Обеспечение информационной безопасности бизнеса
Шрифт:
На практике изменчивость системы обеспечения ИБ обусловлена факторами, связанными с реализацией трех процессов:
— вывода компонентов системы, цели деятельности которых (предназначение) исчерпаны, из эксплуатации;
— модернизации компонентов системы;
— интеграции в систему обеспечения ИБ новых компонентов.
Необходимость модернизации или замены старого оборудования на улучшенное новое диктуется двумя причинами:
— проблемами поддержки жизненного цикла (например, из-за прекращения поддержки каких-то продуктов);
— необходимостью компенсировать дополнительные риски, идентифицированные
Потребность в интеграции новых компонентов возникает, как правило, в связи с изменениями законодательной и иной нормативной базы, запуском нового вида бизнеса, потребности в безопасности которого не удалось обеспечить уже имеющимися средствами, а также вследствие существенной изменчивости любого другого вида.
Перечисленные три процесса одномоментно охватывают незначительную часть системы безопасности (ориентировочно 5–7 %) и находятся в разных фазах реализации. К тому же они в зависимости от потребностей перемещаются со временем по системе («плавают»). Проблема управления этими процессами в модели обеспечения ИБ (см. рис. 12) в основном отнесена к блоку «Оптимизация».
Очевидно, что для целей управления этими процессами должна существовать система оценки, обеспечивающая принятие адекватных решений. Теоретически она может быть достаточно хорошо формализована, но практически в этом нет потребности. Гораздо полезнее на практике оказывается наличие хорошо разработанного документа по стратегическим улучшениям ИБ в организации, содержащего четко сформулированные цели, которые нужно достичь, и систему критериев (приоритетов), которыми нужно руководствоваться при принятии адекватных решений.
Важнейшими из них должны быть критерии, обеспечивающие организационную, техническую и технологическую целостность системы безопасности в условиях изменчивости. Можно привести много примеров того, когда простое изъятие уже отработавшего свое компонента в системе приводило к нарушению ее целостности, так как изымаемый компонент создавал дополнительный функционал для других компонентов и это не было учтено.
Вообще, проблема обеспечения целостности системы обеспечения ИБ важна и актуальна сама по себе. Дело в том, что безопасность — единственный вид деятельности в организации, которым в той или иной мере должны заниматься все. Это ее свойство. Одновременно это создает высшему руководству иллюзии о возможности ее полной децентрализации, тем более что частично децентрализации всегда есть, особенно в части поддержки владения активами (ресурсами). Однако чем более децентрализуется система, тем больше утрачивается ответственность за конечный результат и тем больше вероятность образования в системе разрывов, создающих риски. Практика показывает, что наличие единого и сильного (в смысле прав и обязанностей, ответственности) центра управления является жизненно необходимым как с точки зрения достижимости требуемого результата, так и обеспечения эффективности деятельности.
Другой важнейшей для практики особенностью модели обеспечения ИБ организации является то, что фактически она реагирует на возникающую изменчивость внутри и вне организации и автоматически локализуется на выявленной изменчивости. Нет никакой практической необходимости в тотальной реализации всех ее процессов применительно ко всей системе на постоянной основе. Действительно, вновь идентифицированный риск требует детального анализа и оценивания, равно как и иных, предусмотренных моделью процедур. Однако в дальнейшем значимым факторов является уже не сам риск (он уже обработан), а то, что с ним происходит: он растет; остается неизменным; убывает.
В этой связи существенно упрощаются оценочные процедуры — от оценки рисков можно перейти к риск-ориентированным оценкам, рассмотренным подробно в следующих главах. Кроме того, после идентификации новых рисков можно перейти к оценочным технологиям, основывающимся на оценках параметров реально произошедших рисковых событий. Примером таких технологий является оценка по методу VAR (value at risk, первоисточник с описанием метода в [1]), т. е. оценка величины понесенных потерь за некоторый фиксированный интервал времени. Этот метод в силу его простоты и наглядности имеет очень большое распространение.
Широко используются также оценочные системы, основанные на измерениях различных функциональных параметров, прямо или косвенно характеризующих значимые для безопасности состояния объектов и систем. Эти показатели называют ключевыми индикаторами риска (КИР). Превышение порогов по КИР либо возникновение нежелательных трендов инициирует уже более детальный анализ и оценивание причин этих явлений. Одним из КИР может служить, например, количество зафиксированных нарушений персоналом регламентов обработки значимых активов за один день по всей организации.
Таким образом, говоря о практической реализации модели ИБ, организации нужно иметь в виду следующее:
— она локализуется в области возникновения и распространения изменчивости;
— ее процессы реализуются каждый раз с разной степенью детализации в зависимости от возникающей потребности;
— для достижения желаемого результата может использоваться широкий спектр оценок, характеризующих риск;
— заложенная в модели цикличность не является постоянной ни по структуре цикла, ни по времени его реализации, она существенно зависит от реализовавшихся условий запуска и параметров внешних по отношению к модели процессов организации, например того же инвестиционного процесса;
— одномоментно в стадии реализации в зависимости от сложившейся ситуации может быть несколько еще не завершенных циклов, находящихся на разных фазах реагирования на инициировавшие эти циклы проблемы; наиболее значимая из них будет автоматически (в соответствии с оценкой) получать приоритет по использованию общих ресурсов и процедур.
Главный практический результат реализации модели обеспечения ИБ в организации состоит в том, что деятельность безопасности получает качественную объективную основу, становится существенно более прозрачной и предсказуемой для высшего руководства и бизнеса организации как по ее потребностям (инвестициям в безопасность), так и по ожидаемым результатам. Она создает условия для «естественной» интеграции безопасности в систему общекорпоративных менеджментов и бизнес.
2. Существующие модели менеджмента (управления), применимые для обеспечения информационной безопасности бизнеса
Если организация располагает неограниченным ресурсом, то проблемы управления для обеспечения информационной безопасности ее бизнеса не существует. Если это не так и ресурс имеет ограничения, то тогда проблемы управления актуальны.
2.1. Модели непрерывного совершенствования