Здравствуйте! Меня зовут Антон Удовиченко, я являюсь начальником отдела аудита «Инфосекьюрити». На основе своего опыта я подготовил инструкцию как разработать стратегию ИБ в компании.


Разработка стратегии информационной безопасности (ИБ) для многих компаний видится трудной задачей, как с точки зрения организации самого процесса разработки, так и последующей практической реализации стратегии. Некоторые компании заявляют, что могут обойтись без формального планирования, не затрачивая сил и времени на составление планов, обосновывая это стремительными изменениями рынка технологий, которые перечеркивают все их усилия. Такой подход при наличии эффективных действий может привести к некоторому успеху, однако не только не гарантирует успех в будущем, но и ставит его под серьезное сомнение. Формальное планирование значительно уменьшает риск принятия неверных решений и служит основой для последующего контроля, а также содействует повышению готовности к изменениям рынка.

Потребность в стратегии ИБ, как правило, возникает у компаний, которые чувствуют себя уже достаточно уверенно на рынке, чтобы строить планы на годы вперед, однако столкнулись со следующими вызовами:

  • ­отсутствие взаимосвязи между стратегическими целями компании и направлениями развития ИБ;
  • ­недостаточный уровень информационной безопасности ключевых бизнес-процессов компании;
  • ­низкая отдача от инвестиций в развитие информационной безопасности.

Стратегию развития ИБ стоит рассматривать как некоторую карту, которая определяет ориентиры на местности и направляет к цели. Она позволяет сделать достижение цели управляемым за счет установки ограничений и приоритетов принятия тактических решений для тех, кто отвечает за развитие компании и/или отдельных направлений. При этом стоит обратить внимание, что стратегия ИБ не должна быть статической и, по мере уменьшения фактора неопределенности с течением времени, стратегия должна пересматриваться и, при необходимости, корректироваться, задавая новые приоритеты принятия тактических решений.

Для кого стратегия ИБ представляет интерес?


Некоторые ошибочно считают, что стратегия ИБ нужна только лицам, ответственным за обеспечение ИБ. В действительности, пользователей стратегии ИБ значительно больше и у каждого свой интерес, основные из них:

Руководство компании:

  • ­понимание роли ИБ в реализации общей концепции развития компании;
  • ­обеспечение согласованности действий со стратегией развития всей компании;
  • ­понимание целей и объема инвестиций в ИБ;
  • ­рациональное распределение инвестиций;
  • ­инструменты контроля достижения поставленных целей.

Служба информационных технологий:

­
  • понимание роли ИБ в развитии IT компании;
  • ­понимание требований со стороны ИБ к целевой архитектуре IT.

Служба информационной безопасности:

  • ­наличие единых принципов развития ИБ;
  • ­понимание целевой архитектуры ИБ компании;
  • ­наличие подробного плана действий (портфеля проектов);
  • ­чёткое понимание требуемых ресурсов;
  • ­соответствие законодательству и отраслевым стандартам в части обеспечения ИБ;
  • ­инструменты контроля достижения целей ИБ.

Порядок разработки стратегии ИБ


Прежде чем рассмотреть основные шаги разработки стратегии, нужно определиться с критерием качества стратегии ИБ и, соответственно, с целью её разработки — это получение полноценных ответов на три вопроса:

­
  • Каковы стратегические цели развития ИБ, каким образом эти цели коррелируют со стратегическими целями компании?
  • ­Каков будущий профиль (состояние) ИБ компании?
  • ­Какие действия необходимо предпринять для достижения стратегических целей развития ИБ?

Этап 1. Подготовка. Для начала определимся с параметрами и порядком управления проектом.

Ключевые задачи, которые должны быть решены:

  • создание проектной команды и постановка задач;
  • согласование структуры собираемых данных и адаптация шаблонов;
  • согласование границ проекта, структуры и содержания отчетных документов;
  • согласование процесса управления проектом
  • определение порядка решения возникающих проблем;
  • подготовка и согласование плана работ.

На данном этапе, по сути, нужно заложить ключевые факторы успеха и достижения желаемых результатов, а именно:

  1. Вовлечение руководства в проект: разработка и внедрение стратегии ИБ, в первую очередь, должны быть поддержаны руководством компании, которое должно отвечать за отслеживание выполнения работ, выделение необходимых ресурсов, а также за последующее утверждение разработанной стратегии.
  2. Формирование проектной команды: её состав должен включать наиболее компетентных сотрудников и оставаться неизменным на всем протяжении проекта. В проекте выделяются следующие организационные единицы:
    • куратор проекта со стороны Исполнителя;
    • куратор проекта со стороны Заказчика;
    • управляющий комитет;
    • руководитель проекта со стороны Исполнителя;
    • руководитель рабочей группы со стороны Заказчика;
    • проектная команда Исполнителя;
    • функциональные специалисты со стороны Заказчика.

  3. Четкое формулирование целей, требований, ограничений, а также критериев успешности проекта, что позволит строго придерживаться верного направления и оправдать ожидания Заказчика.
  4. Разработка процедуры управления проектом: процессы коммуникаций и принятия решений обеспечивают взаимосвязь и взаимозависимость всех управленческих функций, чем достигаются целостность и эффективность управленческого процесса. Процедурой должны предусматриваться распределение полномочий и ответственности, порядок взаимодействия участников, порядок согласования промежуточных и итоговых результатов, порядок управления проблемами и внесения изменений в проект.

Итогом данного этапа должны стать:

  • устав проекта, календарный план работ, план-график необходимых интервью;
  • структура отчетных документов и шаблоны собираемых данных/отчетных документов.

Этап 2. Анализ текущего состояния ИБ. Целью этапа является сбор и анализ порядка и способов обработки информации с точки зрения ИБ, текущего состояния обеспечения ИБ.

Ключевые вопросы, на которые должны быть даны ответы:

­
  • Какую роль занимает ИБ в компании?
  • ­Какие требования составляют основу функционирования ИБ компании?
  • ­Каково текущее состояние процессов обеспечения ИБ?
  • ­Какие средства защиты информации применяются, их плюсы и минусы?
  • ­Какие требования предъявляет бизнес к обеспечению ИБ?

Установление роли ИБ в компании задает общий контекст разработки стратегии и проводится на всех уровнях: руководство, руководители подразделений, работники.

Сбор информации ведется по следующим направлениям:

  • ­уровень культуры ИБ в компании;
  • ­приоритет ИБ по отношению к бизнес-процессам;
  • ­влияние ИБ на бизнес-процессы компании;
  • ­осознание со стороны руководства потребности в обеспечении ИБ;
  • ­степень вовлеченности и осведомленность сотрудников по вопросам ИБ.

Следующий шаг заключается в выявлении требований, которым компания обязана следовать или на которые она добровольно решила ориентироваться. Требования составляют, по сути, основу функционирования ИБ, к ним относятся: законодательство, отраслевые стандарты, национальные и международные стандарты ИБ, политики группы компаний и др.

Шаг обследования и анализа процессов обеспечения ИБ является ключевым, во многом определяя результат всего проекта. Его сложность заключается в необходимости получить достоверную и объективную информацию, достаточную для формирования будущего профиля ИБ, как правило, за весьма ограниченное время. Можно выделить три концептуальных подхода: базовый, детальный и комбинированный (экспертный).

Базовый подход

Подход предполагает анализ состояния ИБ на предмет соответствия некоторому базовому уровню обеспечения безопасности. Базовый уровень представляет собой некоторый типовой набор защитных мер, как правило, характерных для компаний, работающих в одной сфере, для защиты всех или отдельных информационных систем. Типовой набор защитных мер формируется, исходя из потребностей компаний, использовать некоторые стандартные меры, например, с целью соответствия законодательным требованиям, а также для защиты от наиболее распространенных угроз.

Базовый подход позволяет обойтись минимальным количеством ресурсов при проведении анализа, может быть реализован даже в виде чек-листов с вопросами, касающимися наличия тех или иных мер и параметров их реализации. Существенный недостаток данного подхода заключается в неточности и ограниченности собранной информации, так как базовый уровень не всегда может соответствовать критичности обрабатываемой информации, специфике её информационных систем и бизнес-процессов. Отдельные системы компании могут характеризоваться различной степенью чувствительности, разными объемами и ценностью информации, использование в этом случае общих мер защиты будет логически неверным.

Детальный подход

Детальный подход предполагает проведение всестороннего обследования процессов обработки информации и обеспечения ИБ компании. Такой подход включает в себя идентификацию и оценку информационных активов, оценку рисков нарушения ИБ, оценку зрелости процессов ИБ, анализ статистики инцидентов, анализ публичных обзоров, отчетов регуляторов.

Результаты детального анализа позволяют выполнить хорошо аргументированный выбор защитных мер при формировании будущего профиля ИБ, однако реализация данного подхода требует значительного количества средств, времени и квалифицированного труда. Кроме того, существует некоторая вероятность устаревания результатов в ходе обследования, поскольку такой подход может потребовать значительного времени.

