четверг, 31 января 2013 г.

Услуги ИБ: Маркетинг. Часть 2 - Подход ITIL

   Всем привет, и надеюсь, что читателям еще не надоела тема услуг ИБ:) Немножко вспомним прошлое - 2 недели назад я дал ключевые определения, а неделю назад смотрел какие таксономии услуг ИБ есть в мире.
    И повторюсь, оказалось, что все услуги будут т.н. "вмененными" или "управленческими" - т.е. источником покрытия средств будет бюджет подразделения ИБ (но за услуги такого рода в компаниях с развитым управленческим учетом в итоге все равно заплатят бизнес-подразделения, как минимум на них эти затраты будут аллокированы).
   Итак, приступим к анализу описания ИБ-услуг в ITIL v3 2011. Что же нам говорит ITIL об услугах в принципе? А вот что - услуга состоит из следующих компонентов:
  • полезность (функциональность или что делает услуга?) - соответствие назначению услуги (способность услуги обеспечивать некий уровень производительности бизнес-процессов либо убирать какие-то ограничения);
  • гарантия (качество или как предоставляется услуга?) - соответствие требованиям (уверенность в том, что услуга будет соответствовать требованиям заказчика), а именно обеспечение оговоренного уровня доступности, непрерывности, мощности и безопасности.
   Как видим, сама библиотека воспринимает безопасность как подмножество качества услуги, т.е. как некоего свойства ИТ-услуг. Если вспомнить как безопасность описана в ITIL вообще, то становится понятным, что библиотека видит безопасность как "нечто" спускаемое Советом директором, и задача ИТ это "нечто" просто выполнить, т.е. А) проконтролировать что бы требования ИБ были применены везде и Б) отчитаться "ИБ у нас там где Вы хотите".
   Однако, разве Совет директоров будет заниматься ИБ настолько глубоко что бы получились более-менее четко сформулированные требования?... Ну ладно, хотя бы правление (без выделенного специалиста по ИБ под началом)? И кто из топ-менеджмента рискнет поставить подпись, например, на политике ИБ разработанной от начала до конца внешним консультантом ничего в ней не понимая?.. Получается, что описанная в библиотеке схема в случае ее применения на 100% нежизнеспособна. Поэтому, посмотрим как еще мы можем описать безопасность используя подход библиотеки.
   Итак, раз уж мы уже посмотрели как безопасность вписана в Гарантию, прикинем как мы ее можем вписать в Полезность.
  1. Поддержка некоего уровня производительности бизнес-процесса - может ли безопасность помочь в этом вопросе? Безусловно, например, внедрив и поддерживая узел доступа в Интернет. Менеджмент сможет управлять потерями рабочего времени из-за Интернет. Вообще, поддерживать производительность возможно ведь не только устраняя издержки (как учит нас популярный подход lean), но и повышая издержки для отвлекающих факторов, например, того же Интернет;
  2. Устранение ограничений - например, законодательных. Может ли безопасность помочь? Может, да и уже помогает, например, обеспечивая соответствие PCI DDS, ФЗ-152, SOX..
   Итого - используя методологический аппарат ITIL безопасность у нас снова делится на "вмененную" или "процессно-ориентированную" (обеспечение соответствия ИТ-услуг требованиям Совета директоров, т.е. политике ИБ) и "добровольную" или "бизнес-ориентированную" (предоставление очевидно полезных заказчикам услуг). Правда, т.к. ITIL построен на принципе добровольного приобретения услуг, то "вмененность" в случае работы с ИБ услугами по такому лекалу становится довольно сложным политическим вопросом. Собственно, неким аналогом выбивания бюджета на не совсем понятные руководству организации цели.

   В следующий раз сравним оба подхода - "процессно-ориентированный" и "бизнес-ориентированный" для маркетинга ИБ.

Комментариев нет:

Отправить комментарий