Разработка стратегии информационной безопасности и управления рисками
Часть 3

Андрей Тимошенков
Заместитель директора по
развитию сервисов компании Softline

Для обеспечения надлежащего контроля за результатами выполнения стратегии необходимо разработать систему ключевых показателей эффективности и выполнить следующие шаги:

• Соотнести состав разрабатываемых функций с признанными отраслевыми стандартами и мировыми практиками.
• Наложить на процессы ИБУР модель зрелости процессов.
• Оценить KPI для определения эффективности функций ИБ.

Соответствие отраслевым стандартам

Соответствие одному или нескольким отраслевым стандартам может принести несомненную пользу для стратегии ИБУР.

Существует множество стандартов как международных (NIST, ISO 2700x, Cobit и д.р.), так и принятых в России (Стандарт Банка России, СТР-К и др.), которые можно взять на вооружение при разработке стратегии ИБУР. Однако здесь важно помнить, что ни один стандарт не может быть полностью применим ко всем организациям. Поэтому не следует разрабатывать стратегию, опираясь исключительно на один какой-либо стандарт.

Лучше вначале, определив состав необходимых функций отдела ИБ (это уже было сделано при разработке функциональной модели), спроецировать их на те или иные отраслевые стандарты и директивы, которым организация решила следовать. Такой подход позволяет организации, во-первых, не забыть какие-либо из важных функций, определить, в какой мере она будет реализовывать механизмы защиты, заявленные в выбранных стандартах, а также определить уровни собственных возможностей и компетенций по каждой функции.

Проецирование также поможет в случае, когда перед руководством по ИБ ставится задача соответствия каким-либо дополнительным требованиям по безопасности (производителей, партнеров и т.п.), так как последние, как правило, формируются на основании тех же стандартов.

Применение модели зрелости к процессам ИБУР

Два ключевых вопроса, которые руководство компании будет регулярно задавать руководителю отдела ИБ относительно стратегии ИБУР: "Каких результатов мы достигли?" и "Как мы узнаем, что достигли действительно приемлемого уровня защищенности?". Одним из наиболее эффективных и наглядных способов ответа на эти вопросы является использование модели зрелости процессов (см. табл. 1).

Модель зрелости дает простую и эффективную шкалу, которую может использовать каждая организация для того, чтобы быстро понять, какие из существующих функций ИБ реализованы на приемлемом уровне, а какие требуют усовершенствования с целью повышения их эффективности, снижения эксплуатационных расходов и извлечения большей выгоды для организации. После того как оценка функций ИБУР, основанная на методологии модели зрелости, будет завершена, организация сможет наглядно сравнить уровень развития своих процессов ИБ с другими организациями, например c ближайшими конкурентами. Круговая диаграмма (см. рис.) может быть хорошим примером наглядного представления такой информации.

Для сравнения с конкурентами службе безопасности организации потребуется собрать соответствующие исходные данные и провести анализ на основе той же методологии. Такие конкурентные данные могут быть чрезвычайно важны при построении эффективной стратегии ИБУР, так как влияют на подходы к управлению, оценку и согласование бюджета, разработку целей и метрик при реализации стратегии. Эти данные могут быть взяты из различных источников, включая отчеты консалтинговых и аналитических компаний, которые активно собирают и анализируют подобную информацию.

Ключевые показатели эффективности (KPI). Метрики

Для оценки эффективности реализуемых в рамках стратегии функций ИБ рекомендуется использовать KPI, или метрики.

При разработке метрик важно вначале определить собственно выгоду для бизнеса, которую будет приносить каждая функция ИБ, а затем определить объективные критерии, которые могут быть использованы для оценки достижения этой выгоды. Следует исключить все неоднозначно трактуемые субъективные метрики и использовать там, где можно, только объективные, которые будут понятны руководству и сотрудникам организации. Как правило, совет директоров и генеральный директор  в  качестве  метрик прекрасно поймут величины в денежном выражении, например прибыли, или влияние на бизнес при реализации той или иной функции.