От отчета к диалогу: почему совету директоров нужен язык киберрисков

от

“Управление киберрисками на уровне совета директоров, это не формальность «для регулятора» и не фильтр докладов от ИБ-службы. Это вопрос языка: умения переводить технические индикаторы в стратегические последствия для бизнеса, денег и репутации. Без такого перевода решения в лучшем случае принимаются в вакууме, а в худшем — создают иллюзию безопасности.”

От отчёта к диалогу: зачем совет директоров вовлекается в киберриски

Традиционно взаимодействие между службой информационной безопасности и высшим руководством строится по модели «поставщик-заказчик». ИБ готовит отчёт о состоянии защищённости, перечисляет выполненные работы и выявленные уязвимости, иногда — запрашивает бюджет на новые системы. Совет директоров или его профильный комитет (например, по аудиту и рискам) этот отчёт формально утверждает. Проблема этой модели в том, что она создаёт два параллельных языка: технический (CVSS, SIEM, инциденты) и бизнес-язык (выручка, капитализация, стратегические цели). Между ними — разрыв, который заполняется непониманием или поверхностными интерпретациями.

Вовлечение совета директоров, это не просто получение им информации. Это изменение самой природы коммуникации: от одностороннего информирования к совместному обсуждению того, как именно киберриски могут повлиять на достижение стратегических целей компании. Например, не «обнаружено 15 критических уязвимостей в веб-сервисах», а «существует риск срыва запуска нового цифрового продукта из-за потенциального компрометирования его инфраструктуры, что приведёт к потере планируемой доли рынка в 15% и штрафам за неисполнение контрактов». Вторую формулировку можно обсуждать, взвешивать и принимать осознанные решения по приоритетам инвестиций.

Структура ответственности: совет, комитет, исполнительное руководство

В российских компаниях, особенно тех, что подпадают под требования 152-ФЗ и регуляторики ФСТЭК, распределение ролей часто остаётся неформализованным. Ключевых уровней три:

  • Совет директоров (Наблюдательный совет). Утверждает общую политику в области управления рисками, включая киберриски. Несёт ответственность перед акционерами за стратегическое направление, поэтому должен понимать, какие риски угрожают стратегии. Его задача — задавать правильные вопросы исполнительному руководству, а не погружаться в технические детали.
  • Комитет по рискам (или по аудиту и рискам). Рабочий орган совета, который проводит глубокий анализ. Именно здесь должен происходить основной диалог с руководством службы ИБ и CISO (Директором по информационной безопасности). Комитет изучает регулярные отчёты, оценивает эффективность мер, рекомендует совету приоритеты финансирования и реагирования. В идеале в его составе должен быть член с экспертизой в цифровых технологиях или ИБ.
  • Исполнительное руководство (Генеральный директор, топ-менеджеры). Непосредственно отвечает за оперативное управление рисками, выделение ресурсов и реализацию решений, принятых советом. CISO чаще всего отчитывается именно на этом уровне, но должен иметь возможность напрямую докладывать в комитет по рискам, это обеспечивает независимость оценки.

Размытие границ между этими уровнями — например, когда совет начинает обсуждать выбор конкретного поставщика антивируса — признак дисфункции. Каждый уровень должен заниматься своим кругом вопросов.

Что должно быть в регулярном отчёте для комитета по рискам

Стандартный отчёт о «состоянии ИБ» изобилует метриками, которые мало что говорят бизнесу: количество заблокированных атак, процент установленных обновлений, покрытие средствами защиты. Для комитета по рискам эти данные — лишь сырьё. Отчёт должен быть трансформирован в формат «риск-воздействие-решение».

Ключевые разделы такого отчёта

  • Карта ключевых киберрисков, привязанная к бизнес -процессам. Не список угроз, а таблица, где каждый риск описан через призму бизнес-последствий. Пример:
    Бизнес-процесс / Актив Потенциальная угроза Вероятность (качеств.) Финансовое воздействие (диапазон) Нематериальные потери Текущий статус митигации
    Приём онлайн-tплатежей Компрометация платёжного шлюза Средняя Прямые убытки: 10-50 млн руб. + штрафы ЦБ Потеря доверия клиентов, репутационный ущерб Внедрён WAF, идёт внедрение сегментации. Остаточный риск: средний.
    Хранение ПДн клиентов Утечка базы данных Высокая Штрафы по 152-ФЗ до 300 тыс. руб., иски клиентов Репутационный кризис, отток клиентов Внедрено шифрование. Не завершён аудит подрядчиков. Остаточный риск: высокий.
  • Анализ инцидентов через призму управления. Не технический разбор, а ответы на вопросы: Почему сработавшие контроли не предотвратили инцидент? Была ли реакция адекватной с точки зрения минимизации бизнес-ущерба? Какие системные изменения в процессах или бюджете требуются, чтобы подобное не повторилось?
  • Прогноз на следующий период. Какие изменения во внешней среде (новые регуляторные требования ФСТЭК, активность определённых APT-групп, переход на новые технологии) создадут новые риски для компании? Что нужно начинать готовить уже сейчас?
  • Запрос на решения. Чёткое формулирование альтернатив для комитета. Например: «Для снижения остаточного риска по утечке ПДн с высокого до среднего необходимо выделить 2 млн руб. на аудит трёх ключевых подрядчиков. Альтернатива — принять высокий риск и возможные штрафы». Это переводит дискуссию из плоскости «что делать» в плоскость «что выбрать».

