Разработка стратегии информационной безопасности и управления рисками
Часть 4

Андрей Тимошенков
директора по развитию сервисов компании Softline

На стадии внедрения стратегии и ее операционной поддержки необходимо: учесть влияние географических особенностей, в которых действует организация; принять решение о степени соответствия отраслевым стандартам; определить последствия за несоблюдение требований и политик ИБ в компании; создать надзорный орган в соответствии  с действующей организационной структурой; обеспечить нужный уровень коммуникаций при внедрении стратегии; адаптировать восприятие стратегии ИБ к   организационной   культуре; перейти на разговор в терминах управления рисками.

Географические особенности

Особенности законодательства различных стран не могут не учитываться при разработке стратегии ИБУР, если стратегия будет затрагивать не одно организационное подразделение, а несколько территориально отдаленных друг от друга. Множество стандартов, практик и методов обеспечения ИБ могут быть приемлемыми для одной страны и совсем неприменимыми для другой. Ярким примером может быть различие в подходах к реализации программ осведомленности персонала в США и Германии. В США принято, обучив персонал, регулярно проводить испытания персонала и вывешивать их результаты на всеобщее обозрение для всех сотрудников организации, однако такой подход совершенно не может быть применен в Германии в связи с некоторыми нормами гражданского законодательства этой страны. Для нашей страны можно привести пример с цифровыми расследо ваниями, практика применения которых за границей довольно распространена, но, будучи слепо перенесенными на нашу почву, могут не принести результатов в силу различий в законодательстве и нормах права.

Соответствие стандартам и риски

Давление регулирующих норм и стандартов зачастую является основным двигателем при разработке стратегии ИБУР. Разработчики стратегии и руководство часто упускают из виду вопрос: до какой степени организация считает необходимым соответствовать отраслевым стандартам, законодательным нормам и требованиям третьих лиц (клиентов, партнеров). Множество организаций вкладывают значительные денежные и человеческие ресурсы, чтобы соответствовать тем или иным регулирующим нормам и стандартам. Но такой подход чреват издержками. Можно порекомендовать предварительно оценить последствия, которым подвергнется организация, если она не будет соответствовать или частично следовать стандартам. Во многих случаях полное соответствие тому или иному стандарту может негативно действовать на повседневную деятельность.

Однако очень часто организации будет довольно сложно оценить ущерб для себя от несоответствия той или иной норме закона или стандарту, особенно если те не имеют никаких судебных прецедентов или сами не определяют последствий несоблюдения.

В любом случае организации необходимо продолжать разработку стратегии ИБУР и разумно соотносить ее с множеством отраслевых практик и рекомендаций, вместо следования одному какому-либо стандарту.

Управление последствиями несоблюдения

Что произойдет, если какая-либо группа сотрудников организации не соответствует требованиям и правилам, разработанным в рамках стратегии ИБУР? Определение последствий несоблюдения позволит решить данные вопросы и повысит уровень вовлеченности сотрудников в реализацию стратегии. Последствия несоблюдения стратегии могут избираться отделом ИБ в широком диапазоне в зависимости от организационной культуры: от простого принятия риска и соответственно переноса ответственности за связанные с ним последствия с отдела ИБ на сотрудников, допустивших нарушение до карательных санкций по отношению к нарушителям вплоть до их увольнения.

Уровень взаимодействия заинтересованных сторон

На заключительном этапе при проектировании стратегии необходимо обеспечить достаточный уровень коммуникаций между отделом ИБ и другими организационными подразделениями. Речь здесь не идет о тренингах или программах повышения осведомленности. На этом этапе важно определить и утвердить формальный план двусторонних или многосторонних коммуникаций между отделом ИБ и всеми вовлеченными в реализацию стратегии сторонами. Управление на основе такого плана даст необходимые гарантии того, что все участвующие стороны взаимодействуют адекватно.

Все коммуникации должны отслеживаться, а информация об их объеме и качестве должна собираться и предоставляться на заседаниях контрольного комитета наряду с метриками. Такой подход убедит топ-менеджмент в том, что стратегия и вся отчетность в рамках ее реализации основываются на достоверной информации.

