Стратегическая роль совета директоров в управлении киберрисками

от

“Киберриски, это не ИТ-вопрос, это бизнес-вопрос. Роль совета директоров в их управлении, это не просто «контролировать безопасность», а задавать вопросы, от которых зависит стратегия компании и её способность выполнять свои обязательства перед акционерами, клиентами и государством.”

Стратегическая ответственность, а не технический надзор

Первый и самый частый стереотип: совет директоров должен понимать сложные технические детали систем защиты. Это ошибка. Роль совета — на стратегическом уровне обеспечить, чтобы киберриски были встроены в общую систему управления рисками компании и соответствовали её бизнес-целям. Это означает, что они должны задавать вопросы, на которые нет готовых ответов в технических отчётах:

  • Какой максимальный финансовый ущерб мы готовы принять в случае кибератаки? (Допустимая степень риска)
  • Какие ключевые активы (данные, системы, ноу-хау) для нас критичны, и как их защита связана с нашими конкурентными преимуществами?
  • Каковы наши обязательства перед регуляторами (ФСТЭК, ФСБ, Банк России) в части информационной безопасности, и что будет, если мы их не выполним?

Ответы на эти вопросы формируют «киберстратегию» — документ, который определяет приоритеты инвестиций в безопасность, распределение ответственности и границы приемлемого риска.

Три ключевых функции совета в управлении киберрисками

Модель управления киберрисками на уровне совета директоров можно разложить на три основные функции: надзор, обеспечение ресурсами и коммуникация.

Надзор и определение рамок

Совет не занимается оперативкой, но утверждает политики и стандарты. Это включает:

  • Утверждение Политики информационной безопасности (ПИБ) как основного директивного документа.
  • Одобрение решений о классификации информации и присвоении системам уровня защищённости в соответствии с требованиями 152-ФЗ и ФСТЭК.
  • Создание специального комитета по рискам или ИБ, либо закрепление этих вопросов за существующим комитетом по аудиту.

Важный инструмент надзора — регулярные отчёты от СISO (Директора по информационной безопасности) или ответственного руководителя. Эти отчёты должны быть не списком установленных патчей, а понятным бизнесу анализом: текущий уровень риска, эффективность контролей, ключевые инциденты и их влияние.

Выделение ресурсов и бюджетирование

Любая стратегия бесполезна без финансирования. Совет директоров играет ключевую роль в утверждении бюджета на информационную безопасность. Вопросы, которые они должны задавать при этом:

  • Как предложенный бюджет связан с нашими приоритетными рисками? (а не просто «мы всегда тратили 2% от ИТ-бюджета»)
  • Какую отдачу (ROI) мы ожидаем от этих инвестиций? Измерима ли она в снижении вероятности или потенциального ущерба от инцидентов?
  • Достаточен ли бюджет для выполнения требований регуляторов, с которыми мы столкнёмся в следующем году?

Без поддержки совета бюджеты на безопасность часто урезаются в первую очередь как «непроизводительные расходы».

Кризисная коммуникация и управление репутацией

В случае серьёзного киберинцидента (например, утечки данных клиентов) на первый план выходит не техническое восстановление, а управление последствиями. Совет директоров несёт ответственность за стратегию коммуникации с внешним миром: акционерами, регуляторами, клиентами, СМИ.

  • Когда и как сообщать об инциденте?
  • Каков план действий по уведомлению регуляторов (в рамках 152-ФЗ — Роскомнадзор)?
  • Как защитить репутацию компании и минимизировать отток клиентов?

Подготовка к этим сценариям — часть обязанностей совета, которую нельзя делегировать полностью ИТ-подразделению.

Проблемы и барьеры на практике

Несмотря на понимание важности, на практике советы директоров часто сталкиваются с рядом проблем в эффективном управлении киберрисками.

Недостаток компетенций

Многие директора — эксперты в финансах, производстве или маркетинге, но не в цифровых рисках. Результат — они либо полностью полагаются на мнение технических специалистов, либо, наоборот, игнорируют тему как слишком сложную. Решение — либо включать в состав совета директора с опытом в ИБ или технологиях, либо организовыть регулярное обучение для всех членов совета по основам киберугроз и моделям управления рисками.

Отсутствие понятных метрик

ИТ-служба часто отчитывается техническими показателями (число заблокированных атак, покрытие системы мониторинга), которые не говорят совете о реальном бизнес-риске. Нужен перевод на язык бизнеса:

Техническая метрика Бизнес-интерпретация для совета
99.9% uptime критичных систем Риск простоя, который может привести к потере X млн рублей в час.
Задержка в установке критических обновлений — 30 дней. Повышенная подверженность известным уязвимостям, увеличивающая вероятность успешной атаки на Y%.
Охват шифрованием данных клиентов — 40%. Потенциальные штрафы по 152-ФЗ в случае утечки могут составить Z млн рублей.

Разрыв между ИБ и бизнес-процессами

Служба информационной безопасности часто работает изолированно, внедряя контрольные точки, которые мешают скорости бизнес-процессов (например, сложные процедуры доступа к данным для маркетинга). Роль совета — выступать арбитром и требовать от руководителей бизнес-подразделений и CISO нахождения баланса между безопасностью и эффективностью операций.

Практические шаги для совета директоров

Что может сделать совет директоров уже сейчас, чтобы повысить свою эффективность в управлении киберрисками?

  1. Провести независимый аудит киберзащищённости. Не полагаться на внутренние отчёты, а привлечь стороннюю организацию для оценки зрелости системы ИБ и её соответствия не только ФСТЭК, но и бизнес-целям компании.
  2. Утвердить и регулярно пересматривать «Дорожную карту» по ИБ. Это документ с конкретными инициативами, сроками и ответственными, который связывает стратегию с операционным планом.
  3. Внедрить регулярные (ежеквартальные) обзоры киберрисков. В повестку заседаний совета или его профильного комитета должен быть включён отдельный пункт с отчётом CISO, построенным вокруг ключевых показателей риска (KRIs).
  4. Проработать и утвердить План реагирования на инциденты (IRP) на уровне совета, определив роли и полномочия в кризисной ситуации, включая порядок взаимодействия с госорганами.
  5. Требовать отчёт о проведении регулярных учений (кибер-учений) по отработке действий при различных сценариях атак, особенно с участием топ-менеджмента.

Киберриски и регуляторное давление

В российском контексте роль совета директоров дополнительно усиливается из-за растущего регуляторного давления. Требования ФСТЭК, 152-ФЗ, отраслевых стандартов (например, в финансовом секторе) создают для руководства компании не только технические, но и персональные риски.

Совет директоров должен понимать, что формальное выполнение требований «для галочки» не снижает бизнес-риски. Регуляторный аудит может выявить несоответствия, ведущие к штрафам и приостановке деятельности. Более того, в случае масштабного инцидента из-за халатности может быть поставлен вопрос о персональной ответственности руководителей.

грамотное управление киберрисками перестаёт быть опцией, это обязательный элемент корпоративного управления, за который совет директоров несёт прямую ответственность перед всеми заинтересованными сторонами.

Оставьте комментарий