Пересмотр плана непрерывности бизнеса (перевод)

При пересмотре плана непрерывности бизнеса (BCP) аудитор должен удостовериться, что его основные элементы хорошо проработаны в плане. Проверка процедур может включать следующиe действия:

Получить текущую версию BCP или аналогичное руководство.

Получить версию BCP, которая была в действительности разослана и проверить её на актуальность.

Оценить эффективность документированных процедур на случай их применения.

Пересмотреть критерии выбора приложений, определение для них приоритета и планируемой технической поддержки.

Определить для всех приложений время, в течение которых они могут оставаться неработоспособными в случае наступления каких-либо бедствий.

Определить все критичные приложения.

Определить, имеет ли запасная площадка корректные версии необходимых приложений, проверить их на совместимость между собой. В противном случае ИС не будет работоспособной после восстановления.

Получить список членов из группы восстановления.

Получить копию договора или соглашения на использование запасной площадки.

Пересмотреть список персонала, участвующего в BCP, контакты персонала запасной площадки, контакты всех необходимых вендоров с точки зрения полноты и достоверности.

Сделать звонки некоторым сотрудникам, а также другому персоналу, чтобы таким конкретным способом удостовериться в корректности указанной контактной информации.

Проинтервьюировать персонал, чтобы удостовериться в том, что все правильно понимают свои обязанности, а также понимают свою ответственность в случае наступления рисковых событий.

Оценить как документированы процедуры.

Оценить процедуры по актуализации руководств. Все ли обновления руководств производятся и распространяются своевременно? Документирована ли в них специфическая ответственность персонала?

Пересмотреть процедуры бекапа, предназначенные для каждой области BCP.

Определить соответствуют ли процедуры бекапа и восстановления друг другу?

Дополнительные меры:

Оценить полноту, применимость, точность, актуальность и легкость для понимания для всех разработанных процедур.

Удостовериться в том, что все вновь проведенные операции (транзакции), выполненные после процесса восстановления, можно будет отделить от обычных.

Определить, что вся команда восстановления имеет соответствующие инструкции в зависимости от типа бедствия.

Определить, что все подходящие процедуры существуют и они актуализированы.

Определить, что существует план перевода процессов на резервную площадку.

Определить, что существует план восстановления процессов с резервной площадки на основную.

Определить, есть ли необходимость реконструкции (изменения) информационных процессов при их переводе на резервную площадку.

Рассматриваемые вопросы должны включать:

Кто отвечает за администрирование и координацию работ по плану?

Отвечает ли администратор или координатор работ за актуальность плана?

За что конкретно отвечают члены команды восстановления при наступлении бедствия?

Где хранится BCP?

Все ли критичные системы включены в BCP?

Какие системы не включены в BCP и почему?

Какое оборудование не включено в BCP и почему?

Кто управляет BCP в случае вступления его в действие и почему?

Каким образом и кем осуществляется принятие решение о вступлении в действие BCP?

Все ли документированные процедуры восстановления ведут к успешному восстановлению?

Рассчитан ли BCP на разные типы бедствий?

Бекап телекоммуникационного оборудования, а также сетевых и телефонных линий отражен в BCP?

Где расположена запасная площадка?

BCP предусматривает перевод всех основных информационных систем организации с резервной площадки куда-либо еще в случае невозможности восстановления исходной площадки?

BCP предусматривает разделение файлов данных, баз данных, систем управления ими для функционирования на разных площадках?

BCP предусматривает ручную или автоматическую загрузку данных в ИС?

Как проводится обучение персонала как установленным процедурам, так и в части резервного копирования данных?

Процедуры восстановления документированы?

Проводится ли регулярный бекап всех требуемых файлов, информации и приложений?

Кто определяет методы и частоту бекапа для всех критичных данных?

Требуется ли проведение on-line операций на основной площадке, чтобы разместить резервные копии на удаленных площадках и наоборот?

Осведомлены ли сотрудники о том, что в случае бедствий их оборудование (ПК, принтеры и т.д.) могут быть перераспределены между другими площадками?

Существуют ли документированные процедуры на случай потерь данных?

Где находится расписание тестирования и тренировки персонала?

Семинар Курило по НПС

Был сегодня на платном семинаре ЦБ по вопросам НПС. Пересказываю для отсутствующих:

В последних документах ЦБ акцент сдвинут от требований к деятельности. Документы сделаны на основе СТО БР и методики оценки соответствия, т.е. есть преемственность подходов.  Важным стало появление регулярной отчетности по ИБ. Банки должны отправлять отчетность через Клико, однако ЦБ не успевает сделать форму, поэтому первый раз нужно будет передавать отчетность в бумажном виде в экспедицию территориального управления ЦБ.

На вопрос о судьбе СТО БР было сказано, что этот стандарт так и останется рекомендательным, эдаким источником знаний типа Wikipedia. Более того ЦБ никогда и не был его инициатором (!), поэтому за такой поворот им не стыдно. Что делать тем банкам, которые следовали СТО БР и которых 80%? Было обещано, что их труды не пройдут даром, и они зачтутся. Для себя ЦБ сделает некий конвертер для приведения результатов самооценки и сегодняшней отчетности к одному знаменателю. Отчет по самооценке можно им высылать в течение двух лет, хоть сейчас, но спешить не следует.

