Выстраивание работы ИТ-служб с ориентацией на оказание круга услуг бизнес-заказчикам и внешним клиентам, причем с опорой на процессный подход, уже стало стандартом де-факто в области управления ИТ-департаментами, а книги ITIL успели завоевать репутацию «классики» ИТ-менеджмента. Можно ли выстроить аналогичным образом работу служб информационной безопасности? Корректен ли такой подход в принципе и как его реализовать на практике?
Безопасность как процесс
«Функциональный подход уже не дает той эффективности, которая раньше считалась нормой. Кроме того, растет конкуренция: тяжеловесных лидеров, «старых китов» вовсю подпирают молодые агрессивные игроки, которые приходят на рынок не только с новыми технологиями, но и с новыми подходами к управлению. Если вы стремитесь быть «на гребне волны», то необходимо выстраивать управление службой ИБ на основе процессного подхода, разумеется, при условии, что эта служба состоит более чем из одного-двух сотрудников», — считает Юрий Лысенко, начальник управления информационной безопасности департамента защиты бизнеса банка «Хоум Кредит энд Финанс».
По его убеждению, служба ИБ должна быть встроена в процессы управления, интегрирована с ними: «Если она не видит и не знает происходящих процессов, начиная с кадровых вопросов и заканчивая процедурами, происходящими в ИТ, то она мало чего стоит». В свою очередь, руководителю, отвечающему за ИБ, необходимо участвовать в процессах, происходящих в организации, иногда даже возглавляя их, если это необходимо для обеспечения информационной (и не только) безопасности на всех этапах, начиная от разработки и заканчивая внедрением и последующим выводом из эксплуатации и уничтожением тех или иных процессов и систем. «Нужно не только смотреть на свой участок работы, но и понимать архитектуру решений и бизнес-требования, а также влиять на них, если видишь, что решение может быть неверным или неоптимальным», — уверен Лысенко.
«Ориентация подразделения ИБ на предоставление бизнесу качественных услуг по управлению рисками ИБ, обеспечение соответствия требованиям (нормативным и контрактным) по ИБ и организации процессов ИБ является важной частью подхода к корпоративному управлению и интеграции функции информационной безопасности в общую структуру бизнеса компании, — добавляет Константин Коротнев, менеджер по информационной безопасности компании «Эльдорадо». — Для бизнес-подразделений информационная безопасность становится одной из потребляемых услуг, направленной на повышение надежности и безопасности бизнеса и снижение издержек, связанных с рисками ИБ. При этом защита информационных активов компании, владельцами которых являются бизнес-подразделения, становится услугой, предоставляемой им подразделением ИБ».
«Такой подход корректен для любого сервисного подразделения, в том числе для подразделения ИБ, — уверен Андрей Чахеев, руководитель департамента ИБ банка «Уралсиб». — Выстраивать процессный подход необходимо — это даст в будущем возможность четко понимать, каким образом изменяются ваши процессы, какие из них требуют оптимизации, а какие являются наиболее эффективными».
По его словам, подразделение ИБ этого банка перешло на сервисную модель предоставления услуг четыре года назад. Оно оказывает бизнес-подразделениям 11 сервисов ИБ. Все они описаны, детализированы, для каждого сервиса имеются свои метрики, за каждым сотрудником службы ИБ закреплены роль и доля участия в том или ином сервисе, рассчитаны себестоимость сервисов и тарифы, определены KPI, с помощью которых можно отслеживать соответствие сервиса закрепленному в SLA уровню.
«Конечно, результатом деятельности подразделения ИБ не может быть набор услуг, — отмечает Чахеев. — Все оказываемые подразделением услуги в конечном счете направлены на защиту активов организации, на предотвращение финансового и репутационного ущерба, поэтому для бизнес-подразделений важна разумная уверенность в том, что уровень рисков ИБ приемлем для бизнеса. А если рассматривать с точки зрения сервисной модели предоставления услуг, то результатом деятельности службы ИБ является выполнение зафиксированного в SLA уровня сервиса».
«Многие организации забывают, что безопасность не заканчивается установкой системы защиты. Система, обеспечивающая информационную безопасность организации, должна постоянно эволюционировать вместе с актуальными угрозами. Иначе говоря, безопасность — это постоянный процесс, а процесс как раз и требует постоянного или периодического выполнения определенных действий, которые можно реализовывать в виде услуги ИБ. Среди подобных услуг могут быть и те, что предоставляются внутренними подразделениями, и услуги от внешних поставщиков. Каким образом распределить, что и кому доверить, — это зависит от модели угроз конкретных предприятий», — добавляет Олег Шабуров, руководитель группы ИБ компании Symantec в России и СНГ.
Как это выглядит на практике
Можно ли применять в службах ИБ те же методики, что используются в ИТ-службах (например, ITIL/ITSM)? «Почему же нельзя? — удивляется Лысенко. — В этих документах описан клиентоориентированный подход в системе управления ИТ-услугами. Естественно, они достаточно абстрактны, но дают возможность использовать их в любой сфере деятельности ИТ. В сфере ИБ есть свои требования и стандарты, такие как ISO 27001, 27002, 17799, PCI DSS, СТО БР и другие, менее известные и узкоспециализированные. Все эти документы так или иначе пересекаются и дополняют друг друга».
