5 Понимание рисков непрерывности и их влияния на цели деятельности организации и восстановление защитных мер обеспечения информационной безопасности информационных и телекоммуникационных систем ГОСТ Р 53131-2008

Нормативная документация -> ГОСТ Р 53131-2008 Защита информации. Рекомендации по услугам восстановления после чрезвычайных ситуаций функций и механизмов безопасности информационных и телекоммуникационных технологий. Общие положения ->

5 Понимание рисков непрерывности и их влияния на цели деятельности организации и восстановление защитных мер обеспечения информационной безопасности информационных и телекоммуникационных систем

5.1 Виды риска, которые необходимо идентифицировать в контексте обеспечения непрерывности в информационной сфере организации, должны учитывать изменения:

— бизнес-процесса или деятельности организации, включая риски в пределах от катастрофического отказа до незначительного нарушения;

— зависимостей, включая риски, последствия которых колеблются в пределах от потери основного поставщика товаров или провайдера услуг до временного сбоя информационного потока от другого бизнес-процесса;

— оборудования;

— строений или среды;

— информационной технологии или системы;

— процессов менеджмента и защитных мер ИБ, включая обеспечение таких характеристик, как конфиденциальность, целостность и доступность;

— проектов (планов).

Все идентифицированные риски должны быть указаны в плане обеспечения непрерывности в информационной сфере организации.

5.2 Для каждого риска, который идентифицирован как значимый, может быть разработан документированный профиль риска, определяющий:

— характер риска и источники его происхождения (природа риска);

— правдоподобность/вероятность возникновения риска, включая подробности о любых обстоятельствах, в которых правдоподобность/вероятность риска может меняться;

— описание потенциального воздействия риска на бизнес, включая оценки расходов для бизнеса от непринятия мер для предотвращения или уменьшения этого воздействия;

— подробности о возможных признаках возникновения риска и о способах обнаружения этих признаков;

— оценку возможности/вероятности обнаружения риска и меры, которые могут быть приняты для повышения степени этой вероятности;

— подробности о существующих защитных мерах, предназначенных для мониторинга признаков и условий наступления рискового события, предотвращения его возникновения или снижения его воздействия, включая оценки расходов на реализацию и поддержание защитных мер;

— предложения, касающиеся дополнительных защитных мер или изменений существующих защитных мер для предотвращения возникновения рискового события и уменьшения его воздействия, включая подробности о необходимых средствах, оборудовании и персонале, оценке времени, усилий и расходов, необходимых для реализации и поддержания дополнительных защитных мер;

— предполагаемую экономию, получаемую вследствие реализации предложенных защитных мер в случае возникновения рискового события.

Формализация профиля рисков обеспечивает основу для анализа затрат и выгод, которая может служить основанием для принятия решений о том, какие действия следует предпринять в рамках мониторинга риска, модификации риска, передачи риска и мероприятий, связанных с планированием обеспечения непрерывности бизнеса.

5.3 В цепом обеспечение непрерывности в информационной сфере организации должно быть основано на понимании потенциальных рисков и их влияния на достижение целей деятельности организации. На этапах восстановления штатной деятельности после ЧС организация может пойти на существенные риски, не компенсированные мерами обеспечения ИБ ИТС в случаях, если последствия невозможности восстановления той или иной деятельности сопряжены с существенными потерями для организации.

Потери в информационной сфере (в части персонала, управления или компонентов инфраструктуры) обычно ведут к утрате возможности эксплуатации и управления информационной инфраструктурой организации с последующим ухудшением или утратой критических информационных сервисов/приложений и данных. Степень воздействия этой потери на организацию зависит от вида деятельности организации.

5.4 Необходимо установить требования ко времени восстановления информационных сервисов и мер обеспечения ИБ ИТС, значимых для реализации критических видов деятельности организации.

5.5 Необходимо установить требования к актуальности данных, используемых при восстановлении информационных сервисов и мер обеспечения ИБ ИТС. Требования к актуальности данных, используемых при восстановлении мер обеспечения ИБ ИТС, должны содержать порядок определения важности информации о конфигурации системы и используемых мерах обеспечения ИБ ИТС.

Невозможность получения актуальной информации о конфигурации и используемых мерах обеспечения ИБ ИТС может создать риски прерывания деятельности организации. Указанные факторы рисков должны быть учтены в рамках менеджмента непрерывности в информационной сфере организации.

Вопросы получения актуальной информации о конфигурации и используемых мерах обеспечения ИБ ИТС должны быть рассмотрены а контексте:

— требований к устойчивости и доступности ИТС;

— основных поставщиков и привлекаемых сторон;

— аппаратных и программных активов;

— хранения;

— режимов резервирования;

— обучения персонала;

— размещения зданий, резервных площадок (помещений) и производственного оборудования;

— передачи данных;

— архивирования.

Далее >>>