Методология
kbosov.jpgКирилл Босов

Почему важно участие топ-менеджмента

Высшее руководство организации заинтересовано в успешной работе компании, которая выражается в достижении результатов и поставленных целей. Для этого руководители участвуют в принятии широкого круга решений в стратегически важных областях. Они учитывают ключевые факторы, которые оказывают положительное или негативное влияние на деятельность организации, и анализируют возможные последствия.

Помимо желаемых эффектов для каждой области деятельности организации, существуют и такие события, которые могут нарушить ее работу и стать непреодолимым препятствием на пути к достижению операционных или стратегических целей. В связи с этим руководство организации должно определить, какие недопустимые события необходимо своевременно принять во внимание, и обеспечить меры по их исключению.

Перечень недопустимых событий, составленный с участием высшего руководства, становится объектом дальнейшего анализа для выявления и устранения их возможных причин. Так, если недопустимым событием является нарушение функционирования публичного сервиса, то устранение возможных причин данного события лежит в том числе в области кибербезопасности, поскольку киберпреступники способны оказать воздействие на системы и информацию, которые обеспечивают работу сервиса.

Поэтому широкое понимание высшим руководством стратегических целей, ключевых направлений деятельности и факторов успеха организации крайне важно для ее кибербезопасности. Их участие поможет сформулировать гипотезы по событиям, наступление которых может нанести катастрофический ущерб деятельности, и правильно выстроить защиту от них.

Как провести обсуждение недопустимых событий с топ-менеджментом

Целью обсуждения с представителями высшего руководства является сбор гипотез для формирования общего перечня недопустимых для организации событий

Рабочая группа инициирует обсуждение гипотез о том, что недопустимо для организации, и для этого формирует список представителей из числа высшего руководства и экспертов, участие которых важно для формирования перечня недопустимых событий.

Определить состав участников поможет:

  • информация об организационной структуре;
  • паспорта и карты бизнес-процессов;
  • результаты оценки влияния чрезвычайных ситуаций на ключевые области и бизнес-процессы организации.

Обсуждение может быть организовано в виде стратегической сессии, совещания, круглого стола или мозгового штурма. Его проведение может осуществляться как выбранным представителем рабочей группы (например, ее руководителем), так и представителями сторонних экспертных организаций в области кибербезопасности.

Гипотезы формируются исходя из влияния недопустимых событий на основную деятельность организации. На данном этапе они могут не учитывать технологическую специфику ведения деятельности и меры контроля, которые уже применяются, но должны формировать представление о том, что может привести к катастрофическому ущербу для организации.

В целях построения результативной кибербезопасности из общего списка гипотез о недопустимых событиях, сформированного в результате обсуждения с высшим руководством, будут выбраны те, наступление которых возможно в результате кибератаки на цифровые системы организации.

Для эффективного проведения встречи с руководством воспользуйтесь следующими рекомендациями:

ШагОписание
1. Предварительно подготовьте план встречиПлан проведения совещания должен однозначно отражать цели и предполагаемые результаты обсуждения. Встреча состоит из презентационной и совещательной частей. Презентационная часть представляет собой вступительную беседу, в которой разъясняется суть предлагаемого подхода к обеспечению результативной кибербезопасности в организации. Совещательная часть предполагает дискуссию с представителями руководства об актуальности обсуждаемых гипотез и их уточнение.
2. Согласуйте время проведения встречи с ее основными участникамиЭффективное проведение совещания возможно при участии представителей высшего руководства организации, отвечающих:
- за ключевые направления ее деятельности;
- стратегические развитие, достижение бизнес-показателей и цифровизацию;
- обеспечение устойчивости и управление рисками.
Правильный подбор участников и согласование условий проведения встречи, подходящих для всех, важно для обеспечения эффективности коммуникации и может повлиять на общую продуктивность встречи.
3. Подготовьте презентационные материалыМатериалы должны отражать вводную информацию, описывающую концепцию определения недопустимых событий, их место в обеспечении кибербезопасности организации и подготовленные общие примеры с гипотезами о недопустимых событиях по ключевым направлениям деятельности организации. Осуществить предварительный сбор информации о недопустимых событиях, актуальных для организации, поможет «Типовая форма анкеты для определения недопустимых событий», приведенная в конце статьи.
4. В ходе проведения совещанияПосле представления основных принципов результативной кибербезопасности организации совместно с руководителями проводится обсуждение гипотез о недопустимых событиях. Важно собрать мнения о том, какие события недопустимы для каждого из участников в их области деятельности по следующим возможным категориям:
- финансовые потери (незаконный вывод денежных средств);
- искажение (утрата) рабочих данных или функциональных сведений;
- остановка или сбои операционных или технологических процессов из-за недоступности поддерживающих их информационных систем;
- утечка конфиденциальных сведений.
На данном этапе важно обсудить возможные пороговые значения допустимого ущерба, например длительность остановки деятельности или финансовые показатели. Данная информация поможет выявить критически важные и приоритетные для исключения недопустимые события.
5. Подведение итогов и дальнейшие шагиИтоги обсуждения фиксируются в протоколе совещания, и на их основе формируется первая версия предварительного перечня недопустимых событий. Его уточнение будет проводиться в рамках дальнейших этапов работ. Так, после определения недопустимых событий с высшим руководством организации, проводятся работы с операционными руководителями по уточнению сценариев того, как эти события могут быть реализованы. В дальнейшем уточняется технологическая специфика и критерии реализации недопустимых событий со специалистами по ИТ и ИБ. Итоговые результаты проведенных работ представляются руководству, согласовываются и принимаются на уровне организации.

Привлечение представителей руководства и состав участников выполнения плана мероприятий по обеспечению результативной кибербезопасности представлены на схеме:

Рисунок 1. План мероприятий по обеспечению результативной кибербезопасности

Типовая форма анкеты для определения недопустимых событий

Данный опросный лист предназначен для предварительного сбора информации об актуальных для организации недопустимых событиях, исключение реализации которых является одной из ключевых задач результативной кибербезопасности.

Ответы на приведенные ниже вопросы помогут сформировать гипотезы о недопустимых событиях, которые будут анализироваться в ходе дальнейших работ.

ВопросОтветКомментарии
Укажите ключевые направления деятельности организацииПеречислите основные функции организации, на которых нам следует акцентировать внимание при определении недопустимых событий
Укажите, являются ли, на ваш взгляд, актуальными и опасными для организации недопустимые события в следующих областях:☐ Финансовые потери (незаконный вывод денежных средств)[дополните ответ]
☐ Искажение (утрата) рабочих данных или функциональных сведений[дополните ответ]
☐ Сбои или остановка операционных или технологических процессов из-за недоступности поддерживающих их информационных систем[дополните ответ]
☐ Утечка конфиденциальных сведений[дополните ответ]
☐ Другое[дополните ответ]
Какие информационные системы, на ваш взгляд, являются наиболее важными для работы организации? (системы, компрометация или взлом которых может привести к реализации недопустимых событий)Укажите наименования информационных систем и кратко опишите их назначение.
Примеры:
- «1С:Предприятие» — оперативное управление организацией
- СЭД/ЭДО — электронный документооборот
- CRM — ведение данных о клиентах