В октябре 2023 г. Росстандарт принял ГОСТ 70956-2023 “Системы менеджмента непрерывности деятельности – Руководство по учету человеческого фактора при обеспечении непрерывности деятельности”, являющийся официальным переводом ISO/TS 22330:2018, Security and resilience – Business continuity management systems – Guidelines for people aspects of business cointinuity, IDT”.
Итак, обещанные впечатления от прочтения новых BCI Good Practices Guidelines. Общее ощущение – документ стал более современным, и по стилю, и по оформлению. Читается довольно легко, периодически задевает за определенные струны в душе, вызывая воспоминания в духе “да-да, именно с этими проблемами мы тоже сталкивались на таком-то проекте”.
Никогда такого не было, и вот опять… Я даже не буду называть никаких имен, и в каждый момент времени у читателя будет всплывать свой свежий пример перед глазами. Атака шифровальщика, дефейсинг сайта, таргетированная атака на АСУ ТП… Сегодняшняя ситуация осложняется еще и тем, что большое количество атак носит не коммерческий, а политический характер, лишая жертву возможности заплатить выкуп.
Сегодня британские ученые в лице The Business Continuity Institute презентовали новые Good Practices Guidelines, Edition 7.0. С момента выхода предыдущей версии в 2018 году прошло целых пять лет, за которые появился обновленный ISO 22301:2019 (и с ним ISO 22313:2020), а также множество вспомогательных стандартов по отдельным направлениям.
Более подробно про изменения расскажу, внимательно прочитав документ, но уже сразу видно, что сильно поменялась семантика. Центральная часть изменилась с “Embedding Business Continuity” на “Embracing Business Continuity”, все практики стали называться по-другому, и таких изменений много. Где-то это связано с гармонизацией с новыми стандартами, а где-то продиктовано смещением фокуса в сторону результативности и бизнес-ориентированности. Но не буду опережать события, впереди 121 страница увлекательного чтения (против 108 в GPG 2018), потом поделюсь впечатлениями.
Тем временем, скачать Good Practices Guidelines можно на сайте BCI всего за £70. Бесплатно доступна версия BCI GPG Lite.
Основное предназначение этой заметки – быстро перевести количество девяток в показатели доступности в нужный момент. Поэтому без лишних слов переходим к делу.
| Количество девяток | Уровень доступности | Max простой за год | Max простой за месяц | Max простой за неделю |
| Две девятки | 99% | 3 дня 15 ч 36 мин | 7 ч 12 мин | 1 ч 40 мин 48 с |
| Три девятки | 99.9% | 8 ч 45 мин 36 с | 43 мин 12 с | 10 мин 48 с |
| Три с половиной девятки | 99.95% | 4 ч 22 мин 48 с | 21 мин 36 с | 5 мин 24 с |
| Четыре девятки | 99.99% | 52 мин 34 с | 4 мин 19 с | 1 мин 00 с |
| Пять девяток | 99.999% | 5 мин 15 с | 26 с | 06 с |
У многих на слуху слова “наш ЦОД сертифицирован по Tier III”. Давайте разберем, что стоит за этими цифрами и какого типа бывают сертификации. Сразу оговорюсь, что уровни Tier для ЦОД присутствуют как у Uptime Institute, так и в стандарте TIA-942 “Telecommunications Infrastructure Standard for Data Centers”, и они существенно отличаются. Сейчас мы будем говорить только про Uptime Institute.
Tier I и Tier II в природе встречаются крайне редко, а в России отсутствуют совсем. ЦОДы уровня Tier I (базовая инфраструктура площадки ЦОД) и Tier II (инфраструктура площадки с резервированием компонентов) подразумевают полное отключение площадки на период технического обслуживания, что делает такой ЦОД практически неприемлемым для использования в критичных системах.
Continue reading
Сегодня мы стали свидетелями редчайшего явления, когда целая страна минимум на сутки осталась без электроснабжения, причем не в результате ЧС, а планово. В результате крайне тяжелого экономического положения государство не смогло оплачивать счета компании-оператора двух ТЭС.
Continue reading5 сентября 2023 года поговорим о том, как управлять непрерывностью деятельности в здравоохранении.
Вебинар проводится на платформе Президентской Академии РАНХиГС, где можно попасть на мои курсы в магистратуре Института отраслевого менеджмента (если Вы из отрасли здравоохранения) или на программах MBA Школы IT-менеджмента (если Вы настоящий или будущий CIO/CSO/CISO).
Как и было запланировано, в 2023 году NFPA выпустило новый стандарт NFPA 1660, Standard for Emergency, Continuity, and Crisis Management: Preparedness, Response, and Recovery, 2024 Edition, собрав в него целых три стандарта: NFPA 1600, NFPA 1616 и NFPA 1620.
Получился большой документ (184 страницы в бумажном варианте), который может быть полезен профессионалам в области непрерывности бизнеса для более широкого взгляда на проблему, включая вопросы эвакуации, оборудования убежищ и т.п. Даже вопросу спасения животных в случае чрезвычайной ситуации посвящено целое приложение.
Continue reading
В апреле 2023 года Банк России опубликовал Указание №6405‑У “О требованиях к обеспечению бесперебойности и непрерывности функционирования официальных сайтов страховщиков…”. Указание пришло на смену вышедшему почти 7 лет назад 4191-У.
В принципе, ничего особо примечательного – эволюционное развитие документа, расширение рамок только с заключения договоров ОСАГО на их исполнение, но один момент привлек мое внимание, нигде раньше я такого не встречал.
“Обеспечение страховщиками и профессиональным объединением страховщиков БФС должно осуществляться посредством:
<пропущено несколько пунктов>
размещения на сайте информации о факте нарушения БФС с указанием времени, оставшегося до восстановления БФС, в режиме обратного отсчета.
Вот как хотите, так и делайте.