• для основных процессов: назначение процесса — создание основных продуктов производства; результат — основной продукт
и(или) полуфабрикат для его изготовления для промежуточных процессов. Процессы лежат на пути создания основных продуктов. Данные процессы добавляют к продукту ценность для потребителя;
• для вспомогательных процессов: назначение процессов — обеспечение деятельности основных процессов; результат — ресурсы и сервисы для основных процессов. Деятельность процессов не касается основных продуктов. Данные процессы добавляют продукту стоимость.
Клиентами для перечисленных трех типов высокоуровневых групп процессов являются как внутренние и внешние клиенты, конечные потребители, персонал, субподрядчики и т.д. Причем вспомогательная деятельность ориентирована в первую очередь на внутренних клиентов — другие процессы в организации.
Защищенность интересов (целей) организации, безусловно, лежит в плоскости основной деятельности — «основных процессов» (по классификации, данной ранее), тогда как деятельности и системы обеспечения информационной безопасности являются вспомогательными относительно основной деятельности. При этом главным предназначением деятельности и систем обеспечения информационной безопасности организации является содействие основным и управленческим деятельностям, а также и иным вспомогательным, например работе с персоналом или же деятельности служб информатизации организации.
|
|
Позиционирование деятельности по обеспечению информационной безопасности (ИБ) как вспомогательной деятельности обусловлено тем, что деятельности и системы менеджмента ИБ, включая соответствующие процессы, напрямую не участвуют в выпуске продукции организации, а наоборот, повышают стоимость продукции и по своей сути являются затратными для организации. В то же время затраты на системы менеджмента ИБ создают экономию при возможных потерях (они их минимизируют), т.е. формируют прибыль, и по этой характеристике процессы системы менеджмента ИБ можно было бы отождествить с основными процессами.
Используя процессный подход, как рассмотрено в п. 2.1.1, вся деятельность в организации (рис. 5) может быть представлена в виде совокупности и иерархии целевых и вспомогательных процессов. Это существенно упрощает как определение целей и задач информацион-
ной безопасности организации, включая четкое определение потребностей в наличии и локализации для использования мер контроля (управления) информационной безопасности[1], так и любую оценочную деятельность, будь она связана с аудитом финансовой отчетности или аудитом информационной безопасности. Отмеченное подтверждается тем, что в результате ужесточения в Евросоюзе и Северной Америке законодательных требований по организации внутреннего контроля и внешнего аудита фирм и предприятий[2] все большее распространение получают технологии функционального моделирования на базе процессного подхода.
|
|
В то же время наличие или отсутствие в организации формализованной модели ее управленческой, основной или вспомогательной деятельности не является препятствием к организации деятельности по обеспечению информационной безопасности на базе процессного подхода, как это определяется требованиями международных стандартов [21, 22, 23, 24] и др.
Будучи вспомогательной, деятельность по обеспечению информационной безопасности в силу своей специфики влияет на деятельность организации через:
— регламентирующие документы по информационной безопасности для других структурных подразделений организаций;
— обучение и работу с персоналом организации в области информационной безопасности;
— заказы на приобретение, поставку и регламентацию использования механизмов информационной безопасности на объекты и системы в организации, которые далее могут эксплуатироваться другими вспомогательными или основными подразделениями;
— контроль информационной безопасности, в том числе и на основе информации об инцидентах информационной безопасности, данных мониторинга информационной безопасности, аудита информационной безопасности;
— сигналы опасности для целей (интересов) деятельности (бизнеса) организации в информационной сфере, направляемые другим подразделениям организации.
Это в конечном итоге повышает эффективность деятельности организации, т.к. позволяет избежать значительных потерь, которые могут быть следствием неправильного, неправомочного и иного опасного для организации обращения с ее информационными активами.
При этом результаты реализации каналов влияния — отчеты по деятельности ИБ — должны быть по возможности выражены в терминах бизнеса организации. В противном случае эта информация может быть не воспринята и не востребована, и в итоге вложения ресурсов организации в информационную безопасность создадут «центр затрат», который увеличит издержки организации на выпуск основной продукции.
Модель, представленная на рисунке 7, которая построена на основе методологии ЮЕРО [17], иллюстрирует связи деятельности организации в области информационной безопасности и ее основной деятельности.
На модели видно, что входными параметрами для обеспечения информационной безопасности организации являются:
• информация о среде организации;
• потребности организации в информационной безопасности;
• описание реализации бизнес-процессов;
• информация контроля бизнес-процессов основной деятельности организации.
Кроме того, для управления и обеспечения деятельности в области информационной безопасности необходимы законы, нормативные документы, стандарты, относящиеся к информационной безопасности, интеграция в общую систему менеджмента организации, а также ресурсы (финансовые, материальные, информационные), люди и оборудование.
Важнейшими исходными данными для деятельности по обеспечению информационной безопасности организации являются информационные модели («абстрактные системы» — см. п. 2.1.1 основной
USED AT: | AUTHOR: С.Л. Зефиров В.Д. Голованов DATE: 13.04.2006 PROJECT: Обеспечение ИБ организации Rev: 14.04.2005 NOTES: 123456789 10 | ■ | WORKING | READER | CONTEXT: |
DRAFT | |||||
RECOMENDED | |||||
PUBLICATION | A-0 |
Законы (нормативы) |
Менеджмент организации |
Менеджмент организации в части ИБ |
Стандарты И Б |
Реконфигурация механизмов ИБ |
w „ІІІІЦ |
Стандарты
|
|
:z
Информация контроля ИБ |
Материальные потоки Виды деятельности |
___________ Продукция^
Основная деятельность |
Информация о среде |
Потребности организации в ИБ |
Описание реализации БП —► |
Обеспечение ИБ (вспомогательная деятельность) |
Показатели деятельности
Отчетность.
Документы ИБ (отчеты, предложения, внутренние нормативы)
^Hojpja
Механизмы (средства ИБ)„
Сигнал опасности для бизнеса^
Ресурсы (финансовые, материальные, информационные) |
Обору- Люди дование |
TITLE: |
NODE: |
NUMBER:
АО |
Организация
Рис. 7. Связи деятельности по информационной безопасности и основной деятельности
деятельности организации (описания бизнес-процессов, реализуемых технологий и т. п.). Данные модели определяют контекст и акценты внимания деятельности по обеспечению информационной безопасности, т.к. они позволяют понять, где в структуре деятельности организации в части информатики имеются уязвимые и слабые места для потенциальных злоумышленников, какие защитные меры (организационные, административные, технические или технологические) могут потребоваться и какие из них могут быть наиболее эффективными. Следует отметить, что именно с изучения структуры и архитектуры информационной инфраструктуры и локализации важных (чувствительных для деятельности организации) информационных активов в организации начинается проведение аудита информационной безопасности международными аудиторскими организациями, имеющими аккредитацию для осуществления аудита информационной безопасности. При этом риски информационной безопасности анализируются исходя из ценности информационных активов организации для их владельцев.
Результатами (выходом) деятельности и процессов по обеспечению информационной безопасности организации являются:
— документы по информационной безопасности (отчеты, предложения, в том числе по обучению персонала, внутренние нормативные документы);
— заказы на приобретение, поставку и регламентацию использования механизмов информационной безопасности на объекты и системы в организации, которые далее могут эксплуатироваться другими вспомогательными или основными подразделениями, и порядок их использования;
|
|
— сигнал опасности для основной деятельности (для бизнеса) организации.
Механизмы информационной безопасности, являющиеся результатом деятельности и процессов по обеспечению ИБ организации и поступающие в качестве ресурсного обеспечения для основной деятельности организации (на рис. 7 выходной поток «Механизмы (средства) ИБ»), эксплуатируются службами информатизации организации, а в отдельных случаях и основными функциональными подразделениями организации. Информация контроля результатов применения и функционирования механизмов (защитных мер) информационной безопасности поступает (на рис. 7 выходной поток «Информация контроля ИБ») для анализа службой информационной безопасности.
Рассмотренная структура (рис. 7) и взаимоотношения деятельности по обеспечению ИБ организации с основной деятельностью есть некий первый уровень формализации данных функциональных на уровне организации сущностей. Она задает контекст высокого уровня, позволяющий в первую очередь позиционировать управленческие, информационные и материальные и ресурсные потоки в организации в рамках взаимоотношения деятельности по обеспечению информационной безопасности (как вспомогательной) с основной функциональной и другими деятельностями в рамках организации. Последующие шаги по взаимной детализации каждой из рассматриваемых деятельностей позволят определить те точки в основной деятельности организации, контроль которых на основе метрик безопасности обеспечит основу для оценки эффективности деятельности службы ИБ организации.
2.2, От линейном модели управления качеством процессов и систем к замкнутом циклическом модели менеджмента качества процессов м систем
Понятие «менеджмент» является для России заимствованным (американское определение менеджмента — «делать что-либо руками других» [25]). Несмотря на то что в последнее десятилетие понятие «менеджмент» получило достаточно широкое распространение как в сфере образования, так и в производственной деятельности, в среде специалистов по информационным технологиям и защите информации, структур, регулирующих вопросы технической защиты информации, более популярно понятие «управление», нежели понятие «менеджмент». В гармонизируемых международных стандартах по информатизации и информационной безопасности в России в последнее десятилетие management переводится и как «управление», и как «администрирование». Приводит это к тому, что при решении задач интеграции деятельности по информатизации и обеспечению информационной безопасности в общекорпоративный менеджмент возникают зачастую значительные проблемы, заключающиеся в том числе и в «синхронизации» различных работ (деятельности различных служб) в рамках организации.
Понятия «менеджмент» и «управление» имеют свои давно сформировавшиеся определения, которые приведены во введенных в России стандартах качества серии ИСО 9000 и базовых модельных стандартах ГОСТ Р 51897 [26] и ГОСТ Р 51898 [27]. В стандартах ИСО 9000 понятие «менеджмент» определено как «скоординированная деятельность по руководству и управлению организацией». При этом поясняется, что «в английском языке термин "management" иногда относится к людям, т.е. к лицу или группе работников, наделенных полномочиями и ответственностью для руководства и управления организацией. Когда "management" используется в этом смысле, его следует всегда применять с определяющими словами с целью избежания путаницы с понятием "management"f определенным выше. Например, не одобряется выражение "руководство должно...", в то время как "высшее руководство должно..." — приемлемо».
В то же время для определенных практических целей представляется возможным использование как понятия «менеджмент», так и понятия «управление» — как наиболее привычного для российских специалистов, различая смыслы, вкладываемые в эти понятия.
Информация о наличии организационных структур в практике управления (менеджмента) обнаружена на глиняных табличках, датированных III тыс. до н.э. Однако хотя само управление достаточно старо, идея управления как научной дисциплины, профессии, области исследований относительно нова. Управление было признано самостоятельной областью деятельности только в XX в. Работа «Принцип научного менеджмента», опубликованная в 1911 г. Фредериком У. Тейлором (Taylor W.F.) [28], традиционно считается началом признания управления наукой и самостоятельной областью исследований.
Понятия о систематизированном управлении организацией стали формироваться в середине XIX в. Успехи в теории управления всегда зависели от успехов в таких связанных с управлением областях, как инженерные науки, психология, социология, математика и др. По мере того как развивались эти области знаний, теоретики и практики управления узнавали все больше о факторах, влияющих на успех организации. Руководители организаций, предприниматели, ученые стали глубже осознавать влияние сил, внешних по отношению к организации. Специальные исследования позволили разработать новые подходы в управлении.
По аналогии с неуправленческими видами деятельности предпринимались попытки выделить в процессе менеджмента определенные функции — концептуальные элементы в содержании работы руководителя. Результатом явилась функциональная модель управления, перекликающаяся с определенными Анри Файолем в 1916 г. административными операциями (предвидение, организация, распорядительство, координирование и контроль). Данная модель представляет процесс управления в виде замкнутого цикла: планирование — организация — мотивация (лидерство) — контроль.
Безусловно, функциональная модель представляет собой, скорее, абстракцию. Как показали исследования Генри Минцберга, работа менеджера в значительной мере неструктурированна, дискретна и спонтанна. Минцберг выявил четыре общепринятых заблуждения (мифа) относительно содержания управленческого труда.
