Риск-менеджмент

Итак, чтобы обеспечить надежную защиту информации, необходимо провести ряд организационных и технических мероприятий, в том числе оценку информационной системы.
Для этого проводится проверка имеющихся элементов защиты информации и внедрение недостающих. Информационные ресурсы следует классифицировать по типам, уровню секретности, местонахождению, форме представления данных и конкретным ответственным лицам.
Одновременно должна быть разработана политика ИБ (этот документ определяет цели в области ИБ, а также причины, по которым ИБ важна для организации).
В рамках этой работы составляются должностные инструкции для IT-персонала, обслуживающего информационную систему, с указанием ответственности за нарушения.
К нормативным документам по ИБ, за выполнение которых отвечают все сотрудники компании, относятся:
соглашение о конфиденциальности;
инструкция пользователя компьютерной сети, правила работы с паролями, внешними файлами и т.д.;
положение о правах доступа к информационным ресурсам;
положение об архивировании и восстановлении данных;
порядок действий при возникновении нарушений правил.
Регламенты ИБ должны быть доведены до сведения ответственных сотрудников.

В идеале меры по обеспечению ИБ должны опережать развитие угроз. Поэтому в стратегии управления безопасностью компании следует учесть необходимость повышения качества СУИБ и запланировать для этих целей соответствующие ресурсы.

«В подавляющем большинстве российских компаний система управления рисками ИБ находится в зачаточном состоянии. Перечислим признаки такой ситуации.
Нет четкой определенной политики, методологии и процедуры управления рисками ИБ. Отсутствует реестр информационных рисков, на котором основаны декларация о применимости механизмов контроля и план обработки рисков. Как следствие, внутренние проверки ИБ проводятся хаотично и бессистемно, а выдаваемые рекомендации субъективны, фрагментарны и не имеют достаточного экономического обоснования. При этом вполне могут быть обнаружены как технические уязвимости, так и организационные недостатки в работе СУИБ предприятия. Однако отдельные и наиболее критичные информационные системы и бизнес-процессы могут полностью выпасть из поля зрения. А при таком подходе подсчитать возврат инвестиций в реализацию механизмов ИБ, оценить остаточные риски, определить уровень приемлемого риска и правильно обозначить приоритеты в сфере обеспечения ИБ не представляется возможным.

Международная организация по стандартизации (ISO) разработала ряд стандартов по внедрению СУИБ.
Стандарт ISO 17799 предназначен для всех организаций вне зависимости от сферы деятельности.
Стандарт ISO 27001 регламентирует проведение официальной сертификации СУИБ и описывает, в частности, следующие аспекты:
политика безопасности;
пользователи информационной системы;
физическая безопасность;
управление коммуникациями и процессами;
контроль доступа;
приобретение, разработка и сопровождение информационных систем.

«Можно назвать следующие общие меры для защиты информации:
управленческие, предполагающие обеспечение правильной организации, взаимодействия и планирования подразделений компании для решения задач в области ИБ;
операционные, направленные на реализацию функций обеспечения безопасности, выполняемых сотрудниками компании.

Выбор конкретных организационных или программно-технических мер защиты зависит от результатов оценки рисков ИБ.

Состав программно-технических мер защиты компании во многом зависит от специфики используемых информационных систем и тех задач, которые необходимо решать.

Вместе с тем на сегодняшний день существует несколько ключевых подсистем, которые должны входить в состав комплекса защиты информации в компании:
подсистема выявления компьютерных вирусов;
подсистема обнаружения несанкционированных воздействий злоумышленников на сеть;
подсистема анализа уязвимостей, позволяющих осуществить информационные атаки;
подсистема персонального и межсетевого экранирования для блокирования опасных пакетов данных;
подсистема контроля целостности для выявления последствий информационных атак;
подсистема выявления спама;
подсистема криптографической защиты информации (обеспечивает конфиденциальность и целостность передаваемых данных);
подсистема защиты от угроз, связанных с утечкой конфиденциальных данных;
подсистема мониторинга безопасности (выполняет функции централизованного сбора и анализа информации о событиях, связанных с угрозами)».

