В. Андрианов - Обеспечение информационной безопасности бизнеса
Примечание — Термин «мера контроля» может использоваться также в качестве синонима к терминам «защитная мера» (safeguard) или контрмера (countermeasure)».
При этом в положениях ISO/IEC 27002 [18] отмечается, что следующие меры контроля рассматриваются как общепринятая практика в области информационной безопасности («джентльменский набор» для «публичных» компаний):
а) наличие документа, описывающего политику информационной безопасности;
б) распределение обязанностей по обеспечению информационной безопасности;
в) обеспечение осведомленности, образования и обучения вопросам информационной безопасности;
г) правильная обработка данных в приложениях;
д) менеджмент технических уязвимостей;
е) менеджмент непрерывности бизнеса;
ж) менеджмент инцидентов, связанных с информационной безопасностью, и действий по улучшению реагирования на них.
Даже перечисленные категории защитных мер («мер контроля и управления рисками» в терминах современных стандартов), несмотря на их скромную номенклатуру, серьезным образом влияют на всю операционную среду организации. При этом основным их назначением является формирование оснований для уверенности высшего руководства (собственников бизнеса) в надежности (адекватности, устойчивости, безопасности и т. д.) операционной среды организации, касающееся ее информационной составляющей. Те же цели в своей деятельности преследует и система (подразделение) внутреннего контроля организации, и система (подразделение) менеджмента рисков организации. Все это приводит к необходимости четкого позиционирования и понимания потенциального вклада перечисленных направлений деятельности подразделений организации в формирование единой системы мер гарантий и уверенности в достижении заявленных целей. Это предполагает также и противодействие на всех уровнях неправомерным (преднамеренным и /или случайным) действиям сотрудников компаний и внешних лиц, способных привести к негативным последствиям как для организации, так и для ее клиентов, инвесторов и т. п. Методам и мерам контроля рисков деятельности для организации в целом, а также процессам деятельности в сфере информатизации организации посвящены модельные решения, нашедшие отражение в ряде авторитетных источников, например, таких, которые известны как COSO, COBIT, ITIL.
2.3. Модели COSO, COBIT, ITIL
Структура, получившая широкую известность под аббревиатурой COSO (The Committee of Sponsoring Organizations [of the Treadway Commission] — Комитет спонсорских организаций [комиссии Тредвея]), была учреждена в 1985 г. COSO был создан для финансирования работ независимой национальной (американской) комиссии, образованной для выработки мер противодействия мошенничеству с финансовой отчетностью. Целью деятельности комиссии являлось изучение факторов, которые могут приводить к мошенничеству с финансовой отчетностью, а также выработка рекомендаций для частных компаний и их независимых аудиторов, для инспекторов Комиссии США по ценным бумагам и биржевым операциям (SEC) и других инспекторов и образовательных учреждений.
Спонсорами (членами COSO) выступили профессиональные организации (ассоциации), которые напрямую зависели от последствий фактов мошенничества с финансовой отчетностью. Это пять профессиональных ассоциаций, располагавшихся в США: Американская ассоциация бухгалтеров, Американский институт дипломированных общественных бухгалтеров, Международная ассоциация финансовых руководителей, Институт внутренних аудиторов и Национальная ассоциацией бухгалтеров (ныне известен как Институт бухгалтеров-управленцев). Комиссию возглавили шесть инспекторов во главе с Джеймсом Тредвеем-младшим, на то время бывшим уполномоченным Комиссии по ценным бумагам и биржевым операциям США. В комиссию вошли представители промышленности, независимого бухгалтерского учета и аудита, инвестиционных компаний и Нью-Йоркской фондовой биржи.
Результаты не заставили себя долго ждать. В октябре 1987 г. после годичного обсуждения был опубликован первый отчет Комиссии, рассматривающий следующие вопросы:
— обзор систем финансовой отчетности и мошенничество в финансовой отчетности;
— рекомендации для публичных (акционерных) компаний;
— рекомендации для независимых аудиторов;
— рекомендации Комиссии по ценным бумагам и биржевым операциям и другим органам, вовлеченным в регулирование данной области деятельности;
— рекомендации для образовательных задач;
— приложения (аналитика, практические примеры).
Фактически первый отчет комиссии 1987 г. дал направленность всем последующим публикациям, известным под аббревиатурой COSO. К настоящему времени основные направления деятельности комиссии отражены в документах, посвященных следующим вопросам:
— анализ фактов мошенничества в финансовой отчетности;
— внутренний контроль;
— менеджмент риска в организации.
Документы комиссии по вопросам организации внутреннего контроля и риск-менеджмента в компаниях наиболее востребованы практикой в сфере корпоративного управления и контроля (аудита). Процессы глобализации финансовых, сырьевых, товарных рынков послужили дополнительным стимулом поиска универсальных методологических (модельных) платформ функционирования организаций (моделей деятельности организаций). Модель системы внутреннего контроля COSO уже де-факто стала эталоном организации внутрикорпоративной деятельности. Более десяти лет назад Комиссия COSO выпустила один из первых документов «Концептуальные основы внутреннего контроля», направленный на оказание помощи предприятиям и организациям в проведении оценки и совершенствовании их систем внутреннего контроля. Тысячи компаний приняли и использовали эту концепцию при выработке решений относительно своих политик, правил и процедур внутреннего контроля.
В 2001 г. COSO инициировал проект по разработке концептуальных основ менеджмента риска для использования руководством компаний при оценке своей системы управления рисками и ее дальнейшем совершенствовании. Период разработки концептуальной базы по менеджменту риска COSO был отмечен рядом корпоративных скандалов и банкротств в Европе и Америке, получивших широкую огласку и принесших значительные убытки инвесторам, персоналу компаний и другим заинтересованным сторонам. В этих условиях потребность в создании концептуальной базы по менеджменту рисками, устанавливающей основные принципы и концепции, общую терминологию, четкие указания и рекомендации, стала еще более очевидной.
