ISO 27031
ISO 27031 — это международный стандарт, разработанный Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC), который устанавливает руководящие принципы для обеспечения готовности информационно-коммуникационных технологий (ИКТ) к обеспечению непрерывности бизнеса. Полное название документа — «Информационные технологии — Методы обеспечения безопасности — Руководство по готовности ИКТ к обеспечению непрерывности бизнеса» (Information technology — Security techniques — Guidelines for information and communication technology readiness for business continuity). Стандарт входит в семейство стандартов ISO/IEC 27000, посвящённых управлению информационной безопасностью, и служит практическим дополнением к общей системе менеджмента непрерывности бизнеса (BCMS), описанной в ISO 22301.
История и контекст разработки
Разработка ISO 27031 была инициирована в ответ на рост зависимости организаций от информационных технологий и необходимость минимизировать ущерб от сбоев в работе ИКТ. Основой для стандарта послужил британский национальный стандарт BS 25777:2008, который, в свою очередь, возник из более ранних рекомендаций по управлению непрерывностью ИТ-услуг. Первое издание ISO 27031 было опубликовано в 2011 году, а актуальная версия (второе издание) вышла в 2015 году. Документ разрабатывался подкомитетом SC 27 (Методы обеспечения безопасности) объединённого технического комитета ISO/IEC JTC 1.
Цель и область применения
Основная цель ISO 27031 — предоставить организациям систематический подход к планированию, разработке, внедрению, эксплуатации, мониторингу, анализу и улучшению готовности ИКТ к обеспечению непрерывности бизнеса. Стандарт предназначен для всех типов организаций — независимо от их размера, формы собственности или отрасли — которые зависят от информационных систем для выполнения критически важных бизнес-процессов.
Область применения включает:
- Программное обеспечение — приложения, базы данных, операционные системы.
- Аппаратное обеспечение — серверы, сетевое оборудование, системы хранения данных.
- Коммуникационные инфраструктуры — сети передачи данных, голосовая связь, интернет-соединения.
- Персонал ИКТ — администраторы, инженеры, специалисты технической поддержки.
- Физическую среду — центры обработки данных, серверные помещения, электропитание и охлаждение.
Стандарт не заменяет собой общую систему менеджмента непрерывности бизнеса (ISO 22301) или систему управления информационной безопасностью (ISO/IEC 27001), а дополняет их, фокусируясь исключительно на ИКТ-компоненте.
Ключевые разделы и методология
ISO 27031 построен на циклической модели Plan-Do-Check-Act (PDCA), адаптированной для ИКТ. Структура стандарта разделена на несколько основных разделов.
1. Планирование готовности ИКТ (Раздел 6)
Организация должна установить политику готовности ИКТ к обеспечению непрерывности бизнеса. Этот этап включает:
- Анализ воздействия на бизнес (BIA) — выявление критичных процессов, зависящих от ИКТ, и определение допустимых потерь (времени простоя, объёма потерянных данных). Стандарт рекомендует классифицировать инциденты по категориям — от лёгких неудобств до катастрофических сбоев.
- Оценка рисков — идентификация и анализ угроз (кибератаки, отказы оборудования, стихийные бедствия, человеческие ошибки), а также уязвимостей в ИКТ-инфраструктуре.
- Определение стратегий — выбор подходов к восстановлению: резервное копирование (cold site, warm site, hot site), избыточность каналов связи, облачные решения, виртуализация. Для каждого критического процесса устанавливается целевое время восстановления (RTO) и целевая точка восстановления (RPO).
2. Внедрение и эксплуатация (Раздел 7)
На этом этапе разработанные стратегии реализуются в виде конкретных решений:
- Разработка планов — создание детализированных планов обеспечения непрерывности ИКТ (ICT Continuity Plans) и процедур реагирования на инциденты. Планы должны включать роли и обязанности сотрудников, схемы коммуникации, списки контактов аварийных служб и поставщиков.
- Техническая реализация — настройка резервного оборудования, организация удалённого доступа, настройка репликации данных, внедрение систем мониторинга.
- Обучение и осведомлённость — проведение тренингов для персонала, ответственного за восстановление, включая тестирование навыков в условиях симуляции сбоя.
