Ш1Р ф элвис-плюс 3 страница

• для основных процессов: назначение процесса — создание ос­новных продуктов производства; результат — основной продукт

и(или) полуфабрикат для его изготовления для промежуточных процессов. Процессы лежат на пути создания основных про­дуктов. Данные процессы добавляют к продукту ценность для потребителя;

• для вспомогательных процессов: назначение процессов — обес­печение деятельности основных процессов; результат — ресур­сы и сервисы для основных процессов. Деятельность процес­сов не касается основных продуктов. Данные процессы добавляют продукту стоимость.

Клиентами для перечисленных трех типов высокоуровневых групп процессов являются как внутренние и внешние клиенты, конечные потребители, персонал, субподрядчики и т.д. Причем вспомогатель­ная деятельность ориентирована в первую очередь на внутренних клиентов — другие процессы в организации.

Защищенность интересов (целей) организации, безусловно, лежит в плоскости основной деятельности — «основных процессов» (по классификации, данной ранее), тогда как деятельности и системы обеспечения информационной безопасности являются вспомогатель­ными относительно основной деятельности. При этом главным пред­назначением деятельности и систем обеспечения информационной безопасности организации является содействие основным и управ­ленческим деятельностям, а также и иным вспомогательным, напри­мер работе с персоналом или же деятельности служб информатиза­ции организации.

Позиционирование деятельности по обеспечению информационной безопасности (ИБ) как вспомогательной деятельности обусловлено тем, что деятельности и системы менеджмента ИБ, включая соответствую­щие процессы, напрямую не участвуют в выпуске продукции органи­зации, а наоборот, повышают стоимость продукции и по своей сути являются затратными для организации. В то же время затраты на си­стемы менеджмента ИБ создают экономию при возможных потерях (они их минимизируют), т.е. формируют прибыль, и по этой характе­ристике процессы системы менеджмента ИБ можно было бы отожде­ствить с основными процессами.

Используя процессный подход, как рассмотрено в п. 2.1.1, вся де­ятельность в организации (рис. 5) может быть представлена в виде совокупности и иерархии целевых и вспомогательных процессов. Это существенно упрощает как определение целей и задач информацион-

ной безопасности организации, включая четкое определение потреб­ностей в наличии и локализации для использования мер контроля (управления) информационной безопасности^[1], так и любую оценоч­ную деятельность, будь она связана с аудитом финансовой отчетности или аудитом информационной безопасности. Отмеченное подтверж­дается тем, что в результате ужесточения в Евросоюзе и Северной Америке законодательных требований по организации внутреннего контроля и внешнего аудита фирм и предприятий^[2] все большее рас­пространение получают технологии функционального моделирования на базе процессного подхода.

В то же время наличие или отсутствие в организации формализо­ванной модели ее управленческой, основной или вспомогательной деятельности не является препятствием к организации деятельности по обеспечению информационной безопасности на базе процессного подхода, как это определяется требованиями международных стандар­тов [21, 22, 23, 24] и др.

Будучи вспомогательной, деятельность по обеспечению информа­ционной безопасности в силу своей специфики влияет на деятель­ность организации через:

— регламентирующие документы по информационной безопасно­сти для других структурных подразделений организаций;

— обучение и работу с персоналом организации в области ин­формационной безопасности;

— заказы на приобретение, поставку и регламентацию использова­ния механизмов информационной безопасности на объекты и системы в организации, которые далее могут эксплуатироваться другими вспомогательными или основными подразделениями;

— контроль информационной безопасности, в том числе и на ос­нове информации об инцидентах информационной безопасно­сти, данных мониторинга информационной безопасности, аудита информационной безопасности;

— сигналы опасности для целей (интересов) деятельности (биз­неса) организации в информационной сфере, направляемые другим подразделениям организации.

Это в конечном итоге повышает эффективность деятельности орга­низации, т.к. позволяет избежать значительных потерь, которые могут быть следствием неправильного, неправомочного и иного опасного для организации обращения с ее информационными активами.

При этом результаты реализации каналов влияния — отчеты по деятельности ИБ — должны быть по возможности выражены в тер­минах бизнеса организации. В противном случае эта информация может быть не воспринята и не востребована, и в итоге вложения ресурсов организации в информационную безопасность создадут «центр затрат», который увеличит издержки организации на выпуск основной продукции.

Модель, представленная на рисунке 7, которая построена на осно­ве методологии ЮЕРО [17], иллюстрирует связи деятельности органи­зации в области информационной безопасности и ее основной дея­тельности.

На модели видно, что входными параметрами для обеспечения информационной безопасности организации являются:

• информация о среде организации;

• потребности организации в информационной безопасности;

• описание реализации бизнес-процессов;

• информация контроля бизнес-процессов основной деятельнос­ти организации.

Кроме того, для управления и обеспечения деятельности в облас­ти информационной безопасности необходимы законы, нормативные документы, стандарты, относящиеся к информационной безопасности, интеграция в общую систему менеджмента организации, а также ре­сурсы (финансовые, материальные, информационные), люди и обору­дование.

Важнейшими исходными данными для деятельности по обеспече­нию информационной безопасности организации являются информа­ционные модели («абстрактные системы» — см. п. 2.1.1 основной

USED AT:	AUTHOR: С.Л. Зефиров В.Д. Голованов DATE: 13.04.2006 PROJECT: Обеспечение ИБ организации Rev: 14.04.2005 NOTES: 123456789 10	■	WORKING	READER	CONTEXT:
DRAFT
	RECOMENDED
	PUBLICATION		A-0

Законы (нормативы)

Менеджмент организации

Менеджмент организации в части ИБ

Стандарты И Б

Реконфигурация механизмов ИБ

w „ІІІІЦ

Стандарты

:z

Информация контроля ИБ

Материальные потоки Виды деятельности

___________ Продукция^

Основная деятельность

Информация о среде

Потребности организации в ИБ

Описание реализации БП —►

Обеспечение ИБ (вспомогательная деятельность)

Показатели деятельности

Отчетность.

Документы ИБ (отчеты, предложения, внутренние нормативы)

^Hojpja

Механизмы (средства ИБ)„

Сигнал опасности для бизнеса^

Ресурсы (финансовые, материальные, информационные)

Обору- Люди дование

TITLE:

NODE:

NUMBER:

АО

Организация

Рис. 7. Связи деятельности по информационной безопасности и основной деятельности

деятельности организации (описания бизнес-процессов, реализуемых тех­нологий и т. п.). Данные модели определяют контекст и акценты внима­ния деятельности по обеспечению информационной безопасности, т.к. они позволяют понять, где в структуре деятельности организации в части информатики имеются уязвимые и слабые места для потенциальных зло­умышленников, какие защитные меры (организационные, административ­ные, технические или технологические) могут потребоваться и какие из них могут быть наиболее эффективными. Следует отметить, что именно с изучения структуры и архитектуры информационной инфраструктуры и локализации важных (чувствительных для деятельности организации) информационных активов в организации начинается проведение аудита информационной безопасности международными аудиторскими органи­зациями, имеющими аккредитацию для осуществления аудита информа­ционной безопасности. При этом риски информационной безопасности анализируются исходя из ценности информационных активов организа­ции для их владельцев.

Результатами (выходом) деятельности и процессов по обеспечению информационной безопасности организации являются:

— документы по информационной безопасности (отчеты, предло­жения, в том числе по обучению персонала, внутренние нор­мативные документы);

— заказы на приобретение, поставку и регламентацию использо­вания механизмов информационной безопасности на объекты и системы в организации, которые далее могут эксплуатиро­ваться другими вспомогательными или основными подразде­лениями, и порядок их использования;

— сигнал опасности для основной деятельности (для бизнеса) организации.

Механизмы информационной безопасности, являющиеся результа­том деятельности и процессов по обеспечению ИБ организации и поступающие в качестве ресурсного обеспечения для основной дея­тельности организации (на рис. 7 выходной поток «Механизмы (сред­ства) ИБ»), эксплуатируются службами информатизации организации, а в отдельных случаях и основными функциональными подразделе­ниями организации. Информация контроля результатов применения и функционирования механизмов (защитных мер) информационной бе­зопасности поступает (на рис. 7 выходной поток «Информация конт­роля ИБ») для анализа службой информационной безопасности.

