пр Стандарты ИБ. Непрерывность бизнеса, iso 22301
TRANSCRIPT
![Page 1: пр Стандарты ИБ. Непрерывность бизнеса, ISO 22301](https://reader033.vdocuments.pub/reader033/viewer/2022051503/5881d5b61a28ab331a8b651b/html5/thumbnails/1.jpg)
Стандарты и «лучшие практики» по ИБ. Часть 2.4
Стандарты серии ISO 22301
Прозоров Андрей 2014-05
![Page 2: пр Стандарты ИБ. Непрерывность бизнеса, ISO 22301](https://reader033.vdocuments.pub/reader033/viewer/2022051503/5881d5b61a28ab331a8b651b/html5/thumbnails/2.jpg)
Термин по ГОСТ
• Непрерывность бизнеса – стратегическая и тактическая особенность организации планировать свою работу в случае инцидентов и нарушения ее деятельности, направленная на обеспечение непрерывности деловых операций на установленном приемлемом уровне.
• МНБ – менеджмент непрерывности бизнеса
![Page 3: пр Стандарты ИБ. Непрерывность бизнеса, ISO 22301](https://reader033.vdocuments.pub/reader033/viewer/2022051503/5881d5b61a28ab331a8b651b/html5/thumbnails/3.jpg)
Зачем изучать НБ?
• Кто отвечает за непрерывность бизнеса? ИТ, ИБ, бизнес?
• А если произойдет крупный инцидент, то кто будет виноват?
• Классическая триада ИБ: к, ц, Д
• Комплексные стандарты ИБ содержат блок «непрерывность»
![Page 4: пр Стандарты ИБ. Непрерывность бизнеса, ISO 22301](https://reader033.vdocuments.pub/reader033/viewer/2022051503/5881d5b61a28ab331a8b651b/html5/thumbnails/4.jpg)
Если не планировать НБ
![Page 5: пр Стандарты ИБ. Непрерывность бизнеса, ISO 22301](https://reader033.vdocuments.pub/reader033/viewer/2022051503/5881d5b61a28ab331a8b651b/html5/thumbnails/5.jpg)
Где искать стандарты?
• ISO: – iso.org/iso/home.html
• ГОСТы: – gost.ru/wps/portal/pages.CatalogOfStandarts
– gostexpert.ru
– gostinfo.ru/PRI (здесь можно посмотреть текст документов)
![Page 6: пр Стандарты ИБ. Непрерывность бизнеса, ISO 22301](https://reader033.vdocuments.pub/reader033/viewer/2022051503/5881d5b61a28ab331a8b651b/html5/thumbnails/6.jpg)
Сокращения в названиях (ISO)
• Under development («в разработке») PWI-> NP or NWIP-> AWI-> WD-> CD-> FCD-> DIS-> FDIS-> PRF-> IS
– WD - Working Draft – CD - Committee Draft – DIS - Draft International Standard – … – IS - International Standard
• TR - Technical Report • PAS - Publicly Available Specification (Общедоступные
технические требования) • PD - Published Document (рекомендации) • BIP - Business Information Publication («Code of
Practice»)
![Page 7: пр Стандарты ИБ. Непрерывность бизнеса, ISO 22301](https://reader033.vdocuments.pub/reader033/viewer/2022051503/5881d5b61a28ab331a8b651b/html5/thumbnails/7.jpg)
«Классика» BS 25999
• BS 25999-1:2006 «Business continuity management Code of practice»
• BS NHS 25999-1:2009 «Business continuity management Part 1: Code of practice»
• BS 25999-2:2007 «Business continuity management. Specification»
![Page 8: пр Стандарты ИБ. Непрерывность бизнеса, ISO 22301](https://reader033.vdocuments.pub/reader033/viewer/2022051503/5881d5b61a28ab331a8b651b/html5/thumbnails/8.jpg)
BS 25999-2 -> ISO 22301 BS 25999-1 -> ISO 22313
![Page 9: пр Стандарты ИБ. Непрерывность бизнеса, ISO 22301](https://reader033.vdocuments.pub/reader033/viewer/2022051503/5881d5b61a28ab331a8b651b/html5/thumbnails/9.jpg)
Переход от BS 25999 к ISO 22301
http://shop.bsigroup.com/upload/22301-Transition-Guide.pdf
12 страниц
![Page 10: пр Стандарты ИБ. Непрерывность бизнеса, ISO 22301](https://reader033.vdocuments.pub/reader033/viewer/2022051503/5881d5b61a28ab331a8b651b/html5/thumbnails/10.jpg)
«Societal security» на ISO.org
![Page 11: пр Стандарты ИБ. Непрерывность бизнеса, ISO 22301](https://reader033.vdocuments.pub/reader033/viewer/2022051503/5881d5b61a28ab331a8b651b/html5/thumbnails/11.jpg)
ISO 2230k (базовые)
• ISO 22300:2012 «Societal security. Terminology»
• ISO 22301:2012 «Societal security. Business continuity management systems. Requirements»
• ISO 22313:2012 «Societal security. Business continuity management systems. Guidance»
![Page 12: пр Стандарты ИБ. Непрерывность бизнеса, ISO 22301](https://reader033.vdocuments.pub/reader033/viewer/2022051503/5881d5b61a28ab331a8b651b/html5/thumbnails/12.jpg)
Societal security (1)
• ISO/TR 22312:2011 «Societal security. Technological capabilities»
• ISO/FDIS 22315 «Societal security. Mass evacuation. Guidelines for planning»
• ISO/NP 22316 «Societal security. Organizational resilience. Principles and guidelines»
• ISO/WD 22317 «Societal security. Business continuity management systems. Business impact analysis (BIA)»
• ISO/WD TS 22318 «Societal Security. Business continuity management. Guidance for supply chain continuity»
![Page 13: пр Стандарты ИБ. Непрерывность бизнеса, ISO 22301](https://reader033.vdocuments.pub/reader033/viewer/2022051503/5881d5b61a28ab331a8b651b/html5/thumbnails/13.jpg)
Societal security (2)
• ISO 22320:2011 «Societal security. Emergency management. Requirements for incident response»
• ISO/DIS 22322 Societal security. Emergency management. Public warning»
• ISO/DIS 22324 «Societal security. Emergency management. Colour-coded alert»
• ISO/CD 22325 «Societal security. Emergency management. Guidelines for emergency management capability assessment»
• ISO/DTR 22351 «Societal security. Emergency management. Message structure for exchange of information»
• ISO/FDIS 22397 «Societal security. Guidelines for establishing partnering arrangements»
• ISO 22398:2013 «Societal security. Guidelines for exercises»
![Page 14: пр Стандарты ИБ. Непрерывность бизнеса, ISO 22301](https://reader033.vdocuments.pub/reader033/viewer/2022051503/5881d5b61a28ab331a8b651b/html5/thumbnails/14.jpg)
Прочие
• BS 25777:2008 «Information and communications
technology continuity management. Code of practice» • ISO/IEC 27031:2011 «Information technology. Security
techniques. Guidelines for information and communication technology readiness for business continuity»
• ISO/IEC 24762:2008 «Information technology. Security techniques. Guidelines for information and communications technology disaster recovery services»
• ISO 27001/27002-2013 … A.17 Information security aspects of business continuity management
![Page 16: пр Стандарты ИБ. Непрерывность бизнеса, ISO 22301](https://reader033.vdocuments.pub/reader033/viewer/2022051503/5881d5b61a28ab331a8b651b/html5/thumbnails/16.jpg)
PAS. Business continuity
• PAS 56:2003 «Guide to business continuity management» (£104.00/£52.00)
