Подход ‎к‏ ‎СУИБ

Методология

Описание ‎системы ‎управления ‎информационной ‎безопасностью‏ ‎(СУИБ), ‎представленной‏ ‎в‏ ‎данных ‎рекомендациях, ‎а‏ ‎также ‎в‏ ‎международных ‎стандартах ‎ISO ‎27000,‏ ‎ISO‏ ‎27001 ‎и‏ ‎ISO ‎27002,‏ ‎носят ‎обобщённый ‎характер ‎и ‎формулируют‏ ‎лишь‏ ‎общие ‎рамочные‏ ‎требования. ‎Такой‏ ‎подход ‎оставляет ‎значительную ‎степень ‎свободы‏ ‎для‏ ‎адаптации‏ ‎и ‎интерпретации‏ ‎при ‎практической‏ ‎реализации ‎указанных‏ ‎требований‏ ‎в ‎условиях‏ ‎конкретных ‎организаций. ‎Основная ‎задача ‎заключается‏ ‎в ‎разработке‏ ‎и‏ ‎внедрении ‎СУИБ, ‎которая‏ ‎не ‎только‏ ‎обеспечивает ‎достижение ‎установленных ‎целей‏ ‎в‏ ‎области ‎информационной‏ ‎безопасности ‎(ИБ),‏ ‎но ‎и ‎остаётся ‎экономически ‎эффективной,‏ ‎учитывая‏ ‎ресурсные ‎ограничения‏ ‎и ‎специфику‏ ‎бизнес-процессов ‎компании. ‎Это ‎требует ‎тщательного‏ ‎анализа‏ ‎рисков,‏ ‎выбора ‎оптимальных‏ ‎мер ‎защиты‏ ‎и ‎их‏ ‎интеграции‏ ‎в ‎существующие‏ ‎процессы ‎управления ‎организацией.

Разработка ‎концепции ‎ИБ‏ ‎для ‎компании‏ ‎представляет‏ ‎собой ‎один ‎из‏ ‎наиболее ‎сложных‏ ‎и ‎ответственных ‎процессов. ‎Ключевыми‏ ‎этапами‏ ‎создания ‎такой‏ ‎концепции ‎являются‏ ‎оценка ‎рисков, ‎выбор ‎соответствующих ‎мер‏ ‎защиты,‏ ‎а ‎также‏ ‎контроль ‎за‏ ‎реализацией ‎этих ‎мер. ‎Особое ‎внимание‏ ‎следует‏ ‎уделить‏ ‎выбору ‎методологии‏ ‎анализа ‎рисков,‏ ‎поскольку ‎данный‏ ‎выбор‏ ‎напрямую ‎влияет‏ ‎на ‎трудоёмкость ‎и ‎эффективность ‎разработки‏ ‎концепции.

Наши ‎рекомендации‏ ‎предлагают‏ ‎универсальные ‎подходы, ‎которые‏ ‎подходят ‎для‏ ‎большинства ‎случаев ‎и ‎позволяют‏ ‎адаптировать‏ ‎процесс ‎в‏ ‎зависимости ‎от‏ ‎специфики ‎компании. ‎В ‎зависимости ‎от‏ ‎требуемого‏ ‎уровня ‎обеспечения‏ ‎ИБ, ‎в‏ ‎области, ‎которую ‎компания ‎выбирает ‎сама,‏ ‎вы‏ ‎можете‏ ‎постепенно ‎и‏ ‎последовательно ‎выстраивать‏ ‎у ‎себя‏ ‎полноценную‏ ‎СУИБ. ‎Этот‏ ‎поэтапный ‎подход ‎не ‎просто ‎позволяет‏ ‎экономить ‎ресурсы,‏ ‎а‏ ‎в ‎целом ‎создавать‏ ‎эффективную ‎и‏ ‎действительно ‎нужную ‎компании ‎систему‏ ‎ИБ.‏ ‎Подробно ‎об‏ ‎этом ‎подходе‏ ‎можно ‎прочитать ‎в ‎Методологии ‎«Волга-27001»,‏ ‎которая‏ ‎публикуется ‎по‏ ‎платной ‎подписке‏ ‎(sponsr.ru/volga27001).

В ‎сравнении ‎с ‎традиционными ‎количественными‏ ‎методами‏ ‎анализа‏ ‎рисков, ‎предлагаемая‏ ‎методология ‎является‏ ‎более ‎экономичной‏ ‎и‏ ‎практико-ориентированной. ‎Её‏ ‎ценность ‎заключается ‎не ‎только ‎в‏ ‎описании ‎общих‏ ‎принципов‏ ‎внедрения ‎СУИБ, ‎но‏ ‎и ‎в‏ ‎чётком ‎указании ‎на ‎конкретные‏ ‎требования,‏ ‎которые ‎подлежат‏ ‎именно ‎практической‏ ‎реализации. ‎Это ‎позволяет ‎минимизировать ‎риски‏ ‎и‏ ‎обеспечить ‎эффективный‏ ‎уровень ‎обеспечения‏ ‎информационной ‎безопасности ‎для ‎информационных ‎активов‏ ‎компании.

Практические‏ ‎рекомендации‏ ‎по ‎выполнению‏ ‎установленных, ‎методологией‏ ‎«Волга-27001», ‎требований‏ ‎в‏ ‎области ‎ИБ‏ ‎доступны ‎в ‎соответствующих ‎методических ‎материалах,‏ ‎доступных ‎по‏ ‎подписке.

Данные‏ ‎рекомендации ‎охватывают ‎различные‏ ‎подходы ‎к‏ ‎организации ‎ИБ ‎и ‎представляют‏ ‎особую‏ ‎ценность ‎для‏ ‎малых ‎и‏ ‎средних ‎компаний. ‎Они ‎обеспечивают ‎этапы‏ ‎внедрения‏ ‎ИБ ‎и‏ ‎способствуют ‎построению‏ ‎СУИБ. ‎В ‎рекомендациях ‎по ‎методологии‏ ‎построения‏ ‎СУИБ‏ ‎каждый ‎этап‏ ‎подробно ‎описывается,‏ ‎что ‎позволяет‏ ‎организациям‏ ‎последовательно ‎и‏ ‎эффективно ‎выполнять ‎требования.

Отдельно ‎стоит ‎отметить,‏ ‎что ‎сертификат‏ ‎соответствия‏ ‎стандарту ‎ГОСТ ‎Р‏ ‎ИСО/МЭК ‎27001‏ ‎в ‎настоящее ‎время ‎не‏ ‎всегда‏ ‎гарантирует ‎реальное‏ ‎выполнение ‎требований.‏ ‎На ‎практике ‎его ‎можно ‎получить‏ ‎в‏ ‎кратчайшие ‎сроки‏ ‎(например, ‎за‏ ‎три ‎дня) ‎без ‎проведения ‎полноценной‏ ‎проверки.‏ ‎В‏ ‎таких ‎случаях‏ ‎организациям ‎просто‏ ‎предоставляется ‎пакет‏ ‎документов,‏ ‎что ‎не‏ ‎соответствует ‎принципам ‎прозрачности ‎и ‎достоверности.‏ ‎Не ‎смотря‏ ‎на‏ ‎наличие ‎сертификата, ‎реальное‏ ‎положение ‎дел‏ ‎в ‎ИБ ‎у ‎компании‏ ‎оставляет‏ ‎желать ‎лучшего.

В‏ ‎связи ‎с‏ ‎этим ‎ООО ‎«ЦифраБез» ‎предлагает ‎собственную‏ ‎систему‏ ‎добровольной ‎сертификации‏ ‎— ‎«Волга-27001»,‏ ‎которая ‎подтверждает, ‎что ‎организация ‎действительно‏ ‎выполняет‏ ‎требования‏ ‎рекомендаций ‎для‏ ‎заявленного ‎уровня‏ ‎обеспечения ‎ИБ‏ ‎в‏ ‎определённой ‎области‏ ‎применения. ‎Наша ‎система ‎сертификации ‎является‏ ‎прозрачной. ‎Сертификат‏ ‎выдаётся‏ ‎сроком ‎на ‎три‏ ‎года ‎с‏ ‎ежегодной ‎дистанционной ‎проверкой ‎выполнения‏ ‎требований.

Система‏ ‎добровольной ‎сертификации‏ ‎«Волга-27001», ‎разработанная‏ ‎ООО ‎«ЦифраБез», ‎представляет ‎собой ‎комплексный‏ ‎механизм‏ ‎подтверждения ‎соответствия‏ ‎организаций ‎требованиям‏ ‎рекомендаций ‎в ‎области ‎обеспечения ‎ИБ‏ ‎для‏ ‎заявленных‏ ‎уровней ‎обеспечения‏ ‎ИБ. ‎Данная‏ ‎система ‎сертификации‏ ‎обоснована‏ ‎следующими ‎ключевыми‏ ‎аспектами:

• сертификат ‎«Волга-27001» ‎базируется ‎на ‎принципах,‏ ‎аналогичных ‎стандартам‏ ‎ISO/IEC‏ ‎27001, ‎адаптированным ‎под‏ ‎специфику ‎российского‏ ‎регуляторного ‎ландшафта ‎и ‎отраслевые‏ ‎потребности.‏ ‎Это ‎обеспечивает‏ ‎гармонизацию ‎с‏ ‎глобальными ‎подходами ‎к ‎управлению ‎ИБ,‏ ‎что‏ ‎способствует ‎укреплению‏ ‎доверия ‎со‏ ‎стороны ‎партнёров ‎и ‎клиентов;
• все ‎этапы‏ ‎оценки‏ ‎соответствия,‏ ‎включая ‎аудит‏ ‎документированных ‎процессов,‏ ‎технических ‎решений‏ ‎и‏ ‎организационных ‎мер,‏ ‎регламентированы ‎внутренними ‎положениями ‎системы. ‎Критерии‏ ‎оценки, ‎методики‏ ‎проверки‏ ‎и ‎требования ‎к‏ ‎заявителям ‎доступны‏ ‎по ‎подписке, ‎что ‎исключает‏ ‎субъективность‏ ‎и ‎обеспечивает‏ ‎равные ‎условия‏ ‎для ‎желающих;
• установленный ‎период ‎действия ‎сертификата‏ ‎(3‏ ‎года) ‎соответствует‏ ‎оптимальному ‎балансу‏ ‎между ‎стабильностью ‎статуса ‎организации ‎и‏ ‎необходимостью‏ ‎регулярного‏ ‎мониторинга ‎актуальности‏ ‎внедрённых ‎мер‏ ‎ИБ. ‎Ежегодные‏ ‎дистанционные‏ ‎проверки ‎позволяют‏ ‎оперативно ‎выявлять ‎отклонения ‎от ‎установленных‏ ‎требований, ‎стимулируя‏ ‎непрерывное‏ ‎совершенствование ‎системы ‎защиты‏ ‎информации;
• система ‎предусматривает‏ ‎гибкую ‎оценку ‎в ‎зависимости‏ ‎от‏ ‎выбранного ‎уровня‏ ‎обеспечения ‎ИБ.‏ ‎Такой ‎подход ‎позволяет ‎учитывать ‎отраслевую‏ ‎специфику‏ ‎и ‎масштаб‏ ‎рисков, ‎что‏ ‎повышает ‎практическую ‎ценность ‎сертификата ‎для‏ ‎заказчиков‏ ‎и‏ ‎регуляторов, ‎а‏ ‎также ‎эффективно‏ ‎использовать ‎имеющиеся‏ ‎финансовые‏ ‎и ‎другие‏ ‎ресурсы ‎своей ‎компании;
• использование ‎дистанционных ‎инструментов‏ ‎проверки ‎сокращает‏ ‎административную‏ ‎нагрузку ‎на ‎организации,‏ ‎снижает ‎издержки‏ ‎и ‎соответствует ‎современным ‎трендам‏ ‎цифровизации‏ ‎контрольных ‎процедур.‏ ‎При ‎этом‏ ‎обеспечивается ‎достаточная ‎глубина ‎анализа ‎за‏ ‎счёт‏ ‎предоставления ‎электронных‏ ‎доказательств ‎выполнения‏ ‎требований ‎(лог-файлы, ‎скриншоты, ‎отчёты ‎систем‏ ‎мониторинга‏ ‎и‏ ‎другое);
• наличие ‎сертификата‏ ‎«Волга-27001» ‎позволяет‏ ‎организациям ‎демонстрировать‏ ‎соответствие‏ ‎актуальным ‎стандартам‏ ‎ИБ, ‎что ‎усиливает ‎их ‎позиции‏ ‎на ‎рынке,‏ ‎где‏ ‎наличие ‎подтверждённых ‎компетенций‏ ‎в ‎области‏ ‎защиты ‎информации ‎является ‎критически‏ ‎важным.‏ ‎Важно ‎отметить,‏ ‎что ‎сертификат,‏ ‎подтверждающий ‎третий ‎уровень ‎обеспечения ‎ИБ,‏ ‎свидетельствует‏ ‎о ‎том,‏ ‎что ‎данная‏ ‎область ‎применения ‎уже ‎соответствует ‎требованиям‏ ‎стандарта‏ ‎ISO‏ ‎27001. ‎Более‏ ‎того, ‎организации,‏ ‎получившие ‎сертификат‏ ‎такого‏ ‎уровня ‎в‏ ‎системе ‎сертификации ‎«Волга-27001», ‎могут ‎успешно‏ ‎пройти ‎сертификацию‏ ‎по‏ ‎ISO ‎27001 ‎для‏ ‎соответствующей ‎области‏ ‎применения.

Система ‎добровольной ‎сертификации ‎«Волга-27001»‏ ‎обеспечивает‏ ‎объективную, ‎технологичную‏ ‎и ‎экономически‏ ‎эффективную ‎модель ‎подтверждения ‎зрелости ‎процессов‏ ‎ИБ.‏ ‎Её ‎внедрение‏ ‎способствует ‎формированию‏ ‎культуры ‎ответственного ‎отношения ‎к ‎защите‏ ‎информации,‏ ‎минимизирует‏ ‎репутационные ‎и‏ ‎операционные ‎риски‏ ‎организаций, ‎а‏ ‎также‏ ‎соответствует ‎стратегическим‏ ‎задачам ‎развития ‎цифровой ‎экономики ‎в‏ ‎части ‎обеспечения‏ ‎киберустойчивости‏ ‎компаний.

Более ‎подробная ‎информация‏ ‎о ‎нашей‏ ‎системе ‎сертификации ‎и ‎условиях‏ ‎её‏ ‎получения ‎представлена‏ ‎в ‎соответствующем‏ ‎разделе ‎методологии ‎доступной ‎по ‎подписке.

Процесс‏ ‎обеспечения‏ ‎информационной ‎безопасности‏ ‎после ‎достижения‏ ‎определённого ‎уровня ‎обеспечения ‎информационной ‎безопасности‏ ‎в‏ ‎выбранной‏ ‎области ‎применения

Анализ‏ ‎общепринятых ‎методов,‏ ‎передовых ‎практик‏ ‎и‏ ‎стандартов ‎в‏ ‎области ‎управления ‎ИБ ‎показывает, ‎что‏ ‎они ‎имеют‏ ‎схожие‏ ‎подходы ‎к ‎описанию‏ ‎основных ‎процессов‏ ‎и ‎обязанностей ‎высшего ‎руководства‏ ‎компании.‏ ‎Однако ‎существенные‏ ‎различия ‎наблюдаются‏ ‎в ‎методологиях ‎разработки ‎концепции ‎ИБ,‏ ‎особенно‏ ‎в ‎части‏ ‎оценки ‎рисков‏ ‎и ‎выбора ‎соответствующих ‎защитных ‎мер‏ ‎для‏ ‎выполнения‏ ‎требований.

Учитывая ‎это,‏ ‎методология ‎«Волга-27001»‏ ‎предлагает ‎следующий‏ ‎базовый‏ ‎алгоритм ‎создания‏ ‎концепции ‎ИБ:

• принятие ‎решения ‎о ‎разработке‏ ‎концепции ‎и‏ ‎формирование‏ ‎рабочей ‎группы ‎с‏ ‎участием ‎представителей‏ ‎ключевых ‎подразделений ‎компании;
• определение ‎ролей‏ ‎и‏ ‎ответственности ‎в‏ ‎области ‎обеспечения‏ ‎ИБ;
• проведение ‎анализа ‎рисков ‎ИБ, ‎включающего‏ ‎идентификацию‏ ‎критичных ‎информационных‏ ‎активов, ‎оценку‏ ‎угроз ‎и ‎уязвимостей, ‎а ‎также‏ ‎потенциального‏ ‎ущерба;
• определение‏ ‎требований ‎и‏ ‎целей ‎ИБ‏ ‎на ‎основе‏ ‎результатов‏ ‎анализа ‎рисков‏ ‎и ‎бизнес-потребностей ‎компании;
• разработка ‎стратегии ‎и‏ ‎политики ‎ИБ,‏ ‎определяющих‏ ‎принципы ‎защиты ‎и‏ ‎основные ‎организационные‏ ‎и ‎технические ‎меры;
• выбор ‎конкретных‏ ‎мер‏ ‎и ‎средств‏ ‎защиты ‎информации‏ ‎с ‎учетом ‎их ‎экономической ‎эффективности;
• разработка‏ ‎плана‏ ‎внедрения ‎выбранных‏ ‎мер ‎защиты‏ ‎и ‎совершенствования ‎системы ‎управления ‎ИБ;
• документирование‏ ‎концепции‏ ‎ИБ‏ ‎и ‎её‏ ‎утверждение ‎высшим‏ ‎руководством ‎компании.

Данный‏ ‎подход‏ ‎позволяет ‎учесть‏ ‎специфику ‎организации ‎и ‎обеспечить ‎системность‏ ‎в ‎управлении‏ ‎ИБ.

Оценка‏ ‎рисков

Анализ ‎рисков ‎ИБ‏ ‎имеет ‎существенные‏ ‎отличия ‎от ‎классических ‎методов‏ ‎оценки‏ ‎рисков. ‎Применение‏ ‎традиционных ‎количественных‏ ‎методов ‎анализа ‎рисков ‎в ‎сфере‏ ‎ИБ‏ ‎зачастую ‎затруднено‏ ‎или ‎невозможно‏ ‎из-за ‎отсутствия ‎необходимых ‎статистических ‎и‏ ‎исторических‏ ‎данных.‏ ‎Даже ‎в‏ ‎случаях, ‎когда‏ ‎такие ‎расчёты‏ ‎осуществимы,‏ ‎интерпретация ‎полученных‏ ‎результатов ‎может ‎представлять ‎значительные ‎трудности.

Специфика‏ ‎анализа ‎рисков‏ ‎в‏ ‎области ‎ИБ ‎обусловлена‏ ‎динамичностью ‎и‏ ‎непредсказуемостью ‎соответствующих ‎угроз, ‎а‏ ‎также‏ ‎сложностью ‎количественной‏ ‎оценки ‎ряда‏ ‎ключевых ‎факторов, ‎таких ‎как ‎вероятность‏ ‎реализации‏ ‎киберугроз, ‎масштаб‏ ‎потенциального ‎ущерба‏ ‎и ‎эффективность ‎применяемых ‎средств ‎защиты.‏ ‎В‏ ‎связи‏ ‎с ‎этим‏ ‎в ‎сфере‏ ‎ИБ ‎все‏ ‎чаще‏ ‎применяются ‎качественные‏ ‎методы ‎анализа ‎рисков, ‎основанные ‎на‏ ‎экспертных ‎оценках‏ ‎и‏ ‎сценарном ‎моделировании. ‎Такое‏ ‎моделирование ‎рекомендуется‏ ‎проводить ‎только ‎для ‎систем‏ ‎с‏ ‎уровнем ‎предназначенным‏ ‎для ‎развивающегося‏ ‎малого ‎или ‎уже ‎среднего ‎бизнеса.‏ ‎До‏ ‎этих ‎уровней‏ ‎стоит ‎проводить‏ ‎оценку ‎на ‎количественном ‎или ‎качественном‏ ‎уровне‏ ‎не‏ ‎затрагивая ‎бизнес-процессы‏ ‎и ‎не‏ ‎проводя ‎анализ‏ ‎воздействия‏ ‎на ‎бизнес-деятельность‏ ‎компании. ‎Такой ‎подход ‎позволяет ‎учесть‏ ‎специфику ‎ИБ‏ ‎и‏ ‎обеспечить ‎более ‎адекватную‏ ‎оценку ‎рисков‏ ‎в ‎условиях ‎высокой ‎неопределенности‏ ‎и‏ ‎динамичности ‎угроз.

В‏ ‎рамках ‎традиционного‏ ‎методологического ‎подхода ‎к ‎анализу ‎рисков,‏ ‎количественная‏ ‎оценка ‎риска‏ ‎определяется ‎как‏ ‎произведение ‎потенциального ‎ущерба ‎на ‎вероятность‏ ‎его‏ ‎возникновения.‏ ‎Рассмотрим ‎два‏ ‎альтернативных ‎сценария:

1. Утечка‏ ‎конфиденциальных ‎данных‏ ‎клиентов‏ ‎вследствие ‎кибератаки,‏ ‎с ‎оценочным ‎ущербом ‎в ‎5‏ ‎миллионов ‎рублей‏ ‎и‏ ‎статистической ‎вероятностью ‎наступления‏ ‎события ‎один‏ ‎раз ‎в ‎720 ‎дней‏ ‎(приблизительно‏ ‎1,97 ‎года).‏ ‎В ‎данном‏ ‎случае ‎теоретическая ‎величина ‎риска ‎составляет‏ ‎6‏ ‎944,44 ‎рубля‏ ‎в ‎день‏ ‎или ‎2 ‎534 ‎722,22 ‎рубля‏ ‎в‏ ‎год.
2. Временный‏ ‎сбой ‎в‏ ‎работе ‎корпоративной‏ ‎системы ‎электронной‏ ‎почты,‏ ‎приводящий ‎к‏ ‎снижению ‎производительности ‎труда, ‎с ‎ущербом‏ ‎в ‎5‏ ‎000‏ ‎рублей ‎и ‎статистической‏ ‎частотой ‎инцидента‏ ‎один ‎раз ‎в ‎10‏ ‎рабочих‏ ‎дней. ‎Здесь‏ ‎теоретическая ‎величина‏ ‎риска ‎составляет ‎500 ‎рублей ‎в‏ ‎день‏ ‎или ‎182‏ ‎500 ‎рублей‏ ‎в ‎год ‎(при ‎расчете ‎на‏ ‎365‏ ‎дней).

Несмотря‏ ‎на ‎значительную‏ ‎разницу ‎в‏ ‎количественных ‎показателях‏ ‎риска‏ ‎в ‎денежном‏ ‎выражении, ‎указанные ‎сценарии ‎по-прежнему ‎требуют‏ ‎дифференцированных ‎подходов‏ ‎в‏ ‎рамках ‎комплексной ‎системы‏ ‎управления ‎рисками‏ ‎организации. ‎При ‎различных ‎числовых‏ ‎значениях,‏ ‎практические ‎последствия‏ ‎реализации ‎рассматриваемых‏ ‎рисков ‎и ‎методы ‎их ‎минимизации‏ ‎существенно‏ ‎различаются.

