Кто защитит бизнес?
ущерб от которой наибольший.
Закон Мерфи
В прессе часто встречаются публикации о том, зачем и кому нужна служба информационной безопасности в компании, в каком блоке организационной структуры она должна находиться. В открытом доступе имеются «Рекомендации», разработанные Российским Союзом ИТ-директоров совместно с Ассоциацией защиты информации. Тем не менее, количество вопросов, поступающих от IТ-менеджмента, не сокращается.
ущерб от которой наибольший.
Закон Мерфи
В прессе часто встречаются публикации о том, зачем и кому нужна служба информационной безопасности в компании, в каком блоке организационной структуры она должна находиться. В открытом доступе имеются «Рекомендации», разработанные Российским Союзом ИТ-директоров совместно с Ассоциацией защиты информации. Тем не менее, количество вопросов, поступающих от IТ-менеджмента, не сокращается.
Каким образом решить вопросы ИБ в компании; кому отдать ведущую роль — «айтишнику» или «безопаснику»; в чем заключается функция ИБ в организации? Сегодня мы постараемся ответить на эти вопросы. Всех, кого эта тема заинтересует глубже или кто не найдет в данной статье ответа на свой вопрос, мы приглашаем обращаться в СоДИТ (rucio.ru).
Волки и овцы
Вы задумывались, почему в большинстве компаний существует конфликт между IТ-дивизионом и подразделением безопасности? Все достаточно просто. Это системный конфликт.
На что направлена работа IТ-подразделения? На развитие IТ-инфраструктуры, на увеличение скорости и объема передачи информации, на увеличение количества пользователей информационной системы организации, на увеличение доступности информации и прочее, прочее... Согласитесь, если не создать правила для этого технологического прогресса, мы рискуем получить вместо него технологический хаос взаимодействий.
В чем состоит основная функция подразделения безопасности? В том, чтобы исключить возможные риски организации, связанные с ее деятельностью. Не вызывает сомнения, что деятельность организации невозможна без деятельности ее сотрудников, которые работают с разными информационными потоками, системами и носителями. В этом случае подразделение безопасности вынуждено выступать физическим ограничителем распространения внутренней информации компании и механизмом ее (информации) контроля. К сожалению, методов для наведения порядка в проносящейся мимо и витающей в воздухе информации не так много. В основном, это меры запретно-ограничительного характера, основанные на системе внутренних регламентирующих документов и технических инструментах, позволяющих контролировать исполнение оных. Данные методы, без сомнения, утяжеляют и бюрократизируют основные информационные процессы организации, местами существенно их замедляя. Вы представляете, как работать «айтишнику», если дать волю «безопасникам»?
Итак, на лицо явный конфликт между IТ-сектором и отделом безопасности. Думаю, не ошибусь, сказав, что в этом конфликте сегодня скорее всего победит безопасность, поскольку собственникам и топ-менеджерам гораздо спокойнее иметь контролируемые информационные потоки. Но тут же возникает вопрос, а работать-то кто будет? То есть, кто будет технически выполнять мероприятия по защите информации?
Давайте рассмотрим ситуацию, ставшую в 2009 г., типичной для многих предприятий. В связи со вступлением в силу федерального закона "О персональных данных" компаниям приходят извещения о грядущей проверке их информационной системы на предмет выполнения требований закона. Как вы думаете, кому должен поставить задачу генеральный директор, получив такое извещение?
Нет смысла строить догадки, все просто: IТ-руководитель всегда перегружен, у него в условиях кризиса урезали штат, «зоопарк» из девайсов и систем требует постоянного внимания, да и вообще он не представляет. что такое персональные данные, с чем их едят и зачем ему эта безопасность. Руководитель же подразделения безопасности ничего сделать не в состоянии, потому что кроме документов, функции контроля и работы с прецедентами у него в инструкции ничего нет, да и в автоматизированных информационных системах, где хранятся персональные данные, он ничего не смыслит. И директор решает: вот вам задача одна на двоих. Идите и работайте. Результат подобного решения в общем-то предсказуем. Задача, не имеющая ответственного за выполнение, обречена на провал.
Что делать?
Не вызывает сомнения тот факт, что ценность информации, хранящейся и передаваемой на разных носителях, временами становится сопоставимой со стоимостью самих услуг, оказываемых организациями своим клиентам. В этой связи задачи, стоящие в области безопасности информации, переходят уже в область безопасности всей компании в целом, а иногда даже и бизнеса.
Чтобы решить ситуацию, описанную выше, или хотя бы направить ее в русло возможного решения, в компании необходимо выделить непрофильные функции безопасности и IТ-подразделения и передать их выполнение специальному подразделению или сотруднику. В дальнейшем в тексте я буду использовать понятие “подразделение ИБ", хотя в реальности это может быть как целая служба (СИБ), так и отдельный сотрудник (CISO).
Организация, осознавшая, что жадничать в данной области опасно, готова к выделению финансовых ресурсов для создания специализированного подразделения по информационной безопасности. Если при этом в компании по-прежнему ничего не происходит, т.е. выделение и передача функций ИБ не производится, то это бездействие можно объяснить только тем, что топ-менеджмент не в состоянии правильно сформулировать и поставить задачу данному подразделению, не может правильно выбрать форму и место такого подразделения в компании, а просто так тратить деньги в условиях кризиса не готов.
Надеюсь, данная статья поможет разобраться в том, какие задачи необходимо поставить новому подразделению и какое место в оргструктуре компании для него выделить.
Задачи подразделения ИБ
Ради шутки вспомним старый тост, имевший широкое хождение в начале 90-х: "Хочу, чтобы у меня все было, и мне за это ничего не было". Основной целью ИБ-подразделения является предотвращение реализации возможных рисков, связанных с утечкой или потерей информации, для компании, которая основана на понимании, формулировании и удовлетворении осознанных пожеланий бизнеса.
Смотрите, как интересно: подразделение ИБ должно не только «предугадывать» возможные проблемы, связанные с неконтролируемым распространением внутренней информации компании, но и понимать сам Бизнес и уметь правильно формулировать требования этого самого Бизнеса. Для чего это? На самом деле все просто, именно эта фраза определяет местоположение ИБ как отдельной функции в структуре организации, а именно: это то самое подразделение, которое в состоянии сбалансировать стремления IТ-подразделения уйти в космические дали технологического прогресса и бюрократическую приземленность, умноженную на любовь к ограничениям, подразделения безопасности. Но об этом чуть позже.
Давайте рассмотрим, что должно делать вновь созданное или создаваемое в компании подразделение ИБ. Конечно, приведенный нами перечень (табл.1) достаточно условен, да и обозначенные задачи и их последовательность могут различаться в каждом конкретном случае, но, в общем, я думаю, что мы не далеки от истины.
Основные задачи подразделения ИБ | |
1 |
Разработка и внедрение документов, регламентирующих деятельность как подразделения, так и самой организации. Одним из наиболее важных документов является «Политика ИБ». |
2 |
Проведение анализа существующей информационной системы (ИС). В данном случае есть смысл рассматривать ИС в широком смысле, а не только имея ввиду ее автоматизированную часть, к которой могут относиться различные БД и учетное ПО . |
3 |
Выявление уязвимых мест (элементов) ИС и оценка рисков от возможных утечек в этих местах. То есть понимание того, ЧТО может утечь, КУДА именно, и КАКИЕ негативные последствия эта утечка сможет спровоцировать. |
4 |
Анализ реализации рисков и их последствий. В данном действии есть сакральный смысл: именно оценка реализации рисков с финансовой точки зрения даст понимание, сколько денег компания может потерять, не занимаясь этим вопросом, а соответственно — сколько денег руководство готово потратить на обеспечение безопасности своего бизнеса. |
5 |
Разработка мероприятий по снижению или устранению рисков. Согласитесь, что только понимая свой бюджет, вы сможете составить реальный план действий и работы подразделения ИБ. |
В дальнейшем, если зрелость вашей компании достаточно высока, необходимо участие подразделения ИБ в следующих процессах:
1. Стратегическое планирование.
Участие в данном процессе, если он в вашей компании присутствует, без сомнения поможет правильно понять и сформулировать требования бизнеса по ИБ к будущим задачам и сформировать необходимый план работ и бюджет на новый период.
2. Разбор инцидентов и выработка мер по исключению повторения в будущем наиболее типичных из них.
Это своего рода профилактическая мера, которая в последствии должна снизить нагрузку на подразделение ИБ.
3. Выявление объектов защиты и соотнесение используемых мер с действующим законодательством и нормативными актами компании.
Для многих фирм это уже высший пилотаж, поскольку для начала нужно решить огромное количество юридических, логических и финансовых проблем. Например, легализовать все установленное в компании программное обеспечение.
В качестве комментария можно заметить, что усредненный размер затрат на информационную безопасность в зависимости от типа компании, бизнеса и совокупной стоимости рисков может составлять 15-20% от стоимости рисков и до 5-10% годового оборота.
Будем считать, что с основными задачами и процессами, в которых может участвовать подразделение ИБ, мы разобрались. Теперь, чтобы решить вопрос о месте подразделения ИБ в организационной структуре компании, надо понять, кто же является постановщиком этих задач и для кого подразделение ИБ будет исполнителем, а для кого — заказчиком.
Заказчики ИБ
Из самого определения цели существования службы ИБ следует, что заказчиком у данного подразделения может быть только сам Бизнес, то есть Бизнес, как набор подразделений, участвующих в основном бизнес-процессе. В этом процессе задействованы подразделения основной цепочки получения прибыли, которые и могут быть функциональными заказчиками задач ИБ.
Тем не менее, можно выделить ряд подразделений, которые в силу своей деятельности чаще остальных являются заказчиками ИБ-службы, например: подразделения безопасности, финансовые отделы и департаменты, службы внутреннего контроля, тендерные и коммерческие отделы организации. Иногда заказчиком может являться сам собственник (группа собственников) или Совет директоров компании.
Как же все-таки определить место подразделения ИБ в рамках современной компании? По нашему мнению, подразделение ИБ де факто выступает в роли «переводчика» между Бизнесом (его страхами и рисками) и техническими подразделениями (например, IТ или безопасности), в качестве формализатора требований и постановщика задач. Вместе с тем, подразделение ИБ может выступать как контролер качества решения поставленных Бизнесом задач, которые выполняются техническими и другими подразделениями, являющимися для подразделения ИБ исполнителями. Чего, например, подразделение по безопасности сделать не в состоянии.
Что же касается IТ-отдела, то, очевидно, что данное подразделение выполняет роль исполнителя, а не постановщика задач. При всем при этом оно является владельцем технической инфраструктуры организации, которая необходима для реализации технической составляющей ИБ. Добавим к этому, что только на базе IТ-подразделения функционирует Служба поддержки пользователей (Service Desk), которая поддерживает и контролирует работоспособность технических инструментов и систем, используемых для обеспечения ИБ.
Подчиненность подразделения ИБ
Чтобы окончательно определиться с вопросом, кто для кого "слуга", а кто "господин", обратимся к порядку формирования информационной системы (ИС). Основа работы IТ-подразделения – это формирование, поддержание и развитие информационных каналов предприятия. При этом разработка и контроль выполнения основных правил работы с этими информационными каналами лежит на подразделении ИБ, то есть формирование самих коммуникационных каналов – это функция сервисного подразделения (подразделения ИТ), а формирование правил и контроль за их выполнением — функция управляющего подразделения (подразделения ИБ).
Определение подчиненности подразделения ИБ достаточно уникально для каждой организации и зависит от множества параметров, таких как сложившаяся структура компании, ее размер, наличие финансовых средств, и даже от задач, которые поставлены перед подразделением ИБ.
Что бы читателю было проще, рассмотрим только наиболее распространенные схемы расположения подразделения ИБ в структуре организации (табл.2).
Подчиненность подразделения ИБ | ||
1 |
Подразделение ИБ находится внутри подразделения безопасности |
Между генеральным директором и руководителем подразделения ИБ стоит руководитель подразделения безопасности. Интересно, что именно этот вариант получил наибольшее распространение на практике |
2 |
Подразделение ИБ находится внутри IТ-подразделения |
Руководитель подразделения ИБ подчиняется руководителю подразделения ИТ. Крайне редкая, но встречающаяся структура. Характерна для некрупных компаний с ярко выраженной IТ-направленностью бизнеса, либо если это один и тот же сотрудник |
3 |
Подразделение ИБ является самостоятельным и подчиняется непосредственно высшим руководителям компании |
В этом случае подразделение подчиняется Генеральному директору или Совету Директоров. Такое организационное решение обладает значительными преимуществами перед ранее перечисленными |
4 |
Матричная структура |
Матричная структура управления — это структура органов управления, построенная на принципе двойного подчинения исполнителей. В этом случае руководитель подразделения ИБ может быть руководителем любого уровня с четко выделенными функциями, и ему функционально (не административно) подчинены (выделены для выполнения определенных задач) сотрудники других подразделений, например, сотрудники IT-сектора, отделов безопасности или внутреннего контроля |
В завершении этой части статьи хочу отметить, что при проведении мероприятий по информационной безопасности не лишним будет применение мультидисциплинарного подхода. Данный подход предусматривает привлечение к взаимодействию и сотрудничеству руководителей всех уровней, пользователей, администраторов, аудиторов, специалистов по безопасности, а также специалистов по страхованию и управлению рисками.
Нами умышленно не приводится описания достоинств и недостатков каждой из приведенных организационных схем, т.к. это предмет для отдельной статьи.
Заключение
Выстраивание эффективной со всех точек зрения организационной структуры компании — дело не легкое, но, увы, необходимое. Встраивание в существующую карту процессов компании процессы нового подразделения ИБ — тоже не сахар. Выбор оптимальной структуры для вашей компании — это ваш выбор, главное, что бы результат деятельности нового подразделения, ожидаемый топ-менеджментом, был оправдан, и желательно — на все сто! Выбирайте то, что вам необходимо, думайте и пишите "Положение о подразделении ИБ". Грамотное обоснование необходимости, я уверен, не оставит ни одного собственника равнодушным, ибо кто же будет осмысленно делать хуже самому себе?
Напоследок хочется напомнить, что актуальность создания подразделения ИБ, как мы говорили в начале, обусловлена большим объемом работы в части выполнения требований вступающего в силу с января 2010 г. Федерального закона "О персональных данных". Именно это подразделение поможет вашей компании обеспечить выполнение требований законодательства с минимальными финансовыми затратами.
Юрий Шойдин
Директор по ИТ ГК "Интарсия"
Опубликовано 28.10.2009