3. Мониторинг, тестирование и аудит (Раздел 8)
Стандарт требует регулярной проверки эффективности мер готовности:
- Тестирование — проведение плановых учений (например, симуляция аварии в ЦОД), частичных проверок отдельных компонентов (восстановление из резервной копии одного сервера) и полномасштабных «боевых» испытаний.
- Аудит — внутренние проверки соответствия процедур требованиям стандарта, а также анализ уроков, извлечённых из реальных инцидентов.
- Измерение показателей — сбор метрик (например, фактическое время восстановления, количество успешных тестов) для оценки эффективности.
4. Улучшение (Раздел 9)
Результаты мониторинга и аудита используются для корректирующих и предупреждающих действий. Организация должна фиксировать все выявленные несоответствия и предпринимать шаги по их устранению, пересматривая при необходимости политики и планы.
Взаимосвязь с другими стандартами
ISO 27031 является частью более широкой экосистемы стандартов управления непрерывностью и безопасностью:
- ISO 22301 — базовый стандарт системы менеджмента непрерывности бизнеса (BCMS). ISO 27031 конкретизирует требования ISO 22301 применительно к ИКТ.
- ISO/IEC 27001 — стандарт на системы управления информационной безопасностью (ISMS). Готовность ИКТ рассматривается в нём как один из управляющих механизмов (контролей) в контексте обеспечения доступности и целостности информации.
- ISO/IEC 27002 — сборник практических рекомендаций по управлению информационной безопасностью. Содержит отдельные контроли, связанные с резервным копированием и восстановлением.
- ISO 27013 — руководство по интегрированному применению ISO 27001 и ISO 22301.
Таким образом, внедрение ISO 27031 позволяет закрыть известный разрыв между общим управлением непрерывностью бизнеса и операционным управлением ИТ-инфраструктурой.
Применение в России
Российским аналогом ISO 27031 является национальный стандарт ГОСТ Р ИСО/МЭК 27031-2013, который был принят в 2013 году и введён в действие с 1 июня 2014 года. Текст стандарта является аутентичным переводом оригинального документа. В России рекомендации ISO 27031 (как международного, так и национального стандарта) часто используются организациями, проходящими аудит на соответствие требованиям Федерального закона № 152-ФЗ «О персональных данных» и другим нормативным актам в области информационной безопасности. Однако применение стандарта носит рекомендательный характер, за исключением случаев, когда он указан в техническом задании или контракте.
Критика и ограничения
Несмотря на практическую ценность, ISO 27031 критикуется за определённые недостатки:
- Общий характер — стандарт предлагает лишь рамки и не содержит конкретных технических инструкций для настройки оборудования или программного обеспечения.
- Отсутствие метрик масштабирования — рекомендации не учитывают разницу между малым бизнесом с одним сервером и крупной корпорацией с распределённым ЦОД.
- Сложность интеграции — для полного соответствия стандарту требуется одновременное внедрение нескольких смежных стандартов (ISO 22301, ISO 27001), что увеличивает стоимость и длительность проектов.
Интересные факты
- Стандарт ISO 27031 часто упоминается не только в контексте информационной безопасности, но и в руководствах по управлению облачными сервисами (например, при выборе между IaaS и SaaS для критичных бизнес-приложений).
- В версии 2015 года было существенно усилено внимание к циклу постоянного улучшения и тестированию — в ответ на то, что многие организации годами не проверяли свои планы восстановления ИКТ.
- Стандарт рекомендует проводить тестирование готовности ИКТ не реже одного раза в год, а для критических систем — дважды в год.
Источники:
- ISO/IEC 27031:2015 Information technology — Security techniques — Guidelines for information and communication technology readiness for business continuity.
- ГОСТ Р ИСО/МЭК 27031-2013 Информационная технология. Методы и средства обеспечения безопасности. Руководство по готовности информационно-коммуникационных технологий к обеспечению непрерывности бизнеса.
- Calder, A., & Watkins, S. (2019). IT Governance: An International Guide to Data Security and ISO 27001/ISO 27031. Kogan Page.
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →