Информационная безопасность и ITIL

В любой компании объективно существуют риски, связанные с несанкционированным использованием ИT-ресурсов и сервисов.

Свод знаний ITIL, являющийся стандартом де-факто в управлении корпоративными информационными системами, помогает эффективно решать проблемы информационной безопасности и гармонизировать традиционно непростые отношения служб ИТ и информационной безопасности в организациях. Тем не менее, ITIL находит ограниченное применение в странах СНГ ввиду традиционной специфики корпоративного управления. Особый акцент в данной статье делается на первоочередных шагах, целях и результатах при внедрении ITIL и других международных методик управления ИТ в корпоративном и государственном масштабе.

Корпоративные службы ИТ и информационной безопасности: нахождение общего языка
Существует несколько вариантов подчинения службы информационной безопасности (ИБ) предприятий: непосредственно высшему руководству, ИТ-департаменту, службе режима (службе физической безопасности), экономической службе (финансово-экономическому подразделению) и т. д. Распространен вариант распределения ролей по информационной безопасности в виде рабочей или проектной группы, состоящей из специалистов вышеупомянутых подразделений предприятия. Данные варианты имеют свои сильные и слабые стороны.
Независимо от конкретной реализации функционала защиты информации в компании, наибольшее влияние на него имеют ИТ-специалисты. Причина этого заключается в тесной интеграции проблем ИБ с ИТ-инфраструктурой. С другой стороны, если ИБ отдается на откуп исключительно ИТ-специалистам, ими часто игнорируются экономические, управленческие и мотивационные аспекты защиты информации.
Разберемся, каким образом библиотека ITIL помогает решить проблемы информационной безопасности и наладить отношения служб ИБ и ИТ. Чтобы совместить векторы двух служб, необходимо найти то общее, что их связывает, и построить на этом работу.
Как в случае с ИТ, так и в случае с информационной безопасностью, для внутреннего клиента оба этих процесса являются «черным ящиком». Проще говоря, клиент не видит, на что именно идут его деньги, насколько инвестиции соответствуют конечным целям компании.
Управление инвестициями во многих случаях строится на доверии топ-менеджмента к первым лицам в ИТ и ИБ,назовем их Chief Information Officer (CIO) и Chief Information Security Officer (CISO). Попытаемся описать данную модель.
Получаемый кредит доверия, в том числе, в финансовом выражении, в виде бюджета, расходуется руководством служб ИТ и ИБ не только на прямо
формулируемые цели бизнеса, но и на косвенные цели:
служебные сервисы, технические решения, смысл которых непонятен клиенту. При этом достижения CIO и CISO идут в их актив, неудачи – в пассив.
Поскольку руководство компании отстранено от управления ИТ и ИБ, то на основании имеющейся недостаточной информации может принять,
по сути, только один тип решений: уменьшить или увели-
чить финансирование. Подобный подход, «доверительная модель» управления,
непрозрачен для бизнеса и не соответствует современным передовым представлениям об управлении ИТ, таким как ITIL и COBIT.
Сравнивая положение служб ИТ и ИБ, нужно отметить, что последней часто
труднее формально обосновывать затраты. Во-первых, она
оперирует более абстрактными понятиями, такими как целостность, доступность, конфиденциальность, наблюдаемость. Во-вторых, работа службы ИБ в силу своей специфики создает неудобства пользователям и непосредственно службе ИТ.
Независимо от вида подчиненности службы ИБ, в случае бездеятельности снижается ее влияние, в случае неэффективной деятельности – доверие к
ней. Поэтому ИБ в «доверительной модели» управления – это постоянный поиск
компромиссов и, образно говоря, «восьмого цвета в радуге».
Во многом результат ИБ также обусловлен личным влиянием и харизмой CISO. Таким образом, эффективность ИБ организации становится зависимой от человеческого фактора и от конкретного человека на этой должности. Зависимости подобного рода, как правило, не соответствуют целям орга-
низации, вынужденной действовать в рыночных условиях максимально эффективно, как четкий и слаженный механизм.

ITIL на службе отдела информационной безопасности
Сейчас не все знают, что библиотека ITIL появилась в период экономического кризиса 80-х и поэтому как никогда актуальна сейчас. Основной результат при- менения идей ITIL – повышение прозрачности и управляемости ИТ, а также
экономической эффектив-ности ИТ.
Кроме этого, международные стандарты и лучшие практики преследуют мето-
дические и коммуникативные цели:

  • предоставление структурной основы, призванной упорядочить знания, облегчение их использования и передачи;
  • обеспечение общего языка между специалистами, руководством, бизнесом, поставщиками как залог успешности проектов и текущей

работы предприятия.
Библиотека ITIL хорошо сочетается с другими методиками, такими как ISO, COBIT, PCI DSS. Методики и стандарты - это, прежде всего, удобные инструменты, своды бесплатных знаний, а не объекты дополнительных инвестиций. Каждая
методика имеет свои сильные места, концентрируясь на своем уровне абстракции. COBIT и ISO говорят «что» нужно делать, ITIL – «как».
Процессу управления ИБ посвящен отдельный раздел библиотеки ITIL. Этот
процесс определяет основные процессы по защите ИT-инфраструктуры от несанкционированного использования, оценку рисков возникновения
подобных событий, управление рисками и противодействие им, а также способы
реагирования на инциденты, связанные с нарушениями ИБ.
ITIL декларирует повсеместное проникновение ИБ во все остальные процессы
управления информационной системой на всех стадиях ее жизненного цикла. С другой стороны, как будет показано ниже, многие, если не все, про-
цессы ITIL способствуют улучшению ИБ организации.
ITIL, COBIT, ISO и другие методологические системы помогают сблизить службы ИТ и ИБ, учат их общаться на одном языке, находить компромиссы
и конструктивные решения. В конечном счете, это позитивно сказывается на благосостоянии компании.

Методы старта ITIL и «быстрые» выгоды для информационной безопасности
ITIL не регламентирует четкой последовательности своего внедрения. Как правило, многие компании начинают с заключения с внутренним кли-
ентом соглашения об уровне обслуживания (Service Level Agreement, SLA), а также с внедрения ServiceDesk (диспетчерской службы) и CMDB/CMS
(системы управления конфигурациями).
Данные три компоненты – это еще не ITIL, но они дают быстрые результаты. Для
ИБ этот результат выражается в следующем:

  • SLA + ServiceDesk + CMDB значительно улучшают режим доступа, создают эффективную разрешительную систему, что является одним из ключевых требований стандартов, в том числе ISO 27002, а также улучшают контроль

и мониторинг доступа;

  • SLA + ServiceDesk (+Application Management) обеспечивают безопасность

приложений и значительно улучшают антивирусную безопасность;

  • ServiceDesk дает возможность внедрения управления инцидентами ИБ и риска-

ми ИБ, так как они, по сути, аналогичны соответственно инцидентам и проблемам в терминологии ITIL, хотя и не являются таковыми;

  • CMDB/CMS предоставляет возможность мониторинга, проведения расследований ИБ, дает полезную основу для анализа рисков и управления

проектами по улучшению ИБ инфраструктуры ИТ.