Рассмотренная структура (рис. 7) и взаимоотношения деятельности по обеспечению ИБ организации с основной деятельностью есть некий первый уровень формализации данных функциональных на уровне орга­низации сущностей. Она задает контекст высокого уровня, позволяю­щий в первую очередь позиционировать управленческие, информаци­онные и материальные и ресурсные потоки в организации в рамках взаимоотношения деятельности по обеспечению информационной бе­зопасности (как вспомогательной) с основной функциональной и дру­гими деятельностями в рамках организации. Последующие шаги по вза­имной детализации каждой из рассматриваемых деятельностей позволят определить те точки в основной деятельности организации, контроль которых на основе метрик безопасности обеспечит основу для оценки эффективности деятельности службы ИБ организации.

2.2, От линейном модели управления качеством процессов и систем к замкнутом циклическом модели менеджмента качества процессов м систем

Понятие «менеджмент» является для России заимствованным (амери­канское определение менеджмента — «делать что-либо руками дру­гих» [25]). Несмотря на то что в последнее десятилетие понятие «ме­неджмент» получило достаточно широкое распространение как в сфере образования, так и в производственной деятельности, в среде специ­алистов по информационным технологиям и защите информации, структур, регулирующих вопросы технической защиты информации, более популярно понятие «управление», нежели понятие «менедж­мент». В гармонизируемых международных стандартах по информа­тизации и информационной безопасности в России в последнее де­сятилетие management переводится и как «управление», и как «администрирование». Приводит это к тому, что при решении задач интеграции деятельности по информатизации и обеспечению инфор­мационной безопасности в общекорпоративный менеджмент возни­кают зачастую значительные проблемы, заключающиеся в том числе и в «синхронизации» различных работ (деятельности различных служб) в рамках организации.

Понятия «менеджмент» и «управление» имеют свои давно сфор­мировавшиеся определения, которые приведены во введенных в Рос­сии стандартах качества серии ИСО 9000 и базовых модельных стан­дартах ГОСТ Р 51897 [26] и ГОСТ Р 51898 [27]. В стандартах ИСО 9000 понятие «менеджмент» определено как «скоординированная деятель­ность по руководству и управлению организацией». При этом пояс­няется, что «в английском языке термин "management" иногда от­носится к людям, т.е. к лицу или группе работников, наделенных полномочиями и ответственностью для руководства и управления организацией. Когда "management" используется в этом смысле, его следует всегда применять с определяющими словами с целью избе­жания путаницы с понятием "management"_f определенным выше. Например, не одобряется выражение "руководство должно...", в то время как "высшее руководство должно..." — приемлемо».

В то же время для определенных практических целей представля­ется возможным использование как понятия «менеджмент», так и по­нятия «управление» — как наиболее привычного для российских спе­циалистов, различая смыслы, вкладываемые в эти понятия.

Информация о наличии организационных структур в практике управления (менеджмента) обнаружена на глиняных табличках, да­тированных III тыс. до н.э. Однако хотя само управление доста­точно старо, идея управления как научной дисциплины, профес­сии, области исследований относительно нова. Управление было признано самостоятельной областью деятельности только в XX в. Работа «Принцип научного менеджмента», опубликованная в 1911 г. Фредериком У. Тейлором (Taylor W.F.) [28], традиционно считается началом признания управления наукой и самостоятельной облас­тью исследований.

Понятия о систематизированном управлении организацией стали формироваться в середине XIX в. Успехи в теории управления всегда зависели от успехов в таких связанных с управлением областях, как инженерные науки, психология, социология, математика и др. По мере того как развивались эти области знаний, теоретики и практики уп­равления узнавали все больше о факторах, влияющих на успех орга­низации. Руководители организаций, предприниматели, ученые стали глубже осознавать влияние сил, внешних по отношению к организа­ции. Специальные исследования позволили разработать новые под­ходы в управлении.

По аналогии с неуправленческими видами деятельности предпри­нимались попытки выделить в процессе менеджмента определенные функции — концептуальные элементы в содержании работы руково­дителя. Результатом явилась функциональная модель управления, пе­рекликающаяся с определенными Анри Файолем в 1916 г. админист­ративными операциями (предвидение, организация, распорядительство, координирование и контроль). Данная модель представляет процесс управления в виде замкнутого цикла: планирование — организа­ция — мотивация (лидерство) — контроль.

