2.1. Модели непрерывного совершенствования
2.1.1. Модели непрерывного совершенствования и корпоративное управление
Наряду с тезисом, вынесенным в преамбулу раздела, представляется необходимым сформулировать еще ряд тезисов, имеющих прямое и /или косвенное отношение к вопросам управления (даже не только и не столько управления, сколько обеспечения) информационной безопасности организации, как в целях улучшения (совершенствования), так и для целей поддержания (сохранения) безопасности на заданном уровне:
— в теории нет разницы между теорией и практикой, а на практике есть;
— безопасность и сложность несовместимы;
— безопасность всегда имеет тенденцию к ослаблению;
— любое изменение, вносимое в систему (операционную среду организации), в первую очередь ослабляет ее безопасность.
Обсуждая в формате книжного издания такую многогранную проблему, как управление (менеджмент), невозможно не затронуть вопросы теории, в то же время практика всегда дает «настройку» любой теории и в итоге прямо или косвенно выносит ей свой вердикт. Теория — это, как правило, продукт научных исследований и изысканий, в том числе и продукт анализа и синтеза наблюдаемых явлений; ее жизнеспособность должна опять же подтвердить практика (натурный эксперимент, опытная партия и т. п.). Далее будут рассмотрены вопросы теории и практические аспекты задачи менеджмента (управления), применимые для обеспечения информационной безопасности бизнеса.
Информация о наличии организационных структур в практике управления (менеджмента) обнаружена еще на глиняных табличках, датированных III тыс. до н. э. Однако, хотя само управление достаточно старо, идея управления как научной дисциплины, профессии, области исследований относительно нова. В наши дни в сфере управления организационно-техническими системами накоплен богатейший опыт, позволивший в начале ХХ в. определить управление как целостное направлении науки и техники, имеющее свои ветви и течения, приверженцев и оппонентов. Преимущественно началом ХХ в. датируется наибольшее число ветвей науки управления, получивших широкое распространение в наши дни. Одной из первых работ можно отметить «Принцип научного менеджмента» [2], опубликованный в 1911 г. Фредериком Тейлором, традиционно считающийся началом признания управления наукой и самостоятельной областью исследований. Понятия о систематизированном управлении организацией стали формироваться в середине XIX в. Успехи в теории управления всегда зависели от успехов в других, связанных с управлением областях, таких как инженерные науки, психология, социология, математика и др. По мере развития этих областей знаний теоретики и практики управления узнавали все больше о факторах, влияющих на успех организации. Руководители организаций, предприниматели, ученые стали глубже осознавать влияние внешних по отношению к организации сил и условий. Специальные исследования позволили разработать новые подходы в управлении.
Существенное влияние на используемые модели управления оказывали факторы экономической и социальной среды организаций, общественный строй и др. Перемены 1990-х гг. привели к востребованности в российской практике международного опыта, включающего принципы, модели, стандарты и практики управления, адаптированного к национальным условиям.
В то же время многое, имеющее отношение к управлению, определяется целями и задачами, решению которых должна отвечать система управления (объекта, деятельности, организации и т. п.).
Любая организация создается и функционирует для реализации каких-либо задач. Даже если взять абстрактный случай, когда организация создается не для достижения ею каких-либо целей, а для того, чтобы она номинально существовала, то для целей самосохранения компания обязана поддерживать некоторые виды деятельности (процессы) и иметь соответствующую систему управления.
Обобщенная модель корпоративного управления приведена на рис. 13. Корпоративное управление в общем случае имеет два уровня: «управление должностных лиц через совет директоров, выбираемый акционерами» и «управление деятельностью (бизнес-процессами/деловыми операциями), осуществляемое должностными лицами». Это верхний уровень управления, который следует иметь в виду всякий раз, когда идет речь о высшем руководстве организации, принимающем значимые решения в сфере менеджмента информационной безопасности бизнеса.
Если должностные лица не управляют корпорацией, управление должностных лиц через совет директоров, выбираемый акционерами, ничего не значит и никакие ожидания собственников (акционеров) не будут иметь под собой твердых оснований. Поэтому управление бизнес-процессами должностными лицами так называемого уровня правления (исполнительского уровня) имеет первостепенное значение. Это управление требует осуществления так называемого менеджмента.
Понятие «менеджмент» является для России заимствованным (американское определение менеджмента — «делать что-либо руками других» [3]). Несмотря на то что в последние десятилетия оно получило достаточно широкое распространение как в сфере экономики и финансов, так и в производственной деятельности, в среде специалистов по защите информации, структур, регулирующих вопросы технической защиты информации, чаще всего используются понятие «управление», нежели «менеджмент». В гармонизируемых в России в последнее десятилетие международных стандартах по информатизации и информационной безопасности англоязычное понятие management переводится и как «управление», и как «администрирование». В то же время понятия «менеджмент» и «управление» имеют свои, давно сформировавшиеся определения, данные в гармонизированных в России международных стандартах качества серии ГОСТ Р ИСО 9000, а также базовых модельных стандартах менеджмента риска и безопасности, таких как ГОСТ Р 51897 [4] и ГОСТ Р 51898 [5], отражающих гармонизированные (адаптированные) международные модельные руководства.
Так в стандартах ГОСТ Р ИСО 9000 понятие менеджмент определено как «скоординированная деятельность по руководству и управлению организацией». При этом поясняется, что «в английском языке термин “management” иногда относится к людям, т. е. к лицу или группе работников, наделенных полномочиями и ответственностью для руководства и управления организацией. Когда “management” используется в этом смысле, его следует всегда применять с определяющими словами с целью избежания путаницы с понятием “management”, определенным выше. Например, не одобряется выражение “руководство должно…”, в то время как “высшее руководство должно…” — приемлемо».
Для определенных практических целей представляется возможным использование как понятия «менеджмент», так и «управление» — как наиболее привычного для российских специалистов, четко определяя при этом то, что мы понимаем под этими понятиями в каждом конкретном случае.
По аналогии с неуправленческими видами деятельности предпринимались попытки выделить в процессе менеджмента определенные функции — концептуальные элементы в содержании работы руководителя. Результатом явилась функциональная модель управления, перекликающаяся с определенными Анри Файолем в 1916 г. административными операциями (предвидение, организация, распорядительство, координирование и контроль). Данная модель представляет процесс управления в виде замкнутого цикла: планирование — организация — мотивация (лидерство) — контроль.
Безусловно, функциональная модель представляет собой скорее абстракцию; как показали исследования Генри Минцберга, практическая сторона работы менеджера в значительной мере неструктурированна, дискретна и спонтанна. Минцберг выявил четыре общепринятых мифа (заблуждения) относительно содержания управленческого труда.
Миф № 1: работа менеджера (в российской практике — управленца того или иного звена и уровня) состоит в систематическом и сознательном планировании. Примеров такой позиции множество. Но ни один из исследователей не приводит достаточных свидетельств в ее пользу.
Факты. Целый ряд исследований показывает, что менеджерам приходится работать в чрезвычайно высоком темпе. Основные черты процесса управленческого труда — краткость, разнообразие и непрерывность. Менеджеры ориентированы прежде всего на действие.
Миф № 2: у хорошего менеджера нет никаких текущих обязанностей. Говорят, что менеджеры все время заняты разработкой грандиозных планов и распоряжениями, а все текущую работу поручают другим — не дело менеджера заниматься мелочами. Если воспользоваться распространенным сравнением, то можно сказать, что хороший менеджер, как и хороший дирижер, все отшлифовывает заранее, а затем сидит и наслаждается результатами своего труда, лишь реагируя на те или иные непредвиденные обстоятельства.
Факты. Менеджер действительно несет ответственность за принятие решений в непредвиденных обстоятельствах, но, помимо этого, он имеет массу текущих обязанностей, включая исполнение разного рода обязанностей, участие в переговорах, анализ и обработку информации, связывающей организацию с окружающим миром.
Миф № 3: для старших менеджеров требуется уже обработанная информация. С такой задачей лучше всего справляются формальные информационные подразделения. Согласно такому мнению, менеджер должен находиться на самой вершине иерархической системы информации. Такой менеджер «по переписке» вообще должен всю важную информацию получать от гигантских, всезнающих управленческих информационных систем.
Факты. На самом деле все обстоит иначе. У каждого менеджера есть свои собственные средства получения информации и данных: документы, телефон, запланированные встречи и встречи вне расписания, ознакомительные поездки. Иными словами, менеджеры активно пользуются вербальными средствами — телефоном и личными встречами.
Миф № 4 практический менеджмент — это профессия и наука (или вскоре станет таковой).
Факты. Если сопоставить это мнение с любыми определениями науки, оно явно неверно. Реальная работа менеджера далека от научных исследований. Наука включает в себя систематические, аналитически продуманные программы и процедуры. Но если мы даже толком не знаем, какие именно процедуры выполняет менеджер, как можно требовать от них научной аналитичности. Таким образом, все менеджерские программы: расписание, информационный процесс, принятие решений и т. д. — находятся в его голове. А потому, чтобы как-то описать эти программы, нам приходится полагаться на слова, суждения и интуицию. И очень редко мы отдаем себе отчет, что все это — не более чем знак нашего неведения.
Однако вернемся к вопросу моделей управления. Собственникам (см. рис. 13, акционеры, общее собрание акционеров) и их полномочному органу — совету директоров необходимы инструменты взаимодействия с исполнительными органами, обеспечивающие уверенность их в том, что принятые ими решения будут исполнены, ожидания от результатов деятельности организации будут иметь основания и т. п. В идеале любой собственник (как частный, так и государственный) желает так «настроить» деятельность организации, чтобы, единожды запустив ее работу, более не вмешиваться, а получать лишь дивиденды. Для удовлетворения подобных ожиданий модели и принципы управления организации должны подразумевать возможность (давать основу) реализации условий самосовершенствования, самоадаптации организации к изменениям ее среды, как внешней, так и внутренней.
Указанным потребностям в полной мере удовлетворяет упоминавшаяся ранее в предыдущем разделе модель (цикл) Деминга — Шухарта. Она легла в основу большинства современных управленческих стандартов для различных областей деятельности и «де-факто» становится базовой моделью. Как отмечается в книге Г. Нива «Пространство доктора Деминга» [6], «“Цикл Деминга” известен еще и как “Цикл Шухарта”, цикл “PDCA” или цикл “PDSA”». Деминг ссылается на него как на «Цикл Шухарта», поскольку его идея, по-видимому, имеет своим источником книгу Шухарта 1939 г. В то же время в практике обычно на него ссылаются как на «Цикл Деминга». Аббревиатура же циклов «PDCA» и «PDSA» раскрывается как «планируй — сделай — проверь — действуй» для PDCA и «планируй — сделай — изучи — действуй» для PDSA. Аббревиатура PDCA является наиболее распространенной, хотя сам Деминг более предпочитает использовать PDSA».
Книга Шухарта, как отмечает Г. Нив, начинается с выделения трех стадий в управлении качеством результатов деятельности организации:
— разработка «Спецификации» (техническое задание, технические условия, пределы и пороги, критерии достижения целей) того, что требуется;
— производство «Продукции», удовлетворяющей «Спецификации»;
— проверка («Контроль») произведенной «Продукции» для оценки ее соответствия «Спецификации».
Шухарт одним из первых предложил линейное восприятие указанных стадий замкнуть в цикл, который он отождествил с «динамическим процессом приобретения знаний». После первого цикла результаты «Контроля» должны являться основой совершенствования «Спецификации» на продукцию. Далее производственный процесс корректируется на основе уточненной «Спецификации», а новый результат производственного процесса опять же подвергается «Контролю» и т. д.
Три стадии цикла Шухарта: «Спецификация — производство Продукции — Контроль» — во многом подобны задачам первых трех стадий в циклах PDCA или PDSA Деминга. Как отмечает Г. Нив [см. 6], версия цикла Деминга, рассмотренная в его работе «Выход из кризиса» [7], хотя и имеет четыре стадии, но на самом деле ее третья и четвертая стадии («проверь» или «изучи» и «действуй») — это скорее результат разделения третьей стадии «контроль» модели Шухарта на две новые, более четко выделенные стадии, которые можно охарактеризовать как «наблюдение» и «анализ». Как и в случае с «циклом Шухарта», «цикл Деминга» представлен в виде, который позволяет понять, что последовательность шагов должна повторяться на качественно новом уровне, используя знания, накопленные на предшествующем цикле.
Здесь уместен достаточно наглядный пример практической реализации модели Деминга PDCA, имеющийся в книге Г. Нива [см. 6] и иллюстрирующий «работу» одной из стадий модели. Компания Nissan неожиданно для участников рынка начала скупать бывшие в употреблении малолитражные машины, включая разбитые, и отправлять их в Японию. Количество машин, приобретаемых компанией Nissan, измерялось в тысячах. Четырьмя годами позже вышла модель автомобиля Nissan Micra, которая была признанной одной из лучших в своем классе. Так вот, отгрузка в Японию подержанных и разбитых малолитражных машин было частью стадии (процесса) планирования для автомобиля Nissan Micra.
