Security for Business Impact Analysis

© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialCIO Summit 1/25

Анализ воздействия на бизнес и ИБ

Алексей Лукацкий

Бизнес-консультант по безопасности


ИБ в контексте BCM

Выход из строя сети в результате DDoS-атаки

Выход из строя сервера в результате шквала спама

Простой рабочей станции в результате эпидемии вредоносной программы

Отсутствие связи с филиалом в результате изменения таблиц маршрутизации

Торможение деятельности подразделений в результате выполнения ст.14,20,21 ФЗ-152 «О персональных данных»

Приостановление деятельности организации на срок до 90 суток за нарушение правил защиты информации (ст.13.12, 19.20 КоАП)


Ключевые вопросы/проблемы ИБ

Что мы теряем без ИБ?

Сколько мы можем инвестировать в решения ИБ?

Почему мы должны инвестировать именно в эти решения ИБ?

Почему эти решения ИБ нужны нам именно здесь?

Почему это решение ИБ для нас лучше, чем другие?


«Снизу-вверх» vs. «сверху-вниз»

Бизнес-потребности

Зачем ИБ нужна

бизнесу?

ИБ-решения

Бизнес-потребности

???

ИБ-решения


“Невозможно решить проблему на том же уровне, на котором она возникла.Нужно стать выше этой проблемы, поднявшись на следующий уровень.”

Альберт Эйнштейн


Пошаговое достижение успеха

1. Оценка текущей ситуации с ИБ

Как есть

2. Анализ потребностей бизнеса своей компании

Стратегические цели и тактические задачи

Бизнес-среда

3. Планирование будущей архитектуры ИБ

Как надо

4. Анализ разрыва

5. Способы сокращения разрыва

Затраты, время и бизнес-среда


Воспользоваться опытом BCM

“Цель для компаний и организаций – не

допустить простоев и достичь такого

состояния непрерывности бизнеса, при

котором все критичные системы и сети

будут постоянно доступны, не взирая на

любые происходящие события.”

The Gartner Group


Анализ воздействия на бизнес


1. Выполните анализ влияния на бизнес (Business Impact Analysis)для всех ключевых процессов на предприятии

2. Разработайте план непрерывности бизнеса и согласуйте с его с бизнес-,ИС-, и ИТ-владельцами

3. Привлеките партнеров и поставщиков для внедрения соответствующего плана обеспечения непрерывности

4. Продолжайте обновлять и тестировать план в соответствии с изменениями

Правильный план BCM



Ключевая задача BIA

Определение ценности каждого процесса в организации для бизнеса

Приоритезация бизнес-процессов

Второстепенные задачи BIA

Определение величины потерь в результате «сбоев» в функционировании процессов

Определение длительности «сбоя» и скорости его распространения


Не все йогурты одинаково полезны

Выделение ключевых бизнес-процессов, которые должны функционировать даже в условиях наступления чрезвычайной ситуации

Web-сайт vs. Интернет-банк

Приоритезация бизнес-процессов зависит от множества параметров

Отрасль, масштаб, уровень информатизации и т.д.

Отдельные компоненты/элементы бизнес-процесса могут быть также иметь разный приоритет с точки зрения критичности

Отгрузка товара vs. Печать отчетов об отгрузке

Не забывать про перекрестное использование общих элементов разных бизнес-процессов


Роль BIA в безопасности

BIA

Приоритет в управлении

рисками

Приоритет в реагировании на инциденты

Приоритет в выборе

защитных мер

Приоритет в мониторинге

событий

…

Приоритезациябизнес-процессов в рамках BIAпозволяет отталкиваться от нее для оптимизации усилий при выстраивании всех остальных процессов ИБ


BIA vs. анализ рисков


Определение ключевых бизнес-процессов

Приоритезация бизнес-процессов

Анализ рисков

Определение рисков для ключевых бизнес-процессов

Приоритезация усилий по управлению рисками


Определение ценности

Потери

Прямые – потеря доходов, штрафы за нарушение договорных обязательств, штрафы надзорных органов, иски

Косвенные – упущенная выгода, потеря доли рынка, снижение лояльности заказчиков/партнеров, репутация

Приобретение

Ускорение сделок, снижение времени вывода продукта на рынок, рост продуктивности, рост числа клиентов и т.д.

