Основные вопросы, рассматриваемые при аудите
Основные цели аудита
Основной целью аудита управления (обеспечения) непрерывностью бизнеса и восстановления после сбоев является необходимость убедиться в том, что в организации внедрены контрольные механизмы, минимизирующие риски прерываний критичных бизнес-процессов и негативные последствия таких прерываний, в частности:
• проведена оценка рисков прерываний, и разработан план действий по внедрению корректирующих мер контроля, и на данные меры выделены соответствующие бюджеты;
• данный план действий выполняется и контролируется руководством;
• соответствующие политики, стандарты, процедуры в области обеспечения непрерывности и соответствующие договорные соглашения исполняются, как это установлено;
• ИТ-системы, данные и другие ресурсы, необходимые для восстановления, будут доступны в соответствии с установленными требованиями;
• план непрерывности бизнеса и восстановления ИТ после сбоев разработан, адекватен и соответствует текущим потребностям организации;
• разработаны и внедрены процедуры обеспечения безопасности персонала в критичных ситуациях.
В ходе аудита обычно рассматриваются следующие аспекты управления непрерывностью бизнеса:
• политики и основы процессов управления непрерывностью бизнеса;
• процедуры действий в чрезвычайных ситуациях;
• оценка рисков и анализ влияния прерываний на бизнес, управление рисками;
• компоненты планирования непрерывности бизнеса;
• стратегии обеспечения непрерывности бизнеса и восстановления после сбоев;
• ресурсы, требуемые для восстановления;
• разработка и внедрение планов непрерывности бизнеса и восстановления ИТ после сбоев;
• процедуры альтернативной работы подразделений;
• удаленное хранение резервной информации;
• резервная площадка;
• распространение планов;
• обучение, тренировки;
• тестирование, поддержка и пересмотр планов;
• заключительные процедуры.
Информация по вышеперечисленным вопросам получается в рамках стандартных аудиторских процедур путем:
• проведения интервью ключевого персонала организации (руководство организации, ключевые сотрудники основных бизнес-подразделений и подразделений поддержки, включая отдел кадров, физическую безопасность, администрацию и т.п., т.е. не ограничиваясь только сотрудниками ИТ-подразделений.);
• анализа существующей нормативной базы (политики, корпоративные стандарты, планы непрерывности бизнеса и восстановления после сбоев и т.п.);
• анализа контрактов с поставщиками услуг (в рамках проекта, концентрируясь на вопросах гарантирования непрерывного предоставления услуг и процедурах реагирования поставщика в случае прерываний/сбоев);
• проведения непосредственно обзоров (центров обработки данных, резервной площадки, мест хранения резервной информации и т.п.);
• ограниченного тестирования отдельных процедур обеспечения непрерывности (контроль исполнения процедур архивирования, удаленного хранения резервной информации, оснащения резервной площадки, настроек информационных систем и т.п.).
Соответственно перед началом аудита составляется аудиторская программа, которая может быть уточнена в ходе реализации проекта (например, после выявления существенных моментов, о которых не было известно до начала проекта).
Обобщая требования PAS-56, ISO/IEC17799/IS0/IEC 27001, а также так называемую хорошую практику, приведем пример (выдержку) возможной программы аудита вопросов управления непрерывностью бизнеса, который может служить некоторым ориентиром
организациям, планирующим проведение такого аудита или самооценки.
Получение предварительной информации:
• получить общее представление об организации, ее бизнесе, организационной структуре и используемых ИТ-технологий;
• определить, какие политики и другие руководящие документы имеют отношение к обеспечению непрерывности бизнеса и восстановления после сбоев, если таковые имеются в наличии. Получить копии данных документов;
• имеется ли у организации план восстановления после аварий и стихийных бедствий;
• получить копию плана непрерывности бизнеса и восстановления после сбоев;
• получить копию организационной структуры организации;
• определить персонал для последующего интервью;
• получить инвентарную опись используемых информационных систем, платформ и решений;
• получить копии договоров на использование резервных площадок;
• получить результаты последних проверок вопросов обеспечения непрерывности бизнеса;
• ознакомиться с контрактами страхования; "
• уточнить и подтвердить план аудиторской проверки.