Уместен и еще один пример последних лет: когда организация принимает иную стратегию действий в связи с условиями на рынке (рынок достаточно насыщен, организация — новый участник рынка, необходимо оперативно занять свою нишу). Данная стратегия диаметрально противоположна рассмотренной стратегии компании Nissan и концентрирует усилия организации не на планировании, а на контроле — максимально оперативной реакции организации на мнение рынка и отзывы потребителей. В рамках освоения российского рынка один китайский автопроизводитель поставили группе московских дилеров первую партию из 200 автомобилей, абсолютно новых для нашего рынка. Продукция имела массу недостатков, как конструктивного, так и эстетического плана, и не выдерживала никакой критики (даже в соотношении цена/качество). Получив отзывы на первую партию, компания-производитель через три месяца направила следующую партию, в продукции которой около 80 % замечаний и недостатков были устранены, включая и те, что затрагивали техпроцесс изготовления изделия и изменения конструкции. Результат не заставил себя ждать — товар стал находить своего потребителя.
И в первом, и во втором примере мы видим работу моделей управления компанией, отвечающих модели (циклу) Деминга — Шухарта.
Модель Деминга фактически приводит нас к мысли о необходимости не только регулярного контроля, но и использования знаний, накопленных на предшествующих этапах модели или полных циклах, в совершенствовании своей деятельности. Используя подобную модель и рассматривая процессы (виды деятельности организации), управляемые согласно им во временной ретроспективе, мы получаем возможность спрогнозировать будущие результаты этих процессов. В связи с этим существуют интересные оценки возможностей системы управления (менеджмента) организации. Не более 15 % всех проблем (или возможностей улучшения) в организациях связано с возможной вариацией в реализации производственных процессов, которые могут быть в поле зрения рядовых работников. Тогда как на долю менеджеров приходится как минимум 85 % от всех потенциальных возможностей улучшений системы, в которой работают их служащие. После проверки этих чисел на протяжении многих лет д-р Деминг пересмотрел их и в 1985 г. дал новую оценку, соответственно 6 и 94 % [6].
Модель Деминга — Шухарта получила широкое применение не только в стандартах качества ГОСТ Р ИСО 9000 и экологии ГОСТ Р ИСО 14000, но и в стандартах иных видов деятельности организаций — не только отраслевых, таких как автомобилестроение и цепочки поставок и безопасность продуктов питания, но таких специфичных, как информатизация и безопасность. Везде, где объектом рассмотрения может быть деятельность и применим процессный подход, развивается и внедряется модель менеджмента, основывающаяся на циклической модели Деминга — Шухарта.
Со временем модель Деминга — Шухарта получила свое практическое применение на всех уровнях деятельности организации, связанной с безопасностью, и на всех направлениях обеспечения безопасности (экономической, информационной, физической и пр.). Фактически это является отражением того, что любая деятельность независимо от области применения должна изначально (по возможности тщательно) планироваться, а ее реализация наряду с поддержкой — контролироваться (проверяться) и при необходимости совершенствоваться, обеспечивая адаптацию к изменениям как в среде рассматриваемой системы, так и в ней самой.
2.1.2. Вопросы реализации моделей непрерывного совершенствования и процессного подхода в организации
В практической деятельности при работе над внедрением в различных организациях систем менеджмента информационной безопасности, систем менеджмента информационными активами организации, систем менеджмента рисками информационной безопасности и прочих систем менеджмента в области информационной безопасности нередко приходится слышать применительно к модели Деминга — Шухарта фразу «волшебный цикл». По большому счету это не преувеличение, а лишь отражение того, что теория системного и процессного подходов попала в цель и практика многократно подтвердила эту теорию.
Рис. 14 иллюстрирует эталонную модель Деминга — Шухарта (модель Деминга), как это представляется экспертами технических комитетов ИСО, использующих данную модель в основе международных управленческих стандартов [8]. Эта методология в равной степени применима к высокоуровневым стратегическим процессам и простой операционной деятельности.
Основные фазы модели следующие:
— «планирование»: установление целей и процессов, необходимых для выработки результатов в соответствии с требованиями клиентов и политиками организации;
— «выполнение» («реализация»): реализация запланированных процессов и решений;
— «проверка»: контроль и измерение процессов и производимых продуктов относительно политик, целей и требований к продукции и отчетность о результатах;
— «действие» («совершенствование»): принятие корректирующих и превентивных мер для постоянного совершенствования функционирования процесса.
В основе практики реализации модели Деминга лежит процессный подход. При этом само практическое наполнение понятия «процесс» не предполагает жесточайшей регламентации. В процессном подходе любая деятельность, которая выполняется или для управления которой используются ресурсы организации, считается процессом, преобразующим входы в выходы. Это методология (подход), идентифицирующая процессы в организации так, чтобы их взаимосвязи могли быть поняты, видимы и измеримы, а итоговая совокупность процессов понималась бы как единая система реализации целей деятельности организации (см. рис. 15).
Процессный подход вводит горизонтальный менеджмент, пересекающий барьеры между различными функциональными единицами и консолидирующий их внимание на основных целях деятельности организации. Это не всегда берется в расчет и учитывается при принятии решения в организации о переходе на процессные технологии.
Как правило, структура организаций представляет собой иерархию функциональных единиц. Менеджмент организаций обычно осуществляется вертикально с разделением ответственности за намеченные результаты работ организации между функциональными единицами. Конечный потребитель или другая заинтересованная сторона не всегда отчетливо представляются всеми вовлеченными в работу сторонами (см. рис. 16). В результате проблемы, возникающие на границах сопряжения, часто считаются менее приоритетными, чем краткосрочные цели функциональных единиц (подразделений организации). Это ведет к незначительному совершенствованию для заинтересованных сторон или к полному отсутствию совершенствования, так как действия обычно сосредотачиваются на функциях, а не на общей пользе для организации и результатах ее деятельности.
Оптимизация производственной инфраструктуры неизбежна при использовании процессного подхода, например перевода той или иной деятельности организации на стандарты процессного подхода. При этом и функционирование организации может быть усовершенствовано посредством использования процессного подхода. Осуществление менеджмента процессов в этих условиях такое же, как системы, — путем создания и осмысления сети процессов и их взаимодействий с идентификацией необходимых атрибутов процессной методологии (роли и ответственные, включая владение процессом, входы/выходы, работы процесса, показатели достижения целей и т. д.).
Выходы одного процесса могут быть входами для других процессов и могут быть связаны в общую сеть или систему процессов (см. общие примеры, приведенные на рис. 17 и 18).
На практике качество решения задачи проектирования оптимальной и эффективной для данной организации сети или системы процессов предопределяет залог успеха всей компании использования процессной методологии. Здесь существует масса «подводных рифов», о которые может разбиться «корабль» реинжиниринга деятельности компании. Организационный аспект, отмеченный выше, есть один из них, который может застопорить все работы. Некоторые другие будут рассмотрены далее.
На уровне организации, как правило, выделяются следующие виды процессов (см. рис. 18):
— менеджмента организации — включают процессы, относящиеся к стратегическому планированию, установлению политик, постановке целей, обеспечению коммуникации, обеспечению доступности необходимых ресурсов и проверкам, проводимым руководством;
— менеджмента ресурсов — включают все процессы обеспечения ресурсов, которые необходимы для процессов менеджмента организации, реализационных процессов и процессов измерения;
— реализационные — включают все процессы, обеспечивающие намеченный выход для организации;
— измерения, анализа и совершенствования — включают процессы, необходимые для измерения и сбора данных для анализа функционирования и совершенствования эффективности и продуктивности, процессы измерения, мониторинга и аудита, корректирующие и превентивные меры и являются интегральной частью процессов менеджмента, менеджмента ресурсов и реализационных процессов.
Пример процессной последовательности и ее взаимодействий на уровне организации, представленный на рис. 18, иллюстрирует некую упрощенную эталонную модель, нуждающуюся в серьезной адаптации под операционную и управленческую инфраструктуру организации. Наиболее сложным в этой задаче, как правило, является вопрос регламентации действий (деятельности работников любого уровня), являющихся следствием внезапных или неожиданных событий (стохастическая составляющая в деятельности организации). В зависимости от рода деятельности организации, качества компонентов операционной среды и подготовки персонала стохастическая составляющая в деятельности организации может варьироваться от 20 до 80 %. Наиболее сложны в этом плане процессы менеджмента (управленческие процессы), связанные с принятием решений. Отдельные проблемы данной категории процессов, сопряженные с рисками принятия решений, затрагивались в предыдущей главе.
Эталонная реализация процессного подхода в рамках модели Деминга предполагает следующие пять основных процедурных шагов:
— идентификация процессов организации;
— планирование/проектирование процессов (для каждого реализуемого процесса);
— реализация процессов и измерения;
— анализ процессов;
— корректирующие действия и совершенствование процессов.
В связи с тем, что модель Деминга явно требует реализации контрольных процедур, основывающихся на объективных свидетельствах, отдельной проработки требует вопрос документирования, чтобы на практике заработал процесс «совершенствование» модели Деминга. Это включает то, что необходимо выполнить (требования и спецификации), и требования к документированию выполненной деятельности. При этом затруднительно организовать и еще сложнее поддержать в актуальном состоянии полный список документированных процессов организации и единый реестр требований к свидетельствам выполненной деятельности. В то же время для целей измерений, контроля и аудита должны приниматься требования по документированию соответствующих результатов деятельности. Когда такие решения принимаются спонтанно и не согласованы с конечными производственными результатами, то вместо роста эффективности мы можем получить обратный результат, вплоть до деградации объекта рассмотрения.
Далеко за примерами ходить не надо. Известны результаты акций по внедрению систем менеджмента качества (СМК) в большинстве российских компаний, когда основной целью были «шашечки», а «ехать» никто никуда не собирался. Но это одна ситуация. Более печально, когда руководство организации на самом деле желает поднять качество деятельности (продукции), но в силу слабой компетенции сотрудников получает обратный результат… Даже для европейского менталитета и гораздо более высокой исполнительской дисциплины персонала западных компаний такая ситуации не редкость.
Журнал European Quality, издаваемый Европейской организацией по качеству, опубликовал в статье «10 аргументов против применения стандартов ИСО серии 9000» изложение фрагмента книги Дж. Седдона «В поисках качества. Дело против ИСО 9000» [9]. Автор считает, что существуют более надежные способы повышения эффективности предприятий, удовлетворения потребителей, обеспечения реального качества и увеличения прибылей, чем работа в соответствии с предписаниями стандартов ИСО серии 9000, даже в версии 2000 г. Дж. Седдон полагает, что внедрение стандартов ИСО серии 9000 нанесло ущерб конкурентоспособности сотен тысяч организаций. Он приводит мнение одного из британских специалистов, который был тесно связан с внедрением британского стандарта BS 5750, послужившего основой для разработки международных стандартов ИСО серии 9000: «Внедрение BS 5750/ISO 9000 в британской промышленности стало крупнейшим обманом». Автор отмечает, что главной ошибкой была излишняя уверенность организаций в том, что внедрение стандартов качества решит все проблемы (наивные британцы!). При этом обращается внимание на то, что процедура сертификации по ИСО 9000 не позволила организациям разглядеть реальные возможности для повышения своих показателей, которые они обязательно заметили бы в ином случае: процедура регистрации на соответствие стандартам ИСО 9000 заслонила собой эти возможности.
Среди аргументов против применения стандартов ИСО серии 9000 Дж. Седдон приводит и абсолютно ожидаемый, касающийся требований документирования СМК. Он отмечает, что из-за обилия отчетных регистрационных форм персонал компаний неявно подменяет ими содержание своего труда, так как контроль идет по формализованным свидетельствам о выполненной деятельности на том или ином участке работ. Ту же ситуацию мы видим и в российских компаниях, внедряющих подобные стандарты, когда их применение не ориентировано на совершенствование продукта/результата деятельности, когда решения о применении стандартов менеджмента не сопровождаются обсуждением и закреплением о том, что и как планируется улучшить в деятельности организации, относительно имеющейся в настоящее время ситуации.
2.1.3. Модели непрерывного совершенствования и международные стандарты
Указанные особенности и условия внедрения и применения модели Деминга уместны для любого вида менеджмента в организации (управленческого, производственного, обслуживающего, ресурсного и т. п.). Модель определяет основные этапы, шаги, а их наполнение — ту задачу, которую планируется решить. Все большее число принимаемых международных стандартов менеджмента для различных сфер их применения преследуют фактически одну главную цель — дать базовый ориентир содержательного наполнения работ модели Деминга в терминах и содержании решаемой задачи.
На рис. 19 и 20 представлены примеры структуры эталонной модели менеджмента применительно к эталонной модели менеджмент риска организации [10] и системы менеджмента информационной безопасности [11], обеспечивающие «настройку» модели Деминга на соответствующие сферы применения.
Структура менеджмента риска, представленная на рис. 19, предназначена для содействия организации в эффективном осуществлении менеджмент риска через реализацию соответствующего процесса менеджмента риска на различных уровнях и в рамках определенного контекста организации. Данная структура должна обеспечивать условия того, что полученная в результате работы из этих процессов информация о риске будет адекватным образом доведена до сведения и использована в качестве основы для принятия необходимых решений и поддержке отчетности на соответствующих уровнях корпоративного управления и операционной деятельности в организации.
Структура менеджмента риска, представленная на рис. 20, предназначена для содействия организации в установлении и поддержке системы менеджмента информационной безопасности организации, отвечающей лучшим международным практикам. Далее будут достаточно подробно отражены шаги внедрения стандартизированных систем менеджмента информационной безопасности
Только приведенными примерами сфера применения моделей непрерывного совершенствования в структуре требований международных стандартов не ограничивается. К настоящему времени принято множество комплексов стандартов на системы менеджмента в различных сферах деятельности (от безопасности продуктов питания до управления цепочками поставок продукции), а также применительно к общим и отдельным задачам, реализуемым в рамках организаций.
