Сочетание основных международных стандартов при управлении информационной безопасностью предприятий

Движущие факторы, обуславливающие применение международных стандартов и методологий, возможный сценарий применения стандартов по информационной безопасности, краткое описание ITIL, ISO 27002 и

CobiT, а также подхода к их совместному использованию для управления корпоративной информационной безопасностью.

Что движет внедренцами лучших мировых практик

Распространение лучших практик информационных технологий (далее – ИТ) и информационной безопасности обусловлено стремлением ИТ-руководителей лучше управлять качеством и надёжностью ИТ в бизнес-среде. Часто стандартами интересуются также непосредственно специалисты по информационной безопасности, извлекая из них практическую пользу в своей работе. Однако есть опасность, что внедрение этих потенциально полезных практик может быть слишком дорогостоящим и рассредоточенным при рассмотрении как чисто технического вопроса. Во избежание этого стандарты и лучшие практики следует адаптировать к конкретному окружению и привлекать в процесс их внедрения ИТ-службы, службы информационной безопасности и бизнес-менеджмент на централизованной основе.

Мировыми движущими факторами для использования лучших практик являются:

• требования бизнеса повышать коэффициент возврата на инвестиции в ИТ;
• озабоченность растущими ИТ-бюджетами;
• требования законодательства и регуляторов в таких областях, как личная информация и финансовая отчетность, например, закон Sarbanes-Oxley Act, а также в отдельных секторах, таких как финансы, фармацевтика и здравоохранение;
• выбор поставщиков и управление аутсорсингом (услугами, переданными сторонним подрядчикам);
• увеличивающаяся сложность рисков, связанных с ИТ, таких как риски сетевой безопасности;
• потребность оптимизации затрат путем использования стандартизованных решений, вместо разрабатываемых отдельно;
• растущая зрелость и, как следствие, распространение общепринятых структурных методологий, таких как Information Technology Infrastructure Library (ITIL), Control Objectives for Information and related Technology (CobiT), ISO/IEC 27002, ISO 9002, Capability Maturity Model (CMM), Projects in Controlled Environments (PRINCE2), Managing Successful Programmes (MSP), Management of Risk (M_o_R): Guidance for Practitioners и Project Management Body of Knowledge (PMBOK);
• потребность оценить деятельность организации относительно общепринятых стандартов и относительно других предприятий в отрасли.

При внедрении лучших практик возникает задача повышения осведомленности бизнеса о назначении и преимуществах данных практик, задача выбора конкретных практик и их интеграции с политиками, принятыми на предприятии, а также задача адаптации стандартов и лучших практик с целью удовлетворения конкретных требований организации.

Как может начинаться стандартизация информационной безопасности

Вне зависимости от размера предприятия и от того, назначены ли кому-либо функции управления информационной безопасностью, ответственный за неё есть всегда. По умолчанию это руководитель предприятия. Часто для нашего отечественного руководителя поначалу информационная безопасность – это нечто вроде дополнительной проблемы, вдобавок к охране труда и пожарной безопасности. Данная проблема им либо не понимается, либо её важность занижается из-за слишком скрытого, неявного характера нарушений, их причин и ущерба от них.

Исходя из этого, одной из главнейших задач менеджмента информационной безопасности является выявление данного ущерба, его оценка, прогнозирование и снижение. Ключевой дисциплиной при этом является анализ рисков. Однако из-за сложности и неоднозначности результатов внедрение этого процесса откладывается, и внимание вначале сосредотачивается на внедрении других многочисленных требований стандартов ИТ и информационной безопасности.

Перефразируя известное изречение программиста и писателя Тома ДеМарко, невозможно справиться с тем, что не получается измерить. Поэтому многими менеджерами информационной безопасности применяется следующий подход. Если трудно измерить риски, давайте оценим хотя бы степень нашего соответствия тому или иному стандарту в целом. Имея лучший чужой опыт в качестве структурной основы, мы будем видеть, где находимся, куда идём и сколько осталось до цели. Плюс, зачем изобретать велосипед, ведь идея шаблонов, библиотек, процедур, спецификаций близка и понятна любому ИТ-специалисту. А при достижении какой-либо промежуточной цели, глядишь, и проявится экономический эффект, как это было в тысячах примеров. Эта логика проста, и она работает.

