Время прочтения: 4 мин.

Автор руководства выдвигает следующие тезисы: «Организации становятся все более уязвимыми для киберугроз из-за растущей зависимости от компьютеров, сетей, программ и приложений, социальных медиа и данных. Кибербезопасность относится к системам, которые поддерживают достижение целей организации, касающихся эффективности и результативности деятельности, достоверности внутренней и внешней отчетности и соблюдения применимых законов и нормативных актов. Организация, как правило, разрабатывает и внедряет средства контроля кибербезопасности во всей организации с целью защиты целостности, конфиденциальности и доступности информации.»

По мнению создателя руководства, первая линия защиты — это менеджмент, к которым относят системных администраторов и других лиц, отвечающими за защиту активов организации. Они должны нести ответственность и управлять данными, процессами, рисками и средствами контроля.

Ко второй линии защиты относят подразделения, осуществляющие надзор за рисками, средствами контроля и соблюдением требований, которые несут ответственность за наличие и эффективное функционирование процессов и средств контроля первой линии. Эти подразделения могут включать группы, ответственные за обеспечение эффективного управления рисками и мониторинг рисков и угроз в сфере кибербезопасности.

В качестве третьей линии защиты внутренний аудит предоставляет высшему исполнительному руководству и Совету независимые и объективные гарантии в отношении корпоративного управления, управления рисками и контроля. Это включает в себя оценку общей эффективности деятельности первой и второй линий защиты по управлению рисками и угрозами кибербезопасности и их минимизации. В качестве третьей линии защиты внутренний аудит играет важную роль в координации деятельности со второй, в особенности с подразделением кибербезопасности.

Но актуальна ли такая структура и будет ли она эффективна в борьбе с кибератаками?

Как считает институт внутренних аудиторов, преимущество нынешней Модели в том, что она проста, удобна и понятна. Это помогает организациям избежать путаницы, пробелов и дублирования при распределении обязанностей по управлению рисками и контролю. В ней также подчеркивается влияние внешнего аудита и регулирующих органов. Но все-таки, три линии защиты подвергаются критике из-за своего ограниченного характера. Связано это с тем, что в данном руководстве рассмотрена только организационная защита, в то время как полноценная модель подразумевает организационную, техническую и программную защиту информации.

«Как следует из названия, модель подчеркивает оборонительные действия и не учитывает критическую необходимость принятия упреждающего подхода как к возможностям, так и к угрозам. Существующая Модель также предполагает жесткие ограничения и может усилить неэффективность и организационную разобщенность.»

«Три линии защиты» были ценным инструментом контроля и управления рисками на протяжении более двух десятилетий», — сказал президент и генеральный директор IIA Ричард Чемберс. «Изменения, предложенные рабочей группой, представляющей аудиторов-практиков, руководителей по рискам и комплаенс, стейкхолдеров и др., призваны помочь модернизировать и укрепить концепцию для обеспечения ее устойчивой полезности и ценности».

Описанные в руководстве линии защиты с одной стороны просты и понятны, а с другой — слишком сильно обобщены и из-за этого размыты. В руководстве нет четкого плана действий в случае киберугроз, а также не рассмотрены превентивные методы (кроме организационных), которые являются основным направлением защиты.

Также в руководстве описана модель оценки рисков, включающая: корпоративное управление, инвентаризацию информационных активов, стандартные конфигурации безопасности, управление доступом, быстрое реагирование на реализацию угроз и текущий мониторинг. Данный термин — «модель оценки рисков», используемый в статье, подразумевает систему количественных и качественных показателей самой системы, а также вероятностей реализации угроз, что не соотносится с перечисленными пунктами. Возможно авторами имеется в виду «модель организационной защиты от рисков» и либо неправильно применена терминология, либо имеет место неточность перевода с языка оригинала. В любом случае, данная модель требует модернизации в соответствии с инновациями в методах взаимодействия и руководства, а также самих информационных систем компании.

В связи с этим Международный Институт внутренних аудиторов (IIA) объявил, что с 20 июня по 19 сентября 2019 года принимает предложения по внесению изменений в существующую Концепцию «Трех линий защиты» – широко принятую и используемую модель, которая касается вопросов, связанных с организационным управлением рисками и контролем. Свои предложения по обновлению Концепции может высказать внутренний аудитор, поучаствовав в исследовании, доступ к которому открылся 20 июня.

Членам Института внутренних аудиторов перевод Дополнительного руководства доступен на сайте в разделе Личный кабинет. Путь: Личный кабинет → Материалы и информация → Основы профессиональной практики → Практические руководства (Practice Guides). Нижняя таблица (GTAGs).

Свои предложения по внесению изменений в концепцию «Трех линий защиты» можно оставить по ссылке

Давайте обсудим в комментариях, как вы считаете эффективная ли на данный момент концепция «Трех линий защиты» и пора ли внести в нее изменения?