Процессный подход в рамках управления ИБ

Информационная безопасность

Чтобы эффективно функционировать, организация должна определять и управлять различными видами деятельности.

Как отмечалось ранее, любое действие, использующее ресурсы и управляемое для преобразования входных данных в выходные, можно считать процессом. Использование процессной системы в организации, выявление и взаимодействие этих процессов, а также управление ими, можно назвать “процессным подходом”. Все это справедливо в отношении обеспечения и управления информационной безопасностью, поскольку любые действия в рамках этих видов деятельности могут рассматриваться как процессы.

К управлению ИБ применим процессный подход, который распространяется на разработку, реализацию, эксплуатацию, мониторинг, анализ, сопровождение и модернизацию СУИБ организации. Поддержание на должном уровне СУИБ требует применения такого же подхода, как и любая другая система управления.

Используемая в ISO/IEC 27001 и ГОСТ Р ИСО/МЭК 27001 для описания процессов СУИБ циклическая модель PDCA предполагает непрерывный цикл мероприятий: «планирование — реализация — проверка — совершенствование».

При таком подходе к управлению ИБ важное значение придается следующему:

  • понимание требований организации ОИБ и необходимость определения политики и целей ОИБ;
  • внедрение и использование обоснованных защитных мер для управления рисками информационной безопасности компании в контексте общих бизнес-рисков организации;
  • мониторинг и анализ эффективности и результативности СУИБ;
  • постоянное совершенствование на основе объективных показателей.

В настоящее время интерес к циклической модели связан прежде всего с проблемами внедрения и совершенствования современных систем управления, в частности СУИБ.

Одна из основных целей внедрения СУИБ — создание таких условий в организации, когда происходит постоянный мониторинг и совершенствование каждого из процессов ОИБ и связанных с ними процессов. Взаимно усиливая друг друга, эти усовершенствования позволяют создать еще более идеальную систему.

Конкретным критерием улучшения для каждого из процессов может быть уменьшение количества несоответствий, выявленных в ходе различных аудитов, таких как внутренние аудиты, мониторинг эффективности процессов и т.д. Появление различий можно рассматривать как возникновение некоторой проблемы, решение которой приводит к совершенствованию процесса (после чего она больше не возникает), а, следовательно, к достижению запланированных результатов, удовлетворению всех заинтересованных сторон и реализации принципа непрерывного совершенствования.

Действия при обнаружении фактов несоответствия

При обнаружении фактов несоответствия необходимо выполнить следующие действия:

  • исправление (устранение несоответствия);
  • анализ несоблюдения;
  • установление первопричины его возникновения;
  • выявление корректирующих действий, направленных на устранение причины несоответствия требованиям;
  • выполнение этих действий;
  • анализ их эффективности и результативности.

Если в ходе проверок удается выявить факты, которые могут привести к несогласованности в будущем, то все вышеперечисленные действия следует проводить, но только сейчас их целью должно стать удаление причин потенциальных несогласованностей.

СУИБ принимает в качестве входных данных требования к ОИБ и ожидания заинтересованных сторон, и в результате ряда необходимых действий и процессов на выходе получается управляемая ИБ, удовлетворяющим этим требованиям и ожиданиям.

На этапе планирования обеспечивается правильная настройка контекста и масштаба СУИБ, проводится оценка рисков ИБ и предлагается соответствующий план обработки этих рисков.

На стадии выполнения реализуются решения, принятые в ходе планирования.

Для обеспечения того, чтобы СУИБ достигала своих целей, необходимы периодические обзоры. На этапах верификации и улучшения они укрепляют, корректируют и совершенствуют уже выявленные и внедренные решения СУИБ. В зависимости от конкретной ситуации, проверки СУИБ осуществляются в разное время и с любой частотой.

В некоторых системах для обеспечения немедленного выполнения и реагирования они должны быть встроены в автоматизированные процессы.

Другие процессы реагирования требуются только в случае инцидентов ИБ, когда были внесены исправления/дополнения в защищаемые активы или произошли изменения в угрозах и уязвимостях.

Процедура непрерывного совершенствования обычно требует изначальных инвестиций в документирование деятельности, формализацию подхода к управлению рисками ИБ, определение методов анализа и распределения ресурсов и т.д.

Эти меры применяются для приведения цикла в действие. Они не должны быть завершены до того, как будут активированы этапы пересмотра СУИБ.