Зачем компании подразделение ИБ

Не смотря на то, что уже не раз были публикации на тему зачем и кому нужна информационная безопасность (ИБ) в компании, в каком блоке организационной структуры она должна находиться и не смотря на имеющиеся в открытом доступе "Рекомендации" разработанные Российским Союзом ИТ директоров (СоДИТ) совместно с Ассоциацией защиты информации (АЗИ), количество вопросов поступающих от ИТ менеджмента не сокращается.

На наш взгляд это говорит о том, что руководители организаций начали уделать данному вопросу повышенное внимание, что само по себе не может не радовать. Каким образом решить вопросы ИБ в компании, кому отдать ведущую роль айтишнику или безопаснику, в чем заключается функция ИБ в организации? Постараемся ответить на эти вопросы и быть предельно краткими, дабы не утруждать занятых людей чтением. Для тех, кого эта тема заинтересует глубже или появятся конкретные вопросы, обращайтесь в СоДИТ (rucio.ru) и мы с удовольствием на них ответим или постараемся дать дельную рекомендацию.
 
Волки и овцы

Нельзя заранее правильно определить, 
какую сторону бутерброда мазать маслом.
Закон Мэрфи

Вы задумывались почему в большинстве компаний существует конфликт между ИТ подразделением и подразделением безопасности? Все достаточно просто. Это системный конфликт. На что направлена работа ИТ подразделения? На развитие ИТ инфраструктуры, на увеличение скорости и объема передачи информации, на увеличение количества пользователей информационной системы организации, на увеличение доступности информации и прочее, прочее... Согласитесь, если не создать правила для этого технологического прогресса мы рискуем получить вместо прогресса - технологический хаос взаимодействий.

Теперь давайте посмотрим в чем состоит основная функция подразделения безопасности. В том, что бы исключить возможные риски организации, вызванные ее деятельностью. Не вызывает сомнения, что деятельность организации невозможна без деятельности ее сотрудников, которые работают с разными информационными потоками, системами и носителями. В этом случае подразделение безопасности вынуждено выступать физическим ограничителем распространения внутренней информации компании и механизмом ее (информации) контроля. К сожалению методов для наведения порядка, в проносящейся мимо и витающей в воздухе информации, не так много, и в основном это методы запретно-ограничительного характера, основанные на системе внутренних регламентирующих документов и технических инструментах, позволяющих контролировать исполнение оных документов. Данные методы, без сомнения, утяжеляют и бюрократизируют основные информационные процессы организации местами существенно их замедляя. Вы представляете как работать айтишнику если дать волю безопасникам?

Давайте резюмируем, что мы получаем в результате? А в результате - явный конфликт между ИТ подразделением и подразделением безопасности. И думаю, что не ошибусь, сказав, что в этом конфликте сегодня скорее всего победит безопасность, поскольку собственникам и ТОП менеджерам гораздо спокойнее иметь контролируемые информационные потоки. Но тут же возникает вопрос, а работать то кто будет? То есть технически выполнять мероприятия по защите информации. 

Давайте рассмотрим ставшую типичной в 2009 году ситуацию, которую я наблюдал далеко не в одной компании. В связи с вступлением в силу федерального закона "О персональных данных" некоторым компаниям приходят извещения о грядущей проверке их информационной системы на предмет выполнения требований закона. Как Вы думаете, Генеральный директор, получая такое извещение кому должен поставить задачу?

Нет смысла строить догадки, все просто: ИТ руководитель всегда перегружен, у него в условиях кризиса урезали штат, зоопарк из девайсов и систем требует постоянного внимания, да и вообще он не представляет что такое персональные данные, с чем их едят и зачем ему эта безопасность. Руководитель же подразделения безопасности ничего сделать не в состоянии, потому, что кроме документов, функции контроля и работы с прецедентами у него в инструкции ничего нет, да и в автоматизированных информационных системах, где хранятся персональные данные он ничего не смыслит. И директор решает: вот вам задача одна на двоих. Идите работайте. Результат подобного решения вобщем-то предсказуем. Задача не имеющая ответственного - решена скорее всего не будет.
 
