04.04.2016

Служба ИБ должна подчиняться СБ / СЭБ

Прошлая заметка про подчиненность ИБ ИТ вызывала шквал откликов и комментариев и в блоге, и в ФБ. Разброс мнений оказался ну очень широкий. Кто-то считает, что ИБ еще незрела у большинства компаний и поэтому ей самое место в более развитой ИТ. Многие закономерно считают, что контролерам не место под контролируемыми и поэтому ИБ надо выносить за скобки ИТ. Куда выносить? Часть считает, что вся Европа давно перешла на ИБ внутри системы внутреннего контроля (у нас, кстати, и отдельные документы Банка России говорили, что информационная безопасность - это часть СВК). Кто-то считает, что надо выносить под службу безопасности. Вот про этот вариант мы и поговорим сегодня.

Действительно ли ИБ место в службе безопасности или экономической безопасности? Это второй стереотип, связанный с ролью ИБ на предприятии. Если есть слово "безопасность", то значит надо отдать ее в СБ, которая занимается всеми аспектами безопасности на предприятии - физической, экономической и... информационной. Вроде бы логично и в Интернете можно найти немало картинок такой структуры:

или вот (для банка):
В принципе это вполне себе работоспособный вариант и во многих отечественных компаниях, особенно государственных, он и реализуется. На Западе и в Азии я особо таких случаев не встречал. Кстати, интересное наблюдение - дискуссии на тему "ИБ под ИТ" и на Западе, и в России являются очень популярными, а вот обсуждения подчиненности ИБ под службой безопасности практически не проходят.

Минусов у такого сценария хватает. Хотя задача у СБ и ИБ общая (обеспечение безопасности), миры физические и виртуальные пересекаются слабо и поэтому задачи, решаемые ИБ, не всегда понятны руководителю СБ. Зачастую у него и квалификации не хватает для этого. Все-таки у нас часто главой СБ назначают бывшего оперативника, следователя или сотрудника ФСБ, которые имеют очень поверхностное представление о том, чем должна заниматься ИБ. С другой стороны есть и плюсы. Акцент на работе с людьми, определенный авторитет (с СБ мало кто любит спорить), решение оргвопросов, взаимодействие с правоохранительными органами, борьба с инсайдерами... Но и конфликтов с ИТ не избежать...


Отсюда очередной вывод. Под службой безопасности ИБ тоже будет не очень хорошо, пусть и оргмерам и работе с людьми уделяться внимания будет гораздо больше, чем в ИТ. Опять тупик. Куда же податься CISO со своим отделом или службой? На самом деле ответ на этот вопрос прост, как это не странно. Все зависит от целей создания службы ИБ. Отсюда сразу будет вытекать место ИБ в иерархии. Например, если от ИБ требуется только compliance, то и место ей у юристов, а не в ИТ или СБ. Я сейчас не готов обсуждать вопрос, зачем нужна ИБ, которая занимается только compliance? Такие варианты тоже бывают; не часто, но бывают. В следующей заметке я попробую поставить точку в этой серии заметок, посвященных подчиненности ИБ на предприятии.

9 коммент.:

Kubanychbek Zakenaev комментирует...

- "Все-таки у нас часто главой СБ назначают бывшего оперативника, следователя или сотрудника ФСБ, которые имеют очень поверхностное представление о том, чем должна заниматься ИБ"

Как знакомо :)))
Бывает еще хуже, когда сотрудников ИБ начинают привлекать к физической охране, использовать в качестве инкассаторов. Кстати, частенько наблюдал, как именно руководители СБ саботировали внедрение ISO 27001/ :)))

Алексей Лукацкий комментирует...

Правильное внедрение 27001 может показать некомпетентность руководителя СБ в вопросах ИБ :-(

p.a.kulikov комментирует...

https://allstarssec.tumblr.com/image/142124235706

Владимир Черкасов комментирует...

Kubanychbek Zakenaev, ага. Или ездить по праздничным дням для проверки дежурных постов охраны :D

Александр л комментирует...

Выбор кандидатуры для назначения на должность руководителя-это прежде всего прерогатива работодателя, его способность и умение оценить профессиональные качества кандидата и его способность к обучению. Руководитель (ИБ или СБ)должен быть способен всесторонне и комплексно изучить задачу и выбрать наиболее правильное и оптимальное решение (с учетом мнения специалистов). Таким образом дело не в бывших оперативниках, следователях или сотрудниках ФСБ, а непосредственно в человеке и его способностях. В отношении ISO 27001. Стандарт писан не на "китайском" языке. Изучить его положения и внедрить способен нормальный и адекватный руководитель (не без помощи узких специалистов). Вот где-то так (как "бывший" написал). Спасибо.

Tomas комментирует...

Алексей, точку в серии заметок поставить можно, но не точку в этой теме в принципе. Разные предприятия - разные подходы. Разные люди - разные возможности. Нет единого правильного решения где должна быть ИБ (Вячеслав, конечно, нашел свою истину, и пытается обосновать ее как единственную, но тут скорее как слоган сериала секретные материалы: "The Truth is Out There"). Многие компании не достигли еще решения, что им ИБ нужна в принципе. Где будет ИБ зависит первично от того, кто лоббирует ее создание. Потом может придти сильный руководитель ИБ и вывести ее в ранг отдельного подразделения, подчиненного ген.директору и т.д., а может наоборот слабый, которого подчинят те, кому это нужно (СБ, ИТ, СВК, юристы...).
А сейчас если посмотреть на аудиторию мероприятий по ИБ, директора ИБ - это часто стали дети владельцев или руководства бизнеса (так доверия больше, + специальность крутая) - вот где им захочется, там и будет место ИБ.

Алексей Лукацкий комментирует...

Дети владельцев? Круто. Не встречал

Tomas комментирует...

Дети/друзья/родственники...

Вячеслав Нехороших комментирует...

Tomas, не перекручивайте. Я не говорил, что моя истина единственная. Я сказал, что знаю правильный ответ. Если Вам когда-либо доводилось сдавать экзамен на CISSP, Вы, очевидно, знаете, что правильных ответов на вопрос может быть несколько, но некоторые "правильнее" :)
Давайте проведем эксперимент - составим простую матрицу подчинения ИБ с +/-, и посмотрим, сколько минусов наберет каждый вариант, в том числе и СВК. Заодно и посмотрим, что является "меньшим злом". Если будет воля Алексея - хотелось бы увидеть такую таблицу в его заключительном мессадже. При этом (!) вариант "где захочет собственник" он конечно верный, но желание собственника и развитие бизнеса - разные, порой диаметрально противоположные вещи. Собственник может бизнес хоть похоронить (намеренно/по незнанию/...), не взирая на уверения википедии о том, что бизнес делается ради прибыли и роста. Что же - оставим его со своими правами делать как вздумается: неправильно/правильно/правильнее/... - шкала "правильности" от этого не меняется.
P.S. Я, к примеру, подчиняюсь CIO. Поэтому говорить про единственно верные варианты как-то и в голову не приходило :Р