Вступить в Клуб Войти
Введите логин
Введите пароль
напомнить пароль

Игорь Мялковский, руководитель проектов защиты информации ЗАО «ТРИНИТИ СОЛЮШНС»: Стратегия = система

12.06.2012

Суть стратегии – в умении выбрать то, от чего следует отказаться.
М. Портер

Завершая цикл статей о стратегии, приведу пример разработки и применения cтратегии защиты персональных данных (ПДн). Если бизнес- и ИТ-cтратегии как-то описаны, где-то применяются, то стратегия обеспечения безопасности информации (ОБИ)/ПДн пока остается незаслуженно обойденной. Возможно, в силу законодательной новизны или «незначительности» по сравнению с другими стратегиями, а возможно, и по соображениям закрытости всего того, что касается любой безопасности.

Каждый законопослушный инженер ИТ или ОБИ, начав заниматься защитой ПДн, в той или иной степени сталкивается с необходимостью создать автоматизированную систему защиты персональных данных – СЗПДн. При этом он окунается с головой в море организационно-распорядительных документов, технологических регламентов, оказываясь перед выбором среди большого множества видов средств защиты, да еще «прошедших в установленном порядке процедуру оценки соответствия…» согласно ст. 19.2.2 уважаемого закона 152-ФЗ. И… теряется в этом разнообразии, силясь понять, как и в какой последовательности все это применить, поддерживать и, главное, модернизировать. Он вынужден учесть все законы и подзаконные акты в этой области, а также указания регуляторов, стандарты и т. д. Приходится заставлять людей привычки свои менять – преодолевать сопротивление персонала.

Все эти меры и средства на пятом году действия 152-ФЗ в его девятой редакции пересмотрены и обсуждены много раз. В общем, речь идет о том, что уже надоело, наболело, но очень важно, чтобы оно заработало, и поэтому цель стратегии, как всегда в России, – чтобы проверку пройти малой кровью и забыть, как кошмарный сон. К тому же надо учесть, чтобы все это, однажды примененное, как-то соответствовало потребностям в течение довольно долгого времени и как-то совершенствовалось.

Такая вот задачка… Тот, кому «повезло» заниматься этим, обязан, как всякий «россиянин», разбираться во всем. Или не спешить? Согласно товарищу Саахову: «Не-е-т, торопиться не надо. Пусть товарищ (Шурик) отдохнет»…

Известный метод выручает

Решили все же делать. Тогда пробуем использовать системно-процессный подход. Воспользуемся известным методом – системой сбалансированных показателей. Выяснилось, ССП-стратегию защиты ПДн никто не публиковал. Удалось найти редкую ссылку компании Leta IT для стратегии ОБИ: http://www.leta.ru. И это странно, поскольку метод ССП  эффективный и напрашивается сам собой.

CСП применяют в бизнесе для управления стратегией. ССП позволяет трансформировать стратегические цели в набор взаимосвязанных показателей безопасности текущего и будущего состояния СЗПДн. ССП позволяет в динамике управлять степенью достижения стратегических целей, оценивая оперативные показатели. ССП – стратегия защиты ПДн в классическом варианте – должна «содержать цели, критерии, показатели, принципы и процедуры» , необходимые для построения надежной (устойчивой к внутренним сбоям) и живучей (к внешним воздей¬ствиям) СЗПДн.

Стратегию защиты ПДн можно разработать без бизнес-стратегии потому, что на исполнение закона 152-ФЗ деньги выделять придется. Можно столкнуться с отказом руководства оплачивать разработку такой стратегии, потому что бизнес-стратегия уже есть. И поскольку раньше, по моим сведениям, метод ССП к борьбе за правое дело защиты ПДн никто открыто не применял, данная статья – предложение воспользоваться готовым решением. Придется только в каждом проекте упрощать ССП-стратегию, учитывая особенности своей: сократить «исходник» до приемлемого (2..3 года) и адаптировав с учетом своего бюджета. То есть минимум до следующей, десятой редакции уважаемого закона. За это время наши информационные системы – ИСПДн‘ы – вряд ли сильно поменяются. При упрощении ССП есть смысл постараться делать это красиво, дополнить метод ССП красотой стратегических решений, добиваясь баланса – целесообразности элементов и связей ССП. Красота в целесообразности.

