ГОСТ Р ИСО/МЭК 17799-2005 Информационная технология. Практические правила управления информационной безопасностью.

- процедуры перехода на аварийный режим работы, которые описывают необходимые действия по переносу важных бизнес-операций или сервисов-поддержки в альтернативное временное место размещения и по восстановлению бизнес-процессов в требуемые периоды времени;

- процедуры возобновления работы, которые описывают необходимые действия для возвращения к нормальному режиму ведения бизнеса;

- график поддержки плана, который определяет сроки и методы тестирования, а также описание процесса поддержки плана;

- мероприятия по обучению персонала, которые направлены на понимание процессов обеспечения непрерывности бизнеса сотрудниками, и поддержание постоянной эффективности этих процессов;

- обязанности должностных лиц, ответственных за выполнение каждого пункта плана. При необходимости должны быть указаны альтернативные ответственные.

Необходимо, чтобы за каждый план отвечал конкретный руководитель (сотрудник). Чрезвычайные меры, планы по переходу на аварийный режим ручной обработки, планы по возобновлению работы следует включать в сферу ответственности владельцев соответствующих бизнес-ресурсов или участников затрагиваемых процессов. За меры по переходу на аварийный режим работы с использованием альтернативных технических средств, таких как средства обработки информации и связи, ответственность несут поставщики услуг.

11.1.5 Тестирование, поддержка и пересмотр планов по обеспечению непрерывности бизнеса

11.1.5.1 Тестирование планов

Планы по обеспечению непрерывности бизнеса могут оказаться несостоятельными при тестировании из-за неправильных предпосылок разработки, недосмотру или вследствие изменений, связанных с заменой оборудования или персонала. Поэтому планы необходимо регулярно тестировать для обеспечения уверенности в их актуальности и эффективности. Такие тесты необходимы также для обеспечения знания своих обязанностей всеми членами команды восстановления и другим персоналом, имеющим к этому отношение.

Необходимо, чтобы в графике тестирования плана по обеспечению непрерывности бизнеса указывалось, как и когда следует проверять каждый пункт плана. Периодичность и методы тестирования отдельных пунктов плана могут быть различными. При этом могут использоваться следующие методы:

- тестирование ("имитация прогона") различных сценариев (обсуждение мер по восстановлению бизнеса на различных примерах прерываний);

- моделирование (особенно для тренировки персонала по выполнению своих функций после инцидента и перехода к кризисному управлению);

- тестирование технического восстановления (обеспечение уверенности в эффективном восстановлении информационных систем);

- проверка восстановления в альтернативном месте (бизнес-процессы осуществляются параллельно с операциями по восстановлению в удаленном альтернативном месте);

- тестирование средств и сервисов-поставщиков (обеспечение уверенности в том, что предоставленные сторонними организациями сервисы и программные продукты удовлетворяют контрактным обязательствам);

- "генеральные репетиции" (тестирование того, что организация, персонал, оборудование, средства и процессы могут справляться с прерываниями).

Методы тестирования могут использоваться любой организацией и необходимо, чтобы они отражали специфику конкретного плана по восстановлению.

11.1.5.2 Поддержка и пересмотр планов

Планы по обеспечению непрерывности бизнеса необходимо поддерживать в актуальном состоянии путем проведения регулярных пересмотров и обновлений с целью обеспечения уверенности в их постоянной эффективности (11.1.5.1). В рамках программы развития организации необходимо предусматривать соответствующие процедуры, обеспечивающие непрерывность бизнеса.