Название: Руководство по защите от внутренних угроз информационной безопасности - Скиба В. Ю

Жанр: Информатика

Рейтинг:

Просмотров: 797

Глава 16

Управление изменениями в ИТ-инфраструктуре

Служба ИБ в структуре современной организации

Управление ИТ-изменениями в современной организации

Итоги

Бизнес любой современной организации тесно связан с информационными техноло^ гиями. Сегодня трудно представить эффективную работу компании без использовав ния передовых достижений. Вместе с тем на передний план внедрения ИТ-проектов^ наряду с устойчивостью, масштабируемостью, прозрачностью и соответствием ИТ-инфраструктуры бизнес-специфике заказчика, выходит проблема ИБ. Без уче­та этого элемента ценность проекта не только сводится к нулю, но и может нанес* ти организации непоправимый ущерб: ущерб репутации, нарушение непрерывности процессов, финансовые убытки, а в худшем случае — невозможность дальнейшего ве­дения бизнеса.

Корпоративная информационная система представляет собой постоянно меняю­щуюся структуру, четко реагирующую на изменения бизнес-процессов. Одновре­менно с развитием организации усложняется и ИТ-система в направлении расши­рения спектра задач, функций и сервисов. В ходе этих изменений очень просто нарушить процессы ИБ. Вместе с тем ИБ должна пронизывать проект не только с самого начала, но и сопровождать все без исключения этапы модернизации ИТ-инфраструктуры. Отсутствие этого элемента провоцирует появление бре­шей в ИТ-инфраструктуре, влечет возникновение хаосаи приводит к резкому росту рисков, сводя на нет первоначальные вложения и усилия.

Исследование «ИТ-безопасность и управление информационной системой совре­менной организации» преследует цель выяснить подходы российских организаций к изменениям ИТ-инфраструктуры и роли ИБ в этом процессе для сопоставления с глобальными тенденциями и общепринятыми нормами. Материал затрагивает та­кие актуальные вопросы, как наличие политики, средств и рабочего инструмента­рия управления изменениями в ИТ-системе, степень вовлеченности различных под­разделений организации. Одним из важнейших аспектов исследования является положение и ответственность отдела И Б как важнейшего проводника устойчивос­ти ИТ-инфраструктуры с точки зрения ИБ.

Исследование показало, что российские организации гораздо более подготовлены к решению проблем информационной безопасности, нежели их западные колле­ги: 45 \% респондентов имеют выделенные ИБ-службы, в то время как на Западе этот показатель составляет 27 \%.

В то же время Россия отстает от глобальных тенденций с точки зрения места ИБ-службы в иерархии организации: лишь в 25 \% организаций ИБ курирует непосред­ственно первое лицо. В общемировой практике этот показатель составляет 46 \%.

В краткосрочной перспективе следует ожидать усиления роли ИБ-службы в биз­нес-процессах и ее влияния в структуре российских организаций.

Российские компании понимают необходимость политики управления изменения­ми в ИТ-системе и активно внедряют ее, однако содержание реализованных проек­тов еще не вполне соответствует международным стандартам и требует доработки.

Существующие тенденции в области управления изменениями ИС свидетельству­ют о том, что в ближайшие годы Россия не только достигнет общемирового уров­ня, по даже превзойдет его.

Служба ИБ в структуре современной организации

Одним из наиболее впечатляющих результатов исследования стал показатель присутствия выделенной службы ИБ в структуре современных организаций. 46 \% респондентов положительно ответили на этот вопрос, однако все же большая часть участников опроса (48 \%) заявила об отсутствии таковой (рис. 16.1). Этот факт свидетельствует о высокодинамичной положительной тенденции.

6\%>

Затрудняюсь ответить

INFOWATCH CNEWS

Рис. 16-1. Существует ли в вашей организации выделенная ИТ-служба?

Российские предприятия исключительно быстро осознают необходимость более ответственного отношения к защите информации, что невозможно без создания выделенной службы. В исследовании «Внутренние ИТ-угрозы в России — 2004» ;>тот показатель равнялся всего 16 \%, причем 94 \% организаций из этого числа заяви­ли, что ИБ-служба была создана в течение последних двух лет. До этого защитой данных занимались ИТ-отделы, лишь незначительная часть которых (23 \%) име­ла выделенного сотрудника для решения проблем ИБ. Столь бурный рост показа-геля однозначно свидетельствует не просто о синхронизации российской действи­тельности с глобальной тенденцией, но и о ее опережении. Согласно исследованию The State of Information Security Survey — 2005 аудиторско-консалтинговой фир­мы PricewaterhouseCoopers, лишь 27 \% иностранных респондентов подтвердили существование выделенных ИБ-отделов.

К сожалению, в рамках настоящего исследования не представляется возмож­ным проследить точное соответствие выборки генеральной совокупности. Не­смотря на это, результаты свидетельствуют о том, что российские организации существенно продвинулись в плане профессионального отношения к защите информации. Не случайно Россия занимает одно из последних мест в мире по ущербу от компьютерных преступлений — отечественные компании лучше за­щищены от враждебной сетевой активности благодаря подготовке и опыту И15-сиециалистов, а также профессиональному подходу к формированию ИЬ-стри-кч ии.

