Контакты
Подписка 2024

Кризисный менеджмент в информационной безопасности

Константин Саматов, 07/08/24

В данной статье рассмотрим, что такое кризисный менеджмент и как его принципы соотносятся с классическим циклом PDCA, обеспечивая системный подход к управлению информационной безопасностью.

Автор: Константин Саматов, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности

ris1-Aug-07-2024-12-43-30-9948-PM

Деятельность руководителей Служб информационной безопасности в современных условиях характеризуется высокой динамичностью, быстрыми изменениями и большим количеством происходящих событий информационной безопасности, в том числе вызванных компьютерными атаками. В данной ситуации можно говорить о том, что руководитель службы ИБ каждый день занимается кризисным менеджментом.

Что такое кризисный менеджмент?

Термин "кризисный менеджмент" (Crisis Management) впервые появился в зарубежной печати после военнополитического конфликта Советского Союза и США в 1962 г. (так называемый Кубинский, или Карибский, кризис). Для выработки рекомендаций в рамках событий того времени была создана рабочая группа, деятельность которой и была названа кризисным менеджментом.

В контексте управления бизнесом термин "кризисный менеджмент" начал активно использоваться после выхода в 1986 г. книги Стивена Финка "Кризисный менеджмент. Планирование неизбежного" (Crisis Management. Planning for the Inevitable). С этого момента термин, ранее считавшийся журналистским клише, приобрел статус научного понятия, а его концепция, теория и методология начали активно развиваться.

Кризисный менеджмент применительно к ИБ – это процесс подготовки, реагирования и восстановления после кризисных ситуаций. Он включает в себя идентификацию потенциальных рисков, разработку планов реагирования, обучение (тренировку) сотрудников и анализ произошедших инцидентов для улучшения последующих действий.

Кризис в контексте ИБ – это ситуация, которая ставит под угрозу целостность, конфиденциальность и доступность данных организации. Это могут быть компьютерные атаки, утечки данных, технические сбои или другие инциденты, которые способны нанести значительный ущерб бизнесу, то есть привести к так называемым недопустимым событиям.

В теории управления принято выделять два вида кризисного менеджмента: чрезвычайный и рутинно-профилактический.

Чрезвычайный и рутинно-профилактический виды кризисного менеджмента

Исторически первым типом кризисного менеджмента стал чрезвычайный менеджмент, который ориентирован на разрешение внезапных кризисных ситуаций, требующих немедленного реагирования для предотвращения серьезных последствий.

Чрезвычайный кризисный менеджмент представляет собой скоординированные действия, направленные на предотвращение эскалации кризиса, смягчение его воздействия и устранение негативных последствий. По сути, это не что иное, как реагирование на компьютерные атаки или инциденты ИБ.

Поскольку чрезвычайный кризисный менеджмент – это деятельность, имеющая начало и конец во времени, направленная на достижение заранее определенного результата (цели) при заданных ограничениях по ресурсам и срокам, то, по сути, она является проектом. Поэтому к чрезвычайному кризисному менеджменту полностью применимы методы и инструменты проектного управления.

В проектной работе результаты оцениваются по триаде ограничений "время – стоимость (ресурсы) – качество". Однако поскольку в кризисных ситуациях, в отличие от проектной работы, основной целью является стабилизация и восстановление нормального функционирования, а не достижение идеального качества, то предлагается альтернативная версия "время – финансы – ресурсы", где для решения проблемы достаточно наличия любых двух элементов, а третий не должен быть равен нулю.

Попробую проиллюстрировать данный подход на примере. Допустим, организация подвергается масштабной DDoS-атаке, которая приводит к перегрузке серверов и нарушению работы онлайн-сервисов. Контрагенты не могут получить доступ к услугам, что угрожает репутации и ведет к финансовым потерям.

  • Время – в данном случае критично. Чем быстрее будет устранена атака, тем меньше ущерба понесет организация.
  • Финансы – могут быть использованы для найма внешних специалистов по ИБ, покупки дополнительных серверных мощностей или услуг по DDoS-защите от сторонних провайдеров.
  • Ресурсы – включают в себя специалистов по ИБ, имеющихся в компании, иных специалистов, которые могут повлиять на решение проблемы, а также технические средства защиты. 60 •

Взаимосвязь элементов

  • Время и финансы. Организация может быстро нанять внешних специалистов и приобрести необходимые средства защиты (услуги) для немедленного отражения атаки.
  • Финансы и ресурсы. Имея необходимые ресурсы и достаточное финансирование, организация может немедленно реализовать мероприятия для нейтрализации (смягчения) атаки.
  • Время и ресурсы. Если у компании есть время и ресурсы, они могут оптимизировать использование существующих систем защиты, чтобы нейтрализовать (минимизировать) воздействие атаки с меньшими финансовыми затратами.

Кризисы являются неизбежной частью развития любой самоорганизующейся системы, их полное исключение невозможно. В этом контексте кризисный менеджмент рассматривается как часть постоянного управления. Этот подход называется рутинно-профилактическим кризисным менеджментом.

Рутинно-профилактический кризисный менеджмент включает в себя действия, направленные на минимизацию вероятности возникновения кризисных ситуаций, требующих экстренных мер. В информационной безопасности этот подход особенно важен для предотвращения инцидентов ИБ и обеспечения стабильной работы систем.

Пример рутинно-профилактического кризисного менеджмента в ИБ

1. Разработка и внедрение политик ИБ.

  • Описание: создание и регулярное обновление политик (локальных нормативных актов) защиты информации и управления инцидентами, включая процедуры реагирования на компьютерные атаки и инциденты ИБ.
  • Цель: установка четких правил и процедур для предотвращения и реагирования на инциденты в области ИБ.
  • езультат: улучшение согласованности действий сотрудников в случае возникновения кризисных ситуаций.

2. Мониторинг и аудит систем безопасности.

  • Описание: регулярное проведение аудитов безопасности информационных ресурсов и мониторинг на предмет наличия уязвимостей.
  • Цель: выявление потенциальных угроз и уязвимостей до того, как они приведут к кризисной ситуации.
  • Результат: повышение уровня защищенности и уменьшение вероятности успешных атак.

3. Обучение сотрудников основам ИБ.

  • Описание: проведение учебных мероприятий для сотрудников по вопросам ИБ, включая распознавание фишинговых писем и безопасное использование паролей.
  • Цель: формирование у сотрудников культуры кибербезопасности (кибергигиены) и снижение рисков, связанных с человеческим фактором.
  • Результат: уменьшение случаев, когда сотрудники становятся жертвами атак.

4. Регулярные тренировки по реагированию на инциденты (так называемые киберучения).

  • Описание: периодические учения, на которых сотрудники отрабатывают действия в случае компьютерных атак или подозрений на инциденты.
  • Цель: повышение уровня готовности персонала – все знают, как действовать в кризисной ситуации.
  • Результат: снижение времени реакции на кризисную ситуацию и минимизация последствий.

Для более полного понимания чрезвычайного и рутинно-профилактического менеджмента проиллюстрирую их особенности в виде таблицы. В отличие от классического менеджмента, в управлении ИБ не получил широкое распространение, по крайней мере пока, институт кризисных (антикризисных) менеджеров. По сути, их функции выполняет постоянный находящийся в штате организации управленец, занимающийся вопросами ИБ, – как правило, это руководитель подразделения ИБ.

Связь рутиннопрофилактического кризисного менеджмента с циклом PDCA

Система менеджмента ИБ строится на цикле Шухарта – Деминга – PDCA. Цикл PDCA (Plan – Do – Check – Act) является непрерывным процессом улучшения, в рамках которого и происходит внедрение рутинно-профилактического кризисного менеджмента. Рассмотрим, как этот цикл применяется на практике.

1. Планирование (Plan).

  • Действия: разработка планов по обеспечению ИБ, включая создание политик безопасности, инструкций и процедур для предотвращения кризисов.
  • Примеры: планы ИБ, планы реагирования на инциденты, планы восстановления объектов информационной инфраструктуры.

2. Выполнение (Do).

  • Действия: реализация запланированных мероприятий, таких как внедрение систем мониторинга, обучение сотрудников, проведение регулярных учений (тренировок).
  • Примеры: установка и настройка систем мониторинга информационной инфраструктуры; проведение учений по реагированию на компьютерные атаки (инциденты).

3. Проверка (Check).

  • Действия: оценка эффективности выполненных мероприятий путем проведения аудитов, анализа инцидентов и сбора обратной связи.
  • Примеры: мониторинг событий ИБ, их последствий; проведение регулярных аудитов ИБ; анализ результатов учений (тренировок).

4. Действие (Act).

  • Действия: корректировка планов и процедур на основе результатов проверки для повышения эффективности и адаптации к новым кризисным ситуациям.
  • Примеры: внесение изменений в планы реагирования на инциденты, планы восстановления объектов информационной инфраструктуры; улучшение программ обучения.

Успех рутинно-профилактического кризисного менеджмента в области информационной безопасности измеряется его эффективностью, которая определяется сравнением достигнутых результатов и затраченных ресурсов. Например, если компания смогла предотвратить инцидент благодаря регулярным тренировкам и мерам по повышению осведомленности сотрудников, это свидетельствует о высоком уровне эффективности применяемых мер и оптимальном использовании ресурсов.

Таким образом, рутинно-профилактический кризисный менеджмент в информационной безопасности является ключевым элементом для минимизации рисков и обеспечения устойчивости организации.

Темы:УправлениеЖурнал "Информационная безопасность" №3, 2024

Форум ITSEC 2024:
информационная и
кибербезопасность России
Москва | 15-16 октября 2024

Посетить
Обзоры. Спец.проекты. Исследования
Персональные данные в 2025 году: новые требования и инструменты. Что нужно знать бизнесу о защите ПДн?
Получите комментарии экспертов на ITSEC 2024
Статьи по той же темеСтатьи по той же теме

  • Ключевые индикаторы риска: как ими правильно пользоваться
    Кирилл Чекудаев, ведущий консультант по информационной безопасности RTM Group
    Ключевые индикаторы риска (КИР) необходимо корректно определить, и на этом этапе, как показывает практика, у многих организаций финансового сектора возникают проблемы.
  • Секьюритизация сотрудников: практики и инструменты в интересах безопасности организации
    Кирилл Шалеников, руководитель проектов в интеграторе Angara Security
    Security Awareness – неотъемлемая часть стратегии информационной безопасности для любой организации. Обученные сотрудники способствуют созданию более защищенной среды и снижают риски для потери данных и репутации компании. Инвестиции в обучение и повышение осведомленности сотрудников могут оказаться одной из наиболее эффективных мер по обеспечению безопасности информации.
  • Ключевые показатели эффективности для подразделений информационной безопасности
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    В практической деятельности у руководителей cлужб информационной безопасности часто возникают проблемы, связанные с оценкой эффективности возглавляемого ими подразделения.
  • Что такое Compromise Assessment и зачем он нужен бизнесу
    Семен Рогачев, руководитель отдела реагирования на инциденты системного интегратора “Бастион”
    Если СЗИ молчат, то это не значит, что систему безопасности организации не взломали. Некоторые хакеры могут годами прятаться в ИТ-инфраструктуре и шпионить, прежде чем решат нанести удар. Вовремя выявить такую опасность или убедиться в ее отсутствии помогает практика Compromise Assessment.
  • От черного ящика к прозрачности: что CEO должен знать об ИБ
     Евгений Сурков, менеджер продуктов компании Innostage
    Почему CEO и высшему руководству иногда сложно понять ИБ-вызовы, какие проблемы несет отсутствие единой методологии и где найти баланс между открытостью и безопасностью?

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
15 октября | Форум ITSEC Защищенный удаленный доступ: как обеспечить контроль работы внешних сотрудников
Узнайте на ITSEC 2024!

More...
Обзоры. Исследования. Спец.проекты
Защита АСУ ТП и объектов КИИ: готовимся к 2025 году
Жми, чтобы участвовать

More...