Upload
alexey-lukatsky
View
2.370
Download
1
Tags:
Embed Size (px)
Citation preview
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialCIO Summit 1/25
Анализ воздействия на бизнес и ИБ
Алексей Лукацкий
Бизнес-консультант по безопасности
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialCIO Summit 2/25
ИБ в контексте BCM
Выход из строя сети в результате DDoS-атаки
Выход из строя сервера в результате шквала спама
Простой рабочей станции в результате эпидемии вредоносной программы
Отсутствие связи с филиалом в результате изменения таблиц маршрутизации
Торможение деятельности подразделений в результате выполнения ст.14,20,21 ФЗ-152 «О персональных данных»
Приостановление деятельности организации на срок до 90 суток за нарушение правил защиты информации (ст.13.12, 19.20 КоАП)
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialCIO Summit 3/25
Ключевые вопросы/проблемы ИБ
Что мы теряем без ИБ?
Сколько мы можем инвестировать в решения ИБ?
Почему мы должны инвестировать именно в эти решения ИБ?
Почему эти решения ИБ нужны нам именно здесь?
Почему это решение ИБ для нас лучше, чем другие?
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialCIO Summit 4/25
«Снизу-вверх» vs. «сверху-вниз»
Бизнес-потребности
Зачем ИБ нужна
бизнесу?
ИБ-решения
Бизнес-потребности
???
ИБ-решения
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialCIO Summit 5/25
“Невозможно решить проблему на том же уровне, на котором она возникла.Нужно стать выше этой проблемы, поднявшись на следующий уровень.”
Альберт Эйнштейн
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialCIO Summit 6/25
Пошаговое достижение успеха
1. Оценка текущей ситуации с ИБ
Как есть
2. Анализ потребностей бизнеса своей компании
Стратегические цели и тактические задачи
Бизнес-среда
3. Планирование будущей архитектуры ИБ
Как надо
4. Анализ разрыва
5. Способы сокращения разрыва
Затраты, время и бизнес-среда
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialCIO Summit 7/25
Воспользоваться опытом BCM
“Цель для компаний и организаций – не
допустить простоев и достичь такого
состояния непрерывности бизнеса, при
котором все критичные системы и сети
будут постоянно доступны, не взирая на
любые происходящие события.”
The Gartner Group
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialCIO Summit 8/25
Анализ воздействия на бизнес
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialCIO Summit 9/25
1. Выполните анализ влияния на бизнес (Business Impact Analysis)для всех ключевых процессов на предприятии
2. Разработайте план непрерывности бизнеса и согласуйте с его с бизнес-,ИС-, и ИТ-владельцами
3. Привлеките партнеров и поставщиков для внедрения соответствующего плана обеспечения непрерывности
4. Продолжайте обновлять и тестировать план в соответствии с изменениями
Правильный план BCM
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialCIO Summit 10/25
Анализ воздействия на бизнес
Ключевая задача BIA
Определение ценности каждого процесса в организации для бизнеса
Приоритезация бизнес-процессов
Второстепенные задачи BIA
Определение величины потерь в результате «сбоев» в функционировании процессов
Определение длительности «сбоя» и скорости его распространения
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialCIO Summit 11/25
Не все йогурты одинаково полезны
Выделение ключевых бизнес-процессов, которые должны функционировать даже в условиях наступления чрезвычайной ситуации
Web-сайт vs. Интернет-банк
Приоритезация бизнес-процессов зависит от множества параметров
Отрасль, масштаб, уровень информатизации и т.д.
Отдельные компоненты/элементы бизнес-процесса могут быть также иметь разный приоритет с точки зрения критичности
Отгрузка товара vs. Печать отчетов об отгрузке
Не забывать про перекрестное использование общих элементов разных бизнес-процессов
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialCIO Summit 12/25
Роль BIA в безопасности
BIA
Приоритет в управлении
рисками
Приоритет в реагировании на инциденты
Приоритет в выборе
защитных мер
Приоритет в мониторинге
событий
…
Приоритезациябизнес-процессов в рамках BIAпозволяет отталкиваться от нее для оптимизации усилий при выстраивании всех остальных процессов ИБ
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialCIO Summit 13/25
BIA vs. анализ рисков
Анализ воздействия на бизнес
Определение ключевых бизнес-процессов
Приоритезация бизнес-процессов
Анализ рисков
Определение рисков для ключевых бизнес-процессов
Приоритезация усилий по управлению рисками
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialCIO Summit 14/25
Определение ценности
Потери
Прямые – потеря доходов, штрафы за нарушение договорных обязательств, штрафы надзорных органов, иски
Косвенные – упущенная выгода, потеря доли рынка, снижение лояльности заказчиков/партнеров, репутация
Приобретение
Ускорение сделок, снижение времени вывода продукта на рынок, рост продуктивности, рост числа клиентов и т.д.