Рано или поздно приходит и поддержка «сверху». Руководство предприятия начинает видеть связь экономической эффективности и надёжности ИТ и бизнеса в целом, а также лояльности персонала и клиентуры, с количеством и критичностью утечек информации и остановок бизнес-процессов. Как только зрелость руководства позволяет ему отследить данные скрытые закономерности, либо просто после очередного «жареного петуха», приоритет информационной безопасности в организации повышается, вплоть до получения статуса отдельной статьи затрат. Направление и размер этих затрат редко вызывает сомнения.

С одной стороны, функция безопасности на типичном предприятии носит вспомогательный характер, прямой прибыли безопасность не приносит. С другой стороны, данная функция перманентна и слишком критична для передачи на аутсорсинг. Поэтому оформление функции информационной безопасности в виде отдельного подразделения, или, как минимум, выделенного специалиста, окончательно закрепилось в лучших мировых практиках и большинстве отечественных средних и крупных предприятий. В то же время, место службы и бюджета информационной безопасности в структуре предприятия пока что не стандартизовано и в настоящее время довольно разнообразно.

Часто руководитель подразделения информационной безопасности подчиняется напрямую высшему руководству предприятия, именуясь в этом случае директором по информационной безопасности, Chief Information Security Officer, CISO. Достаточно распространены варианты подчинения руководителю службы [физической] безопасности, Chief Security Officer, CSO, а также ИТ-директору. Кстати, западные традиции делают различие между более «технарской» должностью IT director и «руководящей» Chief Information Officer. Менее распространены, но встречаются варианты подчинения службы информационной безопасности различным коллегиальным органам, таким как совет директоров или комитет по безопасности, либо операционному или техническому директору, директору по рискам, главному аудитору или юристу. Данный пример показывает, что стандарты не фиксируют просто лучший опыт. Этот опыт должен быть ещё и общепринятым.

Основные стандарты, используемые в менеджменте информационной безопасности

Наиболее распространенными стандартами управления корпоративной информационной безопасностью являются ITIL, ISO 27000 и CobiT. Примечательно, что формально ни одна из вышеперечисленных аббревиатур не является стандартом. Многим известно, что ITIL называет себя «библиотекой», «лучшими практиками», но не стандартом. Документ CobiT называет себя «framework» – структурная основа – и также не является формальным стандартом, а ISO 27000 – это вообще целое семейство стандартов. При этом данные документы решают похожий круг задач в смежных, зачастую пересекающихся областях. Пересечение областей охвата нисколько не мешает совместному использованию ITIL, ISO 27000 и CobiT. Более того, такое использование увеличивает полноту охвата и детализацию предметной области.

С практической точки зрения, данные документы преследуют две основные цели: учат, что и как делать, а также создают для этого тот или иной каркас. Выражаясь строго, это коммуникативно-методологические и структурно-формирующие функции. Исходя их этого, данные документы по смыслу правильней называть структурными методологиями. Просто слово «стандарт» короче и привычней, хотя данные документы не несут того смысла и категоричности, как, например, какой-либо электротехнический стандарт. Немного о роли каждого стандарта в мире ИТ и информационной безопасности.

Правительство Великобритании довольно рано осознало важность лучших практик ИТ для государственных учреждений, разработав библиотеку ITIL. Эта библиотека стала стандартом де факто во всем мире, как в частном, так и в государственном секторе. Библиотека ITIL, созданная более 15 лет назад, переживая сейчас третью версию, до сих пор служит авторитетным источником знаний не только для практикующих профессионалов, но и для других методологических систем в области ИТ. На основе ITIL принят международный стандарт ISO 20000. Целью библиотеки является повышение качества ИТ-услуг и экономической эффективности ИТ. Информационная безопасность занимает важное место в структуре библиотеки.

