы, необходимые для создания, внедрения, функционирования и поддержки системы менеджмента непрерывности информационных и коммуникационных технологий. Функции, обязанности, компетентность и полномочия в области менеджмента непрерывности информационных и коммуникационных технологий должны быть определены и документально оформлены.

Высшее руководство должно:

a) назначить ответственного за политику в области менеджмента непрерывности информационных и коммуникационных технологий, ее внедрение и наделить его соответствующими полномочиями;

b) назначить одного или нескольких ответственных за внедрение и поддержку системы менеджмента непрерывности информационных и коммуникационных технологий.

3.3 Внедрение менеджмента непрерывности информационных и коммуникационных технологий

Цель:

Внедрение менеджмента непрерывности информационных и коммуникационных технологий в повседневные операции информационных и коммуникационных технологий и процессы менеджмента организации путем повышения осведомленности и обучения соответствующего персонала, что должно стать основной ценностью общей системы менеджмента непрерывности бизнеса и информационных и коммуникационных технологий.

3.3.1 Повышение осведомленности

Организация должна:

a) повышать, расширять и поддерживать осведомленность персонала путем проведения постоянного обучения и использования информационных программ;

b) установить процесс оценки результативности процедур повышения осведомленности;

c) обеспечить осведомленность персонала о его участии в достижении целей в области непрерывности информационных и коммуникационных технологий.

3.3.2 Квалификация персонала в области информационных и коммуникационных технологий

Организация должна обеспечивать необходимый уровень квалификации персонала, на который возложены обязанности по менеджменту непрерывности информационных и коммуникационных технологий, путем:

a) определения необходимого уровня квалификации персонала;

b) проведения анализа потребностей в обучении персонала;

c) проведения обучения;

d) обеспечения достижения персоналом необходимого уровня квалификации;

e) ведения записей об обучении, образовании, навыках, опыте и квалификации.

3.4 Документация и записи по менеджменту непрерывности информационных и коммуникационных технологий

В организации должна быть разработана документация по следующим аспектам менеджмента непрерывности информационных и коммуникационных технологий:

a) политике в области менеджмента непрерывности информационных и коммуникационных технологий;

b) перечню критических видов услуг информационных и коммуникационных технологий, утвержденному высшим руководством, для которых должно быть установлено целевое время восстановления;

c) результатам анализа воздействия на бизнес;

d) результатам оценки риска;

e) стратегии обеспечения непрерывности для каждой услуги информационных и коммуникационных технологий;

f) планам менеджмента непрерывности и управления инцидентами для информационных и коммуникационных технологий;

g) актуализированным контактным данным персонала, служб и организаций, а также ресурсам, которые могут потребоваться для поддержки стратегий реагирования;

h) программам и записям о проведении обучения и повышении осведомленности персонала;

i) программам проведения учений и тестов, полученным результатам, а также записям о предупреждающих и корректирующих действиях (см. 8.3);

j) анализу последствий инцидентов;

k) описанию компонентов информационных и коммуникационных технологий и способам их конфигурации и/или взаимодействия для предоставления каждой услуги.

Организация должна управлять, регистрировать и поддерживать записи, необходимые для получения объективных свидетельств эффективности функционирования системы менеджмента непрерывности информационных и коммуникационных технологий.

Организация должна установить документированные процедуры идентификации средств управления документацией и записями в области менеджмента непрерывности информационных и коммуникационных технологий.

3.5 Мониторинг и анализ системы менеджмента непрерывности информационных и коммуникационных технологий

Сотрудник, ответственный за непрерывность информационных и коммуникационных технологий (см. 3.2.3), должен проводить мониторинг и анализ менеджмента непрерывности информационных и коммуникационных технологий, направленный на обеспечение его результативности и эффективности. Анализ должен быть направлен на оценку соответствия политики, целей и области применения системы менеджмента непрерывности информационных и коммуникационных технологий. В соответствии с полученными результатами анализа необходимо определить и санкционировать корректирующие действия и меры по улучшению.

3.6 Предупреждающие и корректирующие действия

Организация должна постоянно улучшать менеджмент непрерывности информационных и коммуникационных технологий путем применения предупреждающих и корректирующих действий. Эти действия должны соответствовать потенциальному воздействию проблем, выявленных в процессе анализа воздействия на бизнес организации, а также уровню приемлемости риска для организации.

Результаты предупреждающих и корректирующих действий должны быть отражены, учтены в соответствующей документации по менеджменту непрерывности информационных и коммуникационных технологий.

Полная версия документа доступна с 20.00 до 24.00 по московскому времени.

Для получения доступа к полной версии без ограничений вы можете выбрать подходящий тариф или активировать демо-доступ.