31.03.2016

Служба ИБ должна подчиняться ИТ

Незапланированный пост, навеянный комментариями к двум заметкам, посвященным объему финансирования ИБ и численности службы ИБ в зависимости от этих показателей в ИТ. На меня многие набросились с обвинением в том, что вопрос вообще звучит некорректно и ни в коем случае нельзя измерять ни бюджет, ни численность ИБ от ИТ. Каждый спорящий отстаивает свою точку зрения, приводя неубиенные аргументы и опираясь на собственный опыт. А теперь давайте дистанцироваться от опыта и посмотрим на то, как и почему возник вопрос о "проценте от ИТ"?

Есть стереотип, что информационная безопасности = ИТ-безопасность, то есть это одна из множества функций ИТ. Этот стереотип подтверждается и различными опросами. Например, Symantec:
Подчиненность ИБ по версии Symantec
или Wisegate:
Подчиненность ИБ по версии Wisegate
У них хотя и разная глубина опроса (Symantec ограничился всего тремя направления подчинения), но на удивление схожее соотношение - больше чем в 2/3 случаях ИБ подчиняется именно ИТ (по данным Ponemon Institute ИБ подчиняется ИТ в 56% случаев). Почему такой стереотип возник и продолжает активно поддерживаться и развиваться?

На мой взгляд ответ прост. Этот стереотип отражает эволюцию ИБ на многих предприятиях. Если рассматривать ИБ как всяческие настройки МСЭ и установку антивируса, то логично, что именно это делают ИТшники. В небольших организациях, где и ИТ-то выделенной нет, это ложится на приходящего админа. А там, где ИТ в том или ином виде все-таки существует, настройки средств защиты ложатся на плечи именно админов. Тема соответствия требованиям ИБ не поднимается вовсе. Это очень распространенная ситуация для абсолютного большинства российских организаций, относящихся к малому бизнесу или индивидуальным предпринимателям. Ни о каких "назначении уполномоченного за ИБ сотруднике", как написано во многих нормативных актах, и речи не идет.


По мере развития предприятия у него появляется больше задач, которые связаны с ИБ. Появляется выделенный безопасник, но опять же в структуре ИТ. У него еще нет отдельного отдела, нет бюджета, но он уже занимается только ИБ, в том числе и темой compliance.


Третий эволюционный вариант - создание отдела ИБ внутри департамента ИТ. Это присущая многим крупным организациям структура и вызывает вопросы, аналогичные тем, что задавались в заметках об объеме финансирования и численности как проценте от аналогичных показателей в ИТ. В данном случае вроде как все нормально - свой бюджет, свой штат, учет ИБ в ИТ-проектах, но буйным цветом расцветает конфликт интересов.


Не может контролер подчиняться контролируемым. Об этом и ЦБ говорит в своих документах, но и явно не запрещает подчинение ИБ под ИТ, понимая, что это сложившаяся практика и не Банку России ее ломать. Хотя требование о наличии у ИБ куратора, отличного о ИТ, выглядит странно. Получается, что у ИБ будет два руководителя - непосредственное подчинение ИТ и куратор вне ИТ. И как быть в ситуации, когда от двух кураторов идут противоречащие друг другу указания?

В целом подчинение ИБ в ИТ имеет свои явные плюсы, но и явные минусы. Минусов больше. Но самое главное, что ИБ занимается часто задачами, которые к ИТ вообще никакого отношения не имеют - противодействие утечкам по техническим каналам (и вообще тема ПДИТР), взаимодействие с правоохранительными органами, безопасность бумажного документооборота... Это не просто второстепенные для ИТ задачи, а явно выходящие за рамки деятельности CIO.

Может лучше в службу безопасности включить ИБ? Все-таки и там и там общее понимание задач? Давайте на это посмотрим завтра.

12 коммент.:

biakus комментирует...

Есть еще другой вариант: часть ИБ в службе безопасности, а часть - в ИТ. У нас такой вариант, но все равно возникают конфликты - уже между ИБшниками из разных слубж :)
Вывод - в идеале не должны пересекаться зоны ответственности, чтобы не было конфликтов.
А для этого каждый должен делать свое дело: ИТ - администрирование, защита, Нападающие - поиск уязвимостей и несоответствий, и над ними уже ИБ - чтобы управлять взаимодействием между ними.

Евгений Родыгин комментирует...

http://www.allcio.ru/safety/76811.html
и
http://www.wikisec.ru/index.php?title=Закат_системных_СрЗИ

Ржавский Константин комментирует...

Практика совместного сосуществования ИТ и ТЗИ показывает полную несовместимость понятийного аппарата двух направлений как на уровне тезауруса, так и на уровне восприятия событий в бизнес-процессах организации, заложенными ещё при обучении по специальности.
При разработке проектов систем защиты диалог с ИТ-специалистами, как правило, проходит очень сложно, без взаимного понимания целей и задач, возрастает риск возникновения внутренних конфликтов, что приводит к не стабильности в коллективе. Как правило, цель любой задачи в контексте понимания ИТ-специалиста - "чтобы работало", цель любой задачи в контексте понимания специалиста по ТЗИ - "чтобы работало по правилам". И как правило решение вынужден принимать руководитель организации.
Резюмирую: подчиненности, как таковой, этих двух направлений быть не должно, все отдельно, только рабочие группы при разработке проектов.

Вячеслав Нехороших комментирует...

Давно читаю подобные дискуссии о том, где должна быть служба ИБ. Это при том, что европейская практика уже давно все расставила по местам, в чем я имел возможность убедиться во время работы в одном известном иностранном банке. Скажите, пожалуйста, неужели правильный ответ не очевиден? Именно правильный - не по плачевной практике большинства компаний. Чую, что надо писать статью :) Правильный ответ - место в ключевом подразделении системы внутреннего контроля второй линии. Классическом. Больше нигде - ибо конфликт интересов и расконцентрация.

Александр Бодрик комментирует...

Служба ИБ никому ничего не должна, все зависит от масштаба и специфики бизнеса, и конкретных людей. Если люди хотят заниматься ИБ, если они в ней что-то понимают, то подчинить им ИБ может быть лучше чем оставить в одной из классических навеянных "карго-практисами" позиций.

Kubanychbek Zakenaev комментирует...

Эволюция пошла дальше, сегодня наблюдается конфликт интересов между СБ и ИБ.

Tomas комментирует...

Вячеслав, тут смотря что нужно от ИБ, если только всех проверять и ничего более - то служба внутреннего контроля действительно подойдет. Но если нужно какие-то процессы обеспечивать, то самих себя ж не проверишь, не по понятиям западным :)
Вот истину, на мой взгляд, написал Александр, все зависит от людей!

Вячеслав Нехороших комментирует...

Tomas, вот для "обеспечивать" есть как раз служба ИТ-безопасности, которая занимается, как правило, сетевой безопасностью, пентестит и т.д.
Если говорить по сути, то вторая линия ИБ подразделяется на 2 части:
1. Линия 2.1 - здесь располагаются ИТ-безопасники, служба безопасности с функциями кадровой и физической безопасности, эйчары в части движения и обучения персонала, юристы с функцией комплаенс и обеспечения договорной работы с 3-ми лицами по всем канонам и Б-г весть кто ещё.
2. Линия 2.2 - собственно, подразделение ИБ, которое это все дирижирует, является законотворцем и контролером исполнения.
3. Линия 3 - классический (?) аудит, который пытается вести машину не касаясь руля, проверяет исполнение внутренних и внешних требования к СУИБ и задается извечным вопросом "едят ли курицу руками", о чем подробнее можно почитать в свежем посте Володи Матвийчука (http://notesonthecuff.blogspot.com/2016/03/blog-post.html).
Для меня всё очевидно. Можно, конечно сказать, что моё мнение - одно из многих. Это будет справедливо. Но знаете что - это мнение дает мне возможность проехать поднимаемую избитую тему и двигаться дальше, а многим их мнения такого счастья не приносят. True story.

Tomas комментирует...

Вячеслав, не многовато ли подразделений "ИБ"? Не только банки есть в этом мире, есть и компании другой бизнес-направленности, где нет денег на такое количество народу.
Поверьте, все двигаются дальше не зависимо от чувства счастья, хотя опять же, все зависит от людей.

Roman W комментирует...

По большому счету все-равно где "сидит" ИБ, я видел ИБ подсаженное к Юристам.
Все потому, что поиб надо заходить с "Головы", а не заниматься возней в песочнице на местном уровне.
Напишите документы, подпишите у Генерала и работайте по ним. Все конфликты интересов закрываются авторитетной подписью.

В СБ, работать несколько комфортнее, при работе с конечными пользователями. (в разборки с СБ пользователь по умолчанию как правило не полезет, авторитетными подписями лишний раз трясти не нужно)
Однако руководитель СБ может не понимать технических задач (бывший силовик), весь фокус бюджета уйдет на охрану, а ИБ по остатку.

Что касается работы в ИТ, то тут тоже все в норме, если руководитель в современном ключе и про хакеров и инсайдеров знает не по наслышке. Финансирования от этого будет больше.
Недовольство внутри своего департамента уровнем ниже мб и будет "типа свой сдает", но это уж работа такая.)

Если же ИБ "навесили" ИТ в качестве обузы, то тут по обстоятельствам. Берем в зубы риск-менеджмент и рисуем какие риски несет то или иное решение.И опять же нужно такие вещи тащить на уровень ГД.
"ок ты хочешь функционала, ИБ по-боку, не вопрос, вот риски. Сам впишешся, возмешь на себя отвественность или понесем к ГД?)))

Ну и наконец, ИТ и ИБ, все зависит от лидеров этих направлений. Я видел компании где СБ была как ненужная обуза, которую терпели (охрана держать-непущать), а ИТ было сильно. Видел когда было и наоборот.

Александр Бодрик комментирует...

Везде нужно иметь админресурс, неважно это ИБ, бизнес-проекты или что-либо другое. Без него мы потратит 100500 времени на обьяснение почему это всем нужно.

Исключение пожалуй компании с открытой корпоративной культурой типа Яндекса, там без продвижения никак, а вот админресурса самого по себе может быть недостаточно

slavick комментирует...

Забавные рассуждения на тему - кому должна подчиняться служба ИБ.
И ни одного мнения, что это должна быть независимая структура с подчинением генеральному директору, а лучше вообще совету директоров или структуре подконтрольной акционеру.
Ведь зачастую работа службы ИБ схожа по своим задачам работе Службы внутреннего контроля,
когда решаются вопросы не только комплаенс, но и устойчивости бизнеса от внешних и внутренних угроз. Независимость и весомость голоса Службы ИБ может серьезно охладить горячие головы в ИТ (которые часто забывают напрочь о безопасности, когда бизнесом ставится срочная задача), так и давать независимую оценку работы СБ (которые часто не очень сильны в техническом плане, и без наличия серьезной весомой критики могут скрывать свою неэффективность). И картинка в плане независимости ИБ, как от СБ, так и от IT, на мой взгляд, лишена минусов, разве что случаев, незаинтересованности в ИБ самим руководством, или некомпетентности самого ИБ (т.к. компетентность руководителя службы ИБ руководству, зачастую, объективно оценить очень сложно).