Эволюция вычислительных технологий постоянно ускоряется, руководителям предприятий приходится отслеживать новые тенденции, принимать решения, связанные с обновлением инфраструктуры информационных технологий. Новые технологии приводят к появлению новых способов организации дальнейшей работы, а также служат источниками новых услуг.
В последнее время наметилась тенденция к укрупнению организаций. Слияние компаний и приобретение ими других предприятий происходят всё чаще, поскольку это является одним из основных способов расширения бизнеса. Несмотря на то, что многие компании успешно проводят операции по слиянию и приобретают новые активы, исследования показывают, что большая часть подобных операций снижает стоимость акций, приводя в дальнейшем к изъятию капиталовложений. Основной причиной таких неудач являются сложности, возникающие при объединении различных корпоративных информационных систем. Одной из таких систем, бесспорно, является корпоративная система управления информационной безопасностью.
Специалистам компаний, предоставляющих консалтинговые услуги в сфере информационной безопасности, всё чаще встречаются ситуации, когда в процессе слияния организация получает в своё распоряжение большое количество разнородных информационных систем, которые необходимо интегрировать в действующую систему приобретателя. Традиционно, подобные проекты, проводятся с акцентом на анализ и формирование решений, направленных на развитие IT инфраструктуры, предложений о доработке и интеграции активного сетевого и серверного оборудования в единую структурированную систему сбора и анализа событий информационной безопасности. Практика ведения подобных проектов показывает, что данное решение является половинчатым, поскольку внедрение многоуровневых систем управления подразумевает наличие в организации хорошо структурированной и функционирующей системы управления процессами информационной безопасности.
В свою очередь, многие организации питают определённые иллюзии относительно способности сложных технических систем управления, упуская из виду их истинное предназначение, как инструмента, направленного на мониторинг и сбор информации о событиях безопасности, автоматизацию контроля разработанной и внедрённой политики информационной безопасности. Системы данного класса становятся абсолютно бесполезными при отсутствии должным образом налаженной внутриорганизационной структуры управления.
В процессе слияния, организация наряду с IT инфраструктурой наследует политики и процедуры, которые в большинстве случаев не соответствуют требованиям приобретателя, его собственной наработанной модели управления. Как правило, ситуация усугубляется отсутствием внутренних ресурсов и финансирования на приведение системы к эталонной модели. В таком случае задача формулируется следующим образом: с минимальными затратами, используя существующую IT инфраструктуру и персонал организации, разработать модель управления средствами обеспечения информационной безопасности и соблюдения единой политики, сформированной на базе организации – приобретателя. Очевидно, в данной формулировке, IT и IS выделены в отдельные взаимозависимые прикладные области, а их правильное взаимодействие представляет ключевой фактор успеха при проектировании корпоративных систем управления информационной безопасностью.
Особенность эффективной реализации системы управления информационной безопасностью заключается в её способности функционировать в двух основных направлениях: организационном и технологическом.
Основу организационной модели управления информационной безопасностью составляет подход, который характеризуется применением системы процессов взаимосвязанных в рамках модели PDCA в соответствии с рекомендациями стандарта BS ISO/IEC 27001:2005 и практиками по внедрению BS ISO/IEC 17799:2005. В случае банковской системы, это стандарт Банка России СТО БР ИББС-1.0 “Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения”. Данная модель наиболее полно отражает потребностям организаций в управлении, поскольку является прозрачной, переносимой и не требует для внедрения в организации серьёзных капиталовложений.
Зрелая система управления информационной безопасностью организации подразумевает перманентную процедуру анализа и оценки рисков, сравнение показателей по периодам и внесение соответствующих изменений в процедуры информационной безопасности.
Периодической переоценке должны подлежать следующие основные позиции:
- Состояние информационной системы, включая определение номенклатуры информационных ресурсов и правила их объединения в рабочие группы.
- Информация, обрабатываемая информационной системой, включая категорирование по уровню критичности с точки зрения бизнеса и вероятную материальную оценку ущерба в случае возможной дискредитации информации, принадлежащей определённой категории.
- Организация работы пользователей информационной системы, которая включает определение принадлежности групп пользователей к определённым информационным ресурсам, количество пользователей в группе, категории доступной информации, виды и права доступа к информации, определение доступности информации (время простоя при попытке доступа к информации в каждой из групп пользователей).
- Функционирование организации, определение бизнес-процессов и их привязку к информационным ресурсам и категориям обрабатываемой информации.
- Средств защиты, организацию физической защиты доступа к информационным ресурсам, организацию защиты информации, организацию защиты рабочих мест, мониторинг затрат на информационную безопасность.
- Уровень защищённости информационной системы, пересмотр организационных мер, физическую защиту доступа к информационным ресурсам, безопасность персонала, управление коммуникациями и процессами, процедуры контроля доступа, возможность внесения изменений в исполняемые файлы и библиотеки информационных ресурсов, функционирование и поддержание в актуальном состоянии плана обеспечения непрерывного ведения бизнеса, соответствие документированным требованиям политики безопасности.
В свою очередь, технологическая составляющая должна характеризоваться системным подходом к проектированию и опираться на функционирующую систему управления информационной безопасностью организации. Данный подход позволяет наиболее полно применять принцип декомпозиции, необходимый при проектировании сложных систем.
Согласно принципу декомпозиции технологическую составляющую системы информационной безопасности условно можно разделить на следующие высокоуровневые подсистемы:
- безопасность инфраструктуры
- безопасность информации
- доступность средств обработки информации
- безопасность при проведении операций с информацией
Глубина декомпозиции зависит от установленного приобретателем целевого уровня проработки системы информационной безопасности.
Практика показывает, что совместное использование процессного подхода к проектированию организационной составляющей и принципа декомпозиции при проектировании сложных технических систем, дают возможность проектировать системы управления информационной безопасности, наиболее полно удовлетворяющие требованиям заказчика.
Немаловажным фактором при использовании данного подхода является экономия средств, вследствие разработки и реализации обдуманных и сбалансированных решений.
Подводя итог, следует отметить, что отличительной особенностью успешного функционирования и развития бизнеса является не только способность коммерческих организаций и предприятий внедрять и эксплуатировать новейшие автоматизированные системы, но и умение правильно управлять высокотехнологичными процессами обработки информации. Реализация задач управления рассматривается как непрерывный процесс в разрезе функционирования всей организации в целом и носит глобальный характер. Отдельная роль в данном процессе отводится защите информации, как важнейшему деловому активу современной коммерческой организации.
Источник: CONNECT! Мир Связи №10 2006
Сергей Романовский, rom_se@amt.ru