Читаем Обеспечение информационной безопасности бизнеса полностью

Процессы обработки рисков в качестве результата вырабатывают комплекс мер реагирования на изменившееся распределение рисков ИБ с учетом накопленного знания. Далее процессы оптимизации (вершина «Оптимизация» на рис. 12) интегрируют новые меры реагирования в систему уже имеющихся с учетом ограничений на ресурсы и величины принимаемого риска для целей деятельности. При этом каждый раз рассматривается вся действующая система мер реагирования в контексте «цель; принятый риск; ресурс» и вырабатывается наилучшая в смысле накопленного знания система мер. Далее осуществляется ее экспорт в пространство «А, П, И, С, Р», на чем процесс улучшений завершается, а кольцо Деминга замыкается по полному циклу.

Видно, что приведенная на рис. 12 общая модель обеспечения ИБ организации есть некоторая рациональная композиция процедур, механизмов и методов, рассмотренных выше, почему и нет необходимости подробно ее описывать. Это в известном смысле «идеальная» модель обеспечения ИБ организации. Реальные потребности организации могут ее изменять, усиливая одни компоненты и ослабляя либо исключая другие компоненты. Однако основная проблема практической реализации модели состоит не в этом, а в сложности ее интеграции в сложившийся в организации набор практик менеджмента различными аспектами ее деятельности.

Любая организация в процессе своей деятельности накапливает набор практик, обеспечивающих реализацию тех или иных ее потребностей. В совокупности они составляют сбалансированную естественным образом самой организацией систему менеджментов. Как правило, это уникальная система, отражающая конкретную практику конкретной организации. В том числе, если речь не идет об организации, создаваемой заново, в этой практике есть и уже сложившаяся система обеспечения ИБ, также уникальная. В этой связи успех или неуспех практической реализации рассмотренной модели ИБ в организации будет определяться тем, насколько она «гармонизирована» со сложившейся практикой. Основные, сильно влияющие на проблему гармонизации аспекты следующие:

— модели, реализуемые в рамках общекорпоративного менеджмента;

— модели внутреннего контроля и аудита организации;

— модели кадрового менеджмента;

— модели совершенствования и управления ИТ-системами организации;

— модели, используемые в бизнес-аналитике организации;

— модели общего риск-менеджмента организации;

— внутренняя нормативная база, определяющая роли и организационные политики организации, а также вопросы владения активами организации;

— стратегический и оперативный уровни управления организацией. Приведенный перечень только основных аспектов влияния на обеспечение ИБ в организации показывает сложность проблемы гармонизации. Очевидно, что ее решение существенно упростится, если методологические основы (платформы) близки или вообще совпадают. Это, однако, не так. Например, часть реально применяемых моделей рассматривают формализуемые ими сущности (объекты, процессы, технологии, виды деятельности и т. д.) как самодостаточные и не учитывают при этом фундаментальный аспект эффективности деятельности; не предполагают сопоставление получаемого результата (эффекта) и потребностей в инвестициях. К подобным моделям относится, например, ISO 9000, подвергаемый суровой критике за эту свою особенность.

Общекорпоративный менеджмент во многих организациях методологически основан на реагировании на возможные проблемы, а не на их избежании. Риск-менеджмент не везде хорошо развит, вследствие чего важнейшая функция процесса целенаправленной деятельности по идентификации и анализу причинно-следственных связей между происходящими событиями и понесенными ущербами не реализуется. Преодоление этих и многочисленных других противоречий усилиями только одной безопасности невозможно.

Однако не только эти особенности организации влияют на реализацию модели обеспечения ИБ. Некоторые специфические свойства проблемы обеспечения ИБ, отображаясь на систему менеджментов организации, могут приводить к появлению различных «вырожденных» случаев как в части модели Деминга — Шухарта, так и в части информационно-аналитической и оценочной деятельности в рамках модели обеспечения ИБ организации. Рассмотрим основные из них.

Во-первых, это проблема реализации изменчивости системы обеспечения ИБ организации. Суть проблемы реализации изменчивости заключается в объективной существующей консервативности систем обеспечения ИБ, изменчивость которой осуществляется фактически по «жизненным показаниям». В то же время модель Деминга — Шухарта, являющаяся основой приведенной выше (см. рис. 12) общей модели обеспечения ИБ бизнеса, наиболее полезна в условиях изменчивости. В общем случае чем короче будет цикл выполнения процессов модели Деминга — Шухарта, тем больший эффект будет получен.