Максим Анненков
Эксперт по информационной безопасности Security Vision
Работа предприятий периодически осложняется разнообразными инцидентами, происшествиями и даже стихийными бедствиями, степень которых варьируется от незначительных до катастрофических. Планирование непрерывности бизнеса обычно предназначено для того, чтобы помочь компании продолжить работу как в случае аварий, пожаров, наводнений и прочих событий такого рода, так и в под воздействием кибератак, которые в последнее время зачастую являются настолько разрушительными, что по степени ущерба вполне могут быть сопоставимы со стихийными бедствиями.
Угрозы и сбои означают потерю доходов и рост затрат и, в конечном итоге, падение прибыльности. При этом предприятия не могут полагаться только на страхование, поскольку оно не покрывает все расходы и ущерб от потери клиентов, которые переходят к конкурентам. Поэтому план обеспечения непрерывности ведения деятельности (Business Continuity Plan, BCP) является важной частью любого бизнеса.
Security Vision BCP – это решение автоматизации процесса обеспечения непрерывности и восстановление деятельности (ОНиВД) после наступления чрезвычайных ситуаций. Продукт находится на стыке технологий: затрагивает как процессы ИБ, оперируя последствиями реализации угроз, связанных с отказом работоспособности информационных систем, оборудования, утраты ключевых поставщиков, персонала или помещений, так и процессы ИТ, анализируя информационную модель предприятия, обслуживающие ресурсы, метрики работоспособности активов и процедуры восстановления.
Продукт разработан с учетом требований международных и отечественных стандартов в области обеспечения управления непрерывностью бизнеса, таких как:
· ISO 22301 Международный стандарт «Система управления непрерывностью бизнеса. Требования»;
· ГОСТ Р ИСО 22301 - 2021 Национальный стандарт РФ «Надежность в технике. Системы менеджмента непрерывности деятельности. Требования»;
· Положение ЦБ РФ N 787-П от 12.01.2022 «Об обязательных для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг»;
· Указание ЦБ РФ N 4148-У от 06.10.2016 «О требованиях к разработке и утверждению плана обеспечения непрерывности деятельности репозитария и плана обеспечения финансовой устойчивости репозитария»;
· Постановление Правительства РФ N 730 от 26.08.2013 «Об утверждении Положения о разработке планов мероприятий по локализации и ликвидации последствий аварий на опасных производственных объектах».
Security Vision BCP позволяет обеспечить реализацию процесса на всех стадиях его жизненного цикла:
На стадии «Анализ воздействия на бизнес и оценка риска» реализован процесс сбора информации о бизнес-процессах и ресурсах, от которых они зависят, методом рассылки и анализа опросных листов владельцам ресурсов с целью определения операционных, юридических, финансовых и других последствий сбоя и как следствие установления ключевых метрик:
· Максимально допустимый период прерывания деятельности (MTPD);
· Целевая продолжительность восстановления (RTO);
· Целевая точка восстановления (RPO).
На стадии «Планирование обеспечения непрерывности бизнеса» продукт позволяет систематизировать планы обеспечения непрерывности конкретных бизнес-процессов по конкретным типам чрезвычайных ситуаций. Планы позволяют включить в них:
· Конкретные шаги по устранению сбоев;
· Условия активации и деактивации плана;
· Роли и обязанности, ключевые контакты;
· Описание методов и средств коммуникации.
Стадия «Определение и внедрение процедур непрерывности бизнеса» реализована системой заявок, в рамках которых можно поставить и проконтролировать выполнение задач на приведение инфраструктуры в соответствии утвержденным планам обеспечения непрерывности.
Также реализована возможность проводить регулярные тестирования планов непрерывности с оценкой достижения ключевых показателей эффективности.
Далее рассмотрим подробнее аспекты рассматриваемого продукта.
Ресурсно-сервисная модель
Основой продукта является ресурсно-сервисная модель, которая включает в себя функционал воспроизведения информационной модели предприятия, начиная с фундаментальных сущностей, которыми оперирует бизнес (например, бизнес-процессы, обеспечивающие функциональную деятельность компании) и заканчивая техническими активами, которые являются необходимыми ресурсами для реализации бизнес-активов.
Ключевыми бизнес-объектами ресурсно-сервисной модели являются:
· Бизнес-процесс
· Продукт
· Поставщик
· Помещение
· Оборудование (технологическое).
Связующим звеном между бизнес- и техническими объектами является объект Информационная система, которая может быть дальше декомпозирована на Приложение и СЗИ. В целом объекты связаны между собой иерархичным образом в соответствии с разработанной моделью данных. Плюс к этому учитывается принцип зависимости одной сущности от другой (например, бизнес-процесс может полностью зависеть от функционирования определенной информационной системы). Благодаря наличию визуального представления в виде графа можно отследить взаимосвязи между объектами до уровня необходимой детализации.
Business Impact Analysis
В рамках проведения анализа воздействия на деятельность аналитику BCM (Business continuity management, Управление непрерывностью бизнеса) дается возможность сформировать область оценки процесса, где он может указать Подразделения, Продукты или Бизнес-процессы, по которым планируется проведение оценки. При этом на графе связей отразятся объекты, по которым будут созданы опросные листы. Граф связей, в свою очередь, является интерактивным и позволяет раскрывать связи объектов для отображения их зависимостей, а также добавлять объекты к области оценки.
После формирования опросных листов аналитику доступны функции отзыва опросного листа, изменения срока и ответственного за заполнение, а также создания новых опросных листов уже в процессе оценки, что может быть особенно актуально, если в рамках процесса были выявлены объекты, ранее не учтенные при формировании области оценки.
Вопросы опросных листов формируются на основе справочников, которые позволяют тонко настроить их в зависимости от релевантных для конкретной организации значений таких параметров, как:
· Периоды прерывания деятельности;
· Типы последствий;
· Категории последствий;
· Стратегии действий в случае недоступности ресурса.
Также в системе справочников можно создать любое количество дополнительных вопросов с любым количеством ответов.
Промежуточные итоги заполнения опросных листов всегда доступны аналитику BCM на краткой и полной карточке процесса оценки в удобном для анализа виде. Информация о выявленных расхождениях ключевых метрик или внесении изменений в свойства объекта отображается в форме всплывающих подсказок на соответствующих опросных листах.
По результатам оценки последствий доступно автоматическое обновление данных объектов ресурсно-сервисной модели.
Также на всех этапах анализа воздействия на деятельность аналитику BCM доступно создание заявок на устранение выявленных расхождений, либо приведения инфраструктуры организации в соответствие заявленным требованиям.
Business Continuity Plan
Основной задачей модуля Security Vision BCP является создание плана непрерывности бизнеса для каждого подразделения и поддержание его в актуальном состоянии.
План непрерывности бизнеса представляет собой сущность, которая аккумулирует в себе актуальную информацию по бизнес-процессам данного подразделения в разрезе критичности и ключевых метрик. Таким образом, план непрерывности является логическим продолжением завершенного процесса BIA (Business impact analysis, Анализ воздействия на бизнес).
Взаимосвязи между бизнес-процессами и связанными с ними сущностями удобно отслеживать на графе. Дальнейшая декомпозиция связей позволяет, при необходимости, получить более детальную картину.
План непрерывности содержит в себе набор сценариев чрезвычайных ситуаций и перечень действий для каждого из них (в системе за это отвечает объект План восстановления). Действия разбиваются на три этапа, которые могут быть как последовательными, так и параллельными:
· Немедленные меры в случае ЧС (эвакуация персонала, вызов пожарной бригады);
· Меры по поддержанию функционирования подразделения (перевод на удаленную работу, переезд на альтернативную площадку);
· Меры по восстановлению нормального функционирования подразделения (восстановление ИТ-инфраструктуры).
Для каждого действия указываются ответственный за него и максимально допустимый срок исполнения. Также указываются заранее выработанные критерии возврата к нормальному функционированию бизнеса. Таким образом, при активации плана непрерывности будет реализован тот план действий, который отвечает за произошедшую нештатную ситуацию.
На плане непрерывности предусмотрена матрица коммуникаций, в которую входят контакты и роли ответственных за исполнение плана, а также внешние и внутренние экстренные контакты организации.
За поддержание актуальности плана непрерывности отвечает объект План тестирования, в который закладывается процедура проверки готовности и полноты планов непрерывности и восстановления для каждого сценария ЧС. По результатам проведенного тестирования составляется и прикладывается отчет о его успешности. В случае выявления не прошедших тестирование этапов создается задача на внесение корректировок в соответствующий план непрерывности.
Тестирование проводится на регулярной основе, и система автоматически рассылает ответственным лицам уведомления о необходимости провести то или иное тестирование в зависимости от заложенного в нее графика.
Отчеты и дашборды
В модуль Security Vision BCР включены преднастроенные отчеты, позволяющие выгружать данные как по отдельным объектам системы — объекты ресурсно-сервисной модели, процессы оценки, опросные листы и др., так и сводные отчеты, которые содержат консолидированную информацию.
Также включены несколько преднастроенных дашбордов, отображающих ключевую информацию по статусам процессов оценки, опросных листов, а также по сводной аналитике собранных сведений.
Все дашборды автоматически обновляются и являются интерактивными: пользователь может «провалиться» в необходимой срез данных и увидеть источник для расчета того или иного показателя.
Гибкий конструктор платформы Security Vision позволяет пользователям создавать свои собственные отчеты и дашборды по принципу no-code, не прибегая к инструментам разработки и верстки.
Часть экосистемы Security Vision
Ресурсно-сервисная модель BCР также является полноценной составляющей Модуля управления активами, входящего в экосистему Security Vision. Помимо основного функционала, Модуль управления активами тесно связан с другими продуктами экосистемы, обеспечивая синергию функционала линейки продуктов в единой области данных путем взаимного обогащения, переиспользования информации и единого управляющего интерфейса. Модуль активов является важным источником базовой информации, используемой продуктами экосистемы, такой как перечень уязвимостей ПО/ОС, установленные обновления, а также артефакты и свидетельства, используемые в процессах управления инцидентами или управления рисками.