Типичные ошибки в коммуникации с советом директоров

Даже при наличии структурированных отчётов диалог может оставаться неэффективным из-за ряда повторяющихся ошибок.

  • Использование «языка страха». Попытки мотивировать решения, запугивая апокалиптическими сценариями хакерских атак. У совета вырабатывается «иммунитет» к таким посланиям, они воспринимаются как попытка выбить бюджет.
  • Технический жаргон без перевода. Доклады о «внедрении SOAR», «настройке корреляционных правил в SIEM» или «показателях ложных срабатываний». Без пояснения, как это влияет на скорость реагирования и, следовательно, на размер возможного ущерба, информация бесполезна.
  • Отсутствие связи с уже известными совету рисками. Киберриски редко существуют в вакууме. Риск операционной остановки из-за кибератаки напрямую связан с рисками непрерывности бизнеса (BCP), которые совет уже понимает. Риск утечки данных — с репутационными и регуляторными рисками. Показывать эти связи — обязанность CISO.
  • «Зелёные» отчёты. Ситуация, когда все показатели в норме, все проекты выполнены, риски под контролем. Это вызывает закономерное недоверие. Зрелое управление рисками предполагает, что всегда есть что улучшать, всегда есть остаточные риски, которые необходимо мониторить.

Комитет по рискам как драйвер изменений, а не контролёр

Наиболее эффективно комитеты по рискам работают не тогда, когда лишь утверждают представленные планы, а когда активно участвуют в формировании стратегии кибербезопасности. Это может выражаться в следующем:

  • Сценарий-ориентированное планирование. Комитет инициирует регулярные обсуждения не «общих угроз», а конкретных сценариев, критичных для бизнеса: что будет, если основной дата–центр станет недоступен на неделю? Как отреагируют клиенты и партнёры на утечку переписки топ–менеджеров? Проработка таких сценариев заставляет думать не о технологиях, а о бизнес-последствиях и готовности к ним.
  • Запрос сравнения с лучшими практиками. Не с отраслевыми «средними», а с компаниями, признанными лидерами в управлении киберрисками. Какова структура их затрат? Как построена у них система быстрого принятия решений при инциденте? Такой бенчмаркинг поднимает планку.
  • Оценка эффективности инвестиций (ROI) в ИБ. Вместо вопроса «сколько нужно?» — вопрос «на что мы потратили прошлый бюджет и какой измеримый эффект это дало?». Это требует от ИБ-службы перехода к метрикам эффективности, а не активности.

Регуляторный контекст: 152.

Требования российского законодательства, в частности 152-ФЗ «О персональных данных» и приказы ФСТЭК, задают обязательный минимум защитных мер. Однако их формальное выполнение не означает, что компания реально управляет киберрисками на стратегическом уровне. Опасная ловушка — когда вся деятельность ИБ-службы и, соответственно, вся отчётность совету сводится к «выполнению требований ФСТЭК». Это создаёт иллюзию защищённости и смещает фокус с управления рисками на соответствие чек-листам.

Задача совета и комитета — видеть за рамками регуляторного минимума. Вопросы, которые стоит задавать: «Выполнив все требования ФСТЭК для защиты ПДн, насколько мы защищены от атаки, целью которой будет не кража данных, а вывод из строя нашего производственного контура?», «Как новые облачные сервисы, которые мы внедряем для цифровизации, меняют нашу риск:карту, даже если они формально соответствуют 152-ФЗ?». Регуляторика, это база, а не потолок.

Практические шаги для налаживания работы

Если взаимодействие с советом директоров и комитетом по рискам сегодня отсутствует или формально, начинать нужно не с гигантских отчётов, а с постепенных шагов.

  1. Определить ответственного. Кто из топ-менеджеров (чаще всего — CISO или CIO) будет ключевым докладчиком перед комитетом? У этого человека должен быть доступ ко всей информации об ИБ-рисках и навык её бизнес-презентации.
  2. Создать базовую «карту киберрисков». Первый документ для обсуждения — не технический, а бизнес-ориентированный. Даже если в нём будет всего 5-7 ключевых рисков, сгруппированных по основным активам компании (финансовые потоки, ПДн, интеллектуальная собственность, критические производственные системы).
  3. Провести первую вводную сессию. Её цель — не отчитаться, а обучить. Объяснить комитету базовые понятия, показать, как кибератаки влияют на компании в той же отрасли, обозначить ключевые зависимости бизнеса от ИТ.
  4. Внедрить регулярный цикл отчётности. Начать с ежеквартальных кратких обзоров (32 страницы) по утверждённому формату «риск-воздействие-статус». Важно сохранять формат, чтобы комитет мог видеть динамику.
  5. Включить киберриски в общую систему управления рисками компании (ERM). Это институционализирует тему. Риски из «карты киберрисков» должны попадать в общий реестр рисков компании с единой системой оценки и приоритизации.

Эффективное управление киберрисками на уровне совета директоров, это не дополнительная бюрократическая нагрузка. Это механизм, который заставляет бизнес и ИБ-службу говорить на одном языке о реальных угрозах для создания стоимости. Без такого механизма инвестиции в безопасность остаются либо слепой статьёй расходов, либо реакцией на уже случившуюся катастрофу.

Оставьте комментарий