«Практический кодекс безопасности ИТ», разработанный при поддержке промышленности, также британской, быстро стал национальным стандартом BS 7799, а затем международным ISO 17799, который в 2005 году был переименован в ISO 27002 и занял ключевое место в первой международной линейке стандартов управления информационной безопасностью ISO/IEC 27000. Удачное сочетание полноты охвата и детализации, удобная структура за считанные годы сделали этот стандарт популярной настольной книгой всех практикующих специалистов по информационной безопасности. ISO 27002 полностью посвящен системе управления (менеджмента) информационной безопасности и представляет собой свод рекомендаций по построению элементов данной системы – средств управления информационной безопасностью, большинство из которых представляют собой, проще говоря, различные организационные мероприятия.

В начале 90-х американская ассоциация ISACA осознала необходимость создания единого языка между ИТ-аудиторами, бизнес-менеджерами и ИТ-специалистами. Так появился CobiT, структурная основа стратегического управления ИТ (IT Governance). CobiT состоит из набора и описания основных целей управления и организационных процессов ИТ. CobiT оторван от технологий в большей степени, чем ITIL и ISO 27002. Важная черта CobiT, отличающая его от других ИТ-стандартов, – связь ИТ с бизнесом, с его целями. Связи различных типов и представлений, в том числе графические, – характерная особенность CobiT, наряду с использованием метрик. Широкая область охвата, формальность и структурированность элементов данного стандарта дали возможность построения различных матриц соответствия как внутри стандарта, так и между CobiT и другими структурными методологиями. Это обусловило одно из назначений CobiT как «зонтика», объединяющего многие стандарты ИТ, информационной безопасности, управления проектами и т. д. Сквозь призму информационной безопасности в CobiT так или иначе рассматриваются все ИТ-процессы. Некоторые процессы прямо относятся к информационной безопасности, многие связаны с ней косвенно, через требования.

Попытаемся определить место каждого стандарта на диаграмме, откладывая по горизонтальной оси область покрытия, по вертикальной вверх – полноту описания процессов, вниз – степень детализации методов. Так, ISO 27000 более полно покрывает аспекты информационной безопасности, а пересекающиеся с ним CobiT и ITIL – аспекты управления ИТ. При этом, CobiT и ISO 27000 описывают, что нужно делать, ITIL – как.

Как видно из диаграммы, CobiT и ITIL расширяют область охвата ISO 27002. Как неполный, но характерный пример, это выражается в расширенном наборе требований к целям и процессам ИТ и бизнеса. К уже традиционным для специалистов по информационной безопасности «трем китам», то есть, требованиям к системам, процессам и информации – целостности, доступности и конфиденциальности – добавляются такие требования как эффективность, результативность, соответствие законодательству и надёжность. Для службы информационной безопасности предприятия подобное расширение области компетенции служит «мостиком», способом улучшить повседневные отношения со службой ИТ и бизнесом. За счет дополнительных бизнес-требований снижается острота изначально присущего противоречия в классической троице вышеперечисленных взаимно противоположных требований информационной безопасности.

Как лучше внедрять CobiT, ITIL и ISO 27002

Принятие стандартов и лучших практик предприятием позволяет быстро внедрить хорошие процедуры и избежать длительных задержек из-за создания новых подходов при «изобретении колеса». Однако принимаемые лучшие практики не должны противоречить принятой в организации системе управления рисками, если таковая есть, и управленческой структуре. Стандарты не являются панацеей, эффективность их внедрения зависит от способа этого применения и их обновления. ISACA рекомендует рассматривать следующие аспекты внедрения CobiT, ITIL и ISO 27002:

1) Сферы применения. Каждое предприятие должно найти для себя наиболее подходящие сферы применения стандартов. Например, это могут быть: стратегическое управление, определение требований к сервисам и проектам, проверка возможностей поставщиков, обеспечение непрерывного улучшения, структурная основа для аудита, оценки или обзора.

