Рекомендации по применению. Система управления информационной безопасностью. Общие положения (часть 6)

Принципы ‎управления

Управление‏ ‎информационной ‎безопасностью ‎представляет ‎собой ‎комплексную‏ ‎управленческую ‎деятельность,‏ ‎направленную‏ ‎на ‎планирование, ‎организацию,‏ ‎контроль ‎и‏ ‎координацию ‎мер ‎по ‎обеспечению‏ ‎защиты‏ ‎информационных ‎ресурсов‏ ‎и ‎систем.‏ ‎Данная ‎функция ‎предполагает ‎выполнение ‎и‏ ‎соблюдение‏ ‎соответствующих ‎законодательных‏ ‎и ‎нормативных‏ ‎требований.

В ‎профессиональной ‎литературе ‎описаны ‎различные‏ ‎концептуальные‏ ‎подходы‏ ‎к ‎эффективной‏ ‎организации ‎системы‏ ‎управления ‎информационной‏ ‎безопасностью‏ ‎и ‎соответствующих‏ ‎организационных ‎структур. ‎Несмотря ‎на ‎многообразие‏ ‎моделей, ‎существует‏ ‎ряд‏ ‎универсальных ‎управленческих ‎принципов,‏ ‎которые ‎следует‏ ‎учитывать ‎в ‎данной ‎сфере.

Некоторые‏ ‎из‏ ‎этих ‎принципов‏ ‎могут ‎показаться‏ ‎очевидными, ‎поскольку ‎они ‎являются ‎общепризнанными‏ ‎ценностями‏ ‎в ‎теории‏ ‎менеджмента. ‎Парадоксально,‏ ‎но ‎на ‎практике ‎зачастую ‎именно‏ ‎простые,‏ ‎но‏ ‎важные ‎аспекты,‏ ‎такие ‎как‏ ‎дисциплина, ‎терпение,‏ ‎принятие‏ ‎ответственности, ‎тщательное‏ ‎планирование ‎проектов, ‎упускаются ‎из ‎виду‏ ‎вовсе ‎или‏ ‎реализуются‏ ‎ненадлежащим ‎образом. ‎В‏ ‎то ‎же‏ ‎время ‎эффективные ‎меры, ‎как‏ ‎то:‏ ‎оптимизация ‎процессов,‏ ‎обучение ‎персонала,‏ ‎повышение ‎осведомлённости, ‎мотивация ‎сотрудников, ‎разработка‏ ‎понятной‏ ‎документации, ‎могут‏ ‎значительно ‎повысить‏ ‎уровня ‎ЗИВОП ‎от ‎угроз ‎информационной‏ ‎безопасности.

В‏ ‎противовес‏ ‎этому, ‎сложные‏ ‎и, ‎соответственно,‏ ‎дорогостоящие ‎технические‏ ‎решения,‏ ‎необоснованно ‎преподносятся‏ ‎как ‎более ‎эффективные, ‎что ‎способствует‏ ‎формированию ‎негативного‏ ‎восприятия‏ ‎мер ‎защиты ‎как‏ ‎«ускорителя ‎затрат».‏ ‎Поэтому ‎в ‎дальнейшем ‎будут‏ ‎рассмотрены‏ ‎ключевые ‎принципы‏ ‎управления ‎информационной‏ ‎безопасностью, ‎соблюдение ‎которых ‎способствует ‎успешной‏ ‎реализации‏ ‎данной ‎функции.

Обязанности‏ ‎руководства ‎компании

Задачи‏ ‎и ‎обязанности ‎руководящего ‎звена ‎в‏ ‎области‏ ‎информационной‏ ‎безопасности ‎можно‏ ‎обобщить ‎в‏ ‎следующих ‎обозначенных‏ ‎пунктах‏ ‎ниже.

Принятие ‎на‏ ‎себя ‎общей ‎ответственности ‎за ‎информационную‏ ‎безопасность

Вопросы ‎информационной‏ ‎безопасности‏ ‎компаний ‎находятся ‎в‏ ‎фокусе ‎внимания‏ ‎руководящих ‎структур ‎различного ‎типа‏ ‎и‏ ‎уровня. ‎Ответственность‏ ‎за ‎обеспечение‏ ‎целостности, ‎конфиденциальности ‎и ‎доступности ‎информационных‏ ‎активов‏ ‎лежит ‎на‏ ‎высшем ‎руководстве‏ ‎государственных ‎органов, ‎коммерческих ‎предприятий ‎и‏ ‎иных‏ ‎экономических‏ ‎субъектах.

Данная ‎ответственность‏ ‎может ‎иметь‏ ‎как ‎нормативно-правовую,‏ ‎так‏ ‎и ‎организационно-управленческую‏ ‎природу. ‎С ‎одной ‎стороны, ‎требования‏ ‎по ‎обеспечению‏ ‎информационной‏ ‎безопасности ‎могут ‎быть‏ ‎закреплены ‎в‏ ‎законодательстве, ‎подзаконных ‎актах, ‎стандартах‏ ‎и‏ ‎прочих ‎регулирующих‏ ‎документах ‎в‏ ‎зависимости ‎от ‎сферы ‎деятельности ‎компании‏ ‎(например,‏ ‎Указ ‎Президента‏ ‎РФ ‎от‏ ‎01.05.2022 ‎№ ‎250). С ‎другой ‎стороны,‏ ‎руководство‏ ‎должно‏ ‎принимать ‎целенаправленные‏ ‎меры ‎по‏ ‎внедрению ‎и‏ ‎поддержанию‏ ‎адекватных ‎механизмов‏ ‎информационной ‎безопасности ‎как ‎в ‎рамках‏ ‎внутренних ‎процессов,‏ ‎так‏ ‎и ‎во ‎внешнем‏ ‎взаимодействии.

Ключевым ‎аспектом‏ ‎является ‎публичная ‎демонстрация ‎приверженности‏ ‎руководства‏ ‎компании ‎вопросам‏ ‎информационной ‎безопасности.‏ ‎Топ-менеджеры ‎обязаны ‎открыто ‎заявлять ‎о‏ ‎своей‏ ‎ответственности ‎в‏ ‎данной ‎сфере‏ ‎и ‎доводить ‎её ‎критическую ‎важность‏ ‎до‏ ‎сведения‏ ‎всех ‎сотрудников‏ ‎компании. ‎Таким‏ ‎образом, ‎обеспечивается‏ ‎формирование‏ ‎соответствующей ‎организационной‏ ‎культуры ‎и ‎повышается ‎эффективность ‎практической‏ ‎реализации ‎мер‏ ‎защиты.

Инициировать‏ ‎процесс, ‎контролировать ‎исполнение‏ ‎и ‎наблюдать‏ ‎за ‎состоянием ‎информационной ‎безопасности‏ ‎в‏ ‎компании

Роль ‎высшего‏ ‎руководства ‎в‏ ‎обеспечении ‎информационной ‎безопасности ‎компании ‎является‏ ‎ключевой‏ ‎и ‎стратегической.‏ ‎Основные ‎функциональные‏ ‎задачи ‎руководства ‎компании ‎в ‎этой‏ ‎области‏ ‎включают‏ ‎следующие ‎направления:

• разработка‏ ‎и ‎утверждение‏ ‎единой ‎политики‏ ‎информационной‏ ‎безопасности, ‎непосредственно‏ ‎увязанной ‎с ‎общими ‎бизнес-целями ‎и‏ ‎функциональными ‎приоритетами‏ ‎компании.‏ ‎Данная ‎политика ‎должна‏ ‎содержать ‎чёткие‏ ‎целевые ‎ориентиры ‎и ‎показатели‏ ‎в‏ ‎сфере ‎информационной‏ ‎безопасности;
• систематический ‎анализ‏ ‎и ‎оценка ‎влияния ‎рисков ‎информационной‏ ‎безопасности‏ ‎на ‎ключевые‏ ‎операционные ‎и‏ ‎функциональные ‎процессы. ‎На ‎основе ‎данной‏ ‎оценки‏ ‎руководство‏ ‎принимает ‎обоснованные‏ ‎решения ‎относительно‏ ‎применяемых ‎методов‏ ‎управления‏ ‎этими ‎рисками,‏ ‎сохраняя ‎за ‎собой ‎конечную ‎ответственность‏ ‎за ‎состояние‏ ‎информационной‏ ‎безопасности ‎компании;
• создание ‎необходимых‏ ‎организационных ‎условий‏ ‎и ‎стимулов ‎для ‎эффективной‏ ‎реализации‏ ‎мер ‎информационной‏ ‎безопасности. ‎Сюда‏ ‎относится ‎определение ‎ответственности, ‎полномочий ‎и‏ ‎ресурсного‏ ‎обеспечения ‎соответствующих‏ ‎подразделений/должностных ‎лиц;
• формирование‏ ‎культуры ‎постоянного ‎совершенствования ‎практик ‎информационной‏ ‎безопасности‏ ‎путём‏ ‎регулярного ‎анализа,‏ ‎актуализации ‎политики‏ ‎и ‎информирования/обучения‏ ‎персонала.

Таким‏ ‎образом, ‎стратегическая‏ ‎роль ‎высшего ‎руководства ‎заключается ‎в‏ ‎комплексном ‎управлении‏ ‎рисками‏ ‎информационной ‎безопасности ‎компании‏ ‎в ‎соответствии‏ ‎с ‎её ‎ключевыми ‎бизнес-целями‏ ‎(деятельностью),‏ ‎а ‎также‏ ‎постоянным ‎ростом‏ ‎уровня ‎ЗИВОП ‎исходя ‎из ‎уровня‏ ‎информационной‏ ‎безопасности ‎и‏ ‎уровня ‎зрелости‏ ‎мер ‎защиты.

Внимание! ‎Материал ‎охраняется ‎авторским‏ ‎правом‏ ‎на‏ ‎основании ‎ст.‏ ‎1259 ‎ГК‏ ‎РФ.