|
|
По уровню зрелости ИБ Россия отстает от США, но обгоняет аутсайдеров
Любая организация, любое подразделение, любой процесс, любой человек и даже целые страны постоянно эволюционируют, проходя различные этапы в своем развитии. Чаще всего эволюция идет в направлении от простого к сложному, но иногда она делает и шаг назад. Для того чтобы своевременно оценить движение вперед или движение назад мы должны уметь оценивать свое текущее положение. Сделать это можно с помощью так называемой модели зрелости. Используемая уже не первое десятилетие модель зрелости (maturity model) имеет очень интересную и очень важную особенность – она позволяет оценить как отдельный процесс или подразделение, так и отдельную компанию или целую страну. Более того. Она может быть одинаково эффективна применена к различным дисциплинами – управлению информационной безопасностью, инвестициям и приобретению ИТ, управлению кадрами и т.д. При этом данная модель не имеет каких-либо жестких требований, не является жестким стандартом и не привязана к каким-либо технологиям. Поэтому любой желающий может разработать свою модель зрелости, ориентированную на нужное направление или сферу деятельности. Первоначально модель зрелости была предназначена для классификации и оценки проектов разработки программного обеспечения (ПО) и гарантированного соблюдения качества при ведении этих проектов. Создаваемая в конце 80-х годов по заказу Министерства Обороны США в Институте проектирования и разработки программного обеспечения (Software Engineering Institute, SEI) при Университете Карнеги Меллона, данная модель была перенесена и на многие другие дисциплины и отрасли, в т.ч. и информационную безопасность. Помимо модели зрелости SEI, существуют и другие модели. Например, в стандарте CoBIT описаны 6 уровней зрелости управления информационными технологиями. У Microsoft есть четырехуровневая модель зрелости ИТ-инфраструктуры. Также свои модели зрелости есть у компаний PMSolutions, ESA, Giga и т.д. Однако было бы неправильно считать, что модель зрелости – это панацея. У нее есть своя область применения. В частности, она не отвечает на главный вопрос – как улучшить работу оцениваемого процесса, подразделения или компании. Она всего лишь показывает их текущую позицию. Для того, чтобы перейти от одного уровня зрелости к следующему необходимы достаточно подробные руководства, которые зачастую являются предметом дорогостоящей работы консалтинговых компаний. Результатом такой работы может стать как текущий статус оцениваемого объекта, так и его позиция по отношению с лучшим объектом в той же области. Как это применить к безопасности? Информационная безопасность тоже не стоит на месте и начинает активно использовать модели зрелости для оценки уровня ИБ в компаниях и организациях. На их основе можно строить соответствующие модели для специалистов по безопасности, процессов, подразделений и т.п. Из наиболее известных моделей в области ИБ можно назвать, например, SSE-CMM для разработчиков средств защиты, модель Gartner, Burton Group или нашего Банка России. Аналитическая компания Gartner предлагает две четырехуровневые модели – для программы внедрения ИБ в компании или организации, а вторая - для процессов обеспечения ИБ. Первая включает следующие уровни (фазы) зрелости: блаженного неведения, осведомленности, коррекции и совершенства. Вторая же состоит из: эры охотников и собирателей, феодальной эры, эры Ренессанса и индустриальной эры. Модель же прописанная в стандарте СТО БР ИББС-1.0-2006 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения», полностью заимствована из стандарта CoBIT. Уровни зрелости ИБ К сожалению, ни одну из вышеописанных моделей нельзя безоговорочно использовать для сравнения России и остального мира с точки зрения ИБ. Поэтому можно предложить выделить следующие 5 уровней зрелости, характеризующиеся приведенными в таблице ниже ключевыми особенностями. Пять уровней зрелости ИБ
Как можно увидеть из таблицы, одним из основных показателей, определяющих уровень ИБ, является степень вовлеченности в процесс ее обеспечения сотрудников компаний и рядовых граждан. Также меняется и подход: от реактивного на низших ступенях до проактивного на верхних. Россия и Запад Надо четко понимать, что если мы хотим использовать модель зрелости для сравнения, то сравнивать необходимо только равноценные объекты. При этом и параметры оценки должны быть адекватны объектам оценки. Что имеется ввиду? Если сравниваются подразделение «Т» и «Б» в одной компании, то это имеет отношение только к этой компании и ни к кому больше. Если мы сравниваем страны «Р» и «С», то мы сравниваем именно страны, а не, например, компанию «Л» в стране «Р» и компанию «Ш» в стране «С». Иными словами, если вспомнить известную поговорку о средней температуре по больнице, сравниваются именно больницы, а не пациентов в ней. Если же мы начнем трактовать сравнение стран, как сравнение отдельных компаний, то можно наткнуться на огромное количество ошибок, нестыковок, несогласий и т.д. Ведь в каждой стране есть как лидеры, так и компании, плетущиеся в арьергарде. И если в России бытует мнение, что уровень развития ИТ у нас ниже, чем, например, в США, то это касается именно страны в целом, а не отдельных ее представителей. Именно поэтому, не вдаваясь в особенности обеспечения ИБ в различных компаниях (как лидерах так и аутсайдерах) России и других стран мира, можно только сделать такую оценку – Россия сегодня находится на 1 уровне (нулевой уровень мы оставили во времена горбачевской оттепели), США и другие страны «восьмерки» – на третьем уровне (или, если быть до конца честным, между вторым и третьим уровнями), а остальные страны – либо на первом, либо на нулевом уровнях. Алексей Лукацкий |
Информационная безопасность начинает использовать модели зрелости для оценки уровня ИБ в компаниях и организациях. Одним из основных показателей, определяющих этот уровень для страны, является степень вовлеченности в процесс ее обеспечения сотрудников компаний и рядовых граждан. В число наиболее зрелых стран с этой точки зрения входят США и другие страны «большой восьмерки». Россия же относительно недавно перешла с нулевого на начальный (первый) уровень.
