Екатерина КощееваОпределение лиц, ответственных за недопустимые события
Ядро методологииЕкатерина КощееваЕкатерина КощееваЕкатерина КощееваВ предыдущих статьях рассматривался порядок определения недопустимых для организации событий. Значимые роли в этом процессе отводятся высшему руководству организации и руководителям функциональных направлений. , а руководители подразделений уточняют необходимую информацию о направлениях в их зоне ответственности и .
Именно руководство в первую очередь заинтересовано в успешном функционировании организации и, как следствие, в том, чтобы сделать невозможными те события, которые могут стать непреодолимым препятствием на пути к достижению стратегических и операционных целей.
Поэтому крайне важными факторами для успешного исключения таких событий являются формирование на уровне топ-менеджмента правильного целеполагания и демонстрация лидерства в отношении важности результативной кибербезопасности, а также поддержка со стороны руководства ключевых инициатив, направленных на исключение возможности реализации недопустимых событий.
Для контроля каждого недопустимого события рекомендуется назначить владельца недопустимого события — ключевое лицо в рамках функционального направления, наиболее заинтересованное в том, чтобы конкретное недопустимое событие не произошло. Рекомендуется назначать представителей высшего руководства организации, поскольку именно они обладают соответствующими полномочиями и необходимыми ресурсами для принятия решений, направленных на исключение недопустимых событий.
Так, конечная ответственность за управление финансами организации лежит на финансовом директоре, поэтому целесообразно назначить его владельцем недопустимых событий, связанных с прямыми финансовыми потерями (например, мошенническим выводом денежных средств со счетов организации). К зоне ответственности операционного директора могут быть отнесены недопустимые события, связанные с остановкой операционных процессов организации (например, простой в работе корпоративной инфраструктуры или недоступность клиентских сервисов).
Дополнительными источниками информации при определении владельцев недопустимых событий могут служить описания структуры или бизнес-процессов организации. Распределение ответственности также может осуществляться с учетом сложившихся в организации подходов к риск-менеджменту (например, к управлению операционными и стратегическими рисками).
В отдельных случаях за одним недопустимым событием возможно закрепить несколько владельцев, если рассматриваемое событие лежит в плоскости нескольких функциональных направлений организации или несколько лиц заинтересованы в управлении этим недопустимым событием. В подобных случаях важно обеспечивать координацию деятельности по управлению таким недопустимым событием между всеми его владельцами.
Важно отметить, что в зоне ответственности руководителей ИБ- и ИТ-функции лежат задачи по непосредственной реализации мер, направленных на поддержание киберустойчивости организации и исключение недопустимых событий. Поэтому для соблюдения принципа разделения ответственности рекомендуется избегать возложения на них обязанности владения.
Инициатива в поднятии вопросов об определении недопустимых событий, оценке их возможных последствий, текущей и желаемой степени защищенности организации от недопустимых событий должна исходить от топ-менеджмента. Кроме того, руководство должно согласовывать решения о реализации соответствующих инициатив, выделении необходимых ресурсов, а также контролировать достижение результата.
Обязанности владельцев могут зависеть от конкретного недопустимого события, принятых в организации подходов к риск-менеджменту или установленных внутренних процедур взаимодействия. Можно выделить следующие ключевые зоны ответственности владельцев в процессе управления недопустимыми событиями:
Рисунок 1. Обязанности владельцев НС
Ответственность за недопустимые события рекомендуется закрепить в соответствии с принятыми в организации подходами (например, это может быть сделано в формате приказа о назначении ответственных за недопустимые события ). Кроме того, хорошей практикой является формирование матрицы ответственности, в которой соответствующие недопустимые события будут распределяться между конкретными должностями (владельцами недопустимых событий). Вместе с тем рекомендуется зафиксировать обязанности владельцев во внутренних документах организации.