Стратегическое планирование – основа эффективного управления ИБ

BIS Journal №3(14)/2014

5 августа, 2014

Стратегическое планирование – основа эффективного управления ИБ

В настоящее время, в условиях замедления роста экономики и финансового сектора, многие банки вынуждены актуализировать стратегии развития основных и вспомогательных направлений своего бизнеса. Стоит заметить, что в них обозначены такие аспекты как развитие информационных технологий, управление рисками, оптимизация расходов, совершенствование корпоративной системы управления и многое другое, однако, как правило, отсутствует упоминание о деятельности в области обеспечения информационной безопасности банка.

 

КОРЕНЬ ПРОБЛЕМ

Прежде всего это связано с тем, что высшее руководство финансовых организаций зачастую не уделяет должного внимания данному виду деятельности, поскольку не осознает важности обеспечения информационной безопасности (ИБ) для успешного ведения и развития бизнеса.

В то же время инициативы службы ИБ, направленные на развитие и повышение эффективности обеспечения ИБ банка, часто не содержат результаты оценки их значимости для достижения целей бизнеса и возврата инвестиций (ROI). В результате большинство предложений по развитию и повышению эффективности обеспечения ИБ не находят должной поддержки и блокируются топ-менеджментом на этапе выделения ресурсов.

Данную тенденцию подтверждает статистика – согласно результатам всемирного исследования в области ИБ финансовых организаций, проведенного компанией PricewaterhouseСoopers, недостаточная поддержка и финансирование деятельности по обеспечению ИБ со стороны высшего руководства компании, недостаточное понимание взаимосвязи ИБ и бизнеса, отсутствие или неэффективность стратегии ИБ, по мнению респондентов, являются основными препятствиями для повышения эффективности обеспечения ИБ в финансовых организациях (Илл. 1).

ИЛЛЮСТРАЦИЯ 1. Основные препятствия для повышения эффективности обеспечения ИБ в финансовых организациях.
Источник: PwC 2013 Financial Services.Key findings from The Global State of Information Security Survey, 2014

ПУТИ ВЫХОДА: РАЗРАБОТКА СТРАТЕГИИ ИБ

На наш взгляд, наиболее эффективным решением перечисленных выше проблем является стратегическое планирование деятельности по обеспечению ИБ, а именно – разработка и утверждение стратегии ИБ и плана по её реализации.

Основная цель стратегии ИБ – определить, что и каким образом должно быть сделано в области обеспечения ИБ для реализации бизнес-стратегии банка. Стратегия должна определять цели, задачи и стратегические инициативы, обоснование экономической целесообразности их внедрения, ключевые показатели достижения целей, позволяющие контролировать реализацию предложенных инициатив и эффективность стратегии ИБ в целом. Затем должен быть разработан план («дорожная карта») реализации предлагаемых инициатив с указанием ответственных лиц, состава проектов, последовательности реализации проектов, сроков и их стоимости.

Накопленный опыт позволил нам выработать собственный подход к разработке стратегии ИБ, сочетающий преимущества известных методологий стратегического планирования, управления и обеспечения ИБ.

ACTION PLAN

Условно, в рамках стратегического планирования в области обеспечения ИБ банка, мы выделяем следующие этапы.

1. Сбор исходных данных для разработки стратегии ИБ:

  • определение всех заинтересованных сторон, формирование рабочей группы;
  • анализ принятых/разрабатываемых в банке стратегий
  • с точки зрения их влияния на развитие ИБ: бизнеса, ИТ, управления рисками и другие;
  • • сбор и анализ информации о существующих потребностях в обеспечении ИБ;
  • сбор и анализ информации о текущем состоянии обеспечения ИБ банка на основе результатов оценки соответствия обеспечения ИБ банка требованиям законодательства и регуляторов, лучшим практикам, а также по итогам внутренних и внешних аудитов ИБ;
  • выявление и анализ факторов внутренней и внешней среды банка, оказывающих влияние на обеспечение ИБ банка, например, SWOT-анализ;
  • проведение BIA-анализа и оценки рисков ИБ.

2. Разработка стратегии ИБ:

  • формирование стратегических целей обеспечения ИБ (Илл. 2);
  • определение стратегических задач и инициатив по обеспечению ИБ для перехода из текущего состояния в целевое и соответствующих им показателей;
  • выявление получаемых выгод от реализации стратегических инициатив;
  • согласование стратегии ИБ со всеми заинтересованными сторонами и утверждение руководством банка.

ИЛЛЮСТРАЦИЯ 2. Пример карты стратегических целей обеспечения ИБ.
Источник: «Астерос Информационная безопасность», 2014

3. Разработка плана реализации стратегии ИБ:

  • формирование портфеля проектов ИБ;
  • оценка проектов ИБ и их приоритезация;
  • разработка «дорожной карты» поэтапной реализации стратегии ИБ;
  • разработка агрегированной оценки ежегодных инвестиций в ИБ.

СЕКРЕТ УСПЕХА

Секрет успеха разработки эффективной стратегии ИБ, на наш взгляд, заключается в применении интегрированного подхода, при котором учитываются стратегические инициативы банка, потребности бизнеса, а также выявленные по результатам анализа направления совершенствования обеспечения ИБ. Это позволяет гарантировать согласованность целей, задач, требований бизнеса и ИБ банка, повысить эффективность принимаемых решений и получить одобрение и поддержку разрабатываемых планов обеспечения ИБ со стороны руководства банка (Илл. 3).

ИЛЛЮСТРАЦИЯ 3. Стратегия ИБ обеспечивает согласованность ИБ и бизнеса. Источник: «Астерос Информационная безопасность», 2014

Важно учесть, что стратегия ИБ должна быть сформулирована в терминах, понятных топ-менеджменту банка и остальным заинтересованным сторонам.

НА ПРАКТИКЕ

Разработка стратегии является сложной задачей, которая требует немалых временных затрат и привлечения аналитиков, обладающих знаниями и навыками во многих областях обеспечения ИБ, ИТ, управления рисками и др. Поэтому привлечение к разработке стратегии ИБ сторонних консультантов – распространенная практика, позволяющая  снять со службы ИБ ряд наиболее трудоемких задач.

Предлагаемый нашими специалистами подход к разработке стратегии прошел проверку в ряде компаний и показал свою эффективность в решении стоящих перед ними задач в области ИБ. Так, в одном из крупных банков выполнен проект по разработке и реализации стратегии совершенствования обеспечения ИБ. Реализация проекта позволила банку расширить подразделение ИБ, создать корпоративную систему управления ИБ, базирующуюся на подходе управления рисками ИБ и охватывающую головной офис и более 40 филиалов банка. Также удалось реализовать ряд проектов по совершенствованию корпоративной системы обеспечения ИБ банка, что дало возможность значительно повысить эффективность и зрелость деятельности по обеспечению ИБ.

 

Стать автором BIS Journal

Смотрите также

Защищённая виртуальность в банковских информационных системах

24 июля, 2014

«А был ли мальчик?»

4 июля, 2014

Кроссканальное решение по противодействию мошенничеству

20 мая, 2014

ИБ-аналитика: когда возможностей больше, чем задач

13 мая, 2014

PCI DSS. Переход с версии 2.0 на 3.0. Инструкция

15 апреля, 2014

Конфиденциальным данным нужен комплекс технологий защиты!

8 апреля, 2014

Аутсорсинг центра управления событиями ИБ: доверяем самое ценное?

25 марта, 2014

Комплексный подход к обеспечению соответствия требованиям ИБ НПС

18 марта, 2014

Доверенное пространство как сервис

19 февраля, 2014

Читалка

Центральный банк Российской Федерации опубликовал информационное письмо от 15.04.2024 № ИН-012-56/26 о разъяснении положений части 12 статьи 16 Федерального закона №572-ФЗ

18 апреля, 2024

Опубликован приказ ФСТЭК России «Об утверждении Порядка проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации»

17 апреля, 2024

Вступило в силу Положение Центрального банка Российской Федерации от 17.08.2023 №821-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств...

1 апреля, 2024

Вступил в силу ГОСТ Р 71207-2024 «Защита информации. Разработка безопасного программного обеспечения. Статический анализ программного обеспечения. Общие требования».

1 апреля, 2024

Вступил в силу ГОСТ Р 71206-2024 «Защита информации. Разработка безопасного программного обеспечения. Безопасный компилятор языков С/С++. Общие требования».

1 апреля, 2024

ФСТЭК России опубликованы «Сведения о принятых национальных и международных стандартах за I квартал 2024 года»

28 марта, 2024

ФСТЭК России опубликован проект национального стандарта ГОСТ Р «Защита информации. Формальная модель управления доступом.

28 марта, 2024

Календарь мероприятий

Новый номер

- BIS Journal №2(53)2024 -

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

25.04.2024
Изображение фейковое, зато истерика «настоящая». Немкин — о скамерской фишке этого сезона
25.04.2024
«Нет никаких сомнений, что это — мошенники». Скамеры используют схему с полисом ОМС
24.04.2024
У «Сбера» (и рынка?) будет свой SAP за «миллиарды рублей»
24.04.2024
В I квартале хакеры совершили более 19 млн атак на смартфоны россиян
24.04.2024
Минпромторг раздаёт деньги на отечественные решения
24.04.2024
Правительство одобрило ужесточение наказания за утечку ПДн
24.04.2024
«Мы разработали законодательную инициативу по дропам»
24.04.2024
«Мы обеспечили определённый уровень заказа». ГРЧЦ продолжает импортозамещать чипы
23.04.2024
В АП не поддержали поправки о штрафах за утечки ПДн
23.04.2024
Хакеры всё активнее DDoS-ят российскую отрасль энергетики

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

© ООО Медиа Группа Авангард Все права защищены 2007-2024гг.