В обществах с дифференциацией штанов реальную принадлежность руководителя ИБ к когорте C (с-level или c-suite – высшее звено) легко проверить по наличию положенных ей привилегий: кабинета, приемной, служебной авто- и кофе-машины с водителем/водительницей, места на/в корпоративном паркинге, виповской страховки, длинного отпуска, права на идиотские капризы. Понятно, что блага, распределяемые среди шишек, в разных компаниях разные: где джип со снайперами, а где простая оплата анлима, и смотреть надо в сравнении с другими C** и C***.
Но допустим, что компания западной культуры (почему бы и нет, раз человек себя иностранными буквами пишет), и машина закрепляется за тем, кого среди ночи на работу дергают, страховка привязана к вредным производственным условиям, а приемные организуются где входящий поток большой и неэлектронный. В этом случае индикатором, участвует ли называющий себя CISO в большой игре, является наличие видения, которое приобретается в верхнем эшелоне.
По обычной ИБ-деятельности это не определить – она шаблонна: все ходы заранее написаны в том ISO, NIST, SANS, СТР или ИББС, который он намерен претворить (но, возможно, вслух ни разу не произносил), а кроме того остается только держать нос по ветру и покупать что всем сейчас впаривают.
Однако есть штук пять смежных областей, в которые смотрящий ширше будет ходить, а нет – нет.
Методически, обеспечение непрерывности бизнеса – простейшая штука!
Нужно сформировать бюрократическую машину: учредить координационную группу, которая будет оценивать и корректировать работу по обеспечению НБ, распределить в ней роли; регламентировать процедуры (анализа воздействия, оценки рисков, выбора ответных мер, разработки и тестирования планов) и замкнуть на эту группу; повесить на кого-то периодический аудит и представление результатов в группу; определить штаб управления кризисной ситуацией и схемы коммуникации; затвердить требования к ведению документации или сослаться на общие, и т.п. – все довольно стандартно.
Нужно провести т.н. BIA или анализ воздействия на бизнес – определить силу влияния от прерывания того или иного процесса на жизнеспособность организации в целом, как скоро оно на ней сказывается, и сколько времени требуется для восстановления того процесса.
Нужно идентифицировать события, вызывающие прерывания процессов, и, умножая вероятность на силу, получить родимую оценку рисков, выбрать и инициировать меры по снижению до допустимого уровня.
Несмотря на эти меры по предотвращению, нужно разработать планы действий в случае наступления: для критических процессов, восстанавливаемых быстрее, чем они трагически сказываются на бизнесе организации – планы восстановления, а для критических, восстанавливаемых дольше – еще и любимые киношниками «планы Б», т.е. альтернативные способы перекантоваться, пока тянется восстановление.
При этом нужно учитывать их приоритетность, ориентируясь на выявленную силу влияния, т.к. в аварийной ситуации ресурсов (электрической мощности, площадей, людей, денег, пропускной способности) заведомо меньше нормального, на все не хватит.
Эти планы надо тестировать и по результатам корректировать (или даже анализ воздействия с оценкой рисков исправлять по результатам), а еще обеспечивать достаточность и исправность того, что для осуществления планов необходимо.
Нiчого особливого, но подвох в уровне восприятия. Во-первых, нужно действительно знать бизнес организации, в котором внезапное бесследное исчезновение поставщика форсунок не будет критическим, т.к. остановка конвейера для перехода на форсунки конкурента займет 2 дня, а склад готовой продукции вмещает 6-дневный запас – отпуск получателям не прервется. Во-вторых, решения и в рамках обработки рисков, и в рамках запланированных ответов на инцидент – они в НБ тоже полководческие: усиление горизонтальной ротации персонала для разносторонних навыков и большей взаимозаменяемости, соглашение о взаимопомощи с дружественной фирмой о предоставлении части помещений, избавление от редкого и уникального оборудования и т.п.
Так что просто спросите CISO, как он занимается НБ. Вам либо озвучат подлинно печальное положение вещей («Постоянно мониторим доступность серверов и обязательно повесим гриф конфиденциальности на план, если его нам спустят, только не знаю кто»). Либо соврут про обеспечение в полный рост (мой любимый вариант: «У меня сотрудник всю НБ фигачит» - уж с уровня исполнителя рулить в НБ подавно невозможно). Либо тяжело вздохнут, и тогда действительно все сравнительно неплохо.
Я обычно скрываю, что после «Золотого ключика» что-то читал, но тут обязан подсластить пилюлю: непризнание CISO полноправным си-левелом (причем со стороны самого с-левела) – мировая норма. Что делать? Становиться! Вот лезть в ту же самую НБ или в corporate risks и через них потихоньку становиться.
Но допустим, что компания западной культуры (почему бы и нет, раз человек себя иностранными буквами пишет), и машина закрепляется за тем, кого среди ночи на работу дергают, страховка привязана к вредным производственным условиям, а приемные организуются где входящий поток большой и неэлектронный. В этом случае индикатором, участвует ли называющий себя CISO в большой игре, является наличие видения, которое приобретается в верхнем эшелоне.
