2.2.1. Стандартизированные модели менеджмента в системе корпоративного управления

2.2.1. Стандартизированные модели менеджмента в системе корпоративного управления

На уровне организации любые стандартизированные решения на системы менеджмента попадают в одну среду и должны подчиняться единым нормам корпоративного управления. Рис. 22 иллюстрирует такую ситуацию на примере трех стандартизированных систем:

— менеджмента информационной безопасности организаций (ISO / IEC 27001);

— менеджмента качества (ГОСТ Р ИСО 9000);

— менеджмента окружающей среды (ГОСТ Р ИСО 14000).

Перечисленные системы менеджмента косвенно поддерживают менеджмент всех бизнес-процессов (пример рассматривает «вспомогательные»/«обеспечивающие» виды деятельности) как часть корпоративной системы, менеджмента риска в частности, для достижения организацией установленных целей. С точки зрения корпоративного управления эта модель должна иметь поддержку на соответствующих уровнях управления, как показано на рис. 23.

Системы менеджмента для более низких уровней работают во взаимодействии с системами менеджмента для более высоких уровней. На каждом из уровней корпоративного управления (будь то самостоятельно юридическое лицо или подразделение организации) должны учитываться все аспекты и сферы деятельности, как это определяется вышестоящим уровнем управления, включая свою часть (в рамках полномочий и ответственности) по планированию/проектированию, исполнению, контролю и выработке предложений/решений совершенствования деятельности.

Рис. 24 иллюстрирует возможную организацию реализации процессов СМИБ при двухуровневой организации деятельности компании. Каждый из уровней управления должен поддерживать отвечающие его функциям процессы СМИБ, соответствующие сферам ответственности правам и обязанностям каждого из уровней управления.

В приведенном примере для процессов планирования работ, принятия решений о целях и задачах СМИБ, владельцами будут сотрудники головной организации компании, а исполнительская и первичная контрольные виды деятельности будут реализованы на уровне подчиненного подразделения. Общий (итоговый) контроль, конечно же, ляжет на корпоративный центр. Процессы совершенствования деятельности в такой организации деятельности должны иметь критерии тактических (в рамках полномочий руководства подчиненных подразделений) и стратегических (компетенция принятия решений за головной организацией) решений.

Реализация других системы менеджмента в рамках компании будет подразумевать подобную организацию и реализацию процессов деятельность, так как будет осуществлена в той же системе внутрикорпоративных правил.

Важнейшая роль руководства (высшего руководства) организации с точки зрения эффекта внедрения и результатов внедрения любых стандартов менеджмента отмечается практически во всех стандартах.

Например, в ISO/IEC 27001 [11]:

«Руководство должно предоставлять свидетельства исполнения своих обязательств по установлению, реализации, приведению в действие, мониторингу, проверке, поддержке и совершенствованию системы менеджмента информационной безопасности путем:

а) установления политики системы менеджмента информационной безопасности;

б) обеспечения установления целей системы менеджмента информационной безопасности и планов;

в) установления ролей и обязанностей, связанных с информационной безопасностью;

г) доведения до персонала организации о важности выполнения целей информационной безопасности и соблюдения политики информационной безопасности, об обязанностях в соответствии с законом и о потребности в постоянном совершенствовании;

д) предоставления достаточных ресурсов для установления, реализации, приведения в действие, мониторинга, проверки, поддержки и совершенствования системы менеджмента информационной безопасности;

е) вынесения решения о критериях принятия риска и приемлемых уровнях риска;

ж) обеспечения проведения внутренних аудитов системы менеджмента информационной безопасности;

з) осуществления проводимых руководством проверок системы менеджмента информационной безопасности».

Только высшее руководство компании имеет полномочия по определению уровня (порогов) для принятия рисков. Вопрос порядка обсуждения и принятия решений по порогам риска крайне специфичен для каждой организации. Это обусловлено тем, что именно руководство несет окончательную ответственность за инвестиции в СМИБ и ее эффективность и, следовательно, эффективность инвестиций организации по данной статье расходов. В этих условия стандарты выступают в качестве некоторого возможного эталона действий, но не как истина в последней инстанции. Руководство компаний находится в некотором смысле в многомерном пространстве, где оно должно сориентироваться, оценить каждый вектор и принять необходимое по ситуации решение. Рис. 25 иллюстрирует основные плоскости такого пространства для задач обеспечения ИБ.

Целями обеспечения учетности для сферы безопасности могут быть:

Три основные цели корпоративного управления информационной безопасностью

— обеспечение подотчетности совету директоров;

— определение ответственности и обеспечения разделение обязанностей;

— выделение требуемого объема ресурсной базы;

— обеспечение осведомленности о защищенности бизнеса.

Целями обеспечения потребностей бизнеса в сфере безопасности могут быть:

— установление соответствия ИБ стратегии бизнеса организации;

— базирования основных решений в сфере безопасности на результатах менеджмента риска;

— обеспечение уверенности в том, что СМИБ охватывает вопросы безопасности бизнес-процессов (процессов деятельности).

Целями обеспечения соответствия (для любого вида деятельности) могут быть:

— исполнение требований действующего законодательства и норм, имеющих отношение к информационной сфере и деятельности организации;

— исполнение в операционной среде организации принятых советом директоров и высшим исполнительным руководством внутренних нормативных документов.

Применительно к иным сферам (отмечавшимся менеджменту качества и экологии, а также к иным видам менеджмента в организации, таким как менеджмент ИТ-услуг, менеджмент риска, менеджмент цепочек поставки, менеджмент активов и т. п.), как правило, стоит схожая задача, и пространство корпоративных решений подобно за исключением своей специфичной семантики.

Вопросы обеспечения соответствия (соответствия законодательным и нормативным требованиям) — здесь меньшая, но также не всегда прозрачная составляющая. Что же касается соответствия потребностям бизнеса в вопросах защищенности, то это, как правило, на порядок большая проблема.

Обусловлена она не только и не столько сложностью проблемы идентификации опасностей бизнеса (о чем достаточно подробно было обсуждено в предыдущей главе) и выбора соответствующих мер защиты, сколько нахождением общего языка внутри организации (общего языка и алфавита общения) между бизнесом и безопасностью, внутренним контролем и информатизацией, безопасностью и внутренним контролем. Консолидирующим органом в этих условиях может выступать только лишь высшее руководство организации (внешний компетентный арбитр), несущее ответственность перед собственниками бизнеса (владельцами организации/компании) за результаты деятельности организации.

Однако, даже если высшее руководство понимает и принимает ответственность за систему менеджмента в организации, у него нет возможности участия во всех мероприятиях. По этой причине руководство должно первоначально установить политику системы менеджмента информационной безопасности, определяющую основные цели и ожидания от СМИБ с точки зрения совершенствования деятельности организации, тем более если внедряется «стандартизированная» СМИБ. «Нестандартизированная СМИБ» существует в любой организации (принимаются решения и внутренние нормативы, осуществляются инвестиции в ИБ, осуществляется контроль исполнения требований и т. д.). Это следует понимать и учитывать в проектах модернизации.

Например, в рамках инвестиций в информационные технологии многие организации явно или неявно осуществляют внедрение ряда функций и механизмов, имеющих отношение к обеспечению ИБ. Далее, организуя их использование в составе прикладных систем или информационно-телекоммуникационной инфраструктуры организации, де-факто осуществляются те или иные практические задачи, подпадающие под положения стандартов требований к СМИБ.

Схематично данную ситуацию иллюстрирует рис. 26, отражающий в упрощенном виде категории управления в информационной сфере организации.

И корпоративное управление информационными технологиями, и корпоративное управление информационной безопасностью являются неотъемлемой частью корпоративного управления компании, имеющие как общности (общие факторы: объекты, предметы, отношения и т. п.), так и различия. Опыт, накопленный в последние десятилетия, позволил подойти к выработке и принятию международных модельных стандартов корпоративного управления информационными технологиями.

Рис. 27 иллюстрирует модель корпоративного управления ИТ, рекомендуемую принятым в 2008 г. международным стандартом ISO/IEC 38500 «Корпоративное управление информационными технологиями» [12].

Модель корпоративного управления ИТ, представленная на рис. 27, отражает тот факт, что в любой деятельности организации изначально присутствует этап инвестиций (в той или иной форме), в результате которого организация ожидает, что эти инвестиции принесут пользу и дадут положительный эффект. Применительно к корпоративному управлению ИТ это включает:

— проекты организации в сфере информационных и телекоммуникационных технологий — этап инвестиций в операционную ИТ-среду;

— операции в сфере (эксплуатация поставленных) информационных технологий организации — этап возврата инвестиций. В сфере информационных технологий возврат инвестиций может быть представлен в виде: новой функциональности организации (подразделений), повышения надежности и безопасности систем информационных технологий и информационной составляющей процессов деятельности, сокращения эксплуатационных издержек и т. п.

Возможно, подобные модельные рекомендации будут приняты и для сферы корпоративного управления информационной безопасностью, включая место и роль стандартизированных требований к СМИБ в системе корпоративного управления. На рис. 28 представлена возможная модель корпоративного управления информационной безопасностью организации, согласующаяся с признанной моделью корпоративного управления информационными технологиями в организации, нашедшей отражение в ISO / IEC 38500.

В любом случае должны быть идентифицированы роли и функции органов управления компании и вопросы смежных областей. Одно из возможных модельных решений применительно к архитектуре корпоративного управления информационной безопасностью представлено на рис. 29.

В конечном итоге наиболее критичным вопросом и одной из важнейших задач высшего руководства является обеспечение таких бизнес-ресурсов, как «люди», «предметы» и «деньги». В конечном итоге успех дела (в данном случае эффективность затрат в СМИБ организации), как и в традиционном бизнесе, будет зависеть от достаточности ресурсной поддержки. При этом крайне чувствительным и одновременно сложным здесь является вопрос о достаточности ресурсной поддержки (как установить порог/критерий, характеризующий, что «все заработало»). Современные стандарты СМИБ включают такие формулировки: руководство должно понимать потребности системы менеджмента информационной безопасности и предоставлять для нее необходимые бизнес-ресурсы.

Однако значение того, сколько составляет «необходимое» и «достаточное», стандартами установлено быть не может. Есть «микро» предприятия, есть средние и большие. При этом градации сегментов: малое предприятие, среднее и большое — в некоторой степени абстрактны и имеют различия от вида и сферы деятельности (бизнеса) организации. В различных странах (и в России, в частности) существует формальное определение малого предприятия для целей льготного налогообложения, но это все-таки достаточно условная градация, с порогами, устанавливаемыми от годового дохода компании. В то же время с развитием технологий и вынужденной унификацией отдельных задач данные абстрактные критерии все же получают вполне возможное содержанием для отдельных областей.

Например, в сфере информационных технологий в начале 2000-х гг. стал формироваться срез (где-то клон) стандартов информатизации для объектов, получивших наименование «очень малая организация (предприятие)» (Very Small Enterprises (VSE)). С практической точки зрения это вполне оправдано: в мире многим миллионам микрокомпаний (а это тот срез экономики, что генерирует несколько десятков процентов всего мирового ВВП) требуется иметь автоматизированную бухгалтерию, выход в Интернет (электронная почта, электронные торги и т. п.), автоматизированный учет кадров и т. п. При этом классические полные циклы инвестиций в информатизацию и их возврата, а также классика менеджмента информационными технологиями, процессами жизненного цикла систем и программных средств со всеми вытекающими атрибутами для них «неприподъемны». В будущем, возможно, и в сфере требований к СМИБ организаций и задачам корпоративного управления ИБ будет обращено внимание к сегменту VSE. Однако область безопасности чрезвычайно чувствительная и специфичная и консенсус здесь найти не так-то просто. Многие защитные меры ИБ в организациях сегмента VSE реализуются механизмами бизнеса (доверие, гарантии, страхование, аутсорсинг). Такие решения сложно облачить в форму универсальных стандартов СМИБ для VSE.