Услуги ИБ: Вводная и определения

   Подумал, и решил развить идею описанную Алексеем Волковым, что ИБ должна быть провайдером сервисов. Благо, приходилось как выступать представителем внутренней службы заказчика, так и предоставляя услуги внутренним и внешним заказчикам.

   Итак, приступим. Понятно, что стратегический выбор стать внутренним сервис-провайдером мы уже сделали (или его сделало за нас наше руководство), и для достижения этой цели у нас есть следующие задачи:

1. Построить систему маркетинга и пролажи услуг - понять что такое услуга, кто наш заказчик (или заказчики, при этом по умолчанию будем считать что бюджетами в компании распоряжаются и главы департаментов, т.е. т.н. "средний менеджмент"), какие услуги и с какими параметрами ему нужны, как мы будем отслеживать удовлетворенность заказчика (а может и управлять ей;)
2. Построить систему учета ресурсов и управления финансовой эффективностью - организовать учет затрачиваемых для организации услуги ресурсов, научиться бюджетировать наши затраты и выставлять "счета" заказчикам
3. Построить систему управления услугами - понять какие процессы и с какими метриками нам нужны для управления услугами, какие компетенции\технологии и в каком количестве нам нужны 
4. Построить систему найма и обучения персонала - создать модель компетенций в области ИБ, выстроить систему обучения - периодичность, источник финансирования, измерение эффективности обучения, наконец - управление провайдерами обучения, как минимум по параметрам качества обучения и его стоимости

   Тема большая, так что будем есть слона по кусочку;) Итак, что же такое "услуга"? Если взять классическое определение из ITILv3 (официальный русский перевод) то это "Способ предоставления ценности заказчикам через содействие им в получении конечных результатов, которых Заказчики хотят достичь без владения специфическими затратами и рисками", т.е. полезная для конечного бизнес-результата деятельность, добровольно закупаемая заказчиком, которая управляется не заказчиком (он не владеет специфическими затратами и рисками). Не очень похоже на активности службы ИБ, правда? Например, кто в здравом уме купит услугу расследования инцидентов, если инциденты нарушения политики ИБ могут проводиться и в отношении него?... Тут мы впервые в нашем разговоре о ИБ-услугах, сталкиваемся с таким их свойством как "вменененность". Т.е. услуги ИБ обычно вменяются к заказу, т.к. руководство организации считает их необходимыми для какой-то цели, например, для обеспечения соответствия SOX. Соответственно, появляется и понятие "добровольных ИБ-услуг", т.к. таких
   Возьмем другое классическое определение (NIST 800-27) - "активность, что поддерживает одну или более целей безопасности. Например управление ключами, управление доступом". И тут уже совсем другая ситуация - заказчики у нас теперь руководствуются не бизнес-целями а целями безопасности (может они не разделяют эти цели в данном случае?), да и сами заказчики не упомянуты, может заказчиком в множественном числе и нет, а есть всего 1, то бишь руководитель?.. Для простоты назовем его CEO;) Тут разговор о вменененности не идет, т.к. уж СEO в рамках организации мы ничего вменить не можем
   Итого, мы получили аж 2 определения услуг, и 3 их вида, с соответствующими заказчиками и стейкхолдерами (заинтересованными лицами):

1. Бизнес-ориентированные "добровольные" услуги, заказчики и стейкхолдеры - главы департаментов
2. Бизнес-ориентированные "вмененные" услуги, заказчики - главы департаментов, стейкхолдеры - руководство
3. Организационно-ориентированные услуги, заказчик и стейкхолдер - CEO

   Засим откланяюсь. Продолжим в следующий раз!:)