Что представляет собой информационная безопасность в ITIL
Как упоминалось выше, почти все процессы ITIL положительно влияют на информационную безопасность организации. ITIL в новой, третьей
версии уделяет больше внимания управлению информационными рисками и видению такого управления бизнесом, а также модели зрелости и ме-
трикам, заимствуя лучший опыт ISO 27000, COBIT и CMMI.
Выделим другие важные для ИБ процессы, структурировав их согласно ITIL v.3:
1. Стратегия услуг (SS). Вызовы и риски. Активы сервисов и создание ценности, управление портфолио сервисов.
2. Проектирование услуг (SD). Собственно информационная безопасность, вызовы и риски, непрерывность сервисов ИТ, мощность и доступность. Детализация: SLA, BIA, управление приложениями, роли и инструменты, доку-
ментация, управление каталогом сервисов, управление поставщиками и третьими сторонами.
3. Развертывание услуг (ST). Вызовы и риски, управление изменениями, цели/ принципы/ политики/ контекст/роли/ модели, типы активов.
Дополнительно: управление конфигурациями и CMDB/CMS, управление коммуни-
кациями и согласованиями, внедрение и развертывание сервисов.
4. Оказание услуг (SO). Информационная и физическая безопасность, роли/ обязанности и орг. структуры, управление доступом, события/ инциденты/ проблемы, управление изменениями/ проектами/рисками, отслеживание и
управление. Дополнительно: коммуникации, техническое/операционное управление/управление приложениями, диспетчерская служба, документация.
5. Постоянное улучшение услуг (CSI). Вызовы и риски, матрица полномочий RACI,
роли. Дополнительно: коммуникации, измерения сервисов, управление знаниями, ROI и вопросы бизнеса. В ITIL v.3 удачно применена идея модели жизненного
цикла, аналогично таковой в стандартах COBIT и ISO 27001.
В соответствии с этой моделью произошла реструктуризация библиотеки, которая теперь разбита на пять вышеперечисленных частей в соответствии со стадиями управления ИТ-услугами. Тем не менее, это не означает скорого
забвения ITIL версии 2, структура и идеи которой уже стали привычными для целого поколения ИТ-управленцев.
В контексте ITIL и ITSM информационную безопасность можно рассматривать
как услугу. Если служба ИБ находится в составе службы ИТ, то она может предоставляться как обязательная, по типу «в нагрузку». При этом значительную часть работ, как ни парадоксально, выполняет сам внутренний клиент. Ведь
ИБ является обязанностью всех сотрудников. Стоимость услуги ИБ входит в тарифы на основные услуги SLA. Хоть в этом и есть логика, такой подход не будет прозрачным, пока ИБ не формализована как услуга. Можно ли формализовать
ИБ как услугу, то есть, сформулировать, определить, зафиксировать и согласовать с клиентом параметры её предоставления? Частично, да. Ясно,
что невозможно прогнозировать сумму ущерба от утечек информации в зависимости от того или иного уровня обслуживания. Но формализация
вполне возможна в разрезе следующих компонентов ITIL:

  • построение базовой безопасности,
  • управление непрерывностью информационных услуг.

Ниже данные направления формализации ИБ в ITIL рассмотрены подробнее.

Построение базовой безопасности

Принципы базовой безопасности (baseline security) оптимально реализуются не столько с помощью ITIL, сколько с помощью различных стандартизованных наборов средств управления. Наиболее популярным из них является стандарт ISO 27002, ранее известный как ISO 17799. Данный стандарт разбит на 11 разделов, 39 т. н. «главных категорий», соответствующих определенным целям управления, и 133 средства управления, описывающих те или иные процессы управления ИБ. Учитывая сложность построения системы управления ИБ, стандарт ISO 27002 дополнительно дает так называемую «отправную точку». То есть, набор первоочередных мероприятий, с точки зрения ITIL, по сути, являющихся baselinebaseline security, первейших мер. Некоторые особенности
внедрения «отправной точки» описаны автором в статье по адресу http://cism.com.ua/27002baseline/. Составляющие ISO 27002 starting point пе-
речислены во вставке.
Из данных составляющих особо стоит отметить управление инцидентами ИБ как один из наиболее важных обнаруживающих процессов, необходимых для снижения ущерба ИБ. Данный процесс необходимо внедрять в числе первых.
В рамках данного процессакрайне важно вести учет инцидентов. Не имея статистики инцидентов, трудно, если неневозможно, обосновать вложения в ИБ, а в дальнейшем – правильно рассчитать риски и оптимизировать вложения.
В рамках данного процесса каждый сотрудник организации должен знать, куда ему обращаться в случае нарушения или подозрения. Если в организации внедрена диспетчерская служба ИТ (Service Desk), лучше всего использовать принцип «единой точки входа». Диспетчерская служба должна уметь отличить, выражаясь языком ITIL, инцидент ИТ от инцидента ИБ и, в случае необходимости, эскалировать событие на команду реагирования на инциденты (Incident Response Team, IRT), роль которой обычно выполняет служба ИБ предприятия.
IRT должна уметь: отсеять ложные срабатывания, оценить серьезность инцидента, принять меры сдерживания (ограничения области его охвата), защитить улики, классифицировать и зарегистрировать инцидент, оценить допустимые сроки ликвидации инцидента и принять решение о дальней-
шей эскалации, ликвидировать и закрыть инцидент, проанализировать его причины, провести расследование, а также, в идеале, внести соответствующие изменения в анализ рисков или матрицу рисков.

Управление непрерывностью информационных услуг
Второй ключевой процесс ИБ в ITIL, управление непрерывностью ИТ-сервисов, как часть корпоративной системы управления непрерывностью бизнеса (Business Continuity Management, BCP), является также частью описанной выше «отправной точки» ISO 27002, частью COBIT и многих других стандартов ИТ и ИБ, что
доказывает исключительную важность данного процесса в современном деловом окружении.
Параметры BCM необходимо формализовать в соглашении SLA. Упрощенный вариант такой формализации может предусматривать такие шаги:

  • ИТ-услуги инвентаризуются и разделяются на разовые и постоянные. Разовых больше за счет того, что такими услугами являются также пары внедрение ликвидация постоянных услуг и предоставление/изъятие доступа к ним.

Кроме того, услуги группируются по инфраструктурным признакам (почта, интернет, файловые сервера и т. п.).

  • Определяются параметры качества каждой группы ИТ-услуг или даже отдельно

каждой ИТ-услуги. Для разовых услуг: время реакции на заявку, время частичного
предоставления, время выполнения. Для постоянных: время реакции на инцидент ИТ, время частичного восстановления услуги в случае её прекращения или недопустимого снижения качества, время полного восстановления услуги.

  • Определяются индивидуальные параметры качества каждой услуги (например,

пропускная способность интернет, скорость реакции сайта, доступное дисковое
пространство на файловом сервере, допустимая доля спама среди писем, количество ложных срабатываний антивируса, или, скажем, максимальный размер группы на занятиях по повышению квалификации, если ИТ-службой предоставляется услуга обучения пользователей).

  • Если требования качества у разных внутренних или внешних клиентов разные

(то есть, если есть «богатые» и «бедные» клиенты), то определяются разные наборы параметров качества, по сути, с разными клиентами заключаются разные SLA (по типу normal/VIP, либо silver/gold/platinum support).
Основными методами, используемыми при BCM, являются организационные ме-
роприятия по исключению зависимости от ключевых (уникальных) сотрудников,
оборудования, программного обеспечения и сервисов, а также мероприятия по дублированию, всевозможные системы резервирования и кластеры, подготовка или аренда резервных площадок «теплого» или «горячего» типа, либо исполь-
зование полнофункциональных дублирующих вычислительных центров или центров обработки данных. Стоимость системы BCM с высокими требованиями отказоустойчивости сравнима с капитальной частью основного ИТ-баланса.
Полноценный вариант формализации BCM предусматривает согласование с клиентом параметров качества RPO, RTO и AIW/MTO, описанных во вставке. Данное согласование выполняется итеративно, поскольку изменение одного
из параметров может вызвать изменение требуемого метода BCM, а значит, весьма значительное изменение стоимости проекта внедрения BCM и пе-
риодических затрат на поддержание системы BCM.