Коммуникации и повышение осведомленности

Коммуникации и осведомленность персонала – жизненно важные элементы стратегии ИБУР. Общение и взаимодействие людей лежит в основе развития любых организационных инициатив и изменений. При этом важно помнить, что способы и стиль коммуникаций основываются на культуре организации.

Необходимо использовать несколько видов связи, а также постоянно укреплять отношения отдела ИБ с сотрудниками других отделов. Если электронные средства связи подходят для сообщений общего характера, то для обмена ключевой информацией подойдет зачастую только человеческое общение и двусторонний разговор.

Культурные изменения: безопасность и управление рисками

Одним из главных изменений в организационной культуре после разработки стратегии ИБУР должно стать видение того, как деятельность по обеспечению безопасности рассматривается всеми сотрудниками внутри организации.

Как отмечалось ранее, информационная безопасность часто рассматривается руководством организаций как препятствие на пути к успеху, а не как возможность для развития бизнеса. Это происходит оттого, что многие специалисты в области ИБ при взаимодействии с руководством своих организаций излишне концентрируются на технологической стороне вопроса, забывая о том, какое впечатление они тем самым оказывают на свое руководство. Топ-менеджмент после совещаний с главным по ИБ зачастую вынужден приостанавливать важные для развития и укрепления бизнеса инициативы в угоду реализации тех или иных функций отдела ИБ. Об этом нельзя забывать, иначе само слово "безопасность" начнет быстро приобретать негативный оттенок в сознании руководства, ассоциируясь с какими-то ограничениями и препятствиями. Такое положение дел можно достаточно просто исправить, если в названии группы, занимающейся разработкой стратегии ИБУР, использовать слово "риск", а также вместо подхода, сфокусированного исключительно на обеспечении безопасности, использовать подход, ориентированный на управление рисками.

Риск – это то, чем бизнес привык управлять в своей повседневной практике. Топ-менеджмент скорее примет рекомендации отдела ИБ, если специалисты ИБ будут предоставлять им информацию с точки зрения рисков для бизнеса.

После того как утвержден приемлемый для каждого из важных бизнес-процессов уровень информационного риска, функции ИБ могут быть вполне логично и обоснованно представлены руководству организации в качестве средства, с помощью которого организация и будет достигать приемлемого уровня рисков.

Опираясь в предлагаемом подходе, по сути, на корпоративную систему управления рисками, которая, как правило, имеется в каждой организации (вопрос только, в какой форме), отдел ИБ в конечном счете достигнет своей главной цели – сможет наладить эффективную работу процессов ИБ в организации с учетом ее бизнес-целей.

Заключение

Процессы обеспечения ИБ в организации будут по-прежнему рассматриваться с негативных позиций ее руководством и сотрудниками, и не принесут ощутимой выгоды, если не будет разработана и утверждена  четкая  стратегия ИБУР. Таким образом, разработка стратегии ИБУР является ключевым элементом повышения уровня зрелости процессов ИБ в организации.

Поскольку целью обеспечения безопасности является поддержка бизнеса, стратегия ИБУР должна разрабатываться с учетом интересов всех ключевых бизнес-подразделений. Рекомендовано при этом использовать и внедрять в деятельность отделов и служб безопасности инструментарий риск-менеджмента.

После внедрения эффективной стратегии процессы ИБУР принесут реальную пользу, значение которой может быть по достоинству оценено за счет таких показателей, как уровень сокращения инцидентов ИБ и снижение затрат, связанных с защитой информации.

Насколько успешна принятая в организации стратегия ИБУР, можно понять из того, насколько эффективно бизнес использует ее в своей повседневной деятельности. Если процессы ИБУР полностью интегрированы в деятельность по принятию всех ключевых решений в организации, а топ-менеджеры регулярно консультируются с отделом ИБ, значит, стратегия попала в точку. Если же бизнес по-прежнему боится и предпочитает не использовать инструменты ИБУР за исключением тех ситуаций, когда без привлечения специалистов ИБ просто нельзя обойтись, такая стратегия ИБУР нуждается в существенной корректировке.