В. Андрианов - Обеспечение информационной безопасности бизнеса
б) обеспечения установления целей системы менеджмента информационной безопасности и планов;
в) установления ролей и обязанностей, связанных с информационной безопасностью;
г) доведения до персонала организации о важности выполнения целей информационной безопасности и соблюдения политики информационной безопасности, об обязанностях в соответствии с законом и о потребности в постоянном совершенствовании;
д) предоставления достаточных ресурсов для установления, реализации, приведения в действие, мониторинга, проверки, поддержки и совершенствования системы менеджмента информационной безопасности;
е) вынесения решения о критериях принятия риска и приемлемых уровнях риска;
ж) обеспечения проведения внутренних аудитов системы менеджмента информационной безопасности;
з) осуществления проводимых руководством проверок системы менеджмента информационной безопасности».
Только высшее руководство компании имеет полномочия по определению уровня (порогов) для принятия рисков. Вопрос порядка обсуждения и принятия решений по порогам риска крайне специфичен для каждой организации. Это обусловлено тем, что именно руководство несет окончательную ответственность за инвестиции в СМИБ и ее эффективность и, следовательно, эффективность инвестиций организации по данной статье расходов. В этих условия стандарты выступают в качестве некоторого возможного эталона действий, но не как истина в последней инстанции. Руководство компаний находится в некотором смысле в многомерном пространстве, где оно должно сориентироваться, оценить каждый вектор и принять необходимое по ситуации решение. Рис. 25 иллюстрирует основные плоскости такого пространства для задач обеспечения ИБ.
Целями обеспечения учетности для сферы безопасности могут быть:
Три основные цели корпоративного управления информационной безопасностью
— обеспечение подотчетности совету директоров;
— определение ответственности и обеспечения разделение обязанностей;
— выделение требуемого объема ресурсной базы;
— обеспечение осведомленности о защищенности бизнеса.
Целями обеспечения потребностей бизнеса в сфере безопасности могут быть:
— установление соответствия ИБ стратегии бизнеса организации;
— базирования основных решений в сфере безопасности на результатах менеджмента риска;
— обеспечение уверенности в том, что СМИБ охватывает вопросы безопасности бизнес-процессов (процессов деятельности).
Целями обеспечения соответствия (для любого вида деятельности) могут быть:
— исполнение требований действующего законодательства и норм, имеющих отношение к информационной сфере и деятельности организации;
— исполнение в операционной среде организации принятых советом директоров и высшим исполнительным руководством внутренних нормативных документов.
Применительно к иным сферам (отмечавшимся менеджменту качества и экологии, а также к иным видам менеджмента в организации, таким как менеджмент ИТ-услуг, менеджмент риска, менеджмент цепочек поставки, менеджмент активов и т. п.), как правило, стоит схожая задача, и пространство корпоративных решений подобно за исключением своей специфичной семантики.
Вопросы обеспечения соответствия (соответствия законодательным и нормативным требованиям) — здесь меньшая, но также не всегда прозрачная составляющая. Что же касается соответствия потребностям бизнеса в вопросах защищенности, то это, как правило, на порядок большая проблема.
Обусловлена она не только и не столько сложностью проблемы идентификации опасностей бизнеса (о чем достаточно подробно было обсуждено в предыдущей главе) и выбора соответствующих мер защиты, сколько нахождением общего языка внутри организации (общего языка и алфавита общения) между бизнесом и безопасностью, внутренним контролем и информатизацией, безопасностью и внутренним контролем. Консолидирующим органом в этих условиях может выступать только лишь высшее руководство организации (внешний компетентный арбитр), несущее ответственность перед собственниками бизнеса (владельцами организации/компании) за результаты деятельности организации.
Однако, даже если высшее руководство понимает и принимает ответственность за систему менеджмента в организации, у него нет возможности участия во всех мероприятиях. По этой причине руководство должно первоначально установить политику системы менеджмента информационной безопасности, определяющую основные цели и ожидания от СМИБ с точки зрения совершенствования деятельности организации, тем более если внедряется «стандартизированная» СМИБ. «Нестандартизированная СМИБ» существует в любой организации (принимаются решения и внутренние нормативы, осуществляются инвестиции в ИБ, осуществляется контроль исполнения требований и т. д.). Это следует понимать и учитывать в проектах модернизации.
Например, в рамках инвестиций в информационные технологии многие организации явно или неявно осуществляют внедрение ряда функций и механизмов, имеющих отношение к обеспечению ИБ. Далее, организуя их использование в составе прикладных систем или информационно-телекоммуникационной инфраструктуры организации, де-факто осуществляются те или иные практические задачи, подпадающие под положения стандартов требований к СМИБ.
Схематично данную ситуацию иллюстрирует рис. 26, отражающий в упрощенном виде категории управления в информационной сфере организации.
И корпоративное управление информационными технологиями, и корпоративное управление информационной безопасностью являются неотъемлемой частью корпоративного управления компании, имеющие как общности (общие факторы: объекты, предметы, отношения и т. п.), так и различия. Опыт, накопленный в последние десятилетия, позволил подойти к выработке и принятию международных модельных стандартов корпоративного управления информационными технологиями.
Рис. 27 иллюстрирует модель корпоративного управления ИТ, рекомендуемую принятым в 2008 г. международным стандартом ISO/IEC 38500 «Корпоративное управление информационными технологиями» [12].
Модель корпоративного управления ИТ, представленная на рис. 27, отражает тот факт, что в любой деятельности организации изначально присутствует этап инвестиций (в той или иной форме), в результате которого организация ожидает, что эти инвестиции принесут пользу и дадут положительный эффект. Применительно к корпоративному управлению ИТ это включает:
