Обзор "Средства защиты информации и бизнеса 2007" подготовлен При поддержке
CNewsAnalytics Radware

По уровню зрелости ИБ Россия отстает от США, но обгоняет аутсайдеров

По уровню зрелости ИБ Россия отстает от США, но обгоняет аутсайдеровИнформационная безопасность начинает использовать модели зрелости для оценки уровня ИБ в компаниях и организациях. Одним из основных показателей, определяющих этот уровень для страны, является степень вовлеченности в процесс ее обеспечения сотрудников компаний и рядовых граждан. В число наиболее зрелых стран с этой точки зрения входят США и другие страны «большой восьмерки». Россия же относительно недавно перешла с нулевого на начальный (первый) уровень.

Любая организация, любое подразделение, любой процесс, любой человек и даже целые страны постоянно эволюционируют, проходя различные этапы в своем развитии. Чаще всего эволюция идет в направлении от простого к сложному, но иногда она делает и шаг назад. Для того чтобы своевременно оценить движение вперед или движение назад мы должны уметь оценивать свое текущее положение. Сделать это можно с помощью так называемой модели зрелости.

Используемая уже не первое десятилетие модель зрелости (maturity model) имеет очень интересную и очень важную особенность – она позволяет оценить как отдельный процесс или подразделение, так и отдельную компанию или целую страну. Более того. Она может быть одинаково эффективна применена к различным дисциплинами – управлению информационной безопасностью, инвестициям и приобретению ИТ, управлению кадрами и т.д. При этом данная модель не имеет каких-либо жестких требований, не является жестким стандартом и не привязана к каким-либо технологиям. Поэтому любой желающий может разработать свою модель зрелости, ориентированную на нужное направление или сферу деятельности.

Первоначально модель зрелости была предназначена для классификации и оценки проектов разработки программного обеспечения (ПО) и гарантированного соблюдения качества при ведении этих проектов. Создаваемая в конце 80-х годов по заказу Министерства Обороны США в Институте проектирования и разработки программного обеспечения (Software Engineering Institute, SEI) при Университете Карнеги Меллона, данная модель была перенесена и на многие другие дисциплины и отрасли, в т.ч. и информационную безопасность. Помимо модели зрелости SEI, существуют и другие модели. Например, в стандарте CoBIT описаны 6 уровней зрелости управления информационными технологиями. У Microsoft есть четырехуровневая модель зрелости ИТ-инфраструктуры. Также свои модели зрелости есть у компаний PMSolutions, ESA, Giga и т.д.

Однако было бы неправильно считать, что модель зрелости – это панацея. У нее есть своя область применения. В частности, она не отвечает на главный вопрос – как улучшить работу оцениваемого процесса, подразделения или компании. Она всего лишь показывает их текущую позицию. Для того, чтобы перейти от одного уровня зрелости к следующему необходимы достаточно подробные руководства, которые зачастую являются предметом дорогостоящей работы консалтинговых компаний. Результатом такой работы может стать как текущий статус оцениваемого объекта, так и его позиция по отношению с лучшим объектом в той же области.

Как это применить к безопасности?

Информационная безопасность тоже не стоит на месте и начинает активно использовать модели зрелости для оценки уровня ИБ в компаниях и организациях. На их основе можно строить соответствующие модели для специалистов по безопасности, процессов, подразделений и т.п.

Из наиболее известных моделей в области ИБ можно назвать, например, SSE-CMM для разработчиков средств защиты, модель Gartner, Burton Group или нашего Банка России. Аналитическая компания Gartner предлагает две четырехуровневые модели – для программы внедрения ИБ в компании или организации, а вторая - для процессов обеспечения ИБ.

Первая включает следующие уровни (фазы) зрелости: блаженного неведения, осведомленности, коррекции и совершенства. Вторая же состоит из: эры охотников и собирателей, феодальной эры, эры Ренессанса и индустриальной эры. Модель же прописанная в стандарте СТО БР ИББС-1.0-2006 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения», полностью заимствована из стандарта CoBIT.

