23.3.16

Какова должна быть численность службы ИБ в соотношении с ИТ?

Продолжая начатую вчера тему про проценты ИБ от ИТ, решил выложить различные цифры о том, какова должна быть численность службы ИБ в соотношении с ИТ. Итак, удалось найти следующие цифры:

  • Согласно исследованию 2003 Deloitte Touche Tohmatsu 1 сотрудник ИБ нужен на 1000 пользователей ИТ (не сотрудников, а обычных работников).
  • Согласно исследованию Computer Security Institute (CSI) и финансовым отчетам города Сакраменто численность ИБ составляет около 3%-5% от общего состава ИТ-службы.
  • По исследованию Computer Security Institute на каждых 4 ИТ-аудиторов приходится 6 сотрудников ИБ.
  • Согласно исследованию 2009 IT Spending and Staffing Benchmarks, проведенного Computer Economics, ИБшников должно быть 1,5%-2% от общего числа ИТ-службы.
  • 5000 устройств (включая мобильные, стационарные, сетевые) требует не менее одного сотрудника ИБ. Это вытекает из отчета 2004 Educause report, High Stakes, Strategies for Optimal IT Security Staffing.
  • Согласно отчетности многих американских администраций штата и города на каждые 100 ИТшников требуется 8,5 сотрудников ИБ (включая 2,5 аудиторов).
Можно видеть, что цифры разняться от 1,5% до 8,5%. Видится мне, что обе эти границы скорее являются частными случаями, и реальное значение численности ИБ от ИТ составляет 3%-6%.

5 коммент.:

Сергей Борисов комментирует...

Тут ещё вопрос, что они считают за ИБ, а что за ИТ?
Администратор МЭ куда попал?

Алексей Лукацкий комментирует...

Зависит от того, МЭ - это чья функция - ИТ или ИБ?

Сергей Городилов комментирует...

Если за ИБ оставить установление требований и контроль их выполнения, то число "ИБшников" сократится. А если считать ИБшными добавление юзеров, сброс пароля, разграничение доступа, управление политиками - операции не с требованиями, а реальными объектами - то их число увеличится. Т.е. что считать ИБ? чисто консультационную функцию (менеджмент требований) или еще и ИТ-операции по выполнению этих требований?

Unknown комментирует...

Зависимость ИТ/ИБ причудливая... Не верная постановка, но так и есть на практике. Если ИТшников 1 чел., то ИБшников ни одного.. И лишь на фоне толпы ИТшников (более 33 чел при 3%) берут одного ИБешника, под увольнение при критическом инциденте. Так происходило в ограбленых банках за 2015 год. А итегратор, вендор, руководство, бенифициары ни причем и "светлая память постуху". Как при авиакатастрофах-всегда ошибка пилота. Алексей, раскройте, пожалуйста, тему размеров оплаты труда того ИБшника, что попал в 1,5-8,5% от ИТшников. Какая должна она быть, если он один на 33 ИТшника (при 3%).

Unknown комментирует...
Этот комментарий был удален автором.