Миф № 1. Работа менеджера состоит в систематическом и сознательном планировании. Примеров такой позиции множество. Но ни один из исследователей не приводит достаточных свидетельств в ее пользу.
Факты. Целый ряд исследований показывает, что менеджерам приходится работать в чрезвычайно высоком темпе. Основные черты процесса управленческого труда — это краткость, разнообразие и непрерывность. Менеджеры ориентированы прежде всего на действие, а рефлексия остается на потом. Эти свидетельства требуют подробного рассмотрения.
Миф № 2. У хорошего менеджера нет никаких текущих обязанностей. Говорят, что менеджеры все время заняты разработкой грандиозных планов и распоряжениями, а все текущую работу поручают другим — не дело менеджера заниматься мелочами. Если воспользоваться распространенным сравнением, то можно сказать, что хороший менеджер, как и хороший дирижер, все отшлифовывает заранее, а затем сидит и наслаждается результатами своего труда, лишь реагируя на те или иные непредвиденные обстоятельства...
Факты. Менеджер действительно несет ответственность за принятие решений в непредвиденных обстоятельствах, но помимо этого он имеет массу текущих обязанностей, включая сюда исполнение разного рода ритуалов и участие в церемониях, переговорах, обработку информации, связывающей организацию с окружающим миром. Ниже будут подробно рассмотрены некоторые свидетельства из более ранних исследований.
Миф № 3. Для старших менеджеров требуется уже обработанная информация. С такой задачей лучше всего справляются формальные информационные подразделения. Согласно этому взгляду менеджер должен находиться на самой вершине иерархической системы информации. Такой менеджер «по переписке» вообще должен всю важную информацию получать от гигантских всезнающих управленческих информационных систем.
Факты. Но на самом деле все обстоит иначе. У каждого менеджера есть свои собственные источники информации: документы, телефон, запланированные встречи и встречи вне расписания, ознакомительные поездки. Таким образом, менеджеры активно пользуются вербальными источниками.
Миф № 4. Менеджмент — это профессия и наука (или вскоре станет таковой).
Факты. Если сопоставить это мнение с любыми определениями науки, оно явно неверно. Реальная работа менеджера далека от научных исследований. Наука включает в себя систематические аналитически продуманные программы и процедуры. Но если мы даже толком не знаем, какие именно процедуры выполняет менеджер, как можно требовать от него научной аналитики? Все менеджерские программы — расписание, информационный процесс, принятие решений и т.д. — находятся в голове менеджера. Поэтому, чтобы как-то описать эти программы, нам приходится полагаться на слова, суждения и интуицию. И очень редко мы отдаем себе отчет, что все это — не более чем знак нашего неведения.
Основой современных управленческих стандартов для различных областей деятельности де-факто стала модель Шухарта—Деминга. Как отмечается в книге Г. Нива «Пространство доктора Деминга» [29], «цикл Деминга» известен еще и как «цикл Шухарта», цикл «PDCA» или цикл «PDSA». Деминг ссылается на эту модель как на «цикл Шухарта», поскольку его идея, по-видимому, имеет своим источником книгу Шухарта 1939 г. В то же время в практике обычно на нее ссылаются как на «цикл Деминга». Аббревиатура же циклов PDCA и PDSA раскрывается как «планируй — сделай — проверь — действуй» (для PDCA) и «планируй — сделай — изучи — действуй» (для PDSA). Аббревиатура PDCA является наиболее распространенной, хотя сам Деминг предпочитает использовать PDSA [29].
Книга Шухарта начинается с выделения трех стадий в управлении качеством:
1) разработка спецификации (техническое задание, технические условия, допуски) того, что требуется;
2) производство продукции, удовлетворяющей спецификации;
3) проверка (контроль) произведенной продукции для оценки ее соответствия спецификации.
Шухарт одним из первых предложил линейное восприятие указанных стадий замкнуть в цикл, который он отождествил с «динамическим процессом приобретения знаний». После первого цикла результаты контроля должны являться основой совершенствования спецификации на продукцию. Далее производственный процесс корректируется на основе уточненной спецификации, а новый результат производственного процесса опять же подвергается контролю и т.д.
