Управление непрерывностью бизнеса и информационная безопасность в организации

ВВЕДЕНИЕ 3
ГЛАВА 1. Анализ актуальности применения BCM 7
1.1 Актуальность темы ВСM 7
1.2 Основные мотивы применения BCM 7
1.3 Экономическая целесообразность 8
1.4 Основные элементы BCM 11
1.5 Практическое применение BCM 12
1.6 Роль оценки влияния на бизнес (BIA) 13
1.7 Оценка рисков (RA) 15
1.8 Выбор стратегии BCP 15
1.9 Внедрение культуры BCP на предприятии 17
Глава 2. Анализ лучших практик BCM 19
2.1 19
ЗАКЛЮЧЕНИЕ 20

Весь текст будет доступен после покупки

Понятие «управление непрерывностью бизнеса» (BCM–Business Continuity Management), которое теперь так часто встречается на слуху у всех ИБ специалистов, появилось не так давно и вызывает большой интерес у состава ТОП-менеджеров компаний. Существует уже огромное количество различных национальных стандартов и спецификаций, посвященных теме управления непрерывности бизнеса, среди которых наибольшую известность приобрели:
• BS25999 (PAS 56);
• ASIS SPC.1-2009;
• ISO/DIS 22399:2008;
• ISO/IEC 22301:2008;
• NIST SP800-34;
• NFPA 1600;
• CSA Z160;
• AS/NZS 5050 (HB 292:2006);
• SS540:2009 (TR19:2004);
• SI 24001:2007;
• ISO/IEC 27002:2005 (BS ISO/ IEC 17799:2005) (14 раздел);
• High Level Principles for Business Continuity (2006);
• COBIT;
• ITIL и MOF в части BCM и многие др.
Управление непрерывностью бизнеса представляет собой одно из наиболее актуальных и динамично развивающихся направлений стратегического и оперативного менеджмента современного предприятия в настоящее время. Актуальность этого направления объясняется необходимостью обеспечить выживание и сохранение своего бизнеса в чрезвычайных ситуациях на рынке, сохраняя преимущество перед другими компаниями.

Весь текст будет доступен после покупки

ГЛАВА 1. Анализ актуальности применения BCM

1.1 Актуальность темы ВСM
В представлении бизнеса, а зачастую и ИТ-специалистов, понятие непрерывность бизнеса (BCM – Business Continuity Management) нередко отождествляется с аварийным восстановлением после катастроф (DR – Disaster Recovery). Необходимо четко понимать, что основной целью BCM является поддержание в актуальном состоянии количества структур, операций и ресурсов (активов компании), необходимых для стабильного функционирования организации в чрезвычайных ситуациях. Данное представление BCM существенно отличается от понятия аварийного восстановления после катастрофы, которое тесно, если не исключительно, связывается с информационными технологиями. В настоящее время, фокус внимания концепции непрерывности бизнеса смещается с рассмотрения исключительно информационных систем на компанию в целом. В частности на критически важные для бизнеса процессы, расширяя горизонты прежнего рассмотрения проблемы.
Программы управления непрерывностью бизнеса (BCP) актуальны, в первую очередь, для средних и крупных компаний. В качестве инициатора, который берет на себя ответственность за запуск процесса обеспечения непрерывности бизнеса, может выступать руководство, служба безопасности (СБ), ИБ-специалисты или ИТ-специалисты. Зачастую именно ИТ-специалисты берут на себя ответственность по процессам обеспечения непрерывности бизнеса в организации, но в последнее время и ИБ-специалисты стали брать данную задачу на себя, такая озабоченность со стороны ИБ-специалистов стала актуальной по причине повышенного роста числа кибератак и кибер преступлений в мире. И если упустить этот момент, то в случае если бизнес пострадает от кибератаки и не сможет должным образом восстановиться, вся вина ляжет на ответственного со стороны ИБ. А так как в последнее время количество кибератаки только растет, они постоянно совершенствуются, развиваются новые и доступные инструменты проведения кибератак, растет количество кибер группировок, повышенное внимание со стороны спец служб различных государств, да и в принципе доступность материала проведения кибератак доступна всем желающим на просторах сети интернет.


1.2 Основные мотивы применения BCM
Во многих сферах деятельности, непрерывность процессов далеко не всегда регулируется государством или бизнесом. В большинстве случаев руководство начинает задумываться о необходимости поддержания процессов деятельности компании в состоянии непрерывности и стабильности лишь тогда, когда деятельность компании нарушается из-за сбоя в работе информационных систем, когда она несет убытки (в случае бизнеса) или получает внушение от вышестоящей организации (например, в случае государственных структур).
Основные мотивы применения BCM:
• Мотив 1. Осознание руководства Компании путем анализа потребностей бизнеса.
• Мотив 2. Осознание через инцидент (не самый лучший вариант).
Например, выяснилось, что самыми распространенными причинами операционных простоев являются:
a. перебои в электропитании – 18%;
b. отказы и сбои аппаратного и программного обеспечения – 17%;
c. неполадки и ошибки в коммуникациях – 16%;
d. человеческий фактор – 14%;
e. воздействия внешней среды (затопления, пожары, природные явления и пр.) – 12%;
f. инциденты информационной безопасности – 10%;
g. террористические атаки – 8%;
h. прочие причины – 5%.
Помимо этого не малую роль здесь играют киберинциденты.
• Мотив 3. Выполнение требований нормативных актов.
• Мотив 4. Подготовка к сертификации на соответствие лучшим практикам.
Например, сертификация на соответствие Британскому стандарту BS25999 (PAS 77) подтверждает необходимый уровень зрелости корпоративной программы управления непрерывностью бизнеса (ECP – Enterprise Continuity Program).
• Мотив 5. Выполнение требований клиентов и партнеров
• Мотив 6. Устранение замечаний аудиторов
Например, в рамках прохождения сертификации.

Весь текст будет доступен после покупки

-

Весь текст будет доступен после покупки