Кризисный менеджмент в информационной безопасности
Константин Саматов, 07/08/24
В данной статье рассмотрим, что такое кризисный менеджмент и как его принципы соотносятся с классическим циклом PDCA, обеспечивая системный подход к управлению информационной безопасностью.
Автор: Константин Саматов, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности
Деятельность руководителей Служб информационной безопасности в современных условиях характеризуется высокой динамичностью, быстрыми изменениями и большим количеством происходящих событий информационной безопасности, в том числе вызванных компьютерными атаками. В данной ситуации можно говорить о том, что руководитель службы ИБ каждый день занимается кризисным менеджментом.
Что такое кризисный менеджмент?
Термин "кризисный менеджмент" (Crisis Management) впервые появился в зарубежной печати после военнополитического конфликта Советского Союза и США в 1962 г. (так называемый Кубинский, или Карибский, кризис). Для выработки рекомендаций в рамках событий того времени была создана рабочая группа, деятельность которой и была названа кризисным менеджментом.
В контексте управления бизнесом термин "кризисный менеджмент" начал активно использоваться после выхода в 1986 г. книги Стивена Финка "Кризисный менеджмент. Планирование неизбежного" (Crisis Management. Planning for the Inevitable). С этого момента термин, ранее считавшийся журналистским клише, приобрел статус научного понятия, а его концепция, теория и методология начали активно развиваться.
Кризисный менеджмент применительно к ИБ – это процесс подготовки, реагирования и восстановления после кризисных ситуаций. Он включает в себя идентификацию потенциальных рисков, разработку планов реагирования, обучение (тренировку) сотрудников и анализ произошедших инцидентов для улучшения последующих действий.
Кризис в контексте ИБ – это ситуация, которая ставит под угрозу целостность, конфиденциальность и доступность данных организации. Это могут быть компьютерные атаки, утечки данных, технические сбои или другие инциденты, которые способны нанести значительный ущерб бизнесу, то есть привести к так называемым недопустимым событиям.
В теории управления принято выделять два вида кризисного менеджмента: чрезвычайный и рутинно-профилактический.
Чрезвычайный и рутинно-профилактический виды кризисного менеджмента
Исторически первым типом кризисного менеджмента стал чрезвычайный менеджмент, который ориентирован на разрешение внезапных кризисных ситуаций, требующих немедленного реагирования для предотвращения серьезных последствий.
Чрезвычайный кризисный менеджмент представляет собой скоординированные действия, направленные на предотвращение эскалации кризиса, смягчение его воздействия и устранение негативных последствий. По сути, это не что иное, как реагирование на компьютерные атаки или инциденты ИБ.
Поскольку чрезвычайный кризисный менеджмент – это деятельность, имеющая начало и конец во времени, направленная на достижение заранее определенного результата (цели) при заданных ограничениях по ресурсам и срокам, то, по сути, она является проектом. Поэтому к чрезвычайному кризисному менеджменту полностью применимы методы и инструменты проектного управления.
В проектной работе результаты оцениваются по триаде ограничений "время – стоимость (ресурсы) – качество". Однако поскольку в кризисных ситуациях, в отличие от проектной работы, основной целью является стабилизация и восстановление нормального функционирования, а не достижение идеального качества, то предлагается альтернативная версия "время – финансы – ресурсы", где для решения проблемы достаточно наличия любых двух элементов, а третий не должен быть равен нулю.
Попробую проиллюстрировать данный подход на примере. Допустим, организация подвергается масштабной DDoS-атаке, которая приводит к перегрузке серверов и нарушению работы онлайн-сервисов. Контрагенты не могут получить доступ к услугам, что угрожает репутации и ведет к финансовым потерям.
- Время – в данном случае критично. Чем быстрее будет устранена атака, тем меньше ущерба понесет организация.
- Финансы – могут быть использованы для найма внешних специалистов по ИБ, покупки дополнительных серверных мощностей или услуг по DDoS-защите от сторонних провайдеров.
- Ресурсы – включают в себя специалистов по ИБ, имеющихся в компании, иных специалистов, которые могут повлиять на решение проблемы, а также технические средства защиты. 60 •
Взаимосвязь элементов
- Время и финансы. Организация может быстро нанять внешних специалистов и приобрести необходимые средства защиты (услуги) для немедленного отражения атаки.
- Финансы и ресурсы. Имея необходимые ресурсы и достаточное финансирование, организация может немедленно реализовать мероприятия для нейтрализации (смягчения) атаки.
- Время и ресурсы. Если у компании есть время и ресурсы, они могут оптимизировать использование существующих систем защиты, чтобы нейтрализовать (минимизировать) воздействие атаки с меньшими финансовыми затратами.
Кризисы являются неизбежной частью развития любой самоорганизующейся системы, их полное исключение невозможно. В этом контексте кризисный менеджмент рассматривается как часть постоянного управления. Этот подход называется рутинно-профилактическим кризисным менеджментом.
Рутинно-профилактический кризисный менеджмент включает в себя действия, направленные на минимизацию вероятности возникновения кризисных ситуаций, требующих экстренных мер. В информационной безопасности этот подход особенно важен для предотвращения инцидентов ИБ и обеспечения стабильной работы систем.
Пример рутинно-профилактического кризисного менеджмента в ИБ
1. Разработка и внедрение политик ИБ.
- Описание: создание и регулярное обновление политик (локальных нормативных актов) защиты информации и управления инцидентами, включая процедуры реагирования на компьютерные атаки и инциденты ИБ.
- Цель: установка четких правил и процедур для предотвращения и реагирования на инциденты в области ИБ.
- езультат: улучшение согласованности действий сотрудников в случае возникновения кризисных ситуаций.
2. Мониторинг и аудит систем безопасности.
- Описание: регулярное проведение аудитов безопасности информационных ресурсов и мониторинг на предмет наличия уязвимостей.
- Цель: выявление потенциальных угроз и уязвимостей до того, как они приведут к кризисной ситуации.
- Результат: повышение уровня защищенности и уменьшение вероятности успешных атак.
3. Обучение сотрудников основам ИБ.
- Описание: проведение учебных мероприятий для сотрудников по вопросам ИБ, включая распознавание фишинговых писем и безопасное использование паролей.
- Цель: формирование у сотрудников культуры кибербезопасности (кибергигиены) и снижение рисков, связанных с человеческим фактором.
- Результат: уменьшение случаев, когда сотрудники становятся жертвами атак.
4. Регулярные тренировки по реагированию на инциденты (так называемые киберучения).
- Описание: периодические учения, на которых сотрудники отрабатывают действия в случае компьютерных атак или подозрений на инциденты.
- Цель: повышение уровня готовности персонала – все знают, как действовать в кризисной ситуации.
- Результат: снижение времени реакции на кризисную ситуацию и минимизация последствий.
Для более полного понимания чрезвычайного и рутинно-профилактического менеджмента проиллюстрирую их особенности в виде таблицы. В отличие от классического менеджмента, в управлении ИБ не получил широкое распространение, по крайней мере пока, институт кризисных (антикризисных) менеджеров. По сути, их функции выполняет постоянный находящийся в штате организации управленец, занимающийся вопросами ИБ, – как правило, это руководитель подразделения ИБ.
Связь рутиннопрофилактического кризисного менеджмента с циклом PDCA
Система менеджмента ИБ строится на цикле Шухарта – Деминга – PDCA. Цикл PDCA (Plan – Do – Check – Act) является непрерывным процессом улучшения, в рамках которого и происходит внедрение рутинно-профилактического кризисного менеджмента. Рассмотрим, как этот цикл применяется на практике.
1. Планирование (Plan).
- Действия: разработка планов по обеспечению ИБ, включая создание политик безопасности, инструкций и процедур для предотвращения кризисов.
- Примеры: планы ИБ, планы реагирования на инциденты, планы восстановления объектов информационной инфраструктуры.
2. Выполнение (Do).
- Действия: реализация запланированных мероприятий, таких как внедрение систем мониторинга, обучение сотрудников, проведение регулярных учений (тренировок).
- Примеры: установка и настройка систем мониторинга информационной инфраструктуры; проведение учений по реагированию на компьютерные атаки (инциденты).
3. Проверка (Check).
- Действия: оценка эффективности выполненных мероприятий путем проведения аудитов, анализа инцидентов и сбора обратной связи.
- Примеры: мониторинг событий ИБ, их последствий; проведение регулярных аудитов ИБ; анализ результатов учений (тренировок).
4. Действие (Act).
- Действия: корректировка планов и процедур на основе результатов проверки для повышения эффективности и адаптации к новым кризисным ситуациям.
- Примеры: внесение изменений в планы реагирования на инциденты, планы восстановления объектов информационной инфраструктуры; улучшение программ обучения.
Успех рутинно-профилактического кризисного менеджмента в области информационной безопасности измеряется его эффективностью, которая определяется сравнением достигнутых результатов и затраченных ресурсов. Например, если компания смогла предотвратить инцидент благодаря регулярным тренировкам и мерам по повышению осведомленности сотрудников, это свидетельствует о высоком уровне эффективности применяемых мер и оптимальном использовании ресурсов.
Таким образом, рутинно-профилактический кризисный менеджмент в информационной безопасности является ключевым элементом для минимизации рисков и обеспечения устойчивости организации.