Ограничения, связанные с Covid, и последовавшая повсеместно удалённая работа, импортозамещение, усиление нормативного регулирования ИТ и ИБ, уход зарубежный вендоров, рост компьютерных атак и развитие цифровизации, — всё это за последние пять лет значительно повлияло на отношение к ИБ во многих компаниях. Возникла потребность заняться управлением информационной безопасностью «по-серьёзному» и включить управление ИБ во все процессы компании. Но вопросы интеграции ИБ и бизнеса – нетривиальная задача. О том, как можно интегрировать, разберёмся в данной статье.

Развитие зрелой информационной безопасности (ИБ) компании можно представить в виде трёх ступеней:

1. Информационная безопасность – выполнение нормативных требований;
2. Информационная безопасность – управление рисками;
3. Информационная безопасность – сервисы для бизнеса.

В данной статье разберём именно третью ступень. Это подход к управлению и организации ИБ-услуг, направленный на удовлетворение потребностей бизнеса в части обеспечения его прозрачности, контролируемости, управляемости и устойчивости.

ИБ как сервис

На данный момент эталонных документов, описывающих данный подход, нет. Но для его построения можно использовать совокупность стандартов ГОСТ-Р ИСО/МЭК 2700Х и методологию управления ИТ-услугами как сервисом.
В отличие от традиционного «ограничивающего подхода» информационной безопасности, управление ИБ как сервисом для бизнеса (УИБСБ) предусматривает сосредоточиться на компании как на клиенте и его потребностях, а не на самих технологиях и мерах безопасности.

Реализация ИБ-функции должна быть неразрывно связана с целями бизнеса. Это значит, что все меры обеспечения ИБ в компании должны разрабатываться и предоставляться потребителям в том виде, который помогает достигать бизнес-целей.

Пример

К примеру, компания хочет оптимизировать затраты на обслуживание своих систем и улучшить свои финансовые показатели. Для этого планируется создать систему дистанционного доступа и удалённого управления системами, а также предоставления к ним доступа подрядчиков для оперативности.

В этом случае служба ИБ будет помогать найти решение и считать, обосновать затраты на ИБ, чтобы решить задачу удалённого доступа. Для этого ИБ может помочь обосновать, что затраты на дополнительные решения по информационной безопасности позволят всё же создать устойчивый сервис, чтобы бизнес-запросы решались быстро. А также дополнительно, наладив процессы ИБ, будут созданы процессы управления изменениями, компания добьется того, что ИТ-инфраструктура и действия пользователей станут прозрачными и легко контролируемыми. Это снизит вероятность ошибок, а также позволит измерять работу созданного сервиса и эффективность работы пользователей, функционирования компонентов ИТ-инфраструктуры.

Применение подобных решений на практике показывает, что при этом выявляется недобросовестная или некачественная работа подрядчиков, позволяющая сократить затраты на их сервис и услуги.

В итоге ИБ-функция («ИБ как сервис») поможет бизнесу в достижении целей: будет создан сервис удалённого доступа, который в результате повлияет на рост прибыль.

В данном случае, особо не меняются существующие практики, методологии и стандарты по информационной безопасности, например, ИСО-МЭК 27001. Но меняется мышление первых лиц компании, руководителей бизнес-функций, включая ИБ, и дополняются ключевые подходы, более явно ориентируясь на бизнес-процессы и задачи.

5 элементов ИБ как сервиса для бизнеса

• Гарантированное качество услуг (SLA) по управлению инцидентами
  Важны описание и настроенность процесса для быстрого разрешения инцидента. Для этого требуются налаженные межфункциональные взаимодействия, построенные на понимании бизнес-целей и задач компании всеми сторонами.
• Управление изменениями
  Должен быть реализован единый процесс, который включает в себя запрос, согласование и внедрение таких изменений среди всех задействованных функций компании. Например, компания может сформировать комитет, который будет рассматривать заявки на изменения, оценивать возможные результаты таких изменений и проводить все необходимые согласования в электронном виде.
• Управление проблемами
  Важно уметь определить проблему, которая лежит в корне возникающих инцидентов и её бизнес-последствия. Так, можно отслеживать и анализировать данные по инцидентам, определять тенденции и внедрять решения для предотвращения подобных инцидентов в будущем. Также возможно компенсировать их страхованием, например.
• Управление прозрачностью процессов
  Организация должна определить доступность, надежность, цели предоставления услуг своих бизнес-услуг или продуктов и контролировать заданные параметры. А ИБ должно обеспечивать их устойчивость к компьютерным атакам и ошибкам или недобросовестным действиям пользователей. Тем самым помогаю бизнесу создавать новые, конкурентные сервисы, на которые другие компании с менее зрелым ИБ не решатся.
• Постоянное улучшение
  Требуется системно определять точки роста и вести работы над улучшением результатов и метрик их измерения. Причём речь идёт про расширение использования инструментов ИБ для решения бизнес задач и целей.

В данном случае, идеально подходит тезис, который я сформировал совместно с моим партнёром (Алексеем ШИрокопоясом) по тренингам для руководителей предприятий и функции ИБ: «Дело не в ИБ, а в отношении к ней».