«В соответствии с применяемыми сегодня стандартами ИБ - как западными, например, ISO 17799 и 27001, так и российскими, скажем, СТО БР ИББС 1.0-2006 - СУИБ строится на основе управления рисками. Но, не имея представления о ценности данных, которые могут быть утрачены, информационными рисками управлять невозможно. Однако иногда даже ключевые пользователи информационной системы затрудняются с оценкой ее значимости для компании.

Зачастую отчет, раскрывающий текущее состояние информационной системы и отражающий риски, которым она подвержена, может состоять из нескольких десятков или даже сотен страниц. При этом количество идентифицированных информационных рисков на крупном предприятии достигает иногда нескольких тысяч».

«Оценку IT-безопасности необходимо делать, обладая полным представлением обо всех аспектах функционирования информационных систем предприятия. А это означает, что начинать надо с IT-аудита, то есть сбора и структуризации информации обо всех имеющихся компьютерных ресурсах, используемом программном обеспечении и его конфигурации. Также необходимо классифицировать сведения по степени важности (или по стоимости потери/ разглашения), определить системы и узлы, задействованные в создании, хранении и модификации информации, а также соответствующие документопотоки.

Информационная безопасность, пожалуй, одна из наиболее стандартизуемых сфер как с управленческой, так и с технологической точек зрения. Причем в последнее время наблюдается тенденция к унификации стандартов на международном уровне.

«Из российских нормативно-правовых документов по ИБ я бы обратил внимание на Федеральные законы «Об информации, информационных технологиях и о защите информации», «О персональных данных», «О коммерческой тайне». Также существуют государственные и отраслевые стандарты (например, стандарт Банка России СТО БР ИББС 1.0) и другие специализированные документы, такие как требования ФСБ РФ и ФСТЭК (Федеральной службы по техническому и экспортному контролю)».

«Существует большое количество современных стандартов в области ИБ, разработанных международными организациями, - институтами, форумами и ассоциациями. Практически по каждому стандарту имеется богатый опыт применения, опробованные на практике руководства и методологии внедрения, а также интернет-ресурсы. Можно даже сказать, что стандартизация в данной области развивается быстрее, чем где бы то ни было. Постепенно современные стандарты будут адаптированы и для России. Определенное движение в этом направлении есть не только со стороны Банка России, но также со стороны ФСТЭК, ФАТРМ и других ведомств. Одной из приоритетных является задача скорейшей адаптации международных стандартов для русскоязычного сообщества».Где утечка?

Информационная безопасность: дань моде или жизненная необходимость

КАКОЙ УЩЕРБ БУДЕТ НАНЕСЕН ВАШЕМУ БИЗНЕСУ В СЛУЧАЕ УТЕЧКИ ИНФОРМАЦИИ? МОГУТ ЛИ МОШЕННИКИ ПОЛУЧИТЬ ДОСТУП К ВАШИМ СЧЕТАМ? СКОЛЬКО КЛИЕНТОВ ВЫ ПОТЕРЯЕТЕ, ЕСЛИ СПАМ И ВИРУСЫ ВЫВЕДУТ ИЗ СТРОЯ ИНФОРМАЦИОННУЮ СИСТЕМУ? НА ЭТИ И ДРУГИЕ ВОПРОСЫ ПОПЫТАЛИСЬ ОТВЕТИТЬ ЭКСПЕРТЫ В ОБЛАСТИ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ, СОБРАВШИЕСЯ ЗА КРУГЛЫМ СТОЛОМ В РЕДАКЦИИ ЖУРНАЛА RM.

Приходится признать: несмотря на компьютеризацию практически всех бизнес-процессов на предприятии, не многие владельцы и топ-менеджеры уделяют должное внимание вопросу обеспечения информационной безопасности (ИБ). Интеллектуальная собственность, коммерческие и промышленные секреты, персональные данные клиентов – все это регулярно становится объектом хакерских атак. Нельзя исключать и риски возникновения программных сбоев, недостаточную квалификацию пользователей программного обеспечения, злой умысел сотрудников компании и т.д. Минимизировать последствия подобных событий призвана система управления информационной безопасностью (СУИБ).

Как вы относитесь к тому, чтобы риск-менеджмент внедрялся в частном секторе под давлением или c помощью государства?

Как налогоплательщик, я, разумеется, против того, чтобы за государственный счет спасали моих конкурентов, которые не занимаются управлением рисками. Пусть выживает сильнейший. Но для стабилизации экономики Казахстана необходимо, чтобы компании уделяли внимание управлению рисками. Наши предприниматели увлекаются отдельными направлениями бизнеса без учета рыночной ситуации: то дружно открывали аптеки, теперь массово строят цементные заводы. Через некоторое время большая часть этих предприятий прогорает. А ведь организовывались они с привлечением заемных средств…

Страховая компания «Евразия» предлагает клиентам услуги по управлению рисками?

Да, но пока зарабатываем мы все же на том, что продаем страховые полисы. Около 60–70% объема наших доходов приносит перестрахование компаний из более 45 стран, в том числе из России, Украины, Польши и Южной Кореи, остальные 30–40% доходов – страхование. И не больше 1% – риск-менеджмент. Мы стараемся популяризировать передовую практику управления рисками в Казахстане. Для этого проводим ежегодную конференцию по риск-менеджменту, куда приглашаем специалистов из России, Европы. Консультируем казахские компании по управлению рисками. Не скрою, что это часть стратегии продвижения компании: клиенты, которые бесплатно получают консультации по управлению рисками, покупают у нас полисы по имуществу, ответственности работодателя.

ВСЛЕД ЗА ОСВОЕНИЕМ ПЕРЕДОВЫХ ФИНАНСОВЫХ ТЕХНОЛОГИЙ КАЗАХСКИЙ БИЗНЕС ПРИСТУПИЛ К ВНЕДРЕНИЮ РИСК-МЕНЕДЖМЕНТА. ОБ УПРАВЛЕНИИ РИСКАМИ В КАЗАХСТАНЕ ЖУРНАЛУ RM РАССКАЗАЛ БОРИС УМАНОВ, ПРЕДСЕДАТЕЛЬ ПРАВЛЕНИЯ СК «ЕВРАЗИЯ» – ЛИДЕРА СТРАХОВОГО РЫНКА РЕСПУБЛИКИ.

Насколько широко в Казахстане применяется риск-менеджмент?

Пока это направление внедрено только в первой пятерке банков и в крупнейших страховых компаниях и пенсионных фондах. Что касается реального сектора, то лишь три или четыре ведущих национальных холдинга, таких как «Казатомпром», «КазМунайГаз», приступили к созданию РМ.

Что побуждает казахские компании к созданию систем риск-менеджмента?
Прежде всего государство. У нашей страны очень большие долги. Я имею в виду частные компании и частный финансовый сектор. В последнем отчете МВФ Казахстан фигурирует как страна, представляющая опасность для стабильности мировой финансовой системы.

Типичные случаи недобросовестного поведения:
голосование против одобрения сделки, если независимая экспертиза признала ее выгодной для компании (либо срыв голосования);
одобрение сделки, проводимой без открытого конкурса (в случаях, когда такой конкурс обязателен по нормам законодательства или внутренним документам компании);
использование в своих интересах (интересах аффилированных лиц) преимуществ компании в ущерб ее интересам;
действия, направленные на усиление позиций конкурентов компании;
растрата средств компании;
нарушение законодательства и, как следствие, привлечение общества к судебной ответственности;
преднамеренное банкротство по вине членов совета директоров;
недостоверность опубликованной отчетности;
разглашение конфиденциальной информации.

Сегодня отечественная практика такова, что критерии добросовестности членов совета директоров находятся на усмотрении суда;
основания и объем ответственности.

Проекта изменений в Закон об акционерных обществах, содержащего поправки к положениям об ответственности членов совета директоров, пока нет. Однако открытые обсуждения позволяют проследить следующие тенденции, которые могут быть отражены в законодательстве в ближайшее время.

Порядок избрания совета директоров
Для повышения ответственности членов СД за стратегические решения компании неоднократно предлагалось продлить срок, на который они избираются, и ввести механизм ротации, при котором состав СД обновлялся бы каждые два-три года, а не в течение одного. Этот метод часто рекомендуют как хороший инструмент борьбы с рейдерством. Можно также закрепить место в совете директоров за акционером с определенным пакетом акций, а не за избранным лицом (такой путь предпочла Украина). В подобной ситуации только директора от группы миноритариев смогут считаться персонально ответственными и независимыми.

Сделка с заинтересованностью возникает тогда, когда в ней на стороне контрагента участвуют лица, признаваемые ст. 81 Федерального закона от 26.12.95 № 208-ФЗ «Об акционерных обществах» заинтересованными по отношению к акционерному обществу. Это члены совета директоров, лица, занимающие должности в иных органах управления акционерным обществом, акционеры, владеющие совместно со своими аффилированными лицами 20% и более голосующих акций АО.

Форензик - независимое экономическое расследование деятельности компании. Может инициироваться акционерами, инвесторами, кредиторами, членами совета директоров и топ-менеджерами компании и использоваться в качестве экспертного заключения в суде.

Защитить членов СД от обвинений, связанных с устранением от контроля за текущей деятельностью, может форензик - независимое экономическое расследование в отношении менеджеров компании, инициированное акционерами или членами совета директоров. В России форензик осуществляют аудиторы «Большой четверки». Он может стать хорошей альтернативой либо дополнением отчетам внутренней службы безопасности.

Страхование ответственности

Пока страхование ответственности директоров осуществляют только крупные компании и зачастую только перед публичным размещением ценных бумаг. Первая в России лицензия на страхование ответственности директоров была выдана уже 10 лет назад, но пока этот продукт на рынке продвигается не активно. В западных странах полисы страхования индивидуальной ответственности весьма распространены, стоят дешевле российских и обеспечивают более надежную защиту.

Преимущества такого страхования, казалось бы, очевидны: это прогнозируемость расходов на юридическую защиту и минимизация негативных финансовых последствий. Но пока не более 45 российских компаний приобрели полисы D&O. Скорее всего, большинство членов СД российских компаний пока не могут «пробить» себе такие полисы. Руководителям компаний, которые не страхуют независимых директоров корпоративно, следует понимать, что вознаграждение за эту работу должно покрывать расходы на приобретение полисов D&O.

Индивидуально продуманные внутренние документы общества

Если решение совета директоров принимается в соответствии с законным решением вышестоящего органа управления акционерного общества – общего собрания акционеров, это, безусловно, освобождает его членов от ответственности.

Не освобождает от ответственности, но поможет ее разделить включение в регламент работы совета директоров обязательного предварительного коллегиального мнения правления общества (коллегиального исполнительного органа) по каждому вопросу, выносимому на повестку дня.

Интересен институт распределения обязанностей между членами совета директоров. В Положение о совете директоров можно внести пункт о разграничении зон ответственности внутри совета. Так, если всю работу по подготовке материалов по вопросу контракта с компаниями в СНГ ведет и курирует конкретный член совета директоров, ему поручается провести экспертные исследования на заданную тему и представить их остальному составу совета. В суде такой раздел Положения, реализованный на практике, может обеспечить защиту тем членам совета директоров, которые проголосовали за решение, но именно исходя из представленных им в соответствии с внутренним распределением обязанностей сведений.

Несмотря на то что иск о привлечении к ответственности членов совета директоров предъявляется ко всему составу совета, при рассмотрении дела в суде требуется установить виновные действия каждого ответчика. На этом постулате может основываться личный подход члена совета директоров к выполнению своих обязанностей. При этом для защиты от ответственности в его распоряжении может быть несколько инструментов:
Служба советников, независимых от менеджмента и акционеров компании

Принятие решений с учетом заключений службы советников исключает возможность предъявления претензий по игнорированию факторов, важных для принятия решения. Если такие факторы не учел или не заметил эксперт, обвинять члена совета директоров, не являющегося специалистом в данной области, будет не в чем.

Так, в рамках одного иска к членам совета директоров, рассматриваемого в России, обсуждался вопрос о правильности определения дивидендов, выплачиваемых по акциям. При рассмотрении такого дела ответчикам весьма полезно было бы иметь предварительное экспертное заключение, содержащее прогноз оптимального размера дивидендов с учетом необходимости дальнейшего развития компании.

В Америке бум исков к директорам длится уже почти 40 лет, в Европе – около 20, а в России такие случаи пока единичные. На Западе иски могут быть предъявлены в том числе и по таким расплывчатым для российского суда основаниям, как плохое руководство, небрежность, неосмотрительность и т.п. Можно попытаться предъявить иски по таким основаниям и у нас, только вот выиграть их невозможно. Поэтому иски от иностранных акционеров российских компаний (ЮКОС, «ВымпелКом») были поданы в США.

В России небольшая, но громкая практика привлечения к ответственности менеджеров связана пока в основном с управлением разорившимися банками. В таких случаях руководители привлекаются к субсидиарной ответственности перед кредиторами в рамках процедур банкротства: РФГ-Банк – в ноябре 2005 года, «Вертикаль» и «Национальный» – в январе 2006 года, Агропромстройбанк – в мае 2006 года, «Диалог-Оптим» – в начале 2007 года (взысканная сумма по последнему делу превышает 1 млрд руб.). При этом действия, которые суд счел значимыми для причинения убытков обществу, были завершены в последние дни перед отзывом лицензии и были, что называется, слишком очевидными.

Тем не менее эксперты соглашаются, что риск субсидиарной ответственности в таких вопросах – это уже факт. Что же касается ответственности в рамках корпоративного законодательства, то по подобным делам громких побед у истцов и значительных взысканных сумм еще не было. Имеющаяся судебная практика показывает, что иски предъявляются ко всему составу совета директоров, а требования заявляются о солидарном взыскании убытков. При этом российские суды единодушны в том, что для привлечения к гражданско-правовой ответственности за убытки необходимо установить неправомерность и виновность действий членов совета директоров.

Стоит учесть, что одновременно с независимостью членов СД возрастает и их персональная ответственность*. И вопреки большинству мифов эта деятельность не только почетна, но и опасна. А значит, требует создания механизмов персональной юридической защиты.

Миф № 1. Непубличность компании защищает от ответственности
Принято считать, что предъявление претензий к членам совета директоров – удел публичной компании. На деле же иски предъявляются и к директорам непубличных компаний, имеющих не аффилированную между собой, разветвленную структуру акционеров, а также в ходе сделок слияния, реорганизации и т.п.

Следовательно, член совета директоров непубличной, но активной компании либо непубличной, но разнородной компании точно так же рискует быть привлеченным к ответственности, как и член совета директоров открытой значительному кругу акционеров и инвесторов компании.

Ст. 44 Закона об обществах с ограниченной ответственностью аналогична по своему содержанию соответствующим нормам Закона об акционерных обществах. Поэтому опасности, с которыми сталкиваются члены СД публичных компаний, угрожают также и членам совета директоров обществ с ограниченной ответственностью.

Миф № 2. Директива защищает от ответственности
Официальная директива формируется для голосования на совете директоров представителей государства. Нечто подобное в виде и в сфере частного капитала, когда член совета директоров представляет акционера – крупную компанию – и получает указания непосредственно от нее в виде поручения на голосование и т.п.

На службе акционерного общества

Как защитить независимых директоров

ЧЛЕНЫ СОВЕТОВ ДИРЕКТОРОВ НЕСУТ ПЕРСОНАЛЬНУЮ ОТВЕТСТВЕННОСТЬ ЗА ПРИНИМАЕМЫЕ РЕШЕНИЯ, НО НЕ ВСЕГДА МОГУТ ДЕЛАТЬ ЭТО НЕЗАВИСИМО. И ТОГДА ПРИХОДИТСЯ ОТВЕЧАТЬ В СУДЕ ЗА ЧУЖИЕ УПУЩЕНИЯ.

Бремя независимости
Члены советов директоров должны действовать в интересах всех собственников компании, однако на практике независимость от менеджмента дается им гораздо легче, чем независимость от выдвинувшего их акционера. Так или иначе, но директора – представители одного из владельцев в силу своих трудовых и корпоративных связей будут выражать его волю, а не волю всех держателей акций. Это противоречие можно разрешить, если компания будет стремиться к повышению роли и расширению состава независимых директоров.