В обществах с дифференциацией штанов реальную принадлежность руководителя ИБ к когорте C (с-level или c-suite – высшее звено) легко проверить по наличию положенных ей привилегий: кабинета, приемной, служебной авто- и кофе-машины с водителем/водительницей, места на/в корпоративном паркинге, виповской страховки, длинного отпуска, права на идиотские капризы. Понятно, что блага, распределяемые среди шишек, в разных компаниях разные: где джип со снайперами, а где простая оплата анлима, и смотреть надо в сравнении с другими C** и C***.
Но допустим, что компания западной культуры (почему бы и нет, раз человек себя иностранными буквами пишет), и машина закрепляется за тем, кого среди ночи на работу дергают, страховка привязана к вредным производственным условиям, а приемные организуются где входящий поток большой и неэлектронный. В этом случае индикатором, участвует ли называющий себя CISO в большой игре, является наличие видения, которое приобретается в верхнем эшелоне.
По обычной ИБ-деятельности это не определить – она шаблонна: все ходы заранее написаны в том ISO, NIST, SANS, СТР или ИББС, который он намерен претворить (но, возможно, вслух ни разу не произносил), а кроме того остается только держать нос по ветру и покупать что всем сейчас впаривают.
Однако есть штук пять смежных областей, в которые смотрящий ширше будет ходить, а нет – нет.
Методически, обеспечение непрерывности бизнеса – простейшая штука!
Нужно сформировать бюрократическую машину: учредить координационную группу, которая будет оценивать и корректировать работу по обеспечению НБ, распределить в ней роли; регламентировать процедуры (анализа воздействия, оценки рисков, выбора ответных мер, разработки и тестирования планов) и замкнуть на эту группу; повесить на кого-то периодический аудит и представление результатов в группу; определить штаб управления кризисной ситуацией и схемы коммуникации; затвердить требования к ведению документации или сослаться на общие, и т.п. – все довольно стандартно.
Нужно провести т.н. BIA или анализ воздействия на бизнес – определить силу влияния от прерывания того или иного процесса на жизнеспособность организации в целом, как скоро оно на ней сказывается, и сколько времени требуется для восстановления того процесса.
Нужно идентифицировать события, вызывающие прерывания процессов, и, умножая вероятность на силу, получить родимую оценку рисков, выбрать и инициировать меры по снижению до допустимого уровня.
Несмотря на эти меры по предотвращению, нужно разработать планы действий в случае наступления: для критических процессов, восстанавливаемых быстрее, чем они трагически сказываются на бизнесе организации – планы восстановления, а для критических, восстанавливаемых дольше – еще и любимые киношниками «планы Б», т.е. альтернативные способы перекантоваться, пока тянется восстановление.
При этом нужно учитывать их приоритетность, ориентируясь на выявленную силу влияния, т.к. в аварийной ситуации ресурсов (электрической мощности, площадей, людей, денег, пропускной способности) заведомо меньше нормального, на все не хватит.
Эти планы надо тестировать и по результатам корректировать (или даже анализ воздействия с оценкой рисков исправлять по результатам), а еще обеспечивать достаточность и исправность того, что для осуществления планов необходимо.
Нiчого особливого, но подвох в уровне восприятия. Во-первых, нужно действительно знать бизнес организации, в котором внезапное бесследное исчезновение поставщика форсунок не будет критическим, т.к. остановка конвейера для перехода на форсунки конкурента займет 2 дня, а склад готовой продукции вмещает 6-дневный запас – отпуск получателям не прервется. Во-вторых, решения и в рамках обработки рисков, и в рамках запланированных ответов на инцидент – они в НБ тоже полководческие: усиление горизонтальной ротации персонала для разносторонних навыков и большей взаимозаменяемости, соглашение о взаимопомощи с дружественной фирмой о предоставлении части помещений, избавление от редкого и уникального оборудования и т.п.
Так что просто спросите CISO, как он занимается НБ. Вам либо озвучат подлинно печальное положение вещей («Постоянно мониторим доступность серверов и обязательно повесим гриф конфиденциальности на план, если его нам спустят, только не знаю кто»). Либо соврут про обеспечение в полный рост (мой любимый вариант: «У меня исполнитель всю НБ фигачит» - уж с уровня исполнителя рулить в НБ подавно невозможно). Либо тяжело вздохнут, и тогда действительно все сравнительно неплохо.
