1.3.12. Проблемы практической реализации модели обеспечения ИБ организации

1.3.12. Проблемы практической реализации модели обеспечения ИБ организации

Любая организация в процессе своей деятельности накапливает набор практик, обеспечивающих реализацию тех или иных ее потребностей. В совокупности они составляют сбалансированную естественным образом самой организацией систему менеджментов. Как правило, это уникальная система, отражающая конкретную практику конкретной организации. В том числе, если речь не идет об организации, создаваемой заново, в этой практике есть и уже сложившаяся система обеспечения ИБ, также уникальная. В этой связи успех или неуспех практической реализации рассмотренной модели ИБ в организации будет определяться тем, насколько она «гармонизирована» со сложившейся практикой. Основные, сильно влияющие на проблему гармонизации аспекты следующие:

— модели, реализуемые в рамках общекорпоративного менеджмента;

— модели внутреннего контроля и аудита организации;

— модели кадрового менеджмента;

— модели совершенствования и управления ИТ-системами организации;

— модели, используемые в бизнес-аналитике организации;

— модели общего риск-менеджмента организации;

— внутренняя нормативная база, определяющая роли и организационные политики организации, а также вопросы владения активами организации;

— стратегический и оперативный уровни управления организацией. Приведенный перечень только основных аспектов влияния на обеспечение ИБ в организации показывает сложность проблемы гармонизации. Очевидно, что ее решение существенно упростится, если методологические основы (платформы) близки или вообще совпадают. Это, однако, не так. Например, часть реально применяемых моделей рассматривают формализуемые ими сущности (объекты, процессы, технологии, виды деятельности и т. д.) как самодостаточные и не учитывают при этом фундаментальный аспект эффективности деятельности; не предполагают сопоставление получаемого результата (эффекта) и потребностей в инвестициях. К подобным моделям относится, например, ISO 9000, подвергаемый суровой критике за эту свою особенность.

Общекорпоративный менеджмент во многих организациях методологически основан на реагировании на возможные проблемы, а не на их избежании. Риск-менеджмент не везде хорошо развит, вследствие чего важнейшая функция процесса целенаправленной деятельности по идентификации и анализу причинно-следственных связей между происходящими событиями и понесенными ущербами не реализуется. Преодоление этих и многочисленных других противоречий усилиями только одной безопасности невозможно.

Однако не только эти особенности организации влияют на реализацию модели обеспечения ИБ. Некоторые специфические свойства проблемы обеспечения ИБ, отображаясь на систему менеджментов организации, могут приводить к появлению различных «вырожденных» случаев как в части модели Деминга — Шухарта, так и в части информационно-аналитической и оценочной деятельности в рамках модели обеспечения ИБ организации. Рассмотрим основные из них.

Во-первых, это проблема реализации изменчивости системы обеспечения ИБ организации. Суть проблемы реализации изменчивости заключается в объективной существующей консервативности систем обеспечения ИБ, изменчивость которой осуществляется фактически по «жизненным показаниям». В то же время модель Деминга — Шухарта, являющаяся основой приведенной выше (см. рис. 12) общей модели обеспечения ИБ бизнеса, наиболее полезна в условиях изменчивости. В общем случае чем короче будет цикл выполнения процессов модели Деминга — Шухарта, тем больший эффект будет получен.

Природа консервативности систем обеспечения ИБ состоит в том, что на практике безопасность всегда следует за бизнесом (целями деятельности) и вынуждена, по крайней мере на первых порах, обходиться тем, что уже есть, что уже реализовано и опробовано, так как инвестиционный процесс даже в очень продвинутой организации создаст неоправданно большую задержку. Реально от момента осознания руководством потребности до ввода нового компонента безопасности в промышленную эксплуатацию может проходить 1–3 и даже более лет. В течение этого интервала реализуются временные меры обеспечения ИБ, и если реально сложившийся уровень риска будет принят высшим руководством, то инвестиционный процесс вообще не будет запущен.

На практике изменчивость системы обеспечения ИБ обусловлена факторами, связанными с реализацией трех процессов:

— вывода компонентов системы, цели деятельности которых (предназначение) исчерпаны, из эксплуатации;

— модернизации компонентов системы;

— интеграции в систему обеспечения ИБ новых компонентов.

Необходимость модернизации или замены старого оборудования на улучшенное новое диктуется двумя причинами:

— проблемами поддержки жизненного цикла (например, из-за прекращения поддержки каких-то продуктов);

— необходимостью компенсировать дополнительные риски, идентифицированные при модернизации бизнес-процессов или возникшие вследствие другой изменчивости.

Потребность в интеграции новых компонентов возникает, как правило, в связи с изменениями законодательной и иной нормативной базы, запуском нового вида бизнеса, потребности в безопасности которого не удалось обеспечить уже имеющимися средствами, а также вследствие существенной изменчивости любого другого вида.

Перечисленные три процесса одномоментно охватывают незначительную часть системы безопасности (ориентировочно 5–7 %) и находятся в разных фазах реализации. К тому же они в зависимости от потребностей перемещаются со временем по системе («плавают»). Проблема управления этими процессами в модели обеспечения ИБ (см. рис. 12) в основном отнесена к блоку «Оптимизация».

Очевидно, что для целей управления этими процессами должна существовать система оценки, обеспечивающая принятие адекватных решений. Теоретически она может быть достаточно хорошо формализована, но практически в этом нет потребности. Гораздо полезнее на практике оказывается наличие хорошо разработанного документа по стратегическим улучшениям ИБ в организации, содержащего четко сформулированные цели, которые нужно достичь, и систему критериев (приоритетов), которыми нужно руководствоваться при принятии адекватных решений.

Важнейшими из них должны быть критерии, обеспечивающие организационную, техническую и технологическую целостность системы безопасности в условиях изменчивости. Можно привести много примеров того, когда простое изъятие уже отработавшего свое компонента в системе приводило к нарушению ее целостности, так как изымаемый компонент создавал дополнительный функционал для других компонентов и это не было учтено.

Вообще, проблема обеспечения целостности системы обеспечения ИБ важна и актуальна сама по себе. Дело в том, что безопасность — единственный вид деятельности в организации, которым в той или иной мере должны заниматься все. Это ее свойство. Одновременно это создает высшему руководству иллюзии о возможности ее полной децентрализации, тем более что частично децентрализации всегда есть, особенно в части поддержки владения активами (ресурсами). Однако чем более децентрализуется система, тем больше утрачивается ответственность за конечный результат и тем больше вероятность образования в системе разрывов, создающих риски. Практика показывает, что наличие единого и сильного (в смысле прав и обязанностей, ответственности) центра управления является жизненно необходимым как с точки зрения достижимости требуемого результата, так и обеспечения эффективности деятельности.

Другой важнейшей для практики особенностью модели обеспечения ИБ организации является то, что фактически она реагирует на возникающую изменчивость внутри и вне организации и автоматически локализуется на выявленной изменчивости. Нет никакой практической необходимости в тотальной реализации всех ее процессов применительно ко всей системе на постоянной основе. Действительно, вновь идентифицированный риск требует детального анализа и оценивания, равно как и иных, предусмотренных моделью процедур. Однако в дальнейшем значимым факторов является уже не сам риск (он уже обработан), а то, что с ним происходит: он растет; остается неизменным; убывает.

В этой связи существенно упрощаются оценочные процедуры — от оценки рисков можно перейти к риск-ориентированным оценкам, рассмотренным подробно в следующих главах. Кроме того, после идентификации новых рисков можно перейти к оценочным технологиям, основывающимся на оценках параметров реально произошедших рисковых событий. Примером таких технологий является оценка по методу VAR (value at risk, первоисточник с описанием метода в [1]), т. е. оценка величины понесенных потерь за некоторый фиксированный интервал времени. Этот метод в силу его простоты и наглядности имеет очень большое распространение.

Широко используются также оценочные системы, основанные на измерениях различных функциональных параметров, прямо или косвенно характеризующих значимые для безопасности состояния объектов и систем. Эти показатели называют ключевыми индикаторами риска (КИР). Превышение порогов по КИР либо возникновение нежелательных трендов инициирует уже более детальный анализ и оценивание причин этих явлений. Одним из КИР может служить, например, количество зафиксированных нарушений персоналом регламентов обработки значимых активов за один день по всей организации.

Таким образом, говоря о практической реализации модели ИБ, организации нужно иметь в виду следующее:

— она локализуется в области возникновения и распространения изменчивости;

— ее процессы реализуются каждый раз с разной степенью детализации в зависимости от возникающей потребности;

— для достижения желаемого результата может использоваться широкий спектр оценок, характеризующих риск;

— заложенная в модели цикличность не является постоянной ни по структуре цикла, ни по времени его реализации, она существенно зависит от реализовавшихся условий запуска и параметров внешних по отношению к модели процессов организации, например того же инвестиционного процесса;

— одномоментно в стадии реализации в зависимости от сложившейся ситуации может быть несколько еще не завершенных циклов, находящихся на разных фазах реагирования на инициировавшие эти циклы проблемы; наиболее значимая из них будет автоматически (в соответствии с оценкой) получать приоритет по использованию общих ресурсов и процедур.

Главный практический результат реализации модели обеспечения ИБ в организации состоит в том, что деятельность безопасности получает качественную объективную основу, становится существенно более прозрачной и предсказуемой для высшего руководства и бизнеса организации как по ее потребностям (инвестициям в безопасность), так и по ожидаемым результатам. Она создает условия для «естественной» интеграции безопасности в систему общекорпоративных менеджментов и бизнес.