Итак, обещанные впечатления от прочтения новых BCI Good Practices Guidelines. Общее ощущение – документ стал более современным, и по стилю, и по оформлению. Читается довольно легко, периодически задевает за определенные струны в душе, вызывая воспоминания в духе “да-да, именно с этими проблемами мы тоже сталкивались на таком-то проекте”.
Никогда такого не было, и вот опять… Я даже не буду называть никаких имен, и в каждый момент времени у читателя будет всплывать свой свежий пример перед глазами. Атака шифровальщика, дефейсинг сайта, таргетированная атака на АСУ ТП… Сегодняшняя ситуация осложняется еще и тем, что большое количество атак носит не коммерческий, а политический характер, лишая жертву возможности заплатить выкуп.
Сегодня британские ученые в лице The Business Continuity Institute презентовали новые Good Practices Guidelines, Edition 7.0. С момента выхода предыдущей версии в 2018 году прошло целых пять лет, за которые появился обновленный ISO 22301:2019 (и с ним ISO 22313:2020), а также множество вспомогательных стандартов по отдельным направлениям.
Более подробно про изменения расскажу, внимательно прочитав документ, но уже сразу видно, что сильно поменялась семантика. Центральная часть изменилась с “Embedding Business Continuity” на “Embracing Business Continuity”, все практики стали называться по-другому, и таких изменений много. Где-то это связано с гармонизацией с новыми стандартами, а где-то продиктовано смещением фокуса в сторону результативности и бизнес-ориентированности. Но не буду опережать события, впереди 121 страница увлекательного чтения (против 108 в GPG 2018), потом поделюсь впечатлениями.
Тем временем, скачать Good Practices Guidelines можно на сайте BCI всего за £70. Бесплатно доступна версия BCI GPG Lite.
У многих на слуху слова “наш ЦОД сертифицирован по Tier III”. Давайте разберем, что стоит за этими цифрами и какого типа бывают сертификации. Сразу оговорюсь, что уровни Tier для ЦОД присутствуют как у Uptime Institute, так и в стандарте TIA-942 “Telecommunications Infrastructure Standard for Data Centers”, и они существенно отличаются. Сейчас мы будем говорить только про Uptime Institute.
Tier I и Tier II в природе встречаются крайне редко, а в России отсутствуют совсем. ЦОДы уровня Tier I (базовая инфраструктура площадки ЦОД) и Tier II (инфраструктура площадки с резервированием компонентов) подразумевают полное отключение площадки на период технического обслуживания, что делает такой ЦОД практически неприемлемым для использования в критичных системах.
Этот пост — не про пожар датацентра OVH в Страсбурге. Хотя сам по себе случай довольно выдающийся — выгорело полтора здания, потихоньку начали восстанавливать, но через неделю пошел дым из кладовки с батареями, которые, видимо, тлели всю эту неделю, все опять обесточили и т.п. Что послужило причиной пожара — покажет время (на дату написания этого текста рабочая версия — загоревшийся ИБП).
А пока немного мыслей о… В математике мы назвали бы это леммами.
На пике интереса к WannaCry многие вспомнили про бекапы, как действенный механизм защиты от шифровальщиков, точнее от последствий их активности. А ведь еще год назад Gartner выпустил очень неплохой документ «Use These Five Backup and Recovery Best Practices to Protect Against Ransomware». Полный текст документа легко нагуглить, а для тех, кто не хочет читать 9 страниц английского текста, я приведу краткую выжимку со своими комментариями.
В прошедшую пятницу новостные ленты сначала пестрели сообщениями «Офис Газпрома на Наметкина эвакуируют из-за сообщения о заложенной бомбе», чуть позже — «Нет, Газпром не эвакуируют». То ли уровень народной любви к Газпрому зашкаливает в последнее время, то ли картина эвакуации высотки слишком яркая, но медийная волна была большой. На фоне этого я собрался написать давно вызревавший пост про эвакуацию и точки сбора.
Safety First — не просто красивые слова. В нашей дисциплине это реальный императив, и несмотря на то, что мы говорим о непрерывности бизнеса, в первых строках всех разрабатываемых нами документов идет речь об обеспечении благополучия людей. В данном случае, естественно, я говорю про жизнь и здоровье, а не про материальное благополучие. Впрочем, последнее непосредственно связано с непрерывностью бизнеса их работодателей.
Недавно на сайте Forbes появилась хорошая статья John Beattie из Sungard AS, посвященная оценке поставщиков. Полемизируя с воображаемым оппонентом, автор опровергает распространенный стереотип о том, что, даже если есть проблемы с поставщиками, то все равно организация не может достаточным образом повлиять на эту ситуацию. Для тех, кто не любит читать на английском, приведу немного вольный перевод фрагмента статьи.
Сегодня ночью мы всей семьей проводили тестирование планов непрерывности бизнеса. Тестирование проходило по четвертой, самой жесткой схеме — в боевых условиях.
Первые признаки инцидента появились в 5 утра, когда меня разбудил странный звук.