Вступить в Клуб Войти
Введите логин
Введите пароль
напомнить пароль

SPb CIO Club бросил взгляд на информационную безопасность

11.02.2009
На днях состоялось очередное совместное заседание SPb CIO Club и Комитета по информационным технологиям торгово-промышленной палаты Санкт-Петербурга в формате «Без Галстуков». В рамках мероприятия были организованы круглые столы, за которыми обсуждались роль и место службы информационной безопасности и ИТ-отдела в компании. Как заметили участники заседания, сегодня данная проблема становится все более актуальной, однако рынок удовлетворен лишь на 8 %.

  
Позавчера, 10 февраля, на очередном заседании «Без Галстуков» участники SPb CIO Club обратились к проблематике информационной безопасности (ИБ) в компаниях. Встреча проводилась в формате круглых столов, в рамках которых данный вопрос рассматривался с различных ракурсов. Куратором дискуссий выступил директор по IT ГК «Инарсия» и член правления SPb CIO Club Юрий Шойдин. Заметим, что на сегодня российский рынок информационной безопасности находится на стадии формирования, потребности его удовлетворены лишь на 8 %. Поэтому основные проблемы данной сферы концентрируются на недостатке квалифицированных кадров.

Что касается обсуждений в рамках SPb CIO Club, то за одним из круглых столов рассматривались задачи службы информационной безопасности (СИБ) в организациях, ее роль в эффективном функционировании информационной системы. Как заметили участники группы, глобальной целью такого подразделения в организации является предотвращение рисков, которые влекут за собой утечку информации. Для регуляции деятельность службы информационной безопасности необходимо создать документ, формулирующий положения политики ИБ конкретной компании. Далее рекомендуется провести аудит уже имеющейся информационной системы во всех ее аспектах – документах, процессах, технической составляющей – это позволит определить тот спектр услуг, который наиболее близок для рода деятельности той или иной организации. Данная процедура позволит сравнить текущее и необходимое состояние. После аудита следует классифицировать имеющиеся в организации объекты, подверженные рискам, а также составить список возможных угроз и мер по их предотвращению. Затем для адекватности реакций на «опасности» необходимо произвести количественную оценку рисков. Компания должна соотносить размеры ущерба конкретной угрозы со стоимостью ее предотвращения. Таким образом, организация формирует те мероприятия, которые необходимо провести по компенсации и предотвращению рисков. Закругляя процесс, служба информационной безопасности проводит мониторинг эффективности проделанной работы и формирует дальнейшие коррективы.
 
Другим, не менее важным вопросом заседания было определение заказчика и исполнителя задач информационной безопасности. Для того чтобы определить, кто располагает полномочиями выдвигать задачи ИБ, нужно понимать, что сама служба информационной безопасности создается под потребности бизнеса компании, а соответственно, заказ может исходить от любого подразделения, принимающего участие в бизнес-процессе организации. Специалисты же круглого стола рассмотрели данный вопрос с точки зрения участников бизнеса и выдвинули версию, что функциональными заказчиками выступают владелец компании, затем государство, клиенты и партнеры, а потом уже сотрудники компании.

Тема заказчиков и исполнителей задач по ИБ была затронута и группой, обсуждающей вопрос структуры службы информационной безопасности. Так, специалисты пришли к мнению, что ключевыми параметрами для определения места СИБ в компании будут размеры и зрелость бизнеса. По мнению участников данного круглого стола, в маленьких организациях роли службы безопасности, а также ИТ-директора совмещаются в одном человеке, соответственно, он является как заказчиком, так и исполнителем задач информационной безопасности. Кроме того, требования к безопасности может выдвигать и генеральный директор. Для таких компаний рекомендуется проводить точечный аудит.

Игрокам сегмента среднего бизнеса (от 100 человек) также не требуется отдельной СИБ, и постановкой задач могут заниматься как генеральный директор, так и CIO, однако таким компаниям необходимо проводить плановые внешние и внутренние аудиторские мероприятия.

Если же говорить о крупных организациях, то здесь можно наблюдать больше рисков и угроз в связи с большими степенями свободы при том, что цена вопроса поднимается в разы. Соответственно, инструменты защиты информации будут гораздо сложнее, чем в более мелких компаниях, а следовательно, появляется необходимость организации отдельной службы информационной безопасности. Как решили участники круглого стола, в данном случае ИТ-подразделение находится в составе департамента ИБ. Здесь СИБ формализует и ставит задачи, выступая в роли транслятора между самим бизнесом и отдельными техническими службами. Но, как заметил Юрий Шойдин, СИБ может находиться как в структуре службы безопасности, так и в составе ИТ-подразделения, также может выступать элементом контрольно-ревизионной службы. Более того, существуют модели, при которых СИБ является самостоятельным отделом и подчиняется только главному руководству, самым же распространенным вариантом является тот, когда подразделение СИБ входит в структуру службы безопасности, но находится в зависимости от линейного руководства или функционального топ-менеджмента (двоичное подчинение).
Обсуждения проходили и в рамках круглых столов SPb CIO Club
 
Резюмируя работу заседания, президент SPb CIO Club Максим Белоусов отметил: «Ранее в SPb CIO Club обсуждалась тема безопасности с точки зрения защиты информации и информационных систем, то есть вопросы были более узкими, «выдранными» из контекста. Мы забывали о самой сути информационной безопасности, о своей роли в ней. Сейчас мы обсудили данную проблематику с различных точек зрения и планируем внести данную тему в последующие мероприятия – заседания на Урале, в программу «Белых ночей» и др. Ведь сейчас, во время экономического кризиса, такие вопросы стоят достаточно остро в связи с тем, что ценность информации резко повысилась, и ущерб от ее потери или утечки будет еще более существенен.

Причем раньше бюджеты на проведение мероприятий в рамках политики информационной безопасности считались инвестиционными. Компании воспринимали такие проекты как единоразовые, после которых можно чувствовать себя в безопасности. Как выяснилось, это не работает. Организация должна постоянно заниматься контролем, профилактикой и сопровождением систем безопасности. Сейчас потребительский рынок пришел к выводу, что это все же должно проходить не в рамках инвестиций, а делегироваться в постоянные операционные затраты».

Другие публикации