В ‎связи‏ ‎с ‎этим,‏ ‎при ‎разработке ‎стратегии ‎управления ‎рисками‏ ‎необходимо‏ ‎учитывать‏ ‎не ‎только‏ ‎количественные ‎показатели,‏ ‎но ‎и‏ ‎качественные‏ ‎характеристики ‎потенциальных‏ ‎угроз, ‎их ‎влияние ‎на ‎непрерывность‏ ‎бизнес-процессов, ‎репутационные‏ ‎аспекты‏ ‎и ‎долгосрочные ‎последствия‏ ‎для ‎организации.‏ ‎Это ‎позволит ‎обеспечить ‎более‏ ‎эффективное‏ ‎распределение ‎ресурсов‏ ‎и ‎разработку‏ ‎адекватных ‎мер ‎по ‎снижению ‎рисков‏ ‎в‏ ‎соответствии ‎с‏ ‎их ‎спецификой‏ ‎и ‎потенциальным ‎воздействием ‎на ‎деятельность‏ ‎организации,‏ ‎но‏ ‎только ‎после‏ ‎того, ‎как‏ ‎организация ‎выстроит‏ ‎работающую‏ ‎систему ‎ИБ‏ ‎в ‎выбранной ‎области ‎применения.

Представленные ‎рекомендации‏ ‎предусматривают ‎применение‏ ‎как‏ ‎качественного ‎подхода ‎к‏ ‎оценке ‎рисков,‏ ‎обеспечивающего ‎получение ‎релевантных ‎данных‏ ‎для‏ ‎анализа ‎инцидентов,‏ ‎способных ‎оказать‏ ‎негативное ‎воздействие ‎на ‎бизнес-процессы, ‎так‏ ‎и‏ ‎количественное, ‎а‏ ‎также ‎сценарное,‏ ‎зависящее ‎от ‎выбираемого ‎уровня ‎обеспечения‏ ‎ИБ‏ ‎в‏ ‎выбранной ‎области‏ ‎применения.

Рекомендации ‎базируются‏ ‎на ‎принципе,‏ ‎согласно‏ ‎которому ‎обеспечение‏ ‎безопасной ‎обработки ‎информации, ‎критически ‎значимой‏ ‎для ‎бизнеса,‏ ‎является‏ ‎обязательным ‎требованием ‎вне‏ ‎зависимости ‎от‏ ‎отраслевой ‎специфики ‎и ‎профиля‏ ‎деятельности‏ ‎организации.  ‎Но‏ ‎компании ‎предоставляется‏ ‎полное ‎право ‎самой ‎определять, ‎что‏ ‎будет‏ ‎защищаться ‎в‏ ‎первую ‎очередь,‏ ‎затем ‎во ‎вторую, ‎после ‎в‏ ‎третью‏ ‎и‏ ‎так ‎далее.

Ключевым‏ ‎преимуществом ‎предлагаемой‏ ‎методологии ‎является‏ ‎унификация‏ ‎подхода: ‎организации‏ ‎применяющие ‎данные ‎рекомендации, ‎получают ‎единую‏ ‎нормативную ‎базу‏ ‎для‏ ‎проведения ‎оценочных ‎процедур.‏ ‎Это ‎способствует‏ ‎повышению ‎прозрачности ‎и ‎согласованности‏ ‎процессов‏ ‎управления ‎рисками,‏ ‎а ‎также‏ ‎формирует ‎доверительную ‎среду ‎для ‎субъектов,‏ ‎стремящихся‏ ‎обеспечить ‎эффективную‏ ‎защиту ‎своего‏ ‎бизнеса ‎от ‎киберугроз ‎и ‎улучшить‏ ‎состояние‏ ‎ИБ‏ ‎в ‎компании.

Настоящим‏ ‎уведомляем, ‎что‏ ‎материалы, ‎размещённые‏ ‎на‏ ‎данной ‎странице,‏ ‎охраняются ‎авторским ‎правом ‎в ‎соответствии‏ ‎со ‎статьей‏ ‎1259‏ ‎Гражданского ‎кодекса ‎Российской‏ ‎Федерации. ‎Использование‏ ‎результатов ‎интеллектуальной ‎деятельности, ‎представленных‏ ‎на‏ ‎данной ‎странице,‏ ‎в ‎том‏ ‎числе ‎для ‎создания ‎средств ‎обработки‏ ‎информации,‏ ‎без ‎письменного‏ ‎согласия ‎правообладателя‏ ‎— ‎ООО ‎«ЦифраБез» ‎— ‎запрещено.

Распространение‏ ‎данной‏ ‎информации‏ ‎допускается ‎только‏ ‎при ‎обязательном‏ ‎указании ‎ссылки‏ ‎на‏ ‎источник ‎(данную‏ ‎страницу).

Несанкционированное ‎использование ‎охраняемых ‎авторским ‎правом‏ ‎материалов ‎является‏ ‎нарушением‏ ‎законодательства ‎Российской ‎Федерации‏ ‎и ‎влечёт‏ ‎за ‎собой ‎ответственность, ‎предусмотренную‏ ‎им.

Как ‎я‏ ‎и ‎говорил, ‎буду ‎максимально ‎стараться‏ ‎излагать ‎материал‏ ‎сугубо‏ ‎простым ‎языком ‎+‏ ‎на ‎основе‏ ‎эмпирического ‎опыта ‎(но ‎местами‏ ‎без‏ ‎теории ‎не‏ ‎обойтись, ‎это‏ ‎надо ‎просто ‎принять). ‎

Погнали. ‎

Итак,‏ ‎мы‏ ‎имеем ‎некую‏ ‎середнячковую ‎организацию‏ ‎(4-8 ‎млрд ‎выручки ‎в ‎год)‏ ‎,‏ ‎которую‏ ‎только ‎что‏ ‎продали, ‎убили‏ ‎всю ‎региональную‏ ‎сеть‏ ‎и ‎новый‏ ‎собственник ‎начинает ‎наводить ‎свои ‎порядки,‏ ‎что ‎естественно.‏ ‎

На‏ ‎что ‎он ‎обратит‏ ‎внимание ‎в‏ ‎первую ‎очередь?

