Проведение аудитов СМЗИ
DESCRIPTION
TRANSCRIPT
1
Современные модели и методы
оценки и проведения аудитов в
интегрированных системах менеджмента
Лившиц Илья Иосифович
Ph.D, кандидат технических наук
Санкт-Петербург
2014 г.
2
Оглавление
Об авторе ...................................................................................................................... 3 Ключевые слова........................................................................................................... 4 Введение ....................................................................................................................... 5 Новые типы угроз бизнесу ......................................................................................... 7 Раздел 1......................................................................................................................... 8 Отраслевая статистика стандартов оценки ........................................................... 8 Статистика сертификации систем менеджмента.................................................. 8 Формирование области сертификации (Scope)................................................... 10 Проблема оценки защищённости систем менеджмента .................................... 13 Риски в процессе внедрения систем менеджмента ............................................ 13 Проблема оценки непрерывности систем менеджмента ................................... 14 Проблема синтеза методов оценки защищённости и непрерывности ............. 18 Известные подходы при оценке защищённости систем менеджмента............ 19 Разработка и применение модели оценки (аудита) ............................................ 20 Требования к моделям оценки (аудита) .............................................................. 20 Практический подход к построению модели оценки (аудита) ......................... 22 Развитие модели оценки (аудита) на базе стандартов ISO................................ 25 Реализация метода оценки (аудита) на базе стандартов ISO ............................ 28 Результаты применения метода оценки (аудита) на базе стандартов ISO....... 31 Заключение ............................................................................................................. 34
Выводы к Разделу 1................................................................................................... 36 Раздел 2....................................................................................................................... 37 Общие требования к внутренним аудитам.......................................................... 37 Историческая справка............................................................................................ 38 Аудиты СМК (ISO 9001) ....................................................................................... 40 Аудиты СМИБ (ISO/IEC 27001)........................................................................... 47 Новая структура стандарта 27001 версии 2013 г................................................ 53 Проведение комбинированных аудитов СМК (ISO 9001) и СУУ (ISO/IEC 20000) ...................................................................................................................... 54 Пример «правильного» цикла PDCA для аудита СУУ (ISO 20000)................. 62 Совместное решение задач аудита СМИБ (ISO 27001) и СМНБ (ISO 22301) 65 Проведение комбинированных аудитов СМК, СМИБ и СУУ.......................... 70 Преимущества проведения комбинированных аудитов (СМК, СУУ, СМИБ) 73 Применение ITIL и CobiT для оценки современных систем менеджмента .... 75 Подходы к решению проблемы учета потерь в ИСМ........................................ 84 Психологические особенности проведения аудитов ......................................... 98 Добавленная стоимость аудитов ........................................................................ 100 Консалтинг или партнерство? ............................................................................ 102
Выводы к Разделу 2................................................................................................. 104 Список литературы.................................................................................................. 106
3
Об авторе
Лившиц Илья Иосифович, PhD, кандидат технических наук
Специализация:
� Разработка Систем менеджмента
качества (СМК), Систем
менеджмента информационной
безопасности (СМИБ), Систем
управления ИТ-услугами (СУУ).
� Выполнение аудитов систем
менеджмента крупнейших
компаний
(машиностроение,
нефтепереработка, транспорт,
связь, системная интеграция,
энергетика и пр.)
Компетенции и сертификаты
� Ведущий аудитор ISO 9001:2008
� Ведущий аудитор ISO/IEС 27001:2005
� Ведущий аудитор ISO/IEС 20000-1:2011
� Ведущий аудитор ISO/IEС 22301:2012
� Ведущий аудитор ISO 50001:2011
Контакты:
� Тел. +7 921 934-48-46
� E-mail [email protected]
� Skype Livshitz_il
4
Ключевые слова
Активы; анализ со стороны руководства; аудит; свидетельства аудита;
несоответствия; цикл PDCA; риски; модели оценки; менеджмент рисков;
информационная безопасность (ИБ); система менеджмента качества (СМК);
система менеджмента информационной безопасности (СМИБ); система
менеджмента непрерывности бизнеса (СМНБ); система управления услугами
(СУУ); интегрированные системы менеджмента (ИСМ); International Standard
Organization (ISO); обеспечение соответствия требованиям (Compliance);
обеспечение непрерывности бизнеса (Business Continuity), критичные бизнес-
процессы, руководство (Governance), управление (Management).
5
Введение
Известно, что системы менеджмента созданы с учетом определенного
предшествующего опыта и, несмотря на «заложенный» цикл PDCA (цикл
Дёминга-Шухарта), в ряде случаев, неспособны к эффективной адаптации
(прежде всего по приемлемому времени реакции на инциденты) при изменении
существующих воздействий (внешних или внутренних угроз). В то же время,
системы менеджмента, созданные с учетом требований постоянного улучшения
– например, СМК [1], СМИБ [3], или СУУ [6], должны реализовывать цикл
постоянного улучшения на периодической основе. Этот принцип постоянного
улучшения наилучшим образом способствует адекватной реакции на изменение
ситуации. В равной мере эти требования реализуются и в ряде «отраслевых»
рекомендаций (например, ITIL v.3, COBIT 5), современные версии которые, как
показала практика, все ближе «интегрируются» с соответствующими
«отраслевыми» стандартами ISO.
При создании современных систем менеджмента, в том числе ИСМ
необходимо решать комплекс вопросов обеспечения безопасности основных
бизнес-процессов организации. Приоритет направления безопасности, особенно
информационной безопасности (ИБ) постоянно возрастает в силу усиления
конкурентной среды, появления новых угроз и значительной сложности
выполнения процедур риск-менеджмента. Для ИСМ весьма актуальна проблема
получения оценки защищенности, что позволяет в краткосрочном и/или
прогнозном аспектах оценить присущие данной организации риски,
спроектировать эффективную СМИБ (СУУ) и внедрить экономически
обоснованные средства обеспечения безопасности.
В данной публикации кратко рассмотрены современные аспекты
проведения аудитов систем менеджмента различного назначения, как
отдельных (например, СМК, СМИБ, СУУ и пр.), так и в составе ИСМ.
6
Рассматриваются кратко особенности новых стандартов ISO (серии 27001,
22301) и, в частности, подходы к оценке СМИБ на соответствие новой версии
ISO/IEC 27001:2013 [4]. Определенное внимание обращено на актуальную
статистику ISO применительно к практике сертификации, при этом необходимо
принять во внимание, что требования обязательной сертификации нет в
стандартах ISO, но, тем не менее, многие организации в инициативном порядке
проходят такую независимую оценку с целью получения национальных и
международных признанных сертификатов соответствия.
Дополнительно предложены некоторые подходы для создания модели
оценки защищенности ИСМ в соответствии с требованиями стандарта ISO/IEC
серии 27001 и 22301. Учитывая относительную новизну данных стандартов в
практическом применении к исследуемой проблеме в ИСМ, предлагаемые
подходы могут быть полезным при планировании СМИБ, оценки
защищенности уже созданных ИСМ, а также, в частности, для решения важных
практических задач – проведения аудитов ИБ в организациях, обеспечение
экономической стабильности, защиты ценных активов, в том числе Goodwill.
7
Новые типы угроз бизнесу
В последнее время наряду с «классическими» угрозами, проявились новые
типы угроз, негативное и одновременно скоротечное воздействие которых
(impact) чрезвычайно опасно для инфраструктуры организаций:
� Угрозы неконтролируемого оборота корпоративной информации.
Согласно результатам исследования Symantec, половина сотрудников,
потерявших свои рабочие места за последние 12 месяцев, продолжает
хранить ценную конфиденциальную информацию со своего прошлого
места работы, а 40% из них планируют пользоваться этой информацией на
своем будущем рабочем месте. Также 62% считают приемлемым перенос
рабочих документов на личные компьютеры (планшеты, смартфоны). При
этом 56% работников не считают преступлением использовать
конфиденциальную информацию конкурента.
� Угрозы коммерческого подкупа должностных лиц. По данным
компании HeadHunter, каждый 4-й опрошенный, признался, что хотя бы
раз в жизни соглашался на «откат» как вид взятки. При этом средняя
сумма откатов составила свыше 200 тысяч руб. Как показал опрос, 15%
респондентов готовы к «откату», если предложат.
� Угрозы техногенных катастроф. По материалам ОАО «Мегафон», после
наводнения в Крымске летом 2012 г., когда часть базовых станций была
выведена из строя, возникла сильная нагрузка на сети. По инициативе
Роскомнадзора операторами «большой тройки» было достигнуто
соглашение о межсетевом роуминге при аварийных ситуациях. При
инциденте с Челябинским метеоритом в 2013 г. были выведены из строя 65
базовых станций GSM (12,9%) и 180 базовых станций UMTS (36,6%). В
результате другие операторы приняли колоссальную нагрузку: в сети
«ВымпелКома» нагрузка была в 20 раз выше, чем в обычный день, а в сети
МТС нагрузка выросла в 8-10 раз.
8
Раздел 1
Отраслевая статистика стандартов оценки
Для целей данной публикации представляется важным оценить не столько
и только общую статистику оценки (сертификации) различных систем
менеджмента, сколько оценить влияние и различных отраслей экономики через
фактор количества применимых стандартов (рекомендаций). По данным отчета
«ISO in figure (for the year 2011 at 31 December)» для сектора электроники, ИТ и
телекоммуникации разработано и пересмотрено значительное количество
стандартов (см. рис. 1). По итогам 2011 г. следует, что доля всех стандартов
этого сектора составляет около 17% (3.186 из 19.023), и занимает чистое третье
место, а по количеству новых стандартов доля рассматриваемого сектора
составляет свыше 22 % (268 из 1.208) и занимает чистое второе место, уступая
только общеинженерным стандартам.
Рис.1 Статистика разработанных международных стандартов ISO (2011 г.)
Статистика сертификации систем менеджмента
Традиционно высокий рейтинг в мире стандартов ISO/IEC серии 27000
отмечается в ежегодных отчетах ISO, а также подтверждается стабильным
ростом сертификации. На основании отчета «The ISO Survey of Management
System Standard Certifications – 2012», опубликованного в октябре 2013 г.,
следует, что в мире насчитывалось свыше 19.000 сертификатов, выданных
органами по сертификации на соответствие требованиям ISO/IEC 27001:2005.
9
Динамика прироста сертификатов по сравнению с 2011 г. составляет 13% или
более 2.000 сертификатов в год (см. рис.2).
Рис. 2 Динамика сертификации в мире по стандартам ISO
В то же время в Российской Федерации динамика роста сертификации
СМИБ, по данным приложения к открытому отчету «The ISO Survey of
Management System Standard Certifications – 2012» в полной мере отражает
непростые экономические взаимоотношения (см. рис. 3). Показан фрагмент
таблицы с данными по сертификации в Европе, и представляется весьма
интересным сопоставление статистики по количеству сертификатов СМИБ в
Российской Федерации с данными по крупнейшим экономическим лидерам в
Европе – Германии и Франции. В то же время резкий спад количества
сертификатов СМИБ на рубеже 2010 и 2011 гг. показывает, насколько велика
доля тех организаций в Российской Федерации, кто прекратил поддержку своей
официальной сертификации. Следующим фактором, требующим отдельного
анализа, является рост сертификатов в странах бывшего СССР, например,
совокупное количество сертификатов только 2-х стран - Литвы и Латвии на
конец 2012 г. превышает количество сертификатов СМИБ во всей Российской
Федерации.
10
ISO/IEC 27001 - Europe
Year 2006 2007 2008 2009 2010 2011 2012
Country 1064 1432 2172 3563 4800 5289 6384
Austria 16 23 32 37 54 59 28
Belarus 1 1 1 1
Czech Republic 27 77 88 264 529 301 264
France 5 9 14 15 31 46 71
Germany 95 135 239 253 357 424 488
Italy 175 148 233 297 374 425 495
Latvia 1 2 6 9 9
Lithuania 2 3 7 11 14 19
Russian
Federation 5 9 17 53 72 31 27
Рис. 3 Динамика сертификации в Европе по стандарту ISO/IEC 27001:2005
Формирование области сертификации (Scope)
Для планирования и проведения аудитов необходимо, прежде всего,
оценить корректность определения (выбора) области сертификации (Scope).
Например, для СМИБ будет полезно принять во внимание несколько ключевых
понятий, которые, в развитие внимания к проблеме обеспечения безопасности
будут также изучены в аспекте создания ИСМ. В стандарте [2] применяются
понятия «Политика ИБ», «Область сертификации (Scope)» и «Заявление о
применимости». Кратко взаимосвязь этих основных понятий может быть
представлена в модели СМИБ следующим образом (см. рис. 4). Необходимо
отметить, что модель, рассматриваемая далее, позволит реализовать системный
подход к аудиту не только СМИБ, но, благодаря применяемому
математическому аппарату Т. Саати МАИ [14], также может быть применена
для аудитов СУУ, СМНБ (ISO 22301) или иных систем менеджмента в составе
ИСМ [15].
11
Взаимосвязь Scope, «контролей» и рисков в СМИБ
Анализ элементов
СМИБ
Риски понятны бизнесу
и приняты?
Постановка задачи
создания СМИБ
Активы
НПА
Риски
«Контроли»
ЛПР
Требования бизнеса
Выбор «контролей»
Заявление о Применимости
Политика ИБ
Scope
Рис. 4. Взаимосвязь Scope, мер (средств) обеспечения ИБ и рисков в СМИБ
В основе любого процесса в системах менеджмента лежит решение лица
принимающего решения (ЛПР) и в равной мере необходимо учесть применимое
законодательство (федеральное, международное, отраслевые нормы и
требования «регуляторов»). Роль выполнения НПА (нормативно-правовых
актов), оценка «соответствия» (Compliance), достаточно актуальная, в
стандарте [4] этому посвящен отдельный раздел А.18 (в новой версии 2013 г.).
На следующем этапе формируются требования бизнеса к ИБ, т.е. официально
утверждается Scope. Далее формируется постановка цели по созданию СМИБ,
т.е. «на вход» принимаются определенные ЛПР активы, необходимые бизнесу
для достижения своих целей и «на выходе» официально утверждается
«Политика ИБ».
12
Дополнение: корректность определения (выбора) области сертификации
(Scope) напрямую зависит от следующих факторов:
• В любой организации используются активы, т.е. экономические сущности,
которые вовлечены в процесс создании продукции (СМК) и/или услуг
(СУУ) и служат для получения дохода, следовательно, должны быть
защищены;
• Любые активы имеют уязвимости, следовательно, существуют угрозы и
риски утраты целостности, доступности и /или конфиденциальности
данных активов организации (СМИБ);
• На практике ценные активы организации не всегда должным образом
определены, категорированы, оценены и защищены; менее вероятно, что
реализована система ИБ, и еще менее вероятно, что система ИБ
сертифицирована или оценена каким-либо достоверным и объективным
способом (минимально – в рамках внутренних аудитов ИБ);
• Одна из ключевых проблем – оценка защищённости активов организации,
которая дает высшему руководству сопоставимые, достоверные,
оперативные и корректные данные [3].
Далее выполняется анализ рисков и формируется набор «контролей» - т.е.
технических средств защиты, криптографических средств, организационных
мер, которые позволят достигать бизнес-целей с уровнем риска, понятным и
принятым ЛПР. Это очень важный этап, т.к. при формировании высоких
требований к допустимым рискам совокупная стоимость «контролей» может
существенно превысить ранее запланированный бюджет, следовательно,
необходим контур обратной связи, который позволит «выровнять» позиции
требований бизнеса и обеспечивающих процессов СМИБ. На «выходе»
публикуется «Заявление о применимости» (Statement of Applicability), как
декларация определения бизнес-целей, выделения необходимых активов,
оценки рисков, применительно к данным активам и, соответственно, выбор и
применение необходимых «контролей».
13
Проблема оценки защищённости систем менеджмента
Применительно к проблеме оценки защищённости СМИБ (как отдельной
системы менеджмента, так и в составе ИСМ) очевидно, что основное внимание
должно уделяться анализу выбора вариантов для соответствия требованиям [4],
[6], [12]. Стандарт предназначен для обеспечения адекватного выбора
эффективных средств обеспечения ИБ, в строгом соответствии с принятой в
организации политикой ИБ, практикой менеджмента рисков и другими
необходимыми процедурами. Внедрение СМИБ выполняется как проект и, в
общем случае, выполняется в несколько этапов.
Необходимо отметить, что термин «оценка защищённости» не
предполагает автоматического прохождения какой-либо внешней оценки с
целью «гарантированного» получения официального сертификата (например,
на соответствие СМИБ требованиям ИСО/МЭК или Комплекса СТО БР ИББС
или PCI DSS…). Возможные искушения менеджеров, создавших некоторую
систему ИБ (предположим в строгом соответствии с требованиями
регуляторов) не позволяют требовать немедленного признания и получения
желаемого официального документа.
Прежде всего, такой подход невозможен в силу «выборочного принципа»
оценки, о котором высокопрофессиональный аудитор всегда должен заявить до
начала аудита: «если несоответствия не найдены, это не значит, что их нет
вовсе». Тем более, что постоянные примеры компрометации (взлома) многих
известных компаний и в России и в мире только подтверждают этот принцип –
абсолютно неуязвимых систем не бывает, следовательно, ни одна методика
оценки не способна автоматически гарантировать успешную сертификацию
любой СМИБ по любому набору критериев.
Риски в процессе внедрения систем менеджмента
Внедрение систем менеджмента (например, СУУ или СМИБ) в
соответствии с требованиями стандартов ISO выполняется, как было указано
14
выше, последовательно шаг за шагом, как классический процесс в [1], [6], [12] и
следующие риски должны быть приняты во внимание:
• неправильное выделение критичных бизнес-процессов (или выделение
слишком большого числа таких процессов – что повышает затраты на
СМИБ и снижает экономическую эффективность для организаций);
• некорректное определение активов, подлежащих защите - что
необоснованно повышает экономические затраты и время выполнения
проекта – например существенные различия в логических и физических
границах для области сертификации (Scope) для организаций;
• неосведомленность о ценности информационных активов (лицензий на
ПО, ПДн сотрудников и клиентов – особо критично для отрасти ИТ);
• отсутствие утвержденной высшим руководством программы внедрения
СМИБ (с четкими этапами, целями и сроками, например, применительно к
информации, отнесенной в установленном законом РФ порядке к
коммерческой тайне и пр.);
• формально разработанные процедуры ИБ (например, аудита СУУ - по
абстрактным шаблонам, предоставленным консультантами или ITIL);
• непринятие во внимание требований обеспечения непрерывности бизнеса
(например, в соответствии с требованиями ФЗ «О связи» статья 27 п. 5
и/или требованиями A.18 «Управление непрерывностью бизнеса» [4]).
