Информационная безопасность: бизнес-фокус
Максим Малежин
менеджер отдела по управлению
информационными технологиями и ИТ-рисками, компания Ernst & Young
Itsec.Ru
Наибольшее число финансовых потерь от инцидентов, связанных с информационной безопасностью, компании несут вследствие финансового мошенничества. При этом практически не уделяется внимание безопасности непосредственно бизнес-процессов и поддерживающих их приложений.
Роль информационной безопасности
Деятельность любой коммерческой организации направлена в первую очередь на получение прибыли. На достижении этой основной цели сфокусированы основные бизнес-процессы организации (например, производство, продажи, логистика). Также существует ряд поддерживающих процессов, к которым относятся, в том числе, информационные технологии и информационная безопасность (ИБ), направленные на обеспечение инфраструктуры для функционирования основных процессов. Логично предположить, что руководство практически любой организации заинтересовано в том, чтобы процессы внутри организации были подконтрольны, функционировали так, как были задуманы, а количество ошибок или злонамеренных действий со стороны сотрудников организации, бизнес-партнеров, а также других сторон, вовлеченных в бизнес-процессы организации, было минимальным.
Таким образом, должен инициироваться процесс, направленный на получение достаточной степени уверенности в достижении операционных целей, достоверности финансовой и управленческой отчетности, а также соответствия требованиям законодательства, то есть процесс внутреннего контроля.
Роль, которую играют меры и средства информационной безопасности в процессе внутреннего контроля, нельзя недооценивать. Например, такие аспекты, как разграничение полномочий в информационных системах в соответствии с должностными обязанностями пользователей этих систем, функциональность, не позволяющая совершать определенные транзакции (например, превышающие определенный лимит) без утверждения ответственных лиц, проверка целостности данных при передаче между системами и прочие подобные средства контроля, напрямую относятся к информационной безопасности, поскольку непосредственно влияют на обеспечение конфиденциальности, целостности и доступности данных в рамках бизнес-процессов компании.
Безопасность бизнес-процессов
В конце 2008 г. было опубликовано тринадцатое исследование Computer Science Institute (CSI) по информационной безопасности. Одним из главных выводов данного исследования можно считать то, что наибольшее число финансовых потерь от инцидентов, связанных с И Б, уже второй год подряд компании понесли вследствие финансового мошенничества.
В этом же исследовании приведена статистика того, какие средства обеспечения ИБ используются компаниями - в основном, это традиционные средства обеспечения сетевой безопасности. При этом практически не уделяется внимание безопасности непосредственно бизнес-процессов и поддерживающих их приложений, в частности, таким функциям, как разделение полномочий в системах, а также средствам контроля, встроенным в бизнес-логику приложений. Примерами таких средств могут быть:
- авторизация транзакций;
- контроль целостности и полноты обработки данных;
- контроль над интерфейсами между системами;
- и др.
Цели бизнеса и ИБ
Достаточно давно ведутся разговоры о связи ИТ и бизнеса, существуют соответствующие стандарты и методологии, определяющие соответствие между целями бизнеса и целями ИТ, дающие конкретные рекомендации по управлению ИТ, предоставляющие соответствующие метрики.
Однако когда речь заходит об информационной безопасности, подобная связь бизнес-целей компаний с соответствующими мерами и средствами в данной области не столь очевидна, что подтверждается результатами различных исследований. Особенно остро эта проблема наблюдается среди специалистов, непосредственно отвечающих за обеспечение информационной безопасности в организациях. Порой можно наблюдать ситуацию, когда подразделение информационной безопасности компании живет своей жизнью, отдельной от деятельности организации в целом, занимаясь, например, исключительно защитой сетевого периметра и не обращая внимание на безопасность бизнес-приложений, используемых в компании.
Какие же цели бизнеса могут на деле служить движущими факторами информационной безопасности?
На мой взгляд, таких целей может быть три:
- повышение управляемости бизнес-процессов за счет внедрения средств внутреннего контроля;
- обеспечение соответствия деятельности организации применимому законодательству;
- обеспечение непрерывности бизнеса и восстановления после сбоев за счет повышения надежности и восстанавливаемости ИТ.
Модель зрелости управления ИБ
В марте 2009 г. консорциум ISM3 разработал версию 2.3 модели зрелости управления информационной безопасностью (Information Security Management Maturity Model).
Данная модель фокусируется на процессах управления информационной безопасностью, так или иначе присущих большинству организаций, в отличие от других подобных стандартов, фокус которых направлен на функции контроля в данных процессах.
Модель описывает основные процессы управления информационной безопасности, включая задачи процессов И Б и метрики, которые вытекают непосредственно из бизнес-целей организации. Таким образом, данная модель является инструментом, позволяющим связать цели бизнеса с непосредственными задачами ИБ, создать политики ИБ, отвечающие бизнес-целям организации и осуществлять постоянный мониторинг их исполнения.
При этом модель является совместимой со всеми основными стандартами и методологиями, так или иначе связанными с ИБ - ISO 27001/27002, COBIT, ITIL и т.д.
В целом модель направлена на решение следующих задач:
- построение системы управления ИБ, полностью соответствующей бизнес-целям организации и применимому законодательству;
- применимость к любой организации вне зависимости от размеров, отрасли, сложности бизнес-процессов и имеющихся ресурсов;
- приоритизацию и оптимизацию инвестиций в ИБ;
- постоянное совершенствование системы управления ИБ с использованием соответствующих метрик;
- поддержку процессов аутсорсинга ИБ.
Текущая модель не является всеобъемлющей, о чем свидетельствуют ее постоянные доработки, однако идеи, заложенные в модели, являются воплощением новейших веяний в сфере ИБ и, вероятнее всего, будут активно обсуждаться, применяться, внедряться и совершенствоваться в самое ближайшее время.
Непрерывность бизнеса: перекосы
Другой насущной проблемой для организаций в настоящее время является обеспечение непрерывности бизнеса. Так как вовлечение организаций в электронный бизнес все больше возрастает, а в некоторых отраслях, например в банковской и телекоммуникационной, ведение бизнеса без использования ИТ вообще не представляется возможным, потери даже от незначительных простоев могут быть катастрофическими.
В целом задача обеспечения непрерывности бизнеса - комплексная, которая должна инициироваться непосредственно самим бизнесом и включать в себя многие составляющие, зачастую не имеющие отношения к ИТ и ИБ. Однако многие вопросы, рассматриваемые в рамках данной дисциплины, являются прямой обязанностью службы ИБ, в частности:
- классификация данных и информационных систем;
- определение требований к процессам резервного копирования и восстановления данных;
- управление доступностью систем;
- управление инцидентами. При этом важно отметить, что внедрение технических мер не способно закрыть все вопросы, связанные с непрерывностью бизнеса и восстановлением после сбоев. Необходима тщательная проработка организационных мер, связанных с действиями в кризисных ситуациях, формированием команд восстановления, введением альтернативных процедур функционирования бизнес-процессов, внутренними и внешними коммуникациями и т.д.
Весь процесс планирования непрерывности бизнеса должен быть основан на анализе рисков, учитывать требования бизнеса к восстановлению тех или иных систем и данных.
Как показывает практика, в настоящее время зачастую весь процесс отдается на откуп службе ИТ или И Б, которая может не иметь полномочий для того, чтобы влиять на бизнес в вопросах обеспечения непрерывности, в результате чего может происходить перекос в сторону технических решений, т.е. возникать ситуация, когда ИТ-инфраструктура компании готова к сбоям и прерываниям, а сам бизнес не готов.
Может возникать и обратный перекос, когда в компании сформулированы бизнес-требования к процессу, разработаны планы обеспечения непрерывности функционирования и восстановления бизнес-подразделений, определены требования ко времени восстановления требуемых ИТ-ресур-сов, однако хромает техническая реализация из-за слабой связи между бизнесом и ИТ.
Данные вопросы также рассмотрены в ISM3, причем в качестве методологической основы для планирования непрерывности бизнеса указан британский стандарт BS 25999 и его предшественник - PAS 56.
Адекватная оценка
Преимущества, которые получают организации при сертификации по стандарту BS 25999 или любому другому, не стоит переоценивать. Безусловно, есть некоторый репутационный, а также косвенный финансовый эффект, тем не менее основная польза, которую приносят существующие международные стандарты и методологии, лежит несколько в иной плоскости. И заключается эта польза не столько в том, чтобы показать сертификат партнерам, инвесторам и другим заинтересованным сторонам, сколько в том, чтобы построить эффективную инфраструктуру для поддержки бизнес-процессов, которая была бы направлена на минимизацию количества сбоев, ошибок и злонамеренных действий и при этом являлась бы подконтрольной. В качестве же ориентира или путевой карты при построении такой инфраструктуры и имеет смысл использовать, например, различные стандарты, методологии и модели, приведенные в данной статье.
"Сухой остаток"
Подытоживая вышесказанное, хотелось бы подчеркнуть следующие основные идеи:
- Информационная безопасность, хотя и является вспомогательным процессом, но при этом представляет собой важную составляющую надежности операционной деятельности компаний.
- Как и другими процессами, информационной безопасностью необходимо управлять. При построении системы управления желательно опираться на опыт, изложенный в общепринятых моделях, методологиях и стандартах.
- Стремление к соответствию международным стандартам в области информационной безопасности в первую очередь должно быть нацелено на улучшение внутренних процессов компании.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #3, 2009