Проблематика формирования процесса автоматизации управления данными менеджмента информационной безопасности

Аннотация:

В статье представляется исследование политик информационной безопасности (далее — ИБ) в плоскости формирования, критериальных характеристик, категорирования, в части касающейся описания проблематик вопроса автоматизации процессов потокового документооборота, с приведением превентивных и вариативных выборок. Вопрос рассматривается со стороны системы менеджмента информационной безопасности (далее — СМИБ).

В статье представлены форматы частных и общих политик ИБ относительно рынка Российской Федерации, включая меры управления секторами организационной-структуры предприятия, данных обрабатываемых внутри организации в плоскости категорирования коммерческой тайны (далее — КТ), целочисленных показателей формирующихся данных и соответствующей корреляции. Данные форматы рассматриваются со стороны принятых практик на территории РФ, включая перенятый опыт от зарубежных коллег, "бестпрактик", канонов и иного рода вариатив, которые применяются в настоящее время.

Также, стоит отметить, что популярность автоматизации процессов ИБ первоочередно связана с тем, что число рисков, инцидентов ИБ критически растет с каждым днем. Прогрессирующие злоумышленники стали понимать детально принципы работ организаций, которые подвергаются атакам, при этом им удается входить в группу доверенных пользователей из-за недостатка компетенций и сотрудников в данных компаниях.

Также злоумышленники научились применять более совершенные средства, методы для организации вторжений, "эксплойтов" и иного, для получения конфиденциальной информации, мошеннических действий и информации ограниченного доступа. Данной тематике уделена значительная часть профильных статей по ОИБ.

Введение

Процессы автоматизации СМИБ, а также управления данными внутри организации, включая их сегментацию, — выражаются документационным потоковым сопровождением в формате интерпретации данных через несколько смежных систем внутри инфраструктуры организации. Процесс управления и корреляции соотносится с подсистемами информационной безопасности, которые выстраиваются в организациях для децентрализации защиты информации.

Действующее законодательство РФ регулирует поддержание и оптимизацию эффективности защиты КТ, информации ограниченного доступа (далее — ОД) со стороны секторов ответственности по УК, ГК РФ, как пример с КИИ по ФЗ РФ №187. Отметим, что законодательная часть сильно разнится с практической реализацией касательно конфиденциального и не конфиденциального потокового документооборота внутри организации, направленного на структурную модель и формирование политик по обеспечению ИБ (в нашей парадигме — защите информации) в любой организации для их целостного функционирования, что позволяет иметь рентабельность и конкурентоспособность на рынке [1].

Инфраструктура организации и СМИБ: "тонкие" моменты, степень значимости

На данный момент времени, опираясь на специфику СМИБ, относительно обеспечения потокового документооборота по действующему законодательству внутри инфраструктуры организации соотнесем следующие "тонкие" моменты:

1. Перед любой структурированной организацией стоит острая необходимость в полной автоматизации конфиденциального и не конфиденциального документооборота. Это необходимо для поддержания конкурентоспособности и защиты информации, которая может привести к потерям позиций на рынке. Согласно нормативно-правовой части законодательства РФ — управление, формирование, сопровождение и внедрение в промышленную эксплуатацию СМИБ связанно с адекватным функционированием самой инфраструктуры организации (как пример: APT через RaaS, DRP и т.д.) по политикам управления, методам, отчетной деятельности и тому подобное;
2. В настоящих условия функционирования любой организации как структурированного органа требуется особый подход к разработке и внедрению в промышленную эксплуатацию СМИБ с последующим масштабированием, сопровождением квалифицированными специалистами, в связи с целевыми потребностями и нуждами организаций. А именно сохранение КТ, конфиденциальности и позиций на рынке. Для всех организаций, согласно их ОКВЕДам, условным и фактическим политикам ИБ, режимам организации, иерархической структуры и управления, ресурсного обеспечения и поддерживания основных и второстепенных процессов доступны к использованию средства, и методы автоматизации документационного потокового оборота;
3. Для итерационной разработки и релизов в промышленную эксплуатацию продуктов организации (в том числе оркестрами ASTO и применения Shift-Left подхода), является необходимая аналитика и аудит ИБ. Основополагающие процессы построения СМИБ и направлений Secure SDLC «вытекают» из имеющихся проблем управления и инцидентов, рисков ИБ;
4. Необходимость произведения итерационной разработки продуктов организации и решений касается, в том числе соблюдения политик ИБ, относительно подсистем ИБ и контроля целостности обрабатываемых данных. Основываясь на имеющейся управленческой структуре организации, центра компетенций и поддержания зрелости организации для обеспечения ИБ — строится СМИБ. Стоит отметить, что построение касается не только организационно-распорядительной документации (далее — ОРД), но в том числе и практики применения Security Champions [2-3];
5. Необходимость аудита и приведения структурной обработки информации внутри инфраструктуры в плане документооборота (любого вида информации и ее категории значимости), в том числе управления и распределенности обработки и хранения данных для последующей аналитики формирования СМИД для предотвращения утечек КТ, информации ОД;
6. Корреляция обработки поступающего документооборота в инфраструктуру организации посредством запретительного и разрешительного доступа (выстраивание RBAC по IAM — с категорированием уровней пользователей и речь не только про использование дискреционного механизма, а в том числе и классификационных меток на основании PKI), модернизации информации и ее обработки, изменения контрольных сумм файлов, изменений каналов связи, сторонних ресурсов на аутсорсинге типа облачных ЦОДов, и тому подобное, — что касается работоспособности и ликвидности инфраструктуры организации.

Отметим, что данные "тонкие" моменты принципиальны для владельцев бизнеса, в особенности на конкурентноспособном рынке. Данные аспекты позволяют контролировать и оптимизировать "проблемные" бизнес-процессы (далее — БП), в том числе позволяют предотвращать утечки конфиденциальной информации, КТ и информации ОД. В СМИБ также присутствует категорирование по инцидентам и рискам ИБ, которая позволяет выстраивать критически важные моменты процессного контроля кадрового состава организации. Также самым важным для бизнеса является его стоимостная оценка, от чего и зависит значимость обеспечения целостности, доступности и конфиденциальности информации внутри организации, и его продуктов.

Проблематика построение процессов СМИБ

Следует отметить, что реализация итерационной разработки и последующего внедрения СМИБ включает в себя ряд проблематик, обусловленных статусом организаций и степени зрелости, а именно:

1. Неликвидный период обработки информационного потокового документоборота, которая отражается на всех БП организации, включая второстепенные процессы:
   1.1. Верификация информации внутри инфраструктуры, посредством бумажных носителей рукописным способом или на печатных изданиях, что приводит к возникновении определенных трудностей для распознавания рукописного текста, из-за факта индивидуального шрифта каждой личности и психического фона, в том числе определенных «меток». В том числе из-за специфик каллиграфических возможностей каждой личности в отдельности и превентивного отношения, а также при переносе данной информации — посредством АРМ и корректности заполняемых форм и их полноты. Данная документация также хранится и сопровождается путем архивирования дел в выделенных помещениях (как история с категорированием по ПДн, согласно ФЗ РФ №152 от 01.03.2021). При длительном хранении документов, как архивного дела, происходит процесс деструкции, который заключается в выцветании машинопечатаемой краски и видоизменения физического носителя информации, посредством вспомогательных факторов, таких как: условия хранения, температурная среда, уход за бумажными изделиями и тому подобное (как пример по ПДн — хранение 50 лет информации, согласно ст. 434, 435, 444, 449 и т.д.) [4];
   1.2. Неликвидная скорость обработки информации по временному интервалу, который сопровождается специализированными отчетными формами, сопроводительными метками, сметами и определенными специализированными регламентами, внутри организации, специфичных меток, сопровождаемым структурным персоналом организации. То есть представляется определенная комплектация документации в форматах от 3 до 100+ страниц информации на физическом носителе;
   1.3. Территориальная распределенность и обособленность структурных подразделений организации, посредством территориального расположения, по мимо фактического и юридического адреса, то есть по всем «представительствам» организации и управленческого состава, по факту: утверждения, изменения, корреляции и тому подобное. Данный формат приводит к необходимости согласовывания с головным офисом данной организации по области действия и потребности распределения документации между «представительствами» и подразделениями, в двустороннем порядке, но в силу удаленности и географических особенностей местности – занимает значительный отрезок времени, даже путем почтовых, курьерских, либо иного рода миграционных отправлений, относящейся к внешним органам, к которым обращается организация, в том числе по факту передачи пакетов данных. В следствии чего, общий промежуток времени для обработки и взаимодействия потоковой документационной информации может составлять от 5 до 30 рабочих дней, в том числе смежных организаций, участвующих в обособлении данных отношений.
2. Увеличение роста потокового оборота документации внутри организации, который представляется как пропорциональный рост информации на физических и электронных носителях документации, по всем структурным подразделениям организации. Данный аспект реализуется посредством процессов обрабатываемой информации, такой как: сметы, формы, заявления от персонала организации и граждан, а также иного рода документации, используемой в потоковом документообороте. Следовательно, пропускная способность инфраструктуры по потоковому документообороту (включая интеграционные стыки систем типа ЭДО, СРМ и иное) подвергается более длительному процессу сбора, обработки, хранения, заверения информации и тому подобное, по той причине, что не представляется возможность формирования модифицируемости информации вновь поступаемой, а лишь взаимодействие непосредственно с конкретным узким перечнем данных, которая ограничивается условиями промышленной эксплуатации. Для данного формата принципиальным является выстраивание процессов масштабируемости и адекватности реализации добавочного функционала под нужны организации, за исключением практик формата win2win. Это приводит к понижению ликвидной скорости обработки информации, зависящей от объёма обрабатываемой информации, а также к необходимости расширения архивных баз данных на физических и электронных носителях, включая использования аутсорсинговых мощностей и расширения скоупа инфраструктуры. В свою очередь это приводит к расширению управленческих мощностей, модификации и сопровождения, обеспечения условий эксплуатации и хранения, приводящей к увеличению загруженности кадрового состава структурных органов организации;
3. Невозможность непосредственной установки прямого канала информационной связи, а также физического обмена потоковой документации (например, в Retail — DRP на ТТ на инфраструктуру), между всеми подразделениями и ведомствами организации. Описанная проблематика обуславливается факторами, такими как:
   3.1. Нормативные, управленческие и организационные требования, которые включают в себя запретительные политики подключения к единой путем VDI/RA, к общей сети передачи данных (ЛВС, сети интернет) или же систем, у которых в архитектуре предусмотрен прямой коннект во вне. Также сюда соотносятся программно-аппаратные возможности организации и лицензируемый софт. Также соотносится функционирование и позиционирование управленческой деятельности организации. Данные аспекты обуславливаются вовлечённостью в процессы обеспечения ИБ, посредством структурирования политик, правил, регламентов и процессов СМИБ, также применение методологий: SLA, ITIL, S.M.A.R.T., концепции Agile в Product Pipelines и тому подобное. Данные форматы крайне важны для служебного пользования, рабочих задач, а также КТ, информации ОД;
   3.2. Географическая удаленность структурных подразделений организации, контрагентов и тому подобное, что не позволяет организовать, по нормативно-организационным и правовым аспектам обеспечения ИБ, защищенный канал связи и вследствие обеспечить оптимальную ЗИ, в соответствии со всеми аспектами и форматами по законодательству РФ;
   3.3. Формат доступных объемов средств, представляемых на финансировании и субсидиарной основе для департаментов, в свою очередь, накладывают специфические ограничительные форматы работы организации для потенциальных возможностей установления электронных каналов связи между структурными подразделениями и выстраивания контроля управления всех "проблемных" БП;
   3.4. Также в зависимости от программно-аппаратных комплектующих СВТ, ЛВС, АРМ, обоснованного управленческими принципами, выделенным бюджетом и другими организационными основами;
   3.5. Параметры работоспособности уже имеющихся ИС и сред по потоковому документообороту, управлением персоналом и тому подобное, внутри организации.
4. Обусловленность за неимением полноценно удовлетворяющего готового решения или решений для обособления автоматизации конфиденциального и не конфиденциального документооборота внутри данной организации. Имеющиеся на сегодняшний день продуктовые решения, включая Enterprice- уровня не обладают системами обеспечения автоматизации СМИБ, которые учитывали бы специфику деятельности организаций и реализовывали децентрализацию основополагающих форм управления и обеспечения ИБ. Данные решения также не удовлетворяют структурированности и целевым нуждам организации относительно НПА и ФЗ, ПП РФ, в части касающейся обеспечения ИБ. Это обуславливается именно решением выбора единого продукта под все нужды организации, но автоматизация процессов требует доработки на стороне инфраструктуры конечного заказчика и дополнительных мощностей для поддерживания структурной направленности [5];
5. Ограниченность технологической и программно-аппаратной базы автоматизации любого рассматриваемого организационного строя, представляется однотипным, таким как:
   5.1. Минимальная функциональная и технологическая производительность имеющегося в промышленной эксплуатации оборудования в составе: АРМ, СВТ, ЛВС – внутри организации, что используется для упрощения сопровождения и обслуживания для максимизации прибыли чистой прибыли;
   5.2. Организационные и правовые аспекты требований, и рекомендаций к составу программно-аппаратного обеспечения, которое инсталлируется на АРМ организации и вследствие рентабельности амортизации;
   5.3. Сегментированность ЛВС и СВТ, АРМ в вышеизложенных перечнях, включая отсутствия контроля трафика и пакетов IPS;
   5.4. Отсутствие установленных стандартов, рекомендаций, постановлений формата обмена информацией между органами внутри и вне организации, также сотрудничающими организациями в том числе;
   5.5. Политики обеспечения законодательных, управленческих и организационных аспектов внутри организации и обеспечения АИС, в том числе обеспечения ИБ и тому подобное в формате win2win;
   5.6. Форматы работы структурного персонала организации, временного промежутка инициирования работоспособности организации, концессии и тому подобное.
6. Отсутствие функциональной возможности набора и формирования кадрового состава в соотношении с техническими специалистами (разработка под ИТ, сопровождение инфраструктуры), специалистами в области управления проектной части в рамках продуктов (не только стейкхолдеров) внутри организации. Подбор кадрового состава любой организации удовлетворяет специфичным требованиям, которые соотносятся с организационными, управленческими и правовыми аспектами РФ, в плане обоснованности процессов по выдаче и подаче потокового документооборота внутри и вне организации.

Следует отметить, что формализация решения данной проблематики представляется как формат адаптации и сужения кадрового состава по профильным областям относительно конкретных узких органов управления организации, в плане их конкретной унификации. Данное расширение подразумевается за счет расширения квалифицированных технических специалистов, но дает в свою очередь увеличение сроков реализации, что не подходит в парадигме win2win позиции. Данные специалисты являются важной рёберной точкой роста для организации, которая позволяет решить много узких и проблемных мест, что в свою очередь дает формат построения СМИБ, в плане масштабируемости. В том числе, данные аспекты позволяют контролировать узкие места внутри инфраструктуры организации. Также, адекватным является нецелесообразность применения аутсорсинга или аутстафа из-за принципиальных отличий в плане подрядных работ. Отметим, что профильные инженерные специалисты в разных профессиональных областях ценней, чем общий классификатор специалистов (как пример дробление в ИТ позиций СТО или градация по Product Owner'ам). Данные аспекты важны, в части контроля и противодействиям касающейся нарушениям КДОУ, КТ, информации ОД. Данные обстоятельства приводят к упрощению роста организации и делает фактически возможным оптимизацию БП, в плоскости СМИБ [6].

Вывод

Подводя итоги вышеизложенного, можно сделать вывод в плане необходимости формулировки конечной потребностей организации не в виде эпиков, а конкретных пользовательских историй, которые являются наиболее значимыми. Можно выделить направления в обеспечении автоматизации процессов документационного потокового обеспечения, которые, в свою очередь, позволяют обеспечить повышение эффективность и эргономичности уже функционирующей инфраструктуры организаций и оптимизации "проблемных" БП, а именно:

1. Максимально развернуть и автоматизировать потоковый документооборот внутри и вне организации, в плане обеспечения целостности, доступности и конфиденциальности информации;
2. Установление начальной минимальной цены в плане бюджетных средств, финансирования, субсидирования и представления технических, и кадровых ресурсов, которые задействованы в обеспечении автоматизации потокового документооборота организации, а также программно-аппаратных комплексов СЗИ и технологического оборудования в целом. То есть подготовки реестра информационных ресурсов, листов спецификаций и иного рода Wiki-документации;
3. Стандартизировать формат и способ обмена информационными потоковыми данными между структурными органами, а также контрагентов, филиалов, представительств, дистрибьютеров — в том числе DRP;
4. Максимально возможно упростить техническую и программно-аппаратную реализацию инфраструктуры (включая понимание принципов — Infrastucture-as-a-code в плоскости Everything-as-a-code) для обеспечения технической и вариативной поддержки, в сопровождении промышленной эксплуатации, в том числе модификаций с опосредованно узким кругом специалистов внутри организации, с целью минимизации вложений и представленных рисков — в совокупности;
5. Представить полномасштабные вариативы оптимизации "проблемных" БП, как масштабируемости, развернутости, эргономичности и тому подобное, что позволяло бы осуществлять – модификации внутри и вне автоматизированной СМИБ, с целью достижения целевых нужд относительно ТТ, ТЗ организации в целом, опираясь на обеспечение ИБ — в формате SCRUM;
6. Представление переучета контрольного листа спецификаций возможностей прототипирования в уже существующих, и применяемых ИС;
7. Представление решения по упрощению систематизации, хранения, использования и учета потоковой документации по архивному делу, в том числе на электронных носителях с форматом применения усиленной квалифицированной электронной подписи на базе PKI;
8. Модифицированное управление документооборотом, его вариативностью, конвертацией;
9. Полная интеграции в существующие технологические процессы организации в соотвествии управления, упорядочивания, порядковой структуры, постановлений, приказов и рекомендаций по специфике работы организации и, следовательно, возможностью его вариативного изменения.

В статье приведены конечные форматы смежных политик ИБ на базе методологий разработки СМИБ, включая методов и средств управления, включая оценочные метрики проблематики для бизнеса, а также точек роста посредством "реперных" точек — под определенными видами нагрузок, стрессовых режимов по "проблемным" БП [7].

Приведенные процессные решения могут предоставить организациям увеличение прибыли, контроль версионности, предотвращение вторжений, минимизаций рисков и обеспечить доверенный уровень среди своих пользователей, что поднимет активы и пассивы организации на рынке.

В заключении стоит соотнести версионность непосредственной разработки СМИБ и вывода в промышленную эксплуатацию, в отношении политик представления соответствия цена-качество, так как от этого зависит напрямую основополагающая часть реализации, в части касающейся разработки и прототипирования СМИБ, включая соответствующее сопровождение и смежных методов с данными форматами.

P.S.: если ставите минус, прокомментируйте, пожалуйста, дабы в будущем мне не допускать подобных ошибок.