Вчера на конференции Business Continuity Russia выступал в секции по ИБ. Сделал доклад на тему «Business Impact Analysis и информационная безопасность», коий сюда и выкладываю. Разумеется, я рассматривал не всю названную тему, а только ее отдельные моменты. Моя задача была показать, что танцевать надо от бизнес-требований, а для этого без BIA не обойтись. Все остальное (управление инцидентами, мониторинг, выбор средств защиты, оценка рисков) уже вытекает из BIA.
Security for Business Impact Analysis
View more Microsoft Word documents from lukatsky.
Был на этой конференции. Полезных докладов не очень много. Основная мысль — требования бизнеса, восстановление бизнеса, а не ИТ — прослеживалась у многих докладчиков. Жаль только, что ни один представитель собственно бизнеса — не ИТИБ-шника — не выступал с оценкой, что же бизнес собственно думает по этому поводу. Думаю, к нему было бы много вопросов.
Минимально должно быть выявление ключевых продуктов, для них критичных activities, для них MTPD (или МAD) и оттуда выход на RTO, но еще плюс рюшечки всякие, которые у каждого свои. У Гартнера, например, шаблон биашного отчета 80 страниц занимает 😉
Забавно то, что реальная помощь внешних консультантов по непрерывности бизнеса весьма ограничена. Они могут рассказать о методологиях (BCI GPG, BS25999), помочь внедрить технические решения (если это интегратор), разработать структуру документов и провести тестирование. Реальным же планированием непрерывности бизнеса придется заниматься компании самостоятельно, так как никто кроме нее не обладает полной информацией о ее рисках и бизнес-процессах.
Тоже самое применимо и к безопасности и к финансам и почти к любой иной деятельности 😉
> Тоже самое
Оно!
В связи с этим, наверное, будут востребованы guidelines для бизнеса по использованию консультантов. 🙂