УправлениеБезопасность

Кто защитит бизнес?

Юрий Шойдин | 28.10.2009
Из всех неприятностей произойдет именно та,
ущерб от которой наибольший.
Закон Мерфи

В прессе часто встречаются публикации о том, зачем и кому нужна служба информационной безопасности в компании, в каком блоке организационной структуры она должна находиться. В открытом доступе имеются «Рекомендации», разработанные Российским Союзом ИТ-директоров совместно с Ассоциацией защиты информации. Тем не менее, количество вопросов, поступающих от IТ-менеджмента, не сокращается.

Из всех неприятностей произойдет именно та,
ущерб от которой наибольший.
Закон Мерфи


В прессе часто встречаются публикации о том, зачем и кому нужна служба информационной безопасности в компании, в каком блоке организационной структуры она должна находиться. В открытом доступе имеются «Рекомендации», разработанные Российским Союзом ИТ-директоров совместно с Ассоциацией защиты информации. Тем не менее, количество вопросов, поступающих от IТ-менеджмента, не сокращается.

Каким образом решить вопросы ИБ в компании; кому отдать ведущую роль — «айтишнику» или «безопаснику»; в чем заключается функция ИБ в организации? Сегодня мы постараемся ответить на эти вопросы. Всех, кого эта тема заинтересует глубже или кто не найдет в данной статье ответа на свой вопрос, мы приглашаем обращаться в СоДИТ (rucio.ru).
 
Волки и овцы

Вы задумывались, почему в большинстве компаний существует конфликт между IТ-дивизионом и подразделением безопасности? Все достаточно просто. Это системный конфликт.

На что направлена работа IТ-подразделения? На развитие IТ-инфраструктуры, на увеличение скорости и объема передачи информации, на увеличение количества пользователей информационной системы организации, на увеличение доступности информации и прочее, прочее... Согласитесь, если не создать правила для этого технологического прогресса, мы рискуем получить вместо него технологический хаос взаимодействий.
В чем состоит основная функция подразделения безопасности? В том, чтобы исключить возможные риски организации, связанные с ее деятельностью. Не вызывает сомнения, что деятельность организации невозможна без деятельности ее сотрудников, которые работают с разными информационными потоками, системами и носителями. В этом случае подразделение безопасности вынуждено выступать физическим ограничителем распространения внутренней информации компании и механизмом ее (информации) контроля. К сожалению, методов для наведения порядка в проносящейся мимо и витающей в воздухе информации не так много. В основном, это меры запретно-ограничительного характера, основанные на системе внутренних регламентирующих документов и технических инструментах, позволяющих контролировать исполнение оных. Данные методы, без сомнения, утяжеляют и бюрократизируют основные информационные процессы организации, местами существенно их замедляя. Вы представляете, как работать «айтишнику», если дать волю «безопасникам»?

Итак, на лицо явный конфликт между IТ-сектором и отделом безопасности. Думаю, не ошибусь, сказав, что в этом конфликте сегодня скорее всего победит безопасность, поскольку собственникам и топ-менеджерам гораздо спокойнее иметь контролируемые информационные потоки. Но тут же возникает вопрос, а работать-то кто будет? То есть, кто будет технически выполнять мероприятия по защите информации?

Давайте рассмотрим ситуацию, ставшую в 2009 г., типичной для многих предприятий. В связи со вступлением в силу федерального закона "О персональных данных" компаниям приходят извещения о грядущей проверке их информационной системы на предмет выполнения требований закона. Как вы думаете, кому должен поставить задачу генеральный директор, получив такое извещение?

Нет смысла строить догадки, все просто: IТ-руководитель всегда перегружен, у него в условиях кризиса урезали штат, «зоопарк» из девайсов и систем требует постоянного внимания, да и вообще он не представляет. что такое персональные данные, с чем их едят и зачем ему эта безопасность. Руководитель же подразделения безопасности ничего сделать не в состоянии, потому что кроме документов, функции контроля и работы с прецедентами у него в инструкции ничего нет, да и в автоматизированных информационных системах, где хранятся персональные данные, он ничего не смыслит. И директор решает: вот вам задача одна на двоих. Идите  и работайте. Результат подобного решения в общем-то предсказуем. Задача, не имеющая ответственного за выполнение, обречена на провал.
 
