Кто в ответе за ИБ, или Комплексное меню для бизнеса

Бифштекса не будет. Будут блинчики

х/ф «Трое в лодке не считая собаки», 1979

Друзья, коллеги и руководители, предлагаю прерваться на ланч и разобраться с некоторыми вопросами, ставшими в последнее время весьма актуальными в связи с возникновением конфликтов внутри компаний.

Так исторически сложилось в России, что информационная безопасность в большинстве компаний является прерогативой директора по ИТ. Точнее, даже не сама информационная безопасность, а та ее часть, которая связана техническими средствами, а остальные разделы ИБ, кроме специалистов, вообще мало кто представляет. Данный факт вполне оправдан — с учетом того, каким образом развивались сами информационные технологии в России последние 15 лет.

Почему возникает конфликт между ИТ подразделением и подразделением безопасности? Давайте попробуем разобраться в причинах и в том, какой функционал может включать в себя информационная безопасность средней компании. Итак, сегодня в меню…

Салат (теплый с курицей)

Если вспомнить совсем не далекое прошлое, то лицо, отвечающее за информационные технологии, часто называли «компьютерщик» (ныне «сисадмин»). В большей степени это характеризует непонимание руководителями и топ-менеджерами компаний функционала данной должностной единицы. Соответственно, все задачи, так или иначе связанные с компьютерами и «вообще c техникой», сваливались без разбора на голову «компьютерщика», ну и, естественно, за все возникающие проблемы наказывали именного его.

С течением времени увеличение парка компьютеров и развитие информационных технологий привели к созданию в компаниях и организациях должности менеджера по ИТ или ИТ-директора. К сожалению, основной функционал этой должности почти на 100% перекочевал из старых государственных организаций с должности начальника отдела АСУ (Автоматизированных Систем Управления). Все бы ничего, но это привело к тому, что должность директора по ИТ, в основном, начали занимать системные администраторы, реже — продвинутые программисты. Само по себе это не плохо, т.к. хорошее знание ИТ-инфраструктуры или умение управлять проектами по созданию и внедрению ПО является только плюсом, но отсутствие управленческих компетенций остается серьезной проблемой для ИТ-директоров и по сию пору. На мой взгляд, область менеджмента (управления) является точно такой же областью знаний, как программирование или системное администрирование, и ему тоже необходимо учиться.

Итак, к середине нашей десятилетки, примерно к 2005 г., среднестатистический ИТ-директор среднестатистической компании был «продвинутым системным администратором» с начальными навыками в области управления. Я надеюсь, что мои коллеги не будут обижаться за такое сравнение, ведь по сути я прав.

Теперь попробуем очень обобщенно указать область ответственности ИТ-директора. Она заключается в создании, развитии и поддержании (в зависимости от ситуации в компании) ИТ-инфраструктуры. Думаю, что нет необходимости объяснять, что вся деятельность ИТ-директора направлена на развитие компании, скажем так: еще больше, еще быстрее, еще доступнее, еще мощнее.

При создании и развитии ИТ-инфраструктуры, а тем паче — при ее эксплуатации ИТ-подразделение вынуждено формировать какие-то регламенты и правила пользования информационной системой, которые по факту являются ограничениями для персонала компании. К слову сказать, документированными такие правила бывают не часто. Не будем углубляться в тематику необходимости документирования правил и процедур, скажем только, что отсутствие утвержденных и принятых документов на уровне компании приводит к невыполнению оных, при полной невозможности наказания за их нарушения. Я считаю, что отсутствие документов, регламентирующих использование ИТ-инфраструктуры, является одним из показателей того, кто занимает должность ИТ-руководителя — «директор по ИТ» или «системный администратор». Результатом становятся правила ИТ-подразделения, которые мало кто выполняет.

В последнее время в России должность ИТ-директора стали называть CIO (chef information officer), в дословном переводе — «главный офицер по информации». При этом функционал, как ни прискорбно констатировать, остался прежний, т.е., по факту CIO управляет техническими средствами, а не информацией. А ведь в век глобальной информатизации и «электронизации» становится критичным именно управление информацией. От ее своевременности, доступности, целостности и достоверности зачастую зависит успех на рынке. При этом мы почти всегда забываем о том, что при бесконтрольном распространении информация может генерировать колоссальные риски, и ее надо защищать, как свой банковский счет.

Первое (Чесночный суп)

С другой стороны, в компании, как правило, существует подразделение, призванное обеспечивать безопасность бизнеса. Его полномочия довольно существенны и могут распространяться на область, связанную с движением информации. Опять-таки, не вдаваясь в подробности, можно сказать, что деятельность этого подразделения направлена на создание весьма жестких ограничений, а также на контроль их выполнения в целях защиты бизнеса от прогнозируемых рисков. Область, в которой работает подразделение безопасности, достаточно узкая, связанная чаще всего с принятыми стандартами у бывших сотрудников силовых структур (как правило). Уровень их компьютерной грамотности зачастую оставляет желать лучшего, и поэтому «безопасники» контролируют, в основном, небольшой сегмент процессов компании. При этом вводимые ими ограничения зачастую выходят за рамки процессов обеспечения безопасности и начинают влиять на процессы других подразделений, в том числе ИТ-департамента. Фактически, подразделения безопасности и ИТ вступают в противоборство. Это закономерно, ибо в такой схеме конфликт интересов заложен изначально: один развивает, другой ограничивает.

Еще один существенный момент, на который есть смысл обратить внимание: в отличие от ИТ-специалистов, сотрудники подразделения безопасности прекрасно умеют составлять документы (приказы, распоряжения, регламенты, правила и проч.), и пользуются этим. За нарушение всяческих циркуляров, сформированных службой безопасности, любой сотрудник организации может серьезно пострадать, а потому такие документы, как правило, работают, и их не нарушают.

Второе (Ирландское рагу)

Из явного конфликта интересов внутри компании между «безопасником» и «айтишником» вытекает естественный вопрос: как его избежать? К сожалению, данная статья не предусматривает описание принципов оптимизации организационных структур (возможно, эту тему мы затронем позднее), но решение лежит на поверхности: Богу — богово, Кесарю — кесарево. Надо четко определить функции этих подразделений и добиться минимального их пересечения на процессах компании. Т.е., чем меньше облаcть пересечения, тем меньше конфликтная зона. Но.... Но тут возникает вопрос, куда отнести ряд функций, которые напрямую не относятся ни к одному из этих подразделений. Например, кто должен отвечать за утечку коммерческой информации? Или кто определяет, какая информация может храниться на локальных дисках рабочих станций, а какая — только на сервере? И т.д... Заметьте, я не зря упомянул об ответственности. Готов ли ИТ-директор отвечать своей зарплатой за то, что пишут сотрудники в почте своим контрагентам? Готов ли руководитель службы безопасности нести ответственность за хранение информации на сервере, расположенном в ЦОДе? Добавьте к этому, что в последнее время во многих компаниях ценность информации, находящейся в электронном виде, становится сопоставимой со стоимостью самих услуг или, что еще серьезнее, со стоимостью самой компании. Сколько бы стоил бренд «Coca-Cola», если бы рецепт изготовления данного напитка стал общедоступным?

Информационную систему компании (в широком смысле) можно сравнить с кровеносной системой человека: останови течение информации, и организация перестанет существовать. Кто должен поддерживать безопасность этой системы? Ну уж точно не подразделение ИТ, не правда ли? Подход к обеспечению безопасности информационного пространства компании должен быть комплексным, т.е. должны осушествляться мероприятия нормативно-распорядительного характера, технические, административные и обязательно — контрольные.

Отсюда вытекает основная цель и миссия существования в компании подразделения по информационной безопасности (ИБ): предотвращение реализации возможных рисков, связанных с утечкой, потерей или порчей информации, которая основана на понимании, формулировании и удовлетворении осознанных пожеланий бизнеса. Обращу внимание уважаемого читателя на слово «осознанных», это крайне необходимо, поскольку если бизнес планирует решение в будущем определенных задач и готов их сформулировать, то сотрудники по ИБ обязаны предусмотреть, чтобы риски, связанные с реализацией этих задач, были минимальны.

Дессерт (Слойка с вареньем)

Теперь можно перейти к сладкому и попробовать разобраться с самим подразделением по информационной безопасности. Для чего оно нужно компании? Исходя из вышесказанного, можно с уверенность сказать, что в данной службе должен существовать некий объединенный функционал ИТ и ИБ, а значит, и сотрудники этого отдела должны обладать навыками как в одной предметной области, так и в другой. Конечно, не для всякой компании нужно создавать целое подразделение по ИБ, часто достаточно одного должностного лица, которое может корректно поставить задачу как одному, так и другому подразделению, и при необходимости иметь функциональное подчинение сотрудников этих служб.

Итак, давайте определим основные моменты, которые входят в зону ответственности подразделения по ИБ.

Во-первых, это определение периметра информационной системы компании и выработка адекватных административно-технических мер, ограничивающих выход за пределы периметра конфиденциальной информации.

Во-вторых, определение типов информации и самих информационных потоков, а так же их контроль.

В-третьих, подразделение по ИБ отвечает за выявление (заблаговременное определение) потенциальных внешних и внутренних угроз, связанных с накоплением, хранением, движением и распространением информации.

Конечно, это не все задачи, стоящие перед сотрудниками подразделения по ИБ. Для их корректного определения необходимо понять логику самого процесса работы этой службы или ее функции. Думаю, теперь у вас не возникнет проблемы при ответе на вопрос, кто должен оценить риски использования нелицензионного софта в компании, и кто в месте с вами пойдет отстаивать бюджет на закупку лицензионного ПО.

Компот (из сухофруктов)

Для большего понимания, что такое информационная безопасность для компании, рассмотрим ее составляющие:

· конфиденциальность — защита чувствительной информации от несанкционированного доступа;

· целостность — защита точности и полноты информации и программного обеспечения;

· доступность — обеспечение доступности информации и основных услуг для установленного пользователя в нужное для него время.

Какой из этого можно сделать вывод? Давайте внимательно посмотрим на сами составляющие и определим, кто может обеспечить их выполнение.

Конфиденциальность имеет два аспекта: технический, который должно решать подразделение по ИТ, и административный (создание правил и контроль их выполнения), который полноценно может реализовать только подразделение по безопасности.

Целостность не может быть полностью реализована только сотрудниками ИТ-подразделения, а доступность — только силами специалистов по ИБ.

Теперь можно поговорить и об основных задачах, лежащих на подразделении по информационной безопасности. Думаю, что вы без труда сможете сравнить их с задачами ИТ-подразделения. Без сомнения, каждая компания уникальна, но все же общее несомненно присутствует.

Итак, основные задачи ИБ:

· Разработка и внедрение документов, регламентирующих деятельность как подразделений, так и организации в целом. Одним из наиболее важных документов является «Политика ИБ».

· Проведение анализа (аудита) существующей информационной системы.

· Выявление объектов защиты и соотнесение используемых мер с действующим законодательством и нормативными актами компании.

· Выявление уязвимых мест (элементов) ИС и оценка возможных рисков в этих местах.

· Анализ реализации рисков и их последствий. Оценка реализации рисков с финансовой точки зрения даст понимание вам и топ-менеджменту компании, сколько денег может потерять бизнес, если не будет заниматься этим вопросом, и соответственно — сколько денег бизнес должен потратить на обеспечение безопасности своей информации.

· Разработка мероприятий по снижению или устранению рисков.

Из этого следуют достаточно очевидные выводы.

Во-первых, обеспечение информационнной безопасности ИТ-подразделением и подразделением по ИБ по-отдельности невозможно.

Во-вторых, подразделение ИТ, являясь владельцем технической инфраструктуры компании, не может быть заказчиком по работам в области безопасности, а может являться только исполнителем.

В-третьих, подразделение по ИБ несет в себе не только функции буфера, но и функции контроля правил накопления, хранения и мигрирования любой информации в компании.

Пожалте счет!

Официант приносит счет, уточняет, понравилось ли вам наше комплексное меню и напоминает слова Натана Родшильда: «Кто владеет информацией, тот владеет миром». Берегите свою информацию, управляйте ей грамотно, ибо не управляя информацией, вы не можете управлять компанией.

Остается выразить надежду, что данная статья поможет моим коллегам, ИТ-директорам, найти общий язык с подразделениями по безопасности, совместно определить и выделить функции ИБ, а значит — совместно и согласованно решать задачи в области безопасности информации своей компании.