Комбинированный (экспертный) подход

Применение каждого из описанных выше подходов имеет существенные ограничения и не всегда позволяет собрать за приемлемое время информацию, достаточную для аргументированной разработки стратегии ИБ и формирования портфеля проектов. Поэтому, на практике используются различные комбинации указанных подходов, включающие как формальные методы анализа, так и практический опыт специалистов. Как правило, данный подход строится на основе предварительного анализа для высокоуровневой оценки рисков нарушения ИБ, учитывая критичность (конфиденциальной) информации, информационные потоки, значимость информационных систем. В дальнейшем для информационных систем, подверженных высокому риску, проводится детальный анализ, для остальных — может быть ограничен базовым подходом. Кроме того, проводятся детальный анализ и описание ключевых процессов обеспечения ИБ, а также оценка применяемых средств и методы защиты информации, их плюсов и минусов.

Данный подход позволяет при минимуме времени и усилий, затраченных на идентификацию текущего состояния, получить необходимые данные для формирования будущего профиля ИБ. Стоит только отметить, что объективность и качество результатов обследования в данном подходе будут определяться качеством методики обследования и опытом её использования специалистами.

В дополнение, стоит сказать, что выбор методов обследования и степень вовлечения работников будут определяться используемым подходом и методикой обследования. Например, базовый подход может ограничиться анализом внутренних документов и анкетированием с некоторым количеством интервью ключевых сотрудников, в то время как два других подхода задействуют большее количество сотрудников и более широкий набор инструментов:

­
  • анализ внутренних документов;
  • ­анкетирование;
  • ­интервьюирование;
  • ­визуальный осмотр;
  • ­обследование с использованием специализированных технических средств.

По завершении данного этапа вне зависимости от выбранного подхода стоит ожидать:

  • ­экспертное заключение об уровне развития ИБ компании;
  • ­интегральная оценка текущего состояния ИБ;
  • ­описание бизнес-требований к ИБ;
  • ­отчет и презентация по результатам этапа.

Этап 3. Разработка целевого профиля ИБ. На данном этапе решаются следующие ключевые задачи:

­
  • обеспечение взаимосвязи между стратегическими целями компании и направлениями развития ИБ;
  • ­формулировка базовых принципов стратегии ИБ;
  • ­определение будущего профиля ИБ компании.

Одним из главных препятствий при разработке стратегии ИБ в плане управления ожиданиями, которые есть у высшего руководства, является отсутствие четких начальных условий, а именно — стратегии развития компании с четким описанием всех аспектов в понятных терминах. На практике имеет место, как правило, либо отсутствие стратегии развития компании как таковой, либо она не формализована и в лучшем случае может быть сформулирована на словах.

Проблема отсутствия стратегии развития компании решается совместными усилиями представителей бизнеса, IT и ИБ в выработке общего видения задач ИБ, принимая во внимание следующие факторы:

­
  • какие инициативы планируются в масштабах компании, включая организационные изменения, развитие рынка и технологий;
  • ­какие изменения планируются в бизнес и IT-процессах;
  • ­какие важные решения зависят от достоверности, целостности или доступности информации, или от своевременного её получения;
  • ­какие виды конфиденциальной информации требуют защиты;
  • ­какие последствия могут наступить для компании после появления инцидента ИБ;
  • ­какие изменения внешней среды можно ожидать, включая действия конкурентов, изменения законодательства и т.п.

Ответы на поставленные вопросы могут помочь сформулировать цели обеспечения ИБ в компании. В свою очередь, следует иметь в виду, что для каждой инициативы или предполагаемого действия должны быть оценены возможные или желаемые результаты, риски их реализации, а также риски в случае отказа от реализации.

Базовые принципы стратегии ИБ, по сути, определяют набор глобальных правил, которых следует придерживаться при её построении, а также при выборе и внедрении решений. Принципы формулируются в зависимости от стратегических целей, процессов компании, инвестиционных возможностей и др., поэтому они, как правило, индивидуальны для компании. Выделим некоторые универсальные принципы:

  • целостность ИБ: применяемые программные и аппаратные решения, а также организационные меры должны быть взаимосогласованными и обеспечивать заданный уровень безопасности;
  • стандартизация и унификация: многообразие применяемых технологий должно сводиться к минимуму с целью снижения затрат на поддержание экспертизы и решений, на их согласование и интеграцию, лицензирование и сопровождение;
  • ­простота использования: используемые методы и средства обеспечения ИБ не должны вести к росту числа ошибочных действий персонала, при этом данный принцип не означает простоту архитектуры или снижение функциональности;
  • ­минимальные привилегии: суть принципа состоит в выделении наименьших прав, что не должно приводить к нарушению выполнения работы пользователем;
  • ­экономическая эффективность: применяемые решения должны стремиться к снижению совокупной стоимости владения, повышению коэффициента возврата инвестиций и оптимизации иных показателей оценки экономической эффективности инвестиций.