Проблема оценки непрерывности систем менеджмента
Проблема обеспечения непрерывности бизнеса отражена в ряде
международных стандартов достаточно подробно: в стандарте [4] введен
специальный раздел в Приложении А (см. раздел А.17 «Информационные
аспекты обеспечения непрерывности бизнеса»), в стандарте ISO 22301:2012 [8]
устанавливают требование «Business continuity» (пункт 6.2) и Business continuity
strategy (пункт 8.3), Для объективности нужно отметить, что ряд отраслевых
НПА в Российской Федерации также заимствует некоторые элементы
15
обеспечения непрерывности (в частности ЦБ РФ), с учетом своей специфики
для организаций.
На примере рассмотренных выше угроз покажем один из вариантов
практического решение проблемы обеспечения непрерывности СМИБ (для
некоторого сервиса). В соответствии с требованиями стандартов [4], [6] для
предоставляемых сервисов должны быть документированы требования
(например, утверждаться соглашение об уровне сервисов, SLA). Как правило, в
SLA указывается номинальное требование по доступности сервиса (не
превышающее MTPD) и минимально допустимый уровень предоставления
сервиса в случае инцидента, а так же время восстановления (RTO < MTPD).
Пример спецификации для сервиса показан на рис. 5, где уровень доступности
установлен 95%, минимально допустимый уровень установлен 40%, время
восстановления до минимального уровня (в случае инцидента полного
прерывания сервиса) – 30 мин., и до номинального уровня – 90 мин.
соответственно.
Рис. 5 Спецификация параметров доступности сервиса
На основании спецификации сервиса (SLA) возможно предложить
несколько вариантов решения проблемы обеспечения непрерывности СМИБ.
16
Основной фактор, как указано в [4], [6], [12] – обеспечение «триады
безопасности» (одним из компонентов которой является «доступность») в
точном соответствии с требованиями бизнеса. Следовательно, появляется
экономическая оценка фактора «доступности», что оказывает существенное
влияние на объем и структуру ресурсов, планируемых (выделяемых) для
обеспечения непрерывности (доступности) сервисов. Например, рассмотрим 2
варианта: выделение в течении 30 мин. значительных затрат (Б) и выделение в
течении 60 мин. минимальных затрат (А) с целью достижения номинального
значения (см. рис. 6). При разных вариантах затрат ожидается
соответствующий эффект по скорости восстановления согласованного уровня
сервиса:
• при затратах «А» (расходуемых за 60 мин.) сервис восстанавливается с
согласованные SLA сроки (90 мин.) и нарушения доступности сервисов
формально не происходит (RTO < MTPD, риск «выхода» за MTPD
средний);
• при затратах «Б» (расходуемых за 30 мин.) сервис восстанавливается за 60
мин. (быстрее чем SLA), т.е. параметр доступности существенно
улучшается (RTO < MTPD, риск «выхода» за MTPD низкий).
17
Рис. 6 Варианты восстановления доступности сервиса
Предоставленные примеры помогают понять сложность решения
проблемы обеспечения непрерывности более сложных территориально
распределенных критичных систем, например ресурсов федеральных ведомств
РФ. По данным Cnews (см. Таблицу 1) есть известные проблемы с
обеспечением доступности к сайтам, т.е. необходимо решать комплексные
задачи для ряда критичных ресурсов.
Таблица 1 (Выборка недоступности сервисов ведомств)
ФОИВ
Сумма времен
недоступности всех
сервисов ведомства за
неделю
Доля времени
недоступности сервиса
за период
МВД 197:39:29 32,9%
ФССП 175:16:04 29,2%
ГИБДД 116:45:06 19,5%
ФСС 92:38:31 15,4%
Росалкогольрегулирование 81:01:09 13,5%
Росздравнадзор 54:34:27 9,1%
Росреестр 30:13:42 5,0%
Минкультуры 28:10:38 4,7%
МЧС 21:52:59 3,6%
ФМБА 18:53:43 3,1%
Роспотребнадзор 17:45:25 3,0%
Рособрнадзор 14:15:15 2,4%
Минздрав 11:36:45 1,9%
Ространснадзор 11:21:04 1,9%
ФНС 10:35:31 1,8%
18
Проблема синтеза методов оценки защищённости и непрерывности
Для формирования эффективных методов оценки защищённости и
непрерывности систем менеджмента необходимо применять комплексный
подход, включающий ряд взаимоувязанных мероприятий, одним из которых
является формирование системы критериев и разработка адекватных моделей
(например, на базе СМИБ). Как показал анализ публикаций на
специализированных научно-практических конференциях, на практике
недостаточно только информации о реализуемых в СМИБ функциях и/или
механизмах обеспечения ИБ (в терминах ISO/IEC 27000:2014 «controls»).
Иными словами, провести типизированный анализ защищенности весьма
затруднительно.
При выполнении оценки СМИБ известны проблемы, связанные с
формализацией и анализом требований (критериев) реальных ресурсов и
использованием доступной и релевантной информации, прежде всего
статистики (например, данных по инцидентам ИБ – см. выше пример
«Сбербанка» и государственных информационных ресурсов). Необходимо
опираться только на факты (известно требование стандарта аудита [13] –
«принятие решений, основанных на фактах»), но факты любых инцидентов ИБ
редко становятся публично известны в силу нежелания менеджмента предавать
огласке факты уязвимостей в СМИБ и/или управленческих ошибок. По этим
объективным причинам для оценивания защищённости и непрерывности
применяются разнородные оценки (например, простейшие бальные системы
оценки в Комплексе СТО БР), что вносит неопределенность в итоговые данные
и является причиной сложностей при их анализе, интерпретации и
формировании эффективного управляющего решения.
19
Известные подходы при оценке защищённости систем менеджмента
Для решения проблемы оценки защищённости в современных
организациях применяются различные методики, получившие достаточное
распространение за многолетнюю практику использования в различных
отраслях [15]. Кратко рассмотрим несколько основных методик:
• Международные стандарты ISO по системам менеджмента, содержащие
требования к ИБ (например, СМИБ, СУУ, СМНБ), позволяющие
выполнять как внутренние аудиты (первой стороной), так и внешние
аудиты (второй и третьей стороной);
• Комплекс СТО БР ИББС (разработка ЦБ РФ на базе стандарта ISO 17799),
позволяющий кредитным организациям выполнять самооценку и/или
внешнюю оценку по единой количественной методике:
• Аттестация по руководящим документам ФСТЭК РФ (комплекс
документов, предназначенный для оценки объектов автоматизации по
установленным методикам и классам);
• Оценки по отраслевым стандартам (например, PCI DSS), методикам
(например, CobiТ5), позволяющим получить оценки соответствия
конкретных технологий по специфическим требованиям.
Очевидно, что для целей формирования объективных (и независимо
воспроизводимых) оценок защищённости систем менеджмента (минимально –
СМИБ, целевая задача – ИСМ), могут быть применены только стандарты ISO,
т.к. все прочие методики содержат свои отраслевые требования, которые, в
частном конкретном случае, не могут быть оценены (например, требование
«Банковский платежный технологический процесс» в СТО БР ИББС) в
организации ИТ–провайдере или организации – разработчике ПО.
Важно обратить внимание, что общие подходы к интеграции для
рассмотренных МС могут быть взяты из ISO/IEC 27013:2012 «Information
20
technology – Security techniques – Guidance on the integrated implementation of
ISO/IEC 27001 and ISO/IEC 20000-1».
Разработка и применение модели оценки (аудита)
Как было отмечено выше, создание модели для аудитов (оценки
защищенности) для организаций будет способствовать значительному
упрощению процесса создания и последующей оценки защищённости и
непрерывности бизнес-процессов в различных системах менеджмента
(например, СУУ, СМНБ, СМИБ), благодаря следующим факторам:
• Модели оценки (аудита) – например, на базе СМИБ, позволяют получать
оперативные и достоверные оценки (в том числе – различные оценки
защищённости) в процессе аудитов с использованием независимых
(групповых) экспертных оценок [4], [6], [8];
• Применение независимых экспертных оценок дополнительно дают
преимущества получения объективных, математически согласованных
(на основании моделей по методу анализа иерархий Т. Саати) и
практически обоснованных управленческих решений для ЛПР [14].
• Накапливаемые результаты оценок (аудитов) могут быть использованы
для долгосрочного стратегического анализа, снижения издержек при
проведении последующих аудитов, а также для поддержки принятия
решений ЛПР по адекватному выбору технических и/или
организационных мер [1], [4], [6] , [12].
Требования к моделям оценки (аудита)
К моделям оценки (аудита), как показывает практика автора [15],
целесообразно сформировать следующие основные требования:
• Соответствия области сертификации (Scope) – для выбранной системы
менеджмента, как отдельно: (СМИБ, СУУ и пр.) так и в составе ИСМ.
Должны быть приняты во внимание размещение инфраструктуры всей
организации, физические и логические границы, требования к персоналу,
21
применяемые технологии (например, для системы управления услугами
(СУУ), требуется принять во внимание технологии, используемые при
предоставлении услуг потребителям, в частности Service Desk).
• Соответствия требованиям к точности. Должны быть предложены модели
оценки (аудита), предоставляющие ЛПР результаты оперативного или
прогнозного моделирования с требуемой точностью. Для этого, например,
в модели СМИБ могут быть учтены определенные меры из Приложения А
(в новой версии ISO/IEC 27001:2013 всего 114 средств (мер) ИБ,
сгруппированных по 14 разделам);
• Соответствия детализации модели. Известно, что модели применяются для
понимания структуры и поведения объекта, но без полномасштабного его
воссоздания. Таким образом, модель оценки (аудита) должна позволять
оценивать СМИБ (например) организации с достаточной детализацией
(например, по структуре «доменов», «групп» и «контролей» безопасности,
тем более, что допускаются исключения из Приложения «А» – при
соответствующем обосновании рисков);
• Соответствия требованиям по адекватности выбора средств (мер) ИБ.
Стандарты в области ИБ [2], [4], [9] – [11], предназначены для обеспечения
выбора адекватных средств (мер) ИБ (security controls), в соответствии с
принятой в организации политикой ИБ, практикой менеджмента рисков
(применительно к выбранным ценным активам, подлежащим защите) и
другими необходимыми процедурами. Проект должен быть реализован для
организации с достаточной детализацией (например, по структуре средств
(мер) ИБ, принимая во внимание, что допускаются исключения из
Приложения «А» стандарта [4] – при соответствующем обосновании
рисков) и необходимых требований к бизнесу, в частности, постоянно
изменяемый ФЗ-152 «О персональных данных» и Постановление
правительства № 1119);
• Соответствия целям интеграции. В случае постановки задачи создания
ИСМ для организации, в составе, как минимум, СМК и СМИБ, очевидно,
22
необходимо принять во внимание корректность учета входных данных
(которые сами по себе уже могут содержать ПДн, требования фильтрации
данных для «встраивания» в СМИБ, правила унификации потоков данных
(например, типовые договора о неразглашении), ограничения допуска
работников к формированию отчетов для анализа со стороны высшего
руководства). Общие подходы к интеграции могут быть взяты из МС
ISO/IEC 27013:2012 «Information technology – Security techniques –
Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC
20000-1».
• Соответствие специфическим требованиям бизнеса. Необходимо принять
во внимание, что реализация конкретных требований стандарта [4],
предъявляемых к ИТ инфраструктуре организации (как части бизнес-
процессов). Как следствие, существует уникальный состав активов,
которые имеют специфические уязвимости, угрозы, а следовательно –
«отраслевые» специфические риски, которые, в свою очередь, требуют
применения определенных средств (мер) ИБ. В этой связи уместно
упомянуть стандарты [6], [9] – [11], которые определяют дополнительные
по отношению к [4] требования по ИБ к сетевой безопасности. Эти
дополнительные требования должны быть учтены при проектировании
СМИБ, СУУ и/или ИСМ.
Практический подход к построению модели оценки (аудита)
Проект создания модели оценки (аудита) рекомендуется начинать с
комплексного всеобъемлющего GAP-анализа организации, который включает в
себя основные вехи:
• Проверка НПА, регламентирующих деятельность организации касательно
процессов выбранной системы менеджмента (например, СМК или СМИБ);
• Проверка деятельности подразделений организации, включенных в Scope
выбранной системы менеджмента, на соответствие требованиям
применимых НПА;
23
• Создание и апробация модели оценки (аудита) для объективной оценки
уровня зрелости действующих процессов организации (например, ISO
15504 или Cobit5 для подтверждения IT Governance).
Отдельно необходимо отметить экспертизу SLA (соглашений об уровне
предоставляемых услуг), который является одним из базовых понятий СУУ [6],
[7] и [8], а также применяется в СМИБ [4]. Как показывает практика, ошибки в
заключении SLA, неправильно отнесение активов, непродуманные схемы
восстановления деятельности (в т.ч. схемы эскалации инцидентов и критичных
инцидентов) могут быть источниками серьезных системных рисков, которые
могут оказать серьезное негативное влияние на выбранную систему
менеджмента. Конкретные детали выявленных ошибок реальных SLA
оставлены за рамками данной публикации по причине конфиденциальности, но
общую схему можно представить следующим образом (см. рис. 7).
Рис. 7 Пример применения модели оценки (аудита) для анализа SLA
24
В качестве примерной модели оценки (аудита) на рис. 7 показан пример
определения ответственности за некоторый актив, который принадлежит
компании-поставщику услуг «А». Известно, что и системное и прикладное ПО
лицензировано компанией «А», физическое «железо» и здание, в котором
расположен актив, также находятся в собственности компании «А». С другой
стороны находятся клиенты компании «Б», которые пользуются услугами
компании-поставщика «А», т.е. оплачивают некоторые услуги по
установленными метрикам SLA. Какие нюансы необходимо учесть, принимая
во внимание требования СМИБ (СУУ)?
При аудите SLA стало ясно, что канал, по которому физически
осуществляется доступ клиентов к услуге, не является активом компании «А»,
т.к. юридически принадлежит компании-провайдеру «В». В договоре и SLA
никак не был отражен тот факт, что риски ИБ (прерывания связи, защиты
канала,…) принимаются компанией «А», и, следовательно, менеджмент
компании-поставщика услуг «А» не предполагал, что может и должен (по
требованиям как СМИБ, так и СУУ) налагать симметричные контрактные
обязательства на компанию-провайдера «В». Далее, при более детальном
изучении данной ситуации выяснилось, что компания-провайдер «В» не
владеет полностью всеми активами (линиями связи, коммуникационным
оборудованием и пр.), а пользуется некоторыми публично доступными
сервисами (например, новомодными «облаками») и по этой причине не желает
нести симметричную ответственность за возможные риски ИБ по своим
каналам. В данной ситуации ответственное решение, конечно, лежит «на
стороне» компании-поставщика услуг «А», т.к. СМИБ устанавливает четкие и
однозначно трактуемые требования управления всеми активами. Менеджер
данного актива отвечает перед клиентами компании «Б» до «точки входа» -
которая, в данном примере, была неверно установлена и включала активы, не
находящиеся под должным контролем компании-поставщика «А».
25
Развитие модели оценки (аудита) на базе стандартов ISO
Рассмотрим пример развития модели оценки (аудита) на базе стандартов
ISO/IEC серии 27001. В разделе «Общие положения» стандарта [3] указано, что
этот стандарт подготовлен в качестве модели для разработки, внедрения,
мониторинга и улучшения СМИБ. Также в стандарте [3] определено, что
стандарт представляет наглядную модель для реализации на практике
принципов, которые позволяют осуществить оценку рисков, проектирование и
реализацию СМИБ, а также переоценку. В тоже время на практике возникает
проблема формирования и применения эффективной модели СМИБ, которая
позволяла бы выполнять быструю оптимизацию и получить численные оценки
уровня защищённости основных активов бизнеса.
Поставленная проблема может быть решена при развитии «базовой»
модели СМИБ (созданной в соответствии с требованиями стандарта [3]) за счет
метода анализа иерархий (МАИ), предложенного Т. Саати в 70-х года ХХ века
[14] и дающей возможность применять совместно иерархическую систему
критериев ИБ и средств обеспечения ИБ. Суть метода МАИ состоит в том, что
выбирается множество альтернатив, множество критериев и цель (как вершина
иерархии), далее по каждому элементу иерархии независимыми экспертами
(или группами экспертов) устанавливается относительная степень
предпочтения, которая указывает значимость сопоставляемых элементов
иерархии для эксперта. Численное значение предпочтения каждого элемента
иерархии стандарта определяется их попарным сравнением по шкале
отношений (на практике в большинстве случаев применяется шкала от 1 до 9).
Предложенное развитие «базовой» по отношению к модели СМИБ [3]
позволяет описать процесс создания, внедрения и оптимизации СМИБ таким
образом, что общие свойства элементов (средств обеспечения ИБ)
рассматриваются в качестве элементов следующего (по иерархии) уровня
реальной системы. Далее эти элементы, в свою очередь, могут быть
сгруппированы в соответствии с другим набором свойств, создавая
26
последующие элементы иного более высокого уровня, и далее до тех пор, пока
не будет достигнут единственный элемент – вершина, которая и является целью
решения. Предложенную модель обычно называют иерархией, т. е. системой
уровней, каждый из которых состоит из многих элементов, иначе именуемых
факторами.
Новизна предлагаемой модели СМИБ по сравнению с «базовой» моделью
[3] заключается в совместном применении в качестве всех элементов
иерархической структуры МАИ (цели, критериев, факторов, «стандартов»)
соответствующих сущностей стандарта [3] и расширенных математических
правил самопроверки корректности («оценки однородности») и благодаря
этому предоставляющей возможность построения математической модели,
пригодной для выполнения быстрой оптимизации СМИБ (в том числе и
«базовой» модели) и получения математически корректных численных оценок
уровня защищённости основных активов бизнеса [15].
В предложенной модели СМИБ, построенной на базе
модифицированного МАИ относительно «стандартов» реализованы следующие
уровни иерархии:
� в качестве цели – определена информационная безопасность;
� в качестве критериев верхнего уровня применяется «триада
безопасности» («конфиденциальность», «целостность» и
«доступность»;
� в качестве прочих элементов иерархии применяются средства
обеспечения ИБ, Приложения «А» стандарта [3], всего 11 разделов (А.5 –
А.15).
На рис. 8 показана часть предложенной модели СМИБ, которая отражает
указанные выше спецификации и установленные требования [3] для реальной
организации. Необходимо кратко пояснить, не называя точно конкретную
27
исследуемую организацию, что в состав бизнес-процессов верхнего уровня
данной организации входят 4 основные группы:
1. Бизнес-процессы автоматизации;
2. Бизнес-процессы связи;
3. Бизнес-процессы информационных технологий (ИТ);
4. Бизнес-процессы безопасности;
Рис. 8 Модель СМИБ (часть) с учетом «триады безопасности» и средств
обеспечения ИБ.
