Кирилл БосовПочему важно согласовать перечень недопустимых событий с топ-менеджментом
Руководство организации знает, какие события могут нанести непоправимый ущерб ее деятельности, и поэтому непосредственно участвует в составлении перечня недопустимых событий. Дальнейшая детализация недопустимых событий — определение сценариев реализации и других технических деталей недопустимых событий и анализ этой информации с точки зрения кибербезопасности — находится вне области внимания руководства. В этих активностях задействованы IT-специалисты и эксперты ИБ, задача которых — поддерживать киберустойчивость организации. Чтобы их работа была эффективна, необходимо согласовать с руководством необходимые проекты по кибербезопасности и выделить ресурсы для реализации принципов результативной кибербезопасности.
Важно агрегировать собранную информацию о недопустимых событиях и сценариях их реализации в лаконичное представление, которое будет понятно широкому кругу лиц: не все представители руководства, принимающие решения, погружены в детали построения бизнес-процессов, вопросы их IT-обеспечения и сопутствующие риски. Их решение будет зависеть от того, насколько убедительны и понятны представленные результаты.
Форма представления результатов по недопустимым события и их согласование
Сценарии реализации недопустимых событий дополняют и поясняют актуальность ранее сформированных гипотез о таких событиях. Потенциальных сценариев отдельно взятого недопустимого события может быть достаточно много, однако для презентации руководству важно выделить основные. Емкая формулировка двух-трех сценариев поможет быстрее провести согласование и в дальнейшем сформировать область работ, которая будет включать различные процессы, системы и специалистов компании.
Примеры в правом столбце иллюстрируют избыточность формулировок, которые понятны только специалистам по информационной безопасности, и не несут ценной информации для руководства или владельцев недопустимых событий.
Дополнительной полезной информацией послужат релевантные примеры возможного ущерба, наносимого организации в случае реализации сценария, а также целевые информационные системы организации, значимость и назначение которых известны целевой аудитории.
Рисунок 1. Пример оформления слайда с детализацией недопустимого события для согласования с представителями руководства
Кроме того, важно определить способ согласования перечня недопустимых событий, соответствующий принятым в организации подходам. Это может быть:
- организация встречи с руководством для презентации результатов работ и обсуждения дальнейших действий;
- предоставление пояснительной записки и презентаций руководству в письменной форме для рассмотрения и обсуждения.
В презентации (пояснительной записке) важно привести следующую информацию:
- почему мы говорим о недопустимых событиях;
- резюме по недопустимым событиям, которые были выделены после общения с руководством;
- как проводилось уточнение сценариев реализации недопустимых событий (например, какие подразделения участвовали, какие системы были в области обсуждения);
- представление возможных сценариев недопустимых событий (дополнительно можно указать, какие процессы и системы затрагивают эти сценарии, а также к каким негативным последствиям может привести их реализация);
- дальнейшие шаги по обеспечению киберустойчивости организации и нейтрализации выявленных сценариев (например, проведение верификации недопустимых событий, разработка стратегии кибертрансформации и дорожных карт);
- запрос на получение согласованного решения руководства о проведении работ по исключению возможности реализации недопустимых событий.