В рубрику "Управление" | К списку рубрик | К списку авторов | К списку публикаций
Чем более компания "нагружена" ответственностью – финансовой, социальной, технологической, инфраструктурной и т.п. – и чем плотнее она "насажена" на ИТ – тем раньше столкнется (скорее, уже столкнулась) с реальностью что ИБ – такой же естественный деловой процесс как все основные, "производящие" процессы. Системный оператор ЕЭС России – идеальный пример компании, управляющей "большими данными", которые в реальности являются инструментом управления бесспорно самой "чувствительной" сущностью – электроэнергетикой. Понятно, что вопросы защиты информации для компании, обязанной по долгу службы в режиме реального времени отслеживать сотни параметров для каждой из 600 электростанций, десятков тысяч магистральных и сотен тысяч распределительных сетевых устройств на территории всей страны, непрерывно принимать решения об изменении режимов их работы, то есть при посредстве ИТ-инструментов управлять самым сложным из всего созданного человечеством технологическим объектом – Единой энергосистемой – точно входят в первую "пятерку" приоритетов.
Наступившее внезапно понимание, что информационная безопасность – это часть деловых процессов, смотрится как озарение, являясь при этом итогом эволюции в понимании роли и места информационных технологий в развитии и оптимизации основных процессов производства и ведения бизнеса. Закончу вступление емким и перефразированным сравнением Рустема Хайретдинова: в цене не герои, внедряющие новые технологии, но профессионалы, решающие задачи компании.
Одной из проблем-задач ИБ-менеджера является управление ожиданием менеджеров компании таким образом, чтобы в процессе внедрения/совершенствования контролей и средств защиты процесс принятия решений был прозрачен и обоснован. Подтверждением успешности является верно выстроенная система показателей, которая в итоге обязана дать понимание эффективности принятых решений, выстроенных процессов – овеществить результат.
В случае с Системным оператором, где необычно высокая вовлеченность топ-менеджеров в детали технологического управления облегчала процесс объяснений, больше сил потребовалось на подготовку обоснований другого уровня – чтобы достичь понимания на уровне отраслевых государственных регуляторов, в сознании которых забота об общественном благе и намерение создать надежную систему легко уживаются и не должны приводить к росту затрат.
То, что уместилось в две расхожие фразы, не всегда удается уместить в трех- либо пятилетний цикл планирования. Если попробовать разбить по этапам внедрение процессов обеспечения ИБ с учетом озвученных выше задач, получается следующее.
В каждой компании существует собственная система ценностей, основанная на позитивном и негативном опыте, "исторически сложившихся" особенностях и накладываемых ограничениях (здесь и распределенность архитектуры, и участие государства в принятии решений). При проведении первого этапа важно принимать во внимание эту систему и действовать в ее рамках, а не вопреки. К примеру, в основу развития ТЭК положено три основных понятия, звучащих во всех верхнеуровневых документах: наблюдаемость, надежность, управляемость. Ориентируясь на посыл, данный этими понятиями, а также основными свойствами информации, можно наметить направления развития защиты: мониторинг состояния, периодический и оперативный контроль, аналитический подход при планировании контролей. Вкупе с определением слабых мест уже внедренных мер получаем общий план движения – Road-map.
Кроме общих для компании особенностей существует ряд условно личностных особенностей, влияющих на ход проекта(ов). Здесь и стереотипное восприятие новых задач заинтересованными или задействованными подразделениями компании (возможно, был негативный опыт), и принятая схема взаимодействия, и тип управления проектами/изменениями. Удача, если есть спонсор из топ-менеджмента, который сам по себе заинтересован и готов подавать идеи, направлять результат. Также нужен спонсор из среды специалитета – им можно стать самостоятельно или привлечь на свою сторону компетентного и авторитетного коллегу. Запас инертности (важный показатель для соблюдения сроков) зависит от принятой динамики продвижения изменений. Неверно выбранный темп и невнимание к нюансам, также как и слишком постепенное внесение изменений, вносят свою лепту в результат (т.е. в его отсутствие). А все вместе – это ресурсы, влияющие на старт проекта. Ваша казна.
На этом этапе стоит вспомнить впечатление спонсоров от предыдущих активностей в вверенном вам направлении. Управление ожиданием здесь разрастается, охватывая не только менеджеров компании, но и всех участников процесса. В текущих проектах, выбирая способы управления ожиданием, мы остановились на постепенном сборе показателей систем защиты, совершенствовании периодической аналитики по таким показателям.