Таким образом, рассматриваемая модель СМИБ может с достаточным
основанием применяться для исследования проблемы создания эффективных
СМИБ (отдельно или в составе ИСМ) и получения численных оценок уровня
защищённости основных активов бизнеса.
Целостность
Конфиденциальност
ь
Доступность
A.12 Information systems
acquisition, development and maintenance
A.12.3.1 A.12.3.2
A.9 Physical and
environmental security A.9.2.4
“Equipment maintenance”
A.10 Communications and operations management
A.10.5.1 “Information back-up”
A.14 Business continuity
management A.14.1.3 “Developing and implementing continuity
plans including information security”
Оценка защищенности
ПДн
11E
21E 2
2E 23E
31E 3
2E 33E
34E
28
Предложенное развитие модели СМИБ по сравнению с [3] имеет ряд
преимуществ, свойственных иерархическим структурам для решения
специального класса задач поддержки принятия управленческих решений:
1. Иерархическое представление реальной организации можно использовать
для описания влияния изменений приоритетов на верхних уровнях модели
на приоритеты элементов нижних уровней (например, для СМИБ
изменение состава «триады безопасности», предположим, включение
требования «неотказуемости» (non-repudiation), [3], может влиять на
выбор средств обеспечения ИБ).
2. Иерархии предоставляют более подробную информацию о структуре и
планируемых функциях реальной организации на нижних уровнях и
обеспечивают необходимое рассмотрение критериев и целей на высших
уровнях (например, для целей защиты ПДн в модели СМИБ
обеспечивается детальное рассмотрение ряда критериев).
3. Реально существующие («практические») системы, модели СМИБ которых
построены с использованием иерархического подхода, рассчитываются
намного эффективнее, чем иные типы систем, и допускают быструю
модификацию при необходимости (например, с учетом Постановления
правительства № 1119);
4. Модели, построенные с использованием иерархического подхода,
отличаются устойчивостью и гибкостью: устойчивость – малые изменения
вызывают столь же малый эффект, гибкость – добавление элементов к
хорошо структурированной иерархии не приводит к нарушению
характеристик «базовой» модели.
Реализация метода оценки (аудита) на базе стандартов ISO
На базе рассмотренного выше модели может быть предложен метод
проведения оценки (аудита) в ИСМ с применением модели СМИБ. На рис. 9
показан пример реализации метода для любой ИСМ, в состав которой входит
СМИБ.
29
Отличительными свойствами предложенного развития модели СМИБ для
ИСМ являются наличие 2-х последовательных контуров управления –
«Синтез» и «Оценка», охваченных обратной связью в функции обеспечения
непрерывной оценки пригодности и улучшения СМИБ (напомним, это
требование стандарта [3]). Первый контур («Синтез») практически
детализирует выполнение требований стандартов, например для ИСМ – PAS:99
[12], и охватывает все основные сущности СМИБ, о которых кратко говорилось
ранее. Важным моментом является блок оптимизации, который реализует
постоянный контроль адекватности модели СМИБ (в соответствии с
классической моделью PDCA) и соответствия внешним нормативным
требованиям.
Рис. 9 Метод применения модели СМИБ для ИСМ
На «выходе» первого контура предложенного развития модели СМИБ
формируются документированные свидетельства СМИБ, среди которых
обязательные: «Политика ИБ», «Заявление о Применимости»,
30
документированные процедуры, а также документы по менеджменту рисков:
точная идентификация активов (реестр), выбор ценных активов, подлежащих
защите, выбор методики оценки рисков, формирование плана обработки
рисков, подготовка отчетов по оценки рисков (в том числе остаточных рисков).
Во втором контуре («Оценка») выполняется оценка ИСМ с применением
метрик предложенной модели СМИБ. Этот процесс можно формализовать,
приняв за входные данные измеряемые численные показатели (метрики ИБ). В
качестве примера нормативных документов, которые содержат метрики ИБ,
можно рекомендовать стандарт ISO/IEC 27004, COBIT5, ITIL v.3.1 и пр. На
«выходе» второго контура формируются оценки уровня защищённости
основных активов бизнеса, например статические (дающие быстрый
«аналитический срез» по статусу «как есть») или динамические (дающие
прогнозные значения).
Рассмотрим более подробно выбор методов оценки в предложенной
модели СМИБ. Выбор конкретного метода оценки в предложенной модели
СМИБ подразумевает возможность применения двух основных методов
оценки:
1. Статический метод оценки – характеризуется формированием оценок
для высшего руководства на основании расчета «статических данных»,
т.е. матрицы екторов приоритетов альтернатив МАИ содержат числа
(скаляры) экспертных оценок [14];
2. Динамический метод оценки - характеризуется формированием
прогнозов для указанного высшим руководством временного интервала,
при этом матрица векторов приоритетов альтернатив МАИ оперирует не
числами, а функциями (как правило, нелинейными) [14].
Применение конкретного метода оценки в представленной модели СМИБ
может быть по распоряжению высшего руководства выполнено и как
«конструирование альтернатив», т.е. использование одного из важнейших
преимущества модифицированного МАИ относительно «стандартов» –
31
предоставление оценок и выбора наилучшей альтернативы в определенном
заданном временном интервале прогнозирования [15].
В том случае, если высшее руководство организации получает оценки по
предложенной модели СМИБ, которые его не удовлетворяют как владельца
бизнес-процессов, выполняется проведение итерационного процесса
оптимизации посредством контуров обратной связи. Эта возможность
«заложена» и в базовой модели СМИБ [3], но в предложенной модели
дополнительно реализуется в первом и/или втором контуре представленной
модели СМИБ, например, посредством оперативного изменения матриц
приоритетов, возможно, не затрагивающих ранее подготовленную «базовую»
модель СМИБ.
Преимущества предложенной модели СМИБ состоит в том, что высшее
руководство организации может получить несколько сопоставимых оценок
уровня защищённости основных активов бизнеса в оперативном режиме и
оценить риски ИБ в организации (в т.ч. остаточные риски [3], [5]). Эти оценки
могут быть далее обработаны в существующих экономических системах
управления (например, на основе KPI или BSС) и на их основе будут
подготовлены практические предложения по формированию бюджета,
необходимого для адекватного управления определенными рисками СМИБ
применительно к ИСМ.
Результаты применения метода оценки (аудита) на базе стандартов ISO
Для расчета динамической оценки по предложенной модели СМИБ
сформирована матрица предпочтений стандартов (см. Таблицу 2):
Таблица 2. Динамическая матрица предпочтений стандартов
В С СН Н
В 1,000 F1 F2 F3
С 1 / F1 1,000 F4 F5
СН 1 / F2 1 / F4 1,000 F6
Н 1 / F3 1 / F6 1 / F6 1,000
32
В качестве функций в результате теоретических прогнозов,
подтвержденных в дальнейшем практиков аудитов ИБ [15] выбраны
следующие функции (см. Таблицу 3):
Таблица 3. Функции для расчета динамической оценки
Индекс функции Функция
F1 c1*exp (c2*T) + c3
F2 b1*Ln (T + b2) + b3
F3 a1* (T) + a2
F4 d1*T2 + d2*T + d3
F5 a1* (T) + a2
F6 c1*Exp (T) + c2
Результаты расчета динамической оценки модели СМИБ представлены на
рис. 10 (для переменной Т выбран диапазон -1 ≤ T ≥ 2)
Рис. 10. Расчет динамической модели СМИБ
33
В работе [15] представлены краткие результаты применения модели
СМИБ, которые представлены в Таблице 4.
Таблица 4. Результаты расчета моделей СМИБ
Метод оценки
Параметры
модели
Статическая модель Динамическая модель
Глобальная цель Оценка защищенности
ПДн по модели СМИБ
Оценка защищенности
ПДн по модели СМИБ
Альтернативы
� Стандарт ISO/IEC
27001:2005;
� Комплекс СТО БР
ИББС;
� РД ФСТЭК / ФСБ;
� Стандарт PCI DSS
� Стандарт ISO/IEC
27001:2005;
� Комплекс СТО БР
ИББС;
� РД ФСТЭК / ФСБ;
� Стандарт PCI DSS
Критерии
«верхнего» уровня
� Конфиденциальность
� Целостность
� Доступность
� Конфиденциальность
� Целостность
� Доступность
Критерии
«нижнего уровня
� А.6.1.5
� A.7.1.3
� А.9.2.4
� A.10.1.3
� А.6.1.5
� A.7.1.3
� А.9.2.4
� A.10.1.3
W = {0,448; 0,210;
0,202; 0,141}T Результат расчета W = {0,432; 0,217; 0,215;
0,136}T при Т = 0
Выполнено сравнение результатов расчетов по статической и
динамической модели СМИБ – как для определения практической ценности и
34
«качества» предложенной синтезированной модели на базе МАИ относительно
стандартов, так и результативности методики оценки защищённости на базе
предложенных моделей СМИБ (см. Таблицу 5).
Таблица 5. Сравнение результаты расчетов модели СМИБ
Погрешность Модель
Альтернатива
Статическая Динамическая
(при Т = 0) ∆ δ
A1 (ИСО/МЭК) 0,432 0,448 0,016 3,53%
А2 (СТО БР ИББС) 0,217 0,210 0,007 3,45%
А3 (РД ФСЭК/ФСБ) 0,215 0,202 0,014 6,73%
А4 (PCI DSS) 0,136 0,141 0,005 3,54%
Заключение
Предложенная для проведения оценки (аудитов) систем менеджмента
модель СМИБ имеет ряд преимуществ, свойственных иерархическим
структурам для решения управленческих задач, в том числе для целей оценки
(аудитов) защищённости ИСМ:
• Иерархическое представление реальной организации можно использовать
для описания влияния изменений приоритетов на верхних уровнях модели
на приоритеты элементов нижних уровней (например, для СМИБ
изменение состава «триады безопасности», предположим, включение
требования «неотказуемости» (non-repudiation), может влиять на выбор
средств обеспечения ИБ).
• Иерархии предоставляют более подробную информацию о структуре и
планируемых функциях реальной организации на нижних уровнях и
обеспечивают достаточное рассмотрение критериев и целей на высших
уровнях (например, в модели СМИБ обеспечивается детальное
рассмотрение ряда критериев);
35
• Реально существующие («практические») системы, модели которых
построены с использованием иерархического подхода, рассчитываются
намного эффективнее, чем иные типы систем, и допускают быструю
модификацию при необходимости (например, с учетом Постановления
правительства № 1119);
• Модели, построенные с использованием иерархического подхода,
отличаются устойчивостью и гибкостью: устойчивость – малые
изменения вызывают столь же малый эффект и гибкость – добавление
элементов к хорошо структурированной иерархии не приводит к
нарушению характеристик «базовой» модели;
• Ясный метод вывода результатов оценки – входные данные математически
корректны, проходят многоступенчатую оценку, модель имеет точные
матричные оценки, выходные результаты объективны, воспроизводимы и
«трассируемые» до конкретных средств обеспечения ИБ в выбранном
стандарте ISO;.
• Не требуется привлечение внешних дорогостоящих консультантов, что
позволяет существенно экономить бюджет, кроме того, конфиденциальные
данные «не уходят» из информационного периметра организации;
• Позволяет получать оценки и проводить независимое сопоставление с
лучшими рекомендациями по отрасли – бенчмаркинг (например, взяв за
шкалу оценки методику СТО БР ИББС).
36
Выводы к Разделу 1
Применение предложенных методов оценки защищённости систем
менеджмента на базе модели СМИБ должно способствовать повышению
уровня зрелости и результативности реализованных проектов по внедрению как
отдельных систем менеджмента, так и ИСМ:
• Сокращение затрат благодаря оптимизации системы внутренних
аудитов, процессов управление документами (записями),
администрирования средств обеспечения ИБ, проведения периодической
оценки со стороны руководства, корректирующих и предупреждающих
действий;
• Формирование универсального подхода к управлению бизнес-рисками
(Business Impact Analysis, Risk assessment), а также создание
«вертикальной» адекватной модели рисков в конкретной организации;
• Сокращение числа формальных документов (требований) благодаря
единому унифицированному набору четко документированных
процессов;
• Демонстрацию требуемого бизнесом уровня ИБ для обеспечения
конфиденциальности, целостности и доступности информации для всех
заинтересованных сторон (Interested party) конкретной организации;
• Сокращение избыточных функций, отчетов и процессов благодаря
установлению единого корпоративного «пространства» ответственности
и полномочий (матрица RACI, Cobit5).
37
Раздел 2
В данном разделе будут представлены некоторые практические результаты
аудитов различных систем менеджмента (СМК, СМИБ, СУУ), основное
внимание будет уделено вопросам практической оценки (аудитов) СМИБ в
соответствии с требованиями международных стандартов ISO. Дополнительно,
в качестве справочных материалов будут рассмотрены методики COBIT, ITIL
применяемые, наряду со стандартами ISO серии 20000 в области управления
ИТ-услугами (сервисами).
Общие требования к внутренним аудитам
Кратко напомним основные термины стандарта ISO 19011 [6] по аудиту
систем менеджмента:
• Аудит (п. 3.1) – систематический, независимый и документированный
процесс получения свидетельств аудита и их оценивания с целью
установления степени выполнения критериев аудита;
• Критерии аудита (п. 3.2) – совокупность политик, процедур или
требований, используемых в качестве основы для сравнения со
свидетельствами аудита (дополнительно, например, в качестве
критериев аудита может быть SLA);
• Свидетельство аудита (п. 3.3) – записи, изложение фактов и иная
информация, которая связана с критериями аудита и может быть
проверена (например, это могут быть протоколы рассмотрения
формальных претензий);
• Наблюдения (результаты) аудита (п. 3.4) – результат оценки собранных
свидетельств аудита по отношению к критериям аудита (указывают на
соответствие или несоответствие);
• План аудита (3.15) – описание деятельности по проведению аудита и
договоренностей по этому вопросу;
38
• Несоответствие (п. 3.19) – невыполнение требований (например,
стандарта, типовой формы контракта, признанной процедуры
заказчика).
Историческая справка
Известно, что вопросы аудита, в той или иной своеобразной форме,
результативно (и эффективно) решались и ранее. В подтверждении этого факта
рассмотрим два примера – из истории «петровской» России XVIII века и СССР
ХХ века. Оба примера относятся, если можно так определить, к процессу
контроля качества в оборонной промышленности и объективно являются, как
сейчас принято говорить, «хорошей практикой».
Пример 1. Указа Петра I о качестве (января 11 дня 1723 года):
• Цели в области качества – «Повелеваю хозяина Тульской фабрики
Корнилу Белоглазова бить кнутом и сослать на работу в монастыри,
понеже он, подлец, осмелился войску Государства продавать негодные
пищали и фузеи….»
• Политика в области качества – «Новому хозяину ружейной фабрики
Демидову повелеваю построить дьякам и подьячим избы не хуже
хозяйской чтоб были. Буде хуже, пусть Демидов не обижается.
Повелеваю живота лишить..»
• Процесс аудита – «Приказано оружейной канцелярии из Петербурга
переехать в Тулу и денно и нощно блюсти исправность ружей. Буде
сомнение возьмет, самим проверить осмотром и стрельбою. А два
ружья каждый месяц, стрелять, пока не испортятся….»
• Корректирующие и предупреждающие действия – «Буде заминка в
войске приключаться при сражении, по недогляду дьяков и подьячих,
бить оных кнутьями по оголенному месту, Хозяину - 25 кнутов и пени
по червонцу за ружье.…»
39
Пример 2. Закон СССР «Об ответственности за выпуск
недоброкачественной продукции и за несоблюдение обязательных стандартов
промышленными предприятиями» от 10 июля 1940г. В статье 1 Закона
предусматривалось, что «…выпуск недоброкачественной продукции или
некомплектной промышленной продукции и выпуск продукции с нарушениями
обязательных стандартов является противогосударственным преступлением
равносильным вредительству».
Ответственность за эти деяния была сохранена и в тексте УК РСФСР 1960
г. (ст. 152 «Выпуск недоброкачественной, нестандартной или некомплектной
продукции»). Интересно отметить, что до 1993 г. основные положения данной
уголовно-правовой нормы не менялись, т.е. в России в определенный интервал
времени наследовались и сохранялись как жесткие обязательные
законодательные нормы обеспечения качества продукции, так и требования
международных стандартов ISO (на то время – серии 9001, 8402, 9004).
В соответствии с требованиями всех «стандартов требований» [1], [4], [6],
[8], в системах менеджмента должен реализовываться цикл постоянного
улучшения (примечание – после выхода в свет Annex SL это требование в
новых стандартах установлено в п. 10.2) и выполняться анализ со стороны
руководства на периодической основе (соответственно, в новых версиях – это
п. 9.3). Этот принцип постоянного улучшения (известный также как принцип
Дёминга) наилучшим образом способствует адекватной реакции на изменение
экономической ситуации и отражения политик, целей и процедур
применительно к выбранным значимым (существенным для бизнеса) активам
организации.
В тоже время для современной организации важно обеспечить поиск
решения проблемы формирования «единого управленческого поля». Известно,
что многие крупные организации внедряют, с различной степенью успешности,
системы менеджмента (например, СМК или СМИБ), призванные решать
40
формальные (например, соответствие требованиям «регуляторов») или
неформализованные задачи. В данной публикации под термином «единое
управленческое поле» понимается создание ИСМ, в том числе на базе
международных стандартов требований ISO, указанных выше.
Напомним, что в рекомендациях PAS-99 [12] определено, что ИСМ может
считаться система менеджмента, учитывающая в едином «управляющем поле»
(one complete framework) требования более чем 1-го стандарта на системы
менеджмента. Также важно принять во внимание, что PAS-99 как «стартовая
точка» для планирования интеграции определяет идентификацию
«потребностей бизнеса» (business needs). Эта рекомендация представляется
крайне важной с учетом принятия соответствия Annex SL и выпуска новых
стандартов по единой структуре 10 разделов (например, ISO 22301 по
управлению непрерывностью бизнеса или ISO 55001 – по управлению
активами).
Также необходимо отметить, что практика внутренних аудитов (СМК,
СУУ или СМИБ) в ИСМ подразумевает выполнение комбинированных аудитов
в терминах стандарта [13], и, следовательно, несет существенную
экономическую выгоду (аудиты проводятся за одно посещение единой группой
аудиторов, имеющих компетенцию по всем необходимым стандартам в составе
ИСМ). Кроме того, такой подход позволяет более глубоко сконцентрировать
фокус аудита на оценках результативности процессов, а не на отдельных
пунктах выбранных стандартов требований.
Аудиты СМК (ISO 9001)
Рассмотрение аудитов СМК на соответствие требованиям стандартов ISO
серии 9000 [1] удобно рассмотреть на примере практики проведения аудитов
поставщиков, т.е. аудитов 2-й стороной.
Для современного промышленного предприятия трудно переоценить
значение надежных поставщиков, которые смогут обеспечить выпуск
компонентов (узлов продукции) требуемого качества, точно в срок и в
41
необходимом количестве. В данном примере предлагается ознакомиться с
практикой оценки поставщиков, проводимой в течение длительного периода в
соответствии с требованиями стандарта [1]. Рассмотрим, какие же цели ставит
перед собой предприятие, организуя собственную систему аудитов
поставщиков, принимая во внимание, что этот процесс сложный и достаточно
затратный.
Прежде всего, основная цель – до начала установления контрактных
отношений определить, способен ли потенциальный поставщик в
определенный сроки произвести, выполнить четко определенный контроль «на
месте» и доставить свои компоненты (комплектующие) требуемого качества. В
ином случае издержки на ликвидацию последствий неосмотрительно
заключенных контрактов без должного контроля могут кратно превышать
затраты на собственное подразделение контроля качества поставщиков. В
помощь специалисту службы качества – специальный раздел стандарта [1] 7.4.
– «Процесс закупок», в котором установлены правила: «Организация должна
обеспечить, чтобы закупленная продукция соответствовала требованиям,
установленным к закупкам. Тип и степень управления, применяемые по
отношению к поставщику и закупленной продукции, должны зависеть от ее
воздействия на последующие стадии жизненного цикла продукции или готовую
продукцию».
Иными словами, при сборке, предположим, современного электронного
изделия, требования, например, предъявляемые к электронным компонентам
(защитная электростатическая пленка, порядок и схема упаковки, внешняя
прочная тара и пр. ) устанавливаются очень жестко и должны контролироваться
на всех стадиях производства, упаковки и доставки таких компонент от
предприятия-поставщика до сборки на производстве предприятия-заказчика.
Предположим, предприятие смогло найти потенциального поставщика и тот
дистанционно убедил, что обладает исключительно замечательной СМК,
сертифицированной в лучшем органе по сертификации. Поверит ли
42
умудренный опытом эксперт предприятия «бумажке»? Правильно, не поверит и
будет трижды прав… Что необходимо предпринять, чтобы предприятие на
сорвало собственный план выпуска определенной номенклатуры продукции?
Правильно, необходимо организовать эффективный процесс оценки всех
поставщиков. В помощь эксперту будет следующее требование п. 7.4.1
«Процесс закупок» [1]: «Организация должна оценивать и выбирать
поставщиков на основе их способности поставлять продукцию в
соответствии с требованиями организации. Должны быть разработаны
критерии отбора, оценки и повторной оценки».
Итак, указано точное и четкое требование: «критерии отбора, оценки и
повторной оценки». А что это значит на практике? Это означает, не больше и
не меньше формальную процедуру, в которой определен владелец процесса,
имеющий право отклонить кандидата, но и несущий все бремя ответственности
за выбранного поставщика и за его дальнейшее «поведение». Более того, такой
владелец процесса должен быть воспитан в лучших традициях бюрократа, ибо
руководствуется исключительно простым правилом: все требования должны
быть сформулированы и утверждены «до» сообщения поставщику и никаких
срочных устных просьб от своих коллег-производственников или от
потенциальных поставщиков не принимаются.
Обратимся к фактам: на примере показано реальное фото: открытая бочка
с маслом, мусор и окурки рядом с готовой продукцией в картонной таре (рис.
11).
43
рис. 11. Пример контроля производства потенциального поставщика
Предположим, на практике одобрение поставщика прошло точно по
процедуре и заключен контракт на поставку. Но далее на практике возможны
изменения и необходимо обеспечить механизм исследования различных
ситуаций. Например, в одном случае поставщик никак не мог поставить нужное
количество определенных деталей на предприятие. Несовпадение было столь
велико, а взаимоотношения между коммерческими представителями
предприятия и поставщика достигли такой точки кипения, что к поставщику в
срочном порядке была направлена группа специалистов, состоящая из юриста,
инженера и эксперта по качеству.
В результате кропотливого анализа документов, контрактов и писем
выяснилось, что поставщику мог позвонить любой (!) представитель
коммерческого отдела и поставить свою цифру плана поставки (например,
утром просили 2.240 шт., к вечеру 5.500 шт.). Инженеры поставщика резонно
замечали, что оборудование не может вдвое увеличить производительность,
тем более, что эти цифры были заложены в контракт при первоначальной
44
оценке. Рассмотренная ситуация разрешилась в итоге успешно, но в качестве
рекомендации было предложено принять во внимание следующее требование
стандарта ИСО [1] (п. 7.4.2 «Информация по закупкам»):
«Информация по закупкам должна описывать заказанную продукцию,
включая, где это необходимо:
а) требования к официальному одобрению продукции, процедур, процессов
и оборудования;
b) требования к квалификации персонала;
с) требования к системе менеджмента качества.
Организация должна обеспечить достаточность установленных
требований к закупкам до их сообщения поставщику».
Иными словами, для рассмотренного выше примера: включение в контракт
плана выпуска (по сменам, по дням, если необходимо, накопление «стока»
перед праздниками – для непрерывного конвейерного производства и пр.
технические инженерные вопросы) должны быть неотъемлемой частью
договора поставки, или отдельной спецификацией. В идеальном случае, и у
поставщика и на предприятии-заказчике должны сидеть два однотипных
«брата-бюрократа», которые четко следуют установленным договоренностям и
не допускают «неуправляемых» возмущений в системе планирования и
контроля поставщиков. Нелишним представляется рекомендация установить
«единую точку входа» для каждого поставщика, чтобы разрешать любые
производственные вопросы оперативно и результативно. После определения и
согласования технических, коммерческих и юридических требований, вполне
логично, наступает этап собственно оценки поставщика. Наилучшим средством
для этого, как было отмечено выше, является аудит 2-й стороной. Сразу
оговоримся, что «аудит» как процесс имеет свою длительность и, как
следствие, стоимость и эти издержки должны быть также определены заранее и
юридически должным образом оформлены.
45
На какие процессы (помимо, разумеется, неоднократно упомянутого п. 7.4)
следует обратить внимание группе аудиторов при оценке поставщика «на
месте»? В соответствии с [1] рекомендуется такой набор:
1. Требования к идентификации и прослеживаемости готовой продукции
(7.5.3)
2. Требования к документам СМК, например: рабочие инструкции, чертежи,
технологические карты – должны быть согласованы и утверждены (4.2.3)
3. Анализ со стороны руководства должен завершаться конкретными
решениями (5.6)
4. Мониторинг окружающей среды, прежде всего контроль температуры
(влажности) на складе, должен быть результативным (7.6)
5. Управление несоответствующей продукцией, прежде всего решения по
выбраковке, «изолятор брака»,… должно быть результативным и
эффективным (8.3)
Отдельным вопросом является проблема верификации поставляемой
продукции. В соответствии со словарем ISO 9000:2005 (п. 3.8.5) нам известно,
что верификация это «подтверждение посредством предоставление
объективных свидетельств, что установленные требования были выполнены».
В качестве Примечания 2 тот же стандарт отмечает возможность проведения
испытаний и/или анализа документации в необходимом объеме. В зарубежной
практике встречается термин FAI (First Article Inspection), что примерно
соответствует нашей практике «испытания опытного образца». Соответственно,
в рассмотренном аспекте стандарт ИСО 9001:2008 устанавливает требование
(п. 7.4.3 «Верификация закупаемой продукции»):
«Организация должна разработать и осуществлять контроль или другую
деятельность, необходимую для обеспечения соответствия закупленной
продукции установленным требованиям к закупкам. Если организация или ее
потребитель предполагают осуществить верификацию у поставщика, то
46
организация должна установить предполагаемые меры по верификации и
порядок выпуска продукции в информации по закупкам».
Таблица 6. Варианты оценки поставщиков при аудитах 2-й стороной
Вариант Преимущества Недостатки
«Сдвоенный
контроль»: Выходной
контроль поставщика и
100% контроль
представителя
предприятия
Наивысший уровень
контроля качества
компонент Наименьшее
время реакции на
выявленные
несоответствия
Наиболее затратный,
особенно при
удаленности
поставщика
«Сдвоенный
контроль»: Выходной
контроль поставщика и
выборочный контроль
представителя
предприятия
Достаточно высокий
уровень контроля
качества. Достаточно
оперативный цикл
обратной связи
Неполнота выборки
при контроле
(например, только в
дневную смену)
Раздельный контроль
у поставщика и 100%
контроль на
предприятии
Средний уровень
контроля. Средний
уровень затрат.
Риск отбраковки до
100% и остановки
производства при
отсутствии запасов
Раздельный контроль
у поставщика и
выборочный контроль
на предприятии
Наименьший уровень
затрат.
Риск допуска в
производство
несоответствующей
продукции.
Наибольший
финансовый ущерб.
47
В результате у предприятия появляется широкий выбор альтернатив,
каждая из которых сулит определенные преимущества при достаточно точно
определяемых издержках. Общий анализ таких вариантов сведен в таблицу 6.
Нельзя определенно сказать для каких типов производств, видов компонент или
специфики систем менеджмента будет точно подходить тот или иной вариант, в
жизни всегда возможны комбинации и вариации доступных производственных
схем контроля.
В заключение необходимо отметить, что проведение оценки (аудитов 2-й
стороной) поставщиков все больше становится реальной повседневной
практикой, которая призвана уменьшить зависимость от неконтролируемых
рисков (иногда предприятие просто «поглощает» поставщиков и устанавливает
свои процессы – так бывает экономически выгоднее), что в конечном итоге
позволит существенно повысить качество выпускаемой продукции.
Аудиты СМИБ (ISO/IEC 27001)
Рассмотрим несколько типовых ситуаций при проведении аудитов СМИБ.
Для данного специфического стандарта важно, что есть явное требование для
менеджмента реагировать с должной оперативностью, и это в полной мере
должно распространяться на всю СМИБ в организации. На практике
приходится наблюдать (и фиксировать как несоответствия при аудитах 3-й
стороной) следующие ситуации:
1. На крупном машиностроительном предприятии на департамент ИТ
возложена функция контроля трафика. В течение длительного периода
фиксируется пользователь внутренней сети, который в рабочее время
скачивает фильмы (лидер листинга по трафику в течении 2 месяцев).
Департамент ИТ докладывает «по команде» руководству компании, но
никаких действий не предпринимается. В результате «деятельности» этого
пользователя компания оплачивает существенные издержки за перерасход
трафика сверх лимитов.
48
2. В многопрофильном медицинском учреждении на службу обеспечения
качества медицинской деятельности возложены функции инструктажа
персонала по защите персональных данных (ПДн) в соответствии с
требованиями ФЗ-152 «О защите персональных данных». При внутреннем
аудите обнаружено, что часть сотрудников (приемного отделения) не
должным образом заполняла обязательства по неразглашению ПДн. По
выявленным фактам было проинформировано руководство, но в
определенный интервал изменения не произошло. При совместной
проверке «Роскомнадзора» и прокуратуры по жалобе одного из пациентов
о разглашении ПДн было составлено предписание и наложен штраф за
нарушения КоАПП (ст. 13.11).
3. В одной из крупнейших ИТ-компаний России был задан вопрос: «Каким
образом выполняются требования п. А.8.3.3 («Удаление прав доступа»)». С
разрешения Представителя руководства организации был проанализирован
ряд учетных записей сотрудников, прекративших работу за последние 6
мес. Выяснилось, что при увольнении учетные записи не блокировались, а
просто передавались новым сотрудникам. Более того, часть настроек
(«профили» пользователей) никак не корректировались после второй и
даже третьей смены «владельца», например, для роли «бухгалтер» были
открыты права доступа к системам маркетинга (CRM) и финансовой
отчетности. Более всего в этом примере достойно удивления, что для
самих сотрудников ИТ-служб это было неизвестно – такая задача ранее
никогда не ставилась.
4. Проблема выноса имущества и контроля этого процесса известна
достаточно давно. На одном из аудитов с разрешения руководителя СБ
автор предпринял попытку выноса большой коробки за пределы бизнес-
центра. Но не через проходную «в лоб» - так было неинтересно, а через
задние ворота корпоративной парковки. К сожалению для наблюдавшего
издалека руководителя СБ ворота были открыты, и аудитор – солидный
мужчина в приличном костюме с галстуком, не спеша и без помех вынес
49
большую коробку (для целей эксперимента, пустую). На заключительном
совещании аудиторам было приятно видеть, что в течение суток в режим
организации были внесены изменения, в т.ч. добавлены видеокамеры на
дальние ворота.
5. К проблеме утилизации носителей информации необходимо относиться со
всей серьезностью, т.к. все утечки информации, как правило, выполняются
именно через «отчуждаемые» носители. Несколько примеров:
• 2007-м году Kia Motors потерял несколько миллиардов долларов из-за
продажи инсайдерами разработок конкурентам из Китая;
• В 2008-м Bank of New York допустил утечку информации о своих
клиентах, обошедшуюся ему в 866 млн. долларов;
• В 2009-м три подразделения британской группы компаний HSBC были
оштрафованы на сумму более 3 млн. фунтов стерлингов за
неспособность обеспечить адекватную защиту данных своих клиентов.
6. За последние несколько лет на уровне корпоративных сетей созданы
достаточно эффективные меры защиты, но флешки (камуфлированные под
брелки и сувениры) до сих пор остаются головной болью службы
безопасности. Иногда сотрудники СБ, по непонятным до конца причинам,
забывают о финальной фазе жизненного цикла носителей информации и не
предпринимают должных усилий для управления этим риском. Ниже на
рис. 12 представлен реальный пример с аудита – фото корзины в коридоре
ИТ-службы:
50
Рис.12 корзина с CD дистрибутивов ПО, лицензионных соглашений и
ключевых дискет
7. Контроль за активами любой компании – постоянная забота службы
безопасности. Но, к сожалению, не всегда этот контроль выполняется в
полной мере и должным образом. Ниже на рис. 13 представлен реальный
пример с аудита – фото коридора в Административно-Бытовом корпусе
(АБК) организации, видны компьютеры и серверы, доступ к которым
полностью открыт и никаких мер защиты (даже на уровне дверей) не
реализовано:
51
Рис.13 Коридор в АБК организации с компьютерами и серверами без защиты.
8. Отдельное внимание требуется за распечатками (копиями) документов,
потенциально имеющих информацию, составляющую коммерческую и
иную тайну. Особенно этот риск велик при возможности печати удаленно
на сетевом принтере и возможности неконтролируемого доступа 3-х лиц к
таким копиям. Ниже на рис. 14 представлен реальный пример с аудита –
фото коридора в бизнес-центре, в котором крупная ИТ-компания арендует
целый этаж. На фото виден сетевой принтер со стопкой распечаток, и
сотрудник обслуживающей клининговой компании, спокойно
перемещающийся по этажу.
52
Рис.14 Сетевой принтер в коридоре организации с распечатками и посторонний
человек.
9. Важное внимание должно уделяться и безопасности информации на
рабочих местах сотрудников, особенно руководителей и особенно в
помещениях типа «open space». Ниже на рис. 15 представлен реальный
пример с аудита – фото рабочего места руководителя крупной ИТ-
компании. На фото виден незаблокированный «лаптоп» (функция
автоблокировки не была установлена), различные рабочие документы,
контракты и спецификации.
53
Рис.15 Рабочее место руководителя и незаблокированный «лаптоп».
Новая структура стандарта 27001 версии 2013 г.
Как уже отмечалось выше, новая версия стандарта [4] выпуска 2013 г.
полностью соответствует Annex SL, и выпуск всех новых стандартов будет
выполняться далее по единой структуре 10 разделов (например, ISO 22301 по
управлению непрерывностью бизнеса или ISO 55001 – по управлению
активами). Подробный и детальный анализ стандарта [4] выпуска 2013 выходит
за рамки данной публикации, но основные ключевые аспекты, необходимые
для проведения аудитов, будут рассмотрены:
� Введено понятие «контекста организации» (п. 4.1) – разделение на
внутренний и внешний контекст. Далее в стандарте [4] эта фаза цикла
PDCA будет постоянно обрабатываться, что позволяет постоянно
обеспечивать улучшение СМИБ;
� Четкое разделение требования «оценки рисков ИБ» (п. 6.1.2) –
установление владельца, определение критериев оценки, выполнения
оценки и приоритезация рисков;
� Четкое разделение требования «обработки рисков ИБ» (п. 6.1.3) –
выполнение обработки рисков – применительно к области
54
распространения и формирование «Заявления о применимости»,
основанного на перечне мер ИБ из обязательного приложения «А»;
� Выделение в отдельный раздел 7 требований к компетентности,
осведомленности, поддержке и коммуникациям. Особенно характерны
требования 7.4 «Коммуникации», в которых определен классический
интерфейс для СМИ в различных ситуациях;
� Изменение структуры приложения «А» (стало 14 разделов (было 11), стало
114 средств информационной безопасности (было 133), примечательно,
что были исключены достаточно сложно проверяемые требования
(например, системная документация);
� Новый раздел «А.15 Взаимодействие с поставщиками», также серьезно
переработан раздел по обеспечению непрерывности бизнеса – теперь
«А.17 Информационные аспекты обеспечения непрерывности бизнеса» и
раздел законодательства – теперь «А.18 Обеспечение соответствия
законодательству».
Проведение комбинированных аудитов СМК (ISO 9001) и СУУ (ISO/IEC
20000)
Также необходимо отметить, что практика внутренних аудитов (СМК,
СУУ или СМИБ) в ИСМ подразумевает выполнение комбинированных аудитов
в терминах стандарта [13], и следовательно, несет существенную
экономическую выгоду (аудиты проводятся за одно посещение единой группой
аудиторов, имеющих компетенцию по всем необходимым стандартам в составе
ИСМ). Кроме того, такой подход позволяет более глубоко сконцентрировать
фокус аудита на оценках результативности процессов, а не на отдельных
пунктах выбранных стандартов требований.
55
Рис. 16. Пример ИСМ в составе трех систем менеджмента
Соответственно, данная практика может быть полезна при анализе ИСМ в
составе произвольного сочетания стандартов требования, указанных выше, но,
разумеется, не менее двух. Термин «анализ» будет применяться в значении
«анализ со стороны руководства» (management review), который является
функциональной неотъемлемой частью цикла PDCA и включен в любой из
рассматриваемых стандартов [1], [4], [6], [8].
Рис. 17. Пример формирование «единого управленческого поля» в ИСМ
56
Анализ со стороны руководства призван аккумулировать поступающие
входные данные (в т.ч. результаты внутренних аудитов) и формировать
оптимальные управленческие решения, направленные на обеспечение
выполнения целей владельцев компании – снижение рисков, увеличение
доходов и получение прибыли. В этом моменте удобно обратить внимание, что
стандарт ISO 9001 версии 2008 г. находится в стадии пересмотра и,
планируется, что в 2015 г. он будет принят в новой схеме, содержащей
требования и менеджмента рисков и соответствующий Annex SL (см. выше).
