Во многих отношениях необходимость соответствия требованиям стандартов и нормативов, как государственных, так и отраслевых, представляет собой новый вызов в области безопасности. Это “горячая” тема, она никуда не исчезнет в ближайшее время, и ею кормится множество консультантов и производителей, старающихся заработать деньги и на существующем многообразии мнений, и на реальных задачах. Однако насколько велика данная проблема в области ИТ — совершенно другой вопрос, поскольку здесь выше всего ставят такую вещь, как best practice. “Что делать” — это понимается более чем детально, а вот “как это обеспечить” представляет собой предмет горячего обсуждения.
Поскольку хорошие ИТ-профессионалы обычно стремятся уделить особое внимание документированию и проверке процессов и задач, они могут предполагать, что всё идет по плану, пока кто-нибудь не выскажет противоположное мнение. Конечно, не всегда происходит именно так, насколько я помню из моих первых аудитов в качестве ИТ-менеджера. Задача обеспечения соответствия и ее отношение к управлению рисками и их контролю сегодня понимается лучше, чем когда-либо, как бизнесом в целом, так и ИТ-отраслью в частности.
В совокупности руководство, управление рисками и обеспечение выполнения требований часто обозначаются аббревиатурой GRC (governance, risk management and compliance). Такое объединение под общей вывеской весьма разумно, поскольку эти три области тесно связаны, соответствующие задачи часто пересекаются и перекрываются.
Реальность такова, что моделирование обеспечения соответствия строится на требованиях контроля рисков, и по мере того, как меняется фокус внимания к различным специфическим проблемам, меняются и требования, выдвигаемые к ИТ. Важно помнить, что эта задача не решается простым достижением неких контрольных значений. В зависимости от природы конкретного бизнеса, его структуры и расположения могут существовать различные уровни правил и нормативов, требующих своего выполнения.
Тем не менее, как считает вице-президент и исследователь Gartner Френч Колдуелл, реальность такова, что в точке, где эти задачи начинают влиять на ИТ, они взаимодействуют друг с другом вместо того, чтобы вступать в противоречие. В качестве примера он приводит законы о неприкосновенности частной жизни, указывая, что даже несмотря на многообразие культур и юридических систем, все эти законы следуют общему набору основополагающих принципов, из которых выводится стандартный набор правил.
Это распространяется и на другие области, принося пользу и ИТ, и бизнесу, поскольку рационализация правил снижает возможный объем для проведения аудита. Колдуелл утверждает, что при серьезном подходе к этой задаче число правил и норм может снизиться на 30%. Соответственно уменьшается и количество требований с последующей проверкой степени их исполнения, сокращаются реальные затраты на обеспечение соответствия этим нормам и положениям, устраняется пересечение между различными схемами.
Один из вопросов, которые при этом возникают, — как выполнение требований соответствия в ИТ связано с общей корпоративной политикой в области соответствия государственным, отраслевым и внутренним нормам и стандартам? Крис Мак-Клин, старший аналитик Forrester Research, считает, что несмотря на выгоду от взаимной координации этих процессов с точки зрения процедур восстановления, отчетности и даже базовой терминологии, существует так много различных составляющих ИТ-угроз, отличающихся от общих угроз для предприятия, что необходимо решение этих задач развести по различным областям. Этому противоречит мнение Колдуелла из Gartner, на чей взгляд задача обеспечения соответствия нормативам может быть решена только в рамках общей корпоративной стратегии, причём ИТ играют сразу несколько важных ролей в этой программе.
Решение из коробки?
Хотя проблему соответствия нормативам в ИТ нельзя решить простой покупкой того или иного продукта, существует несколько компаний-разработчиков, предлагающих разные способы автоматизации внедрения и проверки необходимых практик. Колдуелл считает, что главное преимущество от внедрения корпоративных инструментов управления GRC состоит в возможности рационализации правил и требований, которые необходимо вытащить из электронных таблиц и почтовых сообщений и перевести в общий набор записей.
Наиболее удачные из этих инструментов, как используемых самостоятельно, так и взаимодействующих с крупными системами корпоративного управления, разработаны в рамках проекта Unified Compliance Framework (UCF), который совместно выполняют две компании — юридическая Latham & Watkins и консалтинговая Network Frontiers.
Платформа UCF основывается на анализе того, что называют “нормативными документами” в форме руководств по проведению аудита, контрактных обязательств, законов, стандартов и подобных им инструкций и правил. Как указано на веб-сайте этого проекта, более семисот подобных документов было использовано при создании текущей версии платформы. Среди них — самые известные материалы и стандарты, такие как ISO 9000, ITIL, Six Sigma, подготовленный в университете Карнеги-Меллон фундаментальный труд Operationally Critical Threat, Asset and Vulnerability Evaluationи ещё свыше десятка документов, посвященных этой теме, включая международные и национальные стандарты и профессиональные практики.
Очевидным преимуществом любого готового решения по обеспечению соответствия перед самостоятельной разработкой является то, что в первом случае тяжелая работа, необходимая для согласования противоречивых на первый взгляд требований, уже выполнена. Недостаток такого подхода, как указывает Колдуелл, заключается в не слишком быстрой реакции поставщика готового решения на изменения правил и требований.
В сухом остатке заявление “мое ПО не сообщило мне, что это неправильно” немногим лучше оправдания “мое домашнее задание съела собака”. Конечно, любая готовая система управления выполнением требований отводит часть времени на конфигурирование и окончательную настройку — чтобы учесть последние изменения в законодательстве или особенности местных требований. К счастью, инструменты, позволяющие обеспечить соответствие требованиям в ИТ, не вызывают, как это ни странно, особых проблем в установке. Более того, системы, разработанные на платформе UCF, могут быть выполнены как в виде стандартного ПО, так и в качестве облачного сервиса класса software-as-a-service (SaaS).
Для организаций, вложивших деньги в существующие системы управления предприятием, такие инструменты могут быть разработаны просто как дополнительные модули, считает Колдуелл. “В прошлом у вас был только один выбор: объединять различные части в единое целое, — говорит он. — Но теперь мы видим, что крупные поставщики ERP-решений, такие как SAP и Oracle, и некоторые разработчики систем бизнес-аналитики вроде IBM и SAS стремятся сразу предоставить заказчику полное интегрированное решение”.
Вызовы для ИТ
Пока что предлагаемые для предприятий программные средства не очень хорошо решают важнейшую часть задачи контроля уровня соответствия, связанную с обслуживанием компьютерной техники. “Их недостатки проявляются в мониторинге ИТ-инфраструктуры, — отмечает Колдуелл. — В предлагаемых решениях существует возможность мониторинга ИТ на уровне приложений, но когда речь заходит об автоматическом мониторинге конфигурации серверов, правил и уязвимостей, то такой функционал отсутствует”.
Наряду с ростом внимания к проблеме обеспечения соответствия мы наблюдаем завершение глобальной революции в ИТ, крупнейшей со времени перехода на идеологию вычислений “клиент — сервер”. Виртуализация может упростить физическую инфраструктуру за счет консолидации хостов и улучшения управляемости, но она же добавляет и уровень сложности при проверке системы на соответствие требованиям. Существующие сейчас так называемые “инструменты обеспечения соответствия для виртуализации” решают скорее задачу проверки соответствия конфигурации, чем какую-либо еще.
С точки зрения проверки использования конкретной виртуальной машины и установленных на ней программных средств эти инструменты не сильно отличаются от систем управления физическими серверами, которые предлагают изготовители компьютеров. Пройдет еще несколько лет, прежде чем появятся системы, способные одинаково легко выполнить оценку соответствия требованиям как на уровне приложений, так и на уровне аппаратной части, прогнозирует Колдуелл. “IBM, вероятно, ближе всех к решению данной задачи, — добавил он, — благодаря тому опыту, который она получила при разработке инструментов сетевого управления, входящих в семейство Tivoli”. По сути ответ на вопрос “как нам обеспечить выполнение требований соответствия?” заключается в другом вопросе: “Как вы используете ИТ?”.
С одной стороны, если вы находитесь на переднем крае технологической революции и активно внедряете только что появившиеся технологические новинки, шанс найти на рынке готовое решение невысок. С другой, если ваша организация использует хорошо проработанную экосистему, подобную хорошо продуманному и проверенному временем развертыванию ERP-системы, то в ней, возможно, уже есть интерфейсы для подключения инструментария обеспечения соответствия, созданного специально для взаимодействия с уже установленными в сети программными средствами