Взаимодействие двух служб

Роль ИБ с разных точек зрения

 
Начнем с одного из дискуссионных моментов. В своем докладе президент ассоциации RISSPA (Russian Information Systems Security Professional Association) Денис Муравьев назвал главной функцией службы ИБ обеспечение соответствия требованиям внешних регуляторов, в качестве которых могут выступать, например, Федеральная служба по техническому и экспортному контролю (ФСТЭК) или Центральный банк РФ. Не все участники круглого стола согласились с этим. Заместитель генерального директора Aladdin Software Security R. D. Алексей Сабанов в качестве контраргумента назвал открытие новой услуги дистанционного банковского обслуживания, которая должна учитывать требования ИБ совсем не из‑за возможных проверок регуляторами. Тогда ведущие попросили присутствующих сформулировать задачу ИБ с точки зрения разных ролей в организации — соб­ственников, службы общей безопасности и аудиторов.
 
Выяснилось, что собственник бизнеса ждет сокращения издержек и уменьшения недополученной прибыли. Он видит, что реализованные риски ИБ легко измеряются в деньгах и приводят к дополнительным издержкам в бизнесе. Подход службы общей безопасности таков: отдел ИБ прежде всего должен обеспечить сохранность всех информационных ресурсов независимо от того, на каком носителе они располагаются, и защиту каналов передачи информации; установить определенные административные режимы и контролировать их соблюдение. А вот с точки зрения аудитора основной задачей ИБ как раз является соответствие тем самым нормативным требованиям. Генеральный партнер консалтинговой группы «А+» Сергей Лялин выделил три ключевых для бизнеса показателя информбезопасности. Первый — это окупаемость, что так или иначе связано с необременительностью внедряемых технологий для собственника и адекватностью инвестиционных затрат. Во-вторых, технологии безопасности должны положительно влиять на один из главных показателей любого предпринимательства — ожидаемую прибыль (EBITDA — earnings before interests tax, depreciation and amortization). В качестве третьего показателя по словам Сергея Лялина можно выделить максимальное влияние безопасности на капитализацию бренда. Начальник службы информационной безопасности КБ «Союзный» Михаил Левашов полностью согласился с тем, что любая деятельность предприятия, связанная с ИБ, направлена на повышение капитализации, если компания является открытой, и на увеличение прибыли во всех других случаях. Улучшение финансовых показателей, как он считает, — это цель любого подразделения, в том числе и ИБ.
Мы спросили одного из ведущих семинара, Юрия Шойдина, есть ли у него ощущение, что многие службы ИБ действительно бóльшую часть времени уделяют поддержанию «бумаг в порядке» на случай визита внешних регуляторов, и вот что он ответил: «Для банков это так, а для всех остальных организаций данный риск ничтожен, но нормальная актуальная документарная система позволяет вычислить и наказать виновных официальным способом. Что касается фискальных органов, то работающая система ИБ (даже без ИТ-инструмента) позволит оградить себя от неправомерных действий регуляторов».

ИТ даёт доступ, а ИБ его закрывает

Денис Батранков 
Консультант по информационной безопасности IBM в России и СНГ
Результаты семинара имеют явную практическую значимость: можно не задумываться о некоторых вопросах при создании подразделения ИБ в компании, а брать и использовать выработанные рекомендации. Как правило, все дискуссии о взаимодействии ИТ- и ИБ-подразделений заканчиваются выводом, что они должны быть формально разделены и при этом оставаться на одном уровне в иерархии компании. Цель такого приёма в том, чтобы их влияние друг на друга осуществлялось через владельца бизнеса. Это решение по сути вытекает из их изначально противоположных задач: ИТ даёт доступ, а ИБ его закрывает. Выведенная на семинаре идея подтверждает, что такая схема взаимодействия ИТ и ИБ создает систему сдержек и противовесов, позволяя бизнесу развиваться эффективно и в нужном направлении. В компаниях, где дело обстоит иначе, тому есть множество причин: амбиции отдельных сотрудников, присутствие всего одного человека в «отделе» ИБ, непонимание значимости обеспечения информационной безопасности и т. д. Я бы избегал использования слова «затратное» при упоминании подразделения ИБ. Если владелец бизнеса нанял хоть одного человека, отвечающего за безопасность информации в его компании, то он понимает выгоду. Подразделение ИБ совместно с ИТ-отделом занимается выбором и эксплуатацией надежных решений для устойчивого развития бизнеса. При этом служба ИБ помогает всему персоналу компании обеспечивать её комплексную безопасность. Ведь в конечном итоге об ИБ должен заботиться каждый сотрудник предприятия.

