Алексей Швецкий – Корпоративная безопасность, как бизнес-процесс (страница 7)

При этом, под инцидентом мы понимаем событие (в т.ч. возможное), связанное с нарушением требований внутренних нормативных документов, и/или риск/факт коррупции, внутреннего фрода, информация о котором поступила в подразделение безопасности, требующая уточнения в ходе проверки.

То есть, в качестве инцидента можно рассматривать не только уже случившееся событие, но и то, которое может произойти в будущем так как к этому имеются предпосылки, то есть гипотеза.

Наиболее сложные, имеющие признаки системных рисков, передаются в подразделение (специалистам) экономической безопасности для проведения корпоративного расследования. В филиалах или на объектах, где сотрудник СБ выступает в единственном лице и отвечает за все линии работы, он же проводит и корпоративные расследования, а профильные менеджеры по ЭБ оказывают ему методическую и при необходимости практическую помощь.

То есть, подразделения Дирекции безопасности, в рамках текущих активностей осуществляют контроли зон ответственности и выявляют отклонения (инциденты), которые необходимо учитывать, расследовать, накапливать и анализировать.

Ниже приведена возможная схема взаимодействия между структурными подразделениями Дирекции безопасности.

Оперативно-дежурная служба

Поскольку часть контролей осуществляется в круглосуточном режиме и может потребоваться реагирования в нерабочее время, представляется целесообразным создание «единого окна» для сбора такой информации, принятия мер по локализации происшествий и информирования о нем ответственных сотрудников и руководство организации. Обычно этот функционал возлагается на Оперативного дежурного Компании (Далее – ОДК) – старшего смены охраны, несущего службу круглосуточно в головном офисе.

При территориально-распределенном расположении объектов, полезно разработать единый формат представления информации о происшествиях и организовать автоматизированный сбор этих данных на дашборд ОДК.

В условиях недостатка ресурсов, это можно реализовать через возможности известного офисного приложение Microsoft Excel, разместив таблицы на сетевых дисках и связав их гиперссылками. С этой задачей справится даже неквалифицированный пользователь при нулевых затратах на создание и поддержку системы.

Оперативный дежурный (старший охраны) каждого объекта ежедневно заполняет свою таблицу, а значения автоматически подтягиваются ОДК и суммируются за холдинг. Подробности и описание происшествий добавляется в виде примечания.

В результате мы получим ежедневно обновляемые сведения об инцидентах с накопительным итогом за день, месяц или год.

Кроме того, это даст возможность мониторить исправность технических средств безопасности для целей оценки качества работы специалистов, поддерживающих их работоспособность.

Примерный перечень контролей ОДК:

Ситуационный центр

В больших организациях, excel-формата может оказаться недостаточно, поэтому для осуществления мониторинга, контроля ситуаций, анализа данных, информирования и принятия управленческих решений создается Ситуационный центр (Далее – СЦ).

Задачи СЦ:

обеспечить централизованный круглосуточный мониторинг состояния инфраструктуры объектов

обеспечить сбор, обработку и анализ информации с целью выявления отклонений и своевременного информирования об инцидентах

обеспечить руководство наиболее полной информацией для качественного принятия решений

организовать информационно-аналитическую поддержку принятия управленческих решений в сложных ситуациях, включая аварийные

оперативно реагировать и устранять проблемы, возникающие в процессе эксплуатации оборудования и систем

сократить сроки реагирования на инциденты.

В зависимости от специфики предприятия и особенностей организационно-штатной структуры, он может быть, как единым, так и разделенным, когда инциденты ИБ или ЭБ регистрируются и отрабатывается отдельно. Такое дублирование не выглядит критично, так как мониторинг киберугроз, возможно, уже осуществляется круглосуточно силами SOC5 , а инциденты ЭБ могут быть зарегистрированы и на следующий день без потери актуальности. Немедленного реагирования, как правило, требуют инциденты ФБ (кража, разбой) или происшествия техногенного характера (аварии на инженерных сетях и т.п.).

Если Ситуационный центр общий, то в целях обеспечения конфиденциальности, права доступа определяются ролями пользователей. А Оперативному дежурному Компании, поступает информация в формализованном виде. Например, «Инцидент ИБ 2 категории, планируемый срок решения 05.11 сегодня, ответственный Иванов О.П.».

Категорийность инцидентов закрепляется в ВНД и для каждой определяется срок решения, который ОДК берет на контроль.

Отдельно определяется перечень происшествий, доклад о которых руководству производится незамедлительно, а также тех, где оповещаются ответственные за проблемный участок. Формы информационных сообщений лучше шаблонизировать, что с одной стороны обеспечит полноту доклада, а с другой его связность (не все ОДК способны в критической обстановке внятно сформулировать суть возникшей проблемы).

Работа СЦ может быть автоматизирована на основе конструктора сценариев реагирования в зависимости от вида объекта, инцидента и ответственных лиц, участвующих устранении инцидента. В этом идеальном случае система сама направит информационные сообщения по заранее определенному маршруту.

Состав системы:

комплекс информационно-аналитических систем (система отображения, сбора и обработки информации, система поддержки принятия решений, система мониторинга)

система видеонаблюдения

система контроля и управления доступом

система охранной сигнализации

система охранно-пожарной безопасности

система оперативной связи и оповещения

рабочие места ОДК и его помощника

дополнительные системы, принятые на мониторинг.

В этом случае внутренние процессы Ситуационного центра могут иметь такой вид:

… а принципиальная схема построения СЦ такой:

В перспективе, на контроль Ситуационного центра могут быть поставлены и другие параметры (вход/выход и геолокация корпоративного автотранспорта, температурный режим в холодильных камерах и т.п.). При автоматизированной системе реагирования, это не приведет к перегрузке функционала ОДК и снижению эффективности управления инцидентами безопасности.

В качестве варианта, ниже приводиться возможный список контролируемых параметров.

Платформа для учета инцидентов безопасности

Для регистрации инцидентов безопасности желательно иметь специализированный ИТ-ресурс (База данных инцидентов). В настоящее время на рынке множество предложений подобных платформ, но ни одна из них в достаточной мере не адаптирована под нужды подразделений безопасности.

Выходом видится либо приобретение и доработка таких ресурсов, либо самостоятельное создание уникального продукта.

При выборе последнего варианта, в функциональные требования для разработчиков включаем наиболее критичные для нас условия.

Описание процесса

При возникновении инцидентов безопасности, выявившие их сотрудники регистрируют события на специализированной ИТ-платформе (список ограничен, модерируется назначенным специалистом Дирекции безопасности).

Кратко описывая суть происшествия:

место события и риск – из выпадающих списков,

фабула – свободное изложение с ограниченным количеством знаков;

Инциденту присваиваются:

порядковый номер;

владелец (инициатор);

контрольный срок решения;

О регистрации нового инцидента система автоматически генерирует оповещения руководителя владельца (согласно прописанному маршруту);

После решения инцидента, сотрудник вносит в систему информацию о принятых мерах и достигнутых результатах;

Программа автоматически запрашивает у руководителя владельца подтверждение, если отчет принят, инцидент закрывается;

Варианты решений руководителя:

отчет принят

на доработку (с комментарием)

провести расследование.

В последнем случае, владелец указывает номер инициированной им корпоративной проверки и после подтверждения руководителем инцидент закрывается.

Если инцидент не закрыт после истечения контрольного срока владельцу и его руководителю направляется оповещение.

Особые требования к тестированию, поддержке, администрированию системы управления инцидентами безопасности.

Доступ к интерфейсу разрешен сотрудникам, согласно списку, который может быть изменен только модератором из числа назначенных работников дирекции безопасности.

Пользователи могут вносить новые и просматривать старые записи (в том числе созданные другими сотрудниками), но без права редактирования или удаления.