Кто защитит бизнес?

Логотип компании
Из всех неприятностей произойдет именно та,
ущерб от которой наибольший.
Закон Мерфи

В прессе часто встречаются публикации о том, зачем и кому нужна служба информационной безопасности в компании, в каком блоке организационной структуры она должна находиться. В открытом доступе имеются «Рекомендации», разработанные Российским Союзом ИТ-директоров совместно с Ассоциацией защиты информации. Тем не менее, количество вопросов, поступающих от IТ-менеджмента, не сокращается.

Из всех неприятностей произойдет именно та,
ущерб от которой наибольший.
Закон Мерфи


В прессе часто встречаются публикации о том, зачем и кому нужна служба информационной безопасности в компании, в каком блоке организационной структуры она должна находиться. В открытом доступе имеются «Рекомендации», разработанные Российским Союзом ИТ-директоров совместно с Ассоциацией защиты информации. Тем не менее, количество вопросов, поступающих от IТ-менеджмента, не сокращается.

Каким образом решить вопросы ИБ в компании; кому отдать ведущую роль — «айтишнику» или «безопаснику»; в чем заключается функция ИБ в организации? Сегодня мы постараемся ответить на эти вопросы. Всех, кого эта тема заинтересует глубже или кто не найдет в данной статье ответа на свой вопрос, мы приглашаем обращаться в СоДИТ (rucio.ru).
 
Волки и овцы

Вы задумывались, почему в большинстве компаний существует конфликт между IТ-дивизионом и подразделением безопасности? Все достаточно просто. Это системный конфликт.

На что направлена работа IТ-подразделения? На развитие IТ-инфраструктуры, на увеличение скорости и объема передачи информации, на увеличение количества пользователей информационной системы организации, на увеличение доступности информации и прочее, прочее... Согласитесь, если не создать правила для этого технологического прогресса, мы рискуем получить вместо него технологический хаос взаимодействий.
В чем состоит основная функция подразделения безопасности? В том, чтобы исключить возможные риски организации, связанные с ее деятельностью. Не вызывает сомнения, что деятельность организации невозможна без деятельности ее сотрудников, которые работают с разными информационными потоками, системами и носителями. В этом случае подразделение безопасности вынуждено выступать физическим ограничителем распространения внутренней информации компании и механизмом ее (информации) контроля. К сожалению, методов для наведения порядка в проносящейся мимо и витающей в воздухе информации не так много. В основном, это меры запретно-ограничительного характера, основанные на системе внутренних регламентирующих документов и технических инструментах, позволяющих контролировать исполнение оных. Данные методы, без сомнения, утяжеляют и бюрократизируют основные информационные процессы организации, местами существенно их замедляя. Вы представляете, как работать «айтишнику», если дать волю «безопасникам»?

Итак, на лицо явный конфликт между IТ-сектором и отделом безопасности. Думаю, не ошибусь, сказав, что в этом конфликте сегодня скорее всего победит безопасность, поскольку собственникам и топ-менеджерам гораздо спокойнее иметь контролируемые информационные потоки. Но тут же возникает вопрос, а работать-то кто будет? То есть, кто будет технически выполнять мероприятия по защите информации?

Давайте рассмотрим ситуацию, ставшую в 2009 г., типичной для многих предприятий. В связи со вступлением в силу федерального закона "О персональных данных" компаниям приходят извещения о грядущей проверке их информационной системы на предмет выполнения требований закона. Как вы думаете, кому должен поставить задачу генеральный директор, получив такое извещение?

Нет смысла строить догадки, все просто: IТ-руководитель всегда перегружен, у него в условиях кризиса урезали штат, «зоопарк» из девайсов и систем требует постоянного внимания, да и вообще он не представляет. что такое персональные данные, с чем их едят и зачем ему эта безопасность. Руководитель же подразделения безопасности ничего сделать не в состоянии, потому что кроме документов, функции контроля и работы с прецедентами у него в инструкции ничего нет, да и в автоматизированных информационных системах, где хранятся персональные данные, он ничего не смыслит. И директор решает: вот вам задача одна на двоих. Идите  и работайте. Результат подобного решения в общем-то предсказуем. Задача, не имеющая ответственного за выполнение, обречена на провал.
 
Что делать?

Не вызывает сомнения тот факт, что ценность информации, хранящейся и передаваемой на разных носителях, временами становится сопоставимой со стоимостью самих услуг, оказываемых организациями своим клиентам. В этой связи задачи, стоящие в области безопасности информации, переходят уже в область безопасности всей компании в целом, а иногда даже и бизнеса.

Чтобы решить ситуацию, описанную выше, или хотя бы направить ее в русло возможного решения, в компании необходимо выделить непрофильные функции безопасности и IТ-подразделения и передать их выполнение специальному подразделению или сотруднику. В дальнейшем в тексте я буду использовать понятие “подразделение ИБ", хотя в реальности это может быть как целая служба (СИБ), так и отдельный сотрудник (CISO).
Организация,  осознавшая, что жадничать в данной области опасно, готова к выделению финансовых ресурсов для создания специализированного подразделения по информационной безопасности. Если при этом в компании по-прежнему ничего не происходит, т.е. выделение и передача функций ИБ не производится, то это бездействие можно объяснить только тем, что топ-менеджмент не в состоянии правильно сформулировать и поставить задачу данному подразделению, не может правильно выбрать форму и место такого подразделения в компании, а просто так тратить деньги в условиях кризиса не готов.

Надеюсь, данная статья поможет разобраться в том, какие задачи необходимо поставить новому подразделению и какое место в оргструктуре компании для него выделить.

Задачи подразделения ИБ

Ради шутки вспомним старый тост, имевший широкое хождение в начале 90-х: "Хочу, чтобы у меня все было, и мне за это ничего не было". Основной целью ИБ-подразделения является предотвращение реализации возможных рисков, связанных с утечкой или потерей информации, для компании, которая основана на понимании, формулировании и удовлетворении осознанных пожеланий бизнеса.

Смотрите, как интересно: подразделение ИБ должно не только «предугадывать» возможные проблемы, связанные с неконтролируемым распространением внутренней информации компании, но и понимать сам Бизнес и уметь правильно формулировать требования этого самого Бизнеса. Для чего это? На самом деле все просто, именно эта фраза определяет местоположение ИБ как отдельной функции в структуре организации, а именно: это то самое подразделение, которое в состоянии сбалансировать стремления IТ-подразделения уйти в космические дали технологического прогресса и бюрократическую приземленность, умноженную на любовь к ограничениям, подразделения безопасности. Но об этом чуть позже.

Давайте рассмотрим, что должно делать вновь созданное или создаваемое в компании подразделение ИБ. Конечно, приведенный нами перечень (табл.1) достаточно условен, да и обозначенные задачи и их последовательность могут различаться в каждом конкретном случае, но, в общем, я думаю, что мы не далеки от истины.

Основные задачи подразделения ИБ

1

Разработка и внедрение документов, регламентирующих деятельность как подразделения, так и самой организации. Одним из наиболее важных документов является «Политика ИБ».

2

Проведение анализа существующей информационной системы (ИС). В данном случае есть смысл рассматривать ИС в широком смысле, а не только имея ввиду ее автоматизированную часть, к которой могут относиться различные БД и учетное ПО .

3

Выявление уязвимых мест (элементов) ИС и оценка рисков от возможных утечек в этих местах. То есть понимание того, ЧТО может утечь, КУДА именно, и КАКИЕ негативные последствия эта утечка сможет спровоцировать.

4

Анализ реализации рисков и их последствий. В данном действии есть сакральный смысл: именно оценка реализации рисков с финансовой точки зрения даст понимание, сколько денег компания может потерять, не занимаясь этим вопросом, а соответственно — сколько денег руководство готово потратить на обеспечение безопасности своего бизнеса.

5

Разработка мероприятий по снижению или устранению рисков. Согласитесь, что только понимая свой бюджет, вы сможете составить реальный план действий и работы подразделения ИБ.

Таблица 1

В дальнейшем, если зрелость вашей компании достаточно высока, необходимо участие подразделения ИБ в следующих процессах:
1. Стратегическое планирование.
Участие в данном процессе, если он в вашей компании присутствует, без сомнения поможет правильно понять и сформулировать требования бизнеса по ИБ  к будущим задачам и сформировать необходимый план работ и бюджет на новый период.

2. Разбор инцидентов и выработка мер по исключению повторения в будущем наиболее типичных из них.
Это своего рода профилактическая мера, которая в последствии должна снизить нагрузку на подразделение ИБ.

3. Выявление объектов защиты и соотнесение используемых мер с действующим законодательством и нормативными актами компании.
Для многих фирм это уже высший пилотаж, поскольку для начала нужно решить огромное количество юридических, логических и финансовых проблем. Например, легализовать все установленное в компании программное обеспечение.

В качестве комментария можно заметить, что усредненный размер затрат на информационную безопасность в зависимости от типа компании, бизнеса и совокупной стоимости рисков может составлять  15-20% от стоимости рисков и  до 5-10% годового оборота.
Будем считать, что с основными задачами и процессами, в которых может участвовать подразделение ИБ, мы разобрались. Теперь, чтобы решить вопрос о месте подразделения ИБ в организационной структуре компании, надо понять, кто же является постановщиком этих задач и для кого подразделение ИБ будет исполнителем, а для кого — заказчиком.

Заказчики ИБ

Из самого определения цели существования службы ИБ следует, что заказчиком у данного подразделения может быть только сам Бизнес, то есть Бизнес, как набор подразделений, участвующих в основном бизнес-процессе. В этом процессе задействованы подразделения основной цепочки получения прибыли, которые и могут быть функциональными заказчиками задач ИБ.

Тем не менее, можно выделить ряд подразделений, которые в силу своей деятельности чаще остальных являются заказчиками ИБ-службы, например: подразделения безопасности, финансовые отделы и департаменты, службы внутреннего контроля, тендерные и коммерческие отделы организации.  Иногда заказчиком может являться сам собственник (группа собственников) или Совет директоров компании.

Как же все-таки определить место подразделения ИБ в рамках современной компании? По нашему  мнению, подразделение ИБ де факто выступает в роли «переводчика» между Бизнесом (его страхами и рисками) и техническими подразделениями (например, IТ или безопасности), в качестве формализатора требований и постановщика задач. Вместе с тем,  подразделение ИБ может выступать как контролер качества решения поставленных Бизнесом задач, которые выполняются  техническими и другими подразделениями, являющимися для подразделения ИБ исполнителями. Чего, например, подразделение по безопасности сделать не в состоянии.

Что же касается IТ-отдела, то, очевидно, что данное подразделение выполняет роль исполнителя, а не постановщика задач. При всем при этом оно является владельцем технической инфраструктуры организации, которая необходима для реализации технической составляющей ИБ.  Добавим к этому, что только на базе IТ-подразделения функционирует Служба поддержки пользователей (Service Desk), которая поддерживает и контролирует работоспособность технических инструментов и систем, используемых для обеспечения ИБ.

Подчиненность подразделения ИБ

Чтобы окончательно определиться с вопросом, кто для кого "слуга", а кто "господин", обратимся к порядку формирования информационной системы (ИС). Основа работы IТ-подразделения – это формирование, поддержание и развитие информационных каналов предприятия. При этом разработка и контроль выполнения основных правил работы с этими информационными каналами лежит на подразделении ИБ, то есть формирование самих коммуникационных каналов – это функция сервисного подразделения (подразделения ИТ), а формирование правил и контроль за их выполнением — функция  управляющего подразделения (подразделения ИБ).

Определение подчиненности подразделения ИБ достаточно уникально для каждой организации и зависит от множества параметров, таких как сложившаяся структура компании, ее размер, наличие финансовых средств, и даже от задач, которые поставлены перед подразделением ИБ.
Что бы читателю было проще, рассмотрим только наиболее распространенные схемы расположения подразделения ИБ в структуре организации (табл.2).

  • Подчиненность подразделения ИБ

    1

    Подразделение ИБ находится  внутри подразделения безопасности

    Между генеральным директором и руководителем подразделения ИБ стоит руководитель подразделения безопасности. Интересно, что именно этот вариант получил наибольшее распространение на практике

    2

    Подразделение ИБ находится внутри IТ-подразделения

    Руководитель подразделения ИБ подчиняется руководителю подразделения ИТ. Крайне редкая, но встречающаяся структура. Характерна для некрупных компаний с ярко выраженной IТ-направленностью бизнеса, либо если это один и тот же  сотрудник

    3

    Подразделение ИБ является самостоятельным и подчиняется непосредственно высшим руководителям компании

    В этом случае подразделение подчиняется Генеральному директору или Совету Директоров. Такое организационное решение обладает значительными преимуществами перед ранее перечисленными

    4

    Матричная структура

    Матричная структура управления — это структура органов управления, построенная на принципе двойного подчинения исполнителей. В этом случае руководитель подразделения ИБ может быть руководителем любого уровня с четко выделенными функциями, и ему функционально (не административно) подчинены (выделены для выполнения определенных задач) сотрудники других подразделений, например, сотрудники IT-сектора, отделов безопасности или внутреннего контроля

    Таблица 2

    В завершении этой части статьи хочу отметить, что при проведении мероприятий по информационной безопасности не лишним будет применение  мультидисциплинарного подхода. Данный подход предусматривает привлечение к взаимодействию и сотрудничеству руководителей всех уровней, пользователей, администраторов, аудиторов, специалистов по безопасности, а также специалистов по страхованию и управлению рисками.
    Нами умышленно не приводится описания достоинств и недостатков каждой из приведенных организационных схем, т.к. это предмет для отдельной статьи.

    Заключение

    Выстраивание эффективной со всех точек зрения организационной структуры компании — дело не легкое, но, увы, необходимое. Встраивание в существующую карту процессов компании процессы нового подразделения ИБ — тоже не сахар. Выбор оптимальной структуры для вашей компании — это ваш выбор, главное, что бы результат деятельности нового подразделения, ожидаемый топ-менеджментом, был оправдан, и желательно — на все сто!   Выбирайте то, что вам необходимо, думайте и пишите "Положение о подразделении ИБ". Грамотное обоснование необходимости, я уверен, не оставит ни одного собственника равнодушным, ибо кто же будет осмысленно делать хуже самому себе?

    Напоследок хочется напомнить, что актуальность создания подразделения ИБ, как мы говорили в  начале, обусловлена  большим объемом работы в части выполнения требований вступающего в силу с января 2010 г. Федерального закона "О персональных данных". Именно это подразделение поможет вашей компании обеспечить выполнение требований законодательства с минимальными финансовыми затратами.

  • Юрий Шойдин
    Директор по ИТ ГК "Интарсия"



    Опубликовано 28.10.2009