11.6.09

Business Impact Analysis и информационная безопасность

Вчера на конференции Business Continuity Russia выступал в секции по ИБ. Сделал доклад на тему "Business Impact Analysis и информационная безопасность", коий сюда и выкладываю. Разумеется, я рассматривал не всю названную тему, а только ее отдельные моменты. Моя задача была показать, что танцевать надо от бизнес-требований, а для этого без BIA не обойтись. Все остальное (управление инцидентами, мониторинг, выбор средств защиты, оценка рисков) уже вытекает из BIA.

6 коммент.:

Анонимный комментирует...

Был на этой конференции. Полезных докладов не очень много. Основная мысль - требования бизнеса, восстановление бизнеса, а не ИТ - прослеживалась у многих докладчиков. Жаль только, что ни один представитель собственно бизнеса - не ИТ\ИБ-шника - не выступал с оценкой, что же бизнес собственно думает по этому поводу. Думаю, к нему было бы много вопросов.

Ригель комментирует...

Минимально должно быть выявление ключевых продуктов, для них критичных activities, для них MTPD (или МAD) и оттуда выход на RTO, но еще плюс рюшечки всякие, которые у каждого свои. У Гартнера, например, шаблон биашного отчета 80 страниц занимает ;)

Александр Дорофеев комментирует...

Забавно то, что реальная помощь внешних консультантов по непрерывности бизнеса весьма ограничена. Они могут рассказать о методологиях (BCI GPG, BS25999), помочь внедрить технические решения (если это интегратор), разработать структуру документов и провести тестирование. Реальным же планированием непрерывности бизнеса придется заниматься компании самостоятельно, так как никто кроме нее не обладает полной информацией о ее рисках и бизнес-процессах.

Алексей Лукацкий комментирует...

Тоже самое применимо и к безопасности и к финансам и почти к любой иной деятельности ;-)

Ригель комментирует...

> Тоже самое

Оно!

Александр Дорофеев комментирует...

В связи с этим, наверное, будут востребованы guidelines для бизнеса по использованию консультантов. :)