ГОСТ Р ИСО/МЭК 17799—2005
- мероприятия по обучению персонала, которые направлены на понимание процессов обеспече
ниянепрерывностибизнесасотрудниками, иподдержаниепостояннойэффективностиэтихпроцессов;
- обязанностидолжностных лиц, ответственныхза выполнениекаждогопункта плана. При необхо
димости должны быть указаны альтернативные ответственные.
Необходимо, чтобы за каждый план отвечал конкретный руководитель(сотрудник). Чрезвычайные
меры, планы по переходуна аварийный режим ручнойобработки, планы по возобновлению работысле
дует включать всферуответственностивладельцевсоответствующихбизнес-ресурсов или участников
затрагиваемыхпроцессов. За меры попереходуна аварийный режим работы с использованиемальтер
нативных технических средств, таких как средства обработки информации и связи, ответственность
несут поставщики услуг.
11.1.5Тестирование, поддержка и пересмотр планов по обеспечению непрерывности биз
неса
11.1.5.1 Тестирование планов
Планы по обеспечению непрерывности бизнеса могут оказаться несостоятельными при тестиро
ваниииз-за неправильныхпредпосылокразработки, недосмотру или вследствие изменений, связанных
с заменой оборудования или персонала. Поэтому планы необходимо регулярно тестироватьдля обес
печения уверенности в ихактуальностииэффективности. Такиетесты необходимы такжедляобеспече
ния знания своих обязанностей всеми членами команды восстановления и другим персоналом,
имеющим к этому отношение.
Необходимо, чтобы в графике тестированияплана пообеспечениюнепрерывностибизнесауказы
валось. как и когда следует проверять каждый пункт плана. Периодичность и методы тестирования
отдельныхпунктовпланамогутбыть различными. При этом могут использоватьсяследующиеметоды:
- тестирование («имитация прогона») различных сценариев (обсуждение мер по восстановлению
бизнеса на различных примерах прерываний);
- моделирование(особеннодля тренировки персонала повыполнению своихфункций послеинци
дента и перехода к кризисному управлению);
- тестирование технического восстановления (обеспечение уверенности в эффективном восста
новлении информационных систем);
- проверка восстановления в альтернативном месте (бизнес-процессы осуществляются парал
лельно с операциями по восстановлению в удаленном альтернативном месте);
- тестирование средств и сервисов-лоставщиков (обеспечение уверенности в том, что предостав
ленные стороннимиорганизациямисервисы и программные продукты удовлетворяютконтрактнымобя
зательствам);
- «генеральные репетиции» (тестирование того, что организация, персонал, оборудование, сред
ства и процессы могут справляться с прерываниями).
Методы тестирования могут использоваться любой организацией и необходимо, чтобы они отра
жали специфику конкретного плана по восстановлению.
11.1.5.2 Поддержка и пересмотр планов
Планы по обеспечению непрерывности бизнеса необходимо поддерживать в актуальном состоя
нии путем проведения регулярных пересмотров и обновлений с целью обеспечения уверенности в их
постоянной эффективности (11.1.5.1). В рамках программы развития организации необходимо пред
усматривать соответствующие процедуры, обеспечивающие непрерывность бизнеса.
Необходимо назначать ответственных за проведение регулярных пересмотров плана по обеспе
чению непрерывности бизнеса; идентифицированные изменения в бизнес-процессах, еще не отражен
ные в планах по обеспечению непрерывности бизнеса, должны быть учтены путем соответствующих
обновлений планов. Формализованный процесс управления изменениями должен обеспечивать рас
сылку и ввод в действие обновленных планов в рамках их регулярных пересмотров.
Примеры ситуаций, которые могли бы потребовать обновления планов, включают приобретение
нового оборудования или обновление операционных систем, а также изменения, связанные с:
- персоналом;
- адресами или номерами телефонов;
- стратегией бизнеса;
- местоположением, средствами и ресурсами;
- законодательством;
- подрядчиками, поставщиками и основными клиентами;
- процессами (как новыми, так и изъятыми);
- рисками (операционными и финансовыми).
49