Как повысить эффективность службы ИБ?

Дмитрий Трубенков
Системный аналитик отдела ИБ,
“Открытые Технологии"

Что определяет эффективность функционирования службы информационной безопасности? Как ее определить, измерить и повысить? Каким образом выстроить процессы управления, чтобы можно было вообще говорить о понятии эффективности и об эффективности как об управляемой сущности? Если руководитель службы ответственно, а не формально подходит к своей работе, то он тем самым становится перед необходимостью ответить на подобные вопросы.

Что есть эффективность в ИБ и как ее измерять

Прежде чем говорить о предмете статьи, следует прояснить два момента, тесно связанные между собой. Во-первых, о какой именно эффективности может идти речь? Эффективности функционирования средств защиты информации, экономической эффективности работы службы или же, к примеру, эффективности работы персонала? И второй вопрос: каковы критерии оценки и метрики эффективности?

Эффективность функционирования средств защиты информации более "осязаема" для технических специалистов. Насколько полно средство защиты будет выполнять свои задачи, определяется на этапе исследования рынка решений, проработки архитектуры решения. Если взять в качестве примера систему антивирусной защиты, то постфактум такие данные, как количество обработанных или пропущенных инцидентов безопасности, неоперативная "отзывчивость" вендора к новым угрозам могут поставить под сомнение эффективность решения. В своей работе, решая задачу оценки эффективности службы ИБ крупного холдинга, анализируя западные практики, я натолкнулся на интересный многостраничный документ-шаблон Министерства обороны США. По каждому направлению безопасности шаблон предоставлял собой форму, заполняя которую, сотрудники региональных подразделений МО США вели довольно обширную статистику: от количества отраженных/пропущенных атак до числа обращений сотрудников в help desk по инцидентам безопасности, будь то зараженный ПК или забытый пароль. Такая дотошная схема снятия метрик впечатлила, но не прижилась – ведение такой статистики требует выделенного человеческого ресурса или автоматизации процесса. Напрашивается резюме: оценка эффективности также должна быть эффективной.

В дискуссиях об экономической эффективности ИБ-службы сломано немало копий. Нужно ли и как доказывать окупаемость затрат на ИБ, если во многом характер деятельности подразделения направлен в основном на предотвращение, а не на производство? Профиль современного ИБ-подразделения прежде всего бизнес-ориентированный. А это значит, что от традиционного подхода – обеспечения гарантированной защиты – надо отступать в сторону разумной защиты. Представление о службе ИБ как о непроизводственном подразделении, "которое только тратит деньги", свидетельствует либо о низкой степени вовлеченности руководства в процессы безопасности, либо о низкой зрелости процессов управления ИБ, вследствие чего адекватного оправдания своего существования руководители служб ИБ привести не могут. Тем не менее выход есть. Прежде всего может помочь переход к риск-ориентированной модели управления. Сегодня ИБ-сообщество достаточно открыто, и, используя имеющуюся аналитику, сведения об известных инцидентах, трендах в развитии угроз и атак, службе ИБ вполне по силам давать экспертную (или числовую) оценку возможных потерь от инцидента ИБ. А зная возможные потери – обосновывать затраты на ИБ. Причем затратной частью необязательно являются закупки средств защиты информации – в некоторых случаях незначительная реорганизация бизнес-процесса или введение необременительных организационных мер может быть альтернативой закупке дорогого решения. Существует и другой подход – оптимизация расходов за счет прогноза возврата инвестиций при внедрении средств автоматизации управления процессами ИБ. К примеру, внедрение комплексного SIEM-решения не только сделает картину ИБ-инцидентов более полной и наглядной, но и освободит ресурс аналитиков, которые ранее занимались обработкой инцидентов, используя штатные средства. Другим подходом к повышению экономической эффективности может быть передача части технических функций ИБ на аутсорсинг внешним исполнителям вместо затрат на обучение и содержание собственного штата специалистов.

