Роль и место отдела ИБ в системе управления крупной фирмы

Роль и место отдела ИБ в системе управления крупной фирмы

Дмитрий ГОЛОВИН, начальник отдела информационной безопасности филиала КОО "ДРИОП ЭНТЕРПРАЙЗИС ЛИМИТЕД"

В ЭТОТ РАЗ мне досталась достаточно непростая задача - написать статью о месте отдела ИБ в составе крупной организации. Почему я был озадачен? Все просто - в России мало кто следует стандартам, и разброс их настолько широк, что потребует гораздо больше места, чем предусмотрено в рамках этой статьи. Тем не менее я постараюсь разобрать наиболее часто встречающиеся варианты.

Прямое подчинение руководителю

Наилучшим решением для подразделения ИБ служит прямое подчинение руководителю организации. К сожалению, этому мешает несколько моментов.

Первый момент - это статус. При организации работ начальник подразделения ИБ получает статус как минимум директора департамента, а то и заместителя руководителя. Много ли руководителей, которые готовы предоставить такой статус? Увы - нет.

Вторым моментом является экономия. Несмотря на то что современные руководители свободно оперируют понятием "риск", мало кто в состоянии сделать финансовую оценку потерь от его реализации. Но именно в такой ситуации подразделение ИБ получает возможность максимально влиять на ситуацию в целом. Руководитель подразделения имеет возможность напрямую общаться с топ-менеджментом компании, а то и выходить непосредственно на его владельца. Практика показывает, что именно в таких случаях принятие управленческих решений, затрагивающих проблемы ИБ, проходит быстро и практически безболезненно для организации. Подразделение обычно отвечает за менеджмент ИБ, мониторинг событий, расследование инцидентов, аудит состояния И Б, выявление угроз, оценку рисков, а также техническую защиту организации - систему контроля доступа и охранно-пожарную сигнализацию (ОПС). Предписания, выданные таким подразделением, становятся обязательными для всех остальных подразделений, и недостатки, выявленные аудитом, быстро устраняются.

Подчинение департаменту оценки рисков

Неплохим вариантом можно считать подчинение информационной безопасности департаменту оценки рисков. При этом, несмотря на отсутствие некоторых организационных возможностей (прежде всего -доступ к первым лицам организации), мы получаем возможность всесторонней оценки рисков и потенциального ущерба, что в результате ведет к лучшему понимаю бизнесом требований ИБ, осознанному принятию остаточных рисков и в целом повышению уровня ИБ. В этом случае удобно распределить обязанности по выявлению угроз и оценке рисков между "родственными" подразделениями одного департамента.

Подчинение структуре физической или экономической безопасности

Вполне приемлемым в России можно считать подчинение структуре физической или экономической безопасности. Обычно в этом случае в работе подразделения преобладает мониторинг событий, выявление угроз и расследование инцидентов. Чаще - это эксплуатация систем контроля доступа и ОПС и, к сожалению, реже -аудит, менеджмент системы управления ИБ и оценка рисков. Существенной проблемой в данном случае может оказаться и то, что руководство подразделения безопасности, в состав которого входит ИБ, как правило, достаточно далеки от проблем ИБ и, следовательно, стараются реже общаться с руководством организации именно по этим проблемам. Тем не менее лично я считаю такой вариант далеко не самым худшим.

Подчинение ИТ

А вот подчинение ИТ чаще всего становится для подразделения ИБ началом конца. Это происходит по причине того, что большинство руководителей этой структуры до сих пор ставят во главу угла сетевую безопасность - брандмауэры, спам-фильтры, антивирусную защиту. Конечно, это важные направления, особенно сейчас, когда невозможно себе представить ни одной организации без ИТ-сервисов: как минимум это будет доступ к электронной почте, использование корпоративных баз данных, отчетность, а то и электронный документооборот. Но все же понятие информационной безопасности значительно шире, чем сетевая или компьютерная!

Второй проблемой безопасности в составе ИТ-подразде-ления является направленность на доступность сервисов, а не на их безопасность.

И третья проблема заключается в функциях мониторинга, контроля и аудита.

Выводы

Какие можно сделать выводы? Увы, их немного. Роль и место подразделения ИБ определяется, прежде всего, мнением руководителя организации. Колоссальное влияние на это мнение производят бизнес-подразделения - те, которые приносят в фирму прибыль. Для построения качественной системы менеджмента ИБ требуются квалифицированные знания в области стандарта ISO 27001:2005 и финансового анализа. Только на этой базе появляется возможность влиять на мнение руководителя компании.