нарушению ее целостности, так как изымаемый компонент создавал дополнительный функционал для других компонентов и это не было учтено.
Вообще, проблема обеспечения целостности системы обеспечения ИБ важна и актуальна сама по себе. Дело в том, что безопасность — единственный вид деятельности в организации, которым в той или иной мере должны заниматься все. Это ее свойство. Одновременно это создает высшему руководству иллюзии о возможности ее полной децентрализации, тем более что частично децентрализации всегда есть, особенно в части поддержки владения активами (ресурсами). Однако чем более децентрализуется система, тем больше утрачивается ответственность за конечный результат и тем больше вероятность образования в системе разрывов, создающих риски. Практика показывает, что наличие единого и сильного (в смысле прав и обязанностей, ответственности) центра управления является жизненно необходимым как с точки зрения достижимости требуемого результата, так и обеспечения эффективности деятельности.
Другой важнейшей для практики особенностью модели обеспечения ИБ организации является то, что фактически она реагирует на возникающую изменчивость внутри и вне организации и автоматически локализуется на выявленной изменчивости. Нет никакой практической необходимости в тотальной реализации всех ее процессов применительно ко всей системе на постоянной основе. Действительно, вновь идентифицированный риск требует детального анализа и оценивания, равно как и иных, предусмотренных моделью процедур. Однако в дальнейшем значимым факторов является уже не сам риск (он уже обработан), а то, что с ним происходит: он растет; остается неизменным; убывает.
В этой связи существенно упрощаются оценочные процедуры — от оценки рисков можно перейти к риск-ориентированным оценкам, рассмотренным подробно в следующих главах. Кроме того, после идентификации новых рисков можно перейти к оценочным технологиям, основывающимся на оценках параметров реально произошедших рисковых событий. Примером таких технологий является оценка по методу VAR (value at risk, первоисточник с описанием метода в [1]), т. е. оценка величины понесенных потерь за некоторый фиксированный интервал времени. Этот метод в силу его простоты и наглядности имеет очень большое распространение.
Широко используются также оценочные системы, основанные на измерениях различных функциональных параметров, прямо или косвенно характеризующих значимые для безопасности состояния объектов и систем. Эти показатели называют ключевыми индикаторами риска (КИР). Превышение порогов по КИР либо возникновение нежелательных трендов инициирует уже более детальный анализ и оценивание причин этих явлений. Одним из КИР может служить, например, количество зафиксированных нарушений персоналом регламентов обработки значимых активов за один день по всей организации.
Таким образом, говоря о практической реализации модели ИБ, организации нужно иметь в виду следующее:
— она локализуется в области возникновения и распространения изменчивости;
— ее процессы реализуются каждый раз с разной степенью детализации в зависимости от возникающей потребности;
— для достижения желаемого результата может использоваться широкий спектр оценок, характеризующих риск;
— заложенная в модели цикличность не является постоянной ни по структуре цикла, ни по времени его реализации, она существенно зависит от реализовавшихся условий запуска и параметров внешних по отношению к модели процессов организации, например того же инвестиционного процесса;
— одномоментно в стадии реализации в зависимости от сложившейся ситуации может быть несколько еще не завершенных циклов, находящихся на разных фазах реагирования на инициировавшие эти циклы проблемы; наиболее значимая из них будет автоматически (в соответствии с оценкой) получать приоритет по использованию общих ресурсов и процедур.
Главный практический результат реализации модели обеспечения ИБ в организации состоит в том, что деятельность безопасности получает качественную объективную основу, становится существенно более прозрачной и предсказуемой для высшего руководства и бизнеса организации как по ее потребностям (инвестициям в безопасность), так и по ожидаемым результатам. Она создает условия для «естественной» интеграции безопасности в систему общекорпоративных менеджментов и бизнес.
2. Существующие модели менеджмента (управления), применимые для обеспечения информационной безопасности бизнеса
Если организация располагает неограниченным ресурсом, то проблемы управления для обеспечения информационной безопасности ее бизнеса не существует. Если это не так и ресурс имеет ограничения, то тогда проблемы управления актуальны.
2.1. Модели непрерывного совершенствования
2.1.1. Модели непрерывного совершенствования и корпоративное управление
Наряду с тезисом, вынесенным в преамбулу раздела, представляется необходимым сформулировать еще ряд тезисов, имеющих прямое и /или косвенное отношение к вопросам управления (даже не только и не столько управления, сколько обеспечения) информационной безопасности организации, как в целях улучшения (совершенствования), так и для целей поддержания (сохранения) безопасности на заданном уровне:
— в теории нет разницы между теорией и практикой, а на практике есть;
— безопасность и сложность несовместимы;
— безопасность всегда имеет тенденцию к ослаблению;
— любое изменение, вносимое в систему (операционную среду организации), в первую очередь ослабляет ее безопасность.
Обсуждая в формате книжного издания такую многогранную проблему, как управление (менеджмент), невозможно не затронуть вопросы теории, в то же время практика всегда дает «настройку» любой теории и в итоге прямо или косвенно выносит ей свой вердикт. Теория — это, как правило, продукт научных исследований и изысканий, в том числе и продукт анализа и синтеза наблюдаемых явлений; ее жизнеспособность должна опять же подтвердить практика (натурный эксперимент, опытная партия и т. п.). Далее будут рассмотрены вопросы теории и практические аспекты задачи менеджмента (управления), применимые для обеспечения информационной безопасности бизнеса.
Информация о наличии организационных структур в практике управления (менеджмента) обнаружена еще на глиняных табличках, датированных III тыс. до н. э. Однако, хотя само управление достаточно старо, идея управления как научной дисциплины, профессии, области исследований относительно нова. В наши дни в сфере управления организационно-техническими системами накоплен богатейший опыт, позволивший в начале ХХ в. определить управление как целостное направлении науки и техники, имеющее свои ветви и течения, приверженцев и оппонентов. Преимущественно началом ХХ в. датируется наибольшее число ветвей науки управления, получивших широкое распространение в наши дни. Одной из первых работ можно отметить «Принцип научного менеджмента» [2], опубликованный в 1911 г. Фредериком Тейлором, традиционно считающийся началом признания управления наукой и самостоятельной областью исследований. Понятия о систематизированном управлении организацией стали