Три стадии цикла Шухарта «спецификация — производство — контроль» во многом подобны первым трем стадиям в циклах PDCA или PDSA Деминга. Как отмечает Г. Нив [29], версия цикла Деминга, рассмотренная в его работе «Выход из кризиса» [30], хотя и имеет четыре стадии, но на самом деле ее третья и четвертая стадии («проверь» или «изучи» и «действуй») — это, скорее, результат разделения третьей стадии «контроль» модели Шухарта на две новые более явно сориентированные стадии, которые можно охарактеризовать как «наблюдение» и «анализ». Как и в случае с «циклом Шухарта», «цикл Деминга»» представлен в виде, который позволяет понять, что последовательность шагов должна повторяться на качественно новом уровне, используя знания, накопленные на предшествующем цикле.
Здесь следует привести достаточно наглядный пример практической реализации модели Деминга PDCA, имеющийся в книге Г. Нива [29] и иллюстрирующий «работу» одной из стадий модели.
Компания «Ниссан» неожиданно для участников рынка начала скупать бывшие в употреблении малолитражные машины, включая разбитые, и отправлять их в Японию. Количество машин, приобретаемых компанией «Нисан», измерялось не в дюжинах, а в тысячах. Четырьмя годами позже вышла модель автомобиля «Ниссан-Микро», которая была признанной одной из лучших в своем классе. Так вот отгрузка в Японию подержанных и разбитых малолитражных машин было частью стадии (процесса) планирования для автомобиля «Нис- сан-Микро».
Модель Деминга фактически приводит нас к мысли о необходимости не только регулярного контроля, но и использования знаний, накопленных на предшествующих циклах, в совершенствовании своей деятельности. С точки зрения системного подхода это обеспечивает возможность адаптации системы (любой сложности) к условиям среды ее существования. Используя рассмотренные модели и рассматривая процессы, управляемые согласно им во временной ретроспективе, мы получаем возможность спрогнозировать будущие результаты этих процессов. В этой связи существуют интересные оценки возможностей системы управления (менеджмента) организации. Не более 15% всех проблем (или возможностей улучшения) в организациях связано с особыми причинами вариаций в реализации производственных процессов, которые могут быть в поле зрения рядовых работников. Тогда на долю менеджеров приходятся как минимум 85% от всех потенциальных возможностей улучшений системы, в которой работают их служащие. После проверки этих цифр на протяжении многих летДеминг пересмотрел их и в 1985 г. дал новую оценку — соответственно 6 и 94% [29].
Подходы модели Шухарта—Деминга с необходимыми уточнениями к настоящему времени получили широкое применение помимо стандартов качества ИСО 9000 и экологии ИСО 14000 и в других областях деятельности, не только отраслевых, таких, как автомобилестроение и продукты питания, но и таких специфичных, как информатизация и безопасность. Везде, где объектом рассмотрения может быть деятельность и применим процессный подход развивается и внедряется модель менеджмента, основывающаяся на циклической модели Шухарта—Деминга.
Отражая сформировавшееся видение (см. п. 2.1.2), что для обеспечения уверенности (доверия) в безопасности должна поддерживаться не только соответствующая деятельность — процесс, который должен иметь все необходимые условия его выполнения (входы, например исходные постановки и данные; ресурсы, например люди и оборудование; управление, например политики или стандарты), но и должен иметься свой собственный менеджмент. Модель Шухарта—Деминга получила свое практическое применение на всех уровнях деятельности, связанной с безопасностью, и на всех направлениях обеспечения безопасности (экономической, информационной, физической и пр.). Фактически это является отражением того, что любая деятельность не-
зависимо от области применения должна изначально планироваться, а ее реализация наряду с поддержкой должна наблюдаться (проверяться) и при необходимости совершенствоваться (системный подход), обеспечивая адаптацию к изменениям как в среде системы, так и в ней самой.
В практической деятельности при работе над внедрением в различных организациях систем менеджмента информационной безопасности, систем менеджмента информационными активами организации, систем менеджмента рисками информационной безопасности и прочих систем менеджмента в области информационной безопасности нередко приходиться слышать применительно к модели Шухарта— Деминга слова «волшебный цикл». По большому счету это не преувеличение, а лишь отражение того, что теория системного и процессного подходов попала в цель и практика многократно подтвердила эту теорию.
Примеры формального (строго) определения систем менеджмента информационной безопасности рассмотрены нами в книге «Обеспечение информационной безопасности бизнеса» [31]. Далее будет показано, как модель Шухарта—Деминга реализуется в деятельности, связанной с независимой оценкой соответствия (аудитом) информационной безопасности, контролем и проверкой процессов и систем.
2.3. Способы контроля и проверки процессов и систем. Цели контроля и проверки процессов и систем
2.3.1. Оценка процессов — основа контроля и проверки процессов и систем
Разработка и эксплуатация информационных, телекоммуникационных и других сложных социотехнических систем выявили необходимость в проведении регулярного контроля и проверки систем в целом и реализующих их процессов. Такие контроль и проверка, проводимые организацией или в интересах организации, могут осуществляться для разных целей. Во-первых, с целью определения состояния собственных процессов и систем для их совершенствования; во-вторых, с це- лью определения соответствия собственных процессов и систем установленному требованию или совокупности требований; в-третьих, с целью определения пригодности процессов другой организации для определенного договора или совокупности договоров.
Контроль и проверка систем и процессов осуществляются с помощью независимой оценки и самооценки.
Независимая оценка достигается путем проведения оценивания группой оценки, члены которой независимы от объекта оценки. Организатор оценки может относиться к той же организации, к которой относится объект оценки, но не обязательно к оцениваемому объекту оценки. Под организатором оценки понимаются лицо или организация, являющиеся внутренними или внешними по отношению к оцениваемому объекту оценки, которые требуют проведения оценки и предоставляют финансовые и другие ресурсы, необходимые для ее проведения.
Внешний организатор оценки может быть, например, приобретателем, желающим иметь независимое решение, касающееся возможностей процессов или системы. Однако степень независимости может варьироваться в соответствии с назначением, сферой и контекстом оценки. В случае внешнего организатора оценки предполагается наличие взаимного соглашения между организатором оценки и организацией, к которой относится объект оценки.
Самооценка выполняется организацией с целью оценки возможностей собственных процессов и систем. Организатор самооценки обычно входит в состав объекта оценки, как и члены группы оценки.
Процесс оценивания включает [32] следующие аспекты проведения оценивания:
— определение входных данных для оценки, таких, как назначение, сфера, ограничения, особенности и подход к оценке процесса, которая должна использоваться;
— определение основных ролей и обязанностей;
— предоставление руководства для планирования, сбора данных, проверки достоверности данных, определения атрибутов процесса и сообщения результатов оценки;
— фиксирование выходных данных оценки.
Основные элементы процесса оценивания представлены на рисунке 8.
Рассмотрим подробнее элементы процесса оценивания.
Рис. 8. Основные элементы процесса оценивания |
2.3.2. Определение входных данных оценки
Входные данные оценки следует определить, одобрить и задокументировать до начала процесса оценивания. Одобрение входных данных оценки организатором оценки важно, т.к. они содержат исходные элементы процесса оценки. Входные данные оценки включают:
• назначение оценки;
• сферу оценки;
• подход оценки (независимая оценка и самооценка);
• ограничения оценки;
• критерии компетентности специалиста по оценке;
• лицо или организацию, выполняющих роль организатора оценки, и взаимосвязь организатора с объектом оценки;
• представителей и вспомогательный персонал объекта оценки с конкретными обязанностями для проведения оценки.
Организатор оценки может быть лицом, относящимся к данной организации, но не обязательно к объекту оценки. В случае независимых
оценок организатор может быть юридическим лицом, внешним по отношению к объекту оценки.
Назначение оценок может различаться в зависимости от целей организатора, таких, как совершенствование процесса, определение соответствия процесса установленным критериям или выбор поставщиков (внутренних или внешних).