ГОСТР 55235.3—2012
4.2 Анализ критических видов услуг информационных и коммуникационных технологий
4.2.1 Для каждого критического вида услуг информационных и коммуникационных технологий
в соответствии с перечнем, утвержденным высшим руководством, необходимо описать и задокумен
тировать все компоненты услуги, в том числе должны быть установлены конфигурация услуги и
ее взаимосвязь с другими компонентами, необходимыми для предоставления каждой услуги. Следует
до кументировать конфигурацию нормальной среды предоставления услуги информационных и
коммуни кационных технологий и конфигурацию среды предоставления услуги, направленной на
обеспечение непрерывности информационных и коммуникационных технологий.
4.2.2 Для каждого критического вида услуг информационных и коммуникационных технологий не
обходимо провести анализ текущей способности организации к обеспечению непрерывности, направ
ленной на предупреждение инцидентов и оценку опасностей, связанных с приостановкой и/или ухуд
шением качества услуги, например следует идентифицировать единичные отказы. Организациядолжна
исследовать возможности повышения жизнеспособности услуг информационных и коммуникационных
технологий, чтобы снизить вероятность и/или последствия приостановки предоставления услуги. Это
позволит обеспечить более раннее обнаружение и реагирование на приостановку предоставления ус
луги информационных и коммуникационных технологий. На основе полученных данных организация
может принять обоснованное решение о необходимости инвестиций в выявленные возможности повы
шения жизнеспособности услуги. Подобная оценка опасностей для каждой услуги дает возможность
экономического обоснования для улучшения способности к восстановлению услуг информационных и
коммуникационных технологий.
4.3 Идентификация расхождения между способностью организации к обеспечению
непрерывности критических видов информационных и коммуникационных технологий
и требованиями непрерывности бизнеса
4.3.1 Для каждого критического вида услуг информационных и коммуникационных технологий не
обходимо сравнить способность обеспечения непрерывности информационных и коммуникационных
технологий в организации с требованиями по обеспечению непрерывности бизнеса. Выявленные рас
хождения должны быть документированы.
4.3.2 Высшее руководство должно быть проинформировано обо всех расхождениях способности
к обеспечению непрерывности критических видов услуг информационных и коммуникационных тех
нологий и требований по обеспечению непрерывности бизнеса. Такие расхождения могут указывать
на потенциальные опасности и потребность в формировании ресурсов жизнеспособности и восстанов
ления услуги, таких как:
a) персонал, включая его численность, навыки и знания:
b
) производственные площади, на которых размещено оборудование информационных и комму
никационных технологий, например компьютерный зал;
c) вспомогательные технологии, здания, оборудование и информационно-коммуникационные сети;
d) информационное программное обеспечение и базы данных;
e) внешние услуги и поставщики (поставки).
Подобные дополнительные ресурсы жизнеспособности и восстановления услуг могут потребо
вать дополнительного финансирования со стороны организации.
4.4 Утверждение
Высшее руководство должно утвердить наименования и определения услуг информационных
и коммуникационных технологий, документально оформленный перечень критических видов услуг ин
формационных и коммуникационных технологий и опасностей, связанных с выявленными расхождени
ями способности к обеспечению непрерывности критических видов услуг информационных и коммуни
кационных технологий и требованиями по обеспечению непрерывности бизнеса, включая утверждение
идентифицированных видов риска (см. 4.2.2). Должны быть разработаны способы устранения иденти
фицированных расхождений и снижения риска путем определения стратегий менеджмента непрерыв
ности информационных и коммуникационных технологий.
8