По обычной ИБ-деятельности это не определить – она шаблонна: все ходы заранее написаны в том ISO, NIST, SANS, СТР или ИББС, который он намерен претворить (но, возможно, вслух ни разу не произносил), а кроме того остается только держать нос по ветру и покупать что всем сейчас впаривают.
Однако есть штук пять смежных областей, в которые смотрящий ширше будет ходить, а нет – нет.
Методически, обеспечение непрерывности бизнеса – простейшая штука!
Нужно сформировать бюрократическую машину: учредить координационную группу, которая будет оценивать и корректировать работу по обеспечению НБ, распределить в ней роли; регламентировать процедуры (анализа воздействия, оценки рисков, выбора ответных мер, разработки и тестирования планов) и замкнуть на эту группу; повесить на кого-то периодический аудит и представление результатов в группу; определить штаб управления кризисной ситуацией и схемы коммуникации; затвердить требования к ведению документации или сослаться на общие, и т.п. – все довольно стандартно.
Нужно провести т.н. BIA или анализ воздействия на бизнес – определить силу влияния от прерывания того или иного процесса на жизнеспособность организации в целом, как скоро оно на ней сказывается, и сколько времени требуется для восстановления того процесса.
Нужно идентифицировать события, вызывающие прерывания процессов, и, умножая вероятность на силу, получить родимую оценку рисков, выбрать и инициировать меры по снижению до допустимого уровня.
Несмотря на эти меры по предотвращению, нужно разработать планы действий в случае наступления: для критических процессов, восстанавливаемых быстрее, чем они трагически сказываются на бизнесе организации – планы восстановления, а для критических, восстанавливаемых дольше – еще и любимые киношниками «планы Б», т.е. альтернативные способы перекантоваться, пока тянется восстановление.
При этом нужно учитывать их приоритетность, ориентируясь на выявленную силу влияния, т.к. в аварийной ситуации ресурсов (электрической мощности, площадей, людей, денег, пропускной способности) заведомо меньше нормального, на все не хватит.
Эти планы надо тестировать и по результатам корректировать (или даже анализ воздействия с оценкой рисков исправлять по результатам), а еще обеспечивать достаточность и исправность того, что для осуществления планов необходимо.
Нiчого особливого, но подвох в уровне восприятия. Во-первых, нужно действительно знать бизнес организации, в котором внезапное бесследное исчезновение поставщика форсунок не будет критическим, т.к. остановка конвейера для перехода на форсунки конкурента займет 2 дня, а склад готовой продукции вмещает 6-дневный запас – отпуск получателям не прервется. Во-вторых, решения и в рамках обработки рисков, и в рамках запланированных ответов на инцидент – они в НБ тоже полководческие: усиление горизонтальной ротации персонала для разносторонних навыков и большей взаимозаменяемости, соглашение о взаимопомощи с дружественной фирмой о предоставлении части помещений, избавление от редкого и уникального оборудования и т.п.
Так что просто спросите CISO, как он занимается НБ. Вам либо озвучат подлинно печальное положение вещей («Постоянно мониторим доступность серверов и обязательно повесим гриф конфиденциальности на план, если его нам спустят, только не знаю кто»). Либо соврут про обеспечение в полный рост (мой любимый вариант: «У меня сотрудник всю НБ фигачит» - уж с уровня исполнителя рулить в НБ подавно невозможно). Либо тяжело вздохнут, и тогда действительно все сравнительно неплохо.
Я обычно скрываю, что после «Золотого ключика» что-то читал, но тут обязан подсластить пилюлю: непризнание CISO полноправным си-левелом (причем со стороны самого с-левела) – мировая норма. Что делать? Становиться! Вот лезть в ту же самую НБ или в corporate risks и через них потихоньку становиться.
6 комментариев:
А какие другие 3 области?:)
На самом деле, я считаю, роль CISO в непрерывности (как источника или носителя знаний о том что такое НБ) получить поддержку руководства и руководителей бизнес подразделений и уже с их помощью (как владельцев БП) произвести осознанные действия по выявлению критичных видов деятельности и угроз для них и т.п. Т.е. не всегда важно знать бизнес на 100% (хотя это только в плюс) но важно уметь заинтересовать бизнес для выполнения соответствующих действий по обеспечению непрерывности этого самого бизнеса.
А.Б.:, другие с большой вероятностью застолблены традиционной безопасностью, но если вдруг нет, то антифрод, проверка персонала, проверка контрагентов. Они выигрывают у ИБ по воспринимаемости топами, поэтому повышение уровня CISO дают.
К.Б.: Конечно, так можно - я же и описал схему с коллективным разумом (группой), но чтобы правильно спрашивать и аккуратно направлять нужны большие знания и навыки - более высокоуровневые, чем при ЗИ в АС.
Ну да, в этом плане хорошо позволяют разобраться международные практики и и фреймворки: 27k, Cobit, ITIL, mof, togaf и сертификация от ISACA, comptia и isc2, DRII и др.
К.Б.: Да! Чем хороши международные практики - интерфейсы ИБ с "остальным миром" можно увидеть, в отечественных полная автономия в замкнутых границах.
Что думаете о поляне ИТ-контроля и аудита?
Отправить комментарий