Формирование будущего профиля ИБ представляет собой решение нескольких частично противоречивых задач:

  • ­выполнить требования по ИБ (законодательства, регуляторов, производителей, партнеров и т.п.);
  • ­свести риски нарушения ИБ к минимуму;
  • ­обеспечить соответствие целям бизнеса с учетом предполагаемых изменений бизнес и IT-процессов;
  • ­обеспечить инвестиционную привлекательность ИБ.

Существует множество стандартов, как международных (ISO, COBIT, NIST и др.), так и российских (СТО БР, ГОСТ и др.), которые можно взять на вооружение при формировании будущего профиля ИБ. Однако здесь важно помнить, что ни один стандарт не может полностью быть применим ко всем компаниям. Поэтому не следует разрабатывать стратегию, опираясь исключительно на один какой-либо стандарт или делать все под копирку. Все компоненты процесса обеспечения ИБ должны, в конечном счете, органично вписываться в логику развития бизнеса: с одной стороны, не слишком сдерживать развитие, с другой — держать риски в заданных пределах.

Важный вопрос, который также необходимо рассмотреть в рамках стратегии ИБ — численность и квалификация персонала, что необходимо для обеспечения выполнения основных функций. Следует разработать хотя бы простейшую модель компетенций, которая помимо должностных обязанностей, определит организационные и отраслевые знания и навыки, необходимые персоналу. При разработке стратегии ИБ лучше предлагать только те решения, которые потребуют впоследствии доступных компании компетенций или, по крайней мере, компетенций, которые могут быть получены с минимумом усилий.

Еще один вопрос, на который стоит обратить внимание, — аутсорсинг. Он может оказаться хорошим инструментом, ускоряющим внедрение многих функций ИБ, а также обеспечить их операционную поддержку. Принимая решение об аутсорсинге, необходимо учесть соответствующие риски, так как использование сторонних компаний для обеспечения ИБ не всегда означает передачу ответственности перед своими клиентами и регуляторами, кроме того, в случае инцидентов клиентам зачастую все равно, по чьей вине произошел сбой. Функции управления и контроля ИБ при этом ни в коем случае не должны полностью отдавать на аутсорсинг.

Результатом данного этапа станут:

­
  • цели и задачи, принципы развития ИБ;
  • ­описание состава и функциональности целевой системы ИБ;
  • ­описание целевых процессов управления ИБ;
  • ­отчет и презентация по результатам этапа.

Этап 4. Формирование портфеля проектов ИБ. На завершающем этапе решается задача эффективности инвестирования в развитие ИБ. С этой целью проводится формирование портфеля проектов ИБ, включая оценку и отбор потенциальных проектов, расстановка их приоритетов и установка критериев их выполнимости.

Существует большое количество методов оценки потенциальных проектов для включения их в состав портфеля: экономико-математические, экспертно-аналитические, графические. Среди них широкое распространение применительно к проектам IT/ИБ получили экспертно-аналитические методы, в частности, метод множественных взвешенных критериев, который позволяет проводить оценку на основании как количественных, так и качественных критериев, приоритизацию проектов с учетом их специфики и отличается простотой использования. Суть метода заключается в присвоении каждому критерию определенного удельного веса, который определяется относительно его важности для достижения стратегических целей. Набор критериев и их удельные веса индивидуальны для каждой компании и определяются её спецификой и масштабом деятельности. На практике наиболее часто используются группы критериев: финансовые критерии, бизнес-критерии, критерии риска. Сам порядок оценки с использованием данного метода прост и включает следующие шаги:

­
  • определение набора критериев и их удельных весов;
  • ­оценка каждого потенциального проекта по заданному набору критериев;
  • ­расчет интегральной оценки каждого потенциального проекта;
  • ­ранжирование потенциальных проектов на основании интегральной оценки.

