Требования к соблюдению компаниями законодательства о защите данных и стандартов безопасности ужесточаются с каждым годом. Чтобы не запутаться в правилах и регламентах, нужна система мониторинга процедур защиты данных. В статье мы разбираемся, подходят ли для этих целей ITSM (IT Service Management, сервисный подход к управлению ИТ-услугами) и ESM (Enterprise Service Management, управление корпоративными услугами) и какими функциями они для этого должны обладать.
В основе ИТ лежат управление, риски и соблюдение требований. Несмотря на кажущуюся простоту, легко запутаться во множестве фреймворков, лучших практик, гайдлайнов, стандартов и «ценных советов». А когда компания наконец решает, каких фреймворков будет придерживаться, нужно определиться с системой управления этими фреймворками. Или, как это часто бывает, организации просто внедряют разрозненные системы для каждого фреймворка в отдельности.
Но не лучше ли создать единую интегрированную систему управления (Integrated Control System, IСS), которая объединит все аспекты сервисов, процессов и стандартов в одну интеллектуальную систему? И почему бы не использовать для этого существующую систему управления ИТ-услугами или компанией? Это единое решение позволит оптимизировать управление, сэкономить время и повысить эффективность рабочих процессов.
Чтобы успешно объединить фреймворки в одной системе управления, нужно ответить на вопрос, есть ли у них точки соприкосновения. И если на эти фреймворки действительно распространяются общие принципы, будет ли правильным использовать одну общую систему для поддержки и мониторинга этих структур? Какие требования должны быть к этой системе управления? Соответствует ли нынешняя ITSM-система компании этим требованиям?
Постараемся дать ответы на все эти вопросы.
О стандартах ISO
Прежде всего нужно понять, что каждый сервис для управления фреймворками служит разным целям:
- CobIT дает ИТ-отделу представление о том, что нужно делать. Начиная с настройки бизнес-процессов на высшем уровне, заканчивая мелочами, связанными с обработкой запросов на обслуживание.
- ITIL помогает определить, как достичь поставленных целей. В этих массивах знаний содержится передовой опыт и рекомендации по разработке, внедрению и сопровождению процессов и процедур.
- ISO/IEC — стандарты, которые помогают оценить, правильно ли все сделано. Это эталон, который помогает дать гарантию качества.
- SOC 2 и другие стандарты и сертификаты. Они могут отличаться подходами, но в их основе много общего.
Обзор ISO-стандартов
ISO 27001 — один из самых известных стандартов информационной безопасности. Он описывает, как создавать, внедрять, эксплуатировать, контролировать, анализировать, поддерживать и улучшать систему управления информационной безопасностью (Security Management System). Кроме того, в нем указано 35 целей контроля и 115 элементов управления, которые компания может использовать для повышения ИТ-безопасности.
ISO 27701 — после вступления в силу общего положения о защите данных (GDPR) каждая организация, которая обрабатывает персональные данные граждан ЕС, должна соответствовать этому стандарту. Стандарта ISO 27001 здесь недостаточно, так как конфиденциальность — это больше, чем просто информационная безопасность. По сути, ISO 27701 расширяет стандарт 27001 и объясняет, как создавать, внедрять, эксплуатировать, контролировать, просматривать, поддерживать и улучшать систему управления информацией о конфиденциальности.
ISO 20000 — стандарт управления ИТ-услугами. Как и другие стандарты ISO, он включает в себя действия высокого уровня: создание, внедрение, эксплуатацию, мониторинг, обзор, поддержку и совершенствование системы управления информацией.
ISO 22301 — описывает требования к системе управления непрерывностью бизнеса для снижения вероятности возникновения инцидентов и для правильного реагирования и восстановления, если инцидент все же произошел. Непрерывность бизнеса изначально тоже была частью стандарта 27001, но ее сочли достаточно важной, чтобы выделить отдельный стандарт. Стандарт оказался особенно полезен во время пандемии.
ISO 9001 — устанавливает требования к системе менеджмента качества. Принципы качества полезно применять ко всем видам деятельности, которыми занимается компания.
Общие элементы разных стандартов ISO
С годами Международная организация по стандартизации (ISO) осознала, что между разными стандартами систем управления есть много общего, и начала разрабатывать для них единый язык и структуру.