Что делать

Когда дела идут хорошо, что-то должно 
случиться в самом ближайшем будущем.
Закон Мэрфи

Не вызывает сомнения тот факт, что ценность информации, хранящейся и передаваемой на разных носителях, временами становится сопоставимой со стоимостью самих услуг, оказываемых организациями своим клиентам. В этой связи задачи, стоящие в области безопасности информации, все более и более становятся задачами безопасности вообще всей компании, а иногда даже бизнеса.

Что бы решить ситуацию, описанную в предыдущем разделе, или хотя бы направить ее в нужное русло возможного решения, в компании необходимо выделить непрофильные функции безопасности и ИТ подразделения и передать их выполнение специальному подразделению или сотруднику. В дальнейшем в тексте я буду использовать понятие - "подразделение ИБ", наверное не стоит объяснять что это может быть как целая служба (СИБ), так и отдельный сотрудник (CISO).

Организация осознавшая это и понявшая, что скупым быть в данной области опасно, готова к выделению финансовых ресурсов для создания специализированного подразделения основной задачей которого была бы информационная безопасность. При этом если в организации при всем понимании ситуации ничего не происходит, т.е. выделение и передача функций ИБ не производится, то это бездействие можно объяснить только тем, что ТОП менеджмент не может правильно сформулировать и поставить задачу данному подразделению, не может правильно выбрать форму и место такого подразделения в компании, а просто так тратить деньги в условиях кризиса не готов. 
Думаю, что основные моменты, приведенные в данной статье смогут помочь разобраться в том какие задачи необходимо поставить новому подразделению и какое место в орг.структуре компании для него выделить.

Задачи подразделения ИБ

Руководство всегда озадачивается безопасностью своей 
компании только после того, как ее уже взломали.
Закон Мэрфи

Ради шутки вспомним старый тост, имевший широкое хождение в начале 90-х годов - "хочу что бы у меня все было и мне за это ничего не было". Основной целью подразделения ИБ является предотвращение реализации возможных рисков, связанных с утечкой или потерей информации для компании, которая основана на понимании, формулировании и удовлетворении осознанных пожеланий бизнеса.

Смотрите, как интересно, подразделение ИБ должно не только "предугадывать" возможные проблемы, связанные с неконтролируемым распространением внутренней информации компании, но и понимать сам Бизнес и уметь правильно формулировать требования этого самого Бизнеса. Для чего это? На самом деле все просто, именно эта фраза определяет местоположение ИБ, как отдельной функции, в структуре организации, а именно, это то самое подразделение, которое в состоянии сбалансировать стремления ИТ подразделения уйти в космические дали технологического прогресса и бюрократическую приземленность умноженную на любовь к ограничениям  подразделения безопасности, но об этом чуть ниже.

Давайте рассмотрим, что должно делать вновь созданное или создаваемое в компании подразделение ИБ. Конечно, приведенный нами ниже перечень достаточно условен, да и обозначенные задачи и их последовательность может отличаться в каждом конкретном случае, но в общем я думаю, что мы не далеки от истины.

Основные задачи подразделения ИБ:

1. Разработка и внедрение документов, регламентирующих деятельность как подразделения, так и самой организации. Одним из наиболее важных документов является «Политика ИБ».
2. Проведение анализа существующей информационной системы (ИС) в данном случае есть смысл рассматривать ИС в широком смысле, а не только имея ввиду ее автоматизированную часть к которой могут относиться различные БД и учетное ПО .
3. Выявление уязвимых мест (элементов) ИС и оценка возможных рисков утечек в этих местах. То есть понимание того, ЧТО может утечь, КУДА может утечь и КАКИЕ негативные последствия эта утечка сможет спровоцировать. 
4. Анализ реализации рисков и их последствий. В данном действии есть сакральный смысл - именно оценка реализации рисков с финансовой точки зрения даст понимание Вам и ТОП менеджменту компании сколько денег вы можете потерять не занимаясь этим вопросом, а соответственно и сколько денег Вы готовы потратить на обеспечение безопасности своей информации.
5. Разработка мероприятий по снижению или устранению рисков. Согласитесь, что только понимая свой бюджет вы сможете составить реальный план действий и работы подразделения ИБ.

