Ох, уж эти англиканизмы! Консалтинг – это звучит гордо! Все слышали, но не все понимают, что значат эти новомодные словечки. На самом деле консалтинг – это, по-русски, всего лишь консультирование. К примеру, жена решила порадовать мужа и обратилась к соседке за советом. А та, сказала, что путь к сердцу мужчины лежит через желудок, порекомендовала приготовить вкусные котлеты и рассказала, как это сделать. Это и есть консалтинг. А почему все-таки «консалтинг», а не русское «консультирование»? Давайте вспомним диалог из фильма «О чем говорят мужчины»: вы знаете, почему эта гренка называется «крутон»? Потому что крутон может стоить 8 долларов за штуку, а гренка – не может. Вот и объяснение.
Вместе с тем, отрицать важность и необходимость консультаций – бессмысленно. Человеческий мозг не в состоянии охватить все сферы деятельности. Часто нужны профессионалы в той или иной области. И вот тут-то без консалтеров не обойтись. Кроме того, если мы говорим о весьма специфической области информационной безопасности, то в современных условиях роста числа киберпреступлений, сложности полноценной оценки текущей ситуации и необходимости разработки эффективной стратегии информационной безопасности организации без мнения экспертов просто-напросто не обойтись.
Зачем и кому нужен консалтинг в ИБ?
Консалтинг в широком смысле слова это возмездное экспертное консультирование топ-менеджеров компании, охватывающее обширный пул вопросов, связанных с основными аспектами ведения бизнеса. Их освещение помогает оптимизировать деятельность компании, повысить ее ключевые показатели и найти решение текущей проблемы. Следовательно, консалтинг в области безопасности информации – это квалифицированное консультирование экспертами по вопросам защиты информации важной для бизнеса.
Как это ни странно прозвучит для многих ИБ-специалистов, функция обеспечения безопасности информации всегда вторична по отношению к основной бизнес-функции компании. Действительно, зачем защищать то, что не влияет на бизнес? Именно поэтому консалтинг в области безопасности информации прежде всего актуален для топ-менеджеров компании. Ключевая миссия консалтинга – перевести бизнес из текущего состояния в желаемое, оказав помощь в достижении намеченных целей и получении искомых результатов. Правда, в данном случае делается это только в области ИТ-технологий, но в наш век цифровизации это становится одним из ключевых моментов успешного бизнеса. Консалтинг в области безопасности информации помогает топ-менеджерам оценивать, анализировать и повышать эффективность бизнеса, ИТ-технологий за счет правильной работы по управлению рисками и киберзащитой. Оценка практической защищенности ИТ-технологий и влияния на бизнес происходящих и потенциальных инцидентов создает необходимые условия для оптимального планирования развития системы обеспечения безопасности информации в соответствии с бизнес-задачами, а также соответствующих ресурсов, в том числе финансовых.
Во многих компаниях цели служб обеспечения безопасности информации и бизнес-подразделений – расходятся. Зачастую служба обеспечения безопасности информации живет как бы в отрыве от задач бизнес-подразделений, что приводит к недопониманию и недовольству со стороны бизнеса. В этих условиях постоянно возникает вопрос «Сколько денег необходимо выделить на систему защиты и почему именно столько?». Как правило, ИБ-специалисты знают ответ, но не могут его донести до бизнеса, в итоге финансирование ведется по остаточному принципу. Обоснование бюджета требует достоверного определения текущего состояния защищенности и создания пропорциональной защиты. При этом основная проблема заключается в том, чтобы действительно достоверно оценить состояние защищенности, а не ограничиться умозрительными заключениями. Часто случается так, что потрачен значительный бюджет, закрыты уязвимости, создающие невысокие риски, а легко устранимые уязвимости упущены из виду, несмотря на то, что связанные с ними угрозы критичны. Вот и получается, что консалтинг нужен и ИБ-специалистам.
Ну, и, конечно, будем помнить, что результатом консультаций должны стать не красивые картинки. Такие работы проводятся не ради абстрактной красоты, а ради повышения эффективности работы. Если консультации проведены, а изменения не наступили, значит работа выполнена зря, значит это выброшенные на ветер деньги.
Когда нужен ИБ-консалтинг
Считается, что к ИБ-консалтерам обращаются чаще всего компании в критической ситуации, которые столкнулись с утечками информации и не могут своими силами решить эти проблемы так как у них нет опыта и внутренних ресурсов.
Однако кризисное консультирование – далеко не основная функция консалтинга. В экспертной помощи также нуждаются и успешные компании, если:
- ИБ-специалисты не обладают требуемым опытом знаниями, позволяющими решить текущие вопросы по обеспечению безопасности информации;
- ИБ-подразделениям требуется «незамыленный», свежий взгляд со стороны для развития новых идей и повышения эффективности своей деятельности;
- требуется объективная оценка со стороны, чтобы прийти к единому мнению при возникновении разногласий с руководством по вопросам обеспечения безопасности информации;
- требуется проведение ревизии деятельности ИБ-подразделений с привлечением независимых экспертов.
И не будем забывать, что консалтинг – это не одно и то же, что и аутстаффинг. Консалтинг заключается в подготовке рекомендаций по совершенствованию системы обеспечения безопасности информации и оценке эффективности принятых мер. При этом, выполнение рекомендаций – зона ответственности самой организации.