Для целей анализа со стороны руководства ИСМ по итогам
комбинированных аудитов формируются оценки по «агрегированным»
несоответствиям, т.е. затрагивающим «вертикальные» бизнес-процесс
компании. Одной из задач действительно работающей (результативной) ИСМ
является предоставление оперативной, достоверной и действительно ценной
для бизнеса информации о реальном состоянии процессов, уровне их зрелости,
выявленных проблемах, а также прогнозах и тенденциях. В терминах цикла
Дёминга, анализ со стороны руководства является важной вехой фазы «Check»,
в новых стандартах требований СМИБ [4] и СМНБ [8], соответствующих
требованиям Annex SL, это требование указано в п. 9.3 («management review»).
Для целей данной публикации важно отметить, что рекомендации PAS-99
[12] в разделе требований содержат нормативную ссылку на стандарт ISO
19011 [13] – в термине «аудит» (п. 3.18), а в разделе 9.2 приводится детализация
требований к аудиту ИСМ – особо важно отметить, что четко указаны
требования соблюдения беспристрастности (impartiality) и внимание к
требованиям оценки рисков в процессах ИСМ.
На современном этапе владельцы и высший менеджмент компании ставят
вполне конкретные цели. Можно говорить в качестве примера «метрик» о
системе KPI (ключевых показателях или индикаторах деятельности),
применительно к основным процессам (финансовым, производственным,
логистическим и пр.). Рассмотрим ряд вопросов, которые высший менеджмент
57
конкретной рассматриваемой организации ставит перед ИСМ и ожидает, что
«система» (т.е. именно система менеджмента, а не отдельные специалисты и
руководители) обеспечит решение этих вопросов – во-первых, результативно, а
во-вторых – эффективно для бизнеса.
1. Общие замечания заказчика к компании:
1. Скорость (чем крупнее бизнес, тем ниже скорость реагирования на
обращения, проведение закупок, реализация корпоративных решений,
…);
2. Несколько точек входа (чем крупнее бизнес, тем это замечание
критичнее – и тем более, в условиях территориальной системы с
невыраженной явно иерархической структурой);
3. Проактивность (чем крупнее бизнес, тем заметнее влияние формальных
процедур на инициативное реагирование на запросы клиентов и
отработка «обратной связи»).
2. Замечание по качеству внешнего управляющего воздействия:
1. Нет достоверной «рыночной» оценки (например, не проводится анализ
конкурентов, бенчмаркинг по сопоставимой продукции/услугам);
2. Персонал компании ждет сигнала к исполнению «сверху» (возможное
внешнее управляющее воздействие демпфируется на уровне
«локального» руководства территориального подразделения);
3. Реактивный подход к управлению производства продукции / сервиса
(внешние воздействия сведены к формальному обмену договорными
документами, механизмы маркетинга реализованы слабо и не нацелены
на повышение удовлетворенности конечного потребителя).
3. Незрелость процессов (неоднородная зрелость процессов в
подразделениях):
1. Каждое подразделение занимается всем («натуральное хозяйство»), и
этот процесс более выражен в территориально распределенных
подразделениях крупных компаний;
58
2. Процессы не унифицированы (например, даже на уровне типовых форм
управленческой отчетности наблюдаются существенные отклонения);
3. Вырожденная «дивизионная структура» (например, фокус на «своего
клиента», особенно в территориально распределенных подразделениях
крупной компании).
4. Развитие продуктовой линейки (в равной мере – для продукции и
услуг)
1. Неопределенная политика продвижения продукции (особенно в
территориально распределенных подразделениях крупной компании);
2. Дефицит ресурсов (эту проблему можно комментировать как желание
создать свои локальные центы компетенции и увязать их с ЦФО – также
региональными);
3. Сложность определения затрат по всей цепочке формирования
добавочной стоимости и, как следствие, сложность определения
прибыли по каждому конкретному продукту.
5. Проблемы корпоративного управления
1. Отрывочная локальная информация (в крупной компании задача
создания эффективной системы внутреннего аудита является в
современных условиях критичной);
2. Территориальная удаленность;
3. Оценка реальной удовлетворенности клиентов (в ряде случаев
рассматривается интегральная оценка удовлетворенности службы
заказчика и конечных пользователей);
4. Управление рисками – требуется тщательная проработка и экспертиза
инвестиционного плана и долгосрочных программ (необходимость
восприятия операционного «минуса»).
Рассмотрим пример оценки результатов внутреннего аудита СМК в
составе ИСМ для конкретной организации. Для целей данной публикации
определено, что аудиты СМК и СУУ (рассмотрены 2 примера) в составе ИСМ
59
компании выполняются одной командой аудиторов за одно посещение
(«комбинированный аудит» в терминах стандарта [13], п. 3.1 Примечание № 3).
Итак, на рис. 18 приведена статистика несоответствий и наблюдений,
выявленных в СМК за полный годовой цикл программы аудитов по ряду
территориально удаленных подразделений. Какие выводы можно сделать на
основании данной статистики?
Рис. 18. Пример оценки результатов внутреннего аудита СМК
Прежде всего, обращает на себя внимание значительное количество
несоответствий, выявленных по разделам 4 и 5. Поскольку конкретных детали
и нюансы реальных аудитов организации не могут быть публично
рассмотрены, обратим внимание на следующие явные взаимосвязи (на рис.18
показаны стрелками, направленными вправо и влево):
1. Наблюдаются факты неявного определения (не определения)
полномочий, что приводит к неверному (некорректному) определению
60
целей в области качества (п. 5.4.1 стандарта [1]) и, далее к неверному
(некорректному) выделению необходимых ресурсов (п. 6 стандарта [1]).
Возвращаясь к постановке задачи для аудита в ИСМ – это соответствует
задачам №№ 3, 4 и 5.
2. Наблюдаются факты «перекосов» в процессах предоставления услуг (в
данном конкретном примере), т.е. неверная постановка целей и
последующее некорректное выделение ресурсов приводят
существенному (в примере – вдвое большему) росту несоответствий по
разделу 7 стандарта [1], т.е. наблюдается четкое отрицательное влияние
на основные бизнес-процессы организации. Возвращаясь к постановке
задачи для аудита в ИСМ – это соответствует задачам №№ 2, 3 и 4.
3. Наблюдается существенный разрыв в процессах обратной связи, т.е.
реализация комплекса корректирующих и предупреждающих действий
(КиПД); раздел 8 стандарта [1], не увязана со значительным
количеством несоответствий по разделу 7 стандарта [1] и, более того, не
оказывает практически никакого влияния на пересмотр и коррекцию
иных процессов СМК. Возвращаясь к постановке задачи для аудита в
ИСМ – это соответствует задачам №№ 1, 2 и 5.
Рассмотрим пример оценки результатов внутреннего аудита СУУ в составе
ИСМ для той же организации. Итак, на рис. 19 приведена статистика
несоответствий и наблюдений, выявленных в СУУ также за полный годовой
цикл аудитов. Какие выводы можно сделать на основании данной статистики?
61
Рис. 19. Пример оценки результатов внутреннего аудита СУУ
1. Наблюдаются факты неявного определения (не определения) ряда
обязательных (для стандарта [6]) документов СУУ, недостаточного
планирования процессов менеджмента рисков, что приводит в
дальнейшем к неверному (некорректному) определению 14 системных
процессов СУУ (п. 5, 6, 7, 8 и 9 стандарта [6]). Одно из принципиальных
и критичных для специфики стандарта [6] требований – управления
рисками, т.е. упущения на этапе планирования СУУ приводят к
появлению критичных несоответствий (major) в последующих
процессах. Возвращаясь к постановке задачи для аудита в ИСМ – это
соответствует задачам №№ 3, 4 и 5.
2. Наблюдаются факты проблем в управлении процессов раздела 6
«Процессы предоставлением услуг» стандарта [6], в том числе
процессов управления ИБ, непрерывностью и доступностью услуг,
управления мощностями и пр. Как видно из статистики на рис. 4, по
62
данному разделу фиксируется наибольшее количество несоответствий и
высокое количество критичных несоответствий (в основном в части
касающейся требований к обязательным документам). Возвращаясь к
постановке задачи для аудита в ИСМ – это соответствует задачам №№ 1,
3, 4 и 5.
3. Наблюдаются существенные проблемы для группы «Процессы
управления» (раздел 9 стандарта [6]), которые отражают всю
совокупность недостатков планирования и реализации процессов СУУ,
выявленных ранее. Именно по данному разделу фиксируется
наибольшее количество критичных несоответствий, высокое количество
несоответствий и наблюдений. Для процессов управления релизами,
изменениями и конфигурациями (все – раздел 9 стандарта [6]) все
выявленные ранее несоответствия (например, CMDB или управление
мощностями) приводят к проблеме обеспечения результативности
процессов. Возвращаясь к постановке задачи для аудита в ИСМ – это
соответствует задачам №№ 1, 2, 3 и 5.
Пример «правильного» цикла PDCA для аудита СУУ (ISO 20000)
Рассмотрим пример «правильного» цикла PDCA, под которым будем
понимать своевременное планирование определенного процесса, выполнение
этого процесса в соответствии с установленными условиями (требованиями),
мониторинг процесса на основании подходящих KPI и выполнение
необходимых КиПД, адекватных выявленным проблемам. В качестве
конкретного примера на рис. 20 показан цикл PDCA применительно к процессу
управления уровнем услуги (п. 6.1 стандарта [6]). Обратим внимание на термин
«производительность» (Performance), который, в т.ч. имеет практическое
значение для оценки производительности сервисов, что важно для
рассматриваемой организации «в целом», так как в составе ИСМ есть СУУ.
63
Рис. 20. Пример «правильного» цикла PDCA (пересмотр SLA)
В тоже время аудиты позволили наблюдать и выявить факты «разрывов» в
цикле постоянного повышения результативности, примеры которых будут
рассмотрены далее. Необходимо обратить внимание, что в каждом из
рассмотренных стандартов требований в составе ИСМ [1], [4], [6]
устанавливающих требования к какой-либо системе менеджмента,
предъявляются требования процессного подхода, реализации цикла PDCA и
постоянного повышения степени результативности – для выбранной
конкретной организации. Соответственно, ниже будут рассмотрены сбои в
цикле постоянного повышения результативности конкретно по каждой фазе
цикла PDCA – конкретно для выбранной организации и применительно к
«целевому» процессу оказания услуг в сфере ИТ.
Фаза «Plan» («Планируй»)
• Не предоставлено объективных
свидетельств достижения установленных
целей в подразделении, т.к.
последовательно 3 ежемесячных
протокола 2013 г. не содержат оценку установленных целей.
Фаза «Do» («Делай»)
64
• Не выполняется требование по
управлению инцидентами ИБ через
процедуру управления инцидентами, в
соответствии с приоритетами
соответствующих рисков ИБ;
Фаза «Check» («Проверяй»)
• Не обеспечивается выполнение
требований по внесению изменений в
договорные документы. Например, по
договору «А» представленные
документы не соответствуют
утвержденным шаблонам компании.
Фаза «Act» («Действуй»)
• В процессе управления проектом
«С» применяемые методы
мониторинга загрузки исполнителей
не позволяют изменять проектные
ресурсы. Выявлены факты
превышения загрузки над расчетной
в мае 2013 («Сотрудник А» – 344 ч.;
«Сотрудник Б» – 265 ч.).
65
Совместное решение задач аудита СМИБ (ISO 27001) и СМНБ (ISO 22301)
Современный бизнес не может существовать без мощных и
многофункциональных информационных систем (ИС), но в тоже время
вынужден планировать значительные ресурсы для решения повседневных
задач, важнейшими из которых являются обеспечение доступности и
безопасности бизнес-процессов организации. В этом процессе высшее
руководство (менеджмент) организации может принять в качестве «базовой
методологии» различные стандарты, содержащие требования в части
касающейся обеспечения безопасности бизнес-процессов в широком
экономическом толковании этого термина.
Известно, что невнимательность к должному уровню обеспечения
доступности ИС может иметь самые серьезные последствия для бизнес-
процессов различных компаний:
• 4-часовой сбой ММВБ (Московской Международной Валютной Биржи)
обсуждался на совете директоров как вопрос "О техническом сбое
23.04.2012 г. и о мерах по обеспечению операционной непрерывности
бизнеса группы ММВБ-РТС". Совет директоров «обратил внимание на
неудовлетворительную работу менеджмента по управлению
операционным риском».
� Сотни авиарейсов 04.09.2012 были задержаны из-за сбоя (с 7:50 до 12:30)
в системе регистрации пассажиров в 19 аэропортах России. Проблема
возникла из-за того, что дочерняя компания ОАО «ВымпелКом» не
смогла обеспечить связь аэропортов с центральными серверами системы
DCS Astra компании «Сирена-Трэвел».
� Гендиректор ОАО «Аэрофлота» Савельев В.Г. сообщил, что за 3,5 года
его работы общее количество ИС, используемых компанией, сократилось
со 180 до 3 – Sabre, Sirax и SAP. Также в ходе внедрения было сокращено
более 40 программистов, которые не прошли тестирование SAP.
� Российский Центр управления полетами 15.11.2012 из-за разрыва кабеля
не мог передавать команды на гражданские спутники и российский
66
сегмент МКС. При обследовании волоконной оптической линии связи
внутри АТС-581 было установлено, что специалистами "Ростелекома"
ошибочно был демонтирован сегмент работающего оптико-волоконного
канала связи.
Для целей получения достоверной оценки (аудита) систем менеджмента
(СМИБ, СУУ или СМНБ) необходимо отметить, что в стандарте [13]
содержатся важные определения, которые будут использоваться далее:
3.1. «Availability» - ability of a service or service component to perform its
required function at an agreed instant or over an agreed period of time.
NOTE Availability is normally expressed as a ratio or percentage of the time
that the service or service component is actually available for use by the customer to
the agreed time that the service should be available.
* «Доступность» - способность сервиса или компонента сервиса
выполнять его требуемую функцию в определенный момент времени или в
течение согласованного периода времени.
ПРИМЕЧАНИЕ Доступность обычно выражается в виде отношения или
процента времени в течение которого сервис или компонент сервиса был
фактически доступен для использования заказчиком к определенному моменту
или периоду времени, на который сервис должен быть доступен.
3.28 «Service continuity» - capability to manage risks and events that could
have serious impact on a service or services in order to continually deliver services
at agreed levels
* «Непрерывность сервиса» - способность управлять рисками и
событиями, которые могут оказать серьезное влияние на сервис или сервисы с
точки зрения постоянного их предоставления на уровнях, соответствующих
договоренностям.
67
Необходимо принять во внимание, что решение задачи обеспечения
доступности и, в более широком плане – безопасности бизнеса не являются
исключительными (выполняемыми только раздельно), но, напротив, могут и
должны решаться совместно. Прежде всего, данный факт удобно показать на
системе формирования целей современной организации. Наиболее известны
стандарты ISO, которые уместно предложить в аспекте обеспечения развития
ИТ (с учетом установленных целей):
• стандарты серии 9001 («Система менеджмента качества»);
• стандарты серии 20000 («Система менеджмента ИТ-сервисов»);
• стандарты серии 27001 («Система менеджмента ИБ»);
• стандарты серии 22301 («Система менеджмента НБ»).
Необходимо отметить, что на операционном уровне ряд стандартов,
рассмотренных выше, приняты в России в качестве ГОСТ Р (например, ГОСТ Р
ИСО 9001-2008 [1] или ГОСТ Р ИСО/МЭК 27001:2006 [3]). Применение любых
иных международных стандартов регламентировано нормами ФЗ-184 «О
техническом регулировании», например: «Международные стандарты и (или)
национальные стандарты могут использоваться полностью или частично в
качестве основы для разработки проектов технических регламентов» (ст. 5 п.
8).
Рассмотрим пример совместного решения задач аудита ИБ и обеспечения
доступности информационных систем (см. рис. 21). Нормативную базу
международных стандартов, необходимую для формирования единого
управляющего поля, предлагается формировать из «специфичных стандартов»
(термин представлен на 36-ой Генеральной ассамблее Международной
организации по стандартизации ISO, Санкт-Петербург, 2013 г.). Для целей
данной публикации минимально необходимы стандарты [1], [4], [6] и [8]
поскольку, как показано выше, современная организация должна учитывать
требования, как для развития современных ИС, так и решать ряд задач по
обеспечении требуемого уровня ИБ.
68
Рис. 21. Совместное решение задачи аудита ИБ и обеспечения доступности ИС
на основании требований международных стандартов
Рассмотрим несколько важных обстоятельств:
1. Требования «целевых» стандартов (СУУ, СМИБ, СМНБ) обязательно
учитывают риск-менеджмент, таким образом, разумное внедрение ISO
серии 31000 позволит создать автоматически определенный
«методический фундамент» для наращивания в составе ИСМ
произвольного количества систем менеджмента.
2. Структура PAS-99 и ISO 22301, изданных в 2012, отличается новым
единым унифицированным подходом, при котором все стандарты в
дальнейшем будут иметь фиксированное количество разделов – 10,
основные отличия будут заключены в разделе 8 «Operation», а часть
разделов будут иметь одинаковое унифицированное наименование,
например, раздел 6 – «Planning» раздел 9 – «Performance Evaluation».
3. Применение стандартов по актуальным проблемам – например по
управлению аутсорсингом (ISO 37500) и/или проектным менеджментом
(ISO 21500) позволит применять стандартизированные механизмы
69
(процедуры) для всех процессов, выполнение которых конкретная
организация считает экономически целесообразным передать на
аутсорсинг.
Выводы
• Практика аудитов ИБ в соответствии с требованиями международных
стандартов (СМК, СУУ, СМИБ и СМНБ) в равной мере затрагивает
вопросы обеспечения доступности и аудита ИБ применительно к бизнес-
процессам организации.
• Унификация стандартов (например, BS PAS-99 и ISO 22301 версии 2012)
позволяет заложить эффективный фундамент для оптимизации методик
обучения по новым и пересмотренным стандартам, что дает уверенность в
более эффективном их внедрении в организациях;
• Проведение аудитов ИБ в рамках единого унифицированного подхода
(например, в ИСМ) позволяет обеспечить сокращение затрат,
оптимизацию процессов управления документами, администрирования
средств обеспечения ИБ, проведения периодической оценки со стороны
руководства, корректирующих действий и менеджмента рисков;
• Практика аудитов ИБ позволяет обеспечить формирование универсального
подхода к управлению бизнес-рисками (Business Impact Analysis, Risk
assessment), а также создание «вертикальной» адекватной модели рисков в
каждой организации;
• Результаты аудитов ИБ обеспечивают демонстрацию требуемого бизнесом
уровня ИБ для обеспечения конфиденциальности, целостности и
доступности информации для всех заинтересованных сторон (Interested
party) организации;
• Единая практика аудитов ИБ гарантирует сокращение избыточных
функций, отчетов и процессов благодаря установлению единого
корпоративного «пространства» ответственности и полномочий (например,
матрица RACI Cobit5).
