CC BY
23Scientific Journal Impact Factor (SJIF 2022=4.63) Passport: http://sjifactor.com/passport.php?id=22230
РОЛЬ, ОБЯЗАННОСТИ И ОТВЕТСТВЕННОСТЬ СОВЕТА ДИРЕКТОРОВ
И ПЕРСОНАЛОВ КОМПАНИИ
Саид Саидахрарович Гулямов Аскар Султонали угли Абдурахимов
Доктор юридических наук, профессор Студент 4-курса Ташкентского
государственного юридического университета
АННОТАЦИЯ
В настоящей статье рассматриваются актуальные вопросы частных компаний, возникающих вследствие действий и иных случаев, связанных с деятельностью Совета директоров и других персоналов в процессе обеспечения защиты кибербезопасности, включая этические проблемы членов Совета директоров и всех сотрудников компании.
Основная цель данной статьи заключается в проведении всестороннего исследования и изучения по возникающим проблемам этики по соблюдению требований, связанных с защитой кибербезопасности компании с учетом ответственности членов Совета директоров и остальных технических персоналов отдела кибербезопасности, в результате которых предложить свои рекомендации в целях устранения проблем и вопросов по кибербезопасности.
Ключевые слова: кибербезопасность, Совет директоров, информационная безопасность, специалист.
Неспособность управленческих системы, советов директоров, а также менеджеров огромных, средних и малых компаний обеспечить кибербезопасность по защите информационных данных может обходиться дорого, свидетельством которому может послужить предотвратимая и плохо обработанная брешь в Equifax, выделившей прямые затраты в размере 1,5 млрд долларов к тому времени для окончательного завершения процесса устранения киберугроз (SeekingAlpha, 29 сентября 2017 г.). Кроме того, как отмечается в статье от 10.01.2018 The Wall Street Journal, «комитеты совета директоров, занимающиеся рисками и стратегией в области информационных технологий, все еще редки. Только четыре компании из списка Fortune 100 управляют им». Более того, только 37% корпоративных директоров «чувствуют уверенность в том, что компания, которую они обслуживают, должным образом защищена от кибератак»1. В целях установления
1 https://www.wsi.com/articles/boards-seek-bigger-role-in-thwarting-hackers-1515596400
Scientific Journal Impact Factor (SJIF 2022=4.63) Passport: http://sjifactor.com/passport.php?id=22230
эффективного менеджмента в системе управления кибербезопасности раздел 5
л
стандарта обеспечения кибербезопасности ISO/IEC 27001 определяет 18 требований к высшему руководству относительно в части разработки организационной системы управления информационной безопасностью, включая разработку политики, распределение ресурсов, постоянное улучшение, ведение документации, отчетность и другое. В добавок стоит отметить, что Ассоциация национальных корпоративных директоров США (National Association of Corporate
"5
Directors) предлагает 16-часовой курс сертификации кибер-рисков , предназначенных для директоров, который также играет немаловажную роль в совершенствовании знаний и навыков управленческой системы компании по кибербезопасности.
Согласно утверждениям специалиста по информационной безопасности Марианна Крисос, на практике обычно специалисты по кибербезопасности в процессе работы в качестве отдельного сотрудника единой системы компании отвечают по следующим вопросам:
• Предоставление VPN-доступа удаленным работникам
• Мониторинг вредоносных программ
• Диагностика уязвимости данных
• Рекомендации по аппаратному и программному обеспечению для повышения безопасности
• Регулирование использования данных, предоставление доступа к определенным файлам только определенным сотрудникам
• Проектирование брандмауэров
• Запуск отчетов об использовании данных
• Обучение персонала актуальным вопросам безопасности
• Помощь HR в обучении других отделов безопасному обращению с данными.
Конкретные должностные обязанности специалиста по кибербезопасности будут зависеть от компании, в которой он работает, но эти обязанности часто
4
рассматриваются в роли .
В целях определения и установления позиции, функций и полномочий специалистов кибербезопасности стоит обратить внимание на зарубежный опыт на примере системы киберпространства Соединенных Штатов Америки. На
2 Подробно см. https://www.iso.org/obp/ui/#iso:std:iso-iec:27001:ed-2:v1:en
3 См. также https://www.nacdonHne.org/events/detail.cfm7ItemNumbeF37092
4 https://www.techfunnel.com/information-technology/role-of-a-cYber-securitv-specialist-in-a-growing-business/
Scientific Journal Impact Factor (SJIF 2022=4.63) Passport: http://sjifactor.com/passport.php?id=22230
основе опубликованного материала Лизы Доннан5, специалиста кибербезопасности, стоит отметить выделить 8 основных ролей в области кибербезопасности и их наиболее важных обязанностей. Следовательно, позиции специалистов по кибербезопасности в стандартном виде определяются следующим образом:
• Исполнительное руководство;
• Руководящий комитет;
• Аудитор;
• Владелец данных;
• Хранитель данных;
• Сетевой администратор;
• Администратор безопасности;
• Инженер.
1. Исполнительное руководство
Представители исполнительного руководства компании в плане обеспечения защиты кибербезопасности выполняют функцию принятия итогового решения, относящегося к разработке и принятию стратегии кибербезопасности компании. Также члены руководства просматривают информационные данные и отчеты о состоянии безопасности, анализируют потенциальные риски кибербезопасности, включая принятие решений, определяющих инициативы и бюджетирование кибербезопасности.
2. Руководящий комитет
Руководящий комитет состоит из специалистов из разных отделов, на основе которого члены комитета осуществляют анализ политики, процедуры кибербезопасности и их влияние, а также изучение методов повышения уровня безопасности компании.
3. Аудитор
Сторонний консультант или регулятор проверяет стратегию кибербезопасности. Этот профессионал не связан напрямую с повседневными операциями бизнеса. Это позволяет им дать объективное представление о стратегии кибербезопасности компании и о том, как ее можно улучшить6.
4. Владелец данных
Владелец данных определяет порядок классификации, управления и защищенности информационных данных в средствах мониторинга
5 https://option3.com/cYbersecuritv-roles-and-responsibilities/
6 https://option3.com/cvbersecuritv-roles-and-responsibilities/
Scientific Journal Impact Factor (SJIF 2022=4.63) Passport: http://sjifactor.com/passport.php?id=22230
кибербезопасности компании, являющиеся существенным фактором для защиты кибербезопасности.
5. Хранитель данных
Хранитель данных отвечает за хранение и транспортировку информации. Хранитель управляет технической средой и структурой базы данных, связанной с данными, обеспечивая безопасность и доступность этой информации для авторизованных пользователей.
6. Сетевой администратор
Сетевой администратор обеспечивает доступность ресурсов для заинтересованных сторон в бизнесе и управляет контролем доступа к этим ресурсам.
7. Администратор безопасности
Администраторы безопасности проверяют состояние безопасности бизнеса и его способность защищаться от киберугроз. Обычно они обеспечивают контроль доступа к безопасности, но не должны изменять этот контроль.
8. Инженер
Должность инженера в сфере кибербезопасности подразделяется на три типа, которые выполняют функции по внесению вклада на разработку планирования кибербезопасности компании:
• сетевая безопасность
• безопасность программного обеспечения
• устройство безопасности.
Вместе эти инженеры создают безопасное программное обеспечение и ИТ-среды, которые отпугивают киберпреступников. Распределение этих обязанностей по разным ролям гарантирует наличие нужного персонала, который знает, что делать в случае кибератаки.
В части ответственности Совета директоров или другого вида руководства компании следует подчеркивать, что в случае несвоевременного внедрения контролируемых механизмов, направленных на защиту кибербезопасности или не принятия соответствующих мер по устранению проблем кибербезопасности, другие члены Совета либо акционеры/учредители компании вправе предъявлять иск о привлечении директоров к личной ответственности перед правосудием. Даже несмотря на совершенство киберпространства в нынешнее время, не разрешаемые споры, которые возникают внутри системы компании в результате нарушения правил кибербезопасности, руководство может обратиться в судебные или иные правоохранительные органы для разрешения. Например, решение Верховного суда Делавэра в июне 2019 года по делу Маршан против Барнхилла,
Scientific Journal Impact Factor (SJIF 2022=4.63) Passport: http://sjifactor.com/passport.php?id=2223Q
7
212 A.3d 805 (Del. 2019) , иллюстрирует важность разумного мониторинга советов директоров, согласно которому принципы Маршана напрямую применяются к рискам кибербезопасности. В случае если компания несет значительные убытки в результате утечки данных и выясняется тем, что «директора не разработали системы на уровне совета директоров для надзора и мониторинга организационных рисков или систематически не проверяли эти системы на наличие красных флажков или киберугроз или не проводили разумных расследований, они могут столкнуться с личной ответственностью» .
Не отходя от порядка ответственности и обязанностей Совета директоров компании, следует также обратить внимание на существенно важную значимость защиты кибербезопасности, так как в случае выявления определенной киберугрозы полноценное 100% обеспечение защиты со стороны специалистов IT- отдела невозможно. Потому что оказание содействия со стороны Совета директоров для защиты кибербезопасности играет огромную роль, связанная с рисками финансового ущерба, в случае наступления которых по вине Совета директоров, компания начинает бороться за сохранение и выживание и в этой части киберустойчивость превратилась важным элементом ответственности Совета директоров компании. На основании справочника9 по надзору за киберрисками Национальной Ассоциации Корпоративных Директоров хотелось бы выделить 5 основных принципов, в соответствии с которыми корпоративные управления или, простыми словами, советы директоров должны учитывать деятельность на основе стремления своего надзора за киберрисками, предусмотренные в виде нижеследующих положений:
S Директора должны понимать и подходить к кибербезопасности как к проблеме управления рисками в масштабах всего предприятия, а не только к проблеме ИТ.
S Директора должны понимать правовые и нормативные последствия киберрисков, поскольку они связаны с конкретными обстоятельствами их компании.
S Правления должны иметь надлежащий доступ к экспертным знаниям в области кибербезопасности, а обсуждениям управления киберрисками должно уделяться регулярное и достаточное время в повестке дня заседаний Правления.
7 Подробно см. https://law.iustia.com/cases/delaware/supreme-court/2019/533-2018.html
8 https://businesslawtodaY.org/2020/02/mitigating-business-risk-board-responsibilities-CYbersecuritv/
9 Подробно см. https://www.nacdonline.org/insights/publications.cfm?ItemNumber=67298
Scientific Journal Impact Factor (SJIF 2022=4.63) Passport: http://sjifactor.com/passport.php?id=22230
S Директора должны рассчитывать на то, что руководство разработает общеорганизационную систему управления рисками с адекватным персоналом и бюджетом.
S Обсуждение киберрисков с руководством должно включать определение рисков, которых следует избегать, принимать, смягчать или передавать посредством страхования, а также конкретные планы, связанные с каждым подходом10.
Ненадлежащее или безответственное отношение к своим обязанностям со стороны членов Совета директоров может привести даже к увольнению с рабочего поста, которое может быть подтверждено на основе масштабной утечки данных компании Target в 2013 году11, в результате которой генеральный директор, президент и председатель Грегг Штайнхафель подал в отставку на добровольной основе, так как в результате данного киберпреступления была совершена атака утечки данных кредитных карт 40 миллионов покупателей и 70 миллионов клиентов, включая их контактные данные и адреса. Другим аналогичным случаем является освобождение от поста генерального директора компании Equifax Ричарда Смита из-за отрицательного реагирования на массовый взлом данных около 143 миллионов американцев.
Рассмотрев важность ответственности Совета Директоров по защите кибербезопасности информационных данных, следует перейти к раскрытию функциональных обязанностей персоналов и специалистов по кибербезопасности с технической точки зрения. В первую очередь, следует выделить техническую позицию менеджера инцидентов киберугроз:
■ «Планирование и управление поддержкой инструментов и процессов управления инцидентами;
■ Координация интерфейсов между управлением инцидентами и другими процессами управления услугами;
■ Обеспечение эффективности и результативности процесса управления инцидентами;
■ Предоставление управленческой информации;
■Управление работой сотрудников поддержки инцидентов (первой и второй линии);
■ Мониторинг эффективности управления инцидентами и выработка рекомендаций по улучшению;
10 https://www.tvlercYbersecurity.com/blog/cYbersecurity-roles-and-responsibilities-for-the-board-of-directors
11 https://www.forbes.com/sites/clareoconnor/2014/05/05/target-ceo-gregg-steinhafel-resigns-in-wake-of-data-breach-fallout/? sh=13cd3a985dfd
Scientific Journal Impact Factor (SJIF 2022=4.63) Passport: http://sjifactor.com/passport.php?id=2223Q
■ Разработка и поддержка систем управления инцидентами; ■Управление крупными инцидентами;
■ Разработка и поддержка процессов и процедур управления инцидентами»1 Иллюстрация системы управления инцидентами кибербезопасности со
стороны менеджмента инцидентов приводится ниже в виде схемы:
12
Detection
13
Как только обнаружится инцидент определенной киберугрозы, изучение причины данного инцидента направляется в адрес менеджера проблем в целях координации расследования, а также определения обходных способов и последующих действий для принятия финального решения. Задачами и обязанностями менеджера проблем являются нижеследующие:
-I- Просмотр данных об инцидентах для анализа назначенных проблем;
-I- Анализ проблем для правильной расстановки приоритетов и классификации;
-I- Исследование назначенных проблем до разрешения или основной причины;
Координация действий других по мере необходимости для помощи в анализе и действиях по устранению проблем и известных ошибок;
Поднятие запросов для комментариев в целях решения проблем;
12 https://www.bmc.com/blogs/itil-itsm-roles-responsibilities/
13 https://www.bmc.com/blogs/incident-management/
Scientific Journal Impact Factor (SJIF 2022=4.63) Passport: http://sjifactor.com/passport.php?id=22230
-I- Мониторинг прогресса в устранении известных ошибок и консультирование персонала по управлению инцидентами в отношении наилучшего доступного обходного пути для инцидентов14.
Немаловажную роль в обеспечении кибербезопасности играет так называемый архитектор предприятия, в лице которого выступает IT-дизайнер/архитектор, ответственный за общую координацию и проектирование требуемой технологии, состоящие из нижеперечисленных:
* Составление карты процессов всех процессов и их высокоуровневых интерфейсов для обеспечения интеграции, согласованности и непрерывности всех процессов.
* Проектирование безопасных и отказоустойчивых технологических архитектур, отвечающих всем текущим и ожидаемым будущим ИТ-требованиям организации.
* Обеспечение того, чтобы структура всех процессов, ролей, обязанностей и документации регулярно пересматривалась и проверялась на предмет эффективности, результативности и соответствия
* Разработка методов измерения и показателей для поддержки постоянного улучшения предоставления услуг и всех вспомогательных процессов.
* Создание и обновление всей документации по ИТ-дизайну, архитектуре, политикам и спецификациям.
* Создание и поддержка всех аспектов ИТ-спецификации, включая общие проекты, архитектуры, топологии и конфигурации инфраструктуры, среды, приложений и данных, а также проектную документацию всех ИТ-систем15.
Среди многих персоналов IT-отдела в отдельном виде следует отметить менеджера информационной безопасности, так как большая ответственность возлагается именно на менеджера информационной безопасности в связи с имеющимися вокруг киберугрозами по утечке данных. Учитывая данные обстоятельства, менеджер информационной безопасности отвечает по следующим образом:
S Разработка и поддержка политики информационной безопасности и вспомогательного набора конкретных политик, обеспечивающих надлежащее разрешение, приверженность и одобрение со стороны старшего руководства ИТ и бизнеса;
https://www.bmc.com/blogs/itil-itsm-roles-responsibilities/
1 https://www.bmc.com/blogs/itil-itsm-roles-responsibilities/
Scientific Journal Impact Factor (SJIF 2022=4.63) Passport: http://sjifactor.com/passport.php?id=2223Q
S Доведение и обнародование политики информационной безопасности для всех соответствующих сторон;
S Обеспечение соблюдения политики информационной безопасности;
S Идентификация и классификация ИТ и информационных активов (элементов конфигурации), а также требуемый уровень контроля и защиты;
S Помощь в анализе влияния на бизнес;
S Выполнение оценки рисков безопасности и управления рисками в сочетании с управлением доступностью и непрерывностью ИТ-услуг;
S Проектирование средств безопасности и разработка планов безопасности;
S Разработка и документирование процедур эксплуатации и поддержания средств контроля безопасности;
S Мониторинг и управление всеми нарушениями безопасности и обработка инцидентов безопасности, принятие корректирующих мер для предотвращения повторения, где это возможно;
S Отчетность, анализ и уменьшение влияния и объемов всех инцидентов безопасности в сочетании с управлением проблемами;
S Содействие образованию и осведомленности о безопасности;
S Поддержание набора мер безопасности и документации, а также регулярный просмотр и аудит всех мер и процедур безопасности.
В добавок хотелось бы демонстрировать изображение единой структуры специалистов кибербезопасности, состоящих из исполнительного менеджмента, специалистов информационной безопасности, владельцев данных, пользователей, аудиторов информационной безопасности, хранителей данных отвечающих за информационную безопасность.
Исполнительное руководство компании является ответственным лицом по всем вопросам информационной безопасности, в то время как профессионалы информационной безопасности отвечают за ведением политики безопасности информационных данных компании. Нельзя также забыть про владельца данных, совершаемые действия со стороны которого заключаются в нижеследующем:
■ «Обеспечение надлежащей безопасности — в соответствии с политикой безопасности организации — в их информационных системах.
■ Определение соответствующих уровней чувствительности или классификации
Scientific Journal Impact Factor (SJIF 2022=4.63) Passport: http://sjifactor.com/passport.php?id=22230
■
Определение прав доступа»16.
Порядок правильного и устойчивого хранения базы данных осуществляется специально так называемыми «хранителями данных», в список функций которых также относится сетевое администрирование.
Другие сотрудники компании, а также все лица, пользующиеся информационными ресурсами компании, обязаны нести ответственность за использование ресурсов и соблюдение требований на основе установленных принципов доступности, целостности и конфиденциальности, включая ответственность за соблюдение правил политики безопасности.
Особым статусом в отделе кибербезопасности информационных данных компании обладают 1Т-аудиторы, которые в свою очередь является ответственными за следующие задачи и обязанности:
^ Предоставление руководству независимой гарантии соответствия целей безопасности
^ Определение того, соответствуют ли политика безопасности, стандарты, базовые уровни, процедуры и рекомендации и эффективны ли они для достижения целей безопасности организации.
^ Определение того, достигаются ли цели и средства контроля17.
Роль персоналов, ответственных за кибербезопасность, не только основывается на выполнении вышеуказанных задач, но и также связывается с организационными моментами исполнения своих обязанностей по защите информационных данных в соответствии с нижеперечисленными функциями:
1. Контроль доступа;
2. Производительной приложений и сети;
3. Управление исправлениями;
4. Управление уязвимостями;
5. Обнаружение конечных точек и ответ;
6. Планирование непрерывности бизнеса;
7. Резервное копирование и аварийное восстановление;
1 Я
8. Обучение кибербезопасности .
В заключении следует отметить на основе вышеотмеченных полномочий и позиций каждого персонала компании, ответственного за киберустойчивость, определение ролей и обязанностей каждого отдельного специалиста по кибербезопасности (независимо от того, что связано с информационной
16 https://linfordco.com/blog/information-security-roles-responsibilities/
17 https://linfordco.com/blog/information-security-roles-responsibilities/
18 https://option3.com/cybersecurity-roles-and-responsibilities/
Scientific Journal Impact Factor (SJIF 2022=4.63) Passport: http://sjifactor.com/passport.php?id=2223Q
безопасностью) и закрепление этических нормах компании по соблюдению требований политики кибербезопасности в установленном порядке являются первостепенной задачей руководства компании. К тому же, Совет директоров обязан принять на рассмотрение и обсуждение данный вопрос, так как любая финансовая потеря или снижение уровня производительности своего бизнеса может напрямую быть связано с кибербезопасностью, как это случилось в компаниях Target и Equifax, в результате которого любой ответственный либо виновный в нарушении правил кибербезопасности может быть уволен немедленно. В связи с этим руководству компаний крайне необходимо определить функции и обязанности, включая ответственность, всех персоналов IT-отдела компании, а также внести все эти правила в единый стандарт Этических норм по соблюдению технических правил кибербезопасности.
Список использованных электронных ресурсов:
1. https://www.wsj.com/articles
2. https://www.iso.org
3. https://www.nacdonline.org
4. https: //www.techfunnel .com
5. http s://option3.com
6. https://law.justia.com
7. https://businesslawtodav.org
8. https://www.tYlercvbersecuritY.com
9. https://www.forbes.com
10. https: //www.bmc.com
11. https://linfordco.com