Не вдаваясь в детали (с ними можно ознакомиться, взяв любой стандарт на ту или иную систему менеджмента), каждый из них (подобно приведенным на рис. 19 и 20) включает необходимые параметры настойки модели Деминга на соответствующие виды деятельности в терминах и семантике сферы применения. В целом же общий эталонный подход модели непрерывного совершенствования отражает рис. 21.
Каждый из стандартов на системы менеджмента включает положения, де-факто ориентирующие на реализацию модели непрерывного совершенствования. Далее рассмотрим, как это может работать в рамках организации.
2.2. Стандартизированные модели менеджмента. Аспекты контроля и совершенствования. Интеграция
2.2.1. Стандартизированные модели менеджмента в системе корпоративного управления
На уровне организации любые стандартизированные решения на системы менеджмента попадают в одну среду и должны подчиняться единым нормам корпоративного управления. Рис. 22 иллюстрирует такую ситуацию на примере трех стандартизированных систем:
— менеджмента информационной безопасности организаций (ISO / IEC 27001);
— менеджмента качества (ГОСТ Р ИСО 9000);
— менеджмента окружающей среды (ГОСТ Р ИСО 14000).
Перечисленные системы менеджмента косвенно поддерживают менеджмент всех бизнес-процессов (пример рассматривает «вспомогательные»/«обеспечивающие» виды деятельности) как часть корпоративной системы, менеджмента риска в частности, для достижения организацией установленных целей. С точки зрения корпоративного управления эта модель должна иметь поддержку на соответствующих уровнях управления, как показано на рис. 23.
Системы менеджмента для более низких уровней работают во взаимодействии с системами менеджмента для более высоких уровней. На каждом из уровней корпоративного управления (будь то самостоятельно юридическое лицо или подразделение организации) должны учитываться все аспекты и сферы деятельности, как это определяется вышестоящим уровнем управления, включая свою часть (в рамках полномочий и ответственности) по планированию/проектированию, исполнению, контролю и выработке предложений/решений совершенствования деятельности.
Рис. 24 иллюстрирует возможную организацию реализации процессов СМИБ при двухуровневой организации деятельности компании. Каждый из уровней управления должен поддерживать отвечающие его функциям процессы СМИБ, соответствующие сферам ответственности правам и обязанностям каждого из уровней управления.
В приведенном примере для процессов планирования работ, принятия решений о целях и задачах СМИБ, владельцами будут сотрудники головной организации компании, а исполнительская и первичная контрольные виды деятельности будут реализованы на уровне подчиненного подразделения. Общий (итоговый) контроль, конечно же, ляжет на корпоративный центр. Процессы совершенствования деятельности в такой организации деятельности должны иметь критерии тактических (в рамках полномочий руководства подчиненных подразделений) и стратегических (компетенция принятия решений за головной организацией) решений.
Реализация других системы менеджмента в рамках компании будет подразумевать подобную организацию и реализацию процессов деятельность, так как будет осуществлена в той же системе внутрикорпоративных правил.
Важнейшая роль руководства (высшего руководства) организации с точки зрения эффекта внедрения и результатов внедрения любых стандартов менеджмента отмечается практически во всех стандартах.
Например, в ISO/IEC 27001 [11]:
«Руководство должно предоставлять свидетельства исполнения своих обязательств по установлению, реализации, приведению в действие, мониторингу, проверке, поддержке и совершенствованию системы менеджмента информационной безопасности путем:
а) установления политики системы менеджмента информационной безопасности;
б) обеспечения установления целей системы менеджмента информационной безопасности и планов;
в) установления ролей и обязанностей, связанных с информационной безопасностью;
г) доведения до персонала организации о важности выполнения целей информационной безопасности и соблюдения политики информационной безопасности, об обязанностях в соответствии с законом и о потребности в постоянном совершенствовании;
д) предоставления достаточных ресурсов для установления, реализации, приведения в действие, мониторинга, проверки, поддержки и совершенствования системы менеджмента информационной безопасности;
е) вынесения решения о критериях принятия риска и приемлемых уровнях риска;
ж) обеспечения проведения внутренних аудитов системы менеджмента информационной безопасности;
з) осуществления проводимых руководством проверок системы менеджмента информационной безопасности».
Только высшее руководство компании имеет полномочия по определению уровня (порогов) для принятия рисков. Вопрос порядка обсуждения и принятия решений по порогам риска крайне специфичен для каждой организации. Это обусловлено тем, что именно руководство несет окончательную ответственность за инвестиции в СМИБ и ее эффективность и, следовательно, эффективность инвестиций организации по данной статье расходов. В этих условия стандарты выступают в качестве некоторого возможного эталона действий, но не как истина в последней инстанции. Руководство компаний находится в некотором смысле в многомерном пространстве, где оно должно сориентироваться, оценить каждый вектор и принять необходимое по ситуации решение. Рис. 25 иллюстрирует основные плоскости такого пространства для задач обеспечения ИБ.
Целями обеспечения учетности для сферы безопасности могут быть:
Три основные цели корпоративного управления информационной безопасностью
— обеспечение подотчетности совету директоров;
— определение ответственности и обеспечения разделение обязанностей;
— выделение требуемого объема ресурсной базы;
— обеспечение осведомленности о защищенности бизнеса.
Целями обеспечения потребностей бизнеса в сфере безопасности могут быть:
— установление соответствия ИБ стратегии бизнеса организации;
— базирования основных решений в сфере безопасности на результатах менеджмента риска;
— обеспечение уверенности в том, что СМИБ охватывает вопросы безопасности бизнес-процессов (процессов деятельности).
Целями обеспечения соответствия (для любого вида деятельности) могут быть:
— исполнение требований действующего законодательства и норм, имеющих отношение к информационной сфере и деятельности организации;
— исполнение в операционной среде организации принятых советом директоров и высшим исполнительным руководством внутренних нормативных документов.
Применительно к иным сферам (отмечавшимся менеджменту качества и экологии, а также к иным видам менеджмента в организации, таким как менеджмент ИТ-услуг, менеджмент риска, менеджмент цепочек поставки, менеджмент активов и т. п.), как правило, стоит схожая задача, и пространство корпоративных решений подобно за исключением своей специфичной семантики.
Вопросы обеспечения соответствия (соответствия законодательным и нормативным требованиям) — здесь меньшая, но также не всегда прозрачная составляющая. Что же касается соответствия потребностям бизнеса в вопросах защищенности, то это, как правило, на порядок большая проблема.
Обусловлена она не только и не столько сложностью проблемы идентификации опасностей бизнеса (о чем достаточно подробно было обсуждено в предыдущей главе) и выбора соответствующих мер защиты, сколько нахождением общего языка внутри организации (общего языка и алфавита общения) между бизнесом и безопасностью, внутренним контролем и информатизацией, безопасностью и внутренним контролем. Консолидирующим органом в этих условиях может выступать только лишь высшее руководство организации (внешний компетентный арбитр), несущее ответственность перед собственниками бизнеса (владельцами организации/компании) за результаты деятельности организации.
Однако, даже если высшее руководство понимает и принимает ответственность за систему менеджмента в организации, у него нет возможности участия во всех мероприятиях. По этой причине руководство должно первоначально установить политику системы менеджмента информационной безопасности, определяющую основные цели и ожидания от СМИБ с точки зрения совершенствования деятельности организации, тем более если внедряется «стандартизированная» СМИБ. «Нестандартизированная СМИБ» существует в любой организации (принимаются решения и внутренние нормативы, осуществляются инвестиции в ИБ, осуществляется контроль исполнения требований и т. д.). Это следует понимать и учитывать в проектах модернизации.
Например, в рамках инвестиций в информационные технологии многие организации явно или неявно осуществляют внедрение ряда функций и механизмов, имеющих отношение к обеспечению ИБ. Далее, организуя их использование в составе прикладных систем или информационно-телекоммуникационной инфраструктуры организации, де-факто осуществляются те или иные практические задачи, подпадающие под положения стандартов требований к СМИБ.
Схематично данную ситуацию иллюстрирует рис. 26, отражающий в упрощенном виде категории управления в информационной сфере организации.
И корпоративное управление информационными технологиями, и корпоративное управление информационной безопасностью являются неотъемлемой частью корпоративного управления компании, имеющие как общности (общие факторы: объекты, предметы, отношения и т. п.), так и различия. Опыт, накопленный в последние десятилетия, позволил подойти к выработке и принятию международных модельных стандартов корпоративного управления информационными технологиями.
Рис. 27 иллюстрирует модель корпоративного управления ИТ, рекомендуемую принятым в 2008 г. международным стандартом ISO/IEC 38500 «Корпоративное управление информационными технологиями» [12].
Модель корпоративного управления ИТ, представленная на рис. 27, отражает тот факт, что в любой деятельности организации изначально присутствует этап инвестиций (в той или иной форме), в результате которого организация ожидает, что эти инвестиции принесут пользу и дадут положительный эффект. Применительно к корпоративному управлению ИТ это включает:
— проекты организации в сфере информационных и телекоммуникационных технологий — этап инвестиций в операционную ИТ-среду;
— операции в сфере (эксплуатация поставленных) информационных технологий организации — этап возврата инвестиций. В сфере информационных технологий возврат инвестиций может быть представлен в виде: новой функциональности организации (подразделений), повышения надежности и безопасности систем информационных технологий и информационной составляющей процессов деятельности, сокращения эксплуатационных издержек и т. п.
Возможно, подобные модельные рекомендации будут приняты и для сферы корпоративного управления информационной безопасностью, включая место и роль стандартизированных требований к СМИБ в системе корпоративного управления. На рис. 28 представлена возможная модель корпоративного управления информационной безопасностью организации, согласующаяся с признанной моделью корпоративного управления информационными технологиями в организации, нашедшей отражение в ISO / IEC 38500.
В любом случае должны быть идентифицированы роли и функции органов управления компании и вопросы смежных областей. Одно из возможных модельных решений применительно к архитектуре корпоративного управления информационной безопасностью представлено на рис. 29.
В конечном итоге наиболее критичным вопросом и одной из важнейших задач высшего руководства является обеспечение таких бизнес-ресурсов, как «люди», «предметы» и «деньги». В конечном итоге успех дела (в данном случае эффективность затрат в СМИБ организации), как и в традиционном бизнесе, будет зависеть от достаточности ресурсной поддержки. При этом крайне чувствительным и одновременно сложным здесь является вопрос о достаточности ресурсной поддержки (как установить порог/критерий, характеризующий, что «все заработало»). Современные стандарты СМИБ включают такие формулировки: руководство должно понимать потребности системы менеджмента информационной безопасности и предоставлять для нее необходимые бизнес-ресурсы.
Однако значение того, сколько составляет «необходимое» и «достаточное», стандартами установлено быть не может. Есть «микро» предприятия, есть средние и большие. При этом градации сегментов: малое предприятие, среднее и большое — в некоторой степени абстрактны и имеют различия от вида и сферы деятельности (бизнеса) организации. В различных странах (и в России, в частности) существует формальное определение малого предприятия для целей льготного налогообложения, но это все-таки достаточно условная градация, с порогами, устанавливаемыми от годового дохода компании. В то же время с развитием технологий и вынужденной унификацией отдельных задач данные абстрактные критерии все же получают вполне возможное содержанием для отдельных областей.
Например, в сфере информационных технологий в начале 2000-х гг. стал формироваться срез (где-то клон) стандартов информатизации для объектов, получивших наименование «очень малая организация (предприятие)» (Very Small Enterprises (VSE)). С практической точки зрения это вполне оправдано: в мире многим миллионам микрокомпаний (а это тот срез экономики, что генерирует несколько десятков процентов всего мирового ВВП) требуется иметь автоматизированную бухгалтерию, выход в Интернет (электронная почта, электронные торги и т. п.), автоматизированный учет кадров и т. п. При этом классические полные циклы инвестиций в информатизацию и их возврата, а также классика менеджмента информационными технологиями, процессами жизненного цикла систем и программных средств со всеми вытекающими атрибутами для них «неприподъемны». В будущем, возможно, и в сфере требований к СМИБ организаций и задачам корпоративного управления ИБ будет обращено внимание к сегменту VSE. Однако область безопасности чрезвычайно чувствительная и специфичная и консенсус здесь найти не так-то просто. Многие защитные меры ИБ в организациях сегмента VSE реализуются механизмами бизнеса (доверие, гарантии, страхование, аутсорсинг). Такие решения сложно облачить в форму универсальных стандартов СМИБ для VSE.
2.2.2. Универсальные требования к стандартам на системы менеджмента
Все опубликованные стандарты на системы менеджмента отвечают единым принципам их назначения, структуры требований и содержания. Это обеспечивается едиными правилами и нормами, действующими в рамках международной организации по стандартизации (ИСО).
Технический административный совет ИСО, осознав потребность в обеспечении совместимости стандартов систем менеджмента и признав, что этому может способствовать единая методология принятия решений и разработки таких стандартов, подготовил ряд модельных типовых решений. В результате в качестве дополнительных требований к действующим административным директивам ИСО/МЭК было разработано руководство по обоснованию и разработке стандартов систем менеджмента, изданное в 2001 г. как Руководство ISO 72 [13].
