Кто на самом деле отвечает за защиту информации в организации: зона ответственности ИТ и ИБ

Почему это вообще обсуждается

Когда происходит утечка, кто виноват первым? Конечно, айтишники. Сервер они настраивали, доступ они выдали, антивирус не сработал — все логично.

Вот только это неправильная логика. Потому что ИТ в большинстве случаев отвечают за инфраструктуру, а информационная безопасность — совсем другая функция.

Стоит спросить себя: кто и как в вашей компании должен реагировать на инциденты? Кто по документам ответственный за защиту конфиденциальной информации? Кто и как проводит расследования, моделирует угрозы, разрабатывает политику безопасности и объясняет бизнесу, что нельзя хранить Excel с данными клиентов в открытый Google Диск?

Если на все вопросы ответ: «технический директор» или «наш админ», то это означает одно — в компании нет организованной ИБ-функции.

Что требует закон и регуляторы

Если вы обрабатываете персональные данные (то есть используете информационные системы персональных данных, такие как 1С или SAP, Active Directory, CRM, СКУД и многое другое), вы являетесь оператором персональных данных. Это значит, что по закону у вас должно быть:

• назначено ответственное лицо за обеспечение безопасности ПДн;

• определено, кто и как занимается защитой информации в организации;

• оформлены соответствующие приказы и регламенты, а также большой список документов по ИБ;

• выделено подразделение (или хотя бы функция), которое отвечает за информационную безопасность.

Это не избыточные меры. Это базовые правила и требования. Например, постановление Правительства №1272 от 15.07.2022 требует, чтобы в госструктурах, КИИ и системообразующих организациях был заместитель руководителя, отвечающий за ИБ, и четко расписаны его полномочия: от реагирования на инциденты до организации внутреннего контроля.

Для компаний, не отнесённых к критической инфраструктуре или госсектору, применяются требования закона № 152-ФЗ, ПП № 1119, а также нормативные акты ФСТЭК (например, Приказ № 21) и ФСБ — при использовании СКЗИ, и отсутствие формализованной ИБ-функции — это реальный риск как минимум штрафов, а как максимум — ответственности за нарушение правил защиты информации.

Где заканчивается зона ответственности ИТ

ИТ-отдел отвечает за поддержку инфраструктуры, настройку оборудования, работоспособность сервисов, резервное копирование, апдейты и мониторинг. Но он не может в одиночку:

• определить, какие данные являются конфиденциальными;

• установить правила доступа к персональным данным сотрудников или клиентов;

• согласовать передачу данных третьим лицам;

• разработать модель угроз;

• принять решение, какие меры защиты считать достаточными.

Все эти вопросы находятся в зоне ответственности ИБ. И если этой зоны в компании не существует, технические специалисты начинают принимать решения вне своей компетенции, на свой страх и риск.

Что должна делать служба ИБ

Если говорить по сути, то служба информационной безопасности — это не группа «людей по антивирусам», а полноценная команда (или хотя бы один ответственный), которая:

• выстраивает систему защиты информации на всех уровнях: организационном, техническом, правовом;

• определяет политику в области безопасности и обеспечивает ее выполнение;

• занимается контролем соблюдения режима конфиденциальности;

• взаимодействует с подрядчиками и регулирующими органами;

• проводит внутренние расследования и реагирует на инциденты;

• участвует в пуске новых ИТ-продуктов и сервисов, проверяя их с точки зрения безопасности;

• обучает персонал основам ИБ и отслеживает ошибки сотрудников.

По-хорошему, эта служба должна подчиняться напрямую генеральному директору или его заместителю, а не ИТ-директору. Потому что ИБ должна быть независимой: не может один человек и настраивать, и проверять то, что настроил.

Кто такой CISO и почему он нужен

Директор по информационной безопасности (Chief Information Security Officer, CISO) — стратегическая фигура, обеспечивающая устойчивость всей цифровой инфраструктуры компании. Его задачи выходят далеко за рамки локальных настроек безопасности. На практике он несет ответственность за построение комплексной системы защиты, способной справляться как с текущими угрозами, так и с регуляторными вызовами.

Формально и содержательно в обязанности CISO входят:

• Разработка и реализация стратегии кибербезопасности компании с учетом ее бизнес-модели, отраслевых рисков, зрелости ИТ-инфраструктуры и требований законодательства. Это включает создание целевой модели защиты, определение ключевых направлений и KPI ИБ.

• Определение стандартов, политик безопасности и процедур, направленных на защиту всех информационных ресурсов компании: от внутренних баз данных до облачных сервисов и внешних API. Документы должны быть не «бумажными», а реально применяемыми в работе.

• Интеграция стратегии безопасности в общую бизнес-стратегию компании. Это означает, что CISO не работает изолированно, а участвует в ключевых управленческих решениях: от запуска новых продуктов до выхода на новые рынки.

• Регулярное проведение внутренних аудитов и участие во внешних проверках, включая аудит соответствия требованиям ФСТЭК, Роскомнадзора, ФСБ, ЦБ РФ и других контролирующих органов. Задача — обеспечить доказуемое соответствие и быть готовым к проверке в любой момент.

• Идентификация и оценка рисков информационной безопасности: не только выявление уязвимостей, но и их приоритизация, оценка бизнес-ущерба и выбор модели обработки (избежание, передача, снижение, принятие).

• Разработка и внедрение планов реагирования на инциденты, включая назначение ответственных, описание процедур взаимодействия команд, регламентирование сроков уведомлений, работу с РКН и другими органами.

• Координация действий при инцидентах, включая ИТ, юридическую службу, PR и подрядчиков. CISO становится кризисным менеджером, который управляет ситуацией не только с технической стороны, но и с позиции сохранения деловой репутации.

• Участие в восстановлении работы систем и бизнес-процессов, нарушенных в результате кибер-инцидента. Это включает анализ ущерба, реконфигурацию инфраструктуры, документирование результатов и пересмотр мер защиты.

• Расследование инцидентов, включая взаимодействие с правоохранительными органами, если инцидент связан с нарушением закона или повлек значительный ущерб. Важно не только устранить последствия, но и зафиксировать факты для возможной правовой защиты.

• Управление безопасностью цепочек поставок: анализ контрагентов, оценка их соответствия требованиям ИБ, внедрение требований к подрядчикам, контроль за тем, чтобы риски не приходили снаружи.

• Выбор, внедрение и администрирование решений в области ИБ: от межсетевых экранов и систем обнаружения вторжений до DLP, SIEM, CASB и решений по управлению доступом. Это не «техническая закупка», а выверенный процесс, увязанный с архитектурой бизнеса.

Таким образом, роль CISO — это центр тяжести всей системы управления информационной безопасностью, а также архитектор, интегратор и управляющий рисками на уровне всей компании. В условиях, когда утечки ПДн могут стоить десятков миллионов рублей штрафов и краха репутации, именно от зрелости этой роли зависит устойчивость бизнеса.

В крупных компаниях CISO включен в C‑level, работает на уровне стратегии и взаимодействует с юристами, аудиторами, DPO, поставщиками и подрядчиками.

Как ИТ и ИБ должны работать вместе

Хорошая практика — четкое разграничение ролей:

• ИТ реализуют: они внедряют решения, настраивают, поддерживают.

• ИБ определяет правила игры: что допустимо, кто имеет доступ, как реагировать на аномалии, какие действия недопустимы.

Если эти функции не разделены, начинаются проблемы. Потому что тогда админы вынуждены становиться «безопасниками по остаточному принципу». И это всегда либо риски, либо неработающая защита.

Кто отвечает, если что-то пошло не так

Если произошла утечка, или Роскомнадзор пришел с проверкой, или случился компьютерный инцидент, отвечает назначенное приказом должностное лицо. Если его нет, значит, будет отвечать директор или ИТ-директор, потому что больше некому.

В случае работы с персональными данными отсутствие ответственного уже считается нарушением.

И это не страшилки. Это зафиксировано в нормативных документах и подкреплено практикой надзора.

Что делать, если службы ИБ нет:

1. Назначить ответственное лицо приказом. Это минимум.

2. Определить его обязанности и полномочия. Не формально, а в рабочем документе.

3. Настроить взаимодействие с ИТ. Вплоть до разграничения ответственности.

4. Зафиксировать политику.

5. Провести аудит рисков, хотя бы на базовом уровне.

6. Постепенно выстраивать систему защиты, технически и организационно.

Финал

Если вы в ИТ и на вас повесили ответственность за «все, что связано с информационной безопасностью», то это не признание ваших заслуг, а признак управленческого перекоса. Защита информации требует модели ответственности, в которой каждый знает свою зону, полномочия и границы.