В рубрику "Управление" | К списку рубрик | К списку авторов | К списку публикаций
Так сложилось, что в отечественных организациях наиболее передовые умы современного технического прогресса, мировых инноваций и общемировых тенденций в области управления сконцентрированы в подразделениях IT и ИБ, поэтому и причины разработки планов обеспечения непрерывности лежат в плоскости проблем, связанных с информационными технологиями.
Эта тенденция сохраняется уже несколько лет и имеет несколько положительных последствий. Во-первых, вопросы непрерывности бизнеса (хотя бы в разрезе IT-сервисов) все чаще поднимаются на уровне высшего руководства и постепенно становятся причиной разработки планов на уровне критичных бизнес-процессов компании. Во-вторых, в этот процесс начинают вовлекаться и другие подразделения организаций: отделы операционных рисков, управления персоналом, менеджмента качества, хозяйственного обеспечения, складского учета, логистики и, конечно же, подразделение ИБ.
Департамент ИБ, как правило, нечасто выступает с предложением провести проект по обеспечению НБ для критичных бизнес-процессов организации. Этот процесс достаточно трудоемкий и выпадает из сферы ответственности и компетентности подразделения ИБ – необходимо участие высшего руководства хотя бы по линии IT.
Однако, если в процессе ЧС происходит утечка конфиденциальной информации или ЧС наступает по причинам недостаточного обеспечения ИБ в компании, ответственность за ликвидацию последствий ЧС и за причины убытков компании ложится на плечи подразделения ИБ.
Чтобы вопросы ИБ были надлежащим образом отражены при обеспечении непрерывности бизнеса, можно сделать следующее:
В каждом из этих случаев необходимо отследить следующие ключевые аспекты ИБ:
При разработке планов предусмотреть различные способы защиты информации на каждом из этапов развития ЧС:
Кроме того, необходимо документально определить ответственность подразделения ИБ в случае наступления ЧС и развития ЧС, разработать ролевую структуру и определить ответственных за планы в области ИБ.
Основной, но и самый сложный шаг – донести проблему до уровня высшего руководства и получить одобрение на реализацию проекта.
Исходя из общения с представителями ИБ различных организаций, можно сделать вывод, что вопросы непрерывности бизнес-процессов, IT-сервисов и включения в эти процессы элементов ИБ очень хорошо знакомы на уровне служащих среднего управляющего звена, ведь именно они непосредственно сталкиваются с проблемами прерывания тех или иных сервисов, за которые отвечают, и именно они осознают всю плачевность ситуации, если произойдет непредвиденная ЧС.
Проблема большинства организаций заключается в том, что понимание на уровне среднего управляющего звена есть, а ресурсов на изменение ситуации нет, высшее руководство не видит глубины проблемы, а объяснить на понятном ему языке не получается. Все больше запросов поступает за помощью в формулировке необходимости проведения проектов по обеспечению непрерывности бизнеса перед высшим руководством компании.
Данный подход состоит из нескольких этапов. Изначально необходимо самостоятельно или с привлечением внешних консультантов провести обследование и предоставить его результаты. Обследование включает в себя:
Данный подход приводит к положительным результатам, поскольку основан на статистике инцидентов, сбоев или ЧС в организации или отрасли в целом. Подход оперирует объективными фактами о ситуации внутри компании, а также наглядно демонстрирует четкую взаимосвязь между:
Этот первый шаг позволит поднять проблему обеспечения непрерывности бизнеса на самый высокий уровень обсуждения
Опубликовано: Журнал "Information Security/ Информационная безопасность" #4, 2010