Глобальные учения по непрерывности бизнеса — сможем ли мы без них обойтись?

Сегодня мы посмотрим на опыт Гонконга. Примерно каждые два года под эгидой HK Financial Services Business Continuity Management (HKFSBCM) forum несколько десятков финансовых организаций Гонконга и Макао проводят одновременные учения по непрерывности бизнеса. Называются они красивой аббревиатурой WISE (Whole Industry Simulation Exercise).

Сама идея хорошо отражает изменившийся ландшафт рисков непрерывности бизнеса. Гораздо чаще, чем раньше, происходят события, захватывающие пространства от всего земного шара (Covid-19) до «всего лишь» нескольких стран (например, военные конфликты). И задача обеспечения непрерывности бизнеса в рамках глобального хаоса кратно сложнее реагирования на локальную катастрофу. Поэтому регулярное проведение учений, посвященных отработке кризисного взаимодействия различных организаций и государственных органов в рамках масштабной чрезвычайной ситуации, представляется стратегически правильным решением. So wise, так сказать.

Continue reading

BCM Storm с Алексеем Чекановым

Пока всех не затянула рутина, предлагаю потестировать новый формат взаимодействия. Если у Вас есть вопросы в области непрерывности бизнеса (любые — происшедшие инциденты, риски НБ, документация системы менеджмента непрерывности бизнеса, и т.п.) — я к Вашим услугам. В течение 2-3 часов я готов абсолютно бесплатно обсуждать Ваши задачи и совместно генерировать светлые идеи. По формату — классический мозговой штурм.

Для Москвы — очно/онлайн, для остальных — онлайн. Если хотите, перед общением можем подписать NDA.

Готов в январе провести три две такие встречи. Желающие — пишите на a.chekanov(at)almitech.ru или в телеграм @achekanov.

Ограничение: предложение не распространяется на те компании, с которыми мы уже работали (но с вами мы тоже найдем формат взаимодействия, если надо).

Новый ГОСТ по учету человеческого фактора при обеспечении непрерывности деятельности

В октябре 2023 г. Росстандарт принял ГОСТ 70956-2023 «Системы менеджмента непрерывности деятельности — Руководство по учету человеческого фактора при обеспечении непрерывности деятельности», являющийся официальным переводом ISO/TS 22330:2018, Security and resilience — Business continuity management systems — Guidelines for people aspects of business cointinuity, IDT».

Continue reading

BCI Good Practices Guidelines, Edition 7.0 — детальный разбор новой версии

Итак, обещанные впечатления от прочтения новых BCI Good Practices Guidelines. Общее ощущение — документ стал более современным, и по стилю, и по оформлению. Читается довольно легко, периодически задевает за определенные струны в душе, вызывая воспоминания в духе «да-да, именно с этими проблемами мы тоже сталкивались на таком-то проекте».

Continue reading

Backup Security

Никогда такого не было, и вот опять… Я даже не буду называть никаких имен, и в каждый момент времени у читателя будет всплывать свой свежий пример перед глазами. Атака шифровальщика, дефейсинг сайта, таргетированная атака на АСУ ТП… Сегодняшняя ситуация осложняется еще и тем, что большое количество атак носит не коммерческий, а политический характер, лишая жертву возможности заплатить выкуп.

Continue reading

BCI Good Practices Guidelines, Edition 7.0

Сегодня британские ученые в лице The Business Continuity Institute презентовали новые Good Practices Guidelines, Edition 7.0. С момента выхода предыдущей версии в 2018 году прошло целых пять лет, за которые появился обновленный ISO 22301:2019 (и с ним ISO 22313:2020), а также множество вспомогательных стандартов по отдельным направлениям.

Более подробно про изменения расскажу, внимательно прочитав документ, но уже сразу видно, что сильно поменялась семантика. Центральная часть изменилась с «Embedding Business Continuity» на «Embracing Business Continuity», все практики стали называться по-другому, и таких изменений много. Где-то это связано с гармонизацией с новыми стандартами, а где-то продиктовано смещением фокуса в сторону результативности и бизнес-ориентированности. Но не буду опережать события, впереди 121 страница увлекательного чтения (против 108 в GPG 2018), потом поделюсь впечатлениями.

Тем временем, скачать Good Practices Guidelines можно на сайте BCI всего за £70. Бесплатно доступна версия BCI GPG Lite.

Сертификации ЦОД от Uptime Institute

У многих на слуху слова «наш ЦОД сертифицирован по Tier III». Давайте разберем, что стоит за этими цифрами и какого типа бывают сертификации. Сразу оговорюсь, что уровни Tier для ЦОД присутствуют как у Uptime Institute, так и в стандарте TIA-942 «Telecommunications Infrastructure Standard for Data Centers», и они существенно отличаются. Сейчас мы будем говорить только про Uptime Institute.

Tier I и Tier II в природе встречаются крайне редко, а в России отсутствуют совсем. ЦОДы уровня Tier I (базовая инфраструктура площадки ЦОД) и Tier II (инфраструктура площадки с резервированием компонентов) подразумевают полное отключение площадки на период технического обслуживания, что делает такой ЦОД практически неприемлемым для использования в критичных системах.

Continue reading

О хрупкости облаков

Этот пост — не про пожар датацентра OVH в Страсбурге. Хотя сам по себе случай довольно выдающийся — выгорело полтора здания, потихоньку начали восстанавливать, но через неделю пошел дым из кладовки с батареями, которые, видимо, тлели всю эту неделю, все опять обесточили и т.п. Что послужило причиной пожара — покажет время (на дату написания этого текста рабочая версия — загоревшийся ИБП).

А пока немного мыслей о… В математике мы назвали бы это леммами.

Continue reading

Gartner, шифровальщики и бекапы

На пике интереса к WannaCry многие вспомнили про бекапы, как действенный механизм защиты от шифровальщиков, точнее от последствий их активности. А ведь еще год назад Gartner выпустил очень неплохой документ «Use These Five Backup and Recovery Best Practices to Protect Against Ransomware». Полный текст документа легко нагуглить, а для тех, кто не хочет читать 9 страниц английского текста, я приведу краткую выжимку со своими комментариями.

Continue reading

Эвакуация офиса

В прошедшую пятницу новостные ленты сначала пестрели сообщениями «Офис Газпрома на Наметкина эвакуируют из-за сообщения о заложенной бомбе», чуть позже — «Нет, Газпром не эвакуируют». То ли уровень народной любви к Газпрому зашкаливает в последнее время, то ли картина эвакуации высотки слишком яркая, но медийная волна была большой. На фоне этого я собрался написать давно вызревавший пост про эвакуацию и точки сбора.

Safety First — не просто красивые слова. В нашей дисциплине это реальный императив, и несмотря на то, что мы говорим о непрерывности бизнеса, в первых строках всех разрабатываемых нами документов идет речь об обеспечении благополучия людей. В данном случае, естественно, я говорю про жизнь и здоровье, а не про материальное благополучие. Впрочем, последнее непосредственно связано с непрерывностью бизнеса их работодателей.

Continue reading