ОПИСАНИЕ ПРОБЛЕМЫ
Несмотря на имеющиеся нормативные требования по наличию выделенной структуры по информационной безопасности в кредитно-финансовых учреждениях, многие банки до сих пор озадачены этим вопросом.
Как правило, функции ИБ сконцентрированы в службе ИТ. Из практики, службу ИБ выделяют либо из существующей службы ИТ, либо создают «с нуля». В первую очередь перед менеджером по информационной безопасности встают проблемы не только соответствия требованиям нормативной документации и регуляторов, но и требованиям бизнеса.
Для этого как минимум необходимо выстроить процессы ИБ между службой ИБ и другими службами в банке. На Схеме 1 приведен перечень служб, которые, как правило, существуют в любой кредитно-финансовой организации.
Схема 1. Проблематика
В статье мы ответим как минимум на следующие вопросы:
ПЛАНИРОВАНИЕ РАБОТЫ
В первую очередь, менеджеру по информационной безопасности необходимо определить, какие требования применимы, оценить текущую степень соответствия. Для этого проводится самооценка соответствия обязательным требованиям регуляторов и нормативной документации. Также менеджер по ИБ получает требования по защите активов от владельцев бизнес процессов.
Далее, определив применимые требования и точки несоответствия, необходимо провести презентацию результатов руководству банка. Непосредственно результаты этого этапа будут являться «точкой отсчёта» для измерения результативности работы службы информационной безопасности. На этом этапе менеджер по ИБ должен убедить руководство в необходимости реализации тех или иных требований, связав их с генерирующими прибыль процессами банка.
Схема 2. Планирование
С позиции руководства не важно, какие требования менеджер предлагает реализовать и для чего. Руководству важно понять выгоду для бизнеса от реализации этих требований и риски, которые возникают в случае их не реализации. Это касается как требований к защите активов, так и требований регулирующих органов. Любые требования следует трактовать с позиции риск- менеджмента.
Несоответствие требованиям регуляторов может привести к санкциям с их стороны, денежным штрафом, отзывом лицензии на осуществление основного вида деятельности. Отказ в защите бизнес-активов может привести к потере доверия клиентов, партнёров, контрагентов. Все эти риски должны быть учтены, связаны с основным бизнесом банка и доведены до руководства.
В конечном итоге руководство решает, является ли указанный риск приемлемым. Зачастую то, что может быть критично с точки зрения структурных подразделений (владельцев бизнес-процессов), менеджера по информационной безопасности, руководством может быть отнесено на второй план. Связав риски либо их совокупность с генерирующей прибыль деятельностью можно дать понять руководству реальную степень угрозы.
Заручившись поддержкой руководства в реализации процессов управления информационной безопасностью, менеджеру по ИБ необходимо приступить к непосредственной их реализации. С практической точки зрения это означает выпуск приказа по банку с указанием ответственных за разработку процессов (как правило, это менеджер по ИБ), вовлекаемых подразделений, их ответственность в рамках работы менеджера по ИБ и контроля исполнения.
Ознакомление с приказом и доведение его до всех подразделений важно – поскольку это демонстрирует вовлечённость руководства банка и является мотивирующим фактором для задействованных подразделений. Необходимо, чтобы все сотрудники ощутили, что инициатива исходит не от одного конкретного человека, сотрудника «какой- то» службы ИБ, а от руководства банка в качестве одного из процессов управления.
РЕАЛИЗАЦИЯ СТРАТЕГИИ
Перед началом реализации процессов менеджеру по ИБ необходимо разработать стратегию информационной безопасности. При разработке стратегии необходимо обязательно учесть требования бизнеса, а также некоторый период его развития.
На основании стратегии разрабатывается политика ИБ, которая содержит требования ко всем применяемым технологиям, системам и подсистемам. Однако такой документ не следует перегружать специфической терминологией: он должен описывать требования в понятной и доступной форме и детализироваться, при необходимости, отдельными документами с учётом их области распространения.
На Схеме 3 представлены процессы, которые могут быть в той или иной степени делегированы различным структурным подразделениям банка. На рисунке изображен лишь тот необходимый минимум, который возможно эффективно интегрировать.
Схема 3. Реализация стратегии информационной безопасности
СОВЕРШЕНСТВОВАНИЕ
После разработки и реализации в банке процессов информационной безопасности важным фактором успешного их функционирования является применение классического цикла PDCA.
Мониторинг и совершенствование являются хорошим подходом, однако на практике это вызывает сложности, которые связаны с входной и выходной информацией этих процессов. Как правило, руководство банка и менеджер по ИБ проводят недостаточно встреч, либо не проводят их совсем. Связано это в первую очередь с тем, что руководство не хочет получать избыточную информацию, которой изобилуют отчеты службы ИБ.
На Схеме 4 представлен план внутреннего взаимодействия, оптимально предоставляющего различные метрики эффективности в рамках вовлечённых в управление ИБ структурных подразделений.
Схема 4. Совершенствование
ПОЗИЦИОНИРОВАНИЕ
Процесс управления информационной безопасностью должен являться неотъемлемой частью общего менеджмента организации. Мы рассмотрели, каким образом его можно встроить в существующие процессы банка, тем самым повысив эффективность и результативность деятельности службы ИБ.
Схема 5. Позиционирование
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных