Готовимся к экзамену CISA. Практики Business Continuity

в 10:53, , рубрики: CISA, Блог компании МУК, вебинары по инфобезопасности, информационная безопасность, подготовка к экзамену

Пашков Кузьма — Lead InfoSec, EMC trainer @ training.muk.ua

Разобравшись в прошлых статьях с определениями и пользой Business Continuity (далее BC) нужно рассмотреть практики ее реализации.

Готовимся к экзамену CISA. Практики Business Continuity - 1

Владелец бизнеса и/или руководитель высшего звена определяет будет ли ответственные за BC фокусироваться на Disaster Recovery (далее DR) ради восстановления или на BC для прибыли. Аудитор может достаточно быстро идентифицировать цель плана BC просто определив кто назначен ответственным, например:

1) Chief Execution Officer/Chief Operations Officer – на прибыли
2) Chief Information Officer/Chief Financial Officer – на восстановлении и COOP (continuity of operations)
3) Государственные контролирующие органы – на EM (emergency management) и COOG (continuity of government)

Существую разные подходы к реализации BC. Большинство государств в общем и популяризирующие BC некоммерческие организации, такие как Disaster Recovery Institute International и Business Continuity Institute в частности фокусируются лишь на аспектах DR и EM. В свою очередь руководство компании интересуют вопросы извлечения прибыли каждый день, поэтому ожидать от них живого участия в разработке и реализации DR можно только когда речь идет о резервном копировании ценных для них информационных ресурсов.

О каком бы подходе не шла речь, любая реализация BC требует выполнения двух обязательных условия:

1) Повышение компетенции персонала по вопросам ИБ. План BC не имеет смысла пока вы не обучите персонал компании знаниям и навыкам необходимым для его реализации. Разъясняйте им план, обязанности и область их выполнения на регулярной основе. Важно донести до персонала, что план BC в принципе не может покрыть все что есть в организации. Ключ к успеху в покрытии лишь критичных бизнес-процессов, все остальное может быть остановлено на время или даже навсегда. Мы просто не можем себе позволить защитить все.
2) Интеграция с другими организациями. Никто не может существовать в одиночестве. Хороший план BC должен быть согласован с аналогичными планами контрагентов, будь то партнеры, поставщики, клиенты или государственные органы. Скорее всего вам придется во многом положиться на них во время катастрофы или наоборот.

В качестве наглядной демонстрации подхода к реализации BC можно рассмотреть модель, разработанную американским федеральным агентством FEMA (Federal Emergency Management Agency)

Готовимся к экзамену CISA. Практики Business Continuity - 2

Важно помнить, что приоритетом №1 являются ваши клиенты и то как вы с ними взаимодействуете. Без клиентов нет прибыли. Без прибыли реализация BC крайне затруднена или невозможна. Ну а без постоянного притока довольных клиентов инвесторы тоже уйдут.

Продолжение следует…

Видеозапись и презентация вебинара “Кому доверить информационную безопасность”

Презентация

Жду вопросы по обучению и сертификациям в области ИБ по адресу PashkovK@muk.com.ua

Ближайший семинар CISA в УЦ МУК (Киев) c 14.03.2016

Другие статьи автора по теме информационной безопасности

Готовимся к экзамену CISA. Определения Business Continuity
Утрачиваемое искусство доказательства защищенности. Часть 1 из 2
Сертификации CompTIA для ИТ-специалистов. CompTIA Security+

Автор: МУК

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js