Управління безперервністю бізнесу в кібербезпеці
Безперервність діяльності — це здатність організації продовжувати надання товарів або послуг на прийнятних попередньо визначених рівнях після руйнівного інциденту.
Отже, у контексті кібербезпеки це стосується здатності організації продовжувати роботу після кібератаки.
ISO 22301:2019 «Безпека та стійкість — Системи управління безперервністю бізнесу — Вимоги» — це стандарт системи управління, опублікований Міжнародною організацією стандартизації, який визначає вимоги до планування, встановлення, впровадження, експлуатації, моніторингу, перегляду, підтримки та постійного вдосконалення документованого управління систем для захисту від руйнівних інцидентів, зменшення ймовірності виникнення, підготовки до них, реагування на них і відновлення після руйнівних інцидентів. Він призначений для застосування до всіх організацій або їх частин, незалежно від типу, розміру та характеру організації.
Що таке управління безперервністю бізнесу?
Планування на випадок кризи або катастрофи зазвичай означає впровадження стратегій, спрямованих на забезпечення безперервності бізнесу. Це включає розробку процедур, спрямованих на швидке відновлення нормального функціонування після подій такого роду.
Планування безперервності бізнесу, в основному, включає такі етапи:
- Виявлення та оцінка потенційних загроз безпеці, які можуть вразити основну інфраструктуру компанії.
- Встановлення цілей відновлення та проведення аналізу впливу на бізнес для оцінки можливих наслідків збоїв.
- Розробка методів, процедур та планів відновлення, спрямованих на швидке реагування на кризові ситуації, такі як програмні збої, кібератаки та витоки даних.
- Забезпечення ефективності планів реагування на кіберінциденти через регулярне їх тестування. У випадку збою важливо переконатися, що вони працюватимуть для підтримки та відновлення критично важливих для бізнесу послуг.
Структура управління безперервністю бізнесу
Організація повинна дотримуватися набору процедур, відомих як «структура безперервності бізнесу», щоб отримати принаймні мінімальний ступінь впевненості в тому, що вона зможе відновитися після кібератаки.
Є сім основних кроків в структурі BCM (Business Continuity Management). Розглянемо ці кроки та те, як вони можуть посилити кіберстійкість організації:
1. Стратегічне планування
2. Оцінка ризиків
3. Аналіз впливу на бізнес
4. Визначення стратегій безперервності бізнесу
5. Створення структури безперервності бізнесу
6. Програми підвищення обізнаності та навчання
7. Тренування, оцінка та технічне обслуговування
1. Стратегічне планування
Ключові стратегічні кроки:
1. Встановіть потребу в BCM (нормативні вимоги, галузь
передовий досвід, аудиторський звіт, стандарти порівняння).
2. Встановіть мету та цілі (стратегічні та операційні)
3. Створіть структуру безперервності бізнесу (обсяг, ролі та обов’язки)
4. Встановіть план реалізації, ресурси та терміни.
5. Отримайте схвалення керівництва та підтримку фінансування.
2. Оцінка ризиків
Це процес виявлення можливих загроз, які можуть вразити бізнес-процеси. Розуміння цих ризиків, що пов’язані з організацією, дозволяє вжити заходів для їх управління, мінімізації можливих наслідків та забезпечення безперервності у роботі під час кризи. Цей процес оцінки ризику включає наступні кроки:
- Класифікація ключових бізнес-активів.
- Оцінка ризиків для цих активів, що може включати аналіз вразливостей, які можуть вплинути на діяльність організації, такі як природні або техногенні катастрофи, порушення ланцюжків поставок, пандемії, технологічні або інфраструктурні збої тощо.
- Аналіз ризиків і визначення пріоритетів.
- Розробка плану зниження ризиків через впровадження відповідних засобів контролю.
- Оцінка ефективності контролю через тестування та періодичний огляд.
3. Аналіз впливу на бізнес
Це процес розуміння того, як втрата конкретної послуги або активу може вплинути на всю організацію. Він спрямований на встановлення взаємозв’язків між різними бізнес-процесами та операціями.
Визначення цілей відновлення часу також важливе у відшукуванні впливу на бізнес. Це означає встановлення оптимального часового проміжку, протягом якого бізнес-операції повинні відновити свою звичайну роботу після кіберінциденту.
4. Визначення стратегій безперервності бізнесу
Як ідентифікувати стратегії безперервності та відновлення?
1. Перегляньте вимоги до відновлення, визначені для кожної операційної зони
2. Визначте альтернативні стратегії безперервності бізнесу
3. Оцінка життєздатності альтернативних стратегій порівняно з результатами аналіз впливу на бізнес
4. Вирішувати проблеми ланцюга постачання, що впливають на стратегії відновлення
5. Визначте можливе страхове покриття від перерви в бізнесі
6. Визначте можливості технології відновлення після відмови (подвійний центр обробки даних)
7. Визначте стратегії відновлення даних, які відповідають вимогам RPO (Recovery point objective)
8. Перегляньте та оцініть можливості відновлення ланцюга постачання.
9. Аналіз витрат та вигод стратегії
10. Рекомендуйте стратегії та отримуйте схвалення
5. Створення структури безперервності бізнесу
Використовуйте затверджені стратегії, розроблені на попередньому кроці, щоб:
1. Задокументувати плани використання під час інциденту, які дозволять продовжувати функціонувати.
2. Інституціоналізація команд, дій та зовнішніх послуг
3. Ознайомте всіх співробітників із новими стратегіями та технологіями резервного копіювання та відновлення.
6. Програми підвищення обізнаності та навчання
Створити та підтримувати навчання та програми інформування, завдяки яким персонал може спокійно та ефективно реагувати на інциденти.
7. Тренування, оцінка та технічне обслуговування
Організація повинна впроваджувати та підтримувати програму тренувань і тестувань, щоб з часом перевірити ефективність своїх стратегій і рішень забезпечення безперервності бізнесу.
Вправи повинні відповідати таким критеріям:
1. Відповідно до цілей безперервності бізнесу
2. На основі відповідних сценаріїв, які добре сплановані з чітко визначеними цілями
3. Створення формалізованих звітів після тренувань
4. Виконується через заплановані проміжки часу
5. Сприяння постійному вдосконаленню
Якщо вам сподобалася стаття, внизу можна підтримати автора плесканням 👏🏻 Дякую за прочитання!
