Три ступени к безопасности

Господствующая по сей день точка зрения на информационную безопасность (ИБ) предполагает, что ИБ — это безопасность, связанная непосредственно с функционированием информационных систем, технологий, процедур, процессов обработки, хранения и накопления информации. Защита от угроз, обусловленных существованием этих процессов, включает комплекс всеми принятых и всем понятных политик и мероприятий. Они, безусловно, являются необходимым элементом системы информационной безопасности. Необходимым, но недостаточным. Вне поля зрения собственников, топ-менеджеров, специалистов по безопасности и ИТ-специалистов остается обширная и мало освоенная область управления информационной безопасностью. В нее включаются аспекты, которые не ассоциированы напрямую с конкретным процессом обработки информации, а предполагают взгляд на информационную безопасность как составную часть безопасности деятельности организации. «Сейчас все чаще поднимается вопрос об управлении информационной безопасностью как о стратегическом управлении, управлении на уровне безопасного бизнеса, — говорит Андрей Петухов, руководитель департамента систем информационной безопасности компании „АйТи“. — Такой взгляд свидетельствует о расширении границ представлений об информационной безопасности. К этой области относится все, что можно назвать угрозой и препятствием к реализации планируемой целенаправленной деятельности организации в областях, связанных с использованием информации. Безопасность — это состояние ведения бизнеса, предполагающее деятельность организации на минимальном рисковом фоне.

Очень обнадеживающе и позитивно то, что термин „управление“ все чаще употребляется в контексте информационной безопасности. Управление немыслимо без осознания цели — это всегда или поддержание движения к цели, или удержание целевого состояния. Если еще сравнительно недавно поддержание соответствия стандарту, норме, требованиям составляло основу деятельности по обеспечению информационной безопасности, то теперь и бизнес, и госструктуры приходят к выводу, что это лишь косвенные формы целеполагания. Управление предполагает динамику развития любой системы, в том числе информационной безопасности».

Три ступени к безопасности

Специалисты выделяют следующие три уровня управления ИБ:

> операционное управление ИБ (управление функционированием) — выполнение главной функции объекта управления, т. е. организация и поддержка безопасности основных информационных процессов, отслеживание потока событий безопасности (инцидентов) и принятие решений по реагированию на эти события. На этом уровня используются широко известные системы мониторинга;

> технологическое управление ИБ (управление модернизацией) — изменение политик, инсталляция новых средств защиты, дополнительное обучение персонала. Все это направлено на преодоление препятствий или парирование угроз. На этом уровне управления систему безопасности дополняют и изменяют, придают ей какие-то новые конфигурации, включают в ее состав новые функции, поскольку усматриваются новые угрозы;

> стратегическое управление (управление развитием) — изменение системы в соответствии с новыми целями компании; развитие концептуальных решений — концепции безопасности, модели угроз/нарушителей, стратегии развития безопасности. Оно может заключаться в установлении некоторых связей, закономерностей, принципов, позволяющих при изменении бизнес-целей адекватно модифицировать если не саму систему, то, по крайней мере, правила ее развития.

По мнению Андрея Петухова, такая классификация является объективной. Она соответствует классификации процессов, существующей в традиционной теории и практике организационного управления. Согласно этой теории, процессы, которые подвергаются управлению, делятся на три основные группы: функционирование (операционное управление), поддержка и модернизация (менеджмент), развитие и рост (стратегическое управление). Показательно, что на недавно состоявшемся совещании Подкомитета по стандартизации в области кредитно-финансовой деятельности по информационной безопасности была представлена новая редакция стандарта Центробанка в области ИБ, в котором выделены три управляющие подсистемы: традиционная система ИБ, система управления ИБ и система менеджмента ИБ. Это полностью совпадает с теми уровнями, которые сейчас декларируются профессиональными специалистами по информационной безопасности.