ЦБ намерен активно вести деятельность по защите электронных средств платежей, в которые подпадает ДБО. Более того ЦБ для себя открыл существование стандарта PCI DSS, в котором также есть оценка соответствия требованиям. В России есть несколько переводов PCI DSS на русский язык, ЦБ начал работу по переводу тоже. Планируется, что официальный перевод будет доступен на сайте ЦБ. Также ЦБ планирует вступить в отношения с PCI DSS Консулом и тем самым начать признавать сертификаты, выдаваемые интеграторами, как доказательства реального положения дел, пусть только в области обработки пластика. Свои же документы ЦБ хочет доработать так, чтобы они полностью пересекались с требованиями PCI DSS.

Что входит в область действия НПС все итак уже знают. Это и ДБО, это и АБС, это и системы мгновенных переводов денег. Главное банкам не пытаться сужать эту область, а ориентироваться, как и раньше, на СТО БР и локальные правила.

В ЦБ уже начали поступать документы на регистрацию платежных систем. По закону эти требования носят заявительный характер. До конца года такие организации должны заявить о себе. Пока ни одной системы не зарегистрировано. Можно ожидать появление реестра к весне 2013 года.

По инцидентам. Если банк имеет филиалы, то отчет должна делать только головная организация и должна включать в него инциденты из филиалов. В отчет должна попадать информации обо всех инцидентах, включая дроперов и инциденты систем мгновенных переводов денег. Если инцидентов нет, то нужно присылать пустой отчет. ЦБ же будет собирать отчеты, анализировать их и выкладывать на своем сайте сводные данные о состоянии ИБ в отрасли.

ЦБ заинтересован в качественной работе с банками по линии ИБ, поэтому если появляются вопросы, нужно оперативно направлять их к ним через АРБ. Также в ЦБ открылась интернет-приемная, в которую можно также направлять вопросы.

На семинаре задавалось много вопросов, на большую их часть ответы получены не были по причине того, что «это наша первая попытка сбора инцидентов и мы будем думать, что делать дальше». Общее впечатление в части полезности мероприятия оцениваю на 3.

Про дипломы

Прочитал про создаваемый на базе ФМС реестр паспортов граждан РФ, и у меня появилась мысль, что неплохо было бы иметь реестр дипломов.

Ситуация с образованием в стране оставляет желать лучшего. При желании можно купить любой диплом любого ВУЗа страны. При устройстве на работу такой купленный диплом, скорее всего, проверять никто не будет или не сможет. Поэтому при желании каждый житель страны может «окончить» с отличием хоть МГУ. Рейтинги ВУЗов общедоступны. Забиваем в Google словосочетание «купить диплом» и получаем на выходе 910 тыс. ссылок. Я пролистал 10 экранов этих ссылок и понял, что за этим стоит целая мошенническая индустрия.

Я считаю, что информация об образовании должна стать общедоступной. С точки зрения работодателя интерес представляет не только факт окончания ВУЗа, но и оценки соискателя по ряду предметов. Как вам, например, хирург-троечник? Можно сделать на базе Минобразования очередную ИС, информация о дипломах в которой станет общедоступна через сеть Интернет.

Чтобы эти персональные данные стали общедоступными достаточно внести очередную поправку в 152-ФЗ, т.к. получение согласия с каждого владельца диплома более проблематично.

Автонавигатор

Купил себе автонавигатор, а вместе с ним и SIM-карту с тарифным планом от МТС. При покупке заполнил всё, что нужно своими данными, а вот сегодня решил зайти в личный кабинет. И понял, что SIM-карта зарегистрирована на другое ФИО.

То есть я даже не могу обратиться к оператору для решения каких-либо проблем.

Поэтому хочу тут озвучить свое мнение на счет того, что необходимо сделать, если не для личной безопасности, но для безопасности общества точно:

1) Продавать мобильники и прочие устройства только по договору с оператором;

2) Продавать тарифные планы только по договору с оператором;

3) «Привязывать» устройства и тарифы к конкретному человеку.

4) Можно даже создать для органов БД динамического геоучета абонентов.

Вперед к НПС

Не прошло и месяца со дней вступления в силу документов ЦБ по защите информации в национальной платежной системе, как появились следующие активности у заинтересованных сторон.

1) Уже появилось три платных семинара по защите информации в НПС: Лукацкий, Курило, Хайров.

2) Начали поступать аналитические материалы и ТКП от интеграторов.

3) Появляются бесплатные тематические завтраки, обеды и ужины.

Хорошим мне здесь видится то, что наконец-то некоторые из основных положений до сих пор необязательного для исполнения СТО БРР ИББС становятся обязательными. С другой стороны это только начало, так как, проведя аналогию с 152-ФЗ, который был принят аж в 2006 году, многие до сих пор занимают выжидательную позицию и будут занимать её до появления (нужное подчеркнуть) изменений КоАП, судебных прецедентов, закрытия компаний.

Почему я думаю так? Потому, что времени на самооценку дали 2 года. Потому, что отчеты по инцидентам никто не запретит отправлять пустыми. Потому, что вначале нужно было создать реестр платежных систем, из которых строится НПС, а потом уже выдвигать компаниям правила игры в защиту информации на платежном рынке.