Трохи про організацію відділу інформаційної безпеки

    На поточний момент, як це не прикро, інформаційна безпека для нашої країни — це найчастіше модна річ, з не зовсім зрозумілим призначенням. Для керівництва, в основному, це бездонна діра для фінансування, від якої немає віддачі, крім слів: все під контролем. Для співробітників — якісь дивні люди, які забороняють паролі на папірцях записувати.
 
Виходячи з цього нерозуміння складається і всі проблеми ІБ в організаціях і, власне, організації самої інформаційної безпеки.
 
 

Структура підпорядкування

Перша, сама часто зустрічається проблема — до кого віднести інформаційну безпеку?
2 основних архетипу, це підпорядкування службі безпеки (економічної, власної і тд) і підпорядкування IT.
Розглянемо обидва варіанти з плюсами і мінусами.
 
 
ІБ, як частина служби безпеки
Один з найбільш часто зустрічаються архетипів, я працював у багатьох організаціях, де справи йшли саме так. Логіка керівництва зрозуміла — безпека же, значить до СБ
З очевидних мінусів — різні напрямки, практично не перетинаються. Звідси випливає наступні — не розуміння безпосереднього керівництва вашої роботи, а, відповідно, ваших завдань, потреб і так далі. Ви просто розмовляєте з ними на різних мовах. Це посилюється ще й тим, що керівництво СБ, як правило, це колишні поліцейські, військові, ФСБшники, і для них ви взагалі полуінопланетянін.
І частіше виходить, що у великих організаціях, де керівництво, це, фактично, небожителі, вас, як співробітника, слухати не будуть, а ваш керівник нічого толком пояснити не зможе, з огляду на те, що він сам не розуміє нічого. Як результат — мале фінансування напряму, опір будь-яким нововведенням, фактично вас тримають для «меблів», що б було кому відповідати за безпеку по 152 ФЗ або галузевому стандарту.
 
З плюсів — повноваження у СБ, як правило, дуже високі. Будуть відкриті багато дверей і багато що будете знати.
 
 
ІБ, як частина ІТ
В такому випадку головна перешкода — конфлікт інтересів. Робота ІБ, зокрема, це контроль за виконанням айтішниками правил, приписів та регламентів. При проведенні аудиту, знову ж таки, в разі невиконання якихось пунктів відділом ІТ може бути не підписаний протокол керівником і так далі. І знову ж питання з розходженням напрямків, так як інформаційна безпека має лише опосередковане відношення до ІТ. Велика частина з ІТ не зовсім стикується.
 
З позитивних моментів — мастак простіше впровадження якихось систем, фактично виконавці у вас під рукою.
 
У будь-якому з цих архетипів є проблема пасивного опору через кількість рівнів узгодження. В гіршому випадку (з власного досвіду) вертикаль узгодження виглядає так:
 
     
  • Співробітник створює документ
  •  
  • Погоджує безпосередній керівник
  •  
  • Погоджує директор департаменту
  •  
  • Погоджує заступник генерального директора
  •  
  • Підписує генеральний директор
  •  
Кожен з етапів займає якийсь час, причому з підвищенням рівня узгодження цей час росте в прогресії. В результаті документи можуть висіти досить довго, ситуацію врятує система електронного документообігу, але не на 100%.
 
В ідеалі — підпорядкування безпосередньо генеральному або першому заму, як варіант — заму з безпеки. Найшикарніше — це, звичайно ж, заст по ІБ, але таке я на просторах Росії не зустрічав. У такому випадку можна отримати плюси першого варіанту, при скороченні вертикалі узгодження і часу прийняття рішення.
 
 

Нерозуміння

Друга проблема, з якої частково випливає і перша — нерозуміння повною мірою керівництвом вашої роботи, так само як і цілей, задач і рішень.
Звідси проблема фінансування служби, гальмування проектів і якихось впроваджень та інші неприємні чинники.
Взагалі проблема часто зустрічається і в ІТ і випливає з того, що айтішники та безпечники, як правило, не вміють розмовляти з бізнесменами. У нас своя мова, зрозумілий нам і легко інтерпретується нами ж для нас. Проблема в тому, що з бізнесом треба говорити мовою бізнесу, при том не абстрактними поняттями на кшталт «високий», «низький» і тд, а більш конкретними, вираженими у відсотках, наприклад, або краще в конкретних сумах.
Звичайно, що б пояснити генеральному або комерційному директору вигоду від впровадження тієї чи іншої системи безпеки потрібно задурити і порахувати повернення інвестицій від її впровадження. Це ускладнюється тим, що ІБ безпосередньо прибуток не приносить і потрібно вважати вигоду від нереалізованих втрат.
 Як приклад: в конторі вірусна атака. Заражені 20 компів, з них 5 у стадії вмирання. Є адмін Вася, із зарплатою 44000 р. Вася лікував 15 компів 5:00 і пере заливати 5 убитих ще 3 години. Разом витрачений 8-ми годинний робочий день на відновлення роботи. В середньому у Васі зарплата 2000 р. в день (44000 р. / 22 робочих дня в місяці), отже ми втратили 2000 р. через атаки.
І на цьому розрахунку можна було б зупинитися, але ті люди, чиї комп'ютери постраждали, так само були обмежені в робочих інструментах, тобто на протязі 5 годин поступово відновлювалися 15 робочих місць і ще 3:00 — 5 робочих місць. І ці люди теж отримували зарплату за час простою, або вони робили презентацію для клієнта або комерційну пропозицію.

Таким чином керівництво має отримати, фактично, вибір між 2-ма або більше альтернативами:
 
     
  • як було раніше і з якими витратами ми будемо стикатися кожен раз при повторенні
  •  
  • скільки нам потрібно витратити, що б цього не повторювалося (в кооперації з першим пунктом — через який час ми відіб'ємо ціну рішення відносно до втрат від нереалізованих ризиків)
  •  
  • ще один варіант рішення, проміжний, але з не менш точним розрахунком
  •  
 
 

Підсумок

Невтішним підсумком, в даному випадку, буде служити непорушна істина — хороший фахівець не є хороший керівник. Управління відділом це не те саме, що й керування системою інформаційної безпеки, нехай навіть тут робота і пов'язана з людьми на 90%. Але, за великим рахунком, набивши шишок на побудові СУІБ, наспілкувавшись з керівництвом і колегами, фахівець ІБ на 50% буде готовий до керівництва власним відділом ІБ, решта 50% — це підручники з менеджменту, ITIL і подібні практики, ну і, звичайно ж, досвід!
    
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.