Название: Руководство по защите от внутренних угроз информационной безопасности - Скиба В. Ю Жанр: Информатика Рейтинг: Просмотров: 797 |
Глава 16
Управление изменениями в ИТ-инфраструктуре Служба ИБ в структуре современной организации Управление ИТ-изменениями в современной организации Итоги Бизнес любой современной организации тесно связан с информационными техноло^ гиями. Сегодня трудно представить эффективную работу компании без использовав ния передовых достижений. Вместе с тем на передний план внедрения ИТ-проектов^ наряду с устойчивостью, масштабируемостью, прозрачностью и соответствием ИТ-инфраструктуры бизнес-специфике заказчика, выходит проблема ИБ. Без учета этого элемента ценность проекта не только сводится к нулю, но и может нанес* ти организации непоправимый ущерб: ущерб репутации, нарушение непрерывности процессов, финансовые убытки, а в худшем случае — невозможность дальнейшего ведения бизнеса. Корпоративная информационная система представляет собой постоянно меняющуюся структуру, четко реагирующую на изменения бизнес-процессов. Одновременно с развитием организации усложняется и ИТ-система в направлении расширения спектра задач, функций и сервисов. В ходе этих изменений очень просто нарушить процессы ИБ. Вместе с тем ИБ должна пронизывать проект не только с самого начала, но и сопровождать все без исключения этапы модернизации ИТ-инфраструктуры. Отсутствие этого элемента провоцирует появление брешей в ИТ-инфраструктуре, влечет возникновение хаосаи приводит к резкому росту рисков, сводя на нет первоначальные вложения и усилия. Исследование «ИТ-безопасность и управление информационной системой современной организации» преследует цель выяснить подходы российских организаций к изменениям ИТ-инфраструктуры и роли ИБ в этом процессе для сопоставления с глобальными тенденциями и общепринятыми нормами. Материал затрагивает такие актуальные вопросы, как наличие политики, средств и рабочего инструментария управления изменениями в ИТ-системе, степень вовлеченности различных подразделений организации. Одним из важнейших аспектов исследования является положение и ответственность отдела И Б как важнейшего проводника устойчивости ИТ-инфраструктуры с точки зрения ИБ. Исследование показало, что российские организации гораздо более подготовлены к решению проблем информационной безопасности, нежели их западные коллеги: 45 \% респондентов имеют выделенные ИБ-службы, в то время как на Западе этот показатель составляет 27 \%. В то же время Россия отстает от глобальных тенденций с точки зрения места ИБ-службы в иерархии организации: лишь в 25 \% организаций ИБ курирует непосредственно первое лицо. В общемировой практике этот показатель составляет 46 \%. В краткосрочной перспективе следует ожидать усиления роли ИБ-службы в бизнес-процессах и ее влияния в структуре российских организаций. Российские компании понимают необходимость политики управления изменениями в ИТ-системе и активно внедряют ее, однако содержание реализованных проектов еще не вполне соответствует международным стандартам и требует доработки. Существующие тенденции в области управления изменениями ИС свидетельствуют о том, что в ближайшие годы Россия не только достигнет общемирового уровня, по даже превзойдет его.
Служба ИБ в структуре современной организации Одним из наиболее впечатляющих результатов исследования стал показатель присутствия выделенной службы ИБ в структуре современных организаций. 46 \% респондентов положительно ответили на этот вопрос, однако все же большая часть участников опроса (48 \%) заявила об отсутствии таковой (рис. 16.1). Этот факт свидетельствует о высокодинамичной положительной тенденции.
