Кирилл БосовСогласование перечня недопустимых событий и способов их реализации с топ-менеджментом
Кирилл БосовКирилл БосовКирилл БосовРуководство организации знает, какие события могут нанести непоправимый ущерб ее деятельности, и поэтому непосредственно участвует в составлении перечня недопустимых событий. Дальнейшая детализация недопустимых событий — определение сценариев реализации и других технических деталей недопустимых событий и анализ этой информации с точки зрения кибербезопасности — находится вне области внимания руководства. В этих активностях задействованы IT-специалисты и эксперты ИБ, задача которых — поддерживать киберустойчивость организации. Чтобы их работа была эффективна, необходимо согласовать с руководством необходимые проекты по кибербезопасности и выделить ресурсы для реализации принципов результативной кибербезопасности.
Важно агрегировать собранную информацию о недопустимых событиях и сценариях их реализации в лаконичное представление, которое будет понятно широкому кругу лиц: не все представители руководства, принимающие решения, погружены в детали построения бизнес-процессов, вопросы их IT-обеспечения и сопутствующие риски. Их решение будет зависеть от того, насколько убедительны и понятны представленные результаты.
Сценарии реализации недопустимых событий дополняют и поясняют актуальность ранее сформированных гипотез о таких событиях. Потенциальных сценариев отдельно взятого недопустимого события может быть достаточно много, однако для презентации руководству важно выделить основные. Емкая формулировка двух-трех сценариев поможет быстрее провести согласование и в дальнейшем сформировать область работ, которая будет включать различные процессы, системы и специалистов компании.
Примеры в правом столбце иллюстрируют избыточность формулировок, которые понятны только специалистам по информационной безопасности, и не несут ценной информации для руководства или владельцев недопустимых событий.
Дополнительной полезной информацией послужат релевантные примеры возможного ущерба, наносимого организации в случае реализации сценария, а также целевые информационные системы организации, значимость и назначение которых известны целевой аудитории.
Рисунок 1. Пример оформления слайда с детализацией недопустимого события для согласования с представителями руководства
Кроме того, важно определить способ согласования перечня недопустимых событий, соответствующий принятым в организации подходам. Это может быть:
В презентации (пояснительной записке) важно привести следующую информацию: