Ключевые составляющие внедрения процессного подхода в обеспечении информационной безопасности

Александр Бондаренко
CISA, CISSP, Генеральный директор R-Vision

По данным на 2012 г. (более свежие данные пока не опубликованы) во всей России насчитывалось всего 27 сертификаций. Для сравнения: в США – 415, Великобритании – 1701, Китае – 1490, Японии – 7199. Конечно, сертификация не показывает всю картину, и количество организаций, которые стремятся и реализуют лучшие практики в области менеджмента ИБ, значительно превосходит указанные официальные цифры. Тем не менее, рискну предположить, что в общей массе количество компаний, перестраивающих свою деятельность в области обеспечения ИБ на рельсы процессного подхода, невелико. Отчасти это связано с тем, что традиционные подходы в обеспечении безопасности строились на принципах, что называется, чек-листа, то есть вся безопасность выстраивалась путем выполнения определенного набора пунктов, содержащихся в нормативных требованиях регуляторов либо общепризнанных рекомендациях. Однако реалии современного бизнеса приводят к тому, что деятельность по обеспечению ИБ внедряется в общую корпоративную политику, основанную на процессном подходе, да и динамика изменения угроз требует гибко и быстро реагировать на любые изменения, а это опять же в большей степени возможно именно при реализации процессного подхода.

Критерии процессного подхода

Процессный подход предполагает, что вся деятельность (или бОльшая ее часть) по обеспечению ИБ оформляется в логические блоки, каждый из которых имеет четкие цели реализации, ресурсы, входные и выходные данные (могут использоваться другими процессами), наборы утвержденных для выполнения процедур, метрики эффективности и др. атрибуты, характерные для любого бизнес-процесса.

Наиболее четко этот подход проявился в методологии Cobit. Хотя этот документ и относится в первую очередь к управлению IТ, но тем не менее предложенная в нем модель может быть с успехом реализована и для ИБ. Как можно увидеть, в Cobit вся деятельность по управлению разбивается на 4 блока и в общей сложности 32 процесса.

Несмотря на то, что для успешного внедрения процессного подхода в управлении ИБ потребуется уделить внимание большому количеству аспектов, в этой статье мне бы хотелось остановиться на четырех, на мой взгляд, наиболее важных.

Наличие ответственного лица

У каждого внедряемого процесса в обязательном порядке должно быть ответственное лицо (владелец), и это лицо должно быть заинтересовано в результате, который получается на выходе процесса. Дело в том, что с большой долей вероятности реализация процесса потребует в том или ином объеме вовлечение сотрудников нескольких подразделений (IТ, юридическая служба, бизнес-подразделения, бухгалтерия, кадровая служба и проч.), для которых участие в дополнительных активностях – дополнительная нагрузка, которую они, скорее всего (особенно поначалу), постараются проигнорировать. В этом как раз и состоит главная задача ответственного лица: не дать процессу заглохнуть. Этот человек должен, с одной стороны, стараться активно вовлечь необходимые ресурсы в процесс (выступить, как это сейчас модно говорить, фасилитатором), а с другой – применить административное давление для достижения результата. Для любого процесса девиз "в движении жизнь" не пустой звук, а процесс без владельца с практически стопроцентной вероятностью остановится и впоследствии полностью исчезнет из корпоративной практики.

Готовность к изменению

Внедрение любых новых подходов предполагает наличие готовности к изменению со стороны компании/ответственных лиц. А эта готовность в свою очередь достигается при наличии нескольких факторов:

1. Понимание всех отрицательных сторон текущего положения, то есть понимание среди ответственных лиц, принимающих решения, того, что текущее положение не удовлетворяет потребностям организации, и необходимы изменения. Покажите руководству недостатки текущего подхода, найдите факты, указывающие на негативный эффект, оказываемый на организацию текущим положением вещей.
2. Желание и возможность менять сложившуюся практику, во многом зависящее от понимания того, что и как необходимо делать и какого рода инструменты для этого можно применять. Если мы говорим о реализации процессного подхода в ИБ, то на этот счет существует уже немалое количество полезных практик, в том числе и упомянутые в этой статье (ISO 27001, Cobit 5 и др.). При наличии такой возможности вы можете привлечь стороннего консультанта, который поможет подобрать методы и инструменты, подходящие именно вашей организации.
3. Еще стоит отметить, что полученный опыт необходимо стараться использовать снова и снова как залог успешности реализуемых изменений. Наличие успешного опыта серьезно повышает степень готовности руководства и сотрудников организации к принятию планируемых изменений. Совершенно ясно, что нельзя в одночасье полностью перейти на новую схему организации деятельности по обеспечению ИБ, но добившись успеха по нескольким направлениям, необходимо применять полученный опыт для расширения области применения новых методов работы.

Метрики и оптимизация

Метрики – очень важная составляющая любого процесса, они способы не только показать, добиваетесь ли вы поставленной цели, но и насколько эффективно это делается с точки зрения имеющихся ресурсов. Кроме того, метрики могут быть показателем совершенствования и оптимизации деятельности в рамках процесса. Здесь как в спорте: спортсмены всегда контролируют свои текущие достижения, ставят перед собой новые требования и планомерно идут к их достижению.

Давайте, к примеру, рассмотрим процесс по управлению инцидентами ИБ. Одной из возможных метрик в данном случае может быть среднее время обработки инцидента соответствующего уровня критичности. Более того, для разных уровней критичности инцидента можно задавать отдельные временные метрики.

Если же мы снова взглянем на Cobit, то здесь мы увидим уже ставшую известной модель зрелости процессов, состоящую из 5 уровней, каждому из которых присущи определенные характеристики процесса (рис. 3).

Такая модель позволяет не только отслеживать текущее состояние процесса, но и планировать его совершенствование.

Автоматизация

Если мы посмотрим на любой бизнес-процесс в современной организации, то практически всегда мы увидим средства его автоматизации (бухгалтерские системы, CRM, Helpdesk, системы приема и обработки заказов, системы складского учета и пр.), и это понятно, бизнес постоянно требует наращивать скорость и повышать эффективность труда, и все это в условиях ограниченных человеческих ресурсов. А это значит, что реализация процессно-ориентированной системы обеспечения ИБ будет сопряжена с серьезными трудностями, если заранее не предусмотреть использование технологических решений, позволяющих автоматизировать реализацию процессов. Надо отметить, что до сих пор во многих аспектах управления ИБ превалирует активное использование ручных или полуручных методов, вроде использования Excel-файлов для хранения сведений о зафиксированных инцидентах, моделирования угроз, отслеживания реализации планов по обеспечению безопасности и пр. К сожалению, это обусловлено в том числе и тем, что на рынке решений для автоматизации процессов управления ИБ не так уж и много, хотя они, безусловно, есть. Такого рода решения на западном рынке относят к классу GRC, хотя это и довольно широкая группа, включающая в себя в том числе решения корпоративного уровня, в которых ИБ уделяется лишь очень небольшая часть.

Представленные составляющие при должном к ним внимании могут обеспечить львиную долю успеха в реализации процессного подхода, что в современных реалиях представляется абсолютно необходимым условием эффективного обеспечения ИБ.