Это позволило приземлить относительно существующих процессов понятие информационной безопасности, сделав его если не прозрачным, то хотя бы понятным основным участникам1, а по итогам показать качественную разницу в ситуации до и после. Важно учесть, что приоритизация должна изначально строиться на полученных на предыдущих этапах данных-знаниях. Из любой информации необходимо выделить нужную долю "полезности" и постараться использовать с максимальной отдачей.
Если на предыдущем этапе должен быть определен темп внедрения процессов, а также верно расставлены приоритеты, то теперь ставки сделаны. Нужно подтвердить, что выбранное направление одобрено и является эффективным. Здесь важны внутренние и внешние показатели, их взаимосвязь и прозрачность. К примеру, если вы даете отчет по инцидентам ИБ, нужно точно определить терминологию с будущими участниками процесса, описать последствия (планируемые мероприятия).
Повторив такой элемент несколько раз в заданные промежутки времени, вы сформируете "привыкание" к определенному типу данных и восприятию такой информации. При этом если описанное выше больше касается заинтересованных специалистов/подразделений, то для спонсора из топ-менеджмента нужно также предоставлять образ будущего, тем самым подтверждая, что общая деятельность по внедрению изменений не является спорадической. Важно также помнить о допущенных ошибках, фиксировать принятые по итогам анализа и исправления таковых решения, проверять их достаточность.
Добравшись до завершающего этапа, нужно вспомнить про PDCA. На этом этапе важно поддерживать контакт и повторять действия, подтвержденные ранее. В текущих проектах мы начали переводить отчетную деятельность в формализованный вид, принятый в компании. Таким образом достигается быстрое принятие нового и идентификация изменений как части уже существующих "домашних" процессов. Также нам помогла практика оповещения о проведенных работах, с указанием причастности задействованных специалистов/подразделений.
Иллюстрируя этапность, тезисно покажу, что делалось при внедрении процесса управления инцидентами и событиями ИБ в нашей компании:
1. Основная особенность при инвентаризации, выявленная при первичной оценке – принятая модель управления, состоящая из трех уровней:
А также отсутствие возможности развития (с учетом планируемой нагрузки и требуемых компетенций) проектируемого процесса по тому же пути. Принципы развития уже были описаны в части документов и совпадали со стратегией компании. При оценке существующих контролей основным недостатком признано отсутствие достаточной технической проработки при внедрении таковых.
2. Один из самых сложных этапов – здесь мы старались не перегружать будущих участников процесса, но всегда запрашивали обратную связь для понимания проблем (как коммуникативных, так и архитектурных). Основные вопросы были связаны с изменениями в части элементов процесса с 3-уровневой, на 2-уровневую модель (выдача указаний напрямую из ЦДУ как на уровень ОДУ, так и на уровень РДУ) управления.
3. Перед началом проекта удалось собрать первые статистические данные и определить направления совершенствования, которые возможно реализовать в обозримые сроки. Это дало нам возможность сразу продемонстрировать в отчетах динамику – на кратком участке процесса проиллюстрировать выгоды компании. По сути тот же самый "бизнес-кейс", но уже в рамках конкретной предметной среды.
4. На данном этапе, когда уже прошла техническая интеграция элементов автоматизации (SIEM, IPS и шлюзов фильтрации интернет-трафика), проводились обучающие сессии по эксплуатации, разбирались сформированные отчеты и планируемые мероприятия по совершенствованию результатов. Частично запустили анализ ряда показателей, подготовили для спонсоров данные, необходимые для проведения решений. Достаточно сложный этап, так как выверка понятного формата предоставляемых данных, а также уточнение результатов трудоемки и зачастую зависят от разности восприятия специалистов и руководителей.
Описывать пятый этап в таком виде не буду, но основные вехи, достигнутые в компании на текущий момент, можно описать по пунктам:
Закончим романтично: если сначала рыцарь печального образа боролся с неизвестным противником, не разобравшись в ситуации, то теперь Дон Кихот обладает частью нужной информации. Возможно, решения, ведущие героя к счастливому финалу, будут более точными, а упорства и веры ему и так не занимать.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #6, 2017