Основным назначением подготовленных рекомендаций являлось создание условий для обеспечения сопоставимости и совместимости, упрощения совместного использования стандартов систем менеджмента организациями, желающими одновременно следовать положениями более чем одного стандарта на системы менеджмента.
По назначению Руководство ISO 72 является дополнением к процедурам для технической работы и методологии разработки международных стандартов, устанавливаемым директивами ISO/IEC, определяющим ряд общих требований к работе технических комитетов ISO, планирующих разработку или разрабатывающих стандарты менеджмента. Эти общие нормы и формируют совместимость стандартов менеджмента по ключевым сущностям, стратегиям внедрения и развития. Все присутствующие на рынке услуг предложения по внедрению в организациях так называемых «интегрированных систем менеджмента» в своей основе опираются на Руководство ISO 72, дополняя его специфичной семантикой, отражающей, сколько систем менеджмента планируется одновременно «загрузить» в систему корпоративного управления организации.
В целом Руководство ISO 72 рекомендует выделять три следующих вида стандартов систем менеджмента.
— А — стандарты требований системы менеджмента как общие, так и характерные для сектора;
— Б — стандарты рекомендаций для системы менеджмента как общие, так и характерные для сектора;
— В — стандарты, связанные с системой менеджмента.
Стандарты вида А (стандарты требований системы менеджмента) предназначены для формирования соответствующих спецификаций менеджмента, позволяющих осуществлять оценку для демонстрации соответствия внутренним и внешним требованиям (например, путем независимой оценки первой, второй или третьей стороной). Примерами таких стандартов являются:
— стандарты требований системы менеджмента (спецификации), например ISO/IEC 27001, ИСО 9001 и т. п.;
— характерные для сектора стандарты требований системы менеджмента;
— стандарты по аккредитации органов оценки и сертификации систем менеджмента.
Стандарты вида Б (стандарт рекомендаций для системы менеджмента) предназначены для оказания содействия организации в реализации и /или улучшении системы менеджмента путем предоставления дополнительного руководства по элементам стандарта требований системы менеджмента. Примеры таких стандартов:
— руководство по использованию стандартов требований системы менеджмента;
— руководство по установлению системы менеджмента;
— руководство по совершенствованию/улучшению системы менеджмента;
— характерные для сектора стандарты рекомендаций для системы менеджмента.
Стандарты вида В (стандарт, связанный с системой менеджмента) предназначены для обеспечения дополнительной информации по определенным компонентам системы менеджмента или руководствам по взаимосвязанным поддерживающим методам и средствам, являющимся полезным и востребованным дополнением к положениям стандартов на системы менеджмента. Примеры таких стандартов:
— документы по терминологии системы менеджмента;
— стандарты руководств по аудиту, документированию, обучению, мониторингу, измерениям и оцениванию функционирования;
— стандарты по маркировке и оценке жизненного цикла.
Комплекс стандартов, имеющих с своем составе стандарты систем менеджмента типов А, Б и В, рекомендуется рассматривать как семейство стандартов менеджмента. Например, для систем менеджмента информационной безопасности к 2010 г. уже фактически сформировалось семейство стандартов СМИБ, отвечающее требованиям Руководства ISO 72 (см. рис. 30).
Совместимость стандартов требований системы менеджмента или стандартов рекомендаций для системы менеджмента и простоту использования их предполагается улучшить посредством увеличения общности между стандартами, разрабатываемыми в соответствии с положениями Руководства ISO 72. Общность стандартов основывается на следующих общих составляющих стандартов:
— модель системы менеджмента;
— структура стандарта;
— система общих элементов вместе с их формулировкой;
— используемая терминологии.
Модель и структура. Общая структура стандарта требований системы менеджмента или рекомендаций для системы менеджмента основывается на признанной модели (модели Деминга) и логике системы требований (спецификации) к системе менеджмента в соответствии с данной моделью. В Руководстве ISO 72 отмечается, что в настоящее время в международных стандартах менеджмента используются две признанные модели: модель Деминга (PDCA) и процессная модель. Однако это не означает, что существующие модели для стандартов систем менеджмента будут с течением времени развиваться, и могут появиться новые модели.
Общие элементы. В Руководстве ISO 72 отмечается, что опыт работы со стандартами систем менеджмента, созданными ИСО, показывает, что практика работ выводит на ряд общих областей систем менеджмента. Такими общими областями предлагается считать:
— политику системы менеджмента;
— планирование;
— реализацию и введение в действие;
— оценку функционирования;
— совершенствование;
— проверки, проводимые руководством.
Боле подробно данные общие элементы представлены в таблице 1.
Общие элементы стандартов систем менеджмента ИСО
Таблица 1
Продолжение табл. 1
Окончание табл. 1
Таблица 1 показывает общие элементы стандартов требований системы менеджмента и стандартов рекомендаций для системы менеджмента ИСО, перечисленные в соответствии с этой структурой. Разработчиками стандартов системы менеджмента рекомендуется соблюдение представленной в Руководстве ISO 72 системы элементов для облегчения использования стандартов, а также совместной реализации стандартов систем менеджмента. При этом ими рекомендуется также использование подобных (схожих) формулировок при составлении текстов для общих элементов стандартных требований к системам менеджмента.
2.2.3. Шаги реализации стандартной СМИБ организации
Стандартной СМИБ присущи все общие для систем менеджмента элементы. При этом опыт использования стандартизированных требований к СМИБ показал, что следующие факторы часто оказываются решающими для успешной реализации обеспечения информационной безопасности в организации:
— политика информационной безопасности, цели и мероприятия, отражающие цели бизнеса организации;
— подход и структура для реализации, поддержки мониторинга и совершенствования информационной безопасности, согласующиеся с культурой организации;
— явная поддержка и приверженность руководства всех уровней;
— хорошее понимание требований ИБ, оценки риска и менеджмента риска;
— эффективные мероприятия по осведомленности по вопросам ИБ для достижения должного осознания;
— распространение руководств (инструкций) по политике и стандартам информационной безопасности среди всех руководителей, служащих и других сторон;
— обеспечение финансирования мероприятий менеджмента ИБ;
— обеспечение соответствующей информированности, обучения и образования;
— установление эффективного процесса менеджмента инцидентов информационной безопасности;
— реализация оценивания системы, которое используется для оценок эффективности функционирования менеджмента информационной безопасности и предложений по совершенствованию, поступающих по каналам обратной связи с руководством.
Следование требованиям стандартов СМИБ предполагает последовательное продвижение к спецификации защитных мер организации (административных, организационных, технологических, технических и иных) и соответствующих целевых процессов деятельности, необходимых для контроля рисков деятельности организации в ее информационной сфере.
В общем случае этап планирования СМИБ в соответствии с требованиями стандарта [11] может включать следующие 10 шагов, представленных в таблице 2, реальное наполнение которых определяется самой организацией.
Таблица 2
Графически данные шаги иллюстрирует рис. 31.
В структуре цикла Деминга результирующие сущности шагов этапа менеджмента «Планирование» иллюстрирует рис. 32.
Фактически представленные на рис. 31 и 32 шаги этапа планирования СМИБ преследуют цель принятие решения организацией по следующим трем основным вопросам:
— установление сферы применения и политики системы менеджмента информационной безопасности (шаги 1 и 2);
— выбор защитных мер на основе менеджмента риска (шаги 3–7);
— получение одобрения руководства для мер обработки рисков и подготовка формулировки применимости требований из каталога требований стандарта, так как это влечет организационные и, возможно, финансовые издержки компании (шаги 8-10).
При установлении сферы применения и политики системы менеджмента информационной безопасности должны рассматриваться:
— вопроса бизнеса;
— организационные аспекты;
— местоположение (географическое и физическое);
— активы;
— технологии.
Результаты определения применимой сферы действия СМИБ оказывают существенное влияние на объемы работ, которые необходимо будет выполнить при установлении системы менеджмента информационной безопасности. Приведенный ниже рис. 33 показывает общие задачи, связанные с определением применимой сферы действия СМИБ, и сопутствующие элементы.
Политика системы менеджмента информационной безопасности должна закрепить основные концепции менеджмента информационной безопасности в организации. Документы политики (структурно это может включать неограниченное число физически отдельных документов) также могут служить в качестве декларации намерений организации, отражающей то, что организация понимает и несет ответственность за требования информационной безопасности. Это бывает критичным для целей внешнего финансового аудита, если ценные бумаги организации претендуют или представлены на финансовых рынках. Содержание политики системы менеджмента информационной безопасности должно соответствовать политикам бизнеса и принципам и стилю корпоративного управления, устанавливающее основные задачи и цели организации, а также моральные нормы и принципы. Поэтому политики должны формулировать общую базисную точку информационной безопасности и содержать руководства к действию персонала компании, включая операционное руководство (см. рис. 29).
Шаги по установлению политики системы менеджмента информационной безопасности иллюстрирует рис. 34.
Содержательно вопросы определения политики системы менеджмента информационной безопасности преследуют следующие три основные цели:
— подготовка документов политики системы менеджмента информационной безопасности;
— установление организационной структуры системы менеджмента информационной безопасности;
— получение одобрения руководства (санкционирование работ по модернизации).
На основе информации, собранной в «Определении сферы действия системы менеджмента информационной безопасности» и «Установлении политики системы менеджмента информационной безопасности» определяются структуры и цели задач в соответствии с характеристиками организации и требованиями безопасности.
Это формирует основу для принятия решений о подходе к оценке риска. Нижеследующий рис. 35 иллюстрирует основное содержание данного шага работ.
В основе методологии стандартной СМИБ лежит риск-ориентированный подход. Он основывается на предположении того, что оценка риска делает возможным понимание следующих вопросов, связанных с информационными активами, которыми владеет организация:
— каковы актуальные угрозы и их источники — факторы риска;
— как часто возможно возникновение угроз;
— сколько и какие информационные активы могут подвергнуться влиянию при возникновении угрозы.
В задаче «Оценка риска» выполняется анализ риска (анализ и прогноз возможных ситуаций, выключая перебор возможных комбинаций: фактор риска, уязвимость актива, негативные последствия) и далее осуществляется соотнесение результатов анализа с некоторым виртуальным уровнем (порогом), что и составляет еще одну операцию — «Оценивание риска».
В науке о безопасности, как правило, выделяется следующие четыре подхода в качестве методов оценки риска.
Базовый подход. Заранее устанавливается определенный уровень безопасности, который должен обеспечиваться, выбираются необходимые для реализации меры и единообразно применяются к каждой рассматриваемой системе.
Неформальный подход. Риски оцениваются на основе имеющегося опыта и суждений специалистов организации или ответственных сотрудников.
Подробный анализ риска. Осуществляется детальная оценка риска путем идентификации и оценивания «ценности активов», «факторов риска», «уязвимостей» и требований безопасности для каждого информационного актива или однородной группы информационных активов.
Комбинированный подход. Используется комбинация вышеперечисленных подходов с целью дополнения недостатков одного подхода преимуществами другого, что должно привести к большей эффективности и точности анализа и оценки.
Любой из указанных подходов в итоге сводится к сравнению с порогом (это самый деликатный и философский объект), что в итоге должно позволить понять, следует ли что-то предпринять или в этом нет необходимости.
Рис. 36 иллюстрирует ситуацию отклонения между реальным измеренным уровнем риска и «требуемым гарантированным уровнем», устанавливаемым организацией для каждого информационного актива. Хотя требуемый гарантированный уровень, показанный на рис. 36, выражен как единый требуемый гарантированный уровень, на практике он может быть неоднородным по своему характеру, а устанавливаться для каждого информационного актива на основе атрибутов и свойств данного информационного актива и его значимости для организации.
Что касается комбинированного подхода, то он, как правило, сочетает базовый подход с подробным анализом риска, что в итоге признано наиболее эффективной стратегией. Однако определение того, какой подход должен использоваться в определенной ситуации, является нелегкой задачей. Решение о наилучшем подходе зависит от требований безопасности для информационных активов (таких как требования бизнеса, правовые и регулятивные требования и договорные обязательства, касающиеся безопасности, и т. д.).
Целью комбинированного подхода является оценка среды, окружающей каждый информационный актив, и использования соответствующего подхода для анализа риска. Рис. 37 иллюстрирует пример комбинированного подхода.
Оценка риска начинается с идентификации рисков. Однако идентифицируемые риски являются абстрактными, и их трудно понять. Риск формируется из взаимосвязей между несколькими источниками риска. Взаимосвязь между рисками и источниками риска определяется из «ценности активов», «факторов риска» и «уязвимостей».
В процессе идентификации рисков, должны решаться следующие две задачи:
— идентификация информационных активов;
— идентификация факторов риска и уязвимостей.
Идентификация информационных активов включает определение «лиц, отвечающих за информационные активы», подготовку и выполнение инвентаризационной описи активов.
В общем случае в инвентаризационной описи информационных активов должны быть представлены следующие сведения по каждому активу:
— лицо, отвечающее за информацию (владелец или менеджер информационных активов);
— формат информационных активов;
— формат хранения;
— местоположение хранения;
— длительность хранения;
— как следует снимать с эксплуатации активы;
— использование активов;
— масштаб пользователей (и бизнес-процессов);
— зависимости от других процессов.