Диалог можно было начать год назад

Сергей Лялин в своем докладе указал основные причины плохой организации взаимодействия ИБ- и ИТ‑служб на предприятиях. В тысяче страховых компаний, функционирующих сейчас на рынке финансовых услуг, становится актуальным исполнение закона о персональных данных, однако руководство пока не проявляет в связи с этим никакой озабоченности. Даже несмотря на то, что из 64 имеющихся на сегодня рисков бизнес-функционирования в страховании примерно треть относится к безопасности. Существует запаздывание реакции компаний на внешние требования, поскольку выработку рекомендаций, касающихся взаимодействия отделов ИТ и ИБ, можно было начинать, скажем, ещё год назад. «Скорее всего это надо рассматривать в разрезе желания руководителей верхнего уровня, их понимания того, что необходимо построить систему управления информационной безопасностью, — комментирует Юрий Шойдин. — Все почему‑то считают, что приняв один документ, можно считать, что ИБ уже является рабочим инструментом, но на самом деле это некий конгломерат документов и мероприятий. ИБ все‑таки система, ее процессы надо выстраивать и затем контролировать их работоспособность. У меня как ИТ-руководителя основная проблема заключается в том, чтобы заставить руководство понять системность выполнения некого набора мероприятий».

Сергей Лялин рассмотрел ситуации, в которых возникает конфликт между ИТ- и ИБ-подразделениями. По его мнению, это происходит тогда, когда путаются технологический, управленческий и экономический аспекты деятельности. А также если идет борьба амбициозно настроенных людей за властные функции. Заказчиком и у ИТ-, и у ИБ‑службы является не собственник и не управляющий орган. Эти люди, как правило, решают другие проблемы. Необходимо правильно делегировать полномочия, разделять ответственность по управлению рисками и доверять её профессионалам. Вот тогда особой остроты в дискуссии не возникает. Если у руководителей все в порядке с профессиональным признанием, удовлетворением собственных амбиций, то совместная работа будет проходить легко и свободно. Не возникнет кризиса целей и профессиональной состоятельности. Сейчас большинство офицеров безопасности, к сожалению, в полной степени себя не реализует на рынке предоставляемых ими услуг.

На наш вопрос о том, действительно ли предприятия с опозданием реагируют на возможное появление требований, Юрий Шойдин сказал: «Несомненно, инертность существует, и она растет в зависимости от размеров компании. Впрочем, как и риски по этим параметрам. Любой бизнес имеет свое основное направление, и если это не профильная компания-провайдер, то объяснить высшему руководству проблематику неразглашения персональных данных довольно тяжело. Они ее просто не понимают. В моем случае с помощью простых примеров мне все же удалось донести важность данной проблемы до менеджеров». Михаил Левашов высоко ставит также и роль регуляторов в подобных объяснениях с руководителями компаний. Это единственная и основная сила, способная привлечь к этой сфере деятельности внимание тех владельцев бизнеса, которые до сих пор не уделяли должного внимания, скажем, той же защите персональных данных.

В России требования к ИБ явно завышены и противоречивы

Антон Чернышев 
Руководитель отдела криптографических систем CompuTel
Для компаний, работающих в сегменте высокозащищенных криптографических решений (международные платежные и расчетные системы), сохранность денежных средств напрямую связана с информационной безопасностью. Утечка нескольких десятков байт может привести к потере сотен миллионов долларов. Подобные системы строятся исходя из принципа, что никакой человек ни в какой момент времени не должен получить единоличный контроль над критически важной информацией. В данном случае ИБ является непосредственной частью бизнеса и директивы этой службы не подлежат обсуждению со стороны иных подразделений. Сама служба ИБ строится в соответствии с директивами международных платежных систем (регуляторов) на основе наилучшей отраслевой практики и проходит аудит в соответствии с требованиями стандартов (например, PCI-DSS). Отчетность и соответствие требованиям внешних регуляторов в таких системах строго обязательны.

Так что в высказывании Дениса Муравьева нет явного противоречия с тем примером, который привел Алексей Сабанов. Ведь всё, что происходит в рамках политики ИБ, делается не для галочки, а чтобы гарантировать безопасность бизнеса. В России требования к ИБ явно завышены и противоречивы, и их выполнение ведет к чрезмерным издержкам для компаний. В практике же международных платежных систем завышенные требования не встречаются: только выверенные десятилетиями борьбы с мошенниками практические требования. На наш взгляд, российские компании могут смело заимствовать этот опыт.

