Информационная безопасность бизнес процессов

Информационная безопасность как бизнес-процесс

1 октября, 2012

---

Будьте готовы к цифровой катастрофе — подписывайтесь на наш канал!

---

Инвентаризация (бизнес-*) процессов через актуализацию должностных инструкций в интересах информационной безопасности

Привет, Хабражитель!

Предлагаю вниманию статью, объединяющую вещи, на первый взгляд, не имеющих между собой ничего общего: должностные обязанности работников, инвентаризация (бизнес-*)процессов и информационной безопасности.

Будут рассмотрены следующие темы:

1. Вместо вступления
2. Про должностные инструкции
3. Про процессы и подходы
4. Про информационную безопасность
5. Про всё вместе
6. Пример автоматизации
7. Пути развития идей, отраженных в статье
8. Вместо заключения

Добро пожаловать под кат!

Привет еще раз под катом

Перед тем, как продолжить чтение, автор хотел бы указать на некоторые особенности повествования и специальные блоки, в которых им помещены важные, на его взгляд, сведения и / или уточнения, которые помогут читающему правильнее понять ту мысль, которой он хотел поделиться:

Важно!
Важный текст

ИЛИ

Начнем с формирования общего понятийного ряда.

Вместо вступления

Сегодня большинство Компаний остаются построенными функциональным образом и представляют собой механизм, обладающим набором функций. Эти функции распределяются среди подразделений, где их исполняют работники-исполнители. Выполняя свои узкоспециализированные задачи, работники перестают видеть конечные результаты труда всего предприятия и осознавать свое место в общей цепочке. Они перестают быть ориентированы на целевые задачи Компании, так как их видение происходящего чаще всего не выходит за рамки собственных подразделений, в которых они работают. Монопольное положение каждой службы внутри Компании приводит к тому, что работники этих служб считают себя незаменимыми, из-за чего взаимодействие между функциональными отделами и службами нередко приобретает разрушительный для характер. По большому счету это положение дел не хорошее, но и не плохо; оно — никакое.

Про должностные инструкции

Важно!
К сожалению, в современном мире (особенно в РФ) к должностным инструкциям относятся вовсе не как к мощному инструменту, способствующему положительно влиять на повышение эффективности деятельности работников. Ситуация патовая изначально: законом нигде не закреплено требование о наличие должностной инструкции, HR-специалистам писать их нет времени / сил / желания (выбрать 2 из 3), линейные руководители откладывают «на потом», подчиненные вовсе не заинтересованы в них, т.к. суды в большинстве случаев принимают решения в пользу работника если их нет (опираясь на судебную практику г. Москвы).

Отношение к вопросу наличия или отсутствия должностных инструкций в целом можно выразить в 4 группах:

1. Инструкции должны быть. Такой подход встречается редко, но некоторые руководители и работники HR-служб убеждены, что Компании необходимы инструкции, разработанные для каждой должности, т.к. без них крайне сложно организовать эффективную работу персонала. При этом многие до конца не понимают, что может дать их наличие, но стремятся сделать их максимально качественными. До 15% Компаний.
2. Инструкции не нужны. Гораздо больше людей, которые считают, что инструкции не играют никакой роли в управлении человеческими ресурсами. Поэтому в таких Компаниях должностных инструкций нет, тем более что закон этого не требует. Такой подход можно встретить примерно у 30% Компаний.
3. Инструкции нужны, но их качество неважно. При таком подходе должностная инструкция не имеет ничего общего с реальной деятельностью работников Компании. Смело можно отдать более 50% от общего количества.
4. Инструкции — это инструмент управления — самый эффективный подход, но его применяет лишь очень небольшое количество Компаний, до 5% от общего количества. Он заключается в том, что актуальные инструкции не только создаются, но и регулярно пересматриваются и обновляются, а также активно применяются на практике.

В целом можно говорить о двух подходах к созданию должностных инструкций: западному и российскому. Западный подход заключается в составлении очень коротких инструкций, где описание функционала занимает буквально несколько строк. При этом для каждой из функций создается отдельный регламент, где она описывается более детально.
Российский подход выражается в том, что инструкция максимально полно описывает функционал, без дополнительных ссылок на регламенты.

Вне зависимости от подхода к созданию, цели должностных инструкций можно сформулировать следующим образом:

1. Четкая регламентация обязательств сторон трудового договора (прозрачность трудовых отношений), как на этапе подбора персонала, так и в процессе трудовой деятельности.
2. Определение конкретных трудовых функций сотрудника, детализация порядка его действий, ограничение зоны его ответственности и пределы полномочий.
3. Быть руководством к действию, а также основой для разрешения споров в случае возникновения разногласий (между работником и работодателем, между работниками внутри структурного подразделения, между структурными подразделениями, в суде).
4. Стать инструментом оценки персонала и, в конечно счете, корпоративного управления бизнес-процессами.

Должностные инструкции — необходимый и действенный инструмент повышения эффективности бизнеса. Их наличие позволяет:

• создать систему управления, которая делает бизнес более прозрачным и управляемым;
• четко регламентировать основные обязательства, которые принимают работодатель и сотрудник, устраивающийся на работу, что значительно упрощает отношения обеих сторон;
• упорядочить работу каждого структурного подразделения в частности и всего предприятия в целом;
• сформулировать трудовые функции сотрудников, их зоны ответственности, полномочия и ограничения в принятии решений, квалификационные требования к должности, функциональные обязанности лица, занимающего ее, алгоритм действий в стандартных ситуациях;
• избежать дублирования функций при выполнении определенных видов работ и неравномерного распределения нагрузки;
• обеспечить эффективное взаимодействие сотрудников, занимающих разные должности, при решении производственных и управленческих задач;
• подобрать качественный персонал: специалист по подбору, ознакомившись с инструкцией, сможет грамотно организовать работу с кандидатами, а соискатель получит возможность заранее узнать, что от него потребуется на данной должности;
• создать комфортные условия для адаптации нового сотрудника: если в инструкции четко закреплено, что должен делать новичок и в каких пределах, а также кто его непосредственный руководитель, это облегчает ему первые дни работы;
• привлечь нерадивых сотрудников к дисциплинарной ответственности за невыполнение возложенных на них трудовых обязанностей.

Как и любой другой инструментарий, должностная инструкция при правильном формировании и поддержании может быть:

Инструментом повышения эффективности бизнеса

Формальный подход к разработке должностных инструкций, когда они составляются по шаблонам, не соответствуют задачам бизнеса, не отражают основные задачи сотрудника на данной должности, не направлены на достижение главной цели Компании, приводит к тому, что на выходе получаются бесполезные, неработающие документы. В данном вопросе большую роль играет отношение к должностным инструкциям работодателя. Если он рассматривает их как эффективный инструмент управления персоналом, скорее всего, так и будет. Но если инструкции разрабатывают сотрудники, далекие от понимания реального функционала специалистов, их творение никому не принесет пользы.

Многие Компании, разработав должностные инструкции один раз, более не корректируют их, хотя бизнес-процессы периодически претерпевают определенные изменения, что должно находить отражение в инструкциях. В условиях жестких требований современного бизнеса нет смысла пользоваться должностными инструкциями, не раскрывающими специфику Компании и не содержащими строго закрепленные задачи, функциональные обязанности персонала, описание желаемого результата работы и перечисление ответственных за ее эффективность.

Инструмент управления мотивацией

В условиях жесткой конкуренции все больше руководителей стали понимать, что основным ресурсом, позволяющим достичь стратегических целей, является персонал, которому необходимо уделять должное внимание, прежде всего стимулировать, как материально, так и нематериально. Одним из эффективнейших HR-инструментов, способных помочь Компании решить эти задачи, является система грейдов / бэндов, при разработке которых важную роль играют выверенная и прозрачная организационная структура и грамотно описанные должностные инструкции / компетенции, которые позволяют избежать многих проблем и сокращают затраты на данную процедуру.

Инструмент оценки деятельности сотрудников

На любом этапе развития Компании возможны ошибки и отклонения от запланированных бизнес-результатов. Чтобы минимизировать подобные риски, необходимы четкое планирование и контроль. Наличие в Компании такого действенного средства управления, выполняющего организационную, регламентирующую и регулирующую роль, как должностная инструкция, упрощает контроль над результатами работы сотрудников.

Осуществляемый с помощью должностных инструкций контроль над деятельностью является частью системы управления персоналом. Содержащиеся в должностных инструкциях данные позволяют быстро оценить, что необходимо сделать сотруднику для достижения поставленных целей, какие меры следует предпринять для повышения эффективности его деятельности. Подробные должностные инструкции задают стандарты и технологии выполнения поставленных задач, на которые может опираться как сам сотрудник, так и его руководитель. С их помощью можно оценить, насколько сотрудник соответствует занимаемой должности, и применить к нему определенные меры воздействия.

Инструмент оценки потребности в обучении

Инструкции — это прекрасный инструмент для планирования карьеры, если они включают пункт о требуемых знаниях и квалификации. Используя информацию из этого пункта, очень просто понять, какие навыки необходимы тому или иному сотруднику, чтобы занять ту или иную должность.

Про процессы и подходы

Благодарность за раздел

Автор хочет поблагодарить Сироту В.Е. за помощь в подготовке раздела

Автор не стремится к навязыванию Процессного подхода, как единственно верного. Однако, хочет напомнить, что каждое функциональное подразделение Компании оптимизирует деятельность в области своей ответственности, что, в конечном счете, может привести к подмене стратегической цели Компании целевыми функциями отдельного подразделения, что, в свою очередь, приводит к торможению развития как отдельного подразделения, так и Компании.

Прежде чем продолжить следует классифицировать процессы. Вообще классифицировать что-либо имеет смысл только тогда, когда выделяемые при классификации группы в дальнейшем будут использованы, а их наличие «упростит» жизнь. При том всегда необходимо помнить, что любые объекты могут быть классифицированы разными способами, но всегда сохраняют свои общие характеристики.

Под Классификацией будем понимать группировку объектов исследования в соответствии с их общими признаками, называемыми основанием классификации.

Основания для классификации процессов:

Приведем сравнение характеристик Функции / Процесса / Проекта:

Характеристика	Функция	Процесс	Проект
Зачем осуществляется?	Произвести результат	Удовлетворить потребность потребителя	Достичь целей участников проекта
Как выполняется?	По стандартному алгоритму	По определенной технологии	Каждый раз по-разному
Кто выполняет?	Один и тот же исполнитель	Группа одних и тех же исполнителей	Команда уникальных специалистов
Что в результате?	Один и тот же продукт, соответствующий определенным характеристикам	Неуникальный продукт, удовлетворяющий потребность потребителя	Уникальный продукт, позволяющий достичь целей проекта
Где управляется?	Извне	Изнутри	Изнутри
Часто ли повторяется?	Часто	Часто	Редко или никогда

Управление — действия определенного субъекта, направленные на изменение и манипуляцию объектами и субъектами для достижения заранее определенных целей.

• Функциональное управление – установление (определение) параметров выполнения функций, в т.ч. установление плана выполнения, требований к входу и выходу (результату), определение алгоритма преобразования входа в выход и требований к ресурсам, выполняющим функцию.
• Процессное управление – технология, основывающаяся на признании и применении того факта, что восприятие и управление видами деятельности Компании, как взаимосвязанными процессами, способствует повышении ее (Компании) результативности и эффективности.
• Проектное управление – применение знаний, навыков, средств и технологий у проектной деятельности с целью удовлетворения требований и достижения ожиданий участников проекта.

Пример:

Подход	Пример
Функциональный	Менеджер, ответственный за функцию: «Уборка тротуаров: тротуары должны быть чистыми» — валите снег на дорогу; Менеджер, ответственный за функцию: «Уборки дороги: дороги должны быть чистыми» – валите снег на тротуары;
Процессный	Менеджер, ответственный за процесс: «Уборка улиц города: от момента выпадения снега, до момента очистки улиц» — собираем снег и утилизируем его.
Проектный	Менеджер, ответственный за проект: «Обеспечение доезда: из сугроба до конца улицы» — первого очищаем того, кто заплатит.

Про информационную безопасность

В самом начале статьи автор приводил список терминов и определений, в котором давалось определение информационной безопасности. Приведем его еще раз:

Информационная безопасность — сохранение конфиденциальности, целостности и возможности применения (доступности) информации.

Нередко относят к информационной безопасности обеспечение других свойств, таких как подлинности, контролируемости, неопровержимости авторства и надежности.
ISO/IEC 27000:2014

Работник, следую своим должностным обязанностям, закрепленных в должностных инструкциях, выполняет Функции, ведущие либо к реализации Проекта, либо входящие в состав Процессов, использует в своей деятельности информацию, хранящуюся в разных информационных системах и ресурсах.

Автор считает правильным и целесообразным формировать ролевую модель доступа к информации в информационнных системах и информационных ресурсах сопоставляя уровни доступа с ролями в процессах, без оглядки на должность, но на выполняемый функционал.

На рисунке ниже представлена классификация информации по видам доступа.

Принимая во внимание, что обеспечение безопасности (любого ее вида) — непрерывный процесс, то в Компаниях с функциональным подходом к управлению, интеграция мер обеспечения безопасности связана с преодолением противодействия со стороны владельцев функций, что либо приводит к созданию «собственных» подразделений обеспечения безопасности (в частности — информационной) в функциональной вертикали (в Департаменте / БЕ), либо «местечковое» внедрение мер (очень сильно зависит от отношений лица, отвечающего за информационную безопасность и владельца данной конкретной функции).
Также в своей практике автором были замечены следующие варианты подчинения служб информационной безопасности:

• директор по информационным технологиям — в обычном случае информационная безопасность становится «надстройкой», которой в случае секвестра можно просто пренебречь, в лучшем — создание центра компетенций для привлечения экспертизы в проекты;
• служба безопасности — в любом случае подразделение информационной безопасности становится одной из функций.
• «первое» лицо / лицо, принимающее решение — крайне редкое явление, в том числе, потому что таких специалистов на рынке — единицы.

Как правило, выделяют 5 мотивирующих факторов построению системы управления (менеджмента) информационной безопасности:

• Предыдущий опыт — управление Компанией на котором функционировала СМИБ;
• Соответствие требованиям законодательства — локального и/или международного -в области обеспечения информационной безопасности предприятия. (даже в случае небольших организация вопрос актуален, хотя бы по причине необходимости обеспечения безопасности персональных данных клиентов и иных заинтересованных лиц);
• Соблюдение минимального набора требований сертификационных систем — например, при обслуживании платежных карт — минимальное соблюдение требований стандарта PCI DSS;
• Избежание убытков (потерь/непредвиденных расходов) в случае наступления инцидентов информационной безопасности;
• Субъективные факторы, такие как лучшие практики и опыт других организаций (в том числе конкурирующих/материнских/дочерних/поглощаемых).

Для построения эффективной системы, Компании придется пройти через 3 этапа:

1. Удовлетворение требований законодательства — защита персональных данных, охрана видов тайн, обеспечение лицензируемых видов деятельности и прочее — той работы, о которой бизнес-подразделения могут и не знать.
   Применительно к данному этапу – анализу требований законодательства и последующему удовлетворению – степень риска является недопустимой, т.к. невыполнение требований законодательства может привести к приостановке деятельности организации, что может лишить Компанию возможности вести эффективную коммерческую деятельность.
2. Удовлетворение потребности бизнеса в информационной безопасности — мер, требуемых поставщиками или Клиентами для поддержки непрерывной деловой активности, путем повышения уровня информационной безопасности. В большинстве случаев они формируют конкурентное преимущество. Бизнес-требования могут содержаться в договорных требованиях партнера, системах добровольной сертификации, отраслевых стандартах и т.д.
   Уровень риска – оправданный, несет в себе потерю доли рынка; способ реализации зависит
   от исполнения предлагаемого решения, например, в случае облачного сервиса, провайдер
   этого сервиса должен предоставить исчерпывающие доказательства своего соответствия.
3. Внедрение наилучших практических мер по обеспечению информационной безопасности.
   Уровень риска — приемлемый.

Про всё вместе

У читателя к этому моменту может сложиться естественный вопрос: «что хочет сказать автор?». «Зачем он пытается состыковать несостыкуемое?». «Кому нужна вся эта инкапсуляция ёжика в ужика?» и как наконец-то понять тему «инвентаризация бизнес-процессов через актуализацию должностных инструкций в интересах информационной безопасности»?

Уважаемый, Хабражитель, все просто!

Почему именно информационная безопасность может быть мерилом бизнес-процессов?
Информационная безопасность — это процесс. Непрерывный во времени.

При функциональном подходе к управлению перед каждой структурной единицей (сотрудник, отдел, управление) закреплен ряд функций, описана область ответственности, сформулированы критерии успешной и неуспешной деятельности. Как правило, горизонтальные связи между структурными единицами слабы, а вертикальные связи по линии «начальник-подчиненный» — сильны. Подчиненный отвечает только за порученные ему функции и, возможно, за деятельность своего подразделения в целом. Функции и результаты работы параллельных структурных единиц его не очень интересуют.

При процессном подходе к управлению каждая структурная единица обеспечивает выполнение конкретных процессов, в которых она участвует. Обязанности, область ответственности, критерии успешной деятельности для каждой структурной единицы сформулированы и имеют смысл лишь в контексте конкретного процесса. Горизонтальные связи между структурными единицами при таком подходе значительно сильнее, чем в случае функционального подхода. Вертикальные связи между структурными единицами и по линии «начальник-подчиненный» несколько слабее.

Недостаточно в должностной инструкции исполнителя написать «обязуется соблюдать требования информационной безопасности».

Информация (точнее данные и сведения) с одной стороны являются базисной составляющей для процесса, с другой стороны — итогом (результатом) применения компетенции (технологии) исполнителей (работников).

Реализация процессного подхода выводит управление Компанией на качественно новый уровень. Руководство Компании ясно видит функции исполнителей, движение ресурсов (в том числе информационных), распределение ответственности в организационной структуре (ролям и их месту в процессах), имеет возможность четко фиксировать места возникновения проблем и принимать своевременные меры по их устранению.

Читать схему следует сверху вниз и слева направо.

Идентификация стратегии

Процессы Компании направлены на создание продуктов и услуг для Клиентов. Для обеспечения удовлетворенности Клиентов эту деятельность следует структурировать.

Чтобы определить, какими должны быть процессы важно понять:

• Кто наши Клиенты и кого мы считаем таковыми?
• В чем потребности наших Клиентов?
• Есть ли у нас конкуренты и в чем мы их превосходим?

Эти вопросы относятся к стратегии действий Компании на рынке. Не имея на них ответов, невозможно определить требования к бизнес-процессам. Если не соотносить свою деятельность с потребностями Клиентов и возможностями Конкурентов, то в конечном итоге может оказаться, что Компания делает совсем не то, что на самом деле нужно текущим Клиентам и способно привлечь новых. Определение своего Клиента и понимание его потребностей — залог успеха.

Говоря об идентификации стратегии, предполагается, что ее не придется разрабатывать «с нуля» и что Руководство имеет определенные представления о долгосрочных целях и направлениях развития Компании и ее бизнеса. Разумеется, если у Компании на экспертном уровне отсутствует видение рынка и стратегии, то необходимо провести исследования целевых потребителей и определить позиционирование на рынке. Эти представления должны иметь отражение на бумаге. В этом и состоит процесс идентификации стратегии.

Организационная концепция

Организационная концепция включает пять элементов:

• Состав основных бизнес-процессов верхнего уровня;
• Краткое описание процессов верхнего уровня, характеризующее их содержание, входы, выходы и исполнителей;
• Карта процессов, показывающая второй и, возможно, третий уровень бизнес-процессов (подпроцессов);
• Схема центров ответственности за выполнение бизнес-процессов как прототип организационной структуры Компании;
• Краткое описание функций, выполняемых центрами ответственности.

Определив процессы верхнего уровня следует составить концептуальное описание, включающее элементы:

1. Потребители процесса;
2. Цели процесса;
3. Результаты процесса;
4. Ресурсы процесса;
5. Поставщики процесса;
6. Исполнители процесса;
7. Владелец процесса;
8. Показатели процесса;
9. Краткое описание процесса;
10. Состав процесса (перечень подпроцессов и функций).

После завершения работы над организационной концепцией имеется всё необходимое для построения карты основных процессов Компании. Карта процессов отражает состав процессов верхнего уровня (бизнес-процесс по классификации) и составляющие их процессы второго уровня (сервисные процессы по классификации).

Карта процессов дает общий взгляд на основные процессы Компании и позволяет увидеть из чего состоит ее деятельность, какова структура цепочки процессов, направленных на удовлетворение потребности Клиентов. Дальнейшая работа по созданию системы управления процессами направлена на углубленное и детализированное представление.

Организационная структура

Главное назначение организационной структуры – обслуживание бизнес-процессов. Ожидаемо, что на этапе создания Компании никто не думал о каком-либо подходе к управлению и очень часто (если деятельность Компании не сводится к перепродаже товаров с наценкой в 146%) это гремучая смесь функций, процессов вокруг одного-двух проекта.

Обслуживание процессов достигается путем соотнесения функций исполнителей в процессах с центрами ответственности в организационной структуре. Этот анализ проводится на этапе разработки организационной концепции. Опираясь на его результаты, следует уточнить и сопоставить функции подразделений Компании и их области ответственности.
При этом нередко выявляются функции, которые в существующей структуре ни за каким подразделением не закреплены. В этом случае необходимо пересмотреть состав функций и либо сформировать недостающие центры ответственности, которые должны будут обслуживать «ничейные» процессы, либо высвободить ресурс.

Описание организационной структуры должно включать следующие элементы:

1. Схема организационной структуры — она показывает состав структурных подразделений Компании и отношения подчиненности между ними;
2. Описание функций, полномочий и ответственности каждого структурного подразделения с учетом их ролей в (бизнес-)процессах. При этом указывается, в каких процессах участвует подразделение, и как оно связано со своими внутренними поставщиками и потребителями (по классификатору процессов);
3. Концептуальное описание наиболее значимых для Компании системообразующих процессов, таких как: стратегическое управление, годовое планирование, управление заказами, управление разработкой и выпуском на рынок новых продуктов, управление проектами развития Компании.

Идентификация процессов

Идентификацией процесса будет выступать спецификация, выполненная в форме таблицы с указанием характеристик процесса:

1. Название процесса;
2. Краткое описание процесса;
3. Потребители процесса;
4. Цели процесса;
5. Результаты процесса;
6. Ресурсы процесса;
7. Поставщики процесса;
8. Исполнители процесса;
9. Владелец процесса;
10. Показатели процесса;
11. Краткое описание процесса;
12. Состав процесса (перечень подпроцессов и функций).

Чтобы определить цель процесса необходимо очень хорошо знать своего Клиента — без обратной связи с Клиентом невозможно будет эффективно удовлетворить его потребность. Согласно представленному ранее классификатору процессов, следует помнить о внутреннем Клиенте.
Результаты процесса – это то, что создается в ходе его выполнения и обеспечивает достижение целей процесса. Цели характеризуют изменения, который должен произвести процесс, а результаты – это продукт процесса, его «выход».
Определив цели и результаты процесса, значимые для всех заинтересованных сторон, можно перейти к созданию инструментов измерения, то есть показателей процесса. Показатели должны отражать достижение целей и быть измеримыми.

Для идентификации параметров процесса важно соблюдать последовательность действий: сначала определяют потребителей процесса, исходя из этого формулируют цели и описывают результаты и потом разрабатывают показатели и способы их измерения.
Есть два вида ресурсов – расходуемые в ходе выполнения процесса и возобновляемые ресурсы. К первому типу относятся, например, материалы, используемые в производстве, или деньги. Ко второму – оборудование, программное обеспечение, разнообразные инструменты и т.п.
Знать ресурсы очень важно! Только зная ресурсы, можно определить поставщиков и смежные процессы, обеспечивающие ресурсами данный процесс.

Описание должностных обязанностей сотрудников

На основе результатов структурирования и идентификации процессов разрабатываются должностные обязанности сотрудников. Для этого достаточно из спецификаций процессов (предыдущий пункт) выбрать те из них, в которых работник указан как исполнитель. Его рабочие функции – это функции исполнителя данных процессов.
Должностные обязанности являются неотъемлемой частью должностной инструкции работника.
В ряде случаев (грейдинг / бэндинг) должностные обязанности делят на 2 части: прямые и совместные обязанности.

[Название процесса	Описание функций работника в процессе	Цели процесса	Результаты процесса	Показатели процесса

Столбцы «Цели», «Результаты» и «Показатели» также фигурируют в Семействе должностей при описании должностей, функций, компетенций. т.о. данные из одного источника связаны с многими документами.

Определение состава компетенций специалистов*

Важно!
Определение компетенций и компетентности специалиста — высший пилотаж менеджмента, в связи с чем данный раздел отсутствует на схеме, но не сказать о нем нельзя.

Определение компетенций специалистов, необходимых для выполнения функций в бизнес-процессах — сложный и, порой, субъективный процесс. Ожидаемо, что любой руководитель стремится, чтобы у него работали компетентные работники, имеющие релевантные знания / навыки / умения / опыт.
Определение компетенций необходимо для того, чтобы подробно и корректно описать профиль должностной позиции, который будет использоваться как для подбора специалистов на должность (в семью), так и оценки их соответствия занимаемой должности.

Невозможно добиться устойчивых результатов выполнения процессов без обеспечения процессов человеческими ресурсами необходимого качества.

Для определения состава компетенций необходимы следующие данные, сведенные в таблицу:

[Название процесса	Описание функций работника в процессе	Совместные обязанности	Уровень автономности	Какие документы создает в деятельности	Горизонт планирования	Опыт	Знания / навыки	Другое
		Перечень задач, действий и процессов, которые выполняются работником совместно с коллегами + внешнее взаимодействие.	Уровень самоорганизации труда.	Разные роли, в зависимости от набора компетенций, могут быть вовлечены в разные процессы.	На какой срок работник планировать свои работы			Какие-то сведения, не подпадающие в категории

Важно!
Заполняя таблицу и формируя таким образом пул компетентности членов Семьи в исполнении процессов (сервисов, как набора связанных процессов, затрагивающих минимум 2 Семьи), формируется пул компетенций Семьи. Одним из персональных показателей эффективности главы Семьи должен быть показатель неизменности качества Семьи в худшую сторону во времени. При этом данный коэффициент должен очень сильно влиять на мотивацию менеджера — эта та причина, о которой говорилось вначале данного раздела: до понимания и применения необходимо дорасти.

Безусловно, сведения, полученные на данном этапе могли бы быть крайне ценными как на следующем этапе, так и при взаимодействии с внешними подрядчиками / Клиентами / Конкурентами.

Определение профилей должностных позиций

Построение профиля должности необходимо для подбора кандидатов на рассматриваемую позицию (члена Семьи), а также проведения оценки работников.
Для чего нужен профиль должности? Во-первых, на его основе составляются объявления о вакансии; здесь содержится вся необходимая для этого информация. Во-вторых, он служит руководством при отборе кандидатов на должность. В-третьих, на его основе проводится оценка соответствия сотрудников занимаемой должности. В-четвертых, он используется для составления индивидуального плана обучения сотрудника с целью достижения опережающих значений и пересмотра профиля.

Целесообразно профиль должности объединить с таблицей Семейства должностей, таким образом будет проще выявлять потребность в текущем состоянии.

Не рассмотренными остаются:
Определение показателей деятельности (KPI) и Установление правил вознаграждения за результат — неразрывно связаны с результатами Идентификации процессов, а также уровня зрелости менеджмента;
Разработка регламентов процессов и Разработка инструкций для исполнителей — неразрывно связаны с результатами Идентификации процессов, а также с вовлеченность самого Бизнеса в процесс разработки регламентов и инструкций, либо привлечения сторонних участников (в первом случае — скорость, во втором — качество).

Пример автоматизации

Важно!
нельзя забывать, что любой документ является таковым ТОЛЬКО при наличии реквизитов документа.

Обязательные реквизиты

1. 08 — наименование организации — Наименование организации, являющейся автором документа, должно соответствовать наименованию, закрепленному в ее учредительных документах. Сокращенное наименование организации приводят в тех случаях, когда оно закреплено в учредительных документах организации;
2. 10 — наименование вида документа — Наименование вида документа, составленного или изданного организацией, должно быть определено уставом (положением об организации) и должно соответствовать видам документов, предусмотренным ОКУД;
3. 11 — дата документа — Датой документа является дата его подписания или утверждения;
4. 12 — регистрационный номер документа — номер, присвоенный ему по правилам регистрации документов в организации. Регистрационный номер должностной инструкции может включать индекс дела (в составе которого предполагается хранить контрольный экземпляр должностной инструкции) по номенклатуре дел организации, условное буквенное обозначение наименования вида документа (например, «д/и»), информацию об исполнителе документа и др.;
5. 14 — место составления или издания документа — Место составления или издания документа указывают в том случае, если затруднено его определение по реквизитам «Наименование организации» и «Справочные данные об организации». Место составления или издания указывают с учетом принятого административно-территориального деления, оно включает в себя только общепринятые сокращения.;
6. 16 — гриф утверждения документа — реквизит, придающий нормативный или правовой характер его содержанию. В общем случае гриф утверждения должностной инструкции включает слово «утверждаю» (в прописном начертании, без кавычек), наименование должности лица, уполномоченного утвердить должностную инструкцию, подпись и расшифровку подписи (инициалы, фамилию, а также дату утверждения, оформленную словесно-цифровым способом);
7. 18 — заголовок к тексту — Заголовок к тексту включает в себя краткое содержание документа;
8. 20 — текст документа — Тексты документов оформляют в виде анкеты, таблицы, связного текста или в виде соединения этих структур;
9. 21 — отметка о наличии приложения — Отметка о наличии приложения к документу;
10. 22 — подпись — В состав реквизита «Подпись» входят: наименование должности лица, подписавшего документ (полное, если документ оформлен не на бланке документа, и сокращенное — на документе, оформленном на бланке); личная подпись; расшифровка подписи (инициалы, фамилия);
11. 23 — гриф согласования документа — реквизит, выражающий согласие организации, не являющейся автором (разработчиком) документа, с содержанием последнего. Данный реквизит применяется только в тех случаях, когда проект должностной инструкции подлежит внешнему согласованию с заинтересованными сторонами;
12. 24 — визы согласования документа — Согласование документа оформляют визой согласования документа (далее — виза), включающей в себя подпись и должность визирующего документ, расшифровку подписи (инициалы, фамилию) и дату подписания;
13. 26 — отметка о заверении копии — При заверении соответствия копии документа подлиннику ниже реквизита «Подпись» проставляют заверительную надпись: «Верно»; должность лица, заверившего копию; личную подпись; расшифровку подписи (инициалы, фамилию); дату заверения;
14. 27 — отметка об исполнителе — Отметка об исполнителе включает в себя инициалы и фамилию исполнителя документа и номер его телефона. Отметку об исполнителе располагают на лицевой или оборотной стороне последнего листа документа в левом нижнем углу;
15. 30 — идентификатор электронной копии документа — Идентификатором электронной копии документа является отметка (колонтитул), проставляемая в левом нижнем углу каждой страницы документа и содержащая наименование файла на машинном носителе, дату и другие поисковые данные, устанавливаемые в организации.

Расположение реквизитов и границ зон на формате А4

Расположение реквизитов и границы зон на формате А4 углового бланка

Расположение реквизитов и границы зон на формате А4 продольного бланка

В своей деятельности автор встретился с ситуацией, когда надо было актуализировать должностные инструкции всех работников Компании.

Важно!
Автор знает, как аудитория Хабра любит все автоматизировать и применять новейшие технологии! Однако, аудиторией данного материала могут выступать не только технически подкованные специалисты, но и люди с техникой на «Вы». Поэтому тут не будет баз данных, модных фреймворков и прочего, безусловно жизнь облегчающего, но будет простой Microsoft Office, в функционале, доступного всем.

Для автоматизации нам понадобится 3 файла.
2 файла Microsoft Excel и
1 файл Microsoft Word.

Первый файл Microsoft Excel нам понадобится для его заполнения. Второй файл Microsoft Excel для «транспорта». Как уже указывалось ранее — решение максимально упрощенное для широких масс. Файл Microsoft Word будет содержать шаблон и поля для автозаполнения из «транспортного» документа.

Второй файл Microsoft Excel является ничем иным как транспонированной таблицей. Это естественное ограничения, т.к. данные для использование в файле Microsoft Word должны быть в формате обычного текста. В тоже время заполнять изначально транспонированную таблицу неудобно — она становится не читаемой, особенно при наличии в семье более 7 участников.

Пути развития идей, отраженных в статье

Описанный в статье подход направлен на удовлетворение потребностей следующих групп по интересам:

Отдел кадров – формирование семейств должностей, для быстрого формирования требований к кандидатам, в зависимости от потребностей процессов;
Проектный / процессный офис – формирование набора компетенций, доступных для реализаций новых проектов / процессов;
Информационная безопасность – формирование ролевой модели, формируемой вокруг роли в процессе, а, следовательно, вокруг уровня конфиденциальности информации;
Информационные технологии – формирование наборов конфигураций (серверных / пользовательских / АРМ), управление лицензированием и бюджетными тратами при реализации автоматизации процессов;
Лицо принимающее решение — формирование актуальных данных для принятия управленческих / стратегических решений.

1. Семьи объединяют роли и компетенции, на которых держатся процессы Компании. Понимая место роли в процессе можно определить уровень конфиденциальности информации, к которой у данной роли будет доступ — исходя из компетентности роли и возможности эффективно применить информацию;
2. Легко реализовать листинг процессов — ролей — компетенций. С помощью систем трекинга задач и их исполнения — легко определить ценность каждой роли и сопоставление стоимости этой роли и ее ценности;
3. исходя из трекинга задачи и исполнения можно составить представление о количествах запусков экземпляров процесса, потребности надпроцесса в множественном запуске процесса, количеству запусков процесса, приведших к оплате результата Потребителем, а, следовательно, получению прибыли;
4. Ключевые показатели эффективности ролей / исполнителей (индикаторов функций) напрямую связаны с показателями эффективности процессов (индикаторами бизнеса — уровню доходности, рентабельности, капитализации), в которые роль / исполнитель вовлечены;
5. Определить уровень конфиденциальности информации, задействованной в (бизнес-)процессе, следовательно в информационных системах / информационных ресурсах, что напрямую влияет на состав и стоимость ИС / ИР, ролевую модель доступа, АРМ пользователей и конфигурации рабочих мест.

Вместо заключения

Структурированные и документированные процессы в Компании, описанные и поддерживаемые должностные инструкции, обеспечение информационной безопасности — все это факторы, указывающие на зрелость Компании. Следуя картинке выше — 0 уровень преодолен и остался далеко позади.
С трех разных сторон — процессы, организационное управление, обеспечение информационной безопасности — драйвером становится лишь одно — достижение удовлетворенности Потребителя, что в свою очередь характеризуется повторяемостью функций, стремлению достижения результата не только в срок (с мотивацией «кто быстрее?»), но и с заданным качеством (с мотивацией «кто качественнее?»).

Инвентаризация (бизнес-)процессов через актуализацию должностных инструкций в интересах информационной безопасности — это попытка описать один из вариантов, при котором изменение в обеспечении информационной безопасности, может потребовать рутинной работы, что в свою очередь может повлиять на общий уровень Компании. т.о., опосредованно, но достигается, интеграция мер обеспечения информационной безопасности в процессы Компании.

Список литературы

1. Процессный подход к управлению. Моделирование бизнес-процессов / В.В. Репин,
   В.Г. Елиферов; «Манн, Иванов и Фербер», М.2012
2. Process Events and States in Business Process Models / «LAP Lambert Academic
   Publishing», 2012
3. Бизнес-процессы. Основные понятия. Теория. Методы / А-В. Шеер; «Весть-
   МетаТехнология», М. 1999
4. Современный реинжиниринг бизнес-процессов / М.В. Фирсов; «Palmarium Academic
   Publishing», М. 2014
5. Энциклопедия менеджмента / П.Ф. Дрюкер; «Вильямс», М. 2006
6. 149-ФЗ «Об информации, информационных технологиях и защите информации»
7. ISO/IEC 27001:2013 «Information technology — Security techniques — Information
   security management systems — Requirements»
8. ISO 9001:2015 «Quality management systems — Requirements»
9. The General Data Protection Regulation (GDPR) (Regulation (EU) 2016/679)
10. COBIT 5 for Information Security

Спасибо за уделенное время.
С радостью отвечу на комментарии.

Технологии и ИТ-решения все глубже проникают в процессы компаний вне зависимости от их масштаба. Данные становятся ключевым активом предприятий, поэтому их защита, сохранение и грамотное применение — приоритетные задачи любого бизнеса.

Что такое «информационная безопасность бизнеса»

Традиционно начнем с терминологии.

Информационная безопасность бизнеса — это комплекс организационных и технических мер, которые направлены на защиту и сохранение информации, систем и оборудования, использующихся для взаимодействия, хранения и передачи этой информации.

Чем эффективнее обеспечивается информационная безопасность, тем лучше защищены данные компании от разнообразных воздействий. Они могут быть:

• внутренними или внешними;
• случайными или преднамеренными.

В глобальном смысле характер негативного воздействия не имеет значения. Важно, с какими последствиями компания может столкнуться из-за утечки, утраты, несанкционированного изменения или использования корпоративных данных. Именно поэтому ИБ — важнейший аспект защиты бизнеса, играющий ключевую роль в стратегии обеспечения его непрерывности.

Угрозы информационной безопасности

Любая компания может столкнуться с различными угрозами информационной безопасности. По происхождению их можно разделить на несколько типов:

• Естественные

К ним относятся стихийные бедствия, неблагоприятные погодные условия и различного рода катаклизмы — наводнения, ураганы, торнадо и тому подобное. От каких-то из них можно защититься. Например, избежать потенциально опасного удара молнии поможет молниеотвод. Однако серьезные природные катаклизмы с большой долей вероятности ущерб все-таки нанесут.

• Искусственные

Это угрозы, создаваемые человеком. Искусственные угрозы, в свою очередь, делятся на непреднамеренные и преднамеренные. К первому типу относят угрозы, возникающие из-за человеческой ошибки или случайности. Ко второму — атаки злоумышленников, «заказы» конкурентов, саботаж обиженных сотрудников.

• Внутренние

Угрозы, возникающие внутри информационной инфраструктуры компании.

• Внешние

Угрозы, пришедшие извне, зародившиеся за рамками информационной инфраструктуры.

Существует и другая классификация угроз — по характеру. Например, пассивные угрозы не смогут изменить содержание или структуру информации, а вот активные вполне на это способны. К таким угрозам относятся, например, всем известные вирусы-шифровальщики.

Наиболее опасными считаются именно преднамеренные угрозы. Подготовленный и вооруженный инструментами злоумышленник (будь то хакер или бывший сотрудник) порой может нанести больше вреда, нежели стихийное бедствие.

Утечки данных: кто виноват и как бороться

Как правило, из новостей мира ИТ и ИБ чаще всего можно услышать именно об утечках информации, то есть получения к ней несанкционированного доступа.

Кто может стать причиной утечки данных:

• Случайный инсайдер

Допустим, один из бывших сотрудников компании имел доступ к конфиденциальным данным и по неосторожности скачал на свой личный ПК документы или файлы, не предназначенные для посторонних глаз. Конечно, в этом случае утечка вряд ли нанесет ущерб компании, ведь сотрудник сделал это без злого умысла и не собирался использовать эту информацию в корыстных целях. Однако меры, которые позволят исключить подобные сценарии, все равно должны быть приняты, поскольку из-за вирусной активности эти данные могут попасть уже в руки злоумышленников.

• Злонамеренный инсайдер

Нередко бывшие сотрудники, обиженные на компанию и желающие причинить ей финансовый или репутационный ущерб, могут воспользоваться своими привилегиями (например, уровнем доступа к данным или доверием коллег) и использовать полученную конфиденциальную или секретную информацию по собственному усмотрению. В ход могут идти попытки шантажа под угрозой публикации данных или их перепродажа конкурентам.



• Злонамеренный деятель со стороны

Им может быть любой злоумышленник, который не имеет прямого отношения к компании-жертве, но планирует получить несанкционированный доступ к корпоративной информации. Это могут быть как хакеры, преследующие конкретную цель, или даже школьник, который решил пошутить или проверить свои способности.

Причины утечек

Повышать риск утечек информации могут разные факторы. Среди них наличие уязвимостей в информационных системах и уровень их критичности.

Нередко программные или программно-аппаратные решения становятся «слабым звеном», через которые злоумышленник может попасть внутрь периметра компании из-за уязвимостей в кодовой базе. Как правило, производители стараются максимально оперативно выпускать патчи безопасности и обновления, чтобы закрыть эти «дыры». Однако бывают ситуации, когда разработчики ПО об уязвимостях еще не знают, а хакеры уже успели написать на ее основе эксплойт.

Чаще всего причинами утечек становятся:

• Избыточные права доступа у сотрудников компании

Ранее мы уже говорили о том, что часть утечек связана с инсайдерской деятельностью. Чем больше сотрудников имеют доступ к конфиденциальной информации, тем выше риск того, что она попадет не в те руки, случайно или из корыстных побуждений.

• Вредоносная активность

Заражение корпоративной инфраструктуры вредоносным ПО может повлечь за собой серьезные финансовые и репутационные риски из-за кражи, порчи, утечки данных или нарушения работы ИТ-систем.

• Целенаправленные атаки

В некоторых случаях атаки злоумышленников не направлены на конкретный бизнес или систему — они просто ищут уязвимые места и проверяют защиту на прочность. Однако бывает так, что хакер или даже группировка целятся в определенную организацию. Тогда в ход могут пойти специфичные методы атак: например, письма от имени коллег или даже дипфейки с участием руководителей.

• Фишинг и спуфинг

Как правило, фишинг представляет собой рассылку e-mail’ов из якобы доверенных источников (например, с электронной почты руководителя) с целью ввести получателя в заблуждение и заставить его совершить какое-либо действие. Например, скачать вредонос из вложения, перейти по ссылке или отправить корпоративную информацию. Проще говоря, с помощью письма злоумышленник хочет поймать адресата «на крючок» и обманом заставить действовать по своему желанию.



• Скомпрометированные учетные записи

После удачной фишинговой кампании злоумышленник может получить в свое распоряжение данные для входа в рабочую учетную запись сотрудника. Как правило, для этого высылается электронное письмо со ссылкой якобы на корпоративный портал. При этом выглядит оно далеко не всегда подозрительно — в большинстве случаев в качестве адреса отправителя указан корпоративный e-mail. После клика по ссылке получатель попадает на страницу авторизации, которая требует ввести логин и пароль. После ввода сотрудник, естественно, ни на какую страницу не попадает, а credentials отправляются злоумышленнику.

• Слабые пароли или их повторное использование

Нередко сотрудники используют и для личных, и для рабочих учетных записей ненадежные пароли вроде qwerty12345. Достаточно утечки базы паролей какого-то форума или компрометации старой почты — и вот уже злоумышленники подбирают credentials для входа в вашу корпоративную учетную запись.

Инструменты организации информационной безопасности

Для обеспечения безопасности данных применяются различные инструменты. Это могут быть специализированные устройства, ПО или какие-то организационные мероприятия, направленные на защиту информации.

Все средства защиты делятся на 4 вида по способу реализации.

• Аппаратные

К этой категории относятся специальное оборудование или устройства, задача которых — предотвращать несанкционированный доступ к данным и проникновение в корпоративную ИТ-инфраструктуру.

• Программные

Особое программное обеспечение, с помощью которого можно защищать, безопасно хранить и контролировать данные.

• Программно-аппаратные

Специализированные устройства с ПО «на борту».

• Организационные

Набор организационно-правовых и организационно-технических средств и мер.

Организационные меры

Сегодня компаниям доступно множество мер, как технических, так и организационных, которые помогут существенно снизить риск утечки данных. Перечислим базовые — о них не стоит забывать даже малому бизнесу и небольшим компаниям, которые нередко думают, что красть у них нечего.

• Внедрение политик безопасности

Реализация политик информационной безопасности бизнеса должна затрагивать не только защиту самих данных, но и учетных записей, которые позволяют получить к ним доступ.

• Реализация принципа наименьших привилегий

У сотрудников должен быть доступ только к тем данным, которые нужны им на регулярной основе для выполнения рабочих задач. Это существенно снижает риск утечки данных из-за человеческого фактора или по невнимательности сотрудника.

• Корпоративная политика паролей

В обязательном порядке необходимо отключать или менять скомпрометированные credentials. Кроме того, можно реализовать общие корпоративные требования к паролям (например, определенная сложность/длина или внедрение многофакторной аутентификации) или принудительно менять их каждый фиксированный период — например, раз в 3 месяца.

• Обучение и тестирование сотрудников

Спасти от изощренных методов социальной инженерии и фишинга поможет методичная работа с сотрудниками и регулярная проверка их знаний. Только так вы сможете повысить шансы на то, что бухгалтер или менеджер не «клюнет» на приманку злоумышленника.

Разнообразие технических средств защиты информации

Последнее время наибольшую популярность приобрели разного рода программные решения. На это есть несколько причин:

• возможность быстрого и удобного обновления решений;
• не проигрывают по эффективности аппаратным средствам;
• их легко заменить или модернизировать.

Сегодня программные решения есть практически на все случаи жизни.

Антивирусы

Антивирусное программное обеспечение позволяет защищать данные от актуальных вирусных угроз и вредоносного кода. Компания может подобрать оптимальный антивирус, исходя из индивидуальных условий — тип используемой среды (традиционная или облачная), тип защищаемых устройств, доступный бюджет, наиболее удобная модель тарификации. Современные антивирусные средства позволяют не только проводить проверки по заранее заданному расписанию, но и работать «на горячую» — отслеживать подозрительную активность, блокировать попытки получения несанкционированного доступа к информации, восстанавливать поврежденные файлы, например, после вмешательств шифровальщика.

DLP (Data Leak Prevention)

Это инструменты, направленные конкретно на предотвращение утечек данных. Такие средства умеют:

• контролировать каналы коммуникации, сетевые протоколы, устройства, хранилища и даже активность сотрудников компании (делать скриншоты экранов, фиксировать ввод с клавиатуры, обеспечивать доступ к рабочему столу и записывать видео с экрана);
• работать с политиками безопасности;
• формировать отчеты и многое другое.

Криптографические средства (DES, AES)

Обеспечивают шифрование данных с целью предотвратить несанкционированный доступ к ним.

Межсетевые экраны (файрволы, брандмауэры)

Фильтруют и блокируют нежелательный трафик в рамках обеспечения контроля доступа к корпоративной сети. Бывают реализованы как в виде программно-аппаратных (физическое устройство с прошивкой), так и сугубо программных средств.

Virtual Private Network (VPN)

VPN-решения, как правило, используются для построения защищенных соединений при передаче данных через общедоступные сети (интернет). Наиболее распространенные сценарии использования VPN:

• обеспечение безопасного удаленного доступа к корпоративным данным, например, при подключении сотрудника, работающего дистанционно, к сервисам компании;
• организация защищенного подключения к ИТ-площадке, например, специализированной облачной инфраструктуре, где хранятся персональные данные.

SIEM

Системы мониторинга и управления ИБ компании. Проще говоря, это специальные программные решения, предназначенные для комплексного обеспечения безопасности данных. Решения SIEM собирают информацию обо всех событиях ИБ из источников, участвующих в процессе защиты данных — антивирусов, систем предотвращения вторжений, межсетевых экранов и других. После сбора все события информационной безопасности анализируются. Решения SIEM позволяют увидеть полную картину того, что происходит с данными компании, выявить потенциальные сбои, атаки злоумышленников и другие угрозы.

Задача выстраивания системы информационной безопасности предприятий носит комплексный характер. Руководство должно оценить уровень предполагаемых рисков и выработать модель угроз. Она будет различной для каждого вида бизнеса. Общим будет то, что для причинения ущерба компании используются информационные технологии. Для обеспечения информационной безопасности нужно проведение аудита, по результатам которого вырабатывается комплекс необходимых организационных и программно-технических мер.

Угрозы информационной безопасности

Хакерские атаки рассматриваются на международном уровне как часть единой глобальной угрозы, связанной с цифровизацией общества. От внешних нападений не избавлены даже небольшие компании, особенно если они являются поставщиками или подрядчиками крупных корпораций и оперируют в своей деятельности данными, способными заинтересовать злоумышленников. Но и интернет магазины или небольшие поставщики интернет-услуг не избавлены от DDoS-атак, способных полностью заблокировать каналы связи и сделать сервис недоступным для клиентов. 

Среди актуальных внешних угроз информационной безопасности:

• кража конфиденциальной информации путем взлома информационной системы или подключения к плохо защищенным каналам связи. От утечек информации наилучшим способом защищают DLP-системы, но не все предприятия малого и среднего бизнеса имеют возможность использовать их ресурсы в полном объеме; 
• кража персональных данных при помощи собственных средств аутентификации и передача их посредникам на черном рынке информации. Этот тип угроз наиболее характерен для банков и организаций сферы услуг, обрабатывающих большой объем клиентской информации;  
• кража инсайдерами коммерческой тайны по запросам конкурентов, наиболее часто воруют базы данных клиентов организации;
• DDoS-атаки, направленные на обрушение каналов коммуникации. Они делают сайт предприятия недоступным, что оказывается критичным для организации, продающей товары или оказывающей услуги в Интернете; 
• вирусные заражения. В последнее время наиболее опасны вирусы-шифровальщики, делающие информацию в системе недоступной и разблокирующие ее за выкуп. Иногда, чтобы исключить возможность отслеживания, хакеры требуют выплатить им вознаграждение в криптовалютах; 
• дефейс сайта. При этом типе хакерской атаки первая страница ресурса заменяется иным контентом, иногда содержащим оскорбительные тексты; 
• фишинг. Этот способ совершения компьютерных преступлений основан на том, что злоумышленник направляет письмо с адреса, идентичного привычному для корреспондента, побуждая зайти на свою страницу и ввести пароль и иные конфиденциальные данные, в результате чего они похищаются;
• спам, блокирующий входящие каналы связи и мешающий отслеживать важную корреспонденцию;
• инструменты социальной инженерии, побуждающие сотрудников компании переводить ресурсы в пользу опытного мошенника;
• потеря данных из-за аппаратных сбоев, неисправности техники, аварий, стихийных бедствий.

Общий список угроз остается неизменным, а технические средства их реализации совершенствуются постоянно. Уязвимости в штатных компонентах информационных систем (ОС, протоколах связи) не всегда ликвидируются быстро. Так, проблемы Windows XP были устранены путем выпуска обновлений только через два года после их фиксации. Хакеры не теряют времени, оперативно реагируя на все обновления, постоянно тестируя степень безопасности информационных систем предприятия при помощи средств мониторинга. Особенностью современной ситуации на рынке компьютерной безопасности стало то, что машинные технологии усовершенствовались до того уровня, что пользование ими стало доступным даже школьнику. Заплатив небольшую сумму, иногда не превышающую 10 долларов, за подписку на сервис тестирования уязвимости, можно организовать DDoS-атаку на любой сайт, размещенный на небольшом сервере с не очень производительным каналом связи, и в считанные минуты лишить клиентов доступа к нему. В качестве ботнетов все чаще используются объекты Интернета вещей: холодильники, кофеварки и IP-камеры. Они активно включаются в информационные атаки, так как производители управляющего ими программного обеспечения в целях экономии средств не встроили в них механизм защиты от перехвата управления. 

Но не менее опасны и угрозы информационной безопасности, исходящие от сотрудников компании, заинтересованных не в краже, а в манипуляции информацией. Отдельным риском становится такое нарушение целостности информации в базах данных, которое облегчает хищение материальных ресурсов организации. Примером может служить изменение температуры хранения топлива в сторону повышения, при котором его объем в цистернах увеличивается и небольшую откачку датчики безопасности не заметят. Для такого изменения нужно иметь несанкционированный доступ к каналам связи с устройствами, управляющими выставлением температуры на складе.

Обеспечение информационной безопасности предприятий

Задача обеспечения информационной безопасности предприятий решается своими силами или с привлечением внешних экспертов. Необходимо провести аудит и внедрить систему организационных и технических мер общего и специального характера, которые позволят эффективно обеспечить высокое качество информационной безопасности предприятия. Начинать создание системы надо с аудита. Система защиты будет основываться на его результатах.

Аудит

Объем аудита зависит от размеров компании и ценности обрабатываемой информации. Для предприятий малого и среднего бизнеса аудит может проводиться своими силами, для распределенной сложной системы, включающей несколько контуров управления, в которой обрабатываются конфиденциальные данные высокой важности, необходимо привлекать для проведения аудита профессиональные организации, специализирующиеся на аутсорсинге информационных услуг. 

На базовом уровне аудита необходимо выяснить: 

• доступны ли компьютеры кому-то, кроме сотрудников определенного подразделения, реализована ли пропускная система с использованием электронных пропусков и фиксацией времени нахождения сотрудника в помещении; 
• существует ли возможность подключения к рабочим станциям съемных носителей информации, физическая возможность копирования данных на съемные устройства;
• какое программное обеспечение установлено на рабочих станциях информационной системы, лицензировано ли оно, регулярно ли выполняются обновления, известно ли о недостатках установленного программного обеспечения, облегчающих доступ к данным извне;
• как ведется настройка операционной системы, используются ли штатные ресурсы обеспечения информационной безопасности предприятий, антивирусы, брандмауэры, журналы учета действий пользователя, разграничение доступа;
• как реализована система разграничения прав доступа, применяется ли принцип предоставления минимально возможных прав, кто и как вносит изменения в права доступа;
• как реализована система аутентификации и идентификации, применяется ли двухфакторная модель, существует ли ответственность за передачу логинов и паролей другим сотрудникам;
• как реализована система паролей, как часто они меняются, как реагирует система на неоднократный ввод неверного пароля;
• принят ли необходимый пакет организационно-распорядительной документации, касающейся информационной безопасности.

Для небольшой компании ответы на эти вопросы помогут выявить наиболее очевидные уязвимости системы информационной безопасности предприятия и направить усилия на их устранение. 

Существуют ситуации, когда угрозы оказываются более существенными, чем действия инсайдеров или случайные и непредсказуемые хакерские атаки, например, когда компания:

• действует на высококонкурентном рынке;
• участвует в разработке научных или информационных технологий;
• обрабатывает большие объемы персональных данных.

В этих случаях простой аудит доступа и специфики программного обеспечения окажется средством, не решающим проблему. ИС нужно исследовать на более глубоком уровне, выявив:

• наличие уязвимостей системы для внешних проникновений при помощи платных и бесплатных программ – сканеров уязвимостей;
• отсутствие или наличие обработки информации с высокой степенью конфиденциальности в отдельных кластерах информационной системы, установлены ли сетевые экраны на границах зон;
• используются ли протоколы защищенной связи при передаче информации от сотрудников, находящихся на удаленном доступе;
• как осуществляется запись действий пользователей с объектами, содержащими конфиденциальную информацию;
• реализован ли дифференцированный доступ к данным, какой способ применяется, существует ли многоуровневая система доступа.

Если компания является оператором персональных данных, в ходе аудита дополнительно надо выявить:

• насколько скрупулезно реализуются требования закона «О персональных данных»;
• внедрены ли предусмотренные законом и рекомендациями ФСТЭК РФ организационные меры;
• используется ли необходимое сертифицированное программное обеспечение. 

Ответ на вопросы аудита даст почву для разработки системы информационной безопасности предприятия с учетом релевантных угроз. 

Этапы внедрения системы безопасности

Понимание текущего состояния информационной системы и категории информационных ресурсов дает почву для разработки стратегии ее модернизации и приближения к современным требованиям безопасности. 

Работу необходимо проводить по следующему алгоритму:

• описание всех инфраструктурных и программных объектов в архитектуре информационной сети, выявление их ключевых характеристик; 
• разработка требований к оптимальной конфигурации информационной системы с учетом временных, человеческих и бюджетных ограничений;
• разработка пакета организационно-распорядительной документации, ознакомление с ней сотрудников, обучение их основам информационной безопасности;
• внедрение технических и программных мер, призванных исключить возникновение инцидентов информационной безопасности и сделать более эффективной реакцию на них. 

Большинство этапов работы может быть выполнено силами собственного персонала, на особо сложные участки работы привлекаются консультанты. Весь процесс должен идти под руководством менеджера высшего звена, заинтересованного в успешной реализации проекта внедрения стратегии обеспечения информационной безопасности предприятия. 

Организационные меры

Применяемые для обеспечения информационной безопасности предприятия организационные меры делятся на три группы: 

• общеобязательного характера;
• защищающие персональные данные;
• защищающие отдельные информационные объекты или процессы.

В каждой категории они делятся на две группы – документы и действия, и в каждом секторе защиты необходимы обе группы мер.

Организационные меры общего характера

Информационная безопасность предприятия начинается с принятия единой политики или методики обеспечения защиты данных. Политика должна содержать следующие разделы:

• общие принципы защиты информации, угрозы и цели обеспечения безопасности;
• градация информации по степени значимости для компании;
• условия доступа к данным, принципы разграничения доступа;
• правила работы с компьютерной техникой и съемными носителями;
• ответственность за нарушение требований документа.

Документ принимается на уровне высшего руководства и сопровождается политиками и методиками, определяющими более узкие задачи информационной безопасности на предприятии.

Режим коммерческой тайны

Гражданское законодательство РФ вводит понятие коммерческой тайны как информационного актива, охраняемого государством. Ее преднамеренное или непреднамеренное разглашение, причинившее ущерб компании, является основанием для предъявления гражданского иска о возмещении ущерба. Если ущерб действительно серьезен, дело может дойти до уголовного преследования. Но чтобы привлечь виновного сотрудника к ответственности, придется совершить несколько шагов, относящихся к организационной части системы информационной безопасности на предприятии: 

• ввести режим коммерческой тайны, издав соответствующий приказ;
• составить перечень сведений, относящихся к конфиденциальной информации. Многие компании совершают ошибку, относя к коммерческой тайне все виды документов и информации, которые могут вспомнить сотрудники службы безопасности. Это превращает режим защиты данных в профанацию. Создать систему защиты должного уровня для всех файлов и документов невозможно, а каждый вынос документа из офиса, например, в налоговую или на встречу с контрагентом, не отраженный в книге учета носителей коммерческой тайны, превращается в нарушение режима. Перечень данных должен быть четким и конкретным, это облегчает механизм контроля и делает его возможным;
• ввести механизм контроля перемещения документов, содержащих коммерческую тайну, грифы секретности, журнал учета движений; 
• ознакомить всех сотрудников под роспись с приказом о режиме конфиденциальности и перечнем документов (Положением об охране коммерческой тайны);
• ввести в трудовые договоры условие об ответственности за разглашение коммерческой тайны.

Выполнение этих действий поможет в должной мере защитить конфиденциальность данных.

Технические меры

Внедрение программно-технических средств защиты информации неизбежно, многие организации пользуются ими, не подозревая об этом. Для того чтобы выбрать наиболее эффективные для конкретной организации типы защиты, необходимо ответить на следующие вопросы:

• типы информации, подлежащей защите, в каких секторах сети и в каких базах данных она хранится. В деятельности компании к наиболее важной информации относятся данные корпоративных банковских карт и счетов, персональные сведения, бизнес-секреты, базы данных клиентов, наиболее часто становящиеся целью намеренного хищения;
• какие устройства участвуют в создании инфраструктуры сети и какие устройства подключаются к ней на удаленном доступе, кто и на каком основании выдает разрешение на подключение;
• какое программное обеспечение требует замены или обновления, какие дополнительные модули безопасности нужно устанавливать;
• как защищены учетные записи администраторов, может ли воспользоваться ими другое лицо путем подбора паролей или иным способом;
• существует ли необходимость шифрования файлов или трафика, какие средства для этого используются;
• отвечают ли антивирусные программы, программы фильтрации электронной почты, сетевые экраны современным требованиям к безопасности;
• как регулируется доступ сотрудников к Интернету, необходимо ли получать специальное разрешение, какие сайты и по какому принципу блокируются.

Далее начинается этап выбора программного обеспечения, которое призвано создать систему информационной безопасности предприятия на эффективном уровне:

• антивирусная защита. Если компания является оператором персональных данных, программный продукт должен быть сертифицирован ФСТЭК РФ. Если такой необходимости нет, то можно выбрать удобный или популярный продукт. Так, Роскачество в своем обзоре определило, что наибольшим успехом в борьбе с вирусами пользуется Internet Security от ESET, при этом встроенный в Windows антивирус оказался только на 17-м месте;
• сетевые экраны (файрволы). Здесь желательно ориентироваться на программные продукты, одобренные ФСТЭК РФ;
• средства фильтрации электронной почты, которые защитят почтовые ящики сотрудников от спама и вирусов;
• программа Enhanced Mitigation Experience Toolkit (EMET), установленная на компьютерах с Windows, окажется полезной для защиты от уязвимостей, связанных с программным кодом;
• средства криптографической защиты. В зависимости от уровня конфиденциальности данных, используются или общедоступные продукты, или СКЗИ (средства криптографической защиты информации), одобренные ФСБ РФ;
• средства мониторинга работоспособности инфраструктуры. Могут быть выбраны бесплатные или лицензионные продукты, главное, настроить непрерывность мониторинга уязвимостей. Если принято решение приобрести продукт более высокого уровня, то следует обратить внимание на SIEM-системы, предназначенные для выявления инцидентов информационной безопасности и выстраивания реакции на них;
• средства борьбы с утечками информации. Можно реализовать комплекс мер, призванных предотвратить утечки на всех уровнях. Можно установить DLP-систему, настроенную блокировать любую попытку вывести конфиденциальную информацию из периметра информационной обороны.

Одним из основных рисков для информационной безопасности предприятия становится отказ от своевременного обновления программного обеспечения. Причин может быть несколько:

• невнимательность системных администраторов;
• ограниченный бюджет;
• длительный период сертификации для ПО, используемого для защиты персональных данных.

Но несвоевременное обновление программ создает лазейки для хакеров, которые могут привести к утечкам информации. Если существуют такие риски, рекомендуется применять сканер безопасности Microsoft Security Analyzer, чтобы определить, какие патчи или обновления не установлены для Windows и какие изменения в конфигурации надо выполнить для обеспечения безопасности.

При проверке подключения устройств необходимо использовать следующие методы:

• при помощи маршрутизатора (контроллера беспроводного доступа) проверить, какие именно устройства подключены к сети;
• для сетей большего размера можно при поиске устройств применять сетевой сканер. Эксперты рекомендуют использовать популярную программу Nmap;
• активировать запись логов всех событий, связанных с подключением устройств к сети.

Выполнение простых рекомендаций позволит создать информационную безопасность предприятия на уровне, обеспечивающем гарантированную систему защиты и отсутствие инцидентов.

21.01.2020