Вчера на конференции Business Continuity Russia выступал в секции по ИБ. Сделал доклад на тему "Business Impact Analysis и информационная безопасность", коий сюда и выкладываю. Разумеется, я рассматривал не всю названную тему, а только ее отдельные моменты. Моя задача была показать, что танцевать надо от бизнес-требований, а для этого без BIA не обойтись. Все остальное (управление инцидентами, мониторинг, выбор средств защиты, оценка рисков) уже вытекает из BIA.
Был на этой конференции. Полезных докладов не очень много. Основная мысль - требования бизнеса, восстановление бизнеса, а не ИТ - прослеживалась у многих докладчиков. Жаль только, что ни один представитель собственно бизнеса - не ИТ\ИБ-шника - не выступал с оценкой, что же бизнес собственно думает по этому поводу. Думаю, к нему было бы много вопросов.
ОтветитьУдалитьМинимально должно быть выявление ключевых продуктов, для них критичных activities, для них MTPD (или МAD) и оттуда выход на RTO, но еще плюс рюшечки всякие, которые у каждого свои. У Гартнера, например, шаблон биашного отчета 80 страниц занимает ;)
ОтветитьУдалитьЗабавно то, что реальная помощь внешних консультантов по непрерывности бизнеса весьма ограничена. Они могут рассказать о методологиях (BCI GPG, BS25999), помочь внедрить технические решения (если это интегратор), разработать структуру документов и провести тестирование. Реальным же планированием непрерывности бизнеса придется заниматься компании самостоятельно, так как никто кроме нее не обладает полной информацией о ее рисках и бизнес-процессах.
ОтветитьУдалитьТоже самое применимо и к безопасности и к финансам и почти к любой иной деятельности ;-)
ОтветитьУдалить> Тоже самое
ОтветитьУдалитьОно!
В связи с этим, наверное, будут востребованы guidelines для бизнеса по использованию консультантов. :)
ОтветитьУдалить