Я обычно скрываю, что после «Золотого ключика» что-то читал, но тут обязан подсластить пилюлю: непризнание CISO полноправным си-левелом (причем со стороны самого с-левела) – мировая норма . Что делать? Становиться! Вот лезть в ту же самую НБ или в corporate risks и через них потихоньку становиться.
Но допустим, что компания западной культуры (почему бы и нет, раз человек себя иностранными буквами пишет), и машина закрепляется за тем, кого среди ночи на работу дергают, страховка привязана к вредным производственным условиям, а приемные организуются где входящий поток большой и неэлектронный. В этом случае индикатором, участвует ли называющий себя CISO в большой игре, является наличие видения, которое приобретается в верхнем эшелоне.
По обычной ИБ-деятельности это не определить – она шаблонна: все ходы заранее написаны в том ISO, NIST, SANS, СТР или ИББС, который он намерен претворить (но, возможно, вслух ни разу не произносил), а кроме того остается только держать нос по ветру и покупать что всем сейчас впаривают.
Однако есть штук пять смежных областей, в которые смотрящий ширше будет ходить, а нет – нет.
Методически, обеспечение непрерывности бизнеса – простейшая штука!
Нужно сформировать бюрократическую машину: учредить координационную группу, которая будет оценивать и корректировать работу по обеспечению НБ, распределить в ней роли; регламентировать процедуры (анализа воздействия, оценки рисков, выбора ответных мер, разработки и тестирования планов) и замкнуть на эту группу; повесить на кого-то периодический аудит и представление результатов в группу; определить штаб управления кризисной ситуацией и схемы коммуникации; затвердить требования к ведению документации или сослаться на общие, и т.п. – все довольно стандартно.
Нужно провести т.н. BIA или анализ воздействия на бизнес – определить силу влияния от прерывания того или иного процесса на жизнеспособность организации в целом, как скоро оно на ней сказывается, и сколько времени требуется для восстановления того процесса.
Нужно идентифицировать события, вызывающие прерывания процессов, и, умножая вероятность на силу, получить родимую оценку рисков, выбрать и инициировать меры по снижению до допустимого уровня.
Несмотря на эти меры по предотвращению, нужно разработать планы действий в случае наступления: для критических процессов, восстанавливаемых быстрее, чем они трагически сказываются на бизнесе организации – планы восстановления, а для критических, восстанавливаемых дольше – еще и любимые киношниками «планы Б», т.е. альтернативные способы перекантоваться, пока тянется восстановление.
При этом нужно учитывать их приоритетность, ориентируясь на выявленную силу влияния, т.к. в аварийной ситуации ресурсов (электрической мощности, площадей, людей, денег, пропускной способности) заведомо меньше нормального, на все не хватит.
Эти планы надо тестировать и по результатам корректировать (или даже анализ воздействия с оценкой рисков исправлять по результатам), а еще обеспечивать достаточность и исправность того, что для осуществления планов необходимо.
Нiчого особливого, но подвох в уровне восприятия. Во-первых, нужно действительно знать бизнес организации, в котором внезапное бесследное исчезновение поставщика форсунок не будет критическим, т.к. остановка конвейера для перехода на форсунки конкурента займет 2 дня, а склад готовой продукции вмещает 6-дневный запас – отпуск получателям не прервется. Во-вторых, решения и в рамках обработки рисков, и в рамках запланированных ответов на инцидент – они в НБ тоже полководческие: усиление горизонтальной ротации персонала для разносторонних навыков и большей взаимозаменяемости, соглашение о взаимопомощи с дружественной фирмой о предоставлении части помещений, избавление от редкого и уникального оборудования и т.п.
Так что просто спросите CISO, как он занимается НБ. Вам либо озвучат подлинно печальное положение вещей («Постоянно мониторим доступность серверов и обязательно повесим гриф конфиденциальности на план, если его нам спустят, только не знаю кто»). Либо соврут про обеспечение в полный рост (мой любимый вариант: «У меня исполнитель всю НБ фигачит» - уж с уровня исполнителя рулить в НБ подавно невозможно). Либо тяжело вздохнут, и тогда действительно все сравнительно неплохо.
Я обычно скрываю, что после «Золотого ключика» что-то читал, но тут обязан подсластить пилюлю: непризнание CISO полноправным си-левелом (причем со стороны самого с-левела) – мировая норма . Что делать? Становиться! Вот лезть в ту же самую НБ или в corporate risks и через них потихоньку становиться.