К услугам ИБ, как и к другим услугам, связанным с ИТ, могут быть успешно применены рекомендации ITSM — например, по управлению уровнем услуги и мониторингу основных ее параметров, формализация которых производится при заключении SLA с бизнес-подразделениями, уверен Коротнев: «Для услуги ИБ такими параметрами являются обеспечение конфиденциальности, целостности и доступности. Для реализации комплексной системы управления информационной безопасностью в соответствии с лучшими практиками управления ИБ, изложенными в стандартах серии ISO 27000, необходимо использовать цикл Деминга и процессный подход».
При определении списка процессов, которые в службе ИБ следует выстроить в первую очередь, Чахеев рекомендует исходить из результатов анализа рисков ИБ в конкретной организации: «Обычно наиболее критичны процессы управления правами доступа, обеспечения конфиденциальности и управления инцидентами ИБ. Это базис, на основе которого необходимо в целом выстраивать процесс обеспечения ИБ. Естественно, нужна и детализация процессов внутри службы, чтобы понимать, какие из них низкоэффективны, какие требуют больших трудозатрат при небольшой отдаче, какие основаны на «мартышкином труде» и требуют автоматизации. Если мы в дальнейшем заботимся о повышении качества и снижении стоимости сервиса, то разрабатываем план оптимизации процессов — от каких-то отказываемся, какие-то отдаем на аутсорсинг, какие-то автоматизируем».
Коротнев из наиболее критичных процессов предлагает выделять управление доступом, управление рисками ИБ, анализ эффективности ИБ, аудит процессов ИБ, обеспечение непрерывности ИТ-сервисов и резервное копирование, а также управление инцидентами ИБ. «Все эти процессы требуют формализации, детального описания и вовлечения сотрудников различных подразделений, — поясняет Коротнев. — Кроме того, процессный подход позволяет организовать передачу отдельных процессов ИБ на аутсорсинг, поскольку дает возможность четко разграничить ответственность сторон, опираясь на формализованную модель процесса с указанием его входов, выходов, необходимых ресурсов, документации и связей с другими процессами управления ИБ и ИТ».
Шабуров советует также не забывать о регулярной профессиональной переподготовке служб ИБ (чтобы они не теряли адекватности в анализе ситуации и профессионально реагировали на инциденты — так как сейчас вопрос обычно состоит не в том, произойдет ли инцидент, а в том, когда это будет и насколько оперативно и грамотно на него среагирует компания) и о повышении знаний об ИБ у обычных пользователей.
Применение процессного подхода к реализации процессов управления ИТ и ИБ, как отмечает Коротнев, позволяет выстроить интегрированную систему управления ИТ-рисками, объединяющую в себе процессы управления рисками ИБ (в соответствии с ISO 27000), рисками управления ИТ-сервисами (на основе ISO 20000 и ITIL) и рисками прерывания бизнеса (по стандартам BS 25999, BS 25777 и ISO 22301). «Создаваемая таким образом в соответствии с лучшими практиками, описанными в ISO 31000, интегрированная система управления рисками представляет собой синергию систем управления и дает возможность объединить схожие процессы систем управления рисками, снизить затраты на их операционную поддержку и повысить эффективность управления рисками благодаря предотвращению дублирования операций и комплексному подходу к рассмотрению ИТ-рисков применительно к поддерживаемым ИТ бизнес-процессам, влияющим на бизнес компании в целом», — добавляет Коротнев.
Может ли оказаться полезным для компании и для службы информационной безопасности каталог услуг ИБ? Чахеев уверен, что он будет полезен: «В банке «Уралсиб» разработан двухуровневый каталог сервисов ИБ. Первый уровень определяет оказываемый сервис, второй уровень разбивает его на отдельные услуги. Целиком сервис может быть не слишком интересен бизнес-подразделениям, но отдельные услуги, входящие в него, чрезвычайно востребованы. Например, у нас есть сервис «Обеспечение конфиденциальности», который на первый взгляд будет непонятен бизнесу, но услуги, входящие в этот сервис (например «Сопровождение NDA», «Уничтожение конфиденциальных документов»), активно запрашиваются бизнес-подразделениями». По словам Чахеева, внедрение каталога сервисов ИБ и в целом процесса управления уровнем обслуживания в области информационной безопасности дало возможность подразделению ИБ формализовать свои отношения с бизнесом. Кстати, в этом банке также применяется трехуровневый каталог ИТ-сервисов.
Как видим, процессный подход позволяет гармонично строить деятельность служб ИБ. Очень важно, чтобы этот процесс соответствовал ключевым принципам, на которых строится процессное управление организацией в целом. Итогом этих усилий станет гораздо более четкая и понятная бизнесу работа, нацеленная на результат, который можно измерить по заранее согласованным показателям.