Организация ИБ в российских компаниях

Организационные показатели – структурные, кадровые, документальные – служат практически прямым отражением озабоченности компании вопросами информационной безопасности. Так, например, наличие в компании специализированного подразделения по защите информации позволяет говорить о том, что задачи ИБ серьезно осознаются на высшем уровне руководства и воплощаются в реальных действиях по защите информации. При этом, однако, в российских компаниях распространена и часто оправдана практика реализации задач ИБ силами сотрудников IТ-отдела и реже – других подразделений . Такая ситуация подразумевает два варианта: либо масштаб компании и объем защищаемых данных достаточно невелик для защиты средствами, которые может обслуживать сотрудник без ИБ-квалификации, либо руководство недооценивает значение информационной безопасности.

Результаты исследования

Есть ли подразделение по защите информации?
Как видно на рис. 1, половину российских компаний (51%) можно отнести к первой категории "ИБ-ответственных" – в их составе есть специализированные подразделения по защите информации.

Причем в большинстве случаев такое подразделение включает несколько сотрудников: от 2 до 5 (43%) и даже более 5 человек (28%). В 13% компании , имеющих отделы по защите информации, за ИБ отвечает лишь один сотрудник (рис. 2).

44% опрошенных заявили, что в их компаниях нет подразделениий по информационной безопасности, при этом лишь 2% компаний готовы в ближайший год нанять специальных сотрудников для реализации ИБ-задач (рис. 1).

Кто отвечает за защиту информации?
В 85% компаниий, не имеющих специализированных подразделений по защите информации, вопросы информационной безопасности все же решают сотрудники других отделов. В подавляющем большинстве случаев (78%) эту функцию выполняет IТ-служба, еще в 2% – отдельный ИБ-специалист (рис. 3).

Очевидно, IТ-специалисты обладают более широкими компетенциями в вопросах технического обеспечения информационной безопасности, чем сотрудники других отделов. Однако следует думать, что респонденты могут понимать под защитой информации как специальные системы, так и такие базовые меры, как установка файрвола и антивируса, доступные любому квалифицированному системному администратору.

Есть ли положения о защите конфиденциальной информации?
В большинстве компаний (73%) правила защиты конфиденциальной информации документированы в специальных положениях (рис. 4).

Причем такие положения существуют или будут создаваться в ближайшее время практически во всех компаниях, где есть специализированные подразделения по информационной безопасности (рис. 5).

Создание политик и правил работы с конфиденциальными данными, как правило, входит в основные обязанности ИБ-специалистов. Однако положения о конфиденциальной информации создаются не только по инициативе ИБ-отделов: более половины опрошенных работников (52%), чьи компании не имеют специализированного подразделения, отмечают, что положения по защите информации тем не менее существуют.

Такие документы могут регламентировать отдельные участки работы с конфиденциальными данными, но при этом не иметь отношения к технической защите информации. Например, положение о неразглашении коммерческой тайны чаще всего подписывается сотрудниками вместе с трудовым договором и остается в ведении HR-отдела или службы безопасности.