70
Проведение комбинированных аудитов СМК, СМИБ и СУУ
Представляется полезным упомянуть еще раз PAS-99 [12], нормативный
документ по интеграции систем менеджмента. Для целей данной публикации
необходимо принять во внимание следующие аспекты:
• ориентация на «бизнес-фокус», т.е. целью проекта должна быть не СМИБ
или СУУ как отдельная автономная система, а целостная
(интегрированная) ИСМ, созданная для целей обеспечения бизнес-
требований;
• принятие в практику «чрезвычайного планирования», т.е. формирование
определённых планов действий в аварийных ситуациях, включающих в
себя, например, процедуры резервного копирования и подготовку
резервного оборудования для преодоления чрезвычайных ситуаций, что
особо важно для компаний-поставщиков услуг;
• принятие в практику «риск-ориентированного подхода», прежде всего
применительно к программам проведения внутренних аудитов. Для ИСМ,
которые создаются на базе, например, уже действующих СМК, этот аспект
особенно важен;
Основным вопросом создания ИСМ применительно к приоритету задачи
обеспечения ИБ, является создание адекватной модели СМИБ, которая будет
способствовать успешному процессу интеграции; важно учесть нюансы уже
существующих систем менеджмента, когда СМИБ внедряется после, например,
СМК. В качестве примера предлагается рассмотреть пример проекта (см. рис.
22), когда СМИБ внедряется третьей по счету системой менеджмента в составе
ИСМ, после СМК (требования устанавливаются стандартами [1]) и системы
управления услугами (СУУ), требования устанавливаются стандартами [6] –
[7].
Исходные данные проекта показывают, что при наличии успешно
внедренных систем менеджмента, могут быть выделены общие процессы
(например, внутренние аудиты, управление документаций, управление
71
ресурсами), способствующие быстрой и «бесшовной» интеграции; а еще ряд
процессов могут быть интегрированы в «узком» плане – например, управления
рисками, управления ИБ, управления бесперебойностью и доступностью и
способствовать созданию в целом эффективных ИСМ.
Рис. 22. Пример построение ИСМ в составе СМК, СМИБ и СУУ
Дополнительно необходимо принять во внимание новые теоретические
предложения (содержащиеся, в частности, в COBIT5 и ITIL v.3.1), в которых
вводится разделение процессов систем менеджмента на уровень «Governance»
(Руководство) и «Management» (Управление). Как пример, предлагается
активности «Руководства», «Оценивания», «Мониторинга» относить к
процессам «Governance», а активности «Планирование», «Создание»,
«Эксплуатация» относить к процессам «Management». Применительно к СМИБ
это означает также, что для процессов должны быть заново переопределены
«управляющие воздействия» и предложена новая матрица RACI (Responsible,
Accountable, Consulted, Informed). В частной задача для крупных организаций
такие процессы могут разделяться на ряд уровней, как пример – управляющей
72
компании уровень «Governance», в подчиненных иерархических структурах –
уровень «Management».
Первый контур (синтез ИСМ) практически детализирует выполнение
требований стандартов, в т.ч. PAS99, и охватывает все основные сущности
СМИБ, о которых кратко говорилось ранее. Важным моментом является учет
действующих НПА. Рассмотрим этот аспект несколько более подробно.
Известно, что СМИБ может применяться для различных типов организаций, но
в общем случае можно рекомендовать принять во внимание следующие
федеральные законы (ФЗ):
1. ФЗ-16 «О транспортной безопасности»;
2. ФЗ-63 «Об электронной подписи» (ранее ФЗ-1 «Об ЭЦП»);
3. ФЗ-77 «О ведомственной охране»;
4. ФЗ-98 «О коммерческой тайне»;
5. ФЗ-128 «О лицензировании отдельных видов деятельности»;
6. ФЗ-149 «Об информации, информационных технологиях и о защите
информации»;
7. ФЗ-152 «О персональных данных»;
8. ФЗ-161 «О национальной платежной системе»;
9. ФЗ-184 «О техническом регулировании»;
10. ФЗ-5485-1 «О государственной тайне»;
Необходимо отдельно отметить экспертизу SLA (соглашений об уровне
предоставляемых услуг), который является одним из базовых понятий СУУ
([6], [7]). Как показывает практика, ошибки в заключении SLA, неправильно
отнесение активов, непродуманные схемы взаимодействия (в т.ч. эскалации
инцидентов и обращений) могут быть источниками серьезных системных
рисков, которые могут оказать серьезное негативное влияние на ИСМ в целом.
Конкретные детали данного проекта, выявленные ошибки конкретных
73
договоров и SLA оставлены за рамками данной публикации по причине
конфиденциальности.
В продолжении этой темы можно рекомендовать дополнительно к
обязательным аудитам СМИБ проводить оценку текущей зрелости процессов
(например, по модели PMF – «Process Maturity Framework» или, для
приверженцев исключительно стандартов ISO – ISO/IEC 14504 «Оценка
процессов»). Интересная особенность для ИСМ состоит в том, что СМИБ
представляется одновременно и как «ограничитель» (т.е. фиксированные
перечень «активы – риски – средства (меры) ИБ»), и как «оценка» СМИБ – в
качестве подтверждения и обоснования требований бизнеса.
Преимущества проведения комбинированных аудитов (СМК, СУУ,
СМИБ)
1. Практика внутренних аудитов систем менеджмента (СМК, СУУ или
СМИБ) в составе ИСМ является одним из наиболее простых и в то же
время эффективных инструментов для получения объективной,
оперативной и точной информации для проведения анализа со стороны
высшего руководства:
• Вся информация собирается и анализируется внутри компании, т.е.
обеспечивается необходимая защита конфиденциальных данных (в
том числе и результатов оценки) в процессе аудитов всех
территориально распределенных объектов;
• Периодичность, длительность, объем и «выборка аудита» (audit
sample) определяются руководством компании, с тем, чтобы в
нужный момент обратить внимание именно на ключевые процессы
(например, управление инцидентами) и предпринять КиПД
заблаговременно – по наиболее критичным процессам;
• Внедрение в повседневную практику аудитов в цикле управления
крупными организациями позволяет снизить риски «выпадения» из
74
анализа отдельных процессов (например, традиционно считающихся
надежными), повысить общую информированность высшего
руководства относительно зрелости всех процессов компании,
оцениваемую по единой методике;
• Накапливаемые результаты аудитов в эффективной ИСМ могут быть
использованы для долгосрочного стратегического анализа, снижения
издержек при проведении последующих аудитов (в т.ч. внешних
аудитов второй и третьей стороной), эффективного обучения
персонала (на своих собственных примерах), а также для поддержки
принятия решений по адекватному выбору организационных мер
и/или технических решений для непрерывного развития
организации.
2. Применение ИСМ для целей обеспечение корпоративной культуры
управления позволяет подойти к решению проблемы создания «единого
управленческого поля» и обеспечения, в дальнейшем, возможности
результативно решать поставленные высшим руководством задачи самого
широкого спектра. Известно [14], [15], что создание любой системы
менеджмента сопряжено с рядом сложностей (административного,
операционного, технического и пр.) характера. Вместе с тем, полученный
результат – действующая эффективная ИСМ, позволяет добиться
существенных конкурентных преимуществ:
• Процессный подход помогает обеспечить непрерывное управление
(Business Continuity), что обеспечивает хорошую взаимосвязь как
между отдельными процессами в рамках одной организации, так и
их комбинацией и взаимодействием;
• Предоставление клиентам «добавленной ценности» сервиса
(продукции, услуг) – через удовлетворенность согласованным
уровнем качества (например, через систему согласованных KPI или
оценок CSI);
75
• Знание и применение единых корпоративных правил (стандартов,
положений,…), действующих в организации и, возможно, на
объектах клиентов, позволяет обеспечить выполнение поставленных
целей в области управления (Corporate Governance).
• Важного положительного влияния на «Goodwill», как один из
важнейших нематериальных активов, который позволит значительно
увеличить рыночную стоимость конкретной организации (тем более,
с учетом отраслевой специфики).
Применение ITIL и CobiT для оценки современных систем менеджмента
В настоящее время специалистам в области ИТ и ИБ предлагается
широкий перечень документов, которые содержат требования в части
касающейся обеспечения ИБ в существующих и/или создаваемых заново ИС.
Часть этих документов являются стандартами (некоторые переведены на
русский язык и приняты в Российской Федерации как ГОСТ Р ИСО/МЭК),
часть – являются отраслевыми требованиями «де-факто» (и специалисты
проходят обучение и личную сертификацию), часть – применяются как
универсальный инструмент аудиторами (консультантами) для формирования и
оценки высокоуровневых концепций и стратегий. Также разработан ряд иных
документов, появление которых вызвано маркетинговыми, методическими или
комбинированными причинами. Разобраться в этом доступном наборе
документов непросто, да и задача выбора «единственного и неповторимого»
нормативного документа не ставится – это зачастую не имеет практической
цели для оценки конкретной рассматриваемой ИС.
Нет необходимости говорить о том, насколько важную, целостную и
универсальную для применения систему предлагает серия ISO/IEC 27000. В
равной мере стандарты могут быть применены и аналитиками, и
проектировщиками, и специалистами по ИТ и/или ИБ, на которых возложена
ответственность за конкретный актив, а также аудитами. В тоже время для
76
процесса оценки (аудита) систем менеджмента чрезвычайно важно, чтобы
существовала единая система требований, хорошо понимаемых и
представителями аудиторской команды и представителями проверяемой
организации.
Стандарты ISO/IEC серии 20000, также как и стандарты ISO/IEC серии
27000, были впервые разработаны в Великобритании, «базовый» стандарт
назывался BS 15000 и определял требования, предъявляемые Правительством
Великобритании к запрашиваемым и поставляемым ИТ сервисам со стороны
внешних организаций. В настоящее время разработаны и доступны пять
стандартов ISO/IEC серии 20000, для целей данной публикации будут
рассмотрены два основные – [6] и [7]. В стандарте [6] в разделе 3 представлены
термины и определения, имеющие отношение к предмету управления ИТ-
сервисами. Представляется интересным сопоставить, например, некоторые
термины из [3] и [6], в частности, термин «инцидент ИБ», (поскольку [6]
требует выделять и отдельно управлять инцидентами ИБ), и это может быть
важно при создании интегрированных систем менеджмента (ИСМ). Поскольку
стандарт [6] определяет требования, важно принять во внимание два
существенных аспекта – часть требований предъявляются к системным
процессам, часть – к процессам СУУ. В этом аспекте рассмотрим пример (см.
рис. 23) определения области сертификации для сервис-провайдера
(организация «А»), который является, во-первых, самостоятельным
юридическим лицом, во-вторых, внешней стороной по отношению к
нескольким своим клиентам (организации В1, В2, В3); и в-третьих,
предоставляет для своих собственных сотрудников внутренние сервисы
(например, поддержка рабочих мест).
77
Рис. 23. Пример области сертификации СУУ
CobiT
CobiT (Control Objectives for Information and Related Technology) – это
бизнес-методология руководства и управления ИТ в организациях,
предложенная IT Governance Institute и ISACA. Впервые CobiT был представлен
в 1996 г., и по-прежнему содержит 4 основных «домена» (Plan and Organize,
Acquire and Implement, Deliver and Support, Monitor and Evaluate) и 34
процесса. CobiT содержит в себя «лучшие практики» и часть ссылок на
внешние нормативные документы (в том числе и МС ISO – 38500, 31000, 20000,
15504, 9001 и пр.), а также на известные отраслевые руководства – ITIL,
TOGAF, CMMI, PMBOK и пр. Актуальная версия CobiT 5 вышла в июне 2012 г.
Ряд экспертов полагает, что CobiT помогает «заполнить разрывы» между
бизнесом, рисками, требуемыми мерами контроля и техническими проблемами
для ИТ. Также одним из преимуществ использования CobiT в качестве
методологии руководства и управления ИТ является предоставление понятного
для бизнес руководителей видения ИТ-деятельности и ясное распределение
ответственности, основанное на процессном подходе (матрица RACI). По
78
сравнению с предыдущими версиями CobiT 5 существенно изменился:
процессная модель заменена на модель на базе ISO/IEC 15504, переработана
модель зрелости процессов и устранен ряд противоречий, свойственных
предыдущим версиям, например, повышенная достоверность и повторяемость
оценки процессов.
Считается, что методика CobiT помогает связать ИТ и бизнес посредством
«обеспечения фокуса» на требованиях бизнеса к необходимой информации и
оптимизации организации ИТ ресурсов для поставленной цели. Вместе с тем,
CobiT не является стандартом, и носит больше рекомендательный характер,
основываясь отчасти на признанных МС (например, [1] и [6]), а отчасти – на
свои рекомендации. В каждой новой версии CobiT прослеживается
определенная эволюция – если в первой версии CobiT (1996 г.) появилось
упоминание процессов аудита и контроля, то начиная с Cobit версии 4 (2005 г.)
добавились отдельные «книги» - BMIS (определяет модель для ИБ – Business
Model for Information Security [10]), Val IT Risk IT (определяет ряд требований
по рискам применительно к ИТ). Новая версия CobiT5 состоит из 3-х книг (но
необходимо отметить, что не все они доступны бесплатно, так же как и
стандарты ISO):
1. Бизнес-модель по руководству и управлению ИТ-процессами;
2. Руководство и справочная информация по процессам;
3. Руководство по внедрению.
Применительно к структуре процессов обеспечения ИБ важно отметить,
что в новой версии CobiT5 выполнено разделение (вероятно, достаточно
условное) для процессов управления ИБ:
• управление безопасностью, процесс AP013 (Acquire and Implement)
• управление процессами безопасности, процесс DSS05 (Deliver and
Support)
79
Применительно к исследуемому вопросу по детальной спецификации
процессов ИБ в CobiT5 – оценку практического применения таких моделей
каждый специалист может принять самостоятельно, но необходимо учесть, что
и CobiT и ITIL – не являются стандартами ни де-факто, ни де-юре, это только
рекомендации и свод «лучших практик», более того – они меняются
разнонаправлено. Соответствие требований ИБ, содержащихся CobiT и/или
ITIL уже достаточно слабое, и тем более, не прослеживается соответствие
стандартам ISO/IEC.
Дополнительно кратко рассмотрим документ «CobiT5 for IS». Доступны
несколько подробных комментариев специалистов, в которых отмечается, что в
«CobiT5 for IS» выделяется всего 10 «сервисов ИБ», и каждый из них может
быть отнесен (или «трассирован») к определенным критериям ИБ (например, из
Related Standard). Процесс отнесения требований из «CobiT5 for IS» не
специфицирован, что понятно, т.к. это всего лишь «бизнес-методология», но
возможно выполнить такую «трассировку» самостоятельно. Общие замечание –
выделение «сервисов ИБ» нельзя назвать логичным и однозначно удобным.
Далее, не прослеживается взаимосвязь «сервисов ИБ», т.е. нет целостной
процессной модели – как, например, в стандартах ISO/IEC серии 20000 и/или
27000. Некоторые «сервисы ИБ» разделены – что представляется не вполне
логичным (например, Security testing и Security Assessment) и на практике
применение такого подхода может привести либо к избыточным усилиям
аудиторов (консультантов), либо к потере (пропускам) внимания специалистов
по ИБ к определенным аспектам, требующих точного контроля.
Дополнительно необходимо рассмотреть «Business Model for Information
Security», отдельное издание, посвященное бизнес-модели ИБ в концепции
ISACA. В нем содержится краткое обоснование необходимости разработки
специальной модели для ИБ; поскольку подразумевается, что существуют
только два основных подхода. Первый подход заключается в формировании
80
команды по ИБ из ИТ специалистов внутри организации, которые не обладают
достаточным опытом именно в ИБ, но отлично знают внутренние процессы, а
второй подход заключается в привлечении внешних консультантов,
обладающих значительно большей практикой ИБ, но не знакомых с процессами
в каждой конкретной организации. Справедливости ради нужно отметить, что
подобные рассуждения содержатся и в стандартах ISO/IEC, например [3] и [6].
В разделе 1 (Standards) отмечается, что представленный документ не
является стандартом ни де-факто, ни де-юре (приводятся ссылки на
нормативную и справочную базу BSI) и является только руководством,
которое, тем не менее, достаточно часто ссылается на различные стандарты – в
том числе ISO/IEC серии 27000 и 20000. В этом же разделе дается пояснение
предлагаемой модели BMIS – как помощь для понимания и создания условий
приверженности (commitment) в области инициатив ИБ. Далее даются
пояснения по 6 основным результатам для процесса ИБ.
В разделе 2 (BMIS ) даны примеры и рекомендации построения
организационных, процессных, технологических и иных элементов BMIS, и что
достаточно важно, приведены пояснения по значительной важности учета
влияния культурных, национальных и иных аспектов, связанных, так или иначе,
с «человеческим фактором». В разделе 3 (Using BMIS) приводятся
рекомендации по созданию системы менеджмента ИБ, в том числе с
применением стандартов (перечисляются ISO/IEC 27000, BS25999, ISO 15408,
ISO PAS 22399, ISO 24762, NIST SP-800-53). Приводятся рекомендации по
внедрению менеджмента рисков, выполнении требований соответствия
законодательства (например, указан SOX – поскольку ISACA это американская
организация). Также приводятся примеры рационального применения DMZ,
систем IDS/IPS, и, что достаточно актуально, рекомендации по обеспечению
ИБ для современных технологий – SaaS (Software as Service), IaaS (Infrastructure
as Service), PaaS (Platform as Service). В заключение приводятся ссылки на
процессы CobiT, которые могут быть измерены исходя из задач улучшения
81
элементов ИБ (например, политик ИБ, Программ повышения осведомленности
в ИБ, ответственности за расследование инцидентов ИБ и пр.).
ITIL
ITIL (IT Infrastructure Library) — библиотека, описывающая лучшие из
применяемых на практике способов организации работы ИТ подразделений для
организаций, занимающихся предоставлением ИТ услуг. В актуальной версии
ITIL v3.1 содержится 5 книг, в которых описан полный набор процессов,
необходимых для того, чтобы компания – провайдер ИТ услуг смогла
обеспечить постоянное высокое качество предоставляемых сервисов для своих
потребителей в соответствии с заранее согласованными уровнями
обслуживания (SLA). ITIL v.3.1 содержит следующие 5 книг:
• Стратегия услуг (Service Strategy)
• Проектирование услуг (Service Design)
• Преобразование услуг (Service Transition)
• Эксплуатация услуг (Service Operation)
• Постоянное улучшение услуг (Continual Service Improvement)
Использованный в библиотеке ITIL процессный подход полностью
соответствует стандартам ISO серии 9000, 20000 или 27000. В настоящее время
ITIL поддерживается британским правительственным агентством Office of
Government Commerce (OGC) и не является собственностью ни одной из
коммерческой организаций.