В дальнейшем, если зрелость вашей компании достаточно высока необходимо участие подразделения ИБ в следующих процессах компании:

 1. Участие в стратегическом планировании. Данный процесс, если он в вашей компании присутствует, без сомнения поможет вам правильно понять и сформулировать требования бизнеса к будущим задачам по ИБ и сформировать необходимый план работ и бюджет на новый период. 
2. Участие в разборе инцидентов и выработка мер по исключению повторения в будущем наиболее типичных инцидентов. Для простоты это можно пояснить как профилактическая деятельность, которая в последствии должна снизить нагрузку на подразделение ИБ.
3. Выявление объектов защиты и соотнесение используемых мер с действующим законодательством и нормативными актами компании. Для многих компаний это уже высший пилотаж, поскольку для начала нужно решить огромное количество юридических, логических и финансовых проблем. Например, легализовать все установленное в компании программное обеспечение.

В качестве комментария можно заметить, что усредненный размер затрат на информационную безопасность, в зависимости от типа компании, бизнеса и совокупной стоимости рисков может рассматриваться от 15-20% стоимости рисков, до 5-10% годового оборота. 
Будем считать, что с основными задачами и процессами, в которых может участвовать подразделение ИБ, мы разобрались. Теперь, чтобы решить вопрос о месте подразделения ИБ в организационной структуре компании надо понять , а кто является постановщиком этих задач и для кого подразделение ИБ будет исполнителем, а для кого заказчиком.

Заказчики ИБ

Экспертом по безопасности, как и знатоком футбола, 
считает себя каждый второй (не считая каждого первого).
Закон Мэфи

Из самого определения цели существования подразделения ИБ следует то, что заказчиком у данного подразделения может быть только сам Бизнес, то есть Бизнес, как набор подразделений, участвующих в основном бизнес-процессе. В этом процессе задействованы подразделения основной цепочки получения прибыли, которые и могут быть функциональными заказчиками задач ИБ.

Тем не менее, можно выделить ряд подразделений, которые в силу своей деятельности чаще остальных являются заказчиками у подразделения ИБ, например: подразделения безопасности, финансовые отделы и департаменты, службы внутреннего контроля, тендерные и коммерческие отделы организации.  Иногда заказчиком может являться сам собственник (группа собственников) или Совет директоров компании.

Как же все-таки определить место подразделения ИБ в рамках современной компании? По нашему  мнению подразделение ИБ, де факто, выступает в роли «переводчика» между Бизнесом (его страхами и рисками) и техническими подразделениями, например ИТ или безопасность, в качестве формализатора требований и постановщика задач. Вместе с тем,  подразделение ИБ может выступать как контролер качества решения поставленных Бизнесом задач, которые выполняются  техническими и другими подразделениями, являющимися для подразделения ИБ исполнителями. Чего, например, подразделение по безопасности сделать не в состоянии.

Что же касается подразделения ИТ, то, очевидно, что данное подразделение выполняет роль исполнителя, а не постановщика задач. При всем при этом подразделение ИТ является владельцем технической инфраструктуры организации, которая необходима для реализации технической составляющей ИБ.  Добавим к этому, что только на базе ИТ подразделения функционирует Служба поддержки пользователей (Service Desk), которая поддерживает и контролирует работоспособность технических инструментов и систем используемых для ИБ.