Организационная структура

Много времени участники посвятили вопросу о том, где на предприятии должно располагаться подразделение ИБ. Михаил Левашов выделил несколько возможных организационных структур. В первой, распространенной в банковской сфере, ИБ встроена в структуру службы общей безопасности. Вторая схема чаще встречается в телекоммуникационных компаниях: разные блоки ИБ расположены либо в службе безопасности, либо в ИТ-отделе. Существуют и такие экзотические случаи, когда и ИТ-подразделение входит в службу безопасности, а общее руководство осуществляет ее начальник. Наконец, наименее распространенный вариант: служба ИБ входит в обязательную для банков службу внутреннего контроля. Каждая из этих структур имеет свои достоинства и недостатки.

Если ИБ подчинена службе безопасности, то начальниками там, как правило, являются действующие или отставные офицеры, чья компетенция в вопросах ИБ не устраивает непосредственно обеспечивающих информационную безопасность сотрудников, которым при такой схеме работы тяжело «достучаться» до своего руководства. Если ИБ находится в подчинении у ИТ, то здесь главный недостаток заключается в невозможности самоконтроля. Как считают руководители ИБ, самих специалистов по информационным технологиям должно контролировать внешнее относительно ИТ подразделение, а не его составная часть. В идеале менеджеру ИБ‑службы необходим прямой выход на руководство предприятия, которое обеспечит решение его задач. ИТ-директор «Банк24.ru» Николай Петелин на примере своей компании выделил плюсы организационной схемы из двух самостоятельных служб. Во-первых, у него появляется союзник, который помогает в битвах за статьи бюджета. Во-вторых, задача выявления и анализа имеющих отношение к ИТ-направлению рисков уходит в другой отдел, и ИТ‑специалисты могут сфокусироваться на технической реализации поставленных перед ними требований. Так видится эффективное взаимодействие двух отдельных служб.

Отвечая на вопрос ведущего о взаимоотношении ИТ- и ИБ‑служб в организациях, где функции ИТ отдаются на аутсортинг, Сергей Протопопов, заместитель генерального директора ИТ-компании «Карма ИТ», входящей в холдинг «Роспечать», рассказал, что в его случае при выделении ИТ в отдельное юридическое лицо служба безопасности остается в составе компании. Контакт между двумя подразделениями можно сравнить с работой законодательного и исполнительного органов в государстве (служба безопасности — законодательный, ИТ-отдел —исполнительный). Если же речь заходит о проактивном управлении рисками, о заблаговременном их выявлении, то это задача выделенной ИТ-компании, но дальше идеи выносятся на уровень службы безопасности и окончательные решения по выбору мер принимаются именно там.

Резюме

На закрытии семинара председатель правления СоДИТ и директор департамента по ИТ НПФ «Благосостояние» Борис Славин отметил, что в целом участники встречи пришли к тому, что служба ИБ должна позиционироваться отдельно от ИТ, хотя на практике в 30% случаев это не так. А директор по информационной безопасности как руководитель соответствующей службы должен координировать все вопросы, касающиеся ИБ. Ему следует обращать пристальное внимание на обучение сотрудников, их сертификацию и т. д. Обеспечение ИБ должно представлять из себя один из бизнес-процессов компании, которая должна управлять соответствующими рисками.

Информационная безопасность должна стать частью корпоративной культуры, включать в себя политики, регламенты, программы обучения сотрудников. Это не столько контроль, сколько формирование лояльности внутри компании по отношению к этому подразделению. Такие пункты вошли в рекомендации СоДИТ, МОО АЗИ и ИНСОР, адресуемые как ИТ-руководителям, так и офицерам безопасности.

Юрий Шойдин прокомментировал результаты семинара следующим образом: «Выделение двух служб сильно зависит от размера компании. Далеко не все могут позволить себе иметь два затратных подразделения. В целом я согласен с итоговым документом. Задачи по ИБ должен ставить и контролировать именно безопасник, поскольку ИТ — это все‑таки лишь инструмент их решения. Если компания большая, то выделение службы ИБ оправданно, она занимается своими вопросами, хотя при этом ИТ все равно остаются инструментом, вписанным в некую документарную систему. Так что система документов — прежде всего. ИБ можно реализовать и без технических средств, СССР в этом смысле отличный пример. А вот ИТ дают возможность профилактики и контроля, хотя наказывать или проводить судебные разбирательства все равно придется по документам».
 
Автор: Денис Легезо