Отдельная идентификация информационных активов и понимание их свойств будут полезны при идентификации факторов риска и уязвимостей, связанных с последующими задачами, и определении ценности активов. В целом процесс идентификации информационных активов иллюстрирует рис. 38.
«Факторы риска» являются потенциальной причиной инцидентов безопасности, которые могут приводить к потере или повреждению информационных активов организации. Как и в случае определения ценности информационных активов, идентифицируются факторы риска, которые могут оказывать влияние на информационные активы организации. На основе информации о факторах риска, предоставляемой пользователями информации, причастными сторонами из других отделов и внешними специалистами формируется список актуальных угроз и их источников — факторов риска.
Степень детализации в задачах идентификации информационных активов, факторов риска и уязвимостей определяется выбранным подходом к оценке рисков. Оценка риска может проводиться любым, отвечающим выбранному подходу к оценке рисков методом. Принципиальным здесь является лишь то, что результаты такой оценки должны нас максимально близко подвести к соответствующим типам и видам защитных мер, использование которых предполагается обосновать результатами оценки рисков.
Защитные меры (меры контроля рисков информационной безопасности, рисков бизнеса в информатике), использование которых планируется обосновать результатами оценки рисков, подлежат в последующем отражению в так называемом «Плане обработки рисков». Наряду с предполагаемыми к использованию защитными мерами в плане обработки рисков должны быть зафиксированы стратегии, предполагаемые к реализации организацией в рамках реагирования на выявленные недопустимые риски. Такая стратегия наряду с использованием защитных мер может включать решения по переносу рисков (на клиентов, контрагентов и т. д.), уходу от рисков (прекращение рисковых операций и т. д.) или принятию рисков (ничего не предпринимается).
В случае, если организация в последующем планирует осуществление формального аудита СМИБ или иные подобные шаги, имеющие цель декларирование следования лучшим практикам и международным стандартам в области обеспечения информационной безопасности, результаты этапа «планирование СМИБ» должны включать формальный документ «Формулировка (ведомость) применимости». Документ «Формулировка (ведомость) применимости» (оригинальное его наименование Statement of Applicability) имеет преимущественно единственное предназначение: показать, какие требования из каталога мер контроля (защитных мер) стандарта СМИБ реализованы в сфере действия стандартной СМИБ, а какие нет и почему. Потребителями подобных сведений наряду с внешними аудиторами могут быть и лица высшего руководства организации (органа корпоративного управления информационной безопасностью организации, кураторы ИБ). В целом же для практических задач это абсолютно бесполезный документ, который может быть и вредным, если не имеет процедур поддержки его в актуальном состоянии. В этом случае он может ввести в заблуждение лиц высшего руководства организации в случае попытки использования этого документа в своих целях по истечении продолжительного периода времени.
Выработанные на этапе планирования решения должны составить основу основным работам по внедрению/совершенствованию операционной деятельности организации в сфере обеспечения информационной безопасности (естественно, что это касается сферы действия СМИБ). В общем случае это может включать следующие 7 шагов, представленных на рис. 39, выполнение которых уже не предполагает строгую последовательную реализацию, когда последующий шаг не может быть выполнен, так как потребляет (использует) результаты предыдущего (см. шаги этапа «Планирование СМИБ»). Названия документов, представленных на рис. 39, являются примерными.
Отдельные шаги реализации СМИБ могут быть организованы как целевые (профильные) процессы деятельности, инициируемые и завершаемые по принятым для них критериям (по времени или событию), имеющие собственные самодостаточные регламентирующие нормы в организации, включая организационную и ресурсную поддержку. Это может быть также следствием решений организации в результате реализации требований нескольких стандартизированных систем менеджмента (не только стандартной СМИБ, но и иных стандартизированных менеджментов). Как отмечалось ранее, практически все международные стандарты на системы менеджмента методологически совместимы, что позволяет выделять и поддерживать унифицированные задачи, например, в части работы с персоналом организации, регистрации и сбора индентов и т. п. Процедуры для реализации и управления системой менеджмента информационной безопасности могут быть организованы как система (дерево) процессов (в нотации процессного подхода). При принятии организацией решений о выборе нотации процессного подхода целесообразно обратиться к рекомендациям поддерживающего стандартные требования к СМИБ документа (см. рис. 30): ISO/IEC 27003 «Руководство по реализации СМИБ» [14]. Положения данного международного стандарта основываются на методологии процессного подхода, включая спецификацию всех формальных атрибутов возможных процессов, вытекающих из стандарта требований к СМИБ [11].
Вопросы реализации СМИБ на практике неотделимы от соответствующих процедур контроля, организованных в отдельном блоке требований СМИБ, что часто вводит в заблуждение пользователей стандарта. Шаги задач контроля и проверки иллюстрирует рис. 40. Названия документов, представленных на рис. 40, являются примерными.
Формально в содержание работ контроля входят следующие задачи:
— осуществление мониторинга и проверки процедур и других средств контроля рисков (защитных мер) для быстрого обнаружения ошибок в результатах обработки, быстрой идентификации нарушений безопасности и инцидентов, предоставления руководству информации контроля, содействия обнаружению событий безопасности и предотвращения таким образом инцидентом безопасности посредством использования соответствующей системы признаков, определения, были ли эффективными действия, предпринимаемые для ликвидации нарушения безопасности;
— регулярные проверки эффективности СМИБ (включая исполнение политики и целей СМИБ, проверку средств контроля безопасности), учитывая результаты аудитов безопасности, инциденты, результаты измерений эффективности, предложения и мнения от всех заинтересованных сторон;
— пересматривать оценки риска через запланированные интервалы времени, а также остаточные риски и идентифицированные приемлемые уровни риска в соответствии с изменениями вовне организации и в ее операционной и бизнес-среде;
— осуществлять внутренние аудиты СМИБ;
— осуществлять проверки руководством СМИБ для целей подтверждения адекватности сферы действия СМИБ и эффективности мер по совершенствованию СМИБ и т. п.
Все это должно сформировать основу решений по совершенствованию СМИБ. Шаги задач поддержка и совершенствования СМИБ иллюстрирует рис. 41.
В операционной среде организации требования стандартной СМИБ имеют более сложную конфигурацию, формирующую целевые (профильные) виды деятельности, требующие своего менеджмента (обозначим как «частный менеджмент»). Рис. 42 иллюстрирует возможный состав таких частных менеджментов, поддерживаемых задачи СМИБ.
В то же время информационные потоки в среде организации (операций и функций управления) могут содержать критерии, требующие реализации согласованных действий, формально относящихся к различным видам деятельности в организации (различным частным менеджментам). Рис. 43 иллюстрирует работу событийной модели текущей деятельности, порожденной выявленным событием ИБ (от блока «Процессы мониторинга»).
Далее более подробно рассмотрим вариант (пример) взаимодействия различных видов деятельности в организации (совместную работу «частных менеджментов» СМИБ) на примере процессов мониторинга и обработки инцидентов информационной безопасности.
2.2.4. Реализация моделей менеджмента в целевых задачах организации («частные менеджменты»)
При рассмотрении примера будем исходить из взаимосвязанной деятельности по менеджменту инцидентов и мониторингу, показанной на рис. 44. При этом процессы цикла Деминга — Шухарта применительно к менеджменту инцидентов называются в соответствии с международным документом [15].
В процессе реагирования на инцидент ИБ в соответствии с документом [15] предусматриваются процедуры пересмотра и улучшения процессов менеджмента инцидентов ИБ как на регулярной основе (периодически), так и по результатам обработки любого существенного инцидента ИБ. Завершающий отчет по каждому инциденту ИБ сохраняется в базе данных инцидентов ИБ (см. рис. 44, 43) и включает данные, которые могут быть использованы в будущем при обработке подобных инцидентов, включая их предвестники и признаки.
Предложения по улучшению должны отражать вопросы о дополнительном инструментарии или ресурсах, обучении персонала и т. п., т. е. все, что необходимо для принятия решений, направленных на выбор и реализацию мер по совершенствованию:
— менеджмента инцидентов ИБ;
— оценки рисков ИБ;
— инициирования улучшений безопасности, обновления и (или) реализации новых защитных мер ИБ и в итоге совершенствования СМИБ.
Документы, выпускаемые в процессе менеджмента инцидентов, фактически являются событиями, инициирующими процессы в других частных менеджментах, поскольку служат источниками сигнала для инициирования иных работы. Например, в процессе менеджмента информационных активов будет определена структура активов, их ценность, важность, приоритеты свойств безопасности, уязвимости и другие свойства. Однако большая часть этих свойств определяется экспертным путем или получается в результате опроса, т. е. может носить неточный или субъективный характер. Один из путей проверки объективности этих данных — использование фактического материала, сопровождающего факты инцидентов или содержащегося в периодических аналитических отчетах. Документы, появляющиеся в процессе менеджмента инцидентов, являются входными для процесса проверки при менеджменте активов (см. рис. 43, поток от процесса «Пересмотр» в менеджменте инцидентов к процессу «Проверка» в менеджменте активов). При проверке будет выяснено, какая конкретно уязвимость была использована в инциденте, какие еще информационные активы были затронуты, были ли предвестники, насколько быстро удалось выделить все признаки инцидента и понять, как его сдерживать, каков ущерб в результате произошедшего инцидента, насколько быстро восстановлена функциональность, связанная с активом, и т. п. Эти данные позволят скорректировать (процесс «Совершенствование») свойства вовлеченных в инцидент активов и, возможно, их структуру, реальную ценность и важность.
По результатам менеджмента инцидентов корректируются также и перечень факторов риска, менеджмент которых на рис. 43 включен в менеджмент риска. Однако изменение актуальности факторов риска или появление новых источников рисков, методов атак и т. п. должно приводить к переоценке риска.
Изменение защитных мер, регламентов и ролей неизбежно отражается на менеджменте инцидентов. Таким образом, цикл замкнулся. Если, к примеру, в процессе «Пересмотр » менеджмента инцидентов появилась рекомендация о включении дополнительного параметра мониторинга на сервере системы, то этот вопрос, скорее всего, нельзя решить в рамках менеджмента инцидентов.
Описанная событийная схема инвариантна к организационной структуре операционной среды. Она отражает основной смысл «процессного подхода» — ориентацию на результат. В практике наибольшую сложность вызывает вопрос отображения необходимых работ на должностные обязанности персонала. Например, совсем не обязательно, чтобы менеджмент защитных мер осуществлялся в рамках деятельности службы информационной безопасности компании. Более того, он может быть разнесен по нескольким подразделениям службы информатизации в соответствии с функционалом этих защитных мер (антивирусная защита, телекоммуникации, серверное хозяйство и т. п.).
На практике организационная составляющая обеспечения информационной безопасности бизнеса чрезвычайно разнообразна. Профильные структуры и подразделения, за которыми формально закреплены обязанности по обеспечению информационной безопасности бизнеса, могут быть организованы как:
— самостоятельное подразделение в структуре службы безопасности организации;
— отдел в подразделении экономической безопасности;
— отдел в структуре службы информатизации банка;
— отдельная группа в составе подразделения риск-менеджмента компании.
Последний вариант не гипотетический, а совершенно реальный, и не экзотический, а достаточно распространенный и имеющий свои уникальные сильные и слабые стороны. Обусловлен он, как правило, ситуацией, когда служба безопасности организации комплектуется только отставными офицерами силовых ведомств, которые прекрасно владеют навыками и приемами решения «классических» задач безопасности (физическая защита, видео/аудио и т. п.), но имеют сложности в обращении со средствами и системами вычислительной техники, составляющими в настоящее время значимую часть информационной сферы компаний.
В этих условиях руководство организации вынуждено рассматривать альтернативные варианты размещения в операционной среде компании «функции обеспечения информационной безопасности», исходя из собственного понимания возможного вклада и содействия этой функции результатам деятельности организации.
С точки зрения бизнеса и высшего руководства организации процедуры, меры и средства обеспечения информационной безопасности деятельности в конечном итоге предназначены для контроля рисков бизнеса (деятельности) организации, проистекающих от факторов рисков в информационной сфере. При таком видении вопроса принципиальной важности не составляет вопрос о том, где учредить орган ответственности за «функцию обеспечения информационной безопасности», значимым является в итоге лишь то, чтобы эта функция работала, как ожидается, и приносила пользу организации.
Более того, «функция обеспечения информационной безопасности» в современных условиях во многих организациях, в особенности в так называемых «развитых странах», понимается как интегрирующая платформа всех средств контроля информационных технологий и иных видов деятельности в организации (см. рис. 26). Обеспечение информационной безопасности относится и к инфраструктуре, и к данным и формирует основу эффективности, за редким исключением, большинства иных используемых в организации средств системы внутреннего контроля, представляя ей необходимую документальную фактуру по реальным событиям в операционной среде организации. Исключение, например, могут составлять средства контроля, связанные с финансовыми аспектами ИТ (например, средства контроля рентабельности инвестиций, средства контроля бюджета обслуживания и поддержки стоимости владения), некоторые средства контроля управления проектами внедрения средств и систем автоматизации и информатизации деятельности организации.
