Кому підпорядкувати інформаційну безпеку?, Криптографія, Security & Hack, статті

Незважаючи на те що на сьогоднішній день відомо не так багато випадків масштабного скорочення персоналу служб інформаційної безпеки або заморожування проектів, проте тема наслідків економічної кризи не могла залишитися без уваги учасників Міжгалузевого форуму директорів з інформаційної безпеки.

За прогнозами Андрія Курило, заступника начальника головного управління безпеки і захисту інформації Банку Росії, наслідки кризи не обійдуть галузь інформаційної безпеки стороною. Однак він вважає, що інформаційна безпека має вже самостійну цінність, і в західній практиці відомі випадки покупки колективів банків під зобов’язання збереження в штаті наявних фахівців з безпеки. А оскільки рано чи пізно криза закінчиться, то на старті нового економічного підйому організації, які зберегли структури інформаційної безпеки, матимуть великі переваги.

Начальник відділу інформаційної безпеки керуючої компанії “Металоінвест” Євген Климов свій виступ присвятив розгляду варіантів підпорядкованості департаменту інформаційної безпеки. За великим рахунком, основних варіантів три: генеральному директору або раді директорів, департаменту ІТ або ж департаменту безпеки.

У першому випадку гідністю буде спілкування безпосередньо з першою особою. Тоді всі рішення, які приймаються з питань інформаційної безпеки, будуть незалежними від інтересів інших підрозділів. Ефективність прийняття цих рішень також буде висока. Але до мінусів варто віднести неготовність менеджменту до управління безпекою. З першою особою, яка займається вирішенням зовсім інших завдань, вкрай складно обговорювати антивірусний захист, внутрішні загрози, мережеві атаки та інші питання.

У разі підпорядкування ІТ-департаменту доведеться зіткнутися зі схожою проблемою. За словами Клімова, ІТ-директора – це скоріше технічні фахівці, що не володіють достатньою фінансової кваліфікацією. Але в цьому випадку можна домогтися високої ефективності від взаємодії департаментів через те, що інформаційна безпека логічно вписується в послуги, що представляються ІТ-департаментом. Фахівці з безпеки будуть брати участь в інфраструктурних проектах і, відповідно, будуть добре розбиратися в ІТ-системах компанії. Крім того, коли інформаційна безпека є складовою частиною інформаційних сервісів, то утворюється єдиний центр відповідальності. До мінусів варто віднести залежність від ІТ-керівництва. Якщо в ході впровадження системи висуваються вимоги з позицій безпеки, то ІТ-директор може не прийняти їх до уваги, посилаючись на стислі терміни проекту і обмежений бюджет. Сумнівним в цьому випадку буде виглядати і контроль внутрішніх загроз, так як вони, на думку Климова, не відносяться до сфери діяльності ІТ.

У разі підпорядкування інформаційної безпеки підрозділу фізичної та економічної безпеки забезпечується найбільш комплексний підхід. Наприклад, при впровадженні рішення, контролюючого запис на зовнішні носії, що дозволяє оперативно виявити інцидент, не виникає жодних зволікань для затримання того чи іншого працівника. Крім того, це означає незалежність від ІТ-департаменту в прийнятті управлінських рішень. Плюс досягається найбільш ефективний контроль внутрішніх загроз, тому що це безпосереднє завдання будь-якої служби безпеки. Але не всі керівники служб безпеки готові до такої співпраці, оскільки вони теж мислять іншими категоріями. Можуть виникнути й проблеми з точки зору поділу відповідальності між підрозділами ІТ та інформаційної безпеки.

У 2005 році в Росії в 30% випадків служба Інформаційно безпеки підпорядковувалася департаменту ІТ. У 18% – департаменту з безпеки. У світі все було навпаки. Превалювало підпорядкування першій особі компанії або раді директорів. І лише в 9% служба інформаційної безпеки була в підпорядкуванні в департаменту безпеки. Але у звіті за 2008 рік PricewaterhouseCoopers позначена тенденція багаторівневого підпорядкування служби інформаційної безпеки – відразу декільком підрозділам.

Питання законодавчого регулювання інформаційної безпеки учасники форуму коментували по-різному. З одного боку, законотворча діяльність навіть в умовах кризової економіки буде змушувати підприємства залишатися в рамках законів, а для цього – впроваджувати і сертифікувати різні рішення. З іншого боку, вони визнавали й те, що для бізнесу основний закон це бізнес. І якщо доведеться вибирати між дотриманням вимог закону і бізнес-інтересами, то вибір буде не на користь першого. Консультант з безпеки компанії Cisco Systems Олексій Лукацький вважає, що наявність закону – це швидше підмога для пошуку роботи: “Якщо фахівці з інформаційної безпеки не зможуть пояснити керівництву свою важливість крім того, що вони повинні стежити за дотриманням закону, то в перспективі таких фахівців буде небагато “.

За словами Євгена Климова, основних варіантів підпорядкування служби Інформаційно безпеки три: генеральному директору або раді директорів, департаменту ІТ, департаменту безпеки


Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*