В соответствии с положениями международного стандарта ISO/IEC 27001:2005, а также многих других стандартов, управление непрерывностью бизнеса и управление инцидентами являются одними из основных областей контроля и необходимой составляющей любой системы менеджмента информационной безопасности и, хотя эти области контроля выходят далеко за рамки вопросов информационной безопасности (ИБ является для них лишь одной из составляющих), выстраивать соответствующие процессы в организациях часто приходится именно специалистам по ИБ, порой значительно расширяя границы своей профессиональной компетенции и должностных полномочий.
ИБ как основной двигатель процессов управления непрерывностью бизнеса
В соответствии с положениями международного стандарта ISO/IEC 27001:2005, а также многих других стандартов, управление непрерывностью бизнеса и управление инцидентами являются одними из основных областей контроля и необходимой составляющей любой системы менеджмента информационной безопасности и, хотя эти области контроля выходят далеко за рамки вопросов информационной безопасности (ИБ является для них лишь одной из составляющих), выстраивать соответствующие процессы в организациях часто приходится именно специалистам по ИБ, порой значительно расширяя границы своей профессиональной компетенции и должностных полномочий. В этом случае, информационная безопасность становится основным двигателем процессов обеспечения непрерывности бизнеса, формируя методологическую базу для оценки рисков и анализа воздействия на бизнес чрезвычайных ситуаций, управления инцидентами, разработки стратегии, политики и планов обеспечения непрерывности информационно-коммуникационных технологий (ИКТ) и бизнеса в целом, разработки и поддержания в актуальном состоянии контакт-листов, аварийно-восстановительных процедур, реестров информационных и ИТ-активов и т.п.
Создаваемая таким образом система управления непрерывностью бизнеса становится производной от существующей системы управления информационной безопасностью организации, наследуя от последней соответствующие принципы управления и механизмы контроля. Это, конечно, не означает, что ответственность за непрерывностью бизнеса и управление чрезвычайными ситуациями теперь возлагается на специалистов по информационной безопасности. Для этого требуется иной уровень компетенции и полномочий. В связи с этим возникает целый ряд концептуально важных вопросов, ответы на которые должны содержаться в политике управления непрерывностью бизнеса организации:
- Где заканчивается информационная безопасность и начинается непрерывность бизнеса?
- Где заканчивается непрерывность бизнеса и начинается управление чрезвычайными ситуациями с привлечением МЧС и других специальных служб?
- Как правильно классифицировать инциденты, как определить: кто и в рамках каких процессов за них отвечает, а также какую стратегию реагирования следует использовать?
Попробуем разобраться с этими вопросами, опираясь на первоисточники, отражающие существующий передовой опыт.
Управление кризисом, непрерывностью и инцидентами: в чем различие?
Прежде всего, специалистам по ИБ, берущим на себя роль локомотива в создании системы управления непрерывностью бизнеса, необходимо четко осознавать существующие различия и взаимосвязи между следующими новомодными управленческими дисциплинами:
- управление кризисом и чрезвычайными ситуациями (crisis & emergency management);
- управление непрерывностью бизнеса и аварийным восстановлением (business continuity & disaster recovery), а также управление непрерывностью ИКТ (ICT continuity) как составная часть управления непрерывностью бизнеса;
- управление инцидентами (incident management), а также управление инцидентами информационной безопасности как составная часть управления инциентами.
Пожалуй, самым важным отличительным признаком является то, что перечисленные управленческие дисциплины имеют дело с разными типами инцидентов и, в связи с этим, по-разному расставляют акценты в отношении к информационной безопасности. Это наглядным образом иллюстрирует рисунок из книги Нейла Хар-Брауна «Управление инцидентами информационной безопасности. Методология» (Information Security Incident Management – A Methodology).
Рисунок 1. Расстановка акцентов в отношении информационной безопасности различными управленческими дисциплинами
Управление инцидентами
Управление инцидентами информационной безопасности имеет дело с самыми разными типами инцидентов, начиная с утечек информации, человеческих ошибок, мошеннических действий и заканчивая сбоями оборудования и потерей носителей информации. Здесь одинаково важным может являться достижение всех традиционных целей информационной безопасности, включая обеспечение конфиденциальности информации, ее доступности, целостности, аутентичности и неотказуемости. Вероятность соответствующих угроз обычно варьируется от высокой до средней. Размер ущерба может быть самым разным, но, в большинстве случаев, он сравнительно невелик. Управление подобными инцидентами обычно осуществляется силами соответствующих ИБ и ИТ-подразделений, с привлечением, по мере необходимости, других подразделений организации (кадров, юристов, физической безопасности и т.п.), а также внешних сторон в лице правоохранительных органов.
