понедельник, 15 июня 2009 г.

ISSP \ Домен 01. Информационная безопасность и управление рисками. Часть 11

В этой части рассмотрены следующие вопросы:
  • Уровни ответственности
  • Совет Директоров
  • Высшее исполнительное руководство
  • Директор по ИТ
  • Директор по защите конфиденциальной информации
  • Директор по безопасности
  • Руководящий комитет по безопасности
  • Владелец данных
  • Ответственный за хранение данных
  • Владелец системы
  • Администратор безопасности
  • Аналитик по безопасности
  • Владелец приложения
  • Супервизор
  • Аналитик управления изменениями
  • Аналитик данных
  • Владелец процесса
  • Поставщик решения
  • Пользователь
  • Менеджер по технологиям
  • Аудитор

Обновлено: 06.03.2010

Высшее руководство понимает миссию компании, цели и задачи бизнеса. Следующий уровень – это функциональное руководство (руководители департаментов, исполнительные директора), которое понимает, как работают отдельные департаменты, какое влияние на них оказывает безопасность, какую роль в компании играют люди. Следующий уровень – оперативное руководство (руководители подразделений) и штат сотрудников, которые непосредственно обеспечивают работу компании. Они детально знают технические и процедурные требования, а также системы и порядок их использования. Они понимают, как механизмы безопасности интегрированы в эти системы, как их настраивать и какое влияние они оказывают на работу. Люди, входящие в состав каждого уровня, должны быть ознакомлены с лучшими практиками по безопасности, процедурами и выбранными защитными мерами, что позволит обеспечить необходимый уровень защиты без негативного воздействия на работу.

Хотя все уровни важны для общей безопасности компании, есть специфические роли, которые должны быть явно определены. Например, это владельцы данных, ответственные за хранение данных, владельцы систем, администраторы безопасности, аналитики безопасности, владельцы приложений, супервизоры, аналитики управления изменениями, аналитики данных, владельцы процессов, поставщики решений, пользователи, менеджеры по технологиям и т.д.


Совет Директоров – это группа лиц, которые избираются акционерами компании для осуществления надзора за исполнением Устава компании. Целью Совета Директоров является обеспечение защиты интересов акционеров в процессе работы компании. Критически важно, чтобы члены Совета Директоров были беспристрастны и независимы.
На протяжении многих лет, слишком много людей, занимавших эти позиции, не замечали корпоративного мошенничества и злоупотреблений, т.к. слишком многое в их работе зависит от обратной связи с исполнительным руководством, а не от попыток самостоятельно узнать правду о здоровье своей компании. Мы знаем об этом по череде корпоративных скандалов, произошедших за последние годы (Enron, WorldCom, Global Crossing и т.д.). При этом Советы Директоров этих корпораций были обязаны выявлять подобные мошеннические действия и пресекать их для защиты акционеров. Эти скандалы заставили правительство США и SEC (Комиссия по торговле ценными бумагами) разработать дополнительные требования и штрафные санкции для Советов Директоров публичных компаний. Именно поэтому многие компании сегодня сталкиваются с трудностями при поиске кандидатов на выполнения этих ролей.

Независимость является крайне важным фактором, позволяющим членам Совета Директоров реально работать на благо акционеров. Это означает, что у них нет близких родственников, являющихся сотрудниками компании, они не получают финансовые выгоды от компании (которая могла бы повлиять на их решения или создать конфликт интересов), никакая другая деятельность не влияет на их работу, они руководствуются только интересами акционеров. Особое внимание следует обратить на это в том случае, если компания обязана соблюдать требования SOX (Sarbanes-Oxley Act), согласно которому Совет Директоров несет персональную ответственность, если компания не может поддерживать структуру внутреннего стратегического корпоративного управления и/или если в SEC предоставляется недостоверная финансовая информация.


Это люди, названия должностей которых начинаются с английской буквы "С".

Самым высоким должностным в компании является Генеральный директор (CEO – Chief Executive Officer), который выполняет повседневные управленческие функции в компании. Часто именно этот человек является председателем Правления. CEO следит за финансами компании, занимается стратегическим планированием, высокоуровневыми операциями, разрабатывает и вносит изменения в бизнес-планы компании. CEO устанавливает бюджеты, формы сотрудничества, принимает решения о том, на какие рынки нужно выходить компании, какую линию продуктов выпускать, как дифференцировать компанию и т.д. Эта роль полностью отвечает за развитие и процветание компании.

Финансовый директор (CFO – Chief Financial Officer) отвечает за счета, финансовую деятельность и всю финансовую структуру компании. Он отвечает за определение будущих финансовых потребностей компании и порядка финансирования этих потребностей. Он должен создать и поддерживать структуру капитала компании, являющегося сочетанием акций, кредитов, наличных средств и финансовой задолженности. Также, CFO контролирует процессы прогнозирования и бюджетирования, процессы представления квартальной и годовой финансовой отчетности в SEC и заинтересованным сторонам.

CFO и CEO отвечают за информирование заинтересованных лиц (кредиторов, аналитиков, сотрудников, руководства, инвесторов) о финансовом состоянии и здоровье компании.

На рисунке 1-10 показано, что члены Совета Директоров отвечают за определение стратегии компании и риск-аппетит (сколько рисков следует взять на себя компании). Совет Директоров также несет ответственность за получение информации от высшего руководства и гарантий (комитет по аудиту). Получая все это на входе, Совет Директоров должен обеспечить надлежащую работу компании и защитить интересы акционеров. Необходимо особо отметить, что именно руководители бизнес-подразделений являются владельцами рисков, а не департамент безопасности. Слишком многие компании не распространяют ответственность за риски на бизнес-подразделения, поэтому CISO часто называют жертвенным ягненком...
Рисунок 1-10. Риски должны понимать в различных департаментах и на различных уровнях


На ступень ниже находится Директор по ИТ (CIO – Chief Information Officer), который отчитываться перед CEO (или CFO – в зависимости от корпоративной структуры). CIO отвечает за стратегию использования и управление информационными системами и технологиями в рамках компании. Со временем, во многих компаниях эта позиция стала более стратегической и менее оперативной. CIO осуществляет контроль и несет ответственность за непрерывное функционирование ИТ компании.

В обязанности CIO входит совместная с CEO (и другими руководителями) работа над управлением бизнес-процессами, получением доходов, порядком реализации бизнес-стратегии компании с помощью имеющихся у нее технологий. Как правило CIO должен стоять одной ногой в технике, а другой – в бизнесе. Только это позволит ему быть эффективным, так как именно он является мостиком между этими двумя совершенно разными мирами.


Директор по защите конфиденциальной информации (CPO – Chief Privacy Officer) – это новая должность, созданная в основном из-за повышения требований к компаниям в части защиты большого перечня различных типов данных. CPO отвечает за обеспечение безопасного хранения данных клиентов, сотрудников и самой компании, что позволит компании избежать попадания в уголовные и гражданские суды, а также в заголовки газет. CPO, как правило, является юристом, он непосредственно участвует в разработке политики о порядке сбора, защиты конфиденциальной информации, а также ее передачи третьим сторонам. В большинстве случаев CPO отчитывается перед CSO.

Очень важно, чтобы компания знала и понимала действующие требования законодательства по защите конфиденциальной информации (в т.ч. по защите персональных данных), которым она должна соответствовать. Только это позволит разрабатывать полноценные политики, стандарты, процедуры, защитные меры, соглашения направленные на соблюдение требований по защите конфиденциальной информации. Помните также, что компания должна знать, как защищают конфиденциальную информацию ее поставщики, партнеры и другие третьи стороны. Некоторые компании проводят оценку рисков, не учитывая санкции и последствия, которые может понести компания, если не будет должным образом защать информацию, за которую она несет ответственность. Без этого, оценка рисков не может быть проведена должным образом.

Компания должна документировать порядок обеспечения конфиденциальности при сборе, использовании, раскрытии, архивировании и уничтожении данных. Сотрудники должны нести персональную ответственность за невыполнение этого порядка.
Международные требования. Если компания обменивается данными с европейскими компаниями и организациями, ей необходимо соблюдать требования «безопасной гавани» (safe harbor). Европа всегда придерживалась более жесткого контроля за защитой конфиденциальной информации, чем США и других части мира. В прошлом, когда американским и европейским компаниям нужно было обмениваться данными, часто возникали различные проблемы и сложности, иногда приводившие к остановке бизнеса, поскольку приходилось привлекать адвокатов, чтобы понять, как правильно работать в рамках различных законов. Чтобы устранить этот хаос, были разработаны требования «безопасной гавани», которые определяют, что должна делать любая компания для защиты конфиденциальных данных при их передаче в (или из) Европу. Американские компании, которые взаимодействуют с европейскими компаниями могут пройти сертификацию в соответствии с этими базовыми требованиями, после чего они смогут обмениваться данными быстрее и проще. Более подробную информацию об этих требованиях можно найти по адресу http://www.export.gov/safeharbor/eg_main_018236.asp.

Глобальные компании, перемещающие данные между границами различных стран, должны также знать и следовать руководящим принципам «Организации экономического сотрудничества и развития» (OECD – Organisation for Economic Co-operation and Development) и правилам трансграничной передачи информации. Почти каждая страна имеет свои собственные правила в отношении конфиденциальных данных, их защиты и обращения с ними. По мере нашего перехода в цифровую и информационную эру, различия в этих законах начали негативно влиять на бизнес и международную торговлю. OECD является международной организацией, которая помогает правительствам различных стран собраться вместе и решить экономические, социальные и управленческие задачи в условиях глобализации экономики. С этой целью OECD предоставил различным странам свои руководящие принципы, чтобы все следовали одним и тем же правилам и при этом конфиденциальные данные были надлежащим образом защищены. Более подробную информацию об этом можно найти по адресу http://www.oecd.org/document/18/0,2340,en_2649_34255_1815186_1_1_1_1,00.html.

Компании, которые не следуют этим правилам и руководящим принципам (сознательно или нет), могут быть оштрафованы, на них могут быть поданы судебные иски, их бизнес может быть остановлен.

Директор по безопасности (CSO – Chief Security Officer) обязан понимать риски, с которыми сталкивается компания, и снижать их до приемлемого уровня, он отвечает за то, чтобы бизнес компании не был нарушен из-за проблем с безопасностью. Также, он обязан понимать бизнес-драйверы компании, создать и поддерживать программу безопасности, которая обеспечит работу этих драйверов в соответствии с требованиями безопасности, длинным списком правил и законов, ожиданиями клиентов и договорными обязательствами.

Работа CSO распространяется далеко за пределы ИТ и учитывает бизнес-процессы компании, правовые вопросы, вопросы функционирования, доходов, защиты репутации, управления рисками. Причем все это должно быть реализовано экономически эффективными способами!
CSO vs. CISO. CSO и Директор по информационной безопасности (CISO – Chief Information Security Officer) могут иметь схожие или очень разные обязанности. Это зависит от решения самой компании. В большинстве случаев CSO имеет больше обязанностей по сравнению с CISO. CISO, как правило, в большей степени сосредоточен на технологиях и ИТ-инфраструктуре, а CSO обязан работать с более широким кругом бизнес-рисков, включая физическую безопасность, а не только технологические риски. Если компания имеет обе роли, обычно CISO отчитывается перед CSO.

Руководящий комитет по безопасности отвечает за принятие решений по стратегическим и тактическим вопросам безопасности в рамках всей компании. Этот Комитет должен состоять из представителей всех подразделений компании, чтобы они могли учитывать риски и последствия решений по безопасности, как для отдельных департаментов, так и для всей компании в целом. Возглавлять этот Комитет должен CEO, а участие в нем должны принимать CFO, CIO, руководители подразделений, а также руководитель Службы внутреннего контроля (CIA – Chief Internal Auditor). Комитет должен собираться не реже, чем ежеквартально, и иметь четкую повестку дня. Вот некоторые из обязанностей Комитета:

  • Определение приемлемого уровня риска для компании
  • Разработка целей и стратегий безопасности
  • Определение приоритетных инициатив в области безопасности, основанных на потребностях бизнеса
  • Анализ оценки рисков и аудиторских отчетов
  • Мониторинг воздействия рисков безопасности на бизнес
  • Анализ основных нарушений безопасности и инцидентов
  • Утверждение любых существенных изменений в политике и программе безопасности.

Комитет по аудиту должен быть организован Советом Директоров. Целью Комитета по аудиту является помощь Совету Директоров в вопросах анализа и оценки внутренние процессов компании, системы внутреннего контроля, а также прозрачности и достоверности финансовой отчетности, обеспечивающей доверие к компании со стороны инвесторов, клиентов и кредиторов. Комитет по аудиту, как правило, отвечает за следующие элементы:
  • Целостность финансовой отчетности и другой финансовой информации компании, предоставляемой акционерам и другим лицам
  • Система внутреннего контроля компании
  • Привлечение независимых аудиторов и обеспечение эффективности их работы
  • Выполнение функции внутреннего аудита
  • Соответствие требованиям законодательства и политикам компании в отношении норм этичного поведения.
Задача этого Комитета состоит в том, чтобы обеспечить независимую и открытую связь между Советом Директоров, высшим руководством компании, внутренними и внешними аудиторами. Целостность и надежность финансовой отчетности имеет решающее значение для каждой компании, но возможное давление со стороны акционеров, руководства, инвесторов или общественности может повлиять на объективность и точность этих финансовых документов. В свете громких корпоративных скандалов, роль Комитета по аудиту сместилась от функций исключительно надзора, контроля и консультирования руководства к реализации и обеспечению подотчетности всех вовлеченных лиц. Этот Комитет принимает данные от внешних и внутренних аудиторов, внешних экспертов, чтобы помочь обеспечить правильную организацию внутреннего контроля компании и подготовки финансовой отчетности.


Владелец данных (информации) (data owner) – обычно руководитель соответствующего подразделения, который несет персональную ответственность за защиту и использование определенного подмножества информации. Владелец данных проявляет необходимую заботу об информации и несет ответственность за любые халатные действия, искажение или разглашение информации. Владелец данных принимает решения по классификации информации и обязан своевременно пересматривать уровень классификации в случае изменения потребностей бизнеса. Также он должен обеспечить внедрение необходимых мер безопасности, убедиться в правильном разграничении прав доступа, сформулировать требования безопасности в соответствии с классификацией, а также требования по организации резервного копирования информации, согласовывать любые действия по санкционированному разглашению (передаче) информации, определять критерии доступа к информации. Владелец данных согласует запросы на доступ к информации, но может делегировать эту функцию одному из нижестоящих руководителей своего подразделения. Владелец данных явно делегирует обязанности по ежедневной поддержке механизмов защиты данных ответственному за хранение данных.
Задачи Владельца данных. Каждое бизнес-подразделение должно иметь владельца данных для защиты критичной информации этого подразделения. Политики компании должны давать владельцам данных определенную власть, необходимую им для выполнения своих обязанностей.

Владелец данных – это не техническая роль. Это бизнес-роль, которая должна понимать взаимосвязь между успехом подразделения и защитой критичных активов. Не все руководители понимают это, поэтому может возникнуть необходимость в проведении тренинга для них по данному вопросу.

Ответственный за хранение данных (информации) (data custodian) – это лицо, ответственное за поддержку и защиту данных. Эта роль обычно выполняется ИТ-департаментом или департаментом безопасности, в ее обязанности входит выполнение регулярного резервного копирования, периодической проверки целостности, восстановления данных, сохранения лог-файлов, выполнение требований политики безопасности компании, стандартов, руководств, относящихся к информационной безопасности и защите данных.


Владелец системы (system owner) отвечает за одну или несколько систем, в каждой из которых хранятся и обрабатываются данные, принадлежащие различным владельцам данных. Владелец системы отвечает за соответствие закупаемых и разрабатываемых систем требованиям безопасности, а также за соблюдение требований безопасности в самих процессах закупки или разработки систем. Владелец системы отвечает за надлежащий уровень ее безопасности, обеспечиваемый защитными мерами, паролями, настройками и т.д. Эта роль необходима при оценке уязвимостей; лицо, выполняющее эту роль, отчитывается перед группой реагирования на инциденты и владельцем данных.


Любой, кто имеет административную учетную запись, фактически имеет права администратора безопасности (к сожалению, зачастую слишком большое количество людей обладают такими правами). Это означает, что он может предоставлять и отзывать любые разрешения, изменять настройки безопасности, может серьезно навредить, если у него выдался плохой день...

Однако роль администратора безопасности не может выполнять просто человек, имеющий административные права. У администратора безопасности (security administrator) много задач. Например, создание новых системных учетных записей, внедрение новых программных средств безопасности, тестирование обновлений и компонентов безопасности, выпуск новых паролей и т.д. Администратор безопасности не должен просто подтверждать новые учетные записи – это задача супервизора. Администратор безопасности должен обеспечить распределение прав доступа в соответствии с требованиями политик безопасности и распоряжений владельца данных.


Роль аналитика по безопасности (security analyst) работает на более высоком и более стратегическом уровне, чем описанные выше роли. Данная роль оказывает помощь при разработке политик, стандартов, руководств и наборов базисов. Предыдущие роли фокусируются на своих частях программы безопасности, а аналитик по безопасности помогает определить элементы программы безопасности в целом, обеспечить их внедрение и правильное функционирование. Человек, выполняющий эту роль, больше работает на уровне планирования, чем на уровне реализации.


Некоторые приложения специально предназначены для отдельных подразделений (например, бухгалтерское программное обеспечение – для бухгалтерии). Владельцами приложений (application owner) обычно являются руководители подразделений, определяющие права доступа к их приложениям (в соответствии с политиками безопасности) и принимающие соответствующие решения в конкретных случаях.

В каждом подразделении должен быть владелец приложений подразделения, который отвечает за безопасность этих приложений, включая тестирование, установку обновлений, управление изменениями, обеспечение внедрения соответствующих защитных мер, обеспечение необходимого уровня безопасности.


Роль супервизора (supervisor) несет персональную ответственность за все действия пользователей и любые активы, которые создали пользователи и которыми они владеют. Супервизор обязан обеспечивать понимание пользователями (входящими в его зону ответственности) их обязанностей в части безопасности, выдавать им первоначальные пароли, актуализировать информацию учетных записей пользователей, уведомлять администратора безопасности об увольнении сотрудников, их временном отсутствии, переводе в другие подразделения. Любые изменения в ролях сотрудников компании обычно влияют на то, какие права им нужны для работы. О таких изменениях супервизор должен незамедлительно информировать администратора безопасности.


Когда требуются изменения, кто-то должен убедиться, что это безопасно. Аналитик управления изменениями (change control analyst) анализирует запросы на проведение изменений в сети, программном обеспечении или системах, после чего одобряет, либо отвергает запрашиваемые изменения. Эта роль обеспечивает отсутствие новых уязвимостей при внедрении изменений, обеспечивает проведение необходимого тестирования, а также возможность корректного «отката» к старой версии. Аналитик управления изменениями должен понимать, как различные изменения влияют на безопасность, совместимость, производительность и продуктивность.


Для компании очень важно иметь правильные структуры данных, их определения и организацию. Аналитик данных (data analyst) отвечает за организацию наилучшего (для компании и пользователей) хранения данных. Например, чтобы информация о платежах не перемешивалась с данными инвентаризации, базы данных имели удобную схему имен и т.д. Аналитик данных отвечает за проектирование архитектуры новых систем, либо предоставляет рекомендации для покупки систем.

Аналитик данных постоянно взаимодействует с владельцами данных, чтобы обеспечить соответствие структуры данных бизнес-целям компании.


Все компании имеют множество процессов (например, оформление заказов клиентов, проведение платежей, отправка товара и т.д.), они не могут функционировать без правильно построенных процессов. Владелец процесса (process owner) отвечает за правильное определение, повышение качества и мониторинг процессов компании. Владелец процесса не обязательно должен быть «привязан» к отдельному подразделению или приложению. Большинство процессов являются достаточно сложными, в их реализацию вовлечены различные подразделения и сотрудники компании, различные виды данных, технологии и т.д.

Вы слышали фразу, что «безопасность – это не продукт, а процесс»? Это действительно так. Безопасность должна быть тщательно продуманной и также как и любой бизнес-процесс.


Роль поставщика решения (solution provider) требуется, когда у компании возникает проблема или требуется улучшение какого-либо процесса. Например, если компания решила внедрить инфраструктуру открытых ключей и организовать аутентификацию с их использованием, она обращается к поставщику решений PKI. Поставщик решения работает с руководителями подразделений, владельцами данных и высшим руководством компании для разработки и внедрения своего решения.


Пользователь (user) – любой человек, который санкционировано использует данные, имея к ним уровень доступа, достаточный для выполнения своих должностных обязанностей. Пользователь несет ответственность за соблюдение процедур безопасности, обеспечивающих конфиденциальность, целостность данных и их доступность для других.


Менеджер по технологиям (product line manager) объясняет бизнес-требования поставщикам, оценивает – подходит ли продукт компании, отвечает за соблюдение лицензионных требований, переводит бизнес-требования в задачи и спецификации для разработчиков продуктов и решений. Он решает, например, действительно ли компании необходимо перейти на новую версию операционной системы.

Эта роль должна понимать подходы бизнеса, бизнес-процессы и необходимые для их функционирования технологии. Менеджер по технологиям оценивает различные продукты на рынке, взаимодействует с поставщиками и производителями, анализирует различные функции, которые могли бы пригодиться компании, и рекомендует руководству и подразделениям решения, подходящие для достижения их целей.


Задачей аудитора является предоставление гарантированной независимости, на которую может положиться руководство и акционеры компании в вопросах оценки адекватности задач безопасности с учетом текущего состояния компании в целом. Аудитор должен проконтролировать внедрение защитных мер, достижение определенных технических и физических характеристик, реализацию целей безопасности, поставленных требованиями действующего законодательства или требованиями руководства самой компании.

Аудиты компании могут быть как внутренними, так и внешними. Их сочетание, как правило, предоставляет наиболее полную и объективную оценку деятельности компании.

Самым большим вопросом, вызывающим наибольшее беспокойство в отношении аудиторов, является соблюдение ими непредвзятости и объективности. Снизить это беспокойство отчасти может проведение обзоров какой-либо третьей стороной. В некоторых случаях существуют законодательные требования, которые не позволяют даже сторонним аудиторам работать на протяжении многих лет подряд в одной компании, так как это может привести к их слишком близким контактам с компанией, и тем самым подорвать уверенность в объективности их оценок.


К сожалению, очень часто компании пытаются решать все вопросы безопасности на уровне системного администратора. При этом вопросы безопасности, как правило, рассматриваются достаточно узко, риски не анализируются. Средства на безопасность выделяются только после очередного инцидента. Такой подход к безопасности не может быть успешным.

Безопасность компании – это не только установленный межсетевой экран и обновления операционной системы. Компьютерная среда компании наполнена различными ресурсами, процессами, людьми. Необходимо обеспечить целостную защиту этой среды, каждый аспект безопасности требует учета и взвешенного подхода. Хотя большинство компаний не имеет всех перечисленных ранее ролей, все обязанности этих ролей должны выполняться.

Ссылки по теме:

7 комментариев:

eagle комментирует...

Эта часть существенно дополнена.
- Добавлен раздел 8.1 "Совет директоров"
- Добавлен раздел 8.2 "Высшее исполнительное руководство"
- Добавлен раздел 8.16 "Аудитор"

eagle комментирует...

Добавлена информация по международным требованиям в области обмена конфиденциальной информацией.

Анонимный комментирует...

В параграфе о CPO неверно переведено предложение "Помните, что компания несет ответственность за обеспечение безопасности имеющихся у нее критичных сведений о своих поставщиках, партнерах и других третьих сторонах". В оригинале речь идет о том, что компания несет ответственность за то, каким образом партнеры и поставщики обеспечивают безопасность данных.

eagle комментирует...

Да, действительно. Исправил. Спасибо за найденную ошибку! :)

Анонимный комментирует...

Спасибо Вам за проделанную работу. Я в настоящее время читаю оригинал с параллельно открытым Вашим переводом. Осознать перевод некоторых фраз основываясь только на словарях, без вашего перевода, было весьма проблематично.

Анонимный комментирует...

Некоторые компании проводят оценку рисков, не учитывая санкции и последствия, которые может понести компания, если не будет должным образом защать информацию, за которую она несет ответственность.
^Защищать.

Lekseich комментирует...

Спасибо большое за статью!