Кому из нас действительно нужен ITIL
Достойно справившись со своей задачей и повысив экономическую эффективность поставщиков ИТ, с конца 80-х при поддержке правительства
ITIL постепенно обрел популярность в коммерческом секторе Великобритании, затем и других стран. Как это часто бывает, попав на просторы бывшего СССР, идея заметно адаптировалась и лаконизировалась, обретя местную специфику и
риск девальвироваться в глазах бизнеса, вплоть до получения противоположного эффекта по отношению к своим первоначальным целям.
Как уже отмечалось, большинство отечественных менеджеров в области ИТ при
внедрении ITIL фокусируют внимание на внедрении диспетчерской службы, CMDB
(или CMS по ITIL v.3) и SLA.
Специфика отечественного рынка ИТ обуславливает повышенный взаимный интерес ИТ-директоров и интеграторов именно к данным компонентам ITIL. При этом из числа данных инструментов непосредственно цели бизнеса преследует, пожалуй, только SLA, и то только при надлежащем внедрении и плотном взаимо-
действии поставщика с клиентом в процессе разработки, утверждения и поддержки данного документа и сопутствующих ему процессов. CMDB/CMS является исключительно внутренним решением ИТ-службы, и бизнес-руководство
компании может и не подозревать о существовании этой системы в организации. Механизмы Service Desk / Help Desk также скрыты от бизнеса, для которого эта система функционально, по большому счету, зачастую мало чем отличается от
обычной электронной почты.
Обратный эффект внедрения ITIL-решений может заключаться в недостаточном
возврате инвестиций в данные решения, приобретаемые ИТ-руководителями. Ситуация может оказаться парадоксальной: ITIL стремится повысить экономическую эффективность ИТ, руководитель ИТ-службы требует у бизнеса инвестиций в ITIL-решения, и эти инвестиции не окупаются. В результате
страдает репутация библиотеки ITIL, которая перестает быть сводом бесплатных знаний и становится объектом инвестиций, а значит, риска. Данные опасения основаны на наблюдениях за весьма осторожным отношением к ITIL у ряда ИТ-
директоров, искренне заинтересованных в рентабельности своего ведомства.
Ни в коем случае не снижая важности автоматизированных решений, автор всего лишь призывает расставлять акценты и распределять ресурсы пропорционально, в соответствии с целями бизнеса. Наивысшая экономическая эффективность при внедрении ITIL, по мнению автора, возможна при направлении 80% ресурсов на внутреннюю организационную работу, и 20% – на автоматизированные решения. Важность процессов ITIL, требующих в
основном только организационных изменений, не должна снижаться. Такими процессами являются, например, финансовый менеджмент ИТ-услуг,
управление проблемами и знаниями, разделение ролей и ответственности, оценка зрелости процессов, управление ИБ и десятки других важных, но менее
«популярных» в нашей стране процессов ITIL.
Как только при инсорсинге внедрение ITIL перерастает «детскую» стадию SLA/
ServiceDesk/CMDB и начинают работать хотя бы процессы управления финансами и мощностями, то эффективность ИТ и ИБ повышается мгновенно из-за изменения мышления CIO и CISO, разрушения «командно-административных»
рычагов внутри предприятия и создания внутренних рыночных отношений. ITIL
заставляет внутренние ИТ- и ИБ-подразделения быть «хоз-расчетным», повышать свою экономическую эффективность и мыслить рыночными категориями. При этом с одной стороны, CIO и CISO сталкиваются с угрозой потери части бюджетов при возможной передаче некоторых функций на аутсорсинг, с другой – получают возможность дополнительных доходов от сто ронних клиентов, возможность расти и становиться конкурентоспособным. Не говоря уже о пользе для экономической безопасности предприятия, то есть,о полной потере смысла «откатов», либо, по крайней мере, негативной части такого смысла. Невзирая на отечественную специфику, концепция ITIL с
каждым годом приносит всё более ощутимую пользу и технологический прогресс в сфере ИТ. Чтобы повысить данную пользу и усилить прогресс, нужно вернуть идеям ITIL их изначальное значение и смысл.
Необходимо продвигать ITIL на уровне исполнительного и финансового корпоративного менеджмента, а также на уровне государства. Необходимо освещать преимущества внедрения процессов ITIL и истории успеха в периодической литературе, читаемой бизнес-менеджментом, а не только ИТ-
менеджментом. Идеи ITIL должно продвигать бизнес-руководство компаний и государство, а не руководители ИТ-служб и интеграторы, у которых свое
ограниченное видение данной библиотеки, не всегда соответствующее истине. Именно клиент должен быть инициатором повышения прозрачности по-
ставщика и требовать наличия у него внедренных процессов ITIL как дополнительной гарантии качества и экономической эффективности. Это
наиболее актуально сейчас, в период экономического спада,
так же, как и в период появления ITIL.
В этом отношении, в дополнение к сертификации по ISO 9000, полезными были бы поддержка и продвижение сертификации по стандарту ISO 20000, соответствующему ITIL. Для этого необходима всесторонняя поддержка государ ственных органов метрологии и стандартизации, сертифицирующих организаций, аудиторских компаний, учебных центров и системы образования.


Залишити коментар
Будь ласка, введіть Ваше ім’я
Будь ласка, введіть коментар.
1000 символів

Будь ласка, введіть email
або Відмінити

Інші статті в категорії IT, програмування, розробка Project management, управління проектами