Управление непрерывностью бизнеса
Управление непрерывностью бизнеса (и управление непрерывностью ИКТ как составная часть этого процесса) имеет дело только с теми инцидентами (включая рассмотренные выше инциденты информационной безопасности), которые могут приводить к приостановке деятельности всей организации или ее основных бизнес процессов. Вероятность таких инцидентов сравнительно невелика (может варьироваться от средней до очень низкой), а размер возможного ущерба обычно достаточно велик, вплоть до катастрофических последствий для бизнеса. Для непрерывности бизнеса основное значение имеет обеспечение доступности информационных активов. Достижение прочих перечисленных выше целей информационной безопасности здесь имеет значение, но не столь существенно. Для управления инцидентами, нарушающими непрерывность бизнеса, как правило, создается специальная управленческая структура, которая координирует деятельность всех сотрудников организации, а также внутренних и внешних аварийных служб.
Управление чрезвычайными ситуациями
Управление чрезвычайными ситуациями имеет дело только с теми инцидентами, последствия которых фатальны не только для самого бизнеса, но, порой, и для всего региона, в котором этот бизнес функционирует. Такие ситуации связаны с причинением вреда жизни и здоровью людей, разрушением инфраструктуры, непоправимыми последствиями для экологии и т.п. Эти события могут быть крайне маловероятны, а ущерб от них – крайне велик. Основная забота, в данном случае, – спасение людей и восстановление основных процессов жизнедеятельности и только потом идут вопросы восстановления инфраструктуры и обеспечения информационной безопасности. Управление подобными инцидентами уже выходит за рамки компетенции и ответственности даже руководства бизнеса. Основную роль здесь играют специализированные организации в лице МЧС, МВД, МО, различных аварийных служб и органов исполнительной власти.
Планы управления чрезвычайными ситуациями могут инициировать планы обеспечения непрерывности бизнеса, а те, в свою очередь, включают в качестве подмножества планы обеспечения непрерывности ИКТ, которые базируются на управлении инцидентами ИБ.
Если же мы посмотрим на планы управления инцидентами ИБ, то они, в определенных случаях, отсылают нас к планам обеспечения непрерывности ИКТ и бизнеса, а те, в случае необходимости, предполагают задействование планов действий в чрезвычайных ситуациях.
Многоуровневая структура управления: «бронза-серебро-золото»
Каким образом в организации может быть организовано управление рассмотренными классами взаимосвязанных инцидентов и процессов, связанных с обеспечением непрерывности бизнеса?
В публичной спецификации PAS 77:2006 «Управление непрерывностью ИТ-сервисов. Практические правила» предлагается трехуровневая структура управления, широко используемая как в частном, так и в государственном секторе для управления инцидентами и кризисными ситуациями:
- «Бронза» – оперативный уровень: Группа управления инцидентами;
- «Серебро» – тактический уровень: Группа управления непрерывностью бизнеса;
- «Золото» – стратегический уровень: Группа управления кризисными ситуациями.
Взаимоотношения между этими группами с точки зрения их относительного размера и подчиненности показаны на Рисунке 2.
Рисунок 2 – Структура управления инцидентами
В зависимости от степени серьезности ИБ или ИТ-инцидента, управление может осуществляться одновременно на «Серебряном» и «Бронзовом» уровнях, при этом «Бронзовые» группы формируются для каждого ИТ-сервиса, а их действия координирует «Серебряная» группа, курирующая соответствующий ИТ-сервис. “Золотая” группа” должна определять стратегию на высшем уровне, обеспечивать определение приоритетов и координацию всех действий, а также нести прямую ответственность за обмен информацией с внешними заинтересованными сторонами, включая средства массовой информации, аварийные службы и государственные органы.
В крупных организациях могут создаваться структурные подразделения по управлению корпоративными рисками и непрерывностью бизнеса, реализующие управленческие функции на «серебрянном» и «золотом» уровнях.
Опубликовано в журнале Information Security №6 2011 г.
Александр Астахов, GlobalTrust
При подготовке данной статьи использовались материалы из блога Автора, находящегося по адресу: http://iso27000.ru/blogi/aleksandr-astahov