• PAS 77:2006 «IT Service Continuity Management. Code of
Practice» (£49.00)
• PAS 200:2011 «Crisis management. Guidance and good practice» (£100.00)
![Page 17: пр Стандарты ИБ. Непрерывность бизнеса, ISO 22301](https://reader033.vdocuments.pub/reader033/viewer/2022051503/5881d5b61a28ab331a8b651b/html5/thumbnails/17.jpg)
PD. Business continuity management
• PD 25111:2010 «Business continuity management. Guidance on human aspects of business continuity» (£100.00/£50.00)
• PD 25222:2011 «Business continuity management. Guidance on supply chain continuity» (£100.00/£50.00)
• PD 25666:2010 «Business continuity management. Guidance on exercising and testing for continuity and contingency programmes» (£100.00/£50.00)
• PD 25888:2011 «Business continuity management. Guidance on organization recovery following disruptive incidents» (£100.00/£50.00)
![Page 18: пр Стандарты ИБ. Непрерывность бизнеса, ISO 22301](https://reader033.vdocuments.pub/reader033/viewer/2022051503/5881d5b61a28ab331a8b651b/html5/thumbnails/18.jpg)
BIP. Business continuity
• BIP 2020:2013 «The business improvement handbook» (£40.00)
• BIP 2121:2006 «A Risk management approach to business continuity. Aligning business continuity with corporate governance» (£55.00)
• BIP 2139:2007 «Principles and practices of business continuity: Tools and techniques» (£55.00)
• BIP 2217:2011 «Business continuity management for small and medium sized enterprises How to survive a major disaster or failure» (£27.00)
• BIP 2214:2011 «A practical approach to business impact analysis Understanding the organization through business continuity management» (£37.00)
![Page 19: пр Стандарты ИБ. Непрерывность бизнеса, ISO 22301](https://reader033.vdocuments.pub/reader033/viewer/2022051503/5881d5b61a28ab331a8b651b/html5/thumbnails/19.jpg)
А еще в РФ есть ГОСТы…
![Page 20: пр Стандарты ИБ. Непрерывность бизнеса, ISO 22301](https://reader033.vdocuments.pub/reader033/viewer/2022051503/5881d5b61a28ab331a8b651b/html5/thumbnails/20.jpg)
ГОСТы (1)
• ГОСТ Р 53647.1-2009 «Менеджмент непрерывности бизнеса. Часть 1. Практическое руководство»
• ГОСТ Р 53647.2-2009 «Менеджмент непрерывности бизнеса. Часть 2. Требования
• ГОСТ Р 53647.3-2010 «Менеджмент непрерывности бизнеса. Часть 3. Руководство по внедрению»
• ГОСТ Р 53647.4-2011 «Менеджмент непрерывности бизнеса. Руководящие указания по обеспечению готовности к инцидентам и непрерывности деятельности»
![Page 21: пр Стандарты ИБ. Непрерывность бизнеса, ISO 22301](https://reader033.vdocuments.pub/reader033/viewer/2022051503/5881d5b61a28ab331a8b651b/html5/thumbnails/21.jpg)
ГОСТы (2)
• ГОСТ Р 53647.5-2012 «Менеджмент непрерывности бизнеса. Готовность к опасным ситуациям и инцидентам»
• ГОСТ Р 53647.6-2012 «Менеджмент непрерывности бизнеса. Требования к системе менеджмента персональной информации для обеспечения защиты данных»
• ГОСТ Р 53647.8-2013 «Менеджмент непрерывности бизнеса. Управление человеческими ресурсами»
• ГОСТ Р 53647.9-2013 «Менеджмент непрерывности бизнеса. Управление организацией в условиях кризиса»
![Page 22: пр Стандарты ИБ. Непрерывность бизнеса, ISO 22301](https://reader033.vdocuments.pub/reader033/viewer/2022051503/5881d5b61a28ab331a8b651b/html5/thumbnails/22.jpg)
ГОСТы (3)
• ГОСТ Р 55235.1-2012 «Практические аспекты менеджмента непрерывности бизнеса. Менеджмент активов. Требования к оптимальному управлению производственными активами»
• ГОСТ Р 55235.2-2012 «Практические аспекты менеджмента непрерывности бизнеса. Менеджмент активов. Руководство по применению требований к оптимальному управлению производственными активами»
• ГОСТ Р 55235.2-2012 «Практические аспекты менеджмента непрерывности бизнеса. Менеджмент активов. Руководство по применению требований к оптимальному управлению производственными активами»
• ГОСТ Р ИСО/МЭК 27031-2012 «Информационная технология. Методы и средства обеспечения безопасности. Руководство по готовности информационно-коммуникационных технологий к обеспечению непрерывности бизнеса»
![Page 23: пр Стандарты ИБ. Непрерывность бизнеса, ISO 22301](https://reader033.vdocuments.pub/reader033/viewer/2022051503/5881d5b61a28ab331a8b651b/html5/thumbnails/23.jpg)
Основные идеи
![Page 24: пр Стандарты ИБ. Непрерывность бизнеса, ISO 22301](https://reader033.vdocuments.pub/reader033/viewer/2022051503/5881d5b61a28ab331a8b651b/html5/thumbnails/24.jpg)
Этапы жизненного цикла МНБ
• Персонал • Площади • Технологии • Информация • Запасы • 3и стороны
• Цели • Область действия
(критичные виды деятельности)
• Анализ угроз
![Page 25: пр Стандарты ИБ. Непрерывность бизнеса, ISO 22301](https://reader033.vdocuments.pub/reader033/viewer/2022051503/5881d5b61a28ab331a8b651b/html5/thumbnails/25.jpg)
Основная идея НБ
• Риски • Время
восстановления
![Page 26: пр Стандарты ИБ. Непрерывность бизнеса, ISO 22301](https://reader033.vdocuments.pub/reader033/viewer/2022051503/5881d5b61a28ab331a8b651b/html5/thumbnails/26.jpg)
Документация (1)
1. Политика 2. Анализ воздействия на бизнес (BIA) 3. Оценка риска 4. Стратегия
![Page 27: пр Стандарты ИБ. Непрерывность бизнеса, ISO 22301](https://reader033.vdocuments.pub/reader033/viewer/2022051503/5881d5b61a28ab331a8b651b/html5/thumbnails/27.jpg)
Документация (2)
5. Программа обеспечения компетентности
6. Программа обучения
7. Планы управления инцидентами
8. Планы обеспечения непрерывности
9. Планы восстановления
10.График и программа учений
11.Соглашения и договоры
![Page 28: пр Стандарты ИБ. Непрерывность бизнеса, ISO 22301](https://reader033.vdocuments.pub/reader033/viewer/2022051503/5881d5b61a28ab331a8b651b/html5/thumbnails/28.jpg)
Развитие инцидента во времени
![Page 29: пр Стандарты ИБ. Непрерывность бизнеса, ISO 22301](https://reader033.vdocuments.pub/reader033/viewer/2022051503/5881d5b61a28ab331a8b651b/html5/thumbnails/29.jpg)
RTO и RPO
RTO (Recovery Time Objective) – Целевое
время восстановления
RЗO (Recovery Point Objective) – Целевая точка
восстановления
![Page 30: пр Стандарты ИБ. Непрерывность бизнеса, ISO 22301](https://reader033.vdocuments.pub/reader033/viewer/2022051503/5881d5b61a28ab331a8b651b/html5/thumbnails/30.jpg)
Процесс восстановления
![Page 31: пр Стандарты ИБ. Непрерывность бизнеса, ISO 22301](https://reader033.vdocuments.pub/reader033/viewer/2022051503/5881d5b61a28ab331a8b651b/html5/thumbnails/31.jpg)