Процессный подход для стратегического управлении информационной безопасностью.

Иванов Е.В.
Выпускник группы CISO-03
Школы IT-менеджмента
РАНХиГС при Президенте РФ

По мере расширения сферы использования информационных систем и их усложнения, проблемы обеспечения информационной безопасности (ИБ) становятся все более актуальны. Безопасность уже невозможно обеспечить одним лишь набором технических и программных средств и поддерживать только силами подразделения безопасности. При этом, в подавляющем большинстве организаций используются ситуационный подход в области управления ИБ. Согласно ситуационному подходу те или иные решения в области управления ИБ принимаются в соответствии со сложившейся ситуацией, т. е. конкретным набором условий и обстоятельств. По сути цели управления добиваются только через опыт, методом проб и ошибок или на основе предыдущих знаний. Отсутствие регулярной оценки информационных рисков, недостаточная осведомленность сотрудников о правилах работы с защищаемой информацией и соблюдении режима работы с конфиденциальной информацией, отсутствие формализованной классификации информации по степени ее критичности и представлений о том, сколько стоят информационные активы – все это следствия того, что организация не использует процессный подход в области управления ИБ. Получается «Культ Карго» в области ИБ – стандарты формально соблюдаются, но результата нет.

С повышением роли информационных систем в поддержке основных бизнес-процессов организации к этим проблемам добавляются вопросы обеспечения непрерывности функционирования бизнеса в критических ситуациях. Решить эти вопросы можно путем построения эффективной системы управления информационной безопасностью (СУИБ).

Как создать эффективную систему управления ИБ, которая интегрировалась бы в общую систему управления ИТ, и ключевыми бизнес-процессами? Как выделить и описать процессы обеспечения информационной безопасности?

Целями настоящей Работы являются:
Уйти от ситуационного управления к стратегическому управлению ИБ в организации.

Для достижения указанных целей были поставлены следующие задачи:

1. Определить основные недостатки при внедрении и использовании отечественных и международных стандартов в области управления ИБ. Показать отсутствие процессного подхода.
2. Провести анализ существующих способов реализации процессного подхода в СУИБ.
3. Сравнить отечественные и международные стандарты в части процессов управления ИБ.
4. Показать указанные выше недостатки на примерах  внедрения СУИБ в нескольких крупных организациях.
5. Разработать план мероприятий по внедрению стратегического управления ИБ.

В первой части данной Работы описываются пройденные предварительные шаги для достижения поставленных целей:

1. Выделяются существующие проблемы в управлении ИБ.
2. Дается определение процессного подхода в управлении ИБ.

Во второй части Работы проводится краткий обзор и детальный анализ следующих стандартов в области управления информационной безопасностью:

1. Стандарты ISO/IEC серии 270XX;
2. ГОСТ Р ИСО/МЭК 27001:2006;
3. Свод правил Control Objectives for Information and Related Technology (COBIT);
4. Библиотека Information Technology Infrastructure Library (ITIL);
5. Серия National Institute of Standards and Technology (NIST);

Также анализируются стандарты в области управления информационной безопасностью применяемые в Группе Компаний ОАО «Газпром».
В третей части Работы приводятся практики построения СУИБ в нескольких крупных организациях. Проводится сравнительная характеристика примеров реализации СУИБ. Проводится сопоставление процессов управления информационной безопасностью и выделение ключевых недостатков рассматриваемых стандартов.

В результате работы, для устранения выявленных пробелов в управлении ИБ, выбрана модель управления процессами ИБ, разработанная в АНХ проф. Алёшиным В.Д., Ёрховым Е.В., Баскаковым А.В. Рассматриваются основные преимущества и недостатки модели.

В четвертой части Работы разрабатывается план мероприятий стратегического управления ИБ в организации на базе указанной «Модели процессов управления ИБ». Приводится описание взаимосвязей процессов.

Основные результаты настоящей Работы:

1. Раскрыта тема проблемы взаимосвязи существующих отечественных и международных стандартов в области управления информационной безопасностью с реальными практиками использования.
2. Рассмотрены преимущества и недостатки использования «Модели процессов управления ИБ» для выстраивания процессов управления ИБ.
3. На основе рассмотренной модели, предложен план мероприятий по внедрению процессного подхода для  стратегического управления ИБ в одной из организации Группы Компаний ОАО «Газпром».

В перспективе развития дипломной работы планируется использовать модель в качестве референсной для выстраивания процессного подхода в оперативном управлении ИБ и предложить на рассмотрение для дальнейшего включения в пилотный проект в одной из организаций Группы Компаний ОАО «Газпром».