Ценность потери Ценность
приобретения
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialCIO Summit 15/25
Составляющие потерь
Цена «сбоя» складывается из множества параметров
Восстановление утерянной информации
«Процедурные» затраты
Стоимость времени восстановления
Взаимодействие с пострадавшими стейкхолдерами
Резервирование автоматизации ключевых процессов ручными операциями
Снижение качества обслуживания
Извлечение уроков и т.п.
Необходимо учитывать динамику потерь
Ущерб может наступить мгновенно или спустя недели
Активность бизнес-процессов может зависеть от квартала/сезона ущерб зависит от этого же
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialCIO Summit 16/25
Жизненный цикл сбоя
RPO – Recovery Point Objectives, RTO – Recovery Time Objectives, MAD – Maximum Allowable Downtime
Степень влияния и составляющие цены «сбоя» меняется с течением времени
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialCIO Summit 17/25
Определение потерь
Бизнес-потери
Падение доходов
Штрафы и судебные иски
Упущенная выгода
Потеря доли рынка
Удар по репутации
Снижение лояльности клиентов/партнеров
«Информационные» потери (например, интеллектуальная собственность)
ИТ- или операционные потери
Цена восстановления информации
Цена восстановления ИТ-систем
Цена восстановления бизнес-процессов
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialCIO Summit 18/25
Имеет ли информационный актив цену?
Наиболее сложный, но реализуемый этап в BIA
Требует привлечения финансового департамента и финансовых методик расчета
Совершенно иной уровень знаний и квалификации
Оценки стоимости информационных активов возможна
Бухгалтерия давно умеет это делать!
Методика оценки нематериальных активов
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialCIO Summit 19/25
Нематериальные активы
Патенты, изобретения, технологии…
Авторские права
Деловая репутация
Фирменные знаки и наименования
Документированные консультации
Торговые марки
ПО, обособленное по «железа»
Права на эксплуатацию
Лицензии
И т.д.
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialCIO Summit 20/25
Виды стоимости НМА
Вид стоимости Определение
Стоимость обмена Вероятная цена продажи, когда условия
обмена известны обеим сторонам и сделка
считается взаимовыгодной
Обоснованная рыночная
стоимость
Наиболее вероятная цена, по которой
объект оценки переходит из рук одного
продавца в руки другого на открытом рынке
и добровольно
Стоимость
использования
Стоимость объекта оценки в представлении
конкретного пользователя и с учетом его
ограничений
Ликвидационная
стоимость
Стоимость объекта оценки при вынужденной
продаже, банкротстве
Стоимость замещения Наименьшая стоимость эквивалентного
объекта оценки
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialCIO Summit 21/25
Методы оценки НМА
Рыночный
• Метод сравнения продаж аналогичных объектов оценки
Затратный
• Метод стоимости замещения
• Метод восстановительной стоимости
• Метод исходных затрат
Доходный
• Метод расчета роялти
• Метод исключения ставки роялти
• Метод DCF
• Метод прямой капитализации
• Экспресс-оценка
• Метод избыточной прибыли
• Метод по правилу 25%
• Экспертные методы
У каждого метода есть своя область применения, свои достоинства и недостатки
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialCIO Summit 22/25
Стандарты оценки НМА
МСФО 38 «Нематериальные активы»
GAAP – для США
EVS 2000 – для Евросоюза
Стандарты оценки РФ
Утверждены ПП-519 от 6.07.2001
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialCIO Summit 23/25
Возвращаемся к BIA
Инициация проекта и получение одобрения топ-менеджмента
Формирование команды и планирование проекта
Сбор данных
Анализ данных
Документирование
Одобрение результатов топ-менеджментом
А затем реализация стратегии… BCM/управления ИБ
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialCIO Summit 24/25
Вопросы?
Дополнительные вопросы Вы можете задать по электронной почте [email protected]или по телефону: +7 495 961-1410
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialCIO Summit 25/25