Инструмент эффективного управления информационной безопасностью

Качество должно быть заложено в технологии,
а не доказано контролем

Э. Деминг

Сергей Романовский
директор департамента информационной безопасности компании АМТ-ГРУП

Реализация интегрированной модели управления, построенной на базе управления рисками безопасности, позволит менеджерам:

• систематизировать процессы обеспечения ИБ;
• расставить приоритеты организации в области безопасности;
• снизить затраты на эксплуатацию компонентов системы безопасности;
• управлять информационной безопасностью организации в рамках единой корпоративной политики;
• управлять рисками безопасности и их своевременным выявлением;
• оптимизировать процессы управления;
• повысить эффективность функционирования систем управления и защищенности информационных систем.

Система управления информационной безопасностью (СУИБ) на сегодняшний день является, пожалуй, единственным инструментом, дающим возможность управлять безопасностью при совместном использовании информации: осуществлении электронных операций, реализации механизмов электронной коммерции, а также снижения информационных рисков до приемлемого для организации уровня.

Основной целью СУИБ является обеспечение возможности достижения бизнес-задач, защита интересов организации, клиентов, партнеров, а также сотрудников от возможного нанесения им материального, морального или другого ущерба посредством случайного или преднамеренного неправомерного вмешательства в процесс функционирования корпоративной информационной системы или несанкционированного доступа к циркулирующей в ней информации и ее незаконного использования.

Интегрированная система управления

В процессе реализации модели СУИБ возникает проблема интеграции новой модели управления в существующую среду управления организацией. Особенно остро данная проблема затрагивает организации, владеющие системой управления качеством, ИТ-сервисами, обеспечением бесперебойной деятельности. Решением данной задачи может служить реализация интегрированной системы управления (ИСМ), представляющей собой модель взаимодействия ключевых аспектов управления различных систем. Данная модель рассматривается не только как средство для решения локальных задач по управлению и обеспечению ИБ, но и как неотъемлемая часть общей интегрированной системы менеджмента организации.

Интегрированная система менеджмента базируется на требованиях группы стандартов ISO 9000 в области управления качеством, детализируя их с помощью применения групп технологических стандартов, таких как ISO 27000 (системы управления ИБ), ISO 20000 (системы управления ИТ-сервисами) и BS 25999 (системы управления обеспечением непрерывности бизнеса), что отражено на рис. 1.

Преимущества для бизнеса

Для построения интегрированной системы управления используется процессный подход, направленный на постоянное совершенствование системы менеджмента, что является требованием международных стандартов систем управления. Поскольку идея непрерывного совершенствования заложена во все перечисленные системы управления, входящие в ИСМ, реализация модели позволяет произвести совмещение ряда процессов, являющихся общими для различных систем управления (планирование, анализ со стороны руководства, управление документацией, подготовка кадров, обучение, внутренние аудиты и т.п.). Это, в свою очередь, обеспечивает улучшение таких показателей систем управления, как совокупная стоимость владения и совокупная стоимость внедрения, а также увеличивает прозрачность функционирования и управляемость различных систем управления. Таким образом, использование интегрированного подхода к построению СУИБ позволяет не только решить локальные задачи по обеспечению и управлению ИБ, но и заложить основу для получения ряда преимуществ для бизнеса, в частности:

• улучшение контроля качества системы;
• оперативность и согласованность действий между организацией и поставщиком на изменения рынка;
• создание доверия основных заинтересованных сторон к результативности и эффективности организации;
• использование процессного и системного подходов, которые наилучшим образом приводят к достижению желаемых результатов;
• повышение качества процессов;
• повышение производительности;
• снижение затрат и ресурсов, их оптимизация и сокращение времени цикла за счет эффективного использования ресурсов;
• рост конкурентоспособности благодаря улучшению возможностей организации;
• завоевание международного признания;
• минимизация  непредвиденных финансовых и моральных потерь в случае кризиса;
• повышение производственной дисциплины;
• вовлечение персонала в работу по качеству, заинтересованность персонала в качестве продукции;
• улучшение понимания целей и задач организации персоналом, лучшее его мотивирование и большая ответственность за собственные результаты;
• улучшение взаимосвязи между персоналом и руководством;
• создание комфортного психологического климата в компании;
• инвестиционная   привлекательность организации;
• демонстрация производственной стабильности;
• увеличение степени доверия со стороны представителей надзорных органов и соответственно возможность уменьшения объема инспекционных проверок;
• соответствие требованиям законодательных норм и правил.

Возможная реализация модели управления организацией, опирающаяся на рекомендации международных стандартов, частью которой является создаваемая СУИБ, представлена на рис. 2.

Уровни управления и реализации сервисов

Интегрированная система менеджмента предприятия, частью которой является СУИБ, состоит из нескольких уровней управления и реализации сервисов.

Рассмотрим каждый из уровней более подробно. Стратегический уровень.

На данном уровне определяется набор регламентирующих документов (международных стандартов), на основе которых будет происходить построение интегрированной системы менеджмента, а также описываются требования и политика ИСМ.

Корпоративный уровень. На данном уровне определяются цели, которые описываются в виде политик, корпоративных стандартов и процедур для специализированных систем менеджмента, таких как СУИБ, СУОНБ, СУИТС.

Уровень управления. На данном уровне производится конкретизация целей, определенных на корпоративном уровне, и определяется набор правил и действий по достижению поставленных целей.

Уровень обеспечения. На данном уровне производится реализация организационных и технических мероприятий, направленных на достижение определенных целей и снижение рисков, влияющих на активы.