В сборнике книг ITIL содержится значительное количество ссылок на
различные международные стандарты, в т.ч. ISO серии 9000, 20000, 27000.
Например, в книге «Service Operation» приведены ссылки не только на
стандарты ISO, но и на отраслевые рекомендации: «Publicly available
frameworks and standards such as ITIL, Control Objectives for IT (COBIT), CMMI,
eSCM-SP, PRINCE2, ISO 9000, ISO 20000 and ISO 27001», которые могут
82
применены для учета внешних требований при управлении предоставлением
ИТ-услуг.
С другой стороны, в стандарте ISO/IEC [3] или [6] не содержится вовсе
ссылок на ITIL, т.е. подчеркивается статус стандарта ISO в отличие от ресурса
ИТ отрасли, который содержит «лучшие практики» для реализации
определенных требований при управлении предоставлением ИТ-услуг. ITIL
описывает процедуры, задачи и контрольные «точки» (а также примеры «чек-
листов») для различных организаций, не вдаваясь в детали специализации при
предоставлении ИТ услуг. ITIL содержит 10 базовых процессов,
обеспечивающих поддержку и предоставление ИТ услуг (IT Service
Management или ITSM):
1. Процесс управления инцидентами
2. Процесс управления проблемами
3. Процесс управления конфигурациями
4. Процесс управления изменениями
5. Процесс управления релизами
6. Процесс управления уровнем услуг
7. Процесс управления мощностями
8. Процесс управления доступностью
9. Процесс управления непрерывностью
10. Процесс управления финансами
Среди специалистов нет единого мнения о «единственности» и
«универсальности» ITIL для целей создания ITSM в общем и обеспечения ИБ –
как частной задачи. Действительно, применительно к целям данной публикации
мы можем фиксировать, что в ITIL нет такого отдельного «целевого» процесса
как «Управление (обеспечение) ИБ», несмотря на то, что и действующая и
предыдущая версии стандарта ISO/IEC серии 20000 такие требования
поддерживала – в виде отдельного «целевого» процесса. Отчасти это замечание
справедливо, т.к. основной целью ITIL всегда было и до сих пор остается
83
предоставления библиотеки «хороших практик» для управления процессами
предоставления ИТ услуг.
В рекомендациях ITIL также содержится достаточно полезных примеров
применения метрик ИБ и общих подходов к обеспечению достаточного уровня
ИБ в организации. Например, в книге «Service Design» в разделе «4.6
Information Security Management» содержатся подробные рекомендации:
• по перечню политик ИБ (например, политика безопасности e-mail,
интернет, антивирусной защиты);
• по возможным меры управления рисками (например, принятие,
снижение, передача);
• по «триггерам ИБ» (triggers) для мониторинга и событий ИБ (например,
изменение Политики ИБ, изменений в SLA, OLA или контрактах);
• по метрикам ИБ: (например, снижение количества инцидентов ИБ,
процент снижения нарушений SLA по инцидентам ИБ, снижение ущерба
от нарушений ИБ).
В книге «Service Operation» в разделе «5.13 Information Security Management
and Service Operation» также содержатся подробные рекомендации:
• по мерам ИБ (например, порядок проверки персонала провайдера
(Screening), заключение NDA до начала предоставления провайдером
услуг или доступа к информации, внутреннее обучение и ознакомление с
основными документами (например, с политиками ИБ);
• метрики процессов (например, определение и разрешение инцидентов
ИБ, количество инцидентов, связанных с ИБ);
• административные меры (например, точное назначение ролей,
применительно к ИБ);
Основное назначение всех рассмотренных документов – предложить
подход (концепцию), которая может быть принята «на вооружение» каждой
84
конкретной организацией с учетом стоящих перед ней определенных бизнес-
целей – применительно к проблеме обеспечения безопасности достижения этих
бизнес-целей. Очевидно, что в «рафинированном» чистом виде ни одна
организация не применяет ни только стандарты ISO/IEC серии 27000, ни только
CobiT5, ни только ITIL; что может объясняться широчайшим диапазоном
требований, предъявляемым к провайдерам ИТ-услуг на современном уровне
техники и технологий.
В качестве разумного подхода можно рекомендовать концепцию выбора
определенной «базовой» системы требований, например, «связки» CobiT +
ITIL, которая не требует сертификации; дополненной различными процессами
из международных стандартов, в частности, менеджмента рисков (ISO/IEC
27005:2011) или обеспечения непрерывности ИТ-процессов бизнеса (ISO/IEC
20000-1:2011). В то же время, не менее эффективным представляется подход,
при котором в организации изначально создается определенная система
менеджмента, соответствующая требованиям одного или нескольких
международных стандартов (например, ISO/IEC серии 20000 или ISO/IEC серии
27001), выполняется независимая сертификация, и в процессе дальнейшего
развития применяются уже «целевые» методики – например, из ITIL или Cobit5
Подходы к решению проблемы учета потерь в ИСМ
При создании современных ИСМ необходимо решать комплекс вопросов
обеспечения результативности и эффективности бизнес-процессов
организации. Возрастание внимания менеджмента к проблеме экономической
эффективности актуально в силу усиления конкурентной среды, появления
новых угроз для бизнеса и значительной сложности выполнения процедур
риск-менеджмента. Для ИСМ весьма актуальна проблема получения оценки
текущих и потенциально возможных потерь, что позволяет в краткосрочном
и/или прогнозном аспектах оценить присущие данной организации риски,
спроектировать эффективную систему менеджмента активов и внедрить
соответствующие экономически обоснованные средства обеспечения
85
безопасности бизнеса. Предложенные подходы к решению проблемы учета
потерь в ИСМ основаны на применении известных международных стандартов
ISO [1], [3] и [8]. Учитывая относительную новизну данных стандартов в
практическом применении к исследуемой проблеме в ИСМ, предлагаемые
подходы могут быть полезными при планировании ИСМ, оценки возможных
потерь в рамках бизнес-процессов ИСМ, а также, в частности, для решения
практических задач – аудитов (оценки) экономических факторов оказываемых
услуг в организациях.
При создании ИСМ, состоящих минимально из 2-х и более систем
менеджмента (например, «связка» СМИБ и СУУ), во внимание принимается
широкий спектр требований, важнейшими из которых являются требования
непрерывности и устойчивости бизнес-процессов организации. В этом процессе
высшее руководство (менеджмент) организации может принять в качестве
«базовой методологии» для анализа различные стандарты в составе ИСМ,
содержащие требования в части касающейся обеспечения безопасности бизнес-
процессов в широком экономическом толковании этого термина. Прежде всего,
это международные стандарты – системы менеджмента качества (серии ISO
9000), СМИБ (стандарты ISO/IEC серии 27000) и СУУ (стандарты ISO/IEC
серии 20000).
Известно, что при создании современных ИСМ, помимо известных
проблем кооперации требований различных систем менеджмента, необходимо
обеспечить «интегральное соответствие» требованиям бизнеса. В терминах
«интегрального соответствия», прежде всего, рассматривается экономическая
эффективность по целевой функции достижения прибыли и минимизации
издержек и, как не менее значимой вложенной задачи – формального
соответствия законодательным требованиям различных регуляторов (т.н.
«compliance», например, ФЗ-63 «Об электронной подписи», ФЗ-152 «О
персональных данных», ФЗ-161 «О национальной платежной системе»).
86
В практическом аспекте добавленная стоимость – это цель бизнеса, иначе
применяют формулировку – «правильная ветка» и основная задача
менеджмента. На рис. 24 представлена модель формирования добавленной
стоимости в модели ИСМ организации. Высшее руководство (менеджмент)
организации формирует бизнес-цели организации исходя из широкого
множества входных факторов, влияние на которые оказывают различные
заинтересованные стороны (interested parties). В представленной модели
показаны основные заинтересованные стороны – конкуренты и регулирующие
органы, суммарное влияние которых оказывает известное доминирующее
воздействие на любую организацию. После формирования бизнес-целей
выстраиваются бизнес-процессы в организации (в равной мере это относится и
модным процессам ауторсинга и/или аутстаффинга). Одной из целей
формирования системы бизнес-процессов является определение требований к
ресурсам (например, привлечение стороннего персонала, обладающего редкой
квалификацией и/или необходимого на непродолжительный фиксированный
интервал времени).
Следующий этап касается уже непосредственно учета активов организации
(применительно к СУУ корректно применять термин «конфигурационные
элементы» - КЭ), к которым могут относиться различные категории
(оборудование, компьютерное оборудование и средства связи, лицензии на
программное обеспечение, персонал и пр.). Именно на этой фазе должны быть
предложены и согласованы метрики оценки, в т.ч. эффективного использования
активов организации. Важное примечание – процедура согласования метрик в
равной мере затрагивает и организацию и ее контрагентов: клиентов и
поставщиков (применительно к СУУ эти требования определены в разделе 7.2
[6], применительно к СМНБ – в разделе 8 [8]). Далее будут рассмотрены
несколько примеров метрик и их применение в договорах и специальных
соглашениях (SLA – Service Level Agreement, соглашение об уровне
87
обслуживания). На следующем этапе выполняется определение
результативности бизнес-процессов организации – на базе согласованных
метрик.
Известно, что управлять процессом возможно только на основании
достоверных оценок, основанных на фактах, которые можно измерить и
проверить для формирования оптимального решения [1], [3], [8]. В завершении
цикла необходимо выполнить оценку результативности бизнес-процессов
организации, как единой экономической сущности и принять адекватное
управленческое решение – достаточно ли выполнять рутинную процедуру
постоянного улучшения (в терминах ISO), без существенных (срочных)
изменений или необходимо предпринять кардинальные действия по
оптимизации деятельности организации.
В ряде международных стандартов [6], [8] предложено несколько подходов
к оценке результативности и/или эффективности (effectiveness / efficiency)
бизнес-процессов, но единой системы оценки потерь (системы
категорирования) не представлено. Исходя из практики выполненных проектов
(аудитов) [15] возможно предложить следующую структуру категорий для
определения численного значения потерь:
� лишнее время (например, избыточные запросы и согласования, потери
при использовании неудобных корпоративных справочников, ведения
избыточных каталогов и пр.);
� лишние люди (например, сотрудники, занятые непроизводительными
рассмотрениями и утверждениями, создающие сложные цепочки
согласования и пр.);
� лишние ресурсы (например, множественные загрузки типовых
обновлений, неупорядоченные версии ПО, распространение
неконтролируемых релизов и пр.);
88
� лишние действия (например, повторные проверки, разрозненное
тестирование, несогласованное развертывание информационных систем и
приложений и пр.).
Рис. 24 Формирование добавленной стоимости в модели ИСМ организации
В практике крупных ИТ-компаний можно отметить регулярное (насколько
это возможно) проведение аудитов – обязательных (внешних) или внутренних,
которые в той или иной мере могут способствовать выявлению «лишних»
сущностей и повышения общей эффективности бизнеса. В иных отраслях
проведения глубокого, беспристрастного и достоверного аудита – в фокусе
общесистемных целей бизнеса достаточно трудоемко и не так широко
распространено (единственное исключение – практика бухгалтерского аудита
по РСБУ и/или МСФО).
89
Для восприятия бизнес-процессов в корректном экономическом смысле и
построения системы контроля потерь необходимо оперировать помимо
классического «процессного подхода» также терминами добавочной стоимости.
Важным преимуществом процессного подхода в применении к
рассматриваемой задаче в ИСМ является обеспечение следующих факторов:
1. Адекватное восприятие требований клиента и установления
экономически обоснованных требований в ИСМ;
2. Восприятие всех бизнес-процессов ИСМ в терминах добавочной
стоимости;
3. Обеспечение представления SMART результатов процесса (измеримых);
4. Постоянное совершенствование процессов в ИСМ;
5. Принятие результативных и эффективных бизнес-решений.
Одним из наиболее сложных аспектов в рассматриваемой области является
управление конфликтами менеджеров. Известно [1], [3], [8], что высшее
руководство должно отвечать за распределение полномочий, установление зон
ответственности, управление активами (включая лицензии) и пр. Вместе с тем,
управление множеством бизнес-процессов в крупной организации неизбежно
приводит к конфликтам – борьбе за ресурсы (которые ограничены). В этом
противоречии крайне важно обеспечить принцип назначения на роль
представителя руководства действительно одного их членов высшего
руководства (менеджмента) организации. При соблюдении этого принципа
возможно принятие решения, действительно основанного на фактах и
экономических критериях.
Роль и важное современное значение риск-ориентированных стандартов
[3], [6] [8] изложены достаточно подробно в ряде источников, но в данной
публикации предпринята попытка представить типичные требования к
процессам риск-менеджмента применительно к разным стандартам для каждой
фазы цикла PDCA.
90
Риски СУУ:
1. Фаза планирование (4.5.2j) – подход к управлению рисками и критерии
принятия рисков;
2. Фаза выполнения (4.5.3d) – идентификация, оценка и управление;
3. Фаза проверки (4.5.4.3е) – анализ рисков в рамках АСР;
4. Фаза действия (4.5.5.2) – улучшения в части снижения рисков.
Риски СМНБ
1. Планирование (6.1) – определить риски и возможности их снижения;
2. Выполнение (8.2.3) – установить формальный процесс оценки рисков;
3. Проверка (9.3) – анализ рисков в том числе обновление оценки рисков (в
рамках АСР).
Риски СМИБ (версия 2005 г. [3])
1. Создание СМИБ (4.2.1с) – определить методологию оценки рисков и
критерии принятия рисков, возможности для обработки рисков;
2. Внедрение и применение СМИБ (4.2.2) – разработать и внедрить план
обработки рисками;
3. Мониторинг и анализ СМИБ (4.2.3d) – пересматривать оценки риска,
анализировать остаточный риск;
4. Анализ со стороны руководства – АСР (7.3b) – обновление методики
оценки риска и плана управления рисками в рамках АСР;
5. Предупреждающие действия (8.3) – идентифицировать изменившиеся
риски, фокусироваться на значительно изменившихся рисках.
Для формирования оценки бизнес-процессов и решения проблемы учета
потерь крайне важно предложить (а так же сформировать, согласовать с
бизнесом и заказчиками) систему экономических оценок. На практике к таким
оценкам [15] могут предъявляться следующие требования:
91
1. Оценки должны быть измеримые, а не абстрактные (числа, проценты);
2. Оценок должно быть не много, а достаточно;
3. Оценки должны быть основаны на бизнес-целях (трассируемые);
4. Оценки должны быть пригодны для мотивации персонала (например,
KPI);
5. Оценки должны быть пригодны для разумных коммуникаций с
заказчиками (разработаны по просьбе заказчика), а не «измерение
ради измерения».
Рассмотрим несколько примеров метрик для оценки бизнеса на макро-
уровне:
1. ROI – return of investment (окупаемость инвестиций);
2. ROCE – return of capital employed (доходность используемого
капитала);
3. EVA – economic value added (экономическая добавленная стоимость).
По степени важности бизнес-метрики могут быть ранжированы
следующим образом:
1. Доход;
2. Объем продаж
3. Прибыль
4. Объем производства
5. Уровень запасов
6. Рыночная доля бизнеса
При согласовании с заказчиком экономические метрики должны, помимо
«экономической полезной нагрузки» обеспечивать следующие практические
параметры коммуникации:
1. Конкретные потребности (needs);
2. Определение аудитории (interested parties);
92
3. Tочность и ясность;
4. Тенденции (trends);
5. Базу принятия обоснованных управленческих решений
Примеры метрики процесса управления финансами (для СУУ)
1. Доля учтенных затрат на ИТ (%);
2. Задержка предоставления отчетности / прогнозов (дни);
3. Степень достоверности отчетов / прогнозов (%);
4. Количество претензий к процессу управления финансами (число);
5. Степень удовлетворенности (баллы).
Метрики процесса обеспечения ИБ (для СУУ и/или СМИБ)
1. Число зарегистрированных инцидентов ИБ;
2. Число зарегистрированных проблем ИБ;
3. Число запланированных / проведенных аудитов ИБ;
4. Число решенных проблем, выявленных в ходе аудита ИБ;
5. Своевременность проведения аудитов ИБ;
6. Число пересмотренных SLA с проблемами ИБ.
Метрики CSF (critical success factor) – критичные факторы успеха
1. поддержка СУУ
2. установленные коммуникации
3. корректные методы мониторинга
4. корректные метрики бизнес-процессов
На рис. 25 представлена модель оценки метрик в ИСМ организации на
примере инцидентов / критичных инцидентов. Этот пример является наиболее
сложным для анализа, но в тоже время и наиболее частым в практике – об
уровне зрелости ИСМ (в частном случае – СУУ / СМИБ) чаще всего судят по
способности отработки критичных инцидентов. Применительно к СУУ и
93
СМИБ установлены требования к соответствующим процессам [6] – [3],
подробное описание которых вне рамок данной публикации.
Для решения проблемы учета потерь в ИСМ важно попытаться
предложить модель, которая, с одной стороны, опиралась бы на отлично
отработанный цикл PDCA (периодическая оценка, анализ со стороны
руководства (АСР), учет широкого спектра входных данных и пр.), а с другой
стороны дополнительно, решала бы более сложную задачу постоянного
контроля экономической эффективности. Для решения данной задачи
предлагается включить метрики оценки эффективности в систему обратной
связи и создать постоянный контур оптимизации модели ИСМ в фокусе
целевой функции минимизации потерь.
рис.25 Модель оценки метрик в ИСМ на примере инцидентов / критичных
инцидентов
94
Рассмотрим конкретный пример исследования проблемы оценки потерь в
процессе проведения внутреннего аудита ИСМ. ИСМ состоит из 2-х систем
менеджмента: СУУ и СМИБ, область применения (scope) – предоставление
услуг. В организации-провайдере оценивалось соответствие официального
согласованного SLA и текущего уровня обслуживания критичной
автоматизированной системы для организации-клиента. Выяснилось, что
текущие оценки удовлетворенности CSI (customer satisfaction indicator)
длительное время не превышали – 4,2 (при установленной в SLA норме не
менее 4,5). По классической методике «5 Почему» было предпринято
исследование этого несоответствия:
1. Почему низкий CSI?
� Потому, что есть претензии к Провайдеру.
2. Почему есть претензии к Провайдеру?
� Потому, что не выполняется установленное SLA время отработки
инцидента.
3. Почему не выполняется установленное SLA время отработки
инцидента?
� Потому что звонки регистрируются только в 8 утра.
4. Почему звонки регистрируются только в 8 утра?