Проверка анализа рисков:
• определить, был ли проведен анализ рисков и адекватны ли его результаты;
• определить, проводился ли подобный анализ для критичных по времени бизнес-процессов (включая понимание зависимости данных процессов от ИТ-ресурсов, систем и технологий);
• определить, проводились ли предварительная оценка потенциальных угроз и рисков и оценка влияния прерываний на ключевые бизнес-процессы организации.
Проверка ответственных лиц:
• определить ответственного за разработку плана, а также степень вовлеченности в разработку плана всех ключевых пользователей, принимающих участие в восстановлении бизнеса;
• определить, кто несет ответственность за управление/координацию в рамках плана;
• несет ли администратор/координатор плана ответственность за поддержание плана в актуальном состоянии;
• назначены ли команды реализации плана (т.е. ответственные лица, которые должны предпринимать определенные действия в случае наступления нештатных ситуаций);
• документированы ли обязанности каждой команды;
• получить структуру команд восстановления и список членов команд;
• определить, где хранятся контакты команд реализации плана (следует принять во внимание, что каждому руководителю группы восстановления должны быть доступны все контактные данные членов данной команды, включая имена, рабочий,
домашний, мобильный телефоны и т.д.);
• определить, насколько адекватно ведется контактная информация по ключевым лицам и организациям, которые могут потребоваться при восстановлении (внутренние и внешние
контакты, включая контакты сотрудников, ключевых клиентов, регулирующих органов, поставщиков, страховой компании и т.п.);
• определить, где хранится план непрерывности бизнеса и восстановления после сбоев (убедиться в том, что ключевые члены команды имеют копии плана как в офисе, так и дома).
Оценка плана непрерывности бизнеса и восстановления после сбоев:
• получить и проанализировать план непрерывности бизнеса и восстановления после сбоев;
• определить, когда план последний раз пересматривался/дополнялся;
• определить, являются ли план и процедуры восстановления актуальными и полными, а также утверждены ли они руководством;
• убедиться, что план восстановления ИТ является составной частью плана непрерывности бизнеса и отражает текущее состояние бизнес-среды;
• убедиться в адекватности плана непрерывности бизнеса и восстановления после сбоев в части поддержки возможности своевременного восстановления критичных бизнес-процессов и компьютерных систем в случае сбоя;
• присвоен ли в плане системам приоритет восстановления в зависимости от риска для бизнеса?
• определить, какие критичные системы рассмотрены в плане;
• определить, все ли системы предполагается восстанавливать на одном объекте? Если нет, то каким образом будет обеспечиваться доступность информации на других объектах в случае необходимости;
• позволяет ли план помочь произвести восстановление критичных бизнес-процессов и систем в рамках предварительно определенных отрезков времени (т.е. в случае невозможности восаановления определенных систем за определенное время последствия для бизнеса могут быть катастрофическими, и соответственно последующее восстановление данных систем будет бесполезным);
• рассмотрены ли в плане требования по функционированию каждой из систем;
• определить, какие системы не рассмотрены в плане и почему;
• определить, какое оборудование не рассмотрено в плане и почему;
• имеются ли в плане какие-либо допущения и какие именно;
• каковы процедуры активации плана;
• определить, установлены ли формальные требования по пересмотру плана и внесения в него изменений и дополнений с определенной периодичностью, например через б месяцев.
Проверка процедур резервного копирования и восстановления данных:
• имеются ли в наличии формальные процедуры резервного копирования и восстановления данных?