Следующим шагом после оценки проектов является формирование оптимального набора проектов, наилучшим образом обеспечивающего достижение стратегических целей компании с учетом действующих ограничений. На данном шаге проводится выявление значительных расхождений между показателями проектов и их сглаживание с учетом их взаимосвязей. Главными ориентирами в поиске оптимального решения, как правило, являются:

­
  • максимальный эффект от реализации проектов в кратчайшие сроки с учетом финансовых ограничений;
  • ­эффект от реализации последовательности взаимосвязанных проектов.

Финальный вопрос, на который нужно дать ответ при разработке стратегии ИБ — как в процессе её последующей реализации узнать, в правильном ли направлении мы движемся и на сколько продвинулись? Для оценки эффективности реализации стратегии ИБ закладывается набор метрик. Метрики должны быть согласованы с целями компании, поэтому при разработке метрик важно вначале определить собственно выгоду для бизнеса от обеспечения ИБ, а затем критерии, которые могут быть использованы для оценки достижения этой выгоды. Как правило, руководство компании в качестве метрик хорошо воспринимает показатели в денежном выражении или степень влияния на бизнес-процессы. Также хорошим вариантом является использование модели зрелости процессов, она дает наглядную оценку степени реализации процессов ИБ.

Результатом данного этапа станут:

­
  • целевой портфель ИБ проектов;
  • ­«дорожная карта» развития ИБ;
  • ­риски и ключевые факторы успеха реализации ИБ;
  • ­метрики и критерии реализации стратегии ИБ;
  • ­отчет и презентация по результатам этапа.

Риски реализации проекта разработки стратегии ИБ




Проект разработки стратегии ИБ является достаточно сложным и может потребовать усилий большого количества людей, поэтому неизбежны риски, которые следует учитывать в начале проекта.

Недостаточное участие сотрудников в проектной команде.

Процесс разработки стратегии может не восприниматься участниками как «реальная работа», поскольку не является частью их ежедневных обязанностей, за которые они получают зарплату. Кроме того, участие в процессе планирования часто означает отсутствие обязанностей, небольшие возможности по практической реализации планов и отсутствие в подчинении большого количества людей — все те атрибуты, с которыми ассоциируется понятие «статуса». Данный риск может в определенной степени быть нивелирован формированием расширенного состава проектной команды, назначением состава управляющего комитета приказом с указанием исполняемых обязанностей по проекту, согласование плана участия сотрудников с резервированием времени участия в проекте.

Смена ключевых участников проектной группы.

Смена какого-либо из ключевых участников — достаточно болезненный процесс, так как может приводить к потере определённой компетенции, перераспределению обязанностей внутри команды и (или) дополнительным затратам ресурсов на погружение нового человека в детали. Такое событие может оказать негативное влияние и на сроки, и на качество. Исключить полностью данный риск невозможно, но его можно минимизировать за счет публичности проекта внутри компании, а также наличия прозрачной информации и документации по проекту.

Неверное понимание процессов или неверная трактовка процесса Исполнителем.

Разработка стратегии ИБ требует от специалистов Исполнителя ориентации на незнакомой территории, и достижение понимания даже по таким простым вещам, как термины, может создавать проблемы. Как правило, данный риск минимизируется за счет проведения периодических презентаций, обсуждения промежуточных результатов и спорных вопросов в рабочих группах.

Несоответствие ожиданий Заказчика и результатов проекта.

Недостаточно четкое изначальное понимание и формулировка целей и задач разработки стратегии ИБ со стороны Заказчика также может существенно сказаться как на качестве, так и сроках. Нивелировать данную проблему позволяет согласование целей, задач и ограничений проекта, а также форматов и шаблонов выходных результатов на начальном этапе работы.

Для минимизации негативных ситуаций большую роль играет наличие процесса управления проблемами, в рамках которого производится выявление, регистрация и разрешение проблем. С этой целью на регулярной основе могут проводиться совещания управляющего комитета, совещания рабочих групп и доклады о промежуточных итогах проекта.

Заключение


Хотелось бы отметить, что стратегию ИБ стоит рассматривать именно как инструмент управления развитием ИБ компании, направленный на достижение целей бизнеса и минимизации рисков нарушения ИБ. Данный инструмент определяет границы целей развития ИБ и устанавливает приоритеты для тактических решений, делая достижение цели управляемой и выполнимой задачей для тех, кто за это отвечает. И как любой инструмент, стратегия ИБ может быть заточена для грубой или точной работы со всеми вытекающими плюсами и минусами, поэтому при её разработке следует руководствоваться ключевым принципом — стратегия ИБ должна соответствовать бизнесу и должны быть возможности для её реализации.