Это нашло свое отражение и в международных стандартах менеджмента и обеспечения информационной безопасности, формируя некие единый язык общения различных подразделений организации, следующих таким стандартам. Данное обстоятельство не в последнюю очередь послужило росту популярности на стыке XX и XXI вв. британского стандарта BS 7799 «Системы менеджмента информационной безопасности». В его положениях, возможно, впервые в международной практике был предложен понятийный аппарат области информационной безопасности, где «традиционные» средства и меры защиты и обеспечения информационной безопасности были обозначены как «меры контроля [рисков]» деятельности организации.
В последних редакциях действующих международных стандартов и во вновь принимаемых документах на уровне определения базовых понятий были объединены и рассматриваются в качестве синонимов такие понятия, как «контроль» и «защитная мера». Например, ГОСТ Р ИСО/МЭК 13335-1-2006 [17] (гармонизированный международный стандарт) вводит следующие понятия:
«2.7 контроль (control): — [нет определения понятия]
Примечание — В контексте безопасности информационно-телекоммуникационных технологий термин «контроль» может считаться синонимом «защитной меры» (см. 2.24).
2.24 защитная мера (safeguard): Сложившаяся практика, процедура или механизм обработки риска.
Примечание — Следует заметить, что понятие «защитная мера» может считаться синонимом понятию «контроль» (см. 2.7)».
Другой международный стандарт ISO/IEC 27002 [18], включающий структурированный каталог защитных мер для использования в системах менеджмента информационной безопасности, предлагает следующее понятие, характеризующее то, что включает и устоявшееся понятие «защитная мера»:
«Мера контроля (control) — средство менеджмента риска, включающее в себя политики, процедуры, рекомендации, инструкции или организационные структуры, которые могут иметь административную, техническую, управленческую или правовую сущность.
Примечание — Термин «мера контроля» может использоваться также в качестве синонима к терминам «защитная мера» (safeguard) или контрмера (countermeasure)».
При этом в положениях ISO/IEC 27002 [18] отмечается, что следующие меры контроля рассматриваются как общепринятая практика в области информационной безопасности («джентльменский набор» для «публичных» компаний):
а) наличие документа, описывающего политику информационной безопасности;
б) распределение обязанностей по обеспечению информационной безопасности;
в) обеспечение осведомленности, образования и обучения вопросам информационной безопасности;
г) правильная обработка данных в приложениях;
д) менеджмент технических уязвимостей;
е) менеджмент непрерывности бизнеса;
ж) менеджмент инцидентов, связанных с информационной безопасностью, и действий по улучшению реагирования на них.
Даже перечисленные категории защитных мер («мер контроля и управления рисками» в терминах современных стандартов), несмотря на их скромную номенклатуру, серьезным образом влияют на всю операционную среду организации. При этом основным их назначением является формирование оснований для уверенности высшего руководства (собственников бизнеса) в надежности (адекватности, устойчивости, безопасности и т. д.) операционной среды организации, касающееся ее информационной составляющей. Те же цели в своей деятельности преследует и система (подразделение) внутреннего контроля организации, и система (подразделение) менеджмента рисков организации. Все это приводит к необходимости четкого позиционирования и понимания потенциального вклада перечисленных направлений деятельности подразделений организации в формирование единой системы мер гарантий и уверенности в достижении заявленных целей. Это предполагает также и противодействие на всех уровнях неправомерным (преднамеренным и /или случайным) действиям сотрудников компаний и внешних лиц, способных привести к негативным последствиям как для организации, так и для ее клиентов, инвесторов и т. п. Методам и мерам контроля рисков деятельности для организации в целом, а также процессам деятельности в сфере информатизации организации посвящены модельные решения, нашедшие отражение в ряде авторитетных источников, например, таких, которые известны как COSO, COBIT, ITIL.
2.3. Модели COSO, COBIT, ITIL
Структура, получившая широкую известность под аббревиатурой COSO (The Committee of Sponsoring Organizations [of the Treadway Commission] — Комитет спонсорских организаций [комиссии Тредвея]), была учреждена в 1985 г. COSO был создан для финансирования работ независимой национальной (американской) комиссии, образованной для выработки мер противодействия мошенничеству с финансовой отчетностью. Целью деятельности комиссии являлось изучение факторов, которые могут приводить к мошенничеству с финансовой отчетностью, а также выработка рекомендаций для частных компаний и их независимых аудиторов, для инспекторов Комиссии США по ценным бумагам и биржевым операциям (SEC) и других инспекторов и образовательных учреждений.
Спонсорами (членами COSO) выступили профессиональные организации (ассоциации), которые напрямую зависели от последствий фактов мошенничества с финансовой отчетностью. Это пять профессиональных ассоциаций, располагавшихся в США: Американская ассоциация бухгалтеров, Американский институт дипломированных общественных бухгалтеров, Международная ассоциация финансовых руководителей, Институт внутренних аудиторов и Национальная ассоциацией бухгалтеров (ныне известен как Институт бухгалтеров-управленцев). Комиссию возглавили шесть инспекторов во главе с Джеймсом Тредвеем-младшим, на то время бывшим уполномоченным Комиссии по ценным бумагам и биржевым операциям США. В комиссию вошли представители промышленности, независимого бухгалтерского учета и аудита, инвестиционных компаний и Нью-Йоркской фондовой биржи.
Результаты не заставили себя долго ждать. В октябре 1987 г. после годичного обсуждения был опубликован первый отчет Комиссии, рассматривающий следующие вопросы:
— обзор систем финансовой отчетности и мошенничество в финансовой отчетности;
— рекомендации для публичных (акционерных) компаний;
— рекомендации для независимых аудиторов;
— рекомендации Комиссии по ценным бумагам и биржевым операциям и другим органам, вовлеченным в регулирование данной области деятельности;
— рекомендации для образовательных задач;
— приложения (аналитика, практические примеры).
Фактически первый отчет комиссии 1987 г. дал направленность всем последующим публикациям, известным под аббревиатурой COSO. К настоящему времени основные направления деятельности комиссии отражены в документах, посвященных следующим вопросам:
— анализ фактов мошенничества в финансовой отчетности;
— внутренний контроль;
— менеджмент риска в организации.
Документы комиссии по вопросам организации внутреннего контроля и риск-менеджмента в компаниях наиболее востребованы практикой в сфере корпоративного управления и контроля (аудита). Процессы глобализации финансовых, сырьевых, товарных рынков послужили дополнительным стимулом поиска универсальных методологических (модельных) платформ функционирования организаций (моделей деятельности организаций). Модель системы внутреннего контроля COSO уже де-факто стала эталоном организации внутрикорпоративной деятельности. Более десяти лет назад Комиссия COSO выпустила один из первых документов «Концептуальные основы внутреннего контроля», направленный на оказание помощи предприятиям и организациям в проведении оценки и совершенствовании их систем внутреннего контроля. Тысячи компаний приняли и использовали эту концепцию при выработке решений относительно своих политик, правил и процедур внутреннего контроля.
В 2001 г. COSO инициировал проект по разработке концептуальных основ менеджмента риска для использования руководством компаний при оценке своей системы управления рисками и ее дальнейшем совершенствовании. Период разработки концептуальной базы по менеджменту риска COSO был отмечен рядом корпоративных скандалов и банкротств в Европе и Америке, получивших широкую огласку и принесших значительные убытки инвесторам, персоналу компаний и другим заинтересованным сторонам. В этих условиях потребность в создании концептуальной базы по менеджменту рисками, устанавливающей основные принципы и концепции, общую терминологию, четкие указания и рекомендации, стала еще более очевидной.
Одним из последствий указанных событий стало принятие в 2002 г. в США так называемого Закона Сарбейнса — Оксли (известного как SOX). Аналогичные законы были приняты или готовятся к принятию и в других странах. Указанная серия законов расширяет существовавшие требования к открытым акционерным обществам по созданию и поддержанию систем внутреннего контроля, возлагая обязанность на руководство компаний представлять информацию об эффективности таких систем, а на независимого аудитора [финансовой отчетности] — удостоверять предоставленные сведения.
Одним из самых важных вопросов, решаемых высшим руководством организаций, как отмечается в материалах COSO, является определение величины риска, который организация готова принять и принимает в процессе своей деятельности по созданию добавленной стоимости (материалы комиссии, финансируемой COSO, обращены к коммерческим структурам, в связи с этим в ее материалах делается акцент на прибыль/добавленную стоимость).
Основная предпосылка при менеджменте рисками деятельности организации заключается в том, что каждая организация существует, чтобы создавать добавленную стоимость для сторон, заинтересованных в ее деятельности. При этом все организации сталкиваются с неопределенностью, и задачей руководства является принятие решения об уровне неопределенности, с которым организация готова смириться, стремясь увеличить стоимость для заинтересованных сторон. В связи с этим неопределенность, с одной стороны, таит в себе риск (потери), а с другой — может открыть новые возможности, поэтому принятые в условиях неопределенности решения могут привести как к снижению, так и к увеличению стоимости. Менеджмент риска, как отмечается в материалах COSO, позволяет руководству эффективно действовать в условиях неопределенности и связанных с ней рисков и использовать возможности, увеличивая потенциал для роста стоимости компании.
Рост стоимости будет максимальным, если руководство определяет стратегию и цели таким образом, чтобы обеспечить оптимальный баланс между ростом компании, ее прибыльностью и рисками; эффективно и результативно использует ресурсы, необходимые для достижения целей организации.
В соответствии с методологией COSO менеджмент риска организации включает в себя следующие ключевые задачи:
— определение уровня риска, на который готова идти организация в соответствии со своей стратегией развития;
— совершенствование процесса принятия решений по реагированию на возникающие риски;
— сокращение числа непредвиденных событий и убытков в хозяйственной деятельности;
— определение и управление всей совокупностью рисков в хозяйственной деятельности;
— использование благоприятных возможностей;
— рациональное использование капитала.
Возможные подходы к определению уровня риска, на который готова идти организация (величину приемлемой степени риска), схематично иллюстрирует рис. 45.
По мнению авторов рекомендаций COSO, возможности, открываемые процессом менеджмента риска организации, помогают руководству в достижении целевых показателей прибыльности и рентабельности, а также в предотвращении нерационального использования ресурсов. При этом процесс менеджмента риска способствует обеспечению эффективности процесса составления финансовой отчетности, а также соблюдения законодательных и нормативных актов, избежания нанесения ущерба репутации компании и связанных с этим последствий. Посредством этого процесс менеджмента риска позволяет руководству достигать своих целей и при этом избегать просчетов и неожиданностей.
Влияние событий в сфере неопределенности может быть положительным, отрицательным или одновременно и тем и другим. События, влияние которых является отрицательным, методологией COSO предлагается относить к риску, который мешает созданию или ведет к снижению стоимости. События, влияние которых является положительным, могут компенсировать отрицательное влияние рисков, а также положительно влиять на достижение результата.
По COSO менеджмент риска организации:
— представляет собой непрерывный процесс, охватывающий всю организацию;
— осуществляется сотрудниками на всех уровнях организации;
— используется при разработке и формировании стратегии;
— применяется во всей организации, на каждом ее уровне и в каждом подразделении и включает анализ портфеля рисков на уровне организации;
— нацелен на определение событий, которые могут влиять на организацию и менеджмент рисками таким образом, чтобы они не превышали порог готовности организации идти на риск;
— дает руководству и совету директоров организации разумную гарантию достижения целей;
— связан с достижением целей по одной или нескольким пересекающимся категориям.
Существует прямая взаимосвязь между целями, или тем, чего организация стремится достичь, и компонентами процесса менеджмента рисками организации, представляющими собой действия, необходимые для их достижения. Данная взаимосвязь иллюстрируется в материалах COSO трехмерной матрицей (кубом), представленным на рис. 46.
Данный рисунок отражает пересмотренный подход руководств Комитета COSO (называемые еще COSO II), которые являются более детализированным по сравнению с материалами, лежащими в основе первого блока руководств Комитета COSO, датируемого началом 1990-х гг.
Применение систематизированного подхода в рамках менеджмента риска организации позволяет обеспечить оптимальное управление ситуацией в условиях неопределенности и принятие более осознанных решений по вопросам риска. Для реализации данного подхода на практике организация должна разработать/принять удовлетворяющую ее целям понятийную базу, установить цели, задачи, объемы, распределить ответственность, а также утвердить методологию управления операционными рисками.
Восемь взаимосвязанных компонентов менеджмента риска организации по методологии Комитета COSO (см. рис. 46) поясняются следующим образом.
— Внутренняя среда. Внутренняя среда представляет собой атмосферу в организации и определяет, каким образом риск воспринимается сотрудниками организации и как они на него реагируют. Внутренняя среда включает философию менеджмента риска и уровень риска, на который готова идти организация, честность и этические ценности, а также ту среду, в которой они существуют.
— Постановка целей. Цели должны быть определены до того, как руководство начнет выявлять события, которые потенциально могут оказать влияние на их достижение. Процесс менеджмента риска предоставляет «разумную» гарантию (если более точно, то определенное основание для уверенности) того, что руководство компании имеет правильно организованный процесс выбора и формирования целей и эти цели соответствуют задачам организации и ее готовность идти на риск.
— Определение событий. Внутренние и внешние события, оказывающие влияние на достижение целей организации, должны определяться с учетом их разделения на риски (потери) или возможности (благоприятное стечение обстоятельств, «улыбнулась удача» и т. п.). Возможности должны учитываться руководством в процессе формирования стратегии и постановки целей.
— Оценка рисков. Риски анализируются с учетом вероятности их возникновения и влияния с целью определения того, какие действия в отношении них необходимо предпринять. Риски оцениваются с точки зрения присущего (характерного) и остаточного риска.
— Реагирование на риск. Руководство выбирает метод реагирования на риск — уход от риска, принятие, снижение или перенос (перераспределение) риска, — разрабатывая ряд мероприятий, которые позволяют привести выявленный риск в соответствие с допустимым уровнем риска и готовностью организации рисковать.
— Средства контроля. Политики и процедуры разработаны и установлены таким образом, чтобы обеспечивать «разумную» гарантию того, что реагирование на возникающий риск происходит эффективно и своевременно.
— Информация и коммуникации. Необходимая информация определяется, фиксируется и передается в такой форме и в такие сроки, которые позволяют сотрудникам выполнять их функциональные обязанности. Также осуществляется эффективный обмен информацией в рамках организации как по вертикали сверху вниз и снизу вверх, так и по горизонтали.
— Мониторинг. Весь процесс управления рисками организации отслеживается и по необходимости корректируется и совершенствуется. Мониторинг осуществляется в рамках текущей деятельности руководства или путем проведения периодических оценок.
Система внутреннего контроля организации позиционируется как составная часть процесса менеджмента риска организации. Менеджмент риска на уровне организации рассматривается как процесс более широкий, чем внутренний контроль. Он включает и развивает систему внутреннего контроля, преобразуя ее в более эффективную форму, акцентированную на риск. В свою очередь менеджмент риска рассматривается как часть общекорпоративного менеджмента.
Современные международные стандарты внутреннего аудита предполагают возможность аудита и оценки как систем внутреннего контроля организации, так и их систем менеджмента риска. Например, стандарт Института внутренних аудиторов (The Institute of Internal Auditors, IIA) в срезе деятельности IIA 2110 определяет целью проводимых подразделениями внутреннего аудита мероприятий осуществление мониторинга и оценки эффективности действующей в организации системы менеджмента риска. В частности, подразделениям внутреннего аудита вменяется в обязанности оценки степени риска, связанного с действиями руководства организации, ее операционной деятельностью и функционированием ее информационных систем с точки зрения:
— эффективности и результативности операций;
— надежности и достоверности финансовой и оперативной информации;
— сохранности активов;
— соблюдения законов, регламентов и контрактов.
Применительно к информационной сфере организации модель Комитета COSO развивается рядом опять же «стандартов де-факто», таких как COBIT и ITIL. Базовые решения методологии ITIL закреплены отдельными международными стандартами менеджмента услуг информационных технологий в организации из соответствующего семейства стандартов менеджмента ISO/IEC 20000 [21].
Каждая из спецификаций стандартов COBIT и ITIL включает серию объемных документов, подробно останавливаться на которых в формате данного издания не представляется необходимым. Стандарт COBIT претерпел уже 4-ю редакцию (в 2007 г. опубликована редакция 4.1), а спецификация ITIL — 3-ю.
В целом оба из отмеченных стандартизированных подходов (COBIT и ITIL) преследуют следующие общие цели использования информационных технологий в организациях:
— соответствие требованиям, предъявляемым высшим руководством организации;
— обеспечение прозрачности влияния на бизнес и рисков, связанных с ИТ;
— создание механизмов, гарантирующих достижение поставленных целей;
— повышение эффективности реакций на требования бизнеса и изменения в стратегии организации;
— обеспечение эффективной трансляции бизнес-требований в соответствующие возможности решений в сфере информационных технологий;
— интеграция приложений и информационных технологий в бизнес-процессы организации;
— обеспечение эффективных взаимоотношений с другими организациями;
— обеспечение прозрачности ИТ-расходов, потенциала, стратегии, политики и качества услуг;
— обеспечение учета и эффективного использования всех ИТ-активов;
— увеличение эффективности инвестиций в ИТ и вклада информационных технологий в общую эффективность бизнеса;
— оптимизация ИТ-инфраструктуры и ресурсов;
— обеспечение достоверности выполняемых автоматизированных транзакций;
— обеспечение адекватного противодействия ИТ неблагоприятным внешним и внутренним факторам;
— обеспечение требуемой доступности ИТ-услуг;
— поддержка целостности информации и инфраструктуры;
— обеспечение соответствия ИТ-деятельности законам и регулирующим нормам;
— обеспечение стабильного качества услуг, поддержка процесса непрерывного совершенствования.
Все перечисленные позиции органично развивают положения модели Комитета COSO, предлагая риск-ориентированный прагматичный подход к использованию организациями информационных технологий в контексте пользы и выгоды организации от их применения.
Оба стандарта базируются на модели непрерывного совершенствования (в спецификации ITIL явно указано на соответствие модели ИСО 9000; стандарт COBIT подобных формулировок не содержит, но фактически им соответствует).
Во введении стандарта COBIT отмечается, что его структура максимально адаптирована к поддержке структуре контроля для корпоративного управления организации и управления риском, изложенный в рекомендациях Комиссии COSO «Внутренний контроль — Интегрированная структура» и аналогичным руководствам.
Фундаментальным различием COBIT и ITIL является их происхождение, а следовательно, и специфика использования.
Заказчиком и спонсором спецификации ITIL являлись организации, использующие в своей деятельности информационные технологии. С позиций классики модели деятельности организации ИТ реализуют сервисную (вспомогательную) функцию к процессам формирования добавочной стоимости продукции и процессам корпоративного управления. Исключением может быть ситуация, когда основной целью деятельности организации является предоставление ИТ-услуг. Такие компании также присутствуют на рынке, но, как правило, для целей обслуживания крупного «материального бизнеса» (нефтяного или машиностроительного холдинга и т. п.). В таком видении вклада ИТ в обеспечение деятельности организации наиболее уместной представляется сервисная модель организации и реализации процессов менеджмента ИТ в организации со всеми вытекающими сущностями сервисной модели (планирование сервисов, требования к сервисам и т. п.). Именно такая модель положена в основу спецификации ITIL.
Положения стандарта COBIT не отвергают сервисной модели, даже рекомендуют ее к использованию совместно с COBIT. Однако общий взгляд на ИТ в стандарте COBIT несколько иной. Он как бы акцентируется на вопросах интеграции ИТ в общекорпоративный менеджмент, всецелом удовлетворении бизнес-требований и широком охвате контролем достижения целей. В положениях стандарта COBIT отмечается, что структура мер контроля COBIT способствует удовлетворению потребности системы внутреннего контроля организации посредством следующего:
— обеспечения связи с бизнес-требованиями;
— систематизации ИТ-деятельности в виде общепризнанной процессной модели;
— идентификации основных ИТ-ресурсов, которые должны использоваться;
— определения целей контроля управления, которые должны рассматриваться.
Для организации в целом, использование рекомендаций COBIT обеспечивает основу для:
— создания измеримой связи между бизнес-требованиями и ИТ-целями;
— предоставления инструментальных средств для руководства;
— установления целей и метрик, позволяющих оценивать функционирование ИТ;
— использования моделей зрелости, позволяющих проводить сравнительный анализ возможностей процессов;
— применения ролевых нотаций «Ответственность, подотчетность, консультирование и информирование» для прояснения ролей и обязанностей персонала организации.
В качестве преимуществ реализации COBIT как структуры корпоративного управления ИТ в стандарте отмечается:
— лучшая синхронизация бизнеса и ИТ на основе сосредоточения на бизнесе;
— общее понимание среди всех причастных сторон, основанное на общем языке;
— понимание бизнес-руководством того, что поддерживается и реализуется средствами ИТ;
— четкие обязанности и принципы владения на основе процессной ориент ации;
— широкое признание третьими сторонами и регулятивными органами;
— удовлетворение требований COSO для среды контроля ИТ.
Общую спецификацию процессов COBIT иллюстрирует рис. 47.
Комплекс документов стандарта COBIT включает руководства для многих заинтересованных сторон. Документы COBIT систематизированы по следующим трем уровням (см. рис. 48), предназначенным для поддержки:
— исполнительного высшего руководства организации и правления;
— бизнес-руководителей и ИТ-руководства;
— специалистов в сфере корпоративного управления, доверия, контроля и безопасности.
Существуют также производные продукты (руководства) для определенных целей, например, документы, которые рассматривают:
— цели контроля ИТ (на основе COBIT) для Закона Сарбейнса — Оксли;
— базовый уровень безопасности и менеджмент информационной безопасностью COBIT: руководство для совета директоров и исполнительного руководства;
— руководство к COBIT для малых и средних предприятий или больших предприятий, стремящихся достичь более широкой реализации корпоративного управления ИТ.
Все компоненты COBIT взаимосвязаны и предназначены для поддержки потребностей в корпоративном управлении, управлении, контроле и доверии различных заинтересованных сторон (см. рис. 49).
COBIT — это структура и совокупность поддерживающих механизмов и технологий, которые позволяют руководителям ликвидировать расхождения в отношении требований контроля, технических вопросов и бизнес-рисков и информировать об этом уровне контроля причастные стороны.
Практическая сторона использования любой рассмотренной стандартизированной спецификации ИТ, как COBIT, так и ITIL и иных подобных, в конечном случае сопряжена с оценками и измерениями в операционной среде организации. Только информация контроля может показать, насколько планы предприятия реализованы. Только данные по измерениям могут показать «на сколько» планы реализованы или перевыполнены. Тот же COBIT иллюстрирует данный тезис, как показано на рис. 50.
В конечном итоге информация контроля и данные измерений и оценки имеют ценность в организации ровно настолько, насколько ее способна «переварить» система корпоративного контроля и управления.
Измеренное (оцененное) значение «0,8», «40», «70 %» без контекста, сопровождающего данное значение оценки, абсолютно бесполезно для системы принятия решений организации (надо что-то делать или, может, подождать). Более того, оно вредно, так как сопровождается затратой ресурсов организации (операционной среды и системы управления), если только наличие какой-либо оценки не является основной целью такой оценки.
В вопросах совершенствования необходимы сведения об ожиданиях (целях и задачах), имевших место при планировании работ. Тогда контроль и измерения в таких условиях сопровождаются платформой и семантикой предполагаемой шкалы и методов контроля и измерения.
При следовании организацией рекомендациям модели Комитета COSO в системе корпоративного менеджмента функциональные и обеспечивающие подразделения, а также ее высшее руководство получают возможность использования в своей практике соответствующих их деятельности моделей непрерывного совершенствования. Наряду с этим и высшее руководство потенциально способно эффективно управлять и адекватно реагировать на события в своей операционной среде и среде бизнеса своей организации. В таких условиях возможно максимально эффективное использование практически любого стандартизированного решения, реализующего модели непрерывного совершенствования, как для сферы обеспечения информационной безопасности бизнеса, так и для информатизации и контроля информационных технологий. Более того, это позволяет выстраивать максимально эффективные и результативные «горизонтальные» связи, например, между подразделениями информатизации и безопасности в контексте общих принципов корпоративного менеджмента и контроля достижения целей деятельности организации.
Далее рассмотрим возможные подходы к измерениям и контролю в моделях непрерывного совершенствования, включая совершенствования системы менеджменты информационной безопасности бизнеса.
2.4. Контроль и аудит (оценки, измерения) в моделях менеджмента (управления)
Измерения и контроль в моделях менеджмента предназначены для удовлетворения информационных потребностей тех или иных заинтересованных сторон в информации, касающейся функционирования объекта измерения и контроля. Все результаты измерений и контроля имеют информационную природу. Потребители информации (заинтересованные стороны) могут быть как внутренними (органы управления и контроля, сервисные подразделения и т. п.), так и внешними (собственники/акционеры, органы надзора и регулирования, инвесторы и т. д.) по отношению к организации.
В вопросах совершенствования деятельности организации информация измерений и контроля необходима в том числе и для актуализации виртуальной модели материального мира, используемой органами управления в системе принятия решений. В случаях, если поступающие данные от измерений и контроля в организации «не ложатся» (не находят своего места) в виртуальной модели материального мира органа управления, они не могут быть им использованы, а следовательно, являются бесполезными. В связи с этим все затраты организации на осуществление таких измерений можно относить к ущербу (упущенной выгоде, уменьшенной добавочной стоимости и т. п.).
«Классические» рекомендации по роли информации в управлении организацией можно найти во многих известных стандартах, например, таких как ГОСТ Р ИСО 9004. В них отмечается, что лица органов управления должны обращаться с данными как с фундаментальным источником для преобразования в информацию и постоянного развития базы знаний организации, которая важна при принятии решений, основанных на фактах. Это среди прочего может стимулировать нововведения, инновации, объективную основу для решений по совершенствованию деятельности. Для этого органам управления организацией следует:
— определить потребности в информации (категориях и типах, формах ее представления);
— преобразовывать информацию в знания, используемые в организации;
— проводить оценку выгод, получаемых за счет использования информации, с целью улучшения менеджмента информации и знаний организации.
В то же время неэффективно и неадекватно спроектированные измерения и меры контроля могут сформировать ложную уверенность в надлежащем (правильном, эффективном, адекватном условиям и т. д.) функционировании объекта контроля, что способно привести к еще большим издержкам организации.
Какие результаты дает произвольная система измерений, мы можем видеть на улицах российских городов. Метрики контроля эффективности деятельности, устанавливаемые для сотрудников патрульно-постовой службы, инспекторов безопасности дорожного движения, зачастую далеки от факторов, оказывающих действенное влияние на снижение уличной преступности и безопасности на дорогах. Подобные проблемы не являются характерными только для российской действительности. Например, Г. Нив в своей книге [6] приводит пример, когда Деминг показывает ему заголовок из одной газеты: «Констебль виновен в неисполнении обязанностей — не выполнил план по арестам». За это невыполнение полицейский из Торонто был смещен с должности.
Этот достаточно наглядный пример приведен в пятой части книги Г. Нива «Четырнадцать пунктов снова перед нами», где он рассматривает с практической стороны «работу» 14 принципов программы Деминга для менеджмента, иллюстрируя их характерными примерами. Материалы данной главы Нива и других, могут быть полезны всем, кто не на словах, а на деле желает что-либо изменить в лучшую сторону в своей управленческой деятельности.
Что касается рассматриваемого вопроса, то в принципах программы Деминга для менеджмента ожидаемо нашлось место и вопросам измерения и контроля. В главе 29 «Пункт 11: исключите произвольные количественные цели» ярко и на примерах рассмотрены ситуации и последствия поверхностного и непродуманного подхода к измерениям и сформулированы соответствующие рекомендации. Где-то они носят идеалистический характер, но многие из них вполне практичны. Например, нельзя не согласиться с тезисом Деминга «Измерения — всегда только верхушка айсберга».
В срезе моделей менеджмента (управления) информационных технологий в организации и систем обеспечения информационной безопасности организаций практически все стандартизированные для целей проектирования и реализации измерений решения основываются на единой эталонной структуре, отражающей сущности предметной области измерений и их отношения. В каждом конкретном случае все сущности предметной области измерений имеют свое наполнение или решения «по умолчанию».
Рис. 51 иллюстрирует обобщенную модель измерений в системах менеджмента информационных технологий и информационной безопасности организации.
Лица органов управления организации соответствующего уровня устанавливают нормы и требования к организации и реализации деятельности в подразделениях организации (эталон), отражающие видение руководства того, что и как должно осуществляться в подразделениях организации для достижения поставленных целей. Это может включать нормы и требования организации функционирования и совершенствования деятельности объекта, нормы и требования риск-менеджмента объекта и т. д. Установление лицами органов управления организации норм и требований к организации и реализации деятельности в подразделениях организации порождает потребность контроля их исполнения и измерений достигнутых результатов.
Задачи контроля и измерений достигнутых результатов формулируются в терминах информационной потребности в информации результатов тех или иных видов оценок. Потребность представляет собой понимание, включающее необходимость выявления и разрешения целей, задач, рисков и проблем. Для реализации данной потребности определяются цели, объекты и предмет измерений и контроля. Они наряду с эталоном предопределяют модель оценки, включающую установление того, что и как может быть проверено, учитывая аспекты достоверности и правила реализации сбора сведений и их анализа, оценивания (вычисления качественных и /или количественных значений) и интерпретации результатов.
Модели и методы измерений и контроля могут быть отражены в любой форме, в том числе и в виде отдельного документа. Уровень формализации моделей и методов измерений и контроля может быть любым, при условии, что он позволяет использовать данные модели и методы в операционной среде организации на объектах оценки. Композиция эталона и оценочной модели и методов измерений и контроля образуют основу для формирования и использования методической базы (методики, регламенты, инструментальные средства), что формирует основания для проведения практической деятельности на объектах. Эталон в обязательном порядке должен учитываться при формировании методик оценки объекта, так как в противном случае будет затруднительно отобразить и интерпретировать результаты измерений и контроля в терминах того, что должно было быть выполнено на объекте относительно результатов измерений.
Методическое обеспечение определяет структуру и форму результатов измерений и контроля, которые должны удовлетворять потребностям лиц органов управления организации и могут быть интерпретированы для дальнейшего использования. Применение методик на объектах в условиях регламентированных процедур, отвечающих установленным и признаваемым в организации принципам и методам измерений и контроля, должно позволить сформировать результат требуемого качества, удовлетворяющего информационным потребностям.
Результаты измерений и контроля, формируемые на основе полученных с объекта данных измерений и контроля, должны отвечать заявленной информационной потребности и позволять использовать их лицами органов управления организации для совершенствования деятельности (или в иных целях, например, для передачи третьим лицам).
Важным моментом для практики инициирования новых видов проверок (измерений и способов контроля и оценки) является адекватность текущего установленного эталона (действующих норм и требований, предопределяющих деятельность объектов оценки) сформулированной информационной потребности. Существующий эталон, устанавливая правила функционирования объекта, одновременно задает рамки ограничений на возможные информационные потребности лиц органов управления организации в оценочных категориях и возможные ожидания, имеющиеся относительно различных видов измерений и контроля.
Так, например, на практике встречаются ситуации, когда лица органов управления организации в силу различных обстоятельств формулируют потребности в проверках и оценках по некоторой общепризнанной стандартизированной модели (COBIT, ITIL, ISO/IEC 27001, ISO/IEC 20000 и т. д.). В этом случае, если текущая деятельность организации (существующий эталон) определяет порядок разработки, поставки и внедрения систем организации по требованиям стандартов иных стандартов, например комплексов стандартов ГОСТ 34, ГОСТ 2, ГОСТ 19, то результат может быть далек от ожиданий (соответствия). Результаты оценки не выведут на соответствие, а зачастую не покажут вообще ничего (значение оценки будет «ноль»). Это, как правило, лишний раз доказывает лишь то, что модели и методы измерений должны органично развивать требования эталона и быть с ним совместимым.
Ряд стандартизированных решений менеджмента ИТ и ИБ организации наряду с требованиями менеджмента включает и критерии и методы измерений и контроля (оценки). Среди них можно отметь те же COBIT и ITIL, ISO/IEC 27001, международные стандарты процессного подхода (процессов жизненного цикла ИТ) 15288 (систем) и 12207 (программного обеспечения) и др.
Для целей измерений в стандартах процессного подхода (процессов жизненного цикла ИТ) 15288 (систем) и 12207 (программного обеспечения) еще в 2002 г. был принят международный стандарт ISO/IEC 15939 [22] «Проектирование систем и программного обеспечения — процесс измерения» (пересмотренный пять лет спустя). Данный международный стандарт определяет мероприятия и задачи, необходимые для реализации процесса измерения. Мероприятие — это совокупность взаимосвязанных задач, способствующая достижению назначения и результатов процесса измерения. Задача — строго определенная часть работы. Каждое мероприятие состоит из одной или более задач. Модель процесса измерений по ISO/IEC 15939 иллюстрирует рис. 52.
Как показано на рис. 52, процесс измерений по ISO/IEC 15939 включает четыре целевых вида деятельности (мероприятия). Мероприятия упорядочены в итеративном цикле (подобном циклу Деминга), предусматривающем постоянную обратную связь и совершенствование процесса измерения. Работы в рамках мероприятий также являются итеративными.
Блок «Технические процессы и процессы менеджмента» организационной единицы или проекта выходят за рамки положений данного стандарта, хотя они являются важным внешним связующим звеном с мероприятиями измерений. Два мероприятия считаются относящимися к основному процессу измерения: планирование процесса измерения и выполнение процесса измерения. Эти мероприятия в основном уделяют внимание интересам пользователя измерений. Два других мероприятия — установление и поддержка приверженности измерениям и оценивание измерений — обеспечивают основу для основного процесса измерения и обратную связь для него.
В цикл включена «база опыта, связанного с измерениями». Она предназначена для хранения информационных продуктов из прошлых итераций цикла, предыдущих оценок информационных продуктов и оценок предыдущих итераций процесса измерения. Она может включать сведения, которые были сочтены полезными для будущего. Никаких положений о характере или технологии «базы опыта, связанного с измерениями» в стандарте не дается, предполагается только то, что это постоянное хранилище. Хранящиеся в «базе опыта, связанного с измерениями» сведения предназначены в основном для повторного использования в будущих итерациях процесса измерения.
Типичные функциональные роли, упомянутые в стандарте, включают причастную сторону, организатора, пользователя измерений, аналитика измерений, библиотекаря измерений, поставщика данных и владельца процесса измерения.
В целом же вопросы измерений в СМИБ не столь просты, как может показаться на первый взгляд. Область информационной безопасности, подобно области риск-менеджмента, является чрезвычайно трудной сферой для задач измерений.
Основная проблема заключается в том, как измерить «отсутствие инцидентов».
Вопрос состоит в следующем.
Если анализ рисков информационной безопасности является точным и если мы реализовали эффективные средства контроля и управления ИБ, мы должны избежать или по крайней мере уменьшить число серьезных инцидентов безопасности.
Если мы будем последовательно измерять и фиксировать число и серьезность инцидентов, у нас будут некоторые цифры для анализа, но о чем эти цифры будут фактически говорить нам?
Если эти цифры ниже, чем до начала действия официально утвержденной программы по обеспечению информационной безопасности, мы можем заявить об успехе, но что если число и серьезность инцидентов каким-либо образом снизилось ввиду иных причин, не связанных с нашими усилиями («затаился» агент угроз и т. п.)?
Если цифры выше, чем раньше, обязательно ли это означает, что наши средства контроля и управления неэффективны? Или это может означать, что угрозы и воздействия возросли, а мы их не учли (не видели, неверно оценили актуальность и т. д.)?
Настоящая проблема — это проблема прогноза. Практически невозможно абсолютно достоверно и объективно измерить то, что может произойти в будущем, если бы мы не совершенствовали наши средства контроля и управления информационной безопасности (ничего не меняли бы в своей операционной среде в части средств и мер ИБ).
Измерения ИБ следует вывести из действия общекорпоративной модели системы планирования и отчетности, так как это специфичная задача и она не полностью отвечает методологии прогнозных плановых показателей, применимых к производственной сфере. Вопросы измерений в СМИБ сопоставимы с иными подобными измерениями по форматам категорий отдельных результатов, но решения по ним должны рассматриваться отдельно.
Таким образом, основными вопросами измерения и контроля в СМИБ организации и корпоративном управлении ИБ являются следующие.
Что мы собираемся измерять?
Это, несомненно, важный вопрос, но на практике идентификация надлежащей метрики является по-настоящему сложной. Нам необходимо учитывать следующие практические правила:
— не следует реализовывать процесс измерений, если мы не намерены регулярно и систематически его поддерживать, необходимы воспроизводимые и надежные методы измерений;
— не следует собирать данные, которые мы не намерены анализировать, — это нерациональные расходы, которых можно избежать;
— не следует анализировать данные, если мы не намерены практически использовать результаты анализа, другими словами, нам необходимо идентифицировать информационные потребности в результатах измерений.
Мы можем достичь многого без дорогостоящих решений или сложных измерительных процессов. Не следует углубляться в частные вопросы. Вопросы материально-технического обеспечение сбора данных для измерений могут быть организованы на основе уже имеющейся в других подразделениях организации сведений (см. пример по измерению осведомленности ИБ). Следует лишь удостовериться в том, что они формируются на основе регламентированных процедур и их достоверность может быть проверена и подтверждена.
Как мы будем осуществлять измерения?
Это подразумевает следующие вопросы: откуда мы получаем данные для измерений и контроля и где они будут храниться? Если исходная информация еще не доступна для измерений, то необходимо реализовать процессы для ее сбора. Это, в свою очередь, связано с вопросом о том, кто будет собирать данные (новая работа должна быть обоснована потенциальной выгодой организации от ее выполнения). Предполагает ли это централизованные или распределенные процессы сбора данных? Если источниками данных будут отделы и подразделения, находящиеся вне вашего контроля, то насколько достоверными могут быть эти сведения (возможны ли манипуляции цифрами)? Будут ли они отвечать вашим требованиям по форматам и срокам предоставления? Насколько вы можете автоматизировать сбор и обработку данных, встроив, например, отчет о безопасности в отчеты прикладных системы?
Как мы будем осуществлять отчетность?
Чего действительно ожидает высшее руководство? Необходимо обсудить назначение и ожидаемые результаты измерений с руководителями и сотрудниками смежных подразделений. Следует придерживаться принципа «от простого к сложному». Система неизбежно будет развиваться. Следует начать с простых (типовых для практики организации), понятных отчетов, развивая их далее с учетом рекомендаций руководства. Если система отчетности измерений проектируется «с нуля», то есть возможность вариаций, может существовать возможность предоставления отчетности отличным от других направлений отчетности в организации образом, используя иные форматы представления и оформления содержания.
Как мы должны реализовывать систему измерений и отчетности?
Разрабатывая метрики (структура, шкала, модели и методы измерений), следует оценить осуществимость и эффективность процессов измерений и полезность выбранной метрики в ограниченном масштабе, прежде чем развертывать их во всей организации. То, что хорошо выглядит в теории, может не оказаться эффективным в практике. Экспериментальные исследования и опытная эксплуатация являются уместным методом отработки оптимальных конфигураций в процессах сбора и анализа, принятия решения о том, является ли метрика действительно наглядной для принятия решений по итогам измерений.
Являются ли данные достаточно точными? Может не требоваться совершенная точность, но определенно необходимым является то, чтобы цифры были правдоподобными и воспроизводимыми. Следует ожидать, что руководству могут быть необходимы сведения об источнике данных, процедурах их сбора, анализа и формах представления.
Далее рассмотрим, как работают процессы аудита в функциях контроля обеспечения информационной безопасности бизнеса.