Планирование действий в экстремальных ситуациях
Когда террористы пытались подорвать в 1993 году Всемирный Торговый Центр в Нью-Йорке, сотни компаний закрылись на время эвакуации из зданий, известных как Здания-Близнецы. В результате, компании понесли убытки в миллиарды долларов. В течение трех месяцев чуть ли не половина этих компаний обанкротилась. Большинство уцелевших организаций располагало планами действий на случай экстремальных ситуаций, что позволило им или их дочерним компаниям продолжать заниматься бизнесом, пока здания оставались закрытыми. Тот, кто хочет обсудить важность планирования на случай непредвиденных обстоятельств, мог бы переговорить со служащими сотен компаний, которые оказались без работы по причине того, что их компании обанкротились.
Планы реагирования на непредвиденные обстоятельства
Никому не понравится мысль о том, что здание, в котором расположен их офис, может быть взорвано, уничтожено огнем или стихийным бедствием. Но вероятность таких бедствий существует, поэтому лучше подготовиться к ним заранее. Хоть разработка такого плана и выходит за рамки документов, составляющих правила безопасности, тем не менее, в правила можно ввести инструкции, предписывающие разработку такого плана. В этих инструкциях может быть рассмотрена аварийная обработка данных, способы завершения работы систем и меры предосторожности для сохранения жизнеспособности информационных систем и возможности их восстановления. Правило может звучать следующим образом.
Системный администратор должен располагать планом на случай непредвиденных обстоятельств и бедствий, в котором описывается, что при этом делатъ с оборудованием организации. Этот план должен гарантировать целостность данных и возможность быстрого их восстановления. Любой план, составленный на основе этого плана, должен содержать в себе меры предосторожности для предотвращения смертельных случаев, травм и ранений, благодаря разработке нескольких сценариев. В этом плане должно также быть предоставлено служащим право решать, принимать ли им участие аварийных работах или нет, если их жизни угрожает опасность.
Восстановление после аварии
В приведенной выше формулировке правил говорится, что системный администратор должен располагать планом на случай непредвиденных обстоятельств. Не имеет значения, кто будет проводить в жизнь этот план. Даже в том случае, если ваша организация воспользуется наработками комитета по этому вопросу, все равно в правилах должна быть определенная формулировка, касающаяся разработки плана действий после аварии и реализации такого плана. Как и в случае со всеми остальными процедурами, необходима возможность периодического контроля и обновления этих планов. Таким образом, в формулировку правила можно добавить следующее.
Данный план восстановления после аварии должен подвергаться периодическому пересмотру в разумные сроки, с интервалом между пересмотрами не менее одного года. В процедуру пересмотра и контроля должен быть включен план по тестированию самой процедуры.
Предупреждения об опасности и сигналы тревоги
В планах реагирования на непредвиденные обстоятельства должна быть предусмотрена установка системы оповещения, которая будет сообщать персоналу соответствующей службы об авариях на системах, обслуживаемых этой системой оповещения. В правила, регламентирующие работу систем оповещения и предупреждения об опасности, необходимо включить положение об оповещении администрации. Администрация, в свою очередь, должна отвечать за информирование каждого сотрудника об аварийных ситуациях или ожидаемых аварийных отключениях.
В эти правила обязательно должна быть включена рекомендация сделать постоянно доступной контактную информацию аварийных служб. Если организация имеет непрерывный цикл работы (24/7/365), то в правила безопасности следует включить условия вызова аварийной службы, которая имеет дежурный персонал, работающий и в нерабочее время.