Журнал "Information Security/ Информационная безопасность" #3, 2021

У топ-менеджмента не должно возникнуть иллюзии контроля со стороны служ- бы внутреннего аудита в отношении того, что соот- ветствие стандартам защи- тит компанию от любых неприятностей. Особо важную роль с точки зрения информацион- ной безопасности играет юридическая служба при реагировании на утечки информации ограниченного доступа и персональных данных. Современные руководи- тели, как правило, пони- мают скрытые технологиче- ские риски и при разработке стратегии безопасности опи- раются на широкий спектр мнений в компании. "наверх", так как у службы внут- реннего контроля традиционно налажены коммуникации с руководством компании. Все, что может иметь негативные последствия для компании, – штрафы, санкции, карательные меры со стороны регуляторов обсуждается с руководством, с целью выработки мер для предотвращения негативных последствий. Но в деятельности внутрен- него аудита есть и подводные камни. Для этой службы соблю- дение реальных требований информационной безопасности может иметь меньший приори- тет, чем соответствие отрасле- вым нормам и законодатель- ству. У топ-менеджмента не должно возникнуть иллюзии контроля со стороны службы внутреннего аудита в отноше- нии того, что соответствие стан- дартам защитит компанию от любых неприятностей. Тут важно не пренебрегать другими профилактическими мероприя- тиями, предлагаемыми всеми заинтересованными сторонами компании. Юридическая служба CLO (Chief Legal Officer), главный юрисконсульт, директор юридической службы Директор юридической служ- бы призван существенно влиять на убеждения и взгляды руко- водства компании, в том числе на стратегию. Если специалисты юридиче- ской службы хорошо разби- раются в законодательстве, свя- занном с защитой персональ- ных данных, понимают основы технологий, знают надежные юридические практики из обла- сти соблюдения законодатель- ства по информационной без- опасности, то это может свиде- тельствовать о наличии в ком- пании глубокой юридической экспертизы в технологиях без- опасности. Специалисты юридической службы играют ключевую роль в определении политики ком- пании по обмену значимой информацией с госструктурами, они участвуют в судебных раз- бирательствах, их привлекают к оценке требований контроли- рующих органов, к оценке про- цедурных вопросов реагирова- ния на проверки и расследова- ния. Особо важную роль с точки зрения информационной без- опасности играет юридическая служба при реагировании на утечки информации ограничен- ного доступа и персональных данных. Общая безопасность (внутренняя безопасность, экономическая безопасность, служба режима) CSO (Chief Security Officer), директор по обеспечению безопасности бизнеса, начальник службы безопасности В современных компаниях организация физической без- опасности обычно отдается на аутсорсинг, а служба безопас- ности чаще всего наделяется функционалом внутренней и/или экономической безопас- ности. Сотрудники службы без- опасности проверяют послуж- ной список кандидатов, пытают- ся выяснить негативные эпизо- ды в их биографии и другие моменты, важные с точки зре- ния надежности кандидата на должность в компании. При расследовании инциден- тов служба безопасности тра- диционно выходит на первый план. Служба ИБ предоставляет всю необходимую фактуру по проштрафившемуся сотрудни- ку: логи, электронную переписку и прочее, а служба безопасно- сти доводит расследование до логического конца. Заключение Перечисленные выше руко- водители подразделений неред- ко смотрят на проблемы обес- печения информационной без- опасности по-разному, однако под управлением руководства компании они могут прийти к общему пониманию, которое будет определять стратегию безопасности в бизнес-деятель- ности компании. Одним из ключевых условий сотрудничества большого числа участников является признание ролей, которые должна играть каждая группа в компании. На представителей топ-менеджмен- та ложится роль лидеров в этих процессах. Только у них есть полномочия определять, что важно для компании, а что нет. Выше перечислены особен- ности участия в стратегии без- опасности каждого из руково- дителей ключевых подразде- лений. Но есть одна область, в которой сходятся все уси- лия, – это реагирование на инциденты, связанные с инфор- мационной безопасностью. Разработка и применение про- думанных, последовательных планов реагирования на инци- денты – огромная задача, кото- рая абсолютно необходима для успеха компании в борьбе с негативными событиями. Раз- работка таких планов – много- профильный проект, в котором каждый из ключевых руково- дителей должен играть свою роль. При подготовке планов реагирования компания должна ответить на многие вопросы. Кто входит в команду реагиро- вания? Кто возглавляет эту команду? В какой момент ком- пания обязана сообщать о негативных событиях госу- дарственным или федераль- ным регулирующим органам? Какие соглашения и контракты необходимо иметь в случае, если инфраструктура компании будет неработоспособна? В соответствии с законами о конфиденциальности, трудо- вым законодательством или политиками компании обязано ли руководство уведомлять своих сотрудников, клиентов или акционеров? Кто несет ответственность за оплату воз- можных восстановительных работ, которые необходимо выполнить после окончания инцидента? И так далее. Решение многих проблем информационной безопасности невозможно без компромисса между участниками. Топ- менеджмент не привык дей- ствовать по чужой указке, а регулирование со стороны неожиданно появившихся в ком- паниях технологических лиде- ров в лице ИТ- и ИБ-директоров часто ограничивает их свободу действий и ущемляет самолю- бие. Но современные руково- дители, как правило, понимают скрытые технологические риски и при разработке стратегии без- опасности опираются на широ- кий спектр мнений в компании. Полная вовлеченность в деятельность компании сотрудников всех уровней спо- собствует применению их зна- ний, навыков и способностей на благо организации. Только так можно выстроить страте- гию безопасности современ- ной компании. l 50 • УПРАВЛЕНИЕ Ваше мнение и вопросы присылайте по адресу is@groteck.ru