Непрерывность бизнеса vs Защита КИИ

Эта заметка начинает серию, посвященную сравнению методологии классического управления непрерывностью бизнеса* с подходами, используемыми в смежных дисциплинах. Автор надеется, что это поможет вам уменьшить количество проблем на стыках различных проектов внутри организации.

Начнем мы с защиты объектов критической информационной инфраструктуры. Те из вас, кто уже столкнулся с защитой КИИ, знают, что первым делом необходимо провести категорирование объектов КИИ**.

Казалось бы, процесс категорирования объектов КИИ очень напоминает анализ воздействия на бизнес, но это только на первый взгляд. В обоих случаях мы начинаем с уровня бизнес-процессов, и далее изучаем все зависимости. Тут и появляется первое существенное отличие в подходах защиты КИИ. В КИИ мы анализируем только зависимости от ИТ, оставляя за кадром все остальные критичные ресурсы — людей, офисные и производственные помещения, технологическое оборудование, логистику и т.п. В принципе, ничего удивительного, так часто бывает, когда решаются задачи именно информационной безопасности. Просто помечаем себе на полях, что мы рассматриваем только определенное подмножество рисков.

Второе важное отличие — отсутствие такого измерения, как время. При категорировании КИИ не принимается в учет время недоступности объекта КИИ. В непрерывности бизнеса так не бывает, потери оцениваются не абстрактно от остановки бизнес-процесса, а в динамике во времени. Это позволяет нам получить такой важный показатель, как целевое время восстановления (RTO). Для наглядности приведу пример. Выход из строя процессинга любого банка — критично? Безусловно. Выход из строя процессинга на 5 минут? Неприятно, но регулярно бывает почти у всех. 

Как решать эту задачу в КИИ, однозначных рекомендаций нет. Например, методичка Ассоциации Документальной Электросвязи предлагает оценивать ущерб на горизонте «максимально допустимого периода простоя оператора», т.е. по худшему сценарию. На мой взгляд, здесь есть пространство для улучшений нормативной базы, т.к. понимание целевого времени восстановления существенно облегчает (и удешевляет) выбор защитных мер и планирование ответных действий. 

* В соответствии со стандартами ISO 22301:2019,  ISO 2231:2020, а также их российскими аналогами предыдущего поколения: ГОСТ Р ИСО 22301-2014, ГОСТ Р ИСО 22313-2015.

** В соответствии с нормативными документами, в частности Федеральным законом от 26.07.2017 г. № 187-ФЗ , Постановлением Правительства РФ от 08.02.2018 г. №127.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход /  Изменить )

Google photo

Для комментария используется ваша учётная запись Google. Выход /  Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход /  Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход /  Изменить )

Connecting to %s