Разработка стратегии информационной безопасности и управления рисками
Часть 1

Андрей Тимошенков
заместитель директора по развитию сервисов
компании Softline

Традиционно процессы ИБУР рассматривались в качестве функций отделов IТ и планировались соответственно при разработке стратегии  IТ. 

Однако,  поскольку процессы обеспечения безопасности   превращаются в один из важнейших элементов деятельности   по   поддержке бизнеса, в настоящее время во множестве  организаций  существует реальная необходимость в разработке отдельных независимых  от  IТ-стратегий ИБУР,       которые смогли бы наряду с      необходимым уровнем    защиты обеспечить  также надлежащую поддержку      бизнес-процессов компаний  и  их эффективное развитие.

При разработке стратегии ИБУР можно рекомендовать придерживаться поэтапного подхода. Разбив свою деятельность на ряд стадий с ясно очерченными задачами, сотрудники, ответственные за разработку и внедрение стратегии в компаниях, смогут более тщательно выполнить свою работу и не упустить из виду множество скрытых на этом пути препятствий, что в конечном счете позволит им продемонстрировать действительно ощутимые результаты. В первой части статьи будут рассмотрены два первых этапа – анализ бизнеса и деловой среды компании и формулирование стратегии.

Этап 1. Анализ бизнеса и деловой среды компании

На первом этапе при разработке стратегии ИБУР необходимо понять текущее состояние бизнеса организации и разработать профиль рисков компании.

Текущее состояние бизнеса
Понимание текущего состояния ведения бизнеса чрезвычайно важно в начале разработки стратегии, так как оно будет определять в дальнейшем способность организации выполнить разработанную стратегию. Если организация не имеет персонала, бюджета или заинтересованности в создании надежной и глубоко-эшелонированной системы защиты, стратегия ИБУР, безусловно, должна отражать эту ситуацию.

Совет
Финансовое состояние организации является одним из ключевых показателей текущего состояния ее дел:

• если наблюдается отрицательная динамика или отсутствие таковой, то руководителям службы ИБ лучше задержать на время внедрение расширенной стратегии и сосредоточить внимание на минимально необходимых требованиях;
• если в компании наблюдается рост финансовых показателей, то это может стать хорошей возможностью для реализации мощной стратегии ИБУР с целью дополнительного увеличения стоимости бизнеса.

Профиль рисков
Важнейшей информацией, на основе которой строится стратегия ИБУР, являются данные о текущих и принимаемых организацией рисках (так называемый риск-аппетит). Данная информация собирается и анализируется отделом ИБ и предоставляется руководству компании в виде так называемой карты рисков. При формировании "карты рисков" необходимо помнить, что обеспечение ИБ не может рассматриваться в отрыве от целей организации, а процессы ИБУР являются компонентами корпоративной системы управления рисками.

Замечание

• Корпоративная система управления рисками (ERM), если она внедрена в компании, должна в идеале определить "карту рисков". Если стратегия ИБУР при разработке учитывала результаты деятельности ERM, топ-менеджеры будут более лояльны при ее рассмотрении, сознавая, что стратегия не притянута с потолка, а, наоборот, стремится быть максимально интегрированной в существующие бизнес-процессы.
• При разработке стратегии необходимо знать структуру и величину текущего финансового бюджета. Распространенной ошибкой является ситуация, когда стратегия разрабатывается вообще без учета утвержденного на текущий финансовый год бюджета организации, основываясь зачастую на том предположении, что необходимые финансы можно будет запросить потом. Разумеется, стратегия не должна пункт за пунктом повторять текущий бюджет, но показать, как она учитывает требования финансового отдела, чрезвычайно важно уже на ранних стадиях – это даст сигнал руководству компании, что предлагаемая стратегия действительно жизнеспособна. Стратегия, разработанная без поддержки финансового директора, с очень большой вероятностью будет отвергнута еще до рассмотрения ее содержания.
• Бюджет на ИБ в компаниях, по разным оценкам, составляет 5–10% общего бюджета IТ, если прибавить сюда расходы на соответствие различным стандартам (законодательным, отраслевым и т.п.), так называемый Compliance, то бюджет безопасности составит до 10–13% общего бюджета IТ.
• Если содержание стратегии ИБУР выходит за рамки сферы IТ, необходимо учесть это и дополнить требования к бюджету, планируемому на реализацию стратегии.