Безусловно, функциональная модель представляет собой, скорее, абстракцию. Как показали исследования Генри Минцберга, работа менеджера в значительной мере неструктурированна, дискретна и спонтанна. Минцберг выявил четыре общепринятых заблуждения (мифа) относительно содержания управленческого труда.

Миф № 1. Работа менеджера состоит в систематическом и созна­тельном планировании. Примеров такой позиции множество. Но ни один из исследователей не приводит достаточных свидетельств в ее пользу.

Факты. Целый ряд исследований показывает, что менеджерам при­ходится работать в чрезвычайно высоком темпе. Основные черты про­цесса управленческого труда — это краткость, разнообразие и непре­рывность. Менеджеры ориентированы прежде всего на действие, а рефлексия остается на потом. Эти свидетельства требуют подробного рассмотрения.

Миф № 2. У хорошего менеджера нет никаких текущих обязанно­стей. Говорят, что менеджеры все время заняты разработкой гранди­озных планов и распоряжениями, а все текущую работу поручают дру­гим — не дело менеджера заниматься мелочами. Если воспользоваться распространенным сравнением, то можно сказать, что хороший менед­жер, как и хороший дирижер, все отшлифовывает заранее, а затем сидит и наслаждается результатами своего труда, лишь реагируя на те или иные непредвиденные обстоятельства...

Факты. Менеджер действительно несет ответственность за приня­тие решений в непредвиденных обстоятельствах, но помимо этого он имеет массу текущих обязанностей, включая сюда исполнение разно­го рода ритуалов и участие в церемониях, переговорах, обработку информации, связывающей организацию с окружающим миром. Ниже будут подробно рассмотрены некоторые свидетельства из более ран­них исследований.

Миф № 3. Для старших менеджеров требуется уже обработанная информация. С такой задачей лучше всего справляются формальные информационные подразделения. Согласно этому взгляду менеджер должен находиться на самой вершине иерархической системы инфор­мации. Такой менеджер «по переписке» вообще должен всю важную информацию получать от гигантских всезнающих управленческих ин­формационных систем.

Факты. Но на самом деле все обстоит иначе. У каждого менедже­ра есть свои собственные источники информации: документы, теле­фон, запланированные встречи и встречи вне расписания, ознакоми­тельные поездки. Таким образом, менеджеры активно пользуются вербальными источниками.

Миф № 4. Менеджмент — это профессия и наука (или вскоре станет таковой).

Факты. Если сопоставить это мнение с любыми определениями науки, оно явно неверно. Реальная работа менеджера далека от науч­ных исследований. Наука включает в себя систематические аналити­чески продуманные программы и процедуры. Но если мы даже тол­ком не знаем, какие именно процедуры выполняет менеджер, как можно требовать от него научной аналитики? Все менеджерские про­граммы — расписание, информационный процесс, принятие решений и т.д. — находятся в голове менеджера. Поэтому, чтобы как-то опи­сать эти программы, нам приходится полагаться на слова, суждения и интуицию. И очень редко мы отдаем себе отчет, что все это — не более чем знак нашего неведения.

Основой современных управленческих стандартов для различных областей деятельности де-факто стала модель Шухарта—Деминга. Как отмечается в книге Г. Нива «Пространство доктора Деминга» [29], «цикл Деминга» известен еще и как «цикл Шухарта», цикл «PDCA» или цикл «PDSA». Деминг ссылается на эту модель как на «цикл Шу­харта», поскольку его идея, по-видимому, имеет своим источником книгу Шухарта 1939 г. В то же время в практике обычно на нее ссы­лаются как на «цикл Деминга». Аббревиатура же циклов PDCA и PDSA раскрывается как «планируй — сделай — проверь — действуй» (для PDCA) и «планируй — сделай — изучи — действуй» (для PDSA). Аб­бревиатура PDCA является наиболее распространенной, хотя сам Де­минг предпочитает использовать PDSA [29].

Книга Шухарта начинается с выделения трех стадий в управлении качеством:

1) разработка спецификации (техническое задание, технические условия, допуски) того, что требуется;

2) производство продукции, удовлетворяющей спецификации;

3) проверка (контроль) произведенной продукции для оценки ее соответствия спецификации.

