реклама
Бургер менюБургер меню

Алексей Швецкий – Корпоративная безопасность, как бизнес-процесс (страница 8)

7 8 9 10 Вперед
18

Массив данных, накапливаемый системой, хранится на сервере Дирекции безопасности.

Информация обо всех инцидентах должна быть доступна к просмотру, с применением фильтров по сотруднику, локации или риску, а также выгрузке в Excel.

Можно, конечно, вести учет инцидентов и вручную, сформировав Excel-таблицу, но такой подход представляется устаревшим.

Тем не менее, в этом случае набор граф может быть таким:

Желательно подключить набор справочников (списки сотрудников, адреса объектов, классификатор рисков). Это упростит работу и позволит избежать технических ошибок при вводе данных.

Такие таблицы создаются в сетевой папке для каждого сотрудника, а данные из них, через настроенные связи, автоматически сводятся в общую за подразделение.

Так же есть возможность связать итоговую таблицу с шаблоном в Power Point, что позволит формировать отчетность и графики. Удобство заключается в том, что руководителю достаточно обновить связи, чтобы в реальном времени стали доступны данные результативности по каждому работнику и обобщенные за подразделения/территории/направления бизнеса.

Решение инцидентов безопасности

Решение любого инцидента включает два уровня митигирующих действий:

Локальный уровень реагирования – не допустить утрату информации (или доступа к ней), имущества или других активов, включая такие действия как:

Для ИБ: блокировка канала, шлюза, IP-адреса, учетной записи, рабочей станции и т.п.

Для ФБ: задержание нарушителя, недопущение несанкционированного выноса (вывоза) имущества

Для ЭБ: запрет на взаимодействие с рисковым контрагентом или прием на работу неблагонадежного кандидата.

То есть, локальный (простой) инцидент – это когда один из участников бизнес-процесса нарушил установленные правила, что привело (могло привести) к материальным потерям или иным нежелательным последствиям.

На этом этапе действия участников процесса понятны и довольно просты. После того, как нежелательная активность пресечена, в большинстве случаев, инцидент можно считать закрытым.

Однако, если оказывается, что существующие в Компании правила на основании которых осуществляется реагирование, не обеспечивают сохранность активов, налицо признак системного риска, который требует более глубокой проработки – расследования.

Системный уровень реагирования требует рассмотрения локального (простого) инцидента в контексте бизнес-процесса для выявления уязвимостей в нем (системный риск) и выработки предложений по их закрытию.

Тогда, системным риском или сложным инцидентом – следует считать ситуацию, когда участники бизнес-процесса неукоснительно следовали установленным правилам, но материальные потери или иные нежелательные последствия все же наступили, либо правила поведения участников не были установлены вовсе.

В случае выявления признаков системного риска в инциденте безопасности, инициируется корпоративное расследование. Его содержание, порядок проведения, полномочия участников, а также требования к результатам должны быть зафиксированы в соответствующем нормативном документе.

С учетом изложенного, порядок действий сотрудника СБ, выявившего инцидент, может быть следующим:

Регистрация инцидента.

Установление участников.

Определение бизнес-процесса в рамках которого произошел инцидент.

Изучения локальных нормативных актов, описывающих этот процесс (регламент, положение, процедура, должностные инструкции).

Анализ соответствия действий участников требованиям нормативной базы.

Анализ актуальности нормативной базы.

Вывод о причинах и условиях, способствовавших возникновению инцидента.

Выработка рекомендаций по применению корректирующих мер.

Есть нарушение со стороны исполнителей, нормативная база актуальна – применяем меры дисциплинарного воздействия к виновным, инцидент (простой) закрывается.

Есть нарушение со стороны исполнителей, нормативная база не актуальна – применяем меры дисциплинарного воздействия к виновным, системный риск отрабатываем в рамках расследования. Инцидент закрывается инициированием расследования.

Нет нарушения со стороны исполнителей, нормативная база не актуальна – отрабатываем системный риск в рамках расследования. Инцидент закрывается инициированием расследования.

Корпоративные расследования

В качестве единого формата, расследования сложных инцидентов безопасности, устанавливаем – корпоративную проверку, порядок проведения которой закрепляем в соответствующем регламенте.

Основание для проведения корпоративной проверки (расследования)

– информация о каком-либо событии (происшествии, инциденте, в том числе прогнозируемом), в результате которого Компании причинен (может быть причинен) имущественный либо иной (например, репутационный) вред.

Цель корпоративной проверки

– выявление уязвимостей в бизнес-процессах (системных рисков), несовершенство которых, позволило инциденту состояться и выработка мер по их митигации; документальная фиксация нарушений, допущенных исполнителями, контрагентами или другими участниками бизнес-процесса.

Результат корпоративного расследования

– устранение уязвимости бизнес-процесса (системного риска), которое осуществляется путем внесения изменений в регламентирующие или описывающие его документы, чем создаются условия, делающие повторение подобных происшествий невозможным или менее вероятным (разумеется, после изменения нормативной базы, необходимо выстроить работу в соответствии с новыми требованиями), а также принятие мер к виновным лицам (юридическим или должностным).

Учитывая, что основным признаком системного риска является возможность его повторной реализации в другое время, в другом месте и с другим составом участников, расследование инцидента необходимо проводить в контексте бизнес-процесса, для чего понимать его структуру.

Вся коммерческая, производственная и операционная деятельность Компании состоит из бизнес-процессов, которые могут протекать как последовательно (покупка-продажа), так и параллельно друг другу (производство – хозяйственное обеспечение).

Но в любом случае, каждый из них имеет своего владельца, а каждая операция в его составе исполнителя и контролера.

Сильно упростив, можно представить любой бизнес-процесс в таком виде:Где,

Бизнес-процесс – совокупность взаимосвязанных операций, объединенных общей задачей, регламентирующийся Положением (Политикой), в котором перечислены операции, определены связи между ними и границы зон ответственности.

Владелец бизнес-процесса – топ-менеджер, отвечающий за результаты деятельности порученного ему бизнес-направления, наделенный необходимыми для этого полномочиями и ресурсами.

Операция – составная часть бизнес-процесса, в рамках участия одного сотрудника или одного подразделения, регулируется Регламентом процесса, определяет роли участников (исполнителей и контролеров) и порядок их взаимодействия в рамках этой операции.

Исполнитель, тот кто выполняет операцию, его участие и ответственность должны быть закреплены в Должностной инструкции.

Контролер, тот кто следит за тем, чтобы исполнитель выполнил свою часть операции, эта роль также прописывается в Должностной инструкции.

В рамках проводимого расследования, мы сопоставляем фактические действия участников инцидента, требованиям руководящих документов, регламентирующих этот бизнес-процесс.

Графически этот алгоритм корпоративного расследования

Для достижения целей расследования, необходимо выделить роли его участников и модель взаимодействия между ними на каждом этапе.

Инициатором, как правило, выступает сотрудник подразделения безопасности, выявивший сложный инцидент безопасности. Он же отвечает за полноту и качество проведенных проверочных мероприятий, обоснованность выводов и достаточность рекомендаций.

Руководитель подразделения безопасности, отвечает за организацию работы в зоне ответственности, дает санкцию на проведение расследования, контролирует его ход и утверждает результаты.

В целях накопления и распространения лучших практик, а также обеспечения единого подхода к проведению корпоративных расследований, в головном подразделении Дирекции безопасности на основе подразделения ЭБ создается Центр компетенции, специалисты которого оказывают методическую и практическую помощь сотрудникам СБ на местах в проведении расследований, а на завершающем этапе оценивают полноту, качество и достаточность приведённых мероприятий. Они же взаимодействуют с владельцами бизнес-процессов по вопросам реализации рекомендаций в части митигации системных рисков.

Директор по безопасности – осуществляет общее руководство.

Владельцем процесса проведения расследований, в зависимости от организационно-штатной структуры, может быть либо руководитель направления экономической безопасности, либо сам директор.

Ролевая модель проведения корпоративного расследования

В соответствии с предложенной концепцией обеспечения безопасности, корпоративное расследование рассматривается как единый формат активности, то есть, как основной инструмент в работе ДБ.

На основе информации, собранной в Базе данных инцидентов, формируется отчетность Дирекции безопасности, оценивается ее работа и экономическая эффективность.

Построение бизнес-процесса Дирекции безопасности

В предыдущей части мы рассмотрели методологию расследования инцидентов безопасности через выявление и митигацию системных рисков, то есть путем воздействия на бизнес-процессы.

7 8 9 10 Вперед