В. Андрианов - Обеспечение информационной безопасности бизнеса

б) обеспечения установления целей системы менеджмента информационной безопасности и планов;

в) установления ролей и обязанностей, связанных с информационной безопасностью;

г) доведения до персонала организации о важности выполнения целей информационной безопасности и соблюдения политики информационной безопасности, об обязанностях в соответствии с законом и о потребности в постоянном совершенствовании;

д) предоставления достаточных ресурсов для установления, реализации, приведения в действие, мониторинга, проверки, поддержки и совершенствования системы менеджмента информационной безопасности;

е) вынесения решения о критериях принятия риска и приемлемых уровнях риска;

ж) обеспечения проведения внутренних аудитов системы менеджмента информационной безопасности;

з) осуществления проводимых руководством проверок системы менеджмента информационной безопасности».

Только высшее руководство компании имеет полномочия по определению уровня (порогов) для принятия рисков. Вопрос порядка обсуждения и принятия решений по порогам риска крайне специфичен для каждой организации. Это обусловлено тем, что именно руководство несет окончательную ответственность за инвестиции в СМИБ и ее эффективность и, следовательно, эффективность инвестиций организации по данной статье расходов. В этих условия стандарты выступают в качестве некоторого возможного эталона действий, но не как истина в последней инстанции. Руководство компаний находится в некотором смысле в многомерном пространстве, где оно должно сориентироваться, оценить каждый вектор и принять необходимое по ситуации решение. Рис. 25 иллюстрирует основные плоскости такого пространства для задач обеспечения ИБ.

Целями обеспечения учетности для сферы безопасности могут быть:

Три основные цели корпоративного управления информационной безопасностью

— обеспечение подотчетности совету директоров;

— определение ответственности и обеспечения разделение обязанностей;

— выделение требуемого объема ресурсной базы;

— обеспечение осведомленности о защищенности бизнеса.

Целями обеспечения потребностей бизнеса в сфере безопасности могут быть:

— установление соответствия ИБ стратегии бизнеса организации;

— базирования основных решений в сфере безопасности на результатах менеджмента риска;

— обеспечение уверенности в том, что СМИБ охватывает вопросы безопасности бизнес-процессов (процессов деятельности).

Целями обеспечения соответствия (для любого вида деятельности) могут быть:

— исполнение требований действующего законодательства и норм, имеющих отношение к информационной сфере и деятельности организации;

— исполнение в операционной среде организации принятых советом директоров и высшим исполнительным руководством внутренних нормативных документов.

Применительно к иным сферам (отмечавшимся менеджменту качества и экологии, а также к иным видам менеджмента в организации, таким как менеджмент ИТ-услуг, менеджмент риска, менеджмент цепочек поставки, менеджмент активов и т. п.), как правило, стоит схожая задача, и пространство корпоративных решений подобно за исключением своей специфичной семантики.

Вопросы обеспечения соответствия (соответствия законодательным и нормативным требованиям) — здесь меньшая, но также не всегда прозрачная составляющая. Что же касается соответствия потребностям бизнеса в вопросах защищенности, то это, как правило, на порядок большая проблема.

Обусловлена она не только и не столько сложностью проблемы идентификации опасностей бизнеса (о чем достаточно подробно было обсуждено в предыдущей главе) и выбора соответствующих мер защиты, сколько нахождением общего языка внутри организации (общего языка и алфавита общения) между бизнесом и безопасностью, внутренним контролем и информатизацией, безопасностью и внутренним контролем. Консолидирующим органом в этих условиях может выступать только лишь высшее руководство организации (внешний компетентный арбитр), несущее ответственность перед собственниками бизнеса (владельцами организации/компании) за результаты деятельности организации.

Однако, даже если высшее руководство понимает и принимает ответственность за систему менеджмента в организации, у него нет возможности участия во всех мероприятиях. По этой причине руководство должно первоначально установить политику системы менеджмента информационной безопасности, определяющую основные цели и ожидания от СМИБ с точки зрения совершенствования деятельности организации, тем более если внедряется «стандартизированная» СМИБ. «Нестандартизированная СМИБ» существует в любой организации (принимаются решения и внутренние нормативы, осуществляются инвестиции в ИБ, осуществляется контроль исполнения требований и т. д.). Это следует понимать и учитывать в проектах модернизации.

Например, в рамках инвестиций в информационные технологии многие организации явно или неявно осуществляют внедрение ряда функций и механизмов, имеющих отношение к обеспечению ИБ. Далее, организуя их использование в составе прикладных систем или информационно-телекоммуникационной инфраструктуры организации, де-факто осуществляются те или иные практические задачи, подпадающие под положения стандартов требований к СМИБ.

Схематично данную ситуацию иллюстрирует рис. 26, отражающий в упрощенном виде категории управления в информационной сфере организации.

И корпоративное управление информационными технологиями, и корпоративное управление информационной безопасностью являются неотъемлемой частью корпоративного управления компании, имеющие как общности (общие факторы: объекты, предметы, отношения и т. п.), так и различия. Опыт, накопленный в последние десятилетия, позволил подойти к выработке и принятию международных модельных стандартов корпоративного управления информационными технологиями.

Рис. 27 иллюстрирует модель корпоративного управления ИТ, рекомендуемую принятым в 2008 г. международным стандартом ISO/IEC 38500 «Корпоративное управление информационными технологиями» [12].

Модель корпоративного управления ИТ, представленная на рис. 27, отражает тот факт, что в любой деятельности организации изначально присутствует этап инвестиций (в той или иной форме), в результате которого организация ожидает, что эти инвестиции принесут пользу и дадут положительный эффект. Применительно к корпоративному управлению ИТ это включает: