Взаимодействие ИТ и ИБ

Мы уже писали о совместном семинаре Союза ИТ-директоров России (СоДИТ), Ассоциации Защиты Информации (АЗИ) и Института современного развития (ИНСОР), посвященном взаимодействию служб информационной безопасности (ИБ) и информационных технологий (ИТ). В нашем специализированном номере мы возвращаемся к этой теме и подробнее остановимся на ходе дискуссии, которую провели советник председателя Совета МОО АЗИ, председатель общественного консультативного совета по научно-технологическим вопросам информационной безопасности Комиссии по информационной безопасности при Координационном совете государств-участников СНГ по информатизации при Региональном содружестве связи Виктор Минин и директор по ИТ группы компаний «Интарсия» Юрий Шойдин.

Роль ИБ с разных точек зрения

 

В своем докладе президент ассоциации RISSPA Денис Муравьев назвал главной функцией ИБ обеспечение соответствия требованиям внешних регуляторов. Не все участники круглого стола согласились. Заместитель генерального директора Aladdin Software Security R.D. Алексей Сабанов привел контрпример открытия новой услуги дистанционного банковского обслуживания, которая должна учитывать требования ИБ совсем не из-за требований регуляторов. Тогда ведущие попросили присутствующих сформулировать задачу ИБ с точки зрения разных ролей в организации: собственников, службы безопасности, отдела ИБ и аудиторов.

Выяснилось, что собственник бизнеса ждет сокращения издержек, уменьшения убытков и недополученной прибыли. Он видит, что реализующиеся риски ИБ легко измеряются в деньгах и приводят к дополнительным издержкам для бизнеса. Подход службы безопасности таков: прежде всего, должна быть обеспечена сохранность всех информационных ресурсов, независимо от носителей. Безопасность каналов передачи информации и установка определенных административных режимов, их контроль. Отдел ИБ хочет не допустить утечек информации как изнутри от инсайдеров, так и снаружи в результате злонамеренных действий. Добиться спокойной жизни для развития бизнеса, обеспечить безопасность в широком смысле этого слова для всех видов деятельности предприятия. Причем, что важно, затратив на реализацию как можно меньше денег. А вот задачей с точки зрения аудитора как раз является проверка соответствия тем самым нормативным требованиям.

Генеральный партнер консалтинговой группы «А+» Сергей Лялин выделил три ключевых, важных для бизнеса показателя инфобезопасности. Первый - это окупаемость, вопрос необременительности внедряемых технологий для собственника, адекватности инвестиционных затрат. Во-вторых, технологии безопасности должны положительно влиять на главную цель любого предпринимательства -- показатели ожидаемой прибыли, EBITDA. В качестве третьего показателя можно выделить максимальное влияние безопасности на капитализацию бренда. Начальник службы ИБ КБ «Союзный» Михаил Левашов полностью согласился с мнением о том, что цель любой деятельности предприятия, связанной с ИБ – это повышение капитализации организации в случае открытой компании, и увеличение прибыли в любом другом случае. Улучшение финансовых показателей является целью любого подразделения, в том числе и ИБ.

Мы спросили одного из ведущих семинара, Юрия Шойдина, есть ли у него ощущение, что служба ИБ действительно часто большую часть времени тратит на поддержание «бумаг в порядке», на случай визита внешних регуляторов: «Для банков это так, а для всех остальных организаций данный риск ничтожен, но нормальная актуальная документарная система позволяет выявить и наказать виновных официальным способом. Что касается фискальных органов, то работающая система ИБ (даже без ИТ-инструмента) позволит оградить себя от неправомерных действий регуляторов». Главное не свалиться в «работу ради работы», а именно цель не выявить и наказать, а предупредить и недопустить утечки или потери служебной и иной информации компании.

Диалог можно было начать год назад

 

Сергей Лялин в своем докладе указал основные причины плохой организации взаимодействия между ИБ и ИТ на предприятиях. В почти тысяче страховых компаний, функционирующих сейчас на рынке финансовых услуг, для которых актуальным становится исполнение закона о персональных данных, руководство пока не проявляет в связи с этим никакой озабоченности. Хотя из 64 существующих рисков бизнес-функционирования в страховании примерно треть относится к безопасности. Существует запаздывание реакции компаний на внешние требования. Выработку рекомендаций, касающихся взаимодействия ИТ и ИБ можно было начать уже год назад. «Скорее всего это надо рассматривать в разрезе желания руководителей верхнего уровня, их понимания необходимости построить СУИБ, -- комментирует Юрий Шойдин. -- Все почему-то считают, что приняв один документ можно считать что ИБ работает, но это некий конгломерат из документов и мероприятий. ИБ все-таки система, ее процессы надо выстраивать и контролировать их работоспособность. У меня как ИТ-руководителя основная проблема заключается в понимании руководством системности выполнения некого (необходимого для минимизации рисков) набора мероприятий».

Сергей Лялин рассмотрел ситуации, в которых возникает конфликт между ИТ и ИБ подразделениями. Когда путаются технологический, управленческий и экономический аспекты деятельности. Когда идет борьба амбициозных людей за властные функции. Заказчиком и у ИТ, и у ИБ является не собственник и не управляющий орган. Эти люди, как правило, решают другие проблемы. Необходимо правильно делегировать полномочия, разделять ответственности по управлению рисками и доверять их профессионалам. Правильно расставлять кадры, готовить их и мотивировать. Вот тогда особой остроты в дискуссии не возникает. Если у руководителей все в порядке с профессиональным признанием, удовлетворением собственных амбиций, то совместная работа будет проходить легко и свободно. Не будет возникать кризиса целей и профессиональной состоятельности. Сейчас большинство офицеров безопасности, к сожалению, в полной степени себя не реализует на рынке предоставляемых ими услуг.

Юрий Шойдин на наш вопрос о том, действительно ли предприятия реагируют на возможное появление требований с опозданием, сказал: «Несомненно, инертность присутствует и она растет в зависимости от размеров компании. Впрочем, как и риски по этим параметрам. Любой бизнес имеет свое основное направление и если это не профильная провайдинговая компания, то объяснить высшему руководству проблематику неразглашения персональных данных достаточно тяжело. Они ее просто не понимают. В моем случае удалось рассказать на простых примерах». Михаил Левашов высоко ставит также и роль регуляторов в подобных объяснениях руководству компаний. Это единственная и основная сила, способная привлечь к этой сфере деятельности внимание тех владельцев бизнеса, которые до сих пор не уделяли должного внимания, например, защите персональных данных.

Организационная структура

 

Много времени участники  посвятили вопросу о том, где на предприятии должно располагаться подразделение ИБ. Михаил Левашов выделил несколько возможных организационных структур. В первой, распространенной в банковской сфере, ИБ встроена в структуру службы безопасности. Вторая схема чаще встречается в телекоммуникационных компаниях – разные блоки ИБ расположены либо в службе безопасности, либо в ИТ. Существуют и такие экзотические случаи, когда и ИТ-подразделение входит в службу безопасности, а общее руководство осуществляет ее начальник. Есть еще менее распространенный вариант – служба ИБ входит в обязательную для банков службу внутреннего контроля. Каждая из этих структур имеет свои достоинства и недостатки.

Если ИБ подчинена службе безопасности, то руководители службы, как правило, это действующие или отставные офицеры, компетенция которых в вопросах ИБ не устраивает непосредственно обеспечивающих информационную безопасность сотрудников, которым при такой схеме работы тяжело «достучаться» до своего руководства. Если ИБ находится в подчинении у ИТ, то главным недостатком можно назвать невозможность самоконтроля и сваливание системы к техническим инструментам. С точки зрения руководителей ИБ самих айтишников должно контролировать внешнее относительно ИТ подразделение, а не его составная часть. В идеале руководитель службы ИБ хочет обладать прямым выходом на руководство предприятия, которое обеспечит решение его задач.

ИТ-директор «Банк24.ru» Николай Петелин на примере своего банка выделил плюсы организационной схемы из двух самостоятельных служб. Во-первых, у ИТ-директора появляется союзник, который помогает в битвах за статьи бюджета. Во-вторых, задача выявления и анализа рисков уходит в другой отдел, а главных айтишник может сфокусироваться на технической реализации поставленных требований. Так видится эффективное взаимодействие двух отдельных служб.

Отвечая на вопрос ведущего о взаимоотношении ИТ и ИБ в компаниях, где функции ИТ отдаются на аутсортинг, Сергей Протопопов из группы компаний Роспечать рассказал, что в его случае при выделении ИТ в отдельное юридическое лицо, служба безопасности остается в составе компании. Контакт между этими подразделениями можно сравнить с работой законодательного и исполнительного органов в государстве. СБ – законодательный, а ИТ -  исполнительный орган. Если же речь заходит о проактивном управлении рисками, о заблаговременном их выявлении -- это задача выделенной ИТ-компании, но дальше идеи выносятся на уровень службы безопасности и окончательные решения по принятию мер происходят именно там.

Резюме

На закрытии семинара председатель правления МОО СоДИТ и директор департамента по ИТ НПФ «Благосостояние» Борис Славин отметил, что в целом участники встречи пришли к тому, что служба ИБ должна позиционироваться отдельно от ИТ. Несмотря на то, что в 30% случаев это не так. А CISO, как руководитель этой службы, должен координировать все касающиеся ИБ вопросы. CISO необходимо обучать, сертифицировать и т.д.       ИБ должна представлять из себя один из бизнес-процессов компании, организация должна управлять рисками ИБ. Информационная безопасность должна стать частью корпоративной культуры, включать в себя политики, регламенты, обучение сотрудников. Это не столько контроль, сколько создание некой лояльности внутри компании к этому подразделению. Эти пункты вошли в рекомендации Союза ИТ-директоров, Ассоциации Защиты Информации и Института современного развития и для ИТ, и для офицеров безопасности.

Юрий Шойдин прокомментировал результаты семинара так: «Выделение двух служб сильно зависит от размера компании. Далеко не все могут позволить себе иметь два затратных подразделения. В целом я согласен с итоговым документом. Задачи по ИБ должен ставить и контролировать именно безопасник, т.к. ИТ -- это все-таки только инструмент их решения. Если компания большая, то выделение службы ИБ оправдано и оно занимается своими вопросами, хотя при этом ИТ все равно остается инструментом вписанным в некую документарную систему. Так что документарная основа - прежде всего. ИБ можно реализовать и без технических средств, СССР в этом смысле отличный пример. ИТ же дает возможность профилактики, контроля, но наказывать или проводить судебные разбирательства все равно придется на основании документов».