Обеспечение непрерывности бизнеса как основа для построения СУИС и СУИБ

Анатолий Скородумов
Заместитель директора – начальник отдела
информационной безопасности ОАО
“Банк “Санкт-Петербург"

Каждая из служб ежегодно, с переменным успехом, упорно отстаивает перед руководством организации возрастающие бюджеты. При этом и те и другие утверждают, что все планируемые закупки и работы делаются исключительно в интересах бизнеса, пугая руководство сказками о том, что случится, если не заменить такое-то сетевое оборудование, не закупить новые сервера или дополнительные модули для системы обнаружения атак. И если теория ИБ давно базируется на оценке рисков, то в IТ обычно до системной составляющей подхода в оценке рисков очень далеко и о рисках вспоминают именно в подобных ситуациях (единственное исключение, пожалуй, – это оценка рисков в проектной деятельности IТ, но эта составляющая не связана с обеспечением непрерывности бизнеса, так как направлена на создание новых IТ-услуг).

Цели построения СУИС

Но давайте повнимательнее посмотрим на цели построения СУИС. Напомню первые пять процессов в ITIL v.2 (не надо сразу ловить меня на том, что давно уже издана третья версия библиотек ITIL. Вы много знаете компаний, которые строят IТ по третьей версии стандарта, пропустив вторую?):

• управление инцидентами;
• управление проблемами;
• управление изменениями;
• управление конфигурациями;
• управление релизами.

Эти процессы направлены на минимизацию рисков сбоев в работе бизнес-пользователей и бизнес-процессов организации, а также на оперативное восстановление их работы при наступлении таких сбоев (реализации тех или иных рисков).

Стандартный подход в работе IТ и ИБ

Реально и служба IТ, и служба ИБ рассматривают в своей деятельности одни и те же угрозы и риски, только IТ делает упор на угрозах, которые носят объективный характер: сбои аппаратного и ПО, отключение электропитания и т.п., а ИБ больше внимания уделяет инцидентам, связанным с действиями тех или иных лиц.

Если посмотреть наиболее известный международный стандарт по информационной безопасности ISO 27002, то мы обнаружим целый раздел, посвященный управлению непрерывностью бизнеса (раздел 14). Из этого раздела, в частности, следует, что система управления ИБ должна быть включена в процесс управления непрерывностью бизнеса. Странно, что в основной части требований стандарта ISO 27001 упоминание об обеспечении непрерывности бизнеса отсутствует, и довольно неожиданно требования всплывают только в приложении А, что никак не побуждает рассматривать процессы по обеспечению непрерывности бизнеса как основу для построения СУИБ. В стандарте по управлению IТ-услугами ISO 20001 вопросы обеспечения непрерывности бизнеса не упоминаются вообще. (Прим. авт. На мой взгляд, в чистом виде стандарты ISO 20001, ISO 20002 и библиотека ITIL v2 идеально подходят для организации аутсорсинга IТ-услуг. При организации взаимодействия IТ с бизнесом внутри организации IТ в большей степени должно участвовать в принятии бизнес-решений и формировании IТ-сервисов, которые в максимальной степени удовлетворили бы потребностям бизнеса).

Стандарты по обеспечению непрерывности бизнеса могут стать тем единым фундаментом, на основе которого можно строить тесно взаимосвязанные и взаимодополняющие СУИС и СУИБ, максимально направленные на реализацию потребностей бизнеса и его защиту. Естественно, в основе деятельности по обеспечению непрерывности бизнеса лежит теория оценки рисков.

На сегодняшний день разработано довольно значительное число стандартов на эту тему:

1. американский стандарт NFPA 1600:2007 "Управление в аварийных/чрезвычайных ситуациях, программы непрерывности бизнеса";
2. британские;
3. международные;
4. австралийские.

Большинство из них характеризует некоторый уклон в сторону катастрофоустойчивости, то есть рассматриваются меры защиты бизнеса в случае чрезвычайных ситуаций и серьезных катаклизмов.

Если вы только приступили к изучению вопросов обеспечения непрерывности бизнеса, я бы рекомендовал британские стандарты, а также их русские аутентичные переводы ГОСТ Р 53647.1 и 2-2009 "Менеджмент непрерывности бизнеса".

Оценка рисков в коммерческой организации

Не углубляясь в детали, рассмотрим, как же строится оценка рисков в соответствии со стандартами обеспечения непрерывности бизнеса в коммерческой организации.