Областей приложения усилий подразделения ИБ, где требуется контроль и повышение эффективности, гораздо больше, однако уже на основе этих двух примеров можно сделать вывод: безопасность можно "измерить" если не количественно, то качественно. Это относится и к эффективности. То, что можно измерить, можно и улучшить. И здесь лучше всего действовать не в одиночку, а с заинтересованными подразделениями. И третье – мероприятия и процедуры оценки и улучшения эффективности должны носить разумный характер, предполагающий, что процессы оценки будут выстроены в соответствии с уровнем общей зрелости процессов ИБ в организации.

Эффективность и зрелость процессов

Если рассматривать задачу определения и оценки эффективности как внедрение и продвижение некоего процесса, то объемы и характеристики этой задачи должны соответствовать уровню организационного и технологического развития компании в целом.

К примеру, если уровень зрелости процессов в организации низкий, то внедрение детальной процедуры управления рисками не даст должного эффекта. Альтернативой может быть введение некой экспертной оценки рисков ИБ. В то же время в организациях, где уровень зрелости процессов безопасности стоит на высоком уровне, процедура оценки рисков должна иметь детальные методики, процедуры, шкалы и т.д.

В целом для каждой организации с ее уровнем зрелости процессов ИБ может быть подобран свой процесс оценки эффективности. И низкий уровень зрелости процессов в ИБ не является поводом отказываться от введения процедуры оценки эффективности. Уровень зрелости процессов служит некой определяющей линией, позволяющей руководителю службы выстроить адекватную систему оценки эффективности.

Эффективность и управление ИБ

Введение методологии оценки результатов деятельности неразрывно связано с построением системы управления ИБ. Понятие эффективности службы и эффективности ИБ в целом неявно, но определено в фундаментальных документах по менеджменту ИБ (ISO 27001). Вспомним цикл Деминга с его обратной связью, предписывающий вводить метрики в процессе управления (check), а также осуществлять грамотное планирование (plan). Это справедливо и в отношении процесса управления эффективностью.

При этом, даже не поднимая вопроса создания сложных СУИБ, достаточно обратиться к элементарной политике безопасности. Практика говорит, что большинство организаций рассматривают политику прежде всего как документ, который просто "должен быть". Между тем политика безопасности может быть мощным инструментом, осью, вокруг которой вращаются процессы управления ИБ. Политика – это прежде всего некий карт-бланш, выданный руководителю службы ИБ со стороны высшего руководства и смежных подразделений. Это доверие, которое дает одновременно власть и ответственность, и это доверие надо оправдывать. Это инструмент влияния, "делегирования полномочий" и контроля – каким бы укомплектованным ни был отдел ИБ, ему придется делегировать полномочия (даже чисто технические) другим подразделениям, например IT. Грамотная имплементация политики – это верный шаг на пути к эффективному функционированию службы.

Конечно, при определенной сложности и зрелости процессов в организации без всеохватывающих сложных систем управления ИБ не обойтись, так как уровня детализации одной лишь политики безопасности недостаточно. Однако надо понимать, что сложные системы в конечном счете призваны упростить, сделать прозрачным учет рисков, механизмы восстановления и реагирования на инциденты и прочие составляющие цикла управления. Не исключено, что сложно будет обойтись без автоматизированных систем управления безопасностью.

Вне зависимости от сложности системы управления вывод может быть один: так как в общем случае система управления определяет цели, методы их достижения, действия по совершенствованию, то построение грамотной системы управления – прямой путь к повышению эффективности службы ИБ.

Резюме

Управление эффективностью службы ИБ есть составная часть комплексного управления ИБ предприятия. При определении критериев эффективности не стоит забывать, что цели и задачи службы прежде всего бизнес-ориентированы, отсюда следует набор характеристик эффективности. Не стоит бояться "измерить" эффективность, придерживаясь адекватного и разумного принципа. Следует непрерывно совершенствовать систему управления в связи с заинтересованными подразделениями – это ключ к повышению эффективности. При построении системы управления, как и при внедрении системы оценки, следует стремиться соответствовать общему уровню зрелости процессов – полноценная СУИБ и автоматизированное управление безопасностью должно быть необходимостью, а не модной игрушкой. Не стоит забывать про принцип Парето – 20% усилий способны перекрыть 80% задач.