6\%> Затрудняюсь ответить
INFOWATCH CNEWS
Рис. 16-1. Существует ли в вашей организации выделенная ИТ-служба? Российские предприятия исключительно быстро осознают необходимость более ответственного отношения к защите информации, что невозможно без создания выделенной службы. В исследовании «Внутренние ИТ-угрозы в России — 2004» ;>тот показатель равнялся всего 16 \%, причем 94 \% организаций из этого числа заявили, что ИБ-служба была создана в течение последних двух лет. До этого защитой данных занимались ИТ-отделы, лишь незначительная часть которых (23 \%) имела выделенного сотрудника для решения проблем ИБ. Столь бурный рост показа-геля однозначно свидетельствует не просто о синхронизации российской действительности с глобальной тенденцией, но и о ее опережении. Согласно исследованию The State of Information Security Survey — 2005 аудиторско-консалтинговой фирмы PricewaterhouseCoopers, лишь 27 \% иностранных респондентов подтвердили существование выделенных ИБ-отделов. К сожалению, в рамках настоящего исследования не представляется возможным проследить точное соответствие выборки генеральной совокупности. Несмотря на это, результаты свидетельствуют о том, что российские организации существенно продвинулись в плане профессионального отношения к защите информации. Не случайно Россия занимает одно из последних мест в мире по ущербу от компьютерных преступлений — отечественные компании лучше защищены от враждебной сетевой активности благодаря подготовке и опыту И15-сиециалистов, а также профессиональному подходу к формированию ИЬ-стри-кч ии. Вместе с тем Россия все еще отстает от общемировой практики места ИБ-службы^ в иерархии организации. Ключевая роль информационной безопасности в ИС, а следовательно, и в поддержке бизнес-процессов в целом диктует необходимость наделения ИБ-службы большими полномочиями, расширения сферы ее ответственности и выведения на качественно новый уровень подчиненности. INFOWATCH CNEWS Всего 25 \% респондентов назвали первое лицо компании непосредственным куратором вопросов информационной безопасности организации (рис. 16.2). Самая большая доля ответов приходится на ИТ-службу (30 \%), наименьшая — на службу общей безопасности (18 \%). 27 \% участников исследования заявили, что руководство ИБ-службой делегировано другим подразделениям. Зарубежные данные заметно отличаются от российских: в 46 \% организаций ИБ-( служба подотчетна первому лицу и в 36 \% — директору по информационным технологиям. Подобный разрыв вполне характерен для развивающихся рынков, где ИТ-процессы еще находятся в стадии становления. Хотя Россия далеко впереди с точки зрения внедрения выделенных ИБ-служб, но все еще отстает от глобальных тенденций определения ее места в структуре организации. Это также подтверждает факт превалирующей подчиненности ИТ-службе. Объективно сфера ИБ произошла из ИТ, и на этапах становления ИТ-специалисты совмещали обе функции. Однако с развитием технологий, ростом роли ИТ в бизнес-процессах, усложнением корпоративных ИС и увеличением значения ИБ последняя была выделена в самостоятельную область. Если ИБ-службе отвести не совсем правильное место, то это может свести на нет успехи за счет ее создания. При некорректном распределении функций и обязанностей это подразделение может способствовать процветанию бюрократии и дополнительно тормозить бизнес-процессы. В будущем, несомненно, будет наблюдаться дальнейшая реализация тенденции переподчинения ИБ-службы первому лицу организации. Этого требует актуальная необходимость повышения роли ИБ в корпоративной ИТ-системе и усиление стратегической роли этого направления. Таким образом, компании смогут переключиться с тактики пожаротушения к системному подходу по прогнозированию и учету ИТ-рисков.