Уровни зрелости ИБ

К сожалению, ни одну из вышеописанных моделей нельзя безоговорочно использовать для сравнения России и остального мира с точки зрения ИБ. Поэтому можно предложить выделить следующие 5 уровней зрелости, характеризующиеся приведенными в таблице ниже ключевыми особенностями.

Пять уровней зрелости ИБ

Уровень «0» Отсутствует процессный подход к информационной безопасности
Информационная безопасность воспринимается как технологическая задача
Руководство компаний не принимает никакого участия в вопросах безопасности
Безопасность прерогатива подразделений ИБ, а не сотрудников компаний
Академическое сообщество страны не занимается исследованиями в области ИБ
Отсутствие интеграции в международное сообщество
Отказ от использования международных стандартов
В-основном внедряются продукты, а не комплексные решения
Подход к безопасности реактивен
Безопасность конфликтует с ИТ
Уровень «1» Подход руководства к решению вопросов ИБ хаотичен
Подход к безопасности случаен – то реактивный, то проактивный
Безопасность начинает регламентироваться; применяются политики
Поиск взаимоотношений между ИБ и ИТ
Начинается использование «лучших практик» и стандартов
Уровень «2» Безопасность начинает измеряться, но показатели изменения находятся в развитии
Используется процессный подход
Большинство процессов регламентировано
В обеспечение ИБ вовлечены рядовые сотрудники компаний и организаций
ИБ и ИТ – едины в достижении поставленных целей
Активно используются международные стандарты
Многие угрозы предвосхищаются
Уровень «3» Начинается массовая сертификация компаний по международным системам
Безопасность тесно увязана с целями существования компании или организации
Для обеспечения безопасности используется не только «кнут», но и «пряник»
Академическое сообщество является одним из драйверов в области ИБ
Уровень «4» Информационная безопасность является приоритетным направлением для государства
Программы обучения абитуриентов согласованы не только с государством, но и с бизнесом
Бизнес активно участвует в формировании квоты на будущих специалистов по безопасности
Об информационной безопасности думают и рядовые граждане страны.

Источник: данные автора, 2007

Как можно увидеть из таблицы, одним из основных показателей, определяющих уровень ИБ, является степень вовлеченности в процесс ее обеспечения сотрудников компаний и рядовых граждан. Также меняется и подход: от реактивного на низших ступенях до проактивного на верхних.

Россия и Запад

Надо четко понимать, что если мы хотим использовать модель зрелости для сравнения, то сравнивать необходимо только равноценные объекты. При этом и параметры оценки должны быть адекватны объектам оценки. Что имеется ввиду? Если сравниваются подразделение «Т» и «Б» в одной компании, то это имеет отношение только к этой компании и ни к кому больше. Если мы сравниваем страны «Р» и «С», то мы сравниваем именно страны, а не, например, компанию «Л» в стране «Р» и компанию «Ш» в стране «С». Иными словами, если вспомнить известную поговорку о средней температуре по больнице, сравниваются именно больницы, а не пациентов в ней. Если же мы начнем трактовать сравнение стран, как сравнение отдельных компаний, то можно наткнуться на огромное количество ошибок, нестыковок, несогласий и т.д. Ведь в каждой стране есть как лидеры, так и компании, плетущиеся в арьергарде. И если в России бытует мнение, что уровень развития ИТ у нас ниже, чем, например, в США, то это касается именно страны в целом, а не отдельных ее представителей.

Именно поэтому, не вдаваясь в особенности обеспечения ИБ в различных компаниях (как лидерах так и аутсайдерах) России и других стран мира, можно только сделать такую оценку – Россия сегодня находится на 1 уровне (нулевой уровень мы оставили во времена горбачевской оттепели), США и другие страны «восьмерки» – на третьем уровне (или, если быть до конца честным, между вторым и третьим уровнями), а остальные страны – либо на первом, либо на нулевом уровнях.

Алексей Лукацкий

Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2007 г.

Техноблог | Форумы | ТВ | Архив
Toolbar | КПК-версия | Подписка на новости  | RSS