Незапланированный пост, навеянный комментариями к двум заметкам, посвященным объему финансирования ИБ и численности службы ИБ в зависимости от этих показателей в ИТ. На меня многие набросились с обвинением в том, что вопрос вообще звучит некорректно и ни в коем случае нельзя измерять ни бюджет, ни численность ИБ от ИТ. Каждый спорящий отстаивает свою точку зрения, приводя неубиенные аргументы и опираясь на собственный опыт. А теперь давайте дистанцироваться от опыта и посмотрим на то, как и почему возник вопрос о "проценте от ИТ"?
Есть стереотип, что информационная безопасности = ИТ-безопасность, то есть это одна из множества функций ИТ. Этот стереотип подтверждается и различными опросами. Например, Symantec:
или Wisegate:
У них хотя и разная глубина опроса (Symantec ограничился всего тремя направления подчинения), но на удивление схожее соотношение - больше чем в 2/3 случаях ИБ подчиняется именно ИТ (по данным Ponemon Institute ИБ подчиняется ИТ в 56% случаев). Почему такой стереотип возник и продолжает активно поддерживаться и развиваться?
На мой взгляд ответ прост. Этот стереотип отражает эволюцию ИБ на многих предприятиях. Если рассматривать ИБ как всяческие настройки МСЭ и установку антивируса, то логично, что именно это делают ИТшники. В небольших организациях, где и ИТ-то выделенной нет, это ложится на приходящего админа. А там, где ИТ в том или ином виде все-таки существует, настройки средств защиты ложатся на плечи именно админов. Тема соответствия требованиям ИБ не поднимается вовсе. Это очень распространенная ситуация для абсолютного большинства российских организаций, относящихся к малому бизнесу или индивидуальным предпринимателям. Ни о каких "назначении уполномоченного за ИБ сотруднике", как написано во многих нормативных актах, и речи не идет.
По мере развития предприятия у него появляется больше задач, которые связаны с ИБ. Появляется выделенный безопасник, но опять же в структуре ИТ. У него еще нет отдельного отдела, нет бюджета, но он уже занимается только ИБ, в том числе и темой compliance.
Третий эволюционный вариант - создание отдела ИБ внутри департамента ИТ. Это присущая многим крупным организациям структура и вызывает вопросы, аналогичные тем, что задавались в заметках об объеме финансирования и численности как проценте от аналогичных показателей в ИТ. В данном случае вроде как все нормально - свой бюджет, свой штат, учет ИБ в ИТ-проектах, но буйным цветом расцветает конфликт интересов.
Не может контролер подчиняться контролируемым. Об этом и ЦБ говорит в своих документах, но и явно не запрещает подчинение ИБ под ИТ, понимая, что это сложившаяся практика и не Банку России ее ломать. Хотя требование о наличии у ИБ куратора, отличного о ИТ, выглядит странно. Получается, что у ИБ будет два руководителя - непосредственное подчинение ИТ и куратор вне ИТ. И как быть в ситуации, когда от двух кураторов идут противоречащие друг другу указания?
В целом подчинение ИБ в ИТ имеет свои явные плюсы, но и явные минусы. Минусов больше. Но самое главное, что ИБ занимается часто задачами, которые к ИТ вообще никакого отношения не имеют - противодействие утечкам по техническим каналам (и вообще тема ПДИТР), взаимодействие с правоохранительными органами, безопасность бумажного документооборота... Это не просто второстепенные для ИТ задачи, а явно выходящие за рамки деятельности CIO.
Может лучше в службу безопасности включить ИБ? Все-таки и там и там общее понимание задач? Давайте на это посмотрим завтра.
Есть стереотип, что информационная безопасности = ИТ-безопасность, то есть это одна из множества функций ИТ. Этот стереотип подтверждается и различными опросами. Например, Symantec:
Подчиненность ИБ по версии Symantec |
Подчиненность ИБ по версии Wisegate |
На мой взгляд ответ прост. Этот стереотип отражает эволюцию ИБ на многих предприятиях. Если рассматривать ИБ как всяческие настройки МСЭ и установку антивируса, то логично, что именно это делают ИТшники. В небольших организациях, где и ИТ-то выделенной нет, это ложится на приходящего админа. А там, где ИТ в том или ином виде все-таки существует, настройки средств защиты ложатся на плечи именно админов. Тема соответствия требованиям ИБ не поднимается вовсе. Это очень распространенная ситуация для абсолютного большинства российских организаций, относящихся к малому бизнесу или индивидуальным предпринимателям. Ни о каких "назначении уполномоченного за ИБ сотруднике", как написано во многих нормативных актах, и речи не идет.
По мере развития предприятия у него появляется больше задач, которые связаны с ИБ. Появляется выделенный безопасник, но опять же в структуре ИТ. У него еще нет отдельного отдела, нет бюджета, но он уже занимается только ИБ, в том числе и темой compliance.
Третий эволюционный вариант - создание отдела ИБ внутри департамента ИТ. Это присущая многим крупным организациям структура и вызывает вопросы, аналогичные тем, что задавались в заметках об объеме финансирования и численности как проценте от аналогичных показателей в ИТ. В данном случае вроде как все нормально - свой бюджет, свой штат, учет ИБ в ИТ-проектах, но буйным цветом расцветает конфликт интересов.
Не может контролер подчиняться контролируемым. Об этом и ЦБ говорит в своих документах, но и явно не запрещает подчинение ИБ под ИТ, понимая, что это сложившаяся практика и не Банку России ее ломать. Хотя требование о наличии у ИБ куратора, отличного о ИТ, выглядит странно. Получается, что у ИБ будет два руководителя - непосредственное подчинение ИТ и куратор вне ИТ. И как быть в ситуации, когда от двух кураторов идут противоречащие друг другу указания?
В целом подчинение ИБ в ИТ имеет свои явные плюсы, но и явные минусы. Минусов больше. Но самое главное, что ИБ занимается часто задачами, которые к ИТ вообще никакого отношения не имеют - противодействие утечкам по техническим каналам (и вообще тема ПДИТР), взаимодействие с правоохранительными органами, безопасность бумажного документооборота... Это не просто второстепенные для ИТ задачи, а явно выходящие за рамки деятельности CIO.
Может лучше в службу безопасности включить ИБ? Все-таки и там и там общее понимание задач? Давайте на это посмотрим завтра.