Управление ИТ-изменениями в современной организации Эффективное управление изменениями является одним из важнейших факторов стабильной работы любой ИТ-системы, вне зависимости от ее масштаба и качественных характеристик. С ростом сложности ИТ-инфраструктуры пропорционально увеличиваются риски, связанные с количеством пользователей, разнообразием бизнес-процессов, отношений между подразделениями организации. Каждый новый элемент структуры порождает новые связи, которые требуют не просто интеграции в ИТ-систему, но и четкого учета и формализации на основе общих правил. В обратном случае невозможна реализация эффективной ИБ-политики и, как следствие, стабильная работа ИТ-системы в целом. Для того чтобы понять, что и как защищать, необходимо знать точное состояние системы по всем параметрам. Кроме того, внедрение централизованной системы управления изменениями позволяет сделать ИТ-систему прозрачной, отчуждаемой, максимально независимой от человеческого фактора и более адаптивной к изменениям бизнес-целей. 46 \% респондентов исследования подтвердили, что в их организациях существует политика управления изменениями ИТ-системы (рис. 16.3). Этот показатель поразительно точно коррелирует с долей компаний с выделенной ИБ-службой (46 \%). Такая связь позволяет предположить, что серьезное отношение современной организации к вопросам И Б влечет создание выделенного подразделения, которое становится проводником реализации эффективного механизма управления изменениями. 36 \% опрошенных заявили об отсутствии такого механизма и 18 \% затруднились ответить на данный вопрос.
ІЮСЬ
INFOWATCH CNI-Wfi
Рис. 16.3. Существует ли в вашей оришигшции политика управления ИС?
В целом эксперты InfoWatch считают такое распределение ответов весьма обнаде-і живающим. Предварительные ожидания, основанные на эмпирической оценке положения дел, были гораздо более скромными. Полученный результат свидетельствует об очень высокой подготовленности российских организаций с точки зрения; учета изменений ИС, что положительно сказывается на их уровне защищенности. Не менее важный вопрос, напрямую влияющий на эффективность политики управления изменениями, связан с вовлеченностью подразделений в процесс принятия решений и распределением их ролей. Идеальная система командной работы отде*-лов заключается в четком определении зон ответственности, функций и регламента взаимодействия. Исследование показало, что почти в 2/3 случаев (69 \%) в этот процесс вовлечена ИТ-служба (рис. 16.4). Со значительным отставанием далее следуют ИБ-служба (31 \%), совет директоров (27 \%) и HR-служба (5 \%). 20 \% опрошенных заявили о причастности других подразделений, и только в 7 \% организаций в управлении изменениями в ИТ-системе участвуют все перечисленные службы. INFOWATCH CNEWS Рис. 16.4. Кто участвует в принятии решений об изменениях в ИС? Полученные данные свидетельствуют о том, что российские организации находятся на начальном этапе реализации эффективной системы управления изменениями. Этот процесс должен обязательно включать подразделение-владельца конкретного информационного ресурса или сервиса, ИТ-службу и ИБ-службу. Идеальная схема взаимодействия, формализованная в международном стандарте ISO 17799, подразумевает, что владелец ресурса инициирует изменения, ИТ-служба разрабатывает план реализации и после утверждения ИБ-службой претворяет их в жизнь. В то же время глобальные стратегические изменения И С должны также проходить согласование на самом высоком уровне — в совете директоров или с первом лицом организации. В российской действительности наблюдается несогласованность действий подразделений и обескураживающе низкая вовлеченность специалистов по ИБ. Эта особенность позволяет сделать вывод, что внедренные политики управления изменениями еще далеки от идеала и требуют доработки. Эффективное управление изменениями возможно только при использовании комплекса организационных и технических средств, описывающих правила «игры*. С одной стороны, это обеспечивает координацию взаимодействия подразделений, с другой — полностью автоматизирует процесс, минимизируя риск, связанный с человеческим фактором. Результаты опроса показывают, что 62 \% российских организаций применяют технические средства и 57 \% — организационные меры (рис. 16.5).