Чтобы окончательно определиться с вопросом кто для кого "слуга", а кто "господин" обратимся к порядку формирования информационной системы (ИС). Основа работы ИТ подразделения – это формирование, поддержание и развитие информационных каналов предприятия. При этом разработка и контроль выполнения основных правил работы с этими информационными каналами лежит на подразделении ИБ, то есть формирование самих коммуникационных каналов – это функция сервисного подразделения (подразделение ИТ), а формирование правил и контроль их выполнения - функция  управляющего подразделения (подразделение ИБ).

В завершении этого раздела хочу отметить, что при проведении мероприятий по информационной безопасности не лишним будет применение  мультидисциплинарного подхода. Данный подход предусматривает привлечение к взаимодействию и сотрудничеству руководителей всех уровней, пользователей, администраторов, аудиторов, специалистов по безопасности, а также специалистов по страхованию и управлению рисками.

Подчиненность подразделения ИБ

Всякое решение плодит новые проблемы
Закон Мэрфи

Определение подчиненности подразделения ИБ достаточно уникально в каждой организации и зависит от множества параметров, таких как сложившаяся структура компании, ее размер, наличие финансовых средств, и даже от задач, которые поставлены перед подразделением ИБ.

Что бы читателю было проще, рассмотрим только наиболее распространенные схемы расположения подразделения ИБ в структуре организации.

Подразделение ИБ находится  в структуре подразделения безопасности. 
То есть между Генеральным директором и руководителем подразделения ИБ стоит руководитель подразделения безопасности. Интересно, что именно этот вариант получил наибольшее распространение на практике.

Подразделение ИБ находится в структуре ИТ подразделения.
То есть руководитель подразделения ИБ подчиняется руководителю подразделения ИТ. Крайне редкая, но встречающаяся структура. Характерна для не крупных компаний с ярко выраженной ИТ направленностью бизнеса, либо если это один и тот же  сотрудник.

Подразделение ИБ является самостоятельным и подчиняется непосредственно высшим руководителям компании.
В этом случае подразделение подчиняется Генеральному директору или Совету Директоров. Такое организационное решение обладает значительными преимуществами перед всеми ранее перечисленными.

Матричная структура.
Матричная структура управления - структура органов управления, построенная на принципе двойного подчинения исполнителей. В этом случае Руководитель подразделения ИБ может быть руководителем любого уровня с четко выделенными функциями и ему функционально (не административно) подчинены (выделены для выполнения определенных задач) сотрудники других подразделений, например, сотрудники ИТ подразделения, подразделений безопасности или внутреннего контроля.

Нами умышленно не приводится описания достоинств и недостатков каждой из приведенных организационных схем, т.к. это предмет отдельной статьи.

Заключение

Приглашенные эксперты по безопасности 
всегда кажутся лучше своих собственных.
Закон Мэрфи

Выстраивание эффективной, во всех аспектах, организационной структуры компании дело не легкое, но увы необходимое. Встраивание в существующую карту процессов компании процессы нового подразделения ИБ тоже не сахар. Выбор оптимальной структуры для вашей компании - это ваш выбор, главное что бы результат деятельности нового подразделения, ожидаемый ТОП менеджментом был оправдан и желательно на все сто!   Выбирайте то, что вам необходимо, думайте и пишите "Положение о подразделении ИБ", грамотное обоснование необходимости, я уверен, не оставит ни одного собственника равнодушным, ибо кто же будет осмысленно делать хуже самому себе.

В заключении хочется напомнить, что актуальность создания подразделения ИБ, как я писал в  начале, обусловлена  большим объемом работы в части выполнения требований вступающего в силу с января 2010 года Федерального закона "О персональных данных". Именно это подразделение поможет Вашей компании обеспечить выполнение требований законодательства с минимальными финансовыми затратами, в противном случае Вам придется обращаться к внешним консультантам, а это не всегда эффективно. Да минует Вас чаша сия.