Что включает консалтинг (что мы предлагаем)
Прежде всего, бизнес должен признать, что самостоятельно решить возникшие проблемы – нельзя, и необходимо привлечь экспертов со стороны. Например, бизнес столкнулся с проблемой утечек конфиденциальной информации, которая потенциально может привести к снижению производственных показателей (пусть, утрата базы клиентов), но ИБ-специалисты компании не имеют опыта устранения такой угрозы. В этой ситуации обращение к сторонним консалтерам – оптимальный и разумный выход. Для начала проводится этап исследования. Консультант проводит серию интервью с ключевыми сотрудниками. На этом этапе уже выявляются проблемные зоны, противоречия. Процессы обеспечения безопасности информации – вот ключевой интерес консультанта. Изучение ИБ-процессов создает необходимые условия для оптимального планирования развития системы обеспечения безопасности информации в соответствии с бизнес-задачами компании.
Есть две основные формы консалтинга:
- методологическая;
- предметная.
Методологический консалтинг направлен на оптимизацию и совершенствование процессов обеспечения безопасности информации. Как правило, в рамках такого консалтинга на основе анализа имеющихся ИБ-процессов и текущего положения дел, эффективности внутреннего взаимодействия между подразделениями, изучения возможных путей развития готовятся:
- рекомендации по формированию (оптимизации) ИБ-подразделения, его функциям и задачам;
- рекомендации и программа мероприятий по налаживанию (совершенствованию) процессов обеспечения безопасности информации, управления информационной безопасностью (СУИБ), взаимодействия между структурными подразделениями;
- документы стратегического уровня (стратегия ИБ, положения, регламенты, методики), увязывающие цели бизнеса и цели в области ИБ, формирующие основные положения политики компании в вопросах обеспечения безопасности информации;
- методические документы по решению основных проблем обеспечения безопасности информации для конкретной компании;
- организационно-распорядительные документы компании, определяющие состав и порядок реализации принятых мер защиты информации.
Результатом проведенного методологического консалтинга будет являться целостный и логически связанный набор рекомендаций, отвечающий на основные вопросы: «В чем проблема?», «Что делать?» и «Как делать?».
При создании любой информационной системы на базе современных компьютерных технологий неизбежно возникает вопрос о защищенности этой системы от угроз безопасности информации и принятия решения по устранению этих угроз. Но прежде чем решить, как и от кого защищать информацию, необходимо уяснить реальное положение в области обеспечения безопасности информации и оценить степень защищенности информационной системы. В рамках предметного консалтинга решаются следующие задачи:
- прогнозирование – на основании проведённого анализа возможных угроз безопасности информации консультанты составляют свой прогноз перспектив наступления инцидентов безопасности информации, выявляют возможные уязвимости и слабые места системы защиты информации. Если компания самостоятельно приняла решение о применении тех или иных мер и средств защиты информации, но не знает, каких результатов ожидать, консультанты определят риски, с которыми можно столкнуться на практике и оценят ожидаемую эффективность перспективных мер. Прогноз всегда обоснован, осуществляется с использованием установленных методик и имеет четкую доказательную базу.
- ревизия деятельности (ИБ-аудит) – под аудитом подразумевается оценка текущего состояния обеспечения безопасности информации организации в целом и, в частности, используемой информационной системы на соответствие стандарту или предъявляемым требованиям. Независимый аудит текущего состояния деятельности по обеспечению безопасности информации, проводится с целью выявления проблемных участков и несоответствий установленным требованиям. (Нельзя путать понятия ИБ-аудит и ИТ-аудит. Если ИТ-аудит ставит своей целью обследование движения информационных потоков, определения оптимальной инфраструктуры ИС, удовлетворяющей потребностям бизнес-процессов, то ИБ-аудит ставит своей целью обследование процессов обеспечения безопасности информации при выполнении ИС своего главного предназначения – информационного обеспечения пользователей. При этом, предполагается, что сама ИС является оптимальной для решения бизнес-задач). Итоги аудита оформляют в форме детального отчета с предоставлением перечня рекомендованных действий для оптимизации и совершенствования защиты информации.
- экспертные консультации – эта услуга предполагает проведение консультаций как в разовом порядке, так и на основе договора длительного сотрудничества. Консультации могут быть по вопросам экспертизы предлагемых третьей стороной проектных решений в области защиты информации, экспертизы организационно-распорядительных документов на соответствие нормативно-правовым актам.
- правовая поддержка – в деятельности компаний довольно часто возникают проблемы с решением правовых вопросов: как юридически корректно построить отношения с «удаленщиками», применить DLP-систему, перлюстрировать служебную почту, подготовить организационно-распорядительные документы. Это требует глубокого знания специфической области юриспруденции – отрасли информационного права. К сожалению, юристы компаний в основном заточены на решение проблем корпоративного и трудового права и слабо разбираются в вопросах безопасности информации. В этой области без внешних консалтеров не обойтись. Итогом такого консалтинга будут корректные формулировки в договорах, соглашениях, организационно-распорядительных документах компании, позволяющие в рамках правового поля решать вопросы защиты информации.
- аутсорсинг – на аутсорсинг могут передаваться наиболее ресурсоемкие функции обеспечения безопасности информации, связанные с подготовкой к принятию решения по обеспечению безопасности информации, подготовкой решения по принятию рисков безопасности информации, выполнению отдельных функций безопасности информации, в частности: мониторинг и анализ событий, связанных с обеспечением безопасности информации, контроль за обеспечением уровня защищенности информации, периодический анализ изменения угроз безопасности информации, периодический контроль осведомленности персонала об угрозах безопасности информации и уровня знаний персонала по вопросам обеспечения защиты информации.
Высококвалифицированные эксперты нашей компании с многолетним опытом работы в сфере обеспечения безопасности информации, могут предложить упомянутые выше услуги.
С. Вихорев,
Советник Генерального директора
ООО «ИТ-Экспертиза»