2) Приоритизация. Для снижения затрат на внедрение предприятиям следует определить приоритеты, где и как использовать стандарты и практики. Прежде всего, важно, чтобы руководство стратегическим управлением ИТ и ИБ взял на себя совет директоров или аналогичный орган. При этом ему следует:

a) обеспечить наличие ИТ и ИБ в своей повестке дня,

b) курировать менеджеров на предмет приведения в соответствие ИТ-инициатив действительным целям бизнеса,

c) обеспечивать понимание руководителями потенциального влияния на бизнес рисков, связанных с ИТ,

d) настаивать на измерении производительности ИТ и отчетности о ней,

e) настаивать на использовании конкретных стандартов и практик.

3) Планирование.

a) Внедрение организационной структуры с четкими целями и ответственностью.

b) Приведение стратегии ИТ в соответствие целям бизнеса. В каких текущих целях бизнеса информационные технологии принимают значительное участие? Каково бизнес-окружение, приемлемый риск, стратегия бизнеса? Цели и метрики CobiT помогают определить цели информационных технологий.

c) Понимание и определение рисков. Какие риски могут препятствовать данным целям? Следует рассмотреть статистику производительности, текущие организационные факторы, сложность, размер/охват и унаследованные уязвимости текущего и планируемого окружения ИТ, природу ИТ-инициатив, таких как проекты, аутсорсинг, архитектурные изменения. Процесс PO9 стандарта CobiT помогает убедиться, что риски определены, и за них назначены ответственные. ITIL разъясняет операционные риски, ISO 27002 – риски информационной безопасности.

d) Определение целевой области, критичной для увеличения добавленной стоимости предприятия. В качестве основы может использоваться CobiT.

e) Анализ текущей зрелости, определение разрывов. Необходимо определить процессы, где улучшения требуются больше всего. Гармоничное развитие процессов снижает расходы по сравнению с фрагментарным развитием. Модели зрелости CobiT используются как основа, ITIL и ISO 27002 детализуют анализ.

f) Разработка стратегий улучшения. Определение и выполнение приоритетных проектов.

g) Измерение результатов, внедрение механизмов сбалансированных показателей для оценки текущей производительности и отслеживания результатов улучшений. Основу для данных сбалансированных показателей формируют цели и метрики CobiT, а также семиэтапный подход постоянного улучшения ITIL.

h) Повторение, начиная с пункта b) на регулярной основе.

4) Как не попасть в ловушки.

a) Рассматривайте инициативы по внедрению как проектную деятельность, серию фаз вместо одного шага.

b) Помните, что внедрение требует изменения культуры, а также новых процессов. В то же время, ключевой фактор успеха – поддержка и мотивация изменений.

c) Убедитесь, что есть четкое понимание целей.

d) Управляйте ожиданиями. На большинстве предприятий достижение управляемости ИТ занимает время и является длительным процессом улучшения.

e) Сосредоточьтесь вначале на том, где легче провести изменения и улучшения, затем, отталкиваясь от этого, стройте дальше шаг за шагом.

f) Получите поддержку и обязательства высшего руководства.

g) Избегайте инициатив, которые начинают восприниматься как чисто бюрократические.

h) Избегайте подхода «размытых» контрольных списков, мероприятий «для галочки».

Выводы

Совместное использование CobiT, ITIL и ISO 27002 повышает эффект использования каждой из данных методологий. Важнейшим фактором успеха внедрения описанных лучших практик является наличие единомышленников в различных структурных подразделениях предприятия. Гармоничность и согласованность данных лучших практик, наличие общих целей и терминологии позволяет ликвидировать встречающийся иногда между подразделениями предприятий эффект лебедя, щуки и рака, задать общее направление, выровненное относительно главного «начальника» на предприятии – бизнес-целей.