Затрудняюсь ответить
12\%
Никакие I
9 \%
Организационные меры
| 5J7 \%
А О \% Технические средства І 1 62 У 20 \% 40 \% 60\% —1 1
80 (
INFOWATCH CNEWS Рис. 16.5. Какие средства контроля изменений ИС используются? Более детальное изучение ответов показало, что в этом многовариантном вопросе респонденты данных групп почти полностью пересекаются. Следовательно, организации комплексно подходят к проблеме реализации управления изменениями — внедрение проходят одновременно обе составляющие. Другим важным аспектом, характеризующим эффективность управления изменениями корпоративной ИТ-системы, является порядок составления и приема заявок. По сути, заявки инициируют изменения, и от их правильной обработки и контроля за исполнением зависит стабильность работы ИТ-инфраструктуры с точки зрения соответствия как бизнес-процессам, так и ИТ-безопасности организации н целом. Данные исследования свидетельствуют о том, что письменная форма составления заявок закреплена более чем в половине российских организаций: 35 \% респонденти подтвердили наличие готовых шаблонов и правил составления, 21 \% ограничиваются направлением формального письма в свободной форме (рис. lfi.fi). Более глубокое изучение вопроса выявило (рис. 16.7), что в :>тих компаниях заявки централизованно принимаются владельцами ресурсов (45\%) или же иерееыла-юте и в общую систему документооборота (11 /о).
Эти результаты еще раз подтверждают, что более половины российских организаций понимают важность учета изменений и уже внедрили систему обработки заявок.
Итоги Результаты исследования «ИТ-безопасность и управление информационной системой современной организации» превзошли наши самые оптимистические ожидания. Оказалось, что российские организации не только начали процесс внедрения правильных процедур в область ИБ и управления изменениями в ИТ-системе, но и по некоторым параметрам даже превзошли общемировой уровень. Прежде всего это относится к созданию выделенных ИБ-служб, ответственных за разработку и реализацию политики защиты информационных ресурсов. Вместе с тем наблюдается и некоторый дисбаланс в этом направлении. В частности, это касается места ИБ-службы в структуре организации, распределения ролей в процессе принятия решений, взаимодействия подразделений. Кроме того, оставляет желать лучшего распространение технических и организационных средств управления изменениями и создание регламентов подачи и обработок заявок на изменения, тем более что компаниям уже пора задуматься о следующем шаге — сращивании систем управления и контроля в единый механизм. Однако в целом положение дел можно охарактеризовать как благоприятное. Выявленные тенденции свидетельствуют о том, что в краткосрочной перспективе Россия преодолеет эти препятствия и окажется в авангарде глобального мейнстрима. Уже сейчас можно сказать, что отечественные организации гораздо более устойчивы по отношению к враждебному сетевому окружению. Это подтверждают данные о распространении вредоносных программ и об ущербе от хакерских атак. Однако хаос и незнание состояния собственной ИТ-системы представляет собой не меньшую угрозу. Реализация недостающих мер позволит эффективнее бороться с внутренними ИТ-угрозами (в частности, хищением конфиденциальной информации), а также более системно подходить к прогнозированию и проактивной защите. |
| Оглавление| |
- Акмеология
- Анатомия
- Аудит
- Банковское дело
- БЖД
- Бизнес
- Биология
- Бухгалтерский учет
- География
- Грамматика
- Делопроизводство
- Демография
- Естествознание
- Журналистика
- Иностранные языки
- Информатика
- История
- Коммуникация
- Конфликтология
- Криминалогия
- Культурология
- Лингвистика
- Литература
- Логика
- Маркетинг
- Медицина
- Менеджмент
- Метрология
- Педагогика
- Политология
- Право
- Промышленность
- Психология
- Реклама
- Религиоведение
- Социология
- Статистика
- Страхование
- Счетоводство
- Туризм
- Физика
- Филология
- Философия
- Финансы
- Химия
- Экология
- Экономика
- Эстетика
- Этика
Лучшие книги
Гражданский процесс: Вопросы и ответы
ЗАПАДНОЕВРОПЕЙСКОЕ ИСКУССТВО от ДЖОТТО до РЕМБРАНДТА
Коммуникации стратегического маркетинга
Консультации по английской грамматике: В помощь учителю иностранного языка.
Международные экономические отношения