Шухарт одним из первых предложил линейное восприятие указан­ных стадий замкнуть в цикл, который он отождествил с «динамичес­ким процессом приобретения знаний». После первого цикла резуль­таты контроля должны являться основой совершенствования спецификации на продукцию. Далее производственный процесс кор­ректируется на основе уточненной спецификации, а новый результат производственного процесса опять же подвергается контролю и т.д.

Три стадии цикла Шухарта «спецификация — производство — контроль» во многом подобны первым трем стадиям в циклах PDCA или PDSA Деминга. Как отмечает Г. Нив [29], версия цикла Деминга, рассмотренная в его работе «Выход из кризиса» [30], хотя и имеет четыре стадии, но на самом деле ее третья и четвертая стадии («про­верь» или «изучи» и «действуй») — это, скорее, результат разделе­ния третьей стадии «контроль» модели Шухарта на две новые более явно сориентированные стадии, которые можно охарактеризовать как «наблюдение» и «анализ». Как и в случае с «циклом Шухарта», «цикл Деминга»» представлен в виде, который позволяет понять, что после­довательность шагов должна повторяться на качественно новом уров­не, используя знания, накопленные на предшествующем цикле.

Здесь следует привести достаточно наглядный пример практичес­кой реализации модели Деминга PDCA, имеющийся в книге Г. Нива [29] и иллюстрирующий «работу» одной из стадий модели.

Компания «Ниссан» неожиданно для участников рынка начала скупать бывшие в употреблении малолитражные машины, включая разбитые, и отправлять их в Японию. Количество машин, приобрета­емых компанией «Нисан», измерялось не в дюжинах, а в тысячах. Четырьмя годами позже вышла модель автомобиля «Ниссан-Микро», которая была признанной одной из лучших в своем классе. Так вот отгрузка в Японию подержанных и разбитых малолитражных машин было частью стадии (процесса) планирования для автомобиля «Нис- сан-Микро».

Модель Деминга фактически приводит нас к мысли о необходимо­сти не только регулярного контроля, но и использования знаний, на­копленных на предшествующих циклах, в совершенствовании своей деятельности. С точки зрения системного подхода это обеспечивает возможность адаптации системы (любой сложности) к условиям сре­ды ее существования. Используя рассмотренные модели и рассматри­вая процессы, управляемые согласно им во временной ретроспективе, мы получаем возможность спрогнозировать будущие результаты этих процессов. В этой связи существуют интересные оценки возможнос­тей системы управления (менеджмента) организации. Не более 15% всех проблем (или возможностей улучшения) в организациях связано с особыми причинами вариаций в реализации производственных про­цессов, которые могут быть в поле зрения рядовых работников. Тогда на долю менеджеров приходятся как минимум 85% от всех потенци­альных возможностей улучшений системы, в которой работают их слу­жащие. После проверки этих цифр на протяжении многих летДеминг пересмотрел их и в 1985 г. дал новую оценку — соответственно 6 и 94% [29].

Подходы модели Шухарта—Деминга с необходимыми уточнения­ми к настоящему времени получили широкое применение помимо стан­дартов качества ИСО 9000 и экологии ИСО 14000 и в других областях деятельности, не только отраслевых, таких, как автомобилестроение и продукты питания, но и таких специфичных, как информатизация и безопасность. Везде, где объектом рассмотрения может быть деятель­ность и применим процессный подход развивается и внедряется мо­дель менеджмента, основывающаяся на циклической модели Шухар­та—Деминга.

Отражая сформировавшееся видение (см. п. 2.1.2), что для обес­печения уверенности (доверия) в безопасности должна поддерживать­ся не только соответствующая деятельность — процесс, который дол­жен иметь все необходимые условия его выполнения (входы, например исходные постановки и данные; ресурсы, например люди и оборудо­вание; управление, например политики или стандарты), но и должен иметься свой собственный менеджмент. Модель Шухарта—Деминга получила свое практическое применение на всех уровнях деятельно­сти, связанной с безопасностью, и на всех направлениях обеспечения безопасности (экономической, информационной, физической и пр.). Фактически это является отражением того, что любая деятельность не-

зависимо от области применения должна изначально планироваться, а ее реализация наряду с поддержкой должна наблюдаться (прове­ряться) и при необходимости совершенствоваться (системный подход), обеспечивая адаптацию к изменениям как в среде системы, так и в ней самой.

В практической деятельности при работе над внедрением в раз­личных организациях систем менеджмента информационной безопас­ности, систем менеджмента информационными активами организации, систем менеджмента рисками информационной безопасности и про­чих систем менеджмента в области информационной безопасности нередко приходиться слышать применительно к модели Шухарта— Деминга слова «волшебный цикл». По большому счету это не преуве­личение, а лишь отражение того, что теория системного и процессно­го подходов попала в цель и практика многократно подтвердила эту теорию.

Примеры формального (строго) определения систем менеджмента информационной безопасности рассмотрены нами в книге «Обеспе­чение информационной безопасности бизнеса» [31]. Далее будет по­казано, как модель Шухарта—Деминга реализуется в деятельности, связанной с независимой оценкой соответствия (аудитом) информа­ционной безопасности, контролем и проверкой процессов и систем.

2.3. Способы контроля и проверки процессов и систем. Цели контроля и проверки процессов и систем

2.3.1. Оценка процессов — основа контроля и проверки процессов и систем

Разработка и эксплуатация информационных, телекоммуникационных и других сложных социотехнических систем выявили необходимость в проведении регулярного контроля и проверки систем в целом и ре­ализующих их процессов. Такие контроль и проверка, проводимые организацией или в интересах организации, могут осуществляться для разных целей. Во-первых, с целью определения состояния собствен­ных процессов и систем для их совершенствования; во-вторых, с це- лью определения соответствия собственных процессов и систем уста­новленному требованию или совокупности требований; в-третьих, с целью определения пригодности процессов другой организации для определенного договора или совокупности договоров.

Контроль и проверка систем и процессов осуществляются с помо­щью независимой оценки и самооценки.

Независимая оценка достигается путем проведения оценивания группой оценки, члены которой независимы от объекта оценки. Орга­низатор оценки может относиться к той же организации, к которой относится объект оценки, но не обязательно к оцениваемому объекту оценки. Под организатором оценки понимаются лицо или организа­ция, являющиеся внутренними или внешними по отношению к оцени­ваемому объекту оценки, которые требуют проведения оценки и пре­доставляют финансовые и другие ресурсы, необходимые для ее проведения.

Внешний организатор оценки может быть, например, приобретате­лем, желающим иметь независимое решение, касающееся возможнос­тей процессов или системы. Однако степень независимости может варьироваться в соответствии с назначением, сферой и контекстом оценки. В случае внешнего организатора оценки предполагается на­личие взаимного соглашения между организатором оценки и органи­зацией, к которой относится объект оценки.

Самооценка выполняется организацией с целью оценки возмож­ностей собственных процессов и систем. Организатор самооценки обычно входит в состав объекта оценки, как и члены группы оценки.

Процесс оценивания включает [32] следующие аспекты проведе­ния оценивания:

— определение входных данных для оценки, таких, как назначе­ние, сфера, ограничения, особенности и подход к оценке про­цесса, которая должна использоваться;

— определение основных ролей и обязанностей;

— предоставление руководства для планирования, сбора данных, проверки достоверности данных, определения атрибутов про­цесса и сообщения результатов оценки;

— фиксирование выходных данных оценки.

Основные элементы процесса оценивания представлены на ри­сунке 8.

Рассмотрим подробнее элементы процесса оценивания.

Рис. 8. Основные элементы процесса оценивания

2.3.2. Определение входных данных оценки

Входные данные оценки следует определить, одобрить и задокумен­тировать до начала процесса оценивания. Одобрение входных дан­ных оценки организатором оценки важно, т.к. они содержат исход­ные элементы процесса оценки. Входные данные оценки включают:

• назначение оценки;

• сферу оценки;

• подход оценки (независимая оценка и самооценка);

• ограничения оценки;

• критерии компетентности специалиста по оценке;

• лицо или организацию, выполняющих роль организатора оцен­ки, и взаимосвязь организатора с объектом оценки;

• представителей и вспомогательный персонал объекта оценки с конкретными обязанностями для проведения оценки.

Организатор оценки может быть лицом, относящимся к данной орга­низации, но не обязательно к объекту оценки. В случае независимых

оценок организатор может быть юридическим лицом, внешним по от­ношению к объекту оценки.

Назначение оценок может различаться в зависимости от целей организатора, таких, как совершенствование процесса, определение соответствия процесса установленным критериям или выбор постав­щиков (внутренних или внешних).