Что делать?

Не вызывает сомнения тот факт, что ценность информации, хранящейся и передаваемой на разных носителях, временами становится сопоставимой со стоимостью самих услуг, оказываемых организациями своим клиентам. В этой связи задачи, стоящие в области безопасности информации, переходят уже в область безопасности всей компании в целом, а иногда даже и бизнеса.

Чтобы решить ситуацию, описанную выше, или хотя бы направить ее в русло возможного решения, в компании необходимо выделить непрофильные функции безопасности и IТ-подразделения и передать их выполнение специальному подразделению или сотруднику. В дальнейшем в тексте я буду использовать понятие “подразделение ИБ", хотя в реальности это может быть как целая служба (СИБ), так и отдельный сотрудник (CISO).
Организация,  осознавшая, что жадничать в данной области опасно, готова к выделению финансовых ресурсов для создания специализированного подразделения по информационной безопасности. Если при этом в компании по-прежнему ничего не происходит, т.е. выделение и передача функций ИБ не производится, то это бездействие можно объяснить только тем, что топ-менеджмент не в состоянии правильно сформулировать и поставить задачу данному подразделению, не может правильно выбрать форму и место такого подразделения в компании, а просто так тратить деньги в условиях кризиса не готов.

Надеюсь, данная статья поможет разобраться в том, какие задачи необходимо поставить новому подразделению и какое место в оргструктуре компании для него выделить.

Задачи подразделения ИБ

Ради шутки вспомним старый тост, имевший широкое хождение в начале 90-х: "Хочу, чтобы у меня все было, и мне за это ничего не было". Основной целью ИБ-подразделения является предотвращение реализации возможных рисков, связанных с утечкой или потерей информации, для компании, которая основана на понимании, формулировании и удовлетворении осознанных пожеланий бизнеса.

Смотрите, как интересно: подразделение ИБ должно не только «предугадывать» возможные проблемы, связанные с неконтролируемым распространением внутренней информации компании, но и понимать сам Бизнес и уметь правильно формулировать требования этого самого Бизнеса. Для чего это? На самом деле все просто, именно эта фраза определяет местоположение ИБ как отдельной функции в структуре организации, а именно: это то самое подразделение, которое в состоянии сбалансировать стремления IТ-подразделения уйти в космические дали технологического прогресса и бюрократическую приземленность, умноженную на любовь к ограничениям, подразделения безопасности. Но об этом чуть позже.

Давайте рассмотрим, что должно делать вновь созданное или создаваемое в компании подразделение ИБ. Конечно, приведенный нами перечень (табл.1) достаточно условен, да и обозначенные задачи и их последовательность могут различаться в каждом конкретном случае, но, в общем, я думаю, что мы не далеки от истины.

Основные задачи подразделения ИБ

1

Разработка и внедрение документов, регламентирующих деятельность как подразделения, так и самой организации. Одним из наиболее важных документов является «Политика ИБ».

2

Проведение анализа существующей информационной системы (ИС). В данном случае есть смысл рассматривать ИС в широком смысле, а не только имея ввиду ее автоматизированную часть, к которой могут относиться различные БД и учетное ПО .

3

Выявление уязвимых мест (элементов) ИС и оценка рисков от возможных утечек в этих местах. То есть понимание того, ЧТО может утечь, КУДА именно, и КАКИЕ негативные последствия эта утечка сможет спровоцировать.

4

Анализ реализации рисков и их последствий. В данном действии есть сакральный смысл: именно оценка реализации рисков с финансовой точки зрения даст понимание, сколько денег компания может потерять, не занимаясь этим вопросом, а соответственно — сколько денег руководство готово потратить на обеспечение безопасности своего бизнеса.

5

Разработка мероприятий по снижению или устранению рисков. Согласитесь, что только понимая свой бюджет, вы сможете составить реальный план действий и работы подразделения ИБ.