Этап 2. Формулирование стратегии

Краткосрочный ежегодный и долгосрочный трехлетний план
Стратегическое управление, как правило, предполагает разработку так называемого скользящего трехлетнего плана высокого уровня, и следом за ним соответствующего оперативного годового плана. Такой подход принят во многих организациях, например при управлении финансами, и его же можно использовать при разработке стратегии ИБУР. Это позволит – при осознании того, что процессы ИБУР являются непрерывной и изменяющейся во времени деятельностью – тем не менее эффективно управлять ими, назначать четкие цели и задачи, которые могут и должны быть достигнуты каждый год. Организация при этом также сможет отслеживать изменения в текущем состоянии своих возможностей и прогнозировать свои потребности в области ИБУР на будущее.

Скользящий план ежегодно корректируется с учетом изменений в хозяйственной деятельности, а годовой план остается неизменным на период, в течение которого он действует.

Замечание

• На практике для осуществления стратегии ИБУР необходимо 30–36 месяцев (при условии, что все ресурсы в организации уже имеются и нормально функционируют).
• Капитальные и эксплуатационные расходы наиболее высоки в течение первого года реализации стратегии ИБУР, ко второму году они стабилизируются, а в третьем, как правило, растут соответственно изменениям.

Желаемое состояние после проекта
При разработке стратегии ИБУР важно детально описать желаемое состояние, в которое придут внутриорга-низационные процессы после внедрения стратегии ИБУР. При этом необходимо руководствоваться принципами управления, принятыми в данной конкретной организации. Лучший способ определить, чего организация хотела бы достичь по итогам выполнения стратегии, – это работать в непосредственном контакте с высшим управляющим звеном, понимая ожидания и цели топ-менеджеров в области ИБУР.

Однако часто бывает так, что руководящие сотрудники демонстрируют различное видение стратегии ИБУР и это зависит от того, с кем они общаются. Так, для внешних сторон (клиенты, партнеры, поставщики и т.п.) топ-менеджеры часто хотят поддержать чувство доверия и защищенности, и тогда можно подумать, что они сделают все от них зависящее для обеспечения информационной безопасности. В то же время, общаясь внутри организации, руководители часто бывают менее категоричны в отношении безопасности и говорят, что их вполне устроит уровень защиты, такой же как у их отраслевых конкурентов или может быть чуть-чуть повыше. В последнем случае организация и отдел ИБ часто могут пойти по пути слепого следования тем или иным стандартам безопасности, благо их сейчас великое множество, однако это совсем не будет означать одновременного повышения уровня защищенности организации.

В любом случае живое общение руководства организации и руководителя отдела ИБ на этой стадии чрезвычайно важно.

Совет

• Разработайте и проведите презентацию перед руководством компании нескольких вариантов реализации стратегии.
• Для обеспечения контроля над стоимостью и эффективностью каждого варианта стратегии разработайте ключевые показатели эффективности (KPI).

Наличие необходимого персонала
Ключевым элементом любой стратегии ИБУР является кадровое обеспечение. Чтобы не ошибиться и определить в стратегии те цели и задачи, которые организация сможет достичь, важно правильно учесть существующее штатное расписание и планируемые кадровые возможности организации по набору необходимого персонала. Множество компаний сталкиваются с ситуацией, когда у них на бумаге есть замечательные стратегии, в разработку которых вложено много сил и средств, но попросту нет персонала, чтобы их воплотить.

Как правило, при реализации стратегии ИБУР кадровый вопрос вызывает наибольшую обеспокоенность руководства на самой ранней стадии, при внедрении, когда потребности в персонале могут быть в несколько раз выше, чем на всех последующих (операционных) этапах.

Совет

• Выявляйте наличие или отсутствие необходимого для реализации стратегии персонала уже на этапе ее разработки.
• Учитывайте специфику имеющихся людских ресурсов. Так, сотрудники, имеющие частичную занятость в организации, например свободный график работы, должны в рамках стратегии привлекаться лишь на ограниченное время (желательно при этом, чтобы цифра процентного соотношения их временного участия была четко оговорена заранее, до утверждения стратегии).

О последующих этапах разработки стратегии
информационной безопасности и управления
рисками читайтевследующемномережурнала
"Информационная безопасность".