Интеграция ИБ в корпоративную культуру
Петр Ляпин,
начальник службы информационной безопасности
ООО “НИИ Транснефть"
Itsec.Ru
История возникновения корпоративной культуры отсылает нас к правилам, существовавшим еще в профессиональных сообществах Cредних веков (гильдиях). Правила по большей части неписаные. Причем нарушение этих правил могло повлечь исключение из такого профессионального сообщества.
Корпоративная культура: что под этим понимать?
Собственно, термин "корпоративная культура" приписывается небезызвестному военному теоретику фельдмаршалу Мольтке (XIX в.), который таким образом комплексно урегулировал отношения в офицерской среде, заполнив пространство между уставами, приказами и иными формальными регуляторами. Современных определений этому явлению множество, но суть просматривается достаточно единообразно: это система ценностей, принципов, обычаев и правил поведения, обязательная для всех работников, разделяемая и исполняемая ими. Такая система позволяет всем в организации двигаться в одном направлении, как единому целому, ощущать и воспринимать себя как часть целого. Не вдаваясь в тонкости формализации понятия, можно с уверенностью сказать, что практически каждый работник нечто подобное вокруг себя ощущает, и это даже не зависит от размера организации, где он работает.
В каждой компании существуют свои правила. Отрицать это бессмысленно. Уровень корпоративной культуры при этом может находиться в любой точке от околонулевого до достаточно высокого. Причины этого различны, как и сами организации. Если для крупных корпораций порядок функционирования и управления выработан практической необходимостью и отточен годами с помощью различных методик и стандартов, то в небольших организациях такой порядок строго утилитарен. Характер и закрепление этих правил также различны. Иногда они имеют формальное закрепление (писаные), иногда нет (неписаные), иногда выполняются добровольно и инициативно (с направленностью на общее дело), а иногда их выполнение обеспечивается принуждением. Рассматривая корпоративную культуру с позиций ИБ, следует отметить, что немаловажными ее аспектами являются наличие ответственности за нарушения, соотношение этой ответственности с нормами действующего законодательства и способы реализации ответственности. К последним следует отнести институты мониторинга, контроля, расследования. Сюда же относится реализация принципа неотвратимости наказания. Все это определяет или в значительной степени влияет на корпоративную культуру.
Теперь об информационной безопасности
Нет смысла касаться формальных определений, но есть смысл рассмотреть реальное понимание и обеспечение ИБ в той или иной организации. Понимание информационной безопасности в разных ситуациях имеет свои особенности. И все они напрямую зависят от специфики деятельности рассматриваемой организации. Целесообразно коснуться ряда полярных примеров.
Например, в организациях, обеспечивающих прием и/или проведение платежей в реальном масштабе времени (платежных системах, связанных с ними организациях), понимание информационной безопасности основано на фактически реальных деньгах, потоки которых проходят через одних, обрабатываются другими, аккумулируются у третьих. И так как это реальные деньги – имеет место прямая связь безопасности с прибылью, ради которой организация и существует. Налицо предпринимательский характер рисков.
В другом случае речь о предпринимательских рисках не идет, но имеют место жесткие обязательные требования, отступление от которых недопустимо (применительно к критически важным объектам, например). В этом случае безопасность, в том числе информационная, есть неотъемлемое условие осуществления деятельности и вообще существования организации. Здесь имеют место риски иного порядка – риск гибели людей, нарушения обороны и безопасности целого государства, связанные экологические риски и др.
В небольшой коммерческой организации, деятельность которой напрямую не связана и не зависит в значительной степени от специальных требований регуляторов, необходимости защиты результатов интеллектуальной деятельности, информационная безопассти, информационная безопасность априори не может находить полного понимания среди работников. Ведь цель коммерческой организации – извлечение прибыли, процессы, обеспечивающие достижение этой цели, не находятся в жесткой зависимости от выполнения требований информационной безопасности (нет регулятора, нет реальной необходимости) – соответственно, последняя становится ненужной обузой, просто статьей расхода и, в соответствии с законами рынка, вытесняется из деятельности организации.
Если рассмотреть достаточно крупную коммерческую организацию, то здесь уже дела обстоят иначе. Информационная безопасность в этом случае часто является и понимается работниками действительно как один из внутренних регуляторов, таким как правила внутреннего трудового распорядка, дресс-код и др. ИБ является элементом системы поддержания общего порядка как в самой организации, так и в процессах, обеспечивающих ее деятельность. Такой подход видится наиболее органичным. В отдельных случаях это отдельный внутренний мир, со своими законами и правилами, системами их обеспечения, подобно государству с его институтами.
Все рассмотренные примеры, как было указано, являются полярными. Реальность всегда находится где-то между ними.
Понимание информационной безопасности в каждом из рассмотренных случаев в значительной степени зависит от уровня зрелости организации. Неспроста выше одним из пунктов была упомянута крупная организация. По объективным причинам ряд вопросов, так или иначе связанных с информационной безопасностью, начинает влиять на основные бизнес-процессы. Причем влиять настолько, что ими приходится заниматься уже системно, путем управления соответствующими рисками. На выбор подхода к оценке рисков в организации, помимо ее размера, характера бизнеса и уровня информатизации бизнес-процессов, также оказывает влияние ее уровень зрелости. Управление рисками информационной безопасности становится бизнес-задачей, инициируемой собственником бизнеса, в силу своей информированности и понимания этих рисков. Обратившись к ряду стандартов и методик, можно без труда найти описание и содержание всех уровней зрелости. Здесь останавливаться на этом не будем. Отметим лишь, что с определенного уровня процессы оценки и управления рисками уже являются составным элементом системы управления всей организации.
Интеграция информационной безопасности в корпоративную культуру всегда находится в прямой зависимости от первичных целей (процессов) организации. В любом другом случае такая интеграция будет напоминать ненужные телодвижения, не направленные на главную цель, да еще связанные с определенными издержками. Соответственно, такая интеграция не найдет своего применения и рано или поздно перестанет существовать.
От теории к практике
На прикладном уровне интеграция должна представлять собой такую встроенность в общую систему управления организацией, чтобы являться действительной ее частью. Попробуем выделить отдельные составляющие:
1. Общие цели, политики, концепции организации содержат положения в области обеспечения информационной безопасности. Может существовать отдельная политика или концепция информационной безопасности.
2. Среднесрочные планы развития организации включают вопросы обеспечения информационной безопасности. По меньшей мере, в виде процессов управления рисками.
3. В организации существуют соответствующие бюджеты (как минимум, оперативные и среднесрочные). И речь здесь не об общих резервах на непредвиденные ситуации, а о стройной программе бюджетирования направления. Необязательно существование отдельного бюджета информационной безопасности, необходимые статьи могут учитываться в общем бюджете на автоматизацию, ремонтно-эксплуатационные нужды и т.д. Главное – бюджетные программы должны быть процессно-ориентированными, т.е. предполагать поддержку функционирующих процессов информационной безопасности (включать плановую реорганизацию, длительные проекты, сопровождение, обновление эксплуатируемых систем, потребляемых услуг, повышение квалификации работников и т.п.).
4. В организации существуют формализованные правила обеспечения информационной безопасности. Также необязательно – в виде отдельных специальных инструкций. Положения могут содержаться в трудовых договорах, правилах внутреннего трудового распорядка, должностных инструкциях, то есть быть частью общей системы правил поведения.
5. В организации реализован принцип неотвратимости наказания. Имеет место система выявления и расследования нарушений в работе организации – общая система, направленная на защиту экономических интересов, начиная от проверки кандидатов на работу и потенциальных контрагентов, до различных злоупотреблений и ошибок, в том числе и в области информационной безопасности. На практике это может быть сложившаяся и зафиксированная во внутренних нормативных документах система контроля, выявления и расследования нарушений, фиксации результатов, применения взысканий.
6. В организации могут иметь место дополнительные (формализованные или нет) стимулирующие правила следования определенной модели поведения, предполагающие получение дополнительных благ для работников. Реализовано это может быть путем распределения дополнительного премиального фонда (не являющегося частью ежемесячных выплат).
В качестве выводов зафиксируем следующие положения, необходимые для эффективной интеграции информационной безопасности в корпоративную культуру: во-первых, это реальная связь основных процессов организации с рисками информационной безопасности; во-вторых, учет этих рисков при планировании, формировании и исполнении бюджетов; в-третьих, реализация п ринципа неотвратимости.
Опубликовано: Сайт ITSec.Ru