5 Понимание рисков непрерывности и их влияния на цели деятельности организации и восстановление защитных мер обеспечения информационной безопасности информационных и телекоммуникационных систем

5.1 Виды риска, которые необходимо идентифицировать в контексте обеспечения непрерывности в информационной сфере организации, должны учитывать изменения:

- бизнес-процесса или деятельности организации, включая риски в пределах от катастрофического отказа до незначительного нарушения;

- зависимостей, включая риски, последствия которых колеблются в пределах от потери основного поставщика товаров или провайдера услуг до временного сбоя информационного потока от другого бизнес-процесса;

- оборудования;

- строений или среды;

- информационной технологии или системы;

- процессов менеджмента и защитных мер ИБ, включая обеспечение таких характеристик, как конфиденциальность, целостность и доступность;

- проектов (планов).

Все идентифицированные риски должны быть указаны в плане обеспечения непрерывности в информационной сфере организации.

5.2 Для каждого риска, который идентифицирован как значимый, может быть разработан документированный профиль риска, определяющий:

- характер риска и источники его происхождения (природа риска);

- правдоподобность/вероятность возникновения риска, включая подробности о любых обстоятельствах, в которых правдоподобность/вероятность риска может меняться;

- описание потенциального воздействия риска на бизнес, включая оценки расходов для бизнеса от непринятия мер для предотвращения или уменьшения этого воздействия;

- подробности о возможных признаках возникновения риска и о способах обнаружения этих признаков;

- оценку возможности/вероятности обнаружения риска и меры, которые могут быть приняты для повышения степени этой вероятности;

- подробности о существующих защитных мерах, предназначенных для мониторинга признаков и условий наступления рискового события, предотвращения его возникновения или снижения его воздействия, включая оценки расходов на реализацию и поддержание защитных мер;

- предложения, касающиеся дополнительных защитных мер или изменений существующих защитных мер для предотвращения возникновения рискового события и уменьшения его воздействия, включая подробности о необходимых средствах, оборудовании и персонале, оценке времени, усилий и расходов, необходимых для реализации и поддержания дополнительных защитных мер;

- предполагаемую экономию, получаемую вследствие реализации предложенных защитных мер в случае возникновения рискового события.

Формализация профиля рисков обеспечивает основу для анализа затрат и выгод, которая может служить основанием для принятия решений о том, какие действия следует предпринять в рамках мониторинга риска, модификации риска, передачи риска и мероприятий, связанных с планированием обеспечения непрерывности бизнеса.

5.3 В цепом обеспечение непрерывности в информационной сфере организации должно быть основано на понимании потенциальных рисков и их влияния на достижение целей деятельности организации. На этапах восстановления штатной деятельности после ЧС организация может пойти на существенные риски, не компенсированные мерами обеспечения ИБ ИТС в случаях, если последствия невозможности восстановления той или иной деятельности сопряжены с существенными потерями для организации.

Потери в информационной сфере (в части персонала, управления или компонентов инфраструктуры) обычно ведут к утрате возможности эксплуатации и управления информационной инфраструктурой организации с последующим ухудшением или утратой критических информационных сервисов/приложений и данных. Степень воздействия этой потери на организацию зависит от вида деятельности организации.

5.4 Необходимо установить требования ко времени восстановления информационных сервисов и мер обеспечения ИБ ИТС, значимых для реализации критических видов деятельности организации.

5.5 Необходимо установить требования к актуальности данных, используемых при восстановлении информационных сервисов и мер обеспечения ИБ ИТС. Требования к актуальности данных, используемых при восстановлении мер обеспечения ИБ ИТС, должны содержать порядок определения важности информации о конфигурации системы и используемых мерах обеспечения ИБ ИТС.

Невозможность получения актуальной информации о конфигурации и используемых мерах обеспечения ИБ ИТС может создать риски прерывания деятельности организации. Указанные факторы рисков должны быть учтены в рамках менеджмента непрерывности в информационной сфере организации.

Вопросы получения актуальной информации о конфигурации и используемых мерах обеспечения ИБ ИТС должны быть рассмотрены а контексте:

- требований к устойчивости и доступности ИТС;

- основных поставщиков и привлекаемых сторон;

- аппаратных и программных активов;

- хранения;

- режимов резервирования;

- обучения персонала;

- размещения зданий, резервных площадок (помещений) и производственного оборудования;

- передачи данных;

- архивирования.