У коммерческой организации есть набор продуктов и услуг, которые она производит и реализует и на которых соответственно зарабатывает. Любая коммерческая организация, если она планирует быть успешной в течение длительного времени, должна знать, сколько она зарабатывает на каждом из производимых продуктов или услуге, и отслеживать изменения в их прибыльности.

Воспроизведение каждого из продуктов и услуг реализуется определенным набором бизнес-процессов. Для реализации бизнес-процессов требуется определенный набор активов, начиная с помещений и сотрудников и заканчивая средствами вычислительной техники и наборами данных (информацией).

Приостановка конкретного бизнес-процесса в той или иной степени влияет на предоставление бизнес-услуги (производство бизнес-продукта).

Задача процесса по оценке рисков – выявить наиболее критичные бизнес-процессы, то есть те, нарушение которых существенно влияет на производство и реализацию бизнес-продуктов и услуг, и определить максимально возможные сроки остановки таких бизнес-процессов.

И здесь не обойтись без задания параметров недопустимого для организации риска и значимого (существенного) риска. Например, недопустимым риском для вашей организации может быть потеря более 50% клиентов, сокращение производства более чем на 50% или уменьшение доходности по основным продуктам и услугам на те же 50%. Значимые риски в основном совпадают с недопустимыми, только с более низкими значениями.

Понятно, что в ведении службы IТ и ИБ находится ряд активов, необходимых для реализации бизнес-процессов. И здесь в подходах служб IТ и ИБ есть существенное различие. IТ рассматривает в качестве основных активов для управления аппаратное и программное обеспечение, ИБ оперирует информационным активами, рассматривая ПО и аппаратное обеспечение как окружение информационного актива. На самом деле, для реализации того или иного бизнес-процесса одинаково важно наличие всех необходимых для его функционирования активов.

Используя предложенный подход, IТ-служба может перейти от обеспечения непрерывности IТ-сервисов к обеспечению непрерывности бизнес-процессов; служба ИБ от обеспечения доступности и целостности (в случаях, когда восстановление целостности информации требует приостановки бизнес-процессов, где эта информация обрабатывается) информационных активов тоже к обеспечению непрерывности бизнес-процессов.

Специалисты по ИБ, конечно, воскликнут: "А как же с обеспечением конфиденциальности информации, как это вписывается в обеспечение непрерывности бизнеса?"

Очень просто. Нарушение конфиденциальности информации приводит к нарушению непрерывности бизнеса вплоть до его полной ликвидации. Обычно это выражается в существенном уменьшении доходности организации. Например, утечка базы ваших клиентов к прямым конкурентам может повести к существенному сокращению клиентов и соответственно бизнеса. Проанализируйте перечень сведений, составляющих коммерческую тайну вашей организации, постарайтесь выделить ту информацию, разглашение которой несет серьезную угрозу для организации. Думаю, вы быстро убедитесь, что даже в перечне, составляющем коммерческую тайну, информация информации рознь.

Кто-то из специалистов может заметить: "А что же с некоммерческой деятельностью организации? Например, процессы по формированию и отправке обязательной отчетности?" На самом деле, эти процессы тоже могут быть отнесены к бизнес-процессам организации, так как являются обязательными при ведении бизнеса. В таких случаях обычно есть достаточно четко определенные штрафные санкции за то или иное нарушение, и финансовую составляющую нарушения бизнес-процесса определить еще легче, чем в случае с производством бизнес-продукта или услуги. И схема оценки рисков идентична приведенной выше.

Подведем итоги

Чего позволяет достичь использование стандартов по обеспечению непрерывности бизнеса в качестве базы для построения СУИБ и СУИС?

1. Использование единых подходов к построению позволяет строить тесно взаимосвязанные и взаимодополняющие системы, направленные прежде всего на обеспечение непрерывности бизнес-процессов.

2. Делает прозрачной связки "IТ-сервис – бизнес-процесс" и "информационный актив – бизнес-процесс", что позволяет более точно (в идеале – в количественном выражении) оценить риски нарушения того или иного IТ-сервиса или целостности и доступности информационного актива.

3. Экономически обосновывать затраты на IТ и ИБ.

И самое главное, такой подход позволяет органично вписать системы управления информационными технологиями и информационной безопасностью в общую систему управления бизнесом организации.