В. Андрианов - Обеспечение информационной безопасности бизнеса
Например, установка сетевого экрана с функциями обнаружения вторжений в условиях, когда его не было и для защиты компьютеров во внутренней сети использовались средства, штатно имеющиеся в составе их ОС, потребует сразу больших инвестиций. Когда же этот экран установлен и необходима лишь корректировка правил фильтрации и настройка системы обнаружения вторжений, то вложения будут относительно небольшими, причем эффект от этого мероприятия будет ограничен теми возможностями по настройке, которые есть в имеющемся оборудовании. Затраты на сверхтонкую настройку при ограниченности возможностей, как правило, не оправдывают себя.
Размер инвестиций определяется величиной прогнозируемого ущерба, поскольку если на преодоление риска требуется ресурс больший, чем потери, то нет смысла обрабатывать риск. В приводимом на рис. 11 примере размер инвестиций таков, что в нижний процесс на рисунке его не имеет смысла вкладывать. Второй процесс имеет смысл инвестировать в небольшом объеме. Оставшуюся часть целесообразно инвестировать в первый процесс.
В рассмотренных иллюстрациях цикл накопления знаний вырождается в совершенствование обработки риска. Отметим, что построение использованных в примерах зависимостей по эмпирическому опыту чаще всего окажется невозможным. Назначение рассмотренных примеров — облегчить понимание природы связи абстрактных оценок риска с имеющейся практикой. Это понимание облегчит и позволит совершенствовать обработку риска даже в том случае, когда она делается на основе экспертных оценок.
1.3.11. Общая модель обеспечения ИБ бизнеса
Теперь можно сформулировать основные требования к архитектуре (структуре) модели. Понятно, что ее ядром должны стать процедуры и механизмы накопления и обобщения знаний, и прежде всего эмпирических. Предметная область (о чем знания) — факторы и обстоятельства, препятствующие и способствующие достижению поставленных целей, отображенные в информационную сферу (все, что существует и используется в виде описаний). Необходимая направленность (применимость) знаний — эффективное противодействие рискам в информационной сфере независимо от их природы.
Риск рассматривается как сущность, определяемая в пространстве факторов «А, П, И, С, Р». Он же (риск) является сущностью, посредством которой осуществляется отображение ИБ на базовые риски бизнеса и далее на его потенциальные ущербы и негативные последствия. С учетом этих соображений общая модель обеспечения ИБ бизнеса представлена на рис. 12.
Эта модель представляет собой одну из разновидностей модели Деминга — Шухарта, а именно модель с центральным фокусом. В фокусе модели размещаются аналитический функционал и база лучших практик, обеспечивающие накопление и обобщение знаний, а также настройку параметров функций и процессов, размещенных непосредственно в кольце, и управление ими (прежде всего запуском).
Видно, что процесс идентификации факторов влияния на заданные цели, являющийся стартом кольца, реализуется непрерывно и отражает потребность в выявлении новых факторов и обстоятельств, способных повлиять на цели деятельности. Для этого фокус использует любую доступную для него информацию, как внутреннюю, так и внешнюю. Любые зафиксированные изменения (изменчивость) приводят к запуску процессов оценки (вершина «Оценка» на рис. 12), второе условие запуска — «по интервалу времени» принудительно. Измеряются допустимые значения идентифицированных рисков ИБ. Если изменения значимы, как показано на рис. 12, то запускаются процессы обработки рисков (вершина «Обработка»), в противном случае кольцо замыкается.
Процессы обработки рисков в качестве результата вырабатывают комплекс мер реагирования на изменившееся распределение рисков ИБ с учетом накопленного знания. Далее процессы оптимизации (вершина «Оптимизация» на рис. 12) интегрируют новые меры реагирования в систему уже имеющихся с учетом ограничений на ресурсы и величины принимаемого риска для целей деятельности. При этом каждый раз рассматривается вся действующая система мер реагирования в контексте «цель; принятый риск; ресурс» и вырабатывается наилучшая в смысле накопленного знания система мер. Далее осуществляется ее экспорт в пространство «А, П, И, С, Р», на чем процесс улучшений завершается, а кольцо Деминга замыкается по полному циклу.
Видно, что приведенная на рис. 12 общая модель обеспечения ИБ организации есть некоторая рациональная композиция процедур, механизмов и методов, рассмотренных выше, почему и нет необходимости подробно ее описывать. Это в известном смысле «идеальная» модель обеспечения ИБ организации. Реальные потребности организации могут ее изменять, усиливая одни компоненты и ослабляя либо исключая другие компоненты. Однако основная проблема практической реализации модели состоит не в этом, а в сложности ее интеграции в сложившийся в организации набор практик менеджмента различными аспектами ее деятельности.
1.3.12. Проблемы практической реализации модели обеспечения ИБ организации
Любая организация в процессе своей деятельности накапливает набор практик, обеспечивающих реализацию тех или иных ее потребностей. В совокупности они составляют сбалансированную естественным образом самой организацией систему менеджментов. Как правило, это уникальная система, отражающая конкретную практику конкретной организации. В том числе, если речь не идет об организации, создаваемой заново, в этой практике есть и уже сложившаяся система обеспечения ИБ, также уникальная. В этой связи успех или неуспех практической реализации рассмотренной модели ИБ в организации будет определяться тем, насколько она «гармонизирована» со сложившейся практикой. Основные, сильно влияющие на проблему гармонизации аспекты следующие:
— модели, реализуемые в рамках общекорпоративного менеджмента;
— модели внутреннего контроля и аудита организации;
— модели кадрового менеджмента;
— модели совершенствования и управления ИТ-системами организации;
— модели, используемые в бизнес-аналитике организации;
— модели общего риск-менеджмента организации;
— внутренняя нормативная база, определяющая роли и организационные политики организации, а также вопросы владения активами организации;
— стратегический и оперативный уровни управления организацией. Приведенный перечень только основных аспектов влияния на обеспечение ИБ в организации показывает сложность проблемы гармонизации. Очевидно, что ее решение существенно упростится, если методологические основы (платформы) близки или вообще совпадают. Это, однако, не так. Например, часть реально применяемых моделей рассматривают формализуемые ими сущности (объекты, процессы, технологии, виды деятельности и т. д.) как самодостаточные и не учитывают при этом фундаментальный аспект эффективности деятельности; не предполагают сопоставление получаемого результата (эффекта) и потребностей в инвестициях. К подобным моделям относится, например, ISO 9000, подвергаемый суровой критике за эту свою особенность.