Так, общий язык начинается со списка действий высокого уровня (создание, внедрение, эксплуатация, мониторинг, обзор, поддержка и совершенствование), которые необходимо выполнить. Но есть и другие сходства.
Единая структура
Все стандарты систем управления ISO должны иметь одну и ту же структуру. Это прописано в 10 пунктах структуры высокого уровня (HLS), которым должны соответствовать все стандарты ISO. Это гораздо больше, чем просто приведение всего к единому внешнему виду: единая структура обеспечивает лучшую интеграцию между системами разных дисциплин.
Что входит в эти 10 пунктов?
- Сфера применения.
- Нормативные ссылки.
- Термины и определения.
- Контекст организации.
- Руководство.
- Планирование.
- Поддержка.
- Деятельность.
- Оценка эффективности.
- Улучшение.
Все эти элементы — основа системы управления.
Очевидно, что, какая бы система управления ни была в организации, контекст и руководство будут одинаковыми. Необходимо найти такие пункты для каждой используемой системы управления. После того, как вы заложите основу для одной системы управления, она сможет охватить много областей для другой системы.
Объединение усилий в интегрированную систему управления
Объединение фреймворков в интегрированную систему управления также связано с объединением усилий. Преимущества этого очевидны в следующих областях.
Повышение осведомленности о рисках
Это важный фактор для достижения результатов, независимо от того, внедряете ли вы концепцию Комитета по изменениям (Change Advisory Board) или обучаете сотрудников способам реагирования на утечки данных. Обучение людей и изменение их поведения — задача руководства. Она очень важна, так как в этом случае компания решает проблему человеческого фактора. Если отсутствие знаний у сотрудников становится проблемой, нужно понять, какое еще отсутствие за ней стоит: «отсутствие интереса», «отсутствие руководства», «отсутствие координации». Хотя интегрированная система управления не устранит нехватку знаний, она может помочь убрать препятствия к их получению.
Регистрация, мониторинг, анализ производительности
Эти понятия хорошо знакомы специалистам по управлению ИТ-услугами. И, объединив опыт в области ISO 20000 (для управления ИТ-услугами) с элементами других систем управления, можно добиться еще большего успеха.
Внутренний аудит и управленческая экспертиза
ISO 27001 добавляет две важные концепции, которые очень интересны в контексте управления услугами.
Первая — это требование создать программу внутреннего аудита для системы управления. Подумайте о постоянном совершенствовании ITIL как о функции. Эта концепция очень хорошо вписывается в ITSM, особенно если объединить услуги, операции, качество, безопасность, конфиденциальность и непрерывность бизнеса. При правильном выполнении внутренний аудит станет значительным вкладом во внутренние и внешние улучшения.
Вторая концепция стандарта ISO 27001 — это управленческий обзор. В ITIL есть повторяющийся риск «Недостаточная приверженность руководству». В какой-то момент этот риск стал распространенным оправданием для объяснения неудач. ISO 27001 мягко возвращает ответственность руководителям. Как только этот процесс будет налажен, высшее руководство оценит масштабы системы управления и преимущества, которые она дает.
Цели и средства управления
Глядя на цели и средства управления, становится ясно, что управление услугами может многое прояснить. В стандартах ISO 20000 и ITIL содержится множество указаний о том, как обращаться с управлением инцидентами и управлением изменениями. Например, Приложение A. 16.1 стандарта ISO 27001 посвящено управлению инцидентами, событиями и недостатками информационной безопасности. Внедрение этих процедур без проверки зрелости текущего управления ИТ-инцидентами было бы ошибкой.
Организация всегда должна начинать с тех решений для управления инцидентами, изменениями и проблемами, которые у нее уже есть. После этого станет понятно, что нужно добавить для безопасности или конфиденциальности.
6 требований к интегрированной системе управления
Есть множество причин для создания интегрированной системы управления поверх существующей системы управления ИТ или корпоративными услугами. Вопрос в том, подходит ли существующая система для поддержки GRC и систем контроля качества. Ниже мы рассмотрим 6 требований, которым она должна отвечать, чтобы стать настоящей интегрированной системой управления.
Разделение данных
Конфиденциальность данных — одна из основ информационной безопасности. Помимо нее есть еще разделение обязанностей — важное требование стандартов ISO. Это значит, что системе управления услугами нужны возможности для разделения данных и функций. Например: если ноутбук одного из сотрудников украли или потеряли, в ITSM-системе появится тикет на замену устройства. Но если в ноутбуке хранятся конфиденциальные данные и есть опасность, что доступ к ним был недостаточно защищен, инцидент попадет в обработку к команде по защите данных. Этот тикет будет невидим для ИТ-специалистов, так как в нем может содержаться конфиденциальная информация об утерянных данных.
Проверяемые процессы и повторяющиеся задачи
При внедрении систем GRC и контроля качества в определенный момент требуется подтвердить соответствие или сертификат. Для этого нужны внешние аудиторы. Их работа состоит в том, чтобы найти соответствие между тем, что организация говорит и делает, и тем, что происходит на самом деле.
С помощью повторяющихся задач можно реализовать то, что было указано в средствах управления и для подтверждения соответствия. Например, в политике безопасности есть правило, по которому любой ИТ-специалист должен проходить обучение информационной безопасности каждые 6 месяцев. В этом случае стоит выбрать повторяющуюся задачу для этого вида деятельности, которая будет назначена каждому ИТ-специалисту.
Рабочие процессы поддерживают шаги, которые описаны в планах реагирования на проблемы безопасности. Например, план реагирования на утечку данных описывает, что нужно предпринять в случае утечки, и поддерживается рабочим процессом с задачей для каждого из этих шагов.
Целевые данные и SLA
Большинство регламентов для защиты и безопасности данных включают целевые данные, утечка которых может привести к серьезным штрафам. Например, GDPR (General Data Protection Regulation, общий регламент защиты данных) обязывает сообщать об утечках персональных данных надзорному органу в течение 72 часов с момента получения информации о нарушении. Системе управления услугами нужны эффективные инструменты для определения и мониторинга этих целевых дат.
Управление корпоративными услугами
Безопасность управления корпоративными услугами — ответственность каждого. Хорошей отправной точкой может стать портал самообслуживания системы управления корпоративными услугами, доступ к которому есть и у внутренних, и у внешних пользователей. Портал самообслуживания предоставляет доступ к информации и возможность отправлять запросы в любой отдел. При этом важное место нужно отводить безопасности и защите данных.
Портал управления корпоративными службами может помочь с повышением знаний о безопасности. Он может давать пользователям доступ в один клик к домену безопасности и защите данных. Система управления гарантирует, что разные домены поддержки могут сотрудничать и использовать одни и те же данные, когда это разрешено, или использовать свои собственные данные, когда это необходимо.
Инвентаризация активов и регистрация рисков
В соответствии с ISO 27001 необходимо проводить инвентаризацию активов. Под активами компании понимается все, что приносит пользу. Например, аппаратное и программное обеспечение, инфраструктура, люди, услуги на аутсорсе. Эти активы — ключевой элемент выявления рисков. А значит, у системы управления услугами должны быть возможности для регистрации активов, привязки к владельцу и инструменты для создания реестра рисков со ссылками на активы. Этот реестр — связующее звено между системами управления.
Дашборд и отчетность
Наконец, дашборд и отчетность нужны как для эффективного управления ИТ-услугами, так и для обеспечения информационной безопасности. Будь то оперативная панель управления ежедневными операциями или отчетность для аудитора.
Применение комплексного подхода, объединение системы управления ИТ-услугами и системы ИТ-безопасности дают много преимуществ. Компания может эффективнее использовать ресурсы и уменьшить трудоемкость работы. А благодаря общему языку и подходу к управлению рисками можно добиться более четкого понимания потребностей и ожиданий заинтересованных сторон. Компании не должны пытаться создать разные процессы для обычного инцидента, инцидента с безопасностью или утечки данных. Вместо этого все инциденты нужно рассматривать в рамках последовательного и гибкого процесса, который позволяет использовать одни и те же инструменты и язык. Важно убедиться, что система управления услугами соответствует требованиям к интегрированной системе управления.