Таблица 1

В дальнейшем, если зрелость вашей компании достаточно высока, необходимо участие подразделения ИБ в следующих процессах:
1. Стратегическое планирование.
Участие в данном процессе, если он в вашей компании присутствует, без сомнения поможет правильно понять и сформулировать требования бизнеса по ИБ  к будущим задачам и сформировать необходимый план работ и бюджет на новый период.

2. Разбор инцидентов и выработка мер по исключению повторения в будущем наиболее типичных из них.
Это своего рода профилактическая мера, которая в последствии должна снизить нагрузку на подразделение ИБ.

3. Выявление объектов защиты и соотнесение используемых мер с действующим законодательством и нормативными актами компании.
Для многих фирм это уже высший пилотаж, поскольку для начала нужно решить огромное количество юридических, логических и финансовых проблем. Например, легализовать все установленное в компании программное обеспечение.

В качестве комментария можно заметить, что усредненный размер затрат на информационную безопасность в зависимости от типа компании, бизнеса и совокупной стоимости рисков может составлять  15-20% от стоимости рисков и  до 5-10% годового оборота.
Будем считать, что с основными задачами и процессами, в которых может участвовать подразделение ИБ, мы разобрались. Теперь, чтобы решить вопрос о месте подразделения ИБ в организационной структуре компании, надо понять, кто же является постановщиком этих задач и для кого подразделение ИБ будет исполнителем, а для кого — заказчиком.

Заказчики ИБ

Из самого определения цели существования службы ИБ следует, что заказчиком у данного подразделения может быть только сам Бизнес, то есть Бизнес, как набор подразделений, участвующих в основном бизнес-процессе. В этом процессе задействованы подразделения основной цепочки получения прибыли, которые и могут быть функциональными заказчиками задач ИБ.

Тем не менее, можно выделить ряд подразделений, которые в силу своей деятельности чаще остальных являются заказчиками ИБ-службы, например: подразделения безопасности, финансовые отделы и департаменты, службы внутреннего контроля, тендерные и коммерческие отделы организации.  Иногда заказчиком может являться сам собственник (группа собственников) или Совет директоров компании.

Как же все-таки определить место подразделения ИБ в рамках современной компании? По нашему  мнению, подразделение ИБ де факто выступает в роли «переводчика» между Бизнесом (его страхами и рисками) и техническими подразделениями (например, IТ или безопасности), в качестве формализатора требований и постановщика задач. Вместе с тем,  подразделение ИБ может выступать как контролер качества решения поставленных Бизнесом задач, которые выполняются  техническими и другими подразделениями, являющимися для подразделения ИБ исполнителями. Чего, например, подразделение по безопасности сделать не в состоянии.

Что же касается IТ-отдела, то, очевидно, что данное подразделение выполняет роль исполнителя, а не постановщика задач. При всем при этом оно является владельцем технической инфраструктуры организации, которая необходима для реализации технической составляющей ИБ.  Добавим к этому, что только на базе IТ-подразделения функционирует Служба поддержки пользователей (Service Desk), которая поддерживает и контролирует работоспособность технических инструментов и систем, используемых для обеспечения ИБ.

Подчиненность подразделения ИБ

Чтобы окончательно определиться с вопросом, кто для кого "слуга", а кто "господин", обратимся к порядку формирования информационной системы (ИС). Основа работы IТ-подразделения – это формирование, поддержание и развитие информационных каналов предприятия. При этом разработка и контроль выполнения основных правил работы с этими информационными каналами лежит на подразделении ИБ, то есть формирование самих коммуникационных каналов – это функция сервисного подразделения (подразделения ИТ), а формирование правил и контроль за их выполнением — функция  управляющего подразделения (подразделения ИБ).

Определение подчиненности подразделения ИБ достаточно уникально для каждой организации и зависит от множества параметров, таких как сложившаяся структура компании, ее размер, наличие финансовых средств, и даже от задач, которые поставлены перед подразделением ИБ.
Что бы читателю было проще, рассмотрим только наиболее распространенные схемы расположения подразделения ИБ в структуре организации (табл.2).

