03.07.2010

ИБ и НБ: это зависит

Если на расхожий вопрос нет расхожего ответа, то ответом является "это зависит" (а до меня этого никто не говорил?).

Мера, в которой информационная безопасность должна участвовать в обеспечении непрерывности бизнеса, зависит от того, насколько велика информационная (информационно-технологическая, информационно-безопасная) составляющая в ключевых продуктах/услугах фирмы - в банке она одна, а в булочной другая, и от места ИБ-подразделения - закрепившихся за ним функций (т.е. предоставляемых вовне и вовнутрь сервисов), зрелости его процессов.
Любопытно, что информационная составляющая в аварийном режиме может отличаться от обычной в обе стороны: можно представить и фирму, переходящую на ручное выписывание счетов при "компьютерном сбое", и фирму, переходящую на интернет-коммуникации пока офис не отремонтируют после пожара/затопления.

Как минимум, ИБ участвует в реагировании на чрезвычайные ситуации (и составлении/тестировании планов реагирования, стало быть), обеспечивая безопасность альтернативных способов выполнения бизнес-процессов. В восстановлении, скорее всего, нет, а в "прикрытии" аварийных сценариев по плану Б - очень даже. В качестве примера можно придумать защиту телеработы, которая в мирное время отсутствует и активируется только при недоступности офиса, или, скажем, выдачу запасных криптоключей. Кроме того, она, естественно, участвует в составлении и согласовании отчета по рискам непрерывности (в своей части) или уж хотя бы подает туда свою статистику инцидентов.

Максимум, подразделение ИБ может строить и сопровождать систему управления непрерывностью. В этом есть смысл, если ИБ использует систему менеджмента, родственную той, на которой будет делаться НБ - например, если НБ строится по стандарту Банка России, т.е. переведенному с русского на русский (за немаленькие деньги?) ГОСТ 53647−2009, а ИБ исо27тыщ-базированная, то это два симметричных побега ISO 9001.
Если в организации есть несколько родственников будущей СУНБ (скажем, есть еще сама 9001 в отделе качества, 14001 в охране труда и т.п.), то пальма должна достаться более развитому и влиятельному.
При этом переквалифицировавшиеся в непрерывники все равно столкнутся с новыми для себя проблемами - элементами, отсутствующими в их родной системе, и справятся ли они - это вопрос упорства и таланта. В случае ИБ сложным окажется BIA (не знаю устоявшейся русской аббревиатуры) - и в силу ментальной привычки к вероятностной оценке, и из-за необходимости понять устройство основного бизнеса. Больших усилий, чем прежде, потребует и анализ рисков.

Поскольку гауссово распределение никто не отменял, крайние ситуации должны быть редкими, а массово должно наблюдаться нечто промежуточное: какие-то из механизмов системы менеджмента ИБ оказались пригодны для НБ (и часть их будет использована прямо, а часть скопирована), какие-то из функций в новой системе повешены на подразделение ИБ.
Например, группа реагирования на инциденты ИБ при возникновении аварийной ситуации выступает группой оценки повреждений, процедура проведения превентивных и корректирующих действий ИБ стала прототипом этой же процедуры в НБ, на внутреннего аудитора информационной безопасности упала проверка планов восстановления и планов непрерывности, а на онолитега разработка стратегии и программы непрерывности.

Управление НБ, как и управление ИБ - это не должность, а роль. Она может быть и выделенной (отдельный юнит), и совмещенной с другой (чья-то функция) и распределенной между пятьюдесятью восемью подразделениями хитрым историческим способом. Последнее, кстати говоря, лучше, коли все работает.

Если вопрос НБ наполнен для Вас практическим смыслом, то начинать надо не с размышления, куда бы устроить подразделение ИБ, а с поиска наилучшего кандидата на разработку BIA. Потом RA. Потом само видно будет.

Комментариев нет:

Отправить комментарий