Rambler's Top100
Реклама
 
Статьи ИКС № 1 2007
Галина БОЛЬШОВА  01 января 2007

Невидимые миру слезы, или Оценка по минимуму

Сознаюсь, представить хоть в какой-то мере реальную картину внедрения СИБ по «отраслям народного хозяйства» оказалось чрезвычайно сложно. Безопасность, и информационная в том числе, во все века отличалась конфиденциальностью. Не знаю, как в других странах, но в России «безопасники» особенно ревностно хранят свою тайну, пусть даже это и секрет Полишинеля.

Что мы оценивали

В первую очередь мы попытались выяснить, какие из отраслей наиболее ревностно относятся к подготовке кадров. Для этого мы запросили относительные данные по количеству прослушавших курсы ИБ у одного из наиболее популярных на российском рынке «просветителей» – Учебного центра «Информзащита». Данные относятся к 2006 г., но, по словам руководителя центра З. Поповой, статистика практически не менялась за все восемь лет существования УЦ.

Для оценки состояния дел по отраслям мы выбрали на первый взгляд самые благополучные из них в части ИБ: банки, энергетику, связь, транспорт, а также нефтегазовый сектор и предприятия тяжелой промышленности. С помощью вопросов, сформулированных на основании созданного Банком России первого отраслевого стандарта по ИБ «Обеспечение ИБ организаций банковской системы РФ», конкретно– предложенной там модели зрелости процессов менеджмента ИБ организации, мы хотели выяснить, какому уровню зрелости соответствует СИБ «усредненной по отрасли» компании. Из более чем 20 запланированных респондентов – пользователей ИБ и системных интеграторов – на вопросы ответили немногим более половины (часть– анонимно).

Странно выглядит нежелание отраслевых компаний ответить на исключительно методические вопросы, никак не раскрывающие ни архитектуры, ни схемы, ни деталей построения СИБ: есть ли концепция и политика ИБ? как оценивается защищенность? регулярно ли проводится аудит ИБ? Неужели с этим все так плохо, что и сказать страшно? Утешает лишь одно – даже таких исследований не проводилось.

Как считали

По основным показателям зрелости в области ИБ доля каждой отрасли усреднялась по количеству респондентов. Степень доверия к полученным данным, независимо от вида деятельности компании и открытости респондента, была принята за единицу. Анализ критериев выбора СЗИ проводился для каждой выбранной отрасли. При этом все предпочтения (бренд, рекомендация интегратора и т.д.) нормировались. Аналогично оценивался и показатель ответственности за управление СИБ.

Оказалось, что практически во всех отраслях существуют внутренние административные документы по ИБ (инструкции, регламенты, разделы в трудовых соглашениях), а вот к сертификации ведомства относятся неоднозначно, предпочитая использовать сертифицированные продукты только при наличии обязательных для конкретного случая регламента или нормы закона. К сожалению, мало кто признавался, как производится оценка защищенности ИС и есть ли на это регламенты. А уж об аудите системы управления средствами информбезопасности (СУИБ) не удалось узнать ничего, будто и нет такового. Исключение составили лишь наши «лучшие практики».

Увы, выборка оказалась не самой представительной, но определенные выводы сделать позволяет. Тем более что результаты эти не идут вразрез с мнением большинства экспертов (за исключением, пожалуй, позиции Ивана Белкина), которые согласились проанализировать состояние дел с ИБ на вертикальных рынках.

Из стандарта «Обеспечение ИБ организаций банковской системы РФ»

Модель зрелости процессов менеджмента ИБ организации стандарта ЦБ основывается на определенной стандартом CobiT универсальной модели, которая устанавливает шесть уровней:

Нулевой – полное отсутствие процессов менеджмента ИБ в рамках деятельности организации. Организация не осознает существования проблем ИБ.

Первый («начальный») – наличие документально зафиксированных свидетельств осознания организацией существования проблем обеспечения ИБ. Однако используемые процессы менеджмента ИБ не стандартизованы, применяются эпизодически и бессистемно. Общий подход к менеджменту ИБ не выработан.

Второй («повторяемый») – проработаны процессы менеджмента ИБ до уровня, когда их выполнение обеспечивается различными людьми, решающими одну и ту же задачу. Однако отсутствуют регулярное обучение и тренировки по стандартным процедурам, а ответственность возложена на исполнителя. Руководство организации в значительной степени полагается на знания исполнителей, что влечет за собой высокую вероятность ошибок.

Третий («определенный») – процессы стандартизованы, документированы и доведены до персонала посредством обучения. Однако порядок использования данных процессов оставлен на усмотрение самого персонала. Это определяет вероятность отклонений от стандартных процедур, которые могут быть не выявлены. Применяемые процедуры неоптимальны и недостаточно современны, но являются отражением практики, используемой в организации.

Четвертый («управляемый») – обеспечиваются мониторинг и оценка соответствия используемых в организации процессов. При выявлении низкой эффективности реализуемых процессов менеджмента ИБ обеспечивается их оптимизация. Процессы менеджмента ИБ находятся в стадии непрерывного совершенствования и основываются на хорошей практике. Средства автоматизации менеджмента ИБ используются частично и в ограниченном объеме.

Пятый («оптимизированный») – процессы менеджмента ИБ проработаны до уровня лучшей практики, основанной на результатах непрерывного совершенствования и сравнения уровня зрелости относительно других организаций. Защитные меры в организации используются комплексно, обеспечивая основу совершенствования процессов менеджмента ИБ. Организация способна к быстрой адаптации при изменениях в окружении и бизнесе.
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!