Контакты
Подписка
Контакты
Подписка
МЕНЮ
Контакты
Подписка

Информационная безопасность – элемент непрерывности бизнеса

Информационная безопасность – элемент непрерывности бизнеса

В рубрику "Управление" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Информационная безопасность – элемент непрерывности бизнеса

Мария Акатьева
руководитель направления систем
менеджмента информационной безопасности
и непрерывности бизнеса LETA IT-company

Так сложилось, что в отечественных организациях наиболее передовые умы современного технического прогресса, мировых инноваций и общемировых тенденций в области управления сконцентрированы в подразделениях IT и ИБ, поэтому и причины разработки планов обеспечения непрерывности лежат в плоскости проблем, связанных с информационными технологиями.

Эта тенденция сохраняется уже несколько лет и имеет несколько положительных последствий. Во-первых, вопросы непрерывности бизнеса (хотя бы в разрезе IT-сервисов) все чаще поднимаются на уровне высшего руководства и постепенно становятся причиной разработки планов на уровне критичных бизнес-процессов компании. Во-вторых, в этот процесс начинают вовлекаться и другие подразделения организаций: отделы операционных рисков, управления персоналом, менеджмента качества, хозяйственного обеспечения, складского учета, логистики и, конечно же, подразделение ИБ.

Ключевые аспекты ИБ при обеспечении непрерывности бизнеса (НБ)

Департамент ИБ, как правило, нечасто выступает с предложением провести проект по обеспечению НБ для критичных бизнес-процессов организации. Этот процесс достаточно трудоемкий и выпадает из сферы ответственности и компетентности подразделения ИБ – необходимо участие высшего руководства хотя бы по линии IT.

Вопросы обеспечения непрерывности бизнеса зачастую воспринимаются только как вопросы обеспечения непрерывности IT-сервисов организации и как "дело" департамента обеспечения IT. Нельзя не согласиться, что среди организаций, которые действительно задумывались о непрерывности своего бизнеса, наибольший процент принадлежит банкам и телекоммуникационным компаниям, и ясно, почему именно представители таких секторов рынка обеспокоены больше всего непрерывностью IT-сервисов. К тому же банки обязаны соответствовать требованиям ЦБ РФ в части разработки планов обеспечения непрерывности и восстановления деятельности, что также заставляет в той или иной степени коснуться этой проблемы.

Однако, если в процессе ЧС происходит утечка конфиденциальной информации или ЧС наступает по причинам недостаточного обеспечения ИБ в компании, ответственность за ликвидацию последствий ЧС и за причины убытков компании ложится на плечи подразделения ИБ.

Чтобы вопросы ИБ были надлежащим образом отражены при обеспечении непрерывности бизнеса, можно сделать следующее:

  • разработать собственные планы обеспечения непрерывности работы средств защиты в случае ЧС;
  • включить вопросы обеспечения ИБ в уже имеющиеся или разрабатывающиеся планы обеспечения непрерывности IT-сервисов;
  • включить вопросы обеспечения ИБ в общекорпоративный план обеспечения непрерывности критичных бизнес-процессов.

В каждом из этих случаев необходимо отследить следующие ключевые аспекты ИБ:

  • проанализировать риски ИБ, связанные с ЧС и возможным действием агентов угроз ИБ в случае ЧС, и возможный ущерб;
  • установить критерии, позволяющие оценить, когда инцидент ИБ перерастает в ЧС, и план действий в данном случае;
  • четко определить сценарии реализации ЧС, связанные с ИБ, для которых будут разработаны планы (как правило, берутся из статистических данных в целом по отрасли или в компании);
  • определить стратегию обеспечения информационной безопасности в процессе ЧС (дополнить уже имеющуюся стратегию организации);
  • разработать планы обеспечения непрерывности работы процессов ИБ и средств защиты (или включить соответствующие разделы в уже имеющиеся планы в организации);
  • разработать планы восстановления работы средств защиты после ЧС (или включить соответствующие разделы в уже имеющиеся планы в организации).

При разработке планов предусмотреть различные способы защиты информации на каждом из этапов развития ЧС:

  • кризисное управление;
  • действия в ЧС;
  • порядок обеспечения защиты информации при выполнении бизнес-процессов (БП) альтернативным способом;
  • порядок обеспечения защиты информации при переводе работы БП в нормальный режим выполнения (режим работы до наступления ЧС).