Рассмотрим уровни управления более детально. Нижний уровень прост и понятен: это ежедневная текущая работа по установлению и поддержке правил доступа, раздача полномочий доступа, работа по настройке межсетевых экранов, поддержке работоспособности антивирусных комплексов и пр. К данной группе относится вся совокупность работ с инцидентами. Затраты на эти работы составляют обычно 10–12% ИТ-бюджета организации. «Управление всегда должно иметь обратную связь, а инцидент — это как раз источник обратной связи», — подчеркивает Андрей Петухов.

На втором уровне осуществляются формирование и изменение политик в области ИБ. Эти действия задают контуры системы ИБ и подготавливают данные для непосредственной реализации функции защиты, реализуемой на предыдущем уровне. В частности, в систему могут вводиться принципиально новые средства и сервисы защиты. Например, с появлением угроз, связанных с социальной инженерией, в систему могут вводиться средства процедурного и контентного контроля (фильтрации). Кроме того, данный уровень может быть связан с организационными мероприятиями, например с созданием веб-портала безопасности. «Модернизация — это реакция на возникновение новых угроз, — объясняет Андрей Петухов. — Когда возникает типологически новая угроза, вводятся и адекватные ей средства».

И, наконец, третий уровень — уровень стратегического управления. Данное направление развито сейчас в меньшей степени, чем остальные, однако в структуре безопасности компаний, особенно крупных, начинают возникать решения, которые лежат в этой плоскости. Прежде всего, реализуются мероприятия по формированию, поддержке и развитию слоя архитектурной безопасности. Большие системы ведомственного или федерального масштаба строятся таким образом, что в самой архитектуре хранилищ, коммуникаций, единых средств каталогизации заложен уровень архитектурной безопасности. По мнению Андрея Петухова, архитектурная безопасность — это и есть акт стратегического управления:

«Информационные процессы, которые видятся на этом этапе проектирования системы весьма абстрактно, тем не менее, уже обладают свойствами, которые влияют на принятие архитектурных решений с точки зрения уменьшения угроз, т. е. с точки зрения безопасности. Аспект архитектурной безопасности немного выходит за рамки традиционных границ информационной безопасности. Развитие крупных, распределенных систем является обязательным и управляемым элементом их жизненного цикла. Система закладывается не статичной, а с элементами будущего развития, развития как задачи. Такой подход используется, например, в процессе развития информационных систем Федеральной налоговой службы, где архитектурная безопасность положена в основу всех проектных решений».

Проблемы и сложности

Какие организационные сложности ожидают топ-менеджмент и ИТ-специалистов на каждом из уровней? «Основная проблема состоит в том, что люди, наделенные властными полномочиями, не относятся к обеспечению информационной безопасности как к управленческой деятельности, — отмечает Андрей Петухов. — Реактивный подход к ИБ не оставляет места реальному и эффективному управлению. А все остальные беды и сложности являются производными от этого заблуждения. Однако бизнес интуитивно ощущает необходимость управления, и оно, даже не до конца осознанное, зачастую все равно осуществляется».

Главная проблема заключается в том, что стратегическое управление ИБ практически на всех предприятиях не является непрерывным процессом, динамика целей, интересов, критичностей безопасности просто не принимается во внимание. Деятельность по обеспечению ИБ ограничивается поддержкой ее существования в том виде, в котором она была создана и описана в нормах и стандартах. Даже если стратегическое управление присутствует, оно не воспринимается как элемент развития системы. Система не воспринимается как динамично меняющийся организм, поэтому меры безопасности со временем утрачивают актуальность и не спасают от новых угроз.

В конечном итоге все ошибки имеют один источник — отсутствие восприятия деятельности по обеспечению ИБ как деятельности по управлению. Но сейчас все чаще практикуется процессный подход к организации различных видов деятельности компаний, в частности к обеспечению информационной безопасности. Подобный подход проявляется и в проектировании, и в поддержании системы ИБ, и даже при постановке задачи. «Это свидетельствует о том, что люди стали определять и понимать цели деятельности по обеспечению информационной безопасности в первую очередь», — отмечает Андрей Петухов.

А судьи кто?

Отследить, насколько политики безопасности соответствуют задачам бизнеса, можно исключительно через анализ и управление рисками. «Такой подход не всегда эффективен, поскольку изобилует субъективизмом, — говорит Андрей Петухов. — Анализ и управление рисками предполагают наличие многочисленных экспертных оценок. Существуют методики аудита, которые позволяют оценить информационную систему с точки зрения защищенности. Но практика показывает, что у двух экспертов, действующих по единой методике, получаются разные оценки. Это вполне объяснимо, так как определение первичных показателей носит субъективный характер». Похожая картина наблюдается и в области анализа рисков с помощью специализированных программных инструментов. Даже такие мощные инструменты, как «АйТи-Базис» или «Риск-менеджер», корректно обрабатывающие данные, на входе получают первичные оценки, целиком и полностью зависящие от мнения экспертов. «Но, несмотря на это, отказываться от процесса анализа соответствия политик безопасности задачам бизнеса ни в коем случае нельзя, — подчеркивает Андрей Петухов. — Сами задачи бизнеса трудно формализуемы, поскольку сложно формализовать представление о том, как должна выглядеть ИБ с точки зрения бизнеса. В установлении связей между категориями безопасности нет механизма формализации. Тем не менее, хотя служба ИБ не может получить от экспертов однозначные указания, которые следует автоматически исполнять, по крайней мере, она имеет достаточно корректные и конкретные рекомендации, которые являются информацией к размышлению и принятию необходимых мер».

Сегодня крупные компании, наряду со службами безопасности, создают специальные организационные единицы, к компетенции которых относятся управление, прогнозирование и экспертиза возможных информационных рисков. «„Айтишники“ хорошо понимают информационные риски, но от информационных рисков к бизнес-рискам нужно „перебросить мостик“, — подчеркивает Андрей Петухов. — Иногда это делают специалисты аналитических подразделений, иногда — функциональный менеджмент, курирующий ИТ. Сейчас существует явный провал между пониманием бизнес-рисков топ-менеджерами и пониманием информационных рисков ИТ-специалистами. Для того чтобы ликвидировать его, ИТ-специалисты должны строить свою деятельность исходя из критериев бизнеса и функциональных процедур, целей компании, которые лежат далеко за пределами их департаментов и служб. Они должны приподняться над сугубо техническими и технологическими целями, тогда „мостик“ будет логичным, прочным и корректно выстроенным».

Уже предпринят ряд успешных попыток (как международным, так и российским бизнес-сообществами) описать принципы построения системы управления информационной безопасностью. В частности, они содержатся в сборнике практических рекомендаций BS ISO 17799:2005. Согласно подходам, описанным в сборнике, требования бизнеса к ИБ оказывают воздействие на ИТ-подразделения, поэтому они должны быть отражены в соглашениях об уровне сервиса (Service Level Agreement — SLA). Соответственно, задачей процесса управления ИБ является постоянное обеспечение безопасности услуг на согласованном уровне. Информационная безопасность становится одним из важнейших показателей качества управления.

В России отраслевые стандарты в области ИБ (в частности, стандарт Центробанка РФ) координируются со стандартами серии ISO 27 000. Сейчас в РЖД готовится проект ведомственного стандарта безопасности, в котором сделан акцент на аспекты управления безопасностью.

Внутри госструктур и компаний вопросы информационной безопасности находят отражение в ведомственных или корпоративных концепциях информационной безопасности, в которых, как правило, есть соответствующий раздел — «Об управлении ИБ». «А если концепция возникла — это конец реактивному пути, — резюмирует Андрей Петухов. — В ней описываются положения, которые должны выполняться вне зависимости от наличия в данный момент инцидентов. Значит, российский бизнес вступил в этап перехода от реактивного метода обеспечения информационной безопасности к системной тактике в управлении ИБ».