Скорей ‎всего ‎на‏ ‎резервы‏ ‎и ‎обычные‏ ‎текущие ‎расходы.

Вот‏ ‎об ‎обычных ‎и ‎текущих ‎речь‏ ‎и‏ ‎пойдёт. ‎

Новому‏ ‎хозяину ‎было‏ ‎озвучено, ‎что ‎в ‎этой ‎конкретной‏ ‎компании‏ ‎если‏ ‎кто ‎и‏ ‎хотел ‎что-то‏ ‎украсть ‎посредством‏ ‎расходной‏ ‎части, ‎давно‏ ‎украл ‎и ‎его ‎тут ‎уже‏ ‎нет. ‎И‏ ‎на‏ ‎это ‎не ‎нужно‏ ‎тратить ‎время‏ ‎и ‎людские ‎ресурсы. ‎

Но‏ ‎новый‏ ‎хозяин ‎принимает‏ ‎решение, ‎что‏ ‎надо ‎назначить ‎2 ‎людей, ‎которые‏ ‎будут‏ ‎контролировать ‎все‏ ‎текущие ‎(любые)‏ ‎расходы. ‎

При ‎этом ‎совокупная ‎зп‏ ‎этих‏ ‎2х‏ ‎людей ‎330‏ ‎тыс.руб. ‎(да,‏ ‎не ‎самые‏ ‎дешёвые‏ ‎люди). ‎

Итог?

За‏ ‎2 ‎недели ‎работы ‎не ‎выявлено‏ ‎никакого ‎мошенничества‏ ‎и‏ ‎воровства ‎(проверялось ‎100%‏ ‎расходов), ‎а‏ ‎найден ‎лишь ‎один ‎неверно‏ ‎оформленный‏ ‎акт ‎выполненных‏ ‎работ ‎на‏ ‎2000 ‎рублей. ‎

Теперь ‎математика

• совокупная ‎зп‏ ‎2х‏ ‎людей ‎за‏ ‎две ‎недели‏ ‎165 ‎тыс.руб.
• отчислим ‎во ‎внебюджет ‎грубо‏ ‎30%.‏ ‎Ещё‏ ‎55 ‎тыс.‏ ‎
• найденный ‎риск?‏ ‎Риск ‎по‏ ‎налогу‏ ‎на ‎прибыль.‏ ‎20% ‎от ‎2000 ‎рублей ‎=‏ ‎400 ‎рублей.‏ ‎Штрафы,‏ ‎пени...вообще ‎нематериальны. ‎

Так‏ ‎о ‎чем‏ ‎это ‎все?

Риск-аппетит - это ‎когда ‎лучше‏ ‎оставить‏ ‎потерю ‎на‏ ‎своем ‎удержании,‏ ‎чем ‎понести ‎еще ‎бОльшие ‎потери,‏ ‎чтобы‏ ‎ее ‎выявить‏ ‎или ‎чтобы‏ ‎управлять ‎ею.

Простыми ‎словами, ‎- ‎потратить‏ ‎много‏ ‎тысяч‏ ‎и ‎сэкономить‏ ‎пару ‎сотен‏ ‎- ‎неправильное‏ ‎управление‏ ‎риском. ‎А‏ ‎руководителя, ‎который ‎принимает ‎такое ‎решение...даже‏ ‎и ‎не‏ ‎знаю‏ ‎как ‎назвать. ‎Есть‏ ‎варианты?

Не ‎согласны‏ ‎с ‎этой ‎историей? ‎Ну...‏ ‎It's‏ ‎up ‎to‏ ‎you.

Продолжаем ‎погружаться‏ ‎в ‎мир ‎внутреннего ‎контроля, ‎рисков‏ ‎и ‎самообразования.

Постом‏ ‎ранее‏ ‎мы, ‎надеюсь, ‎выяснили,‏ ‎что ‎такое‏ ‎РИСК. А ‎так ‎как ‎повторенье‏ ‎-‏ ‎мать ‎ученья,‏ ‎озвучу ‎ещё‏ ‎раз: ‎Риск ‎- любое ‎неблагоприятное ‎событие,‏ ‎которое‏ ‎может ‎привести‏ ‎или ‎уже‏ ‎привело ‎бизнес ‎к ‎потерям. ‎

Резонно‏ ‎встаёт‏ ‎вопрос‏ ‎по ‎классику:‏ ‎"Что ‎делать?"

Ответ‏ ‎прост. ‎Своими‏ ‎рисками‏ ‎надо ‎управлять.‏ ‎

Дабы ‎избежать ‎академичности ‎и ‎сухой‏ ‎теории, ‎предлагаю‏ ‎смоделировать‏ ‎некую ‎практическую ‎историю.‏ ‎

Пусть ‎у‏ ‎нас ‎есть ‎организация, ‎у‏ ‎которой‏ ‎очень ‎много‏ ‎расходов. ‎А‏ ‎расходы, ‎как ‎мы ‎знаем, ‎уменьшают‏ ‎налогооблагаемую‏ ‎базу ‎по‏ ‎налогу ‎на‏ ‎прибыль. ‎

Очевидный ‎риск ‎организации ‎-‏ ‎налоговый.‏ ‎А‏ ‎именно, ‎-‏ ‎доначисление ‎налога,‏ ‎штрафы, ‎пени‏ ‎и‏ ‎прочие ‎"блага".

Почему?

