Обеспечение информационной безопасности бизнеса - [36]

Рис. 24 иллюстрирует возможную организацию реализации процессов СМИБ при двухуровневой организации деятельности компании. Каждый из уровней управления должен поддерживать отвечающие его функциям процессы СМИБ, соответствующие сферам ответственности правам и обязанностям каждого из уровней управления.

В приведенном примере для процессов планирования работ, принятия решений о целях и задачах СМИБ, владельцами будут сотрудники головной организации компании, а исполнительская и первичная контрольные виды деятельности будут реализованы на уровне подчиненного подразделения. Общий (итоговый) контроль, конечно же, ляжет на корпоративный центр. Процессы совершенствования деятельности в такой организации деятельности должны иметь критерии тактических (в рамках полномочий руководства подчиненных подразделений) и стратегических (компетенция принятия решений за головной организацией) решений.

Реализация других системы менеджмента в рамках компании будет подразумевать подобную организацию и реализацию процессов деятельность, так как будет осуществлена в той же системе внутрикорпоративных правил.

Важнейшая роль руководства (высшего руководства) организации с точки зрения эффекта внедрения и результатов внедрения любых стандартов менеджмента отмечается практически во всех стандартах.

Например, в ISO/IEC 27001 [11]:

«Руководство должно предоставлять свидетельства исполнения своих обязательств по установлению, реализации, приведению в действие, мониторингу, проверке, поддержке и совершенствованию системы менеджмента информационной безопасности путем:

а) установления политики системы менеджмента информационной безопасности;

б) обеспечения установления целей системы менеджмента информационной безопасности и планов;

в) установления ролей и обязанностей, связанных с информационной безопасностью;

г) доведения до персонала организации о важности выполнения целей информационной безопасности и соблюдения политики информационной безопасности, об обязанностях в соответствии с законом и о потребности в постоянном совершенствовании;

д) предоставления достаточных ресурсов для установления, реализации, приведения в действие, мониторинга, проверки, поддержки и совершенствования системы менеджмента информационной безопасности;

е) вынесения решения о критериях принятия риска и приемлемых уровнях риска;

ж) обеспечения проведения внутренних аудитов системы менеджмента информационной безопасности;

з) осуществления проводимых руководством проверок системы менеджмента информационной безопасности».

Только высшее руководство компании имеет полномочия по определению уровня (порогов) для принятия рисков. Вопрос порядка обсуждения и принятия решений по порогам риска крайне специфичен для каждой организации. Это обусловлено тем, что именно руководство несет окончательную ответственность за инвестиции в СМИБ и ее эффективность и, следовательно, эффективность инвестиций организации по данной статье расходов. В этих условия стандарты выступают в качестве некоторого возможного эталона действий, но не как истина в последней инстанции. Руководство компаний находится в некотором смысле в многомерном пространстве, где оно должно сориентироваться, оценить каждый вектор и принять необходимое по ситуации решение. Рис. 25 иллюстрирует основные плоскости такого пространства для задач обеспечения ИБ.

Целями обеспечения учетности для сферы безопасности могут быть:

Три основные цели корпоративного управления информационной безопасностью

— обеспечение подотчетности совету директоров;

— определение ответственности и обеспечения разделение обязанностей;

— выделение требуемого объема ресурсной базы;

— обеспечение осведомленности о защищенности бизнеса.

Целями обеспечения потребностей бизнеса в сфере безопасности могут быть:

— установление соответствия ИБ стратегии бизнеса организации;

— базирования основных решений в сфере безопасности на результатах менеджмента риска;

— обеспечение уверенности в том, что СМИБ охватывает вопросы безопасности бизнес-процессов (процессов деятельности).

Целями обеспечения соответствия (для любого вида деятельности) могут быть:

— исполнение требований действующего законодательства и норм, имеющих отношение к информационной сфере и деятельности организации;

— исполнение в операционной среде организации принятых советом директоров и высшим исполнительным руководством внутренних нормативных документов.

Применительно к иным сферам (отмечавшимся менеджменту качества и экологии, а также к иным видам менеджмента в организации, таким как менеджмент ИТ-услуг, менеджмент риска, менеджмент цепочек поставки, менеджмент активов и т. п.), как правило, стоит схожая задача, и пространство корпоративных решений подобно за исключением своей специфичной семантики.

Вопросы обеспечения соответствия (соответствия законодательным и нормативным требованиям) — здесь меньшая, но также не всегда прозрачная составляющая. Что же касается соответствия потребностям бизнеса в вопросах защищенности, то это, как правило, на порядок большая проблема.

Обусловлена она не только и не столько сложностью проблемы идентификации опасностей бизнеса (о чем достаточно подробно было обсуждено в предыдущей главе) и выбора соответствующих мер защиты, сколько нахождением общего языка внутри организации (общего языка и алфавита общения) между бизнесом и безопасностью, внутренним контролем и информатизацией, безопасностью и внутренним контролем. Консолидирующим органом в этих условиях может выступать только лишь высшее руководство организации (внешний компетентный арбитр), несущее ответственность перед собственниками бизнеса (владельцами организации/компании) за результаты деятельности организации.