Немного об организации отдела информационной безопасности

    На текущий момент, как это ни прискорбно, информационная безопасность для нашей страны — это чаще всего модная вещь, с не совсем понятным назначением. Для руководства, в основном, это бездонная дыра для финансирования, от которой нет отдачи, кроме слов: всё под контролем. Для сотрудников — какие-то странные люди, запрещающие пароли на бумажках записывать.

    Исходя из этого непонимания складывается и все проблемы ИБ в организациях и, собственно, организации самой информационной безопасности.

    Структура подчинения


    Первая, самая часто встречающаяся проблема — к кому отнести информационную безопасность?
    2 основных архетипа, это подчинение службе безопасности (экономической, собственной и тд) и подчинение IT.
    Рассмотрим оба варианта с плюсами и минусами.

    ИБ, как часть службы безопасности

    Один из самых часто встречающихся архетипов, я работал во многих организациях, где дела обстояли именно так. Логика руководства понятна — безопасность же, значит к СБ.
    Из очевидных минусов — разные направления, практически не пересекающиеся. Отсюда вытекает следующие — не понимание непосредственного руководства вашей работы, а, соответственно, ваших задач, потребностей и так далее. Вы просто разговариваете с ними на разных языках. Это усугубляется еще и тем, что руководство СБ, как правило, это бывшие полицейские, военные, фсбшники, и для них вы вообще полуинопланетянин.
    И чаще получается, что в крупных организациях, где руководство, это, фактически, небожители, вас, как сотрудника, слушать не будут, а ваш руководитель ничего толком объяснить не сможет, ввиду того, что он сам не понимает ничего. Как результат — малое финансирование направления, сопротивление каким-либо нововведениям, фактически вас держат для «мебели», что бы было кому отвечать за безопасность по 152 ФЗ или отраслевому стандарту.

    Из плюсов — полномочия у СБ, как правило, очень высокие. Будут открыты многие двери и много что будете знать.

    ИБ, как часть ИТ

    В таком случае главное препятствие — конфликт интересов. Работа ИБ, в частности, это контроль за выполнением айтишниками правил, предписаний и регламентов. При проведении аудита, опять же, в случае невыполнения каких-то пунктов отделом ИТ может быть не подписан протокол руководителем и так далее. И опять же вопрос с различием направлений, так как информационная безопасность имеет лишь опосредованное отношение к ИТ. Большая часть с ИТ не совсем стыкуется.

    Из положительных моментов — горазд проще внедрение каких-то систем, фактически исполнители у вас под рукой.

    В любом из этих архетипов есть проблема пассивного сопротивления из-за количества уровней согласования. В худшем случае (из собственного опыта) вертикаль согласования выглядит так:
    • Сотрудник создает документ
    • Согласовывает непосредственный руководитель
    • Согласовывает директор департамента
    • Согласовывает заместитель генерального директора
    • Подписывает генеральный директор

    Каждый из этапов занимает какое-то время, причём с повышением уровня согласования это время растёт в прогрессии. В результате документы могут висеть довольно долго, ситуацию спасет система электронного документооборота, но не на 100%.

    В идеале — подчинение непосредственно генеральному или первому заму, как вариант — заму по безопасности. Самое шикарное — это, конечно же, зам по ИБ, но такое я на просторах России не встречал. В таком случае можно получить плюсы первого варианта, при сокращении вертикали согласования и времени принятия решения.

    Непонимание


    Вторая проблема, из которой частично вытекает и первая — непонимание в полной мере руководством вашей работы, равно как и целей, задач и решений.
    Отсюда проблема финансирования службы, торможение проектов и каких-то внедрений и другие неприятные факторы.
    Вообще проблема часто встречается и в ИТ и вытекает из того, что айтишники и безопасники, как правило, не умеют разговаривать с бизнесменами. У нас свой язык, понятный нам и легко интерпретируемый нами же для нас. Проблема в том, что с бизнесом надо говорить на языке бизнеса, при том не абстрактными понятиями вроде «высокий», «низкий» и тд, а более конкретными, выраженными в процентах, например, или лучше в конкретных суммах.
    Конечно, что бы объяснить генеральному или коммерческому директору выгоду от внедрения той или иной системы безопасности нужно заморочиться и посчитать возврат инвестиций от её внедрения. Это осложняется тем, что ИБ напрямую прибыль не приносит и нужно считать выгоду от нереализованных потерь.
    Как пример: в конторе вирусная атака. Заражены 20 компов, из них 5 в стадии умирания. Есть админ Вася, с зарплатой 44000 р. Вася лечил 15 компов 5 часов и перезаливал 5 убитых еще 3 часа. Итого потрачен 8-ми часовой рабочий день на восстановление работы. В среднем у Васи зарплата 2000 р. в день (44000 р. / 22 рабочих дня в месяце), следовательно мы потеряли 2000 р. из-за атаки.
    И на этом расчёте можно было бы остановиться, но те люди, чьи компьютеры пострадали, так же были ограничены в рабочих инструментах, то есть в течении 5 часов постепенно восстанавливались 15 рабочих мест и еще 3 часа — 5 рабочих мест. И эти люди тоже получали зарплату за время простоя, или они делали презентацию для клиента или коммерческое предложение.

    Таким образом руководство должно получить, фактически, выбор между 2-мя или более альтернативами:
    • как было раньше и с какими затратами мы будем сталкиваться каждый раз при повторении
    • сколько нам нужно потратить, что бы этого не повторялось (в кооперации с первым пунктом — через какое время мы отобьём цену решения в отношении к потерям от нереализованных рисков)
    • еще один вариант решения, промежуточный, но с не менее точным расчётом


    Итог


    Неутешительным итогом, в данном случае, будет служить непреложная истина — хороший специалист не есть хороший руководитель. Управление отделом это не то же, что и управление системой информационной безопасности, пусть даже тут работа и связана с людьми на 90%. Но, по большому счёту, набив шишек на построении СУИБ, наобщавшись с руководством и коллегами, специалист ИБ на 50% будет готов к руководству собственным отделом ИБ, остальные 50% — это учебники по менеджменту, ITIL и подобные практики, ну и, конечно же, опыт!
    Поделиться публикацией

    Комментарии 13

      0
      Например в положениях ЦБ по ИБ явно сказано, у ИБ должен быть отдельный куратор, ИБ не должно входить в ИТ отдел.
      Поскольку ИБ в широком смысле это еще и работа с людьми, физическая безопасность.

      Какие-то узкоспециализированные задачи, например спец будет заниматься только только защитой сайта онлайн-компании и только этим, возможны и введением в отдел ИТ.

      Что касается руководителя «военного», ну так надо со всеми говорить на понятном им языке :)
        0
        Если взять безопасность персданных, то там есть только либо ответственный сотрудник либо отдел. О подчиненности ни слова.
        Вообще с отраслевыми стандартами у нас всё гораздо лучше, чем в целом по больнице, но сколько отраслевиков на общем рынке ИБ?

        Про «военное» руководство проблема усугубляется некими стереотипами, типа ну раз в компьютерах шарит, значит задрот, значит можно подкалывать и он ничего не сделает.
        +3
        Специалист по ИБ или отдел ИБ должны подчиняться ТОЛЬКО генеральному. Чтобы ИБ не была просто модным трендом в компании и реально работала у службы или специалиста ИБ должна быть реальная власть. Простая ситуация, когда у ИБ нет власти: приходит ИБшник в бухгалтерию и начинает рассказывать тетушкам-бухгалтерам о том, что пароли нельзя записывать на бумаге и клеить на монитор, да и вообще пароль «111111» не очень, а ему в ответ: «слышь, ты кто такой? пшел вон отсюда из нашего монастыря со своим уставом».

        ИБшник, который не умеет общаться с руководством — не ИБшник. Это может быть хайскиллд блэкхэт-затворник, но не ИБшник в организации. Ибо в наше время и в нашей стране, проповедование религии информационной безопасности это основная задача ИБшника в организации (если конечно он не тупо просиживает штаны за фиксированную ЗП). Лично я люблю использовать аналогии, сравниваю информационную систему с понятными обычному человеку вещами. Например, говорю, чтобы представили, что компьютер, на котором хранится информация это квартира, а информация это материальная ценность. Когда в квартире нет ничего, голые стены и раскладушка, то можно вообще не закрывать дверь на ключ, все равно оттуда нести нечего, по мере того как в квартире появляются ценности на двери появляются все более сложные замки, более прочные двери, сигнализации на окнах и тд — это нормально для материального мира, это нормально и для информации.Конечно можно не закрывать дверь в квартиру, где много чего ценного, но кто сейчас идет на такие риски? Потом идет вопрос — вы же привыкли уходя из дома закрывать дверь? Вряд ли кто-то считает это дополнительным неудобством, так почему вставая из-за рабочего места, нельзя приучить себя нажимать Win+L?

        И еще один момент — начальство должно прочувствовать важность защиты информации. Ибо если генеральный тут и там будет нарочито громким голосом восклицать «Опять эти ибэшники тут намудрили!», все труды будут напрасны. Это снова отсыл к важности скилла общения с руководством и сотрудниками.
          0
          Спасибо за столь развернутый комментарий.
          Про подчинение — это понятно и ясно нам с вами, понятно по логике и best practice. К сожалению, пока ИБ остаётся модной фишкой, её будут задвигать.

          А про общение с руководством, это практически пример из жизни. В идеале, конечно, это отдел, состоящий из руководителя — ИБ-манагера, и нескольких довольно узких спецов. И тут если у манагера язык подвешен (а иначе он и не манагер вовсе) и связи налажены, то работа будет идти, как по маслу.
          Про аналогии, я тоже люблю их использовать, к примеру в ликбезах для юзеров, свойства информации я приравниваю к банковскому счёту, а пароли — к нижнему белью :-)

          Про начальство расскажу один случай из моей практики: работал я в одной группе компаний, как раз-таки начальником у меня был начальник СБ, бывший полицейский. Я долгое время клепал СУИБ, писал документы, всё это в плотной связке с начальником, потому как он тоже был заинтересован в хороших показателях работы. Подошёл момент, когда основные документы пошли на согласование наверх, мы собрали верхушку конторы, дабы я всё в деталях разжевал что и как, для чего и тд. И в самом начале мой начальник изрек: а я вообще не понимаю, нафига нам эта система управления нужна. После этих слов у меня просто всё упало.
            +1
            Я долгое время клепал СУИБ, писал документы

            После этих слов у меня просто всё упало.


            Я вам указывал на в прошлых постах на один полезный iso по внедрению. Не надо было долго что-то писать, а надо было сначала добиться одобрения высшего руководства (верхушки).
            принести красочную презентацию с планом, что куда и зачем. По каждому пункту — одобрение и подпись.
            Только после этого начинается долгая и нудная работа по реализации.

            А иначе получится мартышкин труд, будет больно и обидно. Клепал клепал гору документации, а она в итоге и не нужна была руководству. Ну вот не видит генеральным нужды вот в этом, этом и этом вот «геморрое» хоть уписайся. Остальное вроде «ничё». Половина труда в корзину. :)
              0
              На тот момент не опытен был, недавно только диплом получил и был еще слабо знаком с реалиями. Тем более что как раз таки собрал совещание на этапе согласования, еще не так болезненно и долго сделать изменения.
              Сейчас да, сначала долго общаюсь с руководством организации, ком блоком, ит-отделом, потом потихоньку начинаю предлагать, писать и тд
            • НЛО прилетело и опубликовало эту надпись здесь
            • НЛО прилетело и опубликовало эту надпись здесь
                0
                Ну вот у нас в конторе совмещенный отдел экономической и информационной безопасности и подчиняемся напрямую директору.
                Конечно, если аспектов много, то зам. по безопасности должен быть, но опять же, 99,99% что это будет бывший полицейский/фсбшник/военный и проблемы описанные в разделе ИБ, как часть СБ — останутся.
            • НЛО прилетело и опубликовало эту надпись здесь
                0
                Ну я взял худший вариант. Всё практически последовательно
                0
                Как хорошо, у нас Директор бывший безопасник ;) Не нужно аргументировать заботу о безопасности и необходимость ходить на продакшен по токенам.
                  0
                  Вообще безопасности надо учиться в комплексе — потому что тот же фишинг — это тоже вектор атаки.

                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                  Самое читаемое