Потому‏ ‎что ‎расходы ‎могут ‎быть ‎не‏ ‎подтверждены ‎документально‏ ‎(доков‏ ‎нет, ‎доки ‎неверно‏ ‎оформлены, ‎доки‏ ‎не ‎бьются ‎с ‎налоговым‏ ‎периодом...НК‏ ‎РФ ‎нам‏ ‎в ‎помощь).‏ ‎

Чтобы ‎этот ‎риск ‎нас ‎не‏ ‎настиг‏ ‎надо ‎что-то‏ ‎делать ‎(управлять‏ ‎риском) ‎: ‎

• назначить ‎ответственных ‎за‏ ‎наличие,‏ ‎своевременность‏ ‎истребования, ‎корректность‏ ‎документов;
• зафиксировать ‎обязанности‏ ‎ответственных ‎в‏ ‎должностных‏ ‎инструкциях;
• настроить ‎напоминалки‏ ‎в ‎информационной ‎системе;
• разграничить ‎права ‎доступа‏ ‎в ‎той‏ ‎же‏ ‎информ.системе...

И ‎т.д. ‎В‏ ‎каждом ‎бизнесе‏ ‎есть ‎свои ‎нюансы ‎и‏ ‎вариации.

Всё‏ ‎вышеозначенное ‎является‏ ‎примером ‎контрольных‏ ‎процедур ‎- ‎меры, ‎которые ‎помогают‏ ‎вам‏ ‎избежать ‎потерь.‏ ‎

Если ‎у‏ ‎вас ‎их ‎нет...пора ‎задуматься ‎и‏ ‎внедрить.‏ ‎Если‏ ‎есть ‎-‏ ‎вы ‎молодец,‏ ‎но ‎стоит‏ ‎проверить,‏ ‎а ‎эффективны‏ ‎ли ‎ваши ‎контрольные ‎процедуры? ‎Действительно‏ ‎ли ‎они‏ ‎оберегают‏ ‎вас ‎от ‎потерь?‏ ‎

А ‎про‏ ‎риск-аппетит ‎наслышаны?

Об ‎этом ‎позднее.

Реальная‏ ‎история‏ ‎о ‎сверхглупости‏ ‎последует. ‎

Оставаться‏ ‎или ‎нет... ‎it's ‎up ‎to‏ ‎you.

Т.к. ‎в‏ ‎дальнейшем ‎повествовании ‎часто ‎будут ‎использоваться‏ ‎термины ‎"контроль",‏ ‎"‏ ‎внутренний ‎контроль", ‎"риск",‏ ‎" ‎Система‏ ‎Внутреннего ‎Контроля ‎(СВК)", ‎думаю,‏ ‎будет‏ ‎не ‎лишним‏ ‎разобраться, ‎что‏ ‎это, ‎несмотря ‎на, ‎казалось ‎бы,‏ ‎очевидность‏ ‎их ‎определения,‏ ‎а ‎также‏ ‎в ‎каком ‎контексте ‎они ‎будут‏ ‎употребляться.

Многие‏ ‎привыкли‏ ‎и ‎приняли‏ ‎как ‎данность,‏ ‎что ‎Система‏ ‎внутреннего‏ ‎контроля ‎(равно‏ ‎как ‎и ‎Служба ‎внутреннего ‎контроля)‏ ‎- ‎прерогатива‏ ‎крупных‏ ‎предприятий. ‎

Поэтому ‎продолжу‏ ‎с ‎не‏ ‎самого ‎очевидного: ‎любой ‎бизнес‏ ‎имеет‏ ‎Систему ‎внутреннего‏ ‎контроля ‎

Неважно,‏ ‎кто ‎вы: ‎самозанятый, ‎ИП, ‎ООО‏ ‎и‏ ‎т.д. ‎

Например:

- Самозанятый,‏ ‎шьющий ‎предметы‏ ‎одежды ‎на ‎дому, ‎контролирует ‎остаток‏ ‎материала,‏ ‎контролирует‏ ‎сроки ‎выполнения‏ ‎работы ‎и‏ ‎отправки ‎заказа‏ ‎заказчику...‏ ‎;

- ИП, ‎который‏ ‎организовал ‎небольшое ‎производство ‎детского ‎конструктора‏ ‎контролирует ‎качество‏ ‎поставленного‏ ‎материала, ‎изнашиваемость ‎оборудования‏ ‎и/или ‎деталей‏ ‎к ‎нему, ‎мониторит ‎(контролирует)‏ ‎проведение‏ ‎тематических ‎выставок...‏ ‎;

- ООО ‎и‏ ‎более ‎крупные ‎единицы ‎бизнеса ‎контролируют‏ ‎сроки‏ ‎поставок, ‎отгрузок,‏ ‎производства, ‎выполнения‏ ‎услуг, ‎организации ‎продаж.... ‎И ‎много‏ ‎чего‏ ‎ещё.‏ ‎Думаю, ‎суть‏ ‎ясна. ‎

Иными‏ ‎словами ‎-‏ ‎везде‏ ‎и ‎всегда‏ ‎есть ‎какой ‎никакой, ‎но ‎контроль.‏ ‎А ‎значит‏ ‎уже‏ ‎есть ‎и ‎некая‏ ‎система ‎контроля‏ ‎(СВК).

(Забегая ‎немного ‎вперёд, ‎раскрою‏ ‎карты‏ ‎- ‎ключевым‏ ‎моментом ‎всегда‏ ‎(на ‎протяжении ‎всего ‎периода ‎жизни‏ ‎бизнеса)‏ ‎будет ‎являться‏ ‎КАЧЕСТВО, ‎ЭФФЕКТИВНОСТЬ‏ ‎И ‎ДОСТАТОЧНОСТЬ ‎этой ‎системы ‎контроля.‏ ‎Но‏ ‎об‏ ‎этом ‎потом).

А‏ ‎сейчас. ‎..Revenons‏ ‎à ‎nos‏ ‎moutons,‏ ‎как ‎говорят‏ ‎французы. ‎То ‎бишь ‎- ‎вернёмся‏ ‎к ‎нашим‏ ‎баранам,‏ ‎к ‎сути ‎поста.‏ ‎

Для ‎чего‏ ‎мы ‎контролируем ‎свой ‎бизнес?