• какие функции/системы/компоненты рассмотрены в данных процедурах;
• рассмотреть процедуры резервного копирования по каждой системе, включенной в план восстановления после сбоев;
• определить, следует ли организация данным процедурам;
• проводилось ли обучение персонала процедурам и использованию оборудования резервного копирования;
• определить проводится ли периодическое формальное тестирование вопросов процедур восстановления данных с резервных копий;
• включает ли документация по каждой системе, подлежащей восстановлению, описание процессов, а также оборудования, которое требуется восстанавливать (т.е. для приложения, использующего ПК для ввода данных и клиент-серверную архитектуру для хранения данных, это должно быть описано наряду с требуемым ПО).
Проверка удаленного хранения резервных данных:
• определить, существуют ли формальные требования и процедуры по вопросам удаленного хранения резервных данных;
• определить, где находится внешний центр хранения данных;
• посетить объект удаленного хранения резервных данных. Определить адекватность объекта и процедур хранения (включая требования обеспечения конфиденциальности, целостности и доступности данных), а также перечень реально хранимых данных;
• убедиться в эффективности процедур проверки полноты получения отправленных данных, необходимых для бизнес-подразделений (не только проверка журнала полученных данных, но и сверка с отправленными данными);
• определить периодичность и адекватность проверки журналов регистрации хранимых архивных копий на предмет полноты.
Проверка резервной площадки:
• определить, где расположен резервный центр обработки информации;
• существуют ли резервные площадки (следует иметь в виду, что резервные площадки не должны быть подвержены тем же рискам, что и основные площади);
• предполагалось ли использование резервных объектов во время проведения последнего теста;
• если нет, когда последний раз резервные объекты были использованы для целей тестирования;
• если резервные объекты не использовались более года, каким образом организация определяет возможность функционирования используемых программ на резервном оборудовании;
• каковы результаты тестирования;
• получить и проанализировать соглашение об использовании резервной площадки (если такая услуга используется);
• посетить резервную площадку;
• проанализировать требования и рекомендации по созданию «горячих»/«холодных» резервов, включая создание резервной ИТ-инфраструктуры;
• оценить соответствие резервной площадки требованиям по восстановлению, включая вопросы совместимости с основной компьютерной инфраструктурой организации;
• сравнить журнал оборудования на объекте с реально имеющимся в наличии оборудованием;
• проверить полноту записей и актуальность журнала регистрации посетителей резервной площадки;
• определить периодичность и адекватность проверки журналов регистрации на предмет полноты;
• определить, осведомлены ли сотрудники, вовлеченные в процессы восстановления, о резервной площадке (адрес, контакты, процедуры переезда и т.п.), а также о действиях
непосредственно на площадке;
• определить адекватность существующего уровня доступности резервной площадки (например, 24x7x365);
• удостовериться, что резервная площадка не подвержена тем же рискам, что и основная площадка.
Тестирование плана:
• определить, выделен ли руководством бюджет на тестирование плана непрерывности бизнеса и восстановления после сбоев;
• какова процедура пересмотра/дополнения плана;
• каково расписание тестирования плана и степень вовлеченности ключевого персонала;
• когда производилось последнее тестирование (следует оценить адекватность теста — «настольный/логический» тест может не выявить ряд потенциальных проблем);
• каким образом тестирование помогло повысить готовность организации к нештатным ситуациям;
• проверить результаты тестирования плана;
• определить, были ли проведены мероприятия по устранению
выявленных недостатков.
Проверка обучения персонала:
• определить, проходили ли пользователи и ИТ-персонал обучение действиям в случае нештатных ситуаций или прерываний;
• включала ли в себя программа обучения раздел о связи со сторонними организациями (включая представителей прессы и телевидения);
• определить, осведомлены ли пользователи и ИТ-персонал о ручных или автоматизированных процедурах, предполагаемых к использованию в случае недоступности основных ИТ-систем на протяжении длительного периода времени;
• опросить ИТ-персонал на предмет обучения/знаний смежных областей (на случай отсутствия основного сотрудника).