Рассмотрение корпоративной безопасности как бизнес-процесса — это современный и наиболее эффективный подход. Он позволяет перейти от реакции на инциденты к proactive-управлению рисками и интеграции безопасности в работу каждого сотрудника.
Как вариант, можно использовать следующую последовательность действий по построению системы корпоративной безопасности в форме бизнес-процесса, используя цикл Деминга (PDCA) и лучшие практики (ISO 27001, NIST CSF).
Шаг 0: Философия подхода
Прежде всего, важно понять парадигму: безопасность — это не продукт (например, купленный фаервол), а сквозной процесс, который:
· Имеет цель — защитить активы компании и обеспечить непрерывность бизнеса.
· Имеет владельца (CSO). (Chief Security Officer - Директор по безопасности)
· Взаимодействует с другими бизнес-процессами (HR, IT, разработка, финансы, юристы).
· Измеряется показателями (KPI).
· Постоянно улучшается на основе обратной связи.
Шаг 1: Проектирование процесса (Plan)
Это этап стратегического планирования и анализа.
1. Определение владельца процесса и команды.Назначьте ответственного (CSO) и сформируйте рабочую группу с представителями ключевых департаментов (IT, HR, юридический, административный).
2. Идентификация активов. Что мы защищаем?
· Информация: базы данных, документация, ноу-хау.
· Технологии: серверы, компьютеры, сети, ПО.
· Персонал: ключевые сотрудники, их знания.
· Коммерция: взаимодействие с поставщиками, партнерами и подрядчиками.
· Физические активы: офисы, оборудование.
3. Анализ рисков. Выявите угрозы и уязвимости для ваших активов. Оцените вероятность реализации угрозы и потенциальный ущерб. Используйте методологии (например, OCTAVE, NIST Risk Assessment).
4. Определение требований.
· Внутренние: Политика безопасности компании, требования бизнеса.
· Внешние: Законодательство (152-ФЗ о персональных данных, 187-ФЗ о КИИ, GDPR), отраслевые стандарты (ПЦН БД, PCI DSS).
5. Разработка стратегии и политик.Создайте главный документ — Политику корпоративной безопасности. На ее основе разработайте регламенты, инструкции и процедуры (например, политика использования электронной почты, правила парольной защиты, инструкция по реагированию на инциденты, регламент проведения корпоративных расследований и т.п.).
Шаг 2: Внедрение и реализация (Do)
Это этап, когда планы воплощаются в жизнь.
1. Реализация контролей (мер защиты). Внедрите выбранные меры на основе анализа рисков:
· Технические:Фаерволы, антивирусы, DLP, системы шифрования, резервное копирование, СКУД, видеонаблюдение, технические средства охраны.
· Организационные/Административные:
· Подпроцесс "Управление доступом": Процедуры выдачи/изъятия прав доступа при приеме/увольнении.
· Подпроцесс "Обучение и осведомленность": Регулярные тренинги для сотрудников, рассылка уведомлений, phishing-симуляции.
· Подпроцесс “Управление экономической безопасностью»: контроли безопасности при осуществлении закупок, отгрузок продукции, приемки работ, проверки на аффилированность сотрудников с контрагентами, проверка физ. и юр. лиц на риски взаимодействия (кандидаты на работу, действующие сотрудники, потенциальные и существующие контрагенты).
· Подпроцесс "Управление физической безопасностью": Порядок организации и поддержания пропускного и внутриобъектового режимов, подержание работоспособности систем видеонаблюдения, контроля доступа, пожарной сигнализации.
· Правовые: Подписание NDA (соглашений о конфиденциальности) с сотрудниками и контрагентами, заключение договоров материальной ответственности (коллективной и/или индивидуальной), регулярная актуализации должностных инструкций и их соответствие фактическому функционалу работников.
2. Коммуникация и обучение. Донесите политики и процедуры до всех сотрудников. Объясните почему это важно, а не просто что нужно делать.
3. Операционная деятельность. Ежедневное выполнение задач: мониторинг, расследование инцидентов безопасности, внедрение митигирующих мероприятий, управление доступом, обновление систем.
Шаг 3: Мониторинг и контроль (Check)
Без этого шага процесс неуправляем. Вы не поймете, работает ли он.
1. Сбор метрик и KPI (Ключевые показатели эффективности). Примеры:
· Количество успешно отраженных атак (сработавших средств защиты).
· Время между обнаружением инцидента и его устранением (MTTD/MTTR).
· Количество нарушений политик безопасности (например, срабатывания DLP, несоблюдения тендерных процедур, перемещения ТМЦ и т.д.).
· Количество проведенных расследований инцидентов безопасности и выявленных в результате уязвимостей (рисков) с оценкой вероятности повторения и степени влияния на непрерывность бизнеса.
· Суммы предотвращенного и возмещенного убытков.
· Уровень риска (остаточного) после внедрения мер (эффективность внедрения мер митигации).
· Количество сотрудников, прошедших обучение.
2. Аудит и тестирование.
· Пентесты: Проверка эффективности технических мер.
· Социальный инжиниринг: Проверка осведомленности сотрудников.
· Внутренние и внешние аудиты: Проверка соответствия политикам и стандартам (ISO 27001).
3. Анализ инцидентов. Каждый инцидент безопасности должен быть расследован и проверен на признаки системного риска (возможно ли повторение подобного в другом месте, в другое время и другим составом участников). Его root-cause (коренная причина) укажет на слабые места в процессе. По результатам проведенных расследований, вырабатываются митигирующие мероприятия, направленные на закрытие выявленных уязвимостей (снижение/снятие риска).
Шаг 4: Совершенствование (Act)
Это этап обратной связи и закрытия цикла.
1. Анализ данных мониторинга. Регулярно (ежеквартально) анализируйте собранные метрики и отчеты об инцидентах. Что работает хорошо? Что нет?
2. Инициирование корректирующих действий.
· Обновили политику, если она оказалась нерабочей?
· Внедрили новый контроль, если старый не справляется?
· Уволили сотрудника, который регулярно нарушает правила?
3. Стратегический пересмотр. Раз в год пересматривайте всю систему безопасности: изменились ли бизнес-процессы? Появились ли новые активы? Возникли ли новые угрозы? Обновите карту рисков.
Ключевые факторы успеха
1. Поддержка топ-менеджмента. Без понимания и финансирования со стороны руководства процесс не будет работать.
2. Интеграция в бизнес-процессы. Безопасность должна быть "вшита" в процессы разработки, найма сотрудников, закупок и т.д.
3. Баланс между безопасностью и удобством. Слишком строгие правила станут помехой бизнесу, слишком мягкие, создадут неприемлемые риски.
4. Измеряемость. Нельзя управлять тем, что нельзя измерить.
5. Адаптивность. Угрозы меняются, и ваша система безопасности должна меняться вместе с ними.
Внедряя процессный подход, вы создаете не статичную "крепость", а живую, дышащую и развивающуюся систему безопасности, которая реально защищает бизнес и создает его ценность.
P.S. Благодарим Алексея Швецкого за подробное и структурированное описание построения системы корпоративной безопасности. Напоминаем, что Алексей Швецкий является автором книги, где можно ознакомиться с методологией построения процессной системы безопасности «Корпоративная безопасность, как бизнес-процесс».
Больше информации о корпоративной безопасности на нашем ТГ Канале СБПроБизнес https://t.me/sbprobiz
Приходите🤝