22/01/2019
Тема с обеспечением отказоустойчивости IT инфраструктуры и сохранности данных в организациях за последний год у нас в стране поднималась довольно часто. Из моего личного опыта работа по теме обеспечения информационной безопасности — отсутствие планирования и заранее продуманных путей решения проблем при проблемах с аппаратным или программным обеспечение, очень часто ведет к потере данных и простоям в работе.
Как ни странно со всеми подобными проблемами легко бороться, и придумывать тут ничего не надо, так как все ужа давно придумано за нас. США являясь лидерами в области кибер разработок, все уже продумали, много раз протестировали и применяют у себя. Для организации непрерывности бизнеса используется так называемый Business Continuity Plan (BCP), а для решения проблем с компьютерным оборудованием в случае возникновения ЧП — Disaster Recovery Plan (DRP). Оба плана являются частью стратегии Информационной Безопасности на предприятии и предназначены для обеспечения Доступности данных и компьютерных систем.
Business Continuity Plan (BCP) или по нашему План по отказоусойчивости бизнеса предназначен для цели обеспечения работоспособности компьютерных систем и как следствие всего бизнеса в случае проблем с компьютерным оборудованием, программным обеспечением, сетями. Этот документ не какой-то план, который когда-то написали, положили на полку и благополучно забыли, а реальный бизнес процесс в организации, который постоянно используется и развивается. В процессе разработки BCP происходит оценка рисков, с которыми сталкивается организация, а также так называемый Анализ Влияния на Бизнес (BIA), который показывает убытки, которые понесет организация, в случае проблем с той или иной техникой. На основании этого разрабатывается стратегия, которая описывает действия, которые необходимо предпринимать при возникновении ЧП, а также ответственных лиц в организации, кто этим должен заниматься.
Disaster Recovery Plan (DRP) или на русском «План Восстановления после Катастроф» в свою очередь представляет собой документ и процесс, который определеят что и как нужно делать в случае событий, который приводят к потере целых дата центров или крупных сетей организации. Это может быть землятресение, наводнение, масштабная хакерская атака или терорестическая атака. Цель нашего DRP как раз таки и заключается в том, чтобы во время таких форс мажорных мероприятий, свести к минимуму простой основных бизнес процессов организации с помощью средств резервирования, а также в кратчайшие сроки вернуть в нормальное русло работосопособность всей организации.
Два вышеуказанных документа и процесса используется во многих коммерческих и некоммерческих организациях. Но особоую важность на Западе они имеют на Объектах Критической Инфраструктуры. Такими объектами явлются любые предприятия, от которых зависит нормальное функционирование экономики в машстабах всей страны. Прежде всего это предприятия энергосектора, телекоммуникационные компании, банки и финансовые организации. В случае вывода из строя одного из таких объектов, нормальная жизнь и работа большой части страны оказывается под угрозой.
Судя по инциденту в этом году с Национальной Платежной Системой Узбекистана, о таких вещах как BCP и DRP там не слышали, и соответствюущих требований от Центрального Банка по подобным практикам у них нет. И большего всего в этом инциденте пугает то, что скорее всего это не была какая-то спланированная хакерская атака или диверсия со стороны недоброжелателей, а банальная проблема с аппаратной или программной платформой организации. При этом простой в несколько суток только одной платежной системы привел к резкому спаду в экономике на это время. И возникает вопрос, а что если какие-то группировки хакеров будут проводить направленные кибер атаки против Объектов Критической Инфраструктуры в нашей стране. Насколько они защищены и смогут ли выстоять при этом и восстановить свою нормальную работоспособность в случае обвала?
Теоретическая и практическая база по данным вопросам на глобальном уровне прекрасно изучена. В мире уже есть отработанные и много лет использующие практики и стандарты. Тут можно упомянуть стандарты NIST SP 800-34, ISO 22301. Мне видится, что многим организациям, для которых простой компьютерных систем является критичным, стоит уже сегодня задуматься над данным направлением своего развития.
