На прошлой неделе довелось мне слушать Джона Пескаторе, вице-президента Gartner, руководителя всех исследований Gartner по информационной безопасности. Сам доклад был достаточно интересным, но хотелось бы мне коснуться только одного из его моментов. Его спросили о том, каковой должна быть подчиненность руководителя ИБ? Должен ли он быть под CIO или лучше использовать другие варианты?
Ответ на вопрос, который часто задается и на отечественных мероприятиях (а лет 5-6 назад я даже вел круглый стол на эту тему), был универсальным и многозначительным, как и почти все рекомендации, которые дают крупные консалтинговые агентства без привязки к конкретики. Пескаторе сказал, что им приходится сталкиваться с разными вариантами подчинения - под CIO, под CEO, под CFO, под CLO (главный юрист), под COO (операционный директор), под CRO (главный за риски) и т.д. Самого правильного места в иерархии нет. Все очень сильно зависит от множества условий - от истории компании, ее структуры, области действия CISO и т.п. Если директор по ИБ отвечает преимущественно за защиту информации в информационных системах, то ему самое место быть под CIO, а если он смотрит шире и защищает информацию в ее разных представлениях, то под CIO ему будет тесновато, т.к. как раз CIO оперирует только информационными системами, "закрывая глаза" на информацию на бумаге. Ну и т.д. Но интересно было другое.
Пескаторе плавно перешел на другую похожу проблему. Под кем должен быть CPO (Chief Privacy Officer)? В России такой должности я не встречал ни разу и наиболее близким по сути является ответственный за обработку персональных данных в организации. Privacy - это конечно гораздо более объемное понятие, чем персональные данные, но все-таки они очень схожи. Поэтому вопрос можно было бы сформулировать и по-русски - под кем должен быть главный за персданные в организации? Под руководителем ИБ или еще под кем? Пескаторе рассказал, что они, как правило, сталкиваются с тем, что CPO рапортует CISO, но это на его взляд не совсем правильно и напоминает конфликт CISO и CIO. Не может контролер находиться в подчинении у контролируемого (не случайно в 242-П Банк России считал, что информационная безопасность - это часть системы внутреннего контроля и должна подчиняться напрямую совету директоров). Также и с CPO. Его задача (если не рассматривать чисто российскую практику выполнения законодательства для галочки и защиты от регуляторов, а не реальной защиты субъектов ПДн) сделать так, чтобы в компании персданных и иной личной информации обрабатывалось как можно меньше. А задача CISO обратная - ему нужно как можно больше данных для изучения поведения пользователей, прогнозирования инцидентов, сбора доказательств и т.п. Задачи CISO и CPO зачастую диаметрально противоположны. Примерно как задачи общества и силовых структур - одни против вмешательства в частную жизнь, другие - всеми частями тела за.
Рецепта Джон Пескаторе не дал. Да он и не мог его дать. Каждая компания по своему решает этот вопрос. Главное, четко понять, какие цели преследуются каждым из руководителей (CIO/CISO, CISO/CPO), какие задачи перед ними стоят, какие полномочия им нужны, как разруливать конфликты и эскалировать их наверх? И тогда уже решать, кто кого и кто под кем?..
Ответ на вопрос, который часто задается и на отечественных мероприятиях (а лет 5-6 назад я даже вел круглый стол на эту тему), был универсальным и многозначительным, как и почти все рекомендации, которые дают крупные консалтинговые агентства без привязки к конкретики. Пескаторе сказал, что им приходится сталкиваться с разными вариантами подчинения - под CIO, под CEO, под CFO, под CLO (главный юрист), под COO (операционный директор), под CRO (главный за риски) и т.д. Самого правильного места в иерархии нет. Все очень сильно зависит от множества условий - от истории компании, ее структуры, области действия CISO и т.п. Если директор по ИБ отвечает преимущественно за защиту информации в информационных системах, то ему самое место быть под CIO, а если он смотрит шире и защищает информацию в ее разных представлениях, то под CIO ему будет тесновато, т.к. как раз CIO оперирует только информационными системами, "закрывая глаза" на информацию на бумаге. Ну и т.д. Но интересно было другое.
Пескаторе плавно перешел на другую похожу проблему. Под кем должен быть CPO (Chief Privacy Officer)? В России такой должности я не встречал ни разу и наиболее близким по сути является ответственный за обработку персональных данных в организации. Privacy - это конечно гораздо более объемное понятие, чем персональные данные, но все-таки они очень схожи. Поэтому вопрос можно было бы сформулировать и по-русски - под кем должен быть главный за персданные в организации? Под руководителем ИБ или еще под кем? Пескаторе рассказал, что они, как правило, сталкиваются с тем, что CPO рапортует CISO, но это на его взляд не совсем правильно и напоминает конфликт CISO и CIO. Не может контролер находиться в подчинении у контролируемого (не случайно в 242-П Банк России считал, что информационная безопасность - это часть системы внутреннего контроля и должна подчиняться напрямую совету директоров). Также и с CPO. Его задача (если не рассматривать чисто российскую практику выполнения законодательства для галочки и защиты от регуляторов, а не реальной защиты субъектов ПДн) сделать так, чтобы в компании персданных и иной личной информации обрабатывалось как можно меньше. А задача CISO обратная - ему нужно как можно больше данных для изучения поведения пользователей, прогнозирования инцидентов, сбора доказательств и т.п. Задачи CISO и CPO зачастую диаметрально противоположны. Примерно как задачи общества и силовых структур - одни против вмешательства в частную жизнь, другие - всеми частями тела за.
Рецепта Джон Пескаторе не дал. Да он и не мог его дать. Каждая компания по своему решает этот вопрос. Главное, четко понять, какие цели преследуются каждым из руководителей (CIO/CISO, CISO/CPO), какие задачи перед ними стоят, какие полномочия им нужны, как разруливать конфликты и эскалировать их наверх? И тогда уже решать, кто кого и кто под кем?..
«Берите суверенитета столько, сколько сможете проглотить» — фраза, сказанная Председателем Верховного Совета РСФСР Борисом Ельциным 8 августа 1990 года. Была обращена к национальным автономиям в РСФСР, растиражирована в СМИ и использовалась как обоснование для увеличения своего суверенитета национальными республиками на территории РСФСР (впоследствии, Российской Федерации).
ОтветитьУдалить