От управления инцидентами ИБ через непрерывность бизнеса к управлению чрезвычайными ситуациями

Александр Астахов
генеральный директор компании GlobalTrust

ИБ как основной двигатель процессов управления непрерывностью бизнеса

В соответствии с положениями международного   стандарта   ISO/IEC 27001:2005, а также многих других стандартов, управление  непрерывностью бизнеса и управление   инцидентами - одни из основных областей контроля и необходимой    составляющей любой системы менеджмента  информационной  безопасности, и хотя эти области контроля   выходят  далеко  за рамки вопросов информационной безопасности, выстраивать соответствующие  процессы  в организациях часто приходится именно специалистам  по  ИБ, порой  значительно  расширяя границы своей профессиональной компетенции и должностных полномочий. В этом случае информационная безопасность становится основным двигателем   процессов   обеспечения непрерывности бизнеса,  формируя методологическую базу для оценки рисков и анализа воздействия      чрезвычайных ситуаций на бизнес (управления инцидентами, разработки стратегии, политики и планов обеспечения   непрерывности   ИКТ и бизнеса в целом, разработки и  поддержания  в актуальном состоянии контакт-листов, аварийно-восстановительных процедур, реестров информационных и IT-активов и т.п.).

Создаваемая таким образом система управления непрерывностью бизнеса становится производной от существующей системы управления информационной безопасностью организации, наследуя от последней соответствующие принципы управления и механизмы контроля. Это, конечно, не означает, что ответственность за непрерывность бизнеса и управление чрезвычайными ситуациями теперь возлагается на специалистов по ИБ. Для этого требуется иной уровень компетенции и полномочий. В связи с этим возникает целый ряд концептуально важных вопросов, ответы на которые должны содержаться в политике управления непрерывностью бизнеса организации:

• Где заканчивается информационная безопасность и начинается непрерывность бизнеса?
• Где заканчивается непрерывность бизнеса и начинается управление чрезвычайными ситуациями с привлечением МЧС и других специальных служб?
• Как правильно классифицировать инциденты, как определить, кто и в рамках каких процессов за них отвечает, а также какую стратегию реагирования следует использовать?

Попробуем разобраться с этими вопросами, опираясь на первоисточники, отражающие существующий передовой опыт.

Управление кризисом, непрерывностью и инцидентами: в чем различие?

Прежде всего специалистам по ИБ, берущим на себя роль локомотива в создании системы управления непрерывностью бизнеса, необходимо четко осознавать существующие различия и взаимосвязи между следующими новомодными управленческими дисциплинами:

• управление кризисом и чрезвычайными ситуациями (crisis & emergency management);
• управление непрерывностью бизнеса и аварийным восстановлением (business continuity & disaster recovery), а также управление непрерывностью ИКТ (ICT continuity) как составная часть управления непрерывностью бизнеса;
• управление инцидентами (incident management), а также управление инцидентами информационной безопасности как составная часть управления инцидентами.

Пожалуй, самым важным отличительным признаком является то, что перечисленные управленческие дисциплины имеют дело с разными типами инцидентов и в связи с этим по-разному расставляют акценты в отношении к информационной безопасности.

Управление инцидентами

Управление инцидентами информационной безопасности имеет дело с самыми разными типами инцидентов, начиная с утечек информации, человеческих ошибок, мошеннических действий и заканчивая сбоями в работе оборудования и потерей носителей информации. Здесь одинаково важным может быть достижение всех традиционных целей информационной безопасности, включая обеспечение конфиденциальности информации, ее доступности, целостности, аутентичности и отказоустойчивости. Вероятность соответствующих угроз обычно варьируется от высокой до средней. Размер ущерба может быть самым разным, но в большинстве случаев он сравнительно невелик. Управление подобными инцидентами обычно осуществляется силами соответствующих ИБ- и IT-подразделений, с привлечением по мере необходимости других подразделений организации (кадровых служб, юристов, физической безопасности и т.п.), а также внешних сторон в лице правоохранительных органов.

Управление непрерывностью бизнеса

Управление непрерывностью бизнеса (и управление непрерывностью ИКТ как составная часть этого процесса) имеет дело только с теми инцидентами (включая рассмотренные выше инциденты информационной безопасности), которые могут приводить к приостановке деятельности всей организации или ее основных бизнес-процессов. Вероятность таких инцидентов сравнительно невелика (может варьировать от средней до очень низкой), а размер возможного ущерба обычно достаточно велик, вплоть до катастрофических последствий для бизнеса. Для непрерывности бизнеса основное значение имеет обеспечение доступности информационных активов. Достижение прочих перечисленных выше целей информационной безопасности здесь имеет значение, но не столь существенное. Для управления инцидентами, нарушающими непрерывность бизнеса, как правило, создается специальная управленческая структура, которая координирует деятельность всех сотрудников организации, а также внутренних и внешних аварийных служб.

Управление чрезвычайными ситуациями имеет дело только с теми инцидентами, последствия которых фатальны не только для самого бизнеса, но порой и для всего региона, в котором этот бизнес функционирует. Такие ситуации связаны с причинением вреда жизни и здоровью людей, разрушением инфраструктуры, непоправимыми последствиями для экологии и т.п. Эти события могут быть крайне маловероятны, а ущерб от них – крайне велик. Основная забота в данном случае – спасение людей и восстановление основных процессов жизнедеятельности, и только потом идут вопросы восстановления инфраструктуры и обеспечения информационной безопасности. Управление подобными инцидентами уже выходит за рамки компетенции и ответственности даже руководства бизнеса. Основную роль здесь играют специализированные организации в лице МЧС, МВД, МО, различных аварийных служб и органов исполнительной власти.

Планы управления чрезвычайными ситуациями могут инициировать планы обеспечения непрерывности бизнеса, а те, в свою очередь, включают в качестве подмножества планы обеспечения непрерывности ИКТ, которые базируются на управлении инцидентами ИБ.

Если же мы посмотрим на планы управления инцидентами ИБ, то они в определенных случаях отсылают нас к планам обеспечения непрерывности ИКТ и бизнеса, а те в случае необходимости предполагают применение планов действий в чрезвычайных ситуациях.

Многоуровневая структура управления: "бронза – серебро – золото"

Каким образом в компании может быть организовано управление рассмотренными классами взаимосвязанных инцидентов и процессов, связанных с обеспечением непрерывности бизнеса?

В публичной спецификации PAS 77:2006 "Управление непрерывностью IT-сервисов. Практические правила" предлагается трехуровневая структура управления, широко используемая как в частном, так и в государственном секторе для управления инцидентами и кризисными ситуациями:

• "Бронза" – оперативный уровень (группа управления инцидентами).
• "Серебро" – тактический уровень (группа управления непрерывностью бизнеса).
• "Золото" – стратегический уровень (группа управления кризисными ситуациями).

Взаимоотношения между этими группами с точки зрения их относительного размера и подчиненности показаны на рисунке.

В зависимости от степени серьезности ИБ- или IT-инцидента управление может осуществляться одновременно на "серебряном" и "бронзовом" уровнях, при этом "бронзовые" группы формируются для каждого IT-сервиса, а их действия координирует "серебряная" группа, курирующая соответствующий IT-сервис. "Золотая" группа должна определять стратегию на высшем уровне, обеспечивать определение приоритетов и координацию всех действий, а также нести прямую ответственность за обмен информацией с внешними заинтересованными сторонами, включая средства массовой информации, аварийные службы и государственные органы.

В крупных организациях могут создаваться структурные подразделения по управлению корпоративными рисками и непрерывностью бизнеса, реализующие управленческие функции на "серебряном" и "золотом" уровнях.