- PVSM.RU - https://www.pvsm.ru -

Своими руками: автоматизация управления процессами безопасности

Используй то, что под рукою, и не ищи себе другое...
Филеас Фогг

В условиях современного мира безопасность является одним из основополагающих факторов развития бизнеса. Это не требует лишних слов! Темой размышлений здесь может быть только размер инвестиций, которые бизнес готов вложить в построение и поддержание эффективной системы безопасности, гарантирующей защиту от возможных инцидентов.  

pic1Данный вопрос не имеет простого решения — ведь для выбора правильной стратегии по защите бизнеса необходимо провести детальный анализ, уточнить цели и выбрать правильный подход для их достижения. Как правило, наиболее оптимальным подходом для средних и крупных компаний будет поэтапное внедрение системы безопасности: начав с защиты наиболее критичных активов, постепенно расширять область, включая менее приоритетные. Большие дела начинаются с малого, и чтобы получить гарантию того, что система безопасности будет развиваться в правильном направлении и достигнет требуемого уровня зрелости к определенному сроку, необходимо уделить особое внимание самим процессам, призванным защищать компанию. Такими процессами являются управление инцидентами, рисками, управление непрерывностью, управление доступом, контроль изменений и многие другие. Если компания уделяет достаточно внимания правильности исполнения таких процессов, то проект по построению системы безопасности практически обречен на успех.

Чтобы обеспечить правильность исполнения этих процессов ими нужно управлять. Управление заключается в планировании, мониторинге, оценке эффективности, адекватной поддержке и модификациях, если такая потребность возникает. В этой деятельности очень важным моментом является взаимодействие людей, которое заключается в сборе, обработке, анализе информации, а также ее обмене с исполнителями процессов и другими заинтересованными лицами. Это занимает наибольшую часть деятельности по управлению процессами.
pic2Для средних (и особенно крупных компаний) даже при изначально малой области внедрения системы безопасности это представляет собой уже немалый объем работ: встречи, интервью, запись полученной информации, анализ данных, выработка стратегий и корректирующих мер, разработка планов, контроль деятельности и управление задачами по внедрению систем и процессов безопасности. Большой объем работ в этой области всегда определяет и большой объем информации.

Здесь возникает вопрос: как обеспечить эффективную работу с большим объемом информации?
pic3
Безусловно, ответственные сотрудники должны обучаться эффективным техникам анализа, акцентировать свое внимание на изучении и использовании лучших практик по управлению процессами. Здесь очевидным видится также такое решение: автоматизация процессов сбора, анализа и взаимодействия, создание общего информационного поля для всех участников процессов.

Для реализации последнего решения необходимо использовать (а перед этим — создать) специальную информационную систему, которая:

  1. обеспечит обмен информацией с пользователями такой системы
  2. автоматизирует работу с информацией

Информационная система сама по себе — это не панацея! Основную работу (сбор, анализ, принятие решений) делает человек, при условии, что у него есть правильный инструмент, и его время не занято длительными поисками необходимых данных, их копированием из одного приложения в другое и т.п.
pic4
У человека, оснащенного специализированной системой, есть доступ к общему информационному полю, которое содержит в себе всю нужную информацию и позволяет эффективно взаимодействовать с другими сотрудниками. В таком контексте Excel-таблички и Word-документы не кажутся приемлемым вариантом.
При выборе нужной информационной системы всегда возникает необходимость принятия следующего решения: какую систему лучше всего выбрать для гарантированного достижения поставленных целей? В данном случае цель — эффективное управление процессами информационной безопасности. 

Обычно есть такие варианты:

  • Найти и использовать доступную бесплатную систему
    Такие системы существуют, но есть определенные недостатки: ограниченный функционал, негарантированная надежность, ошибки исполнения и пр. В дальнейшем также появляется необходимость помощи программистов для интеграции с другими информационными системами, которые уже внедрены в компании.
  • Разработать такую систему с нуля самому
    Для этого нужны свои квалифицированные архитекторы, программисты, инженеры, специалисты в прикладной области – в информационной безопасности. В этом случае часто бывает выгодно привлечь другую компанию, которая имеет нужные компетенции и специализируется на разработке бизнес-приложений. Конечно, это требует дополнительных инвестиций. Но такой выбор также может быть оправдан.
  • Использовать систему, которая уже есть в производстве
    Это известный подход, основанный на принципе «используй то, что под рукою и не ищи себе другое», который не требует дополнительных инвестиций на приобретение системы. Обычно используемая система не полностью загружена. А значит, есть возможность повысить утилизацию уже оплаченных ресурсов. В обратном случае, когда система загружена, она может быть масштабирована до необходимых мощностей, что дешевле закупки новых систем. Такой подход позволяет достичь более высокого уровня интеграции с уже существующими процессами, автоматизированными в этой системе, при меньших инвестициях.
  • Купить готовую систему
    Такой подход решает задачу, но обычно это самое дорогое решение. Готовые для внедрения системы обсуждаемого класса длительное время разрабатываются зарубежными разработчиками и имеют богатый разнообразный функционал. Это означает, что стоимость таких систем не может быть маленькой. Для очень крупных зарубежных компаний, которые работают с процессами безопасности уже не первый десяток лет, широкая функциональность – это основной критерий, поэтому они и являются основными заказчиками таких систем. Но компаниям российского и украинского рынка, которые только начали внедрять свою систему безопасности, как правило, нужен только самый минимальный набор необходимых функций, которые реально будут задействованы с пользой. На рынке СНГ большая стоимость таких систем, имеющих избыточный функционал, который не будет использован покупателем в ближайшие 5 лет, делает такие серьезные инвестиции сомнительными.

На нашем рынке существует множество компаний с разными целями и возможностями, но очень часто для крупных и средних компаний наиболее экономически выгодным подходом является именно построение и полная утилизация своей собственной системы с последующим наращиванием ее функционала. 

В своей компании для построения системы управления процессами безопасности я выбрал уже много лет успешно используемый MS SharePoint.

Для этого были такие очевидные предпосылки:

•  Web-интерфейс удобен и понятен
•  Эта система уже знакома и активно используется всеми сотрудниками
•  Удобное управление доступом
•  Наличие дополнительных компонент по гранулированному управлению доступом
•  Богатая функциональность:

  • полноценный поиск данных (FAST Search)
  • интеллектуальный анализ бизнес-информации (Excel Services, PerformancePoint, Visio, Web Parts, Web Diagrams, Filter Framework)
  • интеграция с клиентами Office (Business Connectivity Services)

•  Возможность легко интегрировать разрабатываемую систему с существующими системами управления бизнес-процессами на базе одной информационной платформы
•  Гибкость разработки:

  • разработку системы управления можно делать самостоятельно
  • при необходимости, с привлечением программистов и предметных экспертов в области информационной безопасности и оптимизации процессов

•  Минимальный размер инвестиций

Интеграция процессов безопасности с бизнесс-процессами это очень важный момент. Такое объединение в рамках одной информационной системы дает еще одно дополнительное и, безусловно, очень важное преимущество — общий для всего предприятия портал обмена важной производственной информацией. Перечень активов компании, сотрудников, подразделений, анализируемых проблем, как правило, уже существует в системе, следовательно, не нужно тратить дополнительные ресурсы на добавление функционала по управлению такой информацией.

pic6
В результате при минимальных инвестициях был построен полноценный инструмент Infopulse Corporate Security Management System для управления такими процессами:

  • Учет информационных активов
  • Управление инцидентами
  • Управления корпоративными рисками
  • Непрерывность бизнес-процессов
  • Управление системой защиты персональных данных
  • Управление контролями безопасности
  • Соответствие требованиям по безопасности
  • Управление задачами по безопасности
  • Управление знаниями по безопасности
  • Информационное взаимодействие по вопросам безопасности

Система реализует единое информационное поле, охватывающее процессы, системы и сопутствующие данные в рамках управления безопасностью предприятия, а также позволяет централизовано документировать и контролировать текущее состояние всех важных компонентов системы безопасности.
Удобство каждодневной работы с построенным своими руками инструментом побудило во мне желание поделиться опытом с помощью выше изложенных рассуждений. Надеюсь, они станут полезными для моих коллег в сфере информационной безопасности.

Автор: SeMaI

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/upravlenie-riskami/6143