Ценность потери Ценность

приобретения


Составляющие потерь

Цена «сбоя» складывается из множества параметров

Восстановление утерянной информации

«Процедурные» затраты

Стоимость времени восстановления

Взаимодействие с пострадавшими стейкхолдерами

Резервирование автоматизации ключевых процессов ручными операциями

Снижение качества обслуживания

Извлечение уроков и т.п.

Необходимо учитывать динамику потерь

Ущерб может наступить мгновенно или спустя недели

Активность бизнес-процессов может зависеть от квартала/сезона ущерб зависит от этого же


Жизненный цикл сбоя

RPO – Recovery Point Objectives, RTO – Recovery Time Objectives, MAD – Maximum Allowable Downtime

Степень влияния и составляющие цены «сбоя» меняется с течением времени


Определение потерь

Бизнес-потери

Падение доходов

Штрафы и судебные иски

Упущенная выгода

Потеря доли рынка

Удар по репутации

Снижение лояльности клиентов/партнеров

«Информационные» потери (например, интеллектуальная собственность)

ИТ- или операционные потери

Цена восстановления информации

Цена восстановления ИТ-систем

Цена восстановления бизнес-процессов


Имеет ли информационный актив цену?

Наиболее сложный, но реализуемый этап в BIA

Требует привлечения финансового департамента и финансовых методик расчета

Совершенно иной уровень знаний и квалификации

Оценки стоимости информационных активов возможна

Бухгалтерия давно умеет это делать!

Методика оценки нематериальных активов


Нематериальные активы

Патенты, изобретения, технологии…

Авторские права

Деловая репутация

Фирменные знаки и наименования

Документированные консультации

Торговые марки

ПО, обособленное по «железа»

Права на эксплуатацию

Лицензии

И т.д.


Виды стоимости НМА

Вид стоимости Определение

Стоимость обмена Вероятная цена продажи, когда условия

обмена известны обеим сторонам и сделка

считается взаимовыгодной

Обоснованная рыночная

стоимость

Наиболее вероятная цена, по которой

объект оценки переходит из рук одного

продавца в руки другого на открытом рынке

и добровольно

Стоимость

использования

Стоимость объекта оценки в представлении

конкретного пользователя и с учетом его

ограничений

Ликвидационная

стоимость

Стоимость объекта оценки при вынужденной

продаже, банкротстве

Стоимость замещения Наименьшая стоимость эквивалентного

объекта оценки


Методы оценки НМА

Рыночный

• Метод сравнения продаж аналогичных объектов оценки

Затратный

• Метод стоимости замещения

• Метод восстановительной стоимости

• Метод исходных затрат

Доходный

• Метод расчета роялти

• Метод исключения ставки роялти

• Метод DCF

• Метод прямой капитализации

• Экспресс-оценка

• Метод избыточной прибыли

• Метод по правилу 25%

• Экспертные методы

У каждого метода есть своя область применения, свои достоинства и недостатки


Стандарты оценки НМА

МСФО 38 «Нематериальные активы»

GAAP – для США

EVS 2000 – для Евросоюза

Стандарты оценки РФ

Утверждены ПП-519 от 6.07.2001


Возвращаемся к BIA

Инициация проекта и получение одобрения топ-менеджмента

Формирование команды и планирование проекта

Сбор данных

Анализ данных

Документирование

Одобрение результатов топ-менеджментом

А затем реализация стратегии… BCM/управления ИБ


Вопросы?

Дополнительные вопросы Вы можете задать по электронной почте [email protected]или по телефону: +7 495 961-1410


Technology

Security for Business Impact Analysis