Екатерина КощееваПочему важно вовлечение руководства
В предыдущих статьях рассматривался порядок определения недопустимых для организации событий. Значимые роли в этом процессе отводятся высшему руководству организации и руководителям функциональных направлений. Топ-менеджмент формирует первоначальные гипотезы о недопустимых событияхТоп-менеджмент формирует первоначальные гипотезы о недопустимых событияхТоп-менеджмент формирует первоначальные гипотезы о недопустимых событиях, а руководители подразделений уточняют необходимую информацию о направлениях в их зоне ответственности и задействованных информационных системахзадействованных информационных системахзадействованных информационных системах.
Именно руководство в первую очередь заинтересовано в успешном функционировании организации и, как следствие, в том, чтобы сделать невозможными те события, которые могут стать непреодолимым препятствием на пути к достижению стратегических и операционных целей.
Поэтому крайне важными факторами для успешного исключения таких событий являются формирование на уровне топ-менеджмента правильного целеполагания и демонстрация лидерства в отношении важности результативной кибербезопасности, а также поддержка со стороны руководства ключевых инициатив, направленных на исключение возможности реализации недопустимых событий.
Как определить владельцев недопустимых событий
Для контроля каждого недопустимого события рекомендуется назначить владельца недопустимого события — ключевое лицо в рамках функционального направления, наиболее заинтересованное в том, чтобы конкретное недопустимое событие не произошло. Рекомендуется назначать представителей высшего руководства организации, поскольку именно они обладают соответствующими полномочиями и необходимыми ресурсами для принятия решений, направленных на исключение недопустимых событий.
Так, конечная ответственность за управление финансами организации лежит на финансовом директоре, поэтому целесообразно назначить его владельцем недопустимых событий, связанных с прямыми финансовыми потерями (например, мошенническим выводом денежных средств со счетов организации). К зоне ответственности операционного директора могут быть отнесены недопустимые события, связанные с остановкой операционных процессов организации (например, простой в работе корпоративной инфраструктуры или недоступность клиентских сервисов).
Дополнительными источниками информации при определении владельцев недопустимых событий могут служить описания структуры или бизнес-процессов организации. Распределение ответственности также может осуществляться с учетом сложившихся в организации подходов к риск-менеджменту (например, к управлению операционными и стратегическими рисками).
В отдельных случаях за одним недопустимым событием возможно закрепить несколько владельцев, если рассматриваемое событие лежит в плоскости нескольких функциональных направлений организации или несколько лиц заинтересованы в управлении этим недопустимым событием. В подобных случаях важно обеспечивать координацию деятельности по управлению таким недопустимым событием между всеми его владельцами.
Важно отметить, что в зоне ответственности руководителей ИБ- и ИТ-функции лежат задачи по непосредственной реализации мер, направленных на поддержание киберустойчивости организации и исключение недопустимых событий. Поэтому для соблюдения принципа разделения ответственности рекомендуется избегать возложения на них обязанности владения.
Инициатива в поднятии вопросов об определении недопустимых событий, оценке их возможных последствий, текущей и желаемой степени защищенности организации от недопустимых событий должна исходить от топ-менеджмента. Кроме того, руководство должно согласовывать решения о реализации соответствующих инициатив, выделении необходимых ресурсов, а также контролировать достижение результата.
Обязанности владельцев недопустимых событий
Обязанности владельцев могут зависеть от конкретного недопустимого события, принятых в организации подходов к риск-менеджменту или установленных внутренних процедур взаимодействия. Можно выделить следующие ключевые зоны ответственности владельцев в процессе управления недопустимыми событиями:
- Формирование плана действий. Владелец должен привлекаться к разработке мер по управлению конкретным недопустимым событием. Такие инициативы могут затрагивать трансформацию бизнес-процессов (например, выстраивание ролевой модели, внедрение дополнительных механизмов контроля), изменение IT-инфраструктуры (например, внедрение мер по усилению ее защищенности).
- Согласование плана. Ответственные за недопустимые события должны участвовать в согласовании плана действий по исключению недопустимых событий: утверждать бюджеты и сроки реализации запланированных инициатив, а также обеспечивать достаточность ресурсов для выполнения плана.
- Контроль исполнения плана. Владельцы должны на регулярной основе контролировать исполнение согласованных инициатив по недопустимым событиям, находящихся в их зоне ответственности. При необходимости корректировки плана владельцы должны привлекаться к согласованию таких изменений.
- Проверка внедренных мер на практике. Владельцы недопустимых событий заинтересованы в эффективности внедряемых мер, направленных на невозможность реализации недопустимых событий. Рекомендованной практикой по подтверждению эффективности реализованных мер является их практическая проверка в рамках киберучений на собственной IT-инфраструктуре организации либо в формате программ bug bounty на специальных платформах. Результаты таких практических проверок должны рассматриваться лицами, ответственными за недопустимые события, для принятия решений о достаточности существующих мер защиты или о необходимости их доработки.
- Пересмотр и актуализации перечня недопустимых событий. В случае существенного изменения технологических и бизнес-процессов или IT-инфраструктуры организации владельцы недопустимых событий должны привлекаться к уточнению перечня недопустимых событий. Подробнее о формировании и актуализации перечня недопустимых событий можно почитать в соответствующей статьев соответствующей статьев соответствующей статье.
Рисунок 1. Обязанности владельцев НС
Ответственность за недопустимые события рекомендуется закрепить в соответствии с принятыми в организации подходами (например, это может быть сделано в формате приказа о назначении ответственных за недопустимые события в рамках процедуры утверждения перечня недопустимых событийв рамках процедуры утверждения перечня недопустимых событийв рамках процедуры утверждения перечня недопустимых событий). Кроме того, хорошей практикой является формирование матрицы ответственности, в которой соответствующие недопустимые события будут распределяться между конкретными должностями (владельцами недопустимых событий). Вместе с тем рекомендуется зафиксировать обязанности владельцев во внутренних документах организации.