Quis custodiet ipsos custodes?

Disclaimer

Disclaimer
Все мысли, изложенные на данном блоге, являются исключительно плодом воображения автора и отражают его личную точку зрения. Точка зрения автора никак не взаимосвязана с точкой зрения других физических и юридических лиц, за исключением тех случаев, когда это особо указано в тексте.

вторник, 8 июня 2010 г.

NIST обновил стандарт по обеспечению непрерывности работы для федеральных информационных систем

Вчера национальный институт стандартов США выпустил новую редакцию Contingency Planning Guide for Federal Information Systems.

Документ рассматривает внутренние меры по восстановлению работы информационных систем в случае сбоев. Согласно стандарту, для разработки и внедрения жизнеспособной программы обеспечения непрерывности работы их информационных систем, организации должны выполнить сем шагов:

  1. Разработать политику по планированию обеспечения непрерывности работы информационных систем. Формальная политика, определяющая полномочия и методологические принципы, необходимые для разработки эффективного плана обеспечения непрерывности работы информационных систем.
  2. Выполнить анализ влияния на бизнес (business impact analysis). Анализ влияния на бизнес помогает идентифицировать и приоритезировать критичные для поддержания бизнес функций организации информационные системы и из компоненты. Шаблон для проведения  анализ влияния на бизнес прилагается.  
  3. Определить превентивные контроли. Меры, предпринятые для снижения эффекта от сбоев в системе, могут повысить доступность систем и снизить стоимость жизненного цикла обеспечения непрерывности работы.
  4. Выработать стратегию по обеспечению непрерывности работы информационных систем. Разработанная стратегия обеспечивает быстрое и эффективное восстановление систем после сбоя.
  5. Разработать план обеспечения непрерывности работы информационных систем. План должен содержать подробное руководство и процедуры по восстановлению затронутых сбоем систем и однозначно определять уровень влияния системы на безопасность и требования по восстановлению.
  6. Обеспечить тестирование плана и обучение персонала. Тестирование проверяет способность к восстановлению, поскольку обучение персонала и выполнение учений по восстановлению позволяет идентифицировать недостатки плана, а также меры, которые необходимо предпринять по улучшению плана для повышения его эффективности.
  7. Обеспечить поддержание плана в адекватном состоянии. План должен быть "живым" документом, который регулярно обновляется с учетом  организационных изменений и изменений в системах.

Документ также предлагает три формата для разработки плана по обеспечению непрерывности работы ИТ систем в зависимости от низкого, среднего или высокого уровня влияния (определено в Federal Information Processing Standard (FIPS) 199, Standards for Security Categorization of Federal Information and Information Systems.)

С полным текстом можно ознакомится на сайте NIST Special Publication 800-34 Rev. 1

Комментариев нет:

Отправить комментарий