JetHabr Mar 5 at 14:46

Разбираемся в BIA: популярные вопросы и неочевидные кейсы

9 min

1.6K

Инфосистемы Джет corporate blogInformation Security*

Comments 4

Shaman_RSHU Mar 5 at 20:50

Теория расписана отлично. Приведите хотя бы несколько шаблонов, по которым можно провести BIA.

JetHabr Mar 6 at 17:39

Спасибо за вашу оценку. Тема с выбором инструмента для проведения BIA заслуживает отдельного поста :) но условно их можно разбить на 3 группы:

База – великий и ужасный Excel, отлично кастомизируются прямо в процессе BIA и бесплатны. В первые итерации это точно лучший инструмент. Из минусов - долгая обработка результатов. Шаблонов в открытом доступе очень много, например:

https://csrc.nist.gov/files/pubs/sp/800/34/r1/upd1/final/docs/sp800-34-rev1_bia_template.docx
https://www.cms.gov/Research-Statistics-Data-and-Systems/CMS-Information-Technology/InformationSecurity/Downloads/Business-Impact-Analysis-BIA-Process-and-Template.docx
https://www.england.nhs.uk/wp-content/uploads/2023/04/part-1-b-business-impact-analysis-templates.xlsm

Системы класса GRC. Зачастую они имеют модуль управления непрерывностью. Удобны тем, что всё в одном месте, минусы – невозможна (или очень долгая) кастомизация, цена.
Самописные системы. Работал с системой управления непрерывностью, сделанной на базе Jira, и по мере накопления данных это было очень круто. Огромное количество информации для принятия управленческих решений. Из минусов – затраты на разработчиков. Подходит скорее для очень крупных компаний.

wmgeek Mar 6 at 12:47

Я бы рекомендовал ознакомить бизнес с базовыми понятиями теории надежности систем, до того как заполнять опросник, иначе они стараются всесделать Mission Critical, как вы и заметили. Со временем, это можно откалибровать, но желательно понимать разницу между "исправной" и "работоспособной" системой. Очень редко вижу когда бизнес процессы связываются с конкретными функциями системы. Часто ERP - наше все, CRM - критично, Payroll - тоже. Хотя по факту ночью ERP нам не нужна, а Payroll вообще считают два раза в месяц и в остальных случая можно было бы и на листочке обойтись. А вот про DMS - соглашусь, с какогото момента это Mission Critical, как и SharePoint.

JetHabr Mar 6 at 17:40

Спасибо! Полностью согласен, ключевая роль выделенного эксперта по непрерывности в ходе интервью – это как раз донести до бизнеса разницу между «сломалось, придется задержаться, чтобы доделать» и «случилась катастрофа, в приоритете самое критичное». К сожалению, всё это часто приходится доносить в рамках 1-2 встреч. При этом я сторонник того, что в первых итерациях BIA заполнение опросника должно быть только очным, иначе 100% ресурсов компании окажутся MC :)

P.S. Если говорить о Payroll, то усложнение BIA включает в себя вопросы пиковой нагрузки и плавающее RTO, когда мы сравниваем потенциальные затраты на возможность восстановления бухгалтерских систем в считанные часы с концентрацией риска недоступности систем именно в день выплат. Решение в таком случае за владельцем бюджета.