Несмотря на то что значительное число компаний отмечают важность обеспечения собственной информационной безопасности, действительно упорядоченную работу в этой сфере ведут лишь немногие из них. Поэтому и эффективность мероприятий по обеспечению ИБ во многих компаниях оставляет желать лучшего.
Для обеспечения эффективной работы по предупреждению инцидентов в сфере информационной безопасности необходимо иметь отлаженную систему обеспечения ИБ, в которой распределены роли, обязанности и каждый знает, за что он отвечает. В противном случае ИБ будет тем самим дитем, которое у семи нянек без глазу, согласно меткой русской пословице. Давайте посмотрим, что можно сделать для того, чтобы подобного в вашей организации не случилось.
Служба информационной безопасности
Согласно исследованиям компании SearchInform, лишь в 15% российских организаций есть служба или отдел, ответственный только за информационную безопасность. Большинство компаний и государственных учреждений предпочитают сваливать ответственность за обеспечение ИБ на смежные отделы: ИТ-подразделение, службу внутренней безопасности и прочие подобные структуры внутри организации.
К сожалению, это не лучшим образом сказывается на состоянии обеспечения информационной безопасности в компании. По данным SearchInform, в тех организациях, где за ИБ отвечают непрофильные отделы, происходит на 40% больше инцидентов в этой сфере, чем в там, где есть отдел ИБ, пусть даже состоящий всего из пары человек.
Поэтому первый вывод, который можно сделать из этого, таков: для эффективного управления ИБ в компании должен существовать специализированный, пусть и небольшой, отдел, который будет заниматься только вопросами обеспечения информационной безопасности.
Взаимодействие служб ИТ и ИБ
Немаловажный вопрос в организации работы службы информационной безопасности — это её взаимодействие с ИТ-отделом. Поскольку эти подразделения будут далее трудиться рука об руку, необходимо четко разграничить сферу ответственности каждого из них.
Ни в коем случае нельзя делать один отдел подчиненным другому, пусть даже в ИТ-отделе у вас трудится в 10 раз больше сотрудников, чем в отделе ИБ. Подобная “оптимизация” приведет к параличу работы ИБ-отдела, поскольку задачи его, по сути, во многом состоят в создании дополнительной работы для отдела ИТ, которая с точки зрения последнего может являться совершенно ненужной.
Подчинять ИТ-отдел отделу ИБ тоже нельзя, поскольку главная задача ИТ-отдела — обеспечение непрерывности бизнеса компании, а задачи отдела ИБ с этой целью могут не совсем согласовываться. В результате возможна ситуация, когда задачи ИБ-отдела будут обрабатываться в первую очередь, даже в ущерб интересам организации.
В идеале, если такое возможно, сделайте отдел ИБ подчиненным генеральному директору или хотя бы кому-то из его заместителей. Тогда его сотрудникам будет легче предотвратить инциденты в сфере ИБ, связанные с деятельностью сотрудников ИТ-отдела, а они, по статистике, могут составлять до 30% всех ИБ-инцидентов.
Выбор инструментов
Выбор инструментов обеспечения информационной безопасности, как и ответственность за него, должен целиком и полностью ложиться на плечи отдела ИБ. Разумеется, вам надо будет разъяснить руководителю отдела, что он должен вкладываться в определенный бюджет, однако если он приводит доводы, согласно которым компании жизненно необходима какая-то дорогостоящая программа, которая может кардинально улучшить ситуацию с ИБ в компании, то безусловно к его словам стоит прислушаться.
В выборе инструментов нужно руководствоваться не столько известностью того или иного вендора, сколько реальным соответствием предлагаемых им решений нуждам организации. При этом помните, что высокая цена не всегда является гарантией высокого качества.
Принятие решений
Поскольку отдел информационной безопасности в ряде случаев может останавливать работу других подразделений (к примеру, не допуская пересылки письма, с обнаруженными в нем конфиденциальными данными), то он должен иметь некоторую свободу действий. Если у отдела ИБ нет возможности принимать тактические решения без обсуждения их с высшим руководством, то его работа будет малоэффективной, более того, она может застопорить деятельность всей компании.
Безусловно, когда речь идет о стратегических вопросах (изменение правил безопасности, приобретение новых систем обеспечения ИБ, увольнение и депремирование провинившихся сотрудников), то “консультация” высшего руководства обязательна.
Для того чтобы разграничить сферу ответственности самого отдела ИБ и высшего руководства, нужно составить специальный документ — политику информационной безопасности компании. Он будет описывать не только обязанности отдела ИБ, но и всю работу системы ИБ, включая как стратегические, так и тактические моменты.
Составление политики информационной безопасности — достаточно трудоемкая и не всегда тривиальная задача, к решению которой имеет смысл привлечь сторонних подрядчиков — консалтинговые компании, специализирующиеся на обеспечении ИБ в той отрасли, в которой работает ваша компания. Зачастую это будет даже дешевле, качественнее и быстрее, чем разработка политики безопасности силами собственного отдела информационной безопасности.
Ответственность сотрудников
Для того чтобы обеспечение информационной безопасности в компании было действительно эффективным, заботиться о ней должен каждый сотрудник. Поэтому необходимо разработать инструкции и обучающие курсы для персонала. Обучение целесообразно повторять, по крайней мере, каждые полгода, с проведением зачета после него.
Введите меры ответственности за инциденты в сфере информационной безопасности. За случайные инциденты можно штрафовать или депремировать, за специально организованные нужно уже увольнять. Обязательно доводите до сведения сотрудников информацию о каждом взыскании за инцидент в сфере ИБ, так они будут знать, что система обеспечения информационной безопасности в организации действительно работает и все те инструктажи, которые с ними проводятся, — это не пустой звук.
Особенно строго стоит спрашивать с руководителей подразделений, поскольку если они сами недостаточно внимательно относятся к обеспечению информационной безопасности, то и в возглавляемых ими отделах сотрудники не будут относиться к этому серьезно.
Подводя итоги
Подытожим то, что было сказано выше. Основные правила распределения ответственности за ИБ в организации таковы:
- Отвечать за информационную безопасность должен соответствующий профильный отдел.
- Этот отдел не должен подчиняться отделу ИТ, и отдел ИТ не должен подчиняться ему.
- Выбор инструментов обеспечения ИБ — компетенция отдела ИБ, а не руководства компании.
- Принятие решений отделом ИБ должно регламентироваться политикой информационной
- безопасности компании.
- Сотрудники должны нести ответственность за нарушения в сфере ИБ, как преднамеренные, так и случайные.
Соблюдая эти простые правила, вы сможете построить эффективную систему обеспечения ИБ в вашей компании.
Автор статьи — ведущий аналитик компании SearchInform.