"Пишем Disaster Recovery Plan"

Разработка плана аварийного восстановления позволит избежать значительных (а иногдакритических) потерь, связанных с невозможностью функционирования бизнеса из-за сбоев в ИТ-инфраструктуре или потери данных. Задача разработки DRP могут выполняться отделом ИТ в рамках обеспечения непрерывности бизнеса, отделом ИБ в рамках менеджмента инцидентов информационной безопасности и в целях восстановления доступности информации, а также отделом управления рисками для снижения влияния воздействия рисков недоступности бизнес-функций. Практика работы с рисками в нашей стране сложилась таким образом, что работой с рисками занимаются в основном отделы ИБ. Таким образом, задача разработки плана аварийного восстановления лежит, как правило, на специалистах по информационной безопасности. В данной статье мы рассмотрим процесс написания Disaster Recovery Plan по шагам на конкретном примере крупной страховой компании. Рекомендации по разработке планааварийного восстановления представлены в «лучших практиках» институтов (NIST, BCI и т.д.), а также изложены в виде разделов в некоторых зарубежных и отечественных стандартах (CobiT, ITIL, СТО БР ИББС и т.д.). Описываемый DRP план разрабатывался в соответствии с рекомендациями стандарта ISO 25999 (Business Continuity Management Standard) и Good PracticeGuidelines таких международных организаций, как Business Continuity Institute и Disaster Recovery Institute.