Разработка стратегии информационной безопасности и управления рисками
Часть 2

Андрей Тимошенков
заместитель директора
по развитию сервисов компании Softline

Разработка стратегии ИБУР включает в себя следующие шаги, которые необходимо будет реализовать:

• определение подхода к управлению и состава функций ИБ в организации;
• принятие решения об аутсорсинге функций ИБ;
• определение подотчетности группы, ответственной за разработку стратегии;
• разработку требований к компетенции персонала;
• оценку рисков, возникающих при осуществлении функций ИБ штатно (имеющимися в компании средствами).

Подходы и методики

При разработке стратегии ИБУР важно определить состав функций безопасности, которые необходимо внедрить для достижения целей стратегии, и подходы к оценке их эффективности. Для этого рекомендуется разработать функциональную модель ИБУР, которой затем необходимо придерживаться при внедрении. В силу своей наглядности и гибкости модель поможет руководству организации при необходимости обоснованно добавлять, изменять или удалять те или иные функции ИБ.

К каждой функции, определенной в модели, должны быть также разработаны метрики, с помощью которых руководство сможет контролировать их состояние, а также общий уровень эффективности процессов ИБУР.

Основой для разработки функциональной модели и методологии по оценке эффективности процессов ИБУР в организации может стать рассмотрение процессов безопасности в двух измерениях. Первое измерение – стандартный профиль рисков и соответствующая ему "карта рисков", которые принимает на себя организация. Так, например, для банков в профиль рисков могут попасть кредитные, рыночные, операционные риски, риски ликвидности и т.д. В соответствии с профилем информационных рисков организации строится и первая функциональная модель – модель управления информационными рисками (табл. 1). Функции, которые в ней будут представлены, ориентированы на выявление информационных рисков из "карты рисков". Для проектирования данной модели можно прибегнуть к недавно выпущенному организацией ISACA стандарту Risk IT. А также стандартам в области управления рисками COSO и ISO 31000.

Второе измерение – комплекс процессов риск-менеджмента, включающий в себя идентификацию, оценку, меры по оптимизации, мониторинг и контроль результатов. Обычно как раз под этой стороной риск-менеджмента понимают собственно информационную безопасность. Ей будет соответствовать и своя функциональная модель (табл. 2). В модель функций ИБ включаются, как правило, следующие элементы: оценка угроз и уязвимостей, управление уязвимостями, политики и процедуры ИБ, обеспечение непрерывности бизнеса, архитектура и проектирование ИБ и др. Большинство функций ИБ здесь соответствуют так называемым контролям, или мерам по защите (от англ. control). Полный список "контролей" для функциональной модели ИБ можно взять из любого международного стандарта по управлению ИБ, например ISO 27001. Однако не следует слепо делать все под копирку стандартов, количество "контролей" для конкретной организации будет наверняка меньше, чем в стандарте. Все регламенты и процедуры управления рисками должны в конечном счете органично вписываться в логику развития бизнеса: с одной стороны, не слишком сдерживать развитие, с другой – обеспечивать риски на заданном уровне.

Метрики, определенные для функций информационной безопасности (во второй модели), будут показывать способность организации поддерживать именно тот уровень рисков, который был установлен для функций управления рисками (первая модель).

Оперативное управление стратегией

Важным вопросом, который также желательно решить уже на этапе разработки стратегии, является оперативное управление ходом реализации стратегии, то есть кто и как будет заниматься внедрением стратегии и управлять ходом ее реализации.

Данные вопросы могут быть сознательно вынесены за рамки стратегии и специально не обсуждаться при ее представлении руководству, например если стратегия будет носить в организации исключительно рекомендательный характер.

Преимущества прямого управления и надзора очевидны – это возможность контролировать весь жизненный цикл стратегии ИБУР – от проектирования до внедрения и эксплуатации. Однако на практике часто руководителям отделов ИБ можно посоветовать не вносить вопросы управления в рамки самой стратегии, оставаясь во время начального обсуждения на позиции стратегического советника и консультанта бизнес-руководителей.

Подотчетность

Во многих организациях процессы ИБУР рассматриваются как относящиеся к сфере IТ и в силу этого подотчетные руководителю службы IТ или техническому директору. Однако сегодня область, за которую отвечают процессы ИБУР, все чаще выходит за рамки технологий и фокусируется на бизнес-процессах и данных. В этих случаях команда, разрабатывающая стратегию ИБУР, наиболее эффективно выполнит свои обязанности, если будет входить в подразделение, отвечающее за корпоративное управление рисками, и подчиняться соответственно директору по рискам или комитету по рискам в совете директоров.

Требования к квалификации персонала

Еще один вопрос, по которому необходимо будет прийти к консенсусу с руководством организации, – штатное расписание, необходимое для эффективного внедрения стратегии, и требования, предъявляемые к квалификации персонала. Следует разработать хотя бы простейшую модель компетенций, то есть документ, который определит, помимо должностных обязанностей, требуемые организационные и отраслевые знания и навыки, необходимые персоналу. При разработке стратегии ИБУР лучше предлагать только те решения, что потребуют впоследствии доступных в организации компетенций или по крайней мере компетенций, которые могут быть получены сотрудниками с минимумом усилий.

В том случае если стратегия требует новых для организации знаний и навыков, следует предусмотреть соответствующую корректировку планируемых сроков ее внедрения.

Решение по аутсорсингу функций ИБУР

Важный вопрос, который необходимо рассмотреть в рамках стратегии, – вопрос аутсорсинга. Несмотря на то что идея передать свои риски на баланс третьей стороне кажется заманчивой, в реальности все не так просто. Во-первых, использование сторонних компаний для обеспечения собственной безопасности далеко не всегда означает автоматическую передачу им своих рисков и ответственности перед своими клиентами, поставщиками и регуляторами. Во-вторых, в случае каких-либо инцидентов с сервисами компании ее клиентам зачастую будет все равно, по чьей вине произошел сбой.

Тем не менее аутсорсинг может явиться хорошим инструментом, ускоряющим внедрение многих функций ИБ, а также обеспечить их операционную поддержку. Но, принимая решение об аутсорсинге, организация должна осознавать ответственность за риски, которые она берет на себя, так как только она является владельцем бизнес-процессов и обязана обеспечивать их надежность для своих клиентов и партнеров, в том числе обеспечивая надлежащий уровень процессов ИБУР.

Также можно рекомендовать по возможности очень экономно использовать консалтинговые ресурсы сторонних организаций и всегда обеспечивать надлежащий контроль над тем, каким образом знания, предоставляемые консультантами третьих фирм, остаются в организации.

Ключевые функции ИБ при этом ни в коем случае не следует полностью отдавать на аутсорсинг. Там, где это возможно, организациям лучше не использовать для обеспечения доступности своих ключевых услуг третьи фирмы.

Руководителям служб ИБ нужно помнить, что при наступлении необходимости сокращения бюджета первыми под сокращение попадут консалтинг и услуги сторонних организаций.