Кроме того, необходимо документально определить ответственность подразделения ИБ в случае наступления ЧС и развития ЧС, разработать ролевую структуру и определить ответственных за планы в области ИБ.

Как подойти к выполнению проекта

Основной, но и самый сложный шаг – донести проблему до уровня высшего руководства и получить одобрение на реализацию проекта.

Вопросы ИБ являются наиболее важными в период катастрофы и кризисной ситуации. До сих пор этому аспекту не было уделено должное внимание в процессе разработки планов. Однако статистика активации планов НБ говорит о том, что одной из наиболее распространенных причин ЧС являются действия внешних угроз ИБ, в том числе хакер-ские атаки.

Исходя из общения с представителями ИБ различных организаций, можно сделать вывод, что вопросы непрерывности бизнес-процессов, IT-сервисов и включения в эти процессы элементов ИБ очень хорошо знакомы на уровне служащих среднего управляющего звена, ведь именно они непосредственно сталкиваются с проблемами прерывания тех или иных сервисов, за которые отвечают, и именно они осознают всю плачевность ситуации, если произойдет непредвиденная ЧС.

Проблема большинства организаций заключается в том, что понимание на уровне среднего управляющего звена есть, а ресурсов на изменение ситуации нет, высшее руководство не видит глубины проблемы, а объяснить на понятном ему языке не получается. Все больше запросов поступает за помощью в формулировке необходимости проведения проектов по обеспечению непрерывности бизнеса перед высшим руководством компании.

Подход к получению и предоставлению объективных аргументов с целью инициации проектов

Данный подход состоит из нескольких этапов. Изначально необходимо самостоятельно или с привлечением внешних консультантов провести обследование и предоставить его результаты. Обследование включает в себя:

  • анализ и фиксацию, какие сбои, ЧС, критичные инциденты уже были в организации к настоящему моменту, отбор статистики по отрасли с точки зрения потерь от простоя тех или иных процессов/систем и т.п.;
  • определение критичных бизнес-процессов компании;
  • определение требований высшего руководства по допустимому времени простоя этих бизнес-процессов в зависимости от того, сколько стоит каждый час простоя бизнес-процесса для компании (по сути, определение, какие потери для компании будут настолько критичными, что восстановление будет крайне затруднено или нецелесообразно);
  • определение, от каких IT-и ИБ-сервисов зависит успешность выполнения критичных бизнес-процессов;
  • установка для каждого из этих IТ- и ИБ-сервисов реального времени, к которому будет возможно восстановление этих сервисов после сбоев, а также описание, какими текущими возможностями это восстановление будет осуществляться;
  • сравнение, насколько требования высшего руководства могут быть удовлетворены при текущей ситуации в IT и ИБ;
  • формирование отчета и презентации высшему руководству с возможными вариантами модернизации IT/ИБ для достижения требований высшего руководства с оценкой стоимости каждого предложенного варианта;
  • установление в процессе согласования допустимого времени восстановления IT/ИБ-услуг и выбор одного из вариантов модернизации IT/ИБ-инфраструктуры;
  • закрепление этого времени документально или в форме SLA.

Данный подход приводит к положительным результатам, поскольку основан на статистике инцидентов, сбоев или ЧС в организации или отрасли в целом. Подход оперирует объективными фактами о ситуации внутри компании, а также наглядно демонстрирует четкую взаимосвязь между:

  • сервисами IT/ИБ;
  • бизнес-процессами;
  • требуемым высшим руководством временем восстановления работы конкретного бизнес-процесса;
  • реальным временем восстановления, которое может быть фактически обеспечено в текущей ситуации;
  • финансовыми потерями от простоя и стоимостью предлагаемого решения по модернизации инфраструктуры.

Этот первый шаг позволит поднять проблему обеспечения непрерывности бизнеса на самый высокий уровень обсуждения

Опубликовано: Журнал "Information Security/ Информационная безопасность" #4, 2010

Приобрести этот номер или подписаться

Статьи про теме

Контакты
 
Подписка

Мы в соцсетях

Copyright © 2018-2022, ООО "ГРОТЕК"