Многие‏ ‎ответят:‏ ‎чтобы ‎зарабатывать‏ ‎деньги, ‎как‏ ‎и ‎было ‎запланировано. ‎

Я ‎не‏ ‎соглашусь‏ ‎и ‎отвечу‏ ‎иначе: ‎мы‏ ‎контролируем, ‎чтобы ‎НЕ ‎терять ‎деньги.‏ ‎То‏ ‎есть‏ ‎своевременно ‎реагировать‏ ‎на ‎некие‏ ‎неблагоприятные ‎события....РИСКИ

Если‏ ‎наш‏ ‎самозанятый ‎вовремя‏ ‎не ‎закупит ‎материал, ‎вовремя ‎не‏ ‎сошьет ‎заказанные‏ ‎мною‏ ‎перчатки ‎и ‎вовремя‏ ‎их ‎не‏ ‎отправит, ‎чем ‎он ‎рискует:

• отказ‏ ‎от‏ ‎заказа ‎с‏ ‎моей ‎стороны‏ ‎(деньги ‎на ‎материал ‎потрачены ‎свои,‏ ‎время‏ ‎потрачено, ‎доход‏ ‎не ‎получен).‏ ‎Деньги ‎потеряны. ‎Когда ‎вернутся(ли) ‎...неизвестно;
• негативный‏ ‎отзыв‏ ‎с‏ ‎моей ‎стороны‏ ‎в ‎соцсетях.‏ ‎Самозанятый ‎потерял‏ ‎потенциальных‏ ‎будущих ‎клиентов,‏ ‎ака ‎доход. ‎

Если ‎наш ‎ИП‏ ‎вовремя ‎не‏ ‎обновил‏ ‎детали ‎оборудования ‎по‏ ‎производству ‎конструктора,‏ ‎он ‎никак ‎не ‎сможет‏ ‎выполнить‏ ‎весь ‎объем‏ ‎заказов ‎на‏ ‎конструкторы ‎в ‎срок, ‎пока ‎не‏ ‎получит‏ ‎новые ‎детали‏ ‎к ‎оборудованию....‏ ‎Отказы ‎от ‎заказов, ‎списание ‎материалов‏ ‎в‏ ‎убыток,‏ ‎негативные ‎отзывы,‏ ‎потери, ‎потери‏ ‎потери... ‎

Более‏ ‎крупный‏ ‎бизнес ‎теряет‏ ‎деньги ‎вообще ‎на ‎каждом ‎шагу.‏ ‎Об ‎этом‏ ‎можно‏ ‎отдельные ‎посты ‎делать.‏ ‎

Надеюсь, ‎посыл‏ ‎понятен. ‎

А ‎задача ‎сегодняшнего‏ ‎упражнения‏ ‎запомнить, ‎что‏ ‎РИСК ‎- это‏ ‎событие, ‎которое ‎уже ‎привело ‎к‏ ‎потерям,‏ ‎либо ‎может‏ ‎привести! ‎И‏ ‎что ‎вы ‎контролируете ‎свой ‎бизнес...вопрос‏ ‎насколько‏ ‎качественно.‏ ‎

Если ‎кто-то‏ ‎не ‎согласен,‏ ‎то ‎может‏ ‎высказать‏ ‎свою ‎позицию‏ ‎в ‎комментариях, ‎а ‎в ‎остальном...‏ ‎it's ‎up‏ ‎to‏ ‎you

Это ‎первый‏ ‎пост. ‎Пусть ‎это ‎будет, ‎как‏ ‎означено ‎в‏ ‎заголовке,‏ ‎некая ‎проба ‎пера.‏ ‎Не ‎судите‏ ‎строго. ‎

В ‎бизнесе ‎нельзя‏ ‎верить‏ ‎никому!!! ‎

Ни‏ ‎брату, ‎ни‏ ‎свату, ‎ни ‎маме ‎с ‎папой,‏ ‎ни‏ ‎любовнице, ‎ни‏ ‎жене...никому. ‎Это‏ ‎факт. ‎Поверьте. ‎

Предадут, ‎обманут, ‎начнут‏ ‎играть‏ ‎на‏ ‎чувствах ‎и‏ ‎просить ‎послабления,‏ ‎перевёрнут ‎всё‏ ‎в‏ ‎угоду ‎себе,‏ ‎но ‎никак ‎не ‎вам. ‎И‏ ‎вы ‎будете‏ ‎плохим‏ ‎(и ‎только ‎вы).‏ ‎

Бизнес ‎этого‏ ‎не ‎приемлет. ‎Это ‎колоссальный‏ ‎риск!‏ ‎Ваш ‎риск.‏ ‎

Все ‎взаимоотношения‏ ‎со ‎всеми ‎вышеозначенными ‎людьми ‎(да‏ ‎и‏ ‎со ‎всеми‏ ‎прочими, ‎разумеется)‏ ‎подлежат ‎юридическому ‎оформлению. ‎Если ‎этого‏ ‎не‏ ‎сделать...винить‏ ‎в ‎потерях‏ ‎можно ‎только‏ ‎себя.

Договоры, ‎расписки‏ ‎о‏ ‎получении ‎денег‏ ‎(даже ‎от ‎мамы) ‎, ‎соглашения‏ ‎о ‎намерениях‏ ‎(нотариально‏ ‎заверенные ‎с ‎детализацией‏ ‎ролей ‎в‏ ‎бизнесе), ‎совместное ‎учредительство ‎(ака‏ ‎ответственность).‏ ‎Только ‎так.‏ ‎Это ‎всё‏ ‎должно ‎у ‎вас ‎быть. ‎

Неудобно?‏ ‎Неловко?‏ ‎:) ‎

Да,‏ ‎такие ‎ощущения‏ ‎бывают. ‎

Ну ‎как ‎же ‎...он‏ ‎(она,‏ ‎они)‏ ‎близкие ‎люди,‏ ‎моё ‎родное,‏ ‎я ‎верю,‏ ‎не‏ ‎обманут. ‎

Обманут!!!

Узнано‏ ‎и ‎проверено ‎опытным ‎путём.

Ну ‎а‏ ‎дальше... ‎

It's‏ ‎up‏ ‎to ‎you...