РЕШЕНИЯ И УСЛУГИ

Разработка и внедрение плана аварийного восстановления для ОАО «Страховая компания «РОСНО»

В целях сохранения своей репутации, а также в соответствии с требованиями акционеров и внешних регуляторов, открытому акционерному обществу «Страховая компания «РОСНО» необходимо было разработать стратегию восстановления деятельности своих бизнес подразделений, сценарии реагирования в чрезвычайных ситуациях, а также планы восстановления деятельности бизнес подразделений в случае нарушения их нормального функционирования.

Разработка такого плана аварийного восстановления позволяет избежать значительных (а иногда критических) потерь, связанных с невозможностью функционирования функций бизнеса из-за сбоев в ИТ инфраструктуре или потери данных.

В результате проекта специалисты 4х4 разработали и внедрили актуальный план по восстановлению ИТ при аварийных ситуациях, в соответствии с рекомендациями стандарта ISO 25999 и лучших практик. Документы, разработанные в рамках данного плана, покрывают все уровни: от стратегического планирования до инструкций пользователям. Связная блочная структура позволяет минимизировать изменения, которые будут вноситься в документы в процессе работы с ним. Также, в ходе проведения работ и по результатам тестирования был формализован и передан список обнаруженных недостатков, которые помогут снизить риски и избежать возможных финансовых и репутационных потерь в дальнейшем.

Работа по проекту велась при тесном взаимодействии с работниками компании и включала следующие этапы:

Выделение критичных систем

При содействии экспертов 4х4 были приоритезированы IT процессы, чтобы определить информационные системы (далее - ИС), которые необходимо внести в техническое задание по разработке плана аварийного восстановления. Также, для каждой из систем были определены показатели RTO (целевое время восстановления), RPO или MTPOD (целевая точка восстановления, или, так называемая, точка невозврата). Всего было выделено 11 критичных информационных систем.

План восстановления

  1. Стратегия восстановления.

В стратегии восстановления были приведены результаты классификации информационных ресурсов компании, были прописаны признаки кризисной ситуации, методы ее регистрации и критерии принятия решений, порядок эвакуации персонала. Также в стратегии включены процедуры тестирования плана аварийного восстановления и внесения изменений в состав документов плана.

    2. Общий план восстановления

Специалистами 4х4 был создан общий план восстановления, содержащий детальное описание информационных ресурсов компании, в котором описывается общий порядок восстановления ИС после возникновения кризисной ситуации, а также стратегии реагирования, роли ответственных и требования к документированию.

  3. Частные планы восстановления

Частные планы восстановления разрабатывались индивидуально для каждой из информационных систем. В них были описаны требования к ресурсам, необходимым группе восстановления, состав необходимой документации, состав самой группы восстановления. В перечень разработанных документов вошли исполнительные листы восстановления ИС - заполняемые пошаговые инструкции по восстановлению ИС. Исполнительные листы разрабатывались максимально детально, чтобы допустить возможность восстановления системы человеком, не имеющим опыта работы с ней. Также к частным планам восстановления относятся Акты комплексной проверки работоспособности ИС и Контактная информация и описание ролей участников процесса восстановления.

Алгоритм восстановления

Разрабатываемые алгоритмы восстановления основывались на устоявшейся в организации практике осуществления восстановления ИС и их компонентов. Алгоритмы восстановления содержат приложения, в которых указываются работники, ответственные за выполнение тех или иных задач, их заместители (в случае недоступности ответственных), а также их контактные данные. Таким образом, вся необходимая информация для восстановления собрана в одном месте и при возникновении чрезвычайных ситуаций не нужно тратить время на поиски информации.

Тестирование

Было проведено так называемое «бумажное тестирование» процесса восстановления. Его отличие от реального тестирования в том, что не происходило фактического отключения ИС. Тестирование проводилось по заранее написанному и согласованному с руководством ИТ сценарию. Ответственному за восстановление информационной системы передали конверт со сценарием, и он воспроизводил действия по устранению инцидента согласно алгоритму, описанному в документации. Этот подход позволил проверить корректность оценки времени восстановления и выявить расхождения теоретической версии процесса восстановления с фактическим процессом.

Александр
Митрохин

Тема: Разработка и внедрение плана аварийного восстановления для ОАО «Страховая компания «РОСНО»

Задайте мне Ваш вопрос