  • Подчиненность подразделения ИБ

    1

    Подразделение ИБ находится  внутри подразделения безопасности

    Между генеральным директором и руководителем подразделения ИБ стоит руководитель подразделения безопасности. Интересно, что именно этот вариант получил наибольшее распространение на практике

    2

    Подразделение ИБ находится внутри IТ-подразделения

    Руководитель подразделения ИБ подчиняется руководителю подразделения ИТ. Крайне редкая, но встречающаяся структура. Характерна для некрупных компаний с ярко выраженной IТ-направленностью бизнеса, либо если это один и тот же  сотрудник

    3

    Подразделение ИБ является самостоятельным и подчиняется непосредственно высшим руководителям компании

    В этом случае подразделение подчиняется Генеральному директору или Совету Директоров. Такое организационное решение обладает значительными преимуществами перед ранее перечисленными

    4

    Матричная структура

    Матричная структура управления — это структура органов управления, построенная на принципе двойного подчинения исполнителей. В этом случае руководитель подразделения ИБ может быть руководителем любого уровня с четко выделенными функциями, и ему функционально (не административно) подчинены (выделены для выполнения определенных задач) сотрудники других подразделений, например, сотрудники IT-сектора, отделов безопасности или внутреннего контроля

    Таблица 2

    В завершении этой части статьи хочу отметить, что при проведении мероприятий по информационной безопасности не лишним будет применение  мультидисциплинарного подхода. Данный подход предусматривает привлечение к взаимодействию и сотрудничеству руководителей всех уровней, пользователей, администраторов, аудиторов, специалистов по безопасности, а также специалистов по страхованию и управлению рисками.
    Нами умышленно не приводится описания достоинств и недостатков каждой из приведенных организационных схем, т.к. это предмет для отдельной статьи.

    Заключение

    Выстраивание эффективной со всех точек зрения организационной структуры компании — дело не легкое, но, увы, необходимое. Встраивание в существующую карту процессов компании процессы нового подразделения ИБ — тоже не сахар. Выбор оптимальной структуры для вашей компании — это ваш выбор, главное, что бы результат деятельности нового подразделения, ожидаемый топ-менеджментом, был оправдан, и желательно — на все сто!   Выбирайте то, что вам необходимо, думайте и пишите "Положение о подразделении ИБ". Грамотное обоснование необходимости, я уверен, не оставит ни одного собственника равнодушным, ибо кто же будет осмысленно делать хуже самому себе?

    Напоследок хочется напомнить, что актуальность создания подразделения ИБ, как мы говорили в  начале, обусловлена  большим объемом работы в части выполнения требований вступающего в силу с января 2010 г. Федерального закона "О персональных данных". Именно это подразделение поможет вашей компании обеспечить выполнение требований законодательства с минимальными финансовыми затратами.

Юрий Шойдин
Директор по ИТ ГК "Интарсия"



Об авторах

Юрий Шойдин

Юрий Шойдин

Член правления Российского Союза ИТ-директоров, возглавляет Комитет по информационной безопасности.


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Мысли вслух

Все жалуются на нехватку времени. Особенно обидно, что его не хватает на самые важные вещи. Совещания, созвоны, подготовка внутренних отчетов, непонятно, насколько нужных, но которые начальство требует так, как будто это именно то, ради чего мы работаем.
Сейчас мы вступаем в следующую фазу выздоровления и восстановления, но гибридный мир никуда не денется
В России опрос показал: 48% составляют технооптимисты, а больше половины – технофобы и техноскептики.

Компании сообщают

Мероприятия

Юникон & гейм экспо минск / unicon & game expo minsk
Минск, пр. Победителей, 20/2 (футбольный манеж)
14.05.2021 — 16.05.2021
12:00
SAS Global Forum 2021
ОНЛАЙН
18.05.2021 — 20.05.2021
Форум «Внутренний и внешний электронный документооборот»
Москва, отель Метрополь, Театральный проезд, 2
20.05.2021 — 21.05.2021
09:30–17:00
Хакатон Program boost: Eduthon
ОНЛАЙН
21.05.2021 — 23.05.2021
14:00