Есть магическая сила в победно-стратегической красоте карты ССП. Если верить Федору Достоевскому, что «красота спасет мир», то красивая ССП-стратегия дает уверенность в такой победе. Вертикальная сбалансированность ССП – это причинно-следственные связи между целями и показателями перспектив. Для горизонтального баланса надо обеспечить прозрачно-понятные связи между опережающими (раннего предупреждения) и результирующими показателями. Опережающие показатели работают при мониторинге. Результирующие– при подведении итогов. Любители математики могут вводить сложные показатели, например регрессионные уравнения или что-то более экзотическое. Не забыть: финансовые цели – всегда посмертные и достигаются нефинансовыми показателями, а сама стратегия – не только правила игры, но путь с правилами его прохождения под управлением стратега. Успешная стратегия с использованием метода ССП начинается с признания того факта, что стратегия – это не просто система показателей, а процесс управления изменениями. Победа гарантирована.

А что и как защищать?

Истинно говорю вам: изо всех имеющихся сил и средств. «Он (Валико Мимино) мне сказал: “Такую неприязнь испытываю к потерпевшему, что кушать не могу”». Защищаем законные права людей, а не ПДн абстрактных субъектов. Субъектов много. Они разные. Когда они жалуются и Роскомнадзор лениво приходит с проверкой, абстрактные субъекты сразу становятся конкретным олицетворением людей. На стратегическом уровне они остаются по-прежнему человеческим фактором. В России человеческий фактор превращается в конкретного человека, с его печалями, чаяниями и заботами, только на время «верхней» проверки. После проверки человек возвращается в свое прежнее состояние «человеческого фактора», единицы абстрактного народа и периодически – «электората». Завидую тем, кто сходу может перечислить народные чаяния.

Из миссии формулируем цели и требования в перспективах

Миссия: мы занимаемся этим для того, чтобы оперативно (от «мгновенно» до минут и часов), точно (по обстановке) и рационально (с наименьшими затратами) управлять самыми важными рисками безопасности ПДн, рисками выявленных заранее угроз безопасности и возможных действий нарушителей. Стратегических целей две. Во-первых: предотвратить возможные инциденты безопасности ПДн (утечки ПДн, случаи несанкционированного доступа и сбои самой СЗПДн); во-вторых: обеспечить возможность оперативного расследования каждого инцидента. В цикле оперативного управления безопасностью выделим процессы, явно влияющие на достижение стратегических целей. Можем задать также и частные требования к подсистемам СЗПДн. Определим показатели, от которых зависит выполнение процессов / требований и, как результат, достижение целей. Действуем по правилам – критериям выбора лучших значений показателей.

Что такое СЗПДн?

СЗПДн содержит две подсистемы: организационную и техническую Организационная представляет собой совокупность взаимоувязанных целями защиты планово-предупредительных мероприятий, систематически проводимых на объекте службами безопасности, ИТ- или информационно-технологического сопровождения, а также организационно-распорядительных документов, внедренных в делопроизводство компании. Здесь речь идет о бизнес-процессах обработки ПДн. Пожалуй, сюда можно условно добавить и бумаготворческую обработку ПДн без средств автоматизации. Формально в СЗПДн она не входит. Но ее можно не забыть приложением к описаниям бизнес-процесов . Техническая подсистема – совокупность взаимоувязанных целями защиты ПДн технических и программных средств и своих подсистем (условно разделенных, конечно (см.табл.1)). Десятая, последняя – самая любимая. Без нее нет смысла этим заниматься.

Подсистемы СЗПДн

 

Управления доступом

При желании – криптографической защиты

Антивирусной защиты 

Межсетевого взаимодействия 

Обеспечения целостности информации 

Защиты от инсайдеров

Оперативного обнаружения инцидентов

Непрерывного улучшения качества защиты ПДн по ИСО9004

Оперативного учета и анализа
безопасности ПДн

Регистрации и учета

 

 
Что делать (не по Чернышевскому)?
  1. Выбрать наиболее важные процессы защиты ПДн или требования к подсистемам, их показатели, определиться с критериями – правилами оценки.
  2. Выстроить самые важные причинно-следственные связи между процессами и требованиями. Красоту ССП навести (сбалансировать): ограничиться целесообразными связями по вертикали и горизонтали. Оценить «силу» связей. Примерно. Можем экспертов позвать или весовых коэффициентов накрутить.
  3. Разработать план: выбрать показатели процессов, которые (указать время) будем контролировать. Наметить возможные меры управления рисками, связанными с «уходом» значений показателей. Меры должны быть эффективными. Как приказ «еще смирнее!» или объявление «бензина нет, вообще нет!».

Всё как в фильме «9-я рота»: «Занять высоту и обеспечить прохождение колонны!» – «И это все?» – «И это все…» Да, еще (лишь для «без потери смысла метода») надо помоделировать: отразить требуемую степень защиты, выявленные уязвимости, проранжировать вероятные действия нарушителей (внешних, внутренних), места установки «прошедших» средств защиты, расписать процедуры и способы применения разных мер.

Чего не будем делать?

  1. Не бросаемся сходу в омут закупок дорогих «прошедших» технических средств: присматриваемся, включаем в бюджет.
  2. Не делаем криптозащиту для информационных систем классов К2, К3, К4.
  3. Не принимаем на работу сомнительных «субъектов ПДн», возможных жалобщиков на «несправедливость» и «всезнаек». Этих – в особую папку «для уничтожения по достижении целей и сроков обработки».
  4. Не испытываем ложной скромности при организации подписей допущенных к обработке ПДн и при получении согласий.
  5. Не занимаемся средствами физического уничтожения носителей ПДн.
  6. Не доводим защиту до абсурда: не стараемся разом защититься на все 100%. Защищаемся на 80%, затратив, по Парето, до 20% усилий, выбрав самые эффективные силы и средства. Помним: затраты на систему защиты ПДн не должны превысить 10% стоимости информационной системы. Для банков, наверное, исключение. Вопрос спорный и компромиссный.
  7. Не копируем решения по безопасности у конкурентов.
  8. Не занимаемся самообманом. Простая, но яркая ложь всегда привлекательнее сложной для понимания истины: «формально разработанная стратегия лишает руководителя возможности правильно управлять». Даже если процесс наладить, дальше сам он не пойдет – реальность всегда норовит отклониться от ожиданий и при подведении итогов способна быть катализатором нервозности. 
  9. Не проверяем недекларированные возможности программ. Потому что дорого и жалко время. Стараемся использовать широко известные, проверенные программы.
  10. Не дружим с уголовниками. Любая крайность – признак непрофессионализма. 
  11. Где возможно, не ограничиваем людей бюрократическими записями вида «категорически запрещено» в инструкциях. Стараемся давать исполнителям ролевые инструкции, максимум правильного выхода из нетиповой ситуации. Стратегически полагаем: на любом месте прежде всего надо оставаться человеком. Противоречия этому пункту рождают унизительные очереди. Тупые исполнители, для которых все, что с краю и рядом, не мое, и их «требовательные» начальники никогда в веках не поймут этого пункта. Приговор окончательный. Наконец, правило регулярного менеджмента: если что-то важное не происходит формально, следует считать, что этого не происходит вовсе. Четкое и заблаговременное обозначение правил формирует должную репутацию власти.

Требования в стратегических перспективах

Перспектива верхнего уровня – результата. Можно в целом, можно требования для каждого процесса: чего хотим достичь?

Цели процессов и требования лучше по SMART: конкретные и простые, измеряемые или оцениваемые, достижимые, соответствующие целям стратегии и реалистичные, со сроками. Наши стратегические противники уверяют: «ССП правилу SMART отвечает не в полной мере, потому что слабо (косвенно) или вовсе не учитывает время».

Перспектива потенциала (ресурсов). Что сможем на базе того, что имеем, или купим. Как все это обеспечить в смысле пресловутого Research @       Devel-opment, обучения, организационного управления кадрами, финансовых вло¬жений, лицензий, преодоления сопротивления любимого персонала и т. д.

Перспектива внутренних целей заказчика. Какие бизнес-процессы следует изменить или создать.

Перспектива учета внешних условий: законов наших и возможных действий регуляторов: Роскомнадзора, ФСБ, ФСТЭК, МВД, ЦБ, прокуратуры. Кому кто больше нравится.

«Деревянная» ССП

Рисуем дерево-веточку ССП. Цели процессов (в кружочках) надо выбирать крупные – не промахнетесь. При урезании-упрощении ССП можно оставить формально цвести на дереве те кружки и связи к сведению, чтобы не забыть. Но для стратегии лучше меньше процессов, но реальных, ключевых. Недостижимая цель и не в реальные сроки – мечта. Стратегическая цель должна быть развернутая, сложносоставная, касаться всех, и, самое главное, практическая, относиться к оперативным оценкам ключевых процессов компании, компромиссная, объединять совокупность требований. При наведении красоты следим за тем, чтобы доля стоимостных показателей не превышала 30–40%. Из классики: финансовые показатели всегда посмертные. Иначе в погоне за снижением стоимостных показателей потеряем из виду стратегические цели. И если нужно сделать быстро, а возможности нет, надо делать заранее. Полученная ССП-стратегия полностью и наглядно отражает все взаимосвязи существенных факторов стратегического успеха. Люди не шутят, когда думают: если что-то не получается, то можно что-то сделать по-другому.

Вот так мы будем пытаться управлять стратегическими рисками будущего состояния СЗПДн. ССП-карта всегда творчески произвольна, но строится со знанием дела. Иногда показатели удобно показывать прямо на карте.

Теперь показатели

Для каждой из перспектив выбираем один-два вида показателей и соответственно критерии их оценки. Критерий – правило оценки показателя (хороший, плохой, для нас, не для нас). Получаем таблицу оперативных показателей, в той или иной степени влияющих на достижение стратегических целей.

В конкретном проекте таблица меньше, но показателей можно изобрести множество. Придумывая показатели, лучше стараться не нагружать людей непроизводительной работой. Для оценки показателей не надо создавать новые процессы, постараться найти точки учета (регистрации) показателей в существующих процессах. Процедуру учета показателей ввести как обычную будничную систему. Иначе ССП не заработает! Не подменять показатели функциями: «повышение безопасности ПДн» — функция, а в заданный срок — уже показатель. Показатели постоянно совершенствуем, удаляем непрактичные, нежизнеспособные. Из классики: «чем чаще встречается показатель в ССП, чем к большему количеству целей он привязан, тем он важнее». В нашей ССП — самые важные, пожалуй, время простоя ИСПДн и количество инцидентов.

А дальше?

Естественно ожидать, что бизнес-процессы обработки ПДн «поплывут». Со временем «фирменный народ» привыкает к новой СЗПДн, как ко всему хорошему, и не будет мыслить себя вне СЗПДн. Важно не потерять энергию первичного импульса организационных изменений. Дальше связываем мероприятия с показателями, разрабатываем план защиты. Оперативно сравниваем план/факт. Еще дальше, как учили: от ценностей (любовь к целесообразности и гармонии), через процессы оперативного управления защитой ПДн (следим за качеством документов, исполнением обязанностей регламентов, за надежностью и живучестью СЗПДн) к требуемым значениям стратегических показателей.

Управлять процессами и оценивать результаты должны разные люди. Контролирует показатель обычно следующий по процессу. Если такого нет –руководитель. Что происходит с оперативным управлением защитой ПДн, если не связывать его с показателями ССП или, наоборот, стратегию оставить на бумаге? Вас ожидает разочарование. Ответ, как говорится, посередине: имитация деятельности и реальная работа – совсем не одно и то же. Все трудности любой работы в России специально заранее придуманы Политбюро ЦК КПСС и одобрены лично товарищем Сталиным. Все известные рабочие места, где мы работаем, заминированы таким способом. Успокаивает одно: хоть какая-то стратегия есть всегда. Если же по наитию – успех не гарантирован.

Почему так сложно?

Первый вопрос, приходящий в голову: «А попроще нельзя?» В сущности ССП-стратегия дает возможность реализовать на практике модный процессный подход, когда в цикле оперативного управления мы сгоряча получаем возможность управлять (влиять на… контролировать… стремиться…) стратегическими достижениями. Такая возможность дорогого стоит. У каждого стратега наверняка получится своя ССП. Задачка натощак директору ИБ или ИТ. Все это можно сделать вручную, однако есть и доступные программные средства, например Aris и «1С-ВИПАнатех-ВДГБ: ABIS.BSC. Сбалансированная система показателей».

Игорь Мялковский

Управляющий по взаимодействию с ВУЗами и отраслевыми учебными центрами

Другие публикации Игорь Мялковский