� Потому что звонки сначала поступают на внутренний телефон
сотрудника провайдера.
� Исследованы записи звонков в 2:55 МСК, 3:32 МСК…
5. Почему звонки поступают ночью на внутренний телефон сотрудника
провайдера?
� Потому что при создании нового единого call-центра не был
изменен SLA с клиентом
� Сотрудники клиента не знали о создании круглосуточного номера
телефона в новом call-центре, что приводило к сверхнормативному
простою критичной автоматизированной системы и определенным
финансовым издержкам для провайдера.
95
Какова цена потерь только в одном рассмотренном случае? Очевидно, что
при существенном уровне «провала» сервиса и неоднократных случаях
нарушения SLA для провайдера возможны следующие финансовые потери:
1. Потери прямые – по договору (предусмотренные санкции за оказание
услуг ненадлежащего качества или неоказание услуг вовсе);
2. Потери косвенные – по бонусам сотрудникам (по причине не достижения
установленных KPI, поступления претензий со стороны клиента,
невыполнения финансового плана и пр.);
3. Потеря контракта клиента – в предельном случае недовольный клиент
может расторгнуть контракт и перевести поддержку критичной системы к
другому провайдеру.
Какие риски можно выявлять в процессе аудитов? На рассмотренном
пример можно показать, что в процессе квалифицированного проведенного
внутреннего аудита выявляются риски различной «природы», но оказывающие
значительное влияние на функционирование ИСМ.
1. Риски угрозы прерывания бизнес-процессов провайдера (см. СМНБ [8]);
2. Риски нарушения согласованного уровня предоставления сервисов для
клиента (см. СУУ [6]);
3. Риски утечки конфиденциальной информации (критичной
автоматизированной системы клиента) при обращении на
неавторизованный телефонный номер (см. СМИБ [3]);
Какие подходы можно предложить для минимизации последствий рисков?
На рассмотренном примере можно рекомендовать несколько конкретных
мероприятий, сгруппированных по «целевым» группам (по которым в ряде
стандартов и удобно выполнять планирование и реализацию мер коррекции).
Важным обстоятельством является факт оптимизации рисков не в какой-либо
одной системе менеджмента, а комплексно – для ИСМ. Именно по этой
96
причине в настоящей публикации не рассматриваются требования СМК [1], т.к.
не содержат требований риск-менеджмента.
1. Финансовые риски
a. Экспертиза договоров (изучение условий и размеров санкций,
контроль симметричных санкций подрядчикам для организации -
провайдера);
b. Периодический пересмотр SLA (актуализация существенных
параметров услуг и пр.);
c. Варианты предоставления услуг по сниженным параметрам
(доступности и пр.);
d. Установление регламентов коммуникации и эскалации (в т.ч.
экстренных);
2. Репутационные риски
a. Выделение роли клиент-менеджера (снижение рисков
неудовлетворенности клиента);
b. Выделение роли сервис-менеджера (снижение рисков внутренних
нарушений уровня предоставления сервиса со стороны
провайдера);
c. Ранее выявление потребностей заказчика (на этапе согласования
договора и SLA);
d. Периодическое согласование результатов предоставления услуг
(например, процесс отчетности СУУ)
3. Риски ИБ
a. Определение состава активов / критичных активов, переданных на
поддержку компании -провайдеру;
97
b. Определение состава информации / коммерческой тайны,
доступной персоналу компании – провайдера при поддержке
критичных систем;
c. Определение состава нормативных и распорядительных
документов, необходимых для подготовки, согласования и
подписания до начала поддержки критичных систем;
d. Согласование процедуры расследования при угрозе нарушения
конфиденциальности, целостности или доступности критичных
систем.
Необходимо кратко рассмотреть еще один специализированный
инструмент управления потерями в ИСМ – бюджетирование. Определенные
полные требования по этому процессу указаны в Разделе 6.4 СУУ [6], но для
целей данной публикации ограничимся только ключевыми требованиями:
1. Процесс должен контролировать финансовые аспекты предоставления
услуг. Должны быть определены «единицы» бюджетирования
(например, филиал, департамент, ЦФО, контракт, направление услуг,
конкретная услуга), порядок мониторинга и оценка стоимости услуг.
2. Процесс должен гарантировать, что стоимость предоставления услуг
отслеживается и услуги предоставляются в соответствии с бюджетом.
Должны быть определены критерии для финансового анализа каждой
предоставляемой услуги (например, стоимость, рентабельность,
окупаемость в случае аренды и пр.);
3. Должны быть приняты во внимание внешние регулирующие требования
или специфические требования (например, сезонные переменные,
краткосрочное планирование, и пр.);
4. Бюджетирование и учет затрат на услуги должно быть согласовано с
финансовыми процессами в компании-провайдере. Должны быть
учтены, например, используемые активы при предоставлении услуг,
98
ресурсы совместного пользования, общие расходы, предоставляемые
сервисы от поставщиков и пр.
Психологические особенности проведения аудитов
В течении ряда лет в статусе аудитора (ведущего аудитора) автору
довелось принять участие в нескольких десятках аудитов различных систем
менеджмента. Далее будет представлено несколько психологических типов
различных представителей организаций, с которыми приходится общаться в
процессе аудита. Восприятие определенных шаблонов и моделей поведения
будет полезно для изучения группой аудиторов для достижения целей,
поставленных для оценки (аудита) различных систем менеджмента.
1. Тип «У нас все абсолютно прекрасно!»
Данный тип личности, как правило, заинтересован в наилучшем и/или
наискорейшем исходе аудита. Весьма радушен, более чем гостеприимен и
стремится все вопросы решить в «неформальной обстановке». На одном из
предприятий яркий представитель данного типа уверял более часа в отличном
положении дел, но был весьма огорчен, что аудиторы приступили к
формальному процессу – в соответствии с планом аудита и реальной проверке
систем, документации и опросу сотрудников. В результате выяснилось желание
маскировать «слабые места» (точнее полной отсутствие каких-либо
утвержденных документов) и желание обойтись только краткими отчетами,
подготовленными для высшего руководства организации. Группа аудиторов
смогла избежать конфликта только скрупулезно собрав свидетельства аудита и
доказав, какие негативные последствия (реально выявленные риски) грозят
организации при продолжении подобной «практики».
2. Тип «Приверженец только очевидных и неопровержимых фактов»
Данный тип личности предоставляет минимум данных, и только тех, что
очевидны и неопровержимы; никак не поддерживая контакт с аудиторской
99
группой. На одном из аудитов яркий представитель ИТ подразделения
сообщил, (видимо, не без причин), что считает аудиторов «бумажными
червяками». При общении был весьма высокомерен и любую информацию
буквально приходиться вытягивать. На практике такая ситуация разрешается
либо привлечением технического эксперта (если аудитор не отличает,
например, ЭЦП от хеш-функции) или демонстрации личной компетенции в
предмете обсуждения – установление «профессионального сообщества». В
конкретной ситуации аудитор (ведущий аудитор) должен четко контролировать
подобные ситуации и уметь их быстро разрешать [13].
3. Тип «Подробности, и подробности, и еще подробности…»
Данный тип может заболтать и предоставить аудитору столько подробных
сведений, что будет весьма трудно «не утонуть в деталях». С виду этот тип
вполне общительный и компетентный человек, но его подлинные намерения
трудно сразу воспринять. На практике встречались ситуации, когда более чем
общительный представитель проверяемой организации просто не хотел
говорить о системных вопросах (согласованные и утвержденные политики,
цели), предпочитая долго обсуждать совершенно посторонние детали. Вторая
сторона этой медали – желание раскрыть аудитору всю информацию о
вверенном участке работы, показать, как много лично им делается и, иногда,
вовлечь в решение внутренних проблем. Аудитору необходимо четко
придерживаться плана работы, и при необходимости, останавливать поток
«лишней» информации, касающийся проведения аудита в организации.
4. Тип «А ты кто такой?»
Данный тип занимает жесткую и, зачастую, нетерпимую по отношению к
вошедшим аудиторам позицию: «Я царь и гений ИТ (ИБ) и нечего мне тут
указывать! Сам ты кто такой?». На практике был реальный пример такого
менеджера - директор по ИТ, который озвучил, что он CISA, МВА, МСР,
MCDBA, MCSA, MSCE и, кажется, еще и МСТ. Занятая позиция не
100
предусматривала возможность задать вопросы и получить внятные ответы,
поэтому аудиторы предприняли маневр. Попросили рассказать, что было
выполнено по проекту «А» в соответствии с установленным планом.
Выяснилось, что по проекту (разработка системы) в сфере ответственности
директора по ИТ были более чем серьезные просчеты, которые были
документированы как значительные несоответствия. В итоговом отчете 80%
значительных несоответствий были зафиксированы именно по дирекции ИТ.
На заключительном совещании Представитель руководства организации
получил от группы аудиторов исчерпывающие комментарии по данному
подразделению и, признав факты, в свою очередь, принес извинения группе
аудиторов за возникший инцидент.
Добавленная стоимость аудитов
Известна статистика оценки целей сертификации систем менеджмента для
различных организаций: 40% для целей получения красивого сертификата (не
хуже чем у других…), 40% для целей выполнения внешних требований
(тендеры…) и только 20% для выполнения поставленных целей высшего
руководства (владельцев). Как показала практика, любая система менеджмента
не является исключением этой статистики и представляется важным обсудить,
какую пользу или «добавленную стоимость» аудиты могут принести
организации.
Основным критически важным фактором, необходимым для стабильной
деятельности и устойчивого развития бизнеса, всегда была и остается надежная
информационная инфраструктура организации. Для взаимодействия всех
заинтересованных сторон (персонал организации, партнеры, государственные
регуляторы) необходимо организовать, внедрить и периодически представлять
внешним сторонам для независимой оценки систему безопасных условий для
эффективных коммуникаций. Результативность и эффективность бизнеса
организации непосредственно зависят, в том числе, от уровня «культуры»,
101
достигнутого в организации – в отношении ИТ, ИБ или менеджмента рисков.
Проблема обеспечения ИБ находится в фокусе внимания менеджмента по ряду
причин, среди которых: постоянные изменения в действующем
законодательстве, активное развитие информационных технологий, глобальная
интеграция экономических (в т.ч. кризисных) процессов, агрессивная
конкурентная среда.
Любая система менеджмента – корректно спроектированная, правильно
внедренная и надлежащим образом сертифицированная в соответствии с
требованиями соответствующих международных стандартов, призвана
обеспечить адекватный уровень защиты активов организации и представить
доказательства достигнутого уровня соответствия всем заинтересованным
сторонам. Для определенных организаций (банковские и финансовые
институты, крупнейшие системные интеграторы, сырьевые добывающие и
перерабатывающие компании, страховые, медицинские и другие) наличие
сертифицированных систем менеджмента является де-факто статусным,
необходимым для ведения бизнеса на высочайшем уровне.
Международные стандарты устанавливают требования к соответствующим
системам менеджмента для любой организации, вне зависимости от ее
размеров, отраслевой принадлежности и географического места расположения.
Стандарты предназначены для обеспечения адекватного выбора эффективных
средств определения процессов, в строгом соответствии с принятой в
организации политикой, установленными целями, практикой менеджмента
рисков и другими необходимыми процедурами. Внедрение систем
менеджмента выполняется поэтапно, при этом важно обеспечить вовлечение в
процесс всего персонала организации, имеющего дело с активами.
Неосведомленность конкретных сотрудников, работающих с информацией,
отсутствие программы внедрения, формально разработанные процедуры – вот
основные причины неработоспособности ряда систем менеджмента.
102
Консалтинг или партнерство?
Следующим аспектом, который может и должен приниматься во внимание
при создании и оценке систем менеджмента, является «добавленная стоимость
аудита». Обратим внимание только на процессы внутреннего аудита, т.к.
внешний аудит, «по умолчанию» и по букве стандарта ISO 17021:2011 четко и
однозначно определяет требования к поведению внешнего аудитора при
проведении любых аудитов третьей стороной. Для внутреннего аудитора,
разумеется, требования также существуют – ISO 19011:2011 [13] и они также
определяют требования беспристрастности, независимости, объективности и
принятие решений, основанных на фактах и пр.
В практике аудитов первой и второй стороной (отчасти) аудитор имеет
больше «пространства для маневра», хотя бы строго соблюдая указанные выше
требования ISO. Прежде всего, внутренний аудит ставит своей целью найти
подтверждения соответствия требованиям применимого стандарта (как
критериев аудита). Но в большей степени от внутреннего аудитора коллеги
ждут помощи (методической, технической, юридической) для улучшения своей
ежедневной рутинной работы. Разумеется, это предположение справедливо,
если аудит проводится не формально, а для достижения целей непрерывного
улучшения СМИБ и в организации действительно наблюдается «management
commitment» – приверженность руководства.
Что может сделать аудитор для создания «добавленной стоимости
аудита»? Очень многое. Прежде всего, аудитор может и должен определить
критерии оценки свидетельств аудита. Аудитор может и должен выявлять все
случаи «лучшей практики», «возможностей к улучшению», а не только
оперировать простейшими «несоответствиями» и/или «наблюдениями».
Аудитор может и должен информировать ответственных менеджеров обо всех
случаях «лучших практик» для того, что эти улучшения применялись
повсеместно и повышали результативность и эффективность СМИБ.
103
Более сложный вопрос – советы (рекомендации). Понятно, что аудитор не
имеет право просто указать в отчете по аудиту или в листе несоответствий, что
он рекомендует начальнику отдела, предположим, 1С перевести работу по
схеме 24 х 7, изменить настройки CISCO ASA 5100 по протоколу HTTPS (порт
443) или открыть порт 8080 для работы удаленного мониторинга работы Service
Desk… Эти улучшения должны быть сделать корректно, соблюдая требования
стандартов и принципы систем менеджмента - например, через подготовку
плана корректирующих и предупреждающих действий или посредством
привлечения для этих работ технических экспертов (с соблюдением
необходимых мер конфиденциальности, разумеется).
Известно, что аудит, тем более аудит системы менеджмента, это аудит не
персонала («что они знают, что они не знают или что они должны знать и не
выполняют») - это неверный методический подход. Основная цель аудита
системы менеджмента – это поиск подтверждений, что система (именно
система, а не персонал) корректно спроектирована, правильно внедрена и
должным образом функционирует. В этом аспекте роль аудитора повышается –
он должен строго выполнять требования по аудиту системы менеджмента, но
вместе с тем выступать как бизнес-партнер для своих коллег – независимый,
объективный, беспристрастный.
104
Выводы к Разделу 2
При создании интегрированных систем менеджмента (ИСМ) необходимо
решать комплекс вопросов обеспечения результативности и эффективности
бизнес-процессов организации. Возрастание внимания менеджмента к
проблеме экономической эффективности актуально в силу усиления
конкурентной среды, появления новых угроз для бизнеса и значительной
сложности выполнения процедур риск-менеджмента.
Для ИСМ весьма актуальна проблема получения оценки текущих и
потенциально возможных потерь, что позволяет в краткосрочном и/или
прогнозном аспектах оценить присущие данной организации риски,
спроектировать эффективную систему менеджмента активов и внедрить
соответствующие экономически обоснованные средства обеспечения
безопасности бизнеса.
Предложены некоторые подходы к решению проблемы учета потерь в
ИСМ, основанные на применении известных международных стандартов
ISO/IEC серии 27001, ISO/IEC серии 20000 и ISO 22301. Учитывая
относительную новизну данных стандартов в практическом применении к
исследуемой проблеме в ИСМ, предлагаемые подходы могут быть полезными
при планировании ИСМ, оценки возможных потерь в рамках бизнес-процессов
ИСМ, а также, в частности, для решения практических задач – аудитов (оценки)
экономических факторов оказываемых услуг в организациях.
Применение модели учета потерь в ИСМ на базе риск-ориентированных
международных стандартов будет способствовать увеличению не только
результативности ИСМ, но и экономической эффективности основных бизнес-
процессов организации благодаря следующим факторам:
� Модель ИСМ в составе СУУ, СМИБ и/или СМНБ позволяет формировать
и оперативно получать оценки вероятных потерь применительно к
105
уникальному множеству бизнес-процессов каждой конкретной
организации и способствовать лучшей защищенности ценных активов (в
том числе – нематериальных);
� Заблаговременное согласование метрик оценки основных бизнес-
процессов организации с клиентами позволяет минимизировать
экономические потери при предоставлении услуг и/или поставки
продукции заданного качества, обеспечить симметричное «правильное»
понимание потребностей клиентов и транслировать эти требования для
внутренних систем оценки эффективности персонала организации;
� Накапливаемые результаты оценок (аудитов) основных бизнес-процессов
организации могут дать точный и беспристрастный анализ для высшего
руководства (менеджмента) организации о корректности применяемых
метрик и необходимости дальнейшего непрерывного совершенствования
ИСМ.
106
Список литературы
[1] ГОСТ Р ИСО 9001:2008 «Системы менеджмента качества. Требования»;
[2] ISO/IEC 27000:2014 «Information technology – Security techniques –
Information security management systems – Overview and vocabulary»;
[3] ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и
средства обеспечения безопасности. Системы менеджмента
информационной безопасности. Требования»;
[4] ISO/IEC 27001:2013 «Information technology – Security techniques –
Information security management systems – Requirements»;
[5] ГОСТ Р ИСО/МЭК 27005-2010 «Информационная технология. Методы и
средства обеспечения безопасности. Менеджмент риска информационной
безопасности»;
[6] ISO/IEC 20000-1:2011 «Information technology – Service management – Part
1: Service management system requirements»;
[7] ISO/IEC 20000-2:2012 «Information technology – Service management – Part
2: Guidance on the application of service management systems»;
[8] ISO 22301:2012 «Societal security – Business continuity management systems
– Requirements».
[9] ISO/IEC 27033-1:2009 «Information technology – Security techniques –
Network security – Part 1: Overview and concepts»;
[10] ISO/IEC 27033-2:2012 «Information technology – Security techniques –
Network security – Part 2: Guidelines for the design and implementation of
network security»;
[11] ISO/IEC 27033-3:2010 «Information technology – Security techniques –
Network security – Part 3: Reference networking scenarios – Threats, design
techniques and control issues»;
[12] PAS-99:2012 «Specification of common management system requirements as
a framework for integration»;
[13] ГОСТ Р ИСО 19011:2011 «Руководящие указания по проведению аудитов
систем менеджмента»;
107
[14] Саати Т. «Принятие решений. Метод анализа иерархии».
М.: Радио и связь, 1989.
[15] Лившиц И.И. Методы оценки защищенности систем менеджмента
информационной безопасности, разработанных в соответствии с
требованиями международного стандарта ISO/IEC 27001:2005: Автореф.
дис. канд. техн. наук. – Санкт-Петербург, 2012. – 20 с.;