Вместе с тем Россия все еще отстает от общемировой практики места ИБ-службы^ в иерархии организации. Ключевая роль информационной безопасности в ИС, а следовательно, и в поддержке бизнес-процессов в целом диктует необходимость наделения ИБ-службы большими полномочиями, расширения сферы ее ответствен­ности и выведения на качественно новый уровень подчиненности.

INFOWATCH CNEWS

Всего 25 \% респондентов назвали первое лицо компании непосредственным кура­тором вопросов информационной безопасности организации (рис. 16.2). Самая большая доля ответов приходится на ИТ-службу (30 \%), наименьшая — на служ­бу общей безопасности (18 \%). 27 \% участников исследования заявили, что руко­водство ИБ-службой делегировано другим подразделениям.

Зарубежные данные заметно отличаются от российских: в 46 \% организаций ИБ-( служба подотчетна первому лицу и в 36 \% — директору по информационным тех­нологиям.

Подобный разрыв вполне характерен для развивающихся рынков, где ИТ-процес­сы еще находятся в стадии становления. Хотя Россия далеко впереди с точки зре­ния внедрения выделенных ИБ-служб, но все еще отстает от глобальных тенден­ций определения ее места в структуре организации. Это также подтверждает факт превалирующей подчиненности ИТ-службе. Объективно сфера ИБ произошла из ИТ, и на этапах становления ИТ-специалисты совмещали обе функции. Однако с развитием технологий, ростом роли ИТ в бизнес-процессах, усложнением корпо­ративных ИС и увеличением значения ИБ последняя была выделена в самостоя­тельную область.

Если ИБ-службе отвести не совсем правильное место, то это может свести на нет успехи за счет ее создания. При некорректном распределении функций и обязан­ностей это подразделение может способствовать процветанию бюрократии и до­полнительно тормозить бизнес-процессы.

В будущем, несомненно, будет наблюдаться дальнейшая реализация тенденции переподчинения ИБ-службы первому лицу организации. Этого требует актуаль­ная необходимость повышения роли ИБ в корпоративной ИТ-системе и усиление стратегической роли этого направления. Таким образом, компании смогут пере­ключиться с тактики пожаротушения к системному подходу по прогнозированию и учету ИТ-рисков.

Управление ИТ-изменениями в современной организации

Эффективное управление изменениями является одним из важнейших факторов стабильной работы любой ИТ-системы, вне зависимости от ее масштаба и каче­ственных характеристик. С ростом сложности ИТ-инфраструктуры пропорцио­нально увеличиваются риски, связанные с количеством пользователей, разнооб­разием бизнес-процессов, отношений между подразделениями организации. Каждый новый элемент структуры порождает новые связи, которые требуют не просто ин­теграции в ИТ-систему, но и четкого учета и формализации на основе общих пра­вил. В обратном случае невозможна реализация эффективной ИБ-политики и, как следствие, стабильная работа ИТ-системы в целом.

Для того чтобы понять, что и как защищать, необходимо знать точное состояние системы по всем параметрам. Кроме того, внедрение централизованной системы управления изменениями позволяет сделать ИТ-систему прозрачной, отчуждае­мой, максимально независимой от человеческого фактора и более адаптивной к изменениям бизнес-целей.

46 \% респондентов исследования подтвердили, что в их организациях существует политика управления изменениями ИТ-системы (рис. 16.3). Этот показатель поразительно точно коррелирует с долей компаний с выделенной ИБ-службой (46 \%). Такая связь позволяет предположить, что серьезное отношение современ­ной организации к вопросам И Б влечет создание выделенного подразделения, ко­торое становится проводником реализации эффективного механизма управления изменениями. 36 \% опрошенных заявили об отсутствии такого механизма и 18 \% затруднились ответить на данный вопрос.

ІЮСЬ

INFOWATCH CNI-Wfi

Рис. 16.3. Существует ли в вашей оришигшции политика управления ИС?

В целом эксперты InfoWatch считают такое распределение ответов весьма обнаде-і живающим. Предварительные ожидания, основанные на эмпирической оценке по­ложения дел, были гораздо более скромными. Полученный результат свидетель­ствует об очень высокой подготовленности российских организаций с точки зрения; учета изменений ИС, что положительно сказывается на их уровне защищенности.

Не менее важный вопрос, напрямую влияющий на эффективность политики управ­ления изменениями, связан с вовлеченностью подразделений в процесс принятия решений и распределением их ролей. Идеальная система командной работы отде*-лов заключается в четком определении зон ответственности, функций и регламен­та взаимодействия.

Исследование показало, что почти в 2/3 случаев (69 \%) в этот процесс вовлечена ИТ-служба (рис. 16.4). Со значительным отставанием далее следуют ИБ-служба (31 \%), совет директоров (27 \%) и HR-служба (5 \%). 20 \% опрошенных заявили о причастно­сти других подразделений, и только в 7 \% организаций в управлении изменениями в ИТ-системе участвуют все перечисленные службы.

INFOWATCH                                                                                                  CNEWS

Рис. 16.4. Кто участвует в принятии решений об изменениях в ИС?

Полученные данные свидетельствуют о том, что российские организации нахо­дятся на начальном этапе реализации эффективной системы управления изме­нениями. Этот процесс должен обязательно включать подразделение-владельца конкретного информационного ресурса или сервиса, ИТ-службу и ИБ-службу. Идеальная схема взаимодействия, формализованная в международном стандар­те ISO 17799, подразумевает, что владелец ресурса инициирует изменения, ИТ-служба разрабатывает план реализации и после утверждения ИБ-службой претво­ряет их в жизнь. В то же время глобальные стратегические изменения И С должны также проходить согласование на самом высоком уровне — в совете директоров или с первом лицом организации.

В российской действительности наблюдается несогласованность действий подраз­делений и обескураживающе низкая вовлеченность специалистов по ИБ. Эта осо­бенность позволяет сделать вывод, что внедренные политики управления измене­ниями еще далеки от идеала и требуют доработки.

Эффективное управление изменениями возможно только при использовании ком­плекса организационных и технических средств, описывающих правила «игры*. С одной стороны, это обеспечивает координацию взаимодействия подразделений, с другой — полностью автоматизирует процесс, минимизируя риск, связанный с человеческим фактором.

Результаты опроса показывают, что 62 \% российских организаций применяют тех­нические средства и 57 \% — организационные меры (рис. 16.5).

Затрудняюсь ответить

12\%

Никакие I

9 \%

Организационные меры

| 5J7 \%

А

О \%

Технические средства І                                                     1 62 У

20 \%

40 \%

60\%

—1                                                                                           1

80 (

INFOWATCH CNEWS

Рис. 16.5. Какие средства контроля изменений ИС используются?

Более детальное изучение ответов показало, что в этом многовариантном вопросе респонденты данных групп почти полностью пересекаются. Следовательно, органи­зации комплексно подходят к проблеме реализации управления изменениями — внедрение проходят одновременно обе составляющие.

Другим важным аспектом, характеризующим эффективность управления измене­ниями корпоративной ИТ-системы, является порядок составления и приема зая­вок. По сути, заявки инициируют изменения, и от их правильной обработки и кон­троля за исполнением зависит стабильность работы ИТ-инфраструктуры с точки зрения соответствия как бизнес-процессам, так и ИТ-безопасности организации н целом.

Данные исследования свидетельствуют о том, что письменная форма составления заявок закреплена более чем в половине российских организаций: 35 \% респонден­ти подтвердили наличие готовых шаблонов и правил составления, 21 \% ограни­чиваются направлением формального письма в свободной форме (рис. lfi.fi). Бо­лее глубокое изучение вопроса выявило (рис. 16.7), что в :>тих компаниях заявки централизованно принимаются владельцами ресурсов (45\%) или же иерееыла-юте и в общую систему документооборота (11 /о).

Эти результаты еще раз подтверждают, что более половины российских организаций понимают важность учета изменений и уже внедрили систему обработки заявок.

Итоги

Результаты исследования «ИТ-безопасность и управление информационной сис­темой современной организации» превзошли наши самые оптимистические ожи­дания. Оказалось, что российские организации не только начали процесс внедре­ния правильных процедур в область ИБ и управления изменениями в ИТ-системе, но и по некоторым параметрам даже превзошли общемировой уровень. Прежде всего это относится к созданию выделенных ИБ-служб, ответственных за разра­ботку и реализацию политики защиты информационных ресурсов.

Вместе с тем наблюдается и некоторый дисбаланс в этом направлении. В частности, это касается места ИБ-службы в структуре организации, распределения ролей в процессе принятия решений, взаимодействия подразделений. Кроме того, остав­ляет желать лучшего распространение технических и организационных средств управления изменениями и создание регламентов подачи и обработок заявок на изменения, тем более что компаниям уже пора задуматься о следующем шаге — сращивании систем управления и контроля в единый механизм. Однако в целом положение дел можно охарактеризовать как благоприятное.

Выявленные тенденции свидетельствуют о том, что в краткосрочной перспективе Россия преодолеет эти препятствия и окажется в авангарде глобального мейнстрима. Уже сейчас можно сказать, что отечественные организации гораздо более устойчивы по отношению к враждебному сетевому окружению. Это подтверждают данные о рас­пространении вредоносных программ и об ущербе от хакерских атак. Однако хаос и незнание состояния собственной ИТ-системы представляет собой не меньшую угрозу. Реализация недостающих мер позволит эффективнее бороться с внутренни­ми ИТ-угрозами (в частности